信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在中就以信息安全风险评估对象中的网络操作痕迹信息检查为评估项目,来说明一次安全风险评估该如何具体地去做。
一、安全风险评估准备阶段 在每次风险评估开始之前,一个最好的保证评估过程顺利完成,评估结果真实有效的方法,就得为此制定一个风险评估策略。但如果只是对某个独立的或者是临时决定的小评估项目进行风险评估, 而且你和你的评估团队以前经常对些小评估项目进行风险评估,那么,只要为它做一些相应的准备工作就可以直接进行评估了。
风险评估策略的具体内容是根据实际的评估对象和评估项目来决定的,因此,不同的评估对象的风险评估策略是不相同,就是同一评估对象,如果评估的具体项目不同,其风险评估策略也不会相同。
1、制定风险评估策略 一个好的风险评估策略,应当包括下列所示的内容:
(1)、指定评估小组成员
信息风险评估小组担负着机构的风险评估工作,其成员要能代表整个机构。同时,成员必需在人员安全评估(确定某个人员可以信任风险评估工作)通过后确定。具体的成员应当包括:IT部门主管、风险评估负责人、系统或网络管理员、信息安全技术人员,还可以包括安全产品供应商代表及合作伙伴代表等。
评估人员确定后,就要分配相应的评估任务给具体的人员。确定每个评估人员各自的职责,所要承担的法律责任,并做成文档分发到每个评估人员手中。同时,要为评估任务指定一个总的负责人,来监督整个评估过程,并协调处理评估过程中出现的临时状况。还要说明评估结果的填写和上报方式,如说明每个评估人员完成自己的评测任务,填上评测结果后,当上交给风险评估负责人时,还应当与负责人一同签名才能有效。
(2)、确定风险评估的范围和目的
确定风险评估的范围也就是指指定具体的评估对象和评估项目,风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的,只有指定了评估对象中评估项目的风险评估目的,才知道需要什么样的评估任务来达到这个目的,也就圈定了具体的评估范围。也只有确定了风险评估的范围和目的,我们的风险评估才能有的放矢地进行。
在本例中,我们的评估对象是信息安全风险评估;评估项目是网络操作痕迹信息检查;评估的目的是检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密;具体的评估任务有:
①、检查机构内部员工WEB数据库和缓存中的内容;
②、检查机构内部员工是否通过个人主页、博客、,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
③、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;
④、了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限;
⑤、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;
⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、及博客中搜索;
⑦、检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容。
(3)、确定本次评估任务的开始和结束的具体日期和时间,如有可能,还有决定具体的风险评估时间,并在风险评估文档中留出相应的位置用来标明评估工作的开始和结束时间。
(4)、考虑一些在风险评估过程中可能发生的情况,以不影响正常的业务为基本条件。应当为此制定一个应对有可能造成业务中断,或造成真实安全事件发生事件时的应急措施。
2、根据评估项目和要完成的评估任务制作风险评估表单 风险评估表单就是在一张表单上将要评估的项目及评估任务一一列出,然后在进行具体的风险评估时,就可以按表单中的内容来依次进行。
图2.1就是网络操作痕迹信息检查评估项目的风险评估表单。
图2.1 网络操作痕迹信息检查的风险评估表单
信息安全风险评估 |
评估项目 | 网络操作痕迹信息检查 |
评估的目的 | 检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密 |
评 估 任 务 |
红勾 | 顺序 | 评 估 任 务 描 述 | 结果描述 | 结束时间 | 评估人 | 备注 |
