信息系統(tǒng)應(yīng)用安全安全評(píng)估流程與方法論介紹

平安評(píng)估流程和方法論介紹平安風(fēng)險(xiǎn)評(píng)估的目的對(duì)信息系統(tǒng)平安的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的評(píng)估通過平安評(píng)估，能夠清晰地了解當(dāng)前所面臨的平安風(fēng)險(xiǎn)，清晰地了解信息系統(tǒng)的平安現(xiàn)狀明確地看到當(dāng)前平安現(xiàn)狀與平安目標(biāo)之間的差距為下一步控制和降低平安風(fēng)險(xiǎn)、改善平安狀況提供客觀和翔實(shí)的依據(jù)評(píng)估與平安防護(hù)的關(guān)系資產(chǎn)擁有者平安控制措施平安防護(hù)確信/信心平安風(fēng)險(xiǎn)評(píng)估生成/加強(qiáng)給出證據(jù)/發(fā)現(xiàn)問題需要如不能確信，需要評(píng)估給出什么是風(fēng)險(xiǎn)？風(fēng)險(xiǎn)Risk對(duì)目標(biāo)有所影響的某個(gè)事件發(fā)生的可能性。它根據(jù)后果和可能性來(lái)度量。風(fēng)險(xiǎn)管理〔RiskManagement〕旨在對(duì)潛在時(shí)機(jī)和不利影響進(jìn)行有效管理的文化、程序和結(jié)構(gòu)。

風(fēng)險(xiǎn)分析模型價(jià)值資產(chǎn)擁有者信息資產(chǎn)威脅來(lái)源風(fēng)險(xiǎn)后果可能性難易程度嚴(yán)重性弱點(diǎn)可能性威脅影響風(fēng)險(xiǎn)評(píng)估根本流程資產(chǎn)識(shí)別與估價(jià)威脅評(píng)估弱點(diǎn)評(píng)估影響評(píng)估現(xiàn)有安全措施評(píng)估風(fēng)險(xiǎn)評(píng)估安全需求風(fēng)險(xiǎn)評(píng)估根本流程資產(chǎn)識(shí)別與估價(jià)威脅評(píng)估弱點(diǎn)評(píng)估影響評(píng)估現(xiàn)有平安措施評(píng)估風(fēng)險(xiǎn)評(píng)估安全需求資產(chǎn)概述信息平安風(fēng)險(xiǎn)的概念已逐步被接受對(duì)信息平安的宏觀需求分析已逐步被以資產(chǎn)為考察對(duì)象的微觀風(fēng)險(xiǎn)分析所取代視信息資產(chǎn)的識(shí)別和平安估價(jià)信息資產(chǎn)的定義廣義的信息資產(chǎn)包括數(shù)據(jù)效勞軟件硬件設(shè)備人員在本工程中，我們限定信息資產(chǎn)的范圍為：信息資產(chǎn)是指組織的信息系統(tǒng)，其提供的效勞以及處理的數(shù)據(jù)資產(chǎn)分類類別簡(jiǎn)稱解釋/示例應(yīng)用服務(wù)Service應(yīng)用系統(tǒng)所提供的服務(wù)。包括各種業(yè)務(wù)應(yīng)用服務(wù)，辦公應(yīng)用服務(wù)和通用應(yīng)用服務(wù)，例如WWW、SMTP、POP3、FTP、DNS、內(nèi)部文件服務(wù)等；網(wǎng)絡(luò)系統(tǒng)Network網(wǎng)絡(luò)系統(tǒng)是指構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)

備，軟件和介質(zhì)。主機(jī)系統(tǒng)Host主機(jī)系統(tǒng)是指信息系統(tǒng)中承載業(yè)務(wù)系統(tǒng)和軟件的計(jì)算環(huán)境，包括計(jì)算設(shè)備硬件及其運(yùn)行的操作系統(tǒng)。平臺(tái)系統(tǒng)Platform平臺(tái)系統(tǒng)主要是指支撐應(yīng)用軟件的軟件平臺(tái)系統(tǒng)，例如數(shù)據(jù)庫(kù)、中間件等。應(yīng)用軟件Application應(yīng)用軟件是指組織為其應(yīng)用而開發(fā)或購(gòu)買的各類應(yīng)用軟件。數(shù)據(jù)Data存在于電子媒介的各種數(shù)據(jù)和資料，包括數(shù)據(jù)庫(kù)數(shù)據(jù)、存放于硬盤上的文件、代碼等應(yīng)用效勞滿足業(yè)務(wù)需要的信息系統(tǒng)效勞。例如核心業(yè)務(wù)系統(tǒng)再保系統(tǒng)財(cái)務(wù)系統(tǒng)報(bào)表系統(tǒng)郵件系統(tǒng)內(nèi)部網(wǎng)站網(wǎng)絡(luò)系統(tǒng)類型例如路由器交換機(jī)通信終端網(wǎng)關(guān)防火墻VPN網(wǎng)絡(luò)入侵檢測(cè)網(wǎng)管系統(tǒng)網(wǎng)絡(luò)設(shè)備控制臺(tái)…

