|
啟明星辰網(wǎng)絡(luò)安全白皮書(shū)
資源天下 2019/8/28 18:24:55
(接上頁(yè))
來(lái)自公司其他部門的危險(xiǎn)因素���;
來(lái)自Internet的危險(xiǎn)因素���;
即有多少接口就有多少威脅發(fā)生的途徑�����。
(2)來(lái)自內(nèi)部的威脅
通過(guò)對(duì)網(wǎng)絡(luò)已有犯罪案例的分析可以發(fā)現(xiàn)�,內(nèi)部犯罪一直以其嚴(yán)重的危害性與相對(duì)較高的成功機(jī)率給網(wǎng)絡(luò)帶來(lái)巨大損失�����,其威脅途徑基本是:
來(lái)自本地網(wǎng)的內(nèi)部威脅:指從本地一臺(tái)主機(jī)通過(guò)內(nèi)部網(wǎng)對(duì)本地另一臺(tái)主機(jī)的攻擊����。
來(lái)自本地系統(tǒng)的內(nèi)部威脅:指直接對(duì)主機(jī)的非法行為,如侵襲者通過(guò)磁盤(pán)拷貝��、電子郵件等盜竊主機(jī)上的機(jī)密數(shù)據(jù)��。
2.2.4 脆弱性分析
在分析了威脅發(fā)生的途徑后��,就需要驗(yàn)證可能發(fā)生的威脅在系統(tǒng)上是否存在在這些方面的薄弱環(huán)節(jié)��,有可能使惡意行為通過(guò)這些方法得逞��。對(duì)系統(tǒng)的脆弱性評(píng)估應(yīng)從以下三個(gè)角度進(jìn)行:
系統(tǒng)角度:采用系統(tǒng)分析工具對(duì)選定系統(tǒng)的分析;
內(nèi)網(wǎng)角度:采用漏洞掃描工具從內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描�����,采用滲透性測(cè)試���,模擬已進(jìn)入內(nèi)網(wǎng)的非法行為進(jìn)行安全性測(cè)試�;
外網(wǎng)角度:從外部對(duì)系統(tǒng)進(jìn)行掃描及滲透性測(cè)試����,如從Internet發(fā)起測(cè)試。
2.3 損失分析
風(fēng)險(xiǎn)事故造成的損失大小要從三個(gè)方面來(lái)衡量:損失性質(zhì)�����、損失范圍和損失時(shí)間分布����。
損失性質(zhì)指損失是屬于公司品牌性質(zhì)的、經(jīng)濟(jì)性的還是技術(shù)性的����。損失范圍包括:嚴(yán)重程度、分布情況�����。時(shí)間分布指損失的時(shí)間范圍�,即遭受損失后可以在多長(zhǎng)的時(shí)間內(nèi)恢復(fù)回來(lái)。
對(duì)于損失的嚴(yán)重程度�����,可以采用定量評(píng)估的方式進(jìn)行財(cái)產(chǎn)估價(jià)����,針對(duì)業(yè)務(wù)系統(tǒng)的財(cái)產(chǎn)估價(jià),主要通過(guò)估算每日平均交易額����、分部開(kāi)戶數(shù)、分部平均開(kāi)戶金額等幾個(gè)方面估價(jià)�。
2.4 風(fēng)險(xiǎn)評(píng)價(jià)
上述工作是對(duì)各部分威脅逐一分析,而在風(fēng)險(xiǎn)評(píng)價(jià)階段主要考慮單個(gè)風(fēng)險(xiǎn)綜合起來(lái)的效果�,及風(fēng)險(xiǎn)是否能被用戶接受。主要工作分三步:
確定風(fēng)險(xiǎn)評(píng)價(jià)基準(zhǔn)�����。指用戶對(duì)每一種風(fēng)險(xiǎn)后果的可接受水平��,單個(gè)風(fēng)險(xiǎn)和整體風(fēng)險(xiǎn)都要確定評(píng)價(jià)基準(zhǔn)。
確定整體風(fēng)險(xiǎn)水平���,它是綜合了所有個(gè)別風(fēng)險(xiǎn)后確定的�。
