评估任务
评估任务就是指要达到某个风险评估项目的评估目标时,要具体进行的所有评估操作任务。评估任务与每个评估项目相对应,具体的评估任务可以由你和你的团队根据实际需求来决定。评估任务制定得全不全面,切不切合实际,会直接影响到信息系统安全风险评估的最终结果是否与风险评估的目标相一致。因此,当决定这些评估任务时,参与决定的人员不仅要有丰富的经验,而且手里要有充足的与评估对象相关的各种有效的资料;同时,要对目前的安全威胁,各种系统或设备的弱点和漏洞,各种攻击手段有充分的了解;而且,还要能仔细识别评估对象的资产类型及其重要性等。
由于评估任务是与具体的评估对象和评估项目来决定的,还与当前的安全威胁状况及发展趋势有关,同时由于文章篇幅的限制。因此,在本文中只能分别对这六个评估对象中的一到二个评估项目给出一些通用的评估任务。至于其它评估项目的评估任务,你和你的评估团队可以参考本文中给出的评估任务内容实例,使用头脑风暴的方法,通过分析收集到的各种有效资料来自行决定。
(1)、信息安全风险评估中隐私信息机密性审查的评估任务
隐私信息的机密性审查,主要是为了检测机构中员工及客户的隐私信息在使用、传输和存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法律条规,因此,在决定这个项目的评估任务时,要充分考虑机构所在区域的国家及地区法规。
通常,要进行一次全面的隐私机密性审查,应当完成下列所示的评估任务:
①、比对实际的隐私信息访问方式与隐私访问策略中规定的方式之间的差异;
②、检查隐私信息的监控保护方式符合当地的法律法规;
③、标识出存储的隐私信息的数据库类型和大小;
④、标识由机构收集到的各种隐私信息;
⑤、确定隐私信息存储的位置;
⑥、了解当前网络浏览时COOKIE保存类型和保留的时间;
⑦、识别保存在COOKIE中的各种隐私信息;
⑧、验证COOKIE使用的加密方法;
⑨、识别机构的WEB服务器可能产生错误的位置,了解错误发生时返回给浏览用户的信息类型。
(2)、信息安全风险评估中网络操作痕迹信息检查的评估任务
网络操作痕迹信息的检查,主要是为了调查机构内部某些员工在网络操作后留下的操作痕迹,用审查是否有一些与组织相关的机密信息遗留在互联网当中。这个评估项目是信息安全风险评估中非常重要的一个部分,要完成一次全面的互联网操作行为信息检查,下面这些评估任务是不能少的:
①、检查机构内部员工WEB数据库和缓存中的内容;
②、检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
③、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;
④、了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限;
⑤、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;
⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索;
⑦、检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容。
(3)、网络安全风险评估中网络弱点及漏洞检测与验证的评估任务
网络弱点及漏洞检测与验证是为了找出网络中存的安全弱点和漏洞,并且验证这些弱点和漏洞是否可以真的被利用。在评估过程中使用一些基于网络的弱点扫描及渗透测试工具,能大大提高评估工作的效率。
但是,在使用弱点扫描工具时不能对它检测后的结果全盘接受,这是由于现在大部分的弱点扫描工具都是通过与自己的弱点和漏洞数据进行比对,来决定检测对象是否存某弱点或漏洞的。一旦工具的漏洞数据库不能及时更新,或不能包括所有目前已经发现的漏洞,那么,其检测结果就不一定完全可靠。并且,由于这些工具本身设计缺陷和能力限制,在使用过程中会出现误报和漏报的问题,误报会让我们白担心一场,而漏报却会让我们处于重大安全事故发生的边缘。因此,在弱点扫描后进行人工核查和渗透测试能减少漏报和误报的发生。
要完成一次彻底的网络弱点及漏洞检测与验证的评估项目,下面完成下面的评估任务:
