风险评估新版
网络与信息安全风险评估 陕西省网络与信息安全测评中心 姓名: 董文欣 岗位: 风险评估工程师 2014年 3月 9日 目录 1.风险评估概述2 2.信息安全风险评估指标体系概述3 2.1信息安全风险评估的工作过程3 2.2风险评估具体思路与流程4 3.国内外安全标准介绍6 3.1 CC 标准7 3.2 BS7799(ISO/IEC17799)7 3.3 ISO/IEC 21827:2002(SSE-CMM)7 3.4 我国国家标准 GB178598 4 风险评估方法8 5.风险评估工具9 5.1辅助性的工具和方法9 5.2自动化风险评估工具10 6.总结11 1.风险评估概述 风险评估(Risk Assessment) 是指,在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。对系统进行风险分析和评估的目的就是了解系统目前与未来的风险所在评估这些风险可能带来的安全威胁与影响程度为安全策略的确定信息系统的建立及安全运行提供依据同时通过第三方权威或者国际机构评估和认证也给用户提供了信息技术产品和系统可靠性的信心增强产品单位的竞争力信息系统风险分析和评估是一个复杂的过程 一个完善的信息安全风险评估架构应该具备相应的标准体系技术体系组织架构业务体系和法律法规。 2.信息安全风险评估指标体系概述 指标是评估的工具,是反映评估对象属性的指示标志。指标体系则是根据评估目标和评估内容的要求构建的一组相关指标,据以搜集评估对象的有关信息资料,反映评估对象的基本面貌、特征和水平。信息安全风险的评估体系是一系列指标的构成体,这些指标之间存在有机的联系并相互作用。指标体系通过揭示这种联系和相互作用的规律来反映信息系统的安全状况,考察系统结构的稳定性和抵御风险的能力,辨明安全风险及风险演变的动向和发展趋势,最终达到对风险进行有效控制的目的。 在信息安全的标准化进程中,主要的风险评估模型有以下几类:国际标准ISO 15408 将风险要素定义为:属主、资产、攻击者、威胁、漏洞、风险、措施等7 个方面,该标准对于系统中人所带来的风险比较强调,将属主从资产中分离出来,将攻击者从威胁分离出来。国际标准I S O13335 则将风险要素定义为:资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施等7 个方面,该标准是 将资产价值从资产中提炼出来,将防护需求从防护措施中提炼出来,这是对于系统中要素属性的强调。我国国务院信息化工作办公室推出的《信息安全风险评估指南》,将风险要素定义为:使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、防护需求、防护措施等10 个方面,它比ISO 13335扩展了三个要素:使命、残余风险和事件。引入使命要素是将工作本身之外的原因纳入到模型中,强调了整个风险管理工作是被机构的高层推动的。残余风险是风险的一个部分,主要是强调“安全不可能做到百分之百”。 2.1信息安全风险评估的工作过程 (1) 资产识别 资产是对组织具有价值的信息资源,是安全策略保护的对象。可将资产分为数据、软件、硬件、文档、服务、人员等类。对资产的重要性可以赋予不同的等级,并对资产的机密性、完整性、可用性进行赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果的过程。 (2) 威胁识别 威胁是一种对组织及其资产构成潜在破坏的可能性因素。造成威胁的因素可分为人为因素和环境因素。识别威胁需要考虑的因素包括:资产的吸引力、资产转化成报酬的容易程度、威胁的技术力量、脆弱性被利用的难易程度、通过过去的安全事件报告或记录统计各种发生过的威胁及其发生频率、在评估体实际环境中通过入侵检测系统获取的威胁发生数据的统计和分析、各种日志中威胁发生的数据的统计和分析、过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。另外,已有控制措施的情况也是影响威胁可能性的重要因素。 (3) 脆弱性识别 脆弱性是对一个或多个资产弱点的总称。脆弱性的识别可以以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可以分物理、网络、系统、应用等层次进行识别,然后与资产、威胁合起来。脆弱性的识别对象包括物理环境、服务器、网络结构、数据库、应用系统、技术管理、组织管理等。 (4) 已有安全措施的确认 对已经采取的安全措施的效果进行评估。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因发生安全事件对信息系统造成的影响,如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要像脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略,不必要描述具体的端口控制策略、用户控制策略,只需要表明采用的访问控制措施。 (5) 风险识别 对风险的可能性和后果进行评估。在做威胁、脆弱性评估时先不考虑已有控制措施,根据通常状况进行威胁和脆弱性赋值,然后在最后的风险评估时再考虑,那么以此推理出来的风险计算公式是:风险值=资产值×威胁值×脆弱性值- 已有控制措施值。 2.2风险评估具体思路与流程 目标:评估确定范围内信息系统安全威胁的风险及相应的风险级别。 参加部门:管理部门、关键业务部门、IT部门。 评估方法:工具评估、人工评估、渗透测试等。 图1安全风险评估流程图 预期收益: ·企业范围内哪些业务系统的信息安全风险最大? ·什么是信息与网络系统中最关键的数据,采取了哪些安全手段? ·业务系统安全风险的级别? ·安全风险可能导致的损失是多少? ·当前主要的安全威胁是什么? 工作流程: 1、组建安全风险审计小组:成员包含管理机构、IT机构、各关键业务单位熟悉相关业务的人员。 2、准备如下文档:当前组织机构图、列出当前使用的业务软件和办公软件、网络框架图、列出关键网络应用、列出公司的主要产品和服务