信息安全风险评估方案文档格式.doc
《信息安全风险评估方案文档格式.doc》由会员分享,可在线阅读,更多相关《信息安全风险评估方案文档格式.doc(23页珍藏版)》请在冰点文库上搜索。
因此,采取科学的风险分析方法对公司的网络进行风险分析是非常关键的。
一旦确定有关的安全要求,下一步应是制定及实施安全策略,来保证把风险控制在可接受的范围之内。
安全策略的制定,可以依据相关的国内外标准或行业标准,也可以自己设计。
有很多方法可以用于制定安全策略,但是,并不是每一组安全策略都适用于每个信息系统或环境,或是所有类型的企业。
安全策略的制定,要针对不同的网络应用、不同的安全环境、不同的安全目标而量身定制,各公司应该按照自己的要求,选择合适的安全体系规划网络的安全。
制定自己的安全策略应考虑以下三点内容:
(1)评估风险。
(2)企业与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。
(3)企业为网络安全运作所订立的原则、目标及信息处理的规定。
安全管理贯穿在安全的各个层次实施。
实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。
必须制定一系列安全管理制度,对安全技术和安全设施进行管理。
从全局管理角度来看,要制定全局的安全管理策略;
从技术管理角度来看,要实现安全的配置和管理;
从人员管理角度来看,要实现统一的用户角色划分策略,制定一系列的管理规范。
实现安全管理应遵循以下几个原则:
可操作性原则;
全局性原则;
动态性原则;
管理与技术的有机结合;
责权分明原则;
分权制约原则;
安全管理的制度化。
第三章动态风险分析
根据木桶原理,木桶所能容纳水的多少是由木桶壁中最短那块木头决定的,同样,一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的,往往解决最主要的安全问题可以使系统的安全性有很大提高。
动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被评估系统中的薄弱之处,评估发生此类问题造成的损失,提供最佳的解决方案,使用户清楚的知道被评估系统中面临的威胁是什麽,最主要的问题是什麽,避免在网络安全方面的盲目性,获得最佳的投资效费比。
如下图所示
定义问题的范围
定义企业的安全策略
进行风险评估
进行风险管理
要有什么信息及为什么?
把企业的信息资产重新估价
把问题的关切程度顺序排好
找出有什么威胁
弄清楚企业的网络配置
找出有那些漏洞
顺序选出要实施的保障措施
是否能接受所余下的风险
实施选定的安全保障措施
监控这些措施的有效性
重新衡量现有状况
继续保持现状
新的业务需求
不
3.1定义范围
动态安全风险分析的第一步就是要确定被保护系统的范围,即确定我们有什么资源、要保护什么资源,如:
l信息发布系统,WWW系统等。
l办公系统,如Email系统、总部及分部办公系统等。
其次是要定义用户对选定资源中各系统的关切顺序,不同系统遭受破坏后带来的损失是不一样的,如
交易系统中的交易服务器的重要程度应是最高的。
3.2威胁评估与分析
确定了风险管理范围后,在充分分析系统现状的基础上,一方面进一步分析可能存在的安全威胁,及其传播途径,另一方面通过对网络、系统等各个环节的脆弱性分析,验证这些威胁对系统的危害程度,找出主要安全问题。
3.2.1现状调查与分析
现状调查是风险管理的基础,根据用户的总体要求对用户环境和安全现状进行全面和细致的调查,可以准确理解用户安全需求。
下一步进行的威胁分析及脆弱性分析将针对用户环境中的网络系统、服务器系统、应用系统以及数据系统等展开安全分析工作,因此用户现状调查也必须针对这些方面进行。
用户现状调查的主要内容如下图所示。
