新編-信息系統(tǒng)安全風(fēng)險評估培訓(xùn)材料-精品課件

1、通信網(wǎng)絡(luò)信息安全風(fēng)險評估培訓(xùn)提 綱基礎(chǔ)概念相關(guān)背景介紹什么是風(fēng)險評估為什么要風(fēng)險評估風(fēng)險評估意義風(fēng)險評估內(nèi)容相關(guān)術(shù)語相關(guān)標(biāo)準(zhǔn)風(fēng)險評估通用流程及具體實施實施要點及示例說明我們的安全形勢威脅無處不在網(wǎng)絡(luò)拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道怎么辦？-風(fēng)險評估網(wǎng)絡(luò)面臨的最大威脅是什么？有哪些安全問題？什么是最關(guān)鍵的信息資產(chǎn)？網(wǎng)絡(luò)設(shè)備是否安全？操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)是否安全？您需要什么安全技術(shù)保障？風(fēng)險控制手段？采用了哪些安全措施？是否有效？如何應(yīng)對未來的威脅?我們的網(wǎng)絡(luò)有多安全 ? 如何知道 ? -面臨的問題風(fēng)險評估相關(guān)概念脆弱性/ Vulnerabilit

2、y資產(chǎn)/ Asset存在利用破壞威脅/Threat風(fēng)險/ Risk什么是風(fēng)險評估國信辦20195號文件風(fēng)險評估（Risk Assessment）是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，從而最大限度地為保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)風(fēng)險評估內(nèi)容評估內(nèi)容管理層面技術(shù)層面部分相關(guān)標(biāo)準(zhǔn)評估項參照標(biāo)準(zhǔn)資產(chǎn)評估 ISO17799/BS7799 加拿大威脅和風(fēng)險評估工作指南風(fēng)險分析方法 ISO13335 IT風(fēng)險管

3、理系列風(fēng)險分析模型AS/NZS 4360: 2019 風(fēng)險管理標(biāo)準(zhǔn)計算模型AS/NZS 4360: 2019 風(fēng)險管理標(biāo)準(zhǔn) GAO/AIMD-00-33信息安全風(fēng)險評估評估過程GBT20984-2019信息安全風(fēng)險評估規(guī)范NIST-SP800-26 信息技術(shù)系統(tǒng)風(fēng)險自評估指南 NIST-SP800-30 信息技術(shù)系統(tǒng)風(fēng)險管理指南安全管理工作的評估ISO17799/BS7799 ISO13335 IT風(fēng)險管理系列物理安全評估ISO17799/BS7799GB50174-2019電子信息系統(tǒng)機房設(shè)計規(guī)范網(wǎng)絡(luò)設(shè)備安全性 ISO15408（CC） GB17859工信部安全防護系列標(biāo)準(zhǔn)提 綱基礎(chǔ)概念風(fēng)險

4、評估流程風(fēng)險準(zhǔn)備資產(chǎn)識別威脅識別脆弱性識別已有安全措施的確認(rèn)風(fēng)險分析實施要點及示例說明風(fēng)險評估流程資產(chǎn)識別脆弱性識別威脅識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估準(zhǔn)備實施風(fēng)險管理風(fēng)險評估準(zhǔn)備工作內(nèi)容風(fēng)險評估準(zhǔn)備信息安全風(fēng)險評估方案檢查記錄表模板支撐網(wǎng)安全評測檢查記錄表業(yè)務(wù)安全支撐網(wǎng)安全評測檢查記錄表網(wǎng)絡(luò)安全支撐網(wǎng)安全評測檢查記錄表主機安全支撐網(wǎng)安全評測檢查記錄表應(yīng)用安全支撐網(wǎng)安全評測檢查記錄表數(shù)據(jù)安全及備份恢復(fù)支撐網(wǎng)安全評測檢查記錄表物理環(huán)境安全支撐網(wǎng)安全評測檢查記錄表管理安全支撐網(wǎng)安全評測檢查記錄表災(zāi)難備份及恢復(fù)調(diào)查問卷及其他需求文檔清單文檔交接單資產(chǎn)調(diào)查問卷資產(chǎn)識別清單重要資產(chǎn)清單脆弱性調(diào)查問

