技术型风险评估

优点
将操作员与分析员分离，任何人都可以进行调查； 标准化； 权威性；
第 12 页
Workflow Analysis（业务流剖析）
资产盘点
资产盘点表 工具（游刃基线管理系统）
业务流分析（简单范例）
线条粗细 箭头指向 标注服务版本 明晰边界（包括人员）
第 13 页
Vulnerability Audit（脆弱性审计）
攻击路径分析（重点）
依据：Workflow Analysis的结果
正式审计
漏洞扫描
工具：游刃 检查漏洞：3700+
本地审计
Unnoo Local Security Check Toolkit 平台：Solairs、HPUX、AIX、Linux、Windows
渗透测试
依据：攻击路径分析结果
第 14 页
第 17 页
Agenda
风险评估概述 CWVE ®的具体操作和理论基础 评估实践
第 18 页
PDCA: 基于生命周期的过程方法
PDCA
最典型的过程改进方法之一 适用于风险评估
第 19 页
示例：中型企业风险评估
从数字看规模
人员：500+ PC数量：500+ 服务器数量：40+
从目标看评估粒度
确定安全基线，确保当前不存在高危风险 为建立动态安全防护和纵深防御提出思路 为配置管理和补丁管理提出思路 指导未来三年内安全发展
调查人员
管理咨询顾问
调查内容
资产盘点（输出：资产盘点表） 业务流分析（输出：业务流示意图）
配合人员
资产负责人（甚至财务人员） 业务操作者（甚至业务系统开发的集成商）
第 24 页
Do 3：漏洞扫描与渗透测试
调查人员
审计工程师
调查内容
抽样本地审计 根据不同的攻击路径
远程扫描 渗透测试
配合人员
系统管理员
持续改进计划
周期性评估
第 28 页
致谢
感谢朋友们，我的进步与你们密不可分！
最初与我一起学习、讨论并实践风险评估的朋友
绿盟科技 李路、于慧龙、刘闻欢、付峥 华泰网安 李辉
共同完成国内最具影响力评估项目的伙伴
启明星辰 刘恒、廖飞鸣、黄凯峰、贾文军、金湘宇等
在安全咨询方面给我带来影响的朋友
潘柱廷、欧阳梅雯、季昕华
国际风险评估理论和实践方法（1）
基准法 (德国IT Baseline…)
为系统各部分的保护度设立一个统一的基准，结合最佳实践 （BP）提供的安全措施制定解决方案。 适用范围：使用广泛的典型IT 系统。对保密性、完整性及可用 性为一般要求。在基础设施、组织、人事、技术及权宜安排方 面可采取标准安全措施。
Even Survey（典型事件提炼）
手段
已知安全事件调查 网络威胁监控 潜在安全威胁分析
第 15 页
CWVE ®与OCTAVE
OCTAVE的关键元素
资产 威胁 弱点
CWVE ®的关键元素
业务流（资产的深化） 脆弱性 事件（可视化的威胁）
第 16 页
CWVE ®与BS7799
简化并增强操作性
Infrastructure Security Application Security Secure Operations Secure Organization
非正式的风险分析方法(FRAP，OCTAVE-S…)
详细风险分析的简化方法。 FRAP：前期预备会议，FRAP会议，风险分析报告撰写，总结会议； OCTAVE-S：建立基于资产的威胁档案，识别技术设施脆弱性， 开发 安全策略和计划。
综合方法( ISO 17799， OCTAVE …)
对系统进行宏观分析，确定出高风险领域，进行详细的风险分析，其 它部分采用基线方法。 首先要核实系统范围内处于潜在高风险之中，或是对商业运作至关重 要的关键性资产进行详细的风险分析以获得相应的保护。其余‘一般 对待的’ 通过‘基本的风险评估’办法为其选择控制措施。
第7页
国际上常见的风险控制流程
法律、法规 系统任务和使命 系统建设阶段、规模 资产、威胁、 脆弱性、现有措施
法律、法规，系统 任务和使命、评估结果
制定安全策略 确定风险评估方法 风险评估 确定安全需求 选择风险控制措施 验证措施实施效果
第8页
安全策略文件 适用性声明 风险评估报告 安全需求报告 风险管理方案 验证报告
第4页
增加
增加
是
数据和信息 文件 声誉 硬件 人和技术 软件
具有 敏感性 表示 丧失 机密性 可用性 完整性
被满足
网络欺骗行为
什么是CWVE ®方法？
可管理的业务流弱点评估
Controllable Workflow Vulnerability Evaluation
方法的元素
业务流 脆弱性 事件
第5页
