5.4 NIST SP800-30 IT系统风险管理指南(已优化)

5.4.1NISTSP800-30IT系统风险管理指南NISTSP800-30中的风险评估过念的证明、以及技术分析来改善信息技术的开发和生产应用。ITL的职责包括开发应用于联和管理性的标准和指导方针。800系列特别报告书是关于TL在计算机安全等领域所进行的研究、指导和成果以及在此领域与业界、政府和学术组织协同工作的报告。在SP800系列特别报告书中，有关于风险评估的文档很多，包括SP800-26IT系统安全有过多的关注理论化的内容，读者可以很轻易的理解自评估的过程，并且可以从SP800-26制措施，对风险进行处理的指南。所以本章还是希望关注风险评估过程的核心报告书——他的相关报告读者可以作为进一步了解信息安全风险评估及风险管理的参考。有效的风险管理过程是整个IT安全规划的重要组成部分，组织风险管理的过程的首要目标应该是为了保护组织及其达成使命的能力，而不仅仅是保护其IT资产。因此风险管理过程不能仅仅当作一个由运作及管理IT系统的专家进行的技术活动，而应该当作是组织的基础管理活动。指南中描述了风险管理方法，而且结合了系统发展生命周期的各个阶段，说明风险管理过程与系统授权过程的紧密联系。风险管理包括三个过程：风险评估、风险降低、再评价及评估。指南的第三章描述了风险评估的过程，包括识别及评价风险及风险的影响以及风险处理方法的建议。指南的第四章参考第三章风险评估过程所获得的风险处理的优先级及实施保持适当的风险处理方法的建议，描述了风险降低过程。指南的第五章讨论了持续的评估过程。NISTSP800-30IT系统风险管理指南，在本CD编写过程中正在对2004年1月发布的草案进行修订，相信不久就可以发布其正式版本，取代其2001年的版本，但总体的结构并不会有太大的变动。NISTSP800-30中的风险评估过程介绍风险评估是风险管理的第一步。组织采用风险评估来判定IT系统在其整个生命周期中所关联的潜在的威胁与风险的范围。风险评估的输出是识别适当的控制以在风险降低过程中降低或消除风险。风险是指已被识别的威胁源利用特定的潜在薄弱点导致不利事件的概率及其影响的函数。为了判定将来不利事件发生的可能性，对于组织IT系统的威胁一定要与系统已经实施的控制及潜在的薄弱点联合起来进行分析。影响来自于威胁利用薄弱点而导致的破坏。其等级由对使命的潜在影响决定，并且是受到影响的IT资产和资源的相对值。风险评估过程包括九个步骤，下面我们将一一说明。本指南中的风险评估过程分为9个步骤>步骤1、系统描述>步骤2、薄弱点识别>步骤3、威胁识别>步骤4、控制分析下载高清无水E印>步骤5、可能性判定>步骤6、影响分析>步骤7、风险判定>步骤8、控制建议>步骤9、结果文档步骤2,3,4和6可以在步骤1之后平行进行。整体的流程如下表所示，接下来我们会风险评估活动输出●硬件●软件●系统界面●数据和信息●系统使命→→系统周界系统功能系统和数据的重要性系统和数据的敏感程度●以往的风险评估报告●审核活动的内容●安全需求●安全测试结果→步骤2、薄弱点识别→●系统遭到攻击的历史事件机构的信息→步骤3、威胁识别→●当前的控制措施●计划的控制措施→步骤4、控制分析→当前和计划的控制措●威胁源动机●威胁的能力●薄弱点的属性●当前的控制→步骤5、可能性判定→可能性等级●对使命的影响分析●资产重要性评价●数据重要程度●数据敏感程度→步骤6、影响分析→影响等级●威胁利用的可能性●影响的大小●策划的或当前的控制措→步骤7、风险判定→级步骤8、控制建议→步骤9、结果文档→风险评估报告步骤2:薄弱点识别步骤5:确定可能性步骤8:控制措施的选择步骤1:系统描述对于一个IT系统评价风险，第一步就是定义评估的范围。