信息安全評估-V4.2

1、信息安全評估講師姓名 機構名稱版本：4.2課程內(nèi)容2信息安全評估知識域知識子域安全評估基礎信息系統(tǒng)審計安全評估實施知識子域：安全評估基礎安全評估概念了解安全評估的定義、價值、風險評估工作內(nèi)容及安全評估工具類型；了解安全評估標準的發(fā)展；3安全評估基本概念什么是安全評估針對事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進行識別、評價的過程對安全評估的理解狹義廣義4風險評估是確定安全需求的重要途徑！安全評估工作內(nèi)容確定保護的對象（保護資產(chǎn)）是什么？它們直接和間接價值？資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有多大？資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？

2、一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程序。5安全評估的價值安全建設的起點和基礎信息安全建設和管理的科學方法倡導適度安全保護網(wǎng)絡空間安全的核心要素和重要手段6風險評估工具風險評估與管理工具一套集成了風險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進行模型分析系統(tǒng)基礎平臺風險評估工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備等）的脆弱性進行分析，或實施基于脆弱性的攻擊風險評估輔助工具實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢

3、分析等單項功能，為風險評估各要素的賦值、定級提供依據(jù)7知識子域：安全評估基礎安全評估標準了解TCSEC基本目標和要求、分級等概念；了解ITSEC標準的適用范圍、功能準則和評估準則的級別；了解ISO 15408標準的適用范圍、作用和使用中的局限性；了解GB/T 18336結構、作用及評估的過程；理解評估對象（TOE）、保護輪廓（PP）、安全目標（ST）、評估保證級（EAL）等關鍵概念；了解信息安全等級測評的作用和過程。8安全評估標準9TCSEC（可信計算機系統(tǒng)評估標準）美國政府國防部（DoD）標準，為評估計算機系統(tǒng)內(nèi)置的計算機安全功能的有效性設定了基本要求國家安全局的國家計算機安全中心（NCSC

4、）于1983年發(fā)布，1985年更新，作為國防部彩虹系列出版物的核心，TCSEC經(jīng)常被稱為橙皮書。 TCSEC已被2005年最初公布的國際標準通用準則（CC）所取代。10TCSEC（可信計算機系統(tǒng)評估標準）基本目標和要求策略問責保證文檔分級D-最小保護C-選擇保護（C1、C2）B-強制保護（B1、B2、B3）A-驗證保護（A1）11TCSECD最小保護C自主保護 C1-自主安全保護 C2 -受控訪問保護B強制保護 B1-標簽安全 B2-結構化保護 B3-安全域A驗證保護 A1 -驗證設計ITSEC（信息技術安全評估標準）以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分功能準則：在測定上

5、分F1-F10共10級15級對應于TCSEC的D到A610級加上了以下概念：F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性F10：包括機密性和完整性的網(wǎng)絡安全評估準則：分為6級：E1：測試 E2：配置控制和可控的分配E3：能訪問詳細設計和源碼 E4：詳細的脆弱性分析 E5：設計與源碼明顯對應 E6：設計與源碼在形式上一致。12FC（聯(lián)邦（最低安全要求）評估準則） 美國信息技術安全聯(lián)邦準則(FC)1992年12月公布，是對TCSEC的升級引入了“保護輪廓（PP）”這一重要概念保護輪廓包括功能部分開發(fā)保證部分測評部分分級方式與TCSEC不同，吸取了ITSEC、

6、CTCPEC中的優(yōu)點供美國政府用，民用和商用。13CC(信息技術安全評估通用標準)目前最全面的信息技術安全評估準則主要思想和框架取自ITSEC和FC，充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分CC強調(diào)將安全的功能與保障分離，并將功能需求分為九類63族，將保障分為七類29族。14國際標準組織于1999年批準CC標準以“ISO/IEC 15408-1999”編號正式列入國際標準系列！CC(信息技術安全評估通用準則)我國在2008年等同采用ISO/IEC 15408：2005 信息技術-安全技術-信息技術安全評估標準形成的國家標準，標準編號為GB/T 18336結構GB/T 1833

7、6.1-2008簡介和一般模型定義了IT 安全評估的一般概念和原理，并提出了評估的一般模型GB/T 18336.2-2008安全功能要求建立一系列功能組件作為表達TOE功能要求的標準方法GB/T 18336.3-2008安全保證要求建立一系列保證組件作為表達TOE保證要求的標準方法15GB/T 18336（CC）的目標讀者TOE（評估對象）的客戶CC從寫作安排上確保評估滿足用戶的需求，因為這是評估過程的根本目的和理由。TOE的開發(fā)者為開發(fā)者在準備和協(xié)助評估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足的安全需求方面提供支持。TOE的評估者CC 包含評估者判定TOE 與其安全需求一致時所使用的準則。16

8、CC的關鍵概念17評估對象（Target of Evaluation，TOE）作為評估主體（產(chǎn)品、系統(tǒng)、子系統(tǒng)等）的IT產(chǎn)品及系統(tǒng)以及相關的指導性文檔。保護輪廓（PP）滿足特定用戶需求的、一類TOE的、一組與實現(xiàn)無關的安全要求。安全目標（Security Target，ST）作為指定的TOE評估基礎的一組安全要求和規(guī)范。CC的關鍵概念功能規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應做的事。結構:類、族、組件保證實體達到其安全性目的的信任基礎，是對功能產(chǎn)生信心的方法包為滿足一組確定的安全目的而組合在一起的，一組可重用的功能或保證組件18評估保證級別（EAL）19評估流程20CC的意義CC的意義通過評估有助于

9、增強用戶對于IT產(chǎn)品的安全信心促進IT產(chǎn)品和系統(tǒng)的安全性消除重復的評估優(yōu)勢國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結果；已有安全準則的總結和兼容，是目前最全面的評價準則；通用的表達方式，便于理解靈活的架構，可以定義自己的要求擴展CC要求CC的局限性CC標準采用半形式化語言，比較難以理解； CC不包括那些與IT安全措施沒有直接關聯(lián)的、屬于行政性管理安全措施的評估準則，即該標準并不關注于組織、人員、環(huán)境、設備、網(wǎng)絡等方面的具體的安全措施； CC重點關注人為的威脅，對于其他威脅源并沒有考慮； 并不針對IT安全性的物理方面的評估（如電磁干擾）； CC并不涉及評估方法學； CC不包括密碼算法固有質(zhì)量的評估。

10、22信息系統(tǒng)安全等級保護測評信息系統(tǒng)安全等級測評重要性檢測評估信息系統(tǒng)安全等級保護狀況是否達到相應等級基本要求的過程落實信息安全等級保護制度的重要環(huán)節(jié)等級測評過程 測評準備活動 方案編制活動 現(xiàn)場測評活動 分析與報告編制活動 23知識子域：安全評估實施風險評估相關要素理解資產(chǎn)、威脅、脆弱性、安全風險、安全措施、殘余風險等風險評估相關要素及相互關系。風險評估途徑與方法了解基線評估等風險評估途徑及自評估、檢查評估等風險評估方法；了解基于知識的評估，理解定性評估、定量評估的概念及區(qū)別并掌握定量分析中量化風險的方法。24風險評估相關要素-資產(chǎn)構成風險評估的資產(chǎn)是建立對組織具有價值的信息或資源，是安全策

11、略保護的對象。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量， 而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。25風險評估相關要素-威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因。威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。引起風險的外因造成威脅的因素人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。26風險評估相關要素-脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。威脅總是要利用資產(chǎn)的

12、脆弱性才可能造成危害。27風險評估相關要素-信息安全風險、安全措施信息安全風險人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險只考慮那些對組織有負面影響的事件安全措施保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制。殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險28風險評估要素之間關系29風險評估途徑與方式風險評估途徑基線評估詳細評估組合評估風險評估方式自評估：由組織自身發(fā)起，組織自己實施或委托第三方實施檢查評估：由被評估組織的上級主管機關或業(yè)務主管機關發(fā)起30風險評估的常用方法基于

13、知識分析定量分析定性分析31風險評估常用方法-定量分析基本概念暴露因子（Exposure Factor, EF）:特定威脅對特定資產(chǎn)靠損失的百分比，或者說損失的程度。單一預期損失（single Loss Expectancy, SLE）:也稱作SOC（Single Occurrence Costs）,即特定威脅可能造成的潛在損失總量年度預期損失（Annualized Loss Expectancy, ALE）：或者稱作EAC（Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預期值32風險評估常用方法-定量分析概念的關系首先，識別資產(chǎn)并為資產(chǎn)賦值通過威脅和弱點評估，評

14、價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%100%之間）計算特定威脅發(fā)生的頻率，即ARO計算資產(chǎn)的SLE；計算資產(chǎn)的ALE；定量風險分析的一種方法就是計算年度損失預期值（ALE）。計算公式如下：年度損失預期值（ALE） = SLE x 年度發(fā)生率（ARO）單次損失預期值（SLE） = 暴露因素（EF）x 資產(chǎn)價值（AV）33風險評估常用方法-定量分析定量評估計算案例計算由于人員疏忽或設備老化對一個計算機機房所造成火災的風險。假設：組織在3年前計算機機房資產(chǎn)價值100萬，當年曾經(jīng)發(fā)生過一次火災導致?lián)p失10萬；組織目前計算機機房資產(chǎn)價值為1000萬；經(jīng)過和當?shù)叵啦块T溝通以及組織歷史

