信息安全测评流程学习报告.docx
《信息安全测评流程学习报告.docx》由会员分享,可在线阅读,更多相关《信息安全测评流程学习报告.docx(14页珍藏版)》请在冰豆网上搜索。
信息安全测评流程学习报告
信息安全测评的一般方法和流程
一.信息安全评估的定义
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分
析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可
能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受
的水平,制定针对性的抵御威胁的防护对策和整改措施以最大限度地保障网络
和信息安全提供科学依据。
信息安全风险评估在具体实施中一般包括风险评估的准备活动,对信息系
统资产安全、面临威、存在脆弱性的识别,对已经采取安全措施的确认,对可
能存在的信息安全风险的识别等环节。
二.信息安全评估的重要性
在信息化建设中,各类应用系统及其赖以运用的基础网络、处理的数据和
信息是业务实现的保障,由于其可能存在软硬件设备缺陷、系统集成缺陷等,
以及信息安全管理中潜在的薄弱环节,都将导致不同程度的安全风险。
信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中
的安全隐患,并为增强安全性提供有效建议,以便采取更加经济、更加有力的
安全保障措施,提高信息安全的科学管理水平,进而全面提升网络与信息系统
的安全保障能力。
3.信息安全评估的一般流程
①分析前准备:
1)确定目标:
首先需要确定风险评估的目标,信息安全需求是一个组织为保证其
业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符
合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、
完整性等方面的需求,来确定风险评估的目标。
2)确定范围:
在风险评估前,需要确定风险评估的范围。
风险评估的范围,包括
组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、
所处理的信息等各方面。
实施一次风险评估的范围可大可小,需要根据具体评估需求确定,
可以对组织全部的信息系统进行评估,也可以仅对关键业务流程进行评
估,也可以对组织的关键部门的信息系统进行评估等。
3)组建评估管理团队和评估实施团队:
在确定风险评估的目标、范围后,需要组建风险评估实施团队,具
体执行组织的风险评估。
由于风险评估涉及组织管理、业务、信息资产
等各个方面,因此风险评估团队中除了信息安全评估人员的参与,以便
更好地了解组织信息安全状况,以利于风险评估的实施。
4)进行系统调研:
在确定了风险评估的目标、范围、团队后,要进行系统调研,并根
据系统调研的结果决定评估将采用的评估方法等技术手段。
系统调研内
容包括:
1.组织业务战略
2.组织管理制度
3.组织主要业务功能和要求
4.网络结构、网络环境(包括内部连接和外部连接)
5.网络系统边界
6.主要的硬、软件
7.数据和信息
8.系统和数据的敏感性
9.系统使用人员
10.其他
系统调研方法可以采用问卷调查、现场访谈等方法进行。
5)确定评估依据和方法:
以系统调研结果为依据,根据被评估信息系统的具体情况,确定风
险评估依据和方法。
评估依据包括吸纳有国际或国家有关信息安全标准、组织的行业主
管机关的业务系统的要求和制度、组织的信息系统互连单位的安全要求、
组织的信息系统本身的实时性或性能要求等。
根据评估依据,并综合考虑评估的目的、范围时间效果评估人员素
质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全
运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要
求相适应。
6)获得支持:
就以上内容形成较为完整的风险评估实施方案,并报组织最高管理
者批准,以获得其对风险评估方案的支持,同时在组织范围就风险评估
相关内容对管理者和技术人员进行培训,以明确有关人员在风险评估中
的任务。
②资产分析:
1)资产分类:
风险评估需要对资产的价值进行识别,因为价值不同将导致风险值
不同。
而风险评估中资产的价值不是以资产的经济价值来衡量,而是以资
产的机密性、完整性、和可用性三个方面属性为基础进行衡量。
资产在机密性、完整性和可用性三个属性上的要求不同,则资产
的最终价值也不同。
在一个组织中,资产有多种表现形式,同样的两个
资产也因属于不同的信息系统而重要性不同。
首先需要将信息系统及相
关的资产进行恰当的分类,以此为基础进行下一步的风险评估。
在实际
工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估
者灵活把握。
根据资产的表现形式,可以将资产分为数据、软件、硬件、
文档、服务、人员等类型。
以下介绍两种资产分类方式:
(1)方法一
(2)分类方式二
(3)分类方式二
2)资产赋值:
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产
的安全状况,即资产的机密性、完整性和可用性,对组织信息安全性的
影响程度。
资产赋值的过程也就是对资产在机密性,完整性和可用性上的要求
进行分析,并在此基础上得出综合结果的过程。
资产对机密性、完整性和可用性上的要求可由安全属性缺失时造成
的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,
还可能导致经济效益、市场份额、组织形象的损失。
资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经