用户现状调查
用户现状调查总结
硬件和网络系统调查
操作系统调查
应用系统调查
防火墙系统调查
数据库系统调查
用户其他安全现状
接口系统
发布系统
资讯系统
办公系统
最后生成用户现状调查总结是对用户现状调查过程的总结报告。
它总结性描述我公司对用户现状及用户系统安全性的大概印象。
包括以下内容:
l用户环境中各个设备及所含系统的大致情况,主要针对与安全漏洞有关的项目。
l用户对安全策略的要求。
l对用户系统安全性的初步分析。
3.2.2面临威胁种类
由于政府业是个开放化、社会化的行业,其信息系统由封闭式系统逐步转向开放式系统,势必存在着诸多不安全风险因素,主要包括:
Ø
系统错误
主要包括系统设计缺陷、系统配置管理问题等,如操作系统漏洞、用户名管理问题,弱身份认证机制等;
内部人员作案
个别政府职员利用自己掌握的内部系统或数据信息,从事非法挪用资金、破坏系统等活动;
黑客攻击
黑客主要利用分部工作站、电话、互联网等设备进行非法网络或查看、复制、修改数据,常见攻击手法有:
后门
由于设计、维护或者黑客的攻击而产生的计算机系统的一个安全漏洞,通过它一个隐藏的软件或硬件工具可以绕过安全系统的控制进行信息访问。
缓冲区溢出
大量的数据进入程序堆栈,导致返回地址被破坏,恶意准备的数据能够导致系统故障或者非授权访问的产生。
口令破解
通过工具对加密密码进行破解的方法,系统管理员也可用来评估系统用户密码的健壮性。
网络监听
通过监听网络上的数据包,来获取有关信息的行为,常见于以太网中。
黑客可以使用它捕获用户名和密码,同时也被网络管理人员用来发现网络故障。
欺骗
出于一种有预谋的动机,假装成IP网络上另一个人或另一台机器,以便进行非法访问。
常见的欺骗有以下几种:
DNS欺骗
冒充其他系统的DNS,提供虚假的IP地址和名字之间的解析。
路由欺骗
向其它路由器提供虚假的路由,导致网络不能正常访问或者信息的泄露。
IP劫持
未经授权的用户对经过授权的会话(TCP连接)的攻击行为,使该用户以一个已经通过授权的用户角色出现,完成非授权访问。
IP地址盗用
非法使用未分配给自己的IP地址进行的网络活动。
击键监视
记录用户的每一次击键和信息系统反馈给用户的每一个字符的活动。
跳跃式攻击
通过非法获得的未授权访问,从一个被攻击的主机上进行危及另一个主机安全的活动。
恶意邮件
一种针对开放系统的含有恶意数据的电子邮件,如果打开邮件,就会对系统产生破坏或导致信息的泄露。
逻辑炸弹
故意被包含在一个系统中的软件、硬件或固件中,看起来无害,当其被执行时,将引发未授权的收集、利用、篡改或破坏数据的行为,如特洛伊木马。
根工具包(Rootkit)
一种黑客工具集合,可以截获被入侵计算机上传送的信息、掩饰系统已被入侵的事实或提供后门等。
拒绝服务
一种通过网络来阻止一个信息系统的部分或全部功能正常工作的行为,常见的拒绝服务如下。
邮件炸弹
发送给单个系统或人的大量的电子邮件,阻塞或者破坏接收系统。
ICMP包泛滥攻击(IPSmurf)
攻击者利用伪造的源IP地址,频繁地向网络上的广播地址发送无用的ICMP数据包,造成网络上流量的增大,从而妨碍了正常的网络服务。
数据拥塞(Spam)
通过输入过分大的数据使得固定网站缓冲区溢出,从而破环程序。
或是,将一些无用的或不相关的信息灌入到某个人或某个新闻组的信箱内,使其数据溢出。
TCP连接拥塞(SYNFlood)
大量的TCPSYN数据包拥塞被攻击机器,导致无法建立新的连接。
蠕虫
能在因特网上进行自我复制和扩散的一种计算机程序,它极大地耗费网络资源,造成拒绝服务。
拨号服务查找器(WildDialer)
通过MODEM拨号,在电话网中搜寻能提供MODEM拨号服务的系统的工具。
网络扫描
一种通过发送网络信息,获得其它网络连接状态的行为。
病毒
