信息系统应用安全（张爱芳）安全评估流程与方法论介绍.ppt

安全评估流程和方法论介绍 安全风险评估的目的 对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估 通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状 明确地看到当前安全现状与安全目标之间的差距 为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据 评估与安全防护的关系 什么是风险？ 风险 Risk 对目标有所影响的某个事件发生的可能性。它根据后果和可能性来度量。 风险管理（Risk Management） 旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。 风险分析模型 风险评估基本流程 风险评估基本流程 资产概述 信息安全风险的概念已逐步被接受 对信息安全的宏观需求分析已逐步被以资产为考察对象的微观风险分析所取代 视信息资产的识别和安全估价 信息资产的定义 广义的信息资产包括 数据 服务 软件 硬件 设备 人员 在本项目中，我们限定信息资产的范围为： 信息资产是指组织的信息系统，其提供的服务以及处理的数据 资产分类 应用服务 网络系统类型示例 网络系统形态 网络系统资产识别原则 主机系统概念 主机系统类型示例 主机系统资产识别原则 平台系统类型示例 平台系统资产识别原则 应用软件资产识别原则 数据资产识别原则 资产识别的步骤 绘制拓扑图 确定应用服务 确定区域 按以下顺序识别资产 网络 主机 平台 应用软件 数据 资产安全性估价 机密性： 该资产被揭露时的后果 完整性： 该资产不处于准确，完整或可依赖状态时的后果 可用性： 当某一项资产完全不可用时对应用服务所造成的后果 半定量安全性估价 即等级化估价，每一项分五级，5为最高 资产的三性之间不具有可比性 机密性含义 完整性含义 可用性含义 资产赋值方法 机密性赋值 完整性赋值 可用性赋值 框架元素赋值 可赋值的元素 区域 连接 赋值的基本原则 包含资产价值的最大值 框架元素赋值仅用作参考，不具备真实意义 资产安全性估价 机密性： 该资产被暴露或泄密时的后果 完整性： 该资产不处于准确，完整或可依赖状态时的后果 可用性： 当某一项资产完全不可用时对应用服务所造成的后果 半定量安全性估价 即等级化估价，每一项分五级，5为最高 资产的三性之间不具有可比性 资产价值计算 Asset Value = Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]} A代表机密性的权值；B代表完整性的权值；C代表可用性的权值 电信运营商（最关注可用性）：A=0.7，B=0.7，C＝1.6； 金融行业（最关注完整性）：A=0.7，B=1.6，C＝0.7； 政府涉密部门（最关注机密性）：A=1.6，B=0.7，C＝0.7； 风险评估基本流程 确认威胁的属性--可能性 Likelihood 人为故意威胁的可能性因素： 资产的吸引力和暴光程度，组织的知名度； 资产转化成利益的容易程度，包括财务的利益和资源 威胁可能性确认方法： 过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率； 通过IDS系统和各种日志中威胁发生的数据的统计和分析； 参考国际机构发布的安全威胁发生频率的统计数据均值； 用户访谈和综合分析 威胁调查 威胁分析 威胁的可能性赋值标准 风险评估基本流程 安全弱点的评估 弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害 弱点包括两个属性，弱点的严重性和被利用的难易程度 弱点的严重性等同于影响的严重性 弱点被利用难易程度赋值标准 影响严重性赋值标准 风险评估基本流程 半定量风险评估模型 风险的计算 风险处置措施 风险处置措施 1 2 3 轻微损失 2 3 4 中等损失 3 4 5 严重损失 可能导致损失 容易导致损失 直接导致损失 Vc X：资产被暴露时与所造成最严重后果之间的关系 Y:后果对组织的最严重损害程度 一般情况下 X＝3：数据资产 X＝2: 网络、主机、平台、应用软件的服务器端 X＝1: 控制台、工作站、客户端 1 2 3 轻微损失 2 3 4 中等损失 3 4 5 严重损失 可能导致损失 容易导致损失 直接导致损失 Vc X：资产不处于准确，完整或可依赖状态时与所造成最严重后果之间的关系 Y:后果对组织的最严重损害程度 一般情况下 X＝3：数据资产 X＝2: 应用软件 X＝1: 网络、主机和平台 1 2 3 一般应用服务 2 3 4 关键应用服务 3 4 5 核心应用服务 个体不可用 局部不可用 整体不可用 Vc X：资产不可用时对某个业务的影响 Y:该应用服务的关键性程度 一般情况下 X＝3：应用软件资产、主机资产、平台资产、核心网络资产 X＝2:非核心网络资产 X＝1