一、网络安全风险评估概述
1.1 网络安全风险评估
指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程
评估内容:涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级
简单地说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度
一般来说,网络安全风险值可以等价为安全事件发生的概率(可能性)与安全事件的损失的乘积,
即,其中,R表示风险值,
表示安全事件发生的可能性大小,
表示安全事件发生后的损失,即安全影响
1.2 网络安全风险评估要素
网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素,各要素相互作用,如图
资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护,修补资产的脆弱性,从而降低资产的风险
1.3 网络安全风险评估模式
根据评估方与被评估方的关系以及网络资产的所属关系,风险评估模式有三种类型
- 自评估:是网络系统拥有者依靠自身力量,对自有的网络系统进行的风险评估活动
- 检查评估:由网络安全主管机关或业务主管机关发起,旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估
- 委托评估:是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动
二、网络安全风险评估过程
网络安全风险评估工作涉及多个环节,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等
如图所示
2.1 网络安全风险评估准备
首要工作:是确定评估对象和范围。正式进行具体安全评估必须首先进行网络系统范围的界定,要求评估者明晰所需要评估的对象
网络评估范围的界定一般包括
|
|
在这个阶段,最终将生成评估文档《网络风险评估范围界定报告》,该报告是后续评估工作的范围限定
2.2 资产识别
资产识别包含两个步骤
- 网络资产鉴定:给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面
- 网络资产价值估算:是某一具体资产在网络系统中的重要程度确认。组织可以按照自己的实际情况,将资产按其对于业务的重要性进行赋值,得到资产重要性等级划分表,如表所示
| 资产等级 | 标识 | 描述 |
| 5 | 很高 | 非常重要,其安全属性破坏后可能对组织造成非常严重的损失 |
| 4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失 |
| 3 | 中等 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
| 2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失 |
| 1 | 很低 | 不重要,其安全属性破坏后可能对组织造成很小的损失,甚至可以忽略不计 |
网络安全风险评估中,价值估算不是资产的物理实际经济价值,而是相对价值,一般是以资产的三个基本安全属性为基础进行衡量的,即保密性、完整性和可用性
价值估算的结果是由资产安全属性未满足时,对资产自身及与其关联业务的影响大小来决定的
目前,国家信息风险评估标准对资产的保密性、完整性和可用性赋值划分为五级,级别越高表示资产越重要
1.资产保密性赋值
| 赋值 | 标识 | 定义 |
| 5 | 很高 | 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定 性的影响,如果泄露会造成灾难性的损害 |
| 4 | 高 | 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 |
| 3 | 中等 | 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 |
| 2 | 低 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的 利益造成轻微损害 |
| 1 | 很低 | 可对社会公开的信息,如公用的信息处理设备和系统资源等 |
2.资产完整性赋值
| 赋值 | 标识 | 定义 |
| 5 | 很高 | 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 |
| 4 | 高 | 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 |
| 3 | 中等 | 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补 |
| 2 | 低 | 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 |
| 1 | 很低 | 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略 |
3.资产可用性赋值
| 赋值 | 标识 | 定义 |
| 5 | 很高 | 可用性价值非常高,合法使用者对业务流程、信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 |
| 4 | 高 | 可用性价值较高,合法使用者对业务流程、信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min |
| 3 | 中等 | 可用性价值中等,合法使用者对业务流程、信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min |
