Posted in安全

CHINACISSP论坛的帖子:完整的风险评估流程.doc

2008年7月14日

完整的评估流程 大致发出来供大家参考一下
还有很多不足请大家多指教

1.确定评估范围

正式进行具体安全评估首先进行的工作就是业务调查,通过调查客户信息系统上运行的所有业务和应用,了解主要业务的流程,清楚的掌握支持业务运行的网络系统基本结构和安全现状,收集评估所需的设备IP信息。结合业务调查的同时,还要对安全评估的评估范围进行分析界定。在这个阶段,一个明确定义了边界的系统对于防止不必要的工作及改进评估的质量都是很重要的。

2.资产识别与估价
安全风险评估的对象是一个机构、组织或部门中风险评估范围内的所有资产。这些资产容易受到安全威胁的侵害,给机构、组织或部门造成不同程度的损害。因此正确地管理这些资产对于一个机构或组织部门来说是非常重要的,它也是所有级别安全管理的责任之所在。由此可见,为了进行风险评估,就必须对评估范围内的相关资产进行识别鉴定,根据资产在业务和应用流程中的作用进行估价。

3.威胁评估

威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。
在这一过程中,首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断,一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么,即确认威胁的主体和客体。
威胁可能源于意外的,或有预谋的事件。用于威胁评估的信息能够从信息安全管理的有关人员,以及相关的商业过程中获得,这些人可能是人事部的职员、设备策划和IT专家,也包括组织内部负责安全的人员。

4.脆弱性评估

脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。那些没有安全威胁的弱点可以不需要实施安全保护措施,但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。

4.1 安全扫描
在网络安全体系的建设中, 安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞。

4.2 渗透测试
渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。在测试过程中,用户可以选择渗透测试的强度,例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患。

4.3 人工检查
系统扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等方面进行漏洞的扫描。但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。

4.4 安全审计
安全管理机制定义了如何管理和维护网络的安全保护机制,确保这些安全保护机制正常且正确地发挥其应有的作用。本次评估遵循BS 7799信息安全管理标准的要求,通过人工检查的方式对安全管理方面的脆弱性进行评估。

4.5 安全策略评估
安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回答整个网络中与安全相关的所有问题,例如,如何在网络层实现安全性?如何控制远程用户访问的安全性、在广域网上的数据传输实现安全加密传输和用户的认证,等等。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对整个网络的一份完整的安全策略。策略一旦制订,应当作为整个网络安全行为的准则。

5 风险的分析
风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险只能降低、转移、拒绝、接受,但不可能完全被消灭。在完成资产、威胁和脆弱性的评估后,才会进入安全风险的评估阶段。在这个过程中,绿盟科技将根据上面评估的结果,选择适当的风险测量方法或工具确定风险的大小与风险等级,即对信息系统安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式,这也将是客户网络系统策划信息安全管理体系的重要步骤。

6 风险的管理
这个 还在努力整理中………以后再发出来吧

这个其实又可以再开个帖子了,但是还是主要想拿出来和大家分享一下,看看对于 风险评估 高人们的想法和意见。

Tags: