一、 风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和评估方法。
二、 风险因素识别:资产识别、威胁识别、脆弱点识别
三、 风险评估方法:采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
资产评估
(1)资产识别:
|
硬件资产 |
应用系统 |
资产名称 |
资产编号 |
维护人 |
型号配置 |
购机年限 |
整体负荷 |
重要性程度 |
|
网络系统 |
资产名称 |
资产编号 |
维护人 |
型号配置 |
购机年限 |
整体负荷 |
重要性程度 |
|
文档和数据 |
资产名称 |
责任人 |
备份形式 |
存储形式 |
重要性程度 |
备注 |
|
|
人力资产识别 |
岗位 |
岗位描述 |
姓名 |
备注 |
|
|
|
|
业务应用 |
资产名称 |
设计容量 |
系统负荷 |
厂商服务能力 |
重要性程度 |
|
|
|
物理环境 |
资产名称 |
适用范围描述 |
适用年限 |
整体负荷 |
重要性程度 |
|
|
(2)资产赋值:
|
硬件资产 |
应用系统 |
资产名称 |
机密性 |
完整性 |
可用性 |
重要性程度 |
备注 |
|
|
网络系统 |
资产名称 |
机密性 |
完整性 |
可用性 |
重要性程度 |
备注 |
|
|
文档和数据 |
资产名称 |
机密性 |
完整性 |
可用性 |
重要性程度 |
备注 |
|
|
软件 |
资产名称 |
机密性 |
完整性 |
可用性 |
重要性程度 |
备注 |
|
|
物理环境 |
资产名称 |
机密性 |
完整性 |
可用性 |
重要性程度 |
备注 |
|
资产评估机密性、完整性、可用性的赋值通过调查问卷来实现
|
机密性 |
是否能够容纳具有不同密钥长度的各种加密机制? |
|
|
是否保证 SOAP消息级的机密性? |
|
|
加密签名数据时,其摘要值是否被加密?(如果没有加密攻击者可以借此推测明文,使得加密数据被破坏)? |
|
|
是否保证网络传输层的机密性? |
|
完整性 |
是否为加密后的数据再采用签名以确保初始化矢量的完整性不被破坏?(加密算法中使用的初始化矢量虽然可以解决为给定密钥和数据创建相同密文的安全问题,但初始化矢量本身也可能被修改,使上述问题再次出现。) |
|
|
是否采用的多种签名格式? |
|
可用性 |
加密的工具对递归深度或请求使用资源数量是否做限制? |
|
|
选择采用的合适的预防措施以免受任何潜在的拒绝服务的攻击。
|
(3)重要性程度的赋值:
应用头脑风暴法,即根据风险预测和风险识别的目的和要求,组成专家组,通过会议形式让大家畅所欲言,而后对各位专家的意见进行汇总、综合,以得出最后的结论。
资产评估值=Round{log 2 [2机密性+2完整性+2可用性]}
机密性∈(0.4),完整性∈(0.4),可用性∈(0.4),资产评估值∈(0.4)
威胁评估
威胁的确定:
1. 通过对应用系统、网络系统、文档和数据、软件、物理环境设计调查问卷,根据答案的汇总进行确定
如:
|
网络层次 |
安全要素 |
|
身份鉴别 |
自主访问控制 |
标记 |
强制访问控制 |
数据流控制 |
安全审计 |
数据完整性 |
数据保密性 |
可信路径 |
抗抵赖 |
网络安全监控 |
网络安全功能基本要求:
身份鉴别:
|
用户识别 |
1、 在SSF实施所要求的动作之前,是否对提出该动作要求的用户进行标识? |
|
|
2、 所标识用户在信息系统生存周期内是否具有唯一性? |
|
|
3、 对用户标识信息的管理、维护是否可被非授权地访问、修改或删除? |
|
用户鉴别 |
1、 在SSF实施所要求的动作之前,是否对提出该动作要求的用户进行鉴别? |
|
|
2、 是否检测并防止使用伪造或复制的鉴别数据 |
|
|
3、 能否提供一次性使用鉴别数据操作的鉴别机制? |
|
|
4、 能否提供不同的鉴别机制?根据所描述的多种鉴别机制如何提供鉴别的规则? |
|
|
5、 能否规定需要重新鉴别用户的事件? |
|
用户-主体绑定 |
对一个已识别和鉴别的用户,是否通过用户-主体绑定将该用户与该主体相关联? |
自主访问控制:
|
访问控制策略 |
1、 是否按确定的自主访问控制安全策略实现主体与客体建操作的控制? |
|
|
2、 是否有多个自主访问控制安全策略,且多个策略独立命名? |
|
访问控制功能 |
