风险评估与安全保障体系建设

风险分析与评估
风险模型 现状分析 识别资产 资产赋值 识别脆弱性 识别威胁 分析现存安全措施 评估影响 识别风险
24
步骤一：了解网络系统基本结构----填写调查表、访谈
二级骨干网
10100101111
拨号用户 B
拨号用户 C
一级骨干网
10100101111001
二级骨干网
二级骨干网
拨号用户 A
1. 2. 3. 4.
7
27号文件《关于加强信息安全保障工作的意见》
我国信息安全保障的主要工作（三个方面，九项工作） 1. 第一个方面是关于建立健全信息安全责任制 ① 2. ② ② 。 ③ ④ 3. 第三：就是建设和完善信息安全监控体系。 第四：就是重视信息安全应急处理工作 要加强信息安全的领导，建立健全信息安全责任制。
AV
URL
其他
防火墙管理员
IDS 管理员
VPN 管理员
防病毒管理员
URL 管理员
其他管理员
1.
产品功能上的割裂、管理上的不一致，导致管理人员难以针对所有的安全设备制定一个统一的安 全策略
2.
3. 4. 5.
不同的设备具备不同的策略格式，导致产品的兼容性很差
不同策略的边缘难免会产生安全漏洞：比如访问控制策略与入侵检测策略的边缘；防病毒策略与 信息审查策略的边缘等 一般不同的设备由不同设备厂商的人员进行配置，必然导致策略的不一致性 ……
18
结论
需要一个联动、全面的体系 需要体系化的服务
需要智能化的集中审计系统
3
需要综合安全集中管理系统
4
5
2
需要支持联动协议的产品
1
19
提 纲
ISMS
安 全 需 求 分 析 风险分析与评估 目的：构建信息安全管理体系 管理标准：ISO 17799 安全总体规划 技术标准：ISO15408 、IATF 等 工程标准：SSE ----CMM 设计思路：ISSE 管理 技术 运行 模型：PDCA { Plan---Do---Check---Act }
应急响应
在线监控 安全认证培训 安全信息通告
风险分析与评估
安全总体规划
安全方案设计
安全工程实施
安全运行维护
安全认证咨询
5
提纲
信息安全发展概述 国家对信息安全的指导方针 风险评估与安全保障体系建设
6
主要政策法规
1、中共中央办公厅、国务院办公厅关于转发《国家信息化领导小组关 于加强信息安全保障工作的意见》的通知（中办发[2003]27号） 2、公安部、国家保密局、国家密码管理委员会办公室、国务院信息化 工作办公室四部委联合印发《信息信息安全等级保护工作的实施意 见》的通知（公通字[2004]66号）
8
66号文件《信息信息安全等级保护工作的实施意见》
1. 66号文：等级保护的原则
明确责任，共同保护；依照标准，自行保护；同步建设，动态调整；指导监督，重点保护；
2.
66号文：等级保护制度的基本内容
等级保护分五级（自主保护、指导保护、监督保护、强制保护、专控保护），同时对产品的使用分等级管理，对 信息安全事件分等级处置与响应
3.Βιβλιοθήκη Baidu
66号文：等级保护制度的职责与分工
公安负责等级保护工作的监督、检察、指导；保密负责等级保护有关保密工作的监督、检察、指导； 密码管理部门负责有关密码的监督、检察、指导；使用单位按照规范与标准建设与运营
4.
66号文：实施等级保护工作的要求
a. b. c. d. e. f. 第一：完善标准，分类指导 第二：科学定级，严格备案 第三：建设整改，落实措施 第四：自查自纠，落实要求 第五：建立制度，加强管理 第六：监督检查，完善保护
网络通信平台 计算机系统硬件和操作系统软件平台 数据库平台 安全体系
25
步骤二：了解网络系统基本情况----填写调查表、访谈
Intranet
26
步骤三：了解应用系统基本架构----填写调查表、访谈
………..
