ITIL中的安全风险评估一章的节选:
风險管理是IT管理者平衡IT及数据的保护成本和保护收益的方法包括:
风险管理的作用在于能够为机构完成其使命提供:
- 更有效的IT安全预算;
- 高级管理人员(Senior Management),为风险管理项目提供有效的资源保证将风险分析的结果运用于管理决策;
- 首席信息官(Chief Information Officer,CIO)将风险管理原则和方法用于IT计划、预算及其执行活动;
- 系统和信息拥有者(System and Information Owners),支持风险管理项目并将风险管理原则和方法用于其IT系统和数据的保护中;
- 业務和职能管理人(Business and Functional Managers),将风险管理原则和方法用于业务运行和IT采购决策中以便IT系统能够更安全、有效地支持业务活动;
- 信息系统安全官(Information System Security Officer,ISSO)IT风险管理项目的具体负责人,制定IT系统风险识别、评估和消减的全面方案并向高级管理人员提供建议;
- IT安全专业人员(IT security Practitioners),包括网络、系统、应用、数据库管理员、计算机专家、安全分析员、安全顾问等支持和参与相关IT系统的风险管理工作,包括识别系统中的風险并部署适当的防范措施为系统提供适当的安全保护;
- 安全意识培训师(Security Awareness Trainers),理解风险管理方法并开发风险管理相关的培训材料在培训项目中为用户提供培训评估方面的教育。
- 确定风险评估工作的范围;
- 勾勒运作授权(或认可)边界;
- 提供定义系统风险的重要信息這些信息主要包括以下类型:
- 系统接口(如内部和外部连接);
- 支持和使用IT系统的人员;
- 系统的使命(如IT系统所起的作用);
- 系统和数据嘚关键程度(如系统的价值或对机构的重要性);
- 系统的用户,包括为系统提供技术支持的系统用户(System Users)和使用系统执行业务功能的应鼡用户(Application Users);
- 当前的网络拓扑(Topology);
- 保护系统和数据可用性、完整性和保密性的信息存储安全措施;
- IT系统相关的信息流图,如系统接口、系统输入和输出流程图(Flowchart); Account)建立和删除规程、用户功能隔离(Segregation)控制;
- IT系统的环境安全措施如湿度、温度、水、能源、污染和化学品控制。
系统评定的信息收集技术
- 问卷(Questionnaire)如评估人员设计关于管理和运行控制方面的问卷,将其发放给设计或支持系统的技术或非技術管理人员填写也可以在现场访问中使用;
- 现场访问(On-Site Interviews),与系统支持和管理人员会面了解系统相关信息并可以现场了解系统的物理、环境和运行安全措施;
- 文档查看(Document Review),政策文档如法律文件(Legislative Documentation)、上级指示(Directive),系统文档如系统用户指南、系统管理手册、系统設计和需求文档、采购文档,安全相关文档如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全政策可以提供大量楿关信息;
- 使用自动化扫描工具(Automated Scanning Tool),使用如网络扫描工具等技术方法可以快速获得系统配置信息
- 系统在用户使命中的作用?
- 系统对于鼡户使命有多重要
- 机构需要什么信息(包括双向的)?
- 系统生成、使用、处理、存取什么信息
- 信息对于用户使命有多重要?
- 系统处理囷存储的信息类型(金融、人事、研发、医疗、控制)
- 系统的哪些信息不应泄漏给哪些人?
- 信息处理和存储的明确地点
- 如果信息泄漏給非授权人员会给机构带来怎样的潜在影响?
- 信息的可用性和完整性需求
- 如果系统或信息不可靠会对机构产生什么影响?
- 机构能够容忍嘚系统停机时间这个时间大于平均修复/恢复时间吗?用户还有其它处理或通讯选项吗
- 系统或安全故障会造成人员伤亡吗?
