安全生产_信息安全风险评估实例

信息安全风险评估实例 本章概要 之前介绍了信息安全风险评估的基本过程 本章以某信息系统为例详细介绍信息安全风险评估的实施过程 依据GB T20984 2007 信息安全技术信息安全风险评估规范 和信息安全风险评估的基本过程 将信息安全风险评估的实施过程分为评估准备 识别并评价资产 识别并评估威胁 识别并评估脆弱性 分析可能性和影响 风险计算 风险处理 编写信息安全风险评估报告等阶段 本章目录 1评估准备2识别并评价资产3识别并评估威胁4识别并评估脆弱性5分析可能性和影响6风险计算7风险处理8编写信息安全风险评估报告上机实验 1评估准备 依据GB T20984 2007 信息安全技术信息安全风险评估规范 在风险评估实施前 应确定风险评估的目标 确定评估范围 组建评估管理与实施团队 进行系统调研 确定评估依据和方法 制定评估方案 获得最高管理者的支持 1 1确定信息安全风险评估的目标 信息系统风险评估目标是通过风险评估 分析信息系统的安全状况 全面了解和掌握信息系统面临的安全风险 评估信息系统的风险 提出风险控制建议 为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料 8 1 2确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集 评估范围必须明确 本次评估的范围包括该信息系统网络 管理制度 使用或管理该信息系统的相关人员 以及由系统使用时所产生的文档 数据 8 1 3组建适当的评估管理与实施团队组建由该单位领导 风险评估专家 技术专家 以及各管理层 业务部门的相关人员组成风险评估小组 同时明确规定每个成员的任务分工 8 1 4进行系统调研通过问卷调查 人员访谈 现场考察 核查表等形式 对信息系统的业务 组织结构 管理 技术等方面进行调查 问卷调查 人员访谈的方式使用了 调查表 调查了系统的管理 设备 人员管理的情况 现场考察 核查表的方式考察了设备的具体位置 核查了设备的实际配置等情况 得出有关信息系统的描述 8 1 4 1业务目标和业务特性1 业务目标 信息系统主要负责数据的收集 技术处理以及预测分析 为相关部门提供决策和管理支持 向社会提供公益服务 2 业务特性通过对信息系统的业务目标的分析 归纳出以下业务特性 业务种类多 技术型工作与管理型工作并重 业务不可中断性低 业务保密性要求低 业务基本不涉及现金流动 人员业务素质要求高 8 1 4 2管理特性现有的规章制度原则性要求较多 可操作性较低 在信息安全管理方面偏重于技术 8 1 4 3网络特性 信息系统的网络拓扑结构图如图8 1所示 图8 1网络拓扑结构图 8 1 5评估依据评估所遵循的依据如下 1 信息安全技术信息安全风险评估规范 GB T20984 2007 2 信息技术信息技术安全管理指南 GB T19715 2005 3 信息技术信息安全管理实用规则 GB T19716 2005 2 信息安全等级保护管理办法 公通字 2007 43号 3 信息安全技术信息系统安全管理要求 GB T20269 2006 8 1 6信息安全风险评估项目实施方案8 1 6 1项目组织机构项目实施的组织机构如下 项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成 项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果 项目实施完毕之后 领导小组将根据整个项目的成果情况 批准并主持项目试点总结工作 项目工程管理小组由评估双方的项目负责人组成 主要职责是审核确认项目实施组制定的现场工作计划 并监督项目进展情况 主持阶段成果汇报会议 做好协调工作 保证项目的顺利执行 项目实施组由评估专家 评估工程师及受测机构的安全管理员 网络管理员和应用系统分析员组成 主要职责是制定详细项目实施计划 根据实施计划开展工作 质量控制组由质量控制人员组成 主要负责对各个服务项目的实施情况进行质量控制和最终的验收 外聘专家组由有经验的专家组成 主要负责对项目的方案分析 实施 步骤 关键问题的解决及新技术的应用提供思路 指导和咨询 8 1 6 2项目阶段划分本次风险评估项目分项目准备 现状调研 检查与测试 分析评估及编制评估报告六个阶段 各阶段工作定义说明如下 项目准备 项目实施前期工作 包括成立项目组 确定评估范围 制定项目实施计划 收集整理开发各种评估工具等 工作方式 研讨会 工作成果 项目组成员信息表 评估范围说明 评估实施计划 现状调研 通过访谈调查 收集评估对象信息 工作方式 访谈 问卷调查 工作成果 各种系统资料记录表单 检查与测试 手工或工具检查及测试 进行资产分析 威胁分析和脆弱性扫描 工作方式 访谈 问卷调查 测试 研讨会 工作成果 资产评估报告 威胁评估报告 脆弱性评估报告 分析评估 根据相关标准或实践经验确定安全风险 并给出整改措施 工作方式 访谈 研讨会 工作成果 安全风险分析说明 编制评估报告 完成最终评估报告 工作方式 研讨会 工作成果 信息系统综合评估报告 表8 1 信息系统风险评估实施进度表 8 1 7获得最高管理者对信息安全风险评估工作的支持上述所有内容得到了相关管理者的批准 并对管理层和员工进行了传达 8 2识别并评价资产 依据GB T20984 2007 信息安全技术信息安全风险评估规范 和第7章信息安全风险评估的基本过程 对资产进行分类并按照资产的保密性 完整性和可用性进行赋值 8 2 1识别资产根据对 信息系统的调查分析 并结合业务特点和系统的安全要求 确定了系统需要保护的资产 见表8 2 表8 2信息系统资产列表 8 2 