第 30 页
评估人员懂技术，不懂管理
评估过程与业务脱节，采用企业难于理解的术语； 结论与企业/组织安全实践无法统一，不可操作；
第 10 页
Agenda
风险评估概述 CWVE ®的具体操作和理论基础 评估实践
第 11 页
Controllable（IT风险趋势调查）
操作
工具
IT风险趋势调查软件 题库
涉及内容
经营风险概况 IT基础设施安全 应用程序安全 操作安全 人员安全
过程安全 (管理/组织） 人员安全 物理环境安全 系统安全 通讯安全 包涵 管理 运行 技术 保障 检测 防止 威胁
触发 利用 弱点 暴露 资产 分类为 安防措施 减少 安全风险 有 引出 价值 增加 引起 机密性 完整性 可用性 可审计性 物理安全 访问控制 安全需求 潜在影响 是 非授权访问网络 非授权泄露信息 非授权篡改数据、信息和软件 网络功能的腐败（数据或服务不可用）
第 20 页
示例：可能的项目周期
第 21 页
Plan：明确需求 制订计划
用户需求分析及讨论 计划编制与确认
第 22 页
Do 1：IT风险趋势调查
调查人员
管理咨询顾问
调查内容
IT基础架构现状 应用程序及业务流现状 操作安全 人员安全
配合人员
信息中心人员 主要业务负责及操作人员
第 23 页
Do 2：资产盘点及业务流分析
采用CWVE ®方法进行安全风险评估
—技术型风险评估的操作实践（简版）
吴鲁加<wulujia@unnoo.com>
CWVE®风险评估方法
迄今最可操作的风险评估方法；
在OCTAVE、BS7799等方法与标准基础上提升； 摒弃了理论与方法中华而不实的部分； 工具成熟，可验证、可度量。
由多家大、中型企业风险评估实践锤炼得出；
第 25 页
Do 4：事件调查与沙盘推演
调查人员
管理咨询顾问、审计工程师
调查内容
已知安全事件调查 网络威胁监控 潜在安全威胁推演
配合人员
安全管理员、网络管理员
第 26 页
Check：运行与监控
改进建议 即时加固 运行监测
第 27 页
Act：维护与改进
维护建议
新业务、新设备上线 配置管理 变更管理
与企业/组织业务紧密结合； 可裁剪，容易适应不同规模企业； 建立、提高并持续维护企业/组织内部安全基线。
CopyRight Unnoo Security Team
第2页
Agenda
风险评估概述 CWVE ®的具体操作和理论基础 评估实践
第3页
什么是风险评估？
黑客 新闻媒体 窃贼 组织罪犯 流氓 恶意雇员（用户，维护者 ，管理者，合同工） 工业（竞争对手） 恐怖主义 威胁Agent 威胁 是 人 动机 机会 愿望 资源 能力 事件 用户失误 管理员失误 硬件故障 软件故障 工业故障 自然 自然灾害 超物理现象 生物现象
详细的风险分析方法(SP800-30, …)
包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性 评估。结果用于评估风险及选择合理的安全设施。 步骤：了解系统特征，识别威胁，识别脆弱性，分析安全控制， 确定可能性，分析影响，确定风险，对安全控制提出建议，记 录评估结果
第6页
国际风险评估理论和实践方法（2）
安全需求 技术限制、资源限制 安全需求、 实施效果
国内目前安全风险评估的操作
wk.baidu.com
第9页
为什么要“回归”技术型评估？
管理上的原因
不是理想中的由最高层发起的评估 目标是解决技术问题，要求建立技术框架 希望了解技术建设的主导方向 可能付出的成本（费用及配合人力）较低
技术上的原因（当前评估方法的问题）
国内主流评估企业都是“安全”公司，非“咨询” 公司；
极其完美地完成一次评估项目，并带来CWVE ®灵感的弟兄
启明星辰深圳分公司 邓景云、肖立昕、吴菁
第 29 页
关于大成天下(http://www.unnoo.com)
我们的产品
游刃基线安全系统 铁卷信息监控平台
我们的服务
网络安全评估 网络安全培训 信息安全监理 软件定制开发
我们的技术专长
渗透测试（Penetration testing） 网络架构评估与设计（Architecture review and design） 应用审计（Application audit） 源代码审计（Source code review） 黑箱测试（Online or Binary Black box testing） 审计、追踪与数据恢复（Forensics） 协议分析（Protocol analysis）