信息安全的风险评估ppt

3Sept.2008©NeusoftConfidentialCopyright2008ByNeusoftGroup.Allrightsreserved信息安全的风险评估曹鹏caopeng@neusoft.com东软解决方案部部长沈阳东软软件股份有限公司3Sept.2008Confidential提纲1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做4、风险评估什么时候做3Sept.2008©NeusoftConfidential信息安全管理核心内容---风险管理3Sept.2008Confidential国际和国内信息安全标准和法规BS7799/ISO17799SSE-CMM英國國家標準協會,資訊安全管理機制系统安全工程能力成熟度模型,信息技术安全技术信息技术安全性评估准则ISO13335我国GB安全标准GB17859-1999计算机信息系统安全保护等级划分准则我国安全法规中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法ISO13335-1:IT安全管理概念和模块ISO13335-2:管理和制定IT安全ISO13335-3:IT安全管理方法安全体系结构3Sept.2008Confidential所有者攻击者对策漏洞风险威胁资产ISO/IEC15408-1安全概念和关系模型3Sept.2008Confidential典型信息安全管理标准BS7799/ISO17799信息安全管理纲要PartI:Codeofpracticeforinformationsecuritymanagement信息安全管理认证体系PartII:Specificationforinformationsecuritymanagement3Sept.2008Confidential信息安全管理纲要CodeofpracticeforinformationsecuritymanagementBS7799/ISO17799信息安全政策安全组织资产分类及控制人员安全物理及环境安全计算机及系统管理系统访问控制系统开发与维护业务连续性规划法规和策略符合性3Sept.2008ConfidentialISO17799信息安全管理系统安全组织资产分类及控制人员安全物理及环境安全计算机及系统管理系统访问控制系统开发与维护业务连续性规划风险评估和风险管理安全法规安全策略3Sept.2008Confidential风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足ISO13335以风险为核心的安全模型3Sept.2008Confidential3Sept.2008Confidential业务需求威胁及风险分析国家,行业,安全相关的法律法规业务系统安全策略个人安全策略安全技术标准化策略管理策略风险评估与安全登记划分计算机系统与网络安全策略物理安全与环境保护策略管理安全规范教育与培训策略标识,认证策略信息保密与完整性策略授权与访问控制策略抗抵赖策略安全审计策略入侵监测策略病毒防范策略响应与恢复策略容错与备份用户角色,级别用户账号及认证方式防火墙访问控制链表…...局部可执行安全策略全局自动安全策略组织安全策略3Sept.2008Confidential国家政策背景2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估……3Sept.2008Confidential1、什么是风险评估信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办[2006]5号文件）。3Sept.2008Confidential信息安全体系的建立，不是仅仅依靠几种安全设备的简单堆砌，或者一两个人技术人员就能够实现的，还要涉及管理制度、人员素质和意识、操作流程和规范、组织结构的健全性等众多因素。所以，一套良好的信息安全体系需要综合运用“人＋技术/产品＋管理＋维护”，从而才能真正建立起一套完备的、高保障的信息安全体系。我们需要的是一套高保障的安全体系3Sept.2008Confidential主要执行标准国信办[2006]5号文件：信息安全风险评估指南信息系统安全等级保护测评准则辅助参考标准GB18336（ISO15408）：信息技术安全性评估准则BS7799：信息安全管理体系指南3、风险评估怎么做东软具有自己特色的评估实施方法3Sept.2008Confidential风险评估考查的对象3Sept.2008Confidential风险评估实施流程1.先期准备2.要素分析3.风险分析4.生成报告风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定和实施风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档..................否否是是风险分析风险评估文件记录3Sept.2008Confidential实施步骤(1)风险评估的准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施的确认(6)风险分析(7)风险评估文件记录3Sept.2008Confidential(1)风险评估的准备1）确定风险评估的目标；2）确定风险评估的范围；3）组建适当的评估管理与实施团队；4）进行系统调研；5）确定评估依据和方法；6）获得最高管理者对风险评估工作的支持。3Sept.2008Confidential实施步骤(1)风险评估的准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施的确认(6)风险分析(7)风险评估文件记录3Sept.2008Confidential(2)信息资产识别对于任何企业和机构来说，信息资产和其它固定资产一样都承载着重要的价值，因而也同样需要得到足够的保护。3Sept.2008Confidential信息资产分类3Sept.2008Confidential资产等级等级标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计3Sept.2008Confidential实施步骤(1)风险评估的准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施的确认(6)风险分析(7)风险评估文件记录3Sept.2008Confidential(3)威胁识别威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。或者也可以理解成是可能对资产造成影响的危害；（不单单只是黑客攻击，还包括自然灾害、员工的违规操作等等）3Sept.2008Confidential威胁分类威胁种类威胁描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为黑客攻击技术利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃泄密机密泄漏，机密信息泄漏给他人篡改非法修改信息，破坏信息的完整性抵赖不承认收到的信息和所作的操作和交易3Sept.2008Confidential威胁等级等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过3中出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生3Sept.2008Confidential主要技术手段量化威胁的工作方法•部署入侵检测系统在网络中工作然后分析其数据。•分析系统中的各种日志记录文件，在日志中发现安全攻击的痕迹。•根据过去一年时间中组织内部遭受实际安全威胁的程度分析结果。•我们可以通过例子：某重要政府站点的WEB日志分析来看威胁分析、某电力公司内部网络在评估出发现攻击者遗留文件。3Sept.2008Confidential实施步骤(1)风险评估的准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施的确认(6)风险分析(7)风险评估文件记录3Sept.2008Confidential(4)脆弱性识别脆弱性也称弱点，或者俗称漏洞，也就是具体存在的问题。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能被威胁利用从而造成资产损失。漏洞不单单只是系统或软件上存在的bug，任何管理上的疏忽都是一种漏洞。3Sept.2008Confidential弱点分类弱点分类名称包含内容技术弱点物理安全物理设备的访问控制，电力供应等网络安全基础网络架构，网络传输加密，访问控制，网络设备安全漏洞，设备配置安全等系统安全系统软件安全漏洞，系统软件配置安全等应用安全应用软件安全漏洞，软件安全功能，数据防护等管理弱点安全管理安全策略、组织安全、资产分类与控制、人员安全、物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性3Sept.2008Confidential脆弱性等级等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略3Sept.2008Confidential安全评估技术手段介绍•弱点漏洞扫描软件•口令强壮性分析方法•专家经验分析方法•站点脚本程序•网络设备运行健康状况分析（寻找网络性能瓶颈点）•渗透测试方法•重要服务器抗攻击压力测试3Sept.2008Confidential不同层面的问题主要表现•物理层：强弱电走线合理、UPS设备到位、电磁干扰、设备摆放位置合理等•网络层：网络设备的配置不严谨，WEB管理接口、SNMP认证字简单（可以画出网络拓扑结构、接管网络设备更改配置文件通过TFTP服务）、口令不强壮和单一性、IOS版本过于陈旧等•系统层：普遍存在系统补丁程序安装缺失、开放过多无用端口服务、安装跟工作无关软件（QQ、BT、电骡等）、登陆口令过于简单、没有统一的安全防护和管理软件支持、•从整体信息安全的层面来看物理安全、网络安全、系统安全已经储备了充分的安全相关知识和工具，未来关注焦点主要是应用安全与管理安全。3Sept.2008Confidential网络设备WEB接口越权管理问题3Sept.2008Confidential服务可以发现业务应用系统的深层隐患•安全评估与咨询规划服务我们在系统安全、网络安全、管理安全等环节做了很多有成效的工作，但是对于