2022信息系统安全风险评估培训材料

通信网络信息安全风险评估培训2022基础概念相关背景介绍什么是风险评估为什么要风险评估风险评估意义风险评估内容相关术语相关标准01风险评估通用流程及具体实施02实施要点及示例说明03CONTENTS提纲我们的安全形势01网络02拒绝服务攻击03逻辑炸弹04特洛伊木马05黑客攻击06计算机病毒CONTENTS威胁无处不在网络面临的最大威胁是什么？有哪些安全问题？什么是最关键的信息资产？网络设备是否安全？操作系统、数据库系统是否安全？您需要什么安全技术保障？风险控制手段？采用了哪些安全措施？是否有效？如何应对未来的威胁?……我们的网络有多安全??如何知道??

----面临的问题怎么办？--风险评估脆弱性/Vulnerability资产/Asset存在利用破坏威胁/Threat风险/Risk风险评估相关概念国信办[2006]5号文件风险评估（RiskAssessment）是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地为保障网络和信息安全提供科学依据什么是风险评估评估内容管理层面技术层面物理安全机房等重点IT设施环境网络安全网络架构、网络设备主机安全服务器、PC终端应用安全应用业务系统、Web应用数据安全数据通信安全、存储安全及备份安全管理机构岗位设置、人员配备…安全管理制度制定发布，评审修订…系统建设管理定级、安全方案设计…系统运维管理环境管理、资产管理…人员录用，人员离岗…人员安全管理风险评估内容评估项参照标准资产评估ISO17799/BS7799

加拿大《威胁和风险评估工作指南》风险分析方法ISO13335IT风险管理系列风险分析模型《AS/NZS4360:2004风险管理标准》计算模型《AS/NZS4360:2004风险管理标准》GAO/AIMD-00-33《信息安全风险评估》评估过程GBT20984-2007《信息安全风险评估规范》NIST-SP800-26信息技术系统风险自评估指南NIST-SP800-30信息技术系统风险管理指南安全管理工作的评估ISO17799/BS7799ISO13335IT风险管理系列物理安全评估ISO17799/BS7799GB50174-2008《电子信息系统机房设计规范》网络设备安全性ISO15408（CC）GB17859部分相关标准工信部安全防护系列标准基础概念风险评估流程风险准备资产识别威胁识别脆弱性识别已有安全措施的确认风险分析实施要点及示例说明提纲资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程风险评估准备工作内容《信息安全风险评估方案》检查记录表模板《支撑网安全评测检查记录表—业务安全》《支撑网安全评测检查记录表—网络安全》《支撑网安全评测检查记录表—主机安全》《支撑网安全评测检查记录表—应用安全》《支撑网安全评测检查记录表—数据安全及备份恢复》《支撑网安全评测检查记录表—物理环境安全》《支撑网安全评测检查记录表—管理安全》《支撑网安全评测检查记录表—灾难备份及恢复》调查问卷及其他《需求文档清单》《文档交接单》《资产调查问卷》《资产识别清单》《重要资产清单》《脆弱性调查问卷》《现场配合人员名单》

工作输出风险评估准备资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程资产识别资产信息搜集资产分类资产赋值

主要任务

网络设备（包括路由器、交换机等）安全设备（包括防火墙、入侵检测系统、防病毒软件等）主机（包括服务器、PC终端等）机房及相关设施(如UPS、门禁、灭火器、温湿计)重要数据（如计费数据、用户信息数据、用户帐单）管理制度及文档人员资产类别资产分类资产赋值社会影响力业务价值可用性

安全属性赋值

资产赋值（示例）资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程主要任务：

---识别对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件

---威胁出现频率赋值（简称威胁赋值）

威胁识别威胁赋值通过被评估对象体的历史故障报告或记录，统计各种发生过的威胁和其发生频率；通过网管或安全管理系统的数据统计和分析；通过整个社会同行业近年来曾发生过的威胁统计数据均值。赋值方法

判断威胁出现频率，需要结合以下三个方面：威胁赋值资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程脆弱性识别主要任务

