网络与信息安全系列训教培材(PPT 78页).ppt

安全风险管理 中国移动网络与信息安全系列培训教材 8 版本信息 版本号 1 0 0更新时间 2008 10 28编者信息 房仲阳中国移动辽宁公司网络部电话2208邮箱 fangzhongyang 课程内容 主要介绍网络与信息安全管理部分的安全风险管理 内容包含 中国移动网络与信息安全风险评估管理办法 介绍风险评估概念介绍风险评估方法介绍风险管理流程介绍安全控制措施 教材主要阅读对象 培训对象 面向管理层 安全管理人员 安全技术人员 系统维护人员 及普通员工 共5类人员本教材针对5类人员的培训内容并无差别建议培训时间100分钟左右课程基础无 目录 第一章引言第二章风险评估概念第三章风险评估方法第四章风险管理流程第五章风险控制措施 第一章引言 请思考 企业为什么需要投入大量成本进行风险管理 案例剖析一 实际情况和结果实际情况 由于人手紧张 某专业交换数据一直由一名员工制作 原则上还需要由一人核查 但实际上未被执行结果 数据被做错而未被及时纠正 导致系统故障 引发大量用户投诉及话务量损失 问题分析最小授权原则未被执行 存在数据被错误操作的可能并引发网络故障 此种问题早已存在 但未被识别并加以处置威胁 误操作 对于数据的错误认识 无人核对脆弱性 系统无法判断是否为正确数据 这个问题长期存在 但一直以人手不足为理由 被未出现重大故障的表面现象所掩盖 本质上是管理问题 无论此问题能否被尽快解决 都需要以书面形式将此问题向管理层汇报 案例剖析二 实际情况和结果实际情况 倒换测试从未主动做过 应急演练也未模仿实际场景 结果 系统受到攻击而需要倒换 但发现主备系统版本不一致 导致业务无法使用 问题分析问题分析 成功的倒换测试是保障网络安全的最后屏障 但未被执行 实际上网络是在单点运行 威胁 单点设备无法保障100 无故障运行脆弱性 无法顺利倒换 直接导致业务中断 每年度作业计划都要求进行与实际情况相符的倒换及应急演练工作 处于业务安全考虑 核心网该项工作一直无重大进展 核心网集中化程度越高 真正故障时倒换失败时对所承载的业务产生的影响越大 这种风险必须进行识别 在对业务保障的承诺 服务质量承诺 故障处理时限上必须进行计算进去 案例剖析三 实际情况和结果实际情况 未进行全部数据一致性的核查 仅凭经验进行操作 结果 部分用户功能被删除 导致大量用户投诉 客户满意度急剧下降 问题分析问题分析 数据一致性准备 变更及核查是保障数据一致的基本措施 在没有自动核查手段前 必须按照流程进行操作 威胁 工作中的疏忽及不按照规定操作 无系统数据一致性自动核查手段 脆弱性 系统无法及时发现用户功能的非正常变更 该问题长期存在 但一直被忽视 往往到投诉产生时候才发现 SOX控制矩阵中 有专门对变更的控制点 可见其重要性 基站的变更数据不统一 导致覆盖范围的投诉 欢迎短信 边界漫游 BOSS系统的变更数据问题 将导致全省范围的投诉 分析投诉周报可以看出 有相当一部分投诉是由于网络或业务变更时准备不充分 数据不同步造成的 在MISC等等经常存在数据迁移的变更中常常会出现这种情况 案例剖析四 实际情况和结果实际情况 公司网络及客户信息分散在不同部门 甚至不同员工终端和存储中 不清楚究竟信息资产都在哪里 哪里最全 哪里版本最新 结果 信息资产不知道什么时候 通过什么途径 会被什么人通过什么样的方式获得并进行什么样的使用 SKYTEL事件 问题分析问题分析 没有信息资产的统一管理要求 没有健全的访问控制策略威胁 一直对中国移动存在攻击企图的人员或别有用心的技术人员 以及有意或无意接触到信息的人 脆弱性 没有严格的访问管理策略 管理及技术 该问题长期存在 公司信息资产的分类 标注 存储 授权访问要求一直没有有效落实 购买机票等垃圾短信已经给我们敲响了警钟 必需立即动手 有效开展工作 位置服务信息 小区短信信息 彩铃库一旦被非法利用 后果不堪设想 问题小结 1 重大及突发故障管理处于被动局面 1 无准备 2 时长及范围不确定 3 影响范围不确定其根本原因在于未对系统的安全指标进行严格控制 2 SOX控制要求尚未深入全面推广到生产一线 覆盖范围也仅限于年度审计范围 理解的不一致阻碍了SOX内控工作的常态化开展 SOX法案相关要求对于网络工作的深刻影响尚未充分体现 问题小结 3 已有安全风险控制措施和实践 但没有完全控制好风险 发生了故障甚至是重大故障 所有故障均来源于风险 