搜索
2011-11-81信息安全风险评估规范中国科学院研究生院信息安全国家重点实验室全国信息安全技术标准化委员会WG7赵战生2011年11月3日内容提要1.我国信息安全风险评估工作推进概述2.信息安全风险评估规范概要3.风险评估的发展趋势1.我国信息安全风险评估工作推进概述2003年,在《关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。2003年7月组建成立“信息安全风险评估课题组”,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备。2003年8月至12月,课题组先后对四个地区(北京、广州、深圳和上海),十几个行业的50多家单位进行了深入细致的调查与研究,召开了9次座谈会,2011-11-82经过四个多月的努力,完成了约十万字的《信息安全风险评估调查报告》、《信息安全风险评估研究报告》文稿;其中《信息安全风险评估研究报告》列为2004年1月全国信息安全保障会议的传阅文件在此基础上编写了《信息安全风险评估指南》为推动实施信息安全风险评估做了标准准备。什么是信息系统的安全风险信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。为什么存在信息安全风险人们的认识能力和实践能力是有局限性的,因此,信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,总要面临各种人为与自然的威胁,存在安全风险也是必然的。什么是信息安全风险评估依据国家有关的政策法规及信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。2011-11-83为什么要进行信息安全风险评估因为任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。因此,要追求信息系统的安全,就不能脱离全面、完整的信息系统的安全评估,就必须运用信息系统安全风险评估的思想和规范,对信息系统开展安全风险评估。信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度。依据风险评估结果制定的信息安全解决方案,最大限度的避免了盲目和浪费。可以使组织在信息安全方面的投资获得最大的收益。风险评估的意义和作用1.风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。进一步,持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。2.风险评估是分级防护和突出重点原则的具体体现信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出重点。风险评估正是这一原则在实际工作中的具体体现。从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和回避风险是不现实的,也不是分级防护原则所要求的。要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取科学、客观、经济和有效的措施。2011-11-843.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复杂程度。发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。因此,美国国家安全局强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制度化的方向发展。通过研究认识到:风险评估是“一种度量信息安全状况的科学方法”,通过对网络和信息系统潜在风险要素的识别、分析、评价,发现网络和信息系统的安全风险,通过安全加固,使高风险降低到可接受的水平,从而提高信息安全风险管理的水平。信息安全风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设和管理的科学方法风险评估实际上是在倡导一种适度安全重视风险评估是信息化发达国家的重要经验2005年,原国信办在北京、上海、云南、黑龙江2市2省区和银行、电力、税务3个行业组织了信息安全风险评估试点工作。2011-11-852006年3月,原国信办在北京、云南省组织召开了信息安全风险评估推进工作会议。介绍了05年试点工作经验,国家部委、各省信息办、8+2系统依据中办发【2006】5号文件、9号文件,开展了政府或重要行业的信息安全风险评估工作。2007年,为保障十七大,在国家基础信息网络和重要信息系统范围内,全面展开了自评估工作。