1、 能否在安全属性或命名的安全属性组的客体上执行访问控制SFP? |
|
|
2、 在基于安全属性的允许主体对客体访问的规则的基础上,能否允许主体对客体的访问? |
|
|
3、 在基于安全属性的拒绝主体对客体访问的规则的基础上,能否拒绝主体对客体的访问? |
|
访问控制范围 |
1、每个确定的自主访问控制,SSF是否覆盖网络系统中所定义的主体、客体及其之间的操作? |
|
|
2、每个确定的自主访问控制,SSF是否覆盖网络系统中所有的主体、客体及其之间的操作? |
|
访问控制粒度 |
1、网络系统中自主访问控制粒度为粗粒度/中粒度/细粒度? |
标记:
|
主体标记 |
1、 是否为强制访问控制的主体指定敏感标记? |
|
客体标记 |
2、是否为强制访问控制的客体指定敏感标记? |
|
标记完整性 |
敏感标记能否准确表示特定主体或客体的访问控制属性? |
|
有标记信息
的输出 |
1、 将一客体信息输出到一个具有多级安全的I/O设备时,与客体有关的敏感标记也可输出? |
|
|
2、 对于单级安全设备,授权用户能否可靠地实现指定的安全级的信息通信? |
强制访问控制
|
访问控制策略 |
2、 是否为强制访问控制的主体指定敏感标记? |
|
客体标记 |
2、是否为强制访问控制的客体指定敏感标记? |
|
标记完整性 |
敏感标记能否准确表示特定主体或客体的访问控制属性? |
|
有标记信息
的输出 |
3、 将一客体信息输出到一个具有多级安全的I/O设备时,与客体有关的敏感标记也可输出? |
|
|
4、 对于单级安全设备,授权用户能否可靠地实现指定的安全级的信息通信? |
用户数据完整性
|
存储数据的完整性 |
1、 是否对基于用户属性的所有客体,对用户数据进行完整性检测? |
|
|
2、当检测到完整性错误时,能否采取必要的恢复、审计或报警措施? |
|
传输数据的完整性 |
1、是否对被传输的用户数据进行检测? |
|
|
2、数据交换恢复若没有可恢复复件,能否向源可信IT系统提供反馈信息? |
|
处理数据的完整性 |
对信息系统处理中的数据,能否通过“回退”进行完整性保护? |
用户数据保密性
|
存储数据的保密性 |
1、 是否对存储在SSC内的用户数据进行保密性保护? |
|
传输数据的保密性 |
1、是否对在SSC内的用户数据进行保密性保护? |
|
客体安全重用 |
1、将安全控制范围之内的某个子集的客体资源分配给某一用户或进程时,是否会泄露该客体中的原有信息? |
|
|
2、将安全控制范围之内的所有客体资源分配给某一用户或进程时,是否会泄露该客体中的原有信息? |
如:
|
|
调查问卷题目 |
|
认证 |
是否提供注册服务机制? |
|
|
只提供点到点的认证服务还是提供端到端的认证服务? |
|
|
是否更新现有的身份识别以符合最新Web服务安全规范? |
|
授权 |
对访问资源提供大粒度的访问控制还是小粒度的访问控制? |
|
|
是否更新现有接入控制安全策略以满足服务安全规范? |
|
|
认证成功之后, 是否在运行时根据资源访问权限列表来检查服务请求者的访问级别? |
|
审计性 |
管理员是否可以在生命周期的不同时刻追踪并找出服务请求? |
|
|
哪些技术提供了不可否认性的一个关键元素? |
|
不可否认性 |
是否支持不可否认性?(不可否认性使得用户能够证明事务是在拥有合法证书的情况下进行的。) |
|
|
是否包含时间戳、序列号、有效期、消息相关等元素,并进行签名从而保证消息的唯一性(当缓存这些信息时,可以检测出重放攻击)? |
2. 通过工具进行扫描
(1) 收费威胁扫描工具(内网威胁发现解决方案)
核心技术包括:已知病毒扫描、变种和加壳恶意程序扫描、恶意程序行为分析引擎、网络蠕虫病毒扫描、网页信誉服务
能解决的问题:恶意程序实时分析系统、恶意程序的深度分析、恶意程序的处置建议
可得出的结论:总体风险等级、感染源统计、威胁统计、潜在风险
(2) 免费扫描工具:
1. Nmap 网络安全诊断和扫描工具,进行端口扫描,是一款开放源代码的网络 探测和安全审核的工具,它的设计目标是快速地扫描大型网络。
2. Nikto Web服务器漏洞扫描工具,Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描。扫描项和插件可以自动更新。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
3. X-scan、ISS、Nessus 漏洞扫描工具
