信息安全风险评估实践与探索.ppt

信息安全风险评估实践与探索 国家信息中心信息安全研究与服务中心安全评估事业部禄凯Tel 010 68557159Fax 010 68557158Email lukai InformationSecurityResearch ServiceInstitutionOfStateInformationCenter 2 2020 1 29 汇报内容 一 网络空间安全与风险评估二 评估实践的一些体会三 案例分析四 安全服务中心业务开展情况 3 2020 1 29 一 网络空间安全与风险评估 威胁无处不在 一种常见的攻击 资产 威胁 页面篡改数据失密数据丢失 政治影响经济影响 风险 漏洞 索引内容 特殊字符 4 2020 1 29 一 网络空间安全与风险评估 安全威胁日益严重 5 2020 1 29 面对层出不穷的安全漏洞和各式各样的威胁 简单的产品堆叠无法保证您的信息安全 一 网络空间安全与风险评估 要保护什么达到什么安全程度 是否达到了考核标准 6 2020 1 29 一 网络空间安全与风险评估 2005年2月 美国总统信息技术顾问委员会 PITAC 向美国总统提交了一份最新报告 网络空间安全 迫在眉睫的危机 提出美国目前网络空间安全所面对的重大问题包括 1 IT基础设施在恐怖和敌对攻击面前非常脆弱 2 网络漏洞和网络攻击增长速度非常快 20 40 3 无所不在的互联意味着处处可能存在安全漏洞 4 软件是主要漏洞所在 5 无穷无尽的打补丁并不是好的解决办法 6 需要新的基础性安全模型和方法 7 联邦政府在研发工作中的核心地位 8 网络空间安全的非技术因素 7 2020 1 29 一 网络空间安全与风险评估 为了应对这些威胁 在 网络空间安全 迫在眉睫的危机 报告中 PITAC提出了10大优先研究项目 其中信息安全风险评估位列其中 其主要研究内容包括 1 开发网络空间安全测试方法 评估标准 2 风险分析方法和基于不同领域的评估方法 政治 军事 经济等 3 安全风险以及一致性检查的自动评估工具的研发 4 对易受到攻击对象的评估研究工作 如源代码扫描工具 5 通过研究过程管理 配置管理和补丁管理的最佳策略方案 来发现并提供有效的安全管理实施方案 8 2020 1 29 二 评估实践的一些体会 一 风险评估工作的实质是什么 以被评估单位的业务为核心 围绕相关资产 对其所具有弱点和所面临的威胁展开分析工作 同时分析和确认该单位已经部署安全措施是否发挥了应有的效力 最终找到风险所在 并提出风险消减解决方案 9 2020 1 29 二 评估实践的一些体会 二 评估实施的五个关键阶段 10 2020 1 29 二 评估实践的一些体会 三 两种常用评估计算方法 1 预设矩阵方法 5 5 5 5 3 3 2 2 2 Ti 威胁赋值Ri 脆弱性赋值Vi 资产赋值 简化 11 2020 1 29 二 评估实践的一些体会 2 二元法则 Risk 风险 Impact 影响 Possibility 可能性 Impact 威胁对资产的危害程度 f V T Possibility 威胁利用资产脆弱性的可能程度 g T R Risk级别说明已达标 1 5可容忍 6 10须整改 12 25 12 2020 1 29 二 评估实践的一些体会 四 信息安全风险评估指南 对实践的指导作用 以国标的形式描述了有关风险评估所涉及到的概念以及外延边界 定义了评估所必须的诸元素的等级划分 并易于在工作中引用 评估指南标准是一个广泛普适的方法论 对各行业的评估工作具有很好的指导作用 在此基础上结合各行业的特殊性 便于形成行业规范或行业标准 对等级保护的实施具有很好的技术支撑作用 13 2020 1 29 二 评估实践的一些体会 五 如何规避评估自身带来的风险信息泄密问题评估结果的效力问题评估过程难于控制问题把握好定性与定量程度问题 法律合同评估单位资质评估单位性质从业人员的资质 执行的标准评估单位的资质 管理层的意识参与部门的意识成熟方法 行业经验引入质量管理与控制 计算过程的复杂性参数之间的循环嵌套以业务为核心开展评估主观意识依据客观分析 14 2020 1 29 三 案例分析 案例1 某部委门户网站系统项目案例2 某部委内部信息系统网络项目案例3 国家电子政务外网项目 15 2020 1 29 三 案例分析 1 项目 某部委门户网站无损测试评估信息系统说明 主站WWW系统 Email系统 VOD系统 子站60个评估内容 黑盒渗透测试 风险分析 加固建议 案例分析 模拟攻击测试 SQL攻击渗透测试 DDOS攻击测试 主页篡改测试 16 2020 1 29 三 案例分析 2 项目 某部委内部业务网络安全风险评估系统说明 系统比较复杂 系统包括windows AIX Linux 网络包括以太网 ATM网络 并多达7个安全域 评估内容 策略评估 安全技术措施确认 风险评估 案例分析前期工作十分细致 进行了大量情况摸底 人员访谈 项目实施中 参考了 等级保护 涉密信息系统保护要求 BS7799 等多项标准 通过评估元素相关性分析 关联分析 大大减少了后期计算复杂度 17 2020 1 29 三 案例分析 3 项目 国家电子政务外网建设方案安全评估信息系统说明 广域网络 城域网络 32个省级节点 评估内容 方案评估 资产识别 威胁分析 脆弱性识别 风险分析 案例分析 安全体系咨询 各安全域防护需求 安全域等级划分 容灾分析 潜在威胁类别分析 潜在脆弱性分析 18 2020 1 29 三 案例分析 共性问题 1 已有安全保护措施没有起到应有的作用 2 缺乏安全管理制度 或是不落实 3 缺乏安全监管措施 基本没有考核办法 4 对国家 行业有关标准不清楚 5 非技术性问题占很大程度 19 2020 1 29 四 安全服务中心业务开展情况 国家信息中心信息安全研究与服务中心开展信息安全工作已有20年的经验 从事信息安全风险评估研究与服务近3年时间 目前已经形成了一定技术能力和评估方法体系 我们开展这项业务的理念是 1 基于标准2 针对关键业务3 风险规避4 最小投入 20 2020 1 29 四 安全服务中心业务开展情况 综合智能评估工具的研发 数据采集 标准库 分析引擎 评价展现 数据展