網絡與信息安全風險評價報告

1、網絡與信息安全風險評估目錄【最新資料，WORD文檔，可編輯修改】1 .風險評估概述風險評估（RiskAssessment）是指，在風險事件發(fā)生之前或之后（但還沒有結束），該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即，風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。從信息安全的角度來講，風險評估是對信息資產（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。對系統(tǒng)進行風險分析和評估

2、的目的就是了解系統(tǒng)目前與未來的風險所在評估這些風險可能帶來的安全威脅與影響程度為安全策略的確定信息系統(tǒng)的建立及安全運行提供依據同時通過第三方權威或者國際機構評估和認證也給用戶提供了信息技術產品和系統(tǒng)可靠性的信心增強產品單位的競爭力信息系統(tǒng)風險分析和評估是一個復雜的過程一個完善的信息安全風險評估架構應該具備相應的標準體系技術體系組織架構業(yè)務體系和法律法規(guī)。2 .信息安全風險評估指標體系概述指標是評估的工具，是反映評估對象屬性的指示標志。指標體系則是根據評估目標和評估內容的要求構建的一組相關指標，據以搜集評估對象的有關信息資料，反映評估對象的基本面貌、特征和水平。信息安全風險的評估體系是一系列指標

3、的構成體，這些指標之間存在有機的聯(lián)系并相互作用。指標體系通過揭示這種聯(lián)系和相互作用的規(guī)律來反映信息系統(tǒng)的安全狀況，考察系統(tǒng)結構的穩(wěn)定性和抵御風險的能力，辨明安全風險及風險演變的動向和發(fā)展趨勢，最終達到對風險進行有效控制的目的。在信息安全的標準化進程中，主要的風險評估模型有以下幾類：國際標準ISO15408將風險要素定義為：屬主、資產、攻擊者、威脅、漏洞、風險、措施等7個方面，該標準對于系統(tǒng)中人所帶來的風險比較強調，將屬主從資產中分離出來，將攻擊者從威脅分離出來。國際標準ISO13335則將風險要素定義為：資產、資產價值、威脅、脆弱性、風險、防護需求、防護措施等7個方面，該標準是將資產價值從資產

4、中提煉出來，將防護需求從防護措施中提煉出來，這是對于系統(tǒng)中要素屬性的強調。我國國務院信息化工作辦公室推出的信息安全風險評估指南，將風險要素定義為：使命、資產、資產價值、威脅、脆弱性、事件、風險、殘余風險、防護需求、防護措施等10個方面，它比ISO13335擴展了三個要素：使命、殘余風險和事件。引入使命要素是將工作本身之外的原因納入到模型中，強調了整個風險管理工作是被機構的高層推動的。殘余風險是風險的一個部分，主要是強調“安全不可能做到百分之百”。信息安全風險評估的工作過程(1)資產識別資產是對組織具有價值的信息資源，是安全策略保護的對象。可將資產分為數(shù)據、軟件、硬件、文檔、服務、人員等類。對資

5、產的重要性可以賦予不同的等級，并對資產的機密性、完整性、可用性進行賦值。資產賦值的過程也就是對資產在機密性、完整性和可用性上的達成程度進行分析，并在此基礎上得出一個綜合結果的過程。(2)威脅識別威脅是一種對組織及其資產構成潛在破壞的可能性因素。造成威脅的因素可分為人為因素和環(huán)境因素。識別威脅需要考慮的因素包括：資產的吸引力、資產轉化成報酬的容易程度、威脅的技術力量、脆弱性被利用的難易程度、通過過去的安全事件報告或記錄統(tǒng)計各種發(fā)生過的威脅及其發(fā)生頻率、在評估體實際環(huán)境中通過入侵檢測系統(tǒng)獲取的威脅發(fā)生數(shù)據的統(tǒng)計和分析、各種日志中威脅發(fā)生的數(shù)據的統(tǒng)計和分析、過去一年或兩年來國際機構發(fā)布的對于整個社會

6、或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據均值。另外，已有控制措施的情況也是影響威脅可能性的重要因素。(3)脆弱性識別脆弱性是對一個或多個資產弱點的總稱。脆弱性的識別可以以資產為核心，即根據每個資產分別識別其存在的弱點，然后綜合評價該資產的脆弱性；也可以分物理、網絡、系統(tǒng)、應用等層次進行識別，然后與資產、威脅合起來。脆弱性的識別對象包括物理環(huán)境、服務器、網絡結構、數(shù)據庫、應用系統(tǒng)、技術管理、組織管理等。(4)已有安全措施的確認對已經采取的安全措施的效果進行評估。安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全

