信息安全風(fēng)險分析及安全需求挖掘

1、信息安全風(fēng)險分析及安全需求挖掘田坤山田坤山主要內(nèi)容 現(xiàn)有的風(fēng)險分析方法綜述 風(fēng)險分析中需要關(guān)注的一些問題 衛(wèi)士通風(fēng)險分析流程及安全需求挖掘 現(xiàn)有的風(fēng)險分析方法綜述風(fēng)險分析的兩大類型 定量：準(zhǔn)確量化風(fēng)險分析的各個要素 單次損失估算值 年發(fā)生率 年損失估算值 火災(zāi) $500,000 0.1 = $500,000 錯誤操作 $50 1000 = $500,000 但是：資產(chǎn)價值的確定/發(fā)生概率的確定/最終數(shù)值的界定是比較困難的。 因此，真正使用此類方法來評估是很有難度的，需要專業(yè)性很強(qiáng)的公司介入項目。 定性：確定資產(chǎn)發(fā)現(xiàn)威脅得出脆弱性風(fēng)險分析風(fēng)險控制一些定性風(fēng)險分析的方法 基線法 (德國IT Bas

2、eline)為系統(tǒng)各部分的保護(hù)度設(shè)立一個統(tǒng)一的基準(zhǔn)，結(jié)合最佳實踐（BP）提供的安全措施制定解決方案。適用范圍：使用廣泛的典型IT 系統(tǒng)。對保密性、完整性及可用性為一般要求。在基礎(chǔ)設(shè)施、組織、人事、技術(shù)及權(quán)宜安排方面可采取標(biāo)準(zhǔn)安全措施。 詳細(xì)的風(fēng)險分析方法(SP800-30, )包括資產(chǎn)的深度鑒定和估價，對這些資產(chǎn)的威脅評估和脆弱性評估。結(jié)果用于評估風(fēng)險及選擇合理的安全設(shè)施。步驟：了解系統(tǒng)特征，識別威脅，識別脆弱性，分析安全控制，確定可能性，分析影響，確定風(fēng)險，對安全控制提出建議，記錄評估結(jié)果 非正式的風(fēng)險分析方法(FRAP，OCTAVE-S)詳細(xì)風(fēng)險分析的簡化方法。FRAP：前期預(yù)備會議，F(xiàn)R

3、AP會議，風(fēng)險分析報告撰寫，總結(jié)會議；OCTAVE-S：建立基于資產(chǎn)的威脅檔案，識別技術(shù)設(shè)施脆弱性， 開發(fā)安全策略和計劃。 綜合方法( ISO 17799， OCTAVE )對系統(tǒng)進(jìn)行宏觀分析，確定出高風(fēng)險領(lǐng)域，進(jìn)行詳細(xì)的風(fēng)險分析，其它部分采用基線方法。首先要核實系統(tǒng)范圍內(nèi)處于潛在高風(fēng)險之中，或是對商業(yè)運(yùn)作至關(guān)重要的關(guān)鍵性資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險分析以獲得相應(yīng)的保護(hù)。其余一般對待的 通過基本的風(fēng)險評估辦法為其選擇控制措施。 風(fēng)險分析中需要關(guān)注的一些問題如何協(xié)同考慮風(fēng)險分析的各要素?威脅等級威脅等級威脅源威脅源動機(jī)動機(jī)威脅發(fā)生威脅發(fā)生可能性可能性工具工具技能要求技能要求對系統(tǒng)對系統(tǒng)造成造成的影響的影響

4、系統(tǒng)抗威脅系統(tǒng)抗威脅攻擊能力等級攻擊能力等級系統(tǒng)脆弱性系統(tǒng)脆弱性安全措施安全措施資產(chǎn)價值資產(chǎn)價值風(fēng)險等級風(fēng)險等級威脅威脅如何確定關(guān)鍵資產(chǎn)？是否要從關(guān)鍵資產(chǎn)入手開始風(fēng)險分析？（SP800-30就沒有說列出關(guān)鍵資產(chǎn)） 如何確定系統(tǒng)中哪些是關(guān)鍵資產(chǎn)？資產(chǎn)敏感性及價值并對資產(chǎn)的分類（軟件、硬件、） -確定各種威脅對資產(chǎn)造成的影響：信息財產(chǎn)未被授權(quán)的泄露、未被授權(quán)的修改、拒絕接受、在各種時間段的不可恢復(fù)性破壞，考慮不利的商業(yè)影響的情況。如何確定威脅？ 威脅list 依據(jù)經(jīng)驗 具體分析 自然威脅發(fā)生概率（關(guān)注的重點(diǎn)）自然威脅發(fā)生概率（關(guān)注的重點(diǎn)） 系統(tǒng)威脅組件質(zhì)量（硬件軟件系統(tǒng)）系統(tǒng)威脅組件質(zhì)量（硬件軟件

