风险因素评估

4.2.3　风险因素评估

1.资产评估

信息资产的识别和赋值是指确定组织信息资产的范围，对信息资产进行识别、分类和分组等，并根据其安全特性进行赋值的过程。

信息资产识别和赋值可以确定评估的对象，是整个安全服务工作的基础。另外，本阶段还可以帮助客户实现信息资产识别和价值评定过程的标准化，确定一份完整的、最新的信息资产清单，这将为客户的信息资产管理工作提供极大帮助。

信息资产识别和赋值的首要步骤是识别信息资产，制定《信息资产列表》。信息资产按照性质和业务类型等可以分成若干资产类，如数据、软件、硬件、设备、服务和文档等。根据不同的项目目标与项目特点，重点识别的资产类别会有所不同，在通常的项目中一般以数据、软件和服务为重点。

资产赋值可以为机密性、完整性和可用性这三个安全特性分别赋予不同的价值等级，也可以用相对信息价值的货币来衡量。根据不同客户的行业特点、应用特性和安全目标，资产三个安全特性的价值会有所不同，如电信运营商更关注可用性、军事部门更关注机密性等。

《信息资产列表》将对项目范围内的所有相关信息资产做出明确的鉴别和分类，并将作为风险评估工作后续阶段的基础与依据。

2.威胁评估

（1）影响威胁发生的因素

威胁是指对组织的资产引起不期望事件而造成损害的潜在可能性。威胁可能源自对企业信息直接或间接的攻击，如非授权的泄露、篡改、删除等，从而使信息资产在机密性、完整性或可用性等方面造成损害；威胁也可能源自偶发或蓄意的事件。

一般来说，威胁只有利用企业、系统、应用或服务的弱点才有可能对资产成功实施破坏。威胁被定义为不期望发生的事件，这些事件会影响业务的正常运行，使企业不能顺利达成其最终目标。一些威胁是在已存在控制措施的情况下发生的，这些控制措施可能是没有正确配置或过了有效期，因此为威胁进入操作环境提供了机会，这个过程就是我们通常所说的利用漏洞的过程。

威胁评估是指列出每项抽样选取之信息资产面临的威胁，并对威胁发生的可能性进行赋值。

威胁发生的可能性受以下两方面因素影响：

●资产的吸引力和曝光程度、组织的知名度，这主要在考虑人为故意威胁时使用。

●资产转化成利润的容易程度，包括财务的利益、黑客获得运算能力很强和带宽很大的主机的使用权等利益，这主要在考虑人为故意威胁时使用。

（2）威胁分析

在对威胁进行评估之前，首先需要对威胁进行分析，威胁分析主要包括以下内容：

①潜在威胁分析

潜在威胁分析是指对用户信息安全方面潜在的威胁和可能的入侵做出全面的分析。潜在威胁主要是指根据每项资产的安全弱点而引发的安全威胁。通过对漏洞的进一步分析，可以对漏洞可能引发的威胁进行赋值，主要是依据威胁发生的可能性和造成后果的严重性来对其赋值。潜在威胁分析过程主要基于当前社会普遍存在的威胁列表和统计信息。

②威胁审计和入侵检测

威胁审计和入侵检测是指利用审计和技术工具对组织面临的威胁进行分析。威胁审计是指利用审计手段发现组织曾经发生过的威胁并加以分析。威胁审计的对象主要包括组织的安全事件记录、故障记录、系统日志等。在威胁审计过程中，咨询顾问收集这些历史资料，寻找异常现象，从中发现威胁情况并编写审计报告。入侵检测主要作用于网络空间，是指利用入侵检测系统对组织网络当前阶段所经受的内部和外部攻击或威胁进行分析。在入侵检测过程中，操作人员需编写检测方案，然后部署入侵检测系统，对来自内部和外部的攻击行为进行检测。入侵检测一般需持续20天左右，入侵检测完成后，分析人员根据入侵检测系统的日志完成分析报告。

