信息安全的风险评估管理.ppt

信息安全的风险评估 曹鹏网络安全产品营销中心解决方案部部长CISP北京caopeng 沈阳东软软件股份有限公司 提纲 1 什么是风险评估2 为什么要做风险评估3 风险评估怎么做4 风险评估什么时候做 信息安全管理核心内容 风险管理 国际和国内信息安全标准和法规 BS7799 ISO17799 SSE CMM 英國國家標準協會 資訊安全管理機制http www bsi org uk 系统安全工程能力成熟度模型 http www Sse cmm org ISO7498 2 ISO15408 信息技术安全技术信息技术安全性评估准则 ISO13335 我国GB安全标准 GB17859 1999计算机信息系统安全保护等级划分准则 我国安全法规 中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法 ISO13335 1 IT安全管理概念和模块ISO13335 2 管理和制定IT安全ISO13335 3 IT安全管理方法 安全体系结构 ISO IEC15408 1安全概念和关系模型 典型信息安全管理标准 BS7799 ISO17799信息安全管理纲要PartI Codeofpracticeforinformationsecuritymanagement信息安全管理认证体系PartII Specificationforinformationsecuritymanagement 信息安全管理纲要Codeofpracticeforinformationsecuritymanagement BS7799 ISO17799 信息安全政策安全组织资产分类及控制人员安全物理及环境安全 计算机及系统管理系统访问控制系统开发与维护业务连续性规划法规和策略符合性 ISO17799信息安全管理系统 安全组织 资产分类及控制 人员安全 物理及环境安全 计算机及系统管理 系统访问控制 系统开发与维护 业务连续性规划 风险评估和风险管理 安全法规 安全策略 风险 防护措施 信息资产 威胁 漏洞 防护需求 价值 ISO13335以风险为核心的安全模型 业务需求 威胁及风险分析 国家 行业 安全相关的法律法规 业务系统安全策略 个人安全策略 安全技术标准化策略 管理策略 风险评估与安全登记划分 计算机系统与网络安全策略 物理安全与环境保护策略 管理安全规范 教育与培训策略 标识 认证策略 信息保密与完整性策略 授权与访问控制策略 抗抵赖策略 安全审计策略 入侵监测策略 病毒防范策略 响应与恢复策略 容错与备份 用户角色 级别 用户账号及认证方式 防火墙访问控制链表 局部可执行安全策略 全局自动安全策略 组织安全策略 国家政策背景 2003年7月 中办发 2003 27号文件对开展信息安全风险评估工作提出了明确的要求 要重视信息安全风险评估工作 对网络与信息系统安全的潜在威胁 薄弱环节 防护措施等进行分析评估 1 什么是风险评估 信息安全风险评估 是从风险管理角度 运用科学的方法和手段 系统地分析网络与信息系统所面临的威胁及其存在的脆弱性 评估安全事件一旦发生可能造成的危害程度 提出有针对性的抵御威胁的防护对策和整改措施 并为防范和化解信息安全风险 或者将风险控制在可接受的水平 从而最大限度地保障网络和信息安全提供科学依据 国信办 2006 5号文件 信息安全体系的建立 不是仅仅依靠几种安全设备的简单堆砌 或者一两个人技术人员就能够实现的 还要涉及管理制度 人员素质和意识 操作流程和规范 组织结构的健全性等众多因素 所以 一套良好的信息安全体系需要综合运用 人 技术 产品 管理 维护 从而才能真正建立起一套完备的 高保障的信息安全体系 我们需要的是一套高保障的安全体系 主要执行标准国信办 2006 5号文件 信息安全风险评估指南信息系统安全等级保护测评准则辅助参考标准GB18336 ISO15408 信息技术安全性评估准则BS7799 信息安全管理体系指南 3 风险评估怎么做 东软具有自己特色的评估实施方法 风险评估考查的对象 风险评估实施流程 先期准备要素分析风险分析生成报告 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 1 风险评估的准备 1 确定风险评估的目标 2 确定风险评估的范围 3 组建适当的评估管理与实施团队 4 进行系统调研 5 确定评估依据和方法 6 获得最高管理者对风险评估工作的支持 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 2 信息资产识别 对于任何企业和机构来说 信息资产和其它固定资产一样都承载着重要的价值 因而也同样需要得到足够的保护 信息资产分类 资产等级 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 3 威胁识别 威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性 或者也可以理解成是可能对资产造成影响的危害 不单单只是黑客攻击 还包括自然灾害 员工的违规操作等等 威胁分类 威胁等级 主要技术手段量化威胁的工作方法 部署入侵检测系统在网络中工作然后分析其数据 分析系统中的各种日志记录文件 在日志中发现安全攻击的痕迹 根据过去一年时间中组织内部遭受实际安全威胁的程度分析结果 我们可以通过例子 某重要政府站点的WEB日志分析来看威胁分析 某电力公司内部网络在评估出发现攻击者遗留文件 客观上我们面对的网络威胁程度在增加 今天我们所处的环境 各种新兴的安全攻击手段与威胁因素层出不穷 也要求业务系统的自身具备安全功能的对抗升级 