5、系統(tǒng)） 偶然性人為威脅用戶類別、人員素質(zhì)、偶然性人為威脅用戶類別、人員素質(zhì)、培訓(xùn)培訓(xùn) 蓄意人為威脅財產(chǎn)的吸引力；財產(chǎn)轉(zhuǎn)蓄意人為威脅財產(chǎn)的吸引力；財產(chǎn)轉(zhuǎn)化為報酬的難易程度；系統(tǒng)敏感性（好奇、化為報酬的難易程度；系統(tǒng)敏感性（好奇、破壞、影響）；需要的技術(shù)能力；需要的破壞、影響）；需要的技術(shù)能力；需要的工具；攻擊途徑工具；攻擊途徑如何確定脆弱性？主觀可控主觀可控大中型組織詳細(xì)風(fēng)險分析活動有何異同？如何選擇風(fēng)險分析方法？ 該組織的商業(yè)環(huán)境； 該組織的業(yè)務(wù)性質(zhì)和重要性； 該組織對信息系統(tǒng)的依賴程度； 業(yè)務(wù)和支持系統(tǒng)、應(yīng)用程序及服務(wù)的復(fù)雜性； 貿(mào)易伙伴的數(shù)量和對外業(yè)務(wù)及契約關(guān)系。不同階段評估方法如何選擇？

6、 系統(tǒng)安全構(gòu)建初期-綜合法/基準(zhǔn)法 系統(tǒng)安全狀況評估-詳細(xì)風(fēng)險分析法 系統(tǒng)運(yùn)行期的安全優(yōu)化-非正式風(fēng)險分析法衛(wèi)士通風(fēng)險分析流程及安全需求挖掘部分機(jī)構(gòu)/廠商的風(fēng)險分析方法 有廠商主要參照OCTAVE，同時利用掃描器，基于ISO17799的量化可視化的評估工具，并導(dǎo)入工具掃描結(jié)果生成信息庫及其它軟件等； 有的廠商主要針對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行風(fēng)險評估，在技術(shù)上分析得比較多，技術(shù)弱點(diǎn)把握精確 ，但對管理上較弱，管理評估存在不足； 有的廠商針對UNIX、NT等OS及DB、網(wǎng)絡(luò)設(shè)備進(jìn)行評估，使用評估工具并配合使用人工評估等，建立信息安全庫。風(fēng)險管理的一般流程風(fēng)險對策國家法律、法規(guī)或行業(yè)安全要求組織的原則、目標(biāo)及

7、要求，合同要求風(fēng)風(fēng)險險評評估估識別關(guān)鍵資產(chǎn)識別威脅判定威脅發(fā)生的可能性。威脅發(fā)生的后果。識別脆弱性。識別現(xiàn)有的保護(hù)措施風(fēng)險定級降低風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險接受風(fēng)險準(zhǔn)備準(zhǔn)備風(fēng)險分析風(fēng)險分析風(fēng)險策略風(fēng)險策略接受風(fēng)險安全需求轉(zhuǎn)移風(fēng)險規(guī)避風(fēng)險計劃計劃目標(biāo)范圍確定組織的安全策略，系統(tǒng)安全等級，安全目標(biāo)。評估選擇安全措施安全技術(shù)安全運(yùn)行安全管理實施認(rèn)證運(yùn)行維護(hù)系統(tǒng)優(yōu)化設(shè)計風(fēng)風(fēng) 險險 管管 理理識別關(guān)鍵資產(chǎn)確定系統(tǒng)安全基線系統(tǒng)優(yōu)化運(yùn)行維護(hù)認(rèn)證后續(xù)活動后續(xù)活動風(fēng)險對策國家法律、法規(guī)或行業(yè)安全要求組織的原則、目標(biāo)及要求，合同要求風(fēng)風(fēng)險險分分 析析識別關(guān)鍵資產(chǎn)識別威脅判定威脅發(fā)生的可能性。威脅發(fā)生的后果。識別脆弱性。

