《计算机信息安全风险评估概述》由会员分享,可在线阅读,更多相关《计算机信息安全风险评估概述(83页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估概述,1 信息安全风险评估发展概况,信息技术的飞速发展,关系国计民生关键信息的基础设施的规模越来越大,极大地增加了信息系统的复杂程度。各个国家越来越重视信息安全风险评估工作,提倡信息安全风险评估制度化。,1.1 美国信息安全风险评估发展概况,1.1.1 美国信息安全风险评估发展概况 在国际上,美国是对信息安全风险评估研究历史最长和工作经验最丰富的国家,一直主导信息技术和信息安全的发展,信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障,大体经历了3个阶段,见表5-1。,表5-1 风险评估发展过程,1.1 美
2、国信息安全风险评估发展概况,1.1.2 其他国家信息安全评估发展概况 欧洲在信息化方面的优势不如美国,但作为多个老牌大国的联合群体,欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上,加强预防。,1 信息安全风险评估发展概况,1.2 我国信息安全风险评估的发展现状 我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。,2 信息安全风险评估的目的和意义,1信息安全风险评估是科学分析并确定风险的过程 2信息安全风险评估是信息安全建设的起点和基础 3信息安全风险评估是需求主导和突出
3、重点原则的具体体现 4信息安全风险评估是组织机构实现信息系统安全的重要步骤,2 信息安全风险评估的目的和意义,1. 信息安全风险评估是科学分析并确定风险的过程 任何系统的安全性都可以通过风险的大小来衡量,科学地分析系统的安全风险,综合平衡风险和代价构成了风险评估的基本过程。 2信息安全风险评估是信息安全建设的起点和基础 所有信息安全建设应该基于信息安全风险评估,只有正确地、全面地识别风险、分析风险,才能在预防风险、控制风险、减少风险、转移风险之间作出正确的决策,决定调动多少资源、以什么样的代价、采取什么样的应对措施化解风险、控制风险。,3信息安全风险评估是需求主导和突出重点原则的具体体现 风险
4、是客观存在的,试图完全消灭风险或完全避免风险是不现实的,要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度,以及在信息化建设不同阶段的信息安全要求,坚持从实际出发、需求主导、突出重点、分级防护,科学评估风险并有效地控制风险。 4信息安全风险评估是组织机构实现信息系统安全的重要步骤 通过信息安全风险评估,可全面、准确地了解组织机构的安全现状,发现系统的安全问题及其可能的危害,分析信息系统的安全需求,找出目前的安全策略和实际需求的差距,提供严谨的安全理论依据和完整、规范的指导模型。,3 信息安全风险评估的原则,1可控性原则 人员可控性 工具可控性 项目过程可控性 2完整性原则 严格按
5、照委托单位的评估要求和指定的范围进行全面的评估服务。,3最小影响原则 从项目管理层面和工具技术层面,力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。 4保密原则 与评估对象签署保密协议和非侵害性协议,要求参与评估的单位或个人对评估过程和结果数据严格保密,未经授权不得泄露给任何企业和个人。,4 信息安全风险评估的概念,4.1 信息安全风险评估的概念 信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安
6、全事件一旦发生对组织造成的影响。,4 信息安全风险评估的概念,4.2 信息安全风险评估和风险管理的关系 信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段。 4.3 信息安全风险评估的两种方式 根据风险评估发起者的不同,信息安全风险评估分为自评估、检查评估两种形式。自评估和检查评估可以依靠自身技术力量进行,也可以委托第三方专业机构进行。,4.3 信息安全风险评估的两种方式,4.3.1 自评估 自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,以发现信息系统现有弱点、实施安全管理为目的,是信息安全风险评估的主要形式。 4.3