2资产赋值对识别的信息资产 按照资产的不同安全属性 即保密性 完整性和可用性的重要性和保护要求 分别对资产的CIA三性予以赋值 见表8 3 这里采用五个等级 表8 3资产CIA三性等级表 8 2 3资产价值根据资产保密性 完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果 加权方法可根据组织的业务特点确定 资产价值如表8 4所示 表8 4资产价值表 8 3识别并评估威胁 在本次评估中 首先收集系统所面临的威胁 然后对威胁的来源和行为进行分析 威胁的收集主要是通过问卷调查 人员访谈 现场考察 查看系统工作日志以及安全事件报告或记录等方式进行 同时使用绿盟1200D 02 收集整个系统所发生的入侵检测记录 表8 5是本次评估分析得到的威胁列表 表8 5 信息系统面临的威胁列表 8 4识别并评估脆弱性 从技术和管理两方面对本项目的脆弱性进行评估 技术脆弱性主要是通过使用极光远程安全评估系统进行系统扫描 按照脆弱性工具使用计划 使用扫描工具对主机等设备进行扫描 查找主机的系统漏洞 数据库漏洞 共享资源以及帐户使用等安全问题 在进行工具扫描之后 结合威胁分析的内容 根据得出的原始记录 进行整体分析 按照各种管理调查表的安全管理要求对现有的安全管理制度及其执行情况进行检查 发现其中的管理脆弱性 表8 6技术脆弱性评估结果 表8 6技术脆弱性评估结果 8 5分析可能性和影响 8 5 1分析威胁发生的频率威胁发生的频率需要根据威胁 脆弱性和安全措施来综合评价 表8 7给出了5个级别定义的描述 表8 7可能性级别定义 8 5 2分析脆弱性严重程度脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级 表8 8给出了5个级别定义的描述 表8 8严重程度定义 8 6风险计算 首先建立资产 威胁和脆弱性关联 并给威胁发生的可能性及脆弱性严重程度赋值 如表8 9所示 在本项目中 采用7 8介绍的矩阵法和相乘法进行风险计算 表8 9资产 威胁 脆弱性关联表 8 6 1使用矩阵法计算风险 利用矩阵法 首先根据表7 21 计算安全事件发生的可能性 再根据安全事件可能等级划分表7 22 计算安全事件发生的可能性值等级 根据安全事件发生损失矩阵表7 23 计算安全事件的损失 再根据安全事件损失等级划分表7 24 计算安全事件损失等级 根据风险矩阵表7 25 计算风险风险值 最后根据风险等级划分表7 26 确定风险等级 所有计算结果如表8 10所示 表8 10风险计算表1 8 6 2使用相乘法计算风险使用相乘法计算风险等级 计算结果如表8 11风险计算表2 右图 所示 8 7风险处理 8 7 1现存风险判断内容依据风险评估结果 假设风险等级在4级以上不可接受 通过分析 发现有21个不可接受风险 分析结果如表8 12所示 表8 12风险接受等级划分表 8 7风险处理 8 7 2 1风险控制需求分析按照系统的风险等级接受程度 通过对本信息系统技术层面的安全功能 组织层面的安全控制和管理层面的安全对策进行分析描述 形成已有安全措施的需求分析结果 如表8 13所示 表8 13风险控制需求分析表 8 7 2 2风险控制目标 依据 风险接受等级划分表 表8 12 风险控制需求分析表 表8 13 确定风险控制目标 如表8 14所示 表8 14控制目标 8 7 3控制措施选择 依据 风险控制需求分析表 表8 13 控制目标表 表8 14 针对控制目标 综合考虑控制成本和实际的风险控制需求 建议采取适当的控制措施 如表8 15所示 表8 15安全控制措施选择 8 8编写信息安全风险评估报告 最后 编写记录 信息系统风险评估过程得到的所有结果的风险评估报告 完成对本系统的风险评估 上机实验 实验项目 信息安全风险评估实验目的 掌握信息安全风险评估的过程 实验环境 具体网络信息系统环境 实验内容 结合具体的信息系统评估项目 完成信息安全风险评估 并编写各阶段报告 具体步骤如下 1 风险评估的准备工作 确定风险评估的目标 确定风险评估的范围 组建适当的评估管理与实施团队 进行系统调研 确定评估依据和方法 获得最高管理者对风险评估工作的支持 2 识别并评价资产 在划定的评估范围内 以网络拓扑结构图的业务系统为主线 列出所有网络上的物理资产 软件资产和数据资产 形成一个信息资产的清单 在识别出所有信息资产后 为每项资产赋值 对资产的保密性 完整性和可用性这三个安全属性分别赋值 根据三个安全属性的权值计算资产的价值 形成 系统信息资产识别清单 确定关键资产 详细识别关键资产的安全属性 并对关键资产的重要性进行赋值 形成 系统重要信息资产评估报告 本阶段所采用的方法包括 1 会议 召集评估小组成员和相关人员进行资产分析会议 2 手工记录表格 通过资产调查表的填写确定信息资产状况 3 识别并评估威胁 识别关键资产所面临的威胁 及威胁对资产所产生的影响 形成 威胁列表 本阶段所采用的方法包括 1 IDS采样分析 使用IDS 通过对网络流量进行不间断的分析 从中发现攻击 入侵或非法访问等行为 2 日志分析 通过检查不同来源的日志文件发现曾经发生过的威胁 获取威胁信息 3 人员访谈 评估小组成员与规划编写人员及项目建设人员进行访谈交流 4 识别并评估脆弱性 从技术 管理和策略三个方面进行脆弱性评估 其中在技术方面主要是通过远程和本地两种方式进行系统扫描 对网络设备和主机等进行适当的人工抽查 对关键外网服务主机进行远程渗透测试 管理脆弱性评估方面主要对现有的安全管理制度及其执行情况进行检查 发现其中的管理漏洞和不足 策略脆弱性评估方面主要是从整体网络安全的角度对现有的网络安全策略 进行全局性的评估 它也