风险管理的作用风险管理是IT管理者平衡IT系统及数据的保护成本和保护收益的方法,包括:•风险评估(Risk Assessment);•风险消减(Risk Mitigation);•持续评价(Continual Evaluation);风险管理的作用在于能够为机构完成其使命提供:•更安全的IT系统;•更有效的IT安全预算;•IT系统运行认可(Accreditation)依据;风险管理的关键角色•高级管理人员(Senior Management),为风险管理项目提供有效的资源保证,将风险分析的结果运用于管理决策;•首席信息官(Chief Information Officer,CIO),将风险管理原则和方法用于IT计划、预算及其执行活动;•系统和信息拥有者(System and Information Owners),支持风险管理项目,并将风险管理原则和方法用于其IT系统和数据的保护中;•业务和职能管理人(Business and Functional Managers),将风险管理原则和方法用于业务运行和IT采购决策中,以便IT系统能够更安全、有效地支持业务活动;•信息系统安全官(Information System Security Officer,ISSO),IT风险管理项目的具体负责人,制定IT系统风险识别、评估和消减的全面方案,并向高级管理人员提供建议;•IT安全专业人员(IT security Practitioners),包括网络、系统、应用、数据库管理员、计算机专家、安全分析员、安全顾问等,支持和参与相关IT系统的风险管理工作,包括识别系统中的风险并部署适当的防范措施,为系统提供适当的安全保护;•安全意识培训师(Security Awareness Trainers),理解风险管理方法并开发风险管理相关的培训材料,在培训项目中为用户提供培训评估方面的教育。
风险评估•系统评定(System Characterization)•威胁识别(Threat Identification)•缺陷识别(Vulnerability Identification)•控制分析(Control Analysis)•可能性确定(Likelihood Determination)•影响分析(Impact Analysis)•风险确定(Risk Determination)•控制建议(Control Recommendations)•结果报告(Results Documentation)系统评定•确定风险评估工作的范围;•勾勒运作授权(或认可)边界;•提供定义系统风险的重要信息,这些信息主要包括以下类型:o硬件;o软件;o系统接口(如内部和外部连接);o数据和信息;o支持和使用IT系统的人员;o系统的使命(如IT系统所起的作用);o系统和数据的关键程度(如系统的价值或对机构的重要性);o系统和数据的敏感性。
系统评定应收集的信息•IT系统的功能需求(Functional Requirements);•系统的用户,包括为系统提供技术支持的系统用户(System Users),和使用系统执行业务功能的应用用户(Application Users);•系统安全政策(Security Policy),包括机构政策(Organizational Policy)、政府要求(Federal Requirements)、法律法规(Law)和业界惯例(Industry Practices);•系统安全架构(System Security Architecture);•当前的网络拓扑(Topology);•保护系统和数据可用性、完整性和保密性的信息存储安全措施;•IT系统相关的信息流图,如系统接口、系统输入和输出流程图(Flowchart);•用于IT系统的技术控制措施,如支持识别(Identification)和认证(Authentication)、访问控制(Access Control)、审计(Audit)、残留(Residual)信息保护、加密(Encryption)的内建或附加安全功能;•用于IT系统的管理控制措施,如行为规则(Rules of Behavior)、安全计划(Security Planning);•用于IT系统的运行控制措施,如人事安全(Personnel Security)、备份(Backup)、应急(Contingency)、复原(Resumption)和恢复(Recovery)操作、系统维护(System Maintenance)、离站存储(Off-Site Storage)、用户账户(User Account)建立和删除规程、用户功能隔离(Segregation)控制;•IT系统的物理安全措施,如设施安全(Facility Security)、数据中心政策(Data Center Policies);•IT系统的环境安全措施,如湿度、温度、水、能源、污染和化学品控制。
