1、广东计安信息网络培训中心广东计安信息网络培训中心信息安全风险评估程晓峰什么是风险评估?什么是风险评估?从深夜一个回家的女孩开始讲起风险评估的基本概念 资产业务影响威胁脆弱性风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密风险评估通俗类比风险评估5风险风险管理(Risk Management)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域,风险(风险(RiskRisk)就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。风险管理风险评估(风险评估(Risk AssessmentRisk Assessment)就是对各方面
2、风险进行辨识和分析的过程,它包括风险分析和风险评价,是确认安全风险及其大小的过程。风险RISKRISKRISKRISK风险原有风险采取措施后的剩余风险影响威胁脆弱性影响威胁脆弱性风险管理的目标风险评估和风险管理的关系风险评估是风险管理的关键环节,在风险管理循环中,必须依靠风险评估来确定随后的风险控制与改进活动。资产分类方法分分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的
3、各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等资产分类方法分类类示例服务信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管
4、及应用项目经理等其它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP 工程管理 物资管理 生产管理 营销系统 人力资源 综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层信息安全属性?保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取?完整性INTEGRITY保护信息及其处理方法的准确性和完整性?可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产资产保密性赋值资产完整性赋值资产可用性赋值资产等级计算公式AV
5、=F(AC,AI,AA)Asset Value 资产价值Asset Confidentiality 资产保密性赋值Asset Integrity 资产完整性赋值Asset Availability 资产可用性赋值例1:AV=MAX(AC,AI,AA)例2:AV=AC+AI+AA例3:AV=ACAIAA资产价值赋值可用性可用性确保获得授权的用户可访问信息并使用相关信息资产完整性完整性保护信息和处理方法的准确和完整确保只有获得授权的人才能访问信息保密性保密性进不来进不来拿不走改不了跑不了看不懂可审查不可抵赖曾经完成的操作和承诺不可抵赖性不可抵赖性可控制网络信息传播及内容可控性可控性确保硬件、软件、
6、环境各方面的运行可以审计可审计性可审计性信息安全属性威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外 事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式 盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破 坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操 作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗
7、位技能要求而导致信息系统故障或被攻击。威胁分类表威胁赋值脆弱性识别内容表脆弱性赋值风险分析原理 LFR风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性;Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F 表示安全事件发生后产生的损失。一般风险计算方法:矩阵法和相乘法风险计算方法矩阵法矩阵法风险计算风险等级表01000200030004000500060007000边界人员,攻击混合病毒好奇员工,攻击内部外部人员误操作普通员工,滥用网络病毒内部
