信息安全风险评估方法与相关实践.ppt

启启明明星星辰辰信信息息技技术术有有限限公公司司VENUS INFORMATION TECH INC.启启明明星星辰辰信信息息技技术术有有限限公公司司启启明明星星辰辰信信息息技技术术有有限限公公司司VENUS INFORMATION TECH INC.信息安全风险评估方法与相关实践 2006年年11月月第一页，编辑于星期六：十六点 十五分。Page 2启启明明星星辰辰信信息息技技术术有有限限公公司司n风险评估概念n风险管理系统n相关标准介绍n风险评估实践过程n风险评估分析方法nOCTAVE风险评估的实施过程n企业风险评估策略n风险控制措施目 录沉 静 的 力 量 可 信 的 保 障第二页，编辑于星期六：十六点 十五分。Page 3启启明明星星辰辰信信息息技技术术有有限限公公司司n风险评估概念n风险管理系统n相关标准介绍n风险评估实践过程n风险评估分析方法nOCTAVE风险评估的实施过程n企业风险评估策略n风险控制措施目 录沉 静 的 力 量 可 信 的 保 障第三页，编辑于星期六：十六点 十五分。Page 4启启明明星星辰辰信信息息技技术术有有限限公公司司风险评估概述风险评估概述 （一）（一）我们进行信息安全建设的目的是什么？第四页，编辑于星期六：十六点 十五分。Page 5启启明明星星辰辰信信息息技技术术有有限限公公司司风险评估概述（二）风险评估概述（二）风险管理信息系统敏感信息被泄露无法向合法用户提供信息和/或服务关键数据/信息被未经授权修改 违反法律、规章或契约 损害信息自主权 影响生命/健康 降低工作效率/生产力 降低信誉/客户信心 经济损失 其它风风险险影响组织运营（使命、战略目标、任务的实现）信息不安全第五页，编辑于星期六：十六点 十五分。Page 6启启明明星星辰辰信信息息技技术术有有限限公公司司风险评估概述（三）风险评估概述（三）n风险：风险：q特定威胁利用某一资产或一组资产的脆弱性，从而对组织产生损害的可能性。“Risk：the potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization”【ISO/IEC TR 13335-1：2001，信息技术，信息技术-安全技术安全技术-IT安全管理指南（安全管理指南（Information Technology-Security techniques-Guidelines for the management of IT Security（GMITS）-Part 1：IT安全概念和模型（安全概念和模型（Concepts and models for IT Security）】第六页，编辑于星期六：十六点 十五分。Page 7启启明明星星辰辰信信息息技技术术有有限限公公司司操作系统漏洞信息或数据黑客利用利用侵入侵入资资产产脆弱脆弱性性威胁威胁来源来源风风 险险可能性损害（影响）第七页，编辑于星期六：十六点 十五分。Page 8启启明明星星辰辰信信息息技技术术有有限限公公司司风险评估概述（四）风险评估概述（四）管理风险的第一步：识别、理解与支持组织使命完成的信息系统有关的风险。一个全面的风险评估可以帮助识别组织信息系统所存在的风险。第八页，编辑于星期六：十六点 十五分。Page 9启启明明星星辰辰信信息息技技术术有有限限公公司司风险评估概述（五）风险评估概述（五）n风险评估是：风险评估是：q对信息系统的维护、管理、操作过程等进行分析q鉴别存在的脆弱性以及可能利用脆弱性的威胁q评价是否实施和维护了适当的安全措施q鉴别存在的风险以及风险发生的可能性和影响q选择将风险降低到组织可接受级别的安全措施n在评估过程中：在评估过程中：q信息系统评估人员要获得充分的、可靠的、有关的和有用的证据，以有效完成评估目标。q通过对证据进行适当的分析和解释，从而支持评估结果和结论。第九页，编辑于星期六：十六点 十五分。Page 10启启明明星星辰辰信信息息技技术术有有限限公公司司风险评估的相关概念风险评估的相关概念n资产评估资产评估弱点评估弱点评估威胁评估威胁评估威胁评估威胁评估风险评估风险评估第十页，编辑于星期六：十六点 十五分。