《信息系统安全风险评估应用:基础知识》由会员分享,可在线阅读,更多相关《信息系统安全风险评估应用:基础知识(7页珍藏版)》请在金锄头文库上搜索。
1、版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。在开始进行实际的信息系统安全风险评估操作前,先来了解一些有关信息系统安全风险评估的基础知识,明白一些与安全风险评估相关的术语,将有助于让你明了要如何才能完成一次信息系统安全风险评估。一、我们为什么需要信息系统安全风险评估很显然,当要我们很欣然地接受和使用某一种新技术来协助我们进行安全防范工作时,这种技术就必需有能够驱使我们去使用它的理由。这此理由也就是这种技术在某 个安全防范方面的主要作用,而我们也就是冲它的这些主要作用才去使用它的。对于信息系统安全风险评估来说,我们在本文的
2、开头中已经大概了解了他的定义,从它的定义当中,我们可以了解到风险评估可以在信息系统的生命周期的各个阶段使用。由于信息系统生命周期的各个阶段的安全防范目的不同,致使使用风险评估的目的也各不相同,因此,信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。信息系统的生命周期分为设计、实施、运行维护和最终销毁这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的主要作用如下所示:1、在信息系统生命周期的设计和实施阶段,使用信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。2、
3、在信息系统生命周期的运行维护阶段,使用信息系统安全风险评估可以起到如下的作用:(1)了解防火墙、IDS 及其它安全设备是否真的按原先配置的意图在运行,它们实际的安全防范效果是否有满足安全目标的要求;(2)了解安全防范策略是否切合实际,是否被全面执行;(3)检验机构内部员工的安全意识,网络操作行为及数据使用方式是否正常;(4)当信息系统因某种原因做出硬件或软件调整后,使用信息系统安全风险评估来确定原本的安全措施是否依然有效,如果不行,应当在哪些方面做出相应的修改等等。3、在信息系统生命周期的最终销毁阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复;淘
4、汰的信息系统中的设备确实已经被妥善保管,没有被流失出去的危险等作用。二、信息系统安全风险评估的通用处理流程信息系统安全风险评估不是一个可以随意就能完成的任务,为了能保证风险评估按一定的方式有序、正确地执行,以及评估结果的真实有效;也为了能减少在风险评估过程中有可能产生的有意或无意错误;同时还为了提高风险评估的效率,缩短评估的时间,以减少对正常业务的影响。为信息系统安全风险的评估工作制定一个有效的处理流程是很有必要的。在现在出现了的一些信息系统风险评估标准中(例如我国,在 2006 年 3 月 7 日,由国务院信息化办公室印发的信息安全风险评估指南 ) ,已经提出了处理风险评估的通用流程。但是,
5、这些通用的风险评估流程并不包括具体细节,你和你的风险评估团队应当根据需要评估的对象来自行决定。同时,我们在风险评估过程中,还要以这些风险评估标准作为评估结果的参考标准,以便给出具体的风险评估值。在这里,我同样只给出这个通用信息系统安全风险评估流程的主框架,具体的处理细节会在第二节中详细说明。这个通彻的风险评估处理流程如下所示:1、信息系统安全风险评估准备阶段2、信息系统安全风险评估对象风险检测阶段3、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段4、后期安全维护阶段版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途
6、。三、了解信息系统安全风险评估中的三个重要术语1、评估对象在信息系统安全风险评估过程中,我们首先要做的就是指定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备或应用程序、物理安全保障设备,这些都可以是构成独立的评估对象,甚至连使用这些信息系统的人也可以作为一个评估对象。总的来说,目前可以将整个计算机信息系统分为六个主要的评估对象:(1) 、信息安全风险评估(2) 、业务流程安全风险评估(3) 、网络安全风险评估(4) 、通信
7、安全风险评估(5) 、无线安全风险评估(6) 、物理安全风险评估2、评估项目信息系统安全风险评估的评估项目是针对某个具体的评估对象来定的,用来决定评估对象具体要评估的某个方面,例如,对于物理安全风险评估,就需要对评估对象所在的周边环境进行安全风险评估,以及对评估对象已经完成的物理安全措施进行风险评估等,这些就是信息系统安全的风险评估项目。每一个评估对象都有属于自己独特的评估项目,这是每个评估对象独特的属性所决定的。下面是六个主要的安全风险评估对象的主要评估项目的简短描述:(1) 、信息安全风险评估的主要评估项目、信息的安全状况评估、信息的完整性审查、机密信息调查、网络操作痕迹信息检查、信息在使
8、用过程中的安全性审查、隐私信息机密性审查、信息可控性审查、信息存储安全性审查(2) 、业务流程安全风险评估的主要评估项目、业务流程安全现状评估、业务请求安全性审查、业务反请求安全性审查、业务处理流程安全性审查、业务处理人员可信赖性测试(3) 、网络安全风险评估的主要评估项目、网络安全现状评估、入侵检测审查、网络传输安全性评估、网络应用安全性评估、网络弱点及漏洞检测与验证、网络中交换机及路由器安全性评估、访问控制测试、主要网络攻击方式测试(如 DOS)版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。、网络行为审查、网络安全策