①、结合目前最流行的弱点扫描和渗透工具,对目标网段进行测试;
②、使用弱点扫描工具,按由外向内,由内向外的两种方式扫描目标网段;
③、确定存在弱点或漏洞的系统和应用程序的类型;
④、确定存在漏洞的服务;
⑤、确定应用程序和服务存在漏洞的类型;
⑥、识别操作系统和应用程序中的存在的所有漏洞,识别所有存在漏洞的操作系统和应用程序;
⑦、确定这些漏洞是否可以影响到其它相似的目标网络或系统;
⑧、通过人为渗透测试的方法来检测找到的弱点或漏洞是否真实存在;
⑨、检验这些漏洞可以被利用的机率,利用后可能产生的后果。
(4)、通信安全风险评估中Modem等通信设备安全性检测的评估任务
Modem等通信设备的安全性检测主要是为了检验调制解调器的登录验证方式,是否可以被运程非法控制等等。要完成一次全面的Modem等通信设备的安全性检测项目,下面的评估任务将要被全部执行:
①、以由内向外,由处向内的方式全面扫描Modem等通信设备;
②、确保Modem等通信设备的登录用户和密码不是使用缺省设置,或者容易被猜出;
③、确保与Modem等通信设备直接相连的路由器、三层交换机或计算机已经做好了相应的安全措施;
④、检查通过远程维护Modem等通信设备是否安全;
⑤、验证远程拨号认证;
⑥、测试本地拨号认证;
(5)、无线安全风险评估中802.11a/b/g无线网络安全风险评估的评估任务
由于802.11a/b/g无线网络技术越来越成熟,越来越多的机构开始使用它。但是,由于802.11a/b/g无线网络技术的开放性,且大多数使用没有对其默认设置做相应的安全修改,或者设置的安全很少也很弱,从而造成802.11a/b/g无线网络带来的安全风险与它的功能一样多。因此,使用802.11a/b/g无线网络安全风险评估来识别无线网络中目前存在的安全风险,以便能采取更好的安全措施来降低无线网络应用带来的风险。
完成802.11a/b/g无线网络安全风险评估项目,必需执行下列所有的评估任务:
①、检验机构是否已经有一个足够好的无线安全策略,来保证802.11a/b/g无线网络的应用,同时评估802.11a/b/g无线网络的硬件和固件,以及更新状况等;
②、对连接在目标无线网终上的无线设备进行全面的清查,评估访问控制,无线信号覆盖的规定范围,并确定是否有能力防止无线信号超出规定的范围,或者能够干扰超出的无线信号;
③、确定无线设备水平接入目标无线网络的访问控制能力,是否能够标识所有允许的接入点,以及是否能够即时识别非授权接入点,并能定位和拒绝它的接入;
④、评估无线网络的配置、认证和加密方式;
⑤、评估无线接入点的默认服务设备标识符(SSID)已经更改;
⑥、验证所有无线客户端已经安装了杀毒软件和防火墙等安全工具;
(6)、物理安全风险评估中物理安全访问控制的安全性测试的评估任务
物理安全访问控制的安全性测试,是用来检测物理方式直接接触机构中重要信息资产时是否符合安全要求的评估项目。要完成一次物理安全访问控制的安全性测试,就必需完成下列所示的评估任务:
①、枚举所有必需进行物理访问控制的区域;
②、检查所有物理访问控制点的访问控制设备及其类型;
③、检查触发警报的类型是否与说明的一致;
④、判断物理访问控制设备的安全级别;
⑤、测试物理访问控制设备是否存在弱点和漏洞;
⑥、测试物理访问控制设备是否可以被人为或其它方式失去检测能力;
四、信息系统安全风险评估过程中应当遵守的规则
在对信息系统进行风险评估过程中,下列的一些因素会给评估带来错误的结果:
1、弱点扫描软件的误报和漏报;
2、系统本身设置对某类事情做出固定的某种缺陷反应。当测试带有欺骗性设置的系统时,常会对所有的评估事件做出某种指定的相同反应;
3、要评估的系统中存在某种已经指定对所有事件做出安全反应的设置。
4、在风险评估过程中收到了某个目标的回应,但这个回应并不是真的来自实际的评估目标,而一些没有经验的风险评估人员,对出现这样的假象不能正确识别,从而造成错误的结果;
5、风险评估工具设备本身存在问题,就可能出现错误的回应。以及当风险评估的以太网路出现高噪音,或者存在干扰目标无线网络信号的设备时,都会出现错误的结果;
