3-1民航网络信息安全风险评估

Page1民航网络信息安全风险评估杨宏宇中国民航大学计算机科学与技术学院Page2提纲•热点问题•评估范围•评估依据•风险评估准备•威胁分析•脆弱性分析•现有控制措施有效性分析•风险分析•风险处置Page3热点问题Page4•威胁分析•网络和信息系统的脆弱性分析•网络与信息系统的安全性综合评估•民航电子商务中的安全保障应对措施Page5评估范围•提供服务保障的基础信息网络和重要信息系统，包括公用电信网、广播电视传输网以及铁路运输系统、民航离港系统、交通指挥系统、电力生产系统、海关电子口岸系统、网络银行系统等；•政府网站、新闻宣传媒体网站、门户网站等涉及新闻报道的网站；•其他信息系统、网络和网站。Page6评估依据•《信息安全等级保护管理办法》（公通字[2007]43号）•《信息安全技术信息安全风险评估规范》（GB/T20984-2007）Page7评估目的一、识别与分析•民航基础信息网络和重要信息系统•所依赖的网络与信息系统存在的安全弱点•已采取的安全措施的有效性二、确定评估对象潜在的安全风险等级三、提出风险管理的处置建议Page8风险评估流程1.风险评估准备6.选择风险处置方式并实施风险处置保持现有控制措施5.确定风险等级3.确定风险概率2.保护对象分析3.1威胁分析3.2脆弱性分析3.3现有控制措施有效性分析4.确定风险后果风险是否接受7.审核批准是否Page9风险评估准备•成立专门的风险评估小组•划定风险评估的范围•确定风险评估目标和方法•制定详细的风险评估实施方案Page10风险评估准备保护对象分析包括信息系统、网络、网站及其承载的信息内容对保护对象的功能、业务特性等做深入的识别分析，并依据等级保护相关标准，确定保护对象的重要性级别。主要应考虑两个方面：•一是保护对象中所存储、处理、传输的主要信息•二是保护对象所提供的主要服务Page11风险评估准备保护对象重要性级别依不同程度分为5级保护对象重要性描述很低保护对象对于业务重要性很低，遭受破坏后造成的损失很低，甚至可以忽略不计。低保护对象对于业务重要性较低，遭受破坏后会造成较低的损失。中等保护对象对于业务比较重要，遭受破坏后会造成中等程度的损失。高保护对象对于业务重要性较高，遭受破坏后会造成比较严重的损失。很高保护对象对于业务重要性非常重要，遭受破坏后会造成非常严重的损失。Page12威胁分析•根据以往的数据资料积累•根据基础调研获取的信息情况•根据有针对性的情报搜集工作获取的最新情报信息威胁分析的依据:Page13威胁识别•对所有可能的威胁进行分析•从不同层面逐一排查和筛选可能对保护对象造成损害的威胁源，排除非真实的威胁源•对确定的威胁源进行梳理分类Page14威胁识别来源描述威胁子类故意人为因素组织实施违法犯罪活动、发布违法信息、实施网络攻击、植入恶意代码、窃泄密、篡改数据信息、实施物理破坏非故意人为因素未操作或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理措施未落实或不到位，影响信息系统正常运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全、渎职失职等环境因素及故障物理环境影响对系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等………威胁来源列表Page15确定威胁等级威胁意图和威胁能力Page16脆弱性分析•脆弱性是保护对象本身存在的，威胁总是利用保护对象的脆弱性才可能造成危害•只有找出每一个保护对象可能被威胁源利用的脆弱性并进行分析，才有可能准确的确定保护对象面临的风险Page17脆弱性分析－脆弱性识别从技术和管理两个方面进行脆弱性识别•技术脆弱性:物理层、网络层、系统层、应用层等各个层面的安全问题•管理脆弱性:技术管理脆弱性、管理组织