第七章信息安全风险评估的基本过程信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价,是组织确定信息安全需求的过程。7.1信息安全风险评估的过程依据GB/T20984—2007《信息安全技术信息安全风险评估规范》,同时参照ISO/IECTR13335-3、NISTSP800-30等标准,风险评估过程都会涉及到以下阶段:识别要评估的资产,确定资产的威胁、脆弱点及相关问题,评价风险,推荐对策。信息安全风险评估完整的过程如图7-1所示7.2评估准备信息安全风险评估的准备,是实施风险评估的前提。为了保证评估过程的可控性以及评估结果的客观性,在信息安全风险评估实施前应进行充分的准备和计划,信息安全风险评估的准备活动包括:⑴确定信息安全风险评估的目标;⑵确定信息安全风险评估的范围;⑶组建适当的评估管理与实施团队;⑷进行系统调研;⑸确定信息安全风险评估依据和方法;⑹制定信息安全风险评估方案;⑺获得最高管理者对信息安全风险评估工作的支持。7.2.1确定信息安全风险评估的目标在信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来确定信息安全风险评估的目标。7.2.2确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。7.2.3组建适当的评估管理与实施团队在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家,还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。7.2.4进行系统调研系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:⑴业务战略及管理制度;⑵主要的业务功能和要求;⑶网络结构与网络环境,包括内部连接和外部连接;⑷系统边界;⑸主要的硬件、软件;⑹数据和信息;⑺系统和数据的敏感性;⑻支持和使用系统的人员。7.2.5确定信息安全风险评估依据和方法信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据,并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。7.2.6制定信息安全风险评估方案信息安全风险评估方案的内容一般包括:⑴团队组织:包括评估团队成员、组织结构、角色、责任等内容。⑵工作计划:信息安全风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容。⑶时间进度安排:项目实施的时间进度安排。7.2.7获得最高管理者对信息安全风险评估工作的支持信息安全风险评估需要相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,对资源调配作出承诺,并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺利进行。7.3识别并评价资产7.3.1识别资产在信息安全风险评估的过程中,应清晰地识别其所有的资产,不能遗漏,划入风险评估范围和边界内的每一项资产都应该被确认和评估。资产识别活动中,可能会用到工具有以下几种。1.资产管理工具2.主动探测工具3.手工记录表格7.3.2资产分类资产的分类并没有严格的标准,在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握,表7-2列出了一种根据资产的表现形式的资产分类方法。分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语言包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携式算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象,客户关系等表7-2一种基于表现形式的资产分类方法7.3.3.1定性分析定性风险评估一般将资产按其对于业务的重要性进行赋值,结果是资产的重要度列表。资产的重要度一般定义为“高”、“中”、“低”等级别,或直接用数字1~3表示。组织可以按照自己的实际情况选择3个级别、5个级别等,表7-3给出了5级分法的资产重要性等级划分表。等级标识定义5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4高重要,其安全属性破坏后可能对组织造成比较严重的损失3中比较重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计表7-3资产等级及含义描述信息安全风险评估中资产的价值不是以资产的经济价值来衡量,而是以资产的保密性、完整性和可用性三个安全属性为基础进行衡量。资产在保密性、完整性和可用性三个属性上的要求不同,则资产的最终价值也不同,表7-4、表7-5、表7-6分别给出了资产的保密性、完整性和可用性的赋值表。赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织的根本利益有着决定性的影响,如果泄漏会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1很低可对社会公开的信息,公用的信息处理设备和系统资源等表7-4资产保密性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补1很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略表7-5资产完整性赋值表赋值标识定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min1很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%表7-6资产可用性赋值表7.3.3.2定量分析定量风险评估对资产进行赋值,应该确定资产的货币价值,但这个价值并不是资产的购置价值或帐面价值,而是相对价值。在定义相对价值时,需要考虑:1.信息资产因为受损而对商务造成的直接损失;2.信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力;3.信息资产受损对其他部门的业务造成的影响;4.组织在公众形象和名誉上的损失;5.因为商务受损导致竞争优势降级而引发的间接损失;6.其他损失,例如保险费用的增加。7.3.4输出结果在资产划分的基础上,再进行资产的统计、汇总,形成完备的《资产及评价报告》。7.4识别并评估威胁7.4.1威胁识别识别并评价资产后,组织应该识别每项(类)资产可能面临的威胁,识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。一项资产可能面临多个威胁,一个威胁也可能对不同的资产造成影响。威胁识别活动中,可能会用到工具有以下几种:1.IDS采样分析2.日志分析3.人员访谈7.4.2威胁分类在对威胁进行分类前,首先要考虑威胁的来源。表7-8威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益;外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击对威胁进行分类的方式有多种多样,针对上表威胁来源,可以根据其表现形式将威胁分为以下种类。1.软硬件故障2.物理环境影响3.无作为或操作失误4.管理不到位5.恶意代码6.越权或滥用7.网络攻击8.物理攻击9.泄密10.篡改11.抵赖7.4.3威胁赋值识别资产面临的威胁后,还应该评估威胁出现的频率。威胁出现的频率是衡量威胁严重程度的重要因素。表7-10威胁赋值表等级标识定义5很高出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过4高出现的频率较高(或≥1次/月);在大多数情况下很有可能会发生;或可以证实多次发生过3中出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过2低出现的频率较小;或一般不太可能发生;或没有被证实发生过1很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生7.4.4输出结果表7-11威胁列表示例1威胁编号威胁类别威胁赋值描述表7-12威胁列表示例2威胁编号威胁类别具体威胁威胁描述威胁来源后果威胁赋值受影响的设备名称(IP)7.5识别并评估脆弱性7.5.1脆弱性识别1.漏洞扫描工具绝大部分的评估项目中,都会使用到漏洞扫描工具。利用脆弱性扫描工具对评估范围内的系统和网络进行扫描,从内部和外部两个角度查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对象目标存在的安全风险、漏洞、威胁。2.渗透测试渗透测试可以非常有效地发现安全隐患。利用6.2节描述的渗透测试工具对重要资产进行全面检查,发现漏洞。3.各类检查列表检查表用于手工识别信息系统中常见的组件中存在的安全漏洞。7.5.2脆弱性分类脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关,表7-14提供了一种脆弱性分类方法。表7-14脆弱性分类表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方