《风险评估分析与实践.docx》由会员分享,可在线阅读,更多相关《风险评估分析与实践.docx(13页珍藏版)》请在三一文库上搜索。
1、风险评估分析与实践摘要风险评估极端重要性已经越来越被用户认同。在四年多风险评估 实践中,在从覆盖政府,以及电信、金融等众多行业逾百个大小用户风险 评估实践中,我们可以清晰地感受到用户安全意识提高,以及安全需求不 断明确。一、前言风险评估极端重要性已经越来越被用户认同。在四年多风险评估实践 中,在从覆盖政府,以及电信、金融等众多行业逾百个大小用户风险评估 实践中,我们可以清晰地感受到用户安全意识提高,以及安全需求不断明 确。在2000 2001年,大多数用户安全评估需求主要集中于系统脆弱性 评估和渗透性测试;在20012002年,多数用户安全评估需求已经侧重 于整个管理体系评估和对特定应用系统评
2、估;从2002年开始,许多行业 用户对全面风险评估和等级化评估提出了要求。二、标准与理论我们在风险评估实践中,主要参考了 BS 7799 (IS0/IEC 17799)、 IS0/IEC 15408-1999 (等同 GB/T 18336-2001), IS0/IEC 13335、SSE-CMM 等标准。另外,我们也参考了 GB 17859-1999计算机信息系统安全保护 等级划分准则、中国信息安全产品测评认证中心信息系统安全保障等 级评估准则、公安部信息系统安全等级保护评估指南、GB9361-88计 算机场地安全要求,以及CAV公共漏洞和暴露标准、Cramm/Octave/ 等标准和法规。信
3、息安全管理标准BS 7799 (ISO/IEC 17799)BS 7799是国内外现在比较流行信息安全管理标准,其安全模型主要 是建立在风险管理基础上,通过风险分析方法,使信息风险发生概率和后 果降低到可接受水平,并采取相应措施保证业务不会因安全事件发生而中 断。BS 7799给出了 10类需要进行控制部分:安全策略、安全组织、资产 分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控 制、系统开发和维护、商业持续规划、合法性要求等方面安全风险评估和 控制,以及127项控制细则。BS 7799中关于风险管理框架构建过程对我们进行安全风险评估给予 了宏观上指导。信息安全通用准则ISO
4、/IEC 15408-1999信息技术安全性评估通用准则ISO/IEC 15408-1999 (等同GB/T 18336-2001),即通用准则CC,是评估信息技术产品和系统安全性基础准 则。该标准针对在安全性评估过程中信息技术产品和系统安全功能及相应 保证措施提出一组通用要求,使各种相对独立安全性评估结果具有可比性。ISO/IEC 15408对确定安全风险评估模型及关键风险因素具有指导意 义,但更重要是它能比较好指导我们对系统安全功能各方面进行安全检查 和分析,保证了安全风险评估全面性和完整性,也使得信息系统在技术上 能够符合国家安全测评认证要求。最后,我们可以根据这个标准生成针对 信息系统
5、安全规范化安全评估方案,或者更确切叫信息系统安全规范。系统安全工程能力成熟模型SSE-CMMSSE-CMM是“系统安全工程能力成熟模型”缩写。系统安全工程旨在 了解用户单位存在安全风险,建立符合实际安全需求,将安全需求转换为 贯穿安全系统工程实施指南。系统安全工程需要对安全机制正确性和有效 性做出验证,证明系统安全信任度能够达到用户要求,以及未在安全基线 内仍存在安全问题连带风险在用户可容许、或可控范围内。SSE-CMM针对风险评估过程提供了影响、风险、威胁和脆弱性具体评 估方法和过程,进一步为安全风险评估实施提供了指导。应用SSE-CMM模型,我们在实践中,将整个安全风险评估工程划分为 以下
6、几个阶段:安全需求分析阶段、安全系统规划阶段、安全系统实施阶 段、安全系统确认阶段和安全需求验证阶段,并在安全工程整个生命周期过程中,严格按照SSE-CMM要求进行实施,以保证整个项目工程质量。信息安全管理指南ISO/IEC 13335ISO/IEC 13335是信息安全管理方面规范,给出了如何有效地实施IT 安全管理建议和指南。ISO/IEC 13335为风险评估提供了方法上支持,它所定义安全概念全 面覆盖了安全风险评估需要考虑问题,使得最终生成安全评估方案不但能 够保证技术方面完整,而且能够满足安全管理要求。三、风险评估模型资产由于自身脆弱性,使得威胁发生成为可能,从而造成了不同影响, 形
