信息安全风险评估.ppt

《信息安全风险评估.ppt》由会员分享，可在线阅读，更多相关《信息安全风险评估.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息信息安全风险评估安全风险评估风险评估流程介绍风险评估特点介绍风险评估与等级保护的结合绿盟科技绿盟科技 服务产品部服务产品部 孙铁孙铁 20082008年年3 3月月2Professional Security Solution Provider员工和客户访问资源员工和客户访问资源员工和客户访问资源员工和客户访问资源可用性可用性可用性可用性客户和业务信息的保护客户和业务信息的保护客户和业务信息的保护客户和业务信息的保护机密性机密性机密性机密性客户和业务信息的可信赖性客户和业务信息的可信赖性客户和业务信息的可信赖性客户和业务信息的可信赖性完整性完整性完整性完整性信息安全的涵义信息安全的涵义Co

2、nfidentiality：阻止未经授权的用户读取数据Integrity：阻止未经授权的用户修改或删除数据Availability：保证授权实体在需要时可以正常地使用系统3Professional Security Solution ProviderConfidentiality保密性保密性Availability可用性可用性Integrity完整性完整性在某些在某些组织中，中，完整性和完整性和/或可用性比保密性更重要或可用性比保密性更重要信息安全的概念信息安全的概念4Professional Security Solution ProviderIntegrityAvailabilityCon

3、fidentialityCorrectnessCompletenessValidityAuthenticityNon-repudiationContinuityPunctualityExclusivityManipulationDestructionFalsificationRepudiationDivulgationInterruptionDelaySECURITY=QUALITY5Professional Security Solution Provider四种信息安全工作模式四种信息安全工作模式事件导向事件导向 没有统一的安全管理部门 没有安全预算 非正规的安全组织和流程实施了基本的安全

4、工具流程导向流程导向 信息安全由IT部门管理 有科学的安全预算 有正式的安全组织和流程 实施了基本的安全工具 风险导向风险导向 信息安全由CIO直接负责有与风险平衡的安全预算 基于风险而整合的基础设施 使用主动性安全技术信息安全由IT部门管理有科学的安全预算分布式管理和非正规流程 有较强的安全技术资源 技术导向技术导向技术要求技术要求高高流流程程要要求求高高6Professional Security Solution Provider风险避免，避免，风险降低，降低，风险转移，移，风险接受接受安全性安全性风险性性安全需求安全需求 高高高高低低安全安全风险 支出平衡点支出平衡点安全的风险管理安全

5、的风险管理7Professional Security Solution Provider 风险评估的发展现状风险评估的发展现状 8Professional Security Solution Provider信息安全风险评估在美国的发展信息安全风险评估在美国的发展 第一个阶段（第一个阶段（60-7060-70年代）以计算机为对象的信息保密阶段年代）以计算机为对象的信息保密阶段 1967年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。特点：特点：仅重点针对了计

6、算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二个阶段（第二个阶段（80-9080-90年代）以计算机和网络为对象的信息系统安全保护阶段年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面的风险评估。第三个阶段（第三个阶段（9090年代末，年代末，2121世纪初）以信息系统为对象的信息保障阶段世纪初）以信息系统为对象的信息保障阶段随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路 9Prof

7、essional Security Solution Provider我国风险评估发展我国风险评估发展2002年在863计划中首次规划了系统安全风险分析和评估方法研究课题 2003年8月至今年在国信办直接指导下，组成了风险评估课题组 2004年,国家信息中心风险评估指南,风险管理指南 2005年,全国风险评估试点在试点和调研基础上，由国信办会同公安部，安全部，等起草了关于开展信息安全风险评估工作的意见征求意见稿 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作 10Professional Security Solution Provider银行业银行业金融机构信息系统风

8、险管理指金融机构信息系统风险管理指引引银行业金融机构内部审计指引银行业金融机构内部审计指引 2006年度信息科技风险内部和外部年度信息科技风险内部和外部评价审计的通知评价审计的通知提纲提纲11Professional Security Solution Provider风险评估要素关系模型风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值12Professional Security Solution Provider风险评估流程风险评估流程确定评估范围资产的识别和影响分析威胁识

