信息系统安全风险评估案例分析
某公司信息系统风险评估项目案例介绍
介绍内容:项目相关信息、项目实施、项目结论及安全建议。
一、 项目相关信息
项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。
项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。
项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。主机系统:9台,抽样率50%。数据库系统:4个业务数据库,抽样率100%。应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。
二、 评估项目实施
评估实施流程图:
项目实施团队:(分工)
现场工作内容:
项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。
评估工作内容:
资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。
资产统计样例(图表)
威胁统计分析:3大类威胁(环境、系统、人为),7子类获取威胁统计,7子类,34项;4级威胁2子类2项;3级威胁6子类16项;2级威胁5子类16项。
威胁统计分析列表(1):
威胁统计分析列表(2):
脆弱性分析:网络问题(高风险3个,中风险2个)主机系统:13个问题(很高风险1个,高风险7个,中风险4个,低风险1个)数据库系统:11个问题(高风险7个,中风险1个,低风险3个)应用系统:5个问题(高风险3个,中风险1个,低风险1个)安全管理:13个问题(高风险6个,中风险6个,低风险1个)。
脆弱性分类:网络系统
口令管理、安全审计、访问控制、资源利用、脆弱性管理、物理保护、应急响应、维护管理。
脆弱性分类:业务系统
标识与鉴别、安全审计、访问控制、安全策略配置、资源利用、恶意代码防护、脆弱性管理、传输与通信、业务连续性、物理保护、应急响应、维护管理。
脆弱性分析列表
系统漏洞扫描结果分析:
扫描主机:10台。扫描结果:紧急风险1个(windows 20## 1个)
高风险29个(Aix 27个,windows 20## 2个)中风险:22个(Aix 12个,windows 20## 10个)。漏洞扫描结果分析:
风险与计算:
计算原理 :风险值=R(A,T, V)=R(L(T,V),F(Ia,Va))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
计算方法 :我们在该评估项目中,选择“相乘法”的风险计算方法计算业务、资产的风险值。
具体的计算公式为:安全事件发生后的可能性L=T*V 安全事件发生后造成的损失F=V*A 资产的风险值Rn=L*F
业务的风险值R=Max(Rn)。
风险计算分析表:
风险等级划分:
各业务系统安全风险等级:
、
各业务系统安全风险统计图表
各业务系统安全风险统计图表
三、 评估结论及安全建议
结论:从整体上看该公司的信息安全状况是比较好的,所有出现最高级别(5级/很高)的安全风险。很高风险级别的所占比例低于30%,且为公司的非主营业务系统。公司的安全风险级别主要为“中”,占风险比列的50%
存在的风险不容忽视:
管理制度不完善,缺少一些必要的管理制度和规范,机房内的环境防护、安全措施、控制措施均需要加强,操作系统缺少完备的演练,管理中访问权限的控制、口令加密、SNMP协议控制、审计功能开启并配置、实时监控等问题需要强化安全管理措施。
安全建议:
完善安全管理制度(应急预案、系统审计、人员、安全管理等)
制定其他风险级别的风险消减方案;灾备系统需要得到完备的演练;网络及业务系统的安全技术措施需要加强。
组员:章锐、龚哲、廖洋、孙阳明、赵世堂。
第二篇:信息系统安全风险评估应用:评估过程
信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以信息安全风险评估对象中的网络操作痕迹信息检查为评估项目,来说明一次安全风险评估该如何具体地去做。
一、安全风险评估准备阶段
