第8章計算機系統(tǒng)

平安風(fēng)險評價2/4/20241電子科技大學(xué)成都學(xué)院計算機系主要內(nèi)容計算機系統(tǒng)平安風(fēng)險評價的目的和意義平安風(fēng)險評價途徑平安風(fēng)險評價根本方法平安風(fēng)險評價工具平安風(fēng)險評價的根據(jù)和過程2/4/20242電子科技大學(xué)成都學(xué)院計算機系8.1計算機系統(tǒng)平安風(fēng)險評價的目的和意義1.平安風(fēng)險評價是科學(xué)分析并確定風(fēng)險的過程任何系統(tǒng)的平安性都可以經(jīng)過風(fēng)險的大小來衡量。風(fēng)險評價——人們?yōu)榱苏页龃鸢?，分析確定系統(tǒng)風(fēng)險及風(fēng)險大小，進而決議采取什么措施去減少、轉(zhuǎn)移、防止風(fēng)險，把風(fēng)險控制在可以容忍的范圍內(nèi)，這一過程即為風(fēng)險評價。2/4/20243電子科技大學(xué)成都學(xué)院計算機系信息平安風(fēng)險評價——從風(fēng)險管理的角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的要挾及其存在的脆弱性，評價平安事件一旦發(fā)生能夠呵斥的危害程度，提出有針對性的抵御要挾的防護對策和整改措施，并為防備和化解信息平安風(fēng)險，將風(fēng)險控制在可接受程度，最大程度地保證計算機網(wǎng)絡(luò)信息系統(tǒng)平安提供科學(xué)根據(jù)。2/4/20244電子科技大學(xué)成都學(xué)院計算機系2.信息平安風(fēng)險評價是信息平安建立的起點和根底信息平安風(fēng)險評價是風(fēng)險評價實際和方法在信息系統(tǒng)平安中的運用，是科學(xué)地分析了解信息和信息系統(tǒng)在性、完好性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的預(yù)防、控制、轉(zhuǎn)移、補償以及分散等之間作出決策的過程。2/4/20245電子科技大學(xué)成都學(xué)院計算機系3.信息平安風(fēng)險評價是需求主導(dǎo)和突出重點原那么的詳細表達假設(shè)說信息平安建立必需從實踐出發(fā)，堅持需求主導(dǎo)、突出重點、那么風(fēng)險評價(需求分析)就是這一原那么在實踐任務(wù)中的重要表達。從實際上講風(fēng)險總是客觀存在的，平安是平安風(fēng)險和平安建立管理代價的綜合平衡。2/4/20246電子科技大學(xué)成都學(xué)院計算機系4.注重風(fēng)險評價是信息化比較興隆的國家的根本閱歷20世紀(jì)70年代，美國政府就公布了<自動化數(shù)據(jù)處置風(fēng)險評價指南>，其后公布的信息平安根本政策文件<聯(lián)邦信息資源平安>明確提出了信息平安風(fēng)險評價的要求——要求聯(lián)邦政府部門根據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險，根據(jù)信息喪失、濫用、泄露、未授權(quán)訪問等呵斥損失的大小，制定、實施信息平安方案，以保證信息和信息系統(tǒng)應(yīng)有的平安。2/4/20247電子科技大學(xué)成都學(xué)院計算機系8.2平安風(fēng)險評價途徑基線評價(BaselineRiskAssessment)詳細評價組合評價風(fēng)險評價途徑是指規(guī)定風(fēng)險評價應(yīng)該遵照的操作過程和方式。2/4/20248電子科技大學(xué)成都學(xué)院計算機系基線評價(BaselineRiskAssessment)平安基線——在諸多規(guī)范規(guī)范中規(guī)定的一組平安控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的一切系統(tǒng)，可以滿足根本的平安需求，能使系統(tǒng)到達一定的平安防護程度。采用基線風(fēng)險評價，組織根據(jù)本人的實踐情況，對信息系統(tǒng)進展平安基線檢查，即拿現(xiàn)有的平安措施與平安基線規(guī)定的措施進展比較，找出其中的差距，得出根本的平安需求，經(jīng)過選擇并實施規(guī)范的平安措施來消減和控制風(fēng)險。