《信息系统安全风险评估培训材料》由会员分享,可在线阅读,更多相关《信息系统安全风险评估培训材料(52页珍藏版)》请在金锄头文库上搜索。
1、通信网络信息安全风险评估培训,提 纲,基础概念 相关背景介绍 什么是风险评估 为什么要风险评估 风险评估意义 风险评估内容 相关术语 相关标准 风险评估通用流程及具体实施 实施要点及示例说明,我们的安全形势,威胁无处不在,网络,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,怎么办?-风险评估,网络面临的最大威胁是什么?有哪些安全问题? 什么是最关键的信息资产? 网络设备是否安全?操作系统、数据库系统是否安全? 您需要什么安全技术保障?风险控制手段? 采用了哪些安全措施?是否有效? 如何应对未来的威胁? ,-面临的问题,风险评估相关概念,脆弱性/
2、 Vulnerability,资产/ Asset,风险/ Risk,什么是风险评估,国信办20065号文件 风险评估(Risk Assessment)是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地为保障网络和信息安全提供科学依据,风险评估内容,部分相关标准,工信部安全防护系列标准,提 纲,基础概念 风险评估流程 风险准备 资产识别 威胁识别 脆弱性识别 已有安全措施的确认 风险分析 实施要点及
3、示例说明,风险评估流程,资产识别,脆弱性识别,威胁识别,已有安全措施的确认,风险分析,风险评估准备,实施风险管理,风险评估准备,工作内容,风险评估准备,信息安全风险评估方案 检查记录表模板 支撑网安全评测检查记录表业务安全 支撑网安全评测检查记录表网络安全 支撑网安全评测检查记录表主机安全 支撑网安全评测检查记录表应用安全 支撑网安全评测检查记录表数据安全及备份恢复 支撑网安全评测检查记录表物理环境安全 支撑网安全评测检查记录表管理安全 支撑网安全评测检查记录表灾难备份及恢复 调查问卷及其他 需求文档清单 文档交接单 资产调查问卷 资产识别清单 重要资产清单 脆弱性调查问卷 现场配合人员名单,
4、工作输出,风险评估流程,资产识别,脆弱性识别,威胁识别,已有安全措施的确认,风险分析,风险评估准备,实施风险管理,主要任务,资产识别,资产信息搜集 资产分类 资产赋值,资产类别,网络设备(包括路由器、交换机等) 安全设备(包括防火墙、入侵检测系统、防病毒软件等) 主机(包括服务器、PC终端等) 机房及相关设施 (如UPS、门禁、灭火器、温湿计) 重要数据(如计费数据、用户信息数据、用户帐单) 管理制度及文档 人员,资产分类,安全属性赋值,资产赋值,社会影响力 业务价值 可用性,资产赋值(示例),风险评估流程,资产识别,脆弱性识别,威胁识别,已有安全措施的确认,风险分析,风险评估准备,实施风险管
5、理,威胁识别,主要任务: -识别对系统、组织及其资产构成潜在破坏能力的可能性因素或 者事件 -威胁出现频率赋值(简称威胁赋值),威胁赋值,通过被评估对象体的历史故障报告或记录,统计各种发生过的威胁和其发生频率; 通过网管或安全管理系统的数据统计和分析; 通过整个社会同行业近年来曾发生过的威胁统计数据均值。,赋值方法 判断威胁出现频率,需要结合以下三个方面:,威胁赋值,资产识别,脆弱性识别,威胁识别,已有安全措施的确认,风险分析,风险评估准备,实施风险管理,风险评估流程,脆弱性识别,主要任务 -查找脆弱性 -脆弱性严重程度赋值(简称脆弱性赋值),访谈 现场勘察 漏洞扫描 渗透测试 人工审计 -文
6、档检查 -控制台审计 以前的审计和评估结果 ,脆弱性识别相关方法,脆弱性识别方法-访谈,访谈可以采取现场访谈的方式,也可以采取调查问卷的方式,通常是两种方式的结合 通过一套审计问题列表问答的形式对企业信息资产所有人和管理人员进行访谈,脆弱性识别方法-漏洞扫描,多种扫描工具优化组合 扫描内容,服务与端口开放情况 枚举帐号/组 检测弱口令 各种系统、服务和协议漏洞 ,脆弱性识别方法-渗透测试,什么是渗透测试 模拟黑客对网络中的核心服务器及重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的攻击行为,以发现系统深层次的漏洞,并将整个过程与细节报告给用户。,渗透测试的必要性 工具扫描存在一定