脆弱性、信息内容管理脆弱性Page18脆弱性分析－脆弱性识别脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试、专家分析和专项调研等Page19脆弱性分析－脆弱性识别类型识别对象识别内容技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据的完整性、可用性和保密性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据的完整性、可用性和保密性、通信、鉴别机制、密码保护等方面进行识别脆弱性识别内容表Page20脆弱性分析－脆弱性识别类型识别对象识别内容管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、应用服务等方面进行识别组织管理从安全策略、组织结构、规章制度、人员管理等方面进行识别信息内容管理从待发布信息的审核机制、已发布信息的巡查处置等方面进行识别脆弱性识别内容表（续）Page21脆弱性分析－确定脆弱等级•脆弱性的严重程度•脆弱性对于威胁的吸引程度脆弱性严重程度越突出，受保护对象威胁吸引力就越大，受到攻击和破坏的可能性就越大Page22脆弱性分析－确定脆弱等级脆弱性等级描述很低保护对象弱点很不明显，对威胁吸引力很小低保护对象弱点不明显，对威胁吸引力小中等保护对象弱点比较明显，对威胁吸引力较小高保护对象弱点明显，对威胁吸引力大很高保护对象弱点非常明显，对威胁吸引力非常大脆弱性等级划分Page23现有控制措施有效性分析依据国家现行法律法规和有关政策规定及等级保护相关标准，识别现有控制措施，分析其措施的有效性，从而确定威胁源利用弱点的实际可能性Page24现有控制措施有效性分析－现有控制措施识别对现有控制措施识别方法：•系统调研、相关文档复查、人员面谈、现场勘查、清单检查、建立数据库、经验总结•梳理并列出清单Page25现有控制措施有效性分析－现有控制措施识别控制措施可分为以下几类：•威慑性措施用于降低威胁源对信息网络实施蓄意攻击的可能性，可在一定程度上起到威慑作用，如法律宣传、网络反恐演习等•预警性措施用于保护信息网络，使干扰破坏活动难以实现，或者降低干扰破坏或威胁因素造成的影响，如果强情报搜集、网络和系统监控等•检验性措施用于及时发现干扰破坏活动或威胁因素，以使损害程度降到最低，如系统入侵检测、网络实战演练等•处置性措施对已发生的风险后果采取措施，对已实施的控制措施进行完善，可以使因干扰破坏活动或威胁因素造成的影响或损害减小到最小程度，如应急响应、容灾备份等Page26现有控制措施有效性分析－确定现有控制措施有效性等级控制措施的有效性等级描述很低现有控制措施无效低现有控制措施几乎无效中等现有控制措施有一定效果高现有控制措施有效很高现有控制措施非常有效Page27风险分析依据保护对象重要性等级、威胁等级、脆弱性等级、现有控制措施有效性等级，综合确定风险率和风险后果，并最终确定风险等级Page28风险分析风险分析原理威胁分析威胁等级保护对象分析现有控制措施分析脆弱性分析现有控制措施有效性等级风险等级风险后果脆弱性等级重要性等级风险概率Page29风险分析三个关键计算环节：确定风险率•根据威胁等级、脆弱性等级及现有控制措施有效性等级，计算风险发生的可能性，即风险概率确定风险后果•根据被保护对象的重要性程度，计算风险事件一旦发生后造成的损失，即风险后果确定风险等级•根据计算出的风险概率以及风险后果，确定风险等级Page30风险分析－确定风险概率风险概率＝威胁等级×脆弱性等级／现有控制措施有效性等级•威胁等级越高风险发生概率越大，威胁等级越低则风险发生概率越小•保护目标脆弱性等级越低，则遭受攻击的可能性越小，脆弱性越高，则遭受攻击的可能性越大•控制措施的效果越小，则保护目标遭受攻击的可能性就会越大，•现