作为公司信息安全咨询岗位的小三,对自己未来的安全之路很焦虑。我该往哪个方向走?上课快半年了,每天浏览相关的专业文档,还要研究NIST的出版物,还要了解点对点安全、ISO27001等标准。不行,最近,我一直在研究信用安全标准委员会发布的国家网络安全相关标准。看完标准清单,粗略的看了看正式发布的国家网络安全标准。共有268个条目。搜索了一些自己感兴趣的标准后,突然发现信息安全标准化这条路似乎还不错。为了激励自己,我决定把看到的安全标准提炼出来,有空的时候分享给大家。希望你能指出一两个。今天要跟大家分享的是《GB/T 31509 信息安全技术 信息安全风险评估实施指南》。本标准主要用于指导风险评估项目的组织、实施和验收。并规定了信息安全风险评估实施的过程和方法。1.本标准的框架结构如下2.风险评估的基本原则(1)标准化原则是指风险评估应按照本标准规定的评估流程进行。(2)关键业务原则是指以被评估方的关键业务为评估核心,围绕该核心的相关网络和系统作为评估重点。(3)可控性原则a)服务可控性(即评估服务的过程必须提前与客户沟通)b)人员和信息可控性(即参与风险评估项目的每个人都必须签署保密协议)c)过程可控性(这点需要建立实施团队,项目负责人负责制)d)工具可控性(告诉客户实施过程中要使用的评估工具,提前沟通)(4)最少原则影响在实施风险评估时,需要尽可能降低评估工作的影响。三、风险评估的过程1、评估准备阶段:是评估工作的开始,以确保评估实施的有效性。2、风险要素识别阶段:对评估活动中的各种关键要素资产、威胁、漏洞、安全措施进行识别和赋值。3、风险分析阶段:对识别阶段获得的各类信息进行关联分析,计算风险值。4、风险处置建议:根据评估的风险,提出相应的处置建议,并根据处置建议进行安全加固后的残余风险处置。4.风险评估工作有两种形式:自我评估和检查评估。自评估是组织自身对信息系统的风险评估,也可以委托第三方服务机构实施;检查评估是信息系统上级管理部门或国家有关职能部门依法进行的风险评估。一般而言,这种形式的评估采用抽样评估,也可以委托第三方服务机构实施(选择第三方单位时,应具备评估单位和评估人员的资质和资质)审查)。五、信息系统生命周期中的风险评估信息系统生命周期一般包括以下五个阶段:根据每个阶段的评估对象和安全要求不同,风险评估的目的也不同。1.规划阶段:确定系统的业务策略,支持系统安全需求和安全策略。2、设计阶段:评价安全设计方案是否满足信息系统安全功能的要求。3、实施阶段:识别系统开发实施过程中的风险,完成后验证系统的安全功能。4、运维阶段:了解和控制系统运行过程中的安全风险。5.废弃阶段:分析废弃资产对组织的影响。六、风险评估的实施在第三节中,我们已经讲了风险评估的基本过程,这里主要是风险评估的具体实施。(一)准备阶段1.工作内容这是评估工作的开始。准备工作分八步完成。这些步骤很容易理解。其中,需要注意以下几点。首先,在确定评估范围时,需要合理定义评估对象和评估范围边界,一般的划分原则是:a)业务系统的业务逻辑边界;b)网络和设备载体边界;c)物理环境边界;d)组织管理权限边界;本单位与评估机构共同成立风险评估小组,由被评估单位负责人、有关部门负责人、评估机构有关人员成立风险评估领导小组;聘请相关专业技术专家和技术骨干组成专家组。风险评估小组应完成预评估表格、文件、测试工具等准备工作;开展风险评估技术培训和保密教育;制定风险评估过程管理相关规定;制定应急预案等。签订个人保密协议。三、信息系统研究的内容包括:a)信息系统安全防护等级;b)主要业务功能和要求;c)网络结构和网络环境,包括内部连接和外部连接;d)系统边界,包括业务逻辑边界、网络和设备载体边界、物理环境边界、组织管理权限边界等;e)主要硬件和软件;f)数据和信息;g)系统和数据的敏感性;h)支持和使用系统的人员;i)信息安全管理机构建设及人员配备;j)信息安全管理体系;k)法律法规及服务合同;四、评价依据包括:a)适用的法律法规;b)现行的国际标准、国家标准和行业标准;c)行业主管部门的业务系统要求和制度;d)信息系统安全保护等级对应的基本要求;e)被评估组织的安全要求;f)系统本身的实时性或性能要求等等。五、合理选择相应的评估工具,遵循以下原则:a)对于系统漏洞评估工具,应具备对已知系统漏洞的综合验证和检测能力;b)评价工具的检测规则库应具有更新功能,能够及时更新;c)评估工具采用的检测策略和检测方法不应对信息系统造成异常影响;d)可以使用多个评估工具来检测同一个测试对象。如果检测结果不一致,应进一步使用。必要的人工检测和关联分析,给出最符合实际情况的结果判断;六、风险评估方案的内容应包括:a)风险评估工作框架:包括评估目标、评估范围、评估依据等;b)评价组组织结构:包括评价组成员、组织结构、角色、职责;必要时,还应包括风险评估领导小组和专家组成立情况的介绍;c)评价工作计划:包括工作内容、工作形式、工作结果等;d)风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;e)时间表:评估工作实施的时间表;2、工作保障(2)识别阶段这个阶段几乎是整个风险评估工作中非常重要的一个阶段。