基于OSSIM平台的信息系统安全风险评估实施指南
一些人会认为,风险评估不就是扫描主机麻,拿一些国外著名安全工具全网扫描,这种行为就是风险评估,效果肯定好不了,现在很多公司内网都有自动补丁分发系统,杀毒系统,等等,最重要的问题是扫描出的东西是你关心的内容吗?其实要进行风险评估,首先要进行网络资产调研。下面一些基本概念必须了解。
1. 风险要素关系
信息是一种资产,资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。
图1风险要素关系
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1中的风险要素及属性之间存在着以下关系:
(1)业务战略依赖资产去实现;
(2)资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;
(3)资产价值越大则其面临的风险越大;
(4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;
(5)弱点越多,威胁利用脆弱性导致安全事件的可能性越大;
(6)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;
(7)风险的存在及对风险的认识导出安全需求;
(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
(9)安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;
(10)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的;
2 资产分类
风险评估中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者来灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。
3 资产赋值
对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性,组织应建立一个资产价值评价尺度,以指导资产赋值。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额或组织形象的损失。
OSSIM系统中资产赋值如下图所示。
为资产赋值之后,我们能够狠方便的在众多资产中过滤出重要资产。
4. 资产合理分组
5 风险分析
5.1 风险计算原理
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。
5.2 计算安全事件发生的可能性
根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。
5.3、计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法,通过构造经验函数,矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系;运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。
OSSIM系统中计算方法:
OSSIM系统在将资产价值(Asset)、优先级(Priority)、可靠性(Reliability)三个参数组合在一起进行风险的计算是简洁有效的,在OSSIM系统中使用以下公式:
Risk=asset*priority*reliability/25(风险模型计算公式4-1)
其中Asset(资产,取值范围0~5)
Priority(优先级,取值范围0~5)
Reliability(可信度,取值范围0~10)
由公式(4-1)计算每个Alert事件的Risk值,其中
Asset的取值范围为0~5,asset默认值为2;在OSSIM系统中将资产的关注程度分为5级,取值由低到高分别为1、2、3、4、5。从表面上理解,数字的大小决定了风险计算公式中Risk值的大小,但也有它深层次的含义,比如普通工作站资产等级为1,当它遭受DOS攻击时,我们只需要简单端口网络连接,如果是数据库服务器,它的资产等级为5,数据库服务需要实时在线,所以同样遭受DOS攻击我们就不能像工作站那样处理,而应自动启用备用IP地址并将攻击引向网络蜜罐系统。
优先级Priority的取值范围为0~5,默认值为1,该参数描述一次成功攻击所造成的危害程度,数值越大,则危害程度越高;
可信度或者叫可靠性Reliability的取值范围为0~10,默认值为1,可靠性参数描述一次攻击可能成功的概率,最高值是10,代表100%可能,所以其值越高,代表越不可靠,大家也可以将此理解为被攻击的可能性。
5.4 风险结果判定
风险等级划分为五级,等级越高,风险越高。评估者应根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。OSSIM系统在有一整套公式来综合评判系统风险。
6.运维阶段风险评估辅助工具应用
运维阶段风险评估的目的是了解和控制运行过程中的信息系统安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。
(1)资产评估:对真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;
(2)威胁评估:真实环境中的威胁分析,应全面地评估威胁的可能性和影响程度。对非故意威胁产生安全事件的评估可以参照事故发生率;对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断;同时考虑已有控制措施;
(3)脆弱性评估:是全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性;对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验证;
(4)风险计算:根据本标准的相关方法,对主要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。
以下是OSSIM系统在一个界面中关联展示这些重要信息。