信息系统风险评估内容

风险评估的主要内容包括三个方面 基于资产的估值与分析 资产本身存在的脆弱性的识 别与分析 资产受到的威胁识别以及它的影响与可能性分析 资产定义 资产是构成整个系统的各种元素的组合 它直接的表现了这个系统的业务或任务的重 要性 这种重要性进而转化为资产应具有的保护价值 资产类别 依据资产的属性 主要分为以下几个类别 信息资产 信息资产主要包括各种设备以及数据库系统中存储的各类信息 设备和系统的 配置信息 系统中存储的各类电子文档以及各种日志等等 信息资产也包括各种管理制度 而且各种打印的以及部分其他成文的文档也属于信息资产的范畴 软件资产 软件资产包括各种专门购进的系统与应用软件 比如操作系统 网管系统 办 公软件 防火墙系统软件等 随产品赠送的各种配套软件 以及自行开发的各种业务软件 等 物理资产 物理资产主要包括各种主机设备 比如各类 PC 机 工作站 服务器等 各种 网络设备 比如交换 路由 拨号设备等 各种安全设备 比如防火墙设备 入侵检测设 备等 数据存储设备以及各类基础物理设施 比如办公楼 机房以及辅助的温度控制 湿 度控制 防火防盗报警设备等 人员资产 人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分 它主要包括 税务系统内部各类具备不同综合素质的人员 包括各层管理人员 技术人员以及其他的保 障与维护人员等 资产评估 资产评估是与风险评估相关联的重要任务之一 资产评估通过分析评估对象 资产 的各种属性 包括经济影响 时间敏感性 客户影响 社会影响和法律争端等方面 进而 对资产进行确认 价值分析和统计报告 简单的说资产评估是一种为资产业务提供价值尺 度的行为 资产评估的目的 资产评估的目的就是要对系统的各类资产做潜在价值分析 了解其资产利用 维护和 管理现状 明确各类资产具备的保护价值和需要的保护层次 从而使税务系统能够更合理 的利用现有资产 更有效地进行资产管理 更有针对性的进行资产保护 最具策略性地进 行新的资产投入 资产的重要性 按照 What If 模型 资产的重要性可以分为经济影响 时间敏感性 客户影响 社会 影响和法律影响 级别定义 经济影响 F 时间敏感性 T 对客户影响 C 社会影响 S 法律影响 L 导致直接经济损失 可接受的中断时间 不满意的客户数量 会引起如下机构的注意 将涉及不同程度的法律问题 5 10 000 000 以上 1 小时以下 50 000 以上 国家或国际的媒体 机构 被迫面对复杂的法律诉讼 案情由级别相当高的法院审理 控方提出的赔付数额巨大 4 1 000 001 10 000 000 1 24 小时 10 001 50 000 省 市级媒体 机构 提交更高级别法院立案 诉讼过程漫长 3 100 001 1 000 000 1 3 天 1 001 10 000 公司 正式提交法院立案 2 50 001 100 000 3 10 天 101 1 000 公司部门 会有人就法律问题提出交涉 1 50 000 以下 10 天以上 100 以下 几人或工作组 几乎没有法律问题 资产级别 依据资产的潜在价值以及资产对时间的敏感性 对客户的影响 资产的社会影响和可 能造成的法律争端等各个方面 资产按重要性可分为五类 超核心资产 超核心资产的瘫痪或损坏造成直接经济损失一般在 1000 万元以上 超核心资 产的时间敏感性是非常强的 一般来说 在其运行过程中可接受的中断时间是在一个小时 以内的 有的甚至只能是几秒钟 超核心资产瘫痪对客户和社会造成的影响都是十分巨大 的 可能会导致 5 万以上的客户不满意 并引起国家甚至国际媒体的广泛关注 而且超核 心资产瘫痪将会使得税务系统被迫面对复杂的法律诉讼 并且案情将由级别相当高的法院 审理 控方提出的赔付数额异常巨大 