先画个结构图来理解一下。1.资产识别风险的重要因素是以资产为中心。威胁、漏洞和风险对于资产来说都是客观存在的。一般识别流程如下:(1)资产分类:一般来说,我们将资产分为硬件、软件、数据、服务、人员等六大类。(2)资产调查:识别组织和信息系统中资产(包括资产属性)的重要途径。一般通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户手册、测试报告、运行报告、安全策略文件、安全管理体系文件、运行过程文件、系统实施记录文件、资产清单、网络拓扑图以及与相关人员的访谈等,以识别组织和信息系统的资产。(3)资产赋值:根据资产的机密性、完整性、可用性等安全属性,为资产赋值。一般而言,资产资产根据以下因素进行估值:a)资产所承载的信息系统的重要性;b)资产承载的信息系统的安全等级;c)资产承载的信息对资产安全、正常运行的重要性程度;d)资产机密性、完整性和可用性等安全属性对信息系统和相关业务的重要性。(4)资产转让报告:根据资产转让情况,形成资产清单和资产转让报告。2.威胁识别威胁是可能损害系统或组织的意外事件的潜在原因。在信息安全领域,没有绝对的安全。威胁的一般识别过程如下:(1)威胁分类:威胁分为软硬件故障、物理环境影响、不作为或操作失误、管理不善、恶意代码、未授权或滥用、网络攻击、物理攻击、泄密、篡改11类否认。根据威胁产生的原因、表现形式和后果的不同,威胁可分为有害程序、网络攻击、信息破坏、信息内容攻击、设备设施故障、灾难性破坏、其他威胁七大类。(2)威胁调查:调查工作包括威胁来源动机和能力、威胁途径、威胁可能性及其影响;威胁排查方式多种多样,根据组织机构和信息系统本身的特点记录发生的历史安全事件记录。(数据)、人脸威胁分析等方法进行调查。(3)威胁分析:在前期威胁调查的基础上进行分析。同样,也可以分配威胁的可能性。威胁分配分为五个级别:非常高、高、中、低和非常低。级别越高,威胁发生的可能性就越大。(4)威胁分析报告:报告内容包括威胁名称、威胁类型、威胁源攻击能力、攻击动机、威胁发生概率、影响程度、威胁发生概率、威胁归属、威胁严重性描述等。3.漏洞识别漏洞识别可以从技术和管理两个方面进行。在技??术上,可以从物理环境、网络、主机系统、应用系统、数据等方面识别资产的脆弱性;在管理方面,资产的脆弱性可以从两个方面来识别:技术管理脆弱性和组织管理脆弱性。脆弱性与具体技术活动有关,组织管理脆弱性与管理环境有关。漏洞识别使用的方法主要有:文档审查、问卷调查、人工验证、工具检测、渗透测试等。(1)安全技术漏洞验证(2)安全管理漏洞验证安全管理验证主要检查合理性、完整性、通过查阅文件、抽样调查、查询等方式,了解信息安全规章制度的适用性。4、工作安全(3)风险分析阶段1、信息安全风险分析原则:2、风险值计算方法风险计算方法一般分为两类:定性计算方法和定量计算方法。(1)定性计算法:对风险的各要素资产、威胁、脆弱性等相关属性赋以定量(或层次)值,然后选择具体的计算方法(如乘法法或矩阵法)进行风险计算;(2)定量计算法:将资产价值和风险量化为财务价值的计算方法。由于量化计算方法需要对财务价值进行量化,在实际操作中往往难以实现,因此一般不采用这种计算方法。3、风险分析与评价通过对风险进行分类,确定总体风险状况。4、风险评估报告报告内容包括:风险对组织、业务和系统的影响范围和程度;基于它的法律和证据;和风险评估的结论。5、工作保障(4)风险处置建议现阶段围绕风险评估报告进行风险处置,仍有5点。1、处置原则是将风??险控制在可接受范围内。具体处置,可按照等级保护相关要求实施的安全风险加固工作,应当满足相应等级保护等级的安全技术和管理要求;适度风险接受原则不能适用于安全需求所产生的风险。2、安全整改建议风险处置方法一般包括接受、降低、转移、规避等。安全整改是一种降低风险的方法。整改建议根据安全等级不同:a)对于非常严重的安全风险,需要立即降低且加固措施易于实施的,建议被评估单位立即采取安全整改措施。b)对于非常严重的安全隐患,需要立即降低,但加固措施又不易落实,建议被评估单位立即制定安全整改实施方案,尽快实施安全整改;整改前,要密切监测相关安全隐患,做好应急预案。c)对需要降低的重大安全隐患和强化措施不易落实的,建议被评价单位制定整改计划,限期实施;整改前应对相关安全隐患进行监测。3、组织评审会议评审会议在评价项目结束时召开,参加人员一般包括:被评价组织、评价机构和专家。评价项目验收文件如下:4、残余风险处置残余风险处置是识别、控制和管理残余安全风险的活动。5.工作保障
