CISP2018_信息安全评估_V4.1

安全评估讲师姓名机构名称版本：4.1课程内容2信息安全评估知识域知识子域安全评估基础信息系统审计安全评估实施知识子域：安全评估基础安全评估概念了解安全评估的定义、价值、风险评估工作内容及安全评估工具类型；了解安全评估标准的发展；3安全评估基本概念什么是安全评估也称风险评估，是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程对安全评估的理解狭义广义4风险评估是确定安全需求的重要途径！安全评估工作内容确定保护的对象（保护资产）是什么？它们直接和间接价值？资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？资产中存在哪里弱点可能会被威胁所利用？利用的容易程序又如何？一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序。5安全评估的价值安全建设的起点和基础信息安全建设和管理的科学方法倡导适度安全保护网络空间安全的核心要素和重要手段6风险评估工具风险评估与管理工具一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经验，对输入输出进行模型分析系统基础平台风险评估工具主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击风险评估辅助工具实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据7知识子域：安全评估基础安全评估标准了解TCSEC基本目标和要求、分级等概念；了解ITSEC标准的适用范围、功能准则和评估准则的级别；了解ISO15408标准的适用范围、作用和使用中的局限性；了解GB/T18336结构、作用及评估的过程；理解评估对象（TOE）、保护轮廓（PP）、安全目标（ST）、评估保证级（EAL）等关键概念；了解信息安全等级测评的作用和过程。8安全评估标准9TCSEC（可信计算机系统评估标准）美国政府国防部（DoD）标准，为评估计算机系统内置的计算机安全功能的有效性设定了基本要求国家安全局的国家计算机安全中心（NCSC）于1983年发布，1985年更新，作为国防部彩虹系列出版物的核心，TCSEC经常被称为橙皮书。TCSEC已被2005年最初公布的国际标准《通用准则（CC）》所取代。10TCSEC（可信计算机系统评估标准）基本目标和要求策略问责保证文档分级D-最小保护C-选择保护（C1、C2）B-强制保护（B1、B2、B3）A-验证保护（A1）11TCSECD最小保护C自主保护C1--自主安全保护C2--受控访问保护B强制保护B1--标签安全B2--结构化保护B3--安全域A验证保护A1--验证设计ITSEC（信息技术安全评估标准）以超越TCSEC为目的，将安全概念分为功能与功能评估两部分功能准则：在测定上分F1-F10共10级1－5级对应于TCSEC的D到A6－10级加上了以下概念：•F6：数据和程序的完整性F7：系统可用性•F8：数据通信完整性F9：数据通信保密性•F10：包括机密性和完整性的网络安全评估准则：分为6级：•E1：测试E2：配置控制和可控的分配•E3：能访问详细设计和源码E4：详细的脆弱性分析•E5：设计与源码明显对应E6：设计与源码在形式上一致。12FC（联邦（最低安全要求）评估准则）美国信息技术安全联邦准则(FC)1992年12月公布，是对TCSEC的升级引入了“保护轮廓（PP）”这一重要概念保护轮廓包括功能部分开发保证部分测评部分分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点供美国政府用，民用和商用。13CC(信息技术安全评估通用标准)目前最全面的信息技术安全评估准则主要思想和框架取自ITSEC和FC，充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分CC强调将安全的功能与保障分离，并将功能需求分为九类63族，将保障分为七类29族。14国际标准组织于1999年批准CC标准以“ISO/IEC15408-1999”编号正式列入国际标准系列！CC(信息技术安全评估通用准则)我国在2008年等同采用《ISO/IEC15408：2005信息技术-安全技术-信息技术安全评估标准》形成的国家标准，标准编号为GB/T18336结构GB/T18336.1-2008简介和一般模型•定义了IT安全评估的一般概念和原理，并提出了评估的一般模型GB/T18336.2-2008安全功能要求•建立一系列功能组件作为表达TOE功能要求的标准方法GB/T18336.3-2008安全保证要求•建立一系列保证组件作为表达TOE保证要求的标准方法15GB/T18336（CC）的目标读者TOE（评估对象）的客户CC从写作安排上确保评估满足用户的需求，因为这是评估过程的根本目的和理由。TOE的开发者为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全需求方面提供支持。TOE的评估者CC包含评估者判定TOE与其安全需求一致时所使用的准则。16CC的关键概念17评估对象（TargetofEvaluation，TOE）作为评估主体（产品、系统、子系统等）的IT产品及系统以及相关的指导性文档。保护轮廓（PP）满足特定用户需求的、一类TOE的、一组与实现无关的安全要求。安全目标（SecurityTarget，ST）作为指定的TOE评估基础的一组安全要求和规范。CC的关键概念功能规范IT产品和系统的安全行为，应做的事。