15、安全事件記錄發(fā)現(xiàn)，組織所在地及周邊在5年來發(fā)生過3次火災；該組織額定的財務投資收益比是30%由上述條件可計算風險組織的年度預期損失及ROSI，為組織提供一個良好的風險管理財務清單34風險評估常用方法-定量分析根據(jù)歷史數(shù)據(jù)獲得EF：10萬100萬100%=10%根據(jù)EF計算目前組織的SLE1000萬10%=100萬根據(jù)歷史數(shù)據(jù)中ARO計算ALE100萬（35）=60萬此時獲得年度預期損失值，組織需根據(jù)該損失衡量風險可接受度，如果風險不可接受則需進一步計算風險的處置成本及安全收益；ROSI = (實施控制前的ALE）（實施控制后的ALE）（年控制成本）組織定義安全目標，假如組織希望火災發(fā)生后對組織

16、的損失降低70%，則，實施控制后的ALE應為：60萬（1-70%）=18萬年控制成本=（60-18）30%=12.6萬則：ROSI=60-18-12.8=29.4萬至此，組織通過年投入12.6萬獲得每年29.4萬的安全投資收益35風險評估常用方法-定性分析目前采用最為廣泛的一種方法帶有很強的主觀性，往往憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或高低程度定性分級36 可能性 影響可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見）LLMHH知識子域：風險評估實施風險評估的基本

17、過程了解風險評估基本過程；理解風險評估準備工作內(nèi)容；掌握風險識別中資產(chǎn)的賦值方法；理解風險分析的方法；了解風險結果判定、風險處理計劃、殘余風險評估等階段工作內(nèi)容。風險評估文檔了解風險評估文檔化工作的重要性及對文檔的相關要求；37風險評估的基本過程風險評估是組織確定信息安全需求的過程，包括資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風險認定在內(nèi)的一系列活動。38風險評估準備風險評估準備是整個風險評估過程有效性的保證組織實施風險評估是一種戰(zhàn)略性的考慮，其結果將受到組織的業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結構等方面的影響。風險評估準備工作確定風險評估的目標確定風險評估的范圍組建適當?shù)脑u估管理

18、與實施團隊進行系統(tǒng)調(diào)研確定評估依據(jù)和方法制定風險評估方案獲得最高管理者對風險評估工作的支持39風險評估準備確定風險評估的目標根據(jù)滿足組織業(yè)務持續(xù)發(fā)展在安全方面的需要、 法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風險大小。確定風險評估的范圍風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產(chǎn)、管理機構，也可能是某個獨立的信息系統(tǒng)、關鍵業(yè)務流程、與客戶知識產(chǎn)權相關的系統(tǒng)或部門等。40風險評估準備組建適當?shù)脑u估管理與實施團隊風險評估實施團隊，由管理層、相關業(yè)務骨干、IT技術等人員組成風險評估小組。評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評

19、估技術培訓和保密教育，制定風險評估過程管理相關規(guī)定。進行系統(tǒng)調(diào)研；系統(tǒng)調(diào)研是確定被評估對象的過程，風險評估小組應進行充分的系統(tǒng)調(diào)研，為風險評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎。調(diào)研內(nèi)容至少應包括：業(yè)務戰(zhàn)略及管理制度；主要的業(yè)務功能和要求；網(wǎng)絡結構與網(wǎng)絡環(huán)境，包括內(nèi)部連接和外部連接；系統(tǒng)邊界；主要的硬件、軟件；數(shù)據(jù)和信息；系統(tǒng)和數(shù)據(jù)的敏感性；支持和使用系統(tǒng)的人員。系統(tǒng)調(diào)研可以采取問卷調(diào)查、 現(xiàn)場面談相結合的方式進行。41風險評估準備確定評估依據(jù)和方法根據(jù)系統(tǒng)調(diào)研結果，確定評估依據(jù)和評估方法。評估依據(jù)包括（但不僅限于）：現(xiàn)有國際標準、國家標準、行業(yè)標準；行業(yè)主管機關的業(yè)務系統(tǒng)的要求和制度；

