1 大连赛博信息技术检测有限公司 辽宁大连 116000 2,3 辽宁省先进装备制造业基地建设工程中心 辽宁 116000 4 沈阳赛宝科技服务有限公司 沈阳 110000
摘 要:随着网络安全等级保护制度2.0国家标准的修订和发布,有针对性的保护、有重点的保护成为现阶段的防护方向,信息安全风险评估服务需求从全面型评估向专项型评估方向倾斜,如何有效提供已具备一定安全防护能力的用户当前阶段的安全防范要点,给出合理的风险分析数据成为每个评估评测工作者的研究方向。而通过选择合适的风险评估方法和过程控制对解决风险评估赋值的准确性和合理性具有重要意义。本文从风险评估过程的对威胁分析及风险评估三要素之间的关联关系入手,设计出一种基于威胁分析的风险评估方案。
关键词:风险评估、威胁分析、风险控制、安全节点
引言
随着各行业领域信息系统集中管控的力度逐渐增大、各行业业务信息化的多元素及常态化的发展,来自自然或非自然的威胁对各个网络系统或信息系统的安全性造成的客观影响在逐步加深、安全事件层出不穷,仅仅满足业务需求的信息系统已被逐步淘汰,国家网络安全等级保护工作也取得了阶段化成果。
网络安全等级保护2.0正在逐步普及,包含敏感信息、关键数据、重要业务处理操作或影响范围较大的网络安全检查已常态化开展,因此具有关键信息基础设施的安全管理机构对自身网络信息化建设及整改等方面的安全需求及目标都已明确,且1网络安全风险评估随着中华人民共和国网络安全法的发布与执行逐渐成为企事业单位新项目验收、已评测项目的安全整改规划、已报废系统的风险控制等环节的重要保障措施,而在信息安全风险评估过程中,虽然评估的量化方法不同,但对三要素的分析却是评估的核心,其中对威胁的分析方面,威胁对资产产生的危害程度的度量,特别是威胁后果的分析是整个风险评估过程中量化的重点和难点。
1. 旧模式新问题
1.1 旧模式
信息安全风险评估是依据网络安全相关评测标准,围绕评估对象对信息系统及由其处理、传输和存储的数据的保密性、完整性和可用性等安全属性进行统一科学评价的过程。风险评估目前有三类2:基线评估、详细评估及组合评估,基线评估的方法一般结合基线要求及标准,评估的对象相对固定且较少,目的明确,如等级保护测评就是基线风险评估的一种;详细的风险评估是依据风险管理的思想,对所有的定义的资产进行评估,尽可能地找出相应的脆弱性、识别面临的各种可能的安全风险,这样的评估方法一般适用于特定的范围、有明确边界的系统;组合评估的方法就是将以上两者结合,取基线评估的明确性和详细评估的精细性,使用定性和定量的方法进行分析和计算。组合评估的方法目前大多以基于资产分析为主,便于与信息系统的分级防护相结合,通过对资产的调查、明确关键资产,进而对关键资产的脆弱性进行评测,分析可能存在的威胁,进而得出风险发生的可能性与风险发生造成的损失,从而得到不同资产存在脆弱性被威胁利用而产生的风险值。
1.2 新问题
基线型评估与网络安全等级保护测评差异不明显,无法满足用户对跨系统、跨职能部门等特性的安全需求的风险把控。因此本次以威胁分析为核心,对多属性信息系统的风险评估过程进行阐述。在原有资产调查的模式中增加对安全事件的详细调查,从自身安全事件、行业安全事件、类似信息系统安全事件中确立威胁源及威胁种类,从当前识别出的发生频率较高的安全威胁入手,评估信息系统可能存在的风险点和已有安全措施的有效性。
2. 有依据不脱离
2.1研究背景
在个别行业多部门公用的办公信息网中,为便于对风险评估过程的量化和度量,采用以资产分析为核心的风险评估方法,对资产进行分类,依据信息化中物理机房、网络设备、计算环境和业务应用的不同评测标准对不同类别的资产的脆弱性进行评测。但由于资产脆弱性分类分析的局限性,对各个资产间的关联分析不明显,形成的分析报告,问题间关联性不强,对非专业人员可阅读性不强。
2.2 各要素分析
在对信息系统基于威胁分析前,首先对风险评估的三个要素及各要素之间的关系进行说明3,如图1所示。
由上图分析可知威胁越大风险越大,被威胁利用的脆弱性越严重风险越大,严重的威胁直接演变为安全事件。在多属性的信息系统的风险评估过程中,威胁对最终分析结果的影响是直接的。信息安全的属性包括保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、负责性(Accountability)、确实性(Authenticity)、可靠性(Reliability)4,而风险评估中对三要素的赋值通常仅参考信息安全的三个主要属性,即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。在服务过程中,根据威胁产生的起因不同对威胁赋值可以从几个方面考虑如恶意员工攻击次数、员工误操作次数、黑客攻击次数、恶意竞争次数等;从威胁产生的表现不同可以从以下几个方面考虑,如软件后门数量、非法小程序数量、安全日志记录的攻击数量、管理员的不良管理习惯数量、法律纠纷次数及设备或数据勒索事件次数等等;根据威胁产生的后果不同可以考虑设备设施故障发生的频率、物理环境发生自燃灾害的频率、信息内容类攻击频率、发生网络攻击的次数、信息破坏的次数等等。不同安全等级的信息系统安全威胁的级别也会随之变化,如等级保护越高防护级别的信息系统其业务实时性或数据有效性的要求越高,破坏实时性或数据有效性的威胁来源越有可能来自有组织的蓄意破坏,因此威胁的赋值也与信息系统防护等级相关
5。
3. 新模式老依据新办法
(1)新模式:打破常规基线型评估壁垒,以基于威胁分析的方法开启新评估模式。
(2)老依据:围绕被评估信息系统,首先分析威胁源,然后通过对威胁产生的原因、表现及后果对整个信息系统进行细致识别,如分析安全设备及网络设备的日志、历史事件分析等等,结合评估时期的特定网络环境、特定行业安全特点,及管理机构的特定安全需求等分析得出可能存在的威胁种类3。(举例如下表1所示)
表1威胁分析列表
| 编号 | 威胁项 | 描述 |
| | 硬件故障 | 由于用户差错、硬件差错或传输差错,信息的完整性和可用性可能受到损害。 |
| | 软件故障 | 系统本身或软件缺陷导致对业务高效稳定运行的影响。 |
| | 环境影响 | 物理环境选择、静电、电磁干扰、漏水、凝露等等。 |
| | 不可抗力 | 包括自然灾害(如虫蚁、洪水、飓风、地震、雷电、火灾等等。)、战争、社会动乱、恐怖活动等人为不可抗拒的威胁。 |
| | 物理攻击 | 物理接触、物理破坏、盗窃。 |
| | 电源中断 | 通过恶意攻击使得电源不可用。 |
| | 通信中断 | 物理网络通信中断。 |
| | 无作为或操作失误 | 应该执行而没有执行相应的操作,或无意执行了错误的操作。 |
| | 社会工程 | 非计算机(泛指机械)非BUG,转而使用其他方式(如:人际关系、欺骗、欺诈、威胁,恐吓甚至实施物理上的盗窃等)以获取信息的手段。 |
| | 嗅探 | 攻击者通过Sniffer、窃听或者捕捉经过网络或者其他方式传送和存储的数据。 |
| | 密码分析 | 通过窃听、恶意攻击的手段获取系统秘密信息。 |
| | 身份假冒 | Spoofing伪装,认证类。 |
| | 拒绝服务 | 攻击者以一种或者多种损害信息资源访问或使用能力的方式消耗信息系统资源。可用性方面的安全攻击。 |
| | 恶意代码和病毒 | 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。 |
| | 未授权访问 | 因系统或网络访问控制不当引起的非授权访问。 |
| | 权限滥用 | 滥用自己的职权,做出泄露或破坏信息系统及数据的行为。 |
| | 漏洞利用 | 信息系统业务软件、操作系统或数据库由于存在漏洞,被非法用户利用,造成不良影响的威胁。如弱口令漏洞、操作系统漏洞、软件版本漏洞等等。 |
| | 网络攻击 | 由于网络结构不合理、网络安全产品的配置不当等原因,造成外网或局域网非法用户对信息系统的完整性、有效性、保密性进行攻击的行为。如远程root攻击、远程溢出攻击等等。 |
| | 信息泄露 | 机密泄露而导致的信息被篡改、系统故障或被攻击等。机密性安全方面的威胁。 |
| | 数据篡改 | 通过恶意攻击非授权修改信息。完整性的安全方面。 |
| | 数据受损 | 破坏信息的完整性。 |
| | 抵赖 | 不承认收到的信息或所作的操作。 |
| | 无法规范安全管理 | 由于疏于安全管理,缺乏制度,制度推行不力等而引发的各种威胁。 |
| | 浪费 | 盲目投资 |
| | 安全工作无法推动 | 安全工作因为没有安全组织保障,领导重视或缺乏资源等而无法推动。 |
| | 不能或错误的响应和恢复 | 没有应急响应措施,无完整的恢复文件或策略。 |
| | 侦查 | 通过系统开放的服务进行信息收集,获取系统的相关信息,包括系统的软件、硬件和用户情况等信息。 |
| | 法律纠纷 | 因权责不清引起的法律纠纷。 |
(3)新方法:基于威胁识别,将威胁进行定位,通过对每个威胁项的分析,截取评估范围内的全部安全节点1,从安全节点入手,分析每个节点存在的脆弱性,通过每个节点已发现的脆弱性以及已有控制措施,识别该项威胁利用所有脆弱性造成安全问题所直接影响的关键资产。最终形成基于威胁分析的风险评估树状分析图,以软件故障威胁举例,从威胁识别过程中了解到,某信息系统发生过软件故障,未知原因,启动恢复程序后已恢复了正常,针对软件故障威胁可以从多个影响因素进行脆弱点排查,每查出的脆弱点都与关联的资产进行对应,其中对应的资产很大一部分通过资产识别已经明确的,但不排除小部分会在威胁识别过程中被发现,因此三要素的识别过程应是相辅相成的。而对威胁的识别也是资产识别与脆弱性识别的有效验证,以威胁为主线亦可降低采用基线评估而产生的多余脆弱点排查方面的工作量,从核心威胁源入手最终分析得出信息系统核心安全风险,做到对高发安全事件的风险管理才是风险评估与其他安全检测服务的核心区别6。