核心资产 核心资产的瘫痪或损坏造成直接经济损失一般在 100 万元至 1000 万元之间 核 心资产的时间敏感性同样是非常强的 一般其运行过程中可接受的中断时间在 24 小时 之内 核心资产瘫痪对客户和社会造成的影响很巨大 可能会导致数万客户的不满意 并 引起省市级媒体和机构的关注 而且核心资产瘫痪引起的法律争端可能提交很高级别的法 院立案 诉讼过程可能很漫长 高级资产 高级资产的瘫痪或损坏造成的直接经济损失一般在 10 万元至 100 万元之间 高 级资产的时间敏感性很强 可接受的中断时间大概在 1 3 天之间 高级资产的瘫痪可能导 致数千客户的不满意 其造成的社会影响主要集中在税务系统的内部 但是高级资产的瘫 痪引起的法律争端同样会正式提交法院立案审理 中级资产 中级资产的瘫痪或损坏造成的直接经济损失一般在 5 10 万元之间 其时间敏感 性一般 可接受的中断时间一般在 3 10 天左右 中级资产的瘫痪可能造成数百客户的不满 意 造成的社会影响主要集中在税务系统的某个部门内部 但是中级资产的瘫痪有一定的 可能会引出法律争端 一般资产 一般资产的瘫痪或损坏造成的直接经济损失一般少于 5 万元 其时间敏感性很 弱 可接受的中断时间在 10 天以上 一般资产的瘫痪最多可能导致数十客户的不满意 而 其造成的社会影响更是微乎其微 几乎只是在几个人或工作组内部 而且几乎不会引起任 何的法律争端 评估实例 一台神州数码 DCR 7800 路由器 是某省省网出口核心 IP 地址为 192 168 X X 购入 单价 1 100 810 元 由于是全省电信 IP 网的核心路由 不允许发生中断 中断时间限制在 秒级 一旦发生故障将造成约 10 000 000 元的经济损失 导致全省用户无法访问 用户数 5 万 并导致国家及国际上的不良影响 并可能遭受客户的控诉 带来巨额赔偿 资产属性 等级 经济影响 F 5 10 000 000 元 时间敏感性 T 5 5 万 社会影响 S 5 引起国家及国际影响 法律影响 L 5 导致对客户损失的巨额赔偿 资产等级 V log2 2F 2T 2C 2S 2L 5 5 漏洞 脆弱性 弱点评估 弱点评估的目的 弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表 所谓威胁源 是指能够通过系统缺陷或弱点对系统安全策略造成危害的主体 弱点评估的信息通常通过控制台评估 咨询系统管理员 网络脆弱性扫描等手段收集 和获取 弱点评估的内容 技术漏洞的评估 技术漏洞主要是指操作系统和业务应用系统等存在的设计和实现缺 陷 技术漏洞的标号以 CVE 漏洞列表的编号为标准 如果存在某些 CVE 没有标号的漏洞 则以国际通用的 BUGTRAQ ID 号为标号 如果以上两种编号都无法满足标号要求 则以 本次统一的 ISS 漏洞入库编号中关于无法准确定义的漏洞编号为准 非技术漏洞的评估 非技术性漏洞主要是指系统的安全策略 物理和环境安全 人事 安全 访问控制 组织安全 运行安全 系统开发和维护 业务连续性管理 遵循性等方 面存在的不足或者缺陷 弱点评估手段 弱点评估可以采取多种手段 下面建议了常用的四种 即 网络扫描 主机审计 网络审计 渗透测试 其中 需要注意渗透测试的风险较其它几种手段要大得多 在实际评估中需要斟酌使 用 表 1 网络扫描 项目名称 漏洞扫描评估 简要描述 利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况 达成目标 发掘网络内部网络的安全漏洞 提出漏洞修补建议 主要内容 采用多种漏洞扫描系统软件 实现方式 大规模的漏洞扫描 工作条件 4 6 人工作环境 2 台 Win2000PC 电源和网络环境 客户人员和资料配合 工作结果 网络内部网网络漏洞列表 