在每次风险评估开始之前,一个最好的保证评估过程顺利完成,评估结果真实有效的方法,就得为此制定一个风险评估策略。但如果只是对某个独立的或者是临时决定的小评估项目进行风险评估, 而且你和你的评估团队以前经常对些小评估项目进行风险评估,那么,只要为它做一些相应的准备工作就可以直接进行评估了。
风险评估策略的具体内容是根据实际的评估对象和评估项目来决定的,因此,不同的评估对象的风险评估策略是不相同,就是同一评估对象,如果评估的具体项目不同,其风险评估策略也不会相同。
1、制定风险评估策略
一个好的风险评估策略,应当包括下列所示的内容:
(1)、指定评估小组成员
信息风险评估小组担负着机构的风险评估工作,其成员要能代表整个机构。同时,成员必需在人员安全评估(确定某个人员可以信任风险评估工作)通过后确定。具体的成员应当包括:IT部门主管、风险评估负责人、系统或网络管理员、信息安全技术人员,还可以包括安全产品供应商代表及合作伙伴代表等。
评估人员确定后,就要分配相应的评估任务给具体的人员。确定每个评估人员各自的职责,所要承担的法律责任,并做成文档分发到每个评估人员手中。同时,要为评估任务指定一个总的负责人,来监督整个评估过程,并协调处理评估过程中出现的临时状况。还要说明评估结果的填写和上报方式,如说明每个评估人员完成自己的评测任务,填上评测结果后,当上交给风险评估负责人时,还应当与负责人一同签名才能有效。
(2)、确定风险评估的范围和目的
确定风险评估的范围也就是指指定具体的评估对象和评估项目,风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的,只有指定了评估对象中评估项目的风险评估目的,才知道需要什么样的评估任务来达到这个目的,也就圈定了具体的评估范围。也只有确定了风险评估的范围和目的,我们的风险评估才能有的放矢地进行。
在本例中,我们的评估对象是信息安全风险评估;评估项目是网络操作痕迹信息检查;评估的目的是检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密;具体的评估任务有: ①、检查机构内部员工WEB数据库和缓存中的内容;
②、检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
③、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;
④、了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限;
⑤、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;
⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索;
⑦、检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容。
(3)、确定本次评估任务的开始和结束的具体日期和时间,如有可能,还有决定具体的风险评估时间,并在风险评估文档中留出相应的位置用来标明评估工作的开始和结束时间。
(4)、考虑一些在风险评估过程中可能发生的情况,以不影响正常的业务为基本条件。应版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。
当为此制定一个应对有可能造成业务中断,或造成真实安全事件发生事件时的应急措施。
2、根据评估项目和要完成的评估任务制作风险评估表单
风险评估表单就是在一张表单上将要评估的项目及评估任务一一列出,然后在进行具体的风险评估时,就可以按表单中的内容来依次进行。
图2.1就是网络操作痕迹信息检查评估项目的风险评估表单。
图2.1 网络操作痕迹信息检查的风险评估表单
信息安全风险评估
评估项目:
评估的目的:
评 估 任 务
红勾顺序 评 估 任 务 描 述
1 2 结果描束时估述 备注 检查机构内部员工WEB数据库和缓存中的内容 检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构
的组织结构,或其它机构内部机密信息
调查机构内部员工是否在使用私人电子邮箱,并
3 且在法律允许的条件下,检查员工是否通过机构
分配的电子邮件发送机构内部机密信息