6、当风险评估过程中的某个环境得到了错误的结果,但是没有及时识别和重新评估,而其后的评估工作却使用这个错误的结果作为评估条件,这样一来,就会让这种错误继承下去,造成得到一个错误的最终风险评估结果;
7、风险评估必需由人来执行,由于风险评估人员的技术水平,经验值的高低,以及他们的评估态度,对风险评估的理解的各不相同等因素,都有可能造成错误的风险评估结果。
由于上述原因得到的错误信息系统安全风险评估结果,一旦被接受,那么就会给信息系统的安全防范带来新的安全风险,其后果是不可想象的。因此,我们必需在进行信息系统的风险评估过程中,遵守下面的风险评估规则,就可以有效降低上述错误因素的产生:
1、明白进行风险评估时,任何细节都是一样重要的,并且了解每个评估项目的评估目的;
2、注意风险评估过程中的每一个小细节。风险评估结果的有效性,往往体现在一些细节上面,这是因为一些重大的安全事故都是由于一些细小的安全弱点所引起的。另外,一个单独的小细节可能不会带来某类安全风险,但是,许多小细节累积后,一不小心,就会给信息系统带来重大的信息安全事故;
3、不要认为少花钱多办事就是好。现在,许多机构对于安全预算本来就少,因此,就要求安全风险评估必需在很少的时间内得到更多的效率。但是,如果你认为一个低效率的风险评估策略会为你节省一大笔的成本而决定使用它,那么,这个低效率的风险评估策略有可能不会将所有的安全风险检测出来。因而使用你在药费了时间和金钱进行风险评估的同时,你不能得到风险评估的任何好处,从侧面反而使你增加了安全成本和造成业务中断事件的可能性。
很显然,风险评估是需要一定的成本投入的,因此,当你在开始进行风险评估时,你就要考虑如何平衡评估效率和投入成本的问题,只有这两方达到一个满意的平衡,才能达最好的风险评估效率和效果;
4、对于涉及多个风险评估对象的风险评估过程,要有一个切合实际,考虑全面,可以被完全执行的风险评估策略。任何时候,我们都不要忽略策略在安全防范工作中的重要性。风险评估策略就是用来表明某次风险评估时的主要目的,以及要具体完成的任务,和一些操作细节等等。风险评估策略在风险评估过程中起到指导性的作用,控制整个评估过程;
5、要知道如何算风险评估的经济账。风险评估的目的通常是为了达到某种程序的安全性来进行的,评估的结果将会给找到的弱点提出相应的解决方案。这样,就会涉及到增加安全成本投入的问题。一个好的风险评估项目管理者,会了解机构是否有足够的经济能力来解决发现的漏洞,计算到底要多少成本才能达到机构领导可以接受的安全风险等级,怎么样的预算才会被机构决策者所接受等等。如果你不考虑这些问题,那么,不管理你的风险评估结果是多么的全面且准确,但是不被机构决策者接受,那么仍然是一个不成功的风险评估。这只会白白让机构浪费了大量的风险评估时间和金钱。因此,知道算风险评估的经济帐也是一个重要的方面;
6、了解风险评估的参考标准。风险评估结果是否具有权威性的关键一点,就是你应当在评估结果中注明评估的方式是遵从哪种风险评估的标准来进行,例如我在上面提到过的我国的《信息安全风险评估指南》。你还可以使用一些国际标准,如ISO/IEC 17799/27001国际信息安全管理体系中的风险评估标准,这些标准可以给你提供一个如何给出最终安全和风险级别的参考标准;
7、风险评估人员必需在指定的权限范围内完成指定的评估任务,在评估过程中不能随意走出规定的物理范围。在评估时发现任务疑问,应当立即停止,并上报给评估小组负责人。在疑问没能明确解决之前,不能独自继续进行下一步的评估操作。评估人员的出评估现场都应当有记录,标明进出的具体时间。每个评估人员都应在身体明显处挂戴表明共身份的工作证件。每个风险评估人员都应当使用规定的评估工具,不能将规定外的工具带入评估现场。明确每个风险评估人员的权限范围,和其所在的物理位置,任何评估人员都不能超出这些规定的权力或物理范围。
在对上述信息系统安全风险评估的基础知识有一个系统的了解后,就会让我们懂得要如何才能有效地完成一次安全风险评估。接下来的任务,就是去掌握信息系统的安全风险评估工作要如何具体地去做。
3COME考试频道为您精心整理,希望对您有所帮助,更多信息在http://www.reader8.com/exam/