欢迎来到天天文库
浏览记录
ID:14636750
大小:41.83 KB
页数:11页
时间:2018-07-29
《美国信息安全风险评估工作流程详述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、美国信息安全风险评估工作流程详述通过参考NISTSP800系列标准关于信息安全风险评估的阐述,以下列举了美国政府在实施风险评估和风险控制时的一般流程,具有普遍性,但并不意味着这是固定不变的方法。步骤1:描述体系特征在对信息系统的风险进行评估中,第一步是定义工作范围。在该步中,要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围,刻画了对系统的进行授权运行(或认可)的边界,并为风险定义提供了必要的信息(如硬件、软件、系统连通性、负责部门或支持人员)。本附录所描述的方法学可运用于对单个或多个相关联系统的评估。在评估多个关联系统时,要
2、在运用这些方法学之前就定义好所关心的域、全部接口及依赖关系。步骤1.1 系统相关信息识别信息系统风险时,要求对系统的运行环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息,通常这些信息分为如下几类:¡硬件¡软件¡系统接口(如内部和外部连接)¡数据和信息¡信息系统的支持和使用人员¡系统使命(例如信息系统实施的处理过程)¡系统和数据的关键性(例如系统对于单位的价值或重要性)¡系统和数据的敏感性与信息系统及其数据的运行环境相关的其它信息还包括——但不限于——以下信息:¡信息系统的功能需求¡系统的用户(例如为信息系统提供技术支持的系统用户,使用信息系统完成业务功
3、能的应用用户等)¡信息系统的系统安全策略(机构策略、政府要求、法律、行业惯例等)¡系统安全体系结构¡当前的网络拓扑(例如网络图示)¡信息系统中的信息流(例如系统接口、系统输入和输出的流程图)¡信息系统的安全措施¡信息系统的物理安全环境(例如设施安全、数据中心策略等)¡针对信息系统处理环境而实现的环境安全(例如对湿度、水、电、污染、温度和化学物品的控制)对于处在启动或规划阶段的系统,系统信息可以从设计或需求文档中获得。对于处于开发阶段的系统,有必要为未来的信息系统定义关键的安全规则和属性。系统设计文档和系统安全计划可以为开发阶段的信息系统提供有用的安全信息。对于运行中的信息系
4、统,要从其运行环境中收集信息系统的数据,包括系统配置、连接、流程方面的数据。步骤1.2 信息收集技术可以使用下列一项或多项技术在其运行边界内获取相关的系统信息:¡调查问卷:要收集相关信息,风险评估人员可以设计一套关于信息系统中的安全措施的调查问卷。可将这套调查问卷发给信息系统的管理和使用人员。调查问卷也可以在现场参观和面谈时使用。¡现场面谈:和信息系统的管理或使用人员面谈有助于风险评估人员收集有用的系统信息(例如系统是如何运行和管理的)。现场参观也能让风险评估人员观察并收集到信息系统在物理、环境和运行方面的信息。¡文档审查:政策文档(例如法律文档、规章等)、系统文档(例如系
5、统用户指南、系统管理员手册、系统设计和需求文档等)、安全相关的文档(例如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等)可以提供关于信息系统的安全措施方面的有用信息。对机构使命的影响进行分析或评估资产的关键性后,可以得到系统和数据的关键性和敏感性方面的信息。¡使用自动扫描工具:一些主动的技术方法可以用来有效地收集系统信息。例如,网络映射工具可以识别出运行在一大群主机上的服务,并提供一个快速的方法来为目标信息系统建立轮廓。信息收集工作可以贯穿于整个风险评估过程,从第1步(系统特征描述)一直到第9步(结果记录)。步骤1的输出:被评估的信息系统的特征、对信息
6、系统环境的描述、对系统边界的刻画。步骤2:识别威胁如果没有脆弱性,威胁源无法造成风险;在确定威胁的可能性时,应该考虑威胁源、潜在的脆弱性和现有的安全措施。步骤2.1 识别威胁源本步的目标是识别出潜在的威胁源,并且编辑出一份威胁声明,其中要列出被评估的信息系统面临的潜在威胁源。威胁源被定义为任何可能危害一个信息系统的环境或事件。威胁源按照其性质一般可分为自然威胁和人为威胁。信息系统根据自身应用的特点和地理位置可能会面对不同的威胁源。在评估威胁源时,要考虑可能危害信息系统及其处理环境的所有潜在威胁源。步骤2.2 动机和行为攻击的动机和资源使得人成为了潜在的危险威胁源之一。表3概
7、括了许多常见的人为威胁、其可能的动机、可能的攻击方法和威胁行为。这些信息对一个单位研究其面临的人为威胁环境并制定人为威胁声明非常有用。另外,以下方法也有助于标识人为威胁:审查系统的破坏历史、安全违规报告、事故报告;在信息收集过程中与系统管理员、技术支持人员、用户面谈。表3 人为威胁:威胁源、动机和威胁行为威胁源动机威胁行为黑客挑战自负反叛l 破解l 社会工程l 系统入侵、闯入l 未授权访问计算机罪犯破坏信息非法泄漏信息非法篡改数据获取钱财l
此文档下载收益归作者所有