网络信息安全风险评估实施方法.docx

《网络信息安全风险评估实施方法.docx》由会员分享，可在线阅读，更多相关《网络信息安全风险评估实施方法.docx（19页珍藏版）》请在第一文库网上搜索。

1、网络信息安全风险评估实施方法1 评估准备1.1 第1步：成立评估工作组在一个评估工作下达后，需要组织人员来实施评估工作的内容。评估工作组通常包括如下两方面的人员：评估人员：外部专业评估机构的人员，或由内部专业人员组成的评估队伍。系统管理人员：待评系统的运维管理人员。以上两部份人员形成一个完整的评估项目组，根据项目组成员的职能，项目组包括如下角色：表5.1评估工作组人员角色安和角色职责评估人员系统管理人员评估项目负责人负责总体协调、项目管理*人工评估*现场评估工程师工具检测*人员访谈*审计工程师数据分析、整理*咨询顾问风险处置、方案建议*文档工程师文档编制、维护*1.2 第2步：确定评估范围评估

2、范围界定是对待评系统资产的抽样。在成立了评估工作组后，评估范围可通过评估组的工作会议进行确定。确定的评估范围应能代表待评估系统的所有关键资产，包括：网络范围、主机范围、应用系统范围、制度与管理范围。评估范围确定后，待评系统管理人员需要根据选定的内容进行资料的准备工作，包括：网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设置说明等内容。本实施指南的附件信息安全风险评估资料准备说明中给出了评估前需要准备的清单。1.3 第3步：评估动员会议安全评估工作是一个挑毛病、找问题的过程，一般情况下带评估系统的管理和运行维护人员都会有一定的抵触情绪，因此，需要通过评估动员让所有工作人员明白评估的目

3、的和意义。评估动员会议应由较高层的领导出席，并表明对评估工作的支持态度。评估动员会议要完成以下的议题：评估的时间和人员安排、评估工作中的风险防范措施。1.4 第4步：信息系统调研为了确保评估工作的全面性、提高评估工作的效率，在评估实施前，组织评估工作组成员对确定的实施范围进行走访。通过前期快速的调研，评估工作组可以基本掌握评估范围内信息系统和人员的实际情况，并与配合人员进行初步的沟通，确定评估实施中必须具备的技术工具和手段，以及基本的时间安排和必要的工作准备。1.5 第5步：评估工具准备评估工作组根据收到的评估资料，进行评估工具的准备，这包括威胁列表、网络评估工具、主机评估工具、资产统计工具、

4、安全管理访谈表等内容。评估工具中大部份内容需要根据评估范围和评估的主要目的进行定制，例如威胁列表需要根据信息系统实际的物理、网络环境来进行定制；安全管理访谈表需要根据待评估系统的管理结构、管理方式进行定制。在评估工具中，网络、主机脆弱性评估的通用性较强，目前可找到的商用和免费工具较多。下表是目前常用的脆弱性评估工具列表：ISS-6.2.1漏洞扫描工具主机安全漏洞扫描、网络设备安全漏洞扫描Xscan-3.0漏洞扫描工具主机安全漏洞扫描、网络设备安全漏洞扫描Fport端口分析WindoWS系统主机端口分析工具SnifferPro协议分析工具网络协议分析SecureCRT人工审计工具用来进行远程主机

5、登录，可方便存取人工审计数据Nessus漏洞扫描分布式漏洞扫描工具So1arWinds网络拓扑发现可用于网络拓扑发现、网络设备配置下载2 现场评估现场阶段工作流程图（图4-4）中给出了信息安全风险评估的主要内容，下面根据流程图所示流程，对每一步的工作内容进行详细的说明。2.1 第1步：资产评估资产评估是评估的起点，做好资产评估能有效保证评估的完整性和科学性。资产评估包括了资产统计、业务系统分解和资产估值三部分内容，其中资产估值需要在对业务系统进行充分了解和分析的基础上进行。资产评估中采用以业务系统为主线的方法，将每一项信息资产按照所属业务系统进行归类，在业务系统划分的基础上评估信息系统的的安全