2/4/20249電子科技大學(xué)成都學(xué)院計算機系優(yōu)點所需資源少、周期短、操作簡單，對于環(huán)境類似且平安需求相當(dāng)?shù)闹T多組織，基線評價顯然是最經(jīng)濟有效地風(fēng)險評價途徑。缺陷基線程度的高低難以設(shè)定。假設(shè)過高，能夠?qū)е沦Y源浪費和限制過度；假設(shè)過低，能夠難以到達充分的平安。在管理平安相關(guān)的變化方面，基線評價比較困難。2/4/202410電子科技大學(xué)成都學(xué)院計算機系詳細評價要求對資產(chǎn)進展詳細識別和評價，對能夠引起風(fēng)險的要挾和脆弱點進展評價，根據(jù)風(fēng)險評價的結(jié)果來識別和選擇平安措施。這種評價途徑集中表達了風(fēng)險管理的思想，即識別資產(chǎn)的風(fēng)險并將風(fēng)險降到可接受的程度，以此證明管理者采用的平安控制措施是恰當(dāng)?shù)摹?yōu)點：經(jīng)過此途徑可以對信息平安風(fēng)險有一個準(zhǔn)確的認識，并且準(zhǔn)確定義出組織目前的平安程度和平安需求。缺陷：非常耗費資源，包括時間、精神、技術(shù)等。2/4/202411電子科技大學(xué)成都學(xué)院計算機系組合評價——將前面二者相結(jié)合！優(yōu)點：既節(jié)省評價所耗費的資源，又能確保獲得一個全面系統(tǒng)的評價結(jié)果。組織的資源和資金可以運用到最能發(fā)揚作用的地方，具有高風(fēng)險的信息系統(tǒng)可以被預(yù)先關(guān)注。缺陷：假設(shè)初步的高級風(fēng)險評價不夠準(zhǔn)確，某些本來需求詳細評價的系統(tǒng)也會被忽略，最終導(dǎo)致結(jié)果失準(zhǔn)。2/4/202412電子科技大學(xué)成都學(xué)院計算機系8.3平安風(fēng)險評價根本方法目的——找出組織信息資產(chǎn)面臨的風(fēng)險及其影響基于知識的評價方法基于模型的評價方法定量評價方法定性分析方法定性與定量相結(jié)合的綜合評價方法2/4/202413電子科技大學(xué)成都學(xué)院計算機系基于知識的評價方法又稱為閱歷法，采用這種方法，組織不需求付出很多精神、時間和資源，只需經(jīng)過多種途徑采集相關(guān)信息，識別組織的風(fēng)險所在和當(dāng)前的平安措施，與特定的規(guī)范或最正確慣例進展比較，從中找出不符合的地方，并按照規(guī)范或最正確慣例的引薦選擇平安措施，最終到達消減和控制風(fēng)險的目的。信息源包括：會議討論；對當(dāng)前的信息平安戰(zhàn)略和相關(guān)文檔進展復(fù)查；制造問卷，進展調(diào)查；對相關(guān)人員進展訪談；進展實地調(diào)查。2/4/202414電子科技大學(xué)成都學(xué)院計算機系基于模型的評價方法CORAS——平安危急系統(tǒng)的風(fēng)險分析平臺，2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研討機構(gòu)共同組織開發(fā)。目的：開發(fā)一個機遇面向?qū)ο蠼?，特別是UML技術(shù)的風(fēng)險評價框架。評價對象：對平安要求很高的普通性系統(tǒng)，特別是IT系統(tǒng)的平安。2/4/202415電子科技大學(xué)成都學(xué)院計算機系優(yōu)點提高了對平安相關(guān)特性描畫的準(zhǔn)確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機制便于溝通，減少了了解上的偏向；加強了不同評價方法互操作的效率。2/4/202416電子科技大學(xué)成都學(xué)院計算機系定量評價方法指運用數(shù)量目的來對風(fēng)險進展評價，即對構(gòu)成風(fēng)險的各個要素和潛在損失的程度賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險的一切要素都被賦值，如資產(chǎn)價值、要挾頻率、弱點利用程度、平安措施的效率和本錢等，風(fēng)險評價的整個過程和結(jié)果就都可以被量化了。2/4/202417電子科技大學(xué)成都學(xué)院計算機系優(yōu)點用直觀的數(shù)據(jù)來表述評價的結(jié)果，可以對平安風(fēng)險進展準(zhǔn)確的分級，但這有個前提，即可供參考的數(shù)據(jù)目的是準(zhǔn)確的。