③安全威胁综合分析

安全威胁综合分析是对前两项分析结果进行的综合分析，以便给出全面的威胁分析报告。威胁分析报告的内容与信息资产存在的漏洞相对应，并对威胁进行相应的赋值。

（3）威胁评估

在威胁分析的基础上，对威胁进行评估，威胁评估主要包括以下内容：

①威胁识别与建立威胁列表

建立一个完整的威胁列表可以有许多不同的方法。例如，可以建立一个检查列表，但需要注意不要过分依赖这种列表，如果使用不当，这种列表可能会造成评估人员思路的任意发散，使问题变得庞杂，因此在使用检查列表之前首先需要确保所涉及的威胁已被确认且全部威胁得到了覆盖。

另外一种收集威胁的方法是对历史记录进行检查。看一下什么事件已经发生过且多长时间发生一次。一旦发现存在这样的威胁，那么有必要确定威胁的发生概率。此类数据可以从多个渠道获得，如对自然威胁，可以从气象中心得到相关的自然灾害发生概率；对故意威胁，可以咨询当地的法律机构；对环境威胁，可以从基础设施的管理部门得到相关的数据。

在识别和确定威胁的过程中，头脑风暴法是一种比较有效的方法。将企业内部的管理人员和有关人员集中在一起，并首先为其提供一个大体的框架，然后让他们识别出他们所能想到的所有威胁。在采用头脑风暴法的过程中，没有所谓错误的答案，应确保所有的威胁都被识别出来。在完成信息收集工作后，下一步就要对这些信息进行合并和删减。

②确定威胁发生的可能性

威胁列表建立并在评估人员中达成共识后，下一步就要确定威胁发生的可能性。对威胁发生的可能性有一种简单的定义方法：威胁发生的可能性高是指在下一年中这种威胁很可能发生；威胁发生的可能性中等是指在下一年中这种威胁可能发生；威胁发生的可能性低是指在下一年中这种威胁不太可能发生。

需要注意的是，当评估小组将这种定义确定后，一定要保证概率的时间跨度能够满足企业的需要。

③确定威胁产生的影响

确定威胁发生的可能性后，下一步就要确定威胁对企业运营可能产生的影响。在确定影响值之前，首先需要明确定义风险分析范围。对评估小组人员来说，应对所评估的信息资产的使命和目的有正确认识，明确所评估的信息资产对企业整个目标的作用和影响。

在确定风险级别（可能性与影响）时，应建立一个评估框架，通过它来确定风险情况。另外，还应考虑到已有控制措施对威胁可能产生的阻碍作用。典型的做法是：在对某个框架进行评估时，首先假设发现的威胁是在没有控制措施的情况下发生的，这样有助于风险评估小组建立一个最基本的风险基线，在此基线基础上再来识别安全控制和安全防护措施，以及评价这些措施的有效性。威胁发生概率和产生影响的评估结论是识别和确定每种威胁发生风险的等级。对风险进行等级化需要对威胁产生的影响做出定义，如可将风险定义为高、中、低等风险，也可以建立一个概率—影响矩阵，即风险矩阵，如图4-3所示。

图4-3　风险矩阵

3.弱点评估

弱点评估是指通过技术检测、试验和审计等方法，寻找用户信息资产中可能存在的弱点，并对弱点的严重性进行估值。

（1）弱点的严重性

弱点的严重性主要是指可能引发的影响的严重性，因此与影响密切相关。关于技术性弱点的严重性，一般都是指可能引发的影响的严重性，通常将之分为高、中、低三个等级，简单定义如下：

●高等级。可能导致超级用户权限被获取、机密系统文件被读/写、系统崩溃等严重资产损害的影响；一般指远程缓冲区溢出、超级用户密码强度太弱、严重拒绝服务攻击等弱点。

●中等级。介于高等级和低等级之间的弱点，一般不能直接被威胁利用，需要和其他弱点组合后才能产生影响，或者可以直接被威胁利用，但只能产生中等影响。一般指不能直接被利用而造成超级用户权限被获取、机密系统文件被读/写、系统崩溃等影响的弱点。

●低等级。可能会导致一些非机密信息泄露、非严重滥用和误用等不太严重的影响。一般指信息泄露、配置不规范。如果配置不当可能会引起危害的弱点，这些弱点即使被威胁利用也不会引起严重的影响。

