信息安全风险评估实例•本章概要:之前介绍了信息安全风险评估的基本过程,本章以某信息系统为例详细介绍信息安全风险评估的实施过程。依据GB/T20984—2007《信息安全技术信息安全风险评估规范》和信息安全风险评估的基本过程,将信息安全风险评估的实施过程分为评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、分析可能性和影响、风险计算、风险处理、编写信息安全风险评估报告等阶段。本章目录1评估准备2识别并评价资产3识别并评估威胁4识别并评估脆弱性5分析可能性和影响6风险计算7风险处理8编写信息安全风险评估报告上机实验1评估准备依据GB/T20984—2007《信息安全技术信息安全风险评估规范》,在风险评估实施前,应确定风险评估的目标,确定评估范围,组建评估管理与实施团队,进行系统调研,确定评估依据和方法,制定评估方案,获得最高管理者的支持。1.1确定信息安全风险评估的目标××信息系统风险评估目标是通过风险评估,分析信息系统的安全状况,全面了解和掌握信息系统面临的安全风险,评估信息系统的风险,提出风险控制建议,为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料。8.1.2确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员,以及由系统使用时所产生的文档、数据。8.1.3组建适当的评估管理与实施团队组建由该单位领导、风险评估专家、技术专家,以及各管理层、业务部门的相关人员组成风险评估小组,同时明确规定每个成员的任务分工。8.1.4进行系统调研通过问卷调查、人员访谈、现场考察、核查表等形式,对信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》,调查了系统的管理、设备、人员管理的情况,现场考察、核查表的方式考察了设备的具体位置,核查了设备的实际配置等情况,得出有关信息系统的描述。8.1.4.1业务目标和业务特性1.业务目标××信息系统主要负责数据的收集、技术处理以及预测分析,为相关部门提供决策和管理支持,向社会提供公益服务。2.业务特性通过对信息系统的业务目标的分析,归纳出以下业务特性:⑴业务种类多,技术型工作与管理型工作并重;⑵业务不可中断性低;⑶业务保密性要求低;⑷业务基本不涉及现金流动;⑸人员业务素质要求高。8.1.4.2管理特性现有的规章制度原则性要求较多,可操作性较低,在信息安全管理方面偏重于技术。8.1.4.3网络特性××信息系统的网络拓扑结构图如图8-1所示。1UUPSChampin(20KW)服务器区空调InternetPCPC防火墙3Secgate3600-F3交换机3CISCO2950专网交换机2CISCO3745内部网络网络管理交换机1CATALYST4000防火墙1SuperV-5318路由器-1CISCO3640路由器-2华为NE40防火墙2UTM-418DPC-1PC-2数据服务器HPDL380应用程序服务器HPDL380防病毒服务器MACFEE图8-1网络拓扑结构图8.1.5评估依据评估所遵循的依据如下:1.《信息安全技术信息安全风险评估规范》(GB/T20984-2007)2.《信息技术信息技术安全管理指南》(GB/T19715-2005)3.《信息技术信息安全管理实用规则》(GB/T19716-2005)2.《信息安全等级保护管理办法》(公通字[2007]43号)3.《信息安全技术信息系统安全管理要求》(GB/T20269-2006)8.1.6信息安全风险评估项目实施方案8.1.6.1项目组织机构项目实施的组织机构如下:项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果;项目实施完毕之后,领导小组将根据整个项目的成果情况,批准并主持项目试点总结工作。项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划,并监督项目进展情况;主持阶段成果汇报会议;做好协调工作,保证项目的顺利执行。项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划,根据实施计划开展工作。质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、指导和咨询。8.1.6.2项目阶段划分本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段,各阶段工作定义说明如下:项目准备:项目实施前期工作,包括成立项目组,确定评估范围,制定项目实施计划,收集整理开发各种评估工具等。工作方式:研讨会。工作成果:《项目组成员信息表》、《评估范围说明》、《评估实施计划》。现状调研:通过访谈调查,收集评估对象信息。工作方式:访谈、问卷调查。工作成果:《各种系统资料记录表单》。检查与测试:手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式:访谈、问卷调查、测试、研讨会。工作成果:《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。ID任务名称开始时间完成时间持续时间2007年5月2007年6月5-65-135-205-276-36-106-176-241项目准备5-85-1710d2现状调研5-185-2711d3检查与测试5-286-812d4分析评估6-96-179d5编制评估报告6-186-2811d分析评估:根据相关标准或实践经验确定安全风险,并给出整改措施。工作方式:访谈、研讨会。工作成果:《安全风险分析说明》。编制评估报告:完成最终评估报告。工作方式:研讨会。工作成果:《信息系统综合评估报告》。