在这个步骤中应该识别IT系统的周界，并且识别组成系统的资源和信息。描述在风险评估范围内所建立的IT系统，说明运作的授权周界，提供定义风险的对象(例如，硬件、软件、系统连接、责任部门或责任人)的要点。“系统相关信息”中描述了用于说明IT系统及其运作环境的相关信息。“信息搜集方法”中提出了信息搜集的方法，可以用来获得与IT系统处理环境相关的信息。指口系统相关信息√系统界面(如内部和外部的连接)√数据和信息√支持及使用系统的人员√系统使命√系统和数据的重要程度(例如系统的价值或对于组织的重要性)√系统和数据的敏感程度√IT系统的功能需求√系统的使用者(如对系统提供技术支持的人员，应用系统的人员)√系统安全结构√当前的网络拓扑√维护系统和数据可用性、完整性、保密性的信息存储保护√应用于IT系统的技术控制(例如内建的支持认证的安全产品、系统安全审计、加密方法)√应用于IT系统的管理控制(例如行为规范，安全策划等)√应用于IT系统的运作控制(例如人员安全，备份，突发事件等)√IT系统的物理安全环境(例如设备安全，数据中心策略)√IT系统处理环境的安全(例如供电，污染，温度等)在IT系统的建设阶段，定义对于将来系统所策划的关键安全准则和属计文档和系统安全计划可以为正在建设的IT系统提供与安全有关的有用信息。口信息搜集方法在IT系统运行周界范围内，搜集其相关信息的时候可以用到以下方法：√调查表：为了收集相关信息，信息安全风险评估人员可以设计与IT计及支持人员。调查表也可以在现场的调查诊断过程中使用。√现场调查：与IT系统的支持和管理人员访谈能够使风险评估人员搜集IT系统相关的有用信息(例如系统是如何运作和管理的)。现场的调查也可以使评估人员观察和搜集关于物理、环境和IT系统运作安全的信息。在NISTSP800-30指南的附录A给出了在对现场人员进行访谈的示例问题，这有助于对于组织运作特性的更好的理解。如果系统仍处于设计阶段，现场的访谈可以提供面对面搜集信息的过程，以评价IT系统的物理环境。√文件评审：策略文档(如法律法规文档),系统文档(如系统使用指南，系统管理员手册，系统设计及需求文档),安全相关的文档(如以前的审核报告，风险评估报告，系统测试结果，系统安全计划，安全方针),这些文档都可以提供对于IT系统策划的或已经实施的安全控制的相关信息。组织的使命影响分析或者是资产重要度评价可以提供系统或数据重要度及敏感度相关的信息。√自动扫描工具的使用：应用主动的技术手段可以有效的搜集系统信息。例如，网络拓扑工具可以识别运行在大型主机群上的服务，并且可以提供一种快速的方法，为目标IT系统建立单独的简介。信息搜集活动可以贯穿整个风险评估过程，从第一步直到第九步。第一阶段的输出：被评价IT系统的描述，IT系统环境的状态及IT系统边界的描绘。步骤2:薄弱点识别对于IT系统的威胁分析必须包括与系统环境相关的薄弱点分析。此步骤的目标是形成系统薄弱点清单，也就是能够被威胁利用而导致安全破坏或是违背安全方针的缺陷或薄弱点。建立系统薄弱点清单可以考虑使用薄弱点的信息库，系统安全测试的结果，以及安全需求检薄弱点的识别过程中，应该记录可能存在的薄弱点及判断薄弱点是否存在的方法，这通常和IT系统在生命周期中所处的阶段有关：√如果IT系统仍处在设计阶段，对于薄弱点的识别应该关注组织的安全方针和策略，策划的安全程序，系统需求定义，供应商或是开发者的安全产品分析(例如白皮书);√如果IT系统处于实施阶段，薄弱点识别应该扩展到更多的细节信息，例如已经实施的在安全设计文档中描述的安全特征和系统认证和评估的结果；√如果IT系统处于运行阶段，薄弱点识别应该包括IT系统安全特征和安全控制分析与IT系统运行环境相关的技术与非技术性薄弱点的方法。