风险评估与测评

《风险评估与测评》由会员分享，可在线阅读，更多相关《风险评估与测评（144页珍藏版）》请在金锄头文库上搜索。

1、第5讲 风险评估分析与测评5.1 资产识别 5.2 威胁识别 5.3 脆弱性识别 5.4 信息安全测评方法 5.5 数据安全测评 5.6 主机安全测评 5.7 网络安全测评 5.8 应用安全测评 5.9 风险分析5.1 资产识别略5.2 威胁识别威胁（threat）：指可能导致对系统或组织危害的 事故潜在起因。威胁识别（threat recognition）：指分析事故潜 在起因的过程。重点识别：按照资产的重要性进行排序，从而决定 投入威胁识别的资源多少。5.2.1 威胁分类威胁来源分类威胁分类威胁赋值（历史记录、现场取证、权威发布）5.2.2 威胁识别案例分析信息环境软环境威胁识别信息环境硬

2、环境威胁识别公用信息载体威胁识别专用信息载体威胁识别威胁输出报告信息环境软环境威胁识别人员资产威胁识别：欺骗威胁、窃密、权限滥用信息环境软环境威胁识别管理制度威胁识别信息环境硬环境威胁识别机房及保障设备威胁分类及其严重程度赋值5.2.3 公用信息载体威胁识别通信设备威胁识别5.2.3 公用信息载体威胁识别安全防护设备威胁识别5.2.4 专用信息载体威胁识别5.2.5 威胁识别输出报告5.3 脆弱性识别脆弱性（vnlnerability），指可能被威胁所利用的 资产或若干资产的薄弱环节。管理脆弱性大体上可以分为两类：一类是结构脆弱 性，即信息安全管理体系不完备。如一个组织的信 息系统只有安全管理

3、岗位，没有安全审计员岗位等 。第二类是操作脆弱性，在其位不谋其政。各种管 理制度虽然完整，但并没有真正得到贯彻执行。脆弱性发现： （）谨慎挑选扫描工具 （）多方验证扫描结果 （）不要盲从扫描结论 （）既要树木又要森林 5.3.1 脆弱性分类5.3.2 脆弱性验证（）脆弱性的在线验证 （）脆弱性的仿真验证 （）对待脆弱性的客观态度5.3.3 脆弱性赋值等级标识定义很高如果被威胁利用，将对资产造成完全损 害 高如果被威胁利用，将对资产造成重大损 害 中等如果被威胁利用，将对资产造成一般损 害 低如果被威胁利用，将对资产造成较小损 害 很低如果被威胁利用，其对资产造成的损害 可以忽略5.3.4 脆弱

4、性识别案例分析以“数字兰曦”系统为例 （）网络脆弱性 （）主要系统脆弱性 （）应用系统脆弱性 （）管理脆弱性一、信息环境脆弱性识别 软环境脆弱性识别管理脆弱性 一、信息环境脆弱性识别 2软环境脆弱性识别人员脆弱性 一、信息环境脆弱性识别 3硬环境脆弱性识别二、公用信息载体脆弱性识别 网络平台配置脆弱性 （）“数字兰曦”子系统间VLAN存在交叉划分问题 ，各个子系统之间的服务器存在不同子系统服务范 围划分在同一VLAN的情况。该脆弱性带来的影响：根据此段漏洞扫描的结果， 在此网段存在很容易让黑客利用的漏洞。如果攻击 者利用一个漏洞成功控制此网段的任何一台服务器 ，就会对其他服务器造成非常大的威胁

5、。 （）与“兰芯”子系统联系非常紧密的办公自动化 子系统服务器放在DMZ区。该脆弱性带来的影响：为对“兰芯”子系统是非常 危险的，因为DMZ区上的服务器都是外界能访问的。 布此服务器能访问内网的其他服务器。这样，攻击 者一旦攻破办公自动化子各系统服务器，会对“兰 芯”子系统造成非常严重的威胁。二、公用信息载体脆弱性识别 2公用信息载体脆弱性三、专用信息载体脆弱性识别 （）信息欺骗漏洞（CVE-20040786、CVE-2004-0751）。 由于操作系统的安装未对Guest账户进行安全设置，攻击者可 以利用空会话、Guest账户登录主机，并改变其系统的配置， 造成严重后果。该脆弱性带来的影响：

