基于OSSIM平台的信息系统安全风险评估实施指南

基于OSSIM平台的信息系统安全风险评估实施指南

一些人会认为,风险评估不就是扫描主机麻,拿一些国外著名安全工具全网扫描,这种行为就是风险评估,效果肯定好不了,现在很多公司内网都有自动补丁分发系统,杀毒系统,等等,最重要的问题是扫描出的东西是你关心的内容吗?其实要进行风险评估,首先要进行网络资产调研。下面一些基本概念必须了解。

1. 风险要素关系

信息是一种资产,资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。

图1风险要素关系

图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

图1中的风险要素及属性之间存在着以下关系:

(1)业务战略依赖资产去实现;

(2)资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;

(3)资产价值越大则其面临的风险越大;

(4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;

(5)弱点越多,威胁利用脆弱性导致安全事件的可能性越大;

(6)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;

(7)风险的存在及对风险的认识导出安全需求;

(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;

(9)安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;

(10)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的;

2 资产分类

风险评估中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者来灵活把握。

根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。

3 资产赋值

对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性,组织应建立一个资产价值评价尺度,以指导资产赋值。

资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额或组织形象的损失。

OSSIM系统中资产赋值如下图所示。

为资产赋值之后,我们能够狠方便的在众多资产中过滤出重要资产。

4. 资产合理分组

资产的分组也是为了对资产进行精细化管理。

5 风险分析

5.1 风险计算原理

在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。

5.2 计算安全事件发生的可能性

根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:

安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )

在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。

5.3、计算风险值

根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:

风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))

评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法,通过构造经验函数,矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系;运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。

OSSIM系统中计算方法:

OSSIM系统在将资产价值(Asset)、优先级(Priority)、可靠性(Reliability)三个参数组合在一起进行风险的计算是简洁有效的,在OSSIM系统中使用以下公式:

Risk=asset*priority*reliability/25(风险模型计算公式4-1)

其中Asset(资产,取值范围0~5)

Priority(优先级,取值范围0~5)

Reliability(可信度,取值范围0~10)

由公式(4-1)计算每个Alert事件的Risk值,其中

Asset的取值范围为0~5,asset默认值为2;在OSSIM系统中将资产的关注程度分为5级,取值由低到高分别为1、2、3、4、5。从表面上理解,数字的大小决定了风险计算公式中Risk值的大小,但也有它深层次的含义,比如普通工作站资产等级为1,当它遭受DOS攻击时,我们只需要简单端口网络连接,如果是数据库服务器,它的资产等级为5,数据库服务需要实时在线,所以同样遭受DOS攻击我们就不能像工作站那样处理,而应自动启用备用IP地址并将攻击引向网络蜜罐系统。

优先级Priority的取值范围为0~5,默认值为1,该参数描述一次成功攻击所造成的危害程度,数值越大,则危害程度越高;

可信度或者叫可靠性Reliability的取值范围为0~10,默认值为1,可靠性参数描述一次攻击可能成功的概率,最高值是10,代表100%可能,所以其值越高,代表越不可靠,大家也可以将此理解为被攻击的可能性。

5.4 风险结果判定

风险等级划分为五级,等级越高,风险越高。评估者应根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。OSSIM系统在有一整套公式来综合评判系统风险。

6.运维阶段风险评估辅助工具应用

运维阶段风险评估的目的是了解和控制运行过程中的信息系统安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。

(1)资产评估:对真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;

(2)威胁评估:真实环境中的威胁分析,应全面地评估威胁的可能性和影响程度。对非故意威胁产生安全事件的评估可以参照事故发生率;对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断;同时考虑已有控制措施;

(3)脆弱性评估:是全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性;对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验证;

(4)风险计算:根据本标准的相关方法,对主要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。

以下是OSSIM系统在一个界面中关联展示这些重要信息。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容

  • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连...
    不吃土豆的洋芋阅读 3,243评论 0 42
  • 1.概要 有许多不同类型的安全评估,并不总是容易在我们的头脑清晰的表现出来 以下是对安全评估的主要类型的简要描述,...
    LinuxSelf阅读 1,019评论 0 1
  • Guide to BluetoothSecurity原文 本出版物可免费从以下网址获得:https://doi.o...
    公子小水阅读 7,900评论 0 6
  • 抬起头来 让我看看你的脸 挺起胸 我想知道 你有没有脊梁 我怒了啊 一双眼 在找着亮 我不想看到丑陋 但丑陋 将我...
    本无痕阅读 301评论 57 50
  • 我从小学二年级就开始学素描了,一直都是在附近的一个兴趣班上的,到现在也有几年时间了。或许在很多人眼里,素描是枯燥无...
    萝卜炖羊肉阅读 1,094评论 4 7