第2章 某OA系统信息安全风险评估方案.ppt

1、第二章办公自动化系统信息安全风险评估方案2.1风险评估概述2.2办公自动化系统概述2.3资产识别2.4威胁识别2.5漏洞识别2.6风险分析2.1.1背景办公自动化系统风险评估的目的是评估办公自动化系统的风险状况，提出风险控制建议，为下一步制定办公自动化系统安全管理标准和未来办公自动化系统的安全建设和风险管理提供依据和建议。需要指出的是，本评估报告中提到的安全风险是针对办公自动化系统当前的风险状况，反映了系统当前的安全状况。2.1.2范围办公自动化系统的风险评估范围包括办公自动化网络、管理系统、使用或管理办公自动化系统的相关人员及其办公室生成的文件和数据。2.1.3评价方法信息系统具有一定的生命

2、周期，并在其生命周期内完成相应的使命。采取必要的安全保护措施，使系统在其生命周期内稳定可靠地运行，是系统各种技术、管理和应用的基本原则。本项目评估主要依据国际标准、国家标准和地方标准，从识别信息系统资产入手，重点分析重要资产面临的安全威胁，识别其存在的漏洞，最后综合评估系统的安全风险。资产识别是风险评估的基础。在所有已识别的系统信息资产中，根据机密性、完整性和可用性三个安全属性的不同值，对资产的重要性进行了综合判断，并将其分为五个级别：核心、关键、中等、普通和次要。其中，核心、关键和中级资产被列为重要资产，并分析了它们面临的安全威胁。脆弱性识别主要采用人工访谈、现场验证、扫描检测、渗透率测试等

3、。从技术和管理两个方面识别系统中存在的漏洞和安全隐患，针对识别出的重要资产的威胁和漏洞判断威胁的可能性和严重性，全面评估重要信息资产的安全风险。根据重要信息资产的威胁风险值，划分安全风险等级，判断不可接受的安全风险范围，确定风险的优先处理等级。根据不可接受安全风险的范围、重要信息资产的安全风险值和风险的优先处理级别，给出了风险控制措施。2.2办公自动化系统概述2.2.1办公自动化系统背景随着计算机通信和互联网技术的飞速发展，以社会信息化建设和网络经济为特征的新经济形态正在发展壮大。办公自动化正在成为信息化建设的重要组成部分，它通过标准化和程序化改变了传统的工作模式，建立了一种高效率的新型业务模

4、式。在此背景下，决定建立办公自动化系统，建立规范化、程序化的工作模式，最终提高工作效率。2.2.2网络结构图和拓扑图办公自动化系统网络是一个特殊的网络，在物理上与互联网是隔离的。网络包括办公自动化服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。办公自动化系统网络通过高性能路由器连接到上级部门网络，并通过千兆以太网交换机连接到下级部门网络。内部骨干网采用千兆以太网，两台千兆以太网交换机为骨干交换机，网络配备100兆桌面交换机连接用户终端。表3-1 NTFS引导扇区、2.2.3网络结构和系统边界办公自动化系统网络分别与上级部门的办公网络和下级部门的办公网络相连。其中，高性能

5、路由器用于连接上级部门的办公网络，千兆交换机用于连接下级部门的办公网络。具体的系统边界图见本书第23页的图2-2:表2-1列出了主要的边界条件。表2-1办公自动化系统网络边界表，2.2.4应用系统和业务流程分析办公自动化系统采用电子邮件系统该办公自动化系统采用了以电子邮件为统一入口的设计思想。电子邮箱是收发文件、信息服务、文件管理、会议管理和其他服务的统一“门户”。每个员工只要注意自己的电子邮件地址，就能知道要处理的工作。每个业务系统都通过电子邮件实现信息交换和流通。例如，在公文流转业务中，由总参谋部起草的正式文件通过电子邮件系统发送到领导的电子邮件地址，领导通过查看电子邮件地址得到文件的初稿

