• 這是描述信息
    天津國安安保服務有限公司
    /
    /
    /
    信息系統安全風險評估

    SECURITY KNOWLEDGE

    安 | 保 | 知 | 識

    信息系統安全風險評估

    訪問量:
    /

    一、我們為什么需要信息系統安全風險評估

      很顯然,當要我們很欣然地接受和使用某一種新技術來協助我們進行安全防范工作時,這種技術就必需有能夠驅使我們去使用它的理由。這此理由也就是這種技術在某 個安全防范方面的主要作用,而我們也就是沖它的這些主要作用才去使用它的。

      對于信息系統安全風險評估來說,我們在本文的開頭中已經大概了解了他的定義,從它的定義當中,我們可以了解到風險評估可以在信息系統的生命周期的各個階段使用。由于信息系統生命周期的各個階段的安全防范目的不同,致使使用風險評估的目的也各不相同,因此,信息系統生命周期每個階段進行的風險評估產生的作用也各不相同。

      信息系統的生命周期分為設計、實施、運行維護和最終銷毀這四個主要階段,每個階段進行相應的信息系統安全風險評估的主要作用如下所示:

      1、在信息系統生命周期的設計和實施階段,使用信息系統安全風險評估可以起到了解目前系統到底需要什么樣的安全防范措施,幫助制定有效的安全防范策略,確定安全防范的投入最佳成本,說服機構領導同意安全策略的完全實施等作用。

      2、在信息系統生命周期的運行維護階段,使用信息系統安全風險評估可以起到如下的作用:

     ?。?)了解防火墻、IDS及其它安全設備是否真的按原先配置的意圖在運行,它們實際的安全防范效果是否有滿足安全目標的要求;

     ?。?)了解安全防范策略是否切合實際,是否被全面執行;

     ?。?)檢驗機構內部員工的安全意識,網絡操作行為及數據使用方式是否正常;

     ?。?)當信息系統因某種原因做出硬件或軟件調整后,使用信息系統安全風險評估來確定原本的安全

      措施是否依然有效,如果不行,應當在哪些方面做出相應的修改等等。

      3、在信息系統生命周期的最終銷毀階段,可以使用信息系統安全風險評估來檢驗應當完全銷毀的

      數據或設備,確實已經不能被任何方式所恢復;淘汰的信息系統中的設備確實已經被妥善保管,沒有被流失出去的危險等作用。

      二、信息系統安全風險評估的通用處理流程

      信息系統安全風險評估不是一個可以隨意就能完成的任務,為了能保證風險評估按一定的方式有序、正確地執行,以及評估結果的真實有效;也為了能減少在風險評估過程中有可能產生的有意或無意錯誤;同時還為了提高風險評估的效率,縮短評估的時間,以減少對正常業務的影響。為信息系統安全風險的評估工作制定一個有效的處理流程是很有必要的。

      在現在出現了的一些信息系統風險評估標準中(例如我國,在2006年3月7日,由國務院信息化辦公室印發的《信息安全風險評估指南》),已經提出了處理風險評估的通用流程。但是,這些通用的風險評估流程并不包括具體細節,你和你的風險評估團隊應當根據需要評估的對象來自行決定。同時,我們在風險評估過程中,還要以這些風險評估標準作為評估結果的參考標準,以便給出具體的風險評估值。

      在這里,我同樣只給出這個通用信息系統安全風險評估流程的主框架,具體的處理細節會在第二節中詳細說明。這個通徹的風險評估處理流程如下所示:

      1、信息系統安全風險評估準備階段

      2、信息系統安全風險評估對象風險檢測階段

      3、信息系統安全風險評估對象風險檢測結果分析及給出評估報告階段

      4、后期安全維護階段

      三、了解信息系統安全風險評估中的三個重要術語

      1、評估對象

      在信息系統安全風險評估過程中,我們首先要做的就是指定評估的具體對象,也就是限制評估的具體物理和技術范圍。在信息系統當中,評估對象是與信息系統中的軟硬件組成部分相對應的。例如,信息系統中包括各種服務器、服務器上運行的操作系統及各種服務程序、各種網絡連接設備、各種安全防范設備或應用程序、物理安全保障設備,這些都可以是構成獨立的評估對象,甚至連使用這些信息系統的人也可以作為一個評估對象??偟膩碚f,目前可以將整個計算機信息系統分為六個主要的評估對象:

