信息安全风险分析及安全需求挖掘

1、卫士通信息产业股份有限公司卫士通信息产业股份有限公司二二00四年十月四年十月谭兴烈谭兴烈 现有的风险分析方法综述现有的风险分析方法综述 风险分析中需要关注的一些问题风险分析中需要关注的一些问题 卫士通风险分析流程及安全需求挖掘卫士通风险分析流程及安全需求挖掘 现有的风险分析方法综述现有的风险分析方法综述 定量：准确量化风险分析的各个要素定量：准确量化风险分析的各个要素 单次损失估算值单次损失估算值 年发生率年发生率 年损失估算值年损失估算值火灾火灾 $500,000 0.1 = $500,000错误使用资源错误使用资源 $50 1000 = $500,000 但是：资产价值的确定但是：资产价值

2、的确定/发生概率的确定发生概率的确定/最终数值的最终数值的界定是比较困难的。界定是比较困难的。 因此，真正使用此类方法来评估是很有难度的。因此，真正使用此类方法来评估是很有难度的。 定性：资产威胁脆弱性风险定性：资产威胁脆弱性风险 基准法基准法 (德国德国IT Baseline)为系统各部分的保护度设立一个统一的基准，结合最佳实践（为系统各部分的保护度设立一个统一的基准，结合最佳实践（BP）提供的安全措施制定解决方案。提供的安全措施制定解决方案。适用范围：使用广泛的典型适用范围：使用广泛的典型IT 系统。对保密性、完整性及可用性为一般要求。在基础设施、组织、人系统。对保密性、完整性及可用性为一

3、般要求。在基础设施、组织、人事、技术及权宜安排方面可采取标准安全措施。事、技术及权宜安排方面可采取标准安全措施。 详细的风险分析方法详细的风险分析方法(SP800-30, )包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。结果用于评估风险及选择合理的包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。结果用于评估风险及选择合理的安全设施。安全设施。步骤：了解系统特征，识别威胁，识别脆弱性，分析安全控制，确定可能性，分析影响，确定风险，步骤：了解系统特征，识别威胁，识别脆弱性，分析安全控制，确定可能性，分析影响，确定风险，对安全控制提出建议，记录评估结果对安全控制提出建议，记

4、录评估结果 非正式的风险分析方法非正式的风险分析方法(FRAP，OCTAVE-S)详细风险分析的简化方法。详细风险分析的简化方法。FRAP：前期预备会议，前期预备会议，FRAP会议，风险分析报告撰写，总结会议；会议，风险分析报告撰写，总结会议；OCTAVE-S：建立基于资产的威建立基于资产的威胁档案，识别技术设施脆弱性，胁档案，识别技术设施脆弱性， 开发安全策略和计划。开发安全策略和计划。 综合方法综合方法( ISO 17799， OCTAVE )对系统进行宏观分析，确定出高风险领域，进行详细的风险分析，其它部分采用基线方法。对系统进行宏观分析，确定出高风险领域，进行详细的风险分析，其它部分采

5、用基线方法。首先要核实系统范围内处于潜在高风险之中，或是对商业运作至关重要的关键性资产进行详细的风险首先要核实系统范围内处于潜在高风险之中，或是对商业运作至关重要的关键性资产进行详细的风险分析以获得相应的保护。其余分析以获得相应的保护。其余一般对待的一般对待的 通过通过基本的风险评估基本的风险评估办法为其选择控制措施。办法为其选择控制措施。 风险分析中需要关注的一些问题风险分析中需要关注的一些问题威胁等级威胁等级威胁源威胁源动机动机威胁发生威胁发生可能性可能性工具工具技能要求技能要求对系统对系统造成造成的影响的影响系统抗威胁系统抗威胁攻击能力等级攻击能力等级系统脆弱性系统脆弱性安全措施安全措施

6、资产价值资产价值风险等级风险等级威胁威胁是否要从关键资产入手开始风险分析？（是否要从关键资产入手开始风险分析？（SP800-30就没就没有说列出关键资产）有说列出关键资产） 如何确定系统中哪些是关键资产？资产敏感性及价值如何确定系统中哪些是关键资产？资产敏感性及价值并对资产的分类（软件、硬件、）并对资产的分类（软件、硬件、） -确定各种威胁对资产造成的影响：信息财产未被授权确定各种威胁对资产造成的影响：信息财产未被授权的泄露、未被授权的修改、拒绝接受、在各种时间段的泄露、未被授权的修改、拒绝接受、在各种时间段的不可恢复性破坏，考虑不利的商业影响的情况。的不可恢复性破坏，考虑不利的商业影响的情况

7、。 威胁威胁list 依据经验依据经验 具体分析具体分析 自然威胁发生概率（关注的重点）自然威胁发生概率（关注的重点） 系统威胁组件质量系统威胁组件质量 偶然性人为威胁用户类别、人员素质、偶然性人为威胁用户类别、人员素质、培训培训 蓄意人为威胁财产的吸引力；财产转蓄意人为威胁财产的吸引力；财产转化为报酬的难易程度；系统敏感性（好奇、化为报酬的难易程度；系统敏感性（好奇、破坏、影响）；需要的技术能力；需要的破坏、影响）；需要的技术能力；需要的工具；攻击途径工具；攻击途径主观可控主观可控 该组织的商业环境；该组织的商业环境； 该组织的业务性质和重要性；该组织的业务性质和重要性； 该组织对信息系统的