我分别用MicrosoftOfficeWord2003与Windows2003系统的密码来举例 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 4 脆弱性识别 脆弱性也称弱点 或者俗称漏洞 也就是具体存在的问题 值得注意的是 弱点本身不会造成损失 它只是一种条件或环境 可能被威胁利用从而造成资产损失 漏洞不单单只是系统或软件上存在的bug 任何管理上的疏忽都是一种漏洞 弱点分类 脆弱性等级 安全评估技术手段介绍 弱点漏洞扫描软件口令强壮性分析方法专家经验分析方法站点脚本程序网络设备运行健康状况分析 寻找网络性能瓶颈点 渗透测试方法重要服务器抗攻击压力测试 不同层面的问题主要表现 物理层 强弱电走线合理 UPS设备到位 电磁干扰 设备摆放位置合理等网络层 网络设备的配置不严谨 WEB管理接口 SNMP认证字简单 可以画出网络拓扑结构 接管网络设备更改配置文件通过TFTP服务 口令不强壮和单一性 IOS版本过于陈旧等系统层 普遍存在系统补丁程序安装缺失 开放过多无用端口服务 安装跟工作无关软件 QQ BT 电骡等 登陆口令过于简单 没有统一的安全防护和管理软件支持 从整体信息安全的层面来看物理安全 网络安全 系统安全已经储备了充分的安全相关知识和工具 未来关注焦点主要是应用安全与管理安全 网络设备WEB接口越权管理问题 服务可以发现业务应用系统的深层隐患 安全评估与咨询规划服务我们在系统安全 网络安全 管理安全等环节做了很多有成效的工作 但是对于真正的信息系统的核心业务层面的安全问题关注还是非常落后 核心业务系统开发安全是当前信息安全中最大的难点 某种程度讲 追求业务系统的安全是很多用户的终极目标 目前常见的业务系统有C S B S 中间件技术等 大部分系统都是近5 6年开发的 在开发过程中以功能实现为主要目的 对于自身安全功能提供很少 内部安全保护机制考虑更少 C S平台业务系统经常碰到的安全问题 后台数据库密码与业务系统密码的交叉处理方式 容易出现密码外泄的安全问题 B S结构平台下经常出现的安全问题 SQL语句注射式攻击是B S结构平台面临的一个很大的安全威胁 开发的时候忘记删除备份文件 功能所依附的操作平台安全缺陷 通过HTTP或HTTPS访问可以直接获取到服务器的版本和模块配置参数 很多JSP开发平台默认很难支持IP地址访问行为记录 对于日志审计有很大困难 程序开放接口的抗压力能力很差 攻击压力测试SYNLAND业务系统数据压力测试模拟几千人同时访问的流量很多业务系统服务器的表现都让人失望 底层信息大部分在 裸奔 状态 重要的认证 用户 口令 信息 敏感的数据资料信息在应用系统间传递都没有使用加密方式 配合内部网络的ARP欺骗技术 使得很多内部重要业务系统与传统认证设备几乎没有保密性可言 业务系统常见安全问题的总结 TCP IP协议自身的设计安全缺陷对于暴力口令猜测没有设置上限阀值多数信息传递的时候没有采用加密方式没有很好的错误保护处理程序接口的抗攻击能力薄弱开发实现平台的功能局限造成安全功能的不完备对于用户的操作行为记录没有很好的控制审计措施对于敏感数据没有考虑数据加密存储可怕的问题在于 很少有防火墙 入侵检测 漏洞扫描等这些成熟产品检测出这些问题并实现有效防护 运维管理体系中的评估流程 安全的核心任务就是实现风险管理 所有信息安全建设都是围绕这个中心开展的 缺乏全面的安全管理策略制度 很多缺少网络应急策略 业务系统代码开发安全设计要求等 管理策略与操作人员的 通道 没有打通 很多人不知道单位的安全管理策略制度是什么 不知道自己该负起什么责任 策略制度没有生命力 大部分写完以后就从来没有更新过了 策略制度没有执行力 很多策略制度没有写明白该如何去做 怎么做 SOC是信息安全管理建设的最佳解决方案 它代表的是深入完善的解决方案而不是一套软件或者硬件设备 管理策略制度没有专门的部门组织负责监督维护管理 没有明确的奖励惩罚制度 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 5 已有安全措施的确认 在识别脆弱性的同时 评估人员还应对已采取的安全措施的有效性进行确认 即安全措施是否真正地降低了系统的脆弱性 抵御了威胁 安全措施同样也分为管理类和技术类两方面 例如某服务器虽然存在安全漏洞 但是由于位于防火墙严格保护的DMZ区域 此端口从防火墙外无法连接 本地物理安全也做到位了 我们就认为这些措施在一定程度上缓解了该问题 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 6 风险分析 风险是指某个威胁利用弱点引起某项资产或一组资产的损害 从而直接地或间接地引起企业或机构的损害 举例 风险等级 风险处置措施 消除风险降低风险可能性减小风险的后果或影响接受风险 实施步骤 1 风险评估的准备 2 资产识别 3 威胁识别 4 脆弱性识别 5 已有安全措施的确认 6 风险分析 7 风险评估文件记录 概述信息资产列表总结安全弱点评估总结安全威胁评估总结风险量化和评级总结风险处置措施建议安全风险评估总结 安全风险评估报告 消除风险降低风险可能性减小风险的后果或影响接受风险 物理层安全策略网络层安全策略系统层安全策略应用层安全策略管理层安全策略 安全策略建议报告 国信办 2006 5号文件指出 信息安全风险评估应贯穿于网络与信息系统建设运行的全过程 在网络与信息系统的设计 验收及运行维护阶段均应当进行信息安全风险评估 只有这样才能真正为我们建造一套高保障的信息安全体系 4 风险评估什么时候做 Thankyou NeusoftGroupLtd 谢谢