Page 11启启明明星星辰辰信信息息技技术术有有限限公公司司 VulnerabilitiesVulnerabilities弱点弱点弱点弱点Threat-SourcesThreat-Sources威胁源威胁源威胁源威胁源利用利用利用利用威胁（可能性）威胁（可能性）威胁（可能性）威胁（可能性）破坏（影响）破坏（影响）破坏（影响）破坏（影响）存在存在存在存在AssetsAssets资产资产资产资产RisksRisks风险风险风险风险风险评估的相关概念风险评估的相关概念第十一页，编辑于星期六：十六点 十五分。Page 12启启明明星星辰辰信信息息技技术术有有限限公公司司风险关系图风险关系图第十二页，编辑于星期六：十六点 十五分。Page 13启启明明星星辰辰信信息息技技术术有有限限公公司司n风险评估概念n风险管理系统n相关标准介绍n风险评估实践过程n风险评估分析方法nOCTAVE风险评估的实施过程n企业风险评估策略n风险控制措施目 录沉 静 的 力 量 可 信 的 保 障第十三页，编辑于星期六：十六点 十五分。Page 14启启明明星星辰辰信信息息技技术术有有限限公公司司安全风险管理现状安全风险管理现状n大型企业和政府组织大型企业和政府组织q地域分布，网络规模庞大q业务应用日益复杂n安全风险多样化安全风险多样化q外部威胁q内部威胁n分散的管理分散的管理q没有完整的企业风险视图q增加管理成本和管理难度q难以执行统一的安全策略q管理孤岛难以阻挡风险的引入和蔓延第十四页，编辑于星期六：十六点 十五分。Page 15启启明明星星辰辰信信息息技技术术有有限限公公司司风险管理要求风险管理要求n以资产为核心的安全管理体系以资产为核心的安全管理体系q资产价值q资产安全环境q资产风险q资产风险变化n集中管理集中管理q统一的安全策略q多级安全风险管理v安全风险视图v安全风险控制v安全风险监控第十五页，编辑于星期六：十六点 十五分。Page 16启启明明星星辰辰信信息息技技术术有有限限公公司司风险管理的对象风险管理的对象第十六页，编辑于星期六：十六点 十五分。Page 17启启明明星星辰辰信信息息技技术术有有限限公公司司大类子类示例信息文本、图形、图片、音频、视频、动画、立体等形式。信息载体物理平台计算芯片（CPU、控制芯片、专用处理芯片等）、存储介质（内存、磁盘、光盘、磁带等）、通信介质（双绞线、同轴电缆、光纤、微波、红外线、卫星等）、人机界面（终端、键盘、鼠标、打印机、扫描仪、数字摄像机、数字放映机等）等硬件。系统平台操作系统、数据库系统等系统软件。通信平台通信协议及其软件。网络平台网络协议及其软件。应用平台应用协议及其软件。信息环境硬环境机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。软环境国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。第十七页，编辑于星期六：十六点 十五分。Page 18启启明明星星辰辰信信息息技技术术有有限限公公司司风险管理的内容和过程风险管理的内容和过程第十八页，编辑于星期六：十六点 十五分。Page 19启启明明星星辰辰信信息息技技术术有有限限公公司司信息安全目标信息安全目标第十九页，编辑于星期六：十六点 十五分。Page 20启启明明星星辰辰信信息息技技术术有有限限公公司司风险管理风险管理&安全目标安全目标&生命周期生命周期第二十页，编辑于星期六：十六点 十五分。Page 21启启明明星星辰辰信信息息技技术术有有限限公公司司角色和责任角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程、成本和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。第二十一页，编辑于星期六：十六点 十五分。Page 22启启明明星星辰辰信信息息技技术术有有限限公公司司n风险评估概念n风险管理系统n相关标准介绍n风险评估实践过程n风险评估分析方法nOCTAVE风险评估的实施过程n企业风险评估策略n风险控制措施目 录沉 静 的 力 量 可 信 的 保 障第二十二页，编辑于星期六：十六点 十五分。Page 23启启明明星星辰辰信信息息技技术术有有限限公公司司常见评估方法常见评估方法NIST SP800-30 Risk Management Guide for Information Technology Systems信息技术系统风险管理信息技术系统风险管理指南指南CERT OCTAVEThe Operationally Critical Threat,Asset,and Vulnerability Evaluation可操作的关键威胁、资产可操作的关键威胁、资产和脆弱性评价和脆弱性评价NSA IAMINFOSEC Assessment Methodology信息安全信息安全评估方法评估方法第二十三页，编辑于星期六：十六点 十五分。