第八章计算机系统安全风险评估

第8章计算机系统

安全风险评估2/4/20231计算机系统安全原理与技术(第2版)主要内容计算机系统安全风险评估的目的和意义安全风险评估途径安全风险评估基本方法安全风险评估工具安全风险评估的依据和过程2/4/20232计算机系统安全原理与技术(第2版)8.1计算机系统安全风险评估的目的和意义1.安全风险评估是科学分析并确定风险的过程任何系统的安全性都可以通过风险的大小来衡量。风险评估——人们为了找出答案，分析确定系统风险及风险大小，进而决定采取什么措施去减少、转移、避免风险，把风险控制在可以容忍的范围内，这一过程即为风险评估。2/4/20233计算机系统安全原理与技术(第2版)信息安全风险评估——从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，将风险控制在可接受水平，最大程度地保障计算机网络信息系统安全提供科学依据。2/4/20234计算机系统安全原理与技术(第2版)2.信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是风险评估理论和方法在信息系统安全中的运用，是科学地分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、控制、转移、补偿以及分散等之间作出决策的过程。2/4/20235计算机系统安全原理与技术(第2版)3.信息安全风险评估是需求主导和突出重点原则的具体体现如果说信息安全建设必须从实际出发，坚持需求主导、突出重点、则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的，安全是安全风险和安全建设管理代价的综合平衡。2/4/20236计算机系统安全原理与技术(第2版)4.重视风险评估是信息化比较发达的国家的基本经验20世纪70年代，美国政府就颁布了《自动化数据处理风险评估指南》，其后颁布的信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求——要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露、未授权访问等造成损失的大小，制定、实施信息安全计划，以保证信息和信息系统应有的安全。2/4/20237计算机系统安全原理与技术(第2版)8.2安全风险评估途径基线评估(BaselineRiskAssessment)详细评估组合评估风险评估途径是指规定风险评估应该遵循的操作过程和方式。2/4/20238计算机系统安全原理与技术(第2版)基线评估(BaselineRiskAssessment)安全基线——在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。采用基线风险评估，组织根据自己的实际情况，对信息系统进行安全基线检查，即拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。2/4/20239计算机系统安全原理与技术(第2版)优点所需资源少、周期短、操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效地风险评估途径。缺点基线水平的高低难以设定。如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分的安全。在管理安全相关的变化方面，基线评估比较困难。2/4/202310计算机系统安全原理与技术(第2版)详细评估要求对资产进行详细识别和评估，对可能引起风险的威胁和脆弱点进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降到可接受的水平，以此证明管理者采用的安全控制措施是恰当的。优点：通过此途径可以对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求。缺点：非常耗费资源，包括时间、精力、技术等。2/4/202311计算机系统安全原理与技术(第2版)组合评估——将前面二者相结合！优点：既节省评估所耗费的资源，又能确保获得一个全面系统的评估结果。组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也会被忽略，最终导致结果失准。2/4/202312计算机系统安全原理与技术(第2版)8.3安全风险评估基本方法目标——找出组织信息资产面临的风险及其影响基于知识的评估方法基于模型的评估方法定量评估方法定性分析方法定性与定量相结合的综合评估方法2/4/202313计算机系统安全原理与技术(第2版)基于知识的评估方法又称为经验法，采用这种方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。信息源包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察。2/4/202314计算机系统安全原理与技术(第2版)基于模型的评估方法CORAS——安全危急系统的风险分析平台，2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发。目的：开发一个机遇面向对象建模，特别是UML技术的风险评估框架。评估对象：对安全要求很高的一般性系统，特别是IT系统的安全。2/4/202315计算机系统安全原理与技术(第2版)优点

