信安软考 第十六章 网络安全风险评估技术原理与应用

一、网络安全风险评估概述

1.1 网络安全风险评估概念与要素

• 网络安全风险，是指由于网络系统所存在的脆弱性，因人为或自然地威胁导致安全事件发生所造成的可能性影响。网络安全风险评估（简称“网络风险评估”）就是指依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学的评价的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认网络安全风险等级。

简单的来说，网络风险评估就是评估威胁者利用网络资产的脆弱性，造成网络资产损失的严重程度。

• 网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素，各要素之间相互作用。资产因为其价值受到威胁，威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护，修补自资产的脆弱性，从而降低资产的风险。

1.2 网络风险评估模式

  根据评估方与被评估方的关系以及网络资产的所属关系，风险评估模式有自评估、

    （1）自评估：网络系统拥有者依靠自身力量，对自有网络系统进行的风险评估

    （2）检查评估：有网络安全主管机关或业务主管机发起，旨在根据已颁布的安全法规、安全标准或安全管理规定等进行检查评估

    （3）委托评估：委托具有风险评估能力的专业评估机构实施的评估活动

---

二、 网络安全风险评估过程

   网络安全风险评估工作涉及多个环节，主要包括网络风险评估准备、资产识别、威胁识别、脆弱性识别，已有网络安全措施分析、网络安全风险处置与管理等，如图所示。下图只是一个网络风险评估工作的基本过程实际评估中可更具不同的目的和环境，简化或补充各步骤细节

（1）网络风险评估准备

  首要工作是确定评估对象和范围。网络评估范围一般包括如下内容

• 网络系统拓扑结构；
• 网络通信协议
• 网络地址分配
• 网络设备
• 网络服务
• 网上业务类型与业务信息流程
• 网络安全防范措施（防火墙、IDS、保安系统等）
• 网络操作系统
• 网络相关人员；
• 网络物理环境（如建筑、设备位置）
    
  这个阶段最终生成评估文档《网络风险评估范围界定报告》，该报告是后续评估工作的范围限定

（2）资产识别

  资产识别包含“网络资产鉴定”和“网络资产评估估算”两个步骤。前者给出评估所考虑的具体对象，确定网络资产种类和清单。（常见的资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面）后者是某一具体资产在网络系统中的重要程度确认。阻止按照自己的实际情况，将资产按其对于业务的重要性进行赋值，得到资产重要性等级划分表。

（3）威胁识别

  威胁识别是对网络资产有可能受到的危害进行分析，一般从威胁来源、威胁途径、威胁一度几个方面来分析，如图。

（4）脆弱性识别

  指通过各种测试方法，获得网络资产中所有存在缺陷清单，这些缺陷会导致对信息资产的非授权方根、泄密、失控、破坏或不可用、绕过已有的安全机制，缺陷的存在将会危及网络资产的安全

（5）已有安全措施确认

  对评估对象已采取的各种预防和保护性安全措施的有效性进行确认，评估安全措施能否防止脆弱性被利用，能否抵御已确认的安全威胁

（6）网络安全风险分析

  网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估的基础上，综合利用定性和定量的分析方法，选择适当的风险技术方法或工具确定风险的大小与风险等级，即对网络系统管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方法。通过分析所评估的数据，进行风险值计算。网络安全风险分析的过程如图。

（7）网络安全风险处置与管理

  对不可接受的相关风险，应根据导致该风险的脆弱性定制风险处理计划。风险处理计划种明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择从管理与技术两个方面考虑。安全措施的选择与实施参照信息安全的先关标准进行。目前，网络安全风险管理的控制措施主要有以下十大类：

• 制订明确安全策略
• 建立安全组织
• 实施网络资产分类控制
• 加强人员安全管理
• 保证物理实体和环境安全
• 加强安全通信运行
• 采取访问控制机制
• 进行安全系统开发与维护
• 保证业务持续运行
• 遵循法律法规、安全目标一致性检查

三、网络安全风险评估技术方法与工具

• 信息资产收集：通过调查表形式，查询资产登记数据库，对被评估的网络信息系统的资产信息进行收集，以掌握被评估对象的重要资产分布，进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性

• 网络拓扑发现：用于获取评估网络信息系统的资产关系结构信息，进而获取资产信息。常见的网络拓扑发现工具有ping、traceroute以及网络管理平台

• 网络安全漏洞扫描：网络安全漏洞扫描可以自动搜索待评估对象的漏洞信息，以评估其脆弱性。一般可以利用多种专业的扫描工具，以待评估对象进行漏洞扫描，并对不同的扫描结果进行交叉验证，形成扫描结果记录。

