信息系统安全风险评估培训材料

1、通信网络信息安全风险评估培训提 纲n基础概念基础概念u 相关背景介绍相关背景介绍u 什么是风险评估什么是风险评估u 为什么要风险评估为什么要风险评估u 风险评估意义风险评估意义u 风险评估内容风险评估内容u 相关术语相关术语u 相关标准相关标准n 风险评估通用流程及具体实施风险评估通用流程及具体实施n 实施要点及示例说明实施要点及示例说明我们的安全形势威胁无处不在威胁无处不在网络网络拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道怎么办？怎么办？-风险评估风险评估n 网络面临的最

2、大威胁是什么？有哪些安全问题？n 什么是最关键的信息资产？n 网络设备是否安全？操作系统、数据库系统是否安全？n 您需要什么安全技术保障？风险控制手段？n 采用了哪些安全措施？是否有效？n 如何应对未来的威胁? -面临的问题面临的问题风险评估相关概念脆弱性脆弱性/ Vulnerability资产资产/ Asset存在存在利用利用破坏破坏威胁威胁/Threat风险风险/ Risk什么是风险评估什么是风险评估n 国信办20065号文件u风险评估（Risk Assessment）是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成

3、的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地为保障网络和信息安全提供科学依据风险评估内容风险评估内容评估内容评估内容管理层面管理层面技术层面技术层面物理物理安全安全机房等重点IT设施环境网络网络安全安全网络架构、网络设备主机主机安全安全服务器、PC终端应用应用安全安全应用业务系统、Web应用数据数据安全安全数据通信安全、存储安全及备份安全安全管理管理机构机构岗位设置、人员配备安全安全管理管理制度制度制定发布，评审修订系统系统建设建设管理管理定级、安全方案设计系统系统运维运维管理管理环境管理、资产管理人员录用，人

4、员离岗人员人员安全安全管理管理部分相关标准评估项参照标准资产评估u ISO17799/BS7799u 加拿大威胁和风险评估工作指南风险分析方法u ISO13335 IT风险管理系列风险分析模型uAS/NZS 4360: 2004 风险管理标准计算模型uAS/NZS 4360: 2004 风险管理标准u GAO/AIMD-00-33信息安全风险评估评估过程uGBT20984-2007信息安全风险评估规范uNIST-SP800-26 信息技术系统风险自评估指南u NIST-SP800-30 信息技术系统风险管理指南安全管理工作的评估uISO17799/BS7799u ISO13335 IT风险管理

5、系列物理安全评估uISO17799/BS7799uGB50174-2008电子信息系统机房设计规范网络设备安全性u ISO15408（CC）u GB17859工信部安全防护系列标准提 纲n 基础概念基础概念n风险评估流程风险评估流程u 风险准备风险准备u 资产识别资产识别u 威胁识别威胁识别u 脆弱性识别脆弱性识别u 已有安全措施的确认已有安全措施的确认u 风险分析风险分析n 实施要点及示例说明实施要点及示例说明风险评估流程资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别已有安全措施的确认已有安全措施的确认风险分析风险分析风险评估准备风险评估准备实施风险管理实施风险管理风险评估准备n 工作

6、内容工作内容风险评估准备n 信息安全风险评估方案n 检查记录表模板u 支撑网安全评测检查记录表业务安全u 支撑网安全评测检查记录表网络安全u 支撑网安全评测检查记录表主机安全u 支撑网安全评测检查记录表应用安全u 支撑网安全评测检查记录表数据安全及备份恢复u 支撑网安全评测检查记录表物理环境安全u 支撑网安全评测检查记录表管理安全u 支撑网安全评测检查记录表灾难备份及恢复n 调查问卷及其他u 需求文档清单u 文档交接单u 资产调查问卷u 资产识别清单u 重要资产清单u 脆弱性调查问卷u 现场配合人员名单 n 工作输出工作输出风险评估流程资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别已有安

