第16章 网络安全风险评估技术原理与应用
第16章 网络安全风险评估技术原理与应用
16.1 网络安全风险评估概述
网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。本节主要阐述网络安全风险评估的概念、网络安全风险评估的要素、网络安全风险评估模式。
16.1.1 网络安全风险评估概念
网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。简单地说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
一般来说,网络安全风险值可以等价为安全事件发生的概率(可能性)与安全事件的损失的乘积,即R=f(Ep,Ev)。其中,R表示风险值,Ep 表示安全事件发生的可能性大小,Ev 表示安全事件发生后的损失,即安全影响。
假设网络受到黑客攻击的概率为0.8,经济影响为2万元人民币,则该公司的网站安全风险量化值为1.6万元人民币。
16.1.2 网络安全风险评估要素
网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用。资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护,修补资产的脆弱性,从而降低资产的风险。
16.1.3 网络安全风险评估模式
根据评估方与被评估方的关系以及网络资产的所属关系,风险评估模式有自评估、检查评估与委托评估三种类型。
- 自评估
自评估是网络系统拥有者依靠自身力量,对自有的网络系统进行的风险评估活动。 - 检查评估
检查评估由网络安全主管机关或业务主管机关发起,旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估。 - 委托评估
委托评估是指网络系统使用单位委托具有内附评估能力的专业评估机构实施的评估活动。
16.2 网络安全风险评估过程
网络安全风险评估工作涉及多个环节,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等。
16.2.1 网络安全风险评估准备
网络安全风险评估准备的首要工作是确定评估对象和范围。正式进行具体安全评估必须首先进行网络系统范围的界定,要求评估者明晰所需要评估的对象。网络评估范围的界定一般包括如下内容:
- 网络系统拓扑结构;
- 网络通信协议;
- 网络地址分配;
- 网络设备;
- 网络服务;
- 网上业务类型与业务信息流程;
- 网络安全防范措施(防火墙、IDS、保安系统等);
- 网络操作系统;
- 网络相关人员;
- 网络物理环境(如建筑、设备位置)。
在这个阶段,最终生成评估文档《网络风险评估范围界定报告》,该报告是后续评估工作的范围限定。
16.2.2 资产识别
资产识别包含“网络资产鉴定”和“网络资产价值估算”两个步骤。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要为网络设备、主机、服务器、应用、数据和文档资产等六个方面。例如,网络设备资产有交换机、路由器、防火墙等。
“网络资产价值估算”是某一具体资产在网络系统中的重要程度确认。组织可以按照自己的实际情况,将资产按其对于业务的重要性进行赋值,得到资产重要性等级划分表。
表16-2 资产重要性等级及含义描述
| 资产等级 | 标识 | 描述 |
|---|---|---|
| 5 | 很高 | 非常重要,其安全属性破坏后可能组织造成非常严重的损失 |
| 4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失 |
| 3 | 中等 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
| 2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失 |
| 1 | 很低 | 不重要,其安全属性破坏后可能对组织造成很小的损失,甚至可以忽略不计 |
网络安全风险评估中,价值估算不是资产的物理实际经济价值,而是相对价值,一般是以资产的三个基本安全属性为基础进行衡量的,即保密性、完整性和可用性。价值估算的结果是由资产安全属性未满足时,对资产自身及与其关联业务的影响大小来决定的。目前,国家信息风险评估标准对资产的保密性、完整性和可用性赋值划分为五级,级别越高表示资产越重要。
16.2.3 威胁识别
威胁识别是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁意图等几个方面来分析。
首先是标出潜在的威胁源,并且形成一份威胁列表,列出被评估的网络系统面临的潜在威胁源。威胁源按照其性质一般分为自然威胁和人为威胁,其中自然威胁有雷电、洪水、地震、火灾等,而人为威胁则有盗窃、破坏、网络攻击等。