• 人工检查：人工检查是通过人直接操作评估对象以获取所需要的评估信息。

• 网络安全渗透测试：网络安全渗透测试是指在获得法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。其主要工作有目标系统的安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。常见的渗透测试集成工具箱有BackTrack5、Metasploit、Cobalt Strike等

• 问卷调查：采用书面形式获得被评估信息系统的相关信息，以掌握信息系统的基本安全状况。

• 网络安全访谈：与安全专家和网络系统的使用、管理等相关人员直接交谈，以考查或证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。

• 审计数据分析：审计数据分析通常用于威胁识别，审计在分析的作用包括侵害行为检测、异常事件检测、潜在攻击征兆发觉等。审计数据分析常常采用数据统计、特征模式匹配等多种技术，从审计数据中寻找安全事件有关信息。

• 入侵检测：网络安全风险评估人员将入侵检测软件或设备接入待评估的网络中，然后采集评估对象的威胁信息和安全状态。

四、网络安全风险评估项目流程与工作内容

（1）评估工程前期准备

  风险评估需求调查是评估后续工作开展的前提，其内容包括评估对象确定、评估范围界定、评估的粒度和评估的时间等。由于风险评估活动涉及单位的不同领域和人员，需要多方面的协调，必要的、充分的准备是风险评估成功的关键。评估前期准备工作至少包括一下内容：

• 确定风险评估需求目标，其中包括评估对象、评估范围、评估的粒度和评估的时间等
• 签订和通和保密协议
• 成立评估工作组
• 选择评估模式

（2）评估方案设计与论证

  评估方案设计依据被评估方的安全需求来制定，需经过双方讨论并论证通过后方可进行下一步工作。评估方案设计主要是确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容。为确保评估方案的可行性，评估工作小组应组织相关人员讨论，听取各方意见，然后修改评估方案，直至论证通过。

（3）评估方案实施

  在评估方案论证通过后，才能组织相关人员对方案进行实施。评估方案实施内容主要包括评估对象的基本情况调查、安全需求挖掘以及确定具体操作步骤，评估实施过程中应避免改变系统的任何设置或必须备份系统原有的配置，并书面记录操作过程和相关数据。工作实施应必须有工作备忘录，内容包括评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存等。敏感系统的测试，参加评估实施的人员要求至少两人，且必须领导签字批准。

（4）风险评估报告撰写

  根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。评估报告是风险评估结果的记录文件，是组织实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料，因此，报告必须做到有据可查。报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。

（5）评估结果审评与认可

  最高管理层或其委托的机构应组织召开评估工作结束会议，总结评估工作， 对风险评估活动进行评审，以确保风险评估活动的适宜、充分和有效。评估认可是单位最高管理者或上级主管机关对风险评估结果的验收，是本次风险评估活动结束的标志。评估项目负责方应将评估工作经验形成书面文字材料，一并把评估数据、 评估方案、评估报告等相关文档备案处理。

五、网络安全风险评估应用场景

  网络信息技术与系统的安全管理日益复杂，国内外都认同网络安全风险评估的重要性，建议网络安全风险评估制度化。网络安全评估的主要应用场景可以归结为以下几个方面。

• 网络安全规划和设计：网络安全风险评估是网络信息系统安全建设的基础性工作，它有利于网络安全规划和设计，明晰网络安全保障需求。通过网络安全风险评估，有利于科学地分析和理解网络信息系统在保密性、完整性、可用性、可控性等方面所面临的风险问题，并为网络安全风险的减少、转移和规避等风险控制提供决策依据,更加明确网络信息系统的安全建设需求，从而有利于网络信息系统的安全投资、网络安全措施的选择、网络安全保障体系的建设等，增加网络信息系统的信息安全建设价值。
• 网络安全等级保护：网络安全风险评估有利于网络系统的安全防护做到重点突出，分级防护。实际上，风险总是不可避免地客观存在，工作过程不可能做到绝对安全。因此，追求绝对安全和完全回避风险都是不现实的，安全是风险与成本的综合平衡。通过网络安全风险评估，有利于网络信息系统进行定级备案，满足国家网络安全法律法规要求，有利于网络安全合规建设和管理。
• 网络运维与应急响应：网络安全风险评估是网络安全运维与应急响应的重要日常工作。由于网络安全威胁、新漏洞发现、恶意代码的攻击等不可确定性，持续性地开展网络安全风险评估，及时调整安全措施，有利于维护网络信息系统的安全。
• 数据安全管理与运营：数据安全评估有利于识别数据资产的类型和等级、建立数据安全保护策略