《信息安全的风险评估管理.ppt》由会员分享,可在线阅读,更多相关《信息安全的风险评估管理.ppt(56页珍藏版)》请在三一文库上搜索。
1、,信息安全的风险评估,曹鹏 网络安全产品营销中心解决方案部部长 CISP 北京 沈阳东软软件股份有限公司,提纲,1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 4、风险评估什么时候做,信息安全管理核心内容-风险管理,国际和国内信息安全标准和法规,BS7799 / ISO17799,SSE-CMM,英國國家標準協會,資訊安全管理機制 http:/www.bsi.org.uk/,系统安全工程 能力成熟度模型, http:/www. Sse-cmm.org/,ISO7498-2,ISO 15408,信息技术 安全技术 信息技术安全性评估准则,ISO 13335,我国GB安全标准,G
2、B 17859-1999 计算机信息系统安全保护等级划分准则,我国安全法规,中华人民共和国计算机信息系统安全保护条例 计算机信息网络国际联网安全保护管理办法,ISO 13335-1:IT安全管理概念和模块 ISO 13335-2:管理和制定IT安全 ISO 13335-3:IT安全管理方法,安全体系结构,ISO/IEC 15408-1 安全概念和关系模型,典型信息安全管理标准,BS7799/ISO17799 信息安全管理纲要 Part I: Code of practice for information security management 信息安全管理认证体系 Part II: Spec
3、ification for information security management,信息安全管理纲要 Code of practice for information security management,BS7799 / ISO 17799,信息安全政策 安全组织 资产分类及控制 人员安全 物理及环境安全,计算机及系统管理 系统访问控制 系统开发与维护 业务连续性规划 法规和策略符合性,ISO 17799信息安全管理系统,安全组织,资产分类及控制,人员安全,物理及 环境安全,计算机及系统管理,系统访问控制,系统开发与维护,业务连续性规划,风险评估和风险管理,安全法规,安全策略,风险
4、,防护措施,信息资产,威胁,漏洞,防护需求,价值,ISO13335以风险为核心的安全模型,业务需求,威胁及风险分析,国家,行业,安全相关的法律法规,业务系统安全策略,个人安全策略,安全技术标准化策略,管理策略,风险评估与安全登记划分,计算机系统与网络安全策略,物理安全与环境保护策略,管理安全规范,教育与培训策略,标识,认证策略,信息保密与完整性策略,授权与访问控制策略,抗抵赖策略,安全审计策略,入侵监测策略,病毒防范策略,响应与恢复策略,容错与备份,用户角色,级别,用户账号及认证方式,防火墙访问控制链表,.,局部可执行安全策略,全局自动安全策略,组织安全策略,国家政策背景,2003年7月, 中
5、办发200327号文件对开展信息安全风险评估工作提出了明确的要求。,要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,1、什么是风险评估,信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据(国信办20065号文件)。,信息安全体系的建立,不是仅仅依靠几种安全设备的简单堆砌,或者一两个人技术人员就能够实现的,
6、还要涉及管理制度、人员素质和意识、操作流程和规范、组织结构的健全性等众多因素。所以,一套良好的信息安全体系需要综合运用“人技术/产品管理维护”,从而才能真正建立起一套完备的、高保障的信息安全体系。,我们需要的是一套高保障的安全体系,主要执行标准 国信办20065号文件:信息安全风险评估指南 信息系统安全等级保护测评准则 辅助参考标准 GB18336(ISO15408):信息技术安全性评估准则 BS7799:信息安全管理体系指南,3、风险评估怎么做,东软具有自己特色的评估实施方法,风险评估考查的对象,风险评估实施流程,先期准备 要素分析 风险分析 生成报告,实施步骤,(1) 风险评估的准备 (2
7、) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,(1)风险评估的准备,1)确定风险评估的目标; 2)确定风险评估的范围; 3)组建适当的评估管理与实施团队; 4)进行系统调研; 5)确定评估依据和方法 ; 6)获得最高管理者对风险评估工作的支持。,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,(2)信息资产识别,对于任何企业和机构来说,信息资产和其它固定资产一样都承载着重要的价值,因而也同样需要得到足够的
8、保护。,信息资产分类,资产等级,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,(3)威胁识别,威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。 或者也可以理解成是可能对资产造成影响的危害;(不单单只是黑客攻击,还包括自然灾害、员工的违规操作等等),威胁分类,威胁等级,主要技术手段量化威胁的工作方法,部署入侵检测系统在网络中工作然后分析其数据。 分析系统中的各种日志记录文件,在日志中发现安全攻击的痕迹。 根据过去一年时间中组织内部遭受实际安全威胁的程度分析结果。