7、.2 检查评估 检查评估是指信息系统上级管理部门或信息安全职能部门组织的信息安全风险评估,是通过行政手段加强信息安全的重要措施。,4.4 信息安全风险评估的分类,在进行风险评估时,应当针对不同的环境和安全要求选择恰当的风险评估种类,目前,实际操作中经常使用的风险评估包括基线风险评估、详细风险评估、联合风险评估。 4.4.1 基线风险评估 基线评估的优点是需要的资源少、周期短、操作简单等。缺点是安全基线水平的高低难以设定、管理与安全相关的变更可能有困难等。,4.4 信息安全风险评估的分类,4.4.2 详细风险评估 详细风险评估的优点是对信息安全风险有一个精确的认识,从而可以更为精确地识别出组织目
8、前的安全水平和安全需求;可以从详细的风险评估中获得额外信息,使与组织变革相关的安全管理受益。详细风险评估的缺点是非常耗费资源。,5 国外信息安全风险评估标准,目前,国际上信息安全风险评估与管理的标准有英国BSI的BS 7799、美国的OCTAVE、澳大利亚/新西兰的AS/NZS 4360、ISO/IEC TR 13335、NIST SP800-30等,其中BS 7799和ISO/IEC TR 13335 在第2章、AS/NZS 4360和NIST SP800-30在第4章已进行了介绍,这里介绍OCTAVE方法、SSE-CMM和GAO/AIMD-99-139。,5.1 OCTAVE,5.1.1
9、OCTAVE简介 OCTAVE(Operationally Critical Treat,Asset and Vulnerability Evaluation,可操作的关键威胁、资产和弱点评估)是由美国卡耐基梅隆大学软件工程研究所下属的CERT协调中心,开发的信息安全风险评估的方法。 OCTAVE信息安全风险评估方法的基本原则是:自主、适应度量、已定义的过程、连续过程的基础,它由一系列循序渐进的讨论会组成,每个讨论会都需要其参与者之间的交流和沟通。,其核心是自主原则,即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责,而不只是IT部门的职责。组织内部的人员需要负
10、责信息安全评估活动,并对改进信息安全的工作做出决策。 OCTAVE使组织能够理清复杂的组织问题和技术问题,了解安全问题,改善组织的安全状况并解决信息安全风险,而无需过分依赖外部专家和厂商。OCTAVE包括两种具体方法:面向大型组织的OCTAVE Method和面向小型组织的OCTAVE-S。,5.1.2 OCTAVE Method,OCTAVE Method是为大型组织(有300名以上员工的公司或组织)而设计的,但可以以此为基线或起点,对该方法进行开发剪裁,使它适合于不同规模的组织、业务环境或工业部门。,OCTAVE Method包括3个阶段8个过程: 第1阶段:建立基于资产的威胁配置文件 第
11、2阶段:识别基础设施的薄弱点 第3阶段:开发安全策略和计划,第一阶段主要由4个过程组成: 过程1:收集高层管理部门的观点。参与者为组织的高层管理人员; 过程2:收集业务区域管理部门的观点。参与者为组织业务区域(即中层管理部门)的经理; 过程3:收集员工的观点。参与者是组织的一般员工,信息技术部门的员工通常与一般的员工分开,参与一个独立的讨论会; 过程4: 建立威胁配置文件。包括整理过程1过程3中所收集的信息、选择关键资产、提炼关键资产的安全需求、标识对关键资产构成影响的威胁等工作。 通用的配置文件是基于关键资产的威胁树。,第二阶段中,对当前信息基础设施的评价,包括数据收集和分析活动。 本阶段主