说明:
众多的自动化扫描工具当中,Nessus是最值得称赞的。它基于C/S架构、插件结构的自动化扫描工具,可以免费使用,在线升级并随时获取国内外安全高手编写的最新漏洞的扫描插件。目前Nessus的插件个数已经超过14000个,而且这个数量正在急速上升,因为几乎全世界的安全人员都在使用这个工具,其中有很多黑客会向Nessus提供自己编写的插件。因此,使用Nessus进行扫描就像是全世界的顶尖安全人员都在用他们的技术在帮助我们检查网络中的缺陷。
可得出的结论:漏洞信息摘要、漏洞的详细描述、解决方案、风险系数
(3) 免费风险评估系统
ASSET是美国国家标准及时协会NIST发布的一个可用于安全风险自我评估的软件工具,采用典型的基于知识的分析方法,通过问卷形式自动完成信息技术系统的自我安全评估,由此了解系统的安全现状,并提出相对的对策。
ASSET下载地址:http://icat.nist.gov
其他常用风险评估系统:
|
名称 |
@RISK |
ASSET |
BDSS |
CORA |
COBRA |
CRAMM |
RA/SYS |
RiskWatch |
|
体系结构 |
单机 |
单机 |
单机 |
单机 |
C/S |
单机 |
单机 |
单机 |
|
所用方法 |
专家系统 |
基于知识 |
专家系统 |
过程式算法 |
专家系统 |
过程式算法 |
过程式算法 |
专家系统 |
|
定性/定量 |
定量 |
定性/定量结合 |
定性/定量结合 |
定量 |
定性/定量结合 |
定性/定量结合 |
定量 |
定性/定量结合 |
|
数据采集方式 |
调查文件 |
调查问卷 |
调查问卷 |
调查文件 |
调查文件 |
过程 |
过程 |
调查文件 |
|
输出结果 |
决策支持信息 |
提供控制目标和建议 |
安全防护措施列表 |
决策支持信息 |
结果报告、风险等级 |
结果报告、风险等级 |
风险等级、控制措施 |
风险分析综合报告 |
风险等级划分:
|
风险值≥900 |
极高 |
5 |
4 |
|
900>风险值≥700 |
高 |
4 |
3 |
|
700>风险值≥500 |
中 |
3 |
2 |
|
500>风险值≥300 |
低 |
2 |
1 |
|
300>风险值 |
极低 |
1 |
0 |
l 脆弱性评估
文档审计
手动进行审计和分析
(1) 日志的检查和分析
通过对日志的查询和分析,快速对潜在的系统入侵做出记录和预测,对发生的安全问题进行及时总结。
1. 关键网络、安全和服务器日志进行备份
2. 定期对关键网络、安全设备和服务器日志进行检查和分析,形成记录
(2) 权限和口令管理
1. 对关键设备按最新安全访问原则设置访问控制权限,并及时清理冗余系统用户,正确分配用户权限
2. 建立口令管理制度,定期修改操作系统、数据库及应用系统管理员口令,并有相关记录
3. 登录口令修改频率不低于每月一次
4. 登录口令长度的限制,并采用数字、字母、符号混排的方式。
5. 采取限制IP登录的管理措施。
(3) 实时监控记录
1.对服务器、主干网络设备的性能,进行24小时实时监控的记录进行检查。
2.对服务器、主干网络设备的运行情况,对实时监控的记录进行检查。
3.对网络流量、网站内容进行实时监控,对实时监控的记录进行检查。
利用安全审计和文档安全工具
绿盟、天融信均有安全审计查阅工具。
可实现的功能:
1、 审计查阅:提供从审计记录中读取信息的能力
2、 有限审计查阅:审计查阅工具应禁止具有读访问权限以外的用户读取审计信息
3、 可选审计查阅:审计查阅工具应具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。
模拟渗透测试
渗透测试工具通常包括黑客工具、脚步文件等。
(1) 免费渗透测试工具Dsniff。
Dsniff是一个优秀的网络审计和渗透测试工具,是一个包含多种测试工具的软件套件。
(2) 收费渗透测试工具。
天融信的渗透测试产品
l 风险评估结果的确定
根据心理学家提出的“人区分信息等级的极限能力为7±2”的研究理论,划分风险为0-8九个等级:
|
等级 |
描述 |
等级 |
描述 |
|
0 |
风险度极低 |
4 |
风险度中 |
|
1 |
风险度低 |
5 |
风险度中上 |
|
2 |
风险度偏低 |
6 |
风险度高 |
|
3 |
风险度中下 |
7 |
风险度较高 |
|
8 |
风险度极高 |
|
|
信息发布
网站导航