9、略、警报和日志文件审查(4) 、通信安全风险评估的主要评估项目、Modem 等通信设备安全性检测、VOIP 安全性评估、网络传真安全性评估、远程访问安全性评估、即时通信安全性评估(包括即时聊天、网络视频会议、网络远程监控等)(5) 、无线安全风险评估的主要评估项目、电磁辐射测试、802.11a/b/g 无线网络安全风险评估、蓝牙安全性评估、无线输入输出设备安全性测试、无线手持设备安全性测试、无线设备接入或退出安全性测试、无线传输设备安全性测试、无线通信保密性测试、其它无线通信方式检测(如 RFID 及红外线连接等)(6) 、物理安全风险评估的主要评估项目、物理安全现状评估、物理安全访问控制的安
10、全性测试、物理监控设备运行审查、警报响应审查、物理安全防范位置审查、计算机系统所处位置周边物理安全审查、计算机系统所处位置当地自然条件、环境因素调查评估任务评估任务就是指要达到某个风险评估项目的评估目标时,要具体进行的所有评估操作任务。评估任务与每个评估项目相对应,具体的评估任务可以由你和你的团队根据实际需求来决定。评估任务制定得全不全面,切不切合实际,会直接影响到信息系统安全风险评估的最终结果是否与风险评估的目标相一致。因此,当决定这些评估任务时,参与决定的人员不仅要有丰富的经验,而且手里要有充足的与评估对象相关的各种有效的资料;同时,要对目前的安全威胁,各种系统或设备的弱点和漏洞,各种攻击
11、手段有充分的了解;而且,还要能仔细识别评估对象的资产类型及其重要性等。由于评估任务是与具体的评估对象和评估项目来决定的,还与当前的安全威胁状况及发展趋势有关,同时由于文章篇幅的限制。因此,在本文中只能分别对这六个评估对象中的一到二个评估项目给出一些通用的评估任务。至于其它评估项目的评估任务,你和你的评估团队可以参考本文中给出的评估任务内容实例,使用头脑风暴的方法,通过分析收集到的各种有效资料来自行决定。(1) 、信息安全风险评估中隐私信息机密性审查的评估任务隐私信息的机密性审查,主要是为了检测机构中员工及客户的隐私信息在使用、传输和存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法
12、律条规,因此,在决定这个项目的评估任务时,要充分考虑机构所在区域的国家及地区法规。通常,要进行一次全面的隐私机密性审查,应当完成下列所示的评估任务:、比对实际的隐私信息访问方式与隐私访问策略中规定的方式之间的差异;版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。、检查隐私信息的监控保护方式符合当地的法律法规;、标识出存储的隐私信息的数据库类型和大小;、标识由机构收集到的各种隐私信息;、确定隐私信息存储的位置;、了解当前网络浏览时 COOKIE 保存类型和保留的时间;、识别保存在 COOKIE 中的各种隐私信息;、验证 CO
13、OKIE 使用的加密方法;、识别机构的 WEB 服务器可能产生错误的位置,了解错误发生时返回给浏览用户的信息类型。(2) 、信息安全风险评估中网络操作痕迹信息检查的评估任务网络操作痕迹信息的检查,主要是为了调查机构内部某些员工在网络操作后留下的操作痕迹,用审查是否有一些与组织相关的机密信息遗留在互联网当中。这个评估项目是信息安全风险评估中非常重要的一个部分,要完成一次全面的互联网操作行为信息检查,下面这些评估任务是不能少的:、检查机构内部员工 WEB 数据库和缓存中的内容;、检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
14、、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;、了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限;、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索;、检查机构内部员工是否在使用 P2P 软件,在法律条件允许下审查 P2P 通信内容。(3) 、网络安全风险评估中网络弱点及漏洞检测与验证的评估任务网络弱点及漏洞检测与验证是为了找出网络中
15、存的安全弱点和漏洞,并且验证这些弱点和漏洞是否可以真的被利用。在评估过程中使用一些基于网络的弱点扫描及渗透测试工具,能大大提高评估工作的效率。但是,在使用弱点扫描工具时不能对它检测后的结果全盘接受,这是由于现在大部分的弱点扫描工具都是通过与自己的弱点和漏洞数据进行比对,来决定检测对象是否存某弱点或漏洞的。一旦工具的漏洞数据库不能及时更新,或不能包括所有目前已经发现的漏洞,那么,其检测结果就不一定完全可靠。并且,由于这些工具本身设计缺陷和能力限制,在使用过程中会出现误报和漏报的问题,误报会让我们白担心一场,而漏报却会让我们处于重大安全事故发生的边缘。因此,在弱点扫描后进行人工核查和渗透测试能减少
16、漏报和误报的发生。要完成一次彻底的网络弱点及漏洞检测与验证的评估项目,下面完成下面的评估任务:、结合目前最流行的弱点扫描和渗透工具,对目标网段进行测试;、使用弱点扫描工具,按由外向内,由内向外的两种方式扫描目标网段;、确定存在弱点或漏洞的系统和应用程序的类型;、确定存在漏洞的服务;、确定应用程序和服务存在漏洞的类型;、识别操作系统和应用程序中的存在的所有漏洞,识别所有存在漏洞的操作系统和应用程序;、确定这些漏洞是否可以影响到其它相似的目标网络或系统;版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。、通过人为渗透测试的方法来检测找到的弱点或漏洞是否真实存在;、检验这些漏洞可以被利用的机率,利用后可能产生的后果。(4) 、通信安全风险评估中 Modem 等通信设备安全性检测的评估任务Modem 等通信设备的安全性检测主要是为了检验调制解调器
