《第2章 某oa系统信息安全风险评估方案》由会员分享,可在线阅读,更多相关《第2章 某oa系统信息安全风险评估方案(81页珍藏版)》请在金锄头文库上搜索。
1、第2章 某OA系统信息安全风险评估方案,2.1 风险评估概述 2.2 OA系统概况 2.3 资产识别 2.4 威胁识别 2.5 脆弱性识别 2.6 风险分析,2.1.1 背景 某OA系统风险评估的目的是评估办公自动化(OA)系统的风险状况,提出风险控制建议,同时为下一步要制定的OA系统安全管理规范以及今后OA系统的安全建设和风险管理提供依据和建议。 需要指出的是,本评估报告中所指的安全风险是针对现阶段OA系统的风险状况,反映的是系统当前的安全状态。,2.1.2 范围 某OA系统风险评估范围包括某OA网络、管理制度、使用或管理OA系统的相关人员以及由其办公所产生的文档、数据。 2.1.3 评估方
2、式 信息系统具有一定的生命周期,在其生命周期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠的运行,是系统各种技术、管理应用的基本原则。,本项目的评估主要根据国际标准、国家标准和地方标准,从识别信息系统的资产入手,着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。,资产识别是风险评估的基础,在所有识别的系统信息资产中,依据资产在机密性、完整性和可用性三个安全属性的价值不同,综合判定资产的重要性程度并将其划分为核心、关键、中等、普通和次要5个等级。其中核心、关键和中等等级的资产都被列为重要资产,并分析其面临的安全威胁。 脆弱性识别主要从技
3、术和管理两个层面,采取人工访谈、现场核查、扫描检测、渗透性测试等方式,识别系统所存在的脆弱性和安全隐患,对重要资产已识别的威胁、脆弱性,判断威胁发生的可能性和严重性,综合评估重要信息资产的安全风险。 根据重要信息资产威胁风险值的大小,划分安全风险等级,判断不可接受安全风险的范围、确定风险优先处理等级。 根据不可接受安全风险的范围、重要信息资产安全风险值和风险优先处理等级,给出风险控制措施。,2.2 OA系统概况 2.2.1 OA系统背景 随着计算机通信以及互联网技术的飞速发展,社会信息化建设以及网络经济为主要特征的新经济形态正在发展和壮大。办公自动化正在成为信息化建设的一个重要组成部分,通过规
4、范化和程序化来改变传统的工作模式,建立一种以高效为特征的新型业务模式。在此背景下决定建设OA系统,建立规范化、程序化工作模式,最终提高工作的效率。,2.2.2 网络结构图与拓扑图 该OA系统网络是一个专用网络,与Internet物理隔离。该网络包含OA服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。OA系统网络通过一台高性能路由器连接上级部门网络,通过一台千兆以太网交换机连接到下级部门网络。其中内部骨干网络采用千兆位以太网,两台千兆以太网交换机为骨干交换机,网络配备百兆桌面交换机用来连接用户终端。,表3-1 NTFS的引导扇区,2.2.3 网络结构与系统边界 该OA系统
5、网络分别与上级部门办公网络、下级部门办公网络连接。其中用一台高性能路由器连接上级部门办公网络,用一台千兆交换机连接下级部门办公网络。具体的系统边界图如图书本23页图2-2所示:,表2-1列举了主要边界情况。 表2-1 OA系统网络边界表,2.2.4 应用系统和业务流程分析 该OA系统使用电子邮件系统作为信息传递与共享的工具和手段,满足办公自动化系统最基本的通信需求。电子邮件系统作为本系统的通信基础设施,为各种业务提供通用的通信平台。 该OA系统采用以电子邮件作为统一入口的设计思想。电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。每一个工作人员通过关注自己的电子邮件
6、信箱就可以了解到需要处理的工作。各个业务系统通过电子邮件信箱来实现信息的交互和流转。,例如公文流转业务中,一般工作人员起草的公文通过电子邮件系统发送到领导的电子信箱中,领导通过查看电子信箱得到文件的初稿。在审批通过后,转发到公文下发人员。公文下发人员再通过电子邮件系统下发到各个部门各个工作人员的电子信箱中。,2.3 资产识别 2.3.1 资产清单 该OA系统资产识别通过分析OA系统的业务流程和功能,从信息数据的完整性,可用性和机密性(简称CIA)的安全需求出发,识别CIA三性有影响的信息数据及其承载体和周边环境。 在本次OA系统风险评估中进行的资产识别,主要分为硬件资产、文档和数据、人员、管理
7、制度等,其中着重针对硬件资产进行风险评估,人员主要分析其安全职责,IT网络服务和软件结合其涉及的硬件资产进行综合评估。下面列出具体的资产清单。硬件资产见表2-2,表2-2 硬件资产清单,文档和数据资产见表2-3。 表2-3 文档和数据资产清单,制度资产清单见表2-4。 表2-4 制度资产清单,人员资产清单见表2-5 表2-5 人员资产清单,2.3.2 资产赋值 资产赋值对识别的信息资产,按照资产的不同安全属性,即机密性,完整性和可用性的重要性和保护要求,分别对资产的CIA三性予以赋值。 三性赋值分为5个等级,分别对应了该项信息资产的机密性,完整性和可用性的不同程度的影响,赋值依据如下: 1.