將單個(gè)風(fēng)險(xiǎn)與單個(gè)評(píng)價(jià)基準(zhǔn)�����、整體風(fēng)險(xiǎn)水平與整體評(píng)價(jià)基準(zhǔn)對(duì)比�,確定風(fēng)險(xiǎn)是否在可接受范圍內(nèi),進(jìn)而確定下一步應(yīng)該進(jìn)行的工作����。
由于威脅的程度很難用具體數(shù)字來(lái)表示,而為了盡可能明晰風(fēng)險(xiǎn)程度�����,我們采用下述風(fēng)險(xiǎn)評(píng)級(jí)的方式進(jìn)行標(biāo)識(shí):
表2.1評(píng)級(jí)方式
風(fēng)險(xiǎn)評(píng)級(jí) 風(fēng)險(xiǎn)級(jí)別 說(shuō) 明
極高 5 極有可能出問(wèn)題
很高 4 很有可能出問(wèn)題
高 3 有可能出問(wèn)題
一般 2 不會(huì)出大問(wèn)題
低 1 基本不會(huì)出問(wèn)題
2.5 建議方案
對(duì)于發(fā)現(xiàn)的風(fēng)險(xiǎn)��,一般有三種策略去處理它����,具體選擇哪一種取決于面臨的風(fēng)險(xiǎn)形勢(shì):
(1)接受風(fēng)險(xiǎn)
評(píng)估后用戶認(rèn)為風(fēng)險(xiǎn)事件造成的損失在可容忍的范圍之內(nèi),可以把風(fēng)險(xiǎn)事件的不利后果接受下來(lái)��������;蛴辛己玫慕M織管理及應(yīng)急計(jì)劃管理����,當(dāng)風(fēng)險(xiǎn)事件發(fā)生時(shí)可以馬上執(zhí)行應(yīng)急計(jì)劃����。
(2)降低風(fēng)險(xiǎn)
降低風(fēng)險(xiǎn)發(fā)生的可能性或減少后果造成的不利影響,具體要達(dá)到的目標(biāo)及采用的措施要根據(jù)上述分析結(jié)果中發(fā)現(xiàn)的問(wèn)題及用戶的期望來(lái)定���。
(3)轉(zhuǎn)移風(fēng)險(xiǎn)
即外包的方式���,借用合同或協(xié)議,在風(fēng)險(xiǎn)事故發(fā)生時(shí)將損失一部分轉(zhuǎn)移到第三方���,一般在用戶資源有限��,不能實(shí)行降低風(fēng)險(xiǎn)策略時(shí)采用����。
3. 網(wǎng)絡(luò)安全策略
安全策略是整體安全策略應(yīng)包含三個(gè)層面:人、技術(shù)和行動(dòng)�。
3.1 與人相關(guān)的安全策略
(1)培訓(xùn)
針對(duì)具體崗位的知識(shí)需求開(kāi)展基于角色的網(wǎng)絡(luò)安全知識(shí)與技能培訓(xùn)。培訓(xùn)的投資回報(bào)比極高(R.O.I=211:1)�����。(R.O.I=return on investment��,數(shù)據(jù)來(lái)源于2001年CSI會(huì)議論文)
(2)意識(shí)培養(yǎng)
培養(yǎng)全體工作人員以及用戶的安全意識(shí)與自我保護(hù)水平(R.O.I=872:1)�����。
(3)人事安全
定義工作崗位���、合理分配資源����,減少內(nèi)部攻擊事件發(fā)生的可能性����。
(4)物理安全
物理安全較早便已引起了人們的關(guān)注,但實(shí)踐表明���,信息時(shí)代���,物理安全恰恰是信息系統(tǒng)安全中最容易被忽視然而卻會(huì)造成巨大損失的環(huán)節(jié)�。
(5)安全管理
要加強(qiáng)網(wǎng)絡(luò)和信息安全管理�,包括規(guī)章制度和操作流程的制定、相關(guān)法律法規(guī)的普及以及安全組織結(jié)構(gòu)的建立����。
3.2 與“技術(shù)”相關(guān)的安全策略
(1)網(wǎng)絡(luò)可用性的保護(hù)
在信息安全的三大屬性(保密性、完整性�、可用性)中����,安全需求主要體現(xiàn)為可用性需求。因此����,在“技(未完,下一頁(yè))
|