信息安全风险评估解读

《信息安全风险评估解读》由会员分享，可在线阅读，更多相关《信息安全风险评估解读（50页珍藏版）》请在金锄头文库上搜索。

1、信息安全风险评估 风险评估流程介绍 风险评估特点介绍 风险评估与等级保护的结合 绿盟科技 服务产品部 孙铁 2008年3月 2 Professional Security Solution Provider 员工和客户访问资源 可用性 客户和业务信息的保护 机密性 客户和业务信息的可信赖性 完整性 信息安全的涵义 Confidentiality：阻止未经授权的用户读取数据 Integrity：阻止未经授权的用户修改或删除数据 Availability：保证授权实体在需要时可以正常地使用系统 3 Professional Security Solution Provider Confidenti

2、ality 保密性 Availability 可用性 Integrity 完整性 在某些组织中， 完整性和/或可用性比保密性更重要 信息安全的概念 4 Professional Security Solution Provider Integrity Availability Confidentiality Correctness Completeness Validity Authenticity Non-repudiation Continuity PunctualityExclusivity Manipulation Destruction Falsification Repudiati

3、on Divulgation Interruption Delay SECURITY = QUALITY 5 Professional Security Solution Provider 四种信息安全工作模式 事件导向 没有统一的安全管理部门 没有安全预算 非正规的安全组织和流程 实施了基本的安全工具 流程导向 信息安全由IT部门管理 有科学的安全预算 有正式的安全组织和流程 实施了基本的安全工具 风险导向 信息安全由CIO直接负责 有与风险平衡的安全预算 基于风险而整合的基础设施 使用主动性安全技术 信息安全由IT部门管理 有科学的安全预算 分布式管理和非正规流程 有较强的安全技术资源 技

4、术导向 技术要求 高 流 程 要 求 高 6 Professional Security Solution Provider 风险避免，风险降低，风险转移，风险接受 安全性 风险性 安全需求 高 高低 安全风险 支出平衡点 安全的风险管理 7 Professional Security Solution Provider 风险评估的发展现状 8 Professional Security Solution Provider 信息安全风险评估在美国的发展 第一个阶段（60-70年代）以计算机为对象的信息保密阶段 1967年11月到1970年2月，美国国防科学委员会委托兰德公司 、迈特公司（MIT

5、IE）及其它和国防工业有关的一些公司对当时的大型 机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只 限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二个阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面 的风险评估。 第三个阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能 力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评 估、认证认可的工作思

6、路 9 Professional Security Solution Provider 我国风险评估发展 2002年在863计划中首次规划了系统安全风险分析和 评估方法研究课题 2003年8月至今年在国信办直接指导下，组成了风险评 估课题组 2004年,国家信息中心风险评估指南, 风险管理指 南 2005年,全国风险评估试点 在试点和调研基础上，由国信办会同公安部，安全部，等 起草了关于开展信息安全风险评估工作的意见征求意 见稿 2006年, 所有的部委和所有省市选择1-2单位开展本地风 险评估试点工作 10 Professional Security Solution Provider 银行

7、业金融机构信息系统风险管理指 引 银行业金融机构内部审计指引 2006年度信息科技风险内部和外部 评价审计的通知 提纲 11 Professional Security Solution Provider 风险评估要素关系模型 安全措施 抗击 业务战略 脆弱性 安全需求威胁风险 残余风险安全事件 依赖 拥有 被满足 利用 暴露 降低 增加 增加导出 演 变 未被满足 未控制可能诱发 残留 成本 资产 资产价值 12 Professional Security Solution Provider 风险评估流程 确定评估范围 资产的识别和影响分析 威胁识别 脆弱性评估 威胁分析 风险分析 风险管理

8、 13 Professional Security Solution Provider 风险评估原则 符合性原则 标准性原则 规范性原则 可控性原则 保密性原则 整体性原则 重点突出原则 最小影响原则 14 Professional Security Solution Provider 评估依据的标准和规范 信息安全管理标准ISO17799（GB/T19716）、ISO27001 信息安全管理指南ISO 13335（GB/T19715) 信息安全通用准则ISO 15408（GB/T18336） 系统安全工程能力成熟模型SSE-CMM 国家信息中心风险评估指南 国家信息中心风险管理指南 计算机信

