目录
网络安全风险评估概述
网络安全风险评估,主要是依据有关信息安全的技术和管理标准,对网络系统进行一个综合评价。是依靠等保2.0当中对技术和管理的要求对网络信息系统的几大特性做综合评估
CIA是保密性,完整性,可用性
评估的内容涉及到网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用之后造成的实际影响,并根据安全事件发生的可能性,以及影响大小来确认网络安全的风险等级,网络风险评估就是评估威胁者利用网络资产的脆弱性,给我们的网络资产造成损失的严重程度。
评估值就是网络安全风险值,它可以等价为我们事件发生的概率乘以事件的一个损失。举个例子,某一个攻击事件发生的概率是零点五或50%,他造成的损失是50万。那么,风险值就等于25万,这就是网络安全的一个风险值
风险评估的要素,包括资产威胁,脆弱性,安全措施和风险,这几个要素。
风险评估的模式,第一种自评估,依靠自身的力量。
检查评估是由安全的主管机关或者业务主管机关发起的,根据我们的法律法规,安全标准进行检查,比如说典型的网安部门,它会对我们的一些公共场所,比如说网吧、酒店还有银行的上网基础设施进行检查,有没有上审计设备,因为国家的网络安全法里面有规定,像公共场所必须要做到上网可审计,没有审计的话,这个风险就大了。根据法律法规给你发起相应的检查或没有的话,是要罚款的
委托评估,就是我们网络的使用单位委托第三方的专业机构进行评估,比如说你做等保三级或者等保二级的时候,你都会委托第三方的评测机构对你的等保进行一个等级评测。这就是委托评估
网络安全风险评估过程
评估的过程,主要包含如下的几个过程,第一步评估准备,资产识别威胁,识别脆弱性,识别已有的安全措施,分析网络安全风险,分析风险的处置与管理
首先是准备资产识别,威胁识别,脆弱性识别,已有的安全措施要进行分析和确认,分析完之后进行风险的处置。其实风险分析的过程包含风险的计算,比如说计算出来你损失可能就1000块钱。风险值1000块钱,可不可以接受,如果可以接受的话,就保持已有的安全措施
如果不可以接受,那就制定相应的一些风险处置的方案。出资完之后我们再进行上面的一个过程,是否接受风险的产值,比如说,1000多我出资完。我又用了一个方案,或者上了某个设备之后,我的风险值变成300了。这300是否还可以接受,如果可以接受的话,那就结束,那如果不可以接受,那就再处理风险
网络安全风险评估过程-评估准备与资产识别
风险评估准备,准备阶段,我们首先要确定评估的对象和范围。评估的范围一般包括网络拓扑结构,网络通信协议,网络地址,设备,各项服务,典型的像web、FTP,邮件等等,这一系列的网络服务,网络上的业务类型,以及业务信息的流程是否合理,是否有安全风险,网络安全防范的一些措施,包括我们的防火墙入侵检测,视频监控,保安系统等等,还有操作系统,网络相关的人员,网络的物理环境。比如说,机房的位置这些都是我们评估的一个范围里面需要有的东西,在这个阶段最终要生成评估文档,叫网络安全评估范围界定报告,这是后续工作的范围界定
因为它最终要输出文档,这个文档是决定后续具体要干哪些事情的,项目管理的第一步是项目的范围管理。特别是软件的项目或者像这一类风险评估类偏服务的项目,如果你的范围不确定,到后期你根本招不了工。举个大家更方便理解一点的,比如软件开发,如果前期范围不是特别清楚,前期没有把范围给客户梳理好,然后让客户签字,最后可能他让你加一个这个功能,然后加一个那个功能,这个整体就无休无止了。最后反正就很难才能完成交互,但是如果前期把范围给敲定,白纸黑字写下大概要干什么,然后客户签字,签完字之后,如果客户后期要增加功能,那就得加钱了,因为延长了我的整个项目的时间
第二步进行资产的识别,资产识别包含网络资产的鉴定,网络资产的价值估算两个过程。资产建立就是确立我们网络资产的种类和清单,常见的资产,有哪些跟网络相关的,网络设备,交换机、路由器,主机PC,服务器应用数据,数据也是资产,接着是文档资产,第一步确定网络资产,第二步进行资产的一个估算,比如说,我的一台交换机,最后界定它可能是5000块钱一万块钱,能用价值去判定,还有一种不能用价值去判定,你可以把它按等级对资产阶级进行划分