系统评定的信息收集技术•问卷(Questionnaire),如评估人员设计关于管理和运行控制方面的问卷,将其发放给设计或支持系统的技术或非技术管理人员填写,也可以在现场访问中使用;•现场访问(On-Site Interviews),与系统支持和管理人员会面了解系统相关信息,并可以现场了解系统的物理、环境和运行安全措施;•文档查看(Document Review),政策文档,如法律文件(Legislative Documentation)、上级指示(Directive),系统文档,如系统用户指南、系统管理手册、系统设计和需求文档、采购文档,安全相关文档,如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全政策可以提供大量相关信息;•使用自动化扫描工具(Automated Scanning Tool),使用如网络扫描工具等技术方法可以快速获得系统配置信息。
问卷主题举例•哪些人是合法用户?•用户机构的使命?•系统在用户使命中的作用?•系统对于用户使命有多重要?•系统的可用性需求?•机构需要什么信息(包括双向的)?•系统生成、使用、处理、存取什么信息?•信息对于用户使命有多重要?•信息流经的路径?•系统处理和存储的信息类型(金融、人事、研发、医疗、控制)?•信息的敏感级别?•系统的哪些信息不应泄漏给哪些人?•信息处理和存储的明确地点?•信息存储器的类型?•如果信息泄漏给非授权人员会给机构带来怎样的潜在影响?•信息的可用性和完整性需求?•如果系统或信息不可靠会对机构产生什么影响?•机构能够容忍的系统停机时间?这个时间大于平均修复/恢复时间吗?用户还有其它处理或通讯选项吗?•系统或安全故障会造成人员伤亡吗?缺陷识别缺陷识别(Vulnerability Identification)的目的是编写可能被威胁源利用的系统缺陷清单;识别系统缺陷的方法包括:•使用系统评定阶段的信息收集技术;•进行系统安全测试;•制定安全需求检查列表(Checklist);不同阶段的系统其缺陷识别方法有所不同:•设计阶段的系统可关注机构安全政策、所计划的安全规程、系统安全需求定义、开发者的产品安全分析报告等;•部署阶段的系统还需关注安全设计文档和系统测试报告;•运行中的系统还需关注用于保护系统的安全控制和特性。
缺陷识别的信息来源使用系统评定阶段提到的信息收集技术获得技术和非技术缺陷相关信息,其来源可包括:•以前的风险评估文档;•系统审计报告、异常报告、安全检查报告以及测试评估报告;缺陷列表,如NIST I-CAT缺陷数据库;•安全机构的建议,如FedCIRC和美国能源部计算机事件咨询机构公告、SecurityFocus的邮件列表等;•厂商建议;•系统安全分析报告。
系统安全测试•自动化缺陷扫描工具(Automated vulnerability scanning tool ),对网络及其包含的主机的进行检查,以便发现已公布的系统缺陷,需要对结果进行分析以排除误报(False Positives);•安全测试和评价(Security test and evaluation ,ST&E),制定并执行测试计划,以检验系统安全控制的有效性,判断其是否满足设计要求、机构安全政策以及行业标准;•渗透测试(Penetration testing),以攻击者的角度和方式对系统进行模拟攻击,以检验系统的抗攻击能力。
制定安全需求检查列表安全需求检查列表包含基本的安全标准,可以被用于系统化地评价和识别资产(包括人员、硬件、软件和信息)、非自动化规程、方法、信息传输的缺陷,如:•管理安全方面的职责设定、连续性支持、事件响应、安全控制检查、人事安全措施、风险评估、安全和技术培训、职责分离、系统授权和再授权、系统和应用安全计划等标准;•运作安全方面的空气污染(如烟尘、化学物质)控制、电力供应保障、介质访问和处置、外部数据分配和标记、设施(如计算机房、数据中心、办公室)保护、湿度控制、温度控制、工作站、笔记本、独立计算机控制等标准;•技术安全方面的通讯(如拨号、互联、路由器)、密码技术、自主访问控制、识别和认证、入侵检测、对象重用、系统审计等标准。
控制分析•安全控制可以减少或消除威胁利用系统缺陷的可能性,要确定系统面临的风险就必须对已部署或计划部署的控制进行分析;•控制方法可分为技术方法,即计算机硬件、软件或固件中的安全控制机制,非技术方法,即管理和运作控制方法,如安全政策、运作规程、人事、物理、环境安全控制;•控制方法还可进一步分为防御控制,如访问控制、加密、身份认证,检测控制,如审计跟踪、入侵检测和检验和;•为了更有效率和更全面地对安全控制进行分析,也可以使用缺陷分析中提到的安全需求检查列表的方法。
可能性确定确定在当前系统环境中,潜在缺陷被利用的可能性,它取决于:•威胁源动机和能力;•缺陷性质;•现有控制的效力;可能性可被描述为:•高,威胁源具有很强的动机和能力,现有控制无效;•中,威胁源具有相当的动机和能力,现有控制具有阻碍其利用缺陷的能力;•低,威胁源缺乏动机或能力,现有控制能够防止或有效阻碍其利用缺陷的能力。
影响分析影响分析是确定一次缺陷的成功利用所造成的负面影响程度,它主要取决于:•对系统所执行使命(如该系统执行的业务操作)的影响,可以通过业务影响分析(Business Impact Analysis)确定;•系统和数据的关键程度(如系统的价值或对机构的重要程度),可以通过资产关键程度分析确定;•系统和数据的敏感性,可通过丧失完整性、可用性、保密性的影响分析确定;系统和信息的拥有者负责确定其系统和信息受到影响的程度,所以影响分析的主要工作是访问系统和信息的拥有者。