12、要由2个过程组成: 过程5:识别关键单元,包括识别结构单元的种类、识别要分析的基础设施的结构单元等; 过程6:评估选定的单元,包括对选定的基础设施的结构单元进行薄弱点检查、对技术薄弱点进行评审并总结。,第三阶段:开发安全策略和计划 第3阶段旨在理解迄今为止在评估过程中收集到的信息,即分析风险。 本阶段主要由2个过程组成: 过程7:执行风险分析,包括识别关键资产的威胁所产生的影响、制定风险评估标准、评估关键资产的威胁所产生的影响等; 过程8:开发保护策略,评估小组开发整个组织的保护策略,该策略注重于提高组织的安全实践,以及关键资产的重要风险的削减计划。,5.1.3 OCTAVE-S,OCTAVE
13、-S(OCTAVE简化版)是为规模较小的组织而开发的,这里将2080名员工的组织视为小规模的组织。通过这种方法,35人的评估小组就可以完成整个评估活动。与OCTAVE Method一样,OCTAVE-S评估方法同样包括3个阶段,但其中的过程有些不同。,1第1阶段:建立资产的威胁描述文件 本阶段主要由2个过程组成: 过程S1:收集组织信息。分析小组应识别与组织重要信息相关的资产,确定一组评估标准,并定义组织当前的安全实践状况; 过程S2: 建立威胁描述。分析小组应选择35个关键信息资产,并为每个关键信息资产定义相应的安全要求和威胁描述文件。,2第2阶段:识别基础设施的薄弱点 本阶段主要由1个过程
14、组成: 过程S3:检查与关键信息资产相关的的计算基础设施。分析小组对关键资产的支持系统中的访问路径进行分析,并确定这些技术措施对关键资产的保护程度;,3第3阶段:开发安全策略和计划 本阶段主要由2个过程组成: 过程S4:确定和分析风险。分析小组就风险所产生的影响、发生的可能性进行评估; 过程S5:开发保护策略和风险降低计划。评估小组根据实际情况,开发一个整个组织范围的的保护策略和风险削减计划。,5.2 SSE-CMM,5.2.1 SSE-CMM概述 SSE-CMM是系统安全工程能力成熟度模型(SystemSecurity Engineering Capability Maturity Mode
15、1)的缩写,它源于CMM(能力成熟度模型)的思想和方法,是CMM在系统安全工程领域的应用,SSE-CMM是偏向于对组织的系统安全工程能力的评估标准。,SSE-CMM模型将信息系统安全工程分为3个相互联系的部分:风险评估、工程实施和可信度评估。针对这三个部分SSE-CMM定义了11项关键过程(PA),并为每个过程定义了一组完成该过程必不可少的确定的基本实践(BP)。同时模型还定义了5个能力成熟度等级.,从整体上看,SSE-CMM模型定义了一个“二维”架构,横轴上是11个系统安全工程的过程域,纵轴上是5个能力成熟度等级,如果给每个过程域赋予一个能力成熟度等级的评定,所得到的“二维”图形便形象地反映
16、了安全工程的质量以及工程在安全上的可信度,也间接地反映了工程队伍实施安全系统工程的能力成熟性。,5.2.2 安全工程过程,1风险过程 风险是潜在的威胁,这种威胁利用有用资源的脆弱性造成资源的破坏和损失。风险事件有三个组成部分:威胁,系统脆弱性,事件造成的影响。 安全机制在系统中存在的根本目的是将风险控制在可接受的程度内,SSE-CMM模型定义了四种风险过程:评估威胁过程(PA04),评估脆弱性过程(PA05),评估风险事件影响过程(PA02)以及在前三种过程基础上的评估安全风险过程(PA03)。,2工程过程 安全工程是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。针对工程实施管理,SSE-CMM模型定义了安全需求说明过程(PA10),安全方案制定过程(PA09),安全控制实施过程(PA01),安全状态监测过程(PA08)。安全工程不是一个独立的实体,而是整个信息系统工程的一个组成部分,模型强调系统安全工程与其它工程的合作和协调并定义了专门的协调安全过程(PA07)。,3保证过程 保证是指安全需求得到满足的信任程度。用可信度描述对建立的安全系统正确执行其安全功能的信心究竟有多大度。SSE-CMM模型在信任度问题上强调对安全工程结果可重复性的信任程度,它通过对现有系统安全体系真实性和有效性的测试(PA11)来构造系统安全可信度论据(PA06)。,