8、外部人员恶意基础服务失效交换机硬件失效灾难服务器硬件失效雷击漏水服务器软件失效电源失效交换机软件失效温度、湿度、灰尘、静电等邮件病毒链路失效介质病毒完整性风险机密性风险可用性风险风险评价示例28?降低风险(Reduce Risk)采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等。?避免风险(Avoid Risk)通过消除可能导致风险发生的条件来避免风险的发生,如将公司内外网隔离以避免来自互联网的攻击,或是将机房安置在不可能造成水患的位置,等等。?转移风险(Transfer Risk)将风险全部或者部分地转移到其他责
9、任方,例如购买商业保险。?接受风险(Accept Risk)在实施了其他风险应对措施之后,对于残留的风险,组织可以有意识地选择接受。风险处置策略29?绝对安全(即零风险)是不可能的。?实施安全控制后会有残留风险或残存风险(Residual Risk)。?为了确保信息安全,应该确保残留风险在可接受的范围内:?残留风险Rr 原有的风险R0 控制R?残留风险Rr 可接受的风险Rt?对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值,以该阀值作为是否接受残留风险的标准。残留风险评价等保测评与风险评估的区别?目的不同?等级测评:以是否符合等级保护基本要求为目
10、的照方抓药?风险评估:以PDCA循环持续推进风险管理为目的对症下药等保测评与风险评估的区别?参照标准不同?等级测评:GB 17859-1999 计算机信息系统 安全保护等级划分准则GB/T 22239 2008 信息系统安全等级保护基本要求GB/T 22240 2008 信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南(国标报批稿)信息系统安全等级保护测评要求(国标报批稿)GB/T 25058-2010 信息系统安全等级保护实施指南GB/T 25070-2010 信息系统等级保护安全设计技术要求?风险评估:BS7799 ISO17799 ISO27001 ISO 27002 GBT
11、 20984-2007 信息安全技术 信息安全风险评估规范 等保测评与风险评估的区别可以简单的理解为等保是标准或体系,风险评估是一种针对性的手段。024681012物理安全网络安全数据安全主机安全应用安全0246810物理安全网络安全数据安全主机安全应用安全为什么需要进行风险评估?为什么需要进行风险评估?该买辣椒水呢还是请保镖?什么样的信息系统才是安全的?如何确保信息系统的安全?两个基本问题两个基本问题什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安全如何确保信息系统的安全?风险分析风险管理基本问题的答案潜在损失在可以承受范围之内的系统风险分析安全决策风险管理两个答案
12、的相关性两个答案的相关性安全保障体系建设安全保障体系建设安全成本效率安全-效率曲线安全-成本曲线要研究建设信息安全的综合成本与信息安全风险之间的平衡,而不是要片面追求不切实际的安全不同的信息系统,对于安全的要求不同,不是“越安全越好”安全效率兼容信息系统矛盾三角三类操作系统举例怎么做风险评估?怎么做风险评估?评估到底买辣椒水还是请保镖更合适可能的攻击可能的攻击信息的价值可能的损失风险评估简要版资产弱点影响弱点威胁可能性+=当前的风险级别风险分析方法示意图损失的量化必须围绕用户的核心价值,用户的核心业务流程!如何量化损失否是否是风险评估的准备已有安全措施的确认风险计算风 险是 否接受保持已有的控
13、制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档风险评估流程等级保护下风险评估实施框架保护对象划分和定级网络系统划分和定级资产脆弱性威胁风险分析基本安全要求等级保护管理办法、指南信息安全政策、标准、法律法规安全需求风险列表安全规划风险评估结合等保测评的风险评估流程47风险评估项目实施过程计划准备实施报告跟踪48评估工作各角色的责任评估工作各角色的责任评估组长评估员XX公司安全管理员?负责管理问卷访谈和运维问卷访谈;?组织评估活动,控制协调进度,保证按计划完成评估任务;?组织召开评估会议
14、;?代表评估小组与受评估方管理层接触;?组织撰写风险评估报告、现状报告和安全改进建议?提交评估报告。?负责风险评估技术部分的内容包括:网络、主机系统、应用和数据库评估?熟悉必要的文件和程序;?准备风险评估技术评估工具;?撰写每单位的评估报告;?配合支持评估组长的工作,有效完成评估任务;?收存和保护与评估有关的文件。?负责配合顾问提供风险评估相关的工作环境、评估实现条件;?备份系统数据;?配合评估顾问完成资产分类、赋值、弱点威胁发现和赋值、风险处理意见等工作;?掌握风险评估方法;?收存和保护与评估有关的文件。?完成扫描后,检查风险评估后系统的安全性和稳定性49风险评估项目实施过程计划准备实施报告
