《信息安全风险评估内容与实施流程》由会员分享,可在线阅读,更多相关《信息安全风险评估内容与实施流程(14页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估内容与实施流程安全评估是信息安全风险管理的必要手段,只有有效评估了系统面临的安全 风险,才能充分掌握信息系统安全状态,才能确定安全防护的重点与要点,并有 针对性地采取控制措施,使信息安全风险处于可控制的范围内。安全评估适用于 XXXX 公司信息系统全生命周期,为信息系统的安全建设、稳定运行和改造提供 重要依据,并且是信息系统安全等级确定过程中不可或缺的技术手段。为了规范安全评估工作,XXXX公司2004年颁布了XXXX公司信息安全 风险评估规范(试行)(以下简称评估规范)。为配合评估规范的落实, XXXX 公司组织 XXXX 公司内外的专业机构,参照国家和国际相关标准与规范,
2、在总结 XXXX 公司以往安全评估实践的基础上,编制本指南以有效指导、规范 与帮助XXXX公司进行安全评估工作。信息系统的评估流程参照国内外的电力行业标准、规范制定,包括项目实施 流程和现场工作流程两部分。项目实施流程是一次评估工作整体的框架结构,现 场工作流程是评估的核心部分。1.1 评估内容XXXX 公司信息系统安全评估的主要内容包括:资产评估、威胁评估、脆弱 性评估和现有安全措施评估。1.1.1 资产评估资产评估是确定资产在信息安全属性(机密性、完整性、可用性等)缺失时, 对信息系统造成的影响的过程。在实际的评估中,资产评估包含信息资产识别、 资产赋值等内容。1) 资产识别资产识别是对信
3、息资产分类、标记的过程。在确定评估抽样范围后,需 要对抽样资产进行识别。资产识别是为了了解资产状况、确定资产价值而进 行的风险管理的准备工作。在一个信息系统中,资产的形式和内容各不相同,将资产进行分类,按 照资产类型进行具体的评估是评估的基本方法之一。参照信息安全管理实 施细则(即 ISO/IEC TR 17799)对信息资产的描述和定义,将行业企业信息 资产按照下面的方法分类:表 4.1 信息资产分类表类别解释信息以物理或电子的方式记录的数据,或者用于完成组织任务的知识产权。信 息资产本质上是无形的,与系统资产紧密联系。系统存储、处理和传输驱 动组织的关键信息。因此,当组织建立策略和计划以保
4、护系统资产时,同 时也保护了组织的关键信息,及其软硬件资产。软件软件应用程序和服务、如操作系统、数据库应用程序、网络软件、办公应 用程序、客户应用程序等,用于处理、存储和传输信息。硬件信息技术的物理设备,例如工作站、服务器等。通常强调单独考虑这些物 理设备的替代价值。人员指组织中拥有独特技能、知识和经验的,他人难以替代的人。当人被标识 为资产时,要确定是否还有更适于标识的相关资产。例如,标识他们使用、 维护、管理的关键系统,或者他们为其他使用者提供的信息。系统处理和存储信息的信息系统,代表一组信息、软件和硬件资产。系统是一 个整体出发,其任一组件都无法代表其整体,因此,对系统的评估需要完 整的
5、考虑系统的各个部分,并进行综合考虑。资产识别是评估的入口点。对评估范围内的资产进行分类识别,是进行 系统的和结构化风险分析的基础。按照信息资产分类将信息资产归类、并根 据资产的分类情况充分了解评估范围内资产安全状态是资产识别的主要内 容之一。此外,资产总是分布于不同的业务系统中,是业务系统的组成部分,相 同的资产在不同的业务系统中会表现出不同的安全属性,因此,资产的识别 过程需要将资产按照所属业务系统的情况进行标记,并根据业务系统总体的 安全属性来调整对资产评估。2) 资产安全要求识别根据资产组成确定各部分的安全性要求。流程如下:1将漫产划分咸“系蜿或“服I 1务;每个系纯或服务包含与其I :
6、扌日丈的所有信思谡施.I将“系蜿或“服务分解成:1 Y系蜿、i言息、it件或换件等| 部疔,I1对“系统或“服务撓控的I:数握进行分析和分类,并与分I解苗潘产进杆关联|1根握数堀分析明瞒分厳怎系统I纽戌部分的枣全属性.|I匚;根捉睾娩分斛s数据姿全.属性! I对壷产的各组成部分提出妄全;1姜或II图 41 资产安全要求识别流程3) 资产赋值综合考虑了资产的使命、资产本身的价值、资产对于应用系统的重要程 度、业务系统对于资产的依赖程度、位置及其影响范围等因素估定信息资产 价值。评估中,对不同类型资产考虑其机密性、完整性和可用性安全要求, 通过对资产的安全要求的判定,确定其重要程度。资产价值的确定
7、可以为合理配置保护资源,减少保护成本,以及采用分 等级的保护措施提供有力的支持。对不同类型资产考虑的安全属性的定义如 下:系统表 4.2 系统安全属性说明资产属性说明机密性未经授权不能使用、浏览、查看系统上的信息完整性系统上的信息只能由获得授权的人进行修改、删除等操作可用性在任何需要的时候,系统中的信息都必须是可用的信息表 4.3 信息资产安全属性说明资产属性说明机密性未经授权不能使用、浏览、查看信息完整性信息只能由获得授权的人进行修改、删除等操作可用性在任何需要的时候,信息都必须是可用的软件表 4.4 软件资产安全属性说明资产属性说明机密性未经授权不能使用软件完整性只有经过授权才能对软件进行
8、修改、删除等操作可用性在需要的时候,软件必须是可用的硬件表4.5 硬件资产安全属性说明资产属性说明完整性指硬件的完整性,不被毁坏或盗窃,不被非授权更改配置可用性在需要时,获得授权的客体和主体可以使用、访问硬件人员表 4.6 人员安全属性说明资产属性说明可用性在需要时,人员能够凭借其掌握的技能提供网络与系统的管理、运维服务资产赋值是对资产在机密性、完整性和可用性三个属性上的保持程度的要求进行评定的过程,对资产各属性赋值按如下规定进行:资产机密性赋值表 4.7 资产机密性赋值赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织 根本利益有着决定性影响,如果泄漏会造成灾难性的损害4
