移动公司安全评估.ppt

利用风险评估手段，确保网络信息安全,中国移动通信有限公司研究院,引言,信息安全工作目标演进：从安全支撑保障、体现价值逐步转向推进业务系统创造价值业务支撑从support向enabler转变，2007年3月沙跃家副总裁07业务支撑工作会议“狠抓网络安全，确保奥运盛会”，2008年3月李跃副总裁成都网络工作会议随着企业对IT技术的依赖性越来越强，信息安全风险在企业运营中的地位越来越重要因此，信息安全风险管理成为企业在运营过程中的最基本的工具；较全面的信息安全风险评估日益重要，一方面风险管理是运营过程中的必不可少的工具；另一方面风险评估能够主动了解风险状况，进行相应的改进，实现从supporter向enabler的转变,提纲,什么是风险评估？,为什么要进行风险评估？,风险评估怎样确保安全生产？,中国移动风险自评估将向何处发展？,什么是风险评估？,风险评估（WHAT？）,信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办20065号文件）。,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；（9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险；（10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。,风险评估美国发展史,第一个Architecture(GAA)阶段（60-70年代）以计算机为对象的信息保密阶段1967年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。特点：仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二个阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面的风险评估。第三个阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路,风险评估在我国的进展,2002年在863计划中首次规划了系统安全风险分析和评估方法研究课题2003年8月至今年在国信办直接指导下，组成了风险评估课题组2004年,国家信息中心风险评估指南,风险管理指南2005年,全国风险评估试点在试点和调研基础上，由国信办会同公安部，安全部，等起草了关于开展信息安全风险评估工作的意见征求意见稿2006年,所有的部委和所有省市选择部分单位开展本地风险评估试点工作,信产部电信网安全防护标准体系,信息产业部电信研究院通信标准研究所等级保护、风险评估、灾难备份/恢复三层结构第一层：电信网和互联网安全防护管理指南第二层：三个实施指南第三层：针对电信网和互联网所涵盖的内容，编制全程全网的防护要求、检测要求,电信网和互联网安全防护体系标准,为什么要进行风险评估？,风险评估（WHY？）,安全源于风险。在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。,风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。,信息安全的含义,Integrity,Availability,Confidentiality,正确性Correctness完备性Completeness有效性Validity真实性Authenticity不可否认Non-repudiation,连续Continuity准时Punctuality,排他Exclusivity,Manipulation被操纵Destruction被破坏Falsification被篡改、伪造Repudiation被拒绝、否定,Divulgation泄露,Interruption中断Delay延迟,SECURITY=QUALITY,风险构成,RISK,RISK,RISK,RISK,RISK,Risk,风险的构成,风险的降低,残余风险,图示：A（Asset）：资产V（Vulnerability）：脆弱性T（Threat）：威胁S（Safeguard）：保护措施R（ResidualRisk）：残余风险C（Constrains）：约束,风险控制的概念,高,低,高,对系统的影响,低,发生安全事件概率,风险控制,不可接受风险,从攻防双方博弈看安全工作本质,攻防的博弈，最终归结于双方的开销！,通过成本分析，实现风险控制,运维成本,资产,威胁主体,威胁,脆弱性,防御主体,获利,恢复,防护,追溯,引起,利用,攻击,攻击成本,风险价值,攻击盈利,=,=,防御盈利,增加少量防御成本获得大量防御盈利提高大量攻击成本使得攻击盈利为负,设备成本,引入风险,额外开销,防御成本,通过风险评估确定安全规划,风险评估,安全对策,组织,技术,运作,安全管理体系设计,风险与能力评估、需求分析,制度规定,流程细则,安全需求,组织,技术,运作,ISO27001,策略,策略,国际水平分析,内网建设目标,标准规范,现状调研,安全规划,安全建设规划,安全架构设计,安全解决方案,如何选取安全手段（1）,投入成本的计算总投入成本购置成本维护成本引入威胁风险成本网络开销成本,如何选取安全手段（2）,安全框架建立残余风险筛选过程安全解决方案被选定的条件如下如果X集合的全部排序得到的解决方案中有多种解决方案，可以使得达到安全目标。则这些解决方案中，投入DVC最小的方案最优。如果安全方法库无论怎样排序形成的方案都无法达到安全目标。则选取的安全方法i必须满足DVCiERCi，且使得RRC最小。安全方法规模较小时可以进行完全的遍历，否则可以采用一些贪心方式,如何选取安全手段（3）,思考：安全的核心工作是什么？,我们是否追求绝对的安全？回答是否定的！无法追求无需追求风险是什么？回答是确定的！风险是具有价值的，是可以定性分析，甚至可以通过一定规则量化的。安全的核心工作是什么？从风险管理的角度看，安全的核心工作是通过一种可靠的手段和合理的计算方法确定风险，并将其控制在可接受的范围之内的。