……
其他 E D B B A 纵向连接 外部接口系统 机构3 机构4 横 向 连 接 机构1
第二个方面是基础性工作 第一：实行信息安全等级保护，重视信息安全风险评估。 第二：是加强以密码技术为基础的信息安全保护和网络信任体系建设
第三个方面是支撑性工作 ⑥ ⑦ ⑧ ⑨ 第一是加强信息安全技术研究开发，推进信息安全产业发展 。 第二是加强信息安全法制建设和标准化建设 。 第三是加强信息安全人才培养， 增强全民信息安全意识 。 第四是保证信息安全的资金
类别
数据
简称
Data
解释/示例
存在电子媒介的各种数据资料，包括源代码、数据库 数据、各种数据资料、系统文档、运行管理规程、计 划、报告、用户手册等 拨号用户 C 应用软件、系统软件、开发工具和资源库等
拨号用户 B
软件
Software
服务
Service
操作系统、WWW、FTP、SMTP、POP3、MRPII、 一级骨干网 DNS、呼叫中心、内部文件服务、网络连接、网络隔应用系统 离保护、网络管理、网络安全保障、入侵监控及各种 业务生产应用
30
小结
汇总、分析后形 成的文档
1.
深度的需求分析是制订安全策略、选择保护设备以及进行总体方 案设计的基础
对现状报告书的评审 用户认可签字 开始风险分析与评估
31
2. 3.
风险分析与评估
风险模型 现状分析 识别资产 资产赋值 识别脆弱性 识别威胁 分析现存安全措施 评估影响
32
识别资产
应用系统 二级骨干网
般模型》、《信息技术设备的安全》等
11
BS7799
• •
BS 7799是国际上具有代表性的信息安全管理体系标准 BS 7799分两部分：信息安全管理实施细则和信息安全管理体系规 范，其中信息安全管理实施细则于2000年通过国际标准化组织（ ISO）认可，即ISO/IEC 17799:2000。 BS 7799由10个控制主题组成，每个主题又由几个子类组成，子
工程实施
风险管理
运行维护
测评认证
Internet
预防与改进
20
提 纲
ISMS
1. 安 全 需 求 分 析 风险分析与评估 2. 3. 4. 安全总体规划 5. 现状分析 识别资产 资产赋值 识别脆弱性 识别威胁
6.
7. 管理 技术 运行 8.
分析现存安全措施
评估影响 识别风险
工程实施
风险管理
运行维护
•
类下又规定了若干的安全要素。
12
提纲
信息安全发展概述 国家对信息安全的指导方针 风险评估与安全保障体系建设
13
防病毒
内容检测
入侵检测
防火墙
VPN 虚拟专用网
14
问题之一：产品分立、缺乏联系、互操作性差
---------
CA
每个产品实现不同的功能、负责不同的安全领域：自己的管理、自己的审计
市 场 的 发 展 趋 势
产 品 需 求 VPN 防火墙 IDS 防病毒 操作系统 网络设备 应用系统
初 级 用 户
人 才 技 术 的 储 备 体 系 标 准 的 研 究
4
信息系统生命周期
客户信息系统（安全需求）
需求分析 帮助分析需求 现状分析 资产评估 威胁评估 弱点评估 现有措施评估 综合风险分析 总体规划 帮助总体规划 制定安全方针 制定安全策略 设计总体方案 详细设计 帮助设计方案 安全产品选型 管理方案设计 技术方案设计 服务方案设计 工程实施 承包工程实施 制定实施计划 设计实施方案 产品实施 服务实施 工程验收 项目监理 后期服务 运行维护 监控、值守、响应 安全值守 定期风险评估 定期安全加固 测评认证 安全认证咨询 安全标准选择 认证文档整理 组织内部审核 培养内审人员 联系认证机构 协助完成认证
17
问题之四：审计变得复杂而且难以操作
IDS 日志服 务器
VPN 日志服 务器
入侵检测
VPN
防火墙
防火墙日志 服务器
其他
PKI
防病毒
PKI 服务器
防病毒日志 服务器
1. 2. 3. 4.
不同策略的边缘难免会产生安全漏洞：比如访问控制策略与入侵检测策略的边缘；防病毒策略与信息审 查策略的边缘等 不同产品日志的格式都不一样，难以进行统一的日志分析和处理 对应多个日志管理器，使用不方便，管理更加复杂 ……
其他管理器
1. 2. 3. 4. 5.
每个产品都提供不同的管理方式：终端方式、WWW方式、GUI方式等 每个产品的操作和术语描述都不一样 需要多台安装管理器的终端，导致资源的浪费和管理的复杂 不同的管理器都有自己的验证和授权机制，需要记住多个密码 ……
16
问题之三：缺乏统一的安全政策
FW
IDS
VPN
5.