---查找脆弱性

---脆弱性严重程度赋值（简称脆弱性赋值）访谈现场勘察漏洞扫描渗透测试人工审计

---文档检查

---控制台审计以前的审计和评估结果…

脆弱性识别相关方法访谈可以采取现场访谈的方式，也可以采取调查问卷的方式，通常是两种方式的结合通过一套审计问题列表问答的形式对企业信息资产所有人和管理人员进行访谈脆弱性识别方法-访谈多种扫描工具优化组合扫描内容服务与端口开放情况枚举帐号/组检测弱口令各种系统、服务和协议漏洞……脆弱性识别方法-漏洞扫描什么是渗透测试模拟黑客对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的攻击行为，以发现系统深层次的漏洞，并将整个过程与细节报告给用户。渗透测试的必要性工具扫描存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试可以发现逻辑性更强、更深层次的弱点，同时渗透测试可以对漏洞扫描结果进行验证；渗透测试难点对测试者的专业技能要求很高。脆弱性识别方法-渗透测试信息泄露：对外服务是否暴露了可能被黑客利用的敏感信息业务逻辑测试：系统是否在业务逻辑设计上存在被黑客利用的漏洞认证测试：系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞会话管理测试：系统是否存在会话劫持、CSRF等漏洞拒绝服务测试：系统是否易受DDOS攻击Web服务测试：SQL注入、跨站脚本…AJAX测试…渗透测试内容远程溢出攻击测试口令破解Web脚本及应用测试（SQL注入、XSS等）本地权限提升测试网络嗅探监听其它（社会工程学等）……渗透测试一般方法渗透测试分类黑盒测试（”zero-knowledgetesting”）渗透者完全处于对系统一无所知的状态。通常，这种类型的测试，最初的信息获取来自DNS、Web、Email及各种公开对外的服务器。白盒测试测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其他程序的代码片段，也能与单位其他员工进行面对面的沟通这类的测试目的是模拟企业内部雇员的越权操作计划与准备测试计划测试准备侦查分析阶段信息收集目标判别漏洞查找攻击阶段获取权限权限提升……渗透测试一般流程采用人工审计方式可以对漏洞扫描的结果进行验证和分析，也可以检查某些无法利用工具扫描的内容人工审计内容网络安全网络拓扑结构子网划分网络边界审计日志网络流量与拥塞控制网络设备的安全配置…….主机安全审计日志自主访问控制功能强制访问控制功能目录与文件权限口令设置登陆设置资源使用设置进程与端口关联…….脆弱性识别方法-人工审计专用业务/应用系统安全通讯安全性本地文件存储安全性登陆过程安全性自主访问控制功能有效性及安全策略配置强制访问控制功能有效性及安全策略配置用户权限审计日志并发会话数限制……数据安全及备份数据传输安全性数据存储安全性备份与恢复功能备份数据(如用户帐单备份数据)链路冗余硬件冗余(如计费系统双机备份)人工审计内容（续）人工审计内容（续）物理环境安全防震、防风、防雨等能力机房出入安全区域隔离防水防潮防静电防盗窃和防破坏温湿度控制……管理安全管理制度制定和发布岗位设置人员配备人员录用、离岗安全意识教育和培训软件开发测试验收……防护要求脆弱性检查要点(HP-UX)检查结果记录当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；/etc/inet/services/etc/inet/inetd.conf…口令应有复杂度要求并定期更换/var/adm/userdb//etc/shadow…审计范围应覆盖到服务器上的每个操作系统用户和数据库用户/var/adm/userdb//etc/default/security

…审计示例扫描工具系统层：X-scan、Nessus、极光漏洞扫描系统、天镜漏洞扫描系统应用层：IBMAppscan、Fortify、AcunetixWebVulnerabilityScanner数据库：ShadowDataBaseScanner、ISSDatabaseScanner…脆弱性识别—工具等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，对资产造成的损害可以忽略脆弱性赋值表

赋值方法工作输出《脆弱性列表》类型、名称、描述、赋值…脆弱性赋值资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程安全措施

--预防性安全措施

--保护性安全措施主要任务

--针对已识别的脆弱性确认已采取的安全措施并记录下来工作输出

--《已有安全措施确认表》已有安全措施确认资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程保持已有安全措施提出风险处理计划是否接受风险风险计算是否风险阈值风险分析流程风险计算方法

１、

风险计算风险计算方法（续）相乘法：风险值＝资产价值x威胁值x脆弱性值

风险计算风险阈值是风险是否可接受的判断依据确定方法风险阈值的确定对象的安全等级1级2级3.1级3.2级4级5级风险阈值（风险值大于此阈值的风险视为不可接受）设备类风险（包括设备、机房、数据、网络）60452515105人员类风险906040302010管理制度、文档类风险80503020105主要任务

风险处理方式降低风险——应用适当的控制措施(预防性措施、保护性措施)接受风险——由于投入过高和收效不明显避免风险——因为风险的代价太高，不允许执行会产生风险的活动转移风险——转嫁给第三方（保险、供应商）对不可接受风险提出控制风险的安全建议风险处理建议基础概念风险评估通用流程及具体实施实施要点及示例说明提纲评估范围确定分析方法及计算方法的选择建立良好的沟通氛围适当的评