风险评估.doc

风险评估.doc

《风险评估.doc》由会员分享，可在线阅读，更多相关《风险评估.doc（12页珍藏版）》请在冰豆网上搜索。

网络与信息安全风险评估

陕西省网络与信息安全测评中心

姓名：

董文欣

岗位：

风险评估工程师

2014年3月9日

目录

1.风险评估概述 2

2.信息安全风险评估指标体系概述 3

2.1信息安全风险评估的工作过程 3

2.2风险评估具体思路与流程 4

3.国内外安全标准介绍 6

3.1CC标准 7

3.2BS7799（ISO/IEC17799） 7

3.3ISO/IEC21827:

2002（SSE-CMM） 7

3.4我国国家标准GB17859 8

4风险评估方法 8

5.风险评估工具 9

5.1辅助性的工具和方法 9

5.2自动化风险评估工具 10

6.总结 11

1.风险评估概述

风险评估（RiskAssessment）是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。

即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。

作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

对系统进行风险分析和评估的目的就是了解系统目前与未来的风险所在评估这些风险可能带来的安全威胁与影响程度为安全策略的确定信息系统的建立及安全运行提供依据同时通过第三方权威或者国际机构评估和认证也给用户提供了信息技术产品和系统可靠性的信心增强产品单位的竞争力信息系统风险分析和评估是一个复杂的过程一个完善的信息安全风险评估架构应该具备相应的标准体系技术体系组织架构业务体系和法律法规。

2.信息安全风险评估指标体系概述

指标是评估的工具，是反映评估对象属性的指示标志。

指标体系则是根据评估目标和评估内容的要求构建的一组相关指标，据以搜集评估对象的有关信息资料，反映评估对象的基本面貌、特征和水平。

信息安全风险的评估体系是一系列指标的构成体，这些指标之间存在有机的联系并相互作用。

指标体系通过揭示这种联系和相互作用的规律来反映信息系统的安全状况，考察系统结构的稳定性和抵御风险的能力，辨明安全风险及风险演变的动向和发展趋势，最终达到对风险进行有效控制的目的。

在信息安全的标准化进程中，主要的风险评估模型有以下几类：

国际标准ISO15408将风险要素定义为：

属主、资产、攻击者、威胁、漏洞、风险、措施等7个方面，该标准对于系统中人所带来的风险比较强调，将属主从资产中分离出来，将攻击者从威胁分离出来。

国际标准ISO13335则将风险要素定义为：

资产、资产价值、威胁、脆弱性、风险、防护需求、防护措施等7个方面，该标准是

将资产价值从资产中提炼出来，将防护需求从防护措施中提炼出来，这是对于系统中要素属性的强调。

我国国务院信息化工作办公室推出的《信息安全风险评估指南》，将风险要素定义为：

使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、防护需求、防护措施等10个方面，它比ISO13335扩展了三个要素：

使命、残余风险和事件。

引入使命要素是将工作本身之外的原因纳入到模型中，强调了整个风险管理工作是被机构的高层推动的。

残余风险是风险的一个部分，主要是强调“安全不可能做到百分之百”。

2.1信息安全风险评估的工作过程

（1）资产识别

资产是对组织具有价值的信息资源，是安全策略保护的对象。

可将资产分为数据、软件、硬件、文档、服务、人员等类。

对资产的重要性可以赋予不同的等级，并对资产的机密性、完整性、可用性进行赋值。

资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一个综合结果的过程。

（2）威胁识别

威胁是一种对组织及其资产构成潜在破坏的可能性因素。

造成威胁的因素可分为人为因素和环境因素。

识别威胁需要考虑的因素包括：

资产的吸引力、资产转化成报酬的容易程度、威胁的技术力量、脆弱性被利用的难易程度、通过过去的安全事件报告或记录统计各种发生过的威胁及其发生频率、在评估体实际环境中通过入侵检测系统获取的威胁发生数据的统计和分析、各种日志中威胁发生的数据的统计和分析、过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。

另外，已有控制措施的情况也是影响威胁可能性的重要因素。

（3）脆弱性识别

脆弱性是对一个或多个资产弱点的总称。

脆弱性的识别可以以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可以分物理、网络、系统、应用等层次进行识别，然后与资产、威胁合起来。

脆弱性的识别对象包括物理环境、服务器、网络结构、数据库、应用系统、技术管理、组织管理等。

（4）已有安全措施的确认

对已经采取的安全措施的效果进行评估。

安全措施可以分为预防性安全措施和保护性安全措施两种。

预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因发生安全事件对信息系统造成的影响，如业务持续性计划。

已有安全措施的确认与脆弱性识别存在一定的联系。

一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要像脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合。

比较明显的例子是防火墙的访问控制策略，不必要描述具体的端口控制策略、用户控制策略，只需要表明采用的访问控制措施。

（5）风险识别

对风险的可能性和后果进行评估。

在做威胁、脆弱性评估时先不考虑已有控制措施，根据通常状况进行威胁和脆弱性赋值，然后在最后的风险评估时再考虑，那么以此推理出来的风险计算公式是：

风险值＝资产值×威胁值×脆弱性值-已有控制措施值。

2.2风险评估具体思路与流程

目标：

评估确定范围内信息系统安全威胁的风险及相应的风险级别。

参加部门：

管理部门、关键业务部门、IT部门。

评估方法：

工具评估、人工评估、渗透测试等。

图1安全风险评估流程图

预期收益：

·企业范围内哪些业务系统的信息安全风险最大?