9、高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严 重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩 散有可能对组织的利益造成轻微损害1可忽略可对社会公开的信息,公用的信息处理设备和系统资源等资产完整性赋值表 4.8 资产完整性赋值赋值标识定义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成 重大的或无法接受的影响,对业务冲击重大,并可能造成严 重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大 影响,对业务冲击严重,比较难以弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造
10、成影响, 对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微 影响,可以忍受,对业务冲击轻微,容易弥补1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影 响可以忽略,对业务冲击可以忽略资产可用性赋值表 4.9 资产可用性赋值赋值标识定义5极高可用性价值非常高,合法使用者对信息及信息系统的可用度 达到年度99.9%以上,或系统不允许中断;4高可用性价值较高,合法使用者对信息及信息系统的可用度达 到每天90%以上,或系统允许中断时间小于10分钟;3中等可用性价值中等,合法使用者对信息及信息系统的可用度在 正常工作时间达到70%以上,或系统允许中断时间小于3
11、0分 钟;2低可用性价值较低,合法使用者对信息及信息系统的可用度在 正常工作时间达到25%以上,或系统允许中断时间小于60分 钟;1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用 度在正常工作时间低于25%;解释:资产的赋值是评估中由定性化判断到定量化赋值的关键环节。具体的 评估中,也可根据具体情况采用 3 级或更多级别的赋值规定,规定中必须对每一 级别进行明确的定义、各级别间应当有显著的差异。1.1.2 威胁评估威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁 的过程。威胁评估中的主要工作包括两个方面,一是要根据特定资产运行环境来 确定其所面临的威胁来源,另一方
12、面要确定这些威胁的严重程度和发生的频率。每个资产由于所处的环境不同,面临的威胁也不尽相同,因此对评估范围内 的资产需要根据资产评估的分类结果,进行单独的或整体的威胁评估。实际的评 估过程中,可按照网络和物理环境、以及资产的保护等级将资产划分为若干部分, 对这几部分进行统一的威胁判断。1) 威胁识别威胁识别过程包括了威胁统计和威胁资产关联两个过程。威胁统计采用了威胁列表、日志信息审计、历史事件调查等手段统计信息系统面临的最大威胁集合;威胁资产关联是根据资产的物理、网络和人员等环境从威胁统计结果中提取具体资产面临的主要威胁列表的过程。2) 威胁赋值威胁评估的重要内容是对威胁进行赋值,为风险分析提供
13、确定的等级数 据,确保风险分析结果的科学性。威胁按照其对安全属性的影响分为涉及机 密性的威胁、涉及可用性的威胁和涉及完整性的威胁,分别进行赋值。威胁的赋值需要综合考虑威胁发生的可能性和威胁产生后的严重程度。 评估中,对威胁的两个属性按照如下定义进行赋值:威胁可能性表 4.10 威胁可能性赋值表标识赋值解释大5威胁发生几乎不可避免较大4威胁发生可能性很大中3威胁有可能发生较低2威胁发生的可能性很小低1威胁发生可能性很低威胁严重程度表 4.11 威胁严重程度赋值表标识赋值解释大5威胁后果所产生的负面影响无法容忍,难以接受较大4威胁后果所产生的负面影响很严重,损失难以弥补中3威胁后果所产生的负面影响
14、较大,但损失可以弥补较低2威胁后果所产生的负面影响可以容忍,损失较容易弥补低1威胁后果产生不了什么负面影响解释:威胁赋值的过程是一个交流、观察与调查的过程。有充分经验的评估人员和待评系统管理人员的积极配合是准确进行威胁赋值的关键条件。同时,威 胁赋值规定同资产赋值规定相同,可以采取 3 级和更多级别的赋值方法,但在一 次评估中,资产、威胁、脆弱性赋值的级别数量应一致。1.1.3 脆弱性评估脆弱性评估包括脆弱性识别和赋值两个步骤,是对信息系统中存在的可被威 胁利用的缺陷的发现与分析的过程。现场阶段的大部分工作内容是围绕脆弱性评 估开展的。1) 脆弱性识别脆弱性的识别以资产为核心,即根据每个资产分
15、别识别其存在的弱点, 然后综合评价该资产或资产组(系统)的脆弱性。在电力系统深度防护体系中,按照信息系统的运作方式,将与信息系统 的安全性相关的内容划分成技术、运维和管理三个方面(见下图)。对信息系 统脆弱性的识别从这三个方面出发,进行综合的考察,并确定其相互作用程 度。图 4-2 技术、运维和管理相关情况解释:技术方面的脆弱性识别主要采用工具扫描和人工审计的方式进行 运维和管理缺陷主要通过访谈和调查问卷来发现。此外,对以往的安全事件 的统计和分析也是确定脆弱性的主要方法。脆弱性识别的内容根据评估选择的策略(见评估规范中的定义)或和目的的不同进行调整,具体的内容可参照相应的技术或管理标准,以及评