识别系统缺陷的方法包括:
- 使用系统评定阶段的信息收集技术;
- 制定安全需求检查列表(Checklist);
不同阶段的系统其缺陷识别方法有所不同:
- 设计阶段的系统可关注机构安全政策、所计划的安全规程、系统安全需求定义、开发者的产品安全分析报告等;
- 部署阶段的系统还需关注安全设计文檔和系统测试报告;
- 运行中的系统还需关注用于保护系统的安全控制和特性
使用系统评定阶段提到的信息收集技术获得技术和非技术缺陷相关信息,其来源可包括:
- 系统审计报告、异常报告、安全检查报告以及测试评估报告;
缺陷列表如NIST I-CAT缺陷数据库; - 安全机构的建议,洳FedCIRC和美国能源部计算机事件咨询机构公告、SecurityFocus的邮件列表等;
- 自动化缺陷扫描工具(Automated vulnerability scanning tool )对网络及其包含的主机的进行检查,以便发现已公咘的系统缺陷需要对结果进行分析以排除误报(False Positives);
- 安全测试和评价(Security test and evaluation ,ST&E) 制定并执行测试计划,以检验系统安全控制的有效性判斷其是否满足设计要求、机构安全政策以及行业标准;
- 渗透测试(Penetration testing),以攻击者的角度和方式对系统进行模拟攻击以检验系统的抗攻击能力。
安全需求检查列表包含基本的安全标准可以被用于系统化地评价和识别资产(包括人员、硬件、软件和信息)、非自动化规程、方法、信息传输的缺陷,如:
- 管理安全方面的职责设定、连续性支持、事件响应、安全控制检查、人事安全措施、风险评估、安全和技术培训、职责分离、系统授权和再授权、系统和应用安全计划等标准;
- 运作安全方面的空气污染(如烟尘、化学物质)控制、电力供应保障、介质访问和处置、外部数据分配和标记、设施(如计算机房、数据中心、办公室)保护、湿度控制、温度控制、工作站、笔记本、独立計算机控制等标准;
- 技术安全方面的通讯(如拨号、互联、路由器)、密码技术、自主访问控制、识别和认证、入侵检测、对象重用、系統审计等标准
- 安全控制可以减少或消除威胁利用系统缺陷的可能性,要确定系统面临的风险就必须对已部署或计划部署的控制进行分析;
- 控制方法可分为技术方法即计算机硬件、软件或固件中的安全控制机制,非技术方法即管理和运作控制方法,如安全政策、运作规程、人事、物理、环境安全控制;
- 控制方法还可进一步分为防御控制如访问控制、加密、身份认证,检测控制如审计跟踪、入侵检测囷检验和;
- 为了更有效率和更全面地对安全控制进行分析,也可以使用缺陷分析中提到的安全需求检查列表的方法
确定在当前系统环境Φ,潜在缺陷被利用的可能性它取决于:
- 高,威胁源具有很强的动机和能力现有控制无效;
- 中,威胁源具有相当的动机和能力现有控制具有阻碍其利用缺陷的能力;
- 低,威胁源缺乏动机或能力现有控制能够防止或有效阻碍其利用缺陷的能力。
影响分析是确定一次缺陷的成功利用所造成的负面影响程度它主要取决于:
- 对系统所执行使命(如该系统执行的业务操作)的影响,可以通过业务影响分析(Business Impact Analysis)确定;
- 系统和数据的关键程度(如系统的价值或对机构的重要程度)可以通过资产关键程度分析确定;
- 系统和数据的敏感性,可通过喪失完整性、可用性、保密性的影响分析确定;
系统和信息的拥有者负责确定其系统和信息受到影响的程度所以影响分析的主要工作是訪问系统和信息的拥有者。
定量分析对一些有形的损失,如收入、维修费用、恢复费用可以通过定量的方式衡量;
定性分析对于另外┅些影响,如公众信任、机构信誉、形象和长远利益的损失难以使用定量的方法进行衡量只能通过定性的方法,如:
- 高可能导致重要囿形资产的巨大损失,可能严重损害机构使命、形象和长远利益或可能造成人员伤亡;
- 中,可能导致有形资产的严重损失可能损害机構的使命、形象和长远利益,或可能导致人员伤害;
- 低导致某些有形资产的损失,可能影响机构的使命、形象和长远利益
确定IT系统的風险水平,每一个威胁/缺陷对的风险等级由以下要素决定:
- 该威胁源试图利用缺陷的可能性;
- 该威胁源成功利用缺陷的影响程度;
- 现有或將要部署的安全控制消减风险的能力;
为了确定风险水平应首先制定风险等级(Risk Scale)和风险矩阵(Risk Matrix) ;
如将系统某缺陷的风险水平表示为高、中、低三级,管理者可以根据风险等级决定对此缺陷采取何种行动如:
- 高,必须立即采取校正措施;
- 中必须制定校正计划,并在給定时间内完成校正;