9、别脆弱性评估威胁分析风险分析风险管理13Professional Security Solution Provider风险评估原则风险评估原则符合性原则标准性原则 规范性原则可控性原则 保密性原则 整体性原则 重点突出原则最小影响原则 14Professional Security Solution Provider评估依据的标准和规范评估依据的标准和规范信息安全管理标准ISO17799（GB/T19716）、ISO27001信息安全管理指南ISO 13335（GB/T19715)信息安全通用准则ISO 15408（GB/T18336）系统安全工程能力成熟模型SSE-CMM 国家信息中心风险评

10、估指南国家信息中心风险管理指南计算机信息系统安全等级保护划分准则（GB/T17859）计算机信息系统等级保护相关规范其他相关标准（AS/NZS 4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSI PD3000，GB/T17859，IATF）相关法规及行业政策15Professional Security Solution Provider资产的识别与影响分析资产的识别与影响分析业务应用系统调研业务影响分析资产属性：可用性、完整性、保密性影响分析：经济损失、业务影响、系统破坏、信誉影响、商机泄露、法律责任、人身安全、公共秩序、商业利益 估价公式：Asset Value=

11、Round1Log2(2Conf+2Int+2Avail)/3Asset Value=Round1Log2(2Conf+2Int+2Avail)/3 划分边界 区分子系统辅助定级信息资产识别物理资产软件资产硬件资产其他资产16Professional Security Solution Provider业务调研方法业务调研方法17Professional Security Solution Provider威胁评估威胁评估威胁识别系统合法用户 操作错误，滥用授权，行为抵赖 系统非法用户 身份假冒，密码分析，漏洞利用，拒绝服务，恶意代码，窃听数据，物理破坏，社会工程系统组件 意外故障，通信中断物

12、理环境 电源中断，灾难 威胁属性：威胁的可能性18Professional Security Solution ProviderTelnetTelnetSMTPSMTPDNSDNSFTPFTPUDPUDPTCPTCPIPIP以太网以太网无线网络无线网络SATNETSATNETARPNETARPNET应用程序攻击应用程序攻击监听，拒绝服务监听，拒绝服务系统漏洞利用系统漏洞利用硬件设备破坏硬件设备破坏电磁监听电磁监听物理窃取物理窃取WindowsWindows*nix*nix*BSD*BSDLinuxLinux应用层应用层系统层系统层网络层网络层物理层物理层管理层管理层信息系统每个层次都存在威胁信

13、息系统每个层次都存在威胁19Professional Security Solution Provider脆弱性评估脆弱性评估技术脆弱性评估管理脆弱性评估现有安全措施评估脆弱性的属性：脆弱性被威胁利用成功的可能性存在的攻击方法技术脆弱程度管理脆弱程度20Professional Security Solution Provider脆弱性数据来源脆弱性数据来源技术方面工具扫描功能验证人工检查渗透测试日志分析网络架构分析管理方面文档审核问卷调查顾问访谈安全策略分析21Professional Security Solution Provider威胁及脆弱性评估工具威胁及脆弱性评估工具网络入侵检测系

14、统远程评估系统安全检测包（LSAS）Microsoft安全基准分析器风险评估分析工具风险信息库工具22Professional Security Solution Provider工具扫描工具扫描 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务 域名服务 Mail服务SQL注入检查 Windows远程访问 数据库问题 后门程序 其他服务 网络拒绝服务(DOS)其他问题 23Professional Security Solution Provider工具扫描工具扫描24Professional Security Solution Provider人工检查人工检查路由

15、器、交换机等网络设备的配置是否最优，是否配置了安全参数；主机系统的安全配置策略是否最优，是否进行了安全增强；终端设备的安全配置策略是否最优，是否进行了安全增强;对终端设备和主机系统抽查进行病毒扫描；对防火墙、入侵检测、SUS、SMS等安全产品安全策略及其日志进行分析。25Professional Security Solution ProviderIDS采样分析采样分析26Professional Security Solution Provider渗透测试渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术，对重点目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试的目的不是发现系统所

