第八章計算機系統(tǒng)安全風險評估

第8章計算機系統(tǒng)

安全風險評估2/4/20231計算機系統(tǒng)安全原理與技術(第2版)主要內容計算機系統(tǒng)安全風險評估的目的和意義安全風險評估途徑安全風險評估基本方法安全風險評估工具安全風險評估的依據和過程2/4/20232計算機系統(tǒng)安全原理與技術(第2版)8.1計算機系統(tǒng)安全風險評估的目的和意義1.安全風險評估是科學分析并確定風險的過程任何系統(tǒng)的安全性都可以通過風險的大小來衡量。風險評估——人們?yōu)榱苏页龃鸢?，分析確定系統(tǒng)風險及風險大小，進而決定采取什么措施去減少、轉移、避免風險，把風險控制在可以容忍的范圍內，這一過程即為風險評估。2/4/20233計算機系統(tǒng)安全原理與技術(第2版)信息安全風險評估——從風險管理的角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，并為防范和化解信息安全風險，將風險控制在可接受水平，最大程度地保障計算機網絡信息系統(tǒng)安全提供科學依據。2/4/20234計算機系統(tǒng)安全原理與技術(第2版)2.信息安全風險評估是信息安全建設的起點和基礎信息安全風險評估是風險評估理論和方法在信息系統(tǒng)安全中的運用，是科學地分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風險，并在風險的預防、控制、轉移、補償以及分散等之間作出決策的過程。2/4/20235計算機系統(tǒng)安全原理與技術(第2版)3.信息安全風險評估是需求主導和突出重點原則的具體體現如果說信息安全建設必須從實際出發(fā)，堅持需求主導、突出重點、則風險評估(需求分析)就是這一原則在實際工作中的重要體現。從理論上講風險總是客觀存在的，安全是安全風險和安全建設管理代價的綜合平衡。2/4/20236計算機系統(tǒng)安全原理與技術(第2版)4.重視風險評估是信息化比較發(fā)達的國家的基本經驗20世紀70年代，美國政府就頒布了《自動化數據處理風險評估指南》，其后頒布的信息安全基本政策文件《聯邦信息資源安全》明確提出了信息安全風險評估的要求——要求聯邦政府部門依據信息和信息系統(tǒng)所面臨的風險，根據信息丟失、濫用、泄露、未授權訪問等造成損失的大小，制定、實施信息安全計劃，以保證信息和信息系統(tǒng)應有的安全。2/4/20237計算機系統(tǒng)安全原理與技術(第2版)8.2安全風險評估途徑基線評估(BaselineRiskAssessment)詳細評估組合評估風險評估途徑是指規(guī)定風險評估應該遵循的操作過程和方式。2/4/20238計算機系統(tǒng)安全原理與技術(第2版)基線評估(BaselineRiskAssessment)安全基線——在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。采用基線風險評估，組織根據自己的實際情況，對信息系統(tǒng)進行安全基線檢查，即拿現有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。2/4/20239計算機系統(tǒng)安全原理與技術(第2版)優(yōu)點所需資源少、周期短、操作簡單，對于環(huán)境相似且安全需求相當的諸多組織，基線評估顯然是最經濟有效地風險評估途徑。缺點基線水平的高低難以設定。如果過高，可能導致資源浪費和限制過度；如果過低，可能難以達到充分的安全。在管理安全相關的變化方面，基線評估比較困難。2/4/202310計算機系統(tǒng)安全原理與技術(第2版)詳細評估要求對資產進行詳細識別和評估，對可能引起風險的威脅和脆弱點進行評估，根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想，即識別資產的風險并將風險降到可接受的水平，以此證明管理者采用的安全控制措施是恰當的。優(yōu)點：通過此途徑可以對信息安全風險有一個精確的認識，并且準確定義出組織目前的安全水平和安全需求。缺點：非常耗費資源，包括時間、精力、技術等。2/4/202311計算機系統(tǒng)安全原理與技術(第2版)組合評估——將前面二者相結合！