《信息安全风险评估概述(ppt 51页).ppt》由会员分享,可在线阅读,更多相关《信息安全风险评估概述(ppt 51页).ppt(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全风险评估风险评估流程介绍风险评估特点介绍风险评估与等级保护的结合绿盟科技 服务产品部 孙铁 2008年3月2Professional Security Solution Provider员工和客户访问资源 员工和客户访问资源可用性 可用性客户和业务信息的保护 客户和业务信息的保护机密性 机密性客户和业务信息的可信赖性 客户和业务信息的可信赖性完整性完整性信息安全的涵义 Confidentiality:阻止未经授权的用户读取数据 Integrity:阻止未经授权的用户修改或删除数据 Availability:保证授权实体在需要时可以正常地使用系统3Professional Securit
2、y Solution ProviderConfidentiality保密性Availability可用性Integrity完整性在某些组织中,完整性和/或可用性比保密性更重要信息安全的概念4Professional Security Solution ProviderI ntegri t yA v ailabili t yConfidentiali t yCorr ectnessCompletenessV alidi t yA uthentici t yNon-r epudiationContinui t yPunctuali t y Ex clusivi t yManipulationDes
3、tructionF alsi ficationR epudiationDivulgationI nterruptionDela ySECURITY=QUALITY5Professional Security Solution Provider四种信息安全工作模式事件导向 没有统一的安全管理部门 没有安全预算 非正规的安全组织和流程实施了基本的安全工具流程导向 信息安全由IT部门管理 有科学的安全预算 有正式的安全组织和流程 实施了基本的安全工具 风险导向 信息安全由CIO直接负责有与风险平衡的安全预算 基于风险而整合的基础设施 使用主动性安全技术信息安全由IT部门管理有科学的安全预算分布式管理
4、和非正规流程 有较强的安全技术资源 技术导向技术要求高流程要求高6Professional Security Solution Provider风险避免,风险降低,风险转移,风险接受安全性风险性安全需求 高高 低安全风险 支出平衡点安全的风险管理7Professional Security Solution Provider 风险评估的发展现状 8Professional Security Solution Provider信息安全风险评估在美国的发展 第一个阶段(60-70年代)以计算机为对象的信息保密阶段 1967年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITI
5、E)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作了第一次比较大规模的风险评估。特点:仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二个阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,因而在严格意义上仍不是全面的风险评估。第三个阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路 9Professi
6、onal Security Solution Provider我国风险评估发展 2002年在863计划中首次规划了系统安全风险分析和评估方法研究课题 2003年8月至今年在国信办直接指导下,组成了风险评估课题组 2004年,国家信息中心风险评估指南,风险管理指南 2005年,全国风险评估试点 在试点和调研基础上,由国信办会同公安部,安全部,等起草了关于开展信息安全风险评估工作的意见征求意见稿 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作 10Professional Security Solution Provider 银行业金融机构信息系统风险管理指引 银行业金融机
7、构内部审计指引 2006年度信息科技风险内部和外部评价审计的通知提纲11Professional Security Solution Provider风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求 威胁 风险残余风险 安全事件依赖拥有被满足利用暴露降低增加增加 导出演变 未被满足未控制 可能诱发残留成本资产资产价值12Professional Security Solution Provider风险评估流程 确定评估范围 资产的识别和影响分析 威胁识别 脆弱性评估 威胁分析 风险分析 风险管理13Professional Security Solution Provider风险评估原
8、则 符合性原则 标准性原则 规范性原则 可控性原则 保密性原则 整体性原则 重点突出原则 最小影响原则 14Professional Security Solution Provider评估依据的标准和规范 信息安全管理标准ISO17799(GB/T19716)、ISO27001 信息安全管理指南ISO 13335(GB/T19715)信息安全通用准则ISO 15408(GB/T18336)系统安全工程能力成熟模型SSE-CMM 国家信息中心风险评估指南 国家信息中心风险管理指南 计算机信息系统安全等级保护划分准则(GB/T17859)计算机信息系统等级保护相关规范 其他相关标准(AS/NZS
9、 4360,GAO/AIMD-00-33,GAO/AIMD-98-68,BSI PD3000,GB/T17859,IATF)相关法规及行业政策15Professional Security Solution Provider资产的识别与影响分析 业务应用系统调研 业务影响分析 资产属性:可用性、完整性、保密性 影响分析:经济损失、业务影响、系统破坏、信誉影响、商机泄露、法律责任、人身安全、公共秩序、商业利益 估价公式:Asset Value=Round1Log2(2Conf+2Int+2Avail)/3 划分边界 区分子系统 辅助定级 信息资产识别 物理资产 软件资产 硬件资产 其他资产16P
10、rofessional Security Solution Provider业务调研方法17Professional Security Solution Provider威胁评估 威胁识别系统合法用户 操作错误,滥用授权,行为抵赖 系统非法用户 身份假冒,密码分析,漏洞利用,拒绝服务,恶意代码,窃听数据,物理破坏,社会工程系统组件 意外故障,通信中断物理环境 电源中断,灾难 威胁属性:威胁的可能性18Professional Security Solution ProviderTelnet SMTP DNS FTPUDP TCP IP以太网 无线网络 SATNET ARPNET应用程序攻击监听
11、,拒绝服务系统漏洞利用硬件设备破坏电磁监听物理窃取Windows*nix*BSD Linux应用层系统层网络层物理层管理层信息系统每个层次都存在威胁19Professional Security Solution Provider脆弱性评估 技术脆弱性评估 管理脆弱性评估 现有安全措施评估 脆弱性的属性:脆弱性被威胁利用成功的可能性 存在的攻击方法 技术脆弱程度 管理脆弱程度20Professional Security Solution Provider脆弱性数据来源 技术方面 工具扫描 功能验证 人工检查 渗透测试 日志分析 网络架构分析 管理方面 文档审核 问卷调查 顾问访谈 安全策略分
12、析21Professional Security Solution Provider威胁及脆弱性评估工具 网络入侵检测系统 远程评估系统 安全检测包(LSAS)Microsoft安全基准分析器 风险评估分析工具 风险信息库工具22Professional Security Solution Provider工具扫描 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务 域名服务 Mail服务SQL注入检查 Windows远程访问 数据库问题 后门程序 其他服务 网络拒绝服务(DOS)其他问题 23Professional Security Solution Provide
13、r工具扫描24Professional Security Solution Provider人工检查 路由器、交换机等网络设备的配置是否最优,是否配置了安全参数;主机系统的安全配置策略是否最优,是否进行了安全增强;终端设备的安全配置策略是否最优,是否进行了安全增强;对终端设备和主机系统抽查进行病毒扫描;对防火墙、入侵检测、SUS、SMS等安全产品安全策略及其日志进行分析。25Professional Security Solution ProviderIDS采样分析26Professional Security Solution Provider渗透测试 完全模拟黑客可能使用的攻击技术和漏洞发
14、现技术,对重点目标系统的安全作深入的探测,发现系统最脆弱的环节。渗透测试的目的不是发现系统所有的问题,而是从一个侧面反映系统现有的安全状况和安全强度,从而以一种直观的方式增强单位的信息安全认知度,提高单位对信息安全的重视程度。根据用户方需求决定是否采用。27Professional Security Solution Provider 调查对象网络系统管理员、安全管理员、技术负责人等 调查内容业务、资产、威胁、脆弱性(管理方面)设计原则完整性具体性简洁性一致性问卷调查28Professional Security Solution Provider 访谈对象安全管理员、技术负责人、网络系统管理
15、员等 访谈内容确认问卷调查结果详细获取管理执行现状听取用户想法和意见顾问访谈29Professional Security Solution Provider安全策略分析 安全策略文档是否全面覆盖了整体网络在各方各面的安全性描述,与BS7799进行差距分析;在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效;安全策略中的每一项内容是否都得到确认和具体落实。30Professional Security Solution Provider系统架构分析 系统建设的规范性:网络安全规划、设备命名规范性、网络架构安全性;网络的可靠性:网络设备和链路冗余、设备选型及可扩展性;网络边界安全:网络
16、设备的ACL、防火墙、隔离网闸、物理隔离、VLAN(二层ACL)等;网络协议分析:路由、交换、组播、IGMP、CGMP、IPv4、IPv6等协议;网络流量分析:带宽流量分析、异常流量分析、QOS配置分析、抗拒绝服务能力;网络通信安全:通信监控、通信加密、VPN分析等;设备自身安全:SNMP、口令、设备版本、系统漏洞、服务、端口等;网络管理:网管系统、客户端远程登陆协议、日志审计、设备身份验证等。31Professional Security Solution Provider风险分析 风险计算:RF(A,T,V)威胁路径 风险综合分析:对所有风险进行识别、统计、分析,确定极度风险,为下一步安全
