信息安全风险评估指南.doc
《信息安全风险评估指南.doc》由会员分享,可在线阅读,更多相关《信息安全风险评估指南.doc(22页珍藏版)》请在冰点文库上搜索。
德信诚培训网
信息安全风险评估指南
1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。
1.1政策法规:
²《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
²《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
1.2国际标准:
²ISO/IEC17799:
2005《信息安全管理实施指南》
²ISO/IEC27001:
2005《信息安全管理体系要求》
²ISO/IECTR13335《信息技术安全管理指南》
1.3国内标准:
²《信息安全风险评估指南》(国信办综[2006]9号)
²《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月)
²GB17859—1999《计算机信息系统安全保护等级划分准则》
²GB/T183361-3:
2001《信息技术安全性评估准则》
²GB/T5271.8--2001《信息技术词汇第8部分:
安全》
²GB/T19715.1—2005《信息技术安全管理指南第1部分:
信息技术安全概念和模型》
²GB/T19716—2005《信息安全管理实用规则》
1.4其它
²《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))
2、风险评估
2.1、风险评估要素关系模型
风险评估的出发点是对与风险有关的各因素的确认和分析。
下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。
风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。
如下模型表示了各因素的关系:
风险评估要素关系模型
图中这些要素之间存在着以下关系:
业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,—部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
2.2风险计算模型
风险计算模型是对通过风险分析计算风险值的过程的抽象,它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。
风险计算模型如下图所示:
风险计算模型示意图
风险计算模型中包含:
资产、威胁、脆弱性等基本要素。
每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等;脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。
2.3风险计算的过程如下:
对资产进行识别,并对资产的价值进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;
根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。
3风险评估实施过程
根据风险评估要素关系模型,进行风险评估需要分析评价各要素,按照各要素关系,风险评估的过程主要包括:
风险评估的准备,即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节,风险评估实施过程可用下图表示:
风险评估实施流程(见下页)
以下对风险评估过程中包括的具体步骤进行详细描述:
3.1风险评估的准备
风险评估的准备过程是整个风险评估过程有效的保证和基础。
组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
否
是
否
风险评估流程框图
是
风险评估的准备
已有安全措施的确认
风险计算
风险是否接受
保持已有的控制措施
施施施
选择适当的控制措施并评估残余风险
实施风险管理
脆弱性识别
威胁识别
资产识别
是否接受残余风险
风险识别
评估过程文档
评估过程文档
风险评估结果记录
评估结果文档
…………………
3.2资产价值
3.2.1资产分类
在一般的风险评估体中,资产大多属于不同的信息系统,如OA系统,网管系统,业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。
这时首先需要将信息系统及其中的信息资产进行恰当的分类,才能在此基础上进行下一步的风险评估工作。
在实际项目中,具体的资产分类方法可以根据具体环境,由评估者来灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型,表3.2为一个资产分类示例。
分类
示例
数据
保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等
软件
系统软件:
操作系统、语言包、工具软件、各种库等
应用软件:
外部购买的应用软件,外包开发的应用软件等
源程序:
各种共享源代码、自行或合作开发的各种代码等
硬件
网络设备:
路由器、网关、交换机等
计算机设备:
大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备:
磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
传输线路:
光纤、双绞线等
保障设备:
动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等
安全保障设备:
防火墙、入侵检测系统、身份验证等
其他:
打印机、复印机、扫描仪、传真机等
服务
办公服务:
