信息安全风险评估

信息安全风险评估风险评估流程介绍风险评估特点介绍风险评估与等级保护的结合绿盟科技服务产品部孙铁2008年3月2ProfessionalSecuritySolutionProvider员工和客户访问资源可用性客户和业务信息的保护机密性客户和业务信息的可信赖性完整性信息安全的涵义•Confidentiality：阻止未经授权的用户读取数据•Integrity：阻止未经授权的用户修改或删除数据•Availability：保证授权实体在需要时可以正常地使用系统3ProfessionalSecuritySolutionProviderConfidentiality保密性Availability可用性Integrity完整性在某些组织中，完整性和/或可用性比保密性更重要信息安全的概念4ProfessionalSecuritySolutionProviderIntegrityAvailabilityConfidentialityCorrectnessCompletenessValidityAuthenticityNon-repudiationContinuityPunctualityExclusivityManipulationDestructionFalsificationRepudiationDivulgationInterruptionDelaySECURITY=QUALITY5ProfessionalSecuritySolutionProvider四种信息安全工作模式事件导向•没有统一的安全管理部门•没有安全预算•非正规的安全组织和流程•实施了基本的安全工具流程导向•信息安全由IT部门管理•有科学的安全预算•有正式的安全组织和流程•实施了基本的安全工具风险导向•信息安全由CIO直接负责•有与风险平衡的安全预算•基于风险而整合的基础设施•使用主动性安全技术•信息安全由IT部门管理•有科学的安全预算•分布式管理和非正规流程•有较强的安全技术资源技术导向技术要求高流程要求高6ProfessionalSecuritySolutionProvider风险避免，风险降低，风险转移，风险接受安全性风险性安全需求高高低安全风险支出平衡点安全的风险管理7ProfessionalSecuritySolutionProvider风险评估的发展现状8ProfessionalSecuritySolutionProvider信息安全风险评估在美国的发展第一个阶段（60-70年代）以计算机为对象的信息保密阶段1967年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。特点：仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二个阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面的风险评估。第三个阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路9ProfessionalSecuritySolutionProvider我国风险评估发展•2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题•2003年8月至今年在国信办直接指导下，组成了风险评估课题组•2004年,国家信息中心《风险评估指南》,《风险管理指南》•2005年,全国风险评估试点•在试点和调研基础上，由国信办会同公安部，安全部，等起草了《关于开展信息安全风险评估工作的意见》征求意见稿•2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作10ProfessionalSecuritySolutionProvider•银行业金融机构信息系统风险管理指引•银行业金融机构内部审计指引•2006年度信息科技风险内部和外部评价审计的通知提纲11ProfessionalSecuritySolutionProvider风险评估要素关系模型安全措施业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露增加导出演变未控制可能诱发残留成本资产资产价值12ProfessionalSecuritySolutionProvider风险评估流程•确定评估范围•资产的识别和影响分析•威胁识别•脆弱性评估•威胁分析•风险分析•风险管理13ProfessionalSecuritySolutionProvider风险评估原则•符合性原则•标准性原则•规范性原则•可控性原则•保密性原则•整体性原则•重点突出原则•最小影响原则14ProfessionalSecuritySolutionProvider评估依据的标准和规范•信息安全管理标准ISO17799（GB/T19716）、ISO27001•信息安全管理指南ISO13335（GB/T19715)•信息安全通用准则ISO15408（GB/T18336）•系统安全工程能力成熟模型SSE-CMM•国家信息中心《风险评估指南》•国家信息中心《风险管理指南》•计算机信息系统安全等级保护划分准则（GB/T17859）•计算机信息系统等级保护相关规范•其他相关标准（AS/NZS4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSIPD3000，GB/T17859，IATF）•相关法规及行业政策15ProfessionalSecuritySolutionProvider资产的识别与影响分析•业务应用系统调研•业务影响分析•资产属性：可用性、完整性、保密性•影响分析：经济损失、业务影响、系统破坏、信誉影响、商机泄露、法律责任、人身安全、公共秩序、商业利益•估价公式：AssetValue=Round1{Log2[(2Conf+2Int+2Avail)/3]}•划分边界区分子系统•辅助定级•信息资产识别物理资产软