15、跟踪50制定评估计划制定评估计划?评估计划分年度计划和具体的实施计划,前者通常是评估策划阶段就需要完成的,是整个评估活动的总纲,而具体的评估实施计划则是遵照年度评估计划而对每次的评估活动所作的实施安排。?评估计划通常应该包含以下内容:?目的:申明组织实施内部评估的目标。?时间安排:评估时间避免与重要业务活动发生冲突。?评估类型:集中方式(本次项目采用集中评估方式):集中方式(本次项目采用集中评估方式)?其他考虑因素:范围、评估组织、评估要求、特殊情况等。?评估实施计划是对特定评估活动的具体安排,内容通常包括:?目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间?评估计划应
16、以文件形式颁发,评估实施计划应该有评估组长签名并得到主管领导的批准。主管领导的批准。51风险评估计划示例风险评估计划示例评估目的评价信息安全管理体系运行的符合性和有效性评估范围评估准则XX公司信息安全管理办法ISO27001信息安全管理体系。评估小组评估组长评估组员评估活动时间负责人备注填写信息资产采集表X月上旬实施风险评估过程X月中旬不符合项及高危风险纠正X月末各相关部门负责人跟踪验证X月上旬评估小组召开风险评估整改会议X月下旬信息部领导编制编写者时间年月日评估评估者(信息按照专责签字)时间年月日批准批准者(信息部门领导签字)时间年月日52风险评估实施计划示例风险评估实施计划示例评估目的对I
17、SMS进行内部评估,为体系纠正提供依据,为管理评审提供输入评估范围评估准则XX公司信息安全管理办法ISO27001信息安全管理体系。评估方式集中式评估评估时间X年X月XX月X日评估组织评估组长评估组员第一小组第二小组评估安排日期时间评估区域评估内容第一小组第二小组第一小组第二小组X9:00-9:30会议室首次会议9:30-12:0014:00-17:0017:00-18:00X9:00-11:0011:00-12:00会议室评估小组会议14:00-15:00会议室末次会议编制编写者时间 年月日评估评估者(信息安全管理员签字)时间 年月日批准批准者(信息部管理者签字)时间 年月日53风险评估项目
18、实施过程计划准备实施报告跟踪54检查列表的四要素检查列表的四要素去哪里?找谁?查什么?如何查?55风险评估常用方法风险评估常用方法?检查列表:评估员根据自己的需要,事先编制针对某方面问题的检查列表,然后逐项检查符合性,在确认检查列表应答时,评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。?文件评估:评估员在现场评估之前,应该对受评估方与信息安全管理活动相关的所有文件进行审查,包括安全方针和目标、程序文件、作业指导书和记录文件。?现场观察:评估员到现场参观,可以观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。?人员访谈:与受评估方人员进行面谈,评估员可以
19、了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记录和总结,必要时要和访谈对象进行确认。?技术评估:评估员可以采用各种技术手段,对技术性控制的效力及符合性进行评估。这些技术性措施包括:自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。56评估员检查工具评估员检查工具检查列表检查列表?检查列表(Checklist)是评估员进行评估时必备的自用工具,是评估前需准备的一个重要工作文件。?在实施评估之前,评估员将根据分工情况来准备各自在现场评估所需的检查列表,检查列表的内容,取决于评估主题和被评估部门的职能、范围、评估方法及要求。?检查列表在信
20、息安全管理体系内部评估中起着以下重要作用:?明确与评估目标有关的抽样问题;?使评估程序规范化,减少评估工作的随意性和盲目性;?保证评估目标始终明确,突出重点,避免在评估过程中因迷失方向而浪费时间;?更好地控制评估进度;?检查列表、评估计划和评估报告一起,都作为评估记录而存档。57?检查列表编写的依据,是评估准则,也就是信息安全管理标准、组织信息安全方针手册等文件的要求?针对受评估部门的特点,重点选择某些应该格外关注的信息安全问题?信息的收集和验证的方法应该多种多样,包括面谈、观察、文件和记录的收集和汇总分析、从其他信息源(客户反馈、外部报告等)收集信息等?检查列表应该具有可操作性检查列表应该具
