信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐與探索

信息平安風(fēng)險(xiǎn)評(píng)估實(shí)踐與探索國(guó)家信息中心信息平安研究與效勞中心平安評(píng)估事業(yè)部祿凱Email:InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter4/29/20251匯報(bào)內(nèi)容一、網(wǎng)絡(luò)空間平安與風(fēng)險(xiǎn)評(píng)估二、評(píng)估實(shí)踐的一些體會(huì)三、案例分析四、平安效勞中心業(yè)務(wù)開展情況4/29/20252一、網(wǎng)絡(luò)空間平安與風(fēng)險(xiǎn)評(píng)估拿到Web后臺(tái)管理賬戶結(jié)果80端口IE或其他瀏覽器工具SQL注入方法威脅無(wú)處不在：一種常見的攻擊資產(chǎn)威脅頁(yè)面篡改數(shù)據(jù)失密數(shù)據(jù)喪失…….政治影響經(jīng)濟(jì)影響風(fēng)險(xiǎn)漏洞索引內(nèi)容：特殊字符4/29/20253一、網(wǎng)絡(luò)空間平安與風(fēng)險(xiǎn)評(píng)估平安威脅日益嚴(yán)重復(fù)合威脅：蠕蟲、病毒、特洛伊木馬黑客攻擊基礎(chǔ)設(shè)施Flash威脅大規(guī)模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲（如腳本病毒….）4/29/20254面對(duì)層出不窮的平安漏洞和各式各樣的威脅，簡(jiǎn)單的產(chǎn)品堆疊無(wú)法保證您的信息平安！一、網(wǎng)絡(luò)空間平安與風(fēng)險(xiǎn)評(píng)估要保護(hù)什么到達(dá)什么平安程度？是否到達(dá)了考核標(biāo)準(zhǔn)？員工Hacks/Cracks自然界和環(huán)境威脅內(nèi)部人員的操作失誤或惡意行為系統(tǒng)故障信息及相關(guān)資源其他問(wèn)題蠕蟲、木馬病毒泛濫4/29/20255一、網(wǎng)絡(luò)空間平安與風(fēng)險(xiǎn)評(píng)估4/29/20256一、網(wǎng)絡(luò)空間平安與風(fēng)險(xiǎn)評(píng)估為了應(yīng)對(duì)這些威脅，在?網(wǎng)絡(luò)空間平安：迫在眉睫的危機(jī)?報(bào)告中，PITAC提出了10大優(yōu)先研究工程，其中信息平安風(fēng)險(xiǎn)評(píng)估位列其中。其主要研究?jī)?nèi)容包括：〔1〕開發(fā)網(wǎng)絡(luò)空間平安測(cè)試方法、評(píng)估標(biāo)準(zhǔn)；〔2〕風(fēng)險(xiǎn)分析方法和基于不同領(lǐng)域的評(píng)估方法〔政治、軍事、經(jīng)濟(jì)等〕；〔3〕平安風(fēng)險(xiǎn)以及一致性檢查的自動(dòng)評(píng)估工具的研發(fā)；〔4〕對(duì)易受到攻擊對(duì)象的評(píng)估研究工作，如源代碼掃描工具；〔5〕通過(guò)研究過(guò)程管理、配置管理和補(bǔ)丁管理的最正確策略方案，來(lái)發(fā)現(xiàn)并提供有效的平安管理實(shí)施方案。4/29/20257二、評(píng)估實(shí)踐的一些體會(huì)〔一〕風(fēng)險(xiǎn)評(píng)估工作的實(shí)質(zhì)是什么？以被評(píng)估單位的業(yè)務(wù)為核心，圍繞相關(guān)資產(chǎn)，對(duì)其所具有弱點(diǎn)和所面臨的威脅展開分析工作；同時(shí)分析和確認(rèn)該單位已經(jīng)部署平安措施是否發(fā)揮了應(yīng)有的效力；最終找到風(fēng)險(xiǎn)所在，并提出風(fēng)險(xiǎn)消減解決方案……4/29/20258二、評(píng)估實(shí)踐的一些體會(huì)〔二〕評(píng)估實(shí)施的五個(gè)關(guān)鍵階段4/29/20259二、評(píng)估實(shí)踐的一些體會(huì)〔三〕兩種常用評(píng)估計(jì)算方法

相關(guān)性分析Ti低0中1高2Ri低0中1高2低0中1高2低0中1高2Ai001212323411232343452234345456334545656744565676781、預(yù)設(shè)矩陣方法【5×5×5】【5×3×3】【2×2×2】Ti：威脅賦值Ri：脆弱性賦值Vi：資產(chǎn)賦值

