《网络与信息安全系列训教培材》由会员分享,可在线阅读,更多相关《网络与信息安全系列训教培材(78页珍藏版)》请在金锄头文库上搜索。
1、安全风险管理,中国移动网络与信息安全系列培训教材(8),版本信息: 版本号:1.0.0 更新时间:2008-10-28 编者信息: 房仲阳 中国移动辽宁公司网络部 电话: 13889888988-2208 邮箱: ,课程内容,主要介绍网络与信息安全管理部分的安全风险管理(内容包含中国移动网络与信息安全风险评估管理办法) 介绍风险评估概念 介绍风险评估方法 介绍风险管理流程 介绍安全控制措施,教材主要阅读对象,培训对象: 面向管理层、安全管理人员、安全技术人员、系统维护人员、及普通员工,共5类人员 本教材针对5类人员的培训内容并无差别 建议培训时间 100分钟左右 课程基础 无,目 录,第一章
2、引言 第二章 风险评估概念 第三章 风险评估方法 第四章 风险管理流程 第五章 风险控制措施,第一章 引言,请思考,企业为什么需要投入大量成本进行 风险管理 ?,案例剖析一,实际情况和结果 实际情况:由于人手紧张,某专业交换数据一直由一名员工制作,原则上还需要由一人核查,但实际上未被执行 结果:数据被做错而未被及时纠正,导致系统故障,引发大量用户投诉及话务量损失,问题分析 最小授权原则未被执行,存在数据被错误操作的可能并引发网络故障。此种问题早已存在,但未被识别并加以处置 威胁:误操作,对于数据的错误认识,无人核对 脆弱性:系统无法判断是否为正确数据,这个问题长期存在,但一直以人手不足为理由,
3、被未出现重大故障的表面现象所掩盖,本质上是管理问题,无论此问题能否被尽快解决,都需要以书面形式将此问题向管理层汇报,案例剖析二,实际情况和结果 实际情况:倒换测试从未主动做过,应急演练也未模仿实际场景。 结果:系统受到攻击而需要倒换,但发现主备系统版本不一致,导致业务无法使用。,问题分析 问题分析:成功的倒换测试是保障网络安全的最后屏障,但未被执行,实际上网络是在单点运行。 威胁:单点设备无法保障100%无故障运行 脆弱性:无法顺利倒换,直接导致业务中断。,每年度作业计划都要求进行与实际情况相符的倒换及应急演练工作,处于业务安全考虑,核心网该项工作一直无重大进展,核心网集中化程度越高,真正故障
4、时倒换失败时对所承载的业务产生的影响越大。这种风险必须进行识别,在对业务保障的承诺、服务质量承诺、故障处理时限上必须进行计算进去,案例剖析三,实际情况和结果 实际情况:未进行全部数据一致性的核查,仅凭经验进行操作。 结果:部分用户功能被删除,导致大量用户投诉,客户满意度急剧下降。,问题分析 问题分析:数据一致性准备,变更及核查是保障数据一致的基本措施,在没有自动核查手段前,必须按照流程进行操作。 威胁:工作中的疏忽及不按照规定操作,无系统数据一致性自动核查手段。 脆弱性:系统无法及时发现用户功能的非正常变更,该问题长期存在,但一直被忽视,往往到投诉产生时候才发现。SOX控制矩阵中,有专门对变更
5、的控制点,可见其重要性。基站的变更数据不统一,导致覆盖范围的投诉(欢迎短信、边界漫游),BOSS系统的变更数据问题,将导致全省范围的投诉,分析投诉周报可以看出,有相当一部分投诉是由于网络或业务变更时准备不充分,数据不同步造成的,在MISC等等经常存在数据迁移的变更中常常会出现这种情况,案例剖析四,实际情况和结果 实际情况:公司网络及客户信息分散在不同部门,甚至不同员工终端和存储中,不清楚究竟信息资产都在哪里,哪里最全,哪里版本最新。 结果:信息资产不知道什么时候、通过什么途径、会被什么人通过什么样的方式获得并进行什么样的使用(SKYTEL事件),问题分析 问题分析:没有信息资产的统一管理要求,