了解机构内部员工的计算机技术水平,以及了解
计算机技术水平较高的员工所处的部门及其操作
权限
调查机构内部员工是否在工作时间使用即时通信
工具,并在法律条件允许的条件下监控即时通信
的内容
使用互联网搜索引擎查找网络中是否存在与机构
论坛及博客中搜索
检查机构内部员工是否在使用P2P 条件允许下审查P2P通信内容 4 5 6 7
备注:
评估开始时间:年 月 日 时 分 评估结束时间:年 月 日 时 分
项目负责人:
3、考虑完成评估任务时会用到的各种工具,并准备妥当。
这些工具应当是切合本次风险评估任务的,并且在已经通过在某个实验环境中测试已经证明其有效。在本次风险评估中,会对机构内部人员进行网络操作行为监控,因此,得为它准备相应的网络操作行为分析设备,或者是安装有网络操作行为分析软件的计算机,最好当然是笔记本电脑。同时,还应当准备好所将设备连接入目标网络的所需的线缆,以及其它与此次风险评估相关的所有工具和文档,并将它们统一管理。
一个风险评估策略不仅可以包括上面已经列出的这四个方面,还可以在其中添加与评估任务实际需求相关的内容,例如加入说明此次评估任务的具体流程和细节,各种注意事项等等。并要求所有的评估人员,严格按照这个风险评估策略中的内容来进行具体的评估工作。
一个风险评估策略是一个需要技术和经验并重的工作,而且需要考虑的内容很多,一个人版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。
不可能将风险评估项目相关的所有方面考虑周到。因此,在制定风险评估策略时,应当发动所有评估人员,以及评估对象的使用人员和设备供应商代表等一起来分析制定。
对于信息系统风险评估来说,如果准备工作越充分,后续的风险评估过程就越有效率,评估过程中出现的错误就越少,评估的最终给果就越真实有效。如果在准备过程中疏忽了某些内容,特别是制定的安全风险评估策略出现考虑不周的情况,要是没能在执行风险评估前检查出来,就会使最终的风险评估结果偏离实际,这样就会让我们空担心一场,或空欢喜一场。
二、安全风险检测阶段
当所有风险评估工作的事前准备工作全部妥善完成后,就可以按风险评估策略中确定的日期和时间,开始对指定的评估对象的评估项目做相应的安全风险评估。安全风险的评估过程就是使用具体的方法,来解答在准备阶段制定的评估项目表单中所有列出的评估任务的过程。 要完成风险评估表单列出的评估任务,需要使用一些针对某个评估任务的具体解决方法。解决评估任务的方法有很多种,包括问卷调查、访谈、模拟社会工程攻击、使用风险评估工具(包括软硬件方式的工具)、审查各种日志、审查各种设备和安全设备的配置文档,以及使用实际的模拟或真实的攻击来检验等方法,都可以用来解答评估项目中所需要完成的评估任务。 其中的某些方法只对某个评估任务有效,而一些工具可能一次自动完成多个项目。为了能减少使用工具产生的误报和漏洞,可以使用二种以上的工具来检测同一个评估任务,或者使用手工测试的方式来确认检测结果的真实性。
同时,在进行某些评估任务的评估工作时,例如系统弱点扫描,应当从由外向内看和由内向外看的两个方式分别进行。进行由外向内看的测试时,是试图从组织网络边界的外部检测系统,它能为我们提供一个从外部攻击相同的方式来审视系统的安全性。而进行由里向外看测试时,我们就应该从内部人员对系统使用权限的角度,去审查系统的安全性,此时,我们会得到比由外向内看更多的安全信息。恰当地使用这两种方式,能将目前大部分的安全威胁都考虑进来。
每个风险评估项目中的所有评估任务,如没有特殊要求,就必需按照风险评估表单中排列的顺序来进行。这是因为在评估过程中,当前的评估任务完成后产生的结果,可能会用来作为下一个任务的检测条件。如果此时评估的顺序相互置换,那么就会造成错误的最终评估结果。 在本文中的网络操作痕迹信息检测评估项目中,所有的评估任务都是由内向外看的方式来进行的。这些评估任务可以通过机构员工档案审查,检查员工使用的计算机中的浏览器COOKIE,检查机构WEB服务器缓存,审查机构边界位置网络操作行为管理设备的各种日志,通过网络搜索引擎,通过搜索一些独特的位置(如新闻组、博客及论坛)来完成。同时,还可以通过模拟发送机密信息的方式,审查已有的网络操作行为监控设备是否能拦截它发送到互联网中,是否能够限制员工使用即时通信软件和P2P软件,员工是否可以突破封锁等任务。并且检验网络操作行为监控设备是否能将违规行为记录到相应的日志当中,能否提供有效的警报,收到警报能否产生有效的拦截等等。