7、成了风险。换句话说,风险分析过程实际上就是对影响、威胁和脆弱性 进行分析过程,而且都紧紧围绕着资产。在风险评估中,资产价值、资产 被破坏后造成影响、威胁严重程度、威胁发生可能性、资产脆弱程度都是 风险评估关键因素。在ISO/IEC 13335中描述了非正式风险评估、基线风险评估、详细风 险评估、综合风险评估等四种方法。国内目前推行信息系统安全等级保 护评估指南接近于基线评估方法。基线风险评估是指通过对信息系统实施一些标准安全防范措施使其 达到一个最基本安全级别。这种评估方法不考虑系统所面对具体风险有多 大,而是对安全风险模型中系统资产所面临威胁、脆弱性及其受破坏后造 成影响直接进行问题分析,为
8、客户信息系统建立系统安全基线或更高一级 安全要求。采用基线风险评估方法,因为涉及到安全基线或某一级别安全 要求建立,实施时通常需要参照相关标准、规范和政策。基线风险评估优 点是不需花费太多人力、物力和财力,尤其是在安全需求相同时比较有效。 基线风险评估主要缺点是通用安全标准针对性不强。详细风险评估是对一个信息系统中所有资产都进行仔细风险评估分 析,包括资产识别和评估,对资产所面临安全威胁评估,以及对其脆弱性 评估。然后,在这些评估分析基础上再进行最后综合风险分析,针对高风 险实施合适安全防范措施,并制定出相应风险控制策略。详细风险评估优 点是对所有系统都进行了适当安全防范鉴定,而且这种分析评估
9、结果也可 以在处置安全状况改变中应用。详细风险评估缺点是需要相当多时间和精 力、财力、物力以及专业能力去获得结果,有可能情况是提出安全需求大 大滞后于时间要求,从实际项目经验上看,不适用大规模风险评估需求。综合风险评估首先对所有信息系统进行一次较高级别安全分析,并在 分析中关注它对整个业务价值以及它所面临风险严重程度,对那些被鉴定 为对业务非常重要或面临严重风险部分进行详细风险评估分析,而对于其它信息系统则采取基本风险评估方法。综合风险评估优点是能够快捷简便 地得到可接受安全风险评估分析程序,迅速地为一个机构组织建立一个安全程序策略。缺点是在进行高层安全分析时可能遗漏某些重要部分。等级保护比较
10、接近于基线评估,没有对安全威胁进行太多考虑,易于 实施,而等级保障更强调多种风险因素和保障措施综合考虑,对实施者要 求较高。我们在实践中,使用了如图1所示风险评估模型:资产评估主要 是对资产进行相对估价,而其估价准则依赖于对其影响分析,即资产相对 价值体现了威胁严重程度。这样,威胁评估就仅仅成了对资产所受威胁发 生可能性评估。脆弱性评估是对资产脆弱程度评估。如图1所示,安全风 险评估就是通过对评估后资产信息、威胁信息和脆弱性信息进行综合分 析,最终生成风险信息。脆弱性信息图1:风险评估模型四、风险评估过程组织安全风险评估过程方案是安全风险模型体现,传统风险评估过程可以 分为以下儿个阶段(参见图
11、2):第一阶段:确定评估范围和资产识别阶段:调查并了解用户网络系统 业务流程和运行环境,确定评估范围边界以及范围内所有网络系统;识别 和估价是对评估范围内所有资产进行识别,并调查资产破坏后可能造成影 响大小,根据影响大小对资产进行相对赋值;第二阶段:安全威胁/脆弱性评估阶段:评估资产所面临每种威胁发 生可能性;脆弱性评估则从技术、管理、策略方面进行脆弱程度检查,特 别是技术方面,以远程和本地两种方式进行系统扫描和手动抽查评估;第三阶段:风险分析阶段:过分析上面所评估数据,进行风险值计算、 区分和确认高风险因素;第四阶段:分险管理阶段:这一阶段主要是总结整个风险评估过程, 制定相关风险控制策略,