17、措施的选择提供依据。极度风险SWOT分析。32Professional Security Solution Provider 优势弱势机会威胁矩阵(SWOT)优势S优势项目弱势W弱势项目1 2 n1 2 n1 2 n1 2 n机会O威胁TSO WOSTWT利用机会发挥优势利用机会克服弱势利用优势降低威胁减少弱势回避威胁在内部、外部关键要素确定的基础上,根据判断结果将内部优势与劣势、外部机会与威胁分别列出,有内因到外因两种状态相匹配,形成了SO、WO、ST、WT四种不同组合1 2 n1 2 n1 2 n1 2 n33Professional Security Solution Provider风
18、险管理 风险分类处理建议E:极度风险-要求立即采取措施H:高风险-需要高级管理部门的注意M:中等风险-必须规定管理责任L:低风险-用日常程序处理 风险处理方式包括:降低、避免、转移、接受 制定安全解决方案鉴定已有措施组织安全策略的规范化安全需求补充 技术和费用衡量34Professional Security Solution Provider风险计算模型35Professional Security Solution Provider输出结果 最终报告风险评估报告 风险评估范围 资产评估报告 威胁评估报告 脆弱性评估报告 风险分析报告安全现状分析报告安全建议方案 安全规划方案 ISMS管理体
19、系 测试及加固报告安全漏洞扫描报告 网络设备人工检查报告主机设备人工检查报告日志分析报告渗透测试报告安全修补及加固方案36Professional Security Solution Provider建议方案总体思路安全组织体系 安全管理体系 安全技术体系建设全面的信息安全保障体系37Professional Security Solution Provider安全组织体系安全组织体系决策层管理层业务安全决策 安全战略规划 安全保证决策信息安全领导小组信息安全管理部门安全管理 系统安全工程 安全保证管理信息安全执行部门实施与运作 运行管理 安全保证实施执行层 建立安全组织三层结构 明确部门及岗
20、位安全职责 建立兼职安全管理岗位 技术岗位任职资格规范 建立岗位资格考核制度 建立关键岗位审计制度 建立适宜安全培训体系组织体系为核心!38Professional Security Solution Provider安全管理体系管理体系为保障!39Professional Security Solution Provider安全技术体系技术体系为支撑!40Professional Security Solution Provider安全规划方案防病毒安全域划分与边界整合入侵检测系统日志审计系统设备安全加固整体安全体系技术体系建设补丁分发应用系统代码审核抗拒绝服务系统组织体系建设管理体系建设一
21、期二期三期流量监控系统安全组织结构 组织安全职责安全岗位设置 岗位安全职责基础安全培训高级安全培训中级安全培训岗位考核管理安全管理培训安全巡检小组确定总体方针 统一安全策略体系基础制度管理资产登记管理主机安全管理基础流程管理安全技术管理网络安全管理应用安全管理数据安全管理应急安全管理工程安全管理安全审计管理身份认证访问控制(防火墙,网络设备,隔离设备)安全通告 漏洞扫描行为审计系统终端管理系统应急灾备中心无此措施需要完善已有措施VPN41Professional Security Solution Provider远景展望一期:基础安全技术保障措施建设,区、地州级基础安全管理体系建设二期:增强
22、性安全技术保障措施,区、地州级安全管理体系完善建设三期:安全管理中心建设,完善的安全技术、安全管理测评体系建设基线安全中级安全稳定运营42Professional Security Solution ProviderISMS 体系43Professional Security Solution Provider评估过程中风险的规避 数据泄露的风险规避 签署保密协议 实施工具的数据清除 工具实施的风险规避 实施前的数据备份 确认后的实施计划 确认后的应急和回退方案 总结阶段风险的控制 采集的数据进行确认 分析方法进行确认44Professional Security Solution Provi
23、der质量保证和管理 专职的质量控制人员 质量控制措施配置管理 变更控制管理 项目沟通 合同评审 设计控制 过程控制 服务控制 报告 45Professional Security Solution Provider评估中的相关服务 安全培训 安全咨询 安全加固 安全通告 应急响应 培养、提高用户自评估能力46Professional Security Solution Provider等级化思想47Professional Security Solution Provider等级保护咨询服务内容 资料来源:罗兰贝格等级保护咨询服务 信息系统划分安全运行管理阶段 安全实施/实现阶段 安全规划设
24、计阶段 安全定级阶段 系统业务安全性分析 系统辅助定级 等级保护导入培训 系统安全需求导出 等级化风险评估 系统安全总体设计 安全建设规划 阶段性风险评估 安全方案设计 安全管理体系设计 整改方案制定及实施 安全岗位培训 安全技术实施 安全状态监控 安全事件处置应急响应 48Professional Security Solution Provider风险评估最新发展特点 业务先导 丰富的数据收集手段 动态风险评估 风险评估数据结构化 规划 设计 实施 ISMS 反向测试方法 风险评估与等级保护结合 49Professional Security Solution ProviderQ&A绿盟科技 巨人背后的专家谢 谢!