1、 网络与信息安全风险评估 陕西省网络与信息安全测评中心 姓名: 董文欣 岗位: 风险评估工程师 2014年 3月 9日目录1.风险评估概述22.信息安全风险评估指标体系概述32.1信息安全风险评估的工作过程32.2风险评估具体思路与流程43.国内外安全标准介绍63.1 CC 标准73.2 BS7799(ISO/IEC17799)73.3 ISO/IEC 21827:2002(SSE-CMM)73.4 我国国家标准 GB1785984 风险评估方法85.风险评估工具95.1辅助性的工具和方法95.2自动化风险评估工具106.总结11 1.风险评估概述 风险评估(Risk Assessment)
2、是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。对系统进行风险分析和评估的目的就是了解系统目前与未来的风险所在评估这些风险可能带来的安全威胁与影响程度为安全策略的确定信息系统的建立及安全运行提供
3、依据同时通过第三方权威或者国际机构评估和认证也给用户提供了信息技术产品和系统可靠性的信心增强产品单位的竞争力信息系统风险分析和评估是一个复杂的过程 一个完善的信息安全风险评估架构应该具备相应的标准体系技术体系组织架构业务体系和法律法规。2.信息安全风险评估指标体系概述 指标是评估的工具,是反映评估对象属性的指示标志。指标体系则是根据评估目标和评估内容的要求构建的一组相关指标,据以搜集评估对象的有关信息资料,反映评估对象的基本面貌、特征和水平。信息安全风险的评估体系是一系列指标的构成体,这些指标之间存在有机的联系并相互作用。指标体系通过揭示这种联系和相互作用的规律来反映信息系统的安全状况,考察系
4、统结构的稳定性和抵御风险的能力,辨明安全风险及风险演变的动向和发展趋势,最终达到对风险进行有效控制的目的。 在信息安全的标准化进程中,主要的风险评估模型有以下几类:国际标准ISO 15408 将风险要素定义为:属主、资产、攻击者、威胁、漏洞、风险、措施等7 个方面,该标准对于系统中人所带来的风险比较强调,将属主从资产中分离出来,将攻击者从威胁分离出来。国际标准I S O13335 则将风险要素定义为:资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施等7 个方面,该标准是将资产价值从资产中提炼出来,将防护需求从防护措施中提炼出来,这是对于系统中要素属性的强调。我国国务院信息化工作办公室推出
5、的信息安全风险评估指南,将风险要素定义为:使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、防护需求、防护措施等10 个方面,它比ISO 13335扩展了三个要素:使命、残余风险和事件。引入使命要素是将工作本身之外的原因纳入到模型中,强调了整个风险管理工作是被机构的高层推动的。残余风险是风险的一个部分,主要是强调“安全不可能做到百分之百”。2.1信息安全风险评估的工作过程(1) 资产识别 资产是对组织具有价值的信息资源,是安全策略保护的对象。可将资产分为数据、软件、硬件、文档、服务、人员等类。对资产的重要性可以赋予不同的等级,并对资产的机密性、完整性、可用性进行赋值。资产赋值的过程也就
6、是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果的过程。(2) 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素。造成威胁的因素可分为人为因素和环境因素。识别威胁需要考虑的因素包括:资产的吸引力、资产转化成报酬的容易程度、威胁的技术力量、脆弱性被利用的难易程度、通过过去的安全事件报告或记录统计各种发生过的威胁及其发生频率、在评估体实际环境中通过入侵检测系统获取的威胁发生数据的统计和分析、各种日志中威胁发生的数据的统计和分析、过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。另外,已有控制措施的情况也是影响威胁可能性的
7、重要因素。(3) 脆弱性识别 脆弱性是对一个或多个资产弱点的总称。脆弱性的识别可以以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可以分物理、网络、系统、应用等层次进行识别,然后与资产、威胁合起来。脆弱性的识别对象包括物理环境、服务器、网络结构、数据库、应用系统、技术管理、组织管理等。(4) 已有安全措施的确认 对已经采取的安全措施的效果进行评估。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因发生安全事件对信息系统造成的影响,如业务持续性计划。已有安全措施
8、的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要像脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略,不必要描述具体的端口控制策略、用户控制策略,只需要表明采用的访问控制措施。(5) 风险识别 对风险的可能性和后果进行评估。在做威胁、脆弱性评估时先不考虑已有控制措施,根据通常状况进行威胁和脆弱性赋值,然后在最后的风险评估时再考虑,那么以此推理出来的风险计算公式是:风险值资产值威胁值脆弱性值- 已有控制措施值。 2.2风险评估具体思路与流程目标:评估确定范围内信息系统安全威胁的风险及相应的风险