6、没有健全的访问控制策略 威胁:一直对中国移动存在攻击企图的人员或别有用心的技术人员,以及有意或无意接触到信息的人。 脆弱性:没有严格的访问管理策略(管理及技术),该问题长期存在,公司信息资产的分类、标注、存储、授权访问要求一直没有有效落实,购买机票等垃圾短信已经给我们敲响了警钟,必需立即动手,有效开展工作,位置服务信息、小区短信信息、彩铃库一旦被非法利用,后果不堪设想。,问题小结,1、重大及突发故障管理处于被动局面 (1)无准备 (2)时长及范围不确定 (3)影响范围不确定 其根本原因在于未对系统的安全指标进行严格控制! 2、SOX控制要求尚未深入全面推广到生产一线,覆盖范围也仅限于年度审计范
7、围,理解的不一致阻碍了SOX内控工作的常态化开展。 SOX法案相关要求对于网络工作的深刻影响尚未充分体现!,问题小结,3、已有安全风险控制措施和实践,但没有完全控制好风险,发生了故障甚至是重大故障。 所有故障均来源于风险,已有安全措施效果不理想! 4、上述案例表明我们完全有能力掌控我们的网络,但需要全面客观地进行安全指标体系建设和处理,增强管理手段和人员安全意识,从根源上将安全事情发生的隐患降低到最低。 避免头痛医头,脚痛医脚!,一个问题,我们有很多风险控制措施和实践,为什么还总出现故障甚至是重大故障?,根本原因: 缺乏对安全风险的整体控制,各种技术、管理手段分散在各专业手里,未进行整体控制。
8、,需要对安全风险体系化管理,已有的安全控制措施,安全风险控制措施体系化管理,安全风险管理作用,安 全 风 险 管 理,目标更加明确,安全风险管理体系化,结合技术、管理措施,整体控制风险,措施更加有效,系统认识风险,发现新的风险,安全风险管理和风险评估之间的关系,信息安全风险管理指南,信息安全的核心是对信息安全风险的管理,安全风险评估是实施信息安全管理的基础 风险管理是基于风险评估的安全管理方法。它是以可以接受的代价识别、控制、最小化或者避免影响信息系统安全的风险的过程,相 同 点,目的相同:都是提高网络或系统的安全水平,降低安全风险,安全审计、检查可看作风险评估的一种,对象相同:移动通信网中的
9、各子网络或子系统,不 同 点,安全审计属于符合性评价,结合萨班斯法案、移动内控手册、安全相关技术规范和管理办法等进行,安全风险评估形式灵活,内容丰富。从企业内部深入分析网络或系统存在的脆弱性,面临的安全威胁,最终明确存在的安全风险,安全检查时间较短,检查方法和内容相对宏观、笼统,可能进行评比、奖惩,风险评估与审计、检查之间的关系,管 理,技 术,安全工作的成功要素,这些工作我们都进行了吗? 我们做得够吗? 我们做得好吗? 我们主要精力主要放在哪了? 各种安全产品起作用了吗? 我们的投入与产出成比例吗?,第二章 风险评估概念,什么是风险评估?,中国移动网络与信息安全风险评估管理办法 第一章,对移
10、动网络中已有安全保护措施的落实情况和有效性进行确认,对存在的威胁和脆弱性进行分析,找出安全风险,有针对性的提出改进措施的活动。,有限公司所管理的移动网及其组成部分 支撑和管理移动网及移动业务的业务单元和控制单元 互联网数据中心 企业办公系统、客服呼叫中心、企业门户网站等非核心生产单元 经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统,风险 评估,风险 评估 对象,风险评估相关概念,风险评估相关概念,安全风险,残余风险,安全事件,风险评估各要素间关系,protect against 预防,met by 符合,Exploi
11、t 利用,Increase 增加,Increase增加,Expose 暴露,Indicate显示,Increase增加,Have具有,Reduce 降低,Potential impact on Business 对企业的潜在冲击,Threats 威胁,Vulnerabilities脆弱性,Controls 控制,Risks风险,Assets资产,Security Requirements 安全要求,Asset Values 资产价值,威胁必须利用脆弱性才能产生风险,第三章 风险评估方法,风险评估目的,RISK,RISK,RISK,风险,风险的构成,风险的降低,依据国家标准、行业标准进行风险评估