7、措施可以減少因發(fā)生安全事件對信息系統(tǒng)造成的影響，如業(yè)務持續(xù)性計劃。已有安全措施的確認與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認并不需要像脆弱性識別過程那樣具體到每個資產、組件的弱點，而是一類具體措施的集合。比較明顯的例子是防火墻的訪問控制策略，不必要描述具體的端口控制策略、用戶控制策略，只需要表明采用的訪問控制措施。(5)風險識別對風險的可能性和后果進行評估。在做威脅、脆弱性評估時先不考慮已有控制措施，根據通常狀況進行威脅和脆弱性賦值，然后在最后的風險評估時再考慮，那么以此推理出來的風險計算公式是：風險值=資產值X威脅值X脆弱性值-已有控制措施值。風險評

8、估具體思路與流程目標：評估確定范圍內信息系統(tǒng)安全威脅的風險及相應的風險級別。參加部門：管理部門、關鍵業(yè)務部門、IT部門。評估方法：工具評估、人工評估、滲透測試等。圖1安全風險評估流程圖預期收益：企業(yè)范圍內哪些業(yè)務系統(tǒng)的信息安全風險最大？什么是信息與網絡系統(tǒng)中最關鍵的數(shù)據，采取了哪些安全手段業(yè)務系統(tǒng)安全風險的級別？安全風險可能導致的損失是多少？當前主要的安全威脅是什么？工作流程：1、組建安全風險審計小組：成員包含管理機構、IT機構、各關鍵業(yè)務單位熟悉相關業(yè)務的人員。2、準備如下文檔：當前組織機構圖、列出當前使用的業(yè)務軟件和辦公軟件、網絡框架圖、列出關鍵網絡應用、列出公司的主要產品和服務、公司的商

9、業(yè)計劃（概要）、公司的IT規(guī)劃、已有的安全策略和規(guī)定、關鍵應用的訪問控制規(guī)范和步驟系統(tǒng)管理步驟。3、現(xiàn)場調查：現(xiàn)場調查應包含主要的業(yè)務部門和典型應用機構，以下列出主要的調查內容：當前的員工安全行為。包含：是否了解企業(yè)的主要安全規(guī)范、Internet使用設備的安全使用、介質的標記和存放、出現(xiàn)安全問題時的處理過程。 物理措施。關鍵服務器放置、機房安全（訪問控制、記錄、UPS防火措施、值班監(jiān)控等）。 訪問控制列表。關鍵應用的訪問控制列表及訪問申請步驟。 使用的辦公軟件及方式。 應用系統(tǒng)的主要工作流程。 應用系統(tǒng)故障的損失。 應用系統(tǒng)的主要故障、防范措施、補救措施。 網絡系統(tǒng)的主要故障、防范措施、補救

10、措施。 服務器的主要故障、防范措施、補救措施。4、弱點分析：主要從下列方面進行弱點分析： 規(guī)范和步驟,安全培訓。 訪問控制和訪問日志。,安全管理和日志。 軟件和系統(tǒng)錯誤。 網絡和系統(tǒng)穩(wěn)定性。 計算機系統(tǒng)的物理防護。 備份和冗余措施。 應用系統(tǒng)風險分析 關鍵應用系統(tǒng)詳細風險分析。 主要的安全威脅分析。 風險等級劃分。 安全威脅對關鍵應用的風險分析。 關鍵應用和設施的安全風險計算。 專業(yè)獨到的客戶化分析與總結 威脅分析與總結。 脆弱性分析與總結。 風險分析與總結。分析結果：形成信息與網絡系統(tǒng)風險評估報告3.國內外安全標準介紹“沒有規(guī)矩，不成方圓”這句話在信息系統(tǒng)風險評估領域也是適用的，沒有標準指導

