《某通信公司网络信息安全培训课程》由会员分享,可在线阅读,更多相关《某通信公司网络信息安全培训课程(60页珍藏版)》请在金锄头文库上搜索。
1、利用风险评估手段,确保网络信息安全,中国移动通信有限公司研究院,引言,信息安全工作目标演进:从安全支撑保障、体现价值逐步转向推进业务系统创造价值 业务支撑从support向enabler转变,2007年3月沙跃家副总裁07业务支撑工作会议 “狠抓网络安全,确保奥运盛会”,2008年3月李跃副总裁成都网络工作会议 随着企业对IT技术的依赖性越来越强,信息安全风险在企业运营中的地位越来越重要因此,信息安全风险管理成为企业在运营过程中的最基本的工具; 较全面的信息安全风险评估日益重要,一方面风险管理是运营过程中的必不可少的工具;另一方面风险评估能够主动了解风险状况,进行相应的改进,实现从suppor
2、ter向enabler的转变,提纲,什么是风险评估?,为什么要进行风险评估?,风险评估怎样确保安全生产?,中国移动风险自评估将向何处发展?,什么是风险评估?,风险评估(WHAT?),信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据(国信办20065号文件)。,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性
3、。 风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。,(1)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件; (4)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产; (6)风险的存在及对风险的认识导出安全需求; (7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险
4、是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的风险; (10)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。,风险评估美国发展史,第一个Architecture (GAA)阶段(60-70年代)以计算机为对象的信息保密阶段 1967年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作了第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评
5、估,对风险问题考虑不多。 第二个阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,因而在严格意义上仍不是全面的风险评估。 第三个阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路,风险评估在我国的进展,2002年在863计划中首次规划了系统安全风险分析和评估方法研究课题 2003年8月至今年在国信办直接指导下,组成了风险评估课题组 2004年,国家信息中心风险评估指南, 风险管理指南 20
6、05年,全国风险评估试点 在试点和调研基础上,由国信办会同公安部,安全部,等起草了关于开展信息安全风险评估工作的意见征求意见稿 2006年, 所有的部委和所有省市选择部分单位开展本地风险评估试点工作,信产部电信网安全防护标准体系,信息产业部电信研究院通信标准研究所 等级保护、风险评估、灾难备份/恢复 三层结构 第一层:电信网和互联网安全防护管理指南 第二层:三个实施指南 第三层:针对电信网和互联网所涵盖的内容,编制全程全网的防护要求、检测要求,电信网和互联网安全防护体系标准,为什么要进行风险评估?,风险评估(WHY?),安全源于风险。 在信息化建设中,建设与运营的网络与信息系统由于可能存在的系
7、统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。,风险评估可以不断深入地发现系统建设中的安全隐患,采取或完善更加经济有效的安全保障措施,来消除安全建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解决方法,提高系统安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。,信息安全的含义,Integrity,Availability,Confidentiality,正确性 Correctness 完备性 Completeness 有
8、效性 Validity 真实性 Authenticity 不可否认 Non-repudiation,连续 Continuity 准时 Punctuality,排他 Exclusivity,Manipulation 被操纵 Destruction 被破坏 Falsification 被篡改、伪造 Repudiation 被拒绝、否定,Divulgation 泄露,Interruption 中断 Delay 延迟,SECURITY = QUALITY,风险构成,RISK,RISK,RISK,RISK,RISK,Risk,风险的构成,风险的降低,残余风险,图示: A(Asset):资产 V(Vuln
9、erability):脆弱性 T(Threat):威胁 S(Safeguard):保护措施 R(Residual Risk):残余风险 C(Constrains):约束,风险控制的概念,高,低,高,对系统的影响,低,发生安全事件概率,风险控制,不可接受风险,从攻防双方博弈看安全工作本质,攻防的博弈,最终归结于双方的开销!,通过成本分析,实现风险控制,运维成本,资产,威胁主体,威胁,脆弱性,防御主体,获利,恢复,防护,追溯,引起,利用,攻击,攻 击 成 本,风险价值,攻 击 盈 利,=,=,防 御 盈 利,增加少量防御成本 获得大量防御盈利 提高大量攻击成本 使得攻击盈利为负,设备成本,引入风险
10、,额外开销,防 御 成 本,通过风险评估确定安全规划,风险评估,安全对策,组织,技术,运作,安全管理体系设计,风险与能力评估、需求分析,制度规定,流程 细则,安全需求,组织,技术,运作,ISO27001,策略,策略,国际水平分析,内网建设目标,标准规范,现状调研,安全规划,安全建设规划,安全架构设计,安全解决方案,如何选取安全手段(1),投入成本的计算 总投入成本 购置成本 维护成本 引入威胁风险成本 网络开销成本,如何选取安全手段(2),安全框架建立 残余风险 筛选过程 安全解决方案被选定的条件如下 如果X集合的全部排序得到的解决方案中有多 种解决方案,可以使得达到安全目标。则这些解决方案中
11、,投入DVC最小的方案最优。 如果安全方法库无论怎样排序形成的方案都无法达到安全目标。则选取的安全方法i必须满足DVCiERCi,且使得RRC最小。 安全方法规模较小时可以进行完全的遍历,否则可以采用一些贪心方式,如何选取安全手段(3),思考:安全的核心工作是什么?,我们是否追求绝对的安全? 回答是否定的! 无法追求 无需追求 风险是什么? 回答是确定的! 风险是具有价值的,是可以定性分析,甚至可以通过一定规则量化的。 安全的核心工作是什么? 从风险管理的角度看,安全的核心工作是通过一种可靠的手段和合理的计算方法确定风险,并将其控制在可接受的范围之内的。 从某种意义上讲,在这样的逻辑下,我们已
12、经从支撑走向了为公司创造价值!,风险评估怎样确保安全生产?,风险评估(HOW?),(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,风险评估的准备,风险评估实施流程图,1)确定风险评估的目标; 2)确定风险评估的范围; 3)组建适当的评估管理与实施团队; 4)进行系统调研; 5)确定评估依据和方法 ; 6)获得最高管理者对风险评估工作的支持。,风险评估的准备阶段的工作任务,1)资产分类 2)资产赋值 3)资产等级,资产识别阶段的工作任务,资产分类示例,资产赋值主要考虑资产的安全状况对于系统或组
13、织的重要性,对资产在机密性、完整性和可用性上的达成程度进行综合评定得出。综合评定方法可以根据业务特点,选择对资产三性最为重要的一个属性的赋值等级作为资产的最终赋值结果,也可以进行加权计算而得到资产的最终赋值。,如何进行资产赋值,如何进行资产等级,1)威胁来源 2)威胁分类 3)威胁赋值 4)威胁等级,威胁识别阶段的工作任务,威胁来源,威胁分类(示例),判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。,威胁赋值,威胁发生可能性,1)脆弱性识别内容 2)脆弱性分类 3)脆弱性赋值 4)脆弱性等级,脆弱性识别阶段的主要任务,脆弱性识别主要从技术和管理两个方面
14、进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。,脆弱性主要识别内容,脆弱性分类,可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。,脆弱性赋值,脆弱性等级,已有安全措施的确认,在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认,即安全措施是否真正地降低了系统的脆弱性,抵御了威胁。安全措施可以分为预防性安全措施和保护性安全措施两种。,1)风险计算 2)风险等级 3)风险处理计划,风险分析阶段的主要任务,风险计算
15、,在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。,风险分析原理图,风险分析原理的形式化范式: 风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ) 其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。 有以下三个关键的计算环节:,一是计算安全事
16、件发生的可能性 根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即: 安全事件发生的可能性L(威胁出现频率,脆弱性) L(T,V ) 二是计算安全事件发生后的损失 根据资产重要程度及脆弱性严重程度,计算安全事件发生后的损失,即: 安全事件的损失F(资产重要程度,脆弱性严重程度) F(Ia,Va ) 三是计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即: 风险值R(安全事件发生的可能性,安全事件的损失) R(L(T,V),F(Ia,Va ),风险等级的确定,以上标准中的资产、威胁、脆弱性和风险的等级划分,遵照了由公安部、国家保密局、国家密码管理局和国务院信息化工作办公室四部委联合颁发的66号文件的精神。,系统管理者应综合考虑风险控制成本与风险造成的影响,提出一个可接受风险范围。对某些风险,如果评估值在可接受风险范围内,可以保持已有的安全措施;如果评估值超出了可接受风险值的范
