信息安全风险评估

• 资产识别
  • 风险概述
    • “风险”术语的由来：
      • 有风就有险（古代的渔民和海员）。
    • 常见的风险：
      • 自然灾害风险（地震、台风）、战争风险（台海、陈涉吴广）、金融风险（股票）……
    • 国际标准化组织对风险的定义：
      • “风险是不确定性对目标的影响”。
    • 何谓信息安全风险？
      • ——人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响。
  • 风险和安全
    • 风险和安全是一个矛盾统一体，成反比关系（感受到越不安全，感受到的风险越高）。
    • 风险和安全如何统一？
      • 人类社会要不断发展，就必须在安全防范和承担风险这两方面取得平衡，既要注意安全，又要承受风险。在信息时代，永远没有绝对的安全和零风险。
    • 应对风险的方法？
      • 评估风险带来的影响，采用规避、转移、降低风险的方法，将风险控制在能够承受的范围之内，这就是风险评估最本质的思想。
  • 威胁和脆弱性
    • 威胁（外因）和脆弱性（内因）<==>漏洞。
    • 举例：贝都因人——>不会游泳
    • 新冠病毒——>防护服
    • 结论：有威胁无漏洞，不会形成风险。
  • 组织和资产
    • “组织”，即风险作用的目标，“受害者”。
    • 如何分析“组织”面临的风险？
    • 分析组织的结构、功能、属性，应用现代系统科学的理论，形成对风险的理性认识，分析出组织面临的风险度。
    • 组织最重要的属性：资产和资产价值。
    • 资产：
      • 对组织具有价值的信息或资源，是安全策略保护的对象。
    • 资产价值：
      • 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是资产识别的主要内容。

    • 

  • 风险评估和等级保护
    • 资产价值决定安全需求，安全需求决定安全措施。
    • 资产识别是科学定级的主要依据。

      

  • 风险评估和等级保护
    • 当一个信息系统通过了等级验收，进入了日常性的等级运维阶段之后，风险就控制在相应的等级之内。
    • 一个信息系统的安全等级相当于这个信息系统能够承受的风险标签。
    • 等级越高，防御力度就越大，控制力度就越细，安全感就越强，风险就越小，但投入也就越大。
    • 如何根据一个组织的实际情况进行定级、建设、维护是测评工程师艺术的平衡风险和安全的具体体现。

      

  • 风险评估的准备工作
    • 确定目标
    • 确定范围（各类资产、管理机构、子部门？）
    • 组织团队（自评估、委托评估？）
    • 系统调研
    • 制定方案（提交风险评估计划）
    • 意识培训
  • 资产分类
    • 按自然形态分类：
      • 数据：源代码、数据库数据、系统文档等。
      • 软件：系统软件、应用软件等。
      • 硬件：网络设备、计算机设备、安全设备等。
      • 服务：信息服务、网络服务、办公服务等。
      • 人员：核心业务人员等。
    • 按信息形态分类：
      • 信息环境：硬环境（机房、电力、温湿控、防雷），软环境（部门规章、组织机构、监督管理）。
      • 信息载体：硬件（计算机、网络设备、存储设备），软件（应用软件、系统软件、通信协议软件）。
      • 信息：业务信息、用户信息、系统管理维护信息。
  • 资产的分类要与组织的业务战略关联起来
    • 关联的方法？
      • 阅读：被评估单位信息化建设的有关文档，获得该单位的战略规划、建设目标、组织机构、实施步骤、建设规模、资金投入等资料，凝练出被评估单位的业务战略。
      • 询问：分管信息化建设的领导、信息中心的工作人员。
      • 查看：到被评估单位的业务部门实地考察信息系统的应用情况。
    • 业务战略（映射）资产？
      • 被评估单位向评估人员提供信息系统的各种软、硬件资料，软件供应商的相关资料以及各类管理体系文档。
      • 根据上面了解到的情况，对被评估单位中心机房等要害部门进行实地调研，考察机房环境，核对网络拓扑、比对核心设备、服务器的型号、版本等信息。
  • 始终抓住信息安全的本质属性对资产进行分类
    • 对资产进行分类，实际上就是结合组织的业务战略，并根据信息安全的三个属性来一一评判每个资产。

      

      

  • 资产赋值
    • 资产分解为“保密性赋值”、“完整性赋值”、“可用性赋值”，在此基础上综合分析得出资产重要性等级。
  • 资产安全性赋值
    • 资产保密性（机密性）赋值

      

    • 资产完整性赋值

      

    • 资产可用性赋值

      

  • 资产重要性等级
    • 资产重要性等级赋值，即通常所说的资产价值。资产价值是对资产保密性、完整性和可用性的综合评定。

      