6、信息欺骗漏洞出现在“兰芯”子系统的 中心服务器操作系统中，该系统属于“数字兰曦”的核心系统 ，如果被攻击者通过Guest账户等一些方式登录，就可以破坏 系统的权限设置。（）拒绝服务漏洞（CVE-2004-0786、CVE-2004-0751、CVE- 2004-0809）。HP主机运行的Apache版本过于陈旧，低于2.0.51版本，是“兰 芯”子系统的一个严重隐患。该脆弱性带来的影响：拒绝服务漏洞一旦被攻击者利用，就可 以停止系统中运行的Apache服务，而该系统又运行在“兰芯” 子系统专用服务器上，一旦服务停止，系统将会受到严重的破 坏，使用户无法访问。专用信息及信息载体脆弱性严重程度赋值

7、四、脆弱性仿真 1“兰芯”子系统“空口令”漏洞仿真实验利用空口 令登录远程主机，安装木马程序。关键命令如下：ping 192.168.1.71net use 192.168.1.71ipc$ “” /user： “administrator” 命令成功完成，说明是空口 令copy setup.exe 192.168.1.71 c$ 复制文件到被攻击主机上net time 192.168.1.71 获取目标机上的时间信息at 192.168.1.71 07:07 setup.exe 设定一个程序运行的时间，可以看到增加作业成功五、脆弱性输出报告 5.4 信息安全测评方法测评的科学精神：怀疑、批判

8、、创新、求实、协作测评的科学方法：系统科学/系统工程方法测评的贯标思想：首先有一个限定的框架，所有的测 评活动都在这个框架之内完成，这个框架就是ISO和各 国颁布的各种标准规范。贯标(executing of standards),指测评人员在测评活 动中严格遵循相关标准的行为。测评人员的角色：质量检查员、监督员、审核员贯标的依据：中国有关信息系统安全评估的系列标准 ，如信息系统安全等级保护基本要求、信息安 全风险评估指南，等“蘑菇”模型示意图为何测评？信息系统如同高楼大厦一样，是否按照 国家标准进行设计、施工、验收和运行 维护，其工程质量是否达到“抗震”设 计要求？为何测评？贯彻国家标准规范

9、，保证在 规划、设计、建设、运行维护和奴役等 不同阶段的信息系统满足统一、可靠的 安全质量要求。美国可信计算机系统评价标准(TCSEC)TCSEC各个安全级别安全等级详细 描述典型系统示例D级D1未设置登录口令 C级C1机箱加锁C2用户访问权 限B级B1保护对象敏感分级标识 ，如秘密级、机 密级 B2给设备 分配安全级别 ，指定用户访 问工作站 B3采用硬件保护系统的存储区A级A1进行形式化安全验证 的系统，进行 产、销、用一条龙的安全跟踪TCSEC的基本思想基础。可信计算基（TCB）是构建安全大厦的基石 ，至底向上，局部之和等于整体的系统工程思想粒度。每一个安全级别都继承了上一个级别的所 有

10、安全机制，并逐步增强，因此安全控制粒度越来 越细费效比。安全级别逐步增强的同时，安全代价也 快速提高，确定分析安全级别时，分析核心资产、 面临的安全威胁和相应的漏洞，确定合理的费效比中国计算机安全等级保护标准第一级：信息系统受到破坏后，会对公民、法人和其他 组织的合法权益造成损害，但不损害国家安全、社会秩 序和公共利益第二级：信息系统受到破坏后，会对公民、法人和其他 组织的合法权益产生严重损害，或者对社会秩序和公共 利益造成损害，但不损害国家安全第三级：信息系统受到破坏后，会对社会秩序和公共利 益造成严重损害，或者对国家安全造成损害第四级：信息系统受到破坏后，会对社会秩序和公共利 益造成特别严