| 2 | 低 | 可用性价值较低,合法使用者对业务流程、信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min |
| 1 | 很低 | 可用性价值可以忽略,合法使用者对业务流程、信息及信息系统的可用度在正常工作时间低于25% |
2.3 威胁识别
威胁识别:是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁能力、威胁效果、威胁意图、威胁频率等方面来分析
1.威胁来源
首先是标记出潜在的威胁源,并且形成一份威胁列表,列出被评估的网络系统面临的潜在威胁源
威胁源按照其性质可分为
- 自然威胁:有雷电、洪水、地震、火灾等
- 人为威胁:有盗窃、破坏、网络攻击等
对威胁进行分类的方式有多种,针对以上的威胁来源,可以根据其表现形式对威胁进行分类
| 种类 | 描述 | 威胁子类 |
| 软硬件故障 | 对业务实施或系统运行产生影响的设备硬件故障、通信链路中断、系统本身或软件缺陷等问题 | 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等 |
| 支撑系统故障 | 由于信息系统依托的第三方平台或者接口相关的系统出现问题 | 第三方平台故障、第三方接口故障 |
| 物理环境影响 | 对信息系统正常运行造成影响的物理环境问题和自然灾害 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 |
| 无作为或操作失误 | 应该执行而没有执行相应的操作,或无意执行了错误的操作 | 维护错误、操作失误等 |
| 管理不到位 | 安全管理无法落实或不到位,从而破坏信息系统正常有序运行 | 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 |
| 恶意代码 | 故意在计算机系统上执行恶意任务的程序代码 | 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等 |
| 越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为 | 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 |
| 网络攻击 | 利用工具和技术通过网络对信息系统进行攻击和入侵 | 网络探测和信息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 |
| 物理攻击 | 通过物理的接触造成对软件、硬件、数据的破坏 | 物理接触、物理破坏、盜窃等 |
| 泄密 | 信息泄露给不应了解的他人 | 内部信息泄露、外部信息泄露等 |
| 篡改 | 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用 | 篡改网络配置信息、篡改系统配置信息、 篡改安全配置信息、篡改用户身份信息或业务数据信息等 |
| 抵赖 | 不承认收到的信息和所作的操作和交易 | 原发抵赖、接收抵赖、第三方抵赖等 |
| 供应链问题 | 由于信息系统开发商或者支撑的整个供应链出现问题 | 供应商问题、第三方运维问题等 |
| 网络流量不可控 | 由于信息系统部署在云计算平台或者托管在第三方机房,导致系统运行或者对外服务中产生的流量被获取,进而导致部分敏感数据泄露 | 数据外泄等 |
| 过度依赖 | 由于过度依赖开发商或者运维团队,导致业务系统变更或者运行,对服务商过度依赖 | 开发商过度依赖、运维服务商过度依赖、云服务商过度依赖等 |
| 司法管辖 | 在使用云计算或者其他技术时,数据存放位置不可控,导致数据存在境外数据中心,数据和业务的司法管辖关系发生改变 | 司法管辖 |
| 数据残留 | 云计算平台数据无法验证是否删除,物联网相关智能电表、智能家电等数据存在设备中或者服务提供商处 | 数据残留 |
| 事件管控能力不足 | 安全事件的感知能力不足,安全事件发生后的响应不及时、不到位 | 感知能力不足、响应能力不足、技术支撑缺乏、缺少专业支持 |
| 人员安全 失控 | 违背人员的可用性、人员误用,非法处理数据,安全意识不足,因好奇、自负、情报等原因产生的安全问题 | 专业人员缺乏、不合适的招聘、安全培训缺乏、违规使用设备、安全意识不足、信息贿赂、输入伪造或措施数据、窃听、监视机制不完善、网络媒体滥用 |
| 隐私保护 不当 | 个人用户信息收集后,保护措施不到位,数据保护算法不透明,已被黑客攻破 | 保护措施缺乏、无效,数据保护算法不当 |
| 恐怖活动 | 敏感及特殊时期,遭受到或带有政治色彩的攻击,导致信息战、系统攻击、系统渗透、系统篡改 | 高级持续性威胁攻击,邮件勒索,政治获益,报复,媒体负面报道 |
| 行业间谍 | 诸如情报公司、外国政府、其他政府为竞争优势、经济效益而产生的信息被窃取、个人隐私被入侵、社会工程事件等问题 | 信息被窃取、个人隐私被入侵、社会工程事件 |
2.威胁途径
指威胁资产的方法和过程步骤,威胁者为了实现其意图,会使用各种攻击方法和工具,如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。通过各种方法的组合,完成威胁实施
3.威胁效果
指威胁成功后,给网络系统造成的影响
一般来说,威胁效果抽象为三种:非法访问、欺骗、拒绝服务
4.威胁意图
指威胁主体实施威胁的目的
根据威胁者的身份,威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复
5.威胁频率
指出现威胁活动的可能性。一般通过已经发生的网络安全事件、行业领域统计报告和有关的监测统计数据来判断出现威胁活动的频繁程度
可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越
大威胁出现的频率越高。如表所示
| 等级 | 标识 | 定义 |
