基於OSSIM平臺的信息系統安全風險評估實施指南

基於OSSIM平臺的信息系統安全風險評估實施指南

 

一些人會認爲，風險評估不就是掃描主機麻，拿一些國外著名安全工具全網掃描，這種行爲就是風險評估，效果確定好不了，如今不少公司內網都有自動補丁分發系統，殺毒系統，等等，最重要的問題是掃描出的東西是你關心的內容嗎？其實要進行風險評估，首先要進行網絡資產調研。下面一些基本概念必須瞭解。

 

 1. 風險要素關係

信息是一種資產，資產全部者應對信息資產進行保護，經過分析信息資產的脆弱性來肯定威脅可能利用哪些弱點來破壞其安全性。風險評估要識別資產相關要素的關係，從而判斷資產面臨的風險大小。

圖1 風險要素關係

 

圖1中方框部分的內容爲風險評估的基本要素，橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞其基本要素展開，在對這些要素的評估過程當中須要充分考慮業務戰略、資產價值、安全需求、安全事件、殘餘風險等與這些基本要素相關的各種屬性。
圖1中的風險要素及屬性之間存在着如下關係：
（1）業務戰略依賴資產去實現；
（2）資產是有價值的，組織的業務戰略對資產的依賴度越高，資產價值就越大；
（3）資產價值越大則其面臨的風險越大；
（4）風險是由威脅引起的，資產面臨的威脅越多則風險越大，並可能演變成安全事件；
（5）弱點越多，威脅利用脆弱性致使安全事件的可能性越大；
（6）脆弱性是未被知足的安全需求，威脅要經過利用脆弱性來危害資產，從而造成風險；
（7）風險的存在及對風險的認識導出安全需求；
（8）安全需求可經過安全措施得以知足，須要結合資產價值考慮實施成本；
（9）安全措施可抵禦威脅，下降安全事件的發生的可能性，並減小影響；
（10）風險不可能也沒有必要降爲零，在實施了安全措施後還會有殘留下來的風險。有些殘餘風險來自於安全措施可能不當或無效,在之後須要繼續控制，而有些殘餘風險則是在綜合考慮了安全成本與效益後未控制的風險，是能夠被接受的；

 

2　資產分類
風險評估中，資產大多屬於不一樣的信息系統，如OA系統、網管系統、業務生產系統等，並且對於提供多種業務的組織，其支持業務持續運行的系統數量可能更多。這時首先須要將信息系統及相關的資產進行恰當的分類，以此爲基礎進行下一步的風險評估。在實際工做中，具體的資產分類方法能夠根據具體的評估對象和要求，由評估者來靈活把握。
根據資產的表現形式，可將資產分爲數據、軟件、硬件、文檔、服務、人員等類。

 

3 資產賦值
對資產的賦值不只要考慮資產自己的價值，更重要的是要考慮資產的安全情況對於組織的重要性，即由資產在其三個安全屬性上的達成程度決定。爲確保資產賦值時的一致性和準確性，組織應創建一個資產價值評價尺度，以指導資產賦值。
資產賦值的過程也就是對資產在機密性、完整性和可用性上的達成程度進行分析，並在此基礎上得出一個綜合結果的過程。達成程度可由安全屬性缺失時形成的影響來表示，這種影響可能形成某些資產的損害以致危及信息系統，還可能致使經濟效益、市場份額或組織形象的損失。

OSSIM系統中資產賦值以下圖所示。

爲資產賦值以後，咱們可以狠方便的在衆多資產中過濾出重要資產。

 

4. 資產合理分組

 資產的分組也是爲了對資產進行精細化管理。

5 風險分析
5.1 風險計算原理
在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認後，將採用適當的方法與工具肯定威脅利用脆弱性致使安全事件發生的可能性，考慮安全事件一旦發生其所做用的資產的重要性及脆弱性的嚴重程度判斷安全事件形成的損失對組織的影響，即安全風險。
5.2 計算安全事件發生的可能性
根據威脅出現頻率及脆弱性情況，計算威脅利用脆弱性致使安全事件發生的可能性，即：
安全事件發生的可能性=L(威脅出現頻率，脆弱性)＝L(T，V )
在具體評估中，應綜合***者技術能力（專業技術程度、***設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操做知識公開程度等）以及資產吸引力等因素來判斷安全事件發生的可能性。
5.三、計算風險值
根據計算出的安全事件發生的可能性以及安全事件的損失，計算風險值，即：
風險值=R(安全事件發生的可能性，安全事件的損失)＝R(L(T，V)，F(Ia，Va ))
評估者可根據自身狀況選擇相應的風險計算方法計算風險值。如矩陣法或相乘法，經過構造經驗函數，矩陣法可造成安全事件發生的可能性與安全事件的損失之間的二維關係；運用相乘法能夠將安全事件發生的可能性與安全事件的損失相乘獲得風險值。

OSSIM系統中計算方法：

OSSIM系統在將資產價值（Asset）、優先級（Priority）、可靠性（Reliability）三個參數組合在一塊兒進行風險的計算是簡潔有效的，在OSSIM系統中使用如下公式：

Risk=asset*priority*reliability/25 （風險模型計算公式4-1）

其中Asset（資產，取值範圍0~5）

Priority（優先級，取值範圍0~5）

Reliability（可信度，取值範圍0~10）

由公式（4-1）計算每一個Alert事件的Risk值，其中

  Asset 的取值範圍爲 0～5，asset默認值爲2；在OSSIM系統中將資產的關注程度分爲5級，取值由低到高分別爲1、2、3、4、5。從表面上理解，數字的大小決定了風險計算公式中Risk值的大小，但也有它深層次的含義，好比普通工做站資產等級爲1，當它遭受DOS***時，咱們只須要簡單端口網絡鏈接，若是是數據庫服務器，它的資產等級爲5，數據庫服務須要實時在線，因此一樣遭受DOS***咱們就不能像工做站那樣處理，而應自動啓用備用IP地址並將***引向網絡蜜罐系統。

  優先級Priority 的取值範圍爲 0～5，默認值爲 1，該參數描述一次成功***所形成的危害程度，數值越大，則危害程度越高；

可信度或者叫可靠性Reliability 的取值範圍爲 0～10，默認值爲 1，可靠性參數描述一次***可能成功的機率，最高值是10，表明100%可能，因此其值越高，表明越不可靠，你們也能夠將此理解爲被***的可能性。

5.4 風險結果斷定
風險等級劃分爲五級，等級越高，風險越高。評估者應根據所採用的風險計算方法爲每一個等級設定風險值範圍，並對全部風險計算結果進行等級處理。OSSIM系統在有一整套公式來綜合評判系統風險。

 

6.運維階段風險評估輔助工具應用

運維階段風險評估的目的是瞭解和控制運行過程當中的信息系統安全風險，是一種較爲全面的風險評估。評估內容包括對真實運行的信息系統、資產、威脅、脆弱性等各方面。
（1）資產評估：對真實環境下較爲細緻的評估，包括實施階段採購的軟硬件資產、系統運行過程當中生成的信息資產、相關的人員與服務等。本階段資產識別是前期資產識別的補充與增長；
（2）威脅評估：真實環境中的威脅分析，應全面地評估威脅的可能性和影響程度。對非故意威脅產生安全事件的評估能夠參照事故發生率；對故意威脅主要由評估人員就威脅的各個影響因素作出專業判斷；同時考慮已有控制措施；
（3）脆弱性評估：是全面的脆弱性評估。包括運行環境下物理、網絡、系統、應用、安全保障設備、管理的脆弱性。對於技術的脆弱性評估採起覈查、掃描、案例驗證、***性測試的方式驗證脆弱性；對安全保障設備脆弱性評估時考慮安全功能的實現狀況和安全措施自己的脆弱性。對於管理脆弱性採起文檔、記錄覈查進行驗證；
（4）風險計算：根據本標準的相關方法，對主要資產的風險進行定性或定量的風險分析，描述不一樣資產的風險高低情況。

如下是OSSIM系統在一個界面中關聯展現這些重要信息。

 

7.OpenVas使用

企業網絡安全測試、風險評估價格昂貴，效果可能並不理想，本文介紹免費的OSSIM系統您考慮試試嗎？OpenVAS漏洞掃描指南內容參見：http://chenguang.blog.51cto.com/350944/1692490

 

更多內容你們參考《開源安全運維平臺OSSIM最佳實踐》一書。