当前课程知识点:网络空间安全技术 > 第7章 网络空间安全管控技术体系 > 7.1 网络安全风险评估技术 > 7.1 网络安全风险评估技术
同学们,大家好
这节课我们来学习
《网络空间安全技术》这门课程
第四篇
网络空间安全管控技术体系
第7章网络空间安全管控技术体系
第一阶段内容
网络安全风险评估技术
在这一节里面
我们准备分
四个小点来给大家讲授
首先是网络安全与风险的关系
第二是风险管理
第三是风险评估流程
第四是风险评估工具与方法
我们首先来看第一点
网络安全与风险
我们来考察一下
安全与风险之间的关系问题
在考察安全与风险的关系问题之前
我们来看一下风险的定义
网络安全风险是指一个给定的威胁
利用一项资产或多项资产的脆弱性
对组织造成损害的潜能
可通过事件的概率及其后果来进行度量
安全与风险是一对对立统一的矛盾
网络不安全是因为存在着风险
反过来说
安全是可接受的风险程度
安全与风险的关系问题
讨论清楚以后
我们可以发现它具有
很强的方法论意义
我们说网络空间的安全保障
本质上是寻求安全与风险的适度平衡
可以将对网络安全问题的考察
转换为对网络风险问题的考察
接下来我们来看
风险的
构成要素
网络安全风险跟组织的业务
资产、威胁、脆弱性
以及安全措施等基本要素有关
在这些基本要素当中
核心要素是资产、威胁和脆弱性
所谓资产
是指对组织具有价值的任何东西
包括网络环境
网络设备
软硬件设施
信息数据等
以资产的价值来作为常用的衡量手段
威胁是指导致信息系统
不安全的各种主客观因素
比如说自然灾害
人为攻击等
脆弱性是指可被
威胁所利用的资产
或若干资产的这么一种薄弱环节
接下来我们来看一下风险管理
从风险管理的内容来看
我们说风险管理当中存在着四种
风险应对的策略
它们分别是
风险规避
风险降低
风险分担
和风险承受
风险规避
是指机构对于超出可承受能力
和水平的安全风险
通过放弃
或者是停止与该风险相关的业务活动
来避免或减轻损失的这么一种策略
第二种
是风险降低
风险降低是在权衡了投入资源
含人员、资金等
和取得的效果之后
准备采取适当的控制措施
来降低风险
或者是减轻损失
将风险控制在能力和水平可以控制的
范围之内的策略
第三
是安全风险的转移
安全风险的转移也称为风险分担
是机构借助外部专业机构
和采取冗余
补救等方式
将安全风险
控制在能力和水平
可以控制的范围之内的
一种策略
安全风险接受
是第四种安全风险管理手段
它是指机构对能力和水平
可控制范围之内的风险
在权衡投入资源(人员、资金)
和取得效果之后
不准备采取控制措施
以降低风险
或者是减轻损失的一种策略
也就是说
对安全风险采取了一个接受的态度
接下来我们来看
网络安全风险管理
和评估要素之间的关系
风险评估围绕着业务
资产
威胁
脆弱性
和安全措施
以及风险值等基本要素展开
并充分地考虑到基本要素的相关属性
组织的战略需要依赖业务落地
业务的战略地位越高
要求其风险越小
组织的业务越重要
对资产的依赖程度越高
那么这个对应的资产价值也就越大
如果业务脆弱性比较高
那么它存在的风险的可能性
也比较大
业务价值越大
面临的威胁就可能越大
资产具有的弱点越多
风险可能越大
脆弱性是未被满足的安全需求
威胁就是利用这种脆弱性
来危害资产和业务
而业务所面临的威胁增多
风险
也可能会变大
并可能演变为具体的安全事件
安全措施能够削弱脆弱性
或者是抵御危险
降低风险
安全需求可通过安全措施得以保证
但是
需要结合业务和资产的价值来考虑
它的实施成本
安全需求则来自业务价值
风险的存在以及对风险的认识
残余的风险有两类
一个是因风险控制不当或无效而产生
另外一类
则是综合考虑安全成本与效益后
无需或放弃控制的风险
残余风险在未来可能会诱发安全事件
刚才我们讲的
业务
资产
威胁
脆弱性
安全措施
以及风险值
这些要素它们之间的关系
我们PPT上给出了一个具体的
风险管理和评估要素关系示意图
接下来我们来看一下风险评估的流程
首先我们来看一下
评估对象和评估范围的边界
风险评估
首先需要合理地定义评估对象和评估
范围边界
重点考虑
四个问题
一
业务系统的业务逻辑边界
二
网络边界
三
物理环境边界
四
组织管理权限边界
在网络安全风险评估具体流程方面
主要分为4个阶段
分别是风险评估准备
风险要素识别
风险分析
和风险评价
4个阶段
我们的PPT上
给出了风险评估具体流程的示意图
首先我们来看
网络安全风险要素识别
要素识别是风险评估的关键所在
要素识别涉及到
业务
资产
威胁
脆弱性
以及已有安全措施等相关内容
要素识别
不仅要识别出各类要素的具体内容
还要对部分要素进行相应的赋值
识别方式包括文档审查
人员访谈
现场考察
利用辅助工具等多种多样的形式
那么具体的呢
包括业务的识别和赋值
需要保护的资产的识别和赋值
面临的威胁的识别和赋值
脆弱性的识别和负值
和已有安全措施的识别
接下来我们来讨论
网络安全风险分析
计算
和判定
首先我们来看
网络安全风险分析原理
PPT上给出的这张图
就是网络安全风险分析原理示意图
我们可以看到风险值
是由安全事件的可能性
和安全事件所造成的损失
二者所共同决定的
而安全事件的可能性呢
又取决于威胁的动机
能力、频率
以及脆弱性被利用的可能性
