风险评估及其在电力系统中的应用

信息安全风险评估技术及其在电力信息系统中的应用提纲主要安全威胁信息安全评估标准安全评估中的几个概念电力信息系统的安全评估第一章电力信息系统的主要安全威胁电力信息系统的主要安全威胁安全风险来源分析自然灾害袭击人为蓄意破坏电子化系统故障职员无意识行为水灾火灾地震雷击硬件故障软件故障网络故障电力系统故障编程错误误操作无意损坏无意泄密被动型攻击篡改数据假冒主动型攻击病毒破坏软件及数据非法访问否认拒绝服务侦听信息分析非法调用重放攻击安全风险来源分析自然灾害袭击人为蓄意破坏电子化系统故障职员无意识行为水灾火灾地震雷击硬件故障软件故障网络故障电力系统故障编程错误误操作无意损坏无意泄密被动型攻击篡改数据篡改数据假冒假冒主动型攻击病毒病毒破坏软件及数据破坏软件及数据非法访问非法访问否认否认拒绝服务拒绝服务侦听侦听信息分析信息分析非法调用非法调用重放攻击重放攻击网络的安全风险TCP/IP协议的脆弱性网络设备漏洞和“后门”网络拓扑结构的不合理性网络管理策略失误操作系统的安全漏洞Windows系统的空会话漏洞、RPC漏洞、缺省帐号安全问题、IIS漏洞等。UNIX系统的FINGER、SENDMAIL、SNMP等都存在漏洞。操作系统的高风险漏洞统计中间件的高风险漏洞统计常见的安全漏洞缓冲区溢出SQLInjection拒绝服务缓冲区溢出缓冲区溢出•基本思想：通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)•危害性–在UNIX平台上，通过发掘BufferOverflow,可以获得一个交互式的shell–在Windows平台上，可以上载并执行任何的代码–溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单SQLInjectionSQLInjection的概念•来自于用户的输入web应用程序没有对其进行检查，导致对数据库进行操作的语句直接按照攻击者的意愿执行•web程序的编程语言的无关性、多于数据库自身的特性有关•大量的可以利用的数据库拒绝服务远程拒绝服务•定义–攻击者利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的•典型漏洞–早期的Linux和BSD的tcp/ip堆栈的ip片断重组模块存在缺陷，攻击通过向系统发出特殊的ip片断包可以使机器崩溃–Windows2000带的Netmeeting3.01存在缺陷，通过向它发送二进制数据流，可以使服务器的CPU占用达到100%拒绝服务（续）本地拒绝服务•定义–在攻击者登录到系统后，利用这类漏洞，可以使系统本身或应用程序崩溃。这种漏洞主要因为是程序对意外情况的处理失误，如写临时文件之前不检查文件是否存在，盲目跟随链接等•典型漏洞–BSDi3.x存在漏洞可以使一个本地用户用一些垃圾覆盖系统上的任何，这样会很容易地把系统搞成不可用–RedHat6.1的tmpwatch程序存在缺陷，可以使系统fork()出许多进程，从而使系统失去响应能力安全需求如何检测系统和网络的漏洞？——安全风险评估第二章信息安全评估标准传统评估标准TCSEC美国国防部在1985年公布-可信计算机安全评估准则-TrustedComputerSecurityEvaluationCriteria(TCSEC)（橘皮书）-把计算机系统的安全分为4类、7个级别为安全产品的测评提供准则和方法指导信息安全产品的制造和应用传统评估标准的演变•美国–DoD85TESEC（橘皮书）–TCSEC网络解释（TNI1987）（彩虹系列)–TCSEC数据库管理系统解释（TDI1991）(彩虹系列)•欧洲–信息技术安全评估标准(ITSEC,欧洲百皮书)–由法、英、荷、德欧洲四国90年代初联合发布–提出了信息安全的机密性、完整性、可用性的安全属性•美国、加拿大、欧洲等共同发起CommonCriteria(CC)–1999年被采纳为国际标准ISO15408–包含简介和一般模型、安全功能要求、安全保证要求3部分–我国的GB／T18336-2001等同采用国际标准ISO15408BS7799BS7799/ISO17799–信息安全管理纲要、指南PartI:Codeofpracticeforinformationsecuritymanagement–信息安全管理认证体系PartII:SpecificationforinformationsecuritymanagementBS7799/ISO17799•安全策略•安全组织•资产分类及控制•人员安全•物理和环境安全•通信和运作管理•系统访问控制•系统开发与维护•业务连续性规划•符合性信息安全管理纲要Codeofpracticeforinformationsecuritymanagement27000–名称:IS27000–Informationsecuritymanagementsystemfundamentalsandvocabulary(NP)–来源:整合改写13335–内容:阐述ISMS的基本原理和词汇第三章安全评估中的几个概念资产资产是企业、机构直接赋予了价值因而需要保护的东西。资产可能是以多种形式存在，有无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同资产评估•资产的价值取决于：•保密性——信息的机密性•完整性——信息的完整性、一致性•可用性——行为完整性、服务连续性•资产的价值随时间改变•资产的价值随资产相关性变化脆弱性资产或资产中能被威胁利用的弱点。脆弱性评估—脆弱性的多样性脆弱性（弱点）和资产紧密相连，它可能被威胁利用、引起资产损失或破坏。•系统自身导致的脆弱性–原理性–BUG–有意（恶意）•管理不当导致的脆弱性•环境安全的脆弱性脆弱性产生的原因1•原理性–TCP/IP协议本身(比如:TFTP,SNMP等)–操作系统的动态链接技术–操作系统打补丁(Patch)脆弱性产生的原因2•BUG–从计算机科学的角度看不可避免–很多BUG能够导致安全问题–很多实际系统的边界情况没有得到处理脆弱性产生的原因3•有意制造的–开发者留下的后门:•为了方便系统的开发和调试•忘记关闭–犯罪分子恶意留下的后门•有真实的案例（平帐模块后门）脆弱性产生的原因4•管理不当–系统太庞大–技术太复杂–安全意识薄弱–人员管理结构本身可能存在问题–不可避免–需要工具脆弱性产生的原因5•环境安全不可忽视–破门而入–火灾–水灾、地震等•非技术威胁需要非技术手段协助解决脆弱性获取的手段•安全策略文档分析•安全审计•工具扫描(网络、系统、数据库)•白客渗透测试•顾问访谈•人工分析•历史数据分析威胁威胁是可能对资产或单位造成损害的事故的潜在原因。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。威胁的主要来源威胁来源分类：•非授权故意行为•内部人员（占绝大部分）•外部个人和小组（所谓黑客）•软件、设备、线路故障•竞争对手和恐怖组织•敌对国家和军事组织•自然不可抗力威胁获取手段•IDS取样•白客渗透测试•顾问访谈•人工分析•安全策略文档分析•安全审计•历史事件分析威胁举例•电力供应失败•软件故障•操作错误•偷窃•非授权访问•恶意软件•线路故障•硬件故障•故意破坏•自然灾害•流量过载•窃听•流量分析•资源误用•系统渗透•。。。。。。风险风险是人为或自然的威胁利用资产存在的漏洞引发的安全事件，由于受损资产的重要性而对机构造成的影响。它由安全事件发生的可能性及影响的程度这两个指标来衡量。风险威胁脆弱性风险三角形资产安全控制安全控制（SecurityControl）：降低安全风险的惯例、程序或机制。包括管理、操作、技术方面的措施残余风险•采取了安全控制措施，提高了防护能力后，仍然可能存在的风险。