網(wǎng)絡(luò)系統(tǒng)形態(tài)專用設(shè)備軟件系統(tǒng)例如網(wǎng)管系統(tǒng)、DNS?？刂婆_(tái)軟件網(wǎng)絡(luò)系統(tǒng)資產(chǎn)識(shí)別原那么一體化的網(wǎng)絡(luò)設(shè)備，例如路由器、交換機(jī)、防火墻、VPN等均視為一項(xiàng)信息資產(chǎn)，而不再具體細(xì)分為硬件、操作系統(tǒng)或軟件；軟件形態(tài)的網(wǎng)絡(luò)系統(tǒng)，例如軟件防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、網(wǎng)關(guān)、VPN、DNS效勞、DHCP效勞、網(wǎng)管系統(tǒng)、防火墻或入侵檢測(cè)系統(tǒng)的控制臺(tái)等，均與其所處主機(jī)系統(tǒng)，合稱為一項(xiàng)信息資產(chǎn)；網(wǎng)絡(luò)線路的物理介質(zhì)，均視為網(wǎng)絡(luò)系統(tǒng)信息資產(chǎn)的屬性，而不再單列為資產(chǎn)；集線器，線路中繼器等輔助網(wǎng)絡(luò)設(shè)備，不列為資產(chǎn)；對(duì)于多臺(tái)以熱備或負(fù)載均衡方式工作的同質(zhì)網(wǎng)絡(luò)系統(tǒng)，均視為一項(xiàng)信息資產(chǎn)，但其數(shù)量應(yīng)作為屬性列出；主機(jī)系統(tǒng)概念計(jì)算設(shè)備操作系統(tǒng)主機(jī)系統(tǒng)類型例如大型機(jī)小型機(jī)Unix效勞器Windows效勞器PC工作站移動(dòng)計(jì)算設(shè)備應(yīng)用加密機(jī)ATMPOS柜員終端磁盤陣列主機(jī)系統(tǒng)資產(chǎn)識(shí)別原那么以集群、簇或者備份方式工作的同質(zhì)主機(jī)系統(tǒng)，均被視為一項(xiàng)信息資產(chǎn)，但其數(shù)量應(yīng)作為屬性列出；運(yùn)行相同軟件，且其與其它資產(chǎn)的網(wǎng)絡(luò)連接方式相似的一組主機(jī)系統(tǒng)，例如所有移動(dòng)計(jì)算設(shè)備，同類網(wǎng)點(diǎn)中的所有終端等，均可視為一項(xiàng)信息資產(chǎn)，但其數(shù)量應(yīng)作為屬性列出；同一臺(tái)主機(jī)系統(tǒng)，安裝兩種或以上操作系統(tǒng)〔主要針對(duì)工作站、移動(dòng)計(jì)算設(shè)備〕，并均能接入到網(wǎng)絡(luò)中的，應(yīng)視為多項(xiàng)主機(jī)系統(tǒng)信息資產(chǎn)。軟硬件一體化的應(yīng)用加密機(jī)或者密鑰管理機(jī)，均視為一項(xiàng)主機(jī)系統(tǒng)資產(chǎn)。平臺(tái)系統(tǒng)類型例如數(shù)據(jù)庫(kù)中間件群件郵件CA系統(tǒng)Web效勞器集成開發(fā)環(huán)境工具軟件平臺(tái)系統(tǒng)資產(chǎn)識(shí)別原那么平臺(tái)系統(tǒng)信息資產(chǎn)必然與某一項(xiàng)主機(jī)系統(tǒng)資產(chǎn)關(guān)聯(lián)，與不同主機(jī)系統(tǒng)資產(chǎn)關(guān)聯(lián)的平臺(tái)系統(tǒng)信息資產(chǎn)，應(yīng)視為不同信息資產(chǎn)；平臺(tái)系統(tǒng)種類復(fù)雜，數(shù)量繁多，本次調(diào)研中，主要關(guān)注那些直接支撐應(yīng)用軟件的平臺(tái)系統(tǒng)，非直接支撐的均可忽略。大局部平臺(tái)系統(tǒng)均為客戶－效勞器模式，應(yīng)分別視為不同平臺(tái)系統(tǒng)信息資產(chǎn)，例如Web/瀏覽器、Domino/Notes、郵件系統(tǒng)/郵件客戶端以及CA/CA客戶端等；應(yīng)用軟件資產(chǎn)識(shí)別原那么業(yè)務(wù)系統(tǒng)信息資產(chǎn)必然與某一項(xiàng)主機(jī)系統(tǒng)資產(chǎn)關(guān)聯(lián)，與不同主機(jī)系統(tǒng)資產(chǎn)關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)信息資產(chǎn)，應(yīng)視為不同信息資產(chǎn)；在農(nóng)行中，業(yè)務(wù)系統(tǒng)大都分為前端和后端，有些甚至采用三層或四層結(jié)構(gòu)，對(duì)于這些情況，應(yīng)分別視為多項(xiàng)信息資產(chǎn)；數(shù)據(jù)資產(chǎn)識(shí)別原那么數(shù)據(jù)僅指應(yīng)用軟件處理的數(shù)據(jù)，而不指平臺(tái)系統(tǒng)或其它系統(tǒng)處理的數(shù)據(jù)；數(shù)據(jù)的特征是存儲(chǔ)態(tài)，在網(wǎng)絡(luò)中傳輸，或程序處理的過程數(shù)據(jù)均不視為數(shù)據(jù)資產(chǎn)；