行业资料(例如提供薄弱点列表的权威网站)对设计调查问卷十分有用，通过这样的途径可以识别适用于特殊IT系统的薄弱点(例如特殊操作系统的特殊版本)。互联网是另√对于IT系统以往的风险评估文档√IT系统的审计报告，系统异常报告，安全评审报告和系统测试评估报告√计算机事件和应急响应小组提供的行业薄弱点列表√来源于军事系统的公告信息口系统安全测试√自动的薄弱点扫描工具薄弱点自动扫描工具根据已知的薄弱服务(例如允许匿名的FTP服务),来扫描一组主安全测试和评估是在风险评估过程中可以用于识别薄弱点的另一项技术。包括设计和执行一个测试计划(例如测试脚本、测试程序、及期待的测试结果)。系统安全测试的目的是要测试一个IT系统在其运作环境中采取的安全控制的有效性。测试的目标是确保实施的控制措施能够满足被认可的软件和硬件的安全规范，实施组织的安全方针(策略)或是满足行业标准。渗透测试可以作为安全控制措施评审的补充，确保IT系统的各个方面都是安全的。在风险评估过程中可以采用渗透测试来评价IT系统抵御围绕系统安全而进行的恶意攻击的能力。渗透测试的目标是从威胁源的观点来测试IT系统并且识别IT系统保护配置可能的失效情况。这些可以选择的安全测试的结果都可以帮助识别系统的薄弱点。第二阶段的输出：能够被潜在威胁源利用的系统薄弱点的列表。步骤3:威胁识别威胁是特定的威胁源成功利用特定薄弱点的潜在可能。薄弱点是可以被偶然触发或有意利用的薄弱点。威胁源在没有薄弱点可以利用的情况下并不能成为风险。在下面讨论威胁事件发生可能性的部分，必须考虑潜在的薄弱点、威胁源和已有的控制。口威胁源的识别这个步骤的目标是识别潜在的威胁源并且根据威胁源和相关的薄弱点形成一个适用于被评价的IT系统的威胁声明(一个综述性质的列表)。威胁源的定义是指任何能够对IT系统造成潜在影响的环境或者事件。通常可以将威胁源分类成自然的、人为的、或环境的。评价威胁源的过程，考虑所有对IT系统及其处理环境造成影响的潜在威胁源是重要的。例如，对于位于沙漠中的一个IT系统的威胁声明中，可能不包括洪水，因为这样事件发生的可能性很低。像水管爆裂一类的环境威胁就可能很快淹没计算机机房，并且导致对组织IT资产和资源的破坏。人员可能因故意的行为而被考虑为威胁源，例如恶意人员或不满员工的蓄意攻击，或者非故意的行为，例如疏忽和失误。下表给出了一些现在看来很常见的人为威胁，他们可能的动机，和可能用来进行攻击的方法或威胁活动。表格中的信息对于组织了解人员威胁的情况及定制自己的人员威胁声明都是有帮助的。另外，对于系统被攻击的历史记录的评审，安全违规报告，安全事件报告，与系统管理员、技术支持服务人员、终端用户的交流等，在信息搜集的阶段都将帮助识别与人员相关的威胁源。这些威胁源都可能与潜在的薄弱点相关，并且对IT系统及其数据产生潜在的破坏。常见的威胁源及动机和威胁活动威胁活动黑客Cracker挑战计算机犯罪信息破坏非法的信息泄露获取金钱未经授权的数据更改●欺诈行为(例如窃听)恐怖分子勒索利用复仇●系统攻击(如拒绝服务攻击)商业间谍竞争优势满的、粗心的、不诚实的、恶意的或者被解雇的员工)好奇心利己显示能力获得金钱粗心的错误或疏忽对于能够造成成功攻击行为的动机和资源以及能力评价应该在潜在的威胁源被识别后口威胁声明境(例如最终用户的计算习惯)相适应。通常，自然威胁(如洪水、地震、风暴)的信息很来越多，政府和行业组织不断地搜集安全事件的数据√情报机构(如FBI);下表给出了威胁(与薄弱点/威胁源相关)的举例。值得注意的是表中包括了特殊的和更多常见的威胁。