信息安全风险评估

信息安全风险评估

信息安全风险评估指南编号：编写：审核：批准：发布版次：第*/*版生效日期：状态：受控20**年**月**日20**年**月**日20**年**月**日20**年**月**日20**年**月**日变更记录变更日期：20**-**-**版本：*/*变更说明：初始版本编写：***审核：****批准：****信息安全风险评估指南1、本指南主要依据国家政策法规、技术标准、规范与管理要求以及行业标准编制，同时得到无锡新世纪信息科技有限公司的大力支持。1.1政策法规：-《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）-《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）1.2国际标准：-ISO/IEC17799：2005《信息安全管理实施指南》-ISO/IEC27001：2005《信息安全管理体系要求》-ISO/IECTR13335《信息技术安全管理指南》1.3国内标准：-《信息安全风险评估指南》（国信办综[2006]9号）-《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月）-GB17859—1999《计算机信息系统安全保护等级划分准则》-GB/T183361-3：2001《信息技术安全性评估准则》-GB/T5271.8--2001《信息技术词汇第8部分：安全》-GB/T19715.1—2005《信息技术安全管理指南第1部分：信息技术安全概念和模型》-GB/T19716—2005《信息安全管理实用规则》1.4其他：-《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）2、风险评估2.1风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。下图表示了各因素的关系：：办公服务是为了提高效率而开发的管理信息系统（MIS），包括各种内部配置管理、文件流转管服务管理等服务。网络服务则是各种网络设备、设施提供的网络连接服务。信息服务则是对外依赖该系统开展的各类服务。资产种类包括文档、人员和其他。文档方面包括纸质的各种文件、传真、电报、财务报告、发展计划等。人员方面则是掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。其他方面则包括企业形象、客户关系等。在资产识别过程中，本公司信息安全管理委员会可以通过问卷调查、人员问询的方式识别每一项资产。在本阶段结束后本公司信息安全管理委员会将向信息系统所有者提供《资产识别清单》，清单中应明确各资产的负责人/部门，并由信息系统所有者进行书面确认。资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性。为确保资产估价时的一致性和准确性，本公司信息安全管理委员会应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。资产估价的过程也就是对资产机密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失机密性、完整性和可用性，最终还会导致财产损失、市场份额或公司形象的损失。影响主要从违反有关法律或（和）规章制度、影响业务执行、造成信誉、声誉损失、侵犯个人隐私、造成人身伤害、对法律实施造成负面影响、侵犯商业机密、违反社会公共准则、造成经济损失、破坏业务活动、危害公共安全等几个方面来考虑。资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。风险评估小组应当通过考察三种不同安全属性，能够基本反映资产的价值。机密性赋值根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。理漏洞，导致系统易受攻击或信息泄露。内部人员因个人原因或工作压力过大，泄露敏感信息或进行恶意攻击。外部攻击者利用漏洞或恶意手段，对系统进行攻击，导致信息泄露或系统瘫痪。在识别威胁种类时，需要考虑威胁的来源和影响，以便采取相应的防范措施。本公司信息安全管理委员会通过问卷调查和人员问询的方式，对每个关键资产进行威胁识别，并根据环境条件和历史威胁情况来评估威胁程度。同时，我们也需要注意到，有些威胁可能并未造成实际的损害，但仍然需要引起重视，以免出现安全管理偏差。最后，在分类威胁时，我们可以根据威胁来源和影响的不同，将其分为设备故障、物理环境影响、人为操作失误、安全管理漏洞、内部恶意行为和外部攻击等种类，以便有针对性地进行防范和应对。管理混乱或不规范会破坏信息系统的正常运行。恶意代码和病毒是可以自我复制和传播的程序代码，它们能够对信息系统造成破坏。同时，滥用权限或越权访问资源也会破坏信息系统的安全。恶意代码、木马后门、网络病毒、间谍软件和窃听软件都是常见的安全威胁。此外，未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据以及滥用权限泄露秘密信息也是常见的威胁。维护错误和操作失误也会导致系统故障。