區(qū)域連接邊界某企業(yè)保護(hù)對(duì)象框架資產(chǎn)識(shí)別的步驟繪制拓?fù)鋱D確定應(yīng)用效勞確定區(qū)域按以下順序識(shí)別資產(chǎn)網(wǎng)絡(luò)主機(jī)平臺(tái)應(yīng)用軟件數(shù)據(jù)資產(chǎn)平安性估價(jià)機(jī)密性：該資產(chǎn)被揭露時(shí)的后果完整性：該資產(chǎn)不處于準(zhǔn)確，完整或可依賴狀態(tài)時(shí)的后果可用性：當(dāng)某一項(xiàng)資產(chǎn)完全不可用時(shí)對(duì)應(yīng)用效勞所造成的后果半定量平安性估價(jià)即等級(jí)化估價(jià)，每一項(xiàng)分五級(jí)，5為最高資產(chǎn)的三性之間不具有可比性機(jī)密性含義數(shù)據(jù)資產(chǎn)1、敏感數(shù)據(jù)泄露，如電子郵件、文件和交易數(shù)據(jù)應(yīng)用軟件配置數(shù)據(jù)失密賬號(hào)口令信息失密關(guān)鍵算法失密平臺(tái)系統(tǒng)配置數(shù)據(jù)失密賬號(hào)口令信息失密主機(jī)系統(tǒng)配置數(shù)據(jù)失密賬號(hào)口令信息失密網(wǎng)絡(luò)系統(tǒng)配置數(shù)據(jù)失密賬號(hào)口令信息失密網(wǎng)絡(luò)拓?fù)涫芡暾院x數(shù)據(jù)資產(chǎn)1、數(shù)據(jù)被修改應(yīng)用軟件配置數(shù)據(jù)被修改軟件被修改數(shù)據(jù)被修改平臺(tái)系統(tǒng)配置數(shù)據(jù)被修改軟件被修改數(shù)據(jù)被修改主機(jī)系統(tǒng)配置數(shù)據(jù)被修改軟件被修改網(wǎng)絡(luò)系統(tǒng)1、配置數(shù)據(jù)被修改可用性含義數(shù)據(jù)資產(chǎn)1、數(shù)據(jù)丟失應(yīng)用軟件1、軟件故障2、喪失控制權(quán)平臺(tái)系統(tǒng)1、軟件故障2、喪失控制權(quán)主機(jī)系統(tǒng)設(shè)備故障軟件故障喪失控制權(quán)網(wǎng)絡(luò)系統(tǒng)設(shè)備故障軟件故障喪失控制權(quán)資產(chǎn)賦值方法VX=3X=2X=1Y=3543Y=2432Y=1321V={Vc,Vi,Va}Vc=Xc×YcVi=Xi×YiVa＝Xa×Ya5級(jí)不易賦值將每個(gè)值拆分為兩個(gè)相乘指標(biāo)每個(gè)指標(biāo)取3級(jí)機(jī)密性賦值Vc直接導(dǎo)致?lián)p失容易導(dǎo)致?lián)p失可能導(dǎo)致?lián)p失嚴(yán)重?fù)p失543中等損失432輕微損失321X：資產(chǎn)被暴露時(shí)與所造成最嚴(yán)重后果之間的關(guān)系Y:后果對(duì)組織的最嚴(yán)重?fù)p害程度