·什么是信息与网络系统中最关键的数据，采取了哪些安全手段?

·业务系统安全风险的级别?

·安全风险可能导致的损失是多少?

·当前主要的安全威胁是什么?

工作流程：

1、组建安全风险审计小组：

成员包含管理机构、IT机构、各关键业务单位熟悉相关业务的人员。

2、准备如下文档：

当前组织机构图、列出当前使用的业务软件和办公软件、网络框架图、列出关键网络应用、列出公司的主要产品和服务、公司的商业计划（概要）、公司的IT规划、已有的安全策略和规定、关键应用的访问控制规范和步骤系统管理步骤。

3、现场调查：

现场调查应包含主要的业务部门和典型应用机构，以下列出主要的调查内容：

·

·当前的员工安全行为。

包含：

是否了解企业的主要安全规范、Internet使用设备的安全使用、介质的标记和存放、出现安全问题时的处理过程。

·物理措施。

关键服务器放置、机房安全（访问控制、记录、UPS、防火措施、值班监控等）。

·访问控制列表。

关键应用的访问控制列表及访问申请步骤。

·使用的办公软件及方式。

·应用系统的主要工作流程。

·应用系统故障的损失。

·应用系统的主要故障、防范措施、补救措施。

·网络系统的主要故障、防范措施、补救措施。

·服务器的主要故障、防范措施、补救措施。

4、弱点分析：

主要从下列方面进行弱点分析：

·规范和步骤

·安全培训。

·访问控制和访问日志。

·安全管理和日志。

·软件和系统错误。

·网络和系统稳定性。

·计算机系统的物理防护。

·备份和冗余措施。

·应用系统风险分析

·关键应用系统详细风险分析。

·主要的安全威胁分析。

·风险等级划分。

·安全威胁对关键应用的风险分析。

·关键应用和设施的安全风险计算。

·专业独到的客户化分析与总结

·威胁分析与总结。

·脆弱性分析与总结。

·风险分析与总结。

分析结果：

形成《信息与网络系统风险评估报告》

3.国内外安全标准介绍

“没有规矩，不成方圆”这句话在信息系统风险评估领域也是适用的，没有标准指导下的风险评估是没有任何意义的。

通过依据某个标准的风险评估或者得到该标准的评估认证，不但可为信息系统提供可靠的安全服务，而且可以树立单位的信息安全形象，提高单位的综合竞争力。

从美国国防部1985年发布著名的可信计算机系统评估准则TCSEC起世界各国根据自己的研究进展和实际情况，相继发布了一系列有关安全评估的准则和标准，如美国的TCSEC；英、法、德、荷等国20世纪90年代初发布的信息技术安全评估准则（ITSEC）；加拿大1993年发布的可信计算机产品评价准则（CTCPEC），美国1993年制定的信息技术安全联邦标准（FC），美国NSA于20世纪90年代中期提出的信息技术安全性评估通用准则CC；由英国标准协会BSI制定的信息安全管理标准BS779（ISO17799）以及最近得到（ISO）认可的SSE-CMM（ISO/IEC21827:

2002）等。

我国根据具体情况也加快了对信息安全标准化的步伐和力度相继颁布了如计算机信息系统安全保护等级划分准则GB17859[6]信息技术安全性评估准则GB/T18336以及针对不同技术领域其他的一些安全标准下面简单介绍其中比较典型的几个标准。

3.1CC标准

信息技术安全评估公共标准（CCITSEcommoncriteriaofinformationtechnicalsecurityevaluation），简称CC（ISO/IEC15408-1）是美国、加拿大及欧洲4国（共6国7个组织）经协商同意，于1993年6月起草的，是国际标准化组织统一现有多种准则的结果是目前最全面的评估准则。

CC源于TCSEC，但已经完全改进了TCSEC。

CC的主要思想和框架都取自ITSEC（欧）和FC（美）它由三部分内容组成：

1）介绍以及一般模型；2）安全功能需求技术上的要求；3）安全认证需求（非技术要求和对开发过程工程的要求）。

CC与早期的评估准则相比主要具有4大特征，1）CC符合PDR模型：

2）CC评估准则是面向整个信息产品生存期的；3）CC评估准则不仅考虑了保密性，而且还考虑了完整性和可用性多方面的安全特性；4）CC评估准则有与之配套的安全评估方法CEM（commonevaluationmethodology）。

3.2BS7799（ISO/IEC17799）

BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，包括两部分BS7799-1:

1999《信息安全管理实施细则》；BS7799-2:

2002《信息安全管理体系规范》，其中BS7799-1:

1999于2000年12月30日通过国际标准化组织（ISO）认可，正式成为国际标准,ISO/IEC17799:

2000。

BS7799-1:

1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，BS7799-2:

2002以BS7799-1:

1999为指南，详细说明按照PDCA模型建立、实施及文件化信息安全