其中威胁动机、能力和频率
又与业务识别和威胁识别密切相关
而脆弱性被利用的可能性
又跟安全措施识别
和脆弱性识别密切相关
那么
业务识别和资产识别
二者组合起来我们可以得到
业务和资产的价值
脆弱性我们可以
通过识别
其中的具体内容来判断其影响程度
根据脆弱性影响程度
和业务和资产的价值
我们可以得到安全事件所造成的损失
安全事件所造成的损失
和安全事件的可能性
二者相结合我们就可以得到相应的
网络安全风险值
这个就是
网络安全风险分析的
流程
接下来
我们来看一下
网络安全风险的计算和判定
根据刚才的分析我们可以得到
底下这个公式
也就是风险值它是
B
A
T
V
相应的函数
那么B是业务
A是资产
T是威胁
V
当然是安全的脆弱性
它又可以细化为我们这个公式
最右侧的这种表达式
其中有关
字母所代表的含义
我们在PPT上给出了具体的说明
此处我们不再赘述
我们说
风险值的计算
牵扯到若干关键的环节
含威胁值的计算
安全事件发生可能性的计算
安全事件损失的计算
根据风险值的分布情况
我们可以为每个等级
设定风险值的范围
等级和标识
我们说等级5
代表着很高
4代表着高
3代表着中等
2代表低
1代表很低
这么五级
根据风险处置准则
后续的风险处理
一般包括风险的接受
风险的消解
风险的转移
以及风险规避等相关的方式
接下来我们来
讨论一下风险评估的工具和方法
从风险评估的工具来看
我们
认为主要分为三类
一是基于
网络安全标准的风险评估与管理工具
二是基于知识的风险评估与管理工具
三是基于模型的
风险评估和管理工具
我们以基于网络安全标准的
风险评估和管理工具为例
那么要基于哪些标准呢
比如说
我们国家的
网络安全等级保护的系列标准
我们国家的网络安全风险评估的
系列标准
国际上ISO27001
有关
网络安全管理体系的系列标准等等
这一类风险评估和管理工具
主要是为了合规
合
网络安全标准之规
而制定的
评估和管理工具
从风险评估工具的具体实现上
有
很多种形式
分别由不同的国家和组织来制定
采用的标准
也各不相同
有的是采用国际标准
有的是采用国家标准
从算法的性质上来看
有的是定性的评估方法
有的是定量的评估方法
还有的是定性
与定量相结合的评估方法
从数据采集的形式来看
包括
调查问卷
过程等等
接下来我们来看一下
在
风险评估和安全测评当中
应用非常广泛
效果非常突出的一类
测试方法
叫做渗透测试方法
所谓渗透测试
它是指通过模拟恶意黑客的攻击方法
来评估计算机网络系统安全的
一种评估方法
这个过程包括对原系统的任何脆弱性
技术缺陷或漏洞的主动分析
这个分析
是从一个攻击者
可能存在的位置来进行的
并且
从这个位置有条件主动利用安全漏洞
换句话说渗透测试是指渗透人员
在不同的位置
比如说从内网
从外网等不同的位置
利用各种手段
对某个特定的网络来进行测试
以期发现和挖掘系统当中存在的漏洞
然后输出渗透测试报告
并提交给网络的所有者
网络所有者根据渗透人员
提供的渗透测试报告
可以清晰地知晓
系统当中存在的安全隐患
和相应的问题
渗透测试具有两个非常显著的特点
首先它是一个渐进的
而且是一个
逐步深入的测试过程
第二
渗透测试
它应该是选择
不影响业务系统正常运行的攻击方法
来进行测试
接下来我们来看一下
渗透测试方法的具体分类
根据实际应用场景的不同
渗透测试方法可以分为
以下几类
第一类是黑盒测试
第二类是
白盒测试
第三类是
隐秘测试
黑盒测试又称为所谓“零知识测试”
渗透者
完全处于对系统一无所知的状态
通常这种类型的测试呢
最初的信息获取
来自于DNS
Web
及各种公开对外的服务器
第二种是白盒测试
白盒测试它的思想与黑盒恰恰相反
测试者可以通过正常渠道向
被测的单位取得
有关被测信息系统的各种资料
包括网络拓扑
员工资料
甚至是网站
或者是其它程序的代码片段
也能够与
机构的其它员工
比如说销售
程序员
管理者等等
进行面对面的沟通
第三类是
隐秘测试
隐秘测试是对被测机构而言的
在通常的情况下
接受
渗透测试的
机构网络管理部门
会收到通知
在某些时段进行测试
因此能够监测网络当中出现的变化
但是隐秘测试
在被测机构当中
也仅有极少数人能够知晓测试的存在
因此能够有效的检验机构当中的
信息安全事件监控
响应
恢复
做的是否到位
接下来我们来讨论一下
渗透测试的目标分类
主要分为以下几类
首先是主机操作系统分类
比如说Windows
Linux等操作系统
第二类是数据库系统测试
比如说
MS-SQL
Oracle
MySQL
DB2等数据库
第三类是应用系统方式
对渗透目标提供的各种应用
比如说ASP、JSP、PHP等组成的
WWW应用进行渗透测试
第四种是网络设备的测试
比如说对于各种防火墙
入侵检测系统
网络设备
进行相关的渗透测试
同学们
通过以上我们对本节内容的学习
我们提请同学
思考以下三个问题
第一
在什么情况下可以接受
某一个信息系统存在的风险
第二
如何在渗透测试时
避免对被评估对象造成损害
第三
如何从国家的角度
来评估我国网络空间的整体安全风险
同学们
这节课的内容
我们就讲到这里
本讲结束
感谢观看
再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题