7、的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题; 渗透测试可以发现逻辑性更强、更深层次的弱点,同时渗透测试可以对漏洞扫描结果进行验证;,渗透测试难点 对测试者的专业技能要求很高。,渗透测试内容,信息泄露:对外服务是否暴露了可能被黑客利用的敏感信息 业务逻辑测试:系统是否在业务逻辑设计上存在被黑客利用的漏洞 认证测试:系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞 会话管理测试:系统是否存在会话劫持、CSRF等漏洞 拒绝服务测试:系统是否易受DDOS攻击 Web服务测试:SQL注入、跨站脚本 AJAX测试,渗透测试一般方法,远程溢出攻击测试 口令破解 Web脚本及应用
8、测试(SQL注入、XSS等) 本地权限提升测试 网络嗅探监听 其它(社会工程学等) ,渗透测试分类,黑盒测试 (”zero-knowledge testing”)渗透者完全处于对系统一无所知的状态。通常,这种类型的测试,最初的信息获取来自DNS、Web、Email及各种公开对外的服务器。 白盒测试 测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其他程序的代码片段,也能与单位其他员工进行面对面的沟通这类的测试目的是模拟企业内部雇员的越权操作,渗透测试一般流程,计划与准备 测试计划 测试准备 侦查分析阶段 信息收集 目标判别 漏洞查找 攻击阶段 获取权限 权限提升
9、,脆弱性识别方法-人工审计,采用人工审计方式可以对漏洞扫描的结果进行验证和分析,也可以检查某些无法利用工具扫描的内容 人工审计内容,网络安全 网络拓扑结构 子网划分 网络边界 审计日志 网络流量与拥塞控制 网络设备的安全配置 .,主机安全 审计日志 自主访问控制功能 强制访问控制功能 目录与文件权限 口令设置 登陆设置 资源使用设置 进程与端口关联 .,人工审计内容(续),专用业务/应用系统安全 通讯安全性 本地文件存储安全性 登陆过程安全性 自主访问控制功能有效性及安全策略配置 强制访问控制功能有效性及安全策略配置 用户权限 审计日志 并发会话数限制 ,数据安全及备份 数据传输安全性 数据存
10、储安全性 备份与恢复功能 备份数据(如用户帐单备份数据) 链路冗余 硬件冗余(如计费系统双机备份),人工审计内容(续),物理环境安全 防震、防风、防雨等能力 机房出入安全 区域隔离 防水防潮 防静电 防盗窃和防破坏 温湿度控制 ,管理安全 管理制度 制定和发布 岗位设置 人员配备 人员录用、离岗 安全意识教育和培训 软件开发 测试验收 ,审计示例,脆弱性识别工具,扫描工具 系统层: X-scan、 Nessus、极光漏洞扫描系统、天镜漏洞扫描系统 应用层: IBM Appscan、 Fortify 、 Acunetix Web Vulnerability Scanner 数据库: Shadow
11、 DataBase Scanner、 ISS Database Scanner ,脆弱性赋值,脆弱性赋值表,赋值方法,工作输出 脆弱性列表 类型、名称、描述、赋值,风险评估流程,资产识别,脆弱性识别,威胁识别,已有安全措施的确认,风险分析,风险评估准备,实施风险管理,已有安全措施确认,安全措施 -预防性安全措施 -保护性安全措施 主要任务 -针对已识别的脆弱性确认已采取的安全措施并记录下来 工作输出 -已有安全措施确认表 ,风险评估流程,资产识别,脆弱性识别,威胁识别,已有安全措施的确认,风险分析,风险评估准备,实施风险管理,风险分析流程,保持已有安全措施,提出风险处理计划,是否接受风险,风险
12、计算,是,否,风险阈值,风险计算,风险计算方法 、,风险计算,风险计算方法(续) 相乘法:风险值 资产价值 x 威胁值 x 脆弱性值,风险阈值的确定,风险阈值是风险是否可接受的判断依据 确定方法,风险处理建议,主要任务 风险处理方式,降低风险应用适当的控制措施 (预防性措施、保护性措施) 接受风险由于投入过高和收效不明显 避免风险因为风险的代价太高,不允许执行会产生风险的活动 转移风险转嫁给第三方(保险、供应商),对不可接受风险提出控制风险的安全建议,提 纲,基础概念 风险评估通用流程及具体实施 实施要点及示例说明,成功实施要点,评估范围确定 分析方法及计算方法的选择 建立良好的沟通氛围 适当的评估工具选择及操作策略 数据、报告应务必做到准确、详尽、规范,可溯 整个过程应遵循风险评估原则,安全风险评估工作重点,管理与技术并重 三分技术、七分管理 管理工作重视程度不够,比较容易忽视,风险评估工作的持续性,做了风险评估,但不代表没有任何隐患了或者不存在被入侵的可能。 不管操作系统如何更新换代,总会有漏洞;不管安全措施多么完善,总会有黑客和病毒。此外,信息系统的网络结构和系统设置不是一成不变的。再有,黑客技术和攻击手段一直在不断发展,曾经安全的信息系统很可能变得不堪一击。,谢 谢 ! Thanks !,