• 威胁识别
  • 威胁概述
    • 威胁：
      • 指可能导致对系统或者组织危害的事故潜在起因
    • 外因和外部
      • 威胁是安全事件发生的外因。外因和外部的不同？
    • 真实和虚假
      • 相比现实社会中的威胁，更关注虽然发生在虚拟空间中，却带来真实危害的威胁。
    • 威胁识别：
      • 指分析事故潜在起因的过程。
    • 威胁识别分为重点识别和全面识别。
    • 所谓重点识别，就是按照资产重要性进行排序，从而决定威胁识别的巨细程度和投入的资源。
    • 重点识别的适用范围：
      • 网络结构重心突出、层次分明。
      • 系统结构具有较大的同质性。
    • 全面识别：
      • 对每一个资产可能面临的威胁都有进行详细的分析，而不管资产本身重要程度的高低。
    • 全面识别的适用范围：
      • 信息系统本身处于变化调整的阶段。
      • 安全等级较高（第4、5级）的核心信息系统。
    • 重点识别是风险评估的重要方法，体现了“有所为，有所不为”的系统科学思想。
  • 威胁分类

    

  • 威胁来源分类
    • 环境的因素：
      • 断电、潮湿、洪灾、火灾……
    • 人为因素：
      • 恶意破坏、蓄意勾结；缺乏责任心、缺乏培训……
    • 针对威胁来源，按其表现形式将威胁进行分类（P221）
  • 威胁的剪枝
    • 并不是所有的威胁都需要考虑。
    • 例如：内地单位不需要考虑台风，内网隔绝不需要考虑DDOS……
    • 有可能存在的威胁，需要尽量细化。
    • 例如：一个对外提供服务的数据中心（供电/设备故障/人为攻击？）。
  • 考虑信息系统面临虚拟空间威胁的起因：
    • 攻击者所拥有的资源和技能；
    • 信息系统本身的吸引力。
  • “知己胜于知彼”，结合自身情况和主流的攻击方式进行威胁识别。结论：资产识别的结果是进行威胁识别的出发点和落脚点。
  • 威胁的赋值
    • 威胁赋值与资产赋值方法的区别？
    • 资产赋值是“自定义”，威胁赋值是“它定义”。
    • 威胁赋值的依据就是对各种威胁发生的频率进行统计。
  • 威胁赋值需要综合考虑的三个方面
    • 历史记录：
      • 以往安全事件报告中出现过的威胁以及其频率的统计。
    • 现场取证：
      • 实际环境中通过检测工具以及各种日志发现的威胁以及其频率的统计。
    • 权威发布：
      • 近一两年来国际和国内权威组织发布的对整个社会或特定行业的威胁及其频率的统计，以及发布的威胁预警报告。
  • 国家互联网应急中心发布

    

    

    

  • 威胁的赋值

    

• 脆弱性识别
  • 脆弱性概述
    • 脆弱性是资产本身的固有属性，任何资产都有其脆弱性。
    • 脆弱性的定义，指可能被威胁所利用的资产或若干资产的薄弱环节。
    • 绝对与相对
      • 绝对存在的脆弱性不一定会带来安全隐患。
    • 技术和管理
      • 技术脆弱性（漏洞）。管理脆弱性分为“结构脆弱性”和“操作脆弱性”
    • 脆弱性识别的定义
      • 指分析和度量可能被威胁利用的资产薄弱环节的过程。
    • 脆弱性识别的立足点就是资产识别的结果。
    • 脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值四个环节。
      • 脆弱性发现：
        • 脆弱性识别的第一步是根据每一个具体的资产来寻找其脆弱性。（例如扫描漏洞）
        • 需要注意的问题：
          • 谨慎挑选扫描工具。关闭带有攻击性、破坏性的测试选项，或者使用通过国家测评机构检测的扫描工具。
          • 多方验证扫描结果。通过差异从不同角度发现系统存在的安全隐患。
          • 不要盲从扫描结论。用怀疑的态度科学的看待。
          • 即见树木又见森林。
      • 脆弱性分类
        • 资产可以分为技术资产和管理资产，植根于资产之上的脆弱性也分为“技术脆弱性”和“管理脆弱性”。

          

      • 脆弱性验证
        • 对一个高质量的风险评估而言，在进行脆弱性发现的同时，也需要对所采集的脆弱性信息进行验证。
        • 脆弱性的在线验证。
          • 要注意尽量不影响被测评单位信息系统的正常运行。
        • 脆弱性的仿真验证。
          • 选择对组织的业务既关键，同时又比较容易的仿真方案。
        • 对待脆弱性的客观态度。
      • 脆弱性赋值

        