6、。批准后，将转发给公文签发人员。然后，正式文件签发人员通过电子邮件系统将其发送到各部门所有工作人员的电子邮箱。2.3资产识别2.3.1资产识别在本办公自动化系统中，通过分析办公自动化系统的业务流程和功能，从信息数据完整性、可用性和保密性(简称CIA)的安全要求出发，识别受CIA影响的信息数据及其载体和周围环境。本办公自动化系统风险评估中的资产识别主要分为硬件资产、文件和数据、人员、管理系统等。其中，风险评估侧重于硬件资产，人员主要分析其安全责任，结合所涉及的硬件资产对信息技术网络服务和软件进行综合评估。以下是资产的详细列表。硬件资产见表2-2，硬件资产清单见表2-2，文件和数据资产见表2-3。

7、表2-3文件和数据资产清单，机构资产清单见表2-4。表2-4机构资产列表，见表2-5人员资产列表，以及2.3.2资产分配资产分配根据资产的不同安全属性，即机密性、完整性和可用性的重要性和保护要求，为已识别的信息资产分配中央情报局。三权分配分为五个层次，分别不同程度地对应着信息资产的保密性、完整性和可用性的影响。分配依据如下：1 .机密性分配依据根据资产的不同机密性属性，将其分为五个不同的级别，分别对应资产在机密性方面的价值或机密性丧失的影响，如表2-6所示。如表2-6所示。表2-6保密分配基础表2。完整性赋值依据根据资产的不同完整性属性，将其分为五个不同的等级，分别对应于资产完整性的价值或完整

8、性丧失时对整体评价的影响，如表2-7所示。表2-7完整性分配基础表3可用性分配基础根据资产的不同可用性属性，将其分为五个不同的等级(见表2-8)，分别对应于资产可用性的价值或可用性损失的影响。表2-8是可用性分配基础表。表2-8是可用性分配基础表。根据资产的不同安全属性，以及保密性、完整性和可用性的分类原则，所有资产都通过专家指定的方法被指定为CIA三重。转让后的资产清单见表2-9资产中情局三级表，资产分类见表2.3.3资产价值应根据资产转让的保密性、完整性和可用性等级进行综合评估。根据系统的业务特点，资产的价值是由乘数决定的。公式如下：V=f(x，y，z)=其中V代表资产价值，x代表保密性，

9、y代表完整性，z代表可用性。根据这个公式，可以计算出资产的价值。例如，取ASSET_01的三倍值，代入公式如下：V=f(5，5，5)=得到ASS ET _ 01=5的资产值。通过类比，该系统的资产价值列表如表2-10所示。表2-10与上述安全属性的分配相对应的资产价值表，根据最终的分配将资产分为5个级别，级别越高，资产越重要。表2-11显示了不同级别重要性的综合描述。表2-11判断资产重要性的标准，表2-11判断资产重要性的标准。手风琴2.4威胁识别2.4.1威胁概述安全威胁是潜在损害系统及其资产的可能因素或事件。无论信息系统有多安全，安全威胁都是客观存在的，是风险评估的重要因素之一。造成安全

10、威胁的主要因素可分为人为因素和环境因素。人为因素可分为有意和无意，而环境因素包括自然不可抗力和其他物理因素。威胁的形式可以是对信息系统的直接或间接攻击，如未经授权的泄露、篡改、删除等。对保密性、完整性或可用性造成损害。这也可能是一个偶然或故意的事件。一般来说，威胁总是利用网络、系统、应用程序或数据的弱点来成功地损害资产。安全事件及其后果是分析威胁的重要基础。根据威胁的不同频率，它们被分为五个不同的级别。使用这个属性来衡量威胁，具体的判断标准如表2-13所示。表2-13判断威胁频率的标准，2.4.2办公自动化系统的威胁识别安全威胁分析侧重于重要资产的威胁识别，并分析其威胁来源和类型。在此评估中，

11、问卷和技术测试主要用于获取威胁信息。问卷主要收集一些与管理相关的威胁，技术检测主要通过分析入侵检测系统的日志信息来获取系统面临的威胁。表2-14显示了从该评估和分析中获得的威胁的来源、类型和频率。表2-14办公自动化系统潜在安全威胁列表，表2-15办公自动化系统面临的安全威胁类型。根据威胁发生的判断标准，威胁发生的频率见表2-15。2.5漏洞识别漏洞识别主要从技术和管理两个方面进行评估。详细评估结果如下。该办公自动化系统的漏洞评估采用工具扫描、配置验证、策略文档分析、安全审计、网络架构分析、业务流程分析、应用软件分析等方法。根据脆弱性的严重程度，它可以分为五个不同的等级。具体标准见表2-16。

