一、 风险评估的定义
信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
二、 风险评估的目的
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。
风险评估是一个组织机构实现信息系统安全的必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的消耗;更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险。
风险评估为后期进一步安全防护措施的实施提供了严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。
三、 客户背景介绍
XX公司拥有XX系统等大型的网络核心业务系统,这些关键业务系统使得XX公司为客户长期提供优质服务。由于网络安全的动态性特点,通过专业、持续的安全服务来解决应用系统日常运行维护中的安全问题,改善企业的信息安全状态,成为降低安全风险、提高网络系统安全水平的一个重要手段。
为了及时、准确的掌握信息系统的安全现状,绿盟科技对XX系统进行全面的风险评估,以便下一步对存在的风险进行有效的管理,对信息系统当前的某些安全问题(如普遍存在的问题、突出的问题、需紧急解决问题等)进行实际的解决。同时,根据信息系统的安全现状报告,提出相应的系统安全方案建议。
四、 风险评估的工作流程
1. 第一阶段为确定风险评估范围阶段。调查并了解客户信息系统业务流程和运行环境,确定风险评估范围的边界以及范围内的所有信息系统,明确如下内容:
* 评估的业务或应用
* 信息资产(如硬件、软件、数据)
* 人员
* 环境(如建筑、设备位置)
* 活动(如对资产进行的操作、相关的权限等)
* IP地址信息(如IP范围、网段信息等)
此阶段成果为《XX系统风险评估资产列表》。
2. 第二阶段为资产的识别与估价阶段。对风险评估范围内的所有资产进行识别,并调查资产可用性、完整性和保密性破坏后分别可能造成的影响大小,根据影响的大小为资产进行相对赋值。将资产的权值分为0-4五个级别,由低到高代表资产的重要等级。资产估价是一个主观的过程,考虑资产对于组织的商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。
此阶段成果为《XX系统风险评估资产价值列表》。
3. 第三阶段为安全威胁评估阶段。即评估资产所面临的每种威胁发生的严重性和可能性,并计算威胁值。严重性和可能性,两者取值均为相对等级0-4,4为最严重或最可能。
此阶段成果为《XX系统威胁严重性评估结果》、《XX系统威胁可能性评估结果》。
4. 第四阶段是脆弱性评估阶段。包括从技术、管理、策略方面进行的脆弱程度检查,最终综合计算脆弱性值。在资产脆弱性调查中,首先进行管理脆弱性问卷的调查,发现整个系统在管理方面的弱点,然后对评估的所有主机和网络设备进行工具扫描和手动检查,对各资产的系统漏洞和安全策略缺陷进行调查。最后对收集到的各资产的管理和技术脆弱性数据进行综合分析,根据每种脆弱性所应考虑的因素是否符合,确定每种资产可能被威胁利用的脆弱性的权值。参照国际通行作法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。
此阶段成果为《XX系统脆弱性评估结果》,包含《XX系统工具扫描报告》、《XX系统手工检查报告》、《XX系统渗透测试报告》等。
5. 第五阶段为风险的分析阶段。即通过分析上述阶段所获得的数据,进行风险值计算,区分、确认高风险因素。
此阶段成果为《XX系统风险评估结果》、《XX系统安全现状分析》。
6. 第六阶段是风险的管理阶段。这一阶段主要根据风险分析的结果,制定相关风险控制策略,实施风险控制措施。风险评估的结果就是为风险管理提供依据,因此在风险管理阶段要明确风险的处理方式(避免、降低、接受、转移),并且采取什么样的技术和管理措施来对风险进行处理,如何把安全措施与风险等级进行联系。
此阶段成果为《XX系统风险安全方案建议》。
五、 风险评估过程中使用的一些方法
1. 安全工具扫描
在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞。
2. 人工安全检查
系统扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等方面进行漏洞的扫描。但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。
信息系统人工安全性评估应主要考虑以下几个方面:
* 是否最优的划分了VLAN和不同的网段,保证了每个用户的最小权限原则。
* 内外网之间、重要的网段之间是否进行了必要的隔离措施。
* 路由器、交换机、主机等设备的配置是否最优,是否配置了安全参数。
* 安全设备的接入方式是否正确,是否最大化的利用了其安全功能而又占系统资源最小,是否影响业务和系统的正常运行。
3. 渗透测试
渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。在测试过程中,用户可以选择渗透测试的强度,例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患。
4. 安全审计
安全管理机制定义了如何管理和维护网络的安全保护机制,确保这些安全保护机制正常且正确地发挥其应有的作用。绿盟科技评估遵循ISO17799信息安全管理标准的要求,通过问卷调查和顾问访谈等方式对信息系统的安全管理状况进行调查,并进一步与国际信息安全管理标准进行差距分析。
5. 安全策略评估
安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回答整个网络中与安全相关的所有问题,例如,如何在网络层实现安全性?如何控制远程用户访问的安全性、在广域网上的数据传输实现安全加密传输和用户的认证,等等。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对整个网络的一份完整的安全策略。策略一旦制订,应当作为整个网络安全行为的准则。
这一步工作,就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估,它也包含了技术和管理方面的内容,具体包括:
* 安全策略是否全面覆盖了整体网络在各方面的安全性描述。
* 在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效。
* 安全策略中的每一项内容是否都得到确认和具体落实。