搜索
绿盟科技风险评估案例摘要:本文档简要介绍了绿盟科技风险评估的一个案例,描述了绿盟科技为客户进行风险评估过程中遵循的流程和工作方法。一、风险评估的定义信息系统的安全风险,是由人为的、自然的威胁利用系统脆弱性所造成安全事件的可能性及其可能造成的影响组成。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。二、风险评估的目的风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。风险评估是一个组织机构实现信息系统安全的重要步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过风险评估,可以清楚地了解业务信息系统包含的重要资产、面临的主要威胁及本身的弱点;评估哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;搞清楚通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;计算安全方案需要多少技术和费用的消耗;还要更进一步分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险。风险评估为后期进一步安全防护措施的实施提供了严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。三、客户背景介绍XX公司拥有大型的信息网络核心业务系统,这些关键业务系统使得XX公司为客户长期提供优质服务。由于网络安全的动态性特点,通过专业、持续的安全服务来解决应用系统日常运行维护中的安全问题,改善企业的信息安全状态,成为降低安全风险、提高网络系统安全水平的一个重要手段。为了及时、准确的掌握信息系统的安全现状,绿盟科技对XX公司信息系统进行全面的风险评估,以便对存在的风险进行有效的管理,并提出相应的系统安全方案。四、风险评估的工作流程1.第一阶段为确定风险评估范围阶段。调查并了解客户信息系统业务流程和运行环境,确定风险评估范围的边界以及范围内的所有信息系统,明确如下内容:评估的业务或应用信息资产(如硬件、软件、数据)人员环境(如建筑、设备位置)活动(如对资产进行的操作、相关的权限等)IP地址信息(如IP范围、网段信息等)此阶段成果为《XX公司信息系统风险评估资产列表》。2.第二阶段为资产的识别与估价阶段。对风险评估范围内的所有资产进行识别,并调查资产可用性、完整性和保密性被破坏后,可能造成的影响,并根据影响的大小为资产进行相对赋值。将资产的权值分为0-4五个级别,由低到高代表资产的重要等级。资产估价是一个主观的过程,考虑资产对于组织的商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。此阶段成果为《XX公司信息系统风险评估资产价值列表》。3.第三阶段为安全威胁评估阶段。即评估资产所面临的每种威胁发生的严重性和可能性,并计算威胁值。严重性和可能性,两者取值均为相对等级0-4,4为最严重或最可能。此阶段成果为《XX公司信息系统威胁严重性评估结果》、《XX公司信息系统威胁可能性评估结果》。4.第四阶段是脆弱性评估阶段。包括从技术、管理、策略方面进行的脆弱程度检查,最终综合计算脆弱性值。在资产脆弱性调查中,首先进行管理脆弱性问卷的调查,发现整个系统在管理方面的弱点,然后对评估的所有主机和网络设备进行工具扫描和手动检查,对各资产的系统漏洞和安全策略缺陷进行调查。最后对收集到的各资产的管理和技术脆弱性数据进行综合分析,根据每种脆弱性所应考虑的因素是否符合,确定每种资产可能被威胁利用的脆弱性的权值。参照国际通行作法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。此阶段成果为《XX公司信息系统脆弱性评估结果》,包含《XX公司信息系统工具扫描报告》、《XX公司信息系统手工检查报告》、《XX公司信息系统渗透测试报告》等。5.第五阶段为风险的分析阶段。即通过分析上述阶段所获得的数据,进行风险值计算,区分、确认高风险因素。此阶段成果为《XX公司信息系统风险评估结果》、《XX公司信息系统安全现状分析》。6.第六阶段是风险的管理阶段。这一阶段主要根据风险分析的结果,制定相关风险控制策略,实施风险控制措施。风险评估的结果就是为风险管理提供依据,因此在风险管理阶段要明确风险的处理方式(避免、降低、接受、转移),并且采取什么样的技术和管理措施来对风险进行处理,如何把安全措施与风险等级进行联系。此阶段成果为《XX公司信息系统风险安全方案建议》。五、风险评估过程中使用的一些方法1.安全工具扫描在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞。2.人工安全检查系统扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等方面进行漏洞的扫描。但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。信息系统人工安全性评估应主要考虑以下几个方面:是否最优的划分了VLAN和不同的网段,保证了每个用户的最小权限原则。内外网之间、重要的网段之间是否进行了必要的隔离措施。路由器、交换机、主机等设备的配置是否最优,是否配置了安全参数。