12、建立风险评估报告,实施某些紧急风险控制措施。图2:传统风险评估流程图在实践中,我们发现在进行大规模网络评估时,即使使用综合风险评估方 法,在有人力和时间资源限制情况时,由于很多行业不存在安全基线概念, 往往不能及时达到评估目标,只能采用不够准确非正式评估或对非重要资 产也进行详细分析。但是其结果要么不够准确和标准,要么使得评估周期 加长,增加了评估成本。因此我们尝试在一些评估项目中更多融入了等级 评估过程和基于等级保障分析思想,从而使评估成本和效果能够达到比较 好均衡。如图3所示:首先,我们使用等级/保障保护思想进行高层业务分析 和分级,然后,对重点/高级别业务使用全面风险评估方法,对一般业务
13、 使用等级(基线)评估方式。由于大多数行业和用户目前没有安全基线标 准,一般情况下使用非正式方式进行。在报告输出分析阶段,同样也采用 保障等级分析思想进行分析和输出报告。通过采用这样评估方法,可以为 业务重要等级划分提供统一标准,不但提高了大规模评估速度,而且方便 了评估结果输出和完整性。图3:综合风险评估流程五、风险评估案例分析这里,我们以某个行业用户具体评估过程案例进行说明,此用户评估项目基本情况如下:涵盖多种业务系统,评估范围比较大要求对安全风险各个层次进行分析有时间控制要求输出风险排列和下一步建设建议究产调秀业务等级划分 虫点业务凤险评怙 部分业务基评也风检计算 评估报告策鬲灌蚊风险控
14、制阶在这个项目中,我们采用了综合风险评估和等级保护思想融合方法整 个项目过程划分如下,其中圆圈中数值代表此阶段预计工作量。站果确认修补支持培训服务 实施服务八(30长期服务支持:安全培训,安全通 告,紧急响应第一阶段项目启动阶段1.1项目启动协调会双方建立项目组及子项目组;介绍本次评估的目的、意义、方 式和结果会议场地准备, 协调参会人员双方项目组1.2项目宣讲及安 全培训使用PPT简要介绍风险评估的概 念,原理和方法;介绍本次评估的预计日程和计 划,讲解本次项目中北京移动项 目组需配合的工作,并确定各阶 段的人员确定网络风险 评估项目组成 员和评估每个 阶段的时间安 俳双方项目组13 / 1
15、4第二翕段康艮文能阶段2.1信总资产网法网有和统计信息资产备业务系统盲 .理员配合填写 阔奇表取疗双目组京扑结同回青笄缭到敌图缶业务系统电 理同配合双方或目组现有安全豉网青告业务系统香 理分配舍双方或目组2.2去全区域等逐 划分确定区埔划分方法履等缓确定方提供用关留科. 笄配合讨论决 定嫁取科核海产安全区域划分并定公提供相关诙料, 并配合讨论决 定媚序科核23阮的理f资产火别与恬价各业务系统盲 理负配台填写 阂查表绿股.科接蝴炽别与齐法各业务系统齿 理员配台填写 飒因在问卷依坦.科楼安全扇洞归假怩假片烧媒旗科技人工安金检查征俵环境屎怎料按安全管理审计名业络系统曾 理员配合填写 哎胁周杳问卷媒锣
16、.科核风险分析分析工要素蕤 据媒/用核2.4空蒙隔差异园女对进行若缓评 住的业务进行 网查和馀查依德料核差异分析分折网查和当 取黑求的电异很怎.科接第三翕段检告找出与第书建发筋段L1评估根告撰写展终年估报告f依期科核2安轨划9计出远安全城划及近胴规划建设握假用关飒. 并配合讨论决 定绿旗,科彼项S.组3.3安全第略没计安全窗则度、标准、通程和规 范等东咯文档梃饯用关喇, 并配合讨论决定缭旗科技顼旦组5.4方东豉计殳计系列技本和后理解决方案以 及实施敷果的越方哀提供相关诙料, 并配合讨论决 定然用科核项目.组第四阶段项目险收阶段4.1评估报告骤收 会提交相关报告审阅签字确认双方项目组4.2安全体
17、系、策 略、规划、方 案照收会提交相关报告审阅签字确认双方项目组4.3修补与实施服 务解决发现的产重安全风险,实施风 除控制方案,对后续的安全措施进 斤定期检查。配合实施双方项目组从上面风险评估过程设计实例,我们可以看到,经过多个项目总结和 实施后,整个风险评估过程已经比较规范并能在不同评估项目中进行复 制。但是和传统风险评估过程不同是,我们已经在整个评估过程中加入了 “安全区域等级划分”、“等级评估”和“差异分析”两个部分。这两个 过程实施,能够比较好区分评估业务重点,并规范相对非重要业务评估内 容和输出结果。而在后续报告输出中,同样可以采用差异分析,并结合信息系统安 全保障通用评估准则要求,使最终评估报告一方面能够融入等级保护/ 保护要求并指导后续安全建设,同时也符合中办27号文中重视风险评估,进行信息安全保障建设要求。