相關(guān)性分析Ti低0高1Ri低0高1低0高1Ai0012311234簡(jiǎn)化4/29/202510二、評(píng)估實(shí)踐的一些體會(huì)2、二元法那么：Risk〔風(fēng)險(xiǎn)〕＝Impact〔影響〕×Possibility〔可能性〕ImpactPossibility123451123452246810336912154481216205510152025Impact＝威脅對(duì)資產(chǎn)的危害程度，f〔V，T〕Possibility＝威脅利用資產(chǎn)脆弱性的可能程度，g〔T，R〕Risk級(jí)別說(shuō)明已達(dá)標(biāo)：1－－5可容忍：6－－10須整改：12－254/29/202511二、評(píng)估實(shí)踐的一些體會(huì)4/29/202512二、評(píng)估實(shí)踐的一些體會(huì)〔五〕如何躲避評(píng)估自身帶來(lái)的風(fēng)險(xiǎn)信息泄密問(wèn)題評(píng)估結(jié)果的效力問(wèn)題評(píng)估過(guò)程難于控制問(wèn)題把握好定性與定量程度問(wèn)題法律合同評(píng)估單位資質(zhì)評(píng)估單位性質(zhì)從業(yè)人員的資質(zhì)執(zhí)行的標(biāo)準(zhǔn)評(píng)估單位的資質(zhì)……管理層的意識(shí)參與部門的意識(shí)成熟方法＆行業(yè)經(jīng)驗(yàn)引入質(zhì)量管理與控制計(jì)算過(guò)程的復(fù)雜性參數(shù)之間的循環(huán)嵌套以業(yè)務(wù)為核心開展評(píng)估主觀意識(shí)依據(jù)客觀分析4/29/202513三、案例分析案例1：某部委門戶網(wǎng)站系統(tǒng)工程案例2：某部委內(nèi)部信息系統(tǒng)網(wǎng)絡(luò)工程案例3：國(guó)家電子政務(wù)外網(wǎng)工程4/29/202514三、案例分析〔1〕工程：某部委門戶網(wǎng)站無(wú)損測(cè)試評(píng)估信息系統(tǒng)說(shuō)明：主站W(wǎng)WW系統(tǒng)、Email系統(tǒng)、VOD系統(tǒng)，子站60個(gè)評(píng)估內(nèi)容：黑盒滲透測(cè)試、風(fēng)險(xiǎn)分析、加固建議案例分析：模擬攻擊測(cè)試；SQL攻擊滲透測(cè)試；DDOS攻擊測(cè)試；主頁(yè)篡改測(cè)試；……4/29/202515三、案例分析〔2〕案例分析前期工作十分細(xì)致，進(jìn)行了大量情況摸底＆人員訪談；工程實(shí)施中，參考了“等級(jí)保護(hù)〞，“涉密信息系統(tǒng)保護(hù)要求〞，“BS7799〞等多項(xiàng)標(biāo)準(zhǔn)；通過(guò)評(píng)估元素相關(guān)性分析＆關(guān)聯(lián)分析，大大減少了后期計(jì)算復(fù)雜度；……4/29/202516三、案例分析〔3〕工程：國(guó)家電子政務(wù)外網(wǎng)建設(shè)方案平安評(píng)估信息系統(tǒng)說(shuō)明：廣域網(wǎng)絡(luò)、城域網(wǎng)絡(luò)、32個(gè)省級(jí)節(jié)點(diǎn)…..評(píng)估內(nèi)容：方案評(píng)估，資產(chǎn)識(shí)別，威脅分析，脆弱性識(shí)別，風(fēng)險(xiǎn)分析；案例分析：平安體系咨詢；各平安域防護(hù)需求；平安域等級(jí)劃分；容災(zāi)分析；潛在威脅類別分析；潛在脆弱性分析……4/29/202517三、案例分析4/29/202518四、平安效勞中心業(yè)務(wù)開展情況4/29/202519四、平安效勞中心業(yè)務(wù)開展情況將原始數(shù)據(jù)與標(biāo)準(zhǔn)進(jìn)行關(guān)聯(lián)分析等級(jí)保護(hù)條例涉密系統(tǒng)保護(hù)條例ISO17799SOX404GLBABaselII………..或者組織自己的策略相關(guān)數(shù)據(jù)收集等級(jí)方式百分比方式圖形方式趨勢(shì)圖方法……數(shù)據(jù)分類展現(xiàn)信息的采集控制分析控制評(píng)估控制整改工作部署……綜合智能評(píng)估工具的研發(fā)數(shù)據(jù)采集標(biāo)準(zhǔn)庫(kù)分析引擎評(píng)價(jià)展現(xiàn)數(shù)據(jù)展現(xiàn)工作流4/29/202520四、平安效勞中心業(yè)務(wù)開展情