信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)材料

通信網(wǎng)絡(luò)信息平安風(fēng)險(xiǎn)評(píng)估培訓(xùn)提綱根底概念相關(guān)背景介紹什么是風(fēng)險(xiǎn)評(píng)估為什么要風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估意義風(fēng)險(xiǎn)評(píng)估內(nèi)容相關(guān)術(shù)語(yǔ)相關(guān)標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估通用流程及具體實(shí)施實(shí)施要點(diǎn)及例如說明我們的平安形勢(shì)威脅無(wú)處不在網(wǎng)絡(luò)拒絕效勞攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息喪失、篡改、銷毀后門、隱蔽通道怎么辦？--風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)面臨的最大威脅是什么？有哪些平安問題？什么是最關(guān)鍵的信息資產(chǎn)？網(wǎng)絡(luò)設(shè)備是否平安？操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)是否平安？您需要什么平安技術(shù)保障？風(fēng)險(xiǎn)控制手段？采用了哪些平安措施？是否有效？如何應(yīng)對(duì)未來的威脅?……我們的網(wǎng)絡(luò)有多安全??如何知道??

----面臨的問題風(fēng)險(xiǎn)評(píng)估相關(guān)概念脆弱性/Vulnerability資產(chǎn)/Asset存在利用破壞威脅/Threat風(fēng)險(xiǎn)/Risk什么是風(fēng)險(xiǎn)評(píng)估國(guó)信辦[2006]5號(hào)文件風(fēng)險(xiǎn)評(píng)估〔RiskAssessment〕是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。并為防范和化解信息平安風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障網(wǎng)絡(luò)和信息平安提供科學(xué)依據(jù)風(fēng)險(xiǎn)評(píng)估內(nèi)容評(píng)估內(nèi)容管理層面技術(shù)層面局部相關(guān)標(biāo)準(zhǔn)評(píng)估項(xiàng)參照標(biāo)準(zhǔn)資產(chǎn)評(píng)估ISO17799/BS7799

加拿大《威脅和風(fēng)險(xiǎn)評(píng)估工作指南》風(fēng)險(xiǎn)分析方法ISO13335IT風(fēng)險(xiǎn)管理系列風(fēng)險(xiǎn)分析模型《AS/NZS4360:2004風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》計(jì)算模型《AS/NZS4360:2004風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》GAO/AIMD-00-33《信息安全風(fēng)險(xiǎn)評(píng)估》評(píng)估過程GBT20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》NIST-SP800-26信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)自評(píng)估指南NIST-SP800-30信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南安全管理工作的評(píng)估ISO17799/BS7799ISO13335IT風(fēng)險(xiǎn)管理系列物理安全評(píng)估ISO17799/BS7799GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》網(wǎng)絡(luò)設(shè)備安全性ISO15408（CC）GB17859工信部平安防護(hù)系列標(biāo)準(zhǔn)提綱根底概念風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析實(shí)施要點(diǎn)及例如說明風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備?信息平安風(fēng)險(xiǎn)評(píng)估方案?檢查記錄表模板?支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—業(yè)務(wù)平安??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—網(wǎng)絡(luò)平安??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—主機(jī)平安??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—應(yīng)用平安??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—數(shù)據(jù)平安及備份恢復(fù)??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—物理環(huán)境平安??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—管理平安??支撐網(wǎng)平安評(píng)測(cè)檢查記錄表—災(zāi)難備份及恢復(fù)?調(diào)查問卷及其他?需求文檔清單??文檔交接單??資產(chǎn)調(diào)查問卷??資產(chǎn)識(shí)別清單??重要資產(chǎn)清單??脆弱性調(diào)查問卷??現(xiàn)場(chǎng)配合人員名單?工作輸出風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理主要任務(wù)

資產(chǎn)識(shí)別資產(chǎn)信息搜集資產(chǎn)分類資產(chǎn)賦值

資產(chǎn)類別網(wǎng)絡(luò)設(shè)備〔包括路由器、交換機(jī)等〕平安設(shè)備〔包括防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件等〕主機(jī)〔包括效勞器、PC終端等〕機(jī)房及相關(guān)設(shè)施(如UPS、門禁、滅火器、溫濕計(jì))重要數(shù)據(jù)〔如計(jì)費(fèi)數(shù)據(jù)、用戶信息數(shù)據(jù)、用戶帳單〕管理制度及文檔人員資產(chǎn)分類平安屬性賦值

資產(chǎn)賦值社會(huì)影響力業(yè)務(wù)價(jià)值可用性

資產(chǎn)賦值〔例如〕風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理威脅識(shí)別主要任務(wù)：---識(shí)別對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件---威脅出現(xiàn)頻率賦值〔簡(jiǎn)稱威脅賦值〕