優(yōu)點：既節(jié)省評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結果。組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關注。缺點：如果初步的高級風險評估不夠準確，某些本來需要詳細評估的系統(tǒng)也會被忽略，最終導致結果失準。2/4/202312計算機系統(tǒng)安全原理與技術(第2版)8.3安全風險評估基本方法目標——找出組織信息資產面臨的風險及其影響基于知識的評估方法基于模型的評估方法定量評估方法定性分析方法定性與定量相結合的綜合評估方法2/4/202313計算機系統(tǒng)安全原理與技術(第2版)基于知識的評估方法又稱為經驗法，采用這種方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，并按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。信息源包括：會議討論；對當前的信息安全策略和相關文檔進行復查；制作問卷，進行調查；對相關人員進行訪談；進行實地考察。2/4/202314計算機系統(tǒng)安全原理與技術(第2版)基于模型的評估方法CORAS——安全危急系統(tǒng)的風險分析平臺，2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機構共同組織開發(fā)。目的：開發(fā)一個機遇面向對象建模，特別是UML技術的風險評估框架。評估對象：對安全要求很高的一般性系統(tǒng)，特別是IT系統(tǒng)的安全。2/4/202315計算機系統(tǒng)安全原理與技術(第2版)優(yōu)點

提高了對安全相關特性描述的精確性，改善了分析結果的質量；圖形化的建模機制便于溝通，減少了理解上的偏差；加強了不同評估方法互操作的效率。2/4/202316計算機系統(tǒng)安全原理與技術(第2版)定量評估方法指運用數量指標來對風險進行評估，即對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素都被賦值，如資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等，風險評估的整個過程和結果就都可以被量化了。2/4/202317計算機系統(tǒng)安全原理與技術(第2版)優(yōu)點用直觀的數據來表述評估的結果，可以對安全風險進行準確的分級，但這有個前提，即可供參考的數據指標是準確的。缺點：定量分析所依賴的數據的可靠性很難保證；為了量化，常常將本來比較復雜的事物簡單化、模糊化了，有的風險因素被量化后還可能被誤解和曲解。2/4/202318計算機系統(tǒng)安全原理與技術(第2版)幾個概念暴露因子EF：特定威脅對特定資產造成損失的百分比，即損失的程度。單一損失期望SLE：即特定威脅可能造成的潛在損失總量。年度發(fā)生率ARO：在一年內估計會發(fā)生威脅的頻率。年度損失期望ALE：表示特定資產在一年內遭受損失的預期值。2/4/202319計算機系統(tǒng)安全原理與技術(第2版)定量分析的過程識別資產并為資產賦值；通過威脅和弱點評估，評估特定威脅作用于特定資產所造成的影響，即EF（0%——100%）；計算特定威脅發(fā)生的頻率ARO；計算資產的SLE：SLE=總資產*EF計算資產的ALE：ALE=SLE*ARO對定量分析來說，有兩個指標最為關鍵：EF和ARO2/4/202320計算機系統(tǒng)安全原理與技術(第2版)定性分析方法主要依據評估者的知識、經驗、歷史教訓、政策走向及特殊情況等非量化資料，對系統(tǒng)風險狀況作出判斷的過程。操作方法有：小組討論、檢查列表、問卷、人員訪談、調查等。在此基礎上，通過一個理論推導演繹的分析框架作出調查結論。優(yōu)點：避免了定量方法的缺點，可挖掘出一些蘊藏很深的思想，使評估的結論更全面、深刻。缺點：主觀性很強，往往需要憑借分析者的經驗和直覺，或是業(yè)界的標準和慣例，為風險管理主要素的大小或高低程度定性分級。