Time: 2019-11-14  百度百科

信息安全风险评估流程

  —、风险评估概述

  信息安全风险评估的概念在业内有多种说法,从国标《评估指南》对信息安全风险评估的表述中看出,评估涉及资产、威胁、脆弱性和风险四个主要因素。

  风险管理是辨别信息系统潜在的风险,对其进行评估,并釆取措施将其降低到可接受的水平的过程,而风险评估是其中最重要的环节。

  信息安全风险评估是依据有关信息安全技术与管理标准, 对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。

  信息安全风险评估从管理的角度,运用科学的方法和手段, 系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,或将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。

  二、风险评估目的

  信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,通过开展信息安全风险评估工作,可以发现信息系统存在的主要问题和矛盾,找到解决诸多关键问题的办法。

  信息安全风险评估旨在认清信息安全环境,信息安全状况,有助于达成共识,明确责任,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。并为信息系统的建设和改造提供依据,帮助信息安全建设者正确判断系统存在风险与漏洞,并采取适当补救措施。

  风险评估可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的工作,只有正确、全面地了解理解安全风险后才能决定如何处理安全风险,从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策。

  三、风险评估范围

  信息安全风险评估适用于在信息安全管理体系下的所有信息资产、网络及任何管理和维护这些系统的流程所做的一切风险评估。信息安全风险评估包括信息资产的风险识别、评估与管理,即信息系统网络、管理制度、使用或管理信息系统的相关人员以及由信息系统使用时产生的文档、数据等的风险识别、评估与管理。

  四、风险评估流程

  信息安全风险评估的典型过程主要分为风险评估准备.资产识别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个阶段。

  1 •风险评估准备

  该阶段的主要任务是制订评估工作计划,包括评估目标、评估范围、制订信息安全风险评估工作方案,并根据评估工作需要,组建评估团队,明确各方职责。

  在风险评估准备阶段,需要多次与被评估方磋商,了解被评估方关注的重点,明确风险评估的目标和范围,为整个风险评估工作提供向导。在确定评估范围和目标之后,根据被评估对象的网络规模、复 杂度、特殊性,成立评估工作小组,明确各方人员组成及职责分工。建立评估团队后,由评估工作人员进行现场调研,由被评估方介绍网络构建情况,安全管理制度和釆取的安全防护措施以及业务运行情况。评估工作小组根据调研懵况撰写信息安全风险评估工作方案。

  1•风险评估准备

  a) 确定目标

  b) 确定范围

  c) 组建团队

  d) 系统调研

  e) 确定依据

  f) 制定方案

  2•资产识别

  做好风险评估准备阶段的相关工作之后,需要通过多种途径釆集评估对象的资产信息,为风险评估后续各阶段的工作提供基本素材。

  机密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或其安全属性未达成时所造成的影响程度来决定的。

  资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时,以被评估方提供的资产清单为依据,对重要和关键资产进行标注,对评估范围内的资产详细分类,防止遗漏,划入风险评估范围和边界内的每一项资产都应经过仔细确认。

  a) 资产分类

  资产分类方法:根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。在实际工作中,具体的资产分类方法可根据具体的评估对象和要求,由评估者灵活把握。

  b) 资产赋值

  根据资产在保密性、完整性、可用性上的不同要求,对资产进行保密性赋值、 完整性赋值、可用性赋值。

  资产价值应依据资产在保密性、完整性、可用性上的赋值等级,经过综合评定得出。

  3•威胁识别

  在识别威胁时,应根据资产目前所处的环境条件和以前的记录情况来判断,威胁识别主要通过采集入侵检测系统(IDS)的报警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确 保收集到的威胁信息客观准确,威胁问卷调查的对象要覆盖被评估对象的领导层、技术主管、网络管理人员、系统管理人员、安 全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订 不同的访谈提纲。

  威胁识别的关键在于确认引发威胁的人或事物,威胁源可能是蓄意也可能是偶然的因素,通常包括人、系统和自然环境等。一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。威胁识别完成后还应该对威胁发生的可能性进行评估,列出威胁清单,描述威胁属性,并对威胁出现的频率赋值。

  a) 威胁分类

  威胁可以通过威胁主体、资源、动机、途径等多种属性来描述,造成威胁的因素可分为人为因素和环境因素。在对威胁进行分类前,应考虑威胁的来源。

  b) 威胁赋值

  判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关统计数据来进行判断。

  4•脆弱性识别

  脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节, 同时也是非常重要的环节,对评估工作小组成员的专业技术水平要求较高。脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性调 査主要通过发放管理脆弱性调査问卷、顾问访谈以及收集分析现有的管理制度来完成;技术脆弱性检测主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。

  在工作过程中,应注意脆弱性识别的全面性,包括物理、网络、应用和管理等方面。为了分析脆弱性影响的严重程度,最好对关键资产的脆弱性进行深度检测和验证,比如关键服务的身份认证等。识别完成之后,还要对具体资产的脆弱性严重程度进行赋值。脆弱性严重程度可以等级化处理,不同等级分别表示资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。

  a) 脆弱性识别

  脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等 层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家 安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判断 资产的脆弱性及其严重程度。