已有安全措施效果不理想 4 上述案例表明我们完全有能力掌控我们的网络 但需要全面客观地进行安全指标体系建设和处理 增强管理手段和人员安全意识 从根源上将安全事情发生的隐患降低到最低 避免头痛医头 脚痛医脚 一个问题 我们有很多风险控制措施和实践 为什么还总出现故障甚至是重大故障 根本原因 缺乏对安全风险的整体控制 各种技术 管理手段分散在各专业手里 未进行整体控制 需要对安全风险体系化管理 已有的安全控制措施 安全风险控制措施体系化管理 安全风险管理作用 安全风险管理 目标更加明确 安全风险管理体系化 结合技术 管理措施 整体控制风险 措施更加有效 系统认识风险 发现新的风险 安全风险管理和风险评估之间的关系 信息安全风险管理指南 信息安全的核心是对信息安全风险的管理 安全风险评估是实施信息安全管理的基础风险管理是基于风险评估的安全管理方法 它是以可以接受的代价识别 控制 最小化或者避免影响信息系统安全的风险的过程 相同点 目的相同 都是提高网络或系统的安全水平 降低安全风险 安全审计 检查可看作风险评估的一种 对象相同 移动通信网中的各子网络或子系统 不同点 安全审计属于符合性评价 结合萨班斯法案 移动内控手册 安全相关技术规范和管理办法等进行 安全风险评估形式灵活 内容丰富 从企业内部深入分析网络或系统存在的脆弱性 面临的安全威胁 最终明确存在的安全风险 安全检查时间较短 检查方法和内容相对宏观 笼统 可能进行评比 奖惩 风险评估与审计 检查之间的关系 管理 技术 安全工作的成功要素 这些工作我们都进行了吗 我们做得够吗 我们做得好吗 我们主要精力主要放在哪了 各种安全产品起作用了吗 我们的投入与产出成比例吗 第二章风险评估概念 什么是风险评估 中国移动网络与信息安全风险评估管理办法 第一章 对移动网络中已有安全保护措施的落实情况和有效性进行确认 对存在的威胁和脆弱性进行分析 找出安全风险 有针对性的提出改进措施的活动 有限公司所管理的移动网及其组成部分支撑和管理移动网及移动业务的业务单元和控制单元互联网数据中心企业办公系统 客服呼叫中心 企业门户网站等非核心生产单元经营性互联网信息服务单位 移动信息服务单位 互联网接入服务单位 互联网数据中心 互联网域名服务机构等单位运营的网络或信息系统 风险评估 风险评估对象 风险评估相关概念 风险评估相关概念 安全风险 残余风险 安全事件 风险评估各要素间关系 protectagainst预防 metby符合 Exploit利用 Increase增加 Increase增加 Expose暴露 Indicate显示 Increase增加 Have具有 Reduce降低 PotentialimpactonBusiness对企业的潜在冲击 Threats威胁 Vulnerabilities脆弱性 Controls控制 Risks风险 Assets资产 SecurityRequirements安全要求 AssetValues资产价值 威胁必须利用脆弱性才能产生风险 第三章风险评估方法 风险评估目的 RISK RISK RISK 风险 风险的构成 风险的降低 依据国家标准 行业标准进行风险评估遵循国家有关政策 有限公司相关管理规定 从不同的角度对风险评估方法的划分不同 风险评估方法 风险评估方法 获得支持和配合 确定风险评估目标 确定风险评估内容 组建风险评估团队 被评估对象调研 确定评估依据和方法 风险评估的准备 30 具有价值的资产 资产 保存在设备上的各种数据资料 包括源代码 数据库数据 系统文档 运行管理规程 计划 报告 用户手册等 网络设备 路由器 网关 交换机等存储设备 磁带机 磁盘阵列等保障设备 动力保障设备 UPS 变电设备等 消防设施等 系统软件 操作系统 协议包 工具软件 各种数据库软件等应用软件 外部购买的应用软件 外包开发的应用软件 各种共享 自行或合作开发的各种软件等 纸质的各种文件 如设计文档 管理规定和技术要求等 技术人员 如网络维护人员 网络或业务的研发人员 管理人员 面临的各种威胁 自然灾害 威胁主体分析 人 最主要的威胁主体 攻击的复杂度与对技术的要求 破坏审计信息 后门 自动扫描 分布式攻击工具 高 低 1980 1985 1990 1995 2000 猜密码 自我复制 破密码 利用漏洞 通信冲突 手工扫描 窃听 报文欺骗 使用图形界面 拒绝服务 www攻击 工具 攻击者 对黑客的技术要求 攻击的复杂程度 新型扫描工具 