缺陷：定量分析所依賴的數(shù)據(jù)的可靠性很難保證；為了量化，經(jīng)常將本來比較復(fù)雜的事物簡單化、模糊化了，有的風(fēng)險要素被量化后還能夠被誤解和曲解。2/4/202418電子科技大學(xué)成都學(xué)院計算機系幾個概念暴露因子EF：特定要挾對特定資產(chǎn)呵斥損失的百分比，即損失的程度。單一損失期望SLE：即特定要挾能夠呵斥的潛在損失總量。年度發(fā)生率ARO：在一年內(nèi)估計會發(fā)生要挾的頻率。年度損失期望ALE：表示特定資產(chǎn)在一年內(nèi)蒙受損失的預(yù)期值。2/4/202419電子科技大學(xué)成都學(xué)院計算機系定量分析的過程識別資產(chǎn)并為資產(chǎn)賦值；經(jīng)過要挾和弱點評價，評價特定要挾作用于特定資產(chǎn)所呵斥的影響，即EF〔0%——100%〕；計算特定要挾發(fā)生的頻率ARO；計算資產(chǎn)的SLE：SLE=總資產(chǎn)*EF計算資產(chǎn)的ALE：ALE=SLE*ARO對定量分析來說，有兩個目的最為關(guān)鍵：EF和ARO2/4/202420電子科技大學(xué)成都學(xué)院計算機系定性分析方法主要根據(jù)評價者的知識、閱歷、歷史教訓(xùn)、政策走向及特殊情況等非量化資料，對系統(tǒng)風(fēng)險情況作出判別的過程。操作方法有：小組討論、檢查列表、問卷、人員訪談、調(diào)查等。在此根底上，經(jīng)過一個實際推導(dǎo)演繹的分析框架作出調(diào)查結(jié)論。優(yōu)點：防止了定量方法的缺陷，可發(fā)掘出一些蘊藏很深的思想，使評價的結(jié)論更全面、深化。缺陷：客觀性很強，往往需求憑仗分析者的閱歷和直覺，或是業(yè)界的規(guī)范和慣例，為風(fēng)險管理主要素的大小或高低程度定性分級。2/4/202421電子科技大學(xué)成都學(xué)院計算機系定量分析與定性分析比較：定性分析的準(zhǔn)確度不夠，定量分析那么比價準(zhǔn)確，但前期建立風(fēng)險模型較困難；定性分析沒有定量分析那么繁多的計算負擔(dān)，但要求分析者有一定的閱歷和才干；定性分析不依賴于大量的統(tǒng)計數(shù)據(jù)，而定量分析那么不同；定性分析較為客觀，定量分析基于客觀；定性分析的結(jié)果很難有一致的解釋，但是定量分析的結(jié)果很直觀，恣意了解。2/4/202422電子科技大學(xué)成都學(xué)院計算機系定性與定量相結(jié)合的綜合評價方法定量分析是定性分析的根底和前提，定性分析應(yīng)建立在定量分析的根底上才干提示客觀事物的內(nèi)在規(guī)律。所以在復(fù)雜的信息系統(tǒng)風(fēng)險評價過程中，應(yīng)該將這兩種方法交融起來。2/4/202423電子科技大學(xué)成都學(xué)院計算機系8.4平安風(fēng)險評價工具風(fēng)險評價工具是風(fēng)險評價的輔助手段，是保證風(fēng)險評價結(jié)果可信度的重要要素。它的運用不僅在一定程度上處理了手動評價的局限性，最主要的是它可以將專家知識進展集中，使專家閱歷知識被廣泛運用。2/4/202424電子科技大學(xué)成都學(xué)院計算機系1．風(fēng)險評價與管理工具——一套集成了風(fēng)險評價各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評價的過程和操作方法；或者是用于搜集評價所需求的數(shù)據(jù)和資料，基于專家閱歷、對輸入輸出進展模型分析。分類1〕基于信息平安規(guī)范的風(fēng)險評價與管理工具。2〕基于知識的風(fēng)險評價與管理工具。3〕基于模型的風(fēng)險評價與管理工具。2/4/202425電子科技大學(xué)成都學(xué)院計算機系2．系統(tǒng)根底平臺風(fēng)險評價工具系統(tǒng)根底平臺風(fēng)險評價工具包括脆弱性掃描工具和浸透性測試工具。脆弱性掃描工具主要用于對信息系統(tǒng)的主要部件〔如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等〕的脆弱性進展分析。2/4/202426電子科技大學(xué)成都學(xué)院計算機系目前常見的脆弱性掃描工具有以下幾種類型。1〕基于網(wǎng)絡(luò)的掃描器。