信息安全风险评估简介

advancing

//声明:相关数据来源于网络！如有异议，欢迎来函！谢谢

 

第一：基本概念：

（1）信息安全：信息的保密性、完整性、可用性的保持；

（2）风险评估：对信息和信息处理措施的威胁、影响和薄弱点以及威胁发生的可能性进行评估。

（3）资产、风险、威胁、薄弱点、影响（举个案例）：

    A公司的主机数据库由于存在XX漏洞，然后攻击者B利用此漏洞对主机数据库进行了攻击，造成A公司业务中断3天。

     资产：主机数据库；

     风险：数据库被攻击者攻击；

     威胁：攻击者B；

     弱点：XX漏洞；

     影响：业务中断3天；

看了这个案例之后，相信你定对相关风险评估的术语有了进一步了解。

 

第二：风险评估原理：

 

（1）对资产进行识别，并对资产的价值进行赋值；

（2）对威胁进行识别，描述威胁的属性，并对威胁出现的概率赋值；

（3）对威胁的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；

（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；

（6）根据安全事件发生的可能性及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

 

第三：部分提供风险评估业务的网络安全公司：

   安氏、启明星辰、绿盟科技等

 

第四：绿盟科技风险评估案例：

4.1风险评估工作流程：

 

1. 第一阶段为确定风险评估范围阶段。

       调查并了解客户信息系统业务流程和运行环境，确定风险评估范围的边界以及范围内的所有信息系统，明确如下内容：
　　* 评估的业务或应用
　　* 信息资产（如硬件、软件、数据）
　　* 人员
　　* 环境（如建筑、设备位置）
　　* 活动（如对资产进行的操作、相关的权限等）
　　* IP地址信息（如IP范围、网段信息等）
　　此阶段成果为《XX系统风险评估资产列表》。

2. 第二阶段为资产的识别与估价阶段。

       对风险评估范围内的所有资产进行识别，并调查资产可用性、完整性和保密性破坏后分别可能造成的影响大小，根据影响的大小为资产进行相对赋值。将资产的权值分为0－4五个级别，由低到高代表资产的重要等级。资产估价是一个主观的过程，考虑资产对于组织的商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。此阶段成果为《XX系统风险评估资产价值列表》。

3. 第三阶段为安全威胁评估阶段。

       即评估资产所面临的每种威胁发生的严重性和可能性，并计算威胁值。严重性和可能性，两者取值均为相对等级0－4，4为最严重或最可能。此阶段成果为《XX系统威胁严重性评估结果》、《XX系统威胁可能性评估结果》。
　　

4. 第四阶段是脆弱性评估阶段。

        包括从技术、管理、策略方面进行的脆弱程度检查，最终综合计算脆弱性值。在资产脆弱性调查中，首先进行管理脆弱性问卷的调查，发现整个系统在管理方面的弱点，然后对评估的所有主机和网络设备进行工具扫描和手动检查，对各资产的系统漏洞和安全策略缺陷进行调查。最后对收集到的各资产的管理和技术脆弱性数据进行综合分析，根据每种脆弱性所应考虑的因素是否符合，确定每种资产可能被威胁利用的脆弱性的权值。参照国际通行作法和专家经验，将资产存在的脆弱性分为5个等级，分别是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且从高到低分别赋值4－0。此阶段成果为《XX系统脆弱性评估结果》，包含《XX系统工具扫描报告》、《XX系统手工检查报告》、《XX系统渗透测试报告》等。

5. 第五阶段为风险的分析阶段。

     即通过分析上述阶段所获得的数据，进行风险值计算，区分、确认高风险因素。此阶段成果为《XX系统风险评估结果》、《XX系统安全现状分析》。

6. 第六阶段是风险的管理阶段。

       这一阶段主要根据风险分析的结果，制定相关风险控制策略，实施风险控制措施。风险评估的结果就是为风险管理提供依据，因此在风险管理阶段要明确风险的处理方式（避免、降低、接受、转移），并且采取什么样的技术和管理措施来对风险进行处理，如何把安全措施与风险等级进行联系。此阶段成果为《XX系统风险安全方案建议》。

 

4.2风险评估过程中使用的一些方法：

　1. 安全工具扫描
　　   在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上的风险与漏洞，而后者则是通过网络远程探测其他主机的安全风险与漏洞。
　2. 人工安全检查
　　   系统扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等方面进行漏洞的扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。
信息系统人工安全性评估应主要考虑以下几个方面：
　　* 是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则。
　　* 内外网之间、重要的网段之间是否进行了必要的隔离措施。
　　* 路由器、交换机、主机等设备的配置是否最优，是否配置了安全参数。
　　* 安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行。
　3. 渗透测试
　　    渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程中，用户可以选择渗透测试的强度，例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。
　4. 安全审计
　　   安全管理机制定义了如何管理和维护网络的安全保护机制，确保这些安全保护机制正常且正确地发挥其应有的作用。绿盟科技评估遵循ISO17799信息安全管理标准的要求，通过问卷调查和顾问访谈等方式对信息系统的安全管理状况进行调查，并进一步与国际信息安全管理标准进行差距分析。
　5. 安全策略评估
　　安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中与安全相关的所有问题，例如，如何在网络层实现安全性？如何控制远程用户访问的安全性、在广域网上的数据传输实现安全加密传输和用户的认证，等等。对这些问题做出详细回答，并确定相应的防护手段和实施办法，就是针对整个网络的一份完整的安全策略。策略一旦制订，应当作为整个网络安全行为的准则。
　　这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估，它也包含了技术和管理方面的内容，具体包括：
　　* 安全策略是否全面覆盖了整体网络在各方面的安全性描述。
　　* 在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效。
　　* 安全策略中的每一项内容是否都得到确认和具体落实。

 

第五:谢谢！