《信息安全风险评估实践与探索》由会员分享,可在线阅读,更多相关《信息安全风险评估实践与探索(23页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估实践与探索国家信息中心信息安全研究与服务中心国家信息中心信息安全研究与服务中心 安全评估事业部安全评估事业部 禄禄 凯凯Tel: (010) 68557159Tel: (010) 68557159 Fax: (010) 68557158Fax: (010) 68557158 Email: Email: http:/http:/ Information Security Research & Service Information Security Research & Service Institution Of State Information CenterInstitu
2、tion Of State Information Center *1汇报内容一、网络空间安全与风险评估一、网络空间安全与风险评估 二、评估实践的一些体会二、评估实践的一些体会 三、案例分析三、案例分析 四、安全服务中心业务开展情况四、安全服务中心业务开展情况Date2一、网络空间安全与风险评估拿到Web后台管理 账户结 果80端 口IE或其他浏览器工 具SQL注入方 法n威胁无处不在:一种常见的攻击资产资产威胁威胁页面篡改 数据失密 数据丢失 .政治影响 经济影响风险风险漏洞漏洞索引内容:特殊字符Date3一、网络空间安全与风险评估n n安全威胁日益严重安全威胁日益严重复合威胁:蠕 虫、病毒
3、、特 洛伊木马黑客攻击基础设施 Flash威胁 大规模蠕虫侵入 分布式Dos攻击 可加载病毒和蠕虫 (如脚本病毒.)Date4面对层出不穷的安全漏洞和各式各样的威面对层出不穷的安全漏洞和各式各样的威 胁,简单的产品堆叠无法保证您的信息安全!胁,简单的产品堆叠无法保证您的信息安全!一、网络空间安全与风险评估n要保护什么n n达到什么安全程度?达到什么安全程度?n n是否达到了考核标准?是否达到了考核标准?员 工Hacks/Cracks自然界和环 境威胁内部人员的操 作失误或恶意 行为系统故障信息及相关资源其他问题蠕虫、木马病毒泛滥Date5一、网络空间安全与风险评估2005年2月,美国总统信息技
4、术顾问委员会(PITAC)向美国总统 提交了一份最新报告网络空间安全:迫在眉睫的危机。提出美 国目前网络空间安全所面对的重大问题包括:1、IT基础设施在恐怖和敌对攻击面前非常脆弱;2、网络漏洞和网络攻击增长速度非常快;(2040)3、无所不在的互联意味着处处可能存在安全漏洞;4、软件是主要漏洞所在;5、无穷无尽的打补丁并不是好的解决办法;6、需要新的基础性安全模型和方法;7、联邦政府在研发工作中的核心地位;8、网络空间安全的非技术因素。Date6一、网络空间安全与风险评估为了应对这些威胁,在网络空间安全:迫在眉睫的危机报告中, PITAC提出了10大优先研究项目,其中信息安全风险评估信息安全风
5、险评估位列其中。其主要 研究内容包括:(1)开发网络空间安全测试方法、评估标准;(2)风险分析方法和基于不同领域的评估方法(政治、军事、经济等);(3)安全风险以及一致性检查的自动评估工具的研发;(4)对易受到攻击对象的评估研究工作,如源代码扫描工具;(5)通过研究过程管理、配置管理和补丁管理的最佳策略方案,来发现并 提供有效的安全管理实施方案。Date7二、评估实践的一些体会(一)风险评估工作的实质是什么?以被评估单位的业务为核心,围绕相关资产,对其所具有弱点和所面临的威胁展开分析工作;同时分析和确认该单位已经部署安全措施是否发挥了应有的效力;最终找到风险所在,并提出风险消减解决方案Date
6、8二、评估实践的一些体会(二)评估实施的五个关键阶段Date9二、评估实践的一些体会(三)两种常用评估计算方法(三)两种常用评估计算方法相关 性分析Ti低0中1高2Ri低 0中 1高 2低 0中 1高 2低 0中 1高 2Ai001212323411232343452234345456334545656744565676781 1、预设矩阵方法、预设矩阵方法 【555555】 【533533】 【222222】TiTi:威胁赋值:威胁赋值 RiRi:脆弱性赋值:脆弱性赋值 ViVi:资产赋值:资产赋值相关 性分析Ti低0高1Ri低0高1低0高1Ai0012311234简化简化Date10二、评
7、估实践的一些体会2、二元法则:Risk(风险)Impact(影响) Possibility(可能性)Impact Possibility 123451123452246810336912154481216205510152025Impact 威胁对资产的危害程度 ,f(V,T) Possibility威胁利用资产脆弱性的可能程度, g(T,R)Risk级别说明 已达标:15 可容忍:610 须整改:1225Date11二、评估实践的一些体会(四)(四)信息安全风险评估指南信息安全风险评估指南对实践的指导作用:对实践的指导作用:n n以国标的形式描述了有关风险评估所涉及到的概念以及外以国标的形式