11、下的風險評估是沒有任何意義的。通過依據某個標準的風險評估或者得到該標準的評估認證，不但可為信息系統(tǒng)提供可靠的安全服務，而且可以樹立單位的信息安全形象，提高單位的綜合競爭力。從美國國防部1985年發(fā)布著名的可信計算機系統(tǒng)評估準則TCSE佻世界各國根據自己的研究進展和實際情況，相繼發(fā)布了一系列有關安全評估的準則和標準，如美國的TCSEC英、法、德、荷等國20世紀90年代初發(fā)布的信息技術安全評估準則（ITSEC）;加拿大1993年發(fā)布的可信計算機產品評價準則（CTCPEC,美國1993年制定的信息技術安全聯(lián)邦標準（FC）,美國NSA于20世紀90年代中期提出的信息技術安全性評估通用準則CC由英國標準

12、協(xié)會BSI制定的信息安全管理標準BS779（ISO17799）以及最近得到（ISO）認可的SSE-CMM（ISO/IEC21827:2002籌。我國根據具體情況也加快了對信息安全標準化的步伐和力度相繼頒布了如計算機信息系統(tǒng)安全保護等級劃分準則GB178596信息技術安全性評估準則GB/T18336以及針對不同技術領域其他的一些安全標準下面簡單介紹其中比較典型的幾個標準。CC標準信息技術安全評估公共標準（CCITSEcommoncriteriaofinformationtechnicalsecurityevaluation）,簡稱CC（ISO/IEC15408-1）是美國、加拿大及歐洲4國（共6

13、國7個組織）經協(xié)商同意，于1993年6月起草的，是國際標準化組織統(tǒng)一現(xiàn)有多種準則的結果是目前最全面的評估準則。CC源于TCSEC,但已經完全改進了TCSECCC的主要思想和框架都取自ITSEC（歐）和FC（美）它由三部分內容組成：1）介紹以及一般模型；2）安全功能需求技術上的要求；3）安全認證需求（非技術要求和對開發(fā)過程工程的要求）。CC與早期的評估準則相比主要具有4大特征，1）CC符合PDR模型：2）CC評估準則是面向整個信息產品生存期的；3）CC評估準則不僅考慮了保密性，而且還考慮了完整性和可用性多方面的安全特性；4）CC評估準則有與之配套的安全評估方法CEM（commonevaluati

14、onmethodology）。BS7799(ISO/IEC17799)BS7799標準是由英國標準協(xié)會(BSI)制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括兩部分BS7799-1:1999信息安全管理實施細則；BS7799-2:2002信息安全管理體系規(guī)范，其中BS7799-1:1999于200312月30日通過國際標準化組織(ISO)認可，正式成為國際標準,ISO/IEC17799:2000。BS7799-1:1999信息安全管理實施細則是組織建立并實施信息安全管理體系的一個指導性的準則，BS7799-2:2002以BS7799-1:1999為指南，詳細說明按照PD

15、CA模型建立、實施及文件化信息安全管理體系(ISMS的要求。ISO/IEC21827:2002(SSE-CMM)信息安全工程能力成熟度模型(systemsecurityengineeringcapabilitymaturitymodel)是關于信息安全建設工程實施方面的標準。SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過程。該模型定義了一個安全工程過程應有的特征這些特征，是完善的安全工程的根本保證。SSE-CMM型通常以下述三種方式來應用“過程改善”一可以使一個安全工程組織對其安全工程能力的級別；有一個認識，于是可設計出改善的安全工程過程，這樣就可以提高他們的安全工程能力；能力

16、評估使一個客戶組織可以了解其提供商的安全工程過程能力；“保證”一通過聲明提供一個成熟過程所應具有的各種依據使得產品、系統(tǒng)、服務更具可信性。我國國家標準GB17859我國國家標準計算機信息系統(tǒng)安全保護等級劃分準則GB17859于1999年9月正式批準發(fā)布該準則將計算機信息系統(tǒng)安全分為5級用戶自主保護級系統(tǒng)審核保護級安全標記保護級結構化保護級和訪問驗證保護級4風險評估方法標準在信息系統(tǒng)風險評估過程中的指導作用不容忽視，而在評估過程中使用何種方法對評估的有效性同樣占有舉足輕重的地位。評估方法的選擇直接影響到評估過程中的每個環(huán)節(jié)甚至可以左右最終的評估結果，所以需要根據系統(tǒng)的具體情況，選擇合適的風險評估

