信息安全风险评估

信息安全风险评估,风险评估流程介绍风险评估特点介绍风险评估与等级保护的结合,绿盟科技服务产品部孙铁2008年3月,信息安全的涵义,Confidentiality：阻止未经授权的用户读取数据Integrity：阻止未经授权的用户修改或删除数据Availability：保证授权实体在需要时可以正常地使用系统,在某些组织中，完整性和/或可用性比保密性更重要,信息安全的概念,Integrity,Availability,Confidentiality,CorrectnessCompletenessValidityAuthenticityNon-repudiation,ContinuityPunctuality,Exclusivity,ManipulationDestructionFalsificationRepudiation,Divulgation,InterruptionDelay,SECURITY=QUALITY,四种信息安全工作模式,技术要求,高,流程要求,高,风险避免，风险降低，风险转移，风险接受,安全性,风险性,安全需求,高,高,低,安全风险,支出平衡点,安全的风险管理,风险评估的发展现状,信息安全风险评估在美国的发展,第一个阶段（60-70年代）以计算机为对象的信息保密阶段1967年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。特点：仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二个阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面的风险评估。第三个阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路,我国风险评估发展,2002年在863计划中首次规划了系统安全风险分析和评估方法研究课题2003年8月至今年在国信办直接指导下，组成了风险评估课题组2004年,国家信息中心风险评估指南,风险管理指南2005年,全国风险评估试点在试点和调研基础上，由国信办会同公安部，安全部，等起草了关于开展信息安全风险评估工作的意见征求意见稿2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作,银行业金融机构信息系统风险管理指引银行业金融机构内部审计指引2006年度信息科技风险内部和外部评价审计的通知,提纲,风险评估要素关系模型,风险评估流程,确定评估范围资产的识别和影响分析威胁识别脆弱性评估威胁分析风险分析风险管理,风险评估原则,符合性原则标准性原则规范性原则可控性原则保密性原则整体性原则重点突出原则最小影响原则,评估依据的标准和规范,信息安全管理标准ISO17799（GB/T19716）、ISO27001信息安全管理指南ISO13335（GB/T19715)信息安全通用准则ISO15408（GB/T18336）系统安全工程能力成熟模型SSE-CMM国家信息中心风险评估指南国家信息中心风险管理指南计算机信息系统安全等级保护划分准则（GB/T17859）计算机信息系统等级保护相关规范其他相关标准（AS/NZS4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSIPD3000，GB/T17859，IATF）相关法规及行业政策,资产的识别与影响分析,业务应用系统调研业务影响分析资产属性：可用性、完整性、保密性影响分析：经济损失、业务影响、系统破坏、信誉影响、商机泄露、法律责任、人身安全、公共秩序、商业利益估价公式：AssetValue=Round1Log2(2Conf+2Int+2Avail)/3划分边界区分子系统辅助定级信息资产识别物理资产软件资产硬件资产其他资产,业务调研方法,威胁评估,威胁识别系统合法用户操作错误，滥用授权，行为抵赖系统非法用户身份假冒，密码分析，漏洞利用，拒绝服务，恶意代码，窃听数据，物理破坏，社会工程系统组件意外故障，通信中断物理环境电源中断，灾难威胁属性：威胁的可能性,Telnet,SMTP,DNS,FTP,UDP,TCP,IP,以太网,无线网络,SATNET,ARPNET,应用程序攻击,监听，拒绝服务,系统漏洞利用,硬件设备破坏电磁监听物理窃取,Windows,*nix,*BSD,Linux,应用层,系统层,网络层,物理层,管理层,信息系统每个层次都存在威胁,脆弱性评估,技术脆弱性评估管理脆弱性评估现有安全措施评估脆弱性的属性：脆弱性被威胁利用成功的可能性存在的攻击方法技术脆弱程度管理脆弱程度,脆弱性数据来源,技术方面工具扫描功能验证人工检查渗透测试日志分析网络架构分析管理方面文档审核问卷调查顾问访谈安全策略分析,威胁及脆弱性评估工具,网络入侵检测系统远程评估系统安全检测包（LSAS）Microsoft安全基准分析器风险评估分析工具风险信息库工具,工具扫描,信息探测类网络设备与防火墙RPC服务Web服务CGI问题文件服务域名服务Mail服务SQL注入检查,Windows远程访问数据库问题后门程序其他服务网络拒绝服务(DOS)其他问题,工具扫描,人工检查,路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；主机系统的安全配置策略是否最优，是否进行了安全增强；终端设备的安全配置策略是否最优，是否进行了安全增强;对终端设备和主机系统抽查进行病毒扫描；对防火墙、入侵检测、SUS、SMS等安全产品安全策略及其日志进行分析。