过综合评定得出。
综合评定方法可以选择对资产机密性、完整性和可用
性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根
据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到
资产的最终赋值结果。
加权方法可根据组织的业务特点确定。
(3)资产机密性
(4)资产完整性
(5)资产可用性
(6)资产重要性
③威胁分析:
1)威胁分类:
信息安全威胁可以通过威胁主体、资源、动机、途径等多种属
性来描述。
造成威胁的因素可分为人为因素和环境因素。
根据威胁的动机,人为因素又可分为恶意和非恶意两种。
环境因素包括自然界不可抗力的因素和其他物理因素。
威胁作用形式可以是对信息系统直接或间接的攻击,也可能是
偶发的或蓄意的安全事件,都会在信息的机密性、完整性或可用性
等方面造成损害。
在对威胁进行分类前,应考虑威胁的来源。
以下是更据威胁的
来源对威胁分类的方法。
2)威胁赋值:
威胁出现的频率是衡量威胁严重程度的重要要素,因此威胁识
别后需要对威胁频率进行赋值,已带入最后的风险计算中。
评估者应根据经验和(或)有关的统计数据来对威胁频率进行
赋值,威胁赋值中需要综合考虑以下三个方面因素。
1. 以往安全事件报告中出现过的威胁及其频率的统计
2. 实际环境中通过检测工具以及各种日志发现的威胁及其频率
的统计;
3. 近年来国际组织发布的对与整个社会或特定的行业的威胁及
其频率统计,以及发布的威胁预警。
可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频
率的高低。
等级数值越大,威胁出现的频率越高。
以下是一种威胁的分析形式。
3)脆弱性识别:
脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的
脆弱性本身不会对资产造成损害。
而且如果系统足够强健,严重的威胁
也不会导致安全事件发生进而带来损失。
即,威胁总是要利用资产的脆
弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件下和环境下
才能显现,这是脆弱性识别中最为困难的部分。
不正确的,起不到应有
作用的或没有正确实施安全措施本身就可能存在脆弱性。
脆弱性识别是风险评估中最重要的一个环节。
脆弱性识别可以以资
产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,
并对脆弱的严重程度进行评估,也可以从物理、网络、系统、应用等层
次进行识别,然后与资产、威胁对应起来。
脆弱识别的依据可以是国际国家安全标准,也可以是行业规范、应
用流程的安全要求。
对应用在不同的环境中的相同弱点,其脆弱性严重程度是不同的,
评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。
信息系统所采用的协议、应用流程的完备与否、与其他网络的互联
等也应考虑在内。
脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业
务领域和软硬件方面的专业人员等。
脆弱性识别所采用的方法主要有:
问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或
管理标准实施
例如,对物理环境的脆弱性识别可以参照 GB/T 9361-2000《计算机
场地安全要求》中的技术指标实施;
对操作系统、数据库可以参照 GB 17859-1999《计算机信息系统安
全保护等级划分准则》中的技术指标
实施管理脆弱性识别方面可以参照 GB/T19716-2005《信息技术
信息安全管理实用规则》的要求对安全管理制度及及执行情况进行检查,
发现管理漏洞和不足。
以下是一种脆弱性的识别方式。
4)脆弱性赋值:
可以根据对资产的损害程度、技术实现的难易程度、弱点的程度,
采用等级方式对已识别的脆弱性的严重进行赋值。
由于很多弱点反映的
是一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些弱点,
以确定这一方面脆弱性的严重程度。
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影
响。
因此,资产的脆弱赋值还应参考技术管理和组织管理脆弱性的严重
程度。
脆弱性严重程度可以进行等级化管理,不同的等级分别代表资产
脆弱性的严重程度高低。
等级数值越大,脆弱性严重程度越高。
以下是一种脆弱性赋值的方式
④已有安全措施确认:
安全措施可以分为预防性安全措施和保护性安全措施两种。
1)预防性安全措施可以降低威胁利用脆弱性导致安全事件发
生的可能性,如:
入侵检测系统。
2)保护性安全措施可以减少因安全事件发生后对组织或系统
造成的影响。
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进
行检查,检查安全措施是否有效发挥了作用,即是否真正降低了系统的
脆弱性,抵御了威胁。
对于已经有效地发挥了其作用的安全措施,应继续保持,而不用重
复建设安全措施。
对于不适当的安全措施,用对其进行改进,或采用更合适的安全措
施替代。
已有安全措施确认与脆弱性识别存在一定的联系。
一般来说,安全
措施的使用将减少系统技术或管理上的弱点,但安全措施确认并不需要
和脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措
施的集合,为风险处理计划的制定提供依据和参考。
④风险分析:
1)风险计算原理:
风险定义为威胁利用脆弱性导致安全事件发生的可能性。
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施
