安全审核与风险分析

划分资产等级
• 资产确认
− 硬件资产
− 软件资产
− 对私有或保密数据进行分类（从顾客数据库到专用应用程 序）
− 对常规数据，包括数据库、文档、备份、系统日志和掉线 数据等进行分类 − 对机构里的人员要进行确认和分类，对于机构外但与机构 有往来的也要进行确认和分类
划分资产等级
• 资产评估
− 对于大多数的资产可以用货币数量多少的方法对其进行资 产确定 − 进行资产评估要考虑四种价值 − 资产确认和评估是一个复杂的过程
安全审核需注意的事项
• • 安全审核的要素 安全审核涉及四个基本要素:
1．控制目标 2．安全漏洞 3．控制措施 4. 控制测试
安全标准
• 安全标准
1．ISO 7498-2
2．英国标准7799（BS 7799）
3．Common Criteria（CC）
获得最高管理者支持
• 任何一个组织，推行任何一套安全管理体系，首先 都必须获得最高管理者的支持。 • 在安全审核初期，最高管理者的支持可以表现在以 下方面：
通过对现有安全机制的评估确认网络可以从外部攻 击中尽快恢复。
风险评估的步骤
6.使用已有的管理和控制结构
在审核过程中，可以使用网络中已有的管理和控制结构。 基于网络的管理结构 基于主机的管理结构 两种管理结构各有优劣，可以根据不同的管理任务进行选择。
简单查询体系结构
用户—代理体系结构
风险评估阶段
风险评估
• 风险评估是指定位网络资源和明确攻击发生的可能 性。 • 风险评估是一种“差距分析”，可以显示出安全策 略和实际发生攻击之间的差距。 • 信息安全风险评估是指依据有关信息安全技术与管 理标准，对信息系统及由其处理、传输和存储的信 息的机密性、完整性和可用性等安全属性进行评价 的过程。
风险评估
问 题 什么是受攻击的目 标？ 回 答
如果目标是一般用户的操作系统，则风险低；如果目标 是人力资源系统，则风险高。
出现问题的严重性？ 一旦出现问题，后果有多严重？影响企业还是影响个别 的系统？通常需要对损失的时间和金钱进行评估。 发生攻击的可能性？ 攻击发生的可能到底有多大？是不太可能发生还是非常 有可能发生。
风险评估
• 风险评估的原则
− 可控性原则 − 完整性原则 − 最小影响原则 − 保密原则
风险评估
• 风险结果的判定
− 风险等级的划分
− 控制措施的选择
− 残余风险的评价
风险评估的步骤
1.仔细检查书面安全策略
“road map”或“framework”
2.对资源进行分析、分类和排序 ----找出网络中最重要的资源
− 资产的等级表明了资产对系统的重要性程度，安全审核 人员应根据各个资产的等级确定相应的安全审核策略。
• 确定保护方法
− 确定了危险性，就要确定保护方法。
基于软件的保护 基于硬件的保护 与人员相关的保护
划分资产等级
• 成本—效益分析
− 成本、收益分析是评价安全措施的成本和收益
量化风险 量化损失成本 量化预防措施的成本 计算底限
检查书面安全策略
• 通过对各种策略文档进行阅读和分析，获得整个策 略文档体系的概貌，并评价策略文档体系能否满足 安全工作的要求。
− 查看是否有“风险分析”项目。 − 查看IT任务陈述。 − 查看是否有如何实施安全策略以及如何处理破坏行为或不 正当行为的说明。 − 查看是否有全面的“备份和恢复”或“业务连续性”计划。
第一，在财务方面提供必要的投资。 第二，配备必要充足的人力资源、分配一定的工作时间于工 作的推动上。
获取客户信息的反馈
• 来自客户的反馈信息是衡量业绩的重要指标之一， 可以被用来评价网络安全管理体系的总体有效性。 • 对一个机构进行一次安全审核后要及时地与被审核 机构进行及时的沟通，以了解安全审核的效果。
检查书面安全策略
• 为什么要有安全策略
− 安全策略的主要目标就是为获取、管理和审查计算机资源 提供一个准绳。 − 一个强大的安全策略是合理且成功地应用安全工具的先决 条件。没有明确的规则和目标，则安装、应用和运行安全 工具是不可能有效的。
检查书面安全策略
• 好的安全策略具有的特征 安全策略应该简洁明了，一个好的安全策略应具有 以下特征：
− 安全策略公布方式：
电子邮件 MSN消息 安全简报
检查书面安全策略
• 让策略发生作用
− 安全策略不能停留在书面上，要严格贯彻执行。 − 安全策略只有在实施后才能发挥作用 。 − 安全策略的贯彻执行，可以在企业形成良好的安全保护 意识，营造一种良好的安全环境，这才更符合信息发展 网络化的特点 。
− − − − − − 明确审核企业性质 阅读书面安全策略 评价已经存在的管理和控制体系 实施风险分析 提交审核报告 „„
审核人员的职责和前瞻性
• 从安全管理者的角度考虑
− 需要从防火墙内部进行监测，关注内部网络服务器和主机 是否有异常情况。
审核人员的职责和前瞻性
− 安全管理者还要从防火墙外部进行渗透以查看防火墙的规则 配置是否有漏洞，判断黑客是否能穿透防火墙进而控制网络 主机。
− 安全策略不能与法律法规相冲突； − 为了正确地使用信息系统，安全策略应当对责任进行合理 的分配。 − 一个好的安全策略应该具有良好的可执行性。 − 一个好的安全策略应有与之匹配的安全工具，安全工具应 能预防策略被破坏。一个强大的安全策略应能提供突发性 处理。
检查书面安全策略
• 公布策略 − 安全策略要让机构中的每个用户都知道。
风险评估的步骤
3.通常遭受攻击的资源
风险评估的步骤
下表列出了一些通常遭受攻击的网络资源 ：
攻击热点 潜在威胁 路由器和交换机 防火墙 网络主机 安全帐号数据库 信息数据库 SMTP服务器 HTTP服务器 FTP服务器
网络资源
服务器资源
风险评估的步骤
每个部门都有自己的数据库，但人力资源、财务和研发部门的 数据通常比其它部门的更重要一些。
了解每个员工的信息系统的现状； 深入了解组织的业务需求及安全需求； 进行文档审查，掌握组织当前的策略制定及部署情况； 按层次分级制定安全策略； 通过召开讨论会议的形式来完善每项安全策略；
„„ „„
划分资产等级
• 正确对资产进行分类，划分不同的等级，正确识别 出审核的对象是进行安全审核非常关键的前提条件。
− 权衡安全失败的潜在成本和加强安全的成本是需要技巧的。 − 成本－效益图
识别业务焦点
• 只有识别出了企业或单位的业务焦点才能清楚地了 解到，对于企业或单位来说最重要的是什么 。 • 安全审核人员应将企业的业务焦点的安全等级置于 最高，并进行最严格的安全审核。
使用已有管理控制结构
− 单独的安全设备不能解决网络的安全问题，独立的基于网元 的管理更不能解决日益复杂的安全问题 。 − 安全的网络是指能够提供安全连接、安全保证、安全认证、 安全抵御以及安全服务，安全感知和管理，具有自我防御能 力的网络系统。 − 从技术的层面来说，目前业界比较认可的安全网络的主要环 节包括：
审核人员的职责和前瞻性
• 从安全顾问的角度考虑
− 从黑客的角度和不知情的审核者的角度对网络进行测试 − 从一个内部知情人的角度来评估网络安全
• 合并两方面测试中得到的信息，作综合评价后进行 更深层次的审核 • 内部威胁分析
− 攻击者并不一定都是黑客和外部人员。 − 若将存放重要资料的服务器暴露在内部网络的公共区，内 部使用者就可能直接对其进行攻击。 − 使用多层防火墙机制可以很好地解决这个问题。 − 在内部网络中，另外建立一个防火墙，分割一般使用者和 重要资料服务器的网段。严格限制其出入的传输，强化资 料存取的安全性。
安全审核与风险分析
主讲教师:李军
.
第一单元 安全审核入门
.
学习目标
• • • • • • • • 明确安全审核人员的主要职责 了解风险评估 掌握风险评估的各个阶段 了解差距分析 掌握资源等级的划分 掌握如何计划实施安全审核 了解获得管理者支持的重要性 掌握获得客户反馈的方法
审核人员的工作
• 制定安全策略----任何一个管理规范的网络都需要 制定一系列的安全策略 。 • 风险评估
• 风险评估的准备
− 风险评估的准备过程是组织机构进行风险评估的基础，是 整个风险评估过程有效性的保证。 − 确定风险评估的目标。 − ……
风险评估
• 风险评估的依据
1、政策法规：中办发［2003］27号文件和国信办文件 2、国际标准：如BS7799-1 《信息安全管理实施细则》 BS7799-2 《信息安全管理体系规范》等 3、国家标准或正在审批的讨论稿，如GB 17859-1999 《计算机 信息系统安全保护等级划分准则》和《信息安全风险评估指 南》等 4、行业通用标准等其它标准
• 黑客在入侵攻击网络系统的过程中不外乎三个步骤： 扫描侦查、渗透和控制网络系统。 • 安全审核人员进行审核时也有三个阶段：侦查阶段、 渗透阶段、控制阶段。 • 安全审核人员不同于黑客。
风险评估阶段
• 侦查阶段----扫描和测试系统的有效安全性。
− 对网络进行侦查意味着要定位出网络资源的使用的具体情 况，包括IP地址、开放端口、网络拓扑等。
风险评估阶段
• 控制阶段----控制演示
− 控制-----表明一个黑客可以控制网络资源、创建帐号、 修改日志、行使管理员的权限。 − 审核人员从不试图控制网络主机，只是通过演示其可以控 制网络主机来证明现有网络存在的问题。 − 在提交报告时，必须提出如何防止黑客获得网络和主机的 控制权的建议。
差距分析
• 获得客户反馈的信息，了解到工作中存在哪些不足， 针对不同企业或机构采取不同的审核方式。
第二单元 审核过程
.
学习目标
• • • • • • • • • 掌握有效检查书面安全策略的方法 了解资源的划分 明确业务焦点 明确如何使用现有的管理控制结构 掌握基于网络和基于主机的脆弱性发现和分析工具的配置 掌握如何实施网络级和主机级的安全扫描 了解路由器和防火墙的安全配置 确定电话服务系统/集成系统的安全等级 熟悉安全审核的步骤
风险评估的步骤
4.考虑商业需求
为企业需求制定安全策略，应当考虑一些特殊的部门和个体。目标 是提高各部门的工作效率并使他们的数据更安全。
风险评估的步骤
5.评估已有的边界和内部安全
− 边界安全指网络间区分彼此的能力，防火墙是定义安全边 界的第一道屏障。 − 内部安全是指网络管理员监测和打击未授权的网络活动的 能力。
划分资产等级
• 判断危险性
− 除了恶意侵入者和内部人员外，对于任何计算机系统还 有许多威胁安全的方面：
从软件缺陷到硬件失效 把一杯茶水泼到键盘上 挖掘机切断了上千万根电缆线
− 下面是对计算机危险的部分分类：
软硬件故障 物理环境威胁 人员 外部因素
划分资产等级
• 划分资产等级
检查书面安全策略
• 制定一个详细计划来实施安全策略
− 信息安全策略的实施过程是一项较为长期且反复的过程，在这 一过程中要根据实践的结果对信息安全策略体系和内容进行不 断调整与完善。 − 详细的实施计划有助于有效地管理开支计划和控制执行时间。 − 获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的 关键。 − 信息安全策略实施计划至少应该包含以下步骤：
划分资产风险等级
• 对各个资产进行风险等级的划分，划分的标准如下表 ：
等级
5 4 3 2
标识
很高 高 中 低
风 险 定 义
风险很高，导致系统受到非常严重影响 风险高，导致系统受到严重影响 风险中，导致系统受到较重影响 风险低，导致系统受到一般影响
1
很低
风险很低，导致系统受到较小影响
• 可以采用按照风险数值排序的方法，也可以采用区间划 分的方法将风险划分为不同的优先等级，包括将可接受 风险与不可接受风险的划分 。
• 风险评估中常用的方法有三种：
− 计算系统综合风险 − 差距分析法 − 量化风险
差距分析
差距源自文库析法模型
差距分析
• 差距分析法在运用中通常包括五个步骤
1.调研目标系统状况 2.确定信息系统安全要求 3.评估信息系统安全现状 4.对信息安全风险进行差距分析和风险计算 5.用户根据安全风险评估的结果进行风险控制，形成满足其信息 系统安全要求的信息系统安全保障能力
− 实施分析要求对系统逐个检测。
− 侦查阶段的分析工作通常需要大量的时间。
风险评估阶段
• 渗透阶段----渗透测试
− 渗透测试是指在获取用户授权后，通过真实模拟黑客使用 的工具、分析方法来进行实际的漏洞发现和利用的安全测 试方法。 − 在渗透测试中，将检查各种系统的漏洞，并试图使下列元 素无效：
加密 密码 访问列表