5、卷現(xiàn)場配合人員名單 工作輸出風(fēng)險評估流程資產(chǎn)識別脆弱性識別威脅識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估準(zhǔn)備實施風(fēng)險管理主要任務(wù)資產(chǎn)識別資產(chǎn)信息搜集資產(chǎn)分類資產(chǎn)賦值資產(chǎn)類別網(wǎng)絡(luò)設(shè)備（包括路由器、交換機等）安全設(shè)備（包括防火墻、入侵檢測系統(tǒng)、防病毒軟件等）主機（包括服務(wù)器、PC終端等）機房及相關(guān)設(shè)施 (如UPS、門禁、滅火器、溫濕計)重要數(shù)據(jù)（如計費數(shù)據(jù)、用戶信息數(shù)據(jù)、用戶帳單）管理制度及文檔人員資產(chǎn)分類安全屬性賦值 資產(chǎn)賦值社會影響力業(yè)務(wù)價值可用性資產(chǎn)賦值（示例）風(fēng)險評估流程資產(chǎn)識別脆弱性識別威脅識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估準(zhǔn)備實施風(fēng)險管理威脅識別主要任務(wù)： -識別對系統(tǒng)、組織及其資產(chǎn)構(gòu)

6、成潛在破壞能力的可能性因素或 者事件 -威脅出現(xiàn)頻率賦值（簡稱威脅賦值）威脅賦值通過被評估對象體的歷史故障報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率；通過網(wǎng)管或安全管理系統(tǒng)的數(shù)據(jù)統(tǒng)計和分析；通過整個社會同行業(yè)近年來曾發(fā)生過的威脅統(tǒng)計數(shù)據(jù)均值。賦值方法判斷威脅出現(xiàn)頻率，需要結(jié)合以下三個方面：威脅賦值資產(chǎn)識別脆弱性識別威脅識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估準(zhǔn)備實施風(fēng)險管理風(fēng)險評估流程脆弱性識別主要任務(wù) -查找脆弱性 -脆弱性嚴(yán)重程度賦值（簡稱脆弱性賦值）訪談現(xiàn)場勘察漏洞掃描滲透測試人工審計 -文檔檢查 -控制臺審計以前的審計和評估結(jié)果脆弱性識別相關(guān)方法脆弱性識別方法-訪談訪談可以采取現(xiàn)場訪談

7、的方式，也可以采取調(diào)查問卷的方式，通常是兩種方式的結(jié)合通過一套審計問題列表問答的形式對企業(yè)信息資產(chǎn)所有人和管理人員進行訪談脆弱性識別方法-漏洞掃描多種掃描工具優(yōu)化組合掃描內(nèi)容服務(wù)與端口開放情況 枚舉帳號/組檢測弱口令各種系統(tǒng)、服務(wù)和協(xié)議漏洞脆弱性識別方法-滲透測試什么是滲透測試模擬黑客對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻等進行非破壞性質(zhì)的攻擊行為，以發(fā)現(xiàn)系統(tǒng)深層次的漏洞，并將整個過程與細節(jié)報告給用戶。滲透測試的必要性工具掃描存在一定的誤報率和漏報率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問題；滲透測試可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點，同時滲透測試可以對漏洞

8、掃描結(jié)果進行驗證；滲透測試難點對測試者的專業(yè)技能要求很高。滲透測試內(nèi)容信息泄露：對外服務(wù)是否暴露了可能被黑客利用的敏感信息業(yè)務(wù)邏輯測試：系統(tǒng)是否在業(yè)務(wù)邏輯設(shè)計上存在被黑客利用的漏洞認(rèn)證測試：系統(tǒng)是否存在弱口令、繞過身份認(rèn)證、瀏覽器緩存管理等漏洞會話管理測試：系統(tǒng)是否存在會話劫持、CSRF等漏洞拒絕服務(wù)測試：系統(tǒng)是否易受DDOS攻擊Web服務(wù)測試：SQL注入、跨站腳本AJAX測試滲透測試一般方法遠程溢出攻擊測試 口令破解 Web腳本及應(yīng)用測試（SQL注入、XSS等）本地權(quán)限提升測試 網(wǎng)絡(luò)嗅探監(jiān)聽其它（社會工程學(xué)等） 滲透測試分類黑盒測試（”zero-knowledge testing”）滲透者完

9、全處于對系統(tǒng)一無所知的狀態(tài)。通常，這種類型的測試，最初的信息獲取來自DNS、Web、Email及各種公開對外的服務(wù)器。白盒測試測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓撲、員工資料甚至網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進行面對面的溝通這類的測試目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作滲透測試一般流程計劃與準(zhǔn)備測試計劃測試準(zhǔn)備偵查分析階段信息收集目標(biāo)判別漏洞查找攻擊階段獲取權(quán)限權(quán)限提升脆弱性識別方法-人工審計采用人工審計方式可以對漏洞掃描的結(jié)果進行驗證和分析，也可以檢查某些無法利用工具掃描的內(nèi)容人工審計內(nèi)容網(wǎng)絡(luò)安全網(wǎng)絡(luò)拓撲結(jié)構(gòu)子網(wǎng)劃分網(wǎng)絡(luò)邊界審計日志網(wǎng)絡(luò)流量與擁塞控制網(wǎng)絡(luò)設(shè)備的安