Page 24启启明明星星辰辰信信息息技技术术有有限限公公司司常见评估方法常见评估方法SP800-30nSP800-30（Risk Management Guide for Information Technology Systems）信信息技术系统风险管理指南息技术系统风险管理指南q提供了进行风险评估工作需要考虑的基本因素，包括资产、脆弱性、威胁、现有控制措施；q然后基于这些信息确定威胁发生的可能性和影响，从而确定组织所面临的风险级别，并针对不可接受风险提供相应的控制措施建议。第二十四页，编辑于星期六：十六点 十五分。Page 25启启明明星星辰辰信信息息技技术术有有限限公公司司n步骤步骤1系统特性分析：收集有价值的系统信息，如硬件、软件、系统特性分析：收集有价值的系统信息，如硬件、软件、系统接口、数据信息、相关人员、系统功能、系统数据重要程度系统接口、数据信息、相关人员、系统功能、系统数据重要程度等。等。n步骤步骤2脆弱性鉴别：列举出系统所存在的脆弱性。脆弱性鉴别：列举出系统所存在的脆弱性。n步骤步骤3威胁鉴别：确定威胁源（如自然威胁、人为威胁鉴别：确定威胁源（如自然威胁、人为威胁、环境威胁等）以及各威胁源相应的动机和威胁威胁、环境威胁等）以及各威胁源相应的动机和威胁形式。形式。n步骤步骤4控制措施分析：对已经实施的或即将实施的用于降控制措施分析：对已经实施的或即将实施的用于降低系统被危害的可能性的风险控制方法进行分析。低系统被危害的可能性的风险控制方法进行分析。n步骤步骤5可能性确定：判断并确定威胁发生的可能性。可能性确定：判断并确定威胁发生的可能性。n步骤步骤6影响分析：分析如果威胁发生，将会发生什么影响以及影响分析：分析如果威胁发生，将会发生什么影响以及影响程度。影响程度。n步骤步骤7风险确定：通过考虑威胁发生的可能性及相应的风险确定：通过考虑威胁发生的可能性及相应的影响来确定风险的级别。影响来确定风险的级别。n步骤步骤8控制措施建议：此时需要提出需要采用的控制手段的控制措施建议：此时需要提出需要采用的控制手段的建议，以便使系统的风险控制在可以接受的范围之内。建议，以便使系统的风险控制在可以接受的范围之内。n步骤步骤9结果文档：风险评估完成后，所有的评估结果都应该正式结果文档：风险评估完成后，所有的评估结果都应该正式记录在案。这一步骤就是将所有的评估结果进行记录。记录在案。这一步骤就是将所有的评估结果进行记录。第二十五页，编辑于星期六：十六点 十五分。Page 26启启明明星星辰辰信信息息技技术术有有限限公公司司n优点：优点：q明确指出在判断可能性时，需要考虑现有控制措施的效力，也就是目前所实施的控制措施是否将降低威胁发生的可能性。q而其它许多风险评估方法在判断可能性时，却基本没考虑到现有措施对威胁发生可能性的作用。n不足：不足：q在进行影响判断时，只考虑到系统的使命、系统和数据的关键性以及敏感性，而没有考虑到现有控制措施也有可能降低威胁发生的影响。第二十六页，编辑于星期六：十六点 十五分。Page 27启启明明星星辰辰信信息息技技术术有有限限公公司司常见评估方法常见评估方法OCTAVEnOCTAVE（The Operationally Critical Threat,Asset,and Vulnerability Evaluation）可操作的关键威胁、资产可操作的关键威胁、资产和脆弱性评价和脆弱性评价q通过分析组织的关键资产、威胁和脆弱性、来实现对组织的信息安全进行全面评估。第二十七页，编辑于星期六：十六点 十五分。Page 28启启明明星星辰辰信信息息技技术术有有限限公公司司n第第1阶段：创建基于资产的阶段：创建基于资产的威胁轮廓威胁轮廓q过程1：识别高层管理人员认识q过程2：识别运营区域管理人员认识q过程3：识别职员认识q过程4：创建威胁轮廓n第第2阶段：识别基础设施脆弱阶段：识别基础设施脆弱性性q过程5：识别关键组件q过程6：评估所选择的组件n第第3阶段：开发安全策略和计阶段：开发安全策略和计划划q过程7：进行风险分析q过程8：制定防护策略第二十八页，编辑于星期六：十六点 十五分。