     ?。?)、信息安全風險評估

     ?。?)、業務流程安全風險評估

     ?。?)、網絡安全風險評估

     ?。?)、通信安全風險評估

     ?。?)、無線安全風險評估

     ?。?)、物理安全風險評估

      2、評估項目

      信息系統安全風險評估的評估項目是針對某個具體的評估對象來定的,用來決定評估對象具體要評估的某個方面,例如,對于物理安全風險評估,就需要對評估對象所在的周邊環境進行安全風險評估,以及對評估對象已經完成的物理安全措施進行風險評估等,這些就是信息系統安全的風險評估項目。

      每一個評估對象都有屬于自己獨特的評估項目,這是每個評估對象獨特的屬性所決定的。下面是六個主要的安全風險評估對象的主要評估項目的簡短描述:

     ?。?)、信息安全風險評估的主要評估項目

     ?、?、信息的安全狀況評估

     ?、?、信息的完整性審查

     ?、?、機密信息調查

     ?、?、網絡操作痕跡信息檢查

     ?、?、信息在使用過程中的安全性審查

     ?、?、隱私信息機密性審查

     ?、?、信息可控性審查

     ?、?、信息存儲安全性審查

     ?。?)、業務流程安全風險評估的主要評估項目

     ?、?、業務流程安全現狀評估

     ?、?、業務請求安全性審查

     ?、?、業務反請求安全性審查

     ?、?、業務處理流程安全性審查

     ?、?、業務處理人員可信賴性測試

     ?。?)、網絡安全風險評估的主要評估項目

     ?、?、網絡安全現狀評估

     ?、?、入侵檢測審查

     ?、?、網絡傳輸安全性評估

     ?、?、網絡應用安全性評估

     ?、?、網絡弱點及漏洞檢測與驗證

     ?、?、網絡中交換機及路由器安全性評估

     ?、?、訪問控制測試

     ?、?、主要網絡攻擊方式測試(如DOS)

     ?、?、網絡行為審查

     ?、?、網絡安全策略、警報和日志文件審查

     ?。?)、通信安全風險評估的主要評估項目

     ?、?、Modem等通信設備安全性檢測

     ?、?、VOIP安全性評估

     ?、?、網絡傳真安全性評估

     ?、?、遠程訪問安全性評估

     ?、?、即時通信安全性評估(包括即時聊天、網絡視頻會議、網絡遠程監控等)

     ?。?)、無線安全風險評估的主要評估項目

     ?、?、電磁輻射測試

     ?、?、802.11a/b/g無線網絡安全風險評估

     ?、?、藍牙安全性評估

     ?、?、無線輸入輸出設備安全性測試

     ?、?、無線手持設備安全性測試

     ?、?、無線設備接入或退出安全性測試

     ?、?、無線傳輸設備安全性測試

     ?、?、無線通信保密性測試

     ?、?、其它無線通信方式檢測(如RFID及紅外線連接等)

     ?。?)、物理安全風險評估的主要評估項目

     ?、?、物理安全現狀評估

     ?、?、物理安全訪問控制的安全性測試

     ?、?、物理監控設備運行審查

     ?、?、警報響應審查

     ?、?、物理安全防范位置審查

     ?、?、計算機系統所處位置周邊物理安全審查

     ?、?、計算機系統所處位置當地自然條件、環境因素調查

      評估任務

      評估任務就是指要達到某個風險評估項目的評估目標時,要具體進行的所有評估操作任務。評估任務與每個評估項目相對應,具體的評估任務可以由你和你的團隊根據實際需求來決定。評估任務制定得全不全面,切不切合實際,會直接影響到信息系統安全風險評估的最終結果是否與風險評估的目標相一致。因此,當決定這些評估任務時,參與決定的人員不僅要有豐富的經驗,而且手里要有充足的與評估對象相關的各種有效的資料;同時,要對目前的安全威脅,各種系統或設備的弱點和漏洞,各種攻擊手段有充分的了解;而且,還要能仔細識別評估對象的資產類型及其重要性等。

      由于評估任務是與具體的評估對象和評估項目來決定的,還與當前的安全威脅狀況及發展趨勢有關,同時由于文章篇幅的限制。因此,在本文中只能分別對這六個評估對象中的一到二個評估項目給出一些通用的評估任務。至于其它評估項目的評估任務,你和你的評估團隊可以參考本文中給出的評估任務內容實例,使用頭腦風暴的方法,通過分析收集到的各種有效資料來自行決定。

     ?。?)、信息安全風險評估中隱私信息機密性審查的評估任務

      隱私信息的機密性審查,主要是為了檢測機構中員工及客戶的隱私信息在使用、傳輸和存儲過程中的完全性。由于這些隱私可能涉及到機構所在位置的某些法律條規,因此,在決定這個項目的評估任務時,要充分考慮機構所在區域的國家及地區法規。