9、我们可以通过例子:某重要政府站点的WEB日志分析来看威胁分析、某电力公司内部网络在评估出发现攻击者遗留文件。,客观上我们面对的网络威胁程度在增加,今天我们所处的环境,各种新兴的安全攻击手段与威胁因素层出不穷,也要求业务系统的自身具备安全功能的对抗升级。 我分别用Microsoft Office Word 2003与Windows 2003系统的密码来举例。,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,(4)脆弱性识别,脆弱性也称弱点,或者俗称漏洞,也就是具体存在的问题。 值得注
10、意的是,弱点本身不会造成损失,它只是一种条件或环境、可能被威胁利用从而造成资产损失。 漏洞不单单只是系统或软件上存在的bug,任何管理上的疏忽都是一种漏洞。,弱点分类,脆弱性等级,安全评估技术手段介绍,弱点漏洞扫描软件 口令强壮性分析方法 专家经验分析方法 站点脚本程序 网络设备运行健康状况分析(寻找网络性能瓶颈点) 渗透测试方法 重要服务器抗攻击压力测试,不同层面的问题主要表现,物理层:强弱电走线合理、UPS设备到位、电磁干扰、设备摆放位置合理等 网络层:网络设备的配置不严谨,WEB管理接口、SNMP认证字简单(可以画出网络拓扑结构、接管网络设备更改配置文件通过TFTP服务)、口令不强壮和单
11、一性、IOS版本过于陈旧等 系统层:普遍存在系统补丁程序安装缺失、开放过多无用端口服务、安装跟工作无关软件(QQ、BT、电骡等)、登陆口令过于简单、没有统一的安全防护和管理软件支持、 从整体信息安全的层面来看物理安全、网络安全、系统安全已经储备了充分的安全相关知识和工具,未来关注焦点主要是应用安全与管理安全。,网络设备WEB接口越权管理问题,服务可以发现业务应用系统的深层隐患,安全评估与咨询规划服务 我们在系统安全、网络安全、管理安全等环节做了很多有成效的工作,但是对于真正的信息系统的核心业务层面的安全问题关注还是非常落后。 核心业务系统开发安全是当前信息安全中最大的难点,某种程度讲,追求业务
12、系统的安全是很多用户的终极目标。 目前常见的业务系统有C/S 、B/S 、中间件技术等,大部分系统都是近5-6年开发的,在开发过程中以功能实现为主要目的,对于自身安全功能提供很少,内部安全保护机制考虑更少。,C/S平台业务系统经常碰到的安全问题,后台数据库密码与业务系统密码的交叉处理方式,容易出现密码外泄的安全问题。,B/S结构平台下经常出现的安全问题,SQL语句注射式攻击是B/S结构平台面临的一个很大的安全威胁。,开发的时候忘记删除备份文件,功能所依附的操作平台安全缺陷,通过HTTP或HTTPS访问可以直接获取到服务器的版本和模块配置参数。 很多JSP开发平台默认很难支持IP地址访问行为记录
13、,对于日志审计有很大困难。,程序开放接口的抗压力能力很差,攻击压力测试 SYN LAND 业务系统数据压力测试 模拟几千人同时访问的流量 很多业务系统服务器的表现都让人失望,底层信息大部分在“裸奔”状态,重要的认证(用户、口令)信息、敏感的数据资料信息在应用系统间传递都没有使用加密方式。 配合内部网络的ARP欺骗技术,使得很多内部重要业务系统与传统认证设备几乎没有保密性可言。,业务系统常见安全问题的总结:,TCP/IP协议自身的设计安全缺陷 对于暴力口令猜测没有设置上限阀值 多数信息传递的时候没有采用加密方式 没有很好的错误保护处理 程序接口的抗攻击能力薄弱 开发实现平台的功能局限造成安全功能
14、的不完备 对于用户的操作行为记录没有很好的控制审计措施 对于敏感数据没有考虑数据加密存储 可怕的问题在于:很少有防火墙、入侵检测、漏洞扫描等这些成熟产品检测出这些问题并实现有效防护。,运维管理体系中的评估流程,安全的核心任务就是实现风险管理,所有信息安全建设都是围绕这个中心开展的。 缺乏全面的安全管理策略制度(很多缺少网络应急策略、业务系统代码开发安全设计要求等) 管理策略与操作人员的“通道”没有打通,很多人不知道单位的安全管理策略制度是什么,不知道自己该负起什么责任。 策略制度没有生命力,大部分写完以后就从来没有更新过了。 策略制度没有执行力,很多策略制度没有写明白该如何去做,怎么做。 SO
15、C是信息安全管理建设的最佳解决方案,它代表的是深入完善的解决方案而不是一套软件或者硬件设备。 管理策略制度没有专门的部门组织负责监督维护管理,没有明确的奖励惩罚制度。,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,(5)已有安全措施的确认,在识别脆弱性的同时,评估人员还应对已采取的安全措施的有效性进行确认,即安全措施是否真正地降低了系统的脆弱性,抵御了威胁。安全措施同样也分为管理类和技术类两方面。 例如某服务器虽然存在安全漏洞,但是由于位于防火墙严格保护的DMZ区域,此端口从防火
16、墙外无法连接,本地物理安全也做到位了,我们就认为这些措施在一定程度上缓解了该问题。,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,(6)风险分析,风险是指某个威胁利用弱点引起某项资产或一组资产的损害,从而直接地或间接地引起企业或机构的损害。 举例:,风险等级,风险处置措施,消除风险 降低风险可能性 减小风险的后果或影响 接受风险,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,概述 信息资产列表总结 安全弱点评估总结 安全威胁评估总结 风险量化和评级总结 风险处置措施建议 安全风险评估总结,安全风险评估报告,消除风险 降低风险可能性 减小风险的后果或影响 接受风险,物理层安全策略 网络层安全策略 系统层安全策略 应用层安全策略 管理层安全策略,安全策略建议报告,国信办20065号文件指出:信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估,只有这样才能真正为我们建造一套高保障的信息安全体系。,4、风险评估什么时候做,Thank you,Neusoft Group Ltd.,谢谢,