一、風險評估概述 1 、風險服務的重要性 對于構建一套良好的信息安全系統,需要對整個系統的安全風險有一個清晰的認識。只有清晰的了解了自身的弱點與風險的來源,才能夠真正的解決與削弱它,并以此來構建有著對性的、合理有效的安全策略,而風險評估既就是安全策略規劃的第一步,同時也就是實施其她安全策略的必要前提。
近幾年隨著幾次計算機蠕蟲病毒的大規模肆虐攻擊,很對用戶的網絡都遭受了不同程度的攻擊,仔細分析就會發現,幾乎所有的用戶都部署了防病毒軟件與類似的安全防護系統,越來越多的用戶發現淡村的安全產品已經不能滿足現在的安全防護體系的需求了。
安全就是整體的體系建設過程,根據安全的木桶原理,組織網絡的整個安全最大強度取決于最短最脆弱的那根木頭,所以說在安全建設的過程中,如果不仔細的找到最短的那根木頭,而盲目的在外面加釘子,并不能改善整體強度。
信息安全風險評估就是信息安全保障體系建立過程中的重要的評價方法與決策機制,只有通過全面的風險評估,才能讓客戶對自身信息安全的狀況做出準確的判斷。
2 、風險評估服務的目的及其意義 信息安全風險就是指人為或自然的威脅利用信息系統及其團里體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。
信息安全風險評估就是指依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸與存儲的信息的機密性、完整性與可用性等安全屬性進行評價的過程。她要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組造成的影響。
信息安全風險評估就是信息系統安全保障機制建立過程中的一種評價方法,其結果為信息安全更顯管理提供依據。
3 、風險評估服務機制 在信息系統生命周期里,有許多種情況必須對信息系統所涉及的人員、技術環境、物理環境進行風險評估: ? 在設計規劃或升級新的信息系統時;
? 給目前的信息系統增加新應用時; ? 在與其她組織(部門)進行網絡互聯時; ? 在技術平臺進行大規模更新(例如,從 Linux 系統移植到 Sliaris 系統)時; ? 在發生計算機安全事件之后,或懷疑可能會發生安全事件時; ? 關心組織現有的信息安全措施就是否充分或食后具有相應的安全效力時; ? 在組織具有結構變動(例如:組織合并)時: ? 在需要對信息系統的安全狀況進行定期或不定期的聘雇、已查瞧就是否滿足組織持續運營需要時等。
4 、風險評估服務的收益 ? 風險評估可以幫助客戶: ? 準確了解租住的信息安全現狀; ? 明晰組織的信息安全需求; ? 制定組織信息系統的安全策略與風險解決方案; ? 指導組織未來的信息安全建設與投入; ? 建立組織自身的信息安全管理框架。
二、風險評估服務介紹 本公司遵循公認的 ISO 27001、GB/T 20984-2007 信息安全風險評估規范以及國際信息安全等級保護指南等安全標準知道風險評估的工作,針對資產重要程度分別提供不同的頻率與方式的風險評估,幫助客戶了解客觀真實的自身網絡系統安全現狀,規劃適合自己網絡系統環境的安全策略,并根據科學合理的安全策略來實施后續的安全服務、選型與部署安全產品以及建立有效的安全管理規章制度,從而全面完整的解決可能存在的各種風險隱患。
1 、風險評估服務遵循標準 在整個評估過程中,本公司遵循與參照最新、最權威的信息安全標準,作為評估實施的依據。這些安全標準包括: 安全技術標準: ? GB 17859:計算機信息系統安全保護等級劃分準則 ? GB 18336(ISO 15408):信息技術-安全技術-信息技術風險評估準則(等同于
Common Criteria for Information Technology Security Evaluation V1、2,簡稱CC V1、2) ? CVE:Common Vulnerabilities & Exposures,通用脆弱性標準。CVE 就是個行業標準,為每個漏洞與弱點確定了惟一的名稱與標準化的描述,可以稱為評價響應入侵檢測與漏洞掃描等工具產品與數據庫的基準 安全管理標準: ? ISO/IEC 27001: 2005 Information Technology-Security techniques-Information security management systems-Requirements,信息技術-安全技術-信息安全管理體系要求 ? ISO/IEC 27005:2008 Information Technology- Security echniques-Information security risk management,信息技術-安全技術-信息安全風險管理 ? GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求 ? 