8、机密性(Confidentiality)赋值依据 根据资产机密性属性的不同,将它分为5个不同的等级,分别对应资产在机密性方面的价值或者机密性方面受到损失时的影响,如表2-6所示。,如表2-6所示。 表2-6 机密性赋值依据表,2. 完整性(Integrity)赋值依据 根据资产完整性属性的不同,将它分为5个不同的等级,分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响,如表2-7所示。,表2-7 完整性赋值依据表,3. 可用性赋值依据 根据资产可用性属性的不同,将它分为5个不同的等级(见表2-8),分别对应资产在可用性方面的价值或者在可用性方面受到损失时的影响。 表2-8
9、 是可用性赋值依据表,表2-8 可用性赋值依据表,根据资产的不同安全属性,及机密性,完整性和可用性的等级划分原则,采用专家指定的方法对所有资产CIA三性予以赋值。赋值后的资产清单见表 表2-9 资产CIA三性等级表,2.3.3 资产分级 资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。根据系统业务特点,采取相乘法决定资产的价值。计算公式如下: V=f(x,y,z) = 其中:V表示资产价值,x表示机密性,y表示完整性,z表示可用性。 根据该计算公式可以计算出资产的价值。例如取资产ASSET_01三性值代入公式如下: V=f(5,5,5)= 得资产ASS ET_01的资
10、产价值=5。依此类推得到本系统资产的价值清单如表2-10所示。,表2-10 资产价值表,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为5级,级别越高表示资产越重要。表2-11划分表明了不同等级的重要性的综合描述。 表2-11 资产重要性程度判断准则,表2-11 资产重要性程度判断准则,根据表2-11中对资产等级的规定,可以通过资产价值得到资产的等级。本系统的资产等级如上表2-12所示。 2.4 威胁识别 2.4.1 威胁概述 安全威胁是一种对系统及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。,产生安全威胁
11、的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种,环境因素包括自然界的不可抗因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。也可能是偶发的或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。,根据威胁出现频率的不同,将它分为5个不同的等级。以此属性来衡量威胁,具体的判断准则如表2-13所示。,表2-13 威胁出现频率判断准则,2.4.2 OA系统威胁识别 对OA系统的安全威胁分析着重对于重要资产进行威胁识
12、别,分析其威胁来源和种类。在本次评估中,主要采用了问卷法和技术检测来获得威胁的信息。问卷法主要收集一些管理相关方面的威胁,技术检测主要通过分析IDS的日志信息来获取系统面临的威胁。表2-14为本次评估分析得到的威胁来源、威胁种类以及威胁发生的频率。,表2-14 OA系统潜在的安全威胁来源列表,表2-15 OA系统面临的安全威胁种类,依据威胁出现判断准则,得到威胁出现频率如表2-15所示。 2.5 脆弱性识别 脆弱性识别主要从技术和管理两个方面进行评估,详细的评估结果如下所述。该OA系统的脆弱性评估采用工具扫描、配置核查、策略文档分析、安全审计、网络架构分析、业务流程分析、应用软件分析等方法。
13、根据脆弱性严重程度的不同,将它分为5个不同的等级。具体的判断准则如表2-16所示。,根据脆弱性严重程度的不同,将它分为5个不同的等级。具体的判断准则如表2-16所示,2.5.1 技术脆弱性识别 技术脆弱性识别主要从现有安全技术措施的合理性和有效性来分析。评估的详细结果如表2-17所示。,2.5.2 管理脆弱性识别 本部分主要描述该OA系统目前的信息安全管理上存在的安全弱点现状以及风险现状,并标识其严重程度。评估的详细结果如表2-18所示。 表2-18 管理脆弱性识别结果,表2-18 管理脆弱性识别结果,2.6 风险分析 2.6.1 风险计算方法 在完成了资产识别、威胁识别、脆弱性识别之后,将采
14、用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。以下面的范式形式化加以说明: 其中:R表示安全风险计算函数,A表示资产,T表示威胁出现频率,V表示脆弱性,Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失,风险计算的过程中有三个关键计算环节: 1. 计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即: 安全事件发生的可能性=L(威胁出现频率,脆
15、弱性) =L(T,V) 在计算安全事件的可能性时,本系统采用矩阵法进行计算。该二维矩阵如表2-19所示。,表2-19 安全事件可能性计算二维矩阵表,如资产ASSET_01的为授权访问威胁频率为3,资产ASSET_01允许匿名登录FTP脆弱性为4,根据威胁出现频率值和脆弱性严重程度值所在矩阵中进行对照,则: 安全事件发生的可能性=L(威胁出现频率,脆弱性) =L(3,4)=16 根据计算得到安全事件发生可能性值的不同,将它分为5个不同等级,分别对应安全事件发生可能性的程度。划分的原则如表2-20所示。,表2-20 安全事件发生可能等级判断准则,根据安全事件发生可能程度判断准则判断,发生可能性等级为4。 2. 计算安全事件发生后的损失 根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失,即: 安全事件的损失=F(资产价值,脆弱性严重程度) =F(Ia, Va) 在计算安全事件的损失时,本系统采用矩阵法进行计算。该二维矩阵如表2-21所示。 如资产ASSET_01的资产价值等级为5,资产ASSET_01允许匿名登录FTP脆弱性严重