| 1 | 检查机构内部员工WEB数据库和缓存中的内容 | | | | |
| 2 | 检查机构内部员工是否通过个人主页、博客、,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息 | | | | |
| 3 | 调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息 | | | | |
| 4 | 了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限 | | | | |
| 5 | 调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容 | | | | |
| 6 | 使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、及博客中搜索 | | | | |
| 7 | 检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容 | | | | |
备注 |
评估开始时间:年 月 日 时 分 评估结束时间:年 月 日 时 分 |
项目负责人 |
3、考虑完成评估任务时会用到的各种工具,并准备妥当。 这些工具应当是切合本次风险评估任务的,并且在已经通过在某个实验环境中测试已经证明其有效。在本次风险评估中,会对机构内部人员进行网络操作行为监控,因此,得为它准备相应的网络操作行为分析设备,或者是安装有网络操作行为分析软件的计算机,最好当然是笔记本电脑。同时,还应当准备好所将设备连接入目标网络的所需的线缆,以及其它与此次风险评估相关的所有工具和文档,并将它们统一管理。
一个风险评估策略不仅可以包括上面已经列出的这四个方面,还可以在其中添加与评估任务实际需求相关的内容,例如加入说明此次评估任务的具体流程和细节,各种注意事项等等。并要求所有的评估人员,严格按照这个风险评估策略中的内容来进行具体的评估工作。
一个风险评估策略是一个需要技术和经验并重的工作,而且需要考虑的内容很多,一个人不可能将风险评估项目相关的所有方面考虑周到。因此,在制定风险评估策略时,应当发动所有评估人员,以及评估对象的使用人员和设备供应商代表等一起来分析制定。
对于信息系统风险评估来说,如果准备工作越充分,后续的风险评估过程就越有效率,评估过程中出现的错误就越少,评估的最终给果就越真实有效。如果在准备过程中疏忽了某些内容,特别是制定的安全风险评估策略出现考虑不周的情况,要是没能在执行风险评估前检查出来,就会使最终的风险评估结果偏离实际,这样就会让我们空担心一场,或空欢喜一场。
二、安全风险检测阶段 当所有风险评估工作的事前准备工作全部妥善完成后,就可以按风险评估策略中确定的日期和时间,开始对指定的评估对象的评估项目做相应的安全风险评估。安全风险的评估过程就是使用具体的方法,来解答在准备阶段制定的评估项目表单中所有列出的评估任务的过程。
要完成风险评估表单列出的评估任务,需要使用一些针对某个评估任务的具体解决方法。解决评估任务的方法有很多种,包括问卷调查、访谈、模拟社会工程攻击、使用风险评估工具(包括软硬件方式的工具)、审查各种日志、审查各种设备和安全设备的配置文档,以及使用实际的模拟或真实的攻击来检验等方法,都可以用来解答评估项目中所需要完成的评估任务。
其中的某些方法只对某个评估任务有效,而一些工具可能一次自动完成多个项目。为了能减少使用工具产生的误报和漏洞,可以使用二种以上的工具来检测同一个评估任务,或者使用手工测试的方式来确认检测结果的真实性。
同时,在进行某些评估任务的评估工作时,例如系统弱点扫描,应当从由外向内看和由内向外看的两个方式分别进行。进行由外向内看的测试时,是试图从组织网络边界的外部检测系统,它能为我们提供一个从外部攻击相同的方式来审视系统的安全性。而进行由里向外看测试时,我们就应该从内部人员对系统使用权限的角度,去审查系统的安全性,此时,我们会得到比由外向内看更多的安全信息。恰当地使用这两种方式,能将目前大部分的安全威胁都考虑进来。
每个风险评估项目中的所有评估任务,如没有特殊要求,就必需按照风险评估表单中排列的顺序来进行。这是因为在评估过程中,当前的评估任务完成后产生的结果,可能会用来作为下一个任务的检测条件。如果此时评估的顺序相互置换,那么就会造成错误的最终评估结果。
