信息安全风险评估方法论(上篇)

信息安全方案 南瓜一族 1509℃ 0评论

0x01 目的

信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据有关信息安全技术标准,结合企业的业务特点,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得企业无法对其信息安全的状况做出准确的判断。
本技术要求规定了信息安全风险评估的模型与要素、工作流程、评估方法和风险分析方法,用于指导企业识别信息系统中存在的风险;为确立信息系统安全等级提供参考;指导信息系统的安全管理;信息系统建设完成后,验收时用于参考等。

0x02 适用范围

技术要求主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。对资产、威胁和脆弱性的识别进行了详细的描述,同时描述了风险评估在信息系统生命周期中的作用,以及风险评估的不同形式。本指南将原则性与可操作性进行有机的结合,既为风险评估的实施者、信息安全管理人员以及相关人员提供风险评估的依据,同时也力求避免评估过程的僵化。

0x03 编写依据

  • 1.GB/T 20984-2007 信息安全技术 信息安全风险评估规范
  • 2.YDT 1730-2008 电信网和互联网安全风险评估实施指南
  • 3.ISO/IEC 13335.1-2004 信息技术-安全技术-IT安全管理指南 第1部分:IT安全管理概念和模型
  • 4.ISO/IEC 27002-2005 信息技术-安全技术-信息安全管理实施准则
  • 5.BS7799、ISO17799、ISO27001
  • 6.Cobit 4.0
  • 7.ISO13335
  • 8.ISO15408
  • 9.ISO9000
  • 10.等级保护2.0

0x03 风险评估模型

3.1 风险评估要素关系模型

通过分析和总结风险评估国际标准、国家政策以及行业标准,在风险评估的整个过程中,主要包含三个要素,即资产、威胁和脆弱性。这三个要素之间相互作用和影响,它们之间的关系如下图所示:

3.2 风险评估形式

根据评估发起者的不同,可以将风险评估的工作形式分为自评估和检查评估。风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。

3.2.1 自评估

自评估是由企业信息部门发起,依据通信行业标准,对其所运营管理、维护的系统进行的风险评估。通过自评估,可以更好地了解自己运营的信息系统的安全状况以及存在的风险,从而进一步选择合适的安全措施,降低被评估的信息系统的安全风险。

3.2.2 检查评估

检查评估是由上级主管部门发起、通过行政手段加强系统安全的重要措施。
检查评估旨在检查网络和业务的风险评估工作的开展情况,系统的关键点的安全风险是否在可接受的范围内,实施自评估后采取的风险控制措施取得的效果等。

3.2.3 专业第三方咨询公司

检查评估可以聘请专业的第三方咨询公司,如普华永道信息安全咨询公司,旨在通过专业第三方,进行同类业务对比,了解自身企业信息安全现状。

3.3 遵循的原则

为顺利完成风险评估,应遵循如下原则:
– 1. 标准性原则
风险评估工作的指导性原则,指遵循通信行业相关标准开展系统的安全风险评估工作。
– 2. 可控性原则
在评估过程中,应保证参与评估的人员、使用的技术和工具、评估过程都是可控的。
– 3. 完备性原则
严格按照被评估方提供的评估范围进行全面的评估。
– 4. 最小影响原则
从项目管理层面和工具技术层面,将评估工作对系统正常运行的可能影响降低到最低限度,不会对被评估网络上的业务运行产生显著影响。
– 5. 保密原则
评估方应与被评估的网络和业务运营商签署相关的保密协议和非侵害性协议,以保障被评估方的利益。

0x04 风险评估流程

在统一了信息安全风险评估模型后,根据风险评估中包含的各个要求,要分别进行实施,整体的风险评估流程如下图所示:

0x05 风险评估实施

5.1 风险评估准备

风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。组织对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受到组织的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同组织对于风险评估的实施过程可能存在不同的要求,因此在风险评估实施前,组织应:
– 1. 确定风险评估的项目范围;
– 2. 确定风险评估的目标;
– 3. 建立适当的组织结构;
– 4. 建立系统性的风险评估方法;
– 5. 获得最高管理者对风险评估策划的批准。