下面以软件故障威胁的威胁分析为例,如图2,从确立威胁种类后制定威胁识别方案,明确针对每个威胁种类的脆弱性识别指导性检测项,通过关联图开展脆弱性识别、关联资产明确等等。
图2 单项威胁树状图
(4)赋值办法:通过整体的网络分析,包括软硬件及环境等故障分析、已发现和潜在安全事件分析、安全策略分析、管理措施分析等等深度挖掘信息系统的威胁和脆弱性。由于风险评估三要素的多属性特征,对威胁赋值除参考表2威胁可能性赋值方法表外,还可以结合树状图中,对威胁分支的数量进行量化,表3可根据信息系统的特点进行赋值划分,划分相应威胁赋值参考等级,最终结合表2和表3的数据取加权平均值。
威胁分析是关系到整个信息系统风险数量的关键元素,威胁分析的是否准确直接影响到最终风险数据的准确性,威胁覆盖的是否全面将直接影响到风险评估范围的准确性。整个风险评估若以威胁为切入点,明确威胁关联的脆弱性及关联的资产,形成树状图后,再进一步进行赋值,按照矩阵法或相乘法对风险进行计算7。
表2威胁可能性赋值方法表3
| 赋值 | 标识 | 描述 | 定义 |
| 5 | 极高 | 几乎肯定 | 出现的频率很高(或)1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生;一旦发生,将造成灾难性的后果; |
| 4 | 高 | 很可能 | 出现的频率较高(或)1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过;一旦发生,将对信息系统或内部的信息造成严重的后果。 |
| 3 | 中 | 可能 | 出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过;一旦发生,将对信息系统或者信息造成较为严重的后果。 |
| 2 | 低 | 不太可能 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过;一旦发生,将对信息系统或者信息造成一般的危害; |
| 1 | 极低 | 罕见 | 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生;一旦发生,将对信息系统或者信息造成的后果较轻; |
表3威胁赋值参考表(举例)
| 赋值 | 标识 | 描述 | 定义 |
| 5 | 极高 | >20 | 一个威胁对应20个以上脆弱点。 |
| 4 | 高 | >15&≤20 | 一个威胁对应15至20个脆弱点。 |
| 3 | 中 | >10&≤15 | 一个威胁对应10至15个脆弱点。 |
| 2 | 低 | >5&≤10 | 一个威胁对应5至10个脆弱点。 |
| 1 | 极低 | ≤5 | 一个威胁对应5个以下脆弱点。 |
4. 结束语
出发点不同,则结果不同,对于防护目的明确、防护需求较高的网络系统,基于威胁的风险评估更利于对威胁后果的量化判断,风险分析结果更能真实、直观的反映出安全大概率事件发生的可能及带来的影响;对安全防护目标不明确、客户认为防护需求较低的网络系统,基于威胁的风险评估可以更加直观的体现三要素之间的关系、增加检测数据的耦合性、便于用户对网络信息安全整体防护的理解。
参考文献
[1] 2071号关于加强国家电子政务工程建设项目信息安全风险评估工作的通知[C]国家发展和改革委员会 中华人民共和国公安部 国家保密局,2008
[2] 作者:向宏 傅鹂 詹榜华 信息安全测评与风险评估[M]电子工业出版社,2009
[3] GB/T 20984-2007 信息安全技术 信息安全风险评估规范[S]中华人民共和国国家标准,2007
[4] ISO/IEC TR 13335 information technology ——Guidelines for the management of IT Security 信息安全管理指南(GMITS)
[5] 中华人民共和国网络安全法。2017
[6] GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》
[7] 作者:陈鑫 王晓晗 黄河,基于威胁分析的多属性信息安全风险评估方法研究[J]计算机工程与设计,2009,1000-7024(2009)01-0038-03
作者简介:王潜(1962—),男,高级工程师,主要研究方向:网络安全与信息化;
1 安全节点可以对应到网络系统中的有形化资产,亦可对应到网络系统中的无形化资产。如核心交换机、边界防火墙、服务器区交换机、管理制度、运维服务、电磁干扰范围等等。
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网 琼ICP备2021005105号