指派国家信息安全风险评估专门队伍,对重要行业进行了安全抽查。(中国移动、电力、税务、证券)到目前,风险评估工作已经越来越被广大信息安全工作者所重视,逐步建立了队伍,形成了能力,开发了工具手段,在信息系统生存周期的各个阶段,在信息系统等级保护和分级保护中得到应用。风险评估实践的收获:发现诸多安全隐患,看到了现实存在的安全风险,并进行了有针对性的风险控制各单位对信息安全工作重视程度不断加强全员信息安全意识进一步增强信息安全保护和管理水平不断提高了。2。信息安全风险评估规范概要《规范》结构术语和定义风险评估框架及流程风险评估实施信息系统生命周期各阶段的风险评估风险评估的工作形式风险的计算方法风险评估的工具2011-11-86风险评估的要素与关联使命:一个单位通过信息化要来实现的工作任务。依赖度:一个单位的使命对信息系统和信息的依靠程度。资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。价值:资产的重要程度和敏感程度。威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。风险计算与关联分析威胁识别脆弱性识别已有安全措施确认风险评估的准备风险评估文档评估方案检测记录威胁列表脆弱性列表评估报告。。。。资产识别安全风险资产分类2011-11-87资产识别威胁识别脆弱性识别已有安全措施确认人员病毒体质预防措施信息安全安全检测与风险评估与健康查体类比资产威胁源信息资产价值安全事件发生的可能性脆弱性威胁风险威胁发生可能性脆弱性严重程度资产威胁信息资产价值安全事件发生的可能性已有安全措施确认安全风险安全事件危害程度威胁源分析及威胁频率脆弱性严重程度威胁源行为密码、木马威胁脆弱性威胁识别脆弱性识别资产识别威胁出现的频率脆弱性的严重程度风险值资产价值安全事件的可能性安全事件的损失L=(T,V)F=(Ia,Va)2011-11-88我们采用定性分析、定量计算相结合的方法进行风险分析。其中定量计算采用《规范》推荐的相乘法进行。《规范》中给出的算法:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))《规范》在算法上没有给出具体详细的表述,给各单位留有细化的空间,只要科学合理都应符合要求。如何进行风险分析1.准备2.实施3.计算和分析4.形成风险分析报告确定目标和范围确定风险评估的对象、目的、范围、内容、组织结构、各方责任、工作原则、进度安排、工作要求、保障条件、经费预算等。形成《风险风险评估计划方案》或《实施方案》,报领导批准执行。风险评估准备领导小组任务执行小组专家小组组织、协调多方部门技术人员参与,具体承担技术检测、分析与评估方案、技术报告评审、技术监督把关成立组织机构2011-11-89评估对象业务调查(1)系统组成、网络结构。(2)搜集各类管理文档资料,值班记录、配置文件等。(3)主要设备类型、操作系统。(4)相关业务数据信息(5)以往评估或分析结果(6)座谈、讨论(7)现查勘查(8)事故报告、安全事件报告、维护更新资料汇总(9)分析提出评估对象的重点内容(10)编写评估需求报告准备检查工具脆弱性检测常规检测深度检测特殊检测物理脆弱性检测网络脆弱性检测系统脆弱性检测应用脆弱性检测管理脆弱性检测密码脆弱性检测木马检测网络渗透验证无线网络检测电磁频谱检测M+N检测模式MN风险评估实施实施阶段主要工作内容是评估数据的采集,它是风险分析和风险计算的基础,是评估过程中最关键的阶段。实际工作中可按照以下几部分内容进行评估数据的采集:采集什么数据资产识别与赋值威胁威胁识别与赋值脆弱性识别与赋值已有安全措施确认2011-11-8103.风险评估实施用什么方法采集数据:调查问卷顾问访谈现场查看技术检测各行业需要统一模板、检查项目、和测试用例评估用例序号A-001-001名称资产分类时间地点检测者陪检者方式问卷调查、顾问访谈、现场查看对象光缆干线传输系统的相关资产内容以前期调研的资产列表为依据,对资产列表中的资产信息进行核查。保障条件需要被评估单位相关技术人员的配合。步骤①以XXX的网络拓扑图为依据,与系统管理员进行现场访谈,确定选定的资产范围。②填写《资产调查表》并对其进行整理。③以网络拓扑图为依据,在相关技术人员的配合下,对《资产调查表》中的所有信息资产进行核查。结果备注资产识别与赋值依据评估需求报告和相关文档资料进行资产识别与分类(1)业务系统和相关基础网络(分层次规类)业务系统(网银系统)分系统(互联区、业务生产区、办公区、核心数据区、系统边界、机房供电、布线配线……)子系统(单元1、单元2……)设备(设备1、设备2、……)网银业务区系统和网络拓扑图2011-11-811系统分系统分系统子系统子系统设备设备…………………………..资产分类(2)软件系统:包括业务