20、系統(tǒng)安全保護等級要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實時性或性能要求等。據(jù)組織機構自身的業(yè)務特點、信息系統(tǒng)特點，選擇適當?shù)娘L險分析方法并加以明確，如定性風險分析、定量風險分析，或是半定量風險分析。根據(jù)評估依據(jù)，應考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風險計算方法，并依據(jù)業(yè)務實施對系統(tǒng)安全運行的需求，確定相關的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應。42風險評估準備制定風險評估方案風險評估方案的目的是為后面的風險評估實施活動提供一個總體計劃， 用于指導實施方開展后續(xù)工作。風險評估方案的內(nèi)容一般包括（但不僅限于）：團隊組織：包括評估團隊成員、組織結構、角色、責任等內(nèi)

21、容；工作計劃：風險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；時間進度安排：項目實施的時間進度安排。獲得最高管理者對風險評估工作的支持上述所有內(nèi)容確定后，應形成較為完整的風險評估實施方案，得到組織最高管理者的支持、批準；對管理層和技術人員進行傳達， 在組織范圍就風險評估相關內(nèi)容進行培訓， 以明確有關人員在風險評估中的任務。43資產(chǎn)識別資產(chǎn)分類、分級、形態(tài)及資產(chǎn)價值評估資產(chǎn)分類數(shù)據(jù)、軟件、硬件、服務、人員、其他（ （ GB/T 20984信息安全風險評估規(guī)范 ） ）資產(chǎn)形態(tài)有形資產(chǎn)、無形資產(chǎn)資產(chǎn)分級保密性分級、完整性分級、可用性分級資產(chǎn)重要性分級44資產(chǎn)識別制定資產(chǎn)重要性分級準

22、則依據(jù)資產(chǎn)價值大小對資產(chǎn)的重要性劃分不同的等級。資產(chǎn)價值依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。45賦值重要性等級定義5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至忽略不計威脅識別威脅類型自然因素、人為因素威脅頻率級別46賦值威脅出現(xiàn)頻率級別定義5很高出現(xiàn)的頻率很高（或1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4高出現(xiàn)

23、的頻率較高（或1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中出現(xiàn)的頻率中等（或1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生脆弱性識別脆弱性識別與威脅識別是何關系？驗證：以資產(chǎn)為對象，對威脅識別進行驗證 脆弱性識別的難點是什么？三性：隱蔽性、欺騙性、復雜性 脆弱性識別的方法有哪些？技術脆弱性管理脆弱性47賦值脆弱性嚴重程度級別定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一

24、般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略確認已有的控制措施依據(jù)三個報告信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報息告和信系統(tǒng)的安全要求報告確認已有的安全措施，包括：技術層面（物理平臺、系統(tǒng)平臺、網(wǎng)絡平臺和應用平臺）的安全功能組織層面（組織結構、崗位和人員）的安全控制管理層面（策略、規(guī)章和制度）的安全對策形成已有安全措施列表?？刂拼胧╊愋皖A防性、檢測性和糾正性在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止重復實施。48風險分析GB/T 2098

25、4-2007信息安全風險評估規(guī)范給出信息安全風險分析思路49風險值 = R（A，T，V）= R（L（T，V），F(xiàn)（Ia，Va ）R表示安全風險計算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件所作用的資產(chǎn)價值Va表示脆弱性嚴重程度L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性F表示安全事件發(fā)生后造成的損失風險分析計算安全事件發(fā)生的可能性安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)L(T，V )計算安全事件發(fā)生后造成的損失安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴重程度)F(Ia，Va )計算風險值風險值=R(安全事件的可能性，安全事件造成的損失)R(L(T，V)，F(xiàn)(Ia，Va )50風

26、險結果判定評估風險的等級評估風險的等級依據(jù)風險計算報告，根據(jù)已經(jīng)制定的風險分級準則，對所有風險計算結果進行等級處理，形成風險程度等級列表。綜合評估風險狀況匯總各項輸出文檔和風險程度等級列表，綜合評價風險狀況，形成風險評估報告51等級取值范圍名稱描述H25,20高風險最高等級的風險，需要立即采取應對措施。不可接受。S12,15,16嚴重風險需要高級管理層注意。不可接受M6,8,9,10中等風險必須規(guī)定管理責任。通常需要綜合考慮取舍。L1,2,3,4,5低風險可以通過例行程序來處理?？山邮?。風險處理計劃對不可接受的風險應根據(jù)導致該風險的脆弱性制定風險處理計劃管理措施技術措施52殘余風險評估實施安全措施后對措施有效性進行再評估在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可進行再評估，以判斷實施安全措施后的殘余風險是否已經(jīng)降低到可接受的水平。 某些風險可能在選擇了適當?shù)陌踩胧?/p>