窃取信息 利用网管 跨主机新型工具 2005 移动网络安全威胁分析 IPCoreNetwork IPAccessNetwork IP IP IPBSS IPRAN PSTN PLMN Internet MMS SMS WAP 自有业务系统 终端 来自用户侧 接入 终端 威胁对用户窃听 用户机密信息窃取病毒 蠕虫 木马中间人或伪基站攻击对网络业务盗用非法设备接入网络攻击 拓扑泄露DoS攻击 资源耗竭 来自Internet的威胁黑客入侵DoS DDos攻击 资源耗竭非法接入业务系统 来自第三方网络的威胁身份欺骗业务欺诈 盗用 来自运营商DCN网络的威胁病毒 蠕虫 木马非法访问越权访问 权限滥用敏感 机密信息泄露 Stream HLR Auc 脆弱性分析 我国信息安全保障工作仍存在一些亟待解决的问题 网络与信息系统的防护水平不高 应急处理能力不强 信息安全的管理和技术人才缺乏 信息安全关键技术整体上比较落后 信息安全产业缺乏核心竞争力 信息安全法律法规和标准不完善 全社会的信息安全意识不强 信息安全管理薄弱 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 脆弱性分析 国家层面 美国政府相关部门最近公布了政府部门在信息安全保护方面存在的十大问题 信息安全培训不足合同安全条款不足资产分类指导不足信息介质管理不足安全事件管理不足安全日志管理不足物理安全保护不足安全控制措施不足远程访问管理不足采购安全考虑不足 脆弱性分析 企业层面 InformationWeek研究部和埃森哲咨询公司 2007年全球信息安全调查 德勤 2007年全球信息安全调查 脆弱性分析 个人层面 脆弱性分析方法举例 渗透性测试 渗透性测试 PenetrationTest 是完全模拟黑客可能使用的攻击技术和漏洞发现技术 对目标系统的安全作深入的探测 发现系统最脆弱的环节渗透性测试中一切攻击方法必须在保证可控的条件下 尽可能的接近真实渗透性测试和真正黑客攻击的不同非破坏性预知性公开性不会造成业务的损害 渗透性测试的范围 主机操作系统渗透对WINDOWS SOLARIS AIX LINUX SCO SGI等操作系统本身进行渗透测试数据库系统渗透对MS SQL ORACLE MYSQL INFORMIX SYBASE DB2等操作系统进行渗透测试应用系统渗透对渗透目标提供的各种应用 如ASP CGI JSP PHP等组成的WWW应用进行渗透测试网络设备渗透对各种防火墙 入侵检测系统 网络设备进行渗透测试 渗透性测试的流程 1 信息收集分析 2 渗透方案制定 调整 3 利用已知攻击方法实施渗透测试 4 获得低级别权限 5 获得高级别权限 渗透性测试是循环往复 逐步深入的过程 渗透性测试的工具 端口扫描NMAP SuperScan等系统弱点扫描IBMInternetScanner Nessus ShadowScanner Retina等应用弱点扫描WebRavor AppScan WebInspect Paros等溢出测试MetaExploit等 风险计算 相乘法 矩阵法 其它方法 43 评估者也可以针对具体被评估对象特点 仅定性分析风险 即综合资产识别 威胁识别 脆弱性识别结果 定性分析得到资产存在的风险 而不定量计算风险值 风险评估中的计算方法 资产价值计算方法对数法矩阵法相乘法其他方法风险值计算方法相乘法矩阵法其他方法 45 资产价值计算方法举例 对数法 对数法AssetValue Round1 Log2 2I 2V 2A I 社会影响力赋值 V 业务价值赋值 A 可用性赋值 Round1 四舍五入处理 保留1位小数 Log2 取以2为底的对数 和 分别表示权重 0 0 0 且 1 资产价值AssetValue向上进位确定资产价值的等级 风险值计算方法举例 相乘法 相乘法 风险值 资产价值 威胁值 脆弱性值风险值的取值范围为1 125 风险值等级化处理 确定风险值对应的风险等级 46 保持已有安全措施 制定风险处理计划并采取新的安全措施降低 控制风险 针对风险已经采取的安全措施 资产风险 否 是 风险是否在可接受范围内 风险结果判定 残余风险评估 实施残余风险的评估可以依据上述风险评估方法实施 也可适当裁减 对不可接受风险选择新的安全措施后 为确保新的安全措施的有效性 应进行再评估 判断残余风险是否降低到可接受的水平 风险评估过程文档 资产识别清单重要资产清单威胁列表脆弱性列表已有安全措施确认表 