基于OSSIM平台的信息系统安全风险评估实施指南

简介:



基于OSSIM平台的信息系统安全风险评估实施指南

 

一些人会认为,风险评估不就是扫描主机麻,拿一些国外著名安全工具全网扫描,这种行为就是风险评估,效果肯定好不了,现在很多公司内网都有自动补丁分发系统,杀毒系统,等等,最重要的问题是扫描出的东西是你关心的内容吗?其实要进行风险评估,首先要进行网络资产调研。下面一些基本概念必须了解。

 

 1. 风险要素关系

信息是一种资产,资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。

wKioL1arHMWAGC5UAAF0pdL1zzc444.jpg

风险要素关系

 

图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1中的风险要素及属性之间存在着以下关系: 
(1)业务战略依赖资产去实现;
(2)资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;
(3)资产价值越大则其面临的风险越大;
(4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;
(5)弱点越多,威胁利用脆弱性导致安全事件的可能性越大;
(6)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;
(7)风险的存在及对风险的认识导出安全需求;
(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
(9)安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;
(10)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的;

 


2 资产分类
风险评估中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者来灵活把握。
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。


wKiom1arHdyDFU9VAAM1BqR1RVs035.jpg

 

3 资产赋值
对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性,组织应建立一个资产价值评价尺度,以指导资产赋值。
资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额或组织形象的损失。

wKioL1arHqTzSIKqAAF-ewq01SY448.jpg

OSSIM系统中资产赋值如下图所示。

wKioL1avE5aj6nY8AAEZWE8RFlk364.jpg

为资产赋值之后,我们能够狠方便的在众多资产中过滤出重要资产。

wKiom1avFAvDT37YAAOBeHOzaTI869.jpg

 

4. 资产合理分组

 资产的分组也是为了对资产进行精细化管理。wKiom1avFJaxK56zAAMLNcWyYaA526.jpg

5 风险分析
5.1 风险计算原理

在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。
5.2 计算安全事件发生的可能性 
根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。
5.3、计算风险值 
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法,通过构造经验函数,矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系;运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。

OSSIM系统中计算方法:

OSSIM系统在将资产价值(Asset)、优先级(Priority)、可靠性(Reliability)三个参数组合在一起进行风险的计算是简洁有效的,在OSSIM系统中使用以下公式:

Risk=asset*priority*reliability/25 (风险模型计算公式4-1

其中Asset(资产,取值范围0~5

Priority(优先级,取值范围0~5

Reliability(可信度,取值范围0~10

由公式(4-1)计算每个Alert事件的Risk值,其中

  Asset 的取值范围为 05asset默认值为2;在OSSIM系统中将资产的关注程度分为5级,取值由低到高分别为12345。从表面上理解,数字的大小决定了风险计算公式中Risk值的大小,但也有它深层次的含义,比如普通工作站资产等级为1,当它遭受DOS攻击时,我们只需要简单端口网络连接,如果是数据库服务器,它的资产等级为5,数据库服务需要实时在线,所以同样遭受DOS攻击我们就不能像工作站那样处理,而应自动启用备用IP地址并将攻击引向网络蜜罐系统。

  优先级Priority 的取值范围为 05,默认值为 1参数描述一次成功攻击所造成的危害程度,数值越大,则危害程度越高;

可信度或者叫可靠性Reliability 的取值范围为 010,默认值为 1,可靠性参数描述一次攻击可能成功的概率,最高值是10,代表100%可能,所以其值越高,代表越不可靠,大家也可以将此理解为被攻击的可能性

wKiom1avFVqS_woSAAIUgbhp0q0521.jpg

5.4 风险结果判定
风险等级划分为五级,等级越高,风险越高。评估者应根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。OSSIM系统在有一整套公式来综合评判系统风险。

wKioL1avH93RcFQAAAGozRD1LJI668.jpg

 