威胁途径是指威胁资产的方法和过程步骤,威胁者为了实现其意图,会使用各种攻击方法和工具,如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。通过各种方法的组合 ,完成威胁实施。
威胁效果是指威胁成功后,给网络系统造成的影响。一般来说,威胁效果抽象为三种:非法访问、欺骗、拒绝服务。
威胁意图是指威胁主体实施威胁的目的。根据威胁者的身份,威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复。
威胁频率是指出现威胁活动的可能性。一般通过已经发生的网络安全事件、行业领域统计报告和有关的监测统计数据来判断出现威胁活动的频繁程度。
16.2.4 脆弱性识别
脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。
一般来说,脆弱性识别以资产为核心,针对第一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。
对不同环境中的相同弱点,其脆弱性的严重程度是不同的,评估工作人员应从组织安全策略的角度考虑,判断资产的脆弱性及其严重程度。目前,国际上通过安全漏洞评分参考标准是CVSS(Common Vulnerability Scoring System);CWE Top可以评估软件漏洞安全等级。脆弱性识别所采用的方法主要有漏洞扫描、人工检查、问卷调查、安全访谈和渗透测试等。我国《信息安全技术 信息安全风险评估规范(征求意见稿)》给出了一种脆弱性严重程度的赋值方法。
表16-9 脆弱性严重程度赋值
| 等级 | 标识 | 定义 |
|---|---|---|
| 5 | 很高 | 脆弱性可利用性很高,如果被威胁利用,将对业务和资产造成完全损害 |
| 4 | 高 | 脆弱性可利用性高或很高,如果被威胁利用,将对业务和资产造成重大损害 |
| 3 | 中等 | 脆弱性可利用性较高、高或很高,如果被威胁利用,将对业务和资产造成一般损害 |
| 2 | 低 | 脆弱性可利用性一般、较高、高或很高,如果被威胁利用,将对业务和资产造成较小损害 |
| 1 | 很低 | 脆弱性可利用性低、一般、较高、高或很高,如果被威胁利用,将对业务和资产造成的损害可以忽略 |
脆弱性评估工作又可分为技术脆弱性评估和管理脆弱性评估。
- 技术脆弱性评估。技术脆弱性评估主要从现有安全技术措施的合理性和有效性方面进行评估。
- 管理脆弱性评估。管理脆弱性评估从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。安全管理脆弱性评估主要是指对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价,其目的在于确认安全策略的执行情况。
16.2.5 已有安全措施确认
对评估对象已采取的各种预防性和保护性安全措施有效性进行确认,评估安全措施能否防止脆弱性被利用,能否抵御已确认的安全威胁。
16.2.6 网络安全风险分析
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方式,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。
-
网络安全风险分析步骤
步骤一,对资产进行识别、并对资产的价值进行赋值。
步骤二,对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
步骤三,对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
步骤四,根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
步骤五,根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下,其影响主要从以下几个方面来考虑:- 违反了有关法律或规章制度;
- 对法律实施造成了负面影响;
- 违反社会公共准则,影响公共秩序;
- 危害公共安全;
- 侵犯商业机密;
- 影响业务运行;
- 信誉、声誉损失;
- 侵犯个人隐私;
- 人身伤害;
- 经济损失。
-
网络安全风险分析方法
网络安全风险值的计算方法主要有定性计算方法、定量计算方法、定性和定量综合计算方法。
1)定性计算方法
定性计算方法是将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估,然后再给出风险计算结果。例如,资产的保密性赋值评估为:很高、高、中等、低、很低;威胁出现的频率赋值评估为高、很高、中等、低、很低;脆弱性的严重程度赋值评估为很高、高、中等、低、很低;定性计算方法给出的风险分析结果是:无关紧要、可接受、待观察、不可接受。
2)定量计算方法