,IDS采样分析,渗透测试,完全模拟黑客可能使用的攻击技术和漏洞发现技术，对重点目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试的目的不是发现系统所有的问题，而是从一个侧面反映系统现有的安全状况和安全强度，从而以一种直观的方式增强单位的信息安全认知度，提高单位对信息安全的重视程度。根据用户方需求决定是否采用。,调查对象网络系统管理员、安全管理员、技术负责人等调查内容业务、资产、威胁、脆弱性（管理方面）设计原则完整性具体性简洁性一致性,问卷调查,访谈对象安全管理员、技术负责人、网络系统管理员等访谈内容确认问卷调查结果详细获取管理执行现状听取用户想法和意见,顾问访谈,安全策略分析,安全策略文档是否全面覆盖了整体网络在各方各面的安全性描述，与BS7799进行差距分析；在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；安全策略中的每一项内容是否都得到确认和具体落实。,系统架构分析,系统建设的规范性：网络安全规划、设备命名规范性、网络架构安全性；网络的可靠性：网络设备和链路冗余、设备选型及可扩展性；网络边界安全：网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN（二层ACL）等；网络协议分析：路由、交换、组播、IGMP、CGMP、IPv4、IPv6等协议；网络流量分析：带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力；网络通信安全：通信监控、通信加密、VPN分析等；设备自身安全：SNMP、口令、设备版本、系统漏洞、服务、端口等；网络管理：网管系统、客户端远程登陆协议、日志审计、设备身份验证等。,风险分析,风险计算：RF（A，T，V）威胁路径风险综合分析：对所有风险进行识别、统计、分析，确定极度风险，为下一步安全措施的选择提供依据。极度风险SWOT分析。,优势弱势机会威胁矩阵（SWOT),优势S,优势项目,弱势W,弱势项目,12n,12n,12n,12n,机会O,威胁T,SO,WO,ST,WT,利用机会发挥优势,利用机会克服弱势,利用优势降低威胁,减少弱势回避威胁,在内部、外部关键要素确定的基础上，根据判断结果将内部优势与劣势、外部机会与威胁分别列出，有内因到外因两种状态相匹配，形成了SO、WO、ST、WT四种不同组合,12n,12n,12n,12n,风险管理,风险分类处理建议E：极度风险-要求立即采取措施H：高风险-需要高级管理部门的注意M：中等风险-必须规定管理责任L:低风险-用日常程序处理风险处理方式包括：降低、避免、转移、接受制定安全解决方案鉴定已有措施组织安全策略的规范化安全需求补充技术和费用衡量,风险计算模型,输出结果,最终报告风险评估报告风险评估范围资产评估报告威胁评估报告脆弱性评估报告风险分析报告安全现状分析报告安全建议方案安全规划方案ISMS管理体系,测试及加固报告安全漏洞扫描报告网络设备人工检查报告主机设备人工检查报告日志分析报告渗透测试报告安全修补及加固方案,建议方案总体思路,安全组织体系,安全管理体系,安全技术体系,建设全面的信息安全保障体系,安全组织体系,决策层,管理层,业务安全决策,安全战略规划,安全保证决策,信息安全领导小组,信息安全管理部门,安全管理,系统安全工程,安全保证管理,信息安全执行部门,实施与运作,运行管理,安全保证实施,执行层,组织体系为核心！,安全管理体系,管理体系为保障！,安全技术体系,技术体系为支撑！,安全规划方案,防病毒,安全域划分与边界整合,入侵检测系统,日志审计系统,设备安全加固,整体安全体系,技术体系建设,补丁分发,应用系统代码审核,抗拒绝服务系统,组织体系建设,管理体系建设,一期,二期,三期,流量监控系统,安全组织结构,组织安全职责,安全岗位设置,岗位安全职责,基础安全培训,高级安全培训,中级安全培训,岗位考核管理,安全管理培训,安全巡检小组,确定总体方针,统一安全策略体系,基础制度管理,资产登记管理,主机安全管理,基础流程管理,安全技术管理,网络安全管理,应用安全管理,数据安全管理,应急安全管理,工程安全管理,安全审计管理,身份认证,访问控制（防火墙，网络设备，隔离设备）,安全通告,漏洞扫描,行为审计系统,终端管理系统,应急灾备中心,无此措施,需要完善,已有措施,VPN,远景展望,一期：基础安全技术保障措施建设，区、地州级基础安全管理体系建设,二期：增强性安全技术保障措施，区、地州级安全管理体系完善建设,三期：安全管理中心建设，完善的安全技术、安全管理测评体系建设,ISMS体系,评估过程中风险的规避,数据泄露的风险规避签署保密协议实施工具的数据清除工具实施的风险规避实施前的数据备份确认后的实施计划确认后的应急和回退方案总结阶段风险的控制采集的数据进行确认分析方法进行确认,质量保证和管理,专职的质量控制人员质量控制措