安全风险评估是对复杂信息系统及其运行的服务,根据系统外部攻击数据及其自身脆弱性对网络资产所造成的影响,综合分析复杂信息系统各环节的安全性,从而评估整个系统的安全性的过程。通过了解系统当前的风险,评估风险可能带来的安全威胁与影响程度,将系统的风险降低到可接受程度,为实施风险管控提供直接依据。
安全风险评估可将评估步骤与网络攻击步骤相对应,从而防止网络遭到攻击。网络攻击一般是由远程信息收集、数据分析、远程攻击、本地攻击、本地信息收集等几个步骤组成的,而安全风险评估也正是数据采集、数据处理和数据分析的过程。
安全风险评估流程主要包括以下几个步骤。
(1)风险评估前的准备,主要是弄清系统情况、确定评估对象,为数据分析阶段提供评估的数据对象。
(2)找出系统脆弱点,利用扫描工具找出网络各主机节点可能存在的脆弱点。
(3)找出系统面临的威胁,根据网络主机节点的可达关系和自身的脆弱点找出系统面临的安全威胁。
(4)计算攻击成功发生的可能性,根据脆弱点存在的可信度和被利用的难易程度,计算攻击成功发生的可能性。
(5)计算安全损失,根据脆弱点对资产的潜在危害程度和攻击发生后对资产的危害程度来计算其对网络资产造成的损失。
(6)量化安全风险,根据脆弱点存在的可能性、脆弱点的危害程度、安全事件发生的概率及其对网络资产所造成的损失来计算攻击对评估对象所造成的影响,以此量化主机节点的风险值。结合网络中各主机节点自身的权重,评估整个网络的安全风险。
针对网络系统规模逐步扩大、网络结构越来越复杂、网络区域之间边界不清晰、安全防护策略不统一的问题,“安全域”的概念被提出。网络安全域是指同一个系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分不同逻辑子网或网络,每个逻辑区域内部有相同的安全保护需求,以及相同的安全访问控制和边界控制策略,并且相同的网络安全域共享同样的安全策略。网络安全域的划分是基于网络进行安全建设的部署依据,也是网络安全检查和评估的基础。网络安全域边界是网络安全的关键防护点,也是灾难发生时的有效抑制点。
1)安全域可实现的目标
通过建设基于安全域的网络安全防护体系,可以实现以下目标。
(1)将一个复杂的大型网络系统的安全问题转化为较小区域的安全防护问题,从而更好地控制网络安全风险,降低系统风险。
(2)利用网络安全域的划分,理顺网络架构,更好地指导系统的安全规划、设计、入网和验收工作;明确各区域的防护重点,将有限的安全设备投入最需要保护的信息资产上,提高安全设备的利用率。
(3)简化网络安全的运维工作,部署网络审计设备,提供检查和审核的依据。
2)安全域划分的基本原则
安全域划分的宗旨是将相同安全等级需求的设备划分到同一个安全域中,安全域从不同的应用维度可以有多种划分依据,划分的基本原则包括以下几条。
(1)业务保障原则:进行安全域划分的根本目标是能够更好地保障网络上承载的业务。在保障安全的同时,还要保障业务的正常运行和运行效率。
(2)结构简化原则:安全域划分的目标是让整个网络变得更加简单,简单的网络结构便于设计防护体系。因此,安全域划分并不是粒度越细越好。安全域数量过多可能会导致安全域管理过于复杂,实际操作过于困难。
(3)立体协防原则:安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上的立体防守,包括物理链路、网络、主机系统、应用等层次。同时,在部署安全域防护体系的时候,要综合运用身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全功能实现协防。
(4)生命周期原则:对于安全域的划分和布防不仅要考虑静态设计,还要考虑动态变化。另外,在安全域的建设和调整过程中要考虑工程化的管理。
安全域一般分为安全支撑域、安全计算域、安全网络域和安全用户域,如图3-3所示。
安全支撑域是指由各类安全产品的管理平台、监控中心、维护终端和服务器等组成的区域,实现的功能包括安全域内的身份认证、权限控制、病毒防护、补丁升级、安全审计、入侵检测、漏洞扫描,以及各类安全事件的收集、整理、关联分析等。
安全计算域是需要进行相同安全保护的主机/服务器的集合。根据业务系统的功能实现机制和保护等级程度,安全计算域一般分为核心处理域和访问域。安全计算域的确定与数据的分布密切相关。不同数据类在主机/服务器上的分布情况是确定安全计算域的基本依据。根据数据分布,安全计算域一般可分为单终端单安全等级计算域、单终端多安全等级计算域、多终端单安全等级计算域和多终端多安全等级计算域。局域网访问域有多种类型,包括开发区、测试区、数据共享区、数据交换区、第三方维护管理区、VPN接入区等;局域网的内部核心处理域包括数据库、安全控制管理、后台维护区(网管工作)等,核心处理域应设置隔离设备对该区域进行安全隔离,如防火墙、路由器(使用ACL)、交换机(使用VLAN)等。
图3-3 安全域的基本划分
安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域,其安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。安全网络域分为局域网环境和广域网环境两种情况,又可分为外部域、接入域和内部域。
安全用户域是信息系统中由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。安全用户域的划分应以用户所能访问计算域中的数据信息类和用户计算机所处的物理位置来确定。能访问同类数据信息,并且物理位置较近的用户,可以组成一个安全用户域,以便进行相同级别的安全保护。一般分为管理用户域、内部用户域、外部用户域。
网络层次划分主要以网络所处的位置为依据,从内到外通常可划分为企业内网、业务专用网、企业外网及互联网4个层次。越接近内部的网络安全要求等级越高,越接近外部的网络安全要求等级越低。
企业内网拥有最高的安全防护等级,可采取与其他网络物理隔离的方式进行保护。企业内网又可分为一般的内部网和内部涉密网,在安全防护方面,一般内部网建议采用商密设备,内部涉密网采用普密设备。内部涉密网与一般内部网相比应采用更加严格的加密措施,如增加密钥长度等。同时,还应加强人员安全管理,制定更加严格的安全管理制度。
业务专用网具有较高的安全防护等级,接入人员、接入地点和接入方式等都必须受到严格限制,网络拓扑结构稳定、业务专一、专用网络最大的安全威胁来自越权访问及信息泄露,因此业务专用网与其他网络之间必须采取逻辑隔离。业务专用网采用商密标准的加密设备,并有专用的网络传输通道。
企业外网是企业与外部网建立连接的区域,安全防护等级要求较低,当与互联网接入时,较少传输敏感信息,采取一定的逻辑隔离,加密通道采用商密设备。
企业外网和业务专用网都需要连接到互联网进行业务活动,二者属于不同的安全等级,应采取逻辑隔离,并采取不同的安全措施。
互联网区域是直接连接到开放网络空间的安全区域,用于日常的互联网业务,其安全防护等级要求最低,通常采用网络安全技术中较为通用的加密体制,保证通信的基本安全。
典型的企业网络层次划分如图3-4所示。
图3-4 典型的企业网络层次划分
风险评估的准备工作是整个风险评估过程有效性的保证,充分的准备工作有利于后续任务的完成,主要包括以下工作内容。
(1)确定风险评估的目标。风险评估的目标是满足企业业务的持续发展,保证安全和稳定,遵守法律法规的规定或符合相关要求。
(2)确定风险评估的对象和范围。基于风险评估目标确定风险评估的对象和范围是完成风险评估的前提。风险评估的对象可能是企业全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的系统、关键业务流程和部门。
(3)组建安全评估团队。组建适当的风险评估管理和实施团队,如组建由管理层、业务骨干和技术人员组成的风险评估小组来支持整个过程的推进。
(4)评估方式方法与工具等的选取。根据评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险评估方法,以适应组织环境和安全要求。评估工具主要包括信息收集工具、数据及文档管理工具、漏洞扫描工具、渗透测试工具等,并根据需要生成各类用于支持决策的报表。
脆弱性是因计算机系统、网络系统,或者网络安全系统硬件、软件,或者安全策略上的错误引起的缺陷,是违背安全策略的软件或硬件特征。造成网络安全问题最根本的原因是网络系统内部的脆弱性。网络脆弱性是指网络环境中存在的可被外部因素利用,进而对网络环境造成危害的弱点或缺陷。网络脆弱性的存在是网络攻击发生的前提,任何攻击都是利用系统存在的缺陷或脆弱点来实施的。脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、主机层、应用层与数据层等安全问题,管理脆弱性主要分技术管理和组织管理两个方面。脆弱性识别内容如表3-6所示。