Page 29启启明明星星辰辰信信息息技技术术有有限限公公司司n优点：优点：q明确指出要成功进行一个有效的风险评估，必须组织各级别人员（高层管理人员、运营区域管理人员、IT技术人员和一般职员）参与评估活动，而不仅仅是IT技术人员。n不足：不足：q鉴别威胁的方法是通过与组织各级别人员的研讨会来获得的。在研讨会上，评估小组向参与人员分发关心区域工作表，要求参与人员基于该工作表来考虑可能的威胁情形。而该工作表只起到提示作用，所以除非参与人员在日常工作中比较关注安全问题，方能基于以上提示给出比较有意义的解答。否则，参与人员将只能提供一些简单的解答，对于了解组织的实际安全现状并不会起到太大的作用。q在OCTAVE中将安全需求与影响分开考虑，这种方式不是很合理。安全需求应该是因为如果资产遭受破坏，会导致什么样的影响，从而才能确定安全需求及其级别，而不是为了安全需求而考虑安全需求。第二十九页，编辑于星期六：十六点 十五分。Page 30启启明明星星辰辰信信息息技技术术有有限限公公司司常见评估方法常见评估方法IAMnIAM（INFOSEC Assessment Methodology）信息安全评估方法信息安全评估方法qNSA（美国国家安全局）为保护国家安全开发的一种信息安全风险评估方法。q1998年，由于第63号总统令（克林顿政府对关键基础设施保护的政策）的发布以及NSA规模的缩减，为了最大化利用资源来尽可能向所有的联邦政府机构提供安全指南，NSA 开发了IAM以满足对信息安全评估的需要。在2001年许多商业机构也开始使用NSA IAM来评估自身的信息系统安全状况。第三十页，编辑于星期六：十六点 十五分。Page 31启启明明星星辰辰信信息息技技术术有有限限公公司司nIAM分成三个阶段：分成三个阶段：q评估前（Pre-assessment）q现场活动（On-site activities）q评估后（Post-assessment）n每个阶段都有特定的目标和输出每个阶段都有特定的目标和输出评估前现场活动评估后提炼客户需求理解客户的信息关键性鉴别系统，包括系统边界协调后勤编写评估计划探测和确认在评估前阶段获得的信息和结论通过访谈、文档和系统示范，进行数据收集和验证向客户提供初始分析和反馈完成分析准备和调整最终报告第三十一页，编辑于星期六：十六点 十五分。Page 32启启明明星星辰辰信信息息技技术术有有限限公公司司n优点：优点：q明确提出了需要对18项内容进行评估，并将这18项内容分成3类：管理、技术和操作。n不足：不足：qIAM是一种基于信息的安全评估方法。它首先需要确定组织的信息。由于组织里存在着众多的信息，随着评估活动的发展，将会不时发现新的信息，因此以这种方式开始评估容易导致丢失信息，从而影响下一步的评估工作。在IAM课程中虽然也提到这个过程在评估中可能会有所反复，但也就因此，容易导致评估工作难以控制，使得评估周期延长。除非组织人员对组织里的所有信息都有明确的认识。管理技术操作信息安全文档信息安全角色和职责应急计划配置管理识别和认证帐号管理会话控制审计恶意代码防护维护系统保障网络/连接通信安全介质控制标记物理环境人员安全教育培训和意识第三十二页，编辑于星期六：十六点 十五分。Page 33启启明明星星辰辰信信息息技技术术有有限限公公司司n风险评估概念n风险管理系统n相关标准介绍n风险评估实践过程n风险评估分析方法nOCTAVE风险评估的实施过程n企业风险评估策略n风险控制措施目 录沉 静 的 力 量 可 信 的 保 障第三十三页，编辑于星期六：十六点 十五分。Page 34启启明明星星辰辰信信息息技技术术有有限限公公司司评估过程评估过程第一阶段第一阶段 计划准备阶段计划准备阶段q确定范围对象q确定进度计划第二阶段第二阶段 现场评估阶段现场评估阶段q文档审阅q脆弱性扫描q本地审计q现场观测q人员访谈第三阶段第三阶段 分析报告阶段分析报告阶段q综合分析q创建报告第三十四页，编辑于星期六：十六点 十五分。Page 35启启明明星星辰辰信信息息技技术术有有限限公公司司评估过程评估过程1.制定项目计划与培训2.收集资料3.风险分析4.形成评估报告5.项目跟踪资产识别与赋值弱点分析威胁分析已有控制措施分析可能性及影响分析风险识别评估结果文档第三十五页，编辑于星期六：十六点 十五分。Page 36启启明明星星辰辰信信息息技技术术有有限限公公司司制定计划和培训制定计划和培训n进行培训交流进行培训交流n确定项目范围和目标确定项目范围和目标n提出工作限制要求提出工作限制要求n确定参与各方的职务和职责确定参与各方的职务和职责n项目进度安排项目进度安排n确定项目协调会制度确定项目协调会制度第三十六页，编辑于星期六：十六点 十五分。