9、级别。参加部门:管理部门、关键业务部门、IT部门。评估方法:工具评估、人工评估、渗透测试等。 图1安全风险评估流程图预期收益:企业范围内哪些业务系统的信息安全风险最大?什么是信息与网络系统中最关键的数据,采取了哪些安全手段?业务系统安全风险的级别?安全风险可能导致的损失是多少?当前主要的安全威胁是什么?工作流程:1、组建安全风险审计小组:成员包含管理机构、IT机构、各关键业务单位熟悉相关业务的人员。2、准备如下文档:当前组织机构图、列出当前使用的业务软件和办公软件、网络框架图、列出关键网络应用、列出公司的主要产品和服务、公司的商业计划(概要)、公司的IT规划、已有的安全策略和规定、关键应用的访
10、问控制规范和步骤系统管理步骤。3、现场调查:现场调查应包含主要的业务部门和典型应用机构,以下列出主要的调查内容:当前的员工安全行为。包含:是否了解企业的主要安全规范、Internet使用设备的安全使用、介质的标记和存放、出现安全问题时的处理过程。物理措施。关键服务器放置、机房安全(访问控制、记录、UPS、防火措施、值班监控等)。访问控制列表。关键应用的访问控制列表及访问申请步骤。使用的办公软件及方式。应用系统的主要工作流程。应用系统故障的损失。应用系统的主要故障、防范措施、补救措施。网络系统的主要故障、防范措施、补救措施。服务器的主要故障、防范措施、补救措施。4、弱点分析:主要从下列方面进行弱
11、点分析:规范和步骤安全培训。访问控制和访问日志。安全管理和日志。软件和系统错误。网络和系统稳定性。计算机系统的物理防护。备份和冗余措施。应用系统风险分析关键应用系统详细风险分析。主要的安全威胁分析。风险等级划分。安全威胁对关键应用的风险分析。关键应用和设施的安全风险计算。专业独到的客户化分析与总结威胁分析与总结。脆弱性分析与总结。风险分析与总结。分析结果:形成信息与网络系统风险评估报告3.国内外安全标准介绍“没有规矩,不成方圆”这句话在信息系统风险评估领域也是适用的,没有标准指导下的风险评估是没有任何意义的。通过依据某个标准的风险评估或者得到该标准的评估认证,不但可为信息系统提供可靠的安全服务
12、,而且可以树立单位的信息安全形象,提高单位的综合竞争力。从美国国防部1985 年发布著名的可信计算机系统评估准则TCSEC 起世界各国根据自己的研究进展和实际情况,相继发布了一系列有关安全评估的准则和标准,如美国的TCSEC;英、法、德、荷等国20 世纪90 年代初发布的信息技术安全评估准则(ITSEC);加拿大1993年发布的可信计算机产品评价准则(CTCPEC),美国1993 年制定的信息技术安全联邦标准(FC),美国NSA于20世纪90年代中期提出的信息技术安全性评估通用准则CC;由英国标准协会BSI制定的信息安全管理标准BS779(ISO17799)以及最近得到(ISO)认可的SSE-
13、CMM(ISO/IEC21827:2002)等。我国根据具体情况也加快了对信息安全标准化的步伐和力度相继颁布了如计算机信息系统安全保护等级划分准则GB17859 6 信息技术安全性评估准则GB/T18336 以及针对不同技术领域其他的一些安全标准下面简单介绍其中比较典型的几个标准。3.1 CC 标准 信息技术安全评估公共标准(CCITSE common criteria of information technical security evaluation ),简称CC( ISO/IEC15408-1 )是美国、加拿大及欧洲4 国(共6 国7 个组织)经协商同意,于1993 年6 月起草的,
14、是国际标准化组织统一现有多种准则的结果是目前最全面的评估准则。 CC 源于TCSEC,但已经完全改进了TCSEC。CC 的主要思想和框架都取自ITSEC(欧)和FC (美)它由三部分内容组成:1)介绍以及一般模型;2)安全功能需求技术上的要求;3)安全认证需求(非技术要求和对开发过程工程的要求)。 CC 与早期的评估准则相比主要具有4 大特征,1)CC 符合PDR 模型:2)CC 评估准则是面向整个信息产品生存期的;3)CC 评估准则不仅考虑了保密性,而且还考虑了完整性和可用性多方面的安全特性;4)CC 评估准则有与之配套的安全评估方法CEM (common evaluation method
15、ology)。3.2 BS7799(ISO/IEC17799) BS7799 标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括两部分BS7799-1:1999信息安全管理实施细则 ;BS7799-2:2002 信息安全管理体系规范,其中BS7799-1:1999 于2000年12 月30日通过国际标准化组织(ISO)认可,正式成为国际标准,ISO/IEC17799:2000。 BS7799-1:1999 信息安全管理实施细则是组织建立并实施信息安全管理体系的一个指导性的准则,BS7799-2:2002 以BS7799-1:1999 为指南,详
16、细说明按照PDCA 模型建立、实施及文件化信息安全管理体系(ISMS)的要求。3.3 ISO/IEC 21827:2002(SSE-CMM) 信息安全工程能力成熟度模型 (system security engineering capability maturity model)是关于信息安全建设工程实施方面的标准。 SSE-CMM 的目的是建立和完善一套成熟的、可度量的安全工程过程。该模型定义了一个安全工程过程应有的特征这些特征,是完善的安全工程的根本保证。SSE-CMM 模型通常以下述三种方式来应用“过程改善”可以使一个安全工程组织对其安全工程能力的级别;有一个认识,于是可设计出改善的安全