•残留风险应该在可以接受的范围内；残余风险＝原有风险－安全控制措施残余风险可接受风险风险接受模型风险处置措施避免——隔离降低——减小可能性,降低影响接受——承担一些残余风险转移——商业保险或责任外包威慑——追究责任风险处置措施（续）资产威胁脆弱性无安全措施的风险风险资产脆弱性威胁采取安全措施后的残余风险第四章电力信息系统的安全评估安全评估的内涵安全评估是对企业的现有的网络（网络架构、核心路由器、交换机等）、关键服务器（数据库服务器、邮件服务器、应用服务器等）、业务流程、安全策略的安全漏洞、安全威胁及潜在影响进行分析，以提出合理的安全建议（包括降低风险的技术措施和管理措施）以保证企业资产的机密性，完整性和可用性等基本属性。电力系统的安全评估原则•标准性原则•实用性原则•安全性原则•保密原则生命周期中的安全评估•信息安全生命周期评估、设计方案、选择实施、培训、监测、响应评估是安全保障体系的首要和必要组成部分•信息系统开发生命周期（SDLC）规划/启动、设计/开发/采购、实施、运行/维护、废弃评估是SDLC各个阶段的安全保障手段安全评估的目的和法律法规企业自身的要求了解和评价单位的信息安全现状提出信息系统的安全需求选择最佳的风险控制措施建立合适的信息安全管理体系制订有效的安全策略法律规范的要求国家信息化领导小组关于加强信息安全保障工作的意见-中办发[2003]27号国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见(国信办[2006]5号文)实施流程:统一组织的评估按《实施指南》中的流程开展。评估实施方案确定范围启动动员前期调研工作计划启动准备资产识别资产赋值威胁识别威胁赋值网络脆弱性评估应用脆弱性评估安全管理与运维评估风险要素评估资产识别、赋值表威胁识别、赋值表脆弱性识别、赋值表风险列表整理数据风险计算风险排序风险分析报告风险控制方式选择安全建议风险计算与分析安全建议脆弱性评估主机及系统选择关键资产风险等级划分风险决策与安全建议启动准备阶段开启动会用户准备的材料实验室准备的材料启动准备阶段开启动会确定评估范围制定工作计划人员确定等启动准备阶段用户准备的材料信息资产资料网络资料业务系统资料信息安全管理资料信息资产资料按业务系统功能划分，填如信息资产登记表现有安全措施汇总，填写信息资产登记表现有安全防护方案、防护设备的情况说明，包括：方案提供商、设备部署情况等内容系统资产登记表资产名称所属系统关键业务数据IP地址资产用途操作系统管理员应用平台位置资产编号邮件服务器邮件系统邮件数据邮件审计数据可疑邮件备份IP1邮件服务Windows2000server张三Exange/Sql2000、IIS2楼机房xx-xx-xx-xxCisco3550交换机OA系统管理端口：IP2网络设备张三2楼机房xx-xx-xx-xx数据库服务器A营销系统营销帐单客户数据计量数据IP3数据存储Solaris8李四orcale9i5楼机房xx-xx-xx-xx防火墙1IP4李四xx-xx-xx-xx网络资料提供所辖范围内的广域网拓扑结构图;提供本单位局域网拓扑结构图;广域网拓扑结构图请标明主要单位的接入位置、主要路由器的型号;VPN（若有）的情况（拓扑图中标注出即可）；互联网接口情况，如带宽、ISP；局域网拓扑结构图请标明网络中的主要服务器、网络设备和链路情况;主要网络设备信息汇总后填写网络设备登记表。VLAN主要划分依据要文字说明，如：按楼层划分、业务部分划分；VLAN划分情况汇总后填写VLAN划分表；网管系统情况（网管系统的数量、分别管理哪些网络设备等）；网管情况汇总后，请填写网管系统登记表。业务系统资料业务系统基本信息说明，包括开发平台、厂商、基本架构、使用范围等;多个业务需要评估时，填写业务系统登记表;对业务系统在企业运营、管理中的作用进行说明；对业务系统在逻辑结构进行图示说明；对业务流程进行说明，提