确认后,将采用适当的方法与工具进行安全风险分析和计算,下面使用
的范式形式化说明风险计算
风险值=R=(A,T,V)
=R(L(T,V),F(Ia,Va))
其中:
R 表示安全风险计算函数
A 表示资产(Asset)
T 表示威胁出现频率(Threat)
V 表示脆弱性(Vulnerability),
Ia 表示安全事件所作用的资产价值
Va 表示脆弱性严重程度,
L 表示威胁利用资产的脆弱性导致安全事件发生的可能性
F 表示安全事件发生后产生的损失。
2)在风险计算中有以下三个关键计算环节:
1. 计算安全事件发生的可能性
根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安
全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=(L,V)
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击
设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公
开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
2. 计算安全事件发生后的损失
根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的
损失,即:
安全事件的损失=F(资产价值,脆弱性严重程度) = F(Ia,Va)
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还
可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不
一样的。
在计算某个安全事件的损失,应将对组织的影响也考虑在内。
部分安全事件损失的判断还应参照安全事件发生的可能性的结果,
对发生可能性极少的安全事件,如:
处于非地震带的地震威胁、在采取
完备供电措施状况下的电力故障威胁等,可以不计算其损失。
3. 计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风
险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),
F(Ia,Va))
评估者可根据自身情况选择相应的风险计算方法计算出风险值,如
矩阵法或相乘法。
矩阵法通过构造一个二维矩阵,形成安全事件发生的可能性与安全
事件的损失之间的二维关系;
相乘法通过构造经验函数,将安全事件发生的可能性与安全事件的
损失进行运算得到风险值。
3)风险结果判定:
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处
理。
可以将风险划分为一定的级别,如划分为 5 级或 3 级。
等级越高,
风险越高。
评估者应根据采用的风险计算方法,计算每种资产面临的危险值,
根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计
算结果进行等级处理。
每个等级代表了相应风险的严重程度。
风险等级划分是为了在风险管理过程中对不同风险进行直观的比较,
以确定组织安全策略。
组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接
受的风险范围。
对某些资产的风险,如果风险计算值在可接受的范围内,则该风险
是可接受的风险,应保持已有的安全措施;
如果风险评估值在可接受的范围外,即风险计算值高于可接受范围
的上限值,是可接受的风险,需要采取安全措施以降低、控制风险。
5)风险处理计划:
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。
风险处理计划中应明确指出采取的弥补弱点的安全措施、预期效果、
实施条件、进度安排、责任部门等。
安全措施的选择应从管理与技术两个方面考虑,管理措施可以作为
技术措施的补充。
安全措施的选择与实施应参照信息安全的相关标准进
行。
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有
效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低
到可接受的水平。
残余风险的评估可以依据本标准提出的风险评估流程实施,也可以
适当裁减。
一般来说,安全措施的实施是以减少脆弱性或降低安全事件
发生可能性为目标的,因此,残余风险的评估可以从脆弱性评估开始,
在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于
不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安
全措施。
6)风险评估文件记录:
记录风险评估过程中的相关文件,应符合以下要求(但不仅限于此)
:
1.确保文件发布前是得到批准的;
2.确保文件的更改和现行修订状态是可识别的;
3.确保文件的分发得到适当的控制,并确保在使用时可获得有关
版 本的使用文件;
4.防止作废文件的非预期使用,若因某种目的需保留作废文件时,
应对这些文件进行适当的标识。
对于风险评估过程中形成的相关文件,还应规定其标识、储存、保
护、检索、保存期限以及处置所需的控制。
相关文件是否需要以及文件的详略程度与组织的管理者来决定。
7)风险评估文件:
是指在整个风险评估过程中产生的评估过程文档和评估结果文档,
包括(但不仅限于此):
(1)风险评估方案:
阐述风险评估的目标、范围、人员、评估方法、
评估结果的形式和实施进度等。
(2)风险评估程序:
明确评估的目的、职责、过程、相关的文件要求,
以及实施本次评估所需的各种资产、威胁、脆弱性识别和判断依据。