Page 37启启明明星星辰辰信信息息技技术术有有限限公公司司资料收集资料收集n问卷调查问卷调查n与各级人员进行访谈与各级人员进行访谈n小组讨论小组讨论n文档查看文档查看n现场勘查现场勘查第三十七页，编辑于星期六：十六点 十五分。Page 38启启明明星星辰辰信信息息技技术术有有限限公公司司风险分析风险分析n资产识别与赋值资产识别与赋值n威胁分析威胁分析n弱点分析弱点分析n控制分析控制分析n可能性及影响分析可能性及影响分析n风险识别风险识别第三十八页，编辑于星期六：十六点 十五分。Page 39启启明明星星辰辰信信息息技技术术有有限限公公司司形成报告形成报告n评估报告评估报告n解决方案建议解决方案建议第三十九页，编辑于星期六：十六点 十五分。Page 40启启明明星星辰辰信信息息技技术术有有限限公公司司n风险评估概念n风险管理系统n相关标准介绍n风险评估实践过程n风险评估分析方法nOCTAVE风险评估的实施过程n企业风险评估策略n风险控制措施目 录沉 静 的 力 量 可 信 的 保 障第四十页，编辑于星期六：十六点 十五分。Page 41启启明明星星辰辰信信息息技技术术有有限限公公司司Venus评估方法评估方法资产评估资产评估脆弱性识别脆弱性识别威胁分析威胁分析风险分析风险分析 明确企业的关键资产明确企业的关键资产 明确关键资产的安全需求明确关键资产的安全需求 查找企业关键资产存在的查找企业关键资产存在的安全隐患安全隐患 分析可以利用企业关键分析可以利用企业关键资产安全隐患的因素资产安全隐患的因素 综合分析脆弱性被威胁利用的可能性综合分析脆弱性被威胁利用的可能性以及给企业带来的影响以及给企业带来的影响安全建议安全建议 提出控制风险的安全建议提出控制风险的安全建议第四十一页，编辑于星期六：十六点 十五分。Page 42启启明明星星辰辰信信息息技技术术有有限限公公司司Venus评估方法评估方法资产评估资产评估脆弱性识别脆弱性识别威胁分析威胁分析风险分析风险分析安全建议安全建议第四十二页，编辑于星期六：十六点 十五分。Page 43启启明明星星辰辰信信息息技技术术有有限限公公司司资产评估资产评估任务任务1：资产信息收集：资产信息收集q资产名称q用途q操作系统q应用情况q.任务任务2：资产分类：资产分类q资产所属的类别（物理资产、虚拟资产）q资产的网络、子网络、系统、子系统、区域归属信息 任务任务3：资产赋值：资产赋值q根据安全的三个基本属性机密性、完整性、可用性对资产价值进行描述和赋值。第四十三页，编辑于星期六：十六点 十五分。Page 44启启明明星星辰辰信信息息技技术术有有限限公公司司任务任务1：资产信息收集：资产信息收集记录该记录该资产的资产的名称名称（或内（或内部俗称）部俗称）描述该描述该组件的组件的主要功主要功能或用能或用途途描述该描述该资产所资产所使用的使用的硬件型硬件型号号记录该记录该组件的组件的IP地址地址或或IP地地址范围址范围填写该资填写该资产的主机产的主机名称，如名称，如se6800d 描述该描述该资产的资产的操作系操作系统类型统类型及版本，及版本，如如Windows NT 4.0；IOS 12.1描述该资描述该资产所安装产所安装的应用软的应用软件名称以件名称以及版本信及版本信息，如息，如IIS 4.0、Oracle 8.1.7记录负责维记录负责维护护/管理该管理该资产的人员资产的人员信息信息用于记录用于记录其它与该其它与该资产有关资产有关的信息。的信息。第四十四页，编辑于星期六：十六点 十五分。Page 45启启明明星星辰辰信信息息技技术术有有限限公公司司任务任务2：资产分类：资产分类n根据根据ISO 17799对信息资产的定义，结合项目实践，对本次项目中对信息资产的定义，结合项目实践，对本次项目中涉及的资产进行分类（示例）：涉及的资产进行分类（示例）：第四十五页，编辑于星期六：十六点 十五分。Page 46启启明明星星辰辰信信息息技技术术有有限限公公司司任务任务3：资产赋值：资产赋值n根据信息安全的三个基本属性根据信息安全的三个基本属性机密性、完整性、可用性机密性、完整性、可用性对对资产价值进行描述和赋值，如：资产价值进行描述和赋值，如：第四十六页，编辑于星期六：十六点 十五分。Page 47启启明明星星辰辰信信息息技技术术有有限限公公司司资产评估结果（示例）资产评估结果（示例）第四十七页，编辑于星期六：十六点 十五分。