当前位置:文档之家› 美国信息安全风险评估工作流程详述

美国信息安全风险评估工作流程详述

美国信息安全风险评估工作流程详述通过参考NIST SP800系列标准关于信息安全风险评估的阐述,以下列举了美国政府在实施风险评估和风险控制时的一般流程,具有普遍性,但并不意味着这是固定不变的方法。

步骤1:描述体系特征在对信息系统的风险进行评估中,第一步是定义工作范围。

在该步中,要确定信息系统的边界以及组成系统的资源和信息。

对信息系统的特征进行描述后便确立了风险评估工作的范围,刻画了对系统的进行授权运行(或认可)的边界,并为风险定义提供了必要的信息(如硬件、软件、系统连通性、负责部门或支持人员)。

本附录所描述的方法学可运用于对单个或多个相关联系统的评估。

在评估多个关联系统时,要在运用这些方法学之前就定义好所关心的域、全部接口及依赖关系。

步骤1.1 系统相关信息识别信息系统风险时,要求对系统的运行环境有着非常深入的理解。

因此从事风险评估的人员必须首先收集系统相关信息,通常这些信息分为如下几类: 硬件软件系统接口(如内部和外部连接)数据和信息信息系统的支持和使用人员系统使命(例如信息系统实施的处理过程)系统和数据的关键性(例如系统对于单位的价值或重要性)系统和数据的敏感性与信息系统及其数据的运行环境相关的其它信息还包括——但不限于——以下信息:信息系统的功能需求系统的用户(例如为信息系统提供技术支持的系统用户,使用信息系统完成业务功能的应用用户等)信息系统的系统安全策略(机构策略、政府要求、法律、行业惯例等) 系统安全体系结构当前的网络拓扑(例如网络图示)信息系统中的信息流(例如系统接口、系统输入和输出的流程图)信息系统的安全措施信息系统的物理安全环境(例如设施安全、数据中心策略等)针对信息系统处理环境而实现的环境安全(例如对湿度、水、电、污染、温度和化学物品的控制)对于处在启动或规划阶段的系统,系统信息可以从设计或需求文档中获得。

对于处于开发阶段的系统,有必要为未来的信息系统定义关键的安全规则和属性。

系统设计文档和系统安全计划可以为开发阶段的信息系统提供有用的安全信息。

对于运行中的信息系统,要从其运行环境中收集信息系统的数据,包括系统配置、连接、流程方面的数据。

步骤1.2 信息收集技术可以使用下列一项或多项技术在其运行边界内获取相关的系统信息:调查问卷:要收集相关信息,风险评估人员可以设计一套关于信息系统中的安全措施的调查问卷。

可将这套调查问卷发给信息系统的管理和使用人员。

调查问卷也可以在现场参观和面谈时使用。

现场面谈:和信息系统的管理或使用人员面谈有助于风险评估人员收集有用的系统信息(例如系统是如何运行和管理的)。

现场参观也能让风险评估人员观察并收集到信息系统在物理、环境和运行方面的信息。

文档审查:政策文档(例如法律文档、规章等)、系统文档(例如系统用户指南、系统管理员手册、系统设计和需求文档等)、安全相关的文档(例如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等)可以提供关于信息系统的安全措施方面的有用信息。

对机构使命的影响进行分析或评估资产的关键性后,可以得到系统和数据的关键性和敏感性方面的信息。

使用自动扫描工具:一些主动的技术方法可以用来有效地收集系统信息。

例如,网络映射工具可以识别出运行在一大群主机上的服务,并提供一个快速的方法来为目标信息系统建立轮廓。

信息收集工作可以贯穿于整个风险评估过程,从第1步(系统特征描述)一直到第9步(结果记录)。

步骤1的输出:被评估的信息系统的特征、对信息系统环境的描述、对系统边界的刻画。

步骤2:识别威胁威胁源动机威胁行为恐怖分子勒索破坏恶意利用复仇炸弹/恐怖主义信息战系统攻击(例如分布式拒绝服务)系统渗透系统篡改工业间谍竞争优势经济间谍信息窃取侵犯个人隐私社会工程系统渗透未授权的系统访问内部人员(没有接受良好培训、心怀不满、恶意、疏忽、不诚实、离职员工)好奇自负聪明获取钱财复仇无意错误和疏忽(例如数据录入错误、编程错误)骚扰员工勒索浏览专属信息计算机滥用欺诈和窃取信息贿赂输入伪造的、被破坏过的信息截获恶意代码(例如病毒、逻辑炸弹、特洛伊木马)出卖个人信息系统缺陷系统入侵系统破坏未授权系统访问为了确定脆弱性被利用的可能性,在识别出潜在的威胁源后,要对其发起一次成功攻击所需的动机、资源和能力作出估计。

应该为单位及其处理环境制定威胁声明或潜在威胁源的清单。

关于威胁的信息来源一般包括——但不限于——以下方面:信息咨询机构事件响应或应急响应中心大众媒体,尤其是基于Web的资源,例如安全网站步骤2的输出:威胁声明,其中包括对威胁源的记录,该威胁源可能会利用系统的脆弱性发动攻击。

步骤3:识别脆弱性软件安全分析步骤3.2 系统安全测试基于信息系统的关键性和可用的资源(例如所分配的资金、可以获得的技术、测试人员所掌握的技术),可以采用系统测试等主动方法来有效地识别系统的脆弱性,这些测试方法包括:自动化脆弱性扫描工具系统测试和评估(ST&E)渗透性测试自动化的脆弱性扫描工具可用来对一组主机或一个网络进行扫描,以找出已知的脆弱性。

但是要注意到有些由自动化脆弱性扫描工具识别出来的可能的脆弱性可能无法表示系统环境中的真实脆弱性。

例如,某些扫描工具在对脆弱性评级时,没有考虑现场的环境和需求。

有些由这类扫描工具标记出来的脆弱性在特定现场可能并不是真正的脆弱性,而不过是它们所在的环境要求这样配置罢了。

因此这种测试方法可能会产生误报。

ST&E是另一种用来在风险评估过程中识别信息系统脆弱性的技术,它包括制定并执行测试计划(例如测试脚本、测试流程和预期的测试结果)。

系统安全测试的意图是测试信息系统的安全措施在运行环境中的有效性,其目的是保证所采用的控制满足了已获批准的软件和硬件安全规范,并实现了机构的安全策略和业界标准。

渗透性测试可以用来补充对安全控制的检测,并保证信息系统的各个不同方面都是安全的。

当在风险评估过程中采用渗透性测试时,可以用它评估信息系统对故意规避系统安全的攻击进行抵御的能力,其目的是从威胁源的角度来对信息系统进行测试,以识别出信息系统保护计划中可能被疏忽的环节。

这类可选安全测试的结果将有助于对系统脆弱性的识别。

步骤3的输出——有可能被潜在的威胁源所利用的系统脆弱性(观察报告)清单。

步骤4:分析安全控制本步的目标是对已经实现和计划实现的安全措施进行分析——单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性(或概率)。

要产生一个总体的可能性级别评定,以说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性,便需要分析当前已经实现的安全措施。

例如,如果威胁源的兴趣或能力级别很低,或者如果有效的安全措施可以消除或减轻危害的后果,那么一个脆弱性(例如系统或流程中的薄弱环节)被利用来发动攻击的可能性就低。

步骤4.1 安全措施安全措施包括对技术和非技术措施的运用。

技术类措施是那些融入到计算机硬件、软件或固件中的保护措施(例如访问控制机制、标识和鉴别机制、加密方法、入侵检测软件等等);非技术类措施包括管理和运行类措施,例如安全策略、操作流程、人员、物理和环境安全。