(3)资产识别清单:
根据组织在风险评估程序文件中所确定的资产分
类方法进行资产识别,形成资产识别清单,明确资产是责任人/部门。
(4)重要资产清单根据资产识别和赋值的结果,形成重要资产列
表,包括重要资产名称、描述、类型、重要程度、责任人/部门等。
(5)威胁列表根据威胁识别和赋值的结果,形成威胁列表,包括威
胁名称、种类、来源、动机及出现的频率等
(6)脆弱性列表根据脆弱性识别和赋值的结果,形成脆弱性列表,
包括具体弱点的名称、描述、类型及严重程度等。
(7)已有安全措施的确认表根据对已采取的安全措施确认的结果,
形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及
实施效果等。
(8)风险评估报告对整个风险评估过程和结果进行总结,详细说明
被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险计
划、风险统计和结论等内容。
(9)风险处理计划对评估结果中不可接受的风险制定风险处理计
划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过
对残余风险的评估以确定所选择安全措施的有效性。
(10)风险评估记录根据风险评估程序,要求风险评估过程中的各
种 现场记录可复现评估过程,并作为产生歧义后解决问题的依据。
4. 信息安全测评使用的一些工具
①信息安全评估系统
1) COBRA
1991 年,英国 C&A System Security 公司推出了一套风险分析工具
软件(Consultative, Objective and Bi-fiinctional Risk Analysis, COBRA),
用于信息安全风险评估,它由一系列风险分析、咨询和安全评价工具组
成,是一个基于专家系统的风险评估工具,它改变了传统的风险管理
方法,提供了一套完整的风险分析服务,并兼容诸多风险评估方法。
COBRA 通过问卷方式来采集和分析数据,并对组织的风险进行定
性分析.最终的评佔 报告中包含己识别风险的水平和推荐措施,因此,
它可以被看做一个基于专家系统和扩展知识库的问卷系统。
此外,
COBRA 还支持基于知识的评估方法,可以将组织的安全现状与
iso17799 标准相比较,从中找出差距,提出弥补措施,对每个风险类别
提供风险分析报告和风险值(或风险等级)。
COBRA 由三部分组成,问卷构建器,风险测量器和结果产生器,
他本质上是一种定性的风险评估工具,系统知识库模块化是他的一个主
要特征,其工作机理如下图所示。
COBRA 评估过程
COBRA 风险评佔过程主要包括三个步骤:
(1)问题表构建:
通过知识库模块來构建向题表,采用手动或自动
方式从各个模块中选择所需的问题,构建针对具体组织风险评估的问题
表。
(2)风险评估:
通过填写问题表来实现整个风险评估过程;问题表
的不同模块由系统的不同人员来完成,各个模块可以不同时完成,但最
终的评佔结果是在完成全部问题表的基础上形成的。
(3)报告生成:
根据问題表的答案生成风险评估报告,报告内容包
括:
风险得分,由此对系统中的各类风险进行排序;分析风险可能给系
统带来的影响:
分析风险与系统潜在影响的关系:
建议采取的安全措施、
解决方案。
COBRA 运行于 PC 机上,是一种基于知识库,类似专家系统的,
自动的调査问卷生成、处理和分析工具.可以帮助组织拟定符合特定标
准要求的问卷,然后对问卷结果进行综合分析,在与特定标准比较后,
给出最终的评佔报告》。
COBRA 不仅具有风险评估与管理功能,而
且特别适合进行如 ISO 17799 标准符合性、组织自身安全策略符合性之
类的检査。
3)CRAMM
CRAMM (CCTA Risk Analysis and Mangement Method)是由英国政府
中央计算机与电倍局(CentralComputerandTelecommunications
Agency , CCTA )于 1985 年开发的一个定量 风险分析工具,并同时支
持定性风险分析。
经多次版本更新,己升至第 4 版,现由 Insight咨询
公司负责管理和授权,CRAMM 是一种可以评估信息系统风险并确定恰
当对策的结构化方法,它包括全面的风险评估工具,适用于各种类型
的倍息系统和网络,也可以在信息系统生命周期的各个阶段使用。
CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点”模型,完全
进循 BS 7799
规范,包括基于资产的建模、商业影响评估、威胁和弱点的识别与评估
风险等级评估、需求识别、基于风险的评估调整与控制等。
CRAMM 评
估风险基于资产价值、威胁和脆弱点,这些参数在 CRAMM 评估者与
资 产所有者、系统使用者、技术支持人员和安全部门人员的交互活动中获
得,设终给出一套安全解决方案。
CRAMM 包含一个非常庞大的决策库,
拥有 70 多个逻辑组、3000 多个安全控制策略。
除了能够进行风险评
估 之外,CRAMM 还可以对符合 ITIL (IT Inftastmcture Library)指南的 业
务 连续性管理提供支持,CRAMM 非常适用于运行系统的风险评佔 a 自
1987 年起,CRAMM 已得到广泛应用,英国政府大力推荐其政府部门
使 用 CRAMM来对信息安全进行风险评估,CRAMM 能够为具有相似风
险轮廊的信息系统提供相似的安全解决方案。
同其他风险分析与评估方法一样,CRAMM 风险评估系统也取决于
信息资产的价值、威胁和脆弱点,它将各种要素以问卷的形式提出,而
后将答案转化为定性指标,通过风险矩阵的方法来计算风险值,再根据
计算结果从库中选取适当的应对措施,形成风险评估报告.CRAMM 评
估过程的本身就体现了--种完整而细致的风险评估方法 CRAMM 风险评
估。