Page 48启启明明星星辰辰信信息息技技术术有有限限公公司司Venus评估方法评估方法资产评估资产评估脆弱性识别脆弱性识别威胁分析威胁分析风险分析风险分析安全建议安全建议第四十八页，编辑于星期六：十六点 十五分。Page 49启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性识别脆弱性识别n脆弱性是对一个或多个资产弱点的总称。脆弱性和资脆弱性是对一个或多个资产弱点的总称。脆弱性和资产紧密相连，它可能被威胁利用、引起资产损失或破产紧密相连，它可能被威胁利用、引起资产损失或破坏。坏。q机房上层具有用水设施q不适当或粗心使用机房的物理访问控制q不稳定的电源q.环境和基础环境和基础设施脆弱性设施脆弱性q缺少定期替换计划q存储介质的不适当维护q缺少有效的配置变更控制q.硬件脆弱性硬件脆弱性q没有或不足的软件测试q不良的口令管理（明文方式存储口令、不足的变更频率）q.软件脆弱性软件脆弱性q拨号链路q以明文的方式传输口令q未保护的敏感通信q不足的网络带宽q.通信脆弱性通信脆弱性q对拷贝没有控制q未安全地存放q没有仔细丢弃q.文档脆弱性文档脆弱性q人员短缺q外部人员或清洁工的工作无人监督q不足的安全培训q缺少安全意识q.人员脆弱性人员脆弱性第四十九页，编辑于星期六：十六点 十五分。Page 50启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性识别方法脆弱性识别方法n文档审阅文档审阅q审阅评估范围内各IT组件、各应用系统、各网络系统、各机房相关的网络拓扑、设计、开发、安装配置、运行维护、安全管理等文档n工具评估工具评估q使用脆弱性扫描软件进行扫描n本地审计本地审计q使用启明星辰本地安全审计工具包、命令行、抓取控制台操作界面进行本地审计n现场观测现场观测q现场观测各应用系统、各机房n人员访谈人员访谈q访谈各资产管理人员、各应用系统相关人员、各网络负责人、各机房管理人员第五十页，编辑于星期六：十六点 十五分。Page 51启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描定制策略定制策略n定制扫描策略定制扫描策略q根据被评估目标的OS、应用服务来定制相应的扫描策略第五十一页，编辑于星期六：十六点 十五分。Page 52启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描执行扫描执行扫描n按已制定的策略按已制定的策略对已指定的范围进对已指定的范围进行脆弱性扫描行脆弱性扫描q先扫描设备的所开放的端口q判断端口上面所运行的服务q从服务上面再找是否存在着相应的漏洞第五十二页，编辑于星期六：十六点 十五分。Page 53启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n系统存在的技术漏洞系统存在的技术漏洞第五十三页，编辑于星期六：十六点 十五分。Page 54启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n漏洞分布示意图漏洞分布示意图第五十四页，编辑于星期六：十六点 十五分。Page 55启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n主机风险分布图主机风险分布图第五十五页，编辑于星期六：十六点 十五分。Page 56启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n按操作系统分按操作系统分第五十六页，编辑于星期六：十六点 十五分。Page 57启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n按漏洞分类按漏洞分类第五十七页，编辑于星期六：十六点 十五分。Page 58启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n主机详细描述主机详细描述第五十八页，编辑于星期六：十六点 十五分。Page 59启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n发现的漏洞发现的漏洞第五十九页，编辑于星期六：十六点 十五分。