7、全措施的确认已有安全措施的确认风险分析风险分析风险评估准备风险评估准备实施风险管理实施风险管理n 主要任务主要任务资产识别u资产信息搜集u资产分类u资产赋值n 资产类别u 网络设备（包括路由器、交换机等）u 安全设备（包括防火墙、入侵检测系统、防病毒软件等）u 主机（包括服务器、PC终端等）u 机房及相关设施 (如UPS、门禁、灭火器、温湿计)u 重要数据（如计费数据、用户信息数据、用户帐单）u 管理制度及文档u 人员资产分类n 安全属性赋值 资产赋值u 社会影响力u 业务价值u 可用性资产赋值（示例）风险评估流程资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别已有安全措施的确认已有安全措

8、施的确认风险分析风险分析风险评估准备风险评估准备实施风险管理实施风险管理威胁识别n 主要任务：主要任务： -识别对系统、组织及其资产构成潜在破坏能力的可能性因素或 者事件 -威胁出现频率赋值（简称威胁赋值）威胁赋值u 通过被评估对象体的历史故障报告或记录，统计各种发生过的威胁和其发生频率；u 通过网管或安全管理系统的数据统计和分析；u 通过整个社会同行业近年来曾发生过的威胁统计数据均值。n 赋值方法n 判断威胁出现频率，需要结合以下三个方面：威胁赋值资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别已有安全措施的确认已有安全措施的确认风险分析风险分析风险评估准备风险评估准备实施风险管理实施风

9、险管理风险评估流程脆弱性识别n 主要任务 -查找脆弱性 -脆弱性严重程度赋值（简称脆弱性赋值）u访谈u现场勘察u漏洞扫描u渗透测试u人工审计 -文档检查 -控制台审计u以前的审计和评估结果u脆弱性识别相关方法脆弱性识别方法-访谈n 访谈可以采取现场访谈的方式，也可以采取调查问卷的方式，通常是两种方式的结合n 通过一套审计问题列表问答的形式对企业信息资产所有人和管理人员进行访谈脆弱性识别方法-漏洞扫描n 多种扫描工具优化组合多种扫描工具优化组合n 扫描内容扫描内容u服务与端口开放情况 u枚举帐号/组u检测弱口令u各种系统、服务和协议漏洞u脆弱性识别方法-渗透测试n 什么是渗透测试u模拟黑客对模拟

10、黑客对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的攻击行为非破坏性质的攻击行为，以发现系统深层次的漏洞，并将整个过程与细节报告给用户。n 渗透测试的必要性u工具扫描存在一定的误报率和漏报率，并且不能发现高层次、复工具扫描存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；杂、并且相互关联的安全问题；u渗透测试可以发现逻辑性更强、更深层次的弱点，同时渗透测试渗透测试可以发现逻辑性更强、更深层次的弱点，同时渗透测试可以对漏洞扫描结果进行验证；可以对漏洞扫描结果进行验证；n 渗透测试难点u对测试者的专业技能要求很高。对测试者的专业技能要求

11、很高。渗透测试内容u信息泄露：对外服务是否暴露了可能被黑客利用的敏感信息u业务逻辑测试：系统是否在业务逻辑设计上存在被黑客利用的漏洞u认证测试：系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞u会话管理测试：系统是否存在会话劫持、CSRF等漏洞u拒绝服务测试：系统是否易受DDOS攻击uWeb服务测试：SQL注入、跨站脚本uAJAX测试渗透测试一般方法u远程溢出攻击测试 u口令破解 uWeb脚本及应用测试（SQL注入、XSS等）u本地权限提升测试 u网络嗅探监听u其它（社会工程学等） 渗透测试分类n黑盒测试u（”zero-knowledge testing”）渗透者完全处于对系统一无所知的

12、状态。通常，）渗透者完全处于对系统一无所知的状态。通常，这种类型的测试，最初的信息获取来自这种类型的测试，最初的信息获取来自DNS、Web、Email及各种公开对外的服务器。及各种公开对外的服务器。n白盒测试u测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其他程序的代码片段，也能与单位其他员工进行面对面的沟通这类的测试目的网站或其他程序的代码片段，也能与单位其他员工进行面对面的沟通这类的测试目的是模拟企业内部雇员的越权操作是模拟企业内部雇员的越权操作渗透测试一般流程n 计划与准备u 测试计划