在網(wǎng)絡(luò)中運轉(zhuǎn)，可以檢測如防火墻錯誤配置或銜接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)效力器的關(guān)鍵破綻。2〕基于主機的掃描器。發(fā)現(xiàn)主機的操作系統(tǒng)、特殊效力和配置的細節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險，如密碼強度不夠，也可實施對文件系統(tǒng)的檢查。2/4/202427電子科技大學(xué)成都學(xué)院計算機系3〕分布式網(wǎng)絡(luò)掃描器。由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構(gòu)成，用于企業(yè)級網(wǎng)絡(luò)的脆弱性評價，分布和位于不同的位置、城市甚至不同的國家。4〕數(shù)據(jù)庫脆弱性掃描器。對數(shù)據(jù)庫的授權(quán)、認證和完好性進展詳細的分析，也可以識別數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。2/4/202428電子科技大學(xué)成都學(xué)院計算機系浸透性測試工具是根據(jù)脆弱性掃描工具掃描的結(jié)果進展模擬攻擊測試，判別被非法訪問者利用的能夠性。這類工具通常包括黑客工具、腳本文件。浸透性測試的目的是檢測已發(fā)現(xiàn)的脆弱性能否真正會給系統(tǒng)或網(wǎng)絡(luò)帶來影響。通常浸透性工具與脆弱性掃描工具一同運用，并能夠會對被評價系統(tǒng)的運轉(zhuǎn)帶來一定影響。2/4/202429電子科技大學(xué)成都學(xué)院計算機系3．風(fēng)險評價輔助工具風(fēng)險評價需求大量的實際和閱歷數(shù)據(jù)的支持，這些數(shù)據(jù)的積累是風(fēng)險評價科學(xué)性的根底。風(fēng)險評價輔助工具可以實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風(fēng)險評價各要素的賦值、定級提供根據(jù)。2/4/202430電子科技大學(xué)成都學(xué)院計算機系常用的輔助工具有：檢查列表—基于特定規(guī)范或基線建立的，對特定系統(tǒng)進展審查的工程條款。入侵檢測系統(tǒng)—經(jīng)過部署檢測引擎，搜集、處置整個網(wǎng)絡(luò)中的通訊信息，以獲取能夠?qū)W(wǎng)絡(luò)或主機呵斥危害的入侵攻擊事件；協(xié)助檢測各種攻擊試探和誤操作；也可以作為警報器以提示管理員。2/4/202431電子科技大學(xué)成都學(xué)院計算機系平安審計工具—用于記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)平安現(xiàn)狀；其審計記錄可作為風(fēng)險評價中的平安現(xiàn)狀數(shù)據(jù)，并可用于判別被評價對象要挾信息的來源。拓撲發(fā)現(xiàn)工具—主要是完成網(wǎng)絡(luò)硬件設(shè)備的識別、發(fā)現(xiàn)功能。經(jīng)過接入點接入被評價網(wǎng)絡(luò)，完成被評價網(wǎng)絡(luò)中的資產(chǎn)發(fā)現(xiàn)功能，并提供網(wǎng)絡(luò)資產(chǎn)的相關(guān)信息，包括操作系統(tǒng)版本、型號等。2/4/202432電子科技大學(xué)成都學(xué)院計算機系資產(chǎn)信息搜集系統(tǒng)—經(jīng)過提供調(diào)查表方式，完成被評價信息系統(tǒng)數(shù)據(jù)、管理、人員等資產(chǎn)信息的搜集功能，了解到組織的主要業(yè)務(wù)、重要資產(chǎn)、要挾、管理缺陷、控制措施和平安戰(zhàn)略的執(zhí)行情況。其他—如用于評價過程參考的評價目的庫、知識庫、破綻庫、算法庫、模型庫等。一些公用的自動化的風(fēng)險評價工具：COBRA、CRAMM、ASSET、CORA、CCtools2/4/202433電子科技大學(xué)成都學(xué)院計算機系8.5平安風(fēng)險評價的根據(jù)和過程8.5.1風(fēng)險評價根據(jù)——風(fēng)險評價應(yīng)該根據(jù)國家政策法規(guī)、技術(shù)規(guī)范與管理要求、行業(yè)規(guī)范或國際規(guī)范進展。1〕政策法規(guī)。2〕國際規(guī)范。