安全设备的接入方式是否正确,是否最大化的利用了其安全功能而又占系统资源最小,是否影响业务和系统的正常运行。3.渗透测试渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。在测试过程中,用户可以选择渗透测试的强度,例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患。4.安全审计安全管理机制定义了如何管理和维护网络的安全保护机制,确保这些安全保护机制正常且正确地发挥其应有的作用。绿盟科技评估遵循ISO17799信息安全管理标准的要求,通过问卷调查和顾问访谈等方式对信息系统的安全管理状况进行调查,并进一步与国际信息安全管理标准进行差距分析。5.安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等全面、详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回答整个网络中与安全相关的所有问题,例如,如何在网络层实现安全性?如何控制远程用户访问的安全性、在广域网上的数据传输实现安全加密传输和用户的认证,等等。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对整个网络的一份完整的安全策略。策略一旦制订,应当作为整个网络安全行为的准则。这一步工作,就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估,它也包含了技术和管理方面的内容,具体包括:安全策略是否全面覆盖了整体网络在各方面的安全性描述。在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效。安全策略中的每一项内容是否都得到确认和具体落实。安全方案设计:技术手段是解决安全问题的一个重要组成部分,应当从组织的行业特点、业务流程出发,以安全现状为基础,充分考虑安全需求,在安全方案设计时应考虑到如下几个原则:安全可靠性使用的安全产品能够稳定可靠的运行。技术先进性采用的安全技术必须有足够的先进性,非过时技术。技术成熟性必须是经过实际应用、实践检验的安全技术和产品。可管理性安全产品应该易于管理,非专业安全技术人员也能在指导下使用。可扩展性在系统升级或扩容时,能保持一定的扩充性能。良好的性价比良好的性价比可以在一定程度上避免盲目、无效的投资。满足国家相关法律法规和国家标准安全产品必须是经过认证和认可的。在安全建设中,应从多方位考虑、实施防护措施以建造整体安全防护体系,这些层面包括(但不仅仅局限于):物理安全、网络架构安全、网络边界安全、操作系统安全、应用服务安全、传输安全等。值得注意的是仅仅依靠技术手段是不够的,还要与企业、组织的管理体系相结合,才能积极主动的最大程度的减少企业、组织面临的风险,将风险降低到可以接受的程度。1.物理安全1)机房在防火、放水、防磁、温度等方面遵循标准。2)机房有必要的监控措施。3)进入机房进行详细的安全检查和记录。4)在更为关键的场合应当记录笔记本设备的IP、MAC地址,使用的操作系统版本和主要软件等。5)条件允许的情况下,考虑采用生物认证技术。2.网络架构安全1)有明确的域间划分,基于访问控制策略的逻辑隔离措施(如VLAN间访问等),并且符合“同一子网支持单一业务”的原则。2)了解各部门的业务流程后制定相应的访问控制规则,实现基于IP地址、端口、协议的出入数据的基本访问控制。3)采用安全的路由与网络协议,关闭不需要的服务,如确有需要,则必须对该服务进行验证或加密。3.网络边界安全1)有明确的网络结构。2)使用防火墙实现访问控制。3)重要业务网段、系统前应当部署防拒绝服务攻击(DoS)的系统。4)重要业务网段应当部署入侵检测系统以保证在第一时间检测到攻击的发生,可能的情况下与防火墙联动实时阻断攻击。5)要求更为严格的环境,考虑采用物理隔离措施。4.操作系统安全1)应当使用正版的操作系统。2)所有操作系统、应用服务均及时安装最新补丁。3)停止不必要的服务,关闭不需要的端口。4)启动日志审计。5)口令应满足复杂度的要求。6)应定期使用扫描器以发现最新的安全漏洞,真正做到未雨绸缪。5.应用服务安全1)根据应用系统的划分落实各系统的安全状况,定期进行评估和对比。2)系统规划、设计、开发和上线实施时需要有安全方面的考虑,在正式上线前需要通过安全检查。3)对应用系统的客户端安全需要定期抽查。4)可能的情况下,应用系统采用双因子认证方式来提高鉴别的不可复制性和不可伪造性(如:IC卡、磁卡、动态令牌、数字证书等)。5)客户端应安装个人防火墙、防病毒软件以抵御来自Internet的威胁。6)数据库系统应关闭不必要的帐户、更改缺省用户和口令。7)数据访问权限应严格定义。8)用户的最小权限管理。9)构建集中的日志管理平台,关联多种日志进行分析。6.传输安全1)保证通信链路的可用性,可靠性,通讯双方的链路机制一样。2)敏感数据传输必须采用加密技术(链路加密、PPTP、IPSec、VPN等)。3)重要的E-mail应采取加密。从安全技术要求与常见技术措施两个因素综合考虑,在企业、组织安全建设中可以参考下表丰富、完善技术层面的措施。安全技术要求常见技术措施漏洞评估能力安全脆弱性评估服务安全漏洞扫描工具鉴别与认证保护PKI系统一次性口令系统访问控制保护防火墙物理隔离设备双网主机数