参考这些业界通用的弱点严重性等级划分标准，在实际工作过程中一般采用以下等级划分标准，即把资产的弱点严重性分为5个等级，分别为很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且从高到低分别赋值为4、3、2、1、0，如表4-1所示。

在实际评估工作中，技术性弱点的严重性值一般参考扫描器或CVE标准中的值，并做适当修正，以获得适用的弱点严重性值。

弱点评估可以分别在管理和技术两个层面上进行，主要包括技术弱点检测、网络构架与业务流程分析、策略与安全控制实施审计、安全弱点综合分析等。

表4-1　弱点严重性赋值标准

（2）技术弱点检测

技术弱点检测是指通过工具和技术手段对用户实际信息进行弱点检测，技术弱点检测包括扫描和模拟渗透测试。

①扫描

根据扫描范围不同，分为远程扫描和本地扫描。

远程扫描指从组织外部用扫描工具对整个网络的交换机、服务器、主机和客户机进行检查，检测这些系统是否存在已知弱点。远程扫描对统计分析用户信息系统弱点的分布范围、出现概率等起着重要作用。在远程扫描过程中，咨询顾问首先需要制定扫描计划，确定扫描内容、工具和方法，在计划中必须考虑到扫描过程对系统正常运行可能造成的影响，并提出相应的风险规避和紧急处理、恢复措施，然后向客户提交扫描申请，征得客户同意后开始部署扫描工具，配置并开始自动扫描过程。远程扫描的时间一般视扫描范围和数量而定。远程扫描完成后，咨询顾问对扫描结果进行分析，并编制完成《远程扫描评估报告》。

本地扫描指从组织内部用扫描工具对内部网络的交换机、服务器、主机和客户机进行检查，检测这些系统是否存在已知弱点。由于大部分组织对网络内部的防护通常要弱于外部防护，因此本地扫描在发现弱点的能力方面要比远程扫描强。类似地，在本地扫描过程中，也首先需要制定扫描计划，确定扫描内容、工具和方法，以及考虑扫描过程对系统正常运行可能造成的影响，并提出相应的风险规避和紧急处理、恢复措施；然后向客户提交扫描申请，征得客户同意后开始部署扫描工具，配置并开始自动扫描过程。本地扫描完成后，对扫描结果进行分析并编制完成《本地扫描评估报告》。

扫描是信息收集的过程，信息收集分析几乎是所有入侵攻击的前提。通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击（检查）计划，提高入侵（检查）的成功率，对入侵者来说还能减小暴露或被发现的概率。

②模拟渗透测试

模拟渗透测试是指在客户的允许下和可控的范围内，采取可控的、不会造成不可弥补损失的黑客入侵手法，对客户网络和系统发起“真正”攻击，发现并利用其弱点实现对系统的入侵。

在进行模拟渗透测试时，工程师利用安全扫描器和其丰富的经验对网络中的核心服务器和重要的网络设备，包括服务器、交换机、防火墙等进行非破坏性的模拟黑客攻击，目的是侵入系统并获取机密信息，并将入侵的过程和细节生成报告提交给用户，由此来确定用户系统所存在的安全威胁，并及时提醒安全管理员完善安全策略，降低安全风险。

渗透测试和工具扫描可以很好地实现互相补充。工具扫描具有很好的效率和速度，但存在一定的误报率，不能发现深层次、复杂的安全问题。渗透测试需要投入的人力资源较大、对测试者的专业技能要求较高（渗透测试报告的价值直接依赖于测试者的专业技能），但可以发现逻辑性更强、更深层次的弱点。

许多成功的入侵都是对多个弱点综合利用的结果，这是工具扫描所无法达到的。渗透测试为弱点严重性的判断提供了良好依据。为了保证模拟渗透测试的可控性，避免对客户信息系统造成不可恢复的损害，模拟渗透测试应严格按流程进行，并必须在得到客户委托的基础上进行测试操作。客户委托是进行渗透测试的必要条件，应保证用户对渗透测试所有细节和风险都知晓，所有的过程都应在用户控制下进行。