有控制措施越是有效，则保护目标遭受攻击的可能性就会越小Page31风险分析－确定风险概率依风险发生概率大小将其划分为5个等级：必然发生→非常可能→有可能→不大可能→基本不可能Page32风险分析－确定风险概率风险概率分析过程（中间结果）表Page33风险分析－确定风险概率风险概率矩阵表（风险概率最终结果表）Page34风险分析－确定风险概率风险概率描述表等级描述必然发生肯定会发生非常可能在大多数情况下很有可能发生有可能有某些时候会发生不太可能只有在例外情况下可能会发生基本不可能基本不会发生Page35风险分析－确定风险后果评估风险后果是风险评估过程中最重要的环节之一依据保护对象的重要性等级，判断一旦针对保护对象发生风险事件所造成的风险后果。根据严重程度将风险后果划分成5个等级：灾难性→高→中→低→很低Page36风险分析－确定风险后果风险后果等级划分等级描述灾难性有关设施、财务受到严重损害，业务和重大活动受到严重干扰，给国家形象、外交关系、社会舆论和民众心理造成严重负面影响等。高有关设施、财务受到较大损害，业务和重大活动受到较大干扰，给国家形象、社会舆论和民众心理造成较大负面影响等。中有关设施、财物受到一定损失，业务和重大活动受到一定干扰，给国家形象、社会舆论和民众心理造成负面影响等。低有关设施、财物受到较小损害，业务和重大活动受到较小干扰，给国家形象、社会舆论和民众心理造成较小负面影响等。很低有关设施、财物几乎没有受到损害，业务和重大活动基本没有受到干扰，基本没有给国家形象、社会舆论和民众心理造成影响等。Page37风险分析－确定风险等级评估风险等级有两个关键因素：•风险造成的后果及影响•风险发生的可能性前者通过识别与分析保护对象得到确定后者可根据威胁分析，脆弱性分析、现有控制措施有效性分析进行确认风险等级计算方式：风险等级=风险概率*风险后果Page38风险分析－确定风险等级根据风险大小程度将风险等级划分为4个等级：极高→高→中等→低Page39风险处置根据风险等级、保护对象的重要性等级、威胁源及威胁程度、脆弱性等级、现有控制措施有效性、可能产生的风险后果依据等级保护相关标准，统筹兼顾，综合考虑，提出处理建议目的是减低或控制风险等级，使风险达到一个可以接受的水平Page40风险处置－处置建议原则•可行性原则应在国家政策和执行单位的资源及条件允许范围之内•有效性原则能有效弥补安全漏洞，改进不足，防止威胁，减低或避免不利后果，从而降低或规避风险•针对性原则针对不同风险等级，针对不同风险源，提出相应处置建议•成本效益原则应该在一定资源条件下，寻求最适宜措施，获取最大安保效应，将风险降到最低Page41风险处置－实施风险处置依据可能接受风险等级，判断现存风险是否可接受•如果判断结果是可接受，则选择接受风险，保持现有控制措施•否则继续风险处置过程，对于不可接受的风险提出实施风险处置的意见Page42风险处置－实施风险处置确定风险处置目标•根据现存风险判断的结果，将不可能接受的风险作为实施风险处置的目标Page43风险处置－实施风险处置选择风险处置方式•接受风险由于现有的风险较低，有可接受的风险水平范围之内，风险管理单位维持工作措施现状，不采取进一步的行动，不追加投入，或仅采取少量措施，巩固现有的措施•降低风险指针对风险，完善并加强工作措施，实施有效的控制，减少威胁，减少弱点，减低可能的不利影响，把风险减低到一个可以接受的等级Page44风险处置－实施风险处置选择风险处置方式•规避风险采取针对性措施，通过消除风险的原因和后果，把风险降低到最低限度。可以选择放弃某些可能招致风险的活动，或者将被保护对象适当与外界隔离，使其免遭来自外部的威胁攻击•转嫁风险也称风险转移，即通过使用其他措施，将风险全部或部分转移到其他责任方的风险处理方式Page45审核批准风险评估并提出风险处置建议之后，需经权威机构审核并提交上级主管部门批准对于国