17、方法風險評估的方法有很多種，概括起來可分為三大類：定量的風險評估方法、定性的風險評估方法、定性與定量相結合的評估方法。(1)基于知識的評估方法這類方法主要是依靠經驗進行的。經驗從安全專家處獲取并憑此來解決相似場景的風險評估問題。它涉及到對來自類似組織(包括規(guī)模、目標等)的“最佳慣例”的重用。通過采集相關信息，識別組織的風險所在和當前的安全措施(包括識別重要資產、安全需求分析、當前安全實踐分析、威脅和弱點發(fā)現(xiàn)、基于資產的風險分析和評估等)，與特定的標準和慣例進行比較，找出不適合的地方，并按照標準或最佳慣例的推薦，選擇安全措施，最終達到消減和控制風險的目的。這類方法多集中在管理方面，對技術層面涉及

18、較少，組織相似性的判定、被評估組織的安全需求分析以及關鍵資產的確定都是該方法的制約點。(2)基于技術的評估方法技術評估是指對組織的技術基礎結構和程序進行系統(tǒng)、及時的檢查，對組織內部計算環(huán)境的安全性及其對內外攻擊脆弱性的完整性估計。通常包括：評估整個計算基礎結構；使用軟件工具分析基礎結構及其全部組件；提供詳細的分析報告，說明檢測到的技術弱點，并且可能為解決這些弱點建議具體的措施。技術評估強調組織的技術脆弱性。這類方法在技術上分析得比較多，技術弱點把握精確，但在管理上較弱，管理評估存在不足。(3)定量分析方法這類方法有模糊綜合評價法、層次分析法等。層次分析法是一種整理和綜合主觀判斷的客觀方法，適用

19、于多目標、多準則的復雜評價問題。它將目標層次分類展開，將目標按邏輯分類向下展開為若干目標，再把各個目標分別向下展開成分目標或準則，依此類推，直到可定量或可進行定性分析(指標層)為止，然后在比原問題簡單得多的層次上逐步分析?？梢詫⑷说闹饔^判斷用數(shù)量形式處理，同時處理定量和不定量因素。也可以提示人們對問題的主觀判斷是否存在一致性。定量評估方法的結果直觀，容易理解，它要求特別關注資產的價值和威脅的量化數(shù)據，但是資產價值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的。(4)定性分析方法這類方法一般關注威脅事件所帶來的損失，而忽略事件發(fā)生的概率。多數(shù)定性風險分析方法依據組織面臨的威脅、脆弱點以及控制

20、措施等元素來決定安全風險等級。在定性評估時并不使用具體的數(shù)據，往往帶有很強的主觀性，需要憑借分析者的經驗和直覺進行定性分級。如設定每種風險的影響值和概率值為“高”、“中”、“低”。有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別。這種方法操作起來相對容易，但也可能因為操作者的經驗和直覺的偏差而使分析結果失準。信息安全是一個整體性概念，包括很多方面，除了依賴所采用的信息安全技術，還更多的依賴信息安全管理體制。風險評估是一個復雜的系統(tǒng)工程，其中既有硬件，也有軟件；既有外部因素也有內部因素，而且許多方面是相互制約的。另外，不僅構成風險的因素繁多，因素間關系錯綜復雜，因此，綜合利用各種方法的優(yōu)勢，相

21、互補充是指標采集的有效思路。5.風險評估工具風險評估與管理工具根據信息所面臨的威脅的不同分布進行全面考慮，主要從安全管理方面入手，評估信息資產所面臨的威脅。風險評估與管理工具主要分為3類：1 .基于信息安全標準的風險評估2 .基于知識的風險評估3 .基于模型的風險評估輔助性的工具和方法可以利用一些輔助性的工具和方法來采集數(shù)據，包括:?調查問卷一一風險評估者通過問卷形式對組織信息安全的各個方面進行調查，問卷解答可以進行手工分析，也可以輸入自動化評估工具進行分析。從問卷調查中，評估者能夠了解到組織的關鍵業(yè)務、關鍵資產、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。?檢查列表一一檢查列

22、表通常是基于特定標準或基線建立的，對特定系統(tǒng)進行審查的項目條款，通過檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。?人員訪談一一風險評估者通過與組織內關鍵人員的訪談，可以了解到組織的安全意識、業(yè)務操作、管理程序等重要信息。?漏洞掃描器一一漏洞掃描器（包括基于網絡探測和基于主機審計）可以對信息系統(tǒng)中存在的技術性漏洞（弱點）進行評估。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCopScanner等。?滲透測試一一這是一種模擬黑客行為的漏洞探測活動，它不但要掃描目標系統(tǒng)的漏洞，還會通過漏洞利用來驗證此種威脅場景。自動化風險

