7.1 网络安全风险评估技术在线视频

同学们，大家好

这节课我们来学习

《网络空间安全技术》这门课程

第四篇

网络空间安全管控技术体系

第7章网络空间安全管控技术体系

第一阶段内容

网络安全风险评估技术

在这一节里面

我们准备分

四个小点来给大家讲授

首先是网络安全与风险的关系

第二是风险管理

第三是风险评估流程

第四是风险评估工具与方法

我们首先来看第一点

网络安全与风险

我们来考察一下

安全与风险之间的关系问题

在考察安全与风险的关系问题之前

我们来看一下风险的定义

网络安全风险是指一个给定的威胁

利用一项资产或多项资产的脆弱性

对组织造成损害的潜能

可通过事件的概率及其后果来进行度量

安全与风险是一对对立统一的矛盾

网络不安全是因为存在着风险

反过来说

安全是可接受的风险程度

安全与风险的关系问题

讨论清楚以后

我们可以发现它具有

很强的方法论意义

我们说网络空间的安全保障

本质上是寻求安全与风险的适度平衡

可以将对网络安全问题的考察

转换为对网络风险问题的考察

接下来我们来看

风险的

构成要素

网络安全风险跟组织的业务

资产、威胁、脆弱性

以及安全措施等基本要素有关

在这些基本要素当中

核心要素是资产、威胁和脆弱性

所谓资产

是指对组织具有价值的任何东西

包括网络环境

网络设备

软硬件设施

信息数据等

以资产的价值来作为常用的衡量手段

威胁是指导致信息系统

不安全的各种主客观因素

比如说自然灾害

人为攻击等

脆弱性是指可被

威胁所利用的资产

或若干资产的这么一种薄弱环节

接下来我们来看一下风险管理

从风险管理的内容来看

我们说风险管理当中存在着四种

风险应对的策略

它们分别是

风险规避

风险降低

风险分担

和风险承受

风险规避

是指机构对于超出可承受能力

和水平的安全风险

通过放弃

或者是停止与该风险相关的业务活动

来避免或减轻损失的这么一种策略

第二种

是风险降低

风险降低是在权衡了投入资源

含人员、资金等

和取得的效果之后

准备采取适当的控制措施

来降低风险

或者是减轻损失

将风险控制在能力和水平可以控制的

范围之内的策略

第三

是安全风险的转移

安全风险的转移也称为风险分担

是机构借助外部专业机构

和采取冗余

补救等方式

将安全风险

控制在能力和水平

可以控制的范围之内的

一种策略

安全风险接受

是第四种安全风险管理手段

它是指机构对能力和水平

可控制范围之内的风险

在权衡投入资源（人员、资金）

和取得效果之后

不准备采取控制措施

以降低风险

或者是减轻损失的一种策略

也就是说

对安全风险采取了一个接受的态度

接下来我们来看

网络安全风险管理

和评估要素之间的关系

风险评估围绕着业务

资产

威胁

脆弱性

和安全措施

以及风险值等基本要素展开

并充分地考虑到基本要素的相关属性

组织的战略需要依赖业务落地

业务的战略地位越高

要求其风险越小

组织的业务越重要

对资产的依赖程度越高

那么这个对应的资产价值也就越大

如果业务脆弱性比较高

那么它存在的风险的可能性

也比较大

业务价值越大

面临的威胁就可能越大

资产具有的弱点越多

风险可能越大

脆弱性是未被满足的安全需求

威胁就是利用这种脆弱性

来危害资产和业务

而业务所面临的威胁增多

风险

也可能会变大

并可能演变为具体的安全事件

安全措施能够削弱脆弱性

或者是抵御危险

降低风险

安全需求可通过安全措施得以保证

但是

需要结合业务和资产的价值来考虑

它的实施成本

安全需求则来自业务价值

风险的存在以及对风险的认识

残余的风险有两类

一个是因风险控制不当或无效而产生

另外一类

则是综合考虑安全成本与效益后

无需或放弃控制的风险

残余风险在未来可能会诱发安全事件

刚才我们讲的

业务

资产

威胁

脆弱性

安全措施

以及风险值

这些要素它们之间的关系

我们PPT上给出了一个具体的

风险管理和评估要素关系示意图

接下来我们来看一下风险评估的流程

首先我们来看一下

评估对象和评估范围的边界

风险评估

首先需要合理地定义评估对象和评估

范围边界

重点考虑

四个问题

一

业务系统的业务逻辑边界

二

网络边界

三

物理环境边界

四

组织管理权限边界

在网络安全风险评估具体流程方面

主要分为4个阶段

分别是风险评估准备

风险要素识别

风险分析

和风险评价

4个阶段

我们的PPT上

给出了风险评估具体流程的示意图

首先我们来看

网络安全风险要素识别

要素识别是风险评估的关键所在

要素识别涉及到

业务

资产

威胁

脆弱性

以及已有安全措施等相关内容

要素识别

不仅要识别出各类要素的具体内容

还要对部分要素进行相应的赋值

识别方式包括文档审查

人员访谈

现场考察

利用辅助工具等多种多样的形式

那么具体的呢

包括业务的识别和赋值

需要保护的资产的识别和赋值

面临的威胁的识别和赋值

脆弱性的识别和负值

和已有安全措施的识别

接下来我们来讨论

网络安全风险分析

计算

和判定

首先我们来看

网络安全风险分析原理

PPT上给出的这张图

就是网络安全风险分析原理示意图

我们可以看到风险值

是由安全事件的可能性

和安全事件所造成的损失

二者所共同决定的

而安全事件的可能性呢

又取决于威胁的动机

能力、频率

以及脆弱性被利用的可能性

其中威胁动机、能力和频率