一般情況下X＝3：數(shù)據(jù)資產(chǎn)X＝2:網(wǎng)絡(luò)、主機(jī)、平臺(tái)、應(yīng)用軟件的效勞器端X＝1:控制臺(tái)、工作站、客戶端完整性賦值Vc直接導(dǎo)致?lián)p失容易導(dǎo)致?lián)p失可能導(dǎo)致?lián)p失嚴(yán)重?fù)p失543中等損失432輕微損失321X：資產(chǎn)不處于準(zhǔn)確，完整或可依賴狀態(tài)時(shí)與所造成最嚴(yán)重后果之間的關(guān)系

Y:后果對(duì)組織的最嚴(yán)重?fù)p害程度

一般情況下X＝3：數(shù)據(jù)資產(chǎn)X＝2:應(yīng)用軟件X＝1:網(wǎng)絡(luò)、主機(jī)和平臺(tái)可用性賦值Vc整體不可用局部不可用個(gè)體不可用核心應(yīng)用服務(wù)543關(guān)鍵應(yīng)用服務(wù)432一般應(yīng)用服務(wù)321X：資產(chǎn)不可用時(shí)對(duì)某個(gè)業(yè)務(wù)的影響Y:該應(yīng)用效勞的關(guān)鍵性程度一般情況下X＝3：應(yīng)用軟件資產(chǎn)、主機(jī)資產(chǎn)、平臺(tái)資產(chǎn)、核心網(wǎng)絡(luò)資產(chǎn)

X＝2:非核心網(wǎng)絡(luò)資產(chǎn)

X＝1:客戶端

框架元素賦值可賦值的元素區(qū)域連接賦值的根本原那么包含資產(chǎn)價(jià)值的最大值框架元素賦值僅用作參考，不具備真實(shí)意義資產(chǎn)平安性估價(jià)機(jī)密性：該資產(chǎn)被暴露或泄密時(shí)的后果完整性：該資產(chǎn)不處于準(zhǔn)確，完整或可依賴狀態(tài)時(shí)的后果可用性：當(dāng)某一項(xiàng)資產(chǎn)完全不可用時(shí)對(duì)應(yīng)用效勞所造成的后果半定量平安性估價(jià)即等級(jí)化估價(jià)，每一項(xiàng)分五級(jí)，5為最高資產(chǎn)的三性之間不具有可比性資產(chǎn)價(jià)值計(jì)算AssetValue=Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]}A代表機(jī)密性的權(quán)值；B代表完整性的權(quán)值；C代表可用性的權(quán)值電信運(yùn)營(yíng)商〔最關(guān)注可用性〕：A=0.7，B=0.7，C＝1.6；金融行業(yè)〔最關(guān)注完整性〕：A=0.7，B=1.6，C＝0.7；政府涉密部門〔最關(guān)注機(jī)密性〕：A=1.6，B=0.7，C＝0.7；風(fēng)險(xiǎn)評(píng)估根本流程資產(chǎn)識(shí)別與估價(jià)威脅評(píng)估弱點(diǎn)評(píng)估影響評(píng)估現(xiàn)有平安措施評(píng)估風(fēng)險(xiǎn)評(píng)估安全需求平安威脅的定義平安威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。威脅總是要利用弱點(diǎn)〔脆弱性〕才可能對(duì)資產(chǎn)造成傷害。威脅可以分為成心人為威脅、非成心人為威脅、自然與環(huán)境威脅三種，還可以分為內(nèi)部威脅和外部威脅等。確認(rèn)威脅的屬性--可能性Likelihood人為成心威脅的可能性因素：資產(chǎn)的吸引力和暴光程度，組織的知名度；資產(chǎn)轉(zhuǎn)化成利益的容易程度，包括財(cái)務(wù)的利益和資源威脅可能性確認(rèn)方法：過去的平安事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；通過IDS系統(tǒng)和各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；參考國(guó)際機(jī)構(gòu)發(fā)布的平安威脅發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值；用戶訪談和綜合分析威脅調(diào)查潛在威脅分析入侵檢測(cè)威脅審計(jì)綜合分析威脅分析來(lái)源賦值威脅種類責(zé)任心或培訓(xùn)不足的內(nèi)部人員環(huán)境因素或故障第三方外部攻擊惡意內(nèi)部人員軟硬件故障

