信息系統(tǒng)安全風險評估培訓材料

1、1,通信網(wǎng)絡信息安全風險評估培訓,提 綱,基礎(chǔ)概念 相關(guān)背景介紹 什么是風險評估 為什么要風險評估 風險評估意義 風險評估內(nèi)容 相關(guān)術(shù)語 相關(guān)標準 風險評估通用流程及具體實施 實施要點及示例說明,我們的安全形勢,威脅無處不在,網(wǎng)絡,拒絕服務攻擊,邏輯炸彈,特洛伊木馬,黑客攻擊,計算機病毒,信息丟失、篡改、銷毀,后門、隱蔽通道,怎么辦？-風險評估,網(wǎng)絡面臨的最大威脅是什么？有哪些安全問題？ 什么是最關(guān)鍵的信息資產(chǎn)？ 網(wǎng)絡設(shè)備是否安全？操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)是否安全？ 您需要什么安全技術(shù)保障？風險控制手段？ 采用了哪些安全措施？是否有效？ 如何應對未來的威脅? ,-面臨的問題,風險評估相關(guān)概念,脆弱

2、性/ Vulnerability,資產(chǎn)/ Asset,風險/ Risk,什么是風險評估,國信辦20065號文件 風險評估（Risk Assessment）是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地為保障網(wǎng)絡和信息安全提供科學依據(jù),風險評估內(nèi)容,部分相關(guān)標準,工信部安全防護系列標準,提 綱,基礎(chǔ)概念 風險評估流程 風險準備 資產(chǎn)識別 威脅識別 脆弱性識別 已有安全措施的確認 風險分析 實施要

3、點及示例說明,風險評估流程,資產(chǎn)識別,脆弱性識別,威脅識別,已有安全措施的確認,風險分析,風險評估準備,實施風險管理,風險評估準備,工作內(nèi)容,風險評估準備,信息安全風險評估方案 檢查記錄表模板 支撐網(wǎng)安全評測檢查記錄表業(yè)務安全 支撐網(wǎng)安全評測檢查記錄表網(wǎng)絡安全 支撐網(wǎng)安全評測檢查記錄表主機安全 支撐網(wǎng)安全評測檢查記錄表應用安全 支撐網(wǎng)安全評測檢查記錄表數(shù)據(jù)安全及備份恢復 支撐網(wǎng)安全評測檢查記錄表物理環(huán)境安全 支撐網(wǎng)安全評測檢查記錄表管理安全 支撐網(wǎng)安全評測檢查記錄表災難備份及恢復 調(diào)查問卷及其他 需求文檔清單 文檔交接單 資產(chǎn)調(diào)查問卷 資產(chǎn)識別清單 重要資產(chǎn)清單 脆弱性調(diào)查問卷 現(xiàn)場配合人員名

4、單,工作輸出,風險評估流程,資產(chǎn)識別,脆弱性識別,威脅識別,已有安全措施的確認,風險分析,風險評估準備,實施風險管理,主要任務,資產(chǎn)識別,資產(chǎn)信息搜集 資產(chǎn)分類 資產(chǎn)賦值,資產(chǎn)類別,網(wǎng)絡設(shè)備（包括路由器、交換機等） 安全設(shè)備（包括防火墻、入侵檢測系統(tǒng)、防病毒軟件等） 主機（包括服務器、PC終端等） 機房及相關(guān)設(shè)施 (如UPS、門禁、滅火器、溫濕計) 重要數(shù)據(jù)（如計費數(shù)據(jù)、用戶信息數(shù)據(jù)、用戶帳單） 管理制度及文檔 人員,資產(chǎn)分類,安全屬性賦值,資產(chǎn)賦值,社會影響力 業(yè)務價值 可用性,資產(chǎn)賦值（示例）,風險評估流程,資產(chǎn)識別,脆弱性識別,威脅識別,已有安全措施的確認,風險分析,風險評估準備,實施風