典型的威胁列表应该包括常见威攻击或事件的举例薄弱点离职员工的系统帐号没有从系统中清除离职员工拨入公司网络并且访问公司私有数据公司防火墙允许内部telnet,有被禁用相关特权的)问财务数据系统安全设计的缺陷已经被公开，并且如何利用已经被公布在互联网上能够有能力利用公布的可用漏洞的黑客(希望借此出名息公布于众数据中心使用喷水装置来防火，而设备并没有防水保护火灾/疏忽的人员在数据中心的喷水装置被启动导致设备破坏第三阶段的输出：包含威胁源和能够利用这些威胁源的薄弱点的威胁声明。步骤4:控制分析这个阶段的目标是分析为了减小或消除威胁利用系统薄弱点的可能性而已经被组织实施的或者是正在策划实施的控制措施。为了得到潜在的威胁利用相关薄弱点的可能性概率，已经实施的或当前计划实施的控制措施应该得到考虑。例如，如果对威胁源来讲缺乏吸引力，或者威胁源利用薄弱点的能力不足，或者已经实施了有效的控制措施来避免或降低危害的影响，薄弱点就不一定会被利用，或者被利用的可能性极低。下面的部分分别讨论控制方法，控制种类及控制分析技术。安全控制措施包括技术与非技术的方法。技术性控制措施是与计算机硬件、软件或是其集成紧密相关的安全措施(例如，访问控制机制、身份识别机制、加密方法、入侵检测软件);非技术性控制措施指管理和运作控制，比如安全方针、运作程序以及人员、物理和环境安全。下表按照类和族的结构列出了安全控制措施。安全控制措施表安全控制措施类安全控制措施族管理安全在这个步骤，风险评估人员确定IT系统规定的安全√2000年11月，由OMB公布的A-130号文件√1974年保密法案(美国)√被评估IT系统的系统安全计划指南的要求。检查表(或调查表)的结果可以用于评价符合性和不符合性。这个过程识别系统的、处理过程中的、程序上的薄弱点，这些薄弱点表现为系统的薄弱点。设计安全需求检查表或者应用一个现成的检查表对于有效地系统地分析控制措施是有帮助的。安全需求检查表可以用于确认符合性和不符合的情况。因此，不断更新这样的检查表以反映组织控制环境的不断变化，保证检查表的有效性。第四阶段的输出：列出当前的或计划实施的控制措施，以减小薄弱点被利用的可能以及不利事件的影响。步骤5:确定可能性为了获得全面的可能性等级，以说明系统环境相关的威胁利用相应的潜在薄弱点的可能性，应该考虑下列因素：√威胁源的动机和能力；√当前控制措施的效果。给定的威胁源利用潜在薄弱点的可能性可以分为高、中、低三个等级，每个等级的具体描述如下表所示：可能性等级可能性定义高威胁源动机十分明显，并且很有破坏能力，预制措施无效。中威胁源有动机和破坏能力，但是采取的控制措利用。低威胁源缺乏动机或能力，已经采取了预防性的控制措施，或者至少能够阻止薄弱点被利用。步骤6:影响分析测量风险等级的下一个重要的步骤就是确定威胁成功利用薄弱点而产生的不利影响。在进行影响分析之前获得下列重要信息是必要的：√系统及数据的重要程度；√系统及数据的敏感程度。上述信息可以从组织现存的文档中获得，例如使命影响分析报告或者资产危险程度评估报告。使命影响分析(等同于业务影响分析BIA)依据定性的或定量的评估对组织信息资产的影响程度划分了等级。重要性评估识别并且划分了对组织关键使命起到支持作用的关键信息资产(例如硬件、软件、系统、服务等)及其等级。如果组织没有类似的文档或者还没有进行过风险评估，对于系统和数据的敏感重要程度可以根据其在保密性、完整性、可用性三方面的保护要求的等级来确定。确定IT系统及其数据重要程度的方法是系统及信息的拥有者确定其负责的系统和信息的影响程度。因此，在分析影响的时候，适当的方法就是与系统和信息的拥有者进行交流沟通。所以，安全事件的不利影响可以被描述为三个安全属性的缺失：保密性、完整性、可用性。