2/4/202321計算機系統(tǒng)安全原理與技術(第2版)定量分析與定性分析比較：定性分析的精確度不夠，定量分析則比價精確，但前期建立風險模型較困難；定性分析沒有定量分析那么繁多的計算負擔，但要求分析者有一定的經驗和能力；定性分析不依賴于大量的統(tǒng)計數據，而定量分析則不同；定性分析較為主觀，定量分析基于客觀；定性分析的結果很難有統(tǒng)一的解釋，但是定量分析的結果很直觀，任意理解。2/4/202322計算機系統(tǒng)安全原理與技術(第2版)定性與定量相結合的綜合評估方法定量分析是定性分析的基礎和前提，定性分析應建立在定量分析的基礎上才能揭示客觀事物的內在規(guī)律。所以在復雜的信息系統(tǒng)風險評估過程中，應該將這兩種方法融合起來。2/4/202323計算機系統(tǒng)安全原理與技術(第2版)8.4安全風險評估工具風險評估工具是風險評估的輔助手段，是保證風險評估結果可信度的重要因素。它的使用不僅在一定程度上解決了手動評估的局限性，最主要的是它能夠將專家知識進行集中，使專家經驗知識被廣泛應用。2/4/202324計算機系統(tǒng)安全原理與技術(第2版)1．風險評估與管理工具——一套集成了風險評估各類知識和判據的管理信息系統(tǒng)，以規(guī)范風險評估的過程和操作方法；或者是用于收集評估所需要的數據和資料，基于專家經驗、對輸入輸出進行模型分析。分類1）基于信息安全標準的風險評估與管理工具。2）基于知識的風險評估與管理工具。3）基于模型的風險評估與管理工具。2/4/202325計算機系統(tǒng)安全原理與技術(第2版)2．系統(tǒng)基礎平臺風險評估工具系統(tǒng)基礎平臺風險評估工具包括脆弱性掃描工具和滲透性測試工具。脆弱性掃描工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數據庫系統(tǒng)、網絡設備等）的脆弱性進行分析。2/4/202326計算機系統(tǒng)安全原理與技術(第2版)目前常見的脆弱性掃描工具有以下幾種類型。1）基于網絡的掃描器。在網絡中運行，能夠檢測如防火墻錯誤配置或連接到網絡上的易受攻擊的網絡服務器的關鍵漏洞。2）基于主機的掃描器。發(fā)現主機的操作系統(tǒng)、特殊服務和配置的細節(jié)，發(fā)現潛在的用戶行為風險，如密碼強度不夠，也可實施對文件系統(tǒng)的檢查。2/4/202327計算機系統(tǒng)安全原理與技術(第2版)3）分布式網絡掃描器。由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構成，用于企業(yè)級網絡的脆弱性評估，分布和位于不同的位置、城市甚至不同的國家。4）數據庫脆弱性掃描器。對數據庫的授權、認證和完整性進行詳細的分析，也可以識別數據庫系統(tǒng)中潛在的脆弱性。2/4/202328計算機系統(tǒng)安全原理與技術(第2版)滲透性測試工具是根據脆弱性掃描工具掃描的結果進行模擬攻擊測試，判斷被非法訪問者利用的可能性。這類工具通常包括黑客工具、腳本文件。滲透性測試的目的是檢測已發(fā)現的脆弱性是否真正會給系統(tǒng)或網絡帶來影響。通常滲透性工具與脆弱性掃描工具一起使用，并可能會對被評估系統(tǒng)的運行帶來一定影響。2/4/202329計算機系統(tǒng)安全原理與技術(第2版)3．風險評估輔助工具風險評估需要大量的實踐和經驗數據的支持，這些數據的積累是風險評估科學性的基礎。風險評估輔助工具可以實現對數據的采集、現狀分析和趨勢分析等單項功能，為風險評估各要素的賦值、定級提供依據。2/4/202330計算機系統(tǒng)安全原理與技術(第2版)常用的輔助工具有：檢查列表—基于特定標準或基線建立的，對特定系統(tǒng)進行審查的項目條款。入侵檢測系統(tǒng)—通過部署檢測引擎，收集、處理整個網絡中的通信信息，以獲取可能對網絡或主機造成危害的入侵攻擊事件；幫助檢測各種攻擊試探和誤操作；也可以作為警報器以提醒管理員。2/4/202331計算機系統(tǒng)安全原理與技術(第2版)安全審計工具—用于記錄網絡行為，分析系統(tǒng)或網絡安全現狀；其審計記錄可作為風險評估中的安全現狀數據，并可用于判斷被評估對象威脅信息的來源。拓撲發(fā)現工具—主要是完成網絡硬件設備的識別、發(fā)現功能。