信息系统应用安全安全评估流程与方法论介绍

平安评估流程和方法论介绍平安风险评估的目的对信息系统平安的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过平安评估，能够清晰地了解当前所面临的平安风险，清晰地了解信息系统的平安现状明确地看到当前平安现状与平安目标之间的差距为下一步控制和降低平安风险、改善平安状况提供客观和翔实的依据评估与平安防护的关系资产拥有者平安控制措施平安防护确信/信心平安风险评估生成/加强给出证据/发现问题需要如不能确信，需要评估给出什么是风险？风险Risk对目标有所影响的某个事件发生的可能性。它根据后果和可能性来度量。风险管理〔RiskManagement〕旨在对潜在时机和不利影响进行有效管理的文化、程序和结构。

风险分析模型价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响风险评估根本流程资产识别与估价威胁评估弱点评估影响评估现有安全措施评估风险评估安全需求风险评估根本流程资产识别与估价威胁评估弱点评估影响评估现有平安措施评估风险评估安全需求资产概述信息平安风险的概念已逐步被接受对信息平安的宏观需求分析已逐步被以资产为考察对象的微观风险分析所取代视信息资产的识别和平安估价信息资产的定义广义的信息资产包括数据效劳软件硬件设备人员在本工程中，我们限定信息资产的范围为：信息资产是指组织的信息系统，其提供的效劳以及处理的数据资产分类类别简称解释/示例应用服务Service应用系统所提供的服务。包括各种业务应用服务，办公应用服务和通用应用服务，例如WWW、SMTP、POP3、FTP、DNS、内部文件服务等；网络系统Network网络系统是指构成信息系统网络传输环境的设

备，软件和介质。主机系统Host主机系统是指信息系统中承载业务系统和软件的计算环境，包括计算设备硬件及其运行的操作系统。平台系统Platform平台系统主要是指支撑应用软件的软件平台系统，例如数据库、中间件等。应用软件Application应用软件是指组织为其应用而开发或购买的各类应用软件。数据Data存在于电子媒介的各种数据和资料，包括数据库数据、存放于硬盘上的文件、代码等应用效劳满足业务需要的信息系统效劳。例如核心业务系统再保系统财务系统报表系统邮件系统内部网站网络系统类型例如路由器交换机通信终端网关防火墙VPN网络入侵检测网管系统网络设备控制台…

网络系统形态专用设备软件系统例如网管系统、DNS。控制台软件网络系统资产识别原那么一体化的网络设备，例如路由器、交换机、防火墙、VPN等均视为一项信息资产，而不再具体细分为硬件、操作系统或软件；软件形态的网络系统，例如软件防火墙、网络入侵检测系统、网关、VPN、DNS效劳、DHCP效劳、网管系统、防火墙或入侵检测系统的控制台等，均与其所处主机系统，合称为一项信息资产；网络线路的物理介质，均视为网络系统信息资产的属性，而不再单列为资产；集线器，线路中继器等辅助网络设备，不列为资产；对于多台以热备或负载均衡方式工作的同质网络系统，均视为一项信息资产，但其数量应作为属性列出；主机系统概念计算设备操作系统主机系统类型例如大型机小型机Unix效劳器Windows效劳器PC工作站移动计算设备应用加密机ATMPOS柜员终端磁盘阵列主机系统资产识别原那么以集群、簇或者备份方式工作的同质主机系统，均被视为一项信息资产，但其数量应作为属性列出；运行相同软件，且其与其它资产的网络连接方式相似的一组主机系统，例如所有移动计算设备，同类网点中的所有终端等，均可视为一项信息资产，但其数量应作为属性列出；同一台主机系统，安装两种或以上操作系统〔主要针对工作站、移动计算设备〕，并均能接入到网络中的，应视为多项主机系统信息资产。软硬件一体化的应用加密机或者密钥管理机，均视为一项主机系统资产。平台系统类型例如数据库中间件群件邮件CA系统Web效劳器集成开发环境工具软件平台系统资产识别原那么平台系统信息资产必然与某一项主机系统资产关联，与不同主机系统资产关联的平台系统信息资产，应视为不同信息资产；平台系统种类复杂，数量繁多，本次调研中，主要关注那些直接支撑应用软件的平台系统，非直接支撑的均可忽略。大局部平台系统均为客户－效劳器模式，应分别视为不同平台系统信息资产，例如Web/浏览器、Domino/Notes、邮件系统/邮件客户端以及CA/CA客户端等；应用软件资产识别原那么业务系统信息资产必然与某一项主机系统资产关联，与不同主机系统资产关联的业务系统信息资产，应视为不同信息资产；在农行中，业务系统大都分为前端和后端，有些甚至采用三层或四层结构，对于这些情况，应分别视为多项信息资产；数据资产识别原那么数据仅指应用软件处理的数据，而不指平台系统或其它系统处理的数据；数据的特征是存储态，在网络中传输，或程序处理的过程数据均不视为数据资产；