定量计算方法是将资产、威胁、脆弱性等量化为数据,然后再进行风险的量化计算,通常以经济损失、影响范围大小等进行呈现。定量计算方法的输出结果是一个风险数值。
3)综合计算方法
综合计算方法结合定性和定量方法,将风险评估的资产、威胁、脆弱性、安全事件损失各要素进行量化赋值,然后选用合适的计算方法进行风险计算。综合计算方法的输出结果是一个风险数值,同时给出相应的定性结论。 -
网络安全风险计算方法
风险计算一般有相乘法或矩阵法。
1)相乘法
相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值。
2)矩阵法
矩阵法是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失间的二维关系。
16.2.7 网络安全风险处置与管理
针对网络系统据存在的各种风险,给出具体的风险控制建议,其目标在于降低网络系统的安全风险。
对于不可接受的相关风险,应根据导致该风险的脆弱性制定风险处理计划。目前,网络安全风险管理的控制措施主要有以下十大类:
- 制订明确安全策略;
- 建立安全组织;
- 实施网络资产分类控制;
- 加强人员安全管理;
- 保证物理实体和环境安全;
- 加强安全通信运行;
- 采取访问控制机制;
- 进行安全系统开发与维护;
- 保证业务持续运行;
- 遵循法律法规、安全目标一致性检查。
为确保安全措施的有效性,一般要进行再评估,以判断实施安全措施后的风险是否已经降低到可接受的水平。残余风险的评估可按照风险评估流程实施,也可做适当裁减。
16.3 网络安全风险评估技术方法与工具
本节给出网络安全风险评估的技术方法,主要包括资产信息收集、拓扑发现、漏洞扫描、人工检查、安全渗透测试等。
16.3.1 资产信息收集
通过调查表的形式,查询资产登记数据库,以被评估的网络信息系统的资产信息进行收集,以掌握被评估对象的重要资产分布,进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性。
16.3.2 网络拓扑发现
网络拓扑发现工具用于获取被评估网络信息系统的资产关联结构信息,进而获取资产信息。常见的网络拓扑发现工具有ping、traceroute以及网络管理综合平台。
16.3.3 网络安全漏洞扫描
网络安全漏洞扫描可以自动搜集待评估对象的漏洞信息,以评估其脆弱性。
目前,进行漏洞扫描的工具有许多,常用的扫描工具如下:
- 端口扫描工具,如Nmap(开源)。
- 通用漏洞扫描工具,如X-Scan(开源)、绿盟极光(商用)、启明星辰天镜脆弱性扫描与管理系统(商用)、Nessus(开源)等。
- 数据库扫描,如SQLMap(开源)、Pangolin(开源)等。
- Web漏洞扫描,如AppScan(商用)、Acunetix Web Vulnerability Scanner(商用)等。
16.3.4 人工检查
人工检查是通过人直接操作评估对象以获取所需要的评估信息。一般进行人工检查前,要事先设计好“检查表(CheckList)”,然后评估工作人员按照“检查表”进行查找,以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。
目前,常用的安全基线类型有操作系统、数据库、网络设备、移动设备、应用软件等,其参考标准是CIS(Center for Internet Serurity)。
16.3.5 网络安全渗透测试
网络安全渗透测试是指在获得法律授权后,模拟黑客攻击网络系统,以发现深层次的安全问题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。常见的渗透测试集成工具箱有BackTrack、Metasploit、Cobalt Strike等。
16.3.6 问卷调查
问卷调查采用书面的形式获得被评估信息系统的相关信息,以掌握信息系统的基本安全状况。调查问卷一般根据调查对象进行分别设计,问卷包括管理类和技术类。管理调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等,管理调查问卷主要针对管理者、操作人员;而技术调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护,调查对象是IT技术人员。
网络安全访谈
安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈,以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。
16.3.8 审计数据分析
审计数据分析通常用于威胁识别,审计分析的作用包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。审计数据分析常常采用数据统计、特征模式匹配等多种技术,从审计数据中寻找安全事件有关信息。
16.3.9 入侵检测