风险评估结果文档 风险评估报告风险处理计划 风险评估过程记录和结果分析 第四章风险管理流程 评估机构 自评估 检查评估 1 2 有限公司自行组织人员开展风险评估各省级公司自行组织人员开展风险评估 委托第三方安全风险评估服务机构进行风险评估选择信息产业部推荐的电信网络安全风险评估服务机构 风险评估服务机构等级应满足被评估对象的安全等级要求 职责分工 有限公司 各省级公司 1 2 有限公司风险评估工作采用统一管理 分级负责的原则 有限公司风险评估工作由网络部牵头 其它部门配合 在有限公司的统一领导下 各省级公司负责各自管辖范围内网络和系统的安全风险评估相关工作 各省公司风险评估工作由网络部牵头 其它部门配合 职责分工 具体职责 建立和完善有限公司风险评估相关管理规章制度 整体部署有限公司网络和系统的安全风险评估工作 对各省公司风险评估相关工作进行指导 监督 检查 审批省公司上报的风险评估工作计划 工作方案 并对评估获得的安全风险进行分析 汇总 掌握全网整体安全水平 对全网范围的共性问题进行发布和提醒 帮助各省公司避免重复工作 提高风险评估效率 根据国家和电信监管部门要求 制定风险评估工作考核指标和考核办法 组织考核评比 负责与国家相关部委接口 协调并配合国家和电信监管部门发起的相关监督 检查工作 按照相关要求 组织实施有限公司直接负责管理的网络和系统风险评估工作 其它需要在有限公司层面管理 部署 监督 检查的工作 有限公司 1 职责分工 具体职责 在有限公司风险评估管理办法的基础上 建立和完善省公司风险评估相关管理规章制度 协调配合有限公司 省级电信监管部门发起的相关监督 检查工作 根据电信监管部门和有限公司有关要求 制定网络和系统风险评估工作计划 组织开展省公司管辖范围内的网络和系统安全风险评估工作 对省内各相关单位开展的风险评估工作进行指导 监督 检查 其它需要在省级公司层面管理 部署 监督 检查的相关工作 省公司下属的各风险评估相关单位如地市公司应积极参加 配合风险评估工作 并按照上级单位要求对所管理的网络和系统安全风险进行处置 各省级公司 2 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 风险管理流程 各省公司应在每年年初制定该年度风险评估工作计划 工作计划应上报有限公司网络部 并按照工作计划有序开展工作 各省公司应按照有限公司和省公司相关管理规定要求组织开展风险评估工作 每年应开展一次针对三级及以上定级对象的风险评估 同时 应根据自身网络情况 对面临较大风险的网络和系统 新系统入网或现有网络发生较大变更时启动风险评估工作 自评估工作应组织本单位技术骨干 有效利用资源 按照有限公司和各省公司相关管理规定开展工作 委托第三方服务机构进行风险评估 应将评估需求 内容 范围 时间安排 以及拟委托的第三方服务机构基本情况等信息报有限公司审批 对于跨省具有全程全网性质的风险评估对象 无论是自评估还是委托第三方服务机构进行评估 在评估前都应向有限公司提出申请 审批通过后方可开展工作 工作计划 组织实施 风险处置 后评估 保密 联系制度 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 获得本单位负责相关工作的领导批准 并得到被评估方维护管理人员的确认 明确风险评估目标 有重点 有针对性的组织风险评估工作 根据本单位实际情况制定风险评估方案 结合有限公司已制定的相关办法 技术要求 配置指南等安全工作管理规定 重点考虑已有安全管理规定和措施难以覆盖的安全隐患 突出重点 统筹考虑 确定科学 合理的评估内容 遵循可控性原则 即应保证参与评估的人员 使用的技术手段和工具以及评估过程都是可控的 遵循最小影响原则 从项目管理层面和技术层面 将评估工作对网络和系统正常运行的可能影响降低到最低 风险评估工作不应对被评估网络和系统的业务运行产生显著影响 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 按照有限公司 省公司和相关电信监管部门要求 定期或不定期开展风险评估工作 各单位网络部统一部署 协调资源 组织开展风险评估工作 其它相关部门进行配合 建立风险评估统计 核查制度 各单位应对其所负责管理的网络和系统风险评估实施情况进行统计 并按照有限公司 省公司和电信监管部门相关管理规定定期核查风险评估工作的开展情况 