区域连接边界某企业保护对象框架资产识别的步骤绘制拓扑图确定应用效劳确定区域按以下顺序识别资产网络主机平台应用软件数据资产平安性估价机密性：该资产被揭露时的后果完整性：该资产不处于准确，完整或可依赖状态时的后果可用性：当某一项资产完全不可用时对应用效劳所造成的后果半定量平安性估价即等级化估价，每一项分五级，5为最高资产的三性之间不具有可比性机密性含义数据资产1、敏感数据泄露，如电子邮件、文件和交易数据应用软件配置数据失密账号口令信息失密关键算法失密平台系统配置数据失密账号口令信息失密主机系统配置数据失密账号口令信息失密网络系统配置数据失密账号口令信息失密网络拓扑失密完整性含义数据资产1、数据被修改应用软件配置数据被修改软件被修改数据被修改平台系统配置数据被修改软件被修改数据被修改主机系统配置数据被修改软件被修改网络系统1、配置数据被修改可用性含义数据资产1、数据丢失应用软件1、软件故障2、丧失控制权平台系统1、软件故障2、丧失控制权主机系统设备故障软件故障丧失控制权网络系统设备故障软件故障丧失控制权资产赋值方法VX=3X=2X=1Y=3543Y=2432Y=1321V={Vc,Vi,Va}Vc=Xc×YcVi=Xi×YiVa＝Xa×Ya5级不易赋值将每个值拆分为两个相乘指标每个指标取3级机密性赋值Vc直接导致损失容易导致损失可能导致损失严重损失543中等损失432轻微损失321X：资产被暴露时与所造成最严重后果之间的关系Y:后果对组织的最严重损害程度

一般情况下X＝3：数据资产X＝2:网络、主机、平台、应用软件的效劳器端X＝1:控制台、工作站、客户端完整性赋值Vc直接导致损失容易导致损失可能导致损失严重损失543中等损失432轻微损失321X：资产不处于准确，完整或可依赖状态时与所造成最严重后果之间的关系

Y:后果对组织的最严重损害程度

一般情况下X＝3：数据资产X＝2:应用软件X＝1:网络、主机和平台可用性赋值Vc整体不可用局部不可用个体不可用核心应用服务543关键应用服务432一般应用服务321X：资产不可用时对某个业务的影响Y:该应用效劳的关键性程度一般情况下X＝3：应用软件资产、主机资产、平台资产、核心网络资产