比如说,五级就非常重要,破坏之后会对我们的组织造成非常严重的损失。三级就中等,比较重要,破坏之后会有中等程度的一个损失,我们通过这种定级的方式也可以判断出资产的一个价值到底重不重要
网络安全风险评估过程-资产识别
资产识别,就是我们做价值估算的时候不是资产的物理经济价值,而是相对价值,就是一台路由器,可能它的售价是5000块钱,但是你破坏之后会造成网络中断一天,带来的这种间接经济损失可能是十万,所以我们评估价值的时候,不是看你实际价值5000块钱,而是看你遭到破坏之后,对整个网络的保密性,完整性,可用性遭到破坏之后,对业务造成的影响来决定的,所以最后我们做资产价值评估的时候,如果你能造成十万的损失,你的价值就是十万,而不是5000块钱
我们国家信息风险评估标准对资产的三大特性,保密性,完整性,可用性分别附了五个等级,等级越高表示资产越重要
保密性的一个赋值,五级表示很高。信息被泄密之后,会造成灾难性的损害,四级就是严重的损害。三级是受到损害。一级是公开的,没啥损害。
网络安全风险评估过程-资产完整性和可用性赋值
完整性的五级就是如果被修改或者未经授权的破坏,对业务的冲击是重大的,会造成业务的中断,难以弥补。四级是冲击严重,较难弥补。三级冲击明显,可以弥补。一级,二级冲击轻微,一级冲击可以忽略。
可用性,五级表示它的年度可用性在99.9%以上或系统不允许中断。四级的话是百分之九十以上,允许中断时间小于十分钟。三级它的可用性70%,二级25%,一级是正常工作,时间低于25%
网络安全风险评估过程-威胁识别
资产识别完之后就进行威胁识别,威胁识别是对网络资产有可能遭受到的危害性进行分析,一般从威胁来源、威胁途径、威胁能力、威胁效果、威胁意图、威胁频率等多方面进行分析。一般我们会最后生成一份威胁列表,列出被评估的网络系统面临的各种威胁。
威胁一般分成人为威胁,自然威胁。
软硬件故障。支撑系统故障,比如网管软件计算支撑系统,针对我们的数据库的运行,底层的服务器,这也算支撑系统
物理因素,人为管理恶意代码。
技术层面的还有管理层面的,包括人员管理,恐怖活动,行业间谍。
网络安全风险评估过程-威胁识别
计算机病毒,特洛伊木马,蠕虫,漏洞嗅探等等,这些都是威胁的途径。
威胁的效果,有非法访问破坏我们的机密性,访问的时候进行读写会破坏完整性,拒绝服务是破坏我们的可用性。欺骗破坏的是可控性。
威胁意图,有些人是偏向于挑战,有些人是做信息获取、恐怖主义,或者是谋求经济利益。不同的人群不一样
威胁的频率是威胁出现的概率或者可能性,威胁频率是可能存在负值的,如果威胁频率出现很高,比如说一周一次,大于等于一周一次,这就是五级,一个月一次,这是四级。三级是半年一次。较小的话就是两级,几乎不可能发生的话就是一级。
网络安全风险评估过程-脆弱性识别
脆弱性识别主要是通过各种测试方法获取我们资产中所存在的一些缺陷清单。说白了就是它的漏洞,可以攻击的一些途径或者方法,这些缺陷会导致信息资产的非授权访问、泄密、失控,破坏或者不可用、绕过已有的安全机制,缺陷将会危及我们的网络安全。
脆弱性识别是以资产为核心,针对我们需要保护的资产,识别可能被威胁利用的弱点,并对弱点的严重程度进行评估。
具体的脆弱性识别方法,有漏洞扫描、人工检查、问卷调查、安全访谈,渗透测试、漏洞扫描,通过漏扫软件、漏扫工具去扫一下我们网络中具体有什么漏洞。人工检查,可以问卷调查,特别是信息中心人很多,不可能一一的去访谈,就可以做一些问卷,可以是电子的,也可以是纸质的,让他们去填。问卷调查一般是针对它的受众比较多的这种情况下,一般会用到问卷调查,但实际项目中用问卷调查非常少,因为填问卷很多时候都是瞎填。实际上用的比较多的,像访谈,找信息中心的主任去谈一谈,现在他们有哪些问题,基本上能够知道的七七八八
渗透测试是模拟黑客对我们的网络进行攻击。脆弱性的严重程度赋值也可以分成五级,5级脆弱性的可利用性非常高,对于我们的资产造成的损害是完全的,损害非常大。4级造成的脆弱性,利用程度高或者很高,造成重大影响。
脆弱性评估主要分成两个部分,技术性的评估,还有管理层面的评估。技术脆弱性评估,主要是从现有的安全技术措施的合理性,有效性进行综合评估。而管理脆弱性评估主要是针对我们的组织结构,人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等等进行评估
偏向于管理的层面进行相应的评价。目的是在于确认安全策略的一个执行情况。两个层面,技术层面、管理层面,与等保二点零高度契合。二点零对管理上有一些要求,安全管理机构、组织结构、安全管理人员等等
网络安全风险评估过程-已有安全措施确认
对评估对象已采取了各种预防性,保护性的安全措施,进行有效性的确认。比如说你已经买了防火墙了,已经买了入侵检测了,都已经部署好了。比如说防火墙是用在边界的,做边界安全防护。你就要评估,这个防火墙上面是不是开了相关的一些策略,然后对我的边界资源安全防护有没有起效果。这是需要去评估的,如果效果很好,边际防护都OK,没啥问题,那么这块儿就不需要整改了,继续沿用以前的
评估完之后我们接着进行网络安全风险分析,风险分析是在资产评估,威胁评估、脆弱性评估、安全管理,评估安全影响的基础上,我们利用定性和定量的分析方法,给出适当的风险大小或者风险等级。
我们进行了资产识别,进行了脆弱性识别和威胁识别,得出了资产价值以及脆弱性的严重程度,还有威胁出现的频率,根据这两个东西评估出安全事件的可能性
举个例子如果造成的损失是50万,你发生的可能性是50%,那么你的风险值就是25万。这是一个较大的风险,这是定量分析。
不是所有的情况都可以做到定量分析,所以还有一个叫定性分析。定性分析,可能最后你的风险值就是中等或者严重,就是用非量化的词,定性的词去得出风险值。
网络安全风险评估过程-网络安全风险分析
相当于是对前面整个过程的一个总结,第一步对资产进行识别,并对资产的价值进行赋值
第二步对威胁进行识别,并描述威胁的属性,给出相应的频率赋值。是频率很高还是频率一般,这也是五分标准。
对脆弱性进行识别,并对具体的资产脆弱性严重程度进行赋值,也是五分标准。
完整性和可用性都是五分的赋值,接着下一步,根据威胁及威胁利用脆弱性的难易程度,判断可能发生的安全事件发生的可能性,这是一个概率,你是50%的概率还是1%的概率发生
接着计算我们安全事件的损失,损失可以是定性的,也可以是定量的
第六步,根据安全事件发生的可能性以及安全事件出现之后的损失计算,安全事件一旦发生,对组织的影响,就相当于威胁性和脆弱性,它们值的一个乘积。通过这六步,去分析我们的网络安全风险。
举个例子,最后输出的是风险值,比如说输出的风险值一共是4.5,这风险挺高的,同时给出相应的定性,挺严重的,具体的损失,可以量化计算,可以定量的,去计算的其实不是那么多,但有些东西不太好定量。不太好定量的话,你就用定性或者是综合评估,综合计算的方法去给出来。
网络安全风险评估过程-风险处置与管理
我们要根据前面分析的各种风险,然后给出相应的风险控制的建议,降低我们的安全风险。对不可接受的风险要根据导致风险脆弱性的原因制定相应的风险处理计划。风险处理计划当中应该明确你具体的安全措施预期的效果,实施的条件、进度的安排、责任单位等等,安全措施应该从两个方面去考虑管理和技术。
管理和技术的网络风险管理,控制措施有十类,第一个制定明确的安全策略。建立安全组织。其实这里面有不少内容是等保二点零当中管理的要求。第三个加强人员安全管理。这个是等保二点零的要求,第三个保证物理实体和环境安全,这是等保二点零中对技术的要求,安全的物理环境。第四个加强安全的通信,对我们的一些敏感数据进行加密。第五步才去访问控制机制,进行安全系统开发与维护,保证业务的持续运行,遵守法律法规,安全目标一致性检查等等。
开发运维实际上是跟我们建设管理相关