信息安全等級保護 信息系統安全管理要求(送審稿) ? ISO 13335,信息技術-安全技術-IT 安全管理指南 ? GB/Z 24364 2009 信息安全技術 信息安全風險管理指南 風險評估實施方法: ? GB/T 20984-2007:信息安全風險評估規范(最新國家標準) ? NIST SP 800-30:RiSk Management Guide for Information Technology Systems,信息技術系統風險管理指南(美國國家標準與技術學會發布) ? NSA IAM:INFOSED Assessment Methodology,信息風險評估方法(美國國家安全局發布) ? OCTAVW:The Operationally Critical Threat,Asset,and Vulnerability Evaluation,可操作的關機那威脅、資產與脆弱性評價 ? 信息技術 安全技術 信息系統安全保障等級評估準則 ? SSE-CMM:The Systems Security Engineering Capability Maturity Model,安全系統工程能力成熟度模型 2、風險評估服務實施原則 (1)保密性原則
本公司對安全服務的實施過程與結果將嚴格保密,在未經客戶授權的情況下不會泄漏給任何單位與個人,不會利用此數據并進行熱呢侵害客戶權益的行為。
(2)標準性原則 服務設計與實施的全過程均依據國內或國際的相關標準進行。
(3)規范性原則 本公司在各項安全服務工作中的過程與文檔,都具有很好的規范性,可以便與項目的跟蹤與控制。
(4)可控性原則 服務所使用的工具、方法與過程都會在本公司與客戶雙方認可的范圍之內,服務進度遵守進度表的安排,保證雙方對服務工作的可控性。
(5)整體性原則 服務的范圍與內桶整體全面,設計的IT運行的各個層面,避免由于遺漏造成未來的安全隱患。
(6)最小影響原則 服務工作盡可能小的影響信息系統的正常運行,不會對現有業務造成顯著影響。
3 、風險評估對象及內容 本公司風險評估服務主要包括以下內容: (1)
物理環境安全性評估 (2)
網絡架構安全性評估 (3)
主機系統設備安全性評估 ? 服務器系統 ? 桌面主機 ? 網絡設備(路由器、交換機) (4)
應用系統安全性評估 ? 通用應用服務(WEB、、DNS 等) ? 專用業務系統(B/S、C/S) ? 數據庫 (5)
機密數據安全控制保障評估(機密信息的生成、傳遞、存儲等過程)
(6)
信息安全管理組織架構與理性評估 (7)
信息安全管理制度及安全性評估 (8)
人員安全管理狀況評估 (9)
安全產品與技術應用狀況有效性及合理性評 (10)
對應重大緊急安全事件的處理能力評估 (11)
…… 4 、風險評估方法 為了確切、真實地反映信息系統現狀,本公司在風險評估過程中使用到的方法有顧問訪談、工具掃描、專家經驗分析、實地勘察、滲透測試、策略審查六種,如下圖所示:
圖
風險評估方法 5 、成果輸出 ? 《風險評估安全現狀綜合分析報告》 ? 《風險評估安全解決方案》 四、風險評估服務框架及流程 1 、風險要素關系 信息就是一種資產,資產所有者應對信息資產進行保護,通過分析信息資產的脆弱性來確定威脅可能利用那些弱點來破壞其安全性。風險評估要識別資產相關要素的關系,從而判斷資產面臨的風險大小。
風險評估中各個要素的關系如下圖所示:
圖
風險要素關系示意圖 圖中方框部分的內容為風險評估的基本要素,橢圓部分的內容就是與這些要素相關的屬性。風險評估圍繞其基本要素展開,在對這些要素的評價過程中需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。
圖中的風險要素及屬性之間存在著以下關系: ? 業務戰略依賴資產趨去實現; ? 析產就是有價值的,組織的業務戰略對資產的依賴度越高,資產價值就越大; ? 資產價值越大則其面臨的風險越大; ? 風險就是由威脅引發的,資產面臨的威脅越多測風險越大,并可能演變成安全事件; ? 弱點越多,威脅利用脆弱性導致安全事件的可能性越大; ? 脆弱性時未被滿足的安全需求,威脅要通過利用脆弱性來危害資產,從而形成風險;
? 風險的存在及對風險的認識導出安全需求; ? 安全需求可通過安全措施得以滿足,需要結合資產價值考慮實施成本; ? 安全措施可抵御威脅,降低安全事件的發生的可能性,并減少影響; ? 風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險,有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續控制,而有些參與風險則就是在綜合考慮了安全成本與效益后為控制的風險,就是可以被接受的; ? 參與風險應受到密切監視,她可能會在將來有發心的安全事件。