扫描评估结果报告 所需时间 80 台 工作日 参加人员 评估小组 网络管理人员 系统管理人员 数据库管理人员 表 2 主机审计 项目名称 主机审计 简要描述 作为网络扫描的辅助手段 登陆系统控制台检查系统的安全配置情况 达成目标 检测系统的安全配置情况 发掘配置隐患 主要内容 操作系统控制台审计 数据库系统控制台审计 实现方式 手工登录操作 工作条件 4 6 人工作环境 2 台 Win2000PC 电源和网络环境 客户人员和资料配合 工作结果 网络内部网抽样主机审计报告 所需时间 10 台 工作日 参加人员 评估小组 系统管理人员 数据库管理人员 表 3 网络审计 项目名称 网络安全审计 简要描述 IDS 作为一个实时入侵检测工具 是安全威胁信息收集过程中的一种重要手段 其数据是 网络的整体安全的重要的参考依据之一 达成目标 检测网络的安全运行情况 发掘配置隐患 主要内容 入侵检测系统在关键点部署 入侵检测系统试运行 入侵检测系统报告汇兑及分析 实现方式 在网络关键节点部署 IDS 集中监控 工作条件 每个部署点 2 3 人工作环境 1 台 Win2000PC 作为 IDS 控制台 电源和网络环境 客户 人员和资料配合 工作结果 网络安全风险评估项目 IDS 分析报告 所需时间 5 工作日 参加人员 评估小组 网络管理人员 表 4 渗透测试 项目名称 渗透测试 简要描述 利用人工模拟黑客攻击方式发现网络 系统的漏洞 达成目标 检测系统的安全配置情况 发掘配置隐患 主要内容 后门利用测试 DDos 强度测试 强口令攻击测试 实现方式 全手工实现 工作条件 2 3 人工作环境 电源和网络环境 工作结果 网络安全风险评估项目白客报告 所需时间 3 工作日 参加人员 评估小组 威胁评估 从宏观上讲 威胁按照产生的来源可以分为非授权蓄意行为 不可抗力 人为错误 以及设施 设备错误等 威胁分类 对安全威胁进行分类的方式有多种多样 最常见的分类方法主要有根据安全威胁的性 质进行划分以及根据安全威胁产生的来源和原因进行划分 参照国际通行做法和专家经验 本项目中将采用上述两种方法进行安全威胁分析 根据威胁的性质划分 参照 ISO 15408 GB T 18336 中的定义对安全威胁的性质和类 型进行划分 可以分为以下几个方面 表 5 威胁分类 按性质 威胁分类 威胁描述 Backdoor 各种后门和远程控制软件 例如 BO Netbus 等 Brute Force 通过各种途径对密码进行暴力破解 Daemons 服务器中各种监守程序产生弱点 例如 amd nntp 等 Firewalls 各种防火墙及其代理产生的安全弱点 例如 Gauntlet Firewall CyberPatrol 内容检查弱点 Information Gathering 各种由于协议或配置不当造成信息泄露弱点 例如 finger 或 rstat 的输出 NT Related 微软公司 NT 操作系统相关安全弱点 Protocol Spoofing 协议中存在的安全弱点 例如 TCP 序列号猜测弱点 Management 与管理相关的安全弱点 根据威胁产生的来源和原因划分 参照 BS 7799 ISO 17799 中的定义对安全威胁的产生来源和原因进行划分 可以分为 以下几个方面 表 6 威胁分类 按产生来源和原因 ID 威胁来源 威胁描述 1 非授权故意行为 人的有预谋的非授权行为 2 人为错误 人为的错误 3 软件 设备 线路故障 软件 设备 线路造成的故障 4 不可抗力 不可抗力 威胁属性 威胁具有两个属性 可能性 Likelihood 影响 Impact 进一步 可能性和影响可以被赋予一个数值 来表示该属性 参照下表 表 7 可能性属性赋值参考表 赋值 简称 说明 4 VH 不可避免 90 3 H 非常有可能 70 90 