建立完备的文件管理制度 风险评估工作各个过程应有完备的文档记录并作为风险评估资料进行保存 风险评估完成后 应形成风险评估报告 并将风险评估报告报送有限公司备案 对于电信监管部门要求的风险评估相关备案工作 应按照有限公司和省公司的统一部署进行备案 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 制定风险处置计划 组织相关部门的工作人员对风险评估中发现的安全风险进行确认 将安全风险分层次 轻重缓急进行梳理 并结合已有安全措施对评估结果中不可接受的安全风险制定风险处置计划 根据责任部门的不同 对已确认的安全风险进行分解 明确各部门职责和任务 协同合作 共同做好风险处置工作 风险处置计划经核准下达后 计划的执行者要保质 保量 按时完成 不得任意更改计划 风险处置中 应选择适当的控制目标和安全措施 明确风险处置过程中的任务 保证风险处置的进度和效果 根据风险的变化或上级主管部门新的要求 如发现已有安全保护措施已不适用 应及时研究 制定并落实进一步的安全保护措施 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 对网络和系统的重大安全风险 风险处置后应进行残余风险评估 以确保所采用安全措施的有效性 对经过分析暂不采取进一步安全措施的网络和系统 应给予足够关注 如发现风险发生变化 系统重要性增加或上级部门提出更高的要求 应根据需要重新对其进行风险评估 将风险评估工作的开展情况 风险处置情况以及风险评估的有效性纳入安全工作考核评比范畴 通过完善的风险评估工作机制提高网络和系统的安全水平 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 风险评估工作应遵循保密原则 评估方应与被评估方签署相关的保密协议和非侵害性协议 保障被评估方的利益 保守在风险评估活动中知悉的商业秘密和公民隐私 风险评估相关文档和记录的发布 保存 流转 更改 作废 销毁等各个环节要进行严格 完善的管理 保证风险评估资料的机密性 完整性和可用性 风险管理流程 工作计划 组织实施 风险处置 后评估 保密 联系制度 为提高安全风险评估工作质量 有效规避 处置网络和系统的安全风险 各单位 各相关部门之间应建立联系渠道 做到沟通顺畅 协同合作 资源共享 高效规范 在制定风险评估计划时 要征求相关部门意见 并将风险评估工作对业务的可能影响和需要的配合等情况通过正式渠道通报给相关单位和部门 在风险评估过程中 风险评估组织部门应对来自其它部门的意见和建议进行认真分析和落实 保证风险评估工作的有效实施 风险评估与网络生命周期的关系 启动 确定安全使命 设计 确定安全需求将安全需求纳入产品规格 实施 启动安全控制措施安全检测 运维 安全运行和管理管理更改 安全风险评估贯穿网络生命周期的始终 风险评估 对于不同周期的风险评估 风险评估与网络生命周期的关系 启动 风险评估对网络或系统需求的开发提供支持 包括安全需求和安全战略 设计 风险评估对网络或系统的安全分析提供支持 这些安全分析可作为开发过程中系统的结构和设计的参考 实施 针对安全需求进行风险评估 该阶段发现的安全风险应该如何处理 必须在网络或系统运行之前做出决定 运维 跟踪网络或系统安全状况 决定采用何种控制措施处理安全风险 将安全风险维持在一个可以接受的水平 废弃 确保被丢弃和替换的组件 硬件 软件 被合理地丢弃和替换 它们所包含的残余数据经过了正确的处理 第五章风险控制措施 又出新问题啦 各种安全问题 系统故障不可预测 系统漏洞补丁不断分发 网络攻击手段层出不穷 始终处于被动防御状态 心怀不满的内部及外部人员 传统安全工作思路 病毒 系统故障 攻击 漏洞 盗窃 防病毒产品 防火墙 IDS 检查 维修 补丁 防盗门 一个问题 一个解决方法 自然火灾飓风洪水台风 人阴谋破坏恶意代码操作员错误 技术硬件故障数据残缺电信故障电力故障 固有风险 风险评估 安全控制管理控制运行维护控制技术控制 持续性计划范围飓风操作员错误硬件故障数据残缺 自然火灾飓风洪水台风 人阴谋破坏恶意代码操作员错误 技术硬件故障数据残缺电信故障电力故障 火灾飓风洪水 阴谋破坏 硬件故障数据残缺电信故障 操作员错误 自然火灾飓风洪水台风 人阴谋破坏恶意代码操作员错误 技术硬件故障数据残缺电信故障电力故障 硬件故障数据残缺 操作员错误 飓风 标识的风险 残余的风险 安