在中的网络操作痕迹信息检测评估项目中,所有的评估任务都是由内向外看的方式来进行的。这些评估任务可以通过机构员工档案审查,检查员工使用的计算机中的浏览器COOKIE,检查机构WEB服务器缓存,审查机构边界位置网络操作行为管理设备的各种日志,通过网络搜索引擎,通过搜索一些独特的位置(如新闻组、博客及)来完成。同时,还可以通过模拟发送机密信息的方式,审查已有的网络操作行为监控设备是否能拦截它发送到互联网中,是否能够限制员工使用即时通信软件和P2P软件,员工是否可以突破封锁等任务。并且检验网络操作行为监控设备是否能将违规行为记录到相应的日志当中,能否提供有效的警报,收到警报能否产生有效的拦截等等。
有时,会将所有的评估任务分配给几个人来进行,因此,当某个评估人员完成属于他(她)的评估任务后,就应当在评估任务答案后评估人一栏中签上他的名字。当所有评估任务完成后,将已经填入评测答案和评估人签名的风险评估表单上报给评估负责人,经评估负责人确认并签字后,这个风险评估表单中的内容才能算真正有效,并在风险评估表单中填入评估结束时间。然后就可以进入下一个风险评估环节。
三、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段 当评估项目的所有评估任务完成后,就应当组织整个评估人员,将风险评估表单中每个评估任务的评测结果分析并汇总,给出一个具体安全和风险等级。然后,通过分析目前可以使用的安全防范技术,从机构可以接受的安全风险防范投入成本出发,同时给出一个相应的安全风险解决方案,并在解决方案中说明方案实施后能解决的风险,达到的具体安全等级,以及仍然存在的风险状况等内容。所有的这些信息都可以一个报告文件的方式记录下来。
每个信息系统安全风险评估报告都是针对某个具体的评估对象而言的。在的实例中,应当给出一个包括下列内容的风险评估报告,其它评估对象的风险评估报告给出的内容至少也应当包括下列所示的内容:
1、列出完成的评估任务清单;
2、列出评估对象目前存在的威胁和弱点,给出具体的安全和风险等级;
3、列出防范这些检测到的威胁和弱点的保障措施;
4、说明这些安全建议是属于物理、管理、还是技术控制;
5、说明实施这些给出的安全建议后会带来的效果;
6、说明每一个具体的安全建议,能将风险减少到什么程度;
7、安全修补后,评估对象能达到什么样的安全等级;
8、安全修补后,还有什么风险没能完全控制,应当如何进一步控制;
9、说明实施这些安全修补措施具体应当花费的安全成本。
有些时候,风险评估报告中不一定要求给出具体的安全修补建议。但是,当检测到的弱点可能给机构信息系统带来中等或高等安全风险时,就应当按要求给出针对性的安全解决方案安全风险评估报告的内容可以作为安全策略的一个强有力的补充,你甚至可以将它们的处理建议加入到已有的安全策略当中,以保证安全策略的强壮性。安全风险评估报告同时也可以作为上报给机构领导或评估小组领导的书面报告,你可以在报告中标出哪些方面是必需要修补的,以便能让上级领导赞同你的建议。
这样,你要确保你的安全风险评估报告的有效性和权威性。有效性说明这份报告是在真实检测和分析的基础上形成的,而且时间与报告的时间相吻合。权威性是指这份报告应当出自整个评估小组在检测分析之上,并不是某个人凭空想象造出来的。并且有整个参与人员的所有手工签名,以及标出所有评估都是参照某个国家或国际标准来评定具体安全和风险级别的。
四、后期安全维护阶段 后期安全维护其实只是信息系统安全风险评估过程中的一个附加阶段。对于专门的风险评估机构或安全公司来说,当给出具体的安全风险评估报告后,就表明此次风险评估任务全部结束。但是,对于评估对象所在的机构来说,安全风险评估工作的结束,只是表示另一个重要的任务,安全修补任务的开始。
后期安全维护就是按照风险评估报告中给出的安全修补建议,决定实施额外的管理和安全防范措施,以便能修正现有的安全策略,降低目前存在的弱点可能被威胁利用后带来的风险水平。
在安全修补实施的过程中,如果有些安全弱点不能按要求进行修补,你应当将它们记录下来,并上报给机构技术负责人。
另外,非常重要的一点就是:在所有的安全修补工作按要求全部完成后,一定要按所描述的风险评估过程重新对修补后的评估对象进行一次复查评估,以便确认修补后评估对象是否真正达到了期望的安全水平。同时,也能给出仍然不能防范的安全弱点,以及这些弱点目前应当如何应对才能降低发生的可能。
从这里我们就可以看出,信息系统安全风险评估是一个风险评估准备、风险评测、给出风险报告与后期维护四者之间不断循环往复的处理过程。