设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障和开发环境故障都是可能导致系统故障的原因。攻击者可以利用侦察、密码破译、网络探测和信息采集、漏洞探测、嗅探、账户网络攻击安装后门、嗅探、伪造和欺骗、拒绝服务等手段对信息系统进行攻击和入侵。这些攻击手段可以窃取和破坏用户或业务数据，破坏系统的控制和运行。物理攻击是通过物理接触造成对软件、硬件和数据的破坏。信息泄漏会将信息泄露给不应了解的人，非法修改信息会破坏信息的完整性，使系统的安全性降低或信息不可用。不承认收到的信息和所作的操作和交易也是一种威胁。在威胁评估阶段，评估者需要考虑资产的吸引力、资产转化成报酬的难易程度、威胁的技术力量以及脆弱性被利用的难易程度等因素来评估威胁发生的可能性。同时，评估者还可以参考过去的安全事件报告或记录、IDS获取的威胁发生数据的统计和分析以及国际机构发布的安全威胁发生频率的统计数据均值来评估威胁的可能性。威胁评估是对重要信息资产的威胁来源列表和种类列表进行比对后，对可能发生的威胁进行评估。威胁的等级分为五级，从1到5代表不同级别的威胁发生可能性，等级数值越大，威胁发生的可能性越大。评估者也可以根据被评估系统的实际情况自定义威胁的等级，但必须在事先得到信息系统所有者认可。威胁的等级划分如下：等级5表示出现频率很高或几乎不可避免，等级4表示出现频率较高或很有可能发生，等级3表示出现频率中等或在某种情况下可能发生，等级2表示出现频率较小或一般不太可能发生，等级1表示威胁几乎不可能发生。在威胁评估阶段结束后，信息安全管理委员会应根据组织的重要信息资产和环境等因素，形成威胁的分类方法及具体的威胁列表，并向信息系统所有者提供《威胁列表》，为风险评估提供支持。《威胁列表》通常包括威胁名称、种类、来源、动机及出现的频率等，须由信息系统所有者书面确认。在脆弱性识别阶段，需要对系统中可能存在的脆弱性进行识别。这一阶段的工作任务包括对系统中的每一项重要信息资产进行脆弱性识别，判断脆弱性发生的频率或者发生的概率，并进行脆弱性赋值。工作方式可以采用问卷调查或人员问询等方式，参与人员包括信息系统所有者项目负责人及相关技术人员和评估小组。阶段成果包括《信息安全风险评估表》中的脆弱性识别部分。3.4.2脆弱性识别方法脆弱性识别是信息安全风险评估的重要环节，其主要方法包括问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。为了保证脆弱性识别的全面性和有效性，技术方面采用远程和本地两种方式进行系统测试，对网络设备和主机等进行人工检查。通常情况下包括现场手工检查与审核、设备工具测试、渗透测试等活动，以发现资产的弱点。但为了不影响业务的开展，减少评估带来的风险，本标准规定：必须事先书面说明自动工具扫描或渗透测试的风险和不可恢复性，除非得到信息系统所有者的书面认可，不得进行自动工具扫描或渗透测试。此外，在进行安全检查与测试时会涉及被检测对象的核心秘密，如：系统配置、安全漏洞等，具有一定的风险。在实施这些检测活动前需要获得相关部门的授权，明确检测时间、检测对象、信息安全管理委员会与信息系统所有者双方的权利、责任与义务，并签字认可。安全检查与测试的方法主要包括手工安全检测和设备工具测试。手工安全检测参照重要资产清单，使用检查表（Checklist）逐一手工检查测试服务或系统类资产的管理或技术弱点。需要注意的是，对于业务信息、软件、硬件资产本身存在弱点无法改变的情况，只针对资产所处环境进行弱点检测。为了保证手工安全检测的顺利完成，本公司信息安全管理委员会事前需要制定详细的实施计划，并在检测完成后形成安全检测报告。设备工具测试参照重要资产清单，使用设备及测试工具逐一比对资产的配置或技术弱点。由于仪器设备在测试过程中具有一定的攻击性，因此需要审慎实施测试活动，包括严格规定测试的时间/范围/内容等，并作好应急准备，使测试活动对业务的影响降到最低。为确保设备工具测试的顺利完成，本公司信息安全管理委员会需要事先制定详细的测试计划和突发安全事件的应急处理计划，并获得信息系统所有者的许可。测试完成后，需要汇总测试报告。渗透测试模拟黑客行为对目标对象进行入侵，以发现目标对象的管理与技术弱点以及这些弱点被成功利用的可能。相比设备工具测试，渗透测试具有较强的攻击性，因此需要对测试的时间/范围等严格控制，并作好应急准备。在信息系统安全运行的前提下，本公司信息安全管理委员会需要制定详细的渗透测试计划和突发安全事件的应急处理计划，并获得信息系统所有者的许可。渗透测试应在信息系统所有者技术负责人的现场监督下实施开展。测试完成后，本公司信息安全管理委员会将形成渗透测试报告。脆弱性评估将针对需要保护的每一项信息资产，找出每一种威胁可能利用的脆弱性，并对脆弱性的严重程度进行评估。最终脆弱性的赋值采用经验判断法，依据脆弱性的种类列表综合判断一旦遭受威胁列表中的威胁，定性出相对等级的方式。脆弱性的等级划分为五级，从1到5分别代表五个级别的某种资产脆弱程度。评估者也可以根据被评估系统的实际情况自定义脆弱性的等级，但该评定方法必须在事先得到信息系统所有者认可。资产的脆弱性与组织对其所采取的安全控制有关，因此判定威胁发生的可能性时应特别关注已有的安全控制对资产脆弱性的影响。