为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务
网络服务:
各种网络设备、设施提供的网络连接服务
信息服务:
对外依赖该系统开展的各类服务
文档
纸质的各种文件、传真、电报、财务报告、发展计划等
人员
掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
其它
企业形象,客户关系等
表3.2资产种类
资产识别方式及阶段成果:
在资产识别过程中,本公司信息安全管理委员会可以通过问卷调查、人员问询的方式识别每一项资产,在本阶段结束后本公司信息安全管理委员会将向信息系统所有者提供《资产识别清单》,清单中应明确各资产的负责人/部门,并由信息系统所有者进行书面确认。
3.2.2资产赋值
本指南所指资产赋值是对资产安全价值的估价,而不是以资产的账面价格来衡量的。
在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是考虑资产对于组织业务的安全重要性,即根据资产损失所引发的潜在的商务影响来决定。
为确保资产估价时的一致性和准确性,本公司信息安全管理委员会应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。
资产估价的过程也就是对资产机密性、完整性和可用性影响分析的过程。
影响就是由人为或突发性引起的安全事件对资产破坏的后果。
这一后果可能毁灭某些资产,危及信息系统并使其丧失机密性、完整性和可用性,最终还会导致财产损失、市场份额或公司形象的损失。
特别重要的是,即使每一次影响引起的损失并不大,但长期积累的众多意外事件的影响总和则可造成严重损失。
一般情况下,影响主要从以下几方面来考虑:
Ø违反了有关法律或(和)规章制度
Ø影响了业务执行
Ø造成了信誉、声誉损失
Ø侵犯了个人隐私
Ø造成了人身伤害
Ø对法律实施造成了负面影响
Ø侵犯了商业机密
Ø违反了社会公共准则
Ø造成了经济损失
Ø破坏了业务活动
Ø危害了公共安全
资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。
风险评估小组应当通过考察三种不同安全属性,能够基本反映资产的价值。
v机密性赋值
根据资产机密性属性的不同,将它分为5个不同的等级,分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。
赋值
标识
定义
5
极高
包含组织最重要的机密,关系组织未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害
4
高
包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3
中等
组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2
低
仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1
很低
可对社会公开的信息,公用的信息处理设备和系统资源等
表3.3资产机密性赋值
v完整性赋值
根据资产完整性属性的不同,将它分为5个不同的等级,分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。
赋值
标识
定义
5
极高
完整性价值非常关键,未经授权的修改或破坏会对评估体造成重大的或无法接受、特别不愿接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
4
高
完整性价值较高,未经授权的修改或破坏会对评估体造成重大影响,对业务冲击严重,比较难以弥补
3
中等
完整性价值中等,未经授权的修改或破坏会对评估体造成影响,对业务冲击明显,但可以弥补
2
低
完整性价值较低,未经授权的修改或破坏会对评估体造成轻微影响,可以忍受,对业务冲击轻微,容易弥补
1
很低
完整性价值非常低,未经授权的修改或破坏会对评估体造成的影响可以忽略,对业务冲击可以忽略。
表3.4资产完整性赋值
v资产可用性赋值
根据资产可用性属性的不同,将它分为5个不同的等级,分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估系统的影响。
赋值
标识
定义
5
极高
可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断
4
高
可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟
3
中等
可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到90%以上,或系统允许中断时间小于30分钟
2
低
可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟
1
可忽略
可用性价值可以忽略,法使用者对信息及信息系统的可用度在正常工作时间低于25%。
表3.5资产可用性赋值
3.2.3资产重要性等级
最终资产价值可以通过违反资产的机密性、完整性和可用性三个方面的程度综合确定,资产的赋值采用定性的相对等级的方式。
与以上安全属性的等级相对应,资产价值的等级可分为五级,从1到5由低到高分别代表五个级别的资产相对价值,等级越大,资产越重要。
由于资产最终价值的等级评估是依据资产机密性、完整性、可用性的赋值级别经过综合评定得出的,本标准的评定准则选择“最高的属性级别”为综合资产赋值准则的方法。
当然,风险评估小组也可以根据被评估系统的实际情况自定义资产的等级,但该评定方法必须在事先得到信息系统所有者认可。
等级
标识
资产价值定义
5
很高
非常重要,其安全属性破坏后可能对组织造成非常严重的损失
4
高
重要,其安全属性破坏后可能对组织造成比较严重的损失
3
中