23、評估工具?除了這些方法和工具外，風險評估過程最常用的還是一些專用的自動化的風險評估工具，無論是商用的還是免費的，此類工具都可以有效地通過輸入數(shù)據來分析風險，最終給出對風險的評價并推薦相應的安全措施。常見的自動化風險評估工具如下：?COBRACOBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英國的C&A系統(tǒng)安全公司推出的一套風險分析工具軟件，它通過問卷的方式來采集和分析數(shù)據，并對組織的風險進行定性分析，最終的評估報告中包含已識別風險的水平和推薦措施。此外，COBRAS支持基于知識的評估方法，可以將組織的安全現(xiàn)狀與ISO17

24、799標準相比較，從中找出差距，提出彌補措施。?CRAMMCRAMMCCTARiskAnalysisandManagementMethod）是由英國政府的中央計算機與電信局（CentralComputerandTelecommunicationsAgency,CCTA于1985年開發(fā)的一種定量風險分析工具，同時支持定性分析。經過多次版本更新（現(xiàn)在是第四版），目前由Insight咨詢公司負責管理和授權。CRAMM1一種可以評估信息系統(tǒng)風險并確定恰當對策的結構化方法，適用于各種類型的信息系統(tǒng)和網絡，也可以在信息系統(tǒng)生命周期的各個階段使用。CRAMME安全模型數(shù)據庫基于著名的“資產/威脅/弱點”模型

25、，評估過程經過資產識別與評價、威脅和弱點評估、選擇合適的推薦對策這三個階段。CRAMM與BS7799標準保持一致，它提供的可供選擇的安全控制多達3000個。除了風險評估，CRAMME可以又t符合ITIL（ITInfrastructureLibrary）指南的業(yè)務連續(xù)性管理提供支持。?ASSETASSET(AutomatedSecuritySelf-EvaluationTool)是美國國家標準技術協(xié)會(NationalInstituteofStandardandTechnology,NIST)發(fā)布的一個可用來進行安全風險自我評估的自動化工具，它采用典型的基于知識的分析方法，利用問卷方式來評估系統(tǒng)

26、安全現(xiàn)狀與NISTSP800-26指南之間的差距。NISTSpecialPublication800-26,即信息技術系統(tǒng)安全自我評估指南(SecuritySelf-AssessmentGuideforInformationTechnologySystems),為組織進行IT系統(tǒng)風險評估提供了眾多控制目標和建議技術。?CORACORA(Cost-of-RiskAnalysis)是由國際安全技術公司(InternationalSecurityTechnology,Inc.)開發(fā)的一種風險管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲風險數(shù)據，為組織的風險管理決策支持

27、提供準確的依據。6.總結風險評估行業(yè)發(fā)展到現(xiàn)在，已經到了一個較為成熟的階段，但是社會的不斷變化，技術的不斷進步，特別是信息行業(yè)的蓬勃發(fā)展，注定信息行業(yè)會面臨更加艱巨的挑戰(zhàn)，作為一位初出茅廬的畢業(yè)生，在往后不斷學習的過程中，也要不斷適應各種變化同時，也要有系統(tǒng)的專業(yè)的知識做后盾，以下是我的一些看法，風險的定義就是不確定性對目標的影響，而風險評估作為信息安全系統(tǒng)工程的重要過程和方法，已經不能局限于傳統(tǒng)的信息安全技術角度，而應該將技術風險的識別與業(yè)務風險的評估統(tǒng)一起來，這樣能解決不同層次的人員對信息系統(tǒng)安全風險評估的要求，有助于風險分析從技術風險上升到業(yè)務風險，有助于分工和內部的合作，這樣能很快的提高評估工作的效率。第二，沒有規(guī)矩，不成方圓”，沒有標準指導下的風險評估是沒有任何意義的。從最初開始接觸風險評估理論到現(xiàn)在，短短的一個星期的時間，對我最大的感觸是信息安全評估真的涉及到很多方面知識，安全標準也是十分龐雜，各種評估標準的側重點也不一樣，比如信息技術安全性評估準則(CC)»和美國國防部可信計算機評估準則(TCSEC)»等更側重于對系統(tǒng)和產品的技術指標的評估，系統(tǒng)安全工程能力成熟模型(SSE-CMM)更側重于對安全產品開發(fā)、安全系統(tǒng)集成等安全工程過程的管