8、依赖程度；该组织对信息系统的依赖程度； 业务和支持系统、应用程序及服务的复业务和支持系统、应用程序及服务的复杂性；杂性； 贸易伙伴的数量和对外业务及契约关系。贸易伙伴的数量和对外业务及契约关系。 系统安全构建初期系统安全构建初期-综合法综合法/基准法基准法 系统安全状况评估系统安全状况评估-详细风险分析法详细风险分析法 系统运行期的安全优化系统运行期的安全优化-非正式风险分析法非正式风险分析法卫士通风险分析流程及安全需求挖掘卫士通风险分析流程及安全需求挖掘 有厂商主要参照有厂商主要参照OCTAVE，同时利用扫描器，同时利用扫描器，基于基于ISO17799的量化可视化的评估工具，并的量化可视化的

9、评估工具，并导入工具扫描结果生成信息库及其它软件等；导入工具扫描结果生成信息库及其它软件等； 有的厂商主要针对系统和网络进行风险评估，有的厂商主要针对系统和网络进行风险评估，在技术上分析得比较多，技术弱点把握精确在技术上分析得比较多，技术弱点把握精确 ，但对管理上较弱，管理评估存在不足；但对管理上较弱，管理评估存在不足； 有的厂商针对有的厂商针对UNIX、NT等等OS及及DB、网络设网络设备进行评估，使用评估工具并配合使用人工评备进行评估，使用评估工具并配合使用人工评估等，建立信息安全库。估等，建立信息安全库。风险对策国家法律、法规或行业安全要求组织的原则、目标及要求，合同要求风风险险评评估估

10、识别关键资产识别威胁判定威胁发生的可能性。威胁发生的后果。识别脆弱性。识别现有的保护措施风险定级降低风险规避风险转移风险接受风险准备准备风险分析风险分析风险策略风险策略接受风险安全需求转移风险规避风险计划计划目标范围确定组织的安全策略，系统安全等级，安全目标。评估选择安全措施安全技术安全运行安全管理实施认证运行维护系统优化设计风风 险险 管管 理理识别关键资产确定系统安全基线系统优化运行维护认证后续活动后续活动风险对策国家法律、法规或行业安全要求组织的原则、目标及要求，合同要求风风险险分分 析析识别关键资产识别威胁判定威胁发生的可能性。威胁发生的后果。识别脆弱性。识别现有的保护措施风险定级降低

11、风险规避风险转移风险接受风险接受风险安全需求安全需求转移风险规避风险计划计划目标范围确定组织的安全策略，系统安全等级，安全目标。评估选择安全措施安全技术安全运行安全管理实施认证运行维护系统优化设计风风险控制险控制识别关键资产确定系统安全基线系统优化运行维护认证后续活动后续活动用户情况调查用户情况调查确定风险评估方法确定风险评估方法 风险评估风险评估确定安全需求确定安全需求法律、法规法律、法规系统任务和使命系统任务和使命系统建设阶段、规模系统建设阶段、规模资产、威胁、资产、威胁、脆弱性、现有措施脆弱性、现有措施法律、法规，系统法律、法规，系统任务和使命、评估结果任务和使命、评估结果制定安全策略制

12、定安全策略选择风险控制措施选择风险控制措施验证措施实施效果验证措施实施效果安全需求安全需求技术限制、资源限制技术限制、资源限制安全需求、安全需求、实施效果实施效果安全策略文件安全策略文件风险评估报告风险评估报告安全需求报告安全需求报告风险管理方案风险管理方案适用性声明适用性声明验证报告验证报告 用 户情 况调 查资资产产清清单单确 定安 全需 求企 业 业 务 的 目 的 和 要 求针针对对资资产产的的威威胁胁系系统统脆脆弱弱性性风风险险国 家 相 关 法 律 法 规风 险 分 析用 户情 况调 查资资产产清清单单确 定安 全需 求企 业 业 务 的 目 的 和 要 求针针对对资资产产的的威威

13、胁胁系系统统脆脆弱弱性性风风险险国 家 相 关 法 律 法 规风 险 分 析用 户情 况调 查资资产产清清单单确 定安 全需 求企 业 业 务 的 目 的 和 要 求针针对对资资产产的的威威胁胁系系统统脆脆弱弱性性风风险险国 家 相 关 法 律 法 规风 险 分 析 目前有多种风险分析的方法，在实际工作中需要考目前有多种风险分析的方法，在实际工作中需要考虑系统的实际情况和不同的阶段，灵活使用定性和虑系统的实际情况和不同的阶段，灵活使用定性和定量、手工评估和辅助工具、技术评估和系统组织定量、手工评估和辅助工具、技术评估和系统组织评估、基于知识经验和基于模型的评估等多种方法；评估、基于知识经验和基于模型的评估等多种方法； 依据国家法律法规和对系统的风险评估，确定系统依据国家法律法