16-网络安全风险评估技术原理与应用
16.1 网络安全风险评估概述
1)概念
是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。
简单地说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
2)评估要素
网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用,如图所示。资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护,修补资产的脆弱性,从而降低资产的风险。
3)评估模式
根据评估方与被评估方的关系以及网络资产的所属关系,风险评估模式有自评估、检查评估与委托评估三种类型。
检查评估:检查评估由网络安全主管机关或业务主管机关发起,旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估。
委托评估:指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动
16.2 网络安全风险评估过程
网络安全风险评估工作涉及多个环节,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等
1)评估准备
首要工作是确定评估对象和范围。正式进行具体安全评估必须首先进行网络系统范围的界定,要求评估者明晰所需要评估的对象。
- 网络系统拓扑结构;
- 网络通信协议;
- 网络地址分配;
- 网络设备;
- 网络服务;
- 网上业务类型与业务信息流程;
- 网络安全防范措施(防火墙、IDS、保安系统等):
- 网络操作系统;
- 网络相关人员;
- 网络物理环境(如建筑、设备位置)
在这个阶段,最终将生成评估文档《网络风险评估范围界定报告》,该报告是后续评估工作的范围限定。
2)资产识别
资产识别包含“网络资产鉴定”和“网络资产价值估算”两个步骤。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。
3)威胁识别
一般从威胁来源、威胁途径、威胁意图等几个方面来分析
威胁途径是指威胁资产的方法和过程步骤。
威胁效果是指威胁成功后,给网络系统造成的影响。一般来说,威胁效果抽象为三种:非法访问、欺骗、拒绝服务。
威胁意图是指威胁主体实施威胁的目的。根据威胁者的身份,威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复。
威胁频率是指出现威胁活动的可能性。一般通过已经发生的网络安全事件、行业领域统计报告和有关的监测统计数据来判断出现威胁活动的频繁程度。
首先是标记出潜在的威胁源,并且形成一份威胁列表,列出被评估的网络系统面临的潜在威胁源。威胁源按照其性质一般可分为自然威胁和人为威胁,其中自然威胁有雷电、洪水、地震、火灾等,而人为威胁则有盗窃、破坏、网络攻击等。对威胁进行分类的方式有多种,针对以上的威胁来源,可以根据其表现形式对威胁进行分类。《信息安全技术信息安全风险评估规范(征求意见稿)》给出了一种基于表现形式的威胁分类方法,如表所示。
4)脆弱性识别
脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。
一般来说,脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别的依据是网络安全法律法规政策、国内外网络信息安全标准以及行业领域内的网络安全要求。
脆弱性评估工作又可分为技术脆弱性评估和管理脆弱性评估。
- 技术脆弱性评估。技术脆弱性评估主要从现有安全技术措施的合理性和有效性方面进行评估。
- 管理脆弱性评估。管理脆弱性评估从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。安全管理脆弱性评估主要是指对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价,其目的在于确认安全策略的执行情况。
5)已有安全措施确认
6)网络安全风险分析
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方法。
1.网络安全风险分析步骤
对资产进行识别,并对资产的价值进行赋值。
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。
2.网络安全风险分析方法
定性、定量、综合计算
3.网络安全风险计算方法
相乘法、矩阵法
7)网络安全风险处置与管理
对不可接受的相关风险,应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择从管理与技术两个方面考虑。安全措施的选择与实施参照信息安全的相关标准进行。
目前,网络安全风险管理的控制措施主要有以下十大类:
- 制订明确安全策略:
- 建立安全组织;
- 实施网络资产分类控制;
- 加强人员安全管理;
- 保证物理实体和环境安全
- 加强安全通信运行;
- 采取访问控制机制;
- 进行安全系统开发与维护;
- 保证业务持续运行;
- 遵循法律法规、安全目标一致性检查。
为确保安全措施的有效性,一般要进行再评估,以判断实施安全措施后的风险是否已经降低到可接受的水平。
16.3 网络安全风险评估技术方法与工具
资产信息收集
网络拓扑发现
漏洞扫描:漏洞扫描内容主要有软件系统版本号、开放端口号、开启的网络服务安全漏洞情况、网络信息共享情况、密码算法和安全强度、弱口令分布状况等。
人工检查:事先设计好检查表
安全渗透测试:是指在获得法律授权后,模拟黑客攻击网络系统,以发现深层次的安全问其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等
问卷调查
网络安全访谈
审计数据分析
入侵检测
16.4 网络安全风险评估项目流程和工作内容
1)评估前期准备
准备工作:
确定风险评估的需求目标,其中包括评估对象确定、评估范围界定、评估的粒度和评估的时间等;
签订合同和保密协议;
成立评估工作组;
选择评估模式。
2)评估方案设计与论证
主要是确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容
3)评估方案实施
在评估方案论证通过后,才能组织相关人员对方案进行实施。评估方案实施内容主要包括评估对象的基本情况调查、安全需求挖掘以及确定具体操作步骤,评估实施过程中应避免改变系统的任何设置或必须备份系统原有的配置,并书面记录操作过程和相关数据。工作实施应必须有工作备忘录,内容包括评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存等。敏感系统的测试,参加评估实施的人员要求至少两人,且必须领导签字批准。
4)评估报告撰写
报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、残余风险描述等。
5)评估结果评审与认可
最高管理层或其委托的机构应组织召开评估工作结束会议,总结评估工作,对风险评估活动进行评审,以确保风险评估活动的适宜、充分和有效。评估认可是单位最高管理者或上级主管机关对风险评估结果的验收,是本次风险评估活动结束的标志。评估项目负责方应将评估工作经验形成书面文字材料,一并把评估数据、评估方案、评估报告等相关文档备案处理。
16.5 网络安全风险评估技术应用
1)应用场景
网络安全规划和设计
网络安全等级保护
网络安全运维与应急响应
数据安全管理与运营
