16.1 网络安全风险评估概述
网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。
本节主要阐述网络安全风险评估的概念、网络安全风险评估的要素、网络安全风险评估模式。
16.1.1 网络安全风险评估概念
网络安全风险评估(简称“网络风险评估")就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。
简单的说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
网络安全风险值可以等价为安全事件发生的概率(可能性)与安全事件的损失的乘积,即 R=f(EP,Ev) 。其中,R 表示风险值,EP 表示安全事件发生的可能性大小,Ev 表示安全事件发生后的损失,即安全影响。
16.1.2 网络安全风险评估要素
网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用。
资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护,修补资产的脆弱性,从而降低资产的风险 。
16.1.3 网络安全风险评估橾式
根据评估方与被评估方的关系以及网络资产的所属关系,风险评估模式有自评估、检查评估与委托评估三种类型。
1.自评估
自评估是网络系统拥有者依靠自身力量,对自有的网络系统进行的风险评估活动。
2. 检查评估
检查评估由网络安全主管机关或业务主管机关发起,旨在依据已经颁布的安全法规、安
全标准或安全管理规定等进行检查评估。
3. 委托评估
委托评估是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。
-------------
16.2 网络安全风险评估过程
网络安全风险评估工作涉及多个环节,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等
16.2.1 网络安全风险评估准备
网络安全风险评估准备的首要工作是确定评估对象和范围。正式进行具体安全评估必须首先进行网络系统范围的界定,要求评估者明晰所需要评估的对象。网络评估范围的界定一般包括如下内容:
•网络系统拓扑结构;
•网络通信协议;
•网络地址分配;
•网络设备;
•网络服务
•网上业务类型与业务信息流程;
•网络安全防范措施(防火墙、IDS 、保安系统等) ;
•网络操仵系统;
•网络相关人员;
•网络物理环境(如建筑、设备位置)。
在这个阶段,最终将生成评估文档《网络风险评估范围界定报告》,该报告是后续评估工作的范围限定。
16.2.2 资产识别
资产识别包含“网络资产鉴定”和“网络资产价值估算”两个步骤。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。
“网络资产价值估算”是某一具体资产在网络系统中的重要程度确认。组织可以按照自己的实际情况,将资产按其对于业务的重要性进行赋值,得到资产重要性等级划分表,如表所示:
网络安全风险评估中,价值估算不是资产的物理实际经济价值,而是相对价值,一般是以资产的 三个基本安全属性为基础进行衡量的,即保密性、完整性和可用性。价值估算的结果是由资产安全属性未满足时,对资产自身及与其关联业务的影响大小来决定的。目前,国家信息风险评估标准对资产的保密性、完整性和可用性赋值划分为五级,级别越高表示资产越重要。
16.2.3 威胁识别
威胁识别是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁意图等几个方面来分析。
首先是标记出潜在的威胁源,并且形成一份威胁列表,列出被评估的网络系统面临的潜在威胁源。威胁源按照其性质 一 般可分为自然威胁和人为威胁,其中自然威胁有雷电、洪水、地震、火灾等,而人为威胁则有盗窃、破坏、网络攻击等。
威胁途径是指威胁资产的方法和过程步骤,威胁者为了实现其意图,会使用各种攻击方法和工具,如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。
威胁效果是指威胁成功后,给网络系统造成的影响。一般来说,威胁效果抽象为三种:非法访问、欺骗、拒绝服务。
威胁意图是指威胁主体实施威胁的目的。根据威胁者的身份,威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复。
威胁频率是指出现威胁活动的可能性。
16.2.4 脆弱性识别
脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。
