信息安全评估
[TOC]
安全评估基础
安全评估:针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程
安全评估工作内容
- 确定保护的对象(保护资产)是什么?它们直接和间接价值?
- 资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
- 资产中存在哪里弱点可能会被威胁所利用?利用的容易程序又如何?
- 一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
- 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低?
安全评估的价值
- 安全建设的起点和基础
- 信息安全建设和管理的科学方法
- 倡导适度安全
- 保护网络空间安全的核心要素和重要手段
风险评估工具
-
风险评估与管理工具:一套集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析
-
系统基础平台风险评估工具:主要用于对信息系统的主要部件 [如操作系统、数据库系统、网络设备] 的脆弱性进行分析,或实施基于脆弱性的攻击
-
风险评估辅助工具:实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据
安全评估标准
TCSEC [可信计算机系统评估标准]
TCSEC是,美国政府国防部标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求
TCSEC已被2005年最初公布的国际标准《通用准则》[CC] 所取代。
基本目标和要求:策略、问责、保证、文档
TCSEC分级:
- D-最小保护
- C-选择保护
- C1 自主安全保护、C2 受控访问保护
- B-强制保护
- B1 标签安全、B2 结构化保护、B3 安全域
- A-验证保护
- A1 验证设计
ITSEC [信息技术安全评估标准]
以超越TCSEC为目的,将安全概念分为功能与功能评估两部分
功能准则:在测定上分F1-F10共10级,1-5级对应于TCSEC的D到A,6-10级加上了以下概念:
- F6:数据和程序的完整性、F7:系统可用性、F8:数据通信完整性、F9:数据通信保密性、F10:包括机密性和完整性的网络安全
评估准则:分为6级:
- E1:测试、E2:配置控制和可控的分配、E3:能访问详细设计和源码、E4:详细的脆弱性分析、E5:设计与源码明显对应、E6:设计与源码在形式上一致。
FC [联邦 [最低安全要求] 评估准则]
美国信息技术安全联邦准则 [FC] :是对TCSEC的升级,引入了“保护轮廓(PP)”这一重要概念
保护轮廓包括:功能部分、开发保证部分、测评部分
CC [信息技术安全评估通用标准]
主要思想和框架取自ITSEC和FC,充分突出保护轮廓,将评估过程分功能和保证两部分,CC强调将安全的功能与保障分离,并将功能需求分为九类63族,将保障分为七类29族
- 我国等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336
- GB/T 18336.1-2008 简介和一般模型:定义了IT 安全评估的一般概念和原理,并提出了评估的一般模型
- GB/T 18336.2-2008 安全功能要求:建立一系列功能组件作为表达TOE功能要求的标准方法
- GB/T 18336.3-2008 安全保证要求:建立一系列保证组件作为表达TOE保证要求的标准方法
GB/T 18336 [CC] 的目标读者
TOE [评估对象] 的客户:CC从写作安排上确保评估满足用户的需求,因为这是评估过程的根本目的和理由。
TOE的开发者:为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全需求方面提供支持。
TOE的评估者:CC 包含评估者判定TOE 与其安全需求一致时所使用的准则。
CC的关键概念:
- 评估对象 [Target of Evaluation,TOE]:作为评估主体 [产品、系统、子系统等] 的IT产品及系统以及相关的指导性文档
- 保护轮廓 [PP]:满足特定用户需求的、一类TOE的、一组与实现无关的安全要求
- 安全目标 [Security Target,ST]:作为指定的TOE评估基础的一组安全要求和规范
- 功能:规范IT产品和系统的安全行为,应做的事
- 保证:实体达到其安全性目的的信任基础,是对功能产生信心的方法
- 包:为满足一组确定的安全目的而组合在一起的,一组可重用的功能或保证组件
评估流程
CC的意义:通过评估有助于增强用户对于IT产品的安全信心、促进IT产品和系统的安全性、消除重复的评估
CC模型的优势:
- 国际标准化组织统一现有多种准则的努力结果;
- 已有安全准则的总结和兼容,是目前最全面的评价准则;
- 通用的表达方式,便于理解
- 灵活的架构,可以定义自己的要求扩展CC要求
CC的局限性
- CC标准采用半形式化语言,比较难以理解
- CC不包括那些与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则,即该标准并不关注于组织、人员、环境、设备、网络等方面的具体的安全措施
- CC重点关注人为的威胁,对于其他威胁源并没有考虑
- 并不针对IT安全性的物理方面的评估(如电磁干扰)
- CC并不涉及评估方法学
- CC不包括密码算法固有质量的评估
信息系统安全等级保护测评
- 信息系统安全等级测评重要性
- 检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程
- 落实信息安全等级保护制度的重要环节
- 等级测评过程:
- 测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动
安全评估实施
风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动
风险评估相关要素-资产
构成风险评估的资产是建立对组织具有价值的信息或资源,是安全策略保护的对象
风险评估中资产的价值不是以资产的经济价值来衡量, 而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
风险评估相关要素-威胁
威胁:可能导致对系统或组织危害的不希望事故潜在起因
-
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述
-
造成威胁的因素:人为因素和环境因素
- 根据威胁的动机,人为因素又可分为恶意和非恶意两种
- 环境因素包括自然界不可抗的因素和其它物理因素
风险评估相关要素-脆弱性
脆弱性可能被威胁所利用的资产或若干资产的薄弱环节
- 脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害
- 威胁总是要利用资产的脆弱性才可能造成危害
风险评估相关要素-信息安全风险、安全措施