结构:类、族、组件保证实体达到其安全性目的的信任基础，是对功能产生信心的方法包为满足一组确定的安全目的而组合在一起的，一组可重用的功能或保证组件18评估保证级别（EAL）19评估流程20CC的意义CC的意义通过评估有助于增强用户对于IT产品的安全信心促进IT产品和系统的安全性消除重复的评估优势国际标准化组织统一现有多种准则的努力结果；已有安全准则的总结和兼容，是目前最全面的评价准则；通用的表达方式，便于理解灵活的架构，可以定义自己的要求扩展CC要求CC的局限性CC标准采用半形式化语言，比较难以理解；CC不包括那些与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则，即该标准并不关注于组织、人员、环境、设备、网络等方面的具体的安全措施；CC重点关注人为的威胁，对于其他威胁源并没有考虑；并不针对IT安全性的物理方面的评估（如电磁干扰）；CC并不涉及评估方法学；CC不包括密码算法固有质量的评估。22信息系统安全等级保护测评信息系统安全等级测评重要性检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程落实信息安全等级保护制度的重要环节等级测评过程测评准备活动方案编制活动现场测评活动分析与报告编制活动23知识子域：安全评估实施风险评估相关要素理解资产、威胁、脆弱性、安全风险、安全措施、残余风险等风险评估相关要素及相互关系。风险评估途径与方法了解基线评估等风险评估途径及自评估、检查评估等风险评估方法并掌握定量分析中量化风险的方法。24风险评估相关要素-资产构成风险评估的资产是建立对组织具有价值的信息或资源，是安全策略保护的对象。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。25风险评估相关要素-威胁可能导致对系统或组织危害的不希望事故潜在起因。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。引起风险的外因造成威胁的因素人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。26风险评估相关要素-脆弱性可能被威胁所利用的资产或若干资产的薄弱环节。脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。威胁总是要利用资产的脆弱性才可能造成危害。27风险评估相关要素-信息安全风险、安全措施信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险只考虑那些对组织有负面影响的事件安全措施保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。残余风险采取了安全措施后，信息系统仍然可能存在的风险28风险评估要素之间关系29风险评估途径与方式风险评估途径基线评估详细评估组合评估风险评估方式自评估与检查评估自评估为主，自评估和检查评估相互结合、互为补充自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持30风险评估的常用方法基于知识分析基于模型分析定量分析定性分析31风险评估常用方法-定量分析基本概念暴露因子（ExposureFactor,EF）:特定威胁对特定资产靠损失的百分比，或者说损失的程度。单一预期损失（singleLossExpectancy,SLE）:也称作SOC（SingleOccurrenceCosts）,即特定威胁可能造成的潜在损失总量年度预期损失（AnnualizedLossExpectancy,ALE）：或者称作EAC（EstimatedAnnualCost），表示特定资产在一年内遭受损失的预期值32风险评估常用方法-定量分析概念的关系首先，识别资产并为资产赋值通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%~100%之间）计算特定威胁发生的频率，即ARO计算资产的SLE；计算资产的ALE；定量风险分析的一种方法就是计算年度损失预期值（ALE）。计算公式如下：年度损失预期值（ALE）=SLEx年度发生率（ARO）单次损失预期值（SLE）=暴露因素（EF）x资产价值（AV）33风险评估常用方法-定量分析定量评估计算案例计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。假设：•组织在3年前计算机机房资产价值100万，当年曾经发生过一次火灾导致损失10万；•组织目前计算机机房资产价值为1000万；•经过和当地消防部门沟通以及组织历史安全事件记录发现，组织所在地及周边在5年来发生过3次火灾；•该组织额定的财务投资收益比是30%由上述条件可计算风险组织的年度预期损失及ROSI，为组织提供一个良好的风险管理财务清单34风险评估常用方法-定量分析根据历史数据获得EF：10万÷100万×100%=10%根据EF计算目前组织的SLE1000万×10%=100万根据历史数据中ARO计算ALE100万×（3÷5）=60万此时获得年度预期损失值，组织需根据该损失衡量风险可接受度，如果风险不可接受则需进一步计算风险的处置成本及安全收益；ROSI=(实施控制前的ALE）–（实施控制后的ALE）–（年控制成本）组织定义安全目标，假如组织希望火灾发生后对组织的损失降低70%，则，实施控制后的ALE应为：60万×（1-70%）=18万年控制成本=（60-18）×30%=12.6万则：ROSI=60-18-12.8=29.4万至此，组织通过年投入12.6万获得每年29.4万的安全投资收益35风险评估常用方法-定量分析案例假设1：•某人在某城市可能遭受陨石袭击，一旦被陨石击中可能导致身亡，根据当地天文数据，该城市100年内为曾遭受过陨石袭击，通过风险评估矩阵可以获得如下结果假设2：•某人在某城市可能在马路上被电动车碰撞导致受伤，根据当地交通机构统计，平均每100人就有一人曾经被电动车擦伤，通过风险评估矩阵可以获得如下结果36可能性影响可忽略1较小2中等3较大4灾难性55，几乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S