又与业务识别和威胁识别密切相关

而脆弱性被利用的可能性

又跟安全措施识别

和脆弱性识别密切相关

那么

业务识别和资产识别

二者组合起来我们可以得到

业务和资产的价值

脆弱性我们可以

通过识别

其中的具体内容来判断其影响程度

根据脆弱性影响程度

和业务和资产的价值

我们可以得到安全事件所造成的损失

安全事件所造成的损失

和安全事件的可能性

二者相结合我们就可以得到相应的

网络安全风险值

这个就是

网络安全风险分析的

流程

接下来

我们来看一下

网络安全风险的计算和判定

根据刚才的分析我们可以得到

底下这个公式

也就是风险值它是

B

A

T

V

相应的函数

那么B是业务

A是资产

T是威胁

V

当然是安全的脆弱性

它又可以细化为我们这个公式

最右侧的这种表达式

其中有关

字母所代表的含义

我们在PPT上给出了具体的说明

此处我们不再赘述

我们说

风险值的计算

牵扯到若干关键的环节

含威胁值的计算

安全事件发生可能性的计算

安全事件损失的计算

根据风险值的分布情况

我们可以为每个等级

设定风险值的范围

等级和标识

我们说等级5

代表着很高

4代表着高

3代表着中等

2代表低

1代表很低

这么五级

根据风险处置准则

后续的风险处理

一般包括风险的接受

风险的消解

风险的转移

以及风险规避等相关的方式

接下来我们来

讨论一下风险评估的工具和方法

从风险评估的工具来看

我们

认为主要分为三类

一是基于

网络安全标准的风险评估与管理工具

二是基于知识的风险评估与管理工具

三是基于模型的

风险评估和管理工具

我们以基于网络安全标准的

风险评估和管理工具为例

那么要基于哪些标准呢

比如说

我们国家的

网络安全等级保护的系列标准

我们国家的网络安全风险评估的

系列标准

国际上ISO27001

有关

网络安全管理体系的系列标准等等

这一类风险评估和管理工具

主要是为了合规

合

网络安全标准之规

而制定的

评估和管理工具

从风险评估工具的具体实现上

有

很多种形式

分别由不同的国家和组织来制定

采用的标准

也各不相同

有的是采用国际标准

有的是采用国家标准

从算法的性质上来看

有的是定性的评估方法

有的是定量的评估方法

还有的是定性

与定量相结合的评估方法

从数据采集的形式来看

包括

调查问卷

过程等等

接下来我们来看一下

在

风险评估和安全测评当中

应用非常广泛

效果非常突出的一类

测试方法

叫做渗透测试方法

所谓渗透测试

它是指通过模拟恶意黑客的攻击方法

来评估计算机网络系统安全的

一种评估方法

这个过程包括对原系统的任何脆弱性

技术缺陷或漏洞的主动分析

这个分析

是从一个攻击者

可能存在的位置来进行的

并且

从这个位置有条件主动利用安全漏洞

换句话说渗透测试是指渗透人员

在不同的位置

比如说从内网

从外网等不同的位置

利用各种手段

对某个特定的网络来进行测试

以期发现和挖掘系统当中存在的漏洞

然后输出渗透测试报告

并提交给网络的所有者

网络所有者根据渗透人员

提供的渗透测试报告

可以清晰地知晓

系统当中存在的安全隐患

和相应的问题

渗透测试具有两个非常显著的特点

首先它是一个渐进的

而且是一个

逐步深入的测试过程

第二

渗透测试

它应该是选择

不影响业务系统正常运行的攻击方法

来进行测试

接下来我们来看一下

渗透测试方法的具体分类

根据实际应用场景的不同

渗透测试方法可以分为

以下几类

第一类是黑盒测试

第二类是

白盒测试

第三类是

隐秘测试

黑盒测试又称为所谓“零知识测试”

渗透者

完全处于对系统一无所知的状态

通常这种类型的测试呢

最初的信息获取

来自于DNS

Web

Email

及各种公开对外的服务器

第二种是白盒测试

白盒测试它的思想与黑盒恰恰相反

测试者可以通过正常渠道向

被测的单位取得

有关被测信息系统的各种资料

包括网络拓扑

员工资料

甚至是网站

或者是其它程序的代码片段

也能够与

机构的其它员工

比如说销售

程序员

管理者等等

进行面对面的沟通

第三类是

隐秘测试

隐秘测试是对被测机构而言的

在通常的情况下

接受

渗透测试的

机构网络管理部门

会收到通知

在某些时段进行测试

因此能够监测网络当中出现的变化

但是隐秘测试

在被测机构当中

也仅有极少数人能够知晓测试的存在

因此能够有效的检验机构当中的

信息安全事件监控

响应

恢复

做的是否到位

接下来我们来讨论一下

渗透测试的目标分类

主要分为以下几类

首先是主机操作系统分类

比如说Windows

Linux等操作系统

第二类是数据库系统测试

比如说

MS-SQL

Oracle

MySQL

DB2等数据库

第三类是应用系统方式

对渗透目标提供的各种应用

比如说ASP、JSP、PHP等组成的

WWW应用进行渗透测试

第四种是网络设备的测试

比如说对于各种防火墙

入侵检测系统

网络设备

进行相关的渗透测试

同学们

通过以上我们对本节内容的学习

我们提请同学

思考以下三个问题

第一

在什么情况下可以接受

某一个信息系统存在的风险

第二

如何在渗透测试时

避免对被评估对象造成损害

第三

如何从国家的角度

来评估我国网络空间的整体安全风险

同学们

这节课的内容

我们就讲到这里

本讲结束

感谢观看

再见