资产识别
1. 风险的定义 P183
普遍风险:风险是不确定性对目标的影响。
信息安全风险:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响。
2. 风险和安全 P183
在信息时代,永远没有绝对的安全和零风险。
风险评估最本质的思想:将风险控制在能够承受的范围之内。
3. 威胁和脆弱性 P183
在信息安全风险的定义中,威胁和脆弱性(漏洞)是相辅相成的,前者是产生风险的外因,后者是内因。
对于风险的产生,二者缺一不可。
4. 资产和资产价值的定义 P184
资产:即对组织具有价值的信息或资源,是安全策略保护的对象。
资产价值:即资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
资产识别是威胁识别、脆弱性识别、风险计算的基础。
5. 风险评估和等级保护 P184-185
资产价值决定的大小决定了安全需求的多少,安全需求决定了必须采取什么样的安全措施(安全解决方案)。
等级保护是国家信息安全的基本制度,风险评估是实施等级保护的重要手段。
资产识别是科学定级的主要依据。
资产识别决定资产价值大小,资产价值的大小决定安全需求和安全措施。
6. 资产安全性赋值 P190
包括资产保密性、完整性和可用性赋值。
每项都采用分级的方式:由高到低依次赋值:很高(5级)、高、中等、低、很低(1级)。
威胁识别
1. 威胁和威胁识别定义 P218-219
威胁包括来自虚拟空间的各种威胁和真实空间的各种威胁(如自然灾害)。
威胁:指可能导致对系统或组织危害的事故潜在起因。
威胁识别:指分析事故潜在起因的过程。
2. 威胁识别分类 P219-220
重点识别:按照资产重要性进行排序,从而决定威胁识别的巨细程度和投入多少识别资源。
全面识别:对每一个资产可能面临的所有威胁都要进行详细分析,而不管资产本身重要程度的高低。
重点识别是风险评估工作的主要方法。
3. 威胁分类 P220
威胁树:详见图8.1。
威胁分为人为因素和环境因素。其中人为因素包括恶意(攻击)和非恶意(故障、操作失误),环境因素包含自然界(地震、洪水、雷击)和其他物理原因(设备老化、元器件质量、电力中断)。
4. 威胁赋值 P223-224
威胁赋值的依据是对各种威胁发生的频率进行统计。
威胁赋值是依据经验和历史。
在进行威胁识别的时候,需要综合考虑以下三个方面:
(1)历史记录:以往安全事件报告中出现过的威胁及其频率的统计。
(2)现场取证:实际环境中通过检测工具及各种日志发现的威胁及频率统计。
(3)权威发布:近一两年来国际国内权威组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警报告。
赋值时,与资产识别类似,采用分级的方式:由高到低依次赋值:很高(5级)、高、中等、低、很低(1级)。
脆弱性识别
脆弱性:指可能被威胁所利用的资产或若干资产的薄弱环节。
脆弱性是资产的固有属性,任何资产都有其脆弱性。
1. 技术和管理 P239
技术脆弱性:各种技术层面的漏洞。
管理脆弱性:可以分为结构脆弱性(信息安全管理体系不完备)和操作脆弱性(各种管理制度虽然完整,但并没有真正得到贯彻执行)。
2. 脆弱性验证 P242
在进行脆弱性发现的同时,实际上也需要对所采集的脆弱性信息进行验证。
(1)脆弱性的在线验证:考虑到尽量不影响被测单位信息系统的正常运行,选择被测系统不太繁忙的时候进行脆弱性验证(如夜晚、周末、长假的时候)。要有应急预案,要有备份恢复的方案。
(2)脆弱性的仿真验证:对于那些业务连续性很强的机构(如金融、电力等),建议采用仿真验证。
(3)对待脆弱性的客观态度:并不是所有漏洞都需要打上补丁。
3. 脆弱性赋值 P242
脆弱性赋值的依据:
(1)脆弱性对资产的暴露程度:如弱口令、结构脆弱性。
(2)脆弱性利用的难易程度:要成功利用该脆弱性,攻击者所需要具备的技术实力有多高。如果管理非常完善,即使该脆弱性非常容易被利用,但给予它的赋值也可以适当降低。
(3)脆弱性的流行程度:公认的高危漏洞(可从CVE数据库中查询)。应对该脆弱性严重程度赋予较高的等级。
赋值时,与资产赋值和威胁赋值类似,采用分级的方式:由高到低依次赋值:很高(5级)、高、中等、低、很低(1级)。