10、全配置.主機安全審計日志自主訪問控制功能強制訪問控制功能目錄與文件權(quán)限口令設(shè)置登陸設(shè)置資源使用設(shè)置進程與端口關(guān)聯(lián).人工審計內(nèi)容（續(xù)）專用業(yè)務(wù)/應(yīng)用系統(tǒng)安全 通訊安全性本地文件存儲安全性登陸過程安全性自主訪問控制功能有效性及安全策略配置強制訪問控制功能有效性及安全策略配置用戶權(quán)限審計日志并發(fā)會話數(shù)限制數(shù)據(jù)安全及備份數(shù)據(jù)傳輸安全性數(shù)據(jù)存儲安全性備份與恢復(fù)功能備份數(shù)據(jù)(如用戶帳單備份數(shù)據(jù))鏈路冗余硬件冗余(如計費系統(tǒng)雙機備份) 人工審計內(nèi)容（續(xù)）物理環(huán)境安全防震、防風(fēng)、防雨等能力機房出入安全區(qū)域隔離防水防潮防靜電防盜竊和防破壞 溫濕度控制管理安全管理制度制定和發(fā)布崗位設(shè)置人員配備人員錄用、離崗安全意

11、識教育和培訓(xùn) 軟件開發(fā)測試驗收審計示例防護要求脆弱性檢查要點(HP-UX)檢查結(jié)果記錄當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； /etc/inet/services/etc/inet/inetd.conf 口令應(yīng)有復(fù)雜度要求并定期更換/var/adm/userdb/etc/shadow審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶/var/adm/userdb/etc/default/security 脆弱性識別工具掃描工具系統(tǒng)層：X-scan、 Nessus、極光漏洞掃描系統(tǒng)、天鏡漏洞掃描系統(tǒng)應(yīng)用層：IBM Appscan、 Fortify 、

12、Acunetix Web Vulnerability Scanner數(shù)據(jù)庫：Shadow DataBase Scanner、 ISS Database Scanner脆弱性賦值等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中等如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，對資產(chǎn)造成的損害可以忽略脆弱性賦值表賦值方法工作輸出脆弱性列表類型、名稱、描述、賦值風(fēng)險評估流程資產(chǎn)識別脆弱性識別威脅識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估準(zhǔn)備實施風(fēng)險管理已有安全措施確認(rèn)安全措施 -預(yù)防性安全措施 -保護性安

13、全措施主要任務(wù) -針對已識別的脆弱性確認(rèn)已采取的安全措施并記錄下來工作輸出 -已有安全措施確認(rèn)表 風(fēng)險評估流程資產(chǎn)識別脆弱性識別威脅識別已有安全措施的確認(rèn)風(fēng)險分析風(fēng)險評估準(zhǔn)備實施風(fēng)險管理風(fēng)險分析流程保持已有安全措施提出風(fēng)險處理計劃是否接受風(fēng)險風(fēng)險計算是否風(fēng)險閾值風(fēng)險計算風(fēng)險計算方法、風(fēng)險計算風(fēng)險計算方法（續(xù)）相乘法：風(fēng)險值 資產(chǎn)價值 x 威脅值 x 脆弱性值風(fēng)險閾值的確定風(fēng)險閾值是風(fēng)險是否可接受的判斷依據(jù)確定方法對象的安全等級1級2級3.1級3.2級4級5級風(fēng)險閾值（風(fēng)險值大于此閾值的風(fēng)險視為不可接受）設(shè)備類風(fēng)險（包括設(shè)備、機房、數(shù)據(jù)、網(wǎng)絡(luò)）60452515105人員類風(fēng)險906040302010管理制度、文檔類風(fēng)險80503020105風(fēng)險處理建議主要任務(wù)風(fēng)險處理方式降低風(fēng)險應(yīng)用適當(dāng)?shù)目刂拼胧?(預(yù)防性措施、保護性措施)接受風(fēng)險由于投入過高和收效不明顯避免風(fēng)險因為風(fēng)險的代價太高，不允許執(zhí)行會產(chǎn)生風(fēng)險的活動轉(zhuǎn)移風(fēng)險轉(zhuǎn)嫁給第三方（保險、供應(yīng)商）對不可接受風(fēng)險提出控制風(fēng)險的安全建議提 綱基礎(chǔ)概念風(fēng)險評估通用流程及具體實施實施要點及示例說明成功實施要點評估范圍確定分析方法及計算方法的選擇建立良好的溝通氛圍適當(dāng)?shù)脑u估工具選擇及操作策略數(shù)據(jù)、報告應(yīng)務(wù)必做到準(zhǔn)確、詳盡、規(guī)