17、工程过程,这样就可以提高他们的安全工程能力;能力评估使一个客户组织可以了解其提供商的安全工程过程能力;“保证”通过声明提供一个成熟过程所应具有的各种依据使得产品、系统、服务更具可信性。3.4 我国国家标准 GB17859我国国家标准 计算机信息系统安全保护等级划分准则GB17859 于1999 年9 月正式批准发布该准则将计算机信息系统安全分为5 级用户自主保护级系统审核保护级安全标记保护级结构化保护级和访问验证保护级4 风险评估方法 标准在信息系统风险评估过程中的指导作用不容忽视,而在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。评估方法的选择直接影响到评估过程中的每个环节甚至
18、可以左右最终的评估结果,所以需要根据系统的具体情况,选择合适的风险评估方法风险评估的方法有很多种,概括起来可分为三大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。(1) 基于知识的评估方法 这类方法主要是依靠经验进行的。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。它涉及到对来自类似组织(包括规模、目标等)的“最佳惯例”的重用。通过采集相关信息,识别组织的风险所在和当前的安全措施(包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等),与特定的标准和惯例进行比较,找出不适合的地方,并按照标准或最佳惯例的推荐,选择安全措
19、施,最终达到消减和控制风险的目的。这类方法多集中在管理方面,对技术层面涉及较少,组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。(2) 基于技术的评估方法 技术评估是指对组织的技术基础结构和程序进行系统、及时的检查,对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性估计。通常包括:评估整个计算基础结构;使用软件工具分析基础结构及其全部组件;提供详细的分析报告,说明检测到的技术弱点,并且可能为解决这些弱点建议具体的措施。技术评估强调组织的技术脆弱性。这类方法在技术上分析得比较多,技术弱点把握精确,但在管理上较弱,管理评估存在不足。(3) 定量分析方法 这类方法
20、有模糊综合评价法、层次分析法等。层次分析法是一种整理和综合主观判断的客观方法,适用于多目标、多准则的复杂评价问题。它将目标层次分类展开,将目标按逻辑分类向下展开为若干目标,再把各个目标分别向下展开成分目标或准则,依此类推,直到可定量或可进行定性分析(指标层)为止,然后在比原问题简单得多的层次上逐步分析。可以将人的主观判断用数量形式处理,同时处理定量和不定量因素。也可以提示人们对问题的主观判断是否存在一致性。定量评估方法的结果直观,容易理解,它要求特别关注资产的价值和威胁的量化数据,但是资产价值的确定、发生概率的确定、最终数值的界定是比较困难的。(4) 定性分析方法 这类方法一般关注威胁事件所带
21、来的损失,而忽略事件发生的概率。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据,往往带有很强的主观性,需要凭借分析者的经验和直觉进行定性分级。如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值,并不能明显区别风险值之间的差别。这种方法操作起来相对容易,但也可能因为操作者的经验和直觉的偏差而使分析结果失准。信息安全是一个整体性概念,包括很多方面,除了依赖所采用的信息安全技术,还更多的依赖信息安全管理体制。风险评估是一个复杂的系统工程,其中既有硬件,也有软件;既有外部因素也有内部因素,而且许多方面是相互制约
22、的。另外,不仅构成风险的因素繁多,因素间关系错综复杂,因此,综合利用各种方法的优势,相互补充是指标采集的有效思路。5.风险评估工具 风险评估与管理工具根据信息所面临的威胁的不同分布进行全面考虑,主要从安全管理方面入手,评估信息资产所面临的威胁。风险评估与管理工具主要分为3类:1基于信息安全标准的风险评估2基于知识的风险评估3基于模型的风险评估5.1辅助性的工具和方法可以利用一些辅助性的工具和方法来采集数据,包括: 调查问卷 风险评估者通过问卷形式对组织信息安全的各个方面进行调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析。从问卷调查中,评估者能够了解到组织的关键业务、关键资产、
23、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。 检查列表 检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距。 人员访谈 风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息。 漏洞扫描器 漏洞扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。 渗透测试 这是一种模拟黑客行为的漏洞探测活动