比较重要,其安全属性破坏后可能对组织造成中等程度的损失
2
低
不太重要,其安全属性破坏后可能对组织造成较低的损失
1
很低
不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计
表3.6资产重要性等级划分表
阶段成果:
风险评估小组确定在信息安全方面对组织业务发展(考虑相关方要求)起到关键作用的资产,根据本规则,对资产的机密性、完整性、可用性进行赋值与计算,并根据资产赋值结果得出《重要资产清单》,该清单一般应包括重要资产名称、描述、类型、重要程度、责任人/部门,应根据预先制定的规则,对资产的机密性、完整性、可用性进行赋值与计算。
在本阶段结束时应由本公司信息安全管理委员会向信息系统所有者提供《重要资产清单》,并由信息系统所有者进行书面确认,然后主要围绕重要资产展开以下实施步骤。
资产识别阶段小结如表3.7所示:
资产识别阶段
工作任务
根据资产的表现形式对资产进行分类;
根据对资产安全价值的估价对资产进行三性(机密性、完整性、可用性)赋值;
根据资产赋值结果,采用“最高的属性级别”法评价出重要资产。
工作方式
问卷调查、人员问询
参与人员
信息系统所有者项目负责人及相关技术人员,评估小组
阶段成果
《资产识别清单》、《重要资产清单》
表3.7资产识别阶段小结
3.3威胁识别
安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。
无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全威胁的主要因素可以分为人为因素和环境因素。
人为因素又可区分为恶意和非恶意两种。
环境因素包括自然界的不可抗的因素和其它物理因素。
威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。
也可能是偶发的、或蓄意的事件。
一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。
安全事件及其后果是分析威胁的重要依据。
但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。
这将导致对安全威胁的认识出现偏差。
在威胁识别过程中,本公司信息安全管理委员会通过问卷调查、人员问询的方式对信息系统所有者需要保护的每一项关键资产进行威胁识别,并根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断威胁的程度。
一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。
3.3.1威胁分类
分析存在哪些威胁种类,首先要考虑威胁的来源,信息系统的安全威胁来源可参考如下表。
威胁来源
威胁来源描述
环境因素
由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害;意外事故或由于软件、硬件、数据、通讯线路方面的故障
人为因素
恶意人员
不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。
非恶意人员
内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或被攻击;内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。
表3.8威胁来源列表
对安全威胁进行分类的方式有多种多样,针对上表威胁来源,可以将威胁分为以下种类。
威胁种类
威胁描述
威胁子类
软硬件故障
由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。
设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。
物理环境影响
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害
无作为或操作失误
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响。
维护错误、操作失误
管理不到位
安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
恶意代码和病毒
具有自我复制、自我传播能力,对信息系统构成破坏的程序代码
恶意代码、木马后门、网络病毒、间谍软件、窃听软件
越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。
未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息
网络攻击
利用工具和技术,例如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段,对信息系统进行攻击和入侵
网络探测和信息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏
物理攻击
通过物理的接触造成对软件、硬件、数据的破坏。
物理接触、物理破坏、盗窃
泄密
信息泄漏给不应了解的他人
内部信息泄露、外部信息泄露
篡改
非法修改信息,破坏信息的完整性,使系统的安全性降低或信息不可用
篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息
抵赖
不承认收到的信息和所作的操作和交易
原发抵赖、接收抵赖、第三方抵赖
表3.9:
威胁种类列表
3.3.2威胁赋值
评估确定威胁发生的可能性是威胁评估阶段的重要工作,评估者采用经验法判断法,参考有关的统计数据来判断威胁发生的频率或者发生的概率。
其中,威胁发生的可能性受以下因素影响:
Ø资产的吸引力;
Ø资产转化成报酬的难易程度;
Ø威胁的技术力量;
Ø脆弱性被利用的难易程度。