通過接入點接入被評估網絡，完成被評估網絡中的資產發(fā)現功能，并提供網絡資產的相關信息，包括操作系統(tǒng)版本、型號等。2/4/202332計算機系統(tǒng)安全原理與技術(第2版)資產信息收集系統(tǒng)—通過提供調查表形式，完成被評估信息系統(tǒng)數據、管理、人員等資產信息的收集功能，了解到組織的主要業(yè)務、重要資產、威脅、管理缺陷、控制措施和安全策略的執(zhí)行情況。其他—如用于評估過程參考的評估指標庫、知識庫、漏洞庫、算法庫、模型庫等。一些專用的自動化的風險評估工具：COBRA、CRAMM、ASSET、CORA、CCtools2/4/202333計算機系統(tǒng)安全原理與技術(第2版)8.5安全風險評估的依據和過程8.5.1風險評估依據

——風險評估應該依據國家政策法規(guī)、技術規(guī)范與管理要求、行業(yè)標準或國際標準進行。1）政策法規(guī)。2）國際標準。3）國家標準。4）行業(yè)通用標準。5）其他。2/4/202334計算機系統(tǒng)安全原理與技術(第2版)8.5.2風險要素2/4/202335計算機系統(tǒng)安全原理與技術(第2版)8.5.3風險評估過程2/4/202336計算機系統(tǒng)安全原理與技術(第2版)1．風險評估準備風險評估準備是整個風險評估過程有效性的保證。在正式進行風險評估之前，阻止應該制定一個有效的風險評估計劃，確定安全風險評估的目標、范圍，建立相關的組織機構，并選擇系統(tǒng)性的安全風險評估方法來收集風險評估所需的信息和數據。2/4/202337計算機系統(tǒng)安全原理與技術(第2版)具體主要包括以下內容。1）確定風險評估的目標。2）確定風險評估的范圍。3）組建適當的評估管理與實施團隊。4）進行系統(tǒng)調研。5）確定評估依據和方法。6）制定風險評估方案。7）獲得最高管理者對風險評估工作的支持。2/4/202338計算機系統(tǒng)安全原理與技術(第2版)2．資產識別在這一過程中確定信息系統(tǒng)的資產，并明確資產的價值。資產是組織(企業(yè)、機構)賦予了價值因而需要保護的東西。資產的確認應當從關鍵業(yè)務開始，最終覆蓋所有的關鍵資產。在確定資產時一定要防止遺漏，劃入風險評估范圍的每一項資產都應該被確認和評估。1）資產分類——數據、軟件、硬件、服務、文檔、人員、其它等。2）資產賦值——三個安全屬性：保密性、完整性、可用性。2/4/202339計算機系統(tǒng)安全原理與技術(第2版)3．威脅識別在這一步驟中，組織應該識別每項(類)資產可能面臨的威脅。安全威脅是一種對組織及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統(tǒng)，安全威脅時一個客觀存在的事實，它是風險評估的重要因素之一。1）威脅分類。威脅來源——引發(fā)威脅的人或事物，可分為環(huán)境因素和人為因素。2）威脅賦值——對威脅出現的頻率進行評估。在評估中對出現的頻率進行等級劃分，等級數值越大，威脅出現的頻率越高。2/4/202340計算機系統(tǒng)安全原理與技術(第2版)4．脆弱性識別光有威脅還構不成風險，威脅只有利用了特定的弱點才可能對資產造成影響，所以，組織應該針對每一項需要保護的信息資產，找到可被威脅利用的脆弱點，并對脆弱性的嚴重程度進行評估，即對脆弱性被威脅利用的可能性進行評估，最終為其賦予相對等級值。2/4/202341計算機系統(tǒng)安全原理與技術(第2版)1）脆弱性識別內容數據來源——資產的所有者、使用者、相關業(yè)務領域和軟硬件方面的專業(yè)人員等。采用方法——問卷調查法、工具檢測法、人工核查法、文檔查閱法、滲透性測試等。脆弱性識別主要從技術和管理兩個方面進行。管理脆弱性又分為技術管理脆弱性和組織管理脆弱性。2）脆弱性賦值——根據脆弱性對資產的暴露程度、技術實現的難易程度、流行程度等，采用等級劃分對已識別的脆弱性的嚴重程度進行賦值。2/4/202342計算機系統(tǒng)安全原理與技術(第2版)5．已有安全控制措施確認在影響威脅發(fā)生的外部條件中，除了資產的錯弱點外，另一個就是組織現有的安全措施。識別已有的(或已計劃的)安全控制措施，分析安全措施的效力，確定威脅利用弱點的實際可能性，一方面可以指出當前安全措施的不足，另一方面也可以避免重復投資。2/4