将自身连接到可执行文件、驱动程序或文件模板上,从而感染目标主机或文件的可自我复制、自我传播的程序
3.2.3威胁产生途径
面对上述种种威胁,如果逐个分析每种威胁,就会陷入舍本逐末的工作中而无法自拔,对系统的安全建设没有实际指导意义,我们应将重点集中在可能发生的威胁及它将如何发生这两个问题上来。
先来分析威胁发生的途径,针对网络系统,其主要面对来自两方面的威胁:
来自周边系统的威胁
政府信息系统在由封闭式系统逐步转向开放式系统的过程中,与外界的接口也在不断增多,由原来只与总部接口逐渐扩大到与电信接口、银行接口、与Internet接口等,在带来业务上发展同时,也带来可能遭受攻击的途径,包括:
l来自公司其他部门的危险因素
l来自Internet的危险因素
即有多少接口就有多少威胁发生的途径。
来自内部的威胁
通过对网络已有犯罪案例的分析可以发现,内部犯罪一直以其严重的危害性与相对较高的成功机率给网络带来巨大损失,其威胁途径基本是:
来自本地网的内部威胁
指从本地一台主机通过内部网对本地另一台主机的攻击。
l来自本地系统的内部威胁
指直接对主机的非法行为,如侵袭者通过磁盘拷贝、电子邮件等盗窃主机上的机密数据。
3.2.4脆弱性分析
在分析了威胁发生的途径后,就需要验证可能发生的威胁在系统上是否存在在这些方面的薄弱环节,有可能使恶意行为通过这些方法得逞。
对系统的脆弱性评估应从以下三个角度进行:
l系统角度:
采用系统分析工具对选定系统的分析;
l内网角度:
采用漏洞扫描工具从内部网络进行扫描,采用渗透性测试,模拟已进入内网的非法行为进行安全性测试;
l外网角度:
从外部对系统进行扫描及渗透性测试,如从Internet发起测试。
3.3损失分析
风险事故造成的损失大小要从三个方面来衡量:
损失性质、损失范围和损失时间分布。
损失性质指损失是属于公司品牌性质的、经济性的还是技术性的。
损失范围包括:
严重程度、分布情况。
时间分布指损失的时间范围,即遭受损失后可以在多长的时间内恢复回来。
对于损失的严重程度,可以采用定量评估的方式进行财产估价,针对业务系统的财产估价,主要通过估算每日平均交易额、分部开户数、分部平均开户金额等几个方面估价。
3.4风险评价
上述工作是对各部分威胁逐一分析,而在风险评价阶段主要考虑单个风险综合起来的效果,及风险是否能被用户接受。
主要工作分三步:
i.确定风险评价基准。
指用户对每一种风险后果的可接受水平,单个风险和整体风险都要确定评价基准。
ii.确定整体风险水平,它是综合了所有个别风险后确定的。
iii.将单个风险与单个评价基准、整体风险水平与整体评价基准对比,确定风险是否在可接受范围内,进而确定下一步应该进行的工作。
由于威胁的程度很难用具体数字来表示,而为了尽可能明晰风险程度,我们采用下述风险评级的方式进行标识:
风险评级
风险级别
说明
极高
5
极有可能出问题
很高
4
很有可能出问题
高
3
有可能出问题
一般
2
不会出大问题
低
1
基本不会出问题
3.5建议方案
对于发现的风险,一般有三种策略去处理它,具体选择哪一种取决于面临的风险形势:
接受风险
评估后用户认为风险事件造成的损失在可容忍的范围之内,可以把风险事件的不利后果接受下来。
或有良好的组织管理及应急计划管理,当风险事件发生时可以马上执行应急计划。
降低风险
降低风险发生的可能性或减少后果造成的不利影响,具体要达到的目标及采用的措施要根据上述分析结果中发现的问题及用户的期望来定。
转移风险
即外包的方式,借用合同或协议,在风险事故发生时将损失一部分转移到第三方,一般在用户资源有限,不能实行降低风险策略时采用。
第四章网络安全策略
安全策略是整体安全策略应包含三个层面:
人、技术和行动。
4.1与人相关的安全策略
·
培训
针对具体岗位的知识需求开展基于角色的网络安全知识与技能培训。