件资产硬件资产其他资产16ProfessionalSecuritySolutionProvider业务调研方法业务流程1业务目标业务流程2……IT过程1IT过程2……安全管控目标1安全管控目标2……IT管控措施1……17ProfessionalSecuritySolutionProvider威胁评估•威胁识别–系统合法用户操作错误，滥用授权，行为抵赖–系统非法用户身份假冒，密码分析，漏洞利用，拒绝服务，恶意代码，窃听数据，物理破坏，社会工程–系统组件意外故障，通信中断–物理环境电源中断，灾难•威胁属性：威胁的可能性18ProfessionalSecuritySolutionProviderTelnetSMTPDNSFTPUDPTCPIP以太网无线网络SATNETARPNET应用程序攻击监听，拒绝服务系统漏洞利用硬件设备破坏电磁监听物理窃取Windows*nix*BSDLinux应用层系统层网络层物理层管理层信息系统每个层次都存在威胁19ProfessionalSecuritySolutionProvider脆弱性评估•技术脆弱性评估•管理脆弱性评估•现有安全措施评估•脆弱性的属性：脆弱性被威胁利用成功的可能性存在的攻击方法技术脆弱程度管理脆弱程度20ProfessionalSecuritySolutionProvider脆弱性数据来源•技术方面–工具扫描–功能验证–人工检查–渗透测试–日志分析–网络架构分析•管理方面–文档审核–问卷调查–顾问访谈–安全策略分析21ProfessionalSecuritySolutionProvider威胁及脆弱性评估工具•网络入侵检测系统•远程评估系统•安全检测包（LSAS）•Microsoft安全基准分析器•风险评估分析工具•风险信息库工具22ProfessionalSecuritySolutionProvider工具扫描•信息探测类•网络设备与防火墙•RPC服务•Web服务•CGI问题•文件服务•域名服务•Mail服务•SQL注入检查•Windows远程访问•数据库问题•后门程序•其他服务•网络拒绝服务(DOS)•其他问题23ProfessionalSecuritySolutionProvider工具扫描24ProfessionalSecuritySolutionProvider人工检查•路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；•主机系统的安全配置策略是否最优，是否进行了安全增强；•终端设备的安全配置策略是否最优，是否进行了安全增强;•对终端设备和主机系统抽查进行病毒扫描；•对防火墙、入侵检测、SUS、SMS等安全产品安全策略及其日志进行分析。25ProfessionalSecuritySolutionProviderIDS采样分析26ProfessionalSecuritySolutionProvider渗透测试•完全模拟黑客可能使用的攻击技术和漏洞发现技术，对重点目标系统的安全作深入的探测，发现系统最脆弱的环节。•渗透测试的目的不是发现系统所有的问题，而是从一个侧面反映系统现有的安全状况和安全强度，从而以一种直观的方式增强单位的信息安全认知度，提高单位对信息安全的重视程度。•根据用户方需求决定是否采用。27ProfessionalSecuritySolutionProvider•调查对象–网络系统管理员、安全管理员、技术负责人等•调查内容–业务、资产、威胁、脆弱性（管理方面）•设计原则–完整性–具体性–简洁性–一致性问卷调查28ProfessionalSecuritySolutionProvider•访谈对象–安全管理员、技术负责人、网络系统管理员等•访谈内容–确认问卷调查结果–详细获取管理执行现状–听取用户想法和意见顾问访谈29ProfessionalSecuritySolutionProvider安全策略分析•安全策略文档是否全面覆盖了整体网络在各方各面的安全性描述，与BS7799进行差距分析；•在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；•安全策略中的每一项内容是否都得到确认和具体落实。30ProfessionalSecuritySolutionProvider系统架构分析•系统建设的规范性：网络安全规划、设备命名规范性、网络架构安全性；•网络的可靠性：网络设备和链路冗余、设备选型及可扩展性；•网络边界安全：网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN（二层ACL）等；•网络协议分析：路由、交换、组播、IGMP、CGMP、IPv4、IPv6等协议；•网络流量分析：带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力；•网络通信安全：通信监控、通信加密、VPN分析等；•设备自身安全：SNMP、口令、设备版本、系统漏洞、服务、端口等；•网络管理：网管系统、客户端远程登陆协议、日志审计、设备身份验证等。31ProfessionalSecuritySolutionProvider风险分析•风险计算：R＝F（A，T，V）•威胁路径•风险综合分析：对所有风险进行识别、统计、分析，确定极度风险，为下一步安全措施的选择提供依据。•极度风险SWOT分析。32ProfessionalSecuritySolutionProvider优势－弱势－机会－威胁矩阵（SWOT)优势－S优势项目弱势－W弱势项目12…n12…n12…n12…n机会－O威胁－TSOWOSTWT利用机会发挥优势利用机会克服弱势利用优势降低威胁减少弱势回避威胁在内部、外部关键要素确定的基础上，根据判断结果将内部优势与劣势、外部机会与威胁分别列出，有内因到外因两种状态相匹配，形成了SO、WO、ST、WT四种不同组合12…n12…n12…n12…n33ProfessionalSecuritySolutionProvider风险管理•风险分类处理建议–E