- 信息安全风险:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响
- 信息安全风险只考虑那些对组织有负面影响的事件
- 安全措施:保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制
- 残余风险:采取了安全措施后,信息系统仍然可能存在的风险
风险评估要素之间关系
风险评估途径与方式
-
风险评估途径:基线评估、详细评估、组合评估
-
风险评估方式:
- 自评估:由组织自身发起,组织自己实施或委托第三方实施
- 检查评估:由被评估组织的上级主管机关或业务主管机关发起
-
风险评估的常用方法:基于知识分析、定量分析、定性分析
风险评估常用方法-定量分析
基本概念
- 暴露因子 [Exposure Factor, EF] :特定威胁对特定资产靠损失的百分比,或者说损失的程度。
- 单一预期损失 [single Loss Expectancy, SLE] :也称作[SOC Single Occurrence Costs] ,即特定威胁可能造成的潜在损失总量
- 年度预期损失 [Annualized Loss Expectancy, ALE] :或者称作EAC [Estimated Annual Cost] ,表示特定资产在一年内遭受损失的预期值
概念的关系
- 首先,识别资产并为资产赋值
- 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间)
- 计算特定威胁发生的频率,即ARO
- 计算资产的SLE
- 计算资产的ALE
定量风险分析的一种方法就是计算年度损失预期值(ALE)。计算公式如下:
- 年度损失预期值(ALE) = SLE x 年度发生率(ARO)
- 单次损失预期值(SLE) = 暴露因素(EF)x 资产价值(AV)
风险评估常用方法-定性分析
带有很强的主观性,往往凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级
风险评估的基本过程
风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动
风险评估准备
风险评估准备是整个风险评估过程有效性的保证
组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响
风险评估准备工作:
- 确定风险评估的目标、确定风险评估的范围、组建适当的评估管理与实施团队、进行系统调研、确定评估依据和方法、制定风险评估方案、获得最高管理者对风险评估工作的支持
确定风险评估的目标:
- 根据满足组织业务持续发展在安全方面的需要、 法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小
确定风险评估的范围:
- 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
组建适当的评估管理与实施团队
- 风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组
- 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定
进行系统调研
- 系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础
- 调研内容至少应包括:业务战略及管理制度;主要的业务功能和要求;网络结构与网络环境,包括内部连接和外部连接;系统边界;主要的硬件、软件;数据和信息;系统和数据的敏感性;支持和使用系统的人员
- 系统调研可以采取问卷调查、 现场面谈相结合的方式进行
确定评估依据和方法
- 根据系统调研结果,确定评估依据和评估方法
- 评估依据包括(但不仅限于):现有国际标准、国家标准、行业标准;行业主管机关的业务系统的要求和制度;系统安全保护等级要求;系统互联单位的安全要求;系统本身的实时性或性能要求等
- 据组织机构自身的业务特点、信息系统特点,选择适当的风险分析方法并加以明确,如定性风险分析、定量风险分析,或是半定量风险分析
- 根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应
制定风险评估方案
- 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划, 用于指导实施方开展后续工作。
- 风险评估方案的内容一般包括但不仅限于:
- 团队组织:包括评估团队成员、组织结构、角色、责任等内容
- 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容
- 时间进度安排:项目实施的时间进度安排
获得最高管理者对风险评估工作的支持
- 上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;
- 对管理层和技术人员进行传达, 在组织范围就风险评估相关内容进行培训, 以明确有关人员在风险评估中的任务
资产识别
资产分类、分级、形态及资产价值评估
- 资产分类:数据、软件、硬件、服务、人员、其他( ( GB/T 20984《信息安全风险评估规范》 ) )
- 资产形态:有形资产、无形资产
- 资产分级:保密性分级、完整性分级、可用性分级、资产重要性分级
制定资产重要性分级准则
依据资产价值大小对资产的重要性划分不同的等级。资产价值依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出
| 赋值 | 重要性等级 | 定义 |
|---|---|---|
| 5 | 很高 | 非常重要,其安全属性破坏后可能对组织造成非常严重的损失 |
| 4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失 |
| 3 | 中 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
| 2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失 |
| 1 | 很低 | 不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计 |
威胁识别
威胁类型:自然因素、人为因素
威胁频率级别
| 赋值 | 威胁出现频率级别 | 定义 |
|---|---|---|
| 5 | 很高 | 出现的频率很高;或在大多数情况下几乎不可避免;或可以证实经常发生过 |
| 4 | 高 | 出现的频率较高;或在大多数情况下很有可能会发生;或可以证实多次发生过 |
| 3 | 中 | 出现的频率中等;或在某种情况下可能会发生;或被证实曾经发生过 |
| 2 | 低 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过 |
| 1 | 很低 | 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生 |
脆弱性识别
脆弱性识别与威胁识别是何关系?
- 验证:以资产为对象,对威胁识别进行验证
脆弱性识别的难点是什么?
- 三性:隐蔽性、欺骗性、复杂性
脆弱性识别的方法有哪些?
- 技术脆弱性、管理脆弱性
| 赋值 | 脆弱性严重程度级别 | 定义 |
|---|---|---|
| 5 | 很高 | 如果被威胁利用,将对资产造成完全损害 |
| 4 | 高 | 如果被威胁利用,将对资产造成重大损害 |
| 3 | 中 | 如果被威胁利用,将对资产造成一般损害 |
| 2 | 低 | 如果被威胁利用,将对资产造成较小损害 |
| 1 | 很低 | 如果被威胁利用,将对资产造成的损害可以忽略 |
确认已有的控制措施
依据三个报告:《信息系统的描述报告》、《信息系统的分析报息告》和《信系统的安全要求报告》
确认已有的安全措施,包括:
- 技术层面(物理平台、系统平台、网络平台和应用平台)的安全功能
- 组织层面(组织结构、岗位和人员)的安全控制
- 管理层面(策略、规章和制度)的安全对策
- 形成《已有安全措施列表》
控制措施类型:预防性、检测性和纠正性
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,对有效的安全措施继续保持,以避免不必要的工作和费用,防止重复实施
风险分析
GB/T 20984-2007《信息安全风险评估规范》给出信息安全风险分析思路
计算安全事件发生的可能性
安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V )
计算安全事件发生后造成的损失
安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va )
计算风险值
风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va ))
风险结果判定
评估风险的等级
评估风险的等级依据《风险计算报告》,根据已经制定的风险分级准则,对所有风险计算结果进行等级处理,形成《风险程度等级列表》。
综合评估风险状况
汇总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》
| 等级 | 取值范围 | 名称 | 描述 |
|---|---|---|---|
| H | 25,20 | 高风险 | 最高等级的风险,需要立即采取应对措施。不可接受。 |
| S | 12,15,16 | 严重风险 | 需要高级管理层注意。不可接受 |
| M | 6,8,9,10 | 中等风险 | 必须规定管理责任。通常需要综合考虑取舍。 |
| L | 1,2,3,4,5 | 低风险 | 可以通过例行程序来处理。可接受。 |
风险处理计划
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划
管理措施
技术措施
残余风险评估
实施安全措施后对措施有效性进行再评估
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后, 残余风险的结果仍处于不可接受的风险范围内, 应考虑是否接受此风险或进一步增加相应的安全措施
风险评估文档
信息系统审计
信息系统审计的定义
国家审计属的定义
国际信息系统和控制协会(ISACA)
信息系统审计的作用
从审计目标看,信息系统审计主要是检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、安全性、可靠性和经济性等各类目标要素。
审计内容看,信息系统审计中的一般控制审计包括信息安全技术控制审计和信息安全管理控制审计。
信息系统审计工作流程
计划:确定审计的目标和范围
现场工作和文件:收集数据并进行访以帮助分析潜在风险
问题发现和验证:潜在问题清单并验证
开发解决方案:与客户合作制定解决每个问题的行动计划
报告起草和执行
问题跟踪
审计技术控制
脆弱性测试
渗透测试
战争驾驶
其他漏洞类型
日志
合成交易
滥用案例测试
代码审查
接口测试
审计管理控制
账户管理
备份验证
灾难恢复和业务连续性
安全培训和安全意识培训
关键绩效和风险指标
审计报告
专业人员了解信息系统安全在更广泛的业务环境中的作用,并能够将其传达给技术和非技术观众
SAS70
由美国注册会计师协会(AICPA)制定的用于处理服务机构的审计标准
提供了一套基于服务组织(如提供IT服务的服务组织)标准可以展示其内部控制的有效性
SOC
取代SAS 70并解决更广泛的特定用户需求,例如解决安全性,隐私和可用性问题