2 M 可能 20 70 1 L 可能性很小 75 3 H 资产遭受重大损失 50 75 2 M 资产遭受明显损失 25 50 1 L 损失可忍受 25 0 N 损失可忽略 0 可能性属性非常难以度量 它依赖于具体的资产 弱点 而影响也依赖于具体资产的 价值 分类属性 并且 这两个属性都和时间有关系 也就是说 具体的威胁评估结果会 随着时间的变动而需要重新审核 在威胁评估中 评估者的专家经验非常重要 参照下面的矩阵进行威胁赋值 表 9 威胁分析矩阵 影响 可能性 可忽略 0 可忍受 1 明显损失 2 重大损失 3 全部损失 4 不可避免 4 0 1 2 3 4 非常可能 3 0 1 2 3 3 可能 2 0 1 1 2 2 可能性很小 1 0 0 1 1 1 不可能 0 0 0 0 0 1 威胁的获取方法 威胁获取的方法有 渗透测试 Penetration Testing 安全策略文档审阅 人员访谈 入侵检测系统收集的信息和人工分析等 评审员 专家 可以根据具体的评估对象 评估 目的选择具体的安全威胁获取方式 表 10 威胁发现方法列表 ID Find Mode Description 1 人员访谈 通过和资产所有人 负责管理人员进行访谈 2 人工分析 根据专家经验 从已知的数据中进行分析 3 IDS 系统 通过入侵监测系统在一段时间内监视网络上的安全事件来获得数据 4 渗透测试 通过渗透测试方法来测试弱点 证实威胁 5 安全策略文档分析 安全策略文档分析 6 安全审计 依照 IS 通过一套审计问题列表问答的方式来分析弱点 7 事件记录 对已有历史安全事件记录进行分析 威胁评估手段 历史事件审计 网络威胁评估 系统威胁评估 业务威胁评估 威胁评估实例 某资产 服务类 面临攻击和访问类威胁 同时存在远程缓冲区溢出弱点 该弱点可 以导致远程攻击者直接获得服务所在宿主机的超级用户权限 该弱点的利用程序 Exploit 于互联网上面发表已经多个星期 几乎可以认为所有攻击者都可以得到该利用 程序 该攻击利用程序运行简单 可以认为大多数攻击者都可以成功地执行该利用程序 该资产当前的安全控制中 没有对该弱点的保护 所以可以认为该资产面临的威胁的影响 为 VH 资产全部损失 可能性为 H 非常有可能 整体上 资产处于高度威胁之中 影响与可能性分析 风险也存在两个属性 后果 Consequence 和可能性 Likelihood 最终风险对税务 系统的影响 也就是对风险的评估赋值是对上述两个属性权衡作用的结果 不同的资产面临的主要威胁各不相同 而随着威胁可以利用的 资产存在的弱点数量 的增加会增加风险的可能性 随着弱点类别的提高会增加该资产面临风险的后果 在许多情况下 某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函 数 而风险的后果是资产的价值和威胁的影响的函数 目前采用的算式如下 风险值 资产价值 威胁影响 威胁可能性 资产弱点等级 从资产面临的若干个子风险中 评估者从自己的经验出发得出该资产面临的整体风险 系统分析 网络结构分析是风险评估中对业务系统安全性进行全面了解的基础 一个业务系统的 网络结构是整个业务系统的承载基础 及时发现网络结构存在的安全性 网络负载问题 网络设备存在的安全性 抗攻击的问题是整个业务系统评估的重要环节 对评估对象的物理网络结构 逻辑网络结构及网络的关键设备进行评估 基本信息包 括网络带宽 协议 硬件 因特网接入 地理分布方式和网络管理 发现存在的安全性 合理性 使用效率等方面的问题 结合业务体系 系统体系结构来检查逻辑网络结构 物 理网络组成以及网络关键设备等 对于保持网络安全是非常重要的 另外 确定关键网络 拓扑 对于成功地实施基于网络的风险管理方案是很关键的 网络结构分析能够做到 改善网络性能和利用率 