5.2 资产识别和分析

资产识别主要针对现有的信息资产进行分类识别和描述,在识别的基础上从信息安全的角度,机密性、完整性和可用性对其进行赋值,确定信息资产的价值,作为影响分析的基础。

5.2.1 资产分类

参照互联网安全风险评估实施指南中对信息资产的描述和定义,将信息相关资产按照下面的方法进行分类:

5.2.2 资产赋值

5.2.2.1 影响力

根据用户范围、业务影响范围来分为五个不同的等级。将其分为五个不同的等级,表示资产在被破坏后对社会的影响。表2提供了一种资产影响力赋值的参考。

5.2.2.2 业务价值

根据资产所提供业务的价值的不同,将其分为五个不同的等级,分别对应资产在业务价值缺失时对整个组织的影响。表3提供了一种业务价值赋值的参考。

5.2.2.3 可用性

根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的满足的不同程度。表4提供了一种可用性赋值的参考。

5.2.2.4 资产价值

资产价值应依据资产在影响力、业务价值和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据组织自身的特点,选择对资产影响力、业务价值和可用性最为重要的一个属性的赋值等级作为资产价值的最终赋值结果,也可以根据资产影响力、业务价值和可用性的不同重要程度对其赋值进行加权计算而得到资产价值的最终赋值。
附录A中列举的几种资产价值计算方法可做参考。评估者可根据实际情况灵活选择合适的计算方法,也可以采用其它计算方法。
根据最终得到的资产价值将资产划分为五级,级别越高表示资产越重要。表5中提供了一种资产价值等级划分参考。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。

5.3 威胁识别和分析

安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。
威胁可能是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能是偶发的、或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。
安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。
威胁分析方法首先需要考虑威胁的来源,然后分析存在哪些威胁种类,最后做出威胁来源和威胁种类的交叉表进行威胁赋值。

5.3.1 威胁来源分析

信息系统的安全威胁来源可考虑以下方面:

5.3.2 威胁种类分析

对安全威胁进行分类的方式有多种多样,针对上表威胁来源,需要考虑下述的安全威胁种类。

5.3.3 威胁赋值

根据上述对安全威胁来源和安全威胁种类的分类,可用下表列举所有安全威胁。其中灰色部分为可能不存在的威胁(根据实际环境而确定)。

需要对威胁的可能性进行赋值,也就是指威胁发生的概率和威胁发生的频率。用变量T来表示威胁的可能性,它可以被赋予一个数值,来表示该属性的程度。确定威胁发生的可能性是风险评估的重要环节,顾问应该根据经验和相关的统计数据来判断威胁发生的概率和频率。
威胁发生的可能性受下列两个因素的影响:
 资产的吸引力和暴光程度,组织的知名度,主要在考虑人为故意威胁时使用;
 资产转化成利益的容易程度,包括财务的利益,黑客获得运算能力很强和大带宽的主机使用等利益。主要在考虑人为故意威胁时使用。
实际评估过程中,威胁的可能性赋值,除了考虑上面两个因素,还需要参考下面三方面的资料和信息来源,综合考虑,形成在特定评估环境中各种威胁发生的可能性。
 通过过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;
 在评估体实际环境中,通过IDS系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析;
 过去一年或两年来国际机构(如FBI)发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。
威胁的可能性赋值标准参照下表:

5.4 脆弱性识别和分析

5.4.1 识别内容

脆弱性评估也称为弱点评估,是安全风险评估中最重要的内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
值得注意的是,弱点虽然是资产本身固有的,但它本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生,单纯的弱点并不会对资产造成损害。那些没有安全威胁的弱点可以不需要实施安全保护措施,但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,即对脆弱性被威胁利用的可能性进行评估,最终为其赋相对等级值。在进行脆弱性评估时,提供的数据应该来自于这些资产的拥有者或使用者,来自于相关业务的管理员、业务主管领导或安全专家。
脆弱性主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工抽查,以保证技术脆弱性评估的全面性和有效性;管理脆弱性评估方面可以按照ISO 27002等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足。具体内容如下表所示:

5.4.1.1 安全管理脆弱性评估

安全管理的安全目标是确保建立了完备的、标准化的管理程序并遵照安全管理程序进行安全运作。安全管理评估标准是审核信息系统安全管理与ISO27001信息安全管理体系实施细则的符合程度,具体标准如下:
 安全策略标准:制定和推行信息安全策略,提供管理指导,保证信息安全;管理层应制定一个明确的安全策略方向,并通过在整个组织中发布和维护信息安全策略,表明自己对信息安全的支持和保护责任。
 组织安全标准:建立健全的安全组织,维护第三方访问的安全和外包服务的安全,为信息系统安全提供基本保证。
 资产管理标准:对信息资产进行识别和分类,根据资产的机密性、完整性和可用性进行赋值,对信息资产贴标签,维护最新的信息资产清单,使重要的信息资产得到适当的保护。
 人员安全标准:降低设施误操作、偷窃或滥用等方面的人为风险,切实遵守安全策略,最大限度降低由于事故和故障而遭受的损失,对此类事故进行监控并吸取教训。
 物理环境安全标准:防止对机房和办公场所以及信息资产的非法访问和破坏,防止资产流失、受损或毁坏以及业务中断,防止信息或信息处理设施受损或被盗,提供设备正常运行所必需的电源、温度、湿度、防水、防尘等运行环境。
 日常运行管理安全标准:制定网络、系统和数据的操作程序和维护责任,制定系统规划与验收、防止恶意软件、内部处理、网络管理、介质处理与安全和信息交换等安全操作规程,并依据这些规程进行日常运行维护,确保信息系统正常提供服务。
 访问控制安全标准:加强用户访问管理和用户责任,实现对网络、操作系统、应用程序、监控系统和远程工作的访问控制和权限管理,防止信息资产的非法访问。
 系统开发维护安全标准:保证在开发和维护网络应用系统过程的安全。
 业务连续性安全标准:防止业务活动中断,保证重要业务流程不受重大故障和灾难的影响;应该实施业务连续性管理程序,预防和恢复控制相结合,将灾难和安全故障造成的影响降低到可以接受的水平;应该制定和实施应急计划,确保能够在要求的时间内恢复业务流程。
 符合性安全标准:不违反法律以及任何安全要求,对信息系统是否符合安全策略进行检查和技术评审,保护审计工具。

5.4.1.2 物理环境安全评估

物理环境安全根据国家计算机场地安全标准和ISO 27001中的内容进行检查和评估,检查的内容包括:
 环境安全;
 物理安全;
 设备安全;
 物理访问控制等相关内容。

5.4.1.3 网络安全脆弱性评估

网络安全的目标是保障网络和通信系统高效、优质运行,满足业务系统的需求;防止网络和通信系统遭受外部和内部的攻击和滥用,避免和降低由于网络和通信系统的问题对业务系统造成损害的风险;屏蔽系统和应用的安全弱点;协助系统和应用进行访问控制和安全审计。
网络评估主要评估标准如下:
 基础网络架构:网络整体拓扑结构设计合理;安全区域划分符合业务系统要求;选择安全的路由方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计。
 网络传输加密:根据业务系统的特点选择对业务数据是否进行传输加密;对于网络设备认证过程中敏感的信息进行加密。
 访问控制和网络审计:对网络的内部及外部边界进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线。
 网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。
 网络设备的安全配置:设备没有已知的漏洞,设备正确安全配置。