下面对于三个安全属性及其未被满足的结果给出了一个简要的说明：√完整性缺失：系统和数据的完整性是指被保护的信息经过了不适当的修改。不论是有意的还是意外的未经授权的对数据或系统进行了修改，完整性就缺失了。如果数据和系统完整性的缺失没有被纠正，而是继续使用就可能导致错误、欺骗或是不正确的决策。并且，完整性的缺失可能是一个破坏系统可用性、保密性攻击的第一步。因为这些原因，完整性的缺失降低了一个IT系统的可信任程度。√可用性缺失：如果与组织使命相关的IT系统不可用了，那么组织使命的达成就会受到影响。系统功能和运行有效性的缺失，例如，可能导致生产时间的滞后，进而导致用户无法完成他们对组织使命达成应有的贡献。√保密性缺失：系统和数据保密性是指对数据未经授权泄漏的保护。保密信息的未经授权泄漏的影响可能危害到国家安全。未经授权的、出乎意料的或无意的泄漏都能导致公众信心的下降等严重的后果。一些实际的影响可以通过资本的损失、修补系统的成本、或是更正威胁事件导致的问题所付出工作的多少来进行定量分析。其他影响(例如公众信心的损失)很难用具体的单位来衡量，但是可以通过划分高、中、低影响的方式来确定。下表给出了一个具体的描述：影响的描述影响的大小低保密性、完整性、可用性的缺失可以认为对组织的运作，组织的资产或人员下载高清详述：有限的影响的意思是保密性、完整性、可√导致在一定的区域和时间内组织完成任务的运作能力下降，仍然能够完成其主要的功能，但有效性显著的降低；√对组织的资产产生较小的破坏；√造成较少的财务损失；中保密性、完整性、可用性的缺失可以认为对组织的运作，组织的资产或人员详述：严重的影响的意思是保密性、完整性、可√导致在一定区域和时间内组织完成任务的运作能力的严重下降，仍然能够完成其主要的功能，但有效性严重的降低；√对组织的资产产生严重的破坏；√造成严重的财务损失；√对人员造成严重的伤害，但不包括死亡和危高保密性、完整性、可用性的缺失可以认为对组织的运作，组织的资产或人员详述：灾难性的影响的意思是保密性、完整性、可用性的缺失可能会(举例说明):或多项主要的功能无法完成；√对组织的资产产生重大的破坏；√造成重大的财务损失；优势在于它可以将风险进行等级划分，并且可以识别√在特定周期内(例如一年)威胁源利用薄弱点的频次的评估；第六阶段的输出：影响的等级(低、中、高)步骤7:风险确定这一阶段的目的是评价IT系统的风险等级。依据详细的威胁/薄弱点来确定风险，可以描述为下列因素的函数关系：口给定的威胁源试图利用薄弱点的可能性；口威胁源成功利用薄弱点造成影响的等级；口为了降低或消除风险而采取的或计划的安全控制措施的充分性。为了测量风险，应该制定风险的度量标准和风险等级的矩阵。风险最终是要由赋给威胁事件发生可能性和威胁事件影响这两个值的乘积来确定。表3-26给出了如何依据威胁事件发生的可能性和威胁事件影响两个因素的输出来确定风险等级。下表是一个3*3的矩阵，包括威胁事件发生可能性(低、中、高)和威胁事件的影响(低、中、高)。根据组织自身的需要和风险评估期望的区间间隔，也可以使用4*4或者5*5的矩阵，可以描述为很低/很高的威胁事件发生可能性和很低/很高的威胁事件影响，当然还要制定一个很低/很高的标准。“很高”的风险等级可能是系统宕机，或者是所有的IT系统全部不可用。下面的矩阵中也体现了所有的高、中、低风险是如何产生的。这些风险等级的确定可能是主观的，但是却反映了其基本原理。例如：口赋给高、中、低威胁事件发生可能性概率的值分别为1.0、0.5、0.1;口赋给每种影响等级的值分别是高影响100,中等影响50,低影响10。风险等级矩阵可能性影响低(10)中(50)高(100)高(1.0)低中下载高清中(0.5)低中中低(0.1)低低低风险