        • 脆弱性对资产的暴露程度。比如弱口令、管理体系中存在的结构脆弱性。
        • 脆弱性利用的难易程度。即使某个脆弱性比较容易被利用，但如果管理得当就可以很大程度上避免。
        • 脆弱性的流行程度。公认的高危漏洞可以赋予较高的等级。
  • 案例——“数字兰曦”
    • 实施脆弱性评估主要从技术和管理两个方面进行。涉及物理层、网络层、应用层、管理层等各个层面的安全问题。
    • 技术脆弱性评估主要通过远程和本地两种方式对系统进行扫描，对网络设备和主机进行人工抽查来进行。
    • 管理脆弱性评估主要通过对公司提供的各种管理文档和人员访谈来进行。
    • “数字兰曦”的脆弱性
      • 网络脆弱性。“数字兰曦”系统中，结构安全与网段划分、网络访问控制、安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护都涉及到，存在以下问题：
        • 没有根据各部门的工作职能、重要性和涉及信息的重要程度等因素划分不同的子网或网段。
        • 没有对特定事件提供实时报警。
        • 没有对网络设备管理员的登录地址进行限制。
      • 主机系统脆弱性。“数字兰曦”系统中，身份鉴别、访问控制、恶意代码防范等方面做的很好，存在的问题：剩余信息保护。
      • 应用系统脆弱性。存在的问题：在通信保密性、抗抵赖、软件容错、资源控制等方面措施不足。
      • 管理脆弱性。存在的问题：
        • 培训计划不完善。
        • 对以往的培训结果缺乏总结和考核。
        • 缺乏演练性培训记录。
• 风险分析
  • 什么是风险分析
    • 风险分析是指依据国家有关标准对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行分析和评价的过程。
    • 它要分析资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及资产的价值来判断安全事件一旦发生对组织造成的影响。
  • 风险分析与资产识别、威胁识别、脆弱性识别之间的关系？
    • 风险分析在这三者的基础上进行风险计算，对风险进行定级，提出相应的风险控制措施，最后再次评估残余风险。
  • 风险计算
    • 资产、威胁和脆弱性是风险的3个基本要素。在完成了资产识别、威胁识别、脆弱性识别之后，采用适当的方法来确定威胁利用脆弱性导致安全事件发生的可能性，并根据资产价值及脆弱性的严重程度，判断安全事件一旦发生后对组织造成的影响。这个影响值称为风险值。

      

      

    • 风险值计算的三个步骤：

      

      

      

      

      

    • 风险值计算示例：

      

      

      

  • 风险定级

    

  • 风险控制
    • 风险控制本质上就是在获得了信息系统所面临的风险分布情况之后，提出相应的安全解决方案，以规避、降低、转移、承担相应的风险。
    • 如果风险值在可接受的范围内，则该风险是可以承担的，应保持已有的安全措施。反之，不可承受，需要采取安全措施以降低、控制风险。
  • 风险控制四原则
    • 论证充分
    • 循序渐进
    • 结合国情
    • 应急联动
  • 残余风险
    • 风险不可能被彻底消灭，需要确认残余风险的状况。

      

• 应急响应
  • 应急响应概述
    • 应急响应定义：
      • 组织为了应对突发或者重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。
    • 应急响应计划：
      • 组织为了应对突发或者重大信息安全事件而编制的，对包括信息系统在内的业务运行进行维持或者恢复的策略和规程。
    • 应急响应计划与应急响应：
      • “作战计划”与“作战行动”
      • 响应计划提供指导和流程；
      • 应急响应发现计划的不足；
      • 循环反复，不断升华的过程。
    • 应急响应与风险评估：
      • “平时”与“战时”
  • 应急响应计划
    • 应急响应的基础是计划的准备，应急响应的依据是计划的编制，应急响应的核心是计划的实践。
      • 计划的准备阶段
      • 计划的编制阶段
      • 计划的实践阶段
    • 应急响应计划的准备
      • 应急响应计划的准备阶段实际上就是应急响应的需求分析和响应策略的选择阶段，包括风险评估、业务影响分析和制定响应策略三个部分。
      • 业务影响分析
        • 指对业务功能及其相关信息系统资源进行分析，评估特定安全事件对各种业务功能的影响的过程。
          • 在风险评估的基础上分析各种信息安全事件发生时对业务功能肯产生的影响。
          • 在风险分析的基础上确定应急响应恢复的目标。
      • 恢复的目标实际上就是风险评估中所识别的“重要资产清单”。需要确定一下两点：
        • 优先顺序（先抢修哪个子系统？）
        • 时间和范围
      • 要考虑业务的重要性、恢复的难度、恢复成本。
      • 应急响应计划制定中应该注意的问题
        • 通用性和特殊性
          • 一个组织机构层次越高，应急计划就越应该具备通用性，而业务工作越单一的部门，应急计划就越应该具备特殊性。
        • 灵活性和规范性
          • 计划越详细，执行过程就越规范，但也就越缺乏灵活性。
        • 可操作性和系统性
          • 计划应明确、简洁、易于执行。
    • 应急计划的制定
      • 包括总则、角色与职责、预防与预警机制、应急响应流程、应急响应保证措施和附件6项基本要素。
        • 总则
          • 简要回答“为什么”、“凭什么”、“有什么”和“怎么做”。包括编制目的、编制依据、适用范围和工作原则。
        • 角色和职责

          

        • 预防和预警机制
          • 一种防御性的方法。最常见的措施就是容灾备份。
        • 应急响应流程

          

          • 规定了信息安全事件发生后采取的工作流程和相应条款。
          • 应急响应流程包括：
            • 事件通告；信息通报、信息上报、信息披露。
            • 事件定级；
            • 应急启动；
            • 应急处置；恢复顺序、恢复任务、恢复流程。
            • 后期处置；信息系统重建、事件总结。
        • 保障措施
          • 人员保障；管理人员、技术人员。
          • 物资保障；基础物资保障、应急响应物资保障。
          • 技术保障；应急技术服务、日常技术保障。