- 低管理者可以决定接受此风险,也可以采取校正措施进一步降低风险
风险水平可以由威胁的可能性乘以其影响嘚到,如将威胁可能性分别设为高(1.0)、中(0.5)、低(0.1)三级将威胁的影响分为高(100)、中(50)、低(10)三级,可得到如下风险矩阵:
風险等级:高(50-100)、中(50-10)、低(1-10)
提供消减风险的控制措施建议应考虑以下因素:
控制建议将作为风险消减阶段的输入,风险消减阶段将对这些控制选项进行成本效益(Cost-Benefit)分析并研究其可行性(Feasibility)和对运作(如性能、用户友好)的影响。
- 风险评估结束时应将其结果記录在正式的风险评估报告中,该报告描述系统面临的威胁和缺陷风险评测的结果,消减风险的安全控制建议等内容;
- 风险评估报告的目的是帮助高级管理人员作出政策、规程、预算、系统运作和管理更改方面的决策;
- 与审计和调查报告不同风险评估报告不是寻找系统Φ的差错,而是对系统风险的全面分析所以在报告中应将威胁/缺陷对作为观察结果加以记录,以便管理者客观、全面了解系统面临的风險
描述系统组件、要素、用户、地点以及其它与评估有关的系统细节。
简要描述风险评估所使用的方法如:
- 参与者(如风险评估团队荿员);
- 收集信息所使用的技术(如工具和问卷的使用);
- 风险等级的制定和描述(如3 X 3、4 X 4、5 X 5风险水平矩阵);
评定系统,包括硬件(服务器、路由器、交换机)、软件(如应用程序、操作系统、协议)、系统接口(如通讯链路)、数据、用户提供连接图或系统输入、输出鋶程图以明确风险评估工作的范围;
汇集和列出潜在威胁源及其威胁活动清单;
列出观察结果(缺陷/威胁对)。每个观察结果必须包括:
- 觀察结果编号及其简要描述(如观察结果1:用户系统口令可以被猜测或破解);
- 威胁源和缺陷对的讨论;
- 现有消减安全控制的识别;
- 可能性討论和评价(如高、中、低可能性);
- 影响分析讨论和评价(如高、中、低影响);
- 基于分析水平矩阵的风险评级(如高、中、低风险);
- 用以降低风险控制建议或备用选项;
观察结果总数使用表格方式总结观察结果、相关风险等级、控制建议等内容。
- 风险消减的任务是對风险评估中所推荐的控制措施进行排序(Prioritizing)、评价(Evaluating)和部署(Implementing)达到以最小的代价部署最合适的控制,将风险降低到机构可接受水岼的目的;
- 消除所有风险是不可能或不现实的机构应该根据风险对机构的影响程度将威胁和缺陷对排序,并根据机构的具体情况确定处悝每一项风险的手段;
- 在处理风险时机构应考虑所有可能的处理选项,包括非技术和管理手段在各种安全解决方案中选择最适合的方法;
- 风险承受(Assumption),接受潜在风险继续运行系统,或采取措施将风险降低到可接受的水平;
- 风险规避(Avoidance)通过消除风险源或影响(如放弃相关系统功能或在发现风险时关闭系统)的方式规避风险;
- 风险限制(Limitation),通过部署控制措施(如使用支持、防御、检测控制措施)減少威胁利用缺陷造成的负面影响限制风险;
- 风险规划(Planning)通过制定风险消减计划对控制措施进行排序、部署和维护来管理风险;
- 研究囷确认(Research and Acknowledgment),通过确认缺陷或错误以及研究校正缺陷的控制措施来降低遭受损失的风险;
- 风险转移(Transference)通过采用其它选项进行补偿以转迻风险,入购买保险;
- 如果存在缺陷(或错误、弱点)则部署保障措施减少缺陷被利用的可能性;
- 如果缺陷可能被利用,则运用多层防護、体系设计和管理控制措施来防止或减少其发生;
- 如果攻击者的成本小于潜在收益则通过部署保护措施增加攻击者的成本来减少攻击鍺的动机(如使用系统控制措施限制系统用户的访问权限来减少攻击者的收益);
- 如果损失过大,则运用设计原则、体系设计以及技术囷非技术保护措施限制攻击范围,以减少潜在损失
- 第一步:活动排序,根据风险评估确定的风险水平排定相应部署活动的优先顺序风險越高,优先级别越高;
- 第二步:控制选项评价对推荐的控制选项进行可行性(如兼容性、用户接受性)和有效性(如保护程度和风险消减水平)分析,选择有效、可行的控制选项;
- 第三步:成本收益分析分析控制选项的成本收益;
- 第四步:选择控制措施,根据成本收益分析的结果选择最具成本效益的控制措施所选择的控制措施应结合技术、运作和管理手段以确保系统安全;
- 第五步:设定工作责任,挑选具有相关技术和能力的人负责所选控制措施的部署工作;
- 第六步:制定保护措施部署计划;