步骤4.2 安全措施的分析技术制定安全要求核对表或使用一个已有的核对表将有助于以一种有效且系统化的方式对安全措施进行分析。

安全要求核对表可以用来验证安全是否与既有的法规和政策相一致。

因此,在单位的控制环境发生变化(例如安全策略、方法和要求发生变化)后,有必要对核对表进行更新,以确保其有效性。

步骤4的输出——信息系统已经实现的控制清单。

步骤5:分析可能性步骤6:分析影响度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。

在开始影响分析过程之前,有必要获得以下必要信息: 系统使命(例如信息系统的处理过程)系统和数据的关键性(系统对单位的价值和重要性)系统和数据的敏感性这些信息可以从现有的文档中获得,例如使命影响分析报告或资产关键性评估报告。

使命影响分析将根据对资产关键性和敏感性的定量或定性评估而对单位资产面临的破坏级别进行排序。

资产关键性评估活动将对关键或敏感的信息资产(例如硬件、软件、系统、服务以及相关的技术资产)进行标识和排序,是这些资产支持了单位的关键使命。

如果没有这些文档,或对单位信息资产的类似评估还没有开始进行,则可以根据系统和数据的可用性、完整性和保密性保护级别来确定其敏感性。

不管用何种方法来确定敏感级,系统和信息的所有者都要负责判断其系统和信息可能遭到的影响级别。

因此,在分析影响时,最好同系统和信息的拥有者商谈。

对安全事件的负面影响可以用完整性、可用性和保密性三个安全属性的损失或降低来描述。

下面列出了每个安全属性的简要描述以及它们未被满足后可能带来的后果(或影响):完整性损失:系统和数据的完整性是指要求对信息进行保护,防止其遭到不适当的修改。

如果对系统和数据进行了未授权(无论是有意还是无意的)的改动,则完整性便遭到了破坏。

如果对系统或数据的这种完整性损失不加以修正,继续使用被感染的系统或被破坏的数据,便有可能会导致不精确性、欺诈或错误的决策。

此外,对完整性的破坏往往是对可用性和保密性进行成功攻击的第一步。

可用性损失:如果一个关键的信息系统对其端用户是不可用的,那么单位的使命就会受影响。

例如,系统功能和有效性的损失可能会延误生产时间,因此便妨碍了端用户的功能发挥。

保密性损失:系统和数据的保密性是指对信息进行保护,防止未经授权的泄露。

保密信息的未授权泄露带来的影响范围很广,可以从破坏国家安全到泄露隐私数据。

未授权的、非预期的或故意地泄露信息有可能会导致公众信心的下降、难堪或使机构面临法律诉讼。

步骤7:确定风险这一步的目的是评估信息系统的风险级别。

确定一个特定的威胁/脆弱性对带来的风险时,可以将其表示为以下参数构成的函数:给定的威胁源试图攻击一个给定的系统脆弱性的可能性;一个威胁源成功攻击了这个系统的脆弱性后所造成的影响的程度;步骤8:建议安全措施在这一步里,将针对单位的运行提出可用来控制已识别出的风险的安全措施。

这些措施的目标是降低信息系统的风险级别,使其达到一个可接受的水平。

在对安全措施以及减缓或消除已识别风险的备选方案提出建议时,应该考虑下列因素: 所建议的选项的有效性(如系统的兼容性)法律法规单位的政策对运行的影响安全性和可靠性建议安全措施是风险评估过程的结果,并为风险控制过程提供了输入。

步骤8的输出——减缓风险的安全措施建议及备选解决方案。

步骤9:记录评估结果一旦风险评估全部结束(威胁源和系统脆弱性已经被识别出来,风险也得到了评估,安全措施建议也已经提出),该过程的结果应该被记录到正式的报告或简报里。

步骤9的输出——风险评估报告,它描述了威胁和脆弱性和风险度量,并为安全控制的实现提供了建议。

相关主题