      通常,要進行一次全面的隱私機密性審查,應當完成下列所示的評估任務:

     ?、?、比對實際的隱私信息訪問方式與隱私訪問策略中規定的方式之間的差異;

     ?、?、檢查隱私信息的監控保護方式符合當地的法律法規;

     ?、?、標識出存儲的隱私信息的數據庫類型和大??;

     ?、?、標識由機構收集到的各種隱私信息;

     ?、?、確定隱私信息存儲的位置;

     ?、?、了解當前網絡瀏覽時COOKIE保存類型和保留的時間;

     ?、?、識別保存在COOKIE中的各種隱私信息;

     ?、?、驗證COOKIE使用的加密方法;

     ?、?、識別機構的WEB服務器可能產生錯誤的位置,了解錯誤發生時返回給瀏覽用戶的信息類型。

     ?。?)、信息安全風險評估中網絡操作痕跡信息檢查的評估任務

      網絡操作痕跡信息的檢查,主要是為了調查機構內部某些員工在網絡操作后留下的操作痕跡,用審查是否有一些與組織相關的機密信息遺留在互聯網當中。這個評估項目是信息安全風險評估中非常重要的一個部分,要完成一次全面的互聯網操作行為信息檢查,下面這些評估任務是不能少的:

     ?、?、檢查機構內部員工WEB數據庫和緩存中的內容;

     ?、?、檢查機構內部員工是否通過個人主頁、博客、論壇,以及發布網絡求職簡歷的方式,透露了機構的組織結構,或其它機構內部機密信息;

     ?、?、調查機構內部員工是否在使用私人電子郵箱,并且在法律允許的條件下,檢查員工是否通過機構分配的電子郵件發送機構內部機密信息;

     ?、?、了解機構內部員工的計算機技術水平,以及了解計算機技術水平較高的員工所處的部門及其操作權限;

     ?、?、調查機構內部員工是否在工作時間使用即時通信工具,并在法律條件允許的條件下監控即時通信的內容;

     ?、?、使用互聯網搜索引擎查找網絡中是否存在與機構相關的機密信息,或者可以在各種特定的新聞組、論壇及博客中搜索;

     ?、?、檢查機構內部員工是否在使用P2P軟件,在法律條件允許下審查P2P通信內容。

     ?。?)、網絡安全風險評估中網絡弱點及漏洞檢測與驗證的評估任務

      網絡弱點及漏洞檢測與驗證是為了找出網絡中存的安全弱點和漏洞,并且驗證這些弱點和漏洞是否可以真的被利用。在評估過程中使用一些基于網絡的弱點掃描及滲透測試工具,能大大提高評估工作的效率。

      但是,在使用弱點掃描工具時不能對它檢測后的結果全盤接受,這是由于現在大部分的弱點掃描工具都是通過與自己的弱點和漏洞數據進行比對,來決定檢測對象是否存某弱點或漏洞的。一旦工具的漏洞數據庫不能及時更新,或不能包括所有目前已經發現的漏洞,那么,其檢測結果就不一定完全可靠。并且,由于這些工具本身設計缺陷和能力限制,在使用過程中會出現誤報和漏報的問題,誤報會讓我們白擔心一場,而漏報卻會讓我們處于重大安全事故發生的邊緣。因此,在弱點掃描后進行人工核查和滲透測試能減少漏報和誤報的發生。

      要完成一次徹底的網絡弱點及漏洞檢測與驗證的評估項目,下面完成下面的評估任務:

     ?、?、結合目前最流行的弱點掃描和滲透工具,對目標網段進行測試;

     ?、?、使用弱點掃描工具,按由外向內,由內向外的兩種方式掃描目標網段;

     ?、?、確定存在弱點或漏洞的系統和應用程序的類型;

     ?、?、確定存在漏洞的服務;

     ?、?、確定應用程序和服務存在漏洞的類型;

     ?、?、識別操作系統和應用程序中的存在的所有漏洞,識別所有存在漏洞的操作系統和應用程序;

     ?、?、確定這些漏洞是否可以影響到其它相似的目標網絡或系統;

     ?、?、通過人為滲透測試的方法來檢測找到的弱點或漏洞是否真實存在;

     ?、?、檢驗這些漏洞可以被利用的機率,利用后可能產生的后果。

     ?。?)、通信安全風險評估中Modem等通信設備安全性檢測的評估任務

      Modem等通信設備的安全性檢測主要是為了檢驗調制解調器的登錄驗證方式,是否可以被運程非法控制等等。要完成一次全面的Modem等通信設備的安全性檢測項目,下面的評估任務將要被全部執行:

     ?、?、以由內向外,由處向內的方式全面掃描Modem等通信設備;

     ?、?、確保Modem等通信設備的登錄用戶和密碼不是使用缺省設置,或者容易被猜出;

     ?、?、確保與Modem等通信設備直接相連的路由器、三層交換機或計算機已經做好了相應的安全措施;

     ?、?、檢查通過遠程維護Modem等通信設備是否安全;

     ?、?、驗證遠程撥號認證;

     ?、?、測試本地撥號認證;

     ?。?)、無線安全風險評估中802.11a/b/g無線網絡安全風險評估的評估任務

      由于802.11a/b/g無線網絡技術越來越成熟,越來越多的機構開始使用它。但是,由于802.11a/b/g無線網絡技術的開放性,且大多數使用沒有對其默認設置做相應的安全修改,或者設置的安全很少也很弱,從而造成802.11a/b/g無線網絡帶來的安全風險與它的功能一樣多。因此,使用802.11a/b/g無線網絡安全風險評估來識別無線網絡中目前存在的安全風險,以便能采取更好的安全措施來降低無線網絡應用帶來的風險。

      完成802.11a/b/g無線網絡安全風險評估項目,必需執行下列所有的評估任務:

     ?、?、檢驗機構是否已經有一個足夠好的無線安全策略,來保證802.11a/b/g無線網絡的應用,同時評估802.11a/b/g無線網絡的硬件和固件,以及更新狀況等;

     ?、?、對連接在目標無線網終上的無線設備進行全面的清查,評估訪問控制,無線信號覆蓋的規定范圍,并確定是否有能力防止無線信號超出規定的范圍,或者能夠干擾超出的無線信號;

     ?、?、確定無線設備水平接入目標無線網絡的訪問控制能力,是否能夠標識所有允許的接入點,以及是否能夠即時識別非授權接入點,并能定位和拒絕它的接入;

     ?、?、評估無線網絡的配置、認證和加密方式;

     ?、?、評估無線接入點的默認服務設備標識符(SSID)已經更改;

     ?、?、驗證所有無線客戶端已經安裝了殺毒軟件和防火墻等安全工具;

     ?。?)、物理安全風險評估中物理安全訪問控制的安全性測試的評估任務

      物理安全訪問控制的安全性測試,是用來檢測物理方式直接接觸機構中重要信息資產時是否符合安全要求的評估項目。要完成一次物理安全訪問控制的安全性測試,就必需完成下列所示的評估任務:

     ?、?、枚舉所有必需進行物理訪問控制的區域;

     ?、?、檢查所有物理訪問控制點的訪問控制設備及其類型;

     ?、?、檢查觸發警報的類型是否與說明的一致;

     ?、?、判斷物理訪問控制設備的安全級別;

     ?、?、測試物理訪問控制設備是否存在弱點和漏洞;

     ?、?、測試物理訪問控制設備是否可以被人為或其它方式失去檢測能力;

      四、信息系統安全風險評估過程中應當遵守的規則

      在對信息系統進行風險評估過程中,下列的一些因素會給評估帶來錯誤的結果:

      1、弱點掃描軟件的誤報和漏報;

      2、系統本身設置對某類事情做出固定的某種缺陷反應。當測試帶有欺騙性設置的系統時,常會對所有的評估事件做出某種指定的相同反應;

      3、要評估的系統中存在某種已經指定對所有事件做出安全反應的設置。

      4、在風險評估過程中收到了某個目標的回應,但這個回應并不是真的來自實際的評估目標,而一些沒有經驗的風險評估人員,對出現這樣的假象不能正確識別,從而造成錯誤的結果;

      5、風險評估工具設備本身存在問題,就可能出現錯誤的回應。以及當風險評估的以太網路出現高噪音,或者存在干擾目標無線網絡信號的設備時,都會出現錯誤的結果;

      6、當風險評估過程中的某個環境得到了錯誤的結果,但是沒有及時識別和重新評估,而其后的評估工作卻使用這個錯誤的結果作為評估條件,這樣一來,就會讓這種錯誤繼承下去,造成得到一個錯誤的最終風險評估結果;

      7、風險評估必需由人來執行,由于風險評估人員的技術水平,經驗值的高低,以及他們的評估態度,對風險評估的理解的各不相同等因素,都有可能造成錯誤的風險評估結果。

      由于上述原因得到的錯誤信息系統安全風險評估結果,一旦被接受,那么就會給信息系統的安全防范帶來新的安全風險,其后果是不可想象的。因此,我們必需在進行信息系統的風險評估過程中,遵守下面的風險評估規則,就可以有效降低上述錯誤因素的產生:

      1、明白進行風險評估時,任何細節都是一樣重要的,并且了解每個評估項目的評估目的;

      2、注意風險評估過程中的每一個小細節。風險評估結果的有效性,往往體現在一些細節上面,這是因為一些重大的安全事故都是由于一些細小的安全弱點所引起的。另外,一個單獨的小細節可能不會帶來某類安全風險,但是,許多小細節累積后,一不小心,就會給信息系統帶來重大的信息安全事故;

      3、不要認為少花錢多辦事就是好?,F在,許多機構對于安全預算本來就少,因此,就要求安全風險評估必需在很少的時間內得到更多的效率。但是,如果你認為一個低效率的風險評估策略會為你節省一大筆的成本而決定使用它,那么,這個低效率的風險評估策略有可能不會將所有的安全風險檢測出來。因而使用你在藥費了時間和金錢進行風險評估的同時,你不能得到風險評估的任何好處,從側面反而使你增加了安全成本和造成業務中斷事件的可能性。

      很顯然,風險評估是需要一定的成本投入的,因此,當你在開始進行風險評估時,你就要考慮如何平衡評估效率和投入成本的問題,只有這兩方達到一個滿意的平衡,才能達最好的風險評估效率和效果;

      4、對于涉及多個風險評估對象的風險評估過程,要有一個切合實際,考慮全面,可以被完全執行的風險評估策略。任何時候,我們都不要忽略策略在安全防范工作中的重要性。風險評估策略就是用來表明某次風險評估時的主要目的,以及要具體完成的任務,和一些操作細節等等。風險評估策略在風險評估過程中起到指導性的作用,控制整個評估過程;

      5、要知道如何算風險評估的經濟賬。風險評估的目的通常是為了達到某種程序的安全性來進行的,評估的結果將會給找到的弱點提出相應的解決方案。這樣,就會涉及到增加安全成本投入的問題。一個好的風險評估項目管理者,會了解機構是否有足夠的經濟能力來解決發現的漏洞,計算到底要多少成本才能達到機構領導可以接受的安全風險等級,怎么樣的預算才會被機構決策者所接受等等。如果你不考慮這些問題,那么,不管理你的風險評估結果是多么的全面且準確,但是不被機構決策者接受,那么仍然是一個不成功的風險評估。這只會白白讓機構浪費了大量的風險評估時間和金錢。因此,知道算風險評估的經濟帳也是一個重要的方面;

      6、了解風險評估的參考標準。風險評估結果是否具有權威性的關鍵一點,就是你應當在評估結果中注明評估的方式是遵從哪種風險評估的標準來進行,例如我在上面提到過的我國的《信息安全風險評估指南》。你還可以使用一些國際標準,如ISO/IEC 17799/27001國際信息安全管理體系中的風險評估標準,這些標準可以給你提供一個如何給出最終安全和風險級別的參考標準;

      7、風險評估人員必需在指定的權限范圍內完成指定的評估任務,在評估過程中不能隨意走出規定的物理范圍。在評估時發現任務疑問,應當立即停止,并上報給評估小組負責人。在疑問沒能明確解決之前,不能獨自繼續進行下一步的評估操作。評估人員的出評估現場都應當有記錄,標明進出的具體時間。每個評估人員都應在身體明顯處掛戴表明共身份的工作證件。每個風險評估人員都應當使用規定的評估工具,不能將規定外的工具帶入評估現場。明確每個風險評估人員的權限范圍,和其所在的物理位置,任何評估人員都不能超出這些規定的權力或物理范圍。

      在對上述信息系統安全風險評估的基礎知識有一個系統的了解后,就會讓我們懂得要如何才能有效地完成一次安全風險評估。接下來的任務,就是去掌握信息系統的安全風險評估工作要如何具體地去做。

    上一個 :
    上一個 :

    Copyright ? 中安衛士(天津)保安服務有限公司 All Rights Reserved.     公司地址:天津市經濟技術開發區睦寧路11號生物育種科研樓5層501-510
    津ICP備18003958號-1  網站建設:中企動力  天津

    Copyright ? 中安衛士(天津)保安服務有限公司

    公司地址:天津市經濟技術開發區睦寧路11號生物育種科研樓5層501-510
    津ICP備18003958號-1  網站建設:中企動力  天津

    亚洲中文久久精品无码99,欧美日产幕乱码久久久,十大禁用软件大全免费下载