| 5 | 很高 | 出现的频率很高(或≥1次/周) ;或在大多数情况下几乎不可避免;或可以证实经常发生过 |
| 4 | 高 | 出现的频率较高(或≥1次1月) ;或在大多数情况下很有可能会发生;或可以证实多次发生过 |
| 3 | 中等 | 出现的频率中等(或>1次/半年) ;或在某种情况下可能会发生;或被证实曾经发生过 |
| 2 | 低 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过 |
| 1 | 很低 | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生 |
威胁的可能性赋值通过结合威胁发生的来源、威胁所需要的能力、威胁出现的频率等综合分析而得出判定。下表提供了一种威胁可能性的赋值方法
| 等级 | 标识 | 定义 |
| 5 | 很高 | 威胁成功发生的可能性极大 |
| 4 | 高 | 威胁成功发生的可能性较大 |
| 3 | 中等 | 威胁成功发生的可能性较小 |
| 2 | 低 | 威胁成功发生的可能性极小 |
| 1 | 很低 | 威胁成功发生的可能性几乎为零 |
2.4 脆弱性识别
脆弱性识别:是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全
一般来说,脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
脆弱性识别的依据是网络安全法律法规政策、国内外网络信息安全标准以及行业领域内的网络安全要求。网络安全法律法规政策用于评估资产所在地的法律合规性风险
对不同环境中的相同弱点,其脆弱性的严重程度是不同的,评估工作人员应从组织安全策略的角度考虑,判断资产的脆弱性及其严重程度
脆弱性识别所采用的方法:主要有漏洞扫描、人工检查、问卷调查、安全访谈和渗透测试等
脆弱性严重程度的赋值方法,如表所示
| 等级 | 标识 | 定义 |
| 5 | 很高 | 脆弱性可利用性很高,如果被威胁利用,将对业务和资产造成完全损害 |
| 4 | 高 | 脆弱性可利用性高或很高,如果被威胁利用,将对业务和资产造成重大损害 |
| 3 | 中等 | 脆弱性可利用性较高、高或很高,如果被威胁利用,将对业务和资产造成一般损害 |
| 2 | 低 | 脆弱性可利用性一般、较高、高或很高,如果被威胁利用,将对业务和资产造成较小损害 |
| 1 | 很低 | 脆弱性可利用性低、一般、较高、高或很高,如果被威胁利用,将对业务和资产造成的损害可以忽略 |
脆弱性评估工作又可分
- 技术脆弱性评估:主要从现有安全技术措施的合理性和有效性方面进行评估
- 管理脆弱性评估:从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。安全管理脆弱性评估主要是指对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价,其目的在于确认安全策略的执行情况
2.5 已有安全措施确认
对评估对象已采取的各种预防性和保护性安全措施的有效性进行确认,评估安全措施能否防止脆弱性被利用,能否抵御已确认的安全威胁
2.6 网络安全风险分析
是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算
网络安全风险分析的过程如图所示
1.网络安全风险分析步骤
- 步骤一,对资产进行识别,并对资产的价值进行赋值
- 步骤二,对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值
- 步骤三,对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值
- 步骤四,根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性
- 步骤五,根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失
- 步骤六,根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下,其影响主要从以下几个方面来考虑:
1.违反了有关法律或规章制度
2.对法律实施造成了负面影响
3.违反社会公共准则,影响公共秩序危害公共安全
4.侵犯商业机密
6.影响业务运行
7.信誉、声誉损失
8.侵犯个人隐私
9.人身伤害
10.经济损失
2.网络安全风险分析方法
网络安全风险值的计算方法
- 定性计算方法:是将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估,然后再给出风险计算结果。定性计算方法给出的风险分析结果是:无关紧要、可接受、待观察、不可接受
- 定量计算方法:是将资产、威胁、脆弱性等量化为数据,然后再进行风险的量化计算,通常以经济损失、影响范围大小等进行呈现。但是实际上资产、威胁、脆弱性、安全事件损失难以用数据准确地量化,因而完全的定量计算方法不可行。定量计算方法的输出结果是一个风险数值
- 综合计算方法:结合定性和定量方法,将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化赋值,然后选用合适的计算方法进行风险计算。例如,脆弱性的严重程度量化赋值评估为:5(很高)、4(高)、3(中等)、2(低)、1(很低)。综合计算方法的输出结果是一个风险数值,同时给出相应的定性结论
3.网络安全风险计算方法
- 相乘法:是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值
- 矩阵法:是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系
个人导航:http://xqnav.top/
1209
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