16、有的问题，而是从一个侧面反映系统现有的安全状况和安全强度，从而以一种直观的方式增强单位的信息安全认知度，提高单位对信息安全的重视程度。根据用户方需求决定是否采用。27Professional Security Solution Provider调查对象网络系统管理员、安全管理员、技术负责人等调查内容业务、资产、威胁、脆弱性（管理方面）设计原则完整性具体性简洁性一致性问卷调查问卷调查28Professional Security Solution Provider访谈对象安全管理员、技术负责人、网络系统管理员等访谈内容确认问卷调查结果详细获取管理执行现状听取用户想法和意见顾问访谈顾问访谈29Pr

17、ofessional Security Solution Provider安全策略分析安全策略分析安全策略文档是否全面覆盖了整体网络在各方各面的安全性描述，与BS7799进行差距分析；在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；安全策略中的每一项内容是否都得到确认和具体落实。30Professional Security Solution Provider系统架构分析系统架构分析系统建设的规范性：网络安全规划、设备命名规范性、网络架构安全性；网络的可靠性：网络设备和链路冗余、设备选型及可扩展性；网络边界安全：网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN（二层ACL）

18、等；网络协议分析：路由、交换、组播、IGMP、CGMP、IPv4、IPv6等协议；网络流量分析：带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力；网络通信安全：通信监控、通信加密、VPN分析等；设备自身安全：SNMP、口令、设备版本、系统漏洞、服务、端口等；网络管理：网管系统、客户端远程登陆协议、日志审计、设备身份验证等。31Professional Security Solution Provider风险分析风险分析风险计算：RF（A，T，V）威胁路径风险综合分析：对所有风险进行识别、统计、分析，确定极度风险，为下一步安全措施的选择提供依据。极度风险SWOT分析。32Profess

19、ional Security Solution Provider 优势弱势机会威胁矩阵（优势弱势机会威胁矩阵（SWOT)优势优势S S优势项目优势项目弱势弱势WW弱势项目弱势项目1 1 2 2 n n1 1 2 2 n n1 1 2 2 n n1 1 2 2 n n机会机会O O威胁威胁T TSOSOWOWOSTSTWTWT利用机会利用机会发挥优势发挥优势利用机会利用机会克服弱势克服弱势利用优势利用优势降低威胁降低威胁减少弱势减少弱势回避威胁回避威胁在内部、外部关键要素确在内部、外部关键要素确定的基础上，根据判断结定的基础上，根据判断结果将内部优势与劣势、外果将内部优势与劣势、外部机会与威胁分

20、别列出，部机会与威胁分别列出，有内因到外因两种状态相有内因到外因两种状态相匹配，形成了匹配，形成了SOSO、WOWO、STST、WTWT四种不同组合四种不同组合1 1 2 2 n n1 1 2 2 n n1 1 2 2 n n1 1 2 2 n n33Professional Security Solution Provider风险管理风险管理风险分类处理建议E：极度风险-要求立即采取措施H：高风险-需要高级管理部门的注意M：中等风险-必须规定管理责任L:低风险-用日常程序处理风险处理方式包括：降低、避免、转移、接受制定安全解决方案鉴定已有措施组织安全策略的规范化安全需求补充 技术和费用衡量3

21、4Professional Security Solution Provider风险计算模型风险计算模型35Professional Security Solution Provider输出结果输出结果最终报告风险评估报告 风险评估范围资产评估报告威胁评估报告脆弱性评估报告风险分析报告安全现状分析报告安全建议方案 安全规划方案ISMS管理体系测试及加固报告安全漏洞扫描报告 网络设备人工检查报告主机设备人工检查报告日志分析报告渗透测试报告安全修补及加固方案36Professional Security Solution Provider建议方案总体思路建议方案总体思路安全组织体系安全组织体系安全

22、管理体系安全管理体系安全技术体系安全技术体系建设全面的信息安全保障体系建设全面的信息安全保障体系37Professional Security Solution Provider安全组织体系安全组织体系安全组织体系安全组织体系决策层决策层管理层管理层业务安全决策 安全战略规划 安全保证决策信息安全领导小组信息安全领导小组信息安全管理部门信息安全管理部门安全管理 系统安全工程 安全保证管理信息安全执行部门信息安全执行部门实施与运作 运行管理 安全保证实施执行层执行层 建立安全组织三层结构建立安全组织三层结构 明确部门及岗位安全职责明确部门及岗位安全职责 建立兼职安全管理岗位建立兼职安全管理岗位