培训的投资回报比极高(R.O.I=211:
1)。
(R.O.I=returnoninvestment,数据来源于2001年CSI会议论文)
意识培养
培养全体工作人员以及用户的安全意识与自我保护水平(R.O.I=872:
人事安全
定义工作岗位、合理分配资源,减少内部攻击事件发生的可能性。
物理安全
物理安全较早便已引起了人们的关注,但实践表明,信息时代,物理安全恰恰是信息系统安全中最容易被忽视然而却会造成巨大损失的环节。
安全管理
要加强网络和信息安全管理,包括规章制度和操作流程的制定、相关法律法规的普及以及安全组织结构的建立。
4.2与“技术”相关的安全策略
网络可用性的保护
在信息安全的三大属性(保密性、完整性、可用性)中,安全需求主要体现为可用性需求。
因此,在“技术”的层面上,首先要保证网络可用。
接入保护
接入访问用户是网络一个重要的业务,保障接入的安全性也是网络安全工作的重点。
行业标准的遵循
行业标准作为技术性法规,是网络安全日常操作和工程实施的依据,作为生产任务重、执行上级颁布的政府部门来说,更好地理解行业标准,并准确而有效地遵循,是非常重要的。
系统采购
系统采购对安全工作的成败影响很大,在许多方面直接影响安全工作。
认证与授权
认证与授权是实现网络行为可信、有序的基础,也是网络安全的前提。
因此,除要在用户接入时实施认证技术外,还应注意内部工作人员行为的授权以及与外界交流活动中的认证和授权。
4.3与“行动”相关的策略
防护
应根据资产风险级别进行等级防护,并确定安全策略的执行次序,有效地进行投资。
监控
加强安全监控,提高风险管理能力,掌握网络状态,将安全事故控制在初期或一定规模之下。
响应和恢复
逐步建立完善的应急响应体系,将安全事故的损失减小到最小。
在安全建设的初期,可以将大部分专业安全服务外包,但应逐步形成自己的应急响应力量。
第五章纵深防御体系
安全不论攻击和防守总体来说都是过程。
安全的成功与否关键在于我门对过程的把握。
在这个过程中我们的防御层数越多,对网络资源进行未授权访问的难度就越大。
这一战略通过提供冗余防御层来确保安全性,在某一层-或者在某些情况下多个层-被攻破时,冗余的防御层能够对资源进行保护。
5.1边界安全
边界:
我们保护的系统和外界接口部分。
在我们防护的范围的边界,是整个防护过程的开始。
也是我们要防护的第一个堑壕。
如何把守这个堑壕,
分为以下几个重点:
从可能接触到系统的几个途径来分析。
5.1.1边界接入网络设备安全(router,firewall)
关注对流入和流出一个边界的数据进行有效的控制和监视。
边界保护主要体现在对路由交换设备的保护以及防火墙系统的设置。
在边界保护中主要采用的技术可以通过路由器和交换机上的各种策略配置实现,对于路由器可以采用关闭各种不必要的服务和增加ACL的方式,对交换机采用配置虚拟局域网的方式。
如果考虑对边界点的深入防范的能力,还需要采用防火墙和入侵监测的辅助设备。
5.1.2边界主机设备
接入边界设备的途径:
身份认证。
5.1.3边界信息点的安全。
信息点的安全。
5.2平台安全
应用是搭建在平台上的,因此平台是我门要保护的的第二个堑壕。
平台总体上分网络,系统平台。
5.2.1网络平台的安全
安全网络环境建设原则:
1.对原由系统平滑改造,不对原系统造成影响。
2.采用不同等级的安全区域隔离方式。
3.对不同等级间的网络连接采用中间件(或防火墙)互联,并加入审计功能。
对接入网络和核心网络进行安全监视。
内部网,(vlan划分,router、switch设置,及其本身的安全)
5.2.2系统平台
保障各种应用服务和操作系统的可用性和安全性。
采用最小权限原则启动服务。
配置各类应用服务自身的安全属性,及时升级各类应用服务的安全补丁。
适当考虑负载均衡措施。
制定标准的各类操作系统安装与初始化配置流程
