基于OSSIM平臺的信息系統安全風險評估實施指南
一些人會認為,風險評估不就是掃描主機麻,拿一些國外著名安全工具全網掃描,這種行為就是風險評估,效果肯定好不了,現在很多公司內網都有自動補丁分發系統,殺毒系統,等等,最重要的問題是掃描出的東西是你關心的內容嗎?其實要進行風險評估,首先要進行網絡資產調研。下面一些基本概念必須了解。
1. 風險要素關系
信息是一種資產,資產所有者應對信息資產進行保護,通過分析信息資產的脆弱性來確定威脅可能利用哪些弱點來破壞其安全性。風險評估要識別資產相關要素的關系,從而判斷資產面臨的風險大小。
圖1 風險要素關系
圖1中方框部分的內容為風險評估的基本要素,橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞其基本要素展開,在對這些要素的評估過程中需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。
圖1中的風險要素及屬性之間存在著以下關系:
(1)業務戰略依賴資產去實現;
(2)資產是有價值的,組織的業務戰略對資產的依賴度越高,資產價值就越大;
(3)資產價值越大則其面臨的風險越大;
(4)風險是由威脅引發的,資產面臨的威脅越多則風險越大,并可能演變成安全事件;
(5)弱點越多,威脅利用脆弱性導致安全事件的可能性越大;
(6)脆弱性是未被滿足的安全需求,威脅要通過利用脆弱性來危害資產,從而形成風險;
(7)風險的存在及對風險的認識導出安全需求;
(8)安全需求可通過安全措施得以滿足,需要結合資產價值考慮實施成本;
(9)安全措施可抵御威脅,降低安全事件的發生的可能性,并減少影響;
(10)風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險。有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續控制,而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險,是可以被接受的;
2 資產分類
風險評估中,資產大多屬于不同的信息系統,如OA系統、網管系統、業務生產系統等,而且對于提供多種業務的組織,其支持業務持續運行的系統數量可能更多。這時首先需要將信息系統及相關的資產進行恰當的分類,以此為基礎進行下一步的風險評估。在實際工作中,具體的資產分類方法可以根據具體的評估對象和要求,由評估者來靈活把握。
根據資產的表現形式,可將資產分為數據、軟件、硬件、文檔、服務、人員等類。
3 資產賦值
對資產的賦值不僅要考慮資產本身的價值,更重要的是要考慮資產的安全狀況對于組織的重要性,即由資產在其三個安全屬性上的達成程度決定。為確保資產賦值時的一致性和準確性,組織應建立一個資產價值評價尺度,以指導資產賦值。
資產賦值的過程也就是對資產在機密性、完整性和可用性上的達成程度進行分析,并在此基礎上得出一個綜合結果的過程。達成程度可由安全屬性缺失時造成的影響來表示,這種影響可能造成某些資產的損害以至危及信息系統,還可能導致經濟效益、市場份額或組織形象的損失。
OSSIM系統中資產賦值如下圖所示。
為資產賦值之后,我們能夠狠方便的在眾多資產中過濾出重要資產。
4. 資產合理分組
資產的分組也是為了對資產進行精細化管理。
5 風險分析
5.1 風險計算原理
在完成了資產識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。
5.2 計算安全事件發生的可能性
根據威脅出現頻率及脆弱性狀況,計算威脅利用脆弱性導致安全事件發生的可能性,即:
安全事件發生的可能性=L(威脅出現頻率,脆弱性)=L(T,V )
在具體評估中,應綜合攻擊者技術能力(專業技術程度、攻擊設備等)、脆弱性被利用的難易程度(可訪問時間、設計和操作知識公開程度等)以及資產吸引力等因素來判斷安全事件發生的可能性。
5.3、計算風險值
根據計算出的安全事件發生的可能性以及安全事件的損失,計算風險值,即:
風險值=R(安全事件發生的可能性,安全事件的損失)=R(L(T,V),F(Ia,Va ))
評估者可根據自身情況選擇相應的風險計算方法計算風險值。如矩陣法或相乘法,通過構造經驗函數,矩陣法可形成安全事件發生的可能性與安全事件的損失之間的二維關系;運用相乘法可以將安全事件發生的可能性與安全事件的損失相乘得到風險值。
OSSIM系統中計算方法:
OSSIM系統在將資產價值(Asset)、優先級(Priority)、可靠性(Reliability)三個參數組合在一起進行風險的計算是簡潔有效的,在OSSIM系統中使用以下公式:
Risk=asset*priority*reliability/25 (風險模型計算公式4-1)
其中Asset(資產,取值范圍0~5)
Priority(優先級,取值范圍0~5)
Reliability(可信度,取值范圍0~10)
由公式(4-1)計算每個Alert事件的Risk值,其中
Asset 的取值范圍為 0~5,asset默認值為2;在OSSIM系統中將資產的關注程度分為5級,取值由低到高分別為1、2、3、4、5。從表面上理解,數字的大小決定了風險計算公式中Risk值的大小,但也有它深層次的含義,比如普通工作站資產等級為1,當它遭受DOS攻擊時,我們只需要簡單端口網絡連接,如果是數據庫服務器,它的資產等級為5,數據庫服務需要實時在線,所以同樣遭受DOS攻擊我們就不能像工作站那樣處理,而應自動啟用備用IP地址并將攻擊引向網絡蜜罐系統。
優先級Priority 的取值范圍為 0~5,默認值為 1,該參數描述一次成功攻擊所造成的危害程度,數值越大,則危害程度越高;
可信度或者叫可靠性Reliability 的取值范圍為 0~10,默認值為 1,可靠性參數描述一次攻擊可能成功的概率,最高值是10,代表100%可能,所以其值越高,代表越不可靠,大家也可以將此理解為被攻擊的可能性。
5.4 風險結果判定
風險等級劃分為五級,等級越高,風險越高。評估者應根據所采用的風險計算方法為每個等級設定風險值范圍,并對所有風險計算結果進行等級處理。OSSIM系統在有一整套公式來綜合評判系統風險。
6.運維階段風險評估輔助工具應用
運維階段風險評估的目的是了解和控制運行過程中的信息系統安全風險,是一種較為全面的風險評估。評估內容包括對真實運行的信息系統、資產、威脅、脆弱性等各方面。
(1)資產評估:對真實環境下較為細致的評估,包括實施階段采購的軟硬件資產、系統運行過程中生成的信息資產、相關的人員與服務等。本階段資產識別是前期資產識別的補充與增加;
(2)威脅評估:真實環境中的威脅分析,應全面地評估威脅的可能性和影響程度。對非故意威脅產生安全事件的評估可以參照事故發生率;對故意威脅主要由評估人員就威脅的各個影響因素做出專業判斷;同時考慮已有控制措施;
(3)脆弱性評估:是全面的脆弱性評估。包括運行環境下物理、網絡、系統、應用、安全保障設備、管理的脆弱性。對于技術的脆弱性評估采取核查、掃描、案例驗證、滲透性測試的方式驗證脆弱性;對安全保障設備脆弱性評估時考慮安全功能的實現情況和安全措施本身的脆弱性。對于管理脆弱性采取文檔、記錄核查進行驗證;
(4)風險計算:根據本標準的相關方法,對主要資產的風險進行定性或定量的風險分析,描述不同資產的風險高低狀況。
以下是OSSIM系統在一個界面中關聯展示這些重要信息。
7.OpenVas使用
企業網絡安全測試、風險評估價格昂貴,效果可能并不理想,本文介紹免費的OSSIM系統您考慮試試嗎?OpenVAS漏洞掃描指南內容參見:http://chenguang.blog.51cto.com/350944/1692490