使之满足业务系统需要 提供有关扩充网络 增加 IT 投资和提高网络稳定性的信息 帮助用户降低风险 改善网络运行效率 提高网络的稳定性 确保网络系统的安全运行 对网络环境 性能 故障和配置进行检查 信息的敏感度评估 信息是一种重要的无形资产 它与有形资产一起构成资产的全体 对于信息资产的保 护首先需要进行分级处理 即按信息的敏感度来划分 因此 信息的敏感度评估可以大致划分为如下步骤 调查是否对数据根据其敏感程度进行了必要的分级 分级是否合理 不同敏感程度的数据是否得到了适当的保护 是否定义了数据泄漏或破坏的事后处理措施 调查问卷的结构 调查问卷包括三部分 封面目录 问题和注释 调查系统可以从描述被评估的主要应 用程序和通用支持系统或一组相互关联的系统开始 调查系统控制 所有完成的调查问卷都应该根据机构政策决定的敏感性程度来评论 处理和控制 要 注意到的是 包含在完成调查问卷中的信息能很容易描述一个系统或是一组系统容易受到 攻击的地方 系统确认 调查问卷的封面是由被评估系统的名称和主题开始的 如 NIST 特别出版物 SP 800 18 中所提到的 每一个主要应用程序或普遍支持系统都应该被安排一个唯一的名称 标志符 为每一个系统安排唯一的标志符确立与系统相适应的安全需要 还有助于分配的资源 能够被充分的利用 在很多情况下 主要应用程序和一般支持系统包括互相关联的系统 互相关联的系统 都应该被列出来 一旦评估完成 就应该做一个关于边界控制是否起作用的判定 并且把 它记录在封皮目录中 边界控制是评估的一部分 如果边界控制不合适 对于相互关联系 统的评估也会不合适 在系统名称和题目下面的横线上需要评估员写上系统类型 普遍支持还是主要应用 目的和评估者信息 评估的目的和对象应该是确定的 例如 评估进行的很多细节检查要得到一个高级别 的系统安全指示或是为了完善行动计划增强系统的彻底性和可信度 名字 题目和从事评 估的机构也要被列出来 机构应该重新制定相应的替代页 评估开始和完成时候的数据也 要列出来 完成评估所需要的时间是可变的 完成评估所需要的资源和时间取决于系统的 大小和复杂程度 系统和用户数据的亲和性 以及评估员可以利用多少信息进行评估 例 如 一个系统进行了广泛的测试 认证 和证据资源的自我评估 在以后的评估中就可以 很容易把他作为主线使用和服务 如果一个系统只经过有限的测试和只有很少的证据资源 完成调查系统则需要更长的时间 信息的决定性 由程序员和系统所有者决定的信息敏感级别应该在调查表单中的表格形成文件 如果 一个机构设计了它们自己的判定系统的决定性或敏感性的方法 就要用机构的决定性或敏 感性的类型代替表格 文件敏感性程度的建立前提是支持高风险操作系统要比支持低风险 操作系统有更多的严格控制 利用问卷调查结果 调查问卷分析 完成评估的人员也可以处理对完成的调查问卷的分析工作 和系统很类似 支持文件 评估结果和评估者下一步要做的也是一个总结了调查结果的分析 一个集中的机构 比如说 一个信息系统安全程序办公室也可以处理对存在的支持文 件的分析工作 分析结果将写在行动计划中 而且为了反映每一个控制对象和手法的决策 也应该创建或是更新系统安全计划 行动计划 一个决定性因素是如何被应用的 也就是说 具体步骤的记录 设备的安装调试和人 员的培训都应该被纳入到行动计划的档案管理中 行动计划必须包括计划数据 资源分配 和补充的复查以保证修改后的行动能起作用 在找出系统弱点的行动计划的状况和资源需要等方面 还需要遵循以前管理员的经验 综合风险分析 从风险的定义可以看出 风险评估的策略是首先选定某项资产 评估资产价值 挖掘 并评估资产面临的威胁 挖掘并评估资产存在的弱点 评估该资产的风险 进而得出整个 评估目标的风险 安全风险评估需要明确 需要保护的资源 保护这些资源免除哪些威胁 威胁方 威胁的可能