6.运维阶段风险评估辅助工具应用

运维阶段风险评估的目的是了解和控制运行过程中的信息系统安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。
(1)资产评估:对真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;
(2)威胁评估:真实环境中的威胁分析,应全面地评估威胁的可能性和影响程度。对非故意威胁产生安全事件的评估可以参照事故发生率;对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断;同时考虑已有控制措施;
(3)脆弱性评估:是全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性;对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性。对于管理脆弱性采取文档、记录核查进行验证;
(4)风险计算:根据本标准的相关方法,对主要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。

以下是OSSIM系统在一个界面中关联展示这些重要信息。
wKioL1avIany25U5AATaG7OAwDU979.jpg

 

7.OpenVas使用

企业网络安全测试、风险评估价格昂贵,效果可能并不理想,本文介绍免费的OSSIM系统您考虑试试吗?OpenVAS漏洞扫描指南内容参见:http://chenguang.blog.51cto.com/350944/1692490




 本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1739879,如需转载请自行联系原作者

相关文章
|
5月前
|
供应链 安全 数据安全/隐私保护
线上观看人次3万+!「系统安全技术沙龙-龙蜥社区走进浪潮信息专场」圆满结束
增强操作系统的安全防护能力,已然成为各行各业数字化建设中不可忽视且亟待解决的课题。
|
7月前
|
存储 安全 算法
信管知识梳理(五)信息系统安全技术
信息加密是指利用加密技术伪装信息,使未授权者不能理解它的真实含义。加密前的原始数据称为明文,加密后的数据称为密文,从明文到密文的过程称为加密(Encryption)。用于对数据加密的一组数学变化称为加密算法,加密在加密密钥的控制下进行。对数据加密的技术主要分为两类
119 0
|
7月前
|
存储 安全 网络安全
第十七章信息系统安全管理(选择2分)
第十七章信息系统安全管理(选择2分)
|
监控 安全 网络安全
网络信息安全之信息系统安全保障
信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。随着当前社会信息化程度的不断提高,各类信息系统越来越成为其所从属的组织机构生存和发展的关键因素,信息系统的安全风险也成为组织风险的一部分。同时,信息系统受来自于组织内部与外部环境的约束,信息系统的安全保障除了要充分分析信息系统本身的技术、业务、管理等特性,还要考虑这些约束条件所产生的要求。为了保障组织机构完成使命,系统安全管理人员必须针对信息系统面临的各种各样的风险制定相应的策略。
654 0
|
存储 人工智能 安全
网络信息系统安全的发展演变
网络信息系统安全随着通信技术和信息技术的发展,大致经历了通信保密年代、计算机系统安全年代、信息系统网络安全年代、网络空间安全年代。
330 0
|
安全 测试技术 网络安全
如何处理 网站被网安大队下发的信息系统安全等级保护限期整改通知书
  2018年6月,我们接到一位来自北京的新客户反映,说是他们单位收到一封来自北京市公安局海淀分局网安大队的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前,对网站进行安全整改,并要求提供完整的整改方案。
7570 0
|
安全 测试技术 网络安全
如何解决收到网监大队信息系统安全等级保护限期整改通知书
  2018年6月,我们接到一位来自北京的新客户反映,说是他们单位收到一封来自北京市公安局海淀分局网安大队的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前,对网站进行安全整改,并要求提供完整的整改方案。
5523 0
|
安全 Java 编解码
网络信息系统安全检测方案设计(上)
当前网络攻击日益猖獗,各种入侵手段层出不穷。众多信息系统因为只重视业务逻辑和敏捷开发的缘故,没有在安全检测这一块给予足够的关注和一定分析,从而往往成为黑客或不法分子眼中的目标。当前信息系统多为基于 Web 的 B/S 结构系统,故本文尝试提供一种基于 Web 服务安全检测和防御的设计,并给出代码实现,务求能够防御 Web 常见的 XSS 攻击、CSRF 攻击、CRLF 注入和 SQL 注入攻击,另外包括提供 POST 白名单检测和 Cookies 加密等。
1257 0
下一篇
无影云桌面