Page 60启启明明星星辰辰信信息息技技术术有有限限公公司司脆弱性扫描脆弱性扫描扫描结果扫描结果n安全建议安全建议第六十页，编辑于星期六：十六点 十五分。Page 61启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计n审计前准备工作审计前准备工作q根据资产信息表中已登记的信息准备相应的审计脚本程序和操作文档n连接本地审计目标连接本地审计目标q采用ssh方式q采用telnet方式q采用web方式q采用在控制台上操作的方式q采用console线连接方式q采用由被评估方导出配置文件n由管理员自行输入密码，登录系统由管理员自行输入密码，登录系统第六十一页，编辑于星期六：十六点 十五分。Page 62启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计运行脚本运行脚本n运行操作系统脚本提取操作系统数据运行操作系统脚本提取操作系统数据qWINvWindows 2000vWindows 2003qUNIXvLinuxvSolarisvBSDvAIXvHP-UXv第六十二页，编辑于星期六：十六点 十五分。Page 63启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计运行脚本运行脚本n涉及内容涉及内容q系统的版本信息q系统帐号信息q帐号密码策略q开放的端口q运行的服务q服务的调用程序名和所处的路径q启动文件的顺序q定时任务q安装的软件第六十三页，编辑于星期六：十六点 十五分。Page 64启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计手工提取手工提取n针对应用服务提取数据针对应用服务提取数据q应用服务程序的版本q应用服务的安装目录及文件属性q应用服务的配置目录及文件内容q应用服务的日志目录及文件属性q应用服务安全相关的数据第六十四页，编辑于星期六：十六点 十五分。Page 65启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计提取数据示例提取数据示例nWindows中的启动服务中的启动服务第六十五页，编辑于星期六：十六点 十五分。Page 66启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计提取数据示例提取数据示例nWindows中的安全配置分析中的安全配置分析第六十六页，编辑于星期六：十六点 十五分。Page 67启启明明星星辰辰信信息息技技术术有有限限公公司司本地审计本地审计提取数据示例提取数据示例nLinux的帐号策略的帐号策略第六十七页，编辑于星期六：十六点 十五分。Page 68启启明明星星辰辰信信息息技技术术有有限限公公司司Venus评估方法评估方法资产评估资产评估脆弱性识别脆弱性识别威胁分析威胁分析风险分析风险分析安全建议安全建议第六十八页，编辑于星期六：十六点 十五分。Page 69启启明明星星辰辰信信息息技技术术有有限限公公司司威胁分析威胁分析n威胁是一种对系统、组织及其资产构成潜在破坏能力的威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件可能性因素或者事件n威胁来源威胁来源q通过网络途径的人员威胁：通过与组织互联的各种网络发起的人为故意、无意的威胁。q通过物理途径的人员威胁：对各种IT组件、介质等所处物理环境发起的人为故意、无意的威胁。q系统威胁：信息技术系统自身引起的威胁，例如硬件故障、软件故障。q环境威胁：IT组件、介质等所处的物理环境引起的威胁，例如自然灾害、电源故障等。第六十九页，编辑于星期六：十六点 十五分。Page 70启启明明星星辰辰信信息息技技术术有有限限公公司司常见威胁常见威胁n黑客攻击黑客攻击q网络探测和信息采集、系统信息收集或漏洞探测、嗅探系统安全配置数据（账户、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取、控制和破坏系统运行、控制和破坏用户或业务数据 n恶意代码恶意代码q木马后门、病毒传播、间谍软件、窃听软件 n操作失误操作失误q维护错误、操作失误n软硬件故障软硬件故障 q设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障 第七十页，编辑于星期六：十六点 十五分。