制定应用软件的安装、升级与卸载规范
按权限等级划分不同用户组,并严格控制目录及文件的权限
及时安装系统补丁和应用程序补丁
配置操作系统日志功能,并做好日志的统计分析和安全备份
制定服务器和网络设备的远程控制规范
1)windows系列,Novell系列,Linux系列
参照WindowsNT和Windows2000系统的标准安全配置方案。
参照Novell系统的标准安全配置方案
参照Linux系统的标准安全配置方案
2)sqlserver和orcale自身的安全
参照MsSQLserver,ORECAL数据库标准安全配置方案
5.2.3业务系统开发的安全
l业务开发安全规范
定制相应的软件开发项目管理制度如:
《软件阶段评审报告》
《软件测试记录单》
《软件变更记录单》
《软件产品升级意见单》
《应用业务上网操作规范》
安全的开发程序===培训
l业务开发的安全性测试
不论是外购软件还是自编软件,我们都要对其进行验收安全测试,采取的方法,业务应用完成后,搭建模拟环境,进行安全外围测试。
自编软件源代码级安全风险分析和安全测试
第六章安全管理保障体系
实践一再告诉人们仅有安全技术防范,而无严格的安全管理制度相配套,是难以保障系统安全的。
我们必须通过制订完善的安全管理制度并且利用最新的信息安全技术对整个网络系统进行安全管理。
安全保障管理系统
安全管理内容
1.静态
n硬环境
u人员:
教育和培训、安全保密协议
u机房:
出入登记、隔离、etc
u设备:
进货检验、运行维护、报废清理
uetc
n软环境
u操作系统、数据库、应用软件的配置
u开发测试
2.动态
n运行
n备份、恢复、审计
n防病毒、漏洞扫描
n应急响应
netc
组织机构支撑
1.安全总监(CSO)
2.信息安全部
3.安全专员
体系运行监督
1.每月检查
2.季度审核
3.年度会议
体系更新维护
1.内容
2.形式
本管理体系将分为三层结构:
安全手册(框架)、运作程序文件(包括作业指导书)、操作表单(记录)。
下层文件直接支撑上层文件。
纲要
程序、作业规范
表单
网络小组组长a
病毒防护人员
IP和机房管理
入侵检测人员
FW管理人员
系统小组组长b
漏洞弥补人员
服务开关管理
系统运行管理
设备进出网络
开发小组组长c
分析设计文档
编码测试联调
应用部署维护
安全设计文档
安全总监(CSO)
经理一人:
与副经理制定策略;
协调本部门的工作;
协调各职能部门的工作
副经理二人:
审计检查
实施策略
安全专员X人:
网络小组二人,组长a;
系统小组二人,组长b;
开发小组二人,组长c;
职能部门安全专员X人:
每个职能部门一人,如总裁办、财务部、投资银行等各有一人。
职责:
1、在本部门推行、检察安全策略和制度的执行;
2、本部门征求并反映本部门建议和意见;
3、给出本部门每个员工的安全分数作为奖惩依据。
6.1安全管理组织架构
在网络总部设立安全管理专职机构―――安全管理部(组),设置安全管理专门负责人―――安全总监,以负责对公司安全进行统一管理(当然也包括网上交易的安全管理)。
在全国各个分部的电脑部设立安全专员,受安全管理部垂直领导,负责分部日常安全管理工作,负责保持与总部的联系。
安全管理部具有以下职能:
安全资源管理
对各种软硬件安全资源(包括人员)统一管理,包括购置、登录、保管(包括异地备份)、标识、分类、分级等。
安全监察评估
不定期/定期(月末)督查、测试和评估公司安全状况(技术和管理两方面),发现问题予以解决。
安全事件响应
对公司发生的各种安全事件迅速响应,抢修恢复,调查事故原因,划分责任,撰写事故调查分析报告,采取纠正和预防措施,收集证据,为处罚或起诉提供客观依据。
安全管理体系维护
对公司安全管理体系的动态变更进行操作和管理。
安全设施维修
对公司安全设施(主要是通讯线路、