8、識別現(xiàn)有的保護(hù)措施風(fēng)險定級降低風(fēng)險規(guī)避風(fēng)險轉(zhuǎn)移風(fēng)險接受風(fēng)險接受風(fēng)險安全需求安全需求轉(zhuǎn)移風(fēng)險規(guī)避風(fēng)險計劃計劃目標(biāo)范圍確定組織的安全策略，系統(tǒng)安全等級，安全目標(biāo)。評估選擇安全措施安全技術(shù)安全運(yùn)行安全管理實施認(rèn)證運(yùn)行維護(hù)系統(tǒng)優(yōu)化設(shè)計風(fēng)風(fēng)險控制險控制識別關(guān)鍵資產(chǎn)確定系統(tǒng)安全基線系統(tǒng)優(yōu)化運(yùn)行維護(hù)認(rèn)證后續(xù)活動后續(xù)活動用戶情況調(diào)查用戶情況調(diào)查衛(wèi)士通的風(fēng)險分析流程確定風(fēng)險評估方法確定風(fēng)險評估方法 風(fēng)險評估風(fēng)險評估確定安全需求確定安全需求法律、法規(guī)法律、法規(guī)系統(tǒng)任務(wù)和使命系統(tǒng)任務(wù)和使命系統(tǒng)建設(shè)階段、規(guī)模系統(tǒng)建設(shè)階段、規(guī)模資產(chǎn)、威脅、資產(chǎn)、威脅、脆弱性、現(xiàn)有措施脆弱性、現(xiàn)有措施法律、法規(guī)，系統(tǒng)法律、法規(guī)，系統(tǒng)任務(wù)

9、和使命、評估結(jié)果任務(wù)和使命、評估結(jié)果制定安全策略制定安全策略選擇風(fēng)險控制措施選擇風(fēng)險控制措施驗證措施實施效果驗證措施實施效果安全需求安全需求技術(shù)限制、資源限制技術(shù)限制、資源限制安全需求、安全需求、實施效果實施效果安全策略文件安全策略文件風(fēng)險評估報告風(fēng)險評估報告安全需求報告安全需求報告風(fēng)險管理方案風(fēng)險管理方案適用性聲明適用性聲明驗證報告驗證報告 挖掘系統(tǒng)安全需求用 戶情 況調(diào) 查資資產(chǎn)產(chǎn)清清單單確 定安 全需 求企 業(yè) 業(yè) 務(wù) 的 目 的 和 要 求針針對對資資產(chǎn)產(chǎn)的的威威脅脅系系統(tǒng)統(tǒng)脆脆弱弱性性風(fēng)風(fēng)險險國 家 相 關(guān) 法 律 法 規(guī)風(fēng) 險 分 析用 戶情 況調(diào) 查資資產(chǎn)產(chǎn)清清單單確 定安 全需 求企 業(yè) 業(yè) 務(wù) 的 目 的 和 要 求針針對對資資產(chǎn)產(chǎn)的的威威脅脅系系統(tǒng)統(tǒng)脆脆弱弱性性風(fēng)風(fēng)險險國 家 相 關(guān) 法 律 法 規(guī)風(fēng) 險 分 析用 戶情 況調(diào) 查資資產(chǎn)產(chǎn)清清單單確 定安 全需 求企 業(yè) 業(yè) 務(wù) 的 目 的 和 要 求針針對對資資產(chǎn)產(chǎn)的的威威脅脅系系統(tǒng)統(tǒng)脆脆弱弱性性風(fēng)風(fēng)險險國 家 相 關(guān) 法 律 法 規(guī)風(fēng) 險 分 析小結(jié) 目前有多種風(fēng)險分析的方法，在實際工作中需要考慮系統(tǒng)的實際情況和不同的階段，靈活使用定性和定量、手工評估和輔助工具