5.4.1.4 系统安全脆弱性评估

系统的安全目标是保障主机平台系统高效、优质运行,满足业务系统的需求,防止主机和系统遭受外部和内部的破坏和滥用,避免和降低由于主机和系统的问题对业务系统的损害;协助应用进行访问控制和安全审计。
系统安全脆弱性评估采用以下标准:
 系统安全管理:严格管理系统帐户、有效控制系统服务,优化系统的安全配置,启用系统必要的安全控制措施,避免系统发生故障或遭受攻击。
 系统冗余:根据业务需要对系统进行冗余设计。
 系统访问控制和审计:对系统进行有效访问控制和日志审计。
采用以下方法获得主机系统的安全弱点:
 工具扫描:通过评估工具对主机、应用程序和数据库进行扫描。扫描评估主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。
 漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题。
 安全基线分析:依据对主机平台的标准化的安全审计列表(安全基线),检查和分析主机系统平台存在的安全问题。专家评估与工具扫描相结合,可以完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。专家评估是根据最新的安全检查核对表内容,逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专家的经验知识而制定,它主要包括有以下几个方面:
 安全配置检查:系统管理和维护的正常配置,合理配置,及优化配置。例如系统目录权限,帐号管理策略,文件系统配置,进程通信管理等。
 安全机制检查:安全机制的使用和正常配置,合理配置,及优化配置。例如日志及审计、备份与恢复,签名与校验,加密与通信,特殊授权及访问控制等。
 入侵追查及事后取证:检查与发现系统入侵,攻击或其它危害,尽可能追查及取证。例如日志被毁坏篡改或删除,计费数据被删除,遭受DOS攻击,系统被监听,控制或安装后门等。
Windows 2012操作系统安全配置检查项举例如下:
 系统补丁不足:
 系统未安装最新的Service Pack;
 系统未安装全部的HotFix;
 系统未启用自动更新。
 主机防护措施不足:
 系统未启用Windows 防火墙或安装第三方主机防火墙;
 系统未安装防病毒软件;
 系统防病毒软件的特征码和检测引擎未更新到最新;
 系统防病毒软件未设置自动更新。
 本地安全策略未优化:
 密码策略:采用Windows默认安装配置,未优化;
 帐户锁定策略:采用Windows默认安装配置,未优化;
 审核策略:采用Windows默认安装配置,未优化;
 安全选项:采用Windows默认安装配置,未优化。
 注册表项未优化:
 未限制限制空会话访问,可能导致帐户清单等信息的泄漏;
 未删除服务器上的管理员共享(C$、D$和Admin$等);
 未强化 TCP/IP 堆栈以防止拒绝服务攻击;
 未禁用光盘自动运行。
 不必要的服务未关闭:
 Alerter未禁止;
 Clipbook未禁止;
 Computer Browser未禁止;
 FTP Publishing Service未禁止;
 Messenger未禁止;
 Remote Registry Service未禁止;
 Routing and Remote Access 未禁止;
 Simple Mail Trasfer Protocol(SMTP)未禁止;
 Simple Network Management Protocol(SNMP) Service未禁止;
 Simple Network Management Protocol(SNMP) Trap未禁止;
 Task Scheduler服务未禁止;
 Telnet服务未禁止;
 Terminal Services服务未禁止;
 World Wide Web Publishing Service未禁止。
 文件系统安全设置不足:
 各磁盘卷未全部使用NTFS文件系统;
 某些特定用途的文件夹未能合理配置权限。
 系统现状明显异常:
 系统进程明显异常;
 系统启动项明显异常;
 系统服务明显异常;
 系统TCP/UDP端口连接明显异常。

5.4.1.5 数据库安全脆弱性评估

数据库的安全目标是:保障业务系统正常运行,防止应用系统遭受外部和内部的破坏和滥用,避免和降低对业务系统的损害。
数据库脆弱性评估应当采用工具扫描和人工评估相结合的方式进行分析,分析的内容包括(但不限于)以下内容:
 系统补丁;
 账号口令:账号清理、口令强度和有效期界定;
 远程登陆和远程服务;
 存储过程、审核层次、备份过程、角色和权限审核;
 并发事件资源限制、访问时间限制、审核跟踪等。

5.4.1.6 应用和数据安全脆弱性评估

应用数据安全目标是:保证数据的机密性、完整性和可用性,避免数据的泄密、破坏、窜改、丢失。
应用数据安全的评估标准是:
 应用安全功能和保障:分析通用应用的安全漏洞。
 数据机密性:数据需要分级保护,重要的数据需要采用加密措施、严格进行访问控制、安全审计,有良好的授权体系。
 数据完整性:数据有完整性校验机制,避免数据被窜改。
 数据可用性:数据需要良好存储、备份。

5.4.2 脆弱性赋值

脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁可能利用的脆弱性,并对脆弱性的严重程度进行评估,换句话说,就是对脆弱性被威胁利用的可能性进行评估。最终脆弱性的赋值采用定性的相对等级的方式。脆弱性的等级建议划分为五级,从1到5分别代表五个级别的某种资产脆弱程度。等级越大,脆弱程度越高。

转载请注明:猫头鹰工作室 » 信息安全风险评估方法论(上篇)

喜欢 (2)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址