12、根据脆弱性的不同严重程度，它可以分为五个不同的等级。具体标准见表2-16，2.5.1技术漏洞识别技术漏洞识别主要分析现有安全技术措施的合理性和有效性。详细评价结果见表2-17。2.5.2管理漏洞识别本节主要描述当前办公自动化系统信息安全管理中的安全弱点和风险的现状，并识别其严重性。详细评价结果见表2-18。表2-18管理漏洞识别结果、表2-18管理漏洞识别结果、2.6风险分析2.6.1风险计算方法在完成资产识别、威胁识别和漏洞识别后，将采用适当的方法和工具来确定利用漏洞的威胁导致安全事件的可能性。考虑到资产的价值和受安全事件影响的脆弱性的严重性，我们可以判断安全事件造成的损失对组织的影响，即安

13、全风险。在以下范例中形式化：其中：R代表安全风险计算函数，A代表资产，T代表威胁频率，V代表漏洞，Ia代表受安全事件影响的资产价值，Va代表漏洞严重性，L代表威胁使用资产漏洞导致安全事件的可能性，而F代表安全事件后的损失。风险计算过程中有三个关键的计算环节：1 .计算安全事件的概率。根据威胁频率和漏洞状态，利用漏洞计算威胁引发安全事件的概率，即安全事件的概率=1(威胁频率，漏洞)=1(T，V)。在计算安全事件的概率时，本系统采用矩阵法进行计算。二维矩阵如表2-19所示。表2-19安全事件概率计算的二维矩阵表，例如资产01授权访问的威胁频率为3，资产01匿名登录FTP的漏洞为4。根据威胁频率值和

14、漏洞严重度值所在的矩阵，计算得到安全事件概率=1(威胁频率，漏洞)=1(3，4)=16，划分原则见表2-20。表2-20判断安全事件可能发生程度的标准。根据判断安全事件可能发生程度的标准，可能发生的级别为4。2.计算安全事故后的损失根据资产价值和漏洞严重性，计算安全事故后的损失，即安全事故损失=F(资产价值，漏洞严重性)=F(Ia，va)计算安全事故损失时，系统使用矩阵法进行计算。二维矩阵如表2-21所示。例如，资产_01的资产价值等级为5，允许匿名登录FTP的资产_01的漏洞严重性为4。根据矩阵中资产价值等级与脆弱性严重程度值的比较，安全事件损失=F(资产价值，脆弱性严重程度)=F(5，4)

15、=21，表2-21安全事件损失计算二维矩阵表，根据安全事件损失的差异计算，划分原则见表2-22。表2-22判断安全事件等级的标准，表2-22判断安全事件等级的标准。根据判断安全事件损失程度的标准，安全事件损失等级为5级。3。风险值的计算根据计算出的安全事件发生和损失的概率，计算出风险值，即风险值=R(安全事件发生和损失的概率)=计算风险值时，系统采用矩阵计算，二维矩阵如表2-23所示。例如，资产_01的安全事件的可能性度为4，安全事件的损失级别为5，在矩阵中按照资产价值等级和脆弱性程度值进行比较，然后：风险值=R(4，5)=23根据计算出的风险值的差异，将其分为5个不同的等级。划分原则见表2-

16、24。表2-24风险等级判断标准。根据风险等级判断标准，风险等级为高。2.6.2风险分析1。硬件资产风险分析利用资产识别、威胁识别和漏洞识别的结果，根据风险分析的原理，对本系统的硬件资产风险进行评估，如图2-25所示。表2-25硬件资产风险分析表。以资产_01为例，计算该资产的风险值和风险等级。1)。计算安全事件的可能性根据威胁频率和漏洞，在计算安全事件的可能性时，系统采用矩阵法进行计算。二维矩阵如表2-26所示。表2-26安全事件概率计算二维矩阵表，资产ASET _ 01未授权访问威胁发生频率为3，允许资产ASET _ 01匿名登录的FTP漏洞严重级别为4。根据安全事件概率计算矩阵，安全事件概率为16。表2-27显示了判断安全事故可能等级的标准。根据判断安全事件发生可能性的标准，安全事件发生的概率水平=4，2)。计算