21、有可操作性?检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求?如果采用了技术性评估,可在检查列表中列出具体方法和工具?检查列表的形式和详略程度可采取灵活方式?检查列表要经过信息安全主管人员审查无误后才能使用检查列表编写注意事项检查列表编写注意事项58常用技术工具清单?技术漏洞扫描工具技术漏洞扫描工具?针对操作系统、典型应用软件漏洞(针对操作系统、典型应用软件漏洞(Nessus、绿盟极光、启明天镜)启明天镜)?针对网络端口(针对网络端口(Nmap)?针对数据库漏洞针对数据库漏洞(安信通、安恒安信通、安恒)?针对针对Web漏洞(漏洞(IBM Appscan、HP WebInspect WVS
22、)?针对网络数据流(WireShark、Ethereal)59风险评估项目实施过程计划准备实施报告跟踪60召开首次会议召开首次会议?在完成全部评估准备工作之后,评估小组就可以按照预先的计划实施现场评估了,现场评估开始于首次会议,评估小组的计划实施现场评估了,现场评估开始于首次会议,评估小组全体成员和受评估方领导及相关人员共同参加。?首次会议由评估组长主持,评估小组要向组织的相关人员介绍评估计划、具体内容、评估方法,并协调、澄清有关问题。?召开首次会议时,与会者应该做好正式记录。61首次会议议程及内容首次会议议程及内容62风险评估原则风险评估原则?在风险评估前,需要对技术评估的风险进行重审。?被
23、评估方应在接受技术评估前对业务系统备份。被评估方应在接受技术评估前对业务系统备份。?在技术扫描过程中,需要系统管理员全程陪同。?参考最近一年的风险评估记录.?在遇到异常情况时,及时通知管理员,并且停止评估。?技术评估安排在对系统影响较小的时间进行63实施现场评估实施现场评估?首次会议之后,即可进入现场评估。现场评估按计划进行,评估内容参照事先准备好的检查列表。?评估期间,评估员应该做好笔记和记录,这些记录是评估员提出报告的真凭实据。记录的格式可以是“笔记式”,也可以是“记录表式”,一般来说,内审活动都应该有统一的“现场评估记录表”,便于规范化管理。?评估进行到适当阶段,评估组长应该主持召开评估
24、小组会议,借此了解各个评估员的工作进展,提出下一步工作要求,协调有关活动,并对已获得的评估证据和评估发现展开分析和讨论。64对不符合项进行描述对不符合项进行描述?无论是严重不符合项还是轻微不符合项,评估员都应该将其记录到不符合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并经过受评估方确认的对不符合项的陈述,是最终的评估报告的一部分,是评估小组提交给委托方或受评估方的正式文件。?不符合项描述应该明确以下内容:?在哪里发现的?描述相关区域、文件、记录、设备?发现了什么?客观描述发现的事实?有谁在场?或者和谁有关?描述相关人员、
25、职位?为什么不合格?描述不符合原因,所违背的标准或文件条款?在对不符合项进行描述时,应该注意:?不符合项描述务必清楚明白,便于追溯?描述语句务必正规,采用标准术语65现场工作时间安排(一)现场工作时间安排(二)67召开评估小组会议召开评估小组会议?现场评估结束后,末次会议召开之前,评估小组应该召开内部碰头会。或者是在整个评估过程中,定期(每天结束时)召开评估小组碰头会?同一评估小组的成员参加?会议期间讨论当前的评估结果?沟通评估信息、线索?协调评估方向,控制评估实施按计划进行?评估组长作评估总结准备。在末次会议之前的评估组会议中,评估组长要对评估的观察结果作一次汇总分析:?从发现的风险进行分析
26、(发生的部门、要素、性质、类型)?从技术漏洞的趋势分析(不同业务系统的比较)?从体系运行状况对影响情况进行分析?总结各项安全措施落实的优缺点68召开末次会议?现场评估之后,评估组长应该主持召开末次会议,有评估小组、受评估现场评估之后,评估组长应该主持召开末次会议,有评估小组、受评估方领导和各相关部门负责人共同参加。方领导和各相关部门负责人共同参加。?末次会议的任务在于:向受评估方介绍评估的情况;报告评估发现(重末次会议的任务在于:向受评估方介绍评估的情况;报告评估发现(重大风险点)和评估结论;提出后续工作的建议(纠正措施等);结束现场大风险点)和评估结论;提出后续工作的建议(纠正措施等);结束现场评估。评估。69末次会议议程及内容末次会议议程及内容等级保护测评中的风险分析?风险分析和评价 安全事件可能性分析 安全事件后果分析安全事件后果分析 风险分析和评价重点回顾?风险评估基本概念(P5)?资产赋值的一般方法(P11-P16)?风险分析原理(P23)?风险评估流程(P54)