11、重损害，或者对国家安全造成严重损害第五级：信息系统受到破坏后，会对国家安全造成特别 严重的损害何时测评？贯穿它整个生命周期设计阶段建设阶段运行维护阶段废弃阶段测评什么？外网安全测评注意问题：外网安全模型测评：防止公网的各种攻击，重点 是外网抵御各种攻击的能力；如何保证提供服务的 连续性外网安全技术测评：对外网中各种安全设备、服 务器、网络设备和终端进行技术测评外网安全管理测评：对外网的各种管理制度、管 理机构进行测评测评什么？内网安全测评注意问题：内网安全模型测评：对内网及其各个子系统的安 全设计方案和建设、运行维护情况进行“符合性” 测评内网安全技术测评：按照国标对内网中的各种安 全设备、服

12、务器、网络设备和终端进行技术测评内网安全管理测评：按照国标对内网的各种管理 制度、管理人员和管理机构进行测评谁来测评？中国信息安全等级保护测评工作的形式 是“委托测评”，而信息安全风险评估 既可采用“委托测评”，也可“自评估 ”委托测评专业测评机构的权威性如何准备测评？向测评机构提交测评申请测评机构审核后，与用户签署安全服务 协议书（合同）与用户签署保密协议书向用户提交测评工作计划 工作目标、工作范围、工作重点、进度安排 保障措施、约束条件、计划审批、测评依据 术语与名词缩写怎样测评？“天网”信息安全测评服务工作计 划客户名称：巴山市政府信息中心 计划编制：“深海”信息安全测评中心 文档编号：

13、TW-GZJH-001 更新日期：2008.10.1第一章 工作目标第二章 工作范围第三章 工作重点第四章 进度安排第五章 保障措施第六章 约束条件甲方：（授权代表签字） 乙方：（授权代表签字）2008年 月 日附录A信息安全等级保护测评指南（GBXXX）信息系统安全等级定级指南（GBXXX）信息系统安全等级技术要点（GBXXX）附录B“天网”：巴山市电子政务信息系统G2G：巴山市电子政务网 5.5 数据安全测评数据安全测评的国家标准是什么？数据安全测评的种手段是什么？怎样进行数据安全测评？数据安全测评概述国家标准要求从“数据完整性”、“数据保密性” 、“数据备份与恢复”三个方面考虑国家标准要

14、求测评工程师采用访谈、检查和测试三 种方法访谈（Interview）：指测评人员通过有关人员进行交谈、讨 论等活动，获取证据以证明信息系统措施是否有效的一种方法检查（examination）：指测评人员通过对测评对象进行观察 、查验和分析等活动，获取证据以证明信息系统措施是否有效 的一种方法测试（testing）：指测评人员通过对测评对象按照预定的方 法/工具使其产生特定的行为等活动，然后查看、分析输出结 果，获取证据以证明信息系统措施是否有效的一种方法数据安全测评的实施数据安全访谈调研数据完整性访谈 1条数据保密性访谈 5条 数据备份与恢复访谈 4条访谈问卷调查表数据安全测评的实施数据安全现

15、场检查数据完整性检查 3条数据保密性检查 2条 数据备份与恢复检查 4条数据完整性检查 3项检查主机OS等的设计/验收文档或相关 证明材料,查看是否检测到数据在传输 过程中完整性受到破坏;检查主要应用系统,查看其是否配备检 测数据在传输过程中完整性受到破坏的 功能应检查主要应用系统,查看其是否配备 检测程序完整性受到破坏的功能,并在 检测到完整性错误时采取必要的恢复措 施。数据保密性检查 2项检查主机OS等的设计/验收文档或相关 证明材料,查看其是否有关于鉴别信息 、敏感信息采用采用加密或其他措施实 现保密传输性的描述;应检查主要应用系统，查看其鉴别信息 、敏感信息是否采用采用加密或其他措 施实现保密传输性的描述，是否采用加 密或其他保护措施实现存储保密性。数据备份与恢复检查 项检查设计/验收文档，是否有关于配置本地或 异地数据备份 恢复功能及策略的描述;检查主要主机OS等是否配置有本地异地备 份和恢复的功能，其配置是否正确。检查主要网络设备、通信线路等是否采用硬 件冗余、软件配置等技术手段提供系统的高 可靠性。检查网络拓扑结构是否存在关键节点的单点 故障数据安全测试数据保密性测试：在3级要求中，数据 保密