8、描述了有关风险评估所涉及到的概念以及外 延边界;延边界;n n定义了评估所必须的诸元素的等级划分,并易于在工作中定义了评估所必须的诸元素的等级划分,并易于在工作中 引用;引用;n n评估指南标准是一个广泛普适的方法论,对各行业的评估评估指南标准是一个广泛普适的方法论,对各行业的评估工作具有很好的指导作用。在此基础上结合各行业的特殊性工作具有很好的指导作用。在此基础上结合各行业的特殊性 ,便于形成行业规范或行业标准;,便于形成行业规范或行业标准;n n对等级保护的实施具有很好的技术支撑作用。对等级保护的实施具有很好的技术支撑作用。Date12二、评估实践的一些体会(五)如何规避评估自身带来的风险
9、n信息泄密问题n评估结果的效力问题n评估过程难于控制问题n把握好定性与定量程度问题法律合同法律合同 评估单位资质评估单位资质 评估单位性质评估单位性质 从业人员的资质从业人员的资质执行的标准执行的标准 评估单位的资质评估单位的资质 管理层的意识管理层的意识 参与部门的意识参与部门的意识 成熟方法行业经验成熟方法行业经验 引入质量管理与控制引入质量管理与控制计算过程的复杂性计算过程的复杂性 参数之间的循环嵌套参数之间的循环嵌套 以业务为核心开展评估以业务为核心开展评估 主观意识依据客观分析主观意识依据客观分析Date13三、案例分析n n案例案例1 1:某部委门户网站系统项目:某部委门户网站系统
10、项目n n案例案例2 2:某部委内部信息系统网络项目:某部委内部信息系统网络项目n n案例案例3 3:国家电子政务外网项目:国家电子政务外网项目Date14三、案例分析(1)n n项目:某部委门户网站无损测试评估项目:某部委门户网站无损测试评估n n信息系统说明:主站信息系统说明:主站WWWWWW系统、系统、EmailEmail系统、系统、VODVOD系统,子站系统,子站6060个个n n评估内容:黑盒渗透测试、风险分析、加固建议评估内容:黑盒渗透测试、风险分析、加固建议n n案例分析:案例分析:模拟攻模拟攻 击测试;击测试;SQLSQL攻击攻击 渗透测试;渗透测试;DDOSDDOS攻攻 击测
11、试;击测试;主页篡主页篡 改测试;改测试;Date15三、案例分析(2)n项目:某部委内部业务网络安全风险评估n系统说明:系统比较复杂,系统包括windows,AIX,Linux,网络包括以太 网ATM网络,并多达7个安全域。n评估内容:策略评估、安全技术措施确认、风险评估n案例分析前期工作十分 细致,进行了大量情况 摸底人员访谈;项目实施中, 参考了“等级保护”,“涉密信息系统保护要求 ”,“BS7799”等多项标准;通过评估元素 相关性分析关联分析 ,大大减少了后期计算 复杂度;Date16三、案例分析(3)n项目:国家电子政务外网建设方案安全评估n信息系统说明:广域网络、城域网络、32个
12、省级节点n评估内容:方案评估,资产识别,威胁分析,脆弱性识别,风险分析;n案例分析:安全体系咨询;各安全域防护需求;安全域等级划分;容灾分析;潜在威胁类别分析;潜在脆弱性分析Date17三、案例分析n n共性问题共性问题(1 1)已有安全保护措施没有起到应有的作用)已有安全保护措施没有起到应有的作用(2 2)缺乏安全管理制度,或是不落实)缺乏安全管理制度,或是不落实(3 3)缺乏安全监管措施,基本没有考核办法)缺乏安全监管措施,基本没有考核办法(4 4)对国家、行业有关标准不清楚)对国家、行业有关标准不清楚(5 5)非技术性问题占很大程度)非技术性问题占很大程度Date18四、安全服务中心业务
13、开展情况国家信息中心信息安全研究与服务中心开展信息安全工国家信息中心信息安全研究与服务中心开展信息安全工作已有作已有2020年的经验,从事信息安全风险评估研究与服务近年的经验,从事信息安全风险评估研究与服务近3 3年时间,目前已经形成了一定技术能力和评估方法体系,我年时间,目前已经形成了一定技术能力和评估方法体系,我们开展这项业务的理念是:们开展这项业务的理念是:1 1、基于标准、基于标准2 2、针对关键业务、针对关键业务3 3、风险规避、风险规避4 4、最小投入、最小投入Date19四、安全服务中心业务开展情况将原始数据与标准进 行关联分析等级保护条例 涉密系统保护条例 ISO17799 S
14、OX404 GLBA Basel II 或者组织自己的策略相关数据收集等级方式 百分比方式 图形方式 趋势图方法 数据分类展现信息的采集控制 分析控制 评估控制 整改工作部署 综合智能评估工具的研发综合智能评估工具的研发数据采集标准库分析引擎评价展现数据展现工作流Date20四、安全服务中心业务开展情况Date21结束语国家信息中心安全研究与服务中心国家信息中心安全研究与服务中心 愿与各行业主管单位密切合作,与各安愿与各行业主管单位密切合作,与各安 全厂商携手共进,共同开拓信息安全风全厂商携手共进,共同开拓信息安全风 险评估的新事业。险评估的新事业。Date22谢 谢国家信息中心信息安全研究与服务中心预祝大家圣诞快乐*23