2 、風險分析 風險分析示意圖如下圖所示:
圖 風險評估分析中主要涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,資產的屬性就是資產價值;威脅的屬性就是威脅出現的頻率;脆弱性的屬性就是資產弱點的嚴重程度。風險分析主要內容為: 對資產進行識別,并對資產的重要性進行賦值; 對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值; 對資產的脆弱性進行識別,并對具體資產的脆弱性的嚴重程度賦值; 根據威脅與脆弱性的識別結果判斷安全事件; 根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失; 根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對
組的影響,即風險值。
3 、風險評估實施流程 本公司在進行風險評估服務過程中,將嚴格參照 GB/T 20984-2007《信息安全風險評估規范》國家標準所定義的服務流程規范來實施,整個實施流程如下圖所示: 信息安全風險評估實施流程 (1)
準備階段 風險評估的準備過程就是進行風險評估的基礎,就是整個風險評估過程有效性的保證。風險評估作為一種戰略型的考慮,其結果將受到組織的業務需求及戰略目標、文化、業務流程、安全要求/規模與結構的影響。不同組織對于風險評估的實施過程可能存在不同的要求,因此在風險評估實施前,需要做好以下準備工作: a)確定風險評估的范圍;
b)確定風險評估的目標; c)建立適當的組織結構; d)建立系統性的風險評估方法; e)獲得高層管理者對風險評估策劃的批準。
(2)風險識別階段 a)信息資產識別 資產就是組織直接賦予了價值因而需要保護的東西。她可能就是以多種形式存在,有無形的、有有型的,有硬件、有軟件,有文檔、代碼,也有服務、組織形象等。她們分別具有不同的價值屬性與存在特點,存在的弱點、面臨的威脅、需要進行的保護與安全控制都各不相同。
組織的信息資產就是組織資產中與信息開發、存儲、轉移、分發等過程直接、密切相關的部分。不同的信息資產具有不同的安全屬性,機密性、完整性與可用性分別反映了資產在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。
此階段的工作就就是通過考察組織信息資產的三種不同的安全屬性,從而更好地反映信息資產的價值,以便于進一步考察資產相關的弱點、威脅與風險屬性,并進行量化。
b)威脅識別 威脅就是可能導致對系統或組織危害的不希望事故潛在起因。威脅可能源于對組織信息直接或間接地攻擊,例如非授權的泄露、篡改、刪除等,在機密性、完整性或可用性等方面造成傷害。威脅也可能源于偶發的/或蓄意的事件。一般來說,威脅總就是要利用組織中的系統、應用或服務的弱點才可能成功地對資產造成傷害。
c)脆弱性識別 脆弱性與信息資產緊密相連,它可能被威脅利用/引起資產損失或傷害。值得注意的就是,脆弱性本身不會造成損失,它只就是一種條件或環境、可能導致被威脅利用而造成資產損失。
脆弱性的出現有各種原因,例如可能就是軟件開發過程中的質量問題,也可能就是系統管理員配置方面的,也可能就是管理方面的。但就是,她們的共同特性就
就是給攻擊者提供了機會。
d)已有安全措施確認 在本階段,本公司將對采取的控制措施進行識別并對控制措施的有效性進行確認,將有效的安全控制措施繼續保持,以避免不必要的工作與費用,防止控制措施的重復實施。對于那些卻認為不適當的控制核查就是否應被取消,火星與用更合適的控制代替。安全控制可以分為預防性控制措施與保護性控制措施(如業務持續性計劃、商業保險等)兩種,預防性控制措施可以降低威脅發生的可能性與減少安全脆弱性,而保護性控制措施可以減少因猥褻發生所造成的影響。
已有安全措施的確認與脆弱性識別存在一定的聯系。一般來說,安全措施的使用將減少脆弱性,但安全措施的確認并不需要與脆弱性識別過程那樣具體到每個資產、組件的弱點,而就是一類具體措施的集合。比較明顯的例子就是防火墻的訪問控制措施。
(3)風險分析階段 a)殘余風險分析 殘余風險分析將根據在識別階段對資產、脆弱性、威脅識別的結果,結合現有安全控制措施分析的結果,確定信息系統的殘余風險;然后結合殘余風險對業務影響性的分析,確定殘余風險的處置計劃并給出合理的風險處置建議。
b)綜合風險分析 風險就是一種潛在可能性,就是指某分威脅利用脆弱性引起某項資產或一組資產的損害,從而直接地或間接地引起組織或機構的損害。因此,風險與具體的資產、其價值、威脅等級以及相關的脆弱性直接相關。