表8-1××信息系统风险评估实施进度表8.1.7获得最高管理者对信息安全风险评估工作的支持上述所有内容得到了相关管理者的批准,并对管理层和员工进行了传达。8.2识别并评价资产依据GB/T20984—2007《信息安全技术信息安全风险评估规范》和第7章信息安全风险评估的基本过程,对资产进行分类并按照资产的保密性、完整性和可用性进行赋值。8.2.1识别资产根据对××信息系统的调查分析,并结合业务特点和系统的安全要求,确定了系统需要保护的资产,见表8-2。资产编号资产名称型号A-01路由器-1CISCO3640A-02路由器-2华为NE40A-03交换机-1CATALYST4000A-04交换机-2CISCO3745A-05交换机-3CISCO2950A-06防火墙-1联想网域SuperV-5318A-07防火墙-2联想网域UTM-418DA-08防火墙-3网神Secgate3600-F3A-09防病毒服务器MACFEEA-10数据服务器HPDL380A-11应用服务器HPDL380A-12PC-1HPX8620A-13PC-2HPX8620A-14UPSChampin(20KW)A-15空调美的表8-2信息系统资产列表8.2.2资产赋值对识别的信息资产,按照资产的不同安全属性,即保密性、完整性和可用性的重要性和保护要求,分别对资产的CIA三性予以赋值,见表8-3,这里采用五个等级。资产编号资产名称型号保密性完整性可用性A-01路由器-1CISCO3640000A-02路由器-2华为NE40132A-03交换机-1CATALYST4000133A-04交换机-2CISCO3745133A-05交换机-3CISCO2950244A-06防火墙-1联想网域SuperV-5318134A-07防火墙-2联想网域UTM-418D124A-08防火墙-3网神Secgate3600-F3124A-09防病毒服务器MACFEE134A-11数据服务器HPDL380244A-12应用服务器HPDL380244A-14PC-1HPX8620144A-15PC-2HPX8620144A-16UPSChampin(20KW)145A-18空调美的124表8-3资产CIA三性等级表8.2.3资产价值根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。资产价值如表8-4所示。资产编号资产名称安全属性赋值权值资产价值保密性完整性可用性保密性完整性可用性A-01路由器-11110.10.50.41.0A-02路由器-21320.10.50.42.4A-03交换机-11330.10.30.62.8A-04交换机-21330.10.30.62.8A-05交换机-32440.10.30.63.8A-06防火墙-11340.10.20.73.5A-07防火墙-21240.10.40.52.9A-08防火墙-31240.10.40.52.9A-09防病毒服务器1340.10.30.63.4A-10数据服务器2440.10.40.53.8A-11应用服务器2440.10.40.53.8A-12PC-11440.10.40.53.7A-13PC-21440.10.40.53.7A-14UPS1450.10.30.64.3A-15空调1240.00.50.53.0表8-4资产价值表8.3识别并评估威胁在本次评估中,首先收集系统所面临的威胁,然后对威胁的来源和行为进行分析。威胁的收集主要是通过问卷调查、人员访谈、现场考察、查看系统工作日志以及安全事件报告或记录等方式进行,同时使用绿盟1200D-02,收集整个系统所发生的入侵检测记录。表8-5是本次评估分析得到的威胁列表。威胁编号威胁类别描述T-01硬件故障由于设备硬件故障导致对业务高效稳定运行的影响。T-02未授权访问因系统或网络访问控制不当引起的非授权访问。T-03漏洞利用利用操作系统本身的漏洞导致的威胁。T-04操作失误或维护错误由于应该执行而没有执行相应的操作,或非故意地执行了错误的操作,对系统造成影响。T-05木马后门攻击木马后门攻击T-06恶意代码和病毒具有复制、自我传播能力,对信息系统构成破坏的程序代码。T-07原发抵赖不承认收到的信息和所作的操作。T-08权限滥用滥用自己的职权,做出泄露或破坏。T-09泄密通过窃听、恶意攻击的手段获得系统秘密信息。T-10数据篡改通过恶意攻击非授权修改信息,破坏信息的完整性。表8-5××信息系统面临的威胁列表8.4识别并评估脆弱性从技术和管理两方面对本项目的脆弱性进行评估。技术脆弱性主要是通过使用极光远程安全评估系统进行系统扫描。按照脆弱性工具使用计划,使用扫描工具对主机等设备进行扫描,查找主机的系统漏洞、数据库漏洞、共享资源以及帐户使用等安全问题。在进行工具扫描之后,结合威胁分析的内容,根据得出的原始记录,进行整体分析。按照各种管理调查表的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理脆弱性。表8-6技术脆弱性评估结果资产名称脆弱性ID脆弱性名称脆弱性描述路由器-1VULN-01Cisco未设置密码Cisco路由器未设置密码,将允许攻击者获得网络的更多信息VULN-02CISCOIOS界面被IPv4数据包阻塞通过发送不规则IPv4数据包可以阻塞远程路由器。路由器-2VULN-03没有制定访问控制策略没有制定访问控制策略VULN-04安装与维护缺乏管理安装与维护缺乏管理交换机-1VULN-05日志及管理功能未启用日志及管理功能未启用交换机-2VULN-06CSCdz39284当发送畸形的SIP数据包时,可导致远程的IOS瘫痪VULN-07CSCdw33027当发送畸形的SSH数据包时,可导致远程的IOS瘫痪交换机-3VULN-08CSCds04747Cisco的IOS软件有一个漏洞,允许获得TCP的初始序列号VULN-09没有配备ServicePasswordEncryption服务没有配备ServicePasswordEncryption服务防火墙-1V