12、 遵循国家有关政策、有限公司相关管理规定,从不同的角度对风险评估方法的划分不同,风险评估方法,风险评估方法,获得支持和配合,确定风险评估目标,确定风险评估内容,组建风险评估团队,被评估对象调研,确定评估依据和方法,风险评估的准备,30,具有价值的资产,资产,保存在设备上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等,网络设备:路由器、网关、交换机等 存储设备:磁带机、磁盘阵列等 保障设备:动力保障设备(UPS、变电设备等)、消防设施等,系统软件:操作系统、协议包、工具软件、各种数据库软件等 应用软件:外部购买的应用软件,外包开发的应用软件,各种共享、自行
13、或合作开发的各种软件等,纸质的各种文件,如设计文档、管理规定和技术要求等,技术人员:如网络维护人员、网络或业务的研发人员; 管理人员,面临的各种威胁,自然灾害,威胁主体分析,人最主要的威胁主体,攻击的复杂度与对技术的要求,破坏审计信息,后门,自动扫描,分布式攻击工具,高,低,1980,1985,1990,1995,2000,猜密码,自我复制,破密码,利用漏洞,通信冲突,手工扫描,窃听,报文欺骗,使用图形界面,拒绝服务,www 攻击,工具,攻击者,对黑客的技术要求,攻击的复杂程度,新型扫描工具,窃取信息,利用网管,跨主机新型工具,2005,移动网络安全威胁分析,IP Core Network,I
14、P Access Network,IP,IP,IP BSS,IP RAN,PSTN/PLMN,Internet,MMS,SMS,WAP,自有业务系统,终端,来自用户侧(接入/终端)威胁 对用户 窃听/用户机密信息窃取 病毒/蠕虫/木马 中间人或伪基站攻击 对网络 业务盗用 非法设备接入 网络攻击/拓扑泄露 DoS攻击,资源耗竭,来自Internet的威胁 黑客入侵 DoS/DDos攻击,资源耗竭 非法接入业务系统,来自第三方网络的威胁 身份欺骗 业务欺诈/盗用,来自运营商DCN网络的威胁 病毒、蠕虫、木马 非法访问 越权访问、权限滥用 敏感/机密信息泄露,Stream,HLR/Auc,脆弱性分
15、析,我国信息安全保障工作仍存在一些亟待解决的问题: 网络与信息系统的防护水平不高,应急处理能力不强; 信息安全的管理和技术人才缺乏,信息安全关键技术整体上比较落后,信息安全产业缺乏核心竞争力; 信息安全法律法规和标准不完善; 全社会的信息安全意识不强,信息安全管理薄弱。,国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327号),脆弱性分析-国家层面,美国政府相关部门最近公布了政府部门在信息安全保护方面存在的十大问题: 信息安全培训不足 合同安全条款不足 资产分类指导不足 信息介质管理不足 安全事件管理不足 安全日志管理不足 物理安全保护不足 安全控制措施不足 远程访问管理不足
16、 采购安全考虑不足,脆弱性分析-企业层面,InformationWeek研究部和埃森哲咨询公司2007年全球信息安全调查,德勤2007年全球信息安全调查,脆弱性分析-个人层面,脆弱性分析方法举例-渗透性测试,渗透性测试(Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节 渗透性测试中一切攻击方法必须在保证可控的条件下,尽可能的接近真实 渗透性测试和真正黑客攻击的不同 非破坏性 预知性 公开性 不会造成业务的损害,渗透性测试的范围,主机操作系统渗透 对WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI等操作系统本身进行渗透测试 数据库系统渗透 对MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE
