软考-信息安全-网络安全风险评估技术原理与应用

16.1 网络安全风险评估概述

  • 网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。主要阐述网络安全风险评估的概念,网络安全风险评估的要素,网络安全风险评估模式
16.1.1 网络安全风险评估概念
  • 网络安全风险,是指由于网络系统所在的脆弱性,因人为或自然的威胁导致安全事件发生所造成可能性的影响。
  • 网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准,对网络系统的保密性,完整性,可控性和可用性等安全属性进行科学评价的过程,评价内容涉及网络系统的脆弱性,网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。
  • 简单的理解,我们所说的网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
评估要素 具体实际参照
资产 电子商务网站
安全威胁 黑客攻击
安全脆弱性 RPC DCOM漏洞
安全影响 电子商务网站受到入侵,中断运行1天
  • 解释:假设网站受到恶意攻击概率为0.8,经济影响为2W人民币,那么该网站安全风险量化值为1.6W人民币(2x0.8=1.6)。
  • 一般来说,网络安全风险值可以等价为安全事件发生的概率(可能性)与安全事件的损失(影响)的乘积。
16.1.2 网络安全风险评估要素
  • 网络安全风险评估涉及 资产,威胁,脆弱性,安全措施,风险等各个要素。
  • 资产因为其价值而受到威胁。
  • 威胁者利用资产的脆弱性构成威胁。
  • 安全措施则对资产进行保护,修补资产的脆弱性,从而降低资产的风险。
16.1.3 网络安全风险评估模式
  • 根据评估方与被评估方的关系以及网络资产的所属关系,风险评估模式有自评估,检查评估与委托评估三种类型。
  • 1.自评估
    • 自评估是网络系统拥有者依靠自身力量,对自有的网络系统进行风险评估活动。
  • 2.检查评估
    • 检查评估由网络安全主管机关或业务主管机关发起,旨在依据已经颁布的安全法规,安全标准或安全管理规定等进行检查评估。
  • 3.委托评估
    • 委托评估是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

16.2 网络安全风险评估过程

  • 网络安全风险评估工作涉及多个环节,主要包括网络安全风险评估准备,资产识别,威胁识别,脆弱性识别,已有的网络安全措施分析,网络安全风险分析,网络安全风险处置与管理等。
    image

  • 上述图片来源于xiejava1018的csdn博客

  • 具体实际操作的时候可以根据不同目的和环境,简化或补充各步骤细节。

16.2.1 网络安全风险评估准备
  • 网络安全风险评估准备的首要工作是确定评估对象和范围。
  • 正式进行具体安全评估必须首先进行网络系统范围的界定,要求评估者明晰所需评估的对象。
  • 网络评估范围的界定一般包括如下内容:
    • 网络系统拓扑结构
    • 网络通信协议
    • 网络地址分配
    • 网络设备
    • 网络服务
    • 网上业务类型与业务信息流程
    • 网络安全防范措施(防火墙,IDS,保安系统等)
    • 网络操作系统
    • 网络相关人员
    • 网络物理环境(如建筑,设备位置)
  • 在这个阶段最终将会生成评估文档《网络风险评估范围界定报告》,该报告是后续评估工作的范围限定。
16.2.2 资产识别

  • 资产识别包含“网络资产鉴定和网络资产价值估算”。

  • 网络资产鉴定内容如下:

    • 给出评估所考虑的具体对象,确认网络资产种类和清单,这是整个评估工作的基础。
    • 常见的网络资产主要分为网络设备,主机,服务器,应用,数据和文档资产等六个方面。
    • 例如:网络设备资产有交换机,路由器,防火墙等。

  • 网络资产价值估算内容如下:

    • 是某一具体资产在网络系统中的重要程度确认
    • 组织可以按照实际情况,将资产按其对于业务的重要性进行赋值,最终得到资产重要性登记划分列表。

  • 资产重要性等级及含义描述

资产等级 标识 描述
5 很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失
4 重要,其安全属性破坏后可能对组织造成比较严重的损失
3 中等 比较重要,其安全属性破坏后可能对组织造成中等程度的损失
2 不太重要,其安全属性破坏后可能对组织造成较低的损失
1 很低 不重要,其安全属性破坏后可能对组织造成很小的损失,甚至可以忽略不计

  • 网络安全,风险评估中,价值估算不是资产的物理实际经济价值,而是相对价值,一般是以资产的三个基本安全属性为基础进行衡量的,即保密性,完整性和可用性。

  • 价值估算的结果是由资产安全属性未满足时,对资产自身及与其关联业务的影响大小来决定的。

  • 资产保密性赋值

赋值 标识 定义
5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
4 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1 很低 可对社会公开的信息,如公用的信息处理设备和系统资源等
  • 资产完整性赋值
赋值 标识 定义
5 很高 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
4 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,难以弥补
3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明细,但可以弥补
2 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补
1 很低 完整性价值非常低,未经授权的修改或破坏组织造成的影响可以忽略,对业务冲击可以忽略
  • 资产可用性赋值
赋值 标识 定义
5 很高 可用性价值非常高,合法使用者对业务流程,信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断
4 可用性价值较高,合法使用者对业务流程,信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min
3 中等 可用性价值中等,合法使用者对业务流程,信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min
2 可用性价值较低,合法使用者对业务流程,信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min
1 很低 可用性价值可用忽略,合法使用者对业务流程,信息及信息系统的可用度在正常工作时间低于25%
16.2.3 威胁识别

  • 威胁识别是对网络资产有可能受到的安全危害进行分析。

  • 一般从威胁来源,威胁途径,威胁意图等几个方面来分析。

  • 威胁识别

    • 威胁来源
    • 威胁途径
    • 威胁能力
    • 威胁效果
    • 威胁意图
    • 威胁频率

  • 首先是标记出潜在的威胁源,并且形成一份威胁列表

  • 列出被评估的网络系统面临的潜在威胁源。

  • 威胁源按照其性质一般可分为自然威胁和人为威胁。

  • 自然威胁有如下内容:

    • 雷电
    • 洪水
    • 地震
    • 火灾等

  • 人为威胁有如下内容:

    • 盗窃
    • 破坏
    • 网络攻击等

  • 对于威胁进行分类的方式有多种,针对以上的威胁来源,可以根据其表现形式对威胁进行分类,具体可用参考,《信息安全技术 信息安全风险评估规范》给出的一种基于表现形式的威胁分类方法。

  • 威胁途径是指威胁资产的方法和过程步骤。

  • 威胁者为了实现其意图,会使用各种攻击方法和工具,例如:计算机病毒,特洛伊木马,蠕虫,漏洞利用和嗅探程序。

  • 通过各种方法的组合,完成威胁实施,比如下面的一个关于口令威胁途径的分析

    • 口令
      • 网络监听
      • 口令文件失窃
      • 口令猜测
      • 系统非法访问

  • 威胁效果是指威胁成功后,给网络系统造成的影响。

  • 威胁效果抽象为三种:

    • 非法访问
    • 欺骗
    • 拒绝服务

  • 威胁意图是指威胁主体实施威胁的目的。

  • 根据威胁者的身份,威胁意图可以分为挑战,情报信息获取,经济利益和报复。

  • 威胁频率是指出现威胁活动的可能性。

    • 一般通过已经发生的网络安全事件,行业领域统计报告和有关的监测统计数据来判断出现威胁活动的频繁程度。

  • 一般是可以针对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低,等级数值越大,威胁出现的频率越高。这里同样可以参考《信息安全技术 信息安全风险评估规范》

  • 威胁频率赋值

等级 标识 定义
5 很高 出现频率很高(>=1次/周);或在大多数情况下几乎不可避免
4 出现频率较高(>=1次/月);或在大多数情况下很有可能发生
3 出现频率中等(>=1次/半年);或在某种情况下可能会发生
2 出现频率较小;或一般不太可能发生
1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生
  • 威胁的可能性赋值通过结合威胁发生的来源,威胁所需要的能力,威胁出现的频率等综合分析而得出的判定。
  • 威胁可能性赋值
等级 标识 定义
5 很高 威胁成功发生的可能性极大
4 威胁成功发生的可能性较大
3 中等 威胁成功发生的可能性较小
2 威胁成功发生的可能性极小
1 很低 威胁成功发生的可能性几乎为零
16.2.4 脆弱性识别

  • 脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问,泄密,失控,破坏或不可用,绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。

  • 脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。

  • 脆弱性识别的依据是 网络安全法律法规政策,国内外网络信息安全标准以及行业领域内的网络安全要求。

    • 网络安全法律法规政策常见是以下要求:
      • 《商用密码管理条例》
      • 《通用数据保护条例》(GDPR)
    • 国内外网络信息安全标准常见是以下要求:
      • OWASP Top 10作为Web应用程序的漏洞评估参考标准。
      • 其中CVE,CWE,CNNVD,CNVD等用作评估资产存在的漏洞情况。
      • PCI DSS用于国际上评估支付卡工业数据安全。
    • 对不同环境中相同弱点,其脆弱性的严重程度是不同的,评估人员需要从组织安全测量的角度考虑,判断资产的脆弱性及其严重程度。
    • CVSS是国际上通用安全漏洞评分参考标准。
    • CWE Top25可评估软件漏洞安全等级。
    • 脆弱性识别所采用的方法主要有漏洞扫描,人工检查,问卷调查,安全访谈和渗透测试等

  • 脆弱性严重程度赋值

等级 标识 定义
5 很高 如果被威胁利用,将对资产造成完全损害
4 如果被威胁利用,将对资产造成中重大损害
3 如果被威胁利用,将对资产造成一般损害
2 如果被威胁利用,将对资产造成较小损害
1 很低 如果被威胁利用,对资产造成的损害可忽略
  • 脆弱性评估工作又可分为技术脆弱性评估和管理脆弱性评估
    • 技术脆弱性评估
      • 技术脆弱性评估主要从现有安全技术措施的合理性和有效性方面进行评估。
    • 管理脆弱性评估
      • 管理脆弱性评估从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。
      • 安全管理脆弱性评估主要指对组织结构,人员配备,安全意识,教育培训,安全操作,设备管理,应急响应,安全制度等方面进行合理性,必要性评价,其目的在于确认安全策略的执行情况。
16.2.5 已有安全措施确认
  • 对评估对象已采取的各种预防性和保护性安全措施的有效性进行确认,评估安全措施能否防止脆弱性被利用,能否抵御已确认的安全威胁。
16.2.6 网络安全风险分析
  • 是指在资产评估,威胁评估,脆弱性评估,安全管理评估,安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级。
  • 对网络系统安全管理范围内的每一个网络资产因遭受泄露,修改,不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。
  • 网络安全风险分析过程如下:
    • 威胁识别
      • 威胁出现的频率->安全事件的可能性->风险值
    • 脆弱性识别
      • 脆弱性的严重程度->安全事件的可能性,安全事件的损失->风险值
    • 资产识别
      • 资产价值->安全事件的损失->风险值
  • 1.网络安全风险分析步骤
    • 1)对资产进行识别,并对资产的价值进行赋值。
    • 2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
    • 3)对脆弱性进行识别,并对具有资产的脆弱性的严重程度赋值。
    • 4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
    • 5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。
    • 6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下,其影响主要从以下几个方面来考虑:
      • 违反了有关法律或规章制度。
      • 对法律实施造成了负面影响。
      • 违反社会公共准则,影响公共秩序。
      • 危害公共安全。
      • 侵犯商业机密。
      • 影响业务运行。
      • 信誉,声誉损失。
      • 侵犯个人隐私。
      • 人身伤害。
      • 经济损失。
  • 2.网络安全风险分析方法
  • 网络安全风险值的计算方法主要有定性计算方法,定量计算方法,定性和定量综合计算方法。
    • 1)定性计算方法
      • 是将风险评估的资产,威胁,脆弱性等各要素的相关属性进行主观评估,然后再给出风险计算结果。
      • 资产的保密性赋值评估为:很高,高,中等,低,很低;
      • 威胁的出现频率赋值评估为:很高,高,中等,低,很低;
      • 脆弱性的严重程度赋值评估为:很高,高,中等,低,很低;
      • 定性计算方法给出的风险分析结果是:无关紧要,可接受,待观察,不可接受;
    • 2)定量计算方法
      • 是将资产,威胁,脆弱性等量化为数据,然后再进行风险的量化计算,通常以经济损失,影响范围大小等进行呈现。
      • 实际上资产,威胁,脆弱性,安全事件损失难以用数据准确地量化,因而完全的定量计算方法不可行。定量计算方法的输出结果是一个风险数值。
    • 3)综合计算方法
      • 是结合定性和定量方法,将风险评估的资产,威胁,脆弱性,安全事件损失等各要素进行量化赋值,然后选用合适的计算方法进行风险计算。
      • 脆弱性的严重程度量化赋值评估为:5(很高),4(高),3(中等),2(低),1(很低)。
      • 综合计算方法的输出结果是一个风险数值,同时给出相应的定性结论。
  • 3.网络安全风险计算方法
  • 风险计算一般有相乘法或矩阵法
    • 1)相乘法
      • 相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险。
      • 参考《信息安全技术 信息安全风险评估规范》
      • 这里理解其实就是发生的概率乘以受影响的数值的出来的结果。
    • 2)矩阵法
      • 矩阵法是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系。
      • 参考《信息安全技术 信息安全风险评估规范》
16.2.7 网络安全风险处置与管理
  • 针对网络系统所存在的各种风险,给出具体的风险控制建议,其目标在于降低网络系统的安全风险。
  • 对不可接受的相关风险,应根据导致该风险的脆弱性制定风险处理计划。
  • 风险处理计划中明确应采取的弥补弱点的安全措施,预期效果,实施条件,进度安排,责任部门等。
  • 安全措施的选择从管理与技术两个方面考虑。
  • 安全措施的选择与实施参照信息安全的相关标准进行。
  • 目前的网络安全风险管理的控制措施主要有以下十大类:
    • 制定明确的安全策略。
    • 建立安全组织。
    • 实施网络资产分类控制。
    • 加强人员安全管理。
    • 保证物理实体和环境安全。
    • 加强安全通信运行。
    • 采取访问控制机制。
    • 进行安全系统开发与维护。
    • 保证业务持续运行。
    • 遵循法律法规,安全目标一致性检查。
  • 为了确保安全措施的有效性,一般要进行再评估,以判断实施安全措施后的风险是否已经降低到可接受的水平。
  • 残余风险的评估可按照风险评估流程实施,也可做适当的裁剪。
  • 安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小
  • 在某些情况下,风险可能在选择了适当的安全措施后残余风险的结果仍处于不可接受的风险范围内,那么这个时候应考虑是否接受此风险或进一步增强相应的安全措施

16.3 网络安全风险评估技术方法与工具

  • 主要阐述网络安全风险评估的技术方法,包括资产信息收集,网络拓扑发现,漏洞扫描,人工检查,安全渗透测试等。
16.3.1 资产信息收集
  • 资产信息收集是网络安全风险评估的重要工作之一。
16.3.2 网络拓扑发现
  • 网络拓扑发现工具用于获取被评估网络信息系统的资产关联结构信息,进而获取资产信息。
16.3.3 网络安全漏洞扫描
  • 可以自动搜集待评估对象的漏洞信息,以评估其脆弱性。
    • nmap,X-Scan,绿盟极光,Nessus,sqlmap,pangolin,appscan,avws。
16.3.4 人工检查
  • 是通过人工直接操作评估对象以获取需要的评估信息。
16.3.5 网络安全渗透测试
  • 是指获得法律授权后,模拟黑客攻击网络系统,以发现深层次的安全问题。
16.3.6 问卷调查
  • 采用书面的形式获得被评估信息系统的相关信息,以掌握信息系统的基本安全状况。
  • 管理类调查问卷
    • 涵盖安全策略,安全组织,资产分类和控制,人员安全,业务连续性等,主要针对的是管理者和操作人员。
  • 技术类调查问卷
    • 物理和环境安全,网络通信,系统访问控制和系统开发与维护,调查对象是IT技术人员。
16.3.7 网络安全访谈
  • 安全访谈通过安全专家和网络系统的使用人员,管理人员等相关人员进行直接交谈,以考查和证实对网络系统安全策略的实施,规章制度的执行和管理与技术等一系列情况。
16.3.8 审计数据分析
  • 审计数据分析通常用于威胁识别,审计分析的作用包括侵害行为检测,异常事件监测,潜在攻击征兆发觉等。
16.3.9 入侵监测
  • 入侵监测是威胁识别的重要技术手段。
  • 将入侵监测软件或设备接入待评估的网络中,然后采集评估对象的威胁信息和安全状态。

16.4 网络安全风险评估项目流程和工作内容

  • 主要阐述网络安全风险评估项目的主要工作流程和内容,包括评估工程前期准备,评估方案设计与论证,评估方案实施,评估报告撰写,评估结果评审与认可等。
16.4.1 评估工程前期准备
  • 风险评估需求调查是评估工程后续工作开展的前提,其内容包括评估对象确定,评估范围界定,评估的粒度和评估的时间等。
  • 在评估工作开始前一定要签订合同和保密协议,以避免纠纷。
  • 评估前期准备工作至少要做到以下内容:
    • 确定风险评估的需求目标,其中包括评估对象确定,评估范围界定,评估的粒度和评估的时间等。
    • 签订合同和保密协议。
    • 成立评估工作组。
    • 选择评估模式。
16.4.2 评估方案设计与论证
  • 评估方案设计依据被评估方的安全需求来制定,需经过双方讨论并论证通过后方可进行下一步工作。
  • 评估方案设计主要是确认评估方法,评估人员组织,评估工具选择,预期风险分析,评估实施计划等内容。
16.4.3 评估方案实施
  • 在评估方案论证通过后,才能组织相关人员对方案进行实施。
16.4.4 风险评估报告撰写
  • 根据评估实施情况和所搜集到的信息,如资产评估数据,威胁评估数据,脆弱性评估数据等,完成评估报告撰写。
16.4.5 评估结果评审与认可
  • 最高管理层或其委托的机构应组织召开评估工作结束会议,总结评估工作,对风险评估活动进行评审,以确保风险评估活动的适宜,充分和有效。

16.5 网络安全风险评估技术应用

  • 是网络信息系统安全保障的重要工作之一,其作用是知己知彼,主动掌握网络安全状况,以便于进行网络安全建设和防护。
16.5.1 网络安全风险评估应用场景
  • 1.网络安全规划和设计
  • 2.网络安全等级保护
  • 3.网络安全运维与应急响应
  • 4.数据安全管理与运营
16.5.2 OWASP风险评估方法参考
16.5.3 ICT供应链安全威胁识别参考
  • 参考《信息安全技术 ICT供应链安全风险管理指南》。
16.5.4 工业控制系统平台脆弱性识别参考
  • 参考《信息安全技术 工业控制系统风险评估实施指南》
16.5.5 网络安全风险处理措施参考
16.5.6 人工智能安全风险分析参考
posted @ 2022-07-26 12:05  皇帽讲绿帽带法技巧  阅读(891)  评论(0)    收藏  举报