表3-6 脆弱性识别内容
资产的脆弱点通常具有隐蔽性,有些脆弱点只在一定的条件和环境下才会显现,这是脆弱点中最难识别的部分。需要特别注意的是,不正确的、起不到应有作用的,或者没有正确实施的安全措施本身也是脆弱点。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅和渗透测试等。
安全事件的影响与脆弱点被利用后对资产的损害程度密切相关,而安全事件发生的可能性与脆弱点被利用的可能性有关,又与脆弱点技术实现难易程度和脆弱点的流行程度有关。脆弱点评估就是对脆弱点被利用后对资产的损害程度、技术实现难度、弱点流行程度的评估,其结果一般以定性等级划分的形式来标识脆弱点的严重程度。如果多个脆弱点反映的是同一个方面的安全问题,则应该综合考虑这些脆弱点,最终确定严重程度。根据《信息安全风险评估指南》,按照脆弱点被利用后对资产造成的危害程度,将脆弱点划分为5个等级,分别代表资产脆弱点的严重程度。脆弱点严重程度赋值如表3-7所示。
表3-7 脆弱点严重程度赋值
威胁主体可以利用脆弱性对资产造成伤害,有多种威胁主体可以利用脆弱性对信息系统造成实质的威胁。按照《信息安全技术信息安全风险评估规范》中的威胁分类方法,威胁主要分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。从威胁源的角度分析,威胁又可以分为自然威胁、环境威胁、系统威胁、外部人员威胁和内部人员威胁。不同的威胁源能够造成不同形式的危害,当前环境下的威胁与防护手段全景图如图3-5所示。
当前的网络安全威胁具有更强的组织性,其攻击能力更强、破坏性更大。威胁的来源不仅是单个攻击者或单一来源,而且还进化到了更高层次,主要来自国家、网络攻击团体、网络犯罪组织,以及企业内部等。威胁的类型也发生了变化,主要包括分布式拒绝服务攻击(DDoS)、高级持续威胁(APT)、高级恶意软件、勒索和欺诈、数据窃取、定向攻击,以及0Day漏洞组合攻击等。
图3-5 当前环境下的威胁与防护手段全景图
威胁评估是风险产生途径性质的评估,应准确识别威胁的性质与特征,对系统安全的威胁进行标识,定期对威胁进行监视,以保证风险管理与评定的效果。威胁识别的主要内容如下。
(1)自然威胁识别。自然威胁包括地震、海啸、台风、火山、洪水等自然因素。除考虑自然因素造成的威胁外,还需要考虑客观实际情况造成的非人为偶然性意外事件。识别自然威胁需要根据目标所在地理位置信息进行评估,对于非地震带、内陆地区、山区、干旱地区等地理因素进行充分识别,避免评估误差。
(2)人为因素识别。监视各种威胁及其特征的变化趋势并做出预测和防范人为原因引起的威胁,基本有两种类型:一是由偶然原因引起的威胁;二是由故意行为引起的威胁。
(3)威胁测量尺度的识别。威胁测量尺度会根据不同情况进行不同对待和选择,测量方法一般分为定性测量和定量测量两种,定量测量法适用于资产数据评价能够清晰并准确地建立经济指标的情况,而定性测量方法比较普遍,首选确定定性测量中的最大尺度和最小尺度,再根据尺度的区间划分等级,对不同等级的测量标准应事先予以充分定义。
(4)评估威胁影响效果。影响效果的评估要从威胁来源、威胁动机和威胁造成的结果3个方面进行分析,威胁来源用来确定发出威胁的源头,人为故意威胁常见来源为攻击者,不同威胁来源的人或攻击者,因不同动机的客观原因而导致其攻击能力的差异。威胁动机与威胁来源具有必然的联系,动机与威胁造成的结果有直接的关系,但不是必然的关系,不同威胁造成的结果不仅需要根据威胁来源和动机来确定,还需要根据资产的价值和重要性来确定。
(5)评估威胁的可能性。威胁事件发生需要从3个方面进行评估:一是历史威胁情况,曾经发生过的威胁和威胁发生次数可作为一个重要的参考;二是威胁在整个社会层面上总体的发展态势;三是威胁形成的复杂程度。
(6)监控威胁及其特征。威胁随着环境变化而变化,威胁的监控一方面需要通过服务方对历史威胁事件进行统计分析,另一方面需要根据当前技术发展态势来分析,还需要通过其他组织或外部组织的沟通获取。
威胁的评估结果一般都是定性的,我国的《信息安全风险评估指南》将威胁频率等级划分为5个等级,分别代表威胁出现频率的高低。威胁的强度是随机的,不同威胁出现的可能性不同,通常使用威胁的平均强度或最强强度作为参考,给出威胁的定性评估结果。如表3-8所示为威胁定性赋值表。
表3-8 威胁定性赋值表