13、u 测试准备n 侦查分析阶段u 信息收集u 目标判别u 漏洞查找n 攻击阶段u 获取权限u 权限提升u u 脆弱性识别方法-人工审计n 采用人工审计方式可以对漏洞扫描的结果进行验证和分析，也可以检查某些无法利用工具扫描的内容n 人工审计内容人工审计内容u网络安全网络安全n 网络拓扑结构n 子网划分n 网络边界n 审计日志n 网络流量与拥塞控制n 网络设备的安全配置n .u主机安全主机安全n 审计日志n 自主访问控制功能n 强制访问控制功能n 目录与文件权限n 口令设置n 登陆设置n 资源使用设置n 进程与端口关联n .人工审计内容（续）u专用业务/应用系统安全n 通讯安全性n 本地文件存储安全

14、性n 登陆过程安全性n 自主访问控制功能有效性及安全策略配置n 强制访问控制功能有效性及安全策略配置n 用户权限n 审计日志n 并发会话数限制n u数据安全及备份n 数据传输安全性n 数据存储安全性n 备份与恢复功能n 备份数据(如用户帐单备份数据)n 链路冗余n 硬件冗余(如计费系统双机备份) 人工审计内容（续）u物理环境安全n 防震、防风、防雨等能力n 机房出入安全n 区域隔离n 防水防潮n 防静电n 防盗窃和防破坏 n 温湿度控制n u管理安全n 管理制度n 制定和发布n 岗位设置n 人员配备n 人员录用、离岗n 安全意识教育和培训 n 软件开发n 测试验收n 审计示例防护要求脆弱性检查

15、要点(HP-UX)检查结果记录当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； /etc/inet/services/etc/inet/inetd.conf 口令应有复杂度要求并定期更换/var/adm/userdb/etc/shadow审计范围应覆盖到服务器上的每个操作系统用户和数据库用户/var/adm/userdb/etc/default/security 脆弱性识别工具n 扫描工具扫描工具u系统层：系统层：n X-scan、 Nessus、极光漏洞扫描系统、天镜漏洞扫描系统u应用层：应用层：n IBM Appscan、 Fortify 、 Acunetix

16、 Web Vulnerability Scanneru数据库：数据库：n Shadow DataBase Scanner、 ISS Database Scanneru脆弱性赋值等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，对资产造成的损害可以忽略脆弱性赋值表脆弱性赋值表u赋值方法赋值方法u工作输出工作输出n脆弱性列表脆弱性列表 类型、名称、描述、赋值类型、名称、描述、赋值风险评估流程资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别已有安全措

17、施的确认已有安全措施的确认风险分析风险分析风险评估准备风险评估准备实施风险管理实施风险管理已有安全措施确认n 安全措施 -预防性安全措施 -保护性安全措施n 主要任务 -针对已识别的脆弱性确认已采取的安全措施并记录下来n 工作输出 -已有安全措施确认表 风险评估流程资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别已有安全措施的确认已有安全措施的确认风险分析风险分析风险评估准备风险评估准备实施风险管理实施风险管理风险分析流程保持已有安全措施保持已有安全措施提出风险处理计划提出风险处理计划是否接受风险是否接受风险风险计算风险计算是是否否风险阈值风险阈值风险计算n 风险计算方法、风险计算n 风险

18、计算方法（续）u 相乘法：风险值 资产价值 x 威胁值 x 脆弱性值风险阈值的确定n 风险阈值是风险是否可接受的判断依据n 确定方法对象的安全等级1级2级3.1级3.2级4级5级风险阈值（风险值大于此阈值的风险视为不可接受）设备类风险（包括设备、机房、数据、网络）60452515105人员类风险906040302010管理制度、文档类风险80503020105风险处理建议n 主要任务n 风险处理方式u降低风险应用适当的控制措施 (预防性措施、保护性措施)u接受风险由于投入过高和收效不明显u避免风险因为风险的代价太高，不允许执行会产生风险的活动u转移风险转嫁给第三方（保险、供应商）u对不可接受风险提出控制风险的安全建议提 纲n 基础概念基础概念n 风险评估通用流程及具体实施风险评估通用流程及具体实施n实施要点及示例说明实施要点及示例说明成功实施要点n 评估范