3〕國家規(guī)范。4〕行業(yè)通用規(guī)范。5〕其他。2/4/202434電子科技大學(xué)成都學(xué)院計算機系8.5.2風(fēng)險要素2/4/202435電子科技大學(xué)成都學(xué)院計算機系8.5.3風(fēng)險評價過程2/4/202436電子科技大學(xué)成都學(xué)院計算機系1．風(fēng)險評價預(yù)備風(fēng)險評價預(yù)備是整個風(fēng)險評價過程有效性的保證。在正式進展風(fēng)險評價之前，阻止應(yīng)該制定一個有效的風(fēng)險評價方案，確定平安風(fēng)險評價的目的、范圍，建立相關(guān)的組織機構(gòu)，并選擇系統(tǒng)性的平安風(fēng)險評價方法來搜集風(fēng)險評價所需的信息和數(shù)據(jù)。2/4/202437電子科技大學(xué)成都學(xué)院計算機系詳細主要包括以下內(nèi)容。1〕確定風(fēng)險評價的目的。2〕確定風(fēng)險評價的范圍。3〕組建適當(dāng)?shù)脑u價管理與實施團隊。4〕進展系統(tǒng)調(diào)研。5〕確定評價根據(jù)和方法。6〕制定風(fēng)險評價方案。7〕獲得最高管理者對風(fēng)險評價任務(wù)的支持。2/4/202438電子科技大學(xué)成都學(xué)院計算機系2．資產(chǎn)識別在這一過程中確定信息系統(tǒng)的資產(chǎn)，并明確資產(chǎn)的價值。資產(chǎn)是組織(企業(yè)、機構(gòu))賦予了價值因此需求維護的東西。資產(chǎn)確實認該當(dāng)從關(guān)鍵業(yè)務(wù)開場，最終覆蓋一切的關(guān)鍵資產(chǎn)。在確定資產(chǎn)時一定要防止脫漏，劃入風(fēng)險評價范圍的每一項資產(chǎn)都應(yīng)該被確認和評價。1〕資產(chǎn)分類——數(shù)據(jù)、軟件、硬件、效力、文檔、人員、其它等。2〕資產(chǎn)賦值——三個平安屬性：嚴(yán)密性、完好性、可用性。2/4/202439電子科技大學(xué)成都學(xué)院計算機系3．要挾識別在這一步驟中，組織應(yīng)該識別每項(類)資產(chǎn)能夠面臨的要挾。平安要挾是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的能夠性要素或者事件。無論對于多么平安的信息系統(tǒng)，平安要挾時一個客觀存在的現(xiàn)實，它是風(fēng)險評價的重要要素之一。1〕要挾分類。要挾來源——引發(fā)要挾的人或事物，可分為環(huán)境要素和人為要素。2〕要挾賦值——對要挾出現(xiàn)的頻率進展評價。在評價中對出現(xiàn)的頻率進展等級劃分，等級數(shù)值越大，要挾出現(xiàn)的頻率越高。2/4/202440電子科技大學(xué)成都學(xué)院計算機系4．脆弱性識別光有要挾還構(gòu)不成風(fēng)險，要挾只需利用了特定的弱點才能夠?qū)Y產(chǎn)呵斥影響，所以，組織應(yīng)該針對每一項需求維護的信息資產(chǎn)，找到可被要挾利用的脆弱點，并對脆弱性的嚴(yán)重程度進展評價，即對脆弱性被要挾利用的能夠性進展評價，最終為其賦予相對等級值。2/4/202441電子科技大學(xué)成都學(xué)院計算機系1〕脆弱性識別內(nèi)容數(shù)據(jù)來源——資產(chǎn)的一切者、運用者、相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。采用方法——問卷調(diào)查法、工具檢測法、人工核對法、文檔查閱法、浸透性測試等。脆弱性識別主要從技術(shù)和管理兩個方面進展。管理脆弱性又分為技術(shù)管理脆弱性和組織管理脆弱性。2〕脆弱性賦值——根據(jù)脆弱性對資產(chǎn)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用等級劃分對已識別的脆弱性的嚴(yán)重程度進展賦值。2/4/202442電子科技大學(xué)成都學(xué)院計算機系5．已有平安控制措施確認在影響要挾發(fā)生的外部條件中，除了資產(chǎn)的錯弱點外，另一個就是組織現(xiàn)有的平安措施。識別已有的(或已方案的)平安控制措施，分析平安措施的效能，確定要挾利用弱點的實踐能夠性，一方面可以指出當(dāng)前平安措施的缺乏，另一方面也可以防止反復(fù)投資。