有时,会将所有的评估任务分配给几个人来进行,因此,当某个评估人员完成属于他(她)的评估任务后,就应当在评估任务答案后评估人一栏中签上他的名字。当所有评估任务完成后,将已经填入评测答案和评估人签名的风险评估表单上报给评估负责人,经评估负责人确认并签字后,这个风险评估表单中的内容才能算真正有效,并在风险评估表单中填入评估结束时间。然后就可以进入下一个风险评估环节。
三、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段
当评估项目的所有评估任务完成后,就应当组织整个评估人员,将风险评估表单中每个评估任务的评测结果分析并汇总,给出一个具体安全和风险等级。然后,通过分析目前可以使用的安全防范技术,从机构可以接受的安全风险防范投入成本出发,同时给出一个相应的安全风险解决方案,并在解决方案中说明方案实施后能解决的风险,达到的具体安全等级,以及仍然存在的风险状况等内容。所有的这些信息都可以一个报告文件的方式记录下来。
版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。
每个信息系统安全风险评估报告都是针对某个具体的评估对象而言的。在本文的实例中,应当给出一个包括下列内容的风险评估报告,其它评估对象的风险评估报告给出的内容至少也应当包括下列所示的内容:
1、列出完成的评估任务清单;
2、列出评估对象目前存在的威胁和弱点,给出具体的安全和风险等级;
3、列出防范这些检测到的威胁和弱点的保障措施;
4、说明这些安全建议是属于物理、管理、还是技术控制;
5、说明实施这些给出的安全建议后会带来的效果;
6、说明每一个具体的安全建议,能将风险减少到什么程度;
7、安全修补后,评估对象能达到什么样的安全等级; 8、安全修补后,还有什么风险没能完全控制,应当如何进一步控制; 9、说明实施这些安全修补措施具体应当花费的安全成本。 有些时候,风险评估报告中不一定要求给出具体的安全修补建议。但是,当检测到的弱点可能给机构信息系统带来中等或高等安全风险时,就应当按要求给出针对性的安全解决方案安全风险评估报告的内容可以作为安全策略的一个强有力的补充,你甚至可以将它们的处理建议加入到已有的安全策略当中,以保证安全策略的强壮性。安全风险评估报告同时也可以作为上报给机构领导或评估小组领导的书面报告,你可以在报告中标出哪些方面是必需要修补的,以便能让上级领导赞同你的建议。
这样,你要确保你的安全风险评估报告的有效性和权威性。有效性说明这份报告是在真实检测和分析的基础上形成的,而且时间与报告的时间相吻合。权威性是指这份报告应当出自整个评估小组在检测分析之上,并不是某个人凭空想象造出来的。并且有整个参与人员的所有手工签名,以及标出所有评估都是参照某个国家或国际标准来评定具体安全和风险级别的。
四、后期安全维护阶段
后期安全维护其实只是信息系统安全风险评估过程中的一个附加阶段。对于专门的风险评估机构或安全公司来说,当给出具体的安全风险评估报告后,就表明此次风险评估任务全部结束。但是,对于评估对象所在的机构来说,安全风险评估工作的结束,只是表示另一个重要的任务,安全修补任务的开始。
后期安全维护就是按照风险评估报告中给出的安全修补建议,决定实施额外的管理和安全防范措施,以便能修正现有的安全策略,降低目前存在的弱点可能被威胁利用后带来的风险水平。
在安全修补实施的过程中,如果有些安全弱点不能按要求进行修补,你应当将它们记录下来,并上报给机构技术负责人。
另外,非常重要的一点就是:在所有的安全修补工作按要求全部完成后,一定要按本文所描述的风险评估过程重新对修补后的评估对象进行一次复查评估,以便确认修补后评估对象是否真正达到了期望的安全水平。同时,也能给出仍然不能防范的安全弱点,以及这些弱点目前应当如何应对才能降低发生的可能。
从这里我们就可以看出,信息系统安全风险评估是一个风险评估准备、风险评测、给出风险报告与后期维护四者之间不断循环往复的处理过程。
版权声明:本文内容由专业老师自互联网搜集整理而来,仅供本校校园网内用户学习参考和交流之用,任何人不得将本文用于其他用途。