威脅賦值通過被評(píng)估對(duì)象體的歷史故障報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；通過網(wǎng)管或平安管理系統(tǒng)的數(shù)據(jù)統(tǒng)計(jì)和分析；通過整個(gè)社會(huì)同行業(yè)近年來曾發(fā)生過的威脅統(tǒng)計(jì)數(shù)據(jù)均值。賦值方法

判斷威脅出現(xiàn)頻率，需要結(jié)合以下三個(gè)方面：威脅賦值資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估流程脆弱性識(shí)別主要任務(wù)---查找脆弱性---脆弱性嚴(yán)重程度賦值〔簡(jiǎn)稱脆弱性賦值〕訪談現(xiàn)場(chǎng)勘察漏洞掃描滲透測(cè)試人工審計(jì)

---文檔檢查

---控制臺(tái)審計(jì)以前的審計(jì)和評(píng)估結(jié)果…

脆弱性識(shí)別相關(guān)方法脆弱性識(shí)別方法-訪談訪談可以采取現(xiàn)場(chǎng)訪談的方式，也可以采取調(diào)查問卷的方式，通常是兩種方式的結(jié)合通過一套審計(jì)問題列表問答的形式對(duì)企業(yè)信息資產(chǎn)所有人和管理人員進(jìn)行訪談脆弱性識(shí)別方法-漏洞掃描多種掃描工具優(yōu)化組合掃描內(nèi)容效勞與端口開放情況枚舉帳號(hào)/組檢測(cè)弱口令各種系統(tǒng)、效勞和協(xié)議漏洞……脆弱性識(shí)別方法-滲透測(cè)試什么是滲透測(cè)試模擬黑客對(duì)網(wǎng)絡(luò)中的核心效勞器及重要的網(wǎng)絡(luò)設(shè)備，包括效勞器、網(wǎng)絡(luò)設(shè)備、防火墻等進(jìn)行非破壞性質(zhì)的攻擊行為，以發(fā)現(xiàn)系統(tǒng)深層次的漏洞，并將整個(gè)過程與細(xì)節(jié)報(bào)告給用戶。滲透測(cè)試的必要性工具掃描存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的平安問題；滲透測(cè)試可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)，同時(shí)滲透測(cè)試可以對(duì)漏洞掃描結(jié)果進(jìn)行驗(yàn)證；滲透測(cè)試難點(diǎn)對(duì)測(cè)試者的專業(yè)技能要求很高。滲透測(cè)試內(nèi)容信息泄露：對(duì)外效勞是否暴露了可能被黑客利用的敏感信息業(yè)務(wù)邏輯測(cè)試：系統(tǒng)是否在業(yè)務(wù)邏輯設(shè)計(jì)上存在被黑客利用的漏洞認(rèn)證測(cè)試：系統(tǒng)是否存在弱口令、繞過身份認(rèn)證、瀏覽器緩存管理等漏洞會(huì)話管理測(cè)試：系統(tǒng)是否存在會(huì)話劫持、CSRF等漏洞拒絕效勞測(cè)試：系統(tǒng)是否易受DDOS攻擊Web效勞測(cè)試：SQL注入、跨站腳本…AJAX測(cè)試…滲透測(cè)試一般方法遠(yuǎn)程溢出攻擊測(cè)試口令破解Web腳本及應(yīng)用測(cè)試〔SQL注入、XSS等〕本地權(quán)限提升測(cè)試網(wǎng)絡(luò)嗅探監(jiān)聽其它〔社會(huì)工程學(xué)等〕……滲透測(cè)試分類黑盒測(cè)試〔〞zero-knowledgetesting〞〕滲透者完全處于對(duì)系統(tǒng)一無(wú)所知的狀態(tài)。通常，這種類型的測(cè)試，最初的信息獲取來自DNS、Web、Email及各種公開對(duì)外的效勞器。白盒測(cè)試測(cè)試者可以通過正常渠道向被測(cè)單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進(jìn)行面對(duì)面的溝通這類的測(cè)試目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作滲透測(cè)試一般流程方案與準(zhǔn)備測(cè)試方案測(cè)試準(zhǔn)備偵查分析階段信息收集目標(biāo)判別漏洞查找攻擊階段獲取權(quán)限權(quán)限提升……脆弱性識(shí)別方法-人工審計(jì)采用人工審計(jì)方式可以對(duì)漏洞掃描的結(jié)果進(jìn)行驗(yàn)證和分析，也可以檢查某些無(wú)法利用工具掃描的內(nèi)容人工審計(jì)內(nèi)容網(wǎng)絡(luò)平安網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)子網(wǎng)劃分網(wǎng)絡(luò)邊界審計(jì)日志網(wǎng)絡(luò)流量與擁塞控制網(wǎng)絡(luò)設(shè)備的平安配置…….主機(jī)平安審計(jì)日志自主訪問控制功能強(qiáng)制訪問控制功能目錄與文件權(quán)限口令設(shè)置登陸設(shè)置資源使用設(shè)置進(jìn)程與端口關(guān)聯(lián)…….人工審計(jì)內(nèi)容〔續(xù)〕專用業(yè)務(wù)/應(yīng)用系統(tǒng)平安通訊平安性本地文件存儲(chǔ)平安性登陸過程平安性自主訪問控制功能有效性及平安策略配置強(qiáng)制訪問控制功能有效性及平安策略配置用戶權(quán)限審計(jì)日志并發(fā)會(huì)話數(shù)限制……數(shù)據(jù)平安及備份數(shù)據(jù)傳輸平安性數(shù)據(jù)存儲(chǔ)平安性備份與恢復(fù)功能備份數(shù)據(jù)(如用戶帳單備份數(shù)據(jù))鏈路冗余硬件冗余(如計(jì)費(fèi)系統(tǒng)雙機(jī)備份)人工審計(jì)內(nèi)容〔續(xù)〕物理環(huán)境平安防震、防風(fēng)、防雨等能力機(jī)房出入平安區(qū)域隔離防水防潮防靜電防盜竊和防破壞溫濕度控制……管理平安管理制度制定和發(fā)布崗位設(shè)置人員配備人員錄用、離崗平安意識(shí)教育和培訓(xùn)軟件開發(fā)測(cè)試驗(yàn)收……審計(jì)例如防護(hù)要求脆弱性檢查要點(diǎn)(HP-UX)檢查結(jié)果記錄當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；/etc/inet/services/etc/inet/inetd.conf