9、息系统安全等级保护划分准则（GB/T17859） 计算机信息系统等级保护相关规范 其他相关标准（AS/NZS 4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3000 ，GB/T17859，IATF） 相关法规及行业政策 15 Professional Security Solution Provider 资产的识别与影响分析 业务应用系统调研 业务影响分析 资产属性：可用性、完整性、保密性 影响分析：经济损失、业务影响、系统破坏、信誉影响、商机泄露、法 律责任、人身安全、公共秩序、商业利益 估价公式：Asset Value = Round1Log2(2C

10、onf+2Int+2Avail)/3 划分边界 区分子系统 辅助定级 信息资产识别 物理资产 软件资产 硬件资产 其他资产 16 Professional Security Solution Provider 业务调研方法 17 Professional Security Solution Provider 威胁评估 威胁识别 系统合法用户 操作错误，滥用授权 ，行为抵赖 系统非法用户 身份假冒，密码分析 ，漏洞利用，拒绝服务 ，恶意代码 ， 窃听数据 ，物理破坏 ，社会工程 系统组件 意外故障 ，通信中断 物理环境 电源中断 ，灾难 威胁属性：威胁的可能性 18 Professional S

11、ecurity Solution Provider TelnetSMTPDNSFTP UDPTCPIP 以太网无线网络SATNETARPNET 应用程序攻击 监听，拒绝服务 系统漏洞利用 硬件设备破坏 电磁监听 物理窃取 Windows*nix*BSDLinux 应用层 系统层 网络层 物理层 管理层 信息系统每个层次都存在威胁 19 Professional Security Solution Provider 脆弱性评估 技术脆弱性评估 管理脆弱性评估 现有安全措施评估 脆弱性的属性：脆弱性被威胁利用成功的可能性 存在的攻击方法 技术脆弱程度 管理脆弱程度 20 Professional

12、Security Solution Provider 脆弱性数据来源 技术方面 工具扫描 功能验证 人工检查 渗透测试 日志分析 网络架构分析 管理方面 文档审核 问卷调查 顾问访谈 安全策略分析 21 Professional Security Solution Provider 威胁及脆弱性评估工具 网络入侵检测系统 远程评估系统 安全检测包（LSAS） Microsoft安全基准分析器 风险评估分析工具 风险信息库工具 22 Professional Security Solution Provider 工具扫描 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务

13、 域名服务 Mail服务 SQL注入检查 Windows远程访问 数据库问题 后门程序 其他服务 网络拒绝服务(DOS) 其他问题 23 Professional Security Solution Provider 工具扫描 24 Professional Security Solution Provider 人工检查 路由器、交换机等网络设备的配置是否最优，是否配置了 安全参数； 主机系统的安全配置策略是否最优，是否进行了安全增强 ； 终端设备的安全配置策略是否最优，是否进行了安全增强 ; 对终端设备和主机系统抽查进行病毒扫描； 对防火墙、入侵检测、SUS、SMS等安全产品安全策略 及其日

14、志进行分析。 25 Professional Security Solution Provider IDS采样分析 26 Professional Security Solution Provider 渗透测试 完全模拟黑客可能使用的攻击技术和漏洞发现技术，对 重点目标系统的安全作深入的探测，发现系统最脆弱的 环节。 渗透测试的目的不是发现系统所有的问题，而 是从一个侧面反映系统现有的安全状况和安全 强度，从而以一种直观的方式增强单位的信息 安全认知度，提高单位对信息安全的重视程度 。 根据用户方需求决定是否采用。 27 Professional Security Solution Provi

15、der 调查对象 网络系统管理员、安全管理员、技术负责人等 调查内容 业务、资产、威胁、脆弱性（管理方面） 设计原则 完整性 具体性 简洁性 一致性 问卷调查 28 Professional Security Solution Provider 访谈对象 安全管理员、技术负责人、网络系统管理员等 访谈内容 确认问卷调查结果 详细获取管理执行现状 听取用户想法和意见 顾问访谈 29 Professional Security Solution Provider 安全策略分析 安全策略文档是否全面覆盖了整体网络在各方各面的安 全性描述，与BS7799进行差距分析； 在安全策略中描述的所有安全控制、管理和使用措施是 否正确和有效； 安全策略中的每一项内容是否都得到确认和具体落实。 30 Professional Security Solution Provider 系统架构分析 系统建设的规范性：网络安全规划、设备命名规范性、网络架构安 全性； 网络的可靠性：网络设备和链路冗余、设备选型及可扩展性； 网络边界安全：网络设备的ACL、防火墙、隔离网闸、物理隔离、 VL