入侵检测是威胁识别的重要技术手段。网络安全风险评估人员将入侵监测软件或设备接入待评估的网络中,然后采集评估对象的威胁信息和安全状态。入侵监测软件和设备有许多,按照其用途来划分,可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。常用于进行入侵监测的工具和系统如下:
- 网络协议分析器,如Tcpdump、Wireshark;
- 入侵检测系统,如开源入侵检测系统Snort、Suricata、Bro;
- Windows系统注册表监测,如regedit;
- Windows系统安全状态分析,如Process Explorer、Autoruns、Process Monitor等;
- 恶意代码检测,如RootkitRevealer、ClamAV;
- 文件完整性检查,如Tripwire、MD5sum。
16.4 网络安全风险评估流程和工作内容
本节阐述网络安全风险评估项目的主要工作流程和内容,包括评估工程前期准备、评估方案设计与论证、评估方案实施、评估报告撰写、评估结果评审与认可等。
16.4.1 评估工程前期准备
风险评估需求调查是评估工程后续工作前提,其内容包括评估对象确定、评估范围界定、评估的粒度和评估的时间等,在评估工作开始前一定要签订合同和保密协议,以避免纠纷。评估前期准备工作至少包括以下内容:
- 确定风险评估的需求目标,其中包括评估对象确定、评估范围界定、评估的粒度和评估的时间等;
- 签订合同和保密协议;
- 成立评估工作组;
- 选择评估模式。
16.4.2 评估方案设计与论证
评估方案设计依据被评估方的安全需求来制定,需经过双方讨论并论证通过后方可进行下一步工作。评估方案设计主要是确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容。为确保评估方案的可行性,评估工作小组应组织相关人员讨论,听取各方意见,然后修改评估方案,直至论证通过。
16.4.3 评估方案实施
在评估方案论证通过后,才能组织相关人员对方案进行实施。评估方案实施内容主要包括评估对象的基本情况调查、安全需求挖掘以及确定具体操作步骤,评估实施过程中应避免改变系统的任何设置或必须备份系统原有的配置,并书面记录操作过程和相关数据。工作实施就必须有工作备忘录,内容包括评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存等。敏感系统的测试,参加评估实施的人员至少两人,且必须领导签字批准。
16.4.4 风险评估报告撰写
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是组织实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查。
16.4.5 评估结果评审与认可
最高管理层或其委托的机构应组织召开评估工作结束会议,总结评估工作,对风险评估活动进行评审,以确保风险评估活动的适宜、充分和有效。评估认可是单位最高管理者或上级主管机关对风险评估结果的验收,是本次风险评估活动结束的标志。评估项目负责方应将评估工作经验形成书面文字材料,一并把评估数据、评估方案、评估报告等相关文档备案处理。
16.5 网络安全风险评估技术应用
网络安全风险评估是网络信息系统安全保障的重要工作之一,其作用是“知己知彼”,主动掌握网络安全状况,以便于进行网络安全建设和防护。本节首先分析网络安全风险评估的应用场景,然后给出Web、供应链、工业控制系统、网络安全、人工智能等方面的安全风险评估参考案例。
16.5.1 网络案例风险评估应用场景
网络安全风险评估的主要应用场景可以归结为以下几个方面。
- 网络安全规划和设计
- 网络安全等级保护
- 网络安全运维与应急响应
- 数据安全管理与运营
16.5.2 OWASP风险评估方法参考
OWASP是一个针对Web应用安全方面的研究组织,其推荐的OWASP风险评估方法分成以下步骤:
步骤一,确定风险类别(Identifying a Risk)。
收集攻击者、攻击方法、利用漏洞和业务影响方面的信息,确定评级对象的潜在风险。
步骤二,评估可能性的因素(Factors for Estimating Likelihood)。
从攻击者因素、漏洞因素分析安全事件出现的可能性
步骤三,评估影响的因素(Factors for Estimating Impact)。
评估影响的因素主要有技术影响因素、业务影响因素。
步骤四,确定风险的严重程度(Determining the Serverity of the Risk)。
把可能性评估和影响评估放在一起,计算风险的总体严重程度。可能性评估和影响评估分成0~9的级别。
步骤五,决定修复内容(Deciding What to Fix)。
将应用程序的风险分类,获得以优先级排列的修复列表。
步骤六,定制合适的风险评级模型(Customizing Your Risk Rating Model)。
根据评估对象,调整模型使其与风险评级准确度相一致。