6、性。资产统计表5.3资产统计输入输出信息资产统计表、网络拓扑和说明、信息系统描述与系统分析报告信息资产清单列表资产统计输出的信息资产清单列表是评估中需要进行分析的资产,具体的列表情况参见附录Ho业务系统分解较简单的业务系统直接分解为功能模块，大的业务系统先分为相对独立的子系统，再对这些子系统进行功能分解。功能模块的分解参考如下功能模块定义：表5.4业务系统分解表类别说明数据存储信息系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理信息系统中负责进行数据处理运算的子系统或模块，如应用服务器服务提供信息系统中负责对用户提供服务的子系统或模块，如Web服务器客户端由用户或客户直接使用、操纵

7、的模块，包括：工作站、客户机等，如应用客户端、Web浏览器*注：以上的子系统（功能模块）分类可能存在于台主机上，也可能分布在多台主机上，对信息系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。这一步的工作说明如下:表5.5业务系统分解输入输出信息资产清单列表、网络拓扑和说明、信息系统描述与系统分析报告业务系统功能分解表一个示例的业务系统功能分解表如下:表5.6业务系统分解示例系统名称系统设备系统功能营销系统数据存储营销系统服务器业务处理服务提供营销Web服务器客户端系统管理员桌面机普通用户桌面机业务系统功能分解是为了辅助判断业务系统相关的数据、操作、处理等功能是在构成系统的

8、那些设备上完成的，确定出系统中的关键与核心设备。2.2 第2步：网络与业务构架评估网络与业务构架评估是对业务系统在网络中的部署情况进行的审计，以判断业务系统的部署是否跨越不同等级的安全区域。表5.7网络与业务构架评估输入输出网络拓扑图、业务系统逻辑结构说明网络与业务构架安全性记录这里网络与业务构架的评估结果主要是辅助对相关网络设备、主机安全性进行判断，并且对网络结构、业务结构的缺陷进行判断，输出的记录内容主要包括：网络结构与业务构架是否相适合网络关键点的链路是否安全可靠业务结构和业务流是否安全2.3 第3步：业务系统安全性评估业务系统通信关系审计业务通信关系审计是对业务系统间，以及业务系统内部

9、子系统间的通信安全性进行的审计，对于已有安全要求的业务系统可按照安全要求进行审计没有安全要求的业务系统可参照业务系统评估方法定义安全要求。表5.8业务系统通信关系审计输入输出信息系统描述与系统分析报告、业务系统功能分解表业务系统通信关系与通信安全性记录业务通信关系审计的输出记录是对关键业务通信信道、通信方式的判断结果，主要的记录内容示例如下：表5.8业务系统通信关系审计记录示例系统名称1系统名称2主机1主机2通信方式传输数据内容客户信息银行联网CIS服务器前置机TCP/IPSQ1*net电费数据，帐务信息系统系统前置机银行前置机TCP/IPTUXEDO(SC)帐务信息客户信息系统9559895

10、598WebCIS服务器TCP/IPSQ1*net客户信息，业扩信息在数据分析过程中，由此上表结合网络结构、数据安全性可以判断出两个系统间目前的通信方式是否安全。业务操作安全审计业务操作安全审计是对业务系统使用情况进行的审计，以确保不会由于非法操作或恶意操作导致信息安全事件，对业务操作的审计可参考相应的业务系统运维管理条例和职责划分制度等内容。表5.9业务操作安全审计输入输出业务系统功能分解表、业务系统数据流图、业务运维相关管理制度文档业务系统操作审计记录业务操作审计是对业务系统客户端业务软件和相关人员的审计，输出的业务系统操作审计记录主要包括一下内容：客户端安全配置客户端业务功能是否符合业务