一般来说脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别的依据是网络安全法律法规政策、国内外网络信息安全标准以及行业领域内的网络安全要求。
脆弱性识别所采用的方法主要有漏洞扫描、人工检查、问卷调查、安全访谈和渗透测试等 。
脆弱性评估工作又可分为技术脆弱性评估和管理脆弱性评估。
•技术脆弱性评估。技术脆弱性评估主要从现有安全技术措施的合理性和有效性方面进行评估。
•管理脆弱性评估。管理脆弱性评估从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。安全管理脆弱性评估主要是指对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价,其目的在于确认安全策略的执行情况。
16.2.5 已有安全措施确认
16.2.6 网络安全风险分析
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。
1.网络安全风险分析步骤
网络安全风险分析的主要步骤如下:
步骤一,对资产进行识别,并对资产的价值进行赋值。
步骤二,对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
步骤三,对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
步骤四,根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
步骤五,根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。
步骤六,根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。
2. 网络安全风险分析方法
网络安全风险值的计算方法主要有定性计算方法、定量计算方法、定性和定量综合计算方法 。
a.定性计算方法:例如,资产的保密性赋值评估为:很高、高、中等、低、很低;威胁的出现
频率赋值评估为:很高、高、中等、低、很低;脆弱性的严重程度赋值评估为:很高、高、中等、
低、很低;定性计算方法给出的风险分析结果是:无关紧要、可接受、待观察、不可接受。
b.定量计算方法:定量计算方法的输出结果是一个风险数值 。
c.定性和定量综合计算方法:例如,脆弱性的严重程度量化赋值评估为: 5 (很高)、4 (高)、3 (中等)、2 (低)、l(很低)。
3. 网络安全风险计算方法
风险计算一般有相乘法或矩阵法。
l) 相乘法 z = f(x, y)
2) 矩阵法
-------------
16.3 网络安全风险评估技术方法与工具
本节给出网络安全风险评估的技术方法,主要包括资产信息收集、网络拓扑发现、漏洞扫描、人工检查、安全渗透测试等。
16.3.1 资产信息收集
资产信息收集是网络安全风险评估的重要工作之一。通过调查表形式,查询资产登记数据库,对被评估的网络信息系统的资产信息进行收集,以掌握被评估对象的重要资产分布,进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性。
16.3.2 网络拓扑发现
网络拓扑发现工具用于获取被评估网络信息系统的资产关联结构信息,进而获取资产信息 。 常见的网络拓扑发现工具有 ping 、traceroute 以及网络管理综合平台 。通过网络拓扑结构图,可以方便地掌握网络重要资产的分布状况及相互关联情况。
16.3.3 网络安全漏洞扫描
网络安全漏洞扫描可以自动搜集待评估对象的漏洞信息,以评估其脆弱性 。一般可以利用多种专业的扫描工具,对待评估对象进行漏洞扫描,并对不同的扫描结果进行交叉验证,形成扫描结果记录。漏洞扫描内容主要有软件系统版本号、开放端口号、开启的网络服务、安全漏洞情况、网络信息共享情况、密码算法和安全强度、弱口令分布状况等。
16.3.4 人工检查
人工检查是通过人直接操作评估对象以获取所需要的评估信息 。
16.3.5 网络安全渗透测试
网络安全渗透测试是指在获得法律授权后,模拟黑客攻击网络系统,以发现深层次的安全间题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。
16.3.6 问卷调查
管理调查问卷涵盖安全策略、安全组织、资产分类和控制、人员安全、业务连续性等,管理调查问卷主要针对管理者、操作人员;而技术调查问卷主要包括物理和环境安全、网络通信、系统访问控制和系统开发与维护,调查对象是 IT 技术人员。
16.3.7 网络安全访谈
安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈
16.3.8 审计数据分析
审计数据分析通常用于威胁识别,审计分析的作用包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等。审计数据分析常常采用数据统计、特征模式匹配等多种技术,从审计数据中寻找安全事件有关信息。
16.3.9 入侵监测
入侵监测是威胁识别的重要技术手段。网络安全风险评估人员将入侵监测软件或设备接入待评估的网络中,然后采集评估对象的威胁信息和安全状态。入侵监测软件和设备有许多,按照其用途来划分,可粗略分成主机入侵监测、网络入侵监测、应用入侵监测。
-------------
16.4 网络安全风险评估项目流程和工作内容
主要工作流程和内容,包括评估工程前期准备、评估方案设计与论证、评估方案实施、评估报告撰写、评估结果评审与认可等。
16.4.1 评估工程前期准备
16.4.2 评估方案设计与论证
16.4.3 评估方案实施
16.4.4 风险评估报告撰写
16.4.5 评估结果评审与认可
-------------
16.5 网络安全风险评估技术应用
16.5.1 网络安全风险评估应用场景
1. 网络安全规划和设计
2.网络安全等级保护
3. 网络安全运维与应急响应
4. 数据安全管理与运营
16.5.2 OWASP 风险评估方法参考
OWASP(Open Web Application Security Project)风险评估方法分成以下步骤:
步骤一,确定风险类别(Identifying a Risk)
收集攻击者、攻击方法、利用漏洞和业务影响方面的信息,确定评级对象的潜在风险。
步骤二,评估可能性的因素(Factors for Estimating Likelihood)
从攻击者因素、漏洞因素分析安全事件出现的可能性。击者因素主要包括技术水平、动机、机会和成本;漏洞因素则包括漏洞的发现难易程度、漏洞的利用难易程度、漏洞的公开程度、漏洞利用后入侵检测。
步骤三,评估影响的因素(Factors for Estimating Impact)
评估影响的因素主要有技术影响因素、业务影响因素。技术影响因素包括保密性、完整性、可用性、问责性等方面的损失;业务影响因素包括金融财务损失、声誉损失、不合规损失、侵犯隐私损失等。
步骤四,确定风险的严重程度(Determining the Severity of the Risk)
把可能性评估和影响评估放在一起,计算风险的总体严重程度。
步骤五,决定修复内容(Deciding What to Fix)
将应用程序的风险分类,获得以优先级排列的修复列表。一般规则是首先修复最严重的风险。
步骤六,定制合适的风险评级模型(Customizing Your 伈sk Rating Model)
根据评估对象,调整模型使其与风险评级准确度相一致。例如,可以添加可能性的因素,如攻击者机会窗口、加密算法强度等。根据自身的业务安全需求,增加权重因素调整风险值的计算。
16.5.3 ICT供应链安全威胁识别参考
ICT是 Information and Communication Technology 的缩写,ICT 供应链风险管理的主要目标如下:
a.完整性
b.保密性
c.可用性
d.可控性
ICT 供应链的各类安全威胁分析如下:
a.恶意篡改
b.假冒伪劣
c.供应中断
d.信息泄露或违规操作
e.其他威胁
16.5.4 工业控制系统平台脆弱性识别参考
工业控制系统平台是由工业控制系统硬件、操作系统及其应用软件组成的。平台脆弱性是由工业控制系统中软硬件本身存在的缺陷、配置不当和缺少必要的维护等问题造成的。平台脆弱性包括平台硬件、平台软件、平台配置和平台管理四个方面的脆弱性
16.5.6 人工智能安全风险分析参考
人工智能安全是指通过必要措施,防范对人工智能系统的攻击、侵入、干扰、破坏和非法利用以及意外事故,使人工智能系统处于稳定可靠的运行状态,以及遵循人工智能以人为本、权责一致等安全原则,保障人工智能算法模型、数据、系统和产品应用的完整性、保密性、可用性、鲁棒性、透明性、公平性和保护隐私的能力。
随着人工智能(AI) 技术的应用普及,其安全风险间题随之而来。人工智能安全风险分析如下:
1. 人工智能训练数据安全风险
人工智能依赖千训练数据,若智能计算系统的训练数据污染,则可导致人工智能决策错误。
2. 人工智能算法安全风险
智能算法模型脆弱性,使得其容易受到人为闪避攻击、后门攻击。
3. 人工智能系统代码实现安全风险
人工智能系统和算法都依赖于代码的正确实现。
4. 人工智能技术滥用风险
人工智能技术过度采集个人数据和自动学习推理服务,导致隐私泄露风险增加。
5.高度自治智能系统导致社会安全风险
自动驾驶、无人机等智能系统的非正常运行,可能直接危害人类身体健康和生命安全。