66号文件：等级保护实施计划
1. 准备阶段：用一年左右的时间做准备工作（2005年）：加强领导，落实责任；完善标准与规范建设；管理队伍 建设与技术支撑体系建设；做好等级保护试点工作；加强宣传与培训（北京、上海、黑龙江、云南；人行、税 总、电网公司） 重点实行阶段：用一年左右时间做好国家重要信息系统的等级保护建设（2006年） 全面实行阶段：用一年时间在全国全面推行等级保护制度（2007年）
威胁
漏洞
抗击
增加
增加
暴露
降低
信息资产
安全措施
风险
1. 目的是保护信息资产 因为信息资产拥有价值
1. 2.
采取措施可降低风险 采取措施可抗击威胁
满足
引出
增加
拥有
2.
安全需求
1. 因为存在安全风险，所以有了安全保护需求 1. 2.
价值
资产价值越高，保护意义越大 资产面临的风险越大
23
2.
有需求就需要采取安全措施满足需求
3
服务业务架构
用 户 的 接 受 过 程
服 务 需 求
信 息 系 统 的 安 全 建 设 过 程
客户信息系统（安全需求） 需求分析 帮助分析需求 总体规划 帮助总体规划 详细设计 帮助设计方案 工程实施 承包工程实施 运行维护 监控、值守、响应 测评认证 安全认证咨询
高 级 用 户
平 台 需 求
中 级 用 户 综合安全管理平台 资产审计 资产管理 资产监控
每个产品只是完成孤立的功能，实现交互非常困难
产品功能可能会出现冲突： 1. 2. ……
15
比如某些IDS将大量防火墙日志信息误认为是DOS攻击 防病毒软件会把个人防火墙作为病毒进行报警
问题之二：管理复杂
FW
IDS
VPN
AV
URL
其他
防火墙管理器
IDS 管理器
VPN 管理器
防病毒管理器
URL 管理器
9
2. 3.
国外风险评估标准
ISO13335 ISO 15408 –CC
SSE-CMM
BS7799
10
国内风险评估标准
• •
国家标准GB17895-1999《计算机信息系统安全保护等 级划分准则》 GB/T 18336 《信息技术安全评估通用标准》（CC）
•
其它如《信息处理 数据加密 实体鉴别机制 第1部分：一
测评认证
Internet
预防与改进
21
风险分析与评估
风险模型 现状分析 识别资产 资产赋值 识别脆弱性 识别威胁 分析现存安全措施 评估影响 识别风险
22
风险模型
1. 2. 威胁增加，风险会增加 威胁可以漏洞对资产进行破坏 利用 1. 2. 漏洞会被威胁利用对资产进行 破坏 漏洞会暴露资产于威胁面前
机构2
H子系统 G子系统
J子系统
A子系统
XXX应用系统
F子系统 E子系统 D子系统 标准代码系统
27
B子系统 C子系统
步骤四：了解应用系统工作流程----填写调查表、访谈
外部用户
接入边界
应用服务器区域
数据库服务器 区域
内部用户
28
网络应用系统现状分析总结
1.
系统现状分析
a. b. c. d. e. f. g. 分析网络及网络基础设施：网络线路、网络设备、通讯设备 分析网络边界：安全域之间的边界、接入边界、拨号接入边界 分析计算环境：计算硬件、操作系统、数据库系统、应用系统 分析支撑性基础设施：DNS服务器、DHCP服务器、网管中心、认证服务器、计费服务器、PKI/KMI等 分析应用系统的结构：应用系统标准编码、接口等 分析应用系统的工作流程：访问的方向、实现方式、数据流向等 分析结束后提交：《网络应用系统现状报告书》 本阶段完成后需要提交的文档：
29
步骤五：进行人工访谈
1.
人工访谈
a. b. c. d. 访谈安全管理人员：了解组织对安全的整体构想和规划 访谈信息系统技术维护人员：从技术维护角度出发，了解他们对安全需求的看法 访谈信息系统业务使用人员：从应用的角度出发，了解他们对安全需求的看法 访谈结束后提交：《信息系统人工访谈笔录》 本阶段完成后需要提交的文档：
提纲
信息安全发展概述 国家对信息安全的指导方针 风险评估与安全保障体系建设
2
信息系统的建设过程与内容
应用系统 二级骨干网 拨号用户 B
拨号用户 C
一级骨干网
应用系统
二级骨干网
二级骨干网
拨号用户 A
1. 2. 3. 1. 2.
网络基础传输平台建设 应用系统建设 信息安全建设 以前思路先建网络，后建安全 现在更多考虑网络与安全建设同步进行