…口令應(yīng)有復(fù)雜度要求并定期更換/var/adm/userdb//etc/shadow…審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶/var/adm/userdb//etc/default/security

…脆弱性識(shí)別—工具掃描工具系統(tǒng)層：X-scan、Nessus、極光漏洞掃描系統(tǒng)、天鏡漏洞掃描系統(tǒng)應(yīng)用層：IBMAppscan、Fortify、AcunetixWebVulnerabilityScanner數(shù)據(jù)庫(kù)：ShadowDataBaseScanner、ISSDatabaseScanner…脆弱性賦值等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，對(duì)資產(chǎn)造成的損害可以忽略脆弱性賦值表

賦值方法工作輸出?脆弱性列表?類型、名稱、描述、賦值…風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理已有平安措施確認(rèn)平安措施--預(yù)防性平安措施--保護(hù)性平安措施主要任務(wù) --針對(duì)已識(shí)別的脆弱性確認(rèn)已采取的平安措施并記錄下來工作輸出--?已有平安措施確認(rèn)表?風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別已有平安措施確實(shí)認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析流程保持已有平安措施提出風(fēng)險(xiǎn)處理方案是否接受風(fēng)險(xiǎn)風(fēng)險(xiǎn)計(jì)算是否風(fēng)險(xiǎn)閾值風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算方法

１、

風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算方法〔續(xù)〕相乘法：風(fēng)險(xiǎn)值＝資產(chǎn)價(jià)值x威脅值x脆弱性值

風(fēng)險(xiǎn)閾值確實(shí)定風(fēng)險(xiǎn)閾值是風(fēng)險(xiǎn)是否可接受的判斷依據(jù)確定方法對(duì)象的安全等級(jí)1級(jí)2級(jí)3.1級(jí)3.2級(jí)4級(jí)5級(jí)風(fēng)險(xiǎn)閾值（風(fēng)險(xiǎn)值大于此閾值的風(fēng)險(xiǎn)視為不可接受）設(shè)備類風(fēng)險(xiǎn)（包括設(shè)備、機(jī)房、數(shù)據(jù)、網(wǎng)絡(luò)）60452515105人員類風(fēng)險(xiǎn)906040302010管理制度、文檔類風(fēng)險(xiǎn)80503020105風(fēng)險(xiǎn)處理建議主要任務(wù)

風(fēng)險(xiǎn)處理方式降低風(fēng)險(xiǎn)——應(yīng)用適當(dāng)?shù)目刂拼胧?預(yù)防性措施、保護(hù)性措施)接受風(fēng)險(xiǎn)——由于投入過高和收效不明顯防止風(fēng)險(xiǎn)——因?yàn)轱L(fēng)險(xiǎn)的代價(jià)太高，不允許執(zhí)行會(huì)產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)轉(zhuǎn)移風(fēng)險(xiǎn)——轉(zhuǎn)嫁給第三方〔保險(xiǎn)、供給商〕對(duì)不可接受風(fēng)險(xiǎn)提出控制風(fēng)險(xiǎn)的平安建議提綱根底概念風(fēng)險(xiǎn)評(píng)估通用流程及具體實(shí)施實(shí)施要點(diǎn)及例如說明成功實(shí)施要點(diǎn)評(píng)估范圍確定分析方法及計(jì)算方法的選擇建立良好的溝通氣氛適當(dāng)?shù)脑u(píng)估工具選擇及操作策略數(shù)