Page 71启启明明星星辰辰信信息息技技术术有有限限公公司司威胁分析方法威胁分析方法n文档审阅文档审阅q分析系统架构、网络拓扑等文档，研究可能发生威胁的路径q分析安全工作文档、记录，查看是否有历史事件的记录n人员访谈人员访谈q访谈各相关人员，以发现在日常工作中发生过和/或怀疑可能发生的安全事件等n分析脆弱性识别的结果分析脆弱性识别的结果q鉴别可以利用各脆弱性的威胁来源第七十一页，编辑于星期六：十六点 十五分。Page 72启启明明星星辰辰信信息息技技术术有有限限公公司司Venus评估方法评估方法资产评估资产评估脆弱性识别脆弱性识别威胁分析威胁分析风险分析风险分析安全建议安全建议第七十二页，编辑于星期六：十六点 十五分。Page 73启启明明星星辰辰信信息息技技术术有有限限公公司司风险分析风险分析n风险分析是综合资产评估、脆弱性识别和威风险分析是综合资产评估、脆弱性识别和威胁分析的结果，判断风险发生的可能性及影胁分析的结果，判断风险发生的可能性及影响，最终确定风险级别响，最终确定风险级别n风险分析方法风险分析方法q创建风险级别矩阵q针对资产，根据脆弱性识别和威胁分析的结果，分析已有的安全措施，确定威胁发生的可能性和影响级别（影响级别最高为资产的赋值）q将可能性和影响级别输入风险级别矩阵，形成最终的风险级别第七十三页，编辑于星期六：十六点 十五分。Page 74启启明明星星辰辰信信息息技技术术有有限限公公司司风险级别矩阵（示例）风险级别矩阵（示例）威胁成功利用脆弱性的可能性威胁成功利用脆弱性的可能性威胁成功利用脆弱性的可能性威胁成功利用脆弱性的可能性影影影影响响响响HEEEEHHEEEMMHHELLMHHLLLMH54321ABCDE1无关重要2较小3中等4较大5灾难性A罕见B不太可能C可能D很可能E几乎肯定E极度风险H高风险M中等风险L低风险第七十四页，编辑于星期六：十六点 十五分。Page 75启启明明星星辰辰信信息息技技术术有有限限公公司司风险分析示例风险分析示例n资产赋值资产赋值q某数据库服务器，保存着部分顾客的重要资料，如果被篡改，将会给公司带来损失，因此资产价值被赋值为3（中等）n脆弱性识别脆弱性识别q通过脆弱性识别，该服务器上存在着已离职员工的帐号n威胁分析威胁分析q已离职员工或知道已离职员工帐号密码的人员有可能利用用户帐号进入数据库服务器，篡改其上的数据n现有安全措施分析现有安全措施分析q该数据库服务器与外部网络完全隔离第七十五页，编辑于星期六：十六点 十五分。Page 76启启明明星星辰辰信信息息技技术术有有限限公公司司风险分析示例风险分析示例n风险分析风险分析q综合以上分析，如果数据库上的数据被篡改，对公司的影响值为3（中等）；已经实施了较强的安全措施，并且审计日志中未曾发现该帐号被使用的迹象，因此根据经验判断可能性为B（不太可能）q根据可能性和影响级别，参考风险级别矩阵，确定风险级别为M（中等风险）威胁成功利用脆弱性的可能性威胁成功利用脆弱性的可能性威胁成功利用脆弱性的可能性威胁成功利用脆弱性的可能性影影影影响响响响HEEEEHHEEEMMHHELLMHHLLLMH54321ABCDE第七十六页，编辑于星期六：十六点 十五分。Page 77启启明明星星辰辰信信息息技技术术有有限限公公司司Venus评估方法评估方法资产评估资产评估脆弱性识别脆弱性识别威胁分析威胁分析风险分析风险分析安全建议安全建议第七十七页，编辑于星期六：十六点 十五分。Page 78启启明明星星辰辰信信息息技技术术有有限限公公司司安全建议安全建议n安全建议安全建议q根据风险分析结果提出控制风险的安全建议n对风险的处理方式对风险的处理方式q降低风险应用适当的控制措施q接受风险由于投入过高和收效不明显q避免风险因为风险的代价太高，不允许执行会产生风险的活动q转移风险转嫁给第三方（保险公司、供应商）第七十八页，编辑于星期六：十六点 十五分。Page 79启启明明星星辰辰信信息息技技术术有有限限公公司司安全建议示例安全建议示例n针对风险分析示例里的某数据库服务器例子，针对风险分析示例里的某数据库服务器例子，提出以下建议：提出以下建议：q立即删除已离职员工帐号q建立帐号管理规程，以在员工离职时系统管理人员能够及时收到通知，删除不再需要的员工帐号q定期备份数据库服务器上的数据，以在数据被篡改时能够及时恢复正确的数据第七十九页，编辑于星期六：十六点 十五分。Page 80启启明明星星辰