11、安全策略要求客户端软件的基本安全功能，包括：输入验证、数据缓存等业务人员的安全意识等2.4 第4步：资产估值资产估值需要根据资产所处网络环境、资产中的数据、资产对业务系统的重要程度等内容进行。表5.10资产估值输入输出信息资产清单列表、信息系统描述与系统分析报告、网络拓扑图、业务系统逻辑结构说明、业务功能系统分解表、业务系统通信关系与通信安全性记录资产赋值表资产估值结合了第1步到第3步的评估结果，通过对资产清单中具体资产上信息（数据）、软件和硬件，以及相关人员的安全属性判断综合获得。2.5 第5步：威胁评估威胁评估是通过对业务系统整体环境的判断和掌握，确认系统所受到的威胁情况的过程，威胁评估主

12、要包含以下三项内容：威胁统计威胁统计是对信息系统面临的威胁的确认过程，威胁数据来源的方式较为多样，评估中可根据情况先进行威胁列表的维护，再根据实际环境进行判断和分析。表5.11威胁统计输入输出威胁列信息系统日志、系统环境表、说明系统威胁统计表威胁统计是根据信息系统的实际情况对威胁列表进行增加、删除的过程。附录C中给出了一个典型的威胁列表。资产威胁关联性分析资产威胁关联性分析是对具体资产或业务系统建立其威胁列表，以判断对具体资产或业务系统究竟有哪些威胁较为严重。根据评估的规模可只对关键资产进行威胁分析。表5.12资产威胁关联性分析输入输出信息资产清单列表、系统威胁统计表、信息系统描述与系统分析报

13、告、网络拓扑图、业务系统逻辑结构说明、业务系统通信关系与通信安全性记录资产威胁关联表资产威胁关联表是对每一个评估资产根据威胁统计表挑出其所面临的威胁的过程。这一过程需要评估人员和信息系统的运行维护人员一起进行讨论、分析和判断。威胁赋值与计算表5.13威胁赋值与计算输入输出资产威胁关联表资产威胁赋值表威胁赋值过程对每一个信息资产面临的威胁的可能性和严重程度都进行判断，赋值的依据参考4.1.2节中的规定。威胁赋值过程可以配合资产威胁关联性分析过程由评估人员和系统运行维护人员一起讨论决定。对于较大规模的评估，针对每一个资产进行威胁判断会导致工作量剧增，这在实际的评估操作中往往导致威胁评估不了了之。因

14、此，为简化威胁评估，可针对具体的应用系统或安全域进行威胁评估工作，将对应用系统或安全域整体的威胁视为对其中每一个资产的威胁。2,6第6步：主机安全性评估主机安全性评估是对业务系统范围内的主机的安全漏洞进行发现的过程，包括如下的内容：设备安全漏洞扫描设备安全漏洞扫描是采用漏洞扫描工具对系统技术漏洞的发现过程，在漏洞扫描的过程中可能会对业务系统的运行产生影响，因此需要得到操作许可，并准备应急预案以避免由风险评估产生的风险。表5.14设备安全漏洞扫描输入输出信息资产清单列表设备漏洞扫描结果设备审计设备审计是采用人工登录主机或网络设备的方式对设备的安全配置情况进行的审计，由于设备配置数据是信息系统的敏感数据，因此在审计前需要得到操作许可。表5.15设备审计输入输出信息资产清单列表，主机或网络审计检查列表设备审计结果设备审计主要依据相应的检查列表，由人工进行操作。检查列表是由评估机构根据各类设备的安全配置和使用经验总结、整理出的评估工具。2.7 第7步：现有安全措施审计对现有安全措施的审计主要评估这些安全措施是否发挥了作用，以及配套的管理策略是否到位。表5.16现有安全措施审计输入输出信息资产清单列表、（现有安全措施部署方案）现有安全措施审计记录现有安全措施审计记录中主要包括的内容有