第八章计算机系统安全风险评估

2019/8/25电子科技大学成都学院计算机系1第8章计算机系统安全风险评估电子科技大学成都学院计算机系22019/8/25主要内容计算机系统安全风险评估的目的和意义安全风险评估途径安全风险评估基本方法安全风险评估工具安全风险评估的依据和过程电子科技大学成都学院计算机系32019/8/258.1计算机系统安全风险评估的目的和意义1.安全风险评估是科学分析并确定风险的过程任何系统的安全性都可以通过风险的大小来衡量。风险评估——人们为了找出答案，分析确定系统风险及风险大小，进而决定采取什么措施去减少、转移、避免风险，把风险控制在可以容忍的范围内，这一过程即为风险评估。电子科技大学成都学院计算机系42019/8/25信息安全风险评估——从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，将风险控制在可接受水平，最大程度地保障计算机网络信息系统安全提供科学依据。电子科技大学成都学院计算机系52019/8/252.信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是风险评估理论和方法在信息系统安全中的运用，是科学地分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、控制、转移、补偿以及分散等之间作出决策的过程。电子科技大学成都学院计算机系62019/8/253.信息安全风险评估是需求主导和突出重点原则的具体体现如果说信息安全建设必须从实际出发，坚持需求主导、突出重点、则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的，安全是安全风险和安全建设管理代价的综合平衡。电子科技大学成都学院计算机系72019/8/254.重视风险评估是信息化比较发达的国家的基本经验20世纪70年代，美国政府就颁布了《自动化数据处理风险评估指南》，其后颁布的信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求——要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露、未授权访问等造成损失的大小，制定、实施信息安全计划，以保证信息和信息系统应有的安全。电子科技大学成都学院计算机系82019/8/258.2安全风险评估途径1.基线评估(BaselineRiskAssessment)2.详细评估3.组合评估风险评估途径是指规定风险评估应该遵循的操作过程和方式。电子科技大学成都学院计算机系92019/8/25基线评估(BaselineRiskAssessment)安全基线——在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。采用基线风险评估，组织根据自己的实际情况，对信息系统进行安全基线检查，即拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。电子科技大学成都学院计算机系102019/8/25优点所需资源少、周期短、操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效地风险评估途径。缺点基线水平的高低难以设定。如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分的安全。在管理安全相关的变化方面，基线评估比较困难。电子科技大学成都学院计算机系112019/8/25详细评估要求对资产进行详细识别和评估，对可能引起风险的威胁和脆弱点进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降到可接受的水平，以此证明管理者采用的安全控制措施是恰当的。优点：通过此途径可以对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求。缺点：非常耗费资源，包括时间、精力、技术等。电子科技大学成都学院计算机系122019/8/25组合评估——将前面二者相结合！优点：既节省评估所耗费的资源，又能确保获得一个全面系统的评估结果。组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也会被忽略，最终导致结果失准。电子科技大学成都学院计算机系132019/8/258.3安全风险评估基本方法目标——找出组织信息资产面临的风险及其影响基于知识的评估方法基于模型的评估方法定量评估方法定性分析方法定性与定量相结合的综合评估方法电子科技大学成都学院计算机系142019/8/25基于知识的评估方法又称为经验法，采用这种方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。信息源包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察。电子科技大学成都学院计算机系152019/8/25基于模型的评估方法CORAS——安全危急系统的风险分析平台，2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发。目的：开发一个机遇面向对象建模，特别是UML技术的风险评估框架。评估对象：对安全要求很高的一般性系统，特别是IT系统的安全。电子科技大学成都学院计算机系162019/8/25优点提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率。电子科技大学成都学院计算机系172019/8/25定量评估方法指运用数量指标来对风险进行评估，即对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素都被赋值，如资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等，风险评估的整个过程和结果就都可以被量化了。