在脆弱性识别阶段，以资产为核心，从技术和管理两个方面识别其存在的弱点，并对脆弱性被威胁利用的可能性进行评估，对脆弱性进行赋值。工作任务包括问卷调查、人员问询、手动检查和文档审查等。参与人员包括信息系统所有者项目负责人及相关技术人员和评估小组。本公司信息安全管理委员会应针对不同分类的评估对象自身的弱点，形成脆弱性列表，并向信息系统所有者提供支持。脆弱性列表一般包括具体弱点的名称、描述、类型及严重程度等，须由信息系统所有者书面确认。在脆弱性识别阶段，风险评估小组需要详细分析针对资产的已有或已规划的安全措施，并评价这些措施的有效性。这不仅包括技术措施的分析，还包括对现有管理制度的分析。评估小组应该识别已采取的技术安全控制措施，并对其有效性进行核查，包括防火墙、IDS、交换机等网络设备的安全配置检查，操作系统、数据库安全功能检查，以及应用软件安全功能验证等。有效的安全控制措施应该继续保持并进行优化，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制，应该取消或者用更合适的控制代替。安全措施可以分为管理性、操作性和技术性三类。管理性安全措施包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等，用于对系统的开发、维护和使用实施管理的措施。操作性安全措施用于保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性安全措施包括身份识别与认证、逻辑访问控制、日志审计、加密等。在已有安全措施确认阶段，信息安全管理委员会将向信息系统所有者提供《已有安全措施确认表》，并由信息系统所有者书面确认。已有安全措施确认表根据对已采取的安全措施确认的结果形成，包括已有安全措施名称、类型、功能描述及实施效果等。在该阶段，工作任务包括对系统已采取的技术安全控制措施进行识别，并对控制措施有效性进行核查，以及对现行安全管理制度进行分析。工作方式包括问卷调查、人员问询、现场勘查和文档复查。参与人员包括评估小组成员和信息系统所有者。阶段成果为已有安全措施确认表。在组织进行风险评估后，可能会出现残余风险，即即使采取了控制措施，仍然存在一定的风险。评估残余风险需要考虑控制措施的有效性、风险的影响程度和可能性等因素，并确定是否需要采取进一步的控制措施来减少残余风险。在评估残余风险时，也需要考虑成本和效益的平衡，以确保采取的措施是经济合理的。为了达到最佳的风险管理效果，风险评估小组应该根据组织的实际情况和需求，选择适当的风险评估方法和工具，确保评估过程的科学性和准确性。同时，评估结果应该得到信息系统所有者的评审和批准，以确保评估结果的可信度和有效性。最后，评估结果应该被纳入组织的风险管理计划中，并不断地进行监测和更新，以确保组织的信息安全得到有效的保护。在选择适当的控制措施后，应对残余风险进行评价，以判断风险是否已降低到可接受的水平，为风险管理提供输入。评价残余风险时，可以依据本标准进行，考虑选择的控制措施和已有的控制措施对威胁发生可能性的降低。但是某些风险可能在选择了适当的控制措施后仍处于不可接受的范围内，此时应由信息系统所有者根据风险接受原则考虑是否接受此类风险或增加控制措施。如果需要确保所选择的控制措施有效，可以进行再评估，以判断实施控制措施后的残余风险是否可接受。在本阶段结束后，公司信息安全管理委员会将向信息系统所有者提供《重要资产清单》、《信息识别清单》、《信息安全风险评估表》、《信息安全风险评估报告》、《信息安全不可接受风险处理计划》和《残余风险报告》，并由信息系统所有者进行书面确认。风险评估报告应对整个风险评估过程进行总结，说明组织的风险状况及残余风险状况，通过管理层的评审，确定评估后的风险状况满足组织业务发展及其他相关方的要求。本附录提供了风险值计算方法的示例，基于《信息安全风险评估指南》的基础，结合本公司风险评估试点工作实践，提出了风险计算的基本方法，供参考。相乘法是一种常用的计算方法，可用于确定一个要素值，其原理是直接将两个要素值进行相乘得到另一个要素的值。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值，因此相乘法在风险分析中得到广泛采用。以5.6.1的风险计算原理为例，使用相乘法计算风险的过程如下：共有两个重要资产，资产A1和资产A2；资产A1面临三个主要威胁：威胁T1、威胁T2和威胁T3。其中，威胁T1可以利用资产A1存在的一个脆弱性V1，威胁T2可以利用资产A1存在的两个脆弱性V2和V3，威胁T3可以利用资产A1存在的一个脆弱性V4。资产A2面临两个主要威胁：威胁T4和威胁T5。其中，威胁T4可以利用资产A2存在的一个脆弱性V5，威胁T5可以利用资产A2存在的一个脆弱性V6。资产A1的价值为4，资产A2的价值为5。威胁发生频率分别为：威胁T1=1，威胁T2=5，威胁T3=4，威胁T4=3，威胁T5=4。脆弱性严重程度分别为：脆弱性V1=3，脆弱性V2=1，脆弱性V3=5，脆弱性V4=4，脆弱性V5=4，脆弱性V6=3。接下来，使用相乘法计算资产的风险值。以资产A1为例，它面临的主要威胁包括威胁T1、威胁T2和威胁T3。威胁T1可以利用资产