23、技术岗位任职资格规范技术岗位任职资格规范 建立岗位资格考核制度建立岗位资格考核制度 建立关键岗位审计制度建立关键岗位审计制度 建立适宜安全培训体系建立适宜安全培训体系组织体系为组织体系为核心！核心！38Professional Security Solution Provider安全管理体系安全管理体系管理体系为管理体系为保障！保障！39Professional Security Solution Provider安全技术体系安全技术体系技术体系为技术体系为支撑！支撑！40Professional Security Solution Provider安全规划方案安全规划方案防病毒安全域划分与边

24、界整合入侵检测系统日志审计系统设备安全加固整体安全体系整体安全体系技术体系建设技术体系建设补丁分发应用系统代码审核抗拒绝服务系统组织体系建设组织体系建设管理体系建设管理体系建设一一期期二二期期三三期期流量监控系统安全组织结构组织安全职责安全岗位设置岗位安全职责基础安全培训高级安全培训中级安全培训岗位考核管理安全管理培训安全巡检小组确定总体方针统一安全策略体系基础制度管理资产登记管理主机安全管理基础流程管理安全技术管理网络安全管理应用安全管理数据安全管理应急安全管理工程安全管理安全审计管理身份认证访问控制（防火墙，网络设备，隔离设备）安全通告漏洞扫描行为审计系统终端管理系统应急灾备中心无此措施需

25、要完善已有措施VPN41Professional Security Solution Provider远景展望远景展望一期：基础安全技术保障措施建设，区、地州级基础安全管理体系建设二期：增强性安全技术保障措施，区、地州级安全管理体系完善建设三期：安全管理中心建设，完善的安全技术、安全管理测评体系建设基线安全基线安全中级安全中级安全稳定运营稳定运营42Professional Security Solution ProviderISMSISMS体系体系43Professional Security Solution Provider评估过程中风险的规避评估过程中风险的规避数据泄露的风险规避签署保

26、密协议实施工具的数据清除工具实施的风险规避实施前的数据备份确认后的实施计划确认后的应急和回退方案 总结阶段风险的控制 采集的数据进行确认分析方法进行确认44Professional Security Solution Provider质量保证和管理质量保证和管理专职的质量控制人员 质量控制措施配置管理 变更控制管理 项目沟通 合同评审 设计控制 过程控制 服务控制 报告 45Professional Security Solution Provider评估中的相关服务评估中的相关服务安全培训安全咨询安全加固安全通告应急响应培养、提高用户自评估能力46Professional Security

27、Solution Provider等级化思想等级化思想47Professional Security Solution Provider等级保护咨询服务内容等级保护咨询服务内容 资料来源：罗兰贝格等级保护咨询服务等级保护咨询服务 信息系统划分信息系统划分安全运行管理阶段安全运行管理阶段 安全实施安全实施/实现阶段实现阶段 安全规划设计阶段安全规划设计阶段 安全定级阶段安全定级阶段 系统业务安全性分析系统业务安全性分析 系统辅助定级系统辅助定级 等级保护导入培训等级保护导入培训系统安全需求导出系统安全需求导出 等级化风险评估等级化风险评估 系统安全总体设计系统安全总体设计 安全建设规划安全建设规

28、划 阶段性风险评估阶段性风险评估 安全方案设计安全方案设计 安全管理体系设计安全管理体系设计 整改方案制定及实施整改方案制定及实施 安全岗位培训安全岗位培训 安全技术实施安全技术实施 安全状态监控安全状态监控 安全事件处置安全事件处置应急响应应急响应 48Professional Security Solution Provider风险评估最新发展特点风险评估最新发展特点业务先导丰富的数据收集手段动态风险评估风险评估数据结构化规划 设计 实施 ISMS 反向测试方法风险评估与等级保护结合 49Professional Security Solution ProviderQ&A绿盟科技绿盟科技 巨人背后的专家巨人背后的专家谢谢 谢！谢！