  脆弱性识别包括两个方面,即技术脆弱性和管理脆弱性。

  脆弱性识别所采用的方法:问卷调査、工具检测、人工核査、文档査阅、渗透性测试等。

  b) 脆弱性赋值

  根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方 式对已识别的脆弱性的严重程度进行赋值。

  安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。有效的安全控制措施,可以降低安全事件发生的可能性,也可以减轻安全事件造成的不良影响。对有效的安全措施继续 保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确 认为不适当的安全措施应该核实是否应被取消或对其进行修正,或采用更合适的安全措施予以替代。

  因此,在进行安全风险分析计算之前,有必要识别目前已有的安全控制措施,包括安全控制措施的识别与确认、管理和操作控制措施的识别与确认。并对措施的有效性进行分析,为后续的风险分析提供参考依据。安全措施识别与确认,应由评估小组的安全控制措施识别小组、安全设备管理人员及安全设备厂家技术人员共同参与。

  3•已有安全措施确认

  安全措施可分为预防性安全措施和保护性安全措施两种。

  预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以 减少因安全事件发生后对组织或系统造成的影响。

  6•风险分析

  风险分析原理图

  构成风险的要素主要有资产、威胁和脆弱性,在识别了这些要素之后,就可以确定存在什么风险。风险分析阶段需要完成的工作主要有3项:风险计算、形成风险评估报告和给出风险控制 建议。风险计算是针对每一项信息资产、根据其自身存在的脆弱 性列表、所面临的威胁列表,考虑资产自身在信息系统中的重要程度(资产赋值),依据风险计算公式,计算出该信息资产的风险值,最终形成风险列表。风险评估报告主要结合风险评估工作 过程中釆集到的中间数据,对信息系统中的安全风险进行定性和 定量分析。风险控制建议主要由评估工作小组在对被评估对象的安全现状进行综合分析的基础上,有针对性地给出。

  风险只能被预防、避免、降低、转移或接受,而不可能完全消除。高风险和严重风险是不可接受的,必须选择实施相应的对策来消减。对于中等风险和低风险,可以选择接受,一般评估工作小组应针对被评估对象的中低风险给出风险控制建议。

  3•风险分析

  a) 风险计算原理

  风险值二R(A/T,V)=R(L(T,V),F(La, Va))

  其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;La 表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。

  b) 风险结果判断

  为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。

  c) 风险处理计划

  对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。

  d) 残余风险评估

  在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。

  风险评估文件记录

  (1)风险评估方案:阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等;

  (2)风险评估程序:明确评估的目的、职责.过程、相关的文件要求,并且准备实施评估需要的文档;

  (3)资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成资产识别清单,清单中应明确各资产的责任人/ 部门;

  (4)重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称.描述.类型.重要程度、责任人/部门等;

  (5)威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源.动机及出现的频率等;

  (6)脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括脆弱性名称、描述.类型及严重程度等;

  (7)已有安全措施确认表:根据已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等・

  (8)风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象,风险评估方法,资产、威胁、脆弱性的识别结果,风险分析、风险统计和结论等内容;

  (9)风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价确保所选择安全措施的有效性;

  (10)风险评估记录:根据组织的风险评估程序文件,记录对重要资产的风险评估过程。

  五.风险评估工作的要点

  做好风险评估工作,特别要注意以下五方面的工作:

  第一, 各级领导对评估工作的重视。风险评估工作只有得到各级领导的广泛认同和支持,才能顺利地开展并卓有成效地进行,获得客观、真实和有效的评价结果,作为今后信息安全建设的重要参考依据。

  第二,加强评估工作的组织和管理。信息安全风险评估工作启动后,应及时组建评估项目组,加强对整个评估工作的组织和管理。项目组主要包括项目领导小组、项目负责人和项目工作小组。

  第三,注意评估过程中的风险控制。评估工作过程中所面临的风险,主要是敏感信息泄露和评估过程中的各种技术性评估带来的。

  第四,做好各方的协调配合工作。信息安全风险评估工作涉及信 息系统的主管部门、建设单位或上级机关、运行维护部门、使用 部门、安全管理部门和保密部门以及技术支持单位和产品或服务提供商。因此需要高层领导直接组织,需要被评估方和评估方的密切配合,相互支持。

  第五,提供评估所必须的保障条件。在评估过程中,要考虑完成 信息安全风险评估工作的相关保障条件,包括人员、时间和经费 等。人员保障主要涉及完成风险评估工作的相关人员。评估工作小组的人员可以从被评估方的技术部门选派,也可选择国内可以 信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据评估工作的需要临时抽调。为了使评估结果真实、客观、有效, 需要有一定的时间保障,尤其是评估准备阶段,需要花较长的时 间精心准备。此外,风险评估还要有一定的经费支持,可能涉及咨询、技术服务、培训、管理、购置评估专用设备、购置工具和软件等费用。

  规避敏感信息泄露风险,主要应该注意几点:

  >参与评估的人员必须遵守国家有关信息安全的法律法规以及总行关于信息安全的相关管理规定,承担相应的义务和责任;

  >被评估方应与参与评估的所有人员签订具有法律约束力的保密协议;

  >评估过程中做好审核确认工作。对于规避技术性评估所带来的风险,例如进行漏洞扫描有时引起扫描对象宕机等,在制订各种技术性评估方案时,应当由被评估方和评估方共同审核确认,尽量避免釆取可能造成不良影响的操作,最好事先经过测试。

18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。