24、,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。 5.2自动化风险评估工具 除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施。常见的自动化风险评估工具如下: COBRA COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A 系统安全公司推出的一套风险分析工具软件,它通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的
25、水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。 CRAMM CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局(Central Computer and Telecommunications Agency,CCTA)于1985 年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用
26、于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致,它提供的可供选择的安全控制多达3000 个。除了风险评估,CRAMM 还可以对符合ITIL(IT Infrastructure Library)指南的业务连续性管理提供支持。 ASSET ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会(National Institute of S
27、tandard and Technology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具,它采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26,即信息技术系统安全自我评估指南(Security Self-AssessmentGuide for Information Technology Systems),为组织进行IT 系统风险评估提供了众多控制目标和建议技术。 CORA CORA(Cost-of-Risk Analysis)是由国际安全技术公司(Intern
28、ationalSecurity Technology, Inc. www.ist-)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。6.总结 风险评估行业发展到现在,已经到了一个较为成熟的阶段,但是社会的不断变化,技术的不断进步,特别是信息行业的蓬勃发展,注定信息行业会面临更加艰巨的挑战,作为一位初出茅庐的毕业生,在往后不断学习的过程中,也要不断适应各种变化同时,也要有系统的专业的知识做后盾,以下是我的一些看法,风险的定义就是不确定性对目标的影响,而风险评估作为信息安全系统工程的重要过程和方法,已经不能
29、局限于传统的信息安全技术角度,而应该将技术风险的识别与业务风险的评估统一起来,这样能解决不同层次的人员对信息系统安全风险评估的要求,有助于风险分析从技术风险上升到业务风险,有助于分工和内部的合作,这样能很快的提高评估工作的效率。第二,没有规矩,不成方圆”,没有标准指导下的风险评估是没有任何意义的。从最初开始接触风险评估理论到现在,短短的一个星期的时间,对我最大的感触是信息安全评估真的涉及到很多方面知识,安全标准也是十分庞杂,各种评估标准的侧重点也不一样,比如信息技术安全 性评估准则(CC) 和美国国防部可信计算机评估准则(TCSEC) 等更侧重于对系统和产品的技术指标的评估,系统安全工程能力成
30、熟模型(SSE-CMM) 更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。而ISO/IEC 17799 (信息安全管理体系认证)对信息系统日常安全管理方面具有无法取代的地位。国内情况比较简单,由于安全风险评估研究起步的比较晚,国内整体处于起步和发展阶段,在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。这也对每一个评估师学习能力的考验。 第三,信息安全风险评估的实质是对资产、威胁、弱点和风险的识别和判断,无论采取何种方法,无论给出的是定性的还是定量的判断,信息安全风险评估考验的是评估师的学识、经验和从业经历,而且三者同等重要。在风险评估的工作中,除了通过阅读标准研究风险评估
31、理论很重要外,还应该注重从实际使用中总结经验,然后用这些经验去评估更多的信息系统,所以一个合格风险评估师不仅仅具备良好的求知欲与洞察能力,还应该能够运用风险评估技术和自身总结的成功经验,进行对风险的准确识别、分析、评价,只有这样才能够帮助企业进行合理的评估工作。 本科学习阶段学习网络信息安全,自己比较了解的就是漏洞检测,和代码审计。大多数网络入侵者常常都是从收集、发现和利用信息系统的漏洞来发起对系统的攻击的系统,所以网络攻击过程能否成功的关键在于评估并利用敌方网络安全漏洞的能力。网络安全漏洞是造成计算机网络系统安全脆弱性的最根本原因,对于网络信息安全评估,网络安全漏洞检测必将也是评估的重要手段。须清楚地认识到,应该不停的研究各种攻击手段和类型,结合网络安全性的检