电子科技大学成都学院计算机系182019/8/25优点用直观的数据来表述评估的结果，可以对安全风险进行准确的分级，但这有个前提，即可供参考的数据指标是准确的。缺点：定量分析所依赖的数据的可靠性很难保证；为了量化，常常将本来比较复杂的事物简单化、模糊化了，有的风险因素被量化后还可能被误解和曲解。电子科技大学成都学院计算机系192019/8/25几个概念暴露因子EF：特定威胁对特定资产造成损失的百分比，即损失的程度。单一损失期望SLE：即特定威胁可能造成的潜在损失总量。年度发生率ARO：在一年内估计会发生威胁的频率。年度损失期望ALE：表示特定资产在一年内遭受损失的预期值。电子科技大学成都学院计算机系202019/8/25定量分析的过程识别资产并为资产赋值；通过威胁和弱点评估，评估特定威胁作用于特定资产所造成的影响，即EF（0%——100%）；计算特定威胁发生的频率ARO；计算资产的SLE：SLE=总资产*EF计算资产的ALE：ALE=SLE*ARO对定量分析来说，有两个指标最为关键：EF和ARO电子科技大学成都学院计算机系212019/8/25定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊情况等非量化资料，对系统风险状况作出判断的过程。操作方法有：小组讨论、检查列表、问卷、人员访谈、调查等。在此基础上，通过一个理论推导演绎的分析框架作出调查结论。优点：避免了定量方法的缺点，可挖掘出一些蕴藏很深的思想，使评估的结论更全面、深刻。缺点：主观性很强，往往需要凭借分析者的经验和直觉，或是业界的标准和惯例，为风险管理主要素的大小或高低程度定性分级。电子科技大学成都学院计算机系222019/8/25定量分析与定性分析比较：定性分析的精确度不够，定量分析则比价精确，但前期建立风险模型较困难；定性分析没有定量分析那么繁多的计算负担，但要求分析者有一定的经验和能力；定性分析不依赖于大量的统计数据，而定量分析则不同；定性分析较为主观，定量分析基于客观；定性分析的结果很难有统一的解释，但是定量分析的结果很直观，任意理解。电子科技大学成都学院计算机系232019/8/25定性与定量相结合的综合评估方法定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。所以在复杂的信息系统风险评估过程中，应该将这两种方法融合起来。电子科技大学成都学院计算机系242019/8/258.4安全风险评估工具风险评估工具是风险评估的辅助手段，是保证风险评估结果可信度的重要因素。它的使用不仅在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家经验知识被广泛应用。电子科技大学成都学院计算机系252019/8/251．风险评估与管理工具——一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经验、对输入输出进行模型分析。分类1）基于信息安全标准的风险评估与管理工具。2）基于知识的风险评估与管理工具。3）基于模型的风险评估与管理工具。电子科技大学成都学院计算机系262019/8/252．系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。脆弱性扫描工具主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析。电子科技大学成都学院计算机系272019/8/25目前常见的脆弱性扫描工具有以下几种类型。1）基于网络的扫描器。在网络中运行，能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。2）基于主机的扫描器。发现主机的操作系统、特殊服务和配置的细节，发现潜在的用户行为风险，如密码强度不够，也可实施对文件系统的检查。电子科技大学成都学院计算机系282019/8/253）分布式网络扫描器。由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成，用于企业级网络的脆弱性评估，分布和位于不同的位置、城市甚至不同的国家。4）数据库脆弱性扫描器。对数据库的授权、认证和完整性进行详细的分析，也可以识别数据库系统中潜在的脆弱性。电子科技大学成都学院计算机系292019/8/25渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件。渗透性测试的目的是检测已发现的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用，并可能会对被评估系统的运行带来一定影响。电子科技大学成都学院计算机系302019/8/253．风险评估辅助工具风险评估需要大量的实践和经验数据的支持，这些数据的积累是风险评估科学性的基础。风险评估辅助工具可以实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据。电子科技大学成都学院计算机系312019/8/25常用的辅助工具有：检查列表—基于特定标准或基线建立的，对特定系统进行审查的项目条款。入侵检测系统—通过部署检测引擎，收集、处理整个网络中的通信信息，以获取可能对网络或主机造成危害的入侵攻击事件；帮助检测各种攻击试探和误操作；也可以作为警报器以提醒管理员。电子科技大学成都学院计算机系322019/8/25安全审计工具—用于记录网络行为，分析系统或网络安全现状；其审计记录可作为风险评估中的安全现状数据，并可用于判断被评估对象威胁信息的来源。拓扑发现工具—主要是完成网络硬件设备的识别、发现功能。通过接入点接入被评估网络，完成被评估网络中的资产发现功能，并提供网络资产的相关信息，包括操作系统版本、型号等。电子科技大学成都学院计算机系332019/8/25资产