v

無(wú)作為或操作失誤v

v

惡意代碼和病毒v

vv管理不到位v

vvv黑客攻擊技術(shù)

vvv物理環(huán)境威脅

v

越權(quán)或?yàn)E用v

v

v物理攻擊

vvv泄密v

vvv篡改

vvv抵賴

vvv威脅的可能性賦值標(biāo)準(zhǔn)

風(fēng)險(xiǎn)評(píng)估根本流程資產(chǎn)識(shí)別與估價(jià)威脅評(píng)估弱點(diǎn)評(píng)估影響評(píng)估現(xiàn)有平安措施評(píng)估風(fēng)險(xiǎn)評(píng)估安全需求平安弱點(diǎn)的評(píng)估弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害

弱點(diǎn)包括兩個(gè)屬性，弱點(diǎn)的嚴(yán)重性和被利用的難易程度

弱點(diǎn)的嚴(yán)重性等同于影響的嚴(yán)重性平安工具掃描(網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù))主機(jī)平安人工評(píng)估應(yīng)用軟件平安評(píng)估網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)評(píng)估平安策略文檔分析平安審計(jì)和參謀訪談平安弱點(diǎn)的評(píng)估方法弱點(diǎn)被利用難易程度賦值標(biāo)準(zhǔn)賦值簡(jiǎn)稱說(shuō)明4極為容易VH該弱點(diǎn)廣泛為人所知；若要利用，需要很少非常容易獲得的資源；可以獨(dú)立完成，不需要組織協(xié)作；不需要獨(dú)特的或熟練的攻擊技能；幾乎沒有風(fēng)險(xiǎn)。3容易利用H該弱點(diǎn)為很多人所知；若要利用，需要一些比較容易獲得的資源；基本可以獨(dú)立完成，需要中等熟練的攻擊技能；風(fēng)險(xiǎn)較小。2中等程度M該弱點(diǎn)為小范圍內(nèi)人所知；若要利用，或需要一定數(shù)量，較貴的資源；或需要小規(guī)模的組織分工協(xié)作；或需要非常熟悉的攻擊技能；或需要冒中等風(fēng)險(xiǎn)。1難以利用L該弱點(diǎn)幾乎不為人所知；若要利用，或需要數(shù)量龐大的、昂貴的不易獲得的資源；或需要較大規(guī)模的組織嚴(yán)密的分工協(xié)作；或需要獨(dú)特的，特別熟練的攻擊技能；或需要冒較大風(fēng)險(xiǎn)。0不能利用N該弱點(diǎn)幾乎不能利用。影響嚴(yán)重性賦值標(biāo)準(zhǔn)賦值簡(jiǎn)稱說(shuō)明4VH可以造成資產(chǎn)全部損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影響；3H可以造成資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)重影響；2M可以造成資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響1L可以造成資產(chǎn)較小損失，并且立即可以受到控制，較小的財(cái)務(wù)損失等影響；0N資產(chǎn)損失可以忽略、對(duì)業(yè)務(wù)無(wú)損害，輕微或可忽略的財(cái)務(wù)損失等影響。風(fēng)險(xiǎn)評(píng)估根本流程資產(chǎn)識(shí)別與估價(jià)威脅評(píng)估弱點(diǎn)評(píng)估影響評(píng)估現(xiàn)有平安措施評(píng)估風(fēng)險(xiǎn)評(píng)估安全需求半定量風(fēng)險(xiǎn)評(píng)估模型價(jià)值資產(chǎn)擁有者信息資產(chǎn)威脅來(lái)源風(fēng)險(xiǎn)后果可能性難易程度嚴(yán)重性弱點(diǎn)可能性威脅影響風(fēng)險(xiǎn)的計(jì)算風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅值×弱點(diǎn)值×影響值此處弱點(diǎn)和威脅值已經(jīng)考慮現(xiàn)有平安措施對(duì)其影響風(fēng)險(xiǎn)處置措施防止——完全消除風(fēng)險(xiǎn)