从某种意义上讲，在这样的逻辑下，我们已经从支撑走向了为公司创造价值！,风险评估怎样确保安全生产？,风险评估（HOW？）,(1)风险评估的准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施的确认(6)风险分析(7)风险评估文件记录,风险评估的准备,风险评估实施流程图,1）确定风险评估的目标；2）确定风险评估的范围；3）组建适当的评估管理与实施团队；4）进行系统调研；5）确定评估依据和方法；6）获得最高管理者对风险评估工作的支持。,风险评估的准备阶段的工作任务,1）资产分类2）资产赋值3）资产等级,资产识别阶段的工作任务,资产分类示例,资产赋值主要考虑资产的安全状况对于系统或组织的重要性，对资产在机密性、完整性和可用性上的达成程度进行综合评定得出。综合评定方法可以根据业务特点，选择对资产三性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以进行加权计算而得到资产的最终赋值。,如何进行资产赋值,如何进行资产等级,1）威胁来源2）威胁分类3）威胁赋值4）威胁等级,威胁识别阶段的工作任务,威胁来源,威胁分类（示例）,判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。,威胁赋值,威胁发生可能性,1）脆弱性识别内容2）脆弱性分类3）脆弱性赋值4）脆弱性等级,脆弱性识别阶段的主要任务,脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。,脆弱性主要识别内容,脆弱性分类,可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。,脆弱性赋值,脆弱性等级,已有安全措施的确认,在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认，即安全措施是否真正地降低了系统的脆弱性，抵御了威胁。安全措施可以分为预防性安全措施和保护性安全措施两种。,1）风险计算2）风险等级3）风险处理计划,风险分析阶段的主要任务,风险计算,在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。,风险分析原理图,风险分析原理的形式化范式：风险值=R（A，T，V）=R(L(T，V)，F(Ia，Va)其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产重要程度；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失。有以下三个关键的计算环节：,一是计算安全事件发生的可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性L(威胁出现频率，脆弱性)L(T，V)二是计算安全事件发生后的损失根据资产重要程度及脆弱性严重程度，计算安全事件发生后的损失，即：安全事件的损失F(资产重要程度，脆弱性严重程度)F(Ia，Va)三是计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：风险值R(安全事件发生的可能性，安全事件的损失)R(L(T，V)，F(Ia，Va),风险等级的确定,以上标准中的资产、威胁、脆弱性和风险的等级划分，遵照了由公安部、国家保密局、国家密码管理局和国务院信息化工作办公室四部委联合颁发的66号文件的精神。,系统管理者应综合考虑风险控制成本与风险造成的影响，提出一个可接受风险范围。对某些风险，如果评估值在可接受风险范围内，可以保持已有的安全措施；如果评估值超出了可接受风险值的范围，则需要采取安全措施以降低、控制风险。,风险处理计划,对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。,国信办20065号文件指出：信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。,信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。以上是信息安全风险评估指南的主要内容,中国移动风险自评估将向何处发展？,风险自评估（FUTURE？）,将风险评估和改进融入到业务系统设计、产品开发、入网测试和运维工作中去，这是我们安全工作的目标。结合现有人员状况和网络、业务系统复杂情况，需要将复杂的风险评估转化为基线检查，将技术要求较高的技术评估工具化、自动化。为此，研究院从去年开始每年滚动立项进行攻防平台的开发项目。下面将简要介绍攻防平台的定位,InformationSystemSecurityConfigurationSettingsNIST,NSA,DISA,Vendors,ThirdParties(e.g.,CIS)ChecklistsandImplementationGuidance,FISMAComplianceModel,IntegratingITandITSecurityThroughSCAP,Misconfiguration,CVE,CPE,XCCDFCCE,SCAP,OVALCVSS,攻防平台项目背景,去年，研究院开展了安全攻防平台（一期）的研发工作。该项目对IMS系统进行了专项评估和漏洞挖掘，对30多个高危漏洞进行了验证并提供了利用代码，对扫描器漏洞扫描准确性进行了改进，项目取得了显著的成果。今年，集团安全工作的指导思想是“预防为主，及时发现，快速响应，确保恢复”，为贯彻该思想，在攻防平台（一期）基础上，我们开始“安全漏洞及配置联动系统研发”（即攻防平台二期）项目。该项目今年的研发方向将从加强专有重要系统评估（日常和实验室）自动化工具手段建设和提高安全监控预警的能力两个方面入手，提高研究院安全整体工作能力，打造安全团队。,目标定位,目标定位提供一个实验室攻防演练、系统入网检查和安全评估工具提供一个面向基层运维人员的、对于重要业务系统提供自动化安全评估/检查以及脆弱性验证的平台。项目开展方法与现网运维密切贴合，深入分析安全运维操作需求