操作过程中,威胁的可能性赋值,除了考虑上面几个因素,还需要参考下面三方面的资料和信息来源,如这些资料或者信息能够提供具体数值的,则这些数值就是在特定评估环境中各种威胁发生的可能性。
通过过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;
在评估体实际环境中,通过IDS(IntrusionDetectionSystems,入侵检测系统)获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析;
过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。
威胁的评估就是针对重要信息资产,比对威胁来源列表和种类列表后得到的威胁列表,依据经验对列表中的威胁发生可能性进行的评估。
最终威胁的赋值依照威胁赋值表采用定性的相对等级的方式。
威胁的等级划分为五级,从1到5分别代表五个级别的威胁发生可能性。
等级数值越大,威胁发生的可能性越大。
当然,评估者也可以根据被评估系统的实际情况自定义威胁的等级,但该评定方法必须在事先得到信息系统所有者认可。
等级
标识
定义
5
很高
出现的频率很高(或≥1次/周),或在大多数情况下几乎不可避免;或可以证实经常发生过。
4
高
出现的频率较高(或≥1次/月),或在大多数情况下很有可能会发生;或可以证实多次发生过。
3
中
出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过。
2
低
出现的频率较小,或一般不太可能发生;或没有被证实发生过。
1
很低
威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
表3.10:
威胁赋值表
阶段成果:
在本阶段结束后本公司信息安全管理委员会应根据组织的重要信息资产、环境等因素,形成威胁的分类方法及具体的威胁列表,并向信息系统所有者提供《威胁列表》,为风险评估提供支持(可附在风险评估程序中,也可单独形成文件)。
《威胁列表》通常包括威胁名称、种类、来源、动机及出现的频率等,须由信息系统所有者书面确认。
威胁识别阶段小结如表3.11所示:
威胁识别阶段
工作任务
对信息系统所有者需要保护的每一项重要信息资产进行威胁识别;
判断威胁发生的频率或者发生的概率,进行威胁赋值。
工作方式
问卷调查、人员问询
参与人员
信息系统所有者项目负责人及相关技术人员,评估小组
阶段成果
《信息安全风险评估表》中的威胁识别部分
表3.11威胁识别阶段小结
3.4脆弱性识别
脆弱性是对一个或多个资产弱点的总称。
脆弱性识别也称为弱点识别,是风险评估中重要的内容。
弱点是资产本身固有的缺陷,任何一种资产均具有脆弱性,并非“不合格”品,它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
值得注意的是,弱点虽然是资产本身固有的,但它本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。
所以如果没有相应的威胁发生,单纯的弱点并不会对资产造成损害。
那些没有安全威胁的弱点可以不需要实施安全保护措施,但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。
需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
脆弱性识别将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,即对脆弱性被威胁利用的可能性进行评估,最终为其赋相应等级值。
在进行脆弱性评估时,提供的数据应该来自于这些资产的拥有者或使用者,来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。
3.4.1脆弱性识别内容
脆弱性的识别可以以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可以分物理、网络、系统、应用等层次进行识别,然后与资产、威胁结合起来。
脆弱性主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。
表3.12列出了脆弱性的分类。
脆弱性分类
名称
包含内容
技术和操作脆弱性
物理环境
从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。
网络结构
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
系统环境(含操作系统及系统服务)
从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。
应用中间件
从协议安全、交易完整性、数据完整性等方面进行识别
应用系统
从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别
操作方面
软件和系统在配置、操作、使用中的缺陷,包括人员日常工作中的不良习惯,审计或备份的缺乏进行识别。
管理脆弱性
技术管理
从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别
组织管理
从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别
表3.12脆弱性分类
脆弱性的分类具体描述如下:
物理安全
信息系统的物理安全是指包括计算机、网络在内的所有与信息系统安全相关的环境、设备、存储介质的安全。
物理安全的评估内容包括:
Ø物理环境安全
Ø包括机房物理位置的选择、防火、防水和防潮、防静电、防雷击、电磁防护、温湿度控制、电力供应、物理访问控制等。
Ø设备安全
Ø包括设备采购、安装、访问、废弃等方面的安全。
Ø存储介质
升级会员 