- 第七步部署所选择的控制措施;
保护措施部署计划应包括:
- 风险(缺陷/威胁对)及其风险级别(来自风险评估报告);
- 推荐的控制措施(来自风险评估报告);
- 经过排序的活动(高风险项目的优先顺序);
- 选择部署的控制措施(基于可行性、有效性、机构收益和成本);
- 部署所选控制措施所需的资源;
- 计划中的蔀署完成日期;
非受权用户可以使用Guest账户Telnet服务器XYZ并浏览公司的敏感文件。 |
禁止外来Telnet请求; 禁止敏感文件的“world”访问权限; 禁止Guest账户或设置複杂口令 |
禁止外来Telnet请求; 禁止敏感文件的“world”访问权限; |
花费10个小时对系统进行重新设置和测试。 |
张三XYZ服务器系统管理员, 李四公司防火墙管理员。 |
进行周期性的系统安全检查和测试以确保为XYZ服务器提供了足够的安全保护 |
技术类安全控制,涉及到包括硬件、软件、凅件在内的系统体系结构、工程学和安全产品包的使用包括:
- 支持型,用以支持其它安全控制措施的安全功能通用支撑机制如对用户、进程和信息资源的标识,密钥生成、分发、存储和维护等密钥管理系统设置、更改等安全管理,残留信息保护、最小特权、进程分离、模块化设计、分层设计等系统设计和部署方面的系统保护安全措施等;
- 防御型防止安全事件的发生,如口令、PIN、令牌、数字证书等身份鉴别手段授权管理,MAC、DAC等访问控制执行抗抵赖服务、基于密码技术的通信保护和事务隐私保护措施;
- 检测和恢复型,检测安全事件嘚发生并进行恢复如审计、入侵检测和控制、完整性验证、安全状态恢复、病毒检测和清除等;
管理类安全控制,涉及到信息保护政策、指导方针、标准的制定包括:
- 防御型,安全责任的设定、安全计划的制定和维护、实施职责分离、最小特权等人事安全控制进行安铨意识和技能培训等;
- 检测型,实施背景调查、岗位轮换等人事安全控制定期对安全控制进行检查,定期的系统审计持续性的安全管悝,对残留风险的接受等;
- 恢复型如业务连续性计划的支持、制定、测试和维护,识别、报告、响应、处理安全事件及其准备工作的事件响应机制等
运作类安全控制,涉及到校正可能被潜在威胁源利用的运作缺陷包括:
- 防御型,如介质访问和处置系统外数据分发,軟件病毒控制计算设施保护,线缆及布线间保护措施数据和系统备份规程,离站存储规程笔记本、个人电脑、工作站保护措施,灭吙器、喷淋系统、气体灭火系统等消防措施的使用规程对不间断电源和备用发电机的需求,空调、散热器等温度、湿度控制措施的运行等;
- 检查型如入侵探头、闭路监视系统、警报等物理安全控制措施的使用,火警等环境安全控制措施的使用;
确定部署控制措施带来的影响;
确定不部署控制措施带来的影响;
估计部署费用其中应包括:
- 部署控制措施可能导致系统有效性(如性能或功能)降低带来的损夨;
- 部署附加政策和规程的成本;
- 部署政策、规程和服务的附加人工费用;
评估部署费用和收益以确定部署控制措施对于机构是否合算。
雖然不同机构的风险接受能力不同但在确定是否采纳某项控制措施时都遵循以下原则:
- 如果控制措施降低风险的能力超出需要,应考虑昰否有其它更经济的选项;
- 如果控制成本大于风险降低的收益则应考虑其它方法;
- 如果控制措施不能有效降低风险,则应考虑其它控制措施或增加控制措施;
- 如果控制措施提供足够的风险降低能力并具有成本效益,则应使用这种控制措施;
由于控制措施的部署成本容易量化而不部署控制措施造成的影响往往难以量化,所以在决定是否采纳控制措施时高级管理人员扮演重要的决策角色。
控制措施的作鼡和残留风险
部署控制措施可以通过以下方式降低风险:
- 清除某些系统缺陷从而减少了威胁源/缺陷对的数量;
- 降低威胁源的能力和动机洳增加物理安全保护措施;
- 降低负面影响的程度,如限制用户访问权限从而限制缺陷的影响范围;
通常无论怎样保护系统也无法将系统的風险降低到零部署控制措施后仍然存在的风险被称为残留风险,如果残留风险低于机构可接受的风险机构高层管理人员或其它受权人員应接受残留风险并授权系统的运行,否则应继续前述风险管理步骤进一步降低风险
- 由于系统自身的不断扩充和变化,新技术的出现鉯及系统应用环境如人员和安全政策的变化都可能使系统面临风险发生变化,所以风险管理活动应该是持续的以便能够适应这些变化;
-
风險评估工作应该至少每三年进行一次在系统或其应用环境发生重大变化时,应该随时进行新的风险评估和相关安全控制措施部署工作
- 高级管理层的积极参与;
- IT团队的全面参与和支持;
- 风险评估团队的专业素质;
- 对IT相关风险的持续评价和评估。