從上述的定義可以瞧出,風險評估的策略就是首先選定某項資產、評估資產價值挖掘并評估資產面臨的威脅、挖掘并評估資產存在的脆弱性、評估該資產的風險、進而得出整個評估目標的風險。
(4)風險處置階段 根據項目文檔中對信息系統網絡風險評估的主要目標,依照安全風險中獲得的階段性結果與《風險評估安全現狀綜合分析報告》,參考安全體系與框架,得出針對客戶的《風險評估安全解決方案》。
4 、評估過程中的風險控制
在評估過程中,不可避免地會對平復對象造成影響,相應地可能會造成各種損失。這些影響包括信息泄露、業務停頓或處理能力受損等。因此,必須充分考慮各種可能的影響及其危害并準備好相應地應對措施,盡可能減小對目標系統正常運行的干擾,從而減小損失。下表給出了平復過程中可能的風險與控制方式。
項目 可能的影響與方式 等級 控制方式(措施) 備注 資產評估 資產信息泄露 高 合同、協議、規章、制度、法律、法規
安全管理評估 安全管理信息泄露 高 合同、協議、規章、制度、法律、法規
應急安全評估 系統切換測試導致部分業務中斷、部分數據遺失 高 與 DBA、SA、NA 協同工作做好系統備份與恢復措施;通知相關業務人員在響應時間內注意保護數據,并檢查提交的數據就是否在測試后完整。
網絡威脅收集 網絡流量 低 控制中心與探測引擎直接連接,不占用網絡流量
網絡/安全 設備評估 誤操作引起設備崩潰或數據丟失、損壞 高 規范審計流程; 嚴格選擇審計人員; 用戶進行全程監控; 制定可能的恢復計劃;
網絡/安全設備資源占用 低 避開業務高峰; 控制掃描策略(線程數量、強度)
弱點掃描 流量占用 低 避開業務高峰; 控制掃描策略(線程數量、強度)
主機資源占用 低 避開業務高峰; 控制掃描策略(線程數量、
強度) 控制臺審計 誤操作引起系統崩潰或數據丟失、損壞 高 規范審計流程; 嚴格選擇審計人員; 用戶進行全程監控; 制定可能的恢復計劃;
網絡流量與主機資源占用 低 避開業務高峰
應用平臺 產生非法數據,致使系統不能正常工作 中 與 DBA、SA、NA 協同工作做好系統備份措施
異常輸入(畸形數據、極限測試)導致系統崩潰 高 與 DBA、SA、NA 協同工作做好系統備份措施
表
推薦訪問: 實施方案 風險評估上一篇:金工實訓中心安全實訓管理規章制度
下一篇:黨建創新載體實施方案
在偉大祖國73華誕之際,我參加了單位組織的“光影鑄魂”主題黨日活動,集中觀看了抗美援朝題材影片《長津湖》,再一次重溫這段悲壯歷史,再一次深刻感悟偉大抗美援朝精神。1950年10月,新中國剛剛成立一年,
根據省局黨組《關于舉辦習近平談治國理政(第四卷)讀書班的通知》要求,我中心通過專題學習、專題研討以及交流分享等形式,系統的對《習近平談治國理政》(第四卷)進行了深入的學習與交流,下面我就來談一談我個人
《習近平談治國理政》(第四卷)是在百年變局和世紀疫情相互疊加的大背景下,對以習近平同志為核心的黨中央治國理政重大戰略部署、重大理論創造、重大思想引領的系統呈現。它生動記錄了新一代黨中央領導集體統籌兩個
《真抓實干做好新發展階段“三農工作”》是《習近平談治國理政》第四卷中的文章,這是習近平總書記在2020年12月28日中央農村工作會議上的集體學習時的講話。文章指出,我常講,領導干部要胸懷黨和國家工作大
在《習近平談治國理政》第四卷中,習近平總書記強調,江山就是人民,人民就是江山,打江山、守江山,守的是人民的心。從嘉興南湖中駛出的小小紅船,到世界上最大的執政黨,在中國共產黨的字典里,“人民”一詞從來都
黨的十八大以來,習近平總書記以馬克思主義戰略家的博大胸襟和深謀遠慮,在治國理政和推動全球治理中牢固樹立戰略意識,在不同場合多次圍繞戰略策略的重要性,戰略和策略的關系,提高戰略思維、堅定戰略自信、強化戰
《習近平談治國理政》第四卷集中展示了以習近平同志為核心的黨中央在百年變局和世紀疫情相互疊加背景下,如何更好地堅持和發展中國特色社會主義而進行的生動實踐與理論探索;對于新時代堅持和發展什么樣的中國特色社
在黨組織的關懷下,我有幸參加了區委組織部組織的入黨積極分子培訓班。為期一周的學習,學習形式多樣,課程內容豐富,各位專家的講解細致精彩,對于我加深對黨的創新理論的認識、對黨的歷史的深入了解、對中共黨員的
《習近平談治國理政》第四卷《共建網上美好精神家園》一文中指出:網絡玩命是新形勢下社會文明的重要內容,是建設網絡強國的重要領域。截至2021年12月,我國網民規模達10 32億,較2020年12月增長4
剛剛召開的中國共產黨第十九屆中央委員會第七次全體會議上討論并通過了黨的十九屆中央委員會向中國共產黨第二十次全國代表大會的報告、黨的十九屆中央紀律檢查委員會向中國共產黨第二十次全國代表大會的工作報告和《