提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率。2/4/202316计算机系统安全原理与技术(第2版)定量评估方法指运用数量指标来对风险进行评估，即对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素都被赋值，如资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等，风险评估的整个过程和结果就都可以被量化了。2/4/202317计算机系统安全原理与技术(第2版)优点用直观的数据来表述评估的结果，可以对安全风险进行准确的分级，但这有个前提，即可供参考的数据指标是准确的。缺点：定量分析所依赖的数据的可靠性很难保证；为了量化，常常将本来比较复杂的事物简单化、模糊化了，有的风险因素被量化后还可能被误解和曲解。2/4/202318计算机系统安全原理与技术(第2版)几个概念暴露因子EF：特定威胁对特定资产造成损失的百分比，即损失的程度。单一损失期望SLE：即特定威胁可能造成的潜在损失总量。年度发生率ARO：在一年内估计会发生威胁的频率。年度损失期望ALE：表示特定资产在一年内遭受损失的预期值。2/4/202319计算机系统安全原理与技术(第2版)定量分析的过程识别资产并为资产赋值；通过威胁和弱点评估，评估特定威胁作用于特定资产所造成的影响，即EF（0%——100%）；计算特定威胁发生的频率ARO；计算资产的SLE：SLE=总资产*EF计算资产的ALE：ALE=SLE*ARO对定量分析来说，有两个指标最为关键：EF和ARO2/4/202320计算机系统安全原理与技术(第2版)定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊情况等非量化资料，对系统风险状况作出判断的过程。操作方法有：小组讨论、检查列表、问卷、人员访谈、调查等。在此基础上，通过一个理论推导演绎的分析框架作出调查结论。优点：避免了定量方法的缺点，可挖掘出一些蕴藏很深的思想，使评估的结论更全面、深刻。缺点：主观性很强，往往需要凭借分析者的经验和直觉，或是业界的标准和惯例，为风险管理主要素的大小或高低程度定性分级。2/4/202321计算机系统安全原理与技术(第2版)定量分析与定性分析比较：定性分析的精确度不够，定量分析则比价精确，但前期建立风险模型较困难；定性分析没有定量分析那么繁多的计算负担，但要求分析者有一定的经验和能力；定性分析不依赖于大量的统计数据，而定量分析则不同；定性分析较为主观，定量分析基于客观；定性分析的结果很难有统一的解释，但是定量分析的结果很直观，任意理解。2/4/202322计算机系统安全原理与技术(第2版)定性与定量相结合的综合评估方法定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。所以在复杂的信息系统风险评估过程中，应该将这两种方法融合起来。2/4/202323计算机系统安全原理与技术(第2版)8.4安全风险评估工具风险评估工具是风险评估的辅助手段，是保证风险评估结果可信度的重要因素。它的使用不仅在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家经验知识被广泛应用。2/4/202324计算机系统安全原理与技术(第2版)1．风险评估与管理工具——一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经验、对输入输出进行模型分析。分类1）基于信息安全标准的风险评估与管理工具。2）基于知识的风险评估与管理工具。3）基于模型的风险评估与管理工具。2/4/202325计算机系统安全原理与技术(第2版)2．系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。脆弱性扫描工具主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析。2/4/202326计算机系统安全原理与技术(第2版)目前常见的脆弱性扫描工具有以下几种类型。1）基于网络的扫描器。在网络中运行，能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。2）基于主机的扫描器。发现主机的操作系统、特殊服务和配置的细节，发现潜在的用户行为风险，如密码强度不够，也可实施对文件系统的检查。2/4/202327计算机系统安全原理与技术(第2版)3）分布式网络扫描器。由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成，用于企业级网络的脆弱性评估，分布和位于不同的位置、城市甚至不同的国家。4）数据库脆弱性扫描器。对数据库的授权、认证和完整性进行详细的分析，也可以识别数据库系统中潜在的脆弱性。2/4/202328计算机系统安全原理与技术(第2版)渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件。