X＝2:非核心网络资产

X＝1:客户端

框架元素赋值可赋值的元素区域连接赋值的根本原那么包含资产价值的最大值框架元素赋值仅用作参考，不具备真实意义资产平安性估价机密性：该资产被暴露或泄密时的后果完整性：该资产不处于准确，完整或可依赖状态时的后果可用性：当某一项资产完全不可用时对应用效劳所造成的后果半定量平安性估价即等级化估价，每一项分五级，5为最高资产的三性之间不具有可比性资产价值计算AssetValue=Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]}A代表机密性的权值；B代表完整性的权值；C代表可用性的权值电信运营商〔最关注可用性〕：A=0.7，B=0.7，C＝1.6；金融行业〔最关注完整性〕：A=0.7，B=1.6，C＝0.7；政府涉密部门〔最关注机密性〕：A=1.6，B=0.7，C＝0.7；风险评估根本流程资产识别与估价威胁评估弱点评估影响评估现有平安措施评估风险评估安全需求平安威胁的定义平安威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。威胁总是要利用弱点〔脆弱性〕才可能对资产造成伤害。威胁可以分为成心人为威胁、非成心人为威胁、自然与环境威胁三种，还可以分为内部威胁和外部威胁等。确认威胁的属性--可能性Likelihood人为成心威胁的可能性因素：资产的吸引力和暴光程度，组织的知名度；资产转化成利益的容易程度，包括财务的利益和资源威胁可能性确认方法：过去的平安事件报告或记录，统计各种发生过的威胁和其发生频率；通过IDS系统和各种日志中威胁发生的数据的统计和分析；参考国际机构发布的平安威胁发生频率的统计数据均值；用户访谈和综合分析威胁调查潜在威胁分析入侵检测威胁审计综合分析威胁分析来源赋值威胁种类责任心或培训不足的内部人员环境因素或故障第三方外部攻击恶意内部人员软硬件故障

v

无作为或操作失误v

v

恶意代码和病毒v

vv管理不到位v

vvv黑客攻击技术

vvv物理环境威胁

v

越权或滥用v

v

v物理攻击

vvv泄密v

vvv篡改

vvv抵赖

vvv威胁的可能性赋值标准

风险评估根本流程资产识别与估价威胁评估弱点评估影响评估现有平安措施评估风险评估安全需求平安弱点的评估弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害

弱点包括两个属性，弱点的严重性和被利用的难易程度

弱点的严重性等同于影响的严重性平安工具扫描(网络、系统、数据库)主机平安人工评估应用软件平安评估网络架构结构评估平安策略文档分析平安审计和参谋访谈平安弱点的评估方法弱点被利用难易程度赋值标准赋值简称说明4极为容易VH该弱点广泛为人所知；若要利用，需要很少非常容易获得的资源；可以独立完成，不需要组织协作；不需要独特的或熟练的攻击技能；几乎没有风险。3容易利用H该弱点为很多人所知；若要利用，需要一些比较容易获得的资源；基本可以独立完成，需要中等熟练的攻击技能；风险较小。2中等程度M该弱点为小范围内人所知；若要利用，或需要一定数量，较贵的资源；或需要小规模的组织分工协作；或需要非常熟悉的攻击技能；或需要冒中等风险。1难以利用L该弱点几乎不为人所知；若要利用，或需要数量庞大的、昂贵的不易获得的资源；或需要较大规模的组织严密的分工协作；或需要独特的，特别熟练的攻击技能；或需要冒较大风险。0不能利用N该弱点几乎不能利用。影响严重性赋值标准赋值简称说明4VH可以造成资产全部损失或不可用，持续的业务中断，巨大的财务损失等非常严重的影响；3H可以造成资产重大损失，业务中断，较大的财务损失等严重影响；2M可以造成资产损失，业务受到损害，中等的财务损失等影响1L可以造成资产较小损失，并且立即可以受到控制，较小的财务损失等影响；0N资产损失可以忽略、对业务无损害，轻微或可忽略的财务损失等影响。风险评估根本流程资产识别与估价威胁评估弱点评估影响评估现有平安措施评估风险评估安全需求半定量风险评估模型价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响风险的计算风险值=资产价值×威胁值×弱点值×影响值此处弱点和威胁值已经考虑现有平安措施对其影响风险处置措施防止——完全消除风险