通过收集信息和分析，存在两种可能性：一是目标系统存在重大弱点，测试者可以直接控制目标系统，此时测试者可以直接调查目标系统中的弱点分布、原因，并形成最终的测试报告；二是目标系统不存在重大的远程弱点，但可以获得普通的远程权限，此时测试者可以通过该普通权限进一步收集目标系统的信息，并在之后尽最大努力，在分析本地资料信息的基础上寻求升级本地权限的机会。这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。渗透测试的结果将以《渗透测试报告》的形式提交，同时提交相应主机系统的安全加固方案。渗透测试是安全威胁分析的一个重要数据来源。

为防止在渗透测试过程中出现异常情况，所有目标系统在被评估之前都应做一次完整的系统备份，或者关闭正在进行的操作，以便在系统发生灾难后能够及时恢复。如对操作系统类，可制作系统应急盘，对系统信息、注册表、sam文件、/etc中的配置文件，以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并确保备份的自身安全；如对数据库系统类，可对数据库系统进行数据转储，同时对数据库系统的配置信息和用户信息进行备份，并妥善保护好备份数据；如对网络应用系统类，可对网络应用服务系统及其配置、用户信息、数据库等进行备份；如对网络设备类，可对网络设备的配置文件进行备份；如对桌面系统类，可备份用户信息、用户文档、电子邮件等信息资料。

渗透测试过程的最大风险在于测试过程中对业务产生的影响，因此应采取有效的措施来减小风险。例如，在渗透测试过程中不使用含有拒绝服务的测试策略；将渗透测试时间安排在业务量不大的时段或晚上进行；在渗透测试过程中如果出现目标系统没有响应的情况，那么应立即停止测试工作，与用户相关人员一起分析情况，在确定原因后并采取必要的预防措施（如调整测试策略等）后，再继续进行测试。实施模拟渗透测试的工程师和用户相关人员应保持良好沟通，随时协商解决出现的各种难题。

（3）网络架构与业务流程分析

网络架构和业务流程审计是指通过绘制详细的网络拓扑图和业务流程并进行审计，来发现可能存在的安全漏洞。网络拓扑、系统配置和业务流程是信息系统的重要参数，那些被用户忽略的不正确配置很有可能成为系统的弱点，而且由于存在着密切的联系，这三者之间缺乏一致性，同样可能成为弱点。因此网络架构和业务流程审计的目的正是在于检验这些参数的正确性和一致性。在网络架构和业务流程审计过程中，评估人员首先对用户的网络和应用情况做尽可能全面的了解，然后绘出网络拓扑图和业务流程图，根据分析人员的经验寻找其中存在的问题。

（4）策略与安全控制实施审计

策略与安全控制实施审计是指收集组织的策略文档和安全控制手段并进行审计，以发现其中可能存在的弱点。

对现有安全措施进行评估也需要进行对安全策略实施审计，但二者的审计内容是不同的。在弱点评估中，策略和安全控制审计强调发现策略文档和安全控制措施本身是否存在弱点，而在现有安全措施评估中，策略和安全控制实施审计则主要强调对策略和安全控制实施情况的审计，即看实际情况是否与策略文档和安全控制相一致。

在对策略与安全控制进行审计过程中，评估人员首先需要全面搜集组织的安全策略与安全控制文档，搜集范围包括信息安全相关的策略、规章制度、标准规范、流程、指南、通知、条例、处理办法等任何正式成文的内容，这些文档可以是已经正式发布的，也可以是正在编制和修订的；然后阅读这些文档并进行分析评价，会同用户有关责任人召开沟通和答疑会，对阅读和分析过程中存在的疑问进行沟通。除此之外，咨询顾问还可以依据标准安全策略框架（如ISO17799/BS7799）对用户有关人员进行访谈，以寻找那些可能已经实施但未成文的安全策略和安全控制，最后编制完成《策略与安全控制审计报告》。

（5）安全弱点综合分析

安全弱点综合分析是指根据技术弱点检测和审计结果，对组织的安全弱点进行综合分析，并做出评估报告。安全弱点综合评估报告是对所评估信息资产相关信息系统安全弱点的全面描述，报告应包括评估的记录数据、数据的分类分析、数据的综合分析，以及对弱点所做的评价和评级等内容。