渗透性测试的目的是检测已发现的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用，并可能会对被评估系统的运行带来一定影响。2/4/202329计算机系统安全原理与技术(第2版)3．风险评估辅助工具风险评估需要大量的实践和经验数据的支持，这些数据的积累是风险评估科学性的基础。风险评估辅助工具可以实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据。2/4/202330计算机系统安全原理与技术(第2版)常用的辅助工具有：检查列表—基于特定标准或基线建立的，对特定系统进行审查的项目条款。入侵检测系统—通过部署检测引擎，收集、处理整个网络中的通信信息，以获取可能对网络或主机造成危害的入侵攻击事件；帮助检测各种攻击试探和误操作；也可以作为警报器以提醒管理员。2/4/202331计算机系统安全原理与技术(第2版)安全审计工具—用于记录网络行为，分析系统或网络安全现状；其审计记录可作为风险评估中的安全现状数据，并可用于判断被评估对象威胁信息的来源。拓扑发现工具—主要是完成网络硬件设备的识别、发现功能。通过接入点接入被评估网络，完成被评估网络中的资产发现功能，并提供网络资产的相关信息，包括操作系统版本、型号等。2/4/202332计算机系统安全原理与技术(第2版)资产信息收集系统—通过提供调查表形式，完成被评估信息系统数据、管理、人员等资产信息的收集功能，了解到组织的主要业务、重要资产、威胁、管理缺陷、控制措施和安全策略的执行情况。其他—如用于评估过程参考的评估指标库、知识库、漏洞库、算法库、模型库等。一些专用的自动化的风险评估工具：COBRA、CRAMM、ASSET、CORA、CCtools2/4/202333计算机系统安全原理与技术(第2版)8.5安全风险评估的依据和过程8.5.1风险评估依据

——风险评估应该依据国家政策法规、技术规范与管理要求、行业标准或国际标准进行。1）政策法规。2）国际标准。3）国家标准。4）行业通用标准。5）其他。2/4/202334计算机系统安全原理与技术(第2版)8.5.2风险要素2/4/202335计算机系统安全原理与技术(第2版)8.5.3风险评估过程2/4/202336计算机系统安全原理与技术(第2版)1．风险评估准备风险评估准备是整个风险评估过程有效性的保证。在正式进行风险评估之前，阻止应该制定一个有效的风险评估计划，确定安全风险评估的目标、范围，建立相关的组织机构，并选择系统性的安全风险评估方法来收集风险评估所需的信息和数据。2/4/202337计算机系统安全原理与技术(第2版)具体主要包括以下内容。1）确定风险评估的目标。2）确定风险评估的范围。3）组建适当的评估管理与实施团队。4）进行系统调研。5）确定评估依据和方法。6）制定风险评估方案。7）获得最高管理者对风险评估工作的支持。2/4/202338计算机系统安全原理与技术(第2版)2．资产识别在这一过程中确定信息系统的资产，并明确资产的价值。资产是组织(企业、机构)赋予了价值因而需要保护的东西。资产的确认应当从关键业务开始，最终覆盖所有的关键资产。在确定资产时一定要防止遗漏，划入风险评估范围的每一项资产都应该被确认和评估。1）资产分类——数据、软件、硬件、服务、文档、人员、其它等。2）资产赋值——三个安全属性：保密性、完整性、可用性。2/4/202339计算机系统安全原理与技术(第2版)3．威胁识别在这一步骤中，组织应该识别每项(类)资产可能面临的威胁。安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁时一个客观存在的事实，它是风险评估的重要因素之一。1）威胁分类。威胁来源——引发威胁的人或事物，可分为环境因素和人为因素。2）威胁赋值——对威胁出现的频率进行评估。在评估中对出现的频率进行等级划分，等级数值越大，威胁出现的频率越高。2/4/202340计算机系统安全原理与技术(第2版)4．脆弱性识别光有威胁还构不成风险，威胁只有利用了特定的弱点才可能对资产造成影响，所以，组织应该针对每一项需要保护的信息资产，找到可被威胁利用的脆弱点，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋予相对等级值。2/4/202341计算机系统安全原理与技术(第2版)1）脆弱性识别内容数据来源——资产的所有者、使用者、相关业务领域和软硬件方面的专业人员等。采用方法——问卷调查法、工具检测法、人工核查法、文档查阅法、渗透性测试等。脆弱性识别主要从技术和管理两个方面进行。管理脆弱性又分为技术管理脆弱性和组织管理脆弱性。2）脆弱性赋值——根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级划分对已识别的脆弱性的严重程度进行赋值。2/4/202342计算机系统安全原理与技术(第2版)5．已有安全控制措施确认在影响威胁发生的外部条件中，除了资产的错弱点外，另一个就是组织现有的安全措施。识别已有的(或已计划的)安全控制措施，分析安全措施的效力，确定威胁利用弱点的实际可能性，一方面可以指出当前安全措施的不足，另一方面也可以避免重复投资。2/4