5、險管理,威脅識別,主要任務： -識別對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或 者事件 -威脅出現(xiàn)頻率賦值（簡稱威脅賦值）,威脅賦值,通過被評估對象體的歷史故障報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率； 通過網(wǎng)管或安全管理系統(tǒng)的數(shù)據(jù)統(tǒng)計和分析； 通過整個社會同行業(yè)近年來曾發(fā)生過的威脅統(tǒng)計數(shù)據(jù)均值。,賦值方法 判斷威脅出現(xiàn)頻率，需要結(jié)合以下三個方面：,威脅賦值,資產(chǎn)識別,脆弱性識別,威脅識別,已有安全措施的確認,風險分析,風險評估準備,實施風險管理,風險評估流程,脆弱性識別,主要任務 -查找脆弱性 -脆弱性嚴重程度賦值（簡稱脆弱性賦值）,訪談 現(xiàn)場勘察 漏洞掃描 滲透測試 人工審計

6、-文檔檢查 -控制臺審計 以前的審計和評估結(jié)果 ,脆弱性識別相關(guān)方法,脆弱性識別方法-訪談,訪談可以采取現(xiàn)場訪談的方式，也可以采取調(diào)查問卷的方式，通常是兩種方式的結(jié)合 通過一套審計問題列表問答的形式對企業(yè)信息資產(chǎn)所有人和管理人員進行訪談,脆弱性識別方法-漏洞掃描,多種掃描工具優(yōu)化組合 掃描內(nèi)容,服務與端口開放情況 枚舉帳號/組 檢測弱口令 各種系統(tǒng)、服務和協(xié)議漏洞 ,脆弱性識別方法-滲透測試,什么是滲透測試 模擬黑客對網(wǎng)絡中的核心服務器及重要的網(wǎng)絡設(shè)備，包括服務器、網(wǎng)絡設(shè)備、防火墻等進行非破壞性質(zhì)的攻擊行為，以發(fā)現(xiàn)系統(tǒng)深層次的漏洞，并將整個過程與細節(jié)報告給用戶。,滲透測試的必要性 工具掃描存在

7、一定的誤報率和漏報率，并且不能發(fā)現(xiàn)高層次、復雜、并且相互關(guān)聯(lián)的安全問題； 滲透測試可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點，同時滲透測試可以對漏洞掃描結(jié)果進行驗證；,滲透測試難點 對測試者的專業(yè)技能要求很高。,滲透測試內(nèi)容,信息泄露：對外服務是否暴露了可能被黑客利用的敏感信息 業(yè)務邏輯測試：系統(tǒng)是否在業(yè)務邏輯設(shè)計上存在被黑客利用的漏洞 認證測試：系統(tǒng)是否存在弱口令、繞過身份認證、瀏覽器緩存管理等漏洞 會話管理測試：系統(tǒng)是否存在會話劫持、CSRF等漏洞 拒絕服務測試：系統(tǒng)是否易受DDOS攻擊 Web服務測試：SQL注入、跨站腳本 AJAX測試,滲透測試一般方法,遠程溢出攻擊測試 口令破解 Web腳本及

8、應用測試（SQL注入、XSS等） 本地權(quán)限提升測試 網(wǎng)絡嗅探監(jiān)聽 其它（社會工程學等） ,滲透測試分類,黑盒測試 （”zero-knowledge testing”）滲透者完全處于對系統(tǒng)一無所知的狀態(tài)。通常，這種類型的測試，最初的信息獲取來自DNS、Web、Email及各種公開對外的服務器。 白盒測試 測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡拓撲、員工資料甚至網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進行面對面的溝通這類的測試目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作,滲透測試一般流程,計劃與準備 測試計劃 測試準備 偵查分析階段 信息收集 目標判別 漏洞查找 攻擊階段 獲取權(quán)限 權(quán)限提

9、升 ,脆弱性識別方法-人工審計,采用人工審計方式可以對漏洞掃描的結(jié)果進行驗證和分析，也可以檢查某些無法利用工具掃描的內(nèi)容 人工審計內(nèi)容,網(wǎng)絡安全 網(wǎng)絡拓撲結(jié)構(gòu) 子網(wǎng)劃分 網(wǎng)絡邊界 審計日志 網(wǎng)絡流量與擁塞控制 網(wǎng)絡設(shè)備的安全配置 .,主機安全 審計日志 自主訪問控制功能 強制訪問控制功能 目錄與文件權(quán)限 口令設(shè)置 登陸設(shè)置 資源使用設(shè)置 進程與端口關(guān)聯(lián) .,人工審計內(nèi)容（續(xù)）,專用業(yè)務/應用系統(tǒng)安全 通訊安全性 本地文件存儲安全性 登陸過程安全性 自主訪問控制功能有效性及安全策略配置 強制訪問控制功能有效性及安全策略配置 用戶權(quán)限 審計日志 并發(fā)會話數(shù)限制 ,數(shù)據(jù)安全及備份 數(shù)據(jù)傳輸安全性 數(shù)

10、據(jù)存儲安全性 備份與恢復功能 備份數(shù)據(jù)(如用戶帳單備份數(shù)據(jù)) 鏈路冗余 硬件冗余(如計費系統(tǒng)雙機備份),人工審計內(nèi)容（續(xù)）,物理環(huán)境安全 防震、防風、防雨等能力 機房出入安全 區(qū)域隔離 防水防潮 防靜電 防盜竊和防破壞 溫濕度控制 ,管理安全 管理制度 制定和發(fā)布 崗位設(shè)置 人員配備 人員錄用、離崗 安全意識教育和培訓 軟件開發(fā) 測試驗收 ,審計示例,脆弱性識別工具,掃描工具 系統(tǒng)層： X-scan、 Nessus、極光漏洞掃描系統(tǒng)、天鏡漏洞掃描系統(tǒng) 應用層： IBM Appscan、 Fortify 、 Acunetix Web Vulnerability Scanner 數(shù)據(jù)庫： Shad

11、ow DataBase Scanner、 ISS Database Scanner ,脆弱性賦值,脆弱性賦值表,賦值方法,工作輸出 脆弱性列表 類型、名稱、描述、賦值,風險評估流程,資產(chǎn)識別,脆弱性識別,威脅識別,已有安全措施的確認,風險分析,風險評估準備,實施風險管理,已有安全措施確認,安全措施 -預防性安全措施 -保護性安全措施 主要任務 -針對已識別的脆弱性確認已采取的安全措施并記錄下來 工作輸出 -已有安全措施確認表 ,風險評估流程,資產(chǎn)識別,脆弱性識別,威脅識別,已有安全措施的確認,風險分析,風險評估準備,實施風險管理,風險分析流程,保持已有安全措施,提出風險處理計劃,是否接受風險,

12、風險計算,是,否,風險閾值,風險計算,風險計算方法 、,風險計算,風險計算方法（續(xù)） 相乘法：風險值 資產(chǎn)價值 x 威脅值 x 脆弱性值,風險閾值的確定,風險閾值是風險是否可接受的判斷依據(jù) 確定方法,風險處理建議,主要任務 風險處理方式,降低風險應用適當?shù)目刂拼胧?(預防性措施、保護性措施) 接受風險由于投入過高和收效不明顯 避免風險因為風險的代價太高，不允許執(zhí)行會產(chǎn)生風險的活動 轉(zhuǎn)移風險轉(zhuǎn)嫁給第三方（保險、供應商）,對不可接受風險提出控制風險的安全建議,提 綱,基礎(chǔ)概念 風險評估通用流程及具體實施 實施要點及示例說明,成功實施要點,評估范圍確定 分析方法及計算方法的選擇 建立良好的溝通氛圍 適當?shù)脑u估工具選擇及操作策略 數(shù)據(jù)、報告應務必做到準確、詳盡、規(guī)范，可溯 整個過程應遵循風險評估原則,安全風險評估工作重點,管理與技術(shù)并重