3、考虑完成评估任务时会用到的各种工具,并准备妥当。
这些工具应当是切合本次风险评估任务的,并且在已经通过在某个实验环境中测试已经证明其有效。在本次风险评估中,会对机构内部人员进行网络操作行为监控,因此,得为它准备相应的网络操作行为分析设备,或者是安装有网络操作行为分析软件的计算机,最好当然是笔记本电脑。同时,还应当准备好所将设备连接入目标网络的所需的线缆,以及其它与此次风险评估相关的所有工具和文档,并将它们统一管理。
一个风险评估策略不仅可以包括上面已经列出的这四个方面,还可以在其中添加与评估任务实际需求相关的内容,例如加入说明此次评估任务的具体流程和细节,各种注意事项等等。并要求所有的评估人员,严格按照这个风险评估策略中的内容来进行具体的评估工作。
一个风险评估策略是一个需要技术和经验并重的工作,而且需要考虑的内容很多,一个人不可能将风险评估项目相关的所有方面考虑周到。因此,在制定风险评估策略时,应当发动所有评估人员,以及评估对象的使用人员和设备供应商代表等一起来分析制定。
对于信息系统风险评估来说,如果准备工作越充分,后续的风险评估过程就越有效率,评估过程中出现的错误就越少,评估的最终给果就越真实有效。如果在准备过程中疏忽了某些内容,特别是制定的安全风险评估策略出现考虑不周的情况,要是没能在执行风险评估前检查出来,就会使最终的风险评估结果偏离实际,这样就会让我们空担心一场,或空欢喜一场。
二、安全风险检测阶段
当所有风险评估工作的事前准备工作全部妥善完成后,就可以按风险评估策略中确定的日期和时间,开始对指定的评估对象的评估项目做相应的安全风险评估。安全风险的评估过程就是使用具体的方法,来解答在准备阶段制定的评估项目表单中所有列出的评估任务的过程。
要完成风险评估表单列出的评估任务,需要使用一些针对某个评估任务的具体解决方法。解决评估任务的方法有很多种,包括问卷调查、访谈、模拟社会工程攻击、使用风险评估工具(包括软硬件方式的工具)、审查各种日志、审查各种设备和安全设备的配置文档,以及使用实际的模拟或真实的攻击来检验等方法,都可以用来解答评估项目中所需要完成的评估任务。
其中的某些方法只对某个评估任务有效,而一些工具可能一次自动完成多个项目。为了能减少使用工具产生的误报和漏洞,可以使用二种以上的工具来检测同一个评估任务,或者使用手工测试的方式来确认检测结果的真实性。
同时,在进行某些评估任务的评估工作时,例如系统弱点扫描,应当从由外向内看和由内向外看的两个方式分别进行。进行由外向内看的测试时,是试图从组织网络边界的外部检测系统,它能为我们提供一个从外部攻击相同的方式来审视系统的安全性。而进行由里向外看测试时,我们就应该从内部人员对系统使用权限的角度,去审查系统的安全性,此时,我们会得到比由外向内看更多的安全信息。恰当地使用这两种方式,能将目前大部分的安全威胁都考虑进来。
每个风险评估项目中的所有评估任务,如没有特殊要求,就必需按照风险评估表单中排列的顺序来进行。这是因为在评估过程中,当前的评估任务完成后产生的结果,可能会用来作为下一个任务的检测条件。如果此时评估的顺序相互置换,那么就会造成错误的最终评估结果。
在本文中的网络操作痕迹信息检测评估项目中,所有的评估任务都是由内向外看的方式来进行的。这些评估任务可以通过机构员工档案审查,检查员工使用的计算机中的浏览器COOKIE,检查机构WEB服务器缓存,审查机构边界位置网络操作行为管理设备的各种日志,通过网络搜索引擎,通过搜索一些独特的位置(如新闻组、博客及论坛)来完成。同时,还可以通过模拟发送机密信息的方式,审查已有的网络操作行为监控设备是否能拦截它发送到互联网中,是否能够限制员工使用即时通信软件和P2P软件,员工是否可以突破封锁等任务。并且检验网络操作行为监控设备是否能将违规行为记录到相应的日志当中,能否提供有效的警报,收到警报能否产生有效的拦截等等。
有时,会将所有的评估任务分配给几个人来进行,因此,当某个评估人员完成属于他(她)的评估任务后,就应当在评估任务答案后评估人一栏中签上他的名字。当所有评估任务完成后,将已经填入评测答案和评估人签名的风险评估表单上报给评估负责人,经评估负责人确认并签字后,这个风险评估表单中的内容才能算真正有效,并在风险评估表单中填入评估结束时间。然后就可以进入下一个风险评估环节。
三、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段
当评估项目的所有评估任务完成后,就应当组织整个评估人员,将风险评估表单中每个评估任务的评测结果分析并汇总,给出一个具体安全和风险等级。然后,通过分析目前可以使用的安全防范技术,从机构可以接受的安全风险防范投入成本出发,同时给出一个相应的安全风险解决方案,并在解决方案中说明方案实施后能解决的风险,达到的具体安全等级,以及仍然存在的风险状况等内容。所有的这些信息都可以一个报告文件的方式记录下来。
每个信息系统安全风险评估报告都是针对某个具体的评估对象而言的。在本文的实例中,应当给出一个包括下列内容的风险评估报告,其它评估对象的风险评估报告给出的内容至少也应当包括下列所示的内容:
1、列出完成的评估任务清单;
2、列出评估对象目前存在的威胁和弱点,给出具体的安全和风险等级;
3、列出防范这些检测到的威胁和弱点的保障措施;
4、说明这些安全建议是属于物理、管理、还是技术控制;
5、说明实施这些给出的安全建议后会带来的效果;
6、说明每一个具体的安全建议,能将风险减少到什么程度;
7、安全修补后,评估对象能达到什么样的安全等级;
8、安全修补后,还有什么风险没能完全控制,应当如何进一步控制;
9、说明实施这些安全修补措施具体应当花费的安全成本。
有些时候,风险评估报告中不一定要求给出具体的安全修补建议。但是,当检测到的弱点可能给机构信息系统带来中等或高等安全风险时,就应当按要求给出针对性的安全解决方案安全风险评估报告的内容可以作为安全策略的一个强有力的补充,你甚至可以将它们的处理建议加入到已有的安全策略当中,以保证安全策略的强壮性。安全风险评估报告同时也可以作为上报给机构领导或评估小组领导的书面报告,你可以在报告中标出哪些方面是必需要修补的,以便能让上级领导赞同你的建议。
这样,你要确保你的安全风险评估报告的有效性和权威性。有效性说明这份报告是在真实检测和分析的基础上形成的,而且时间与报告的时间相吻合。权威性是指这份报告应当出自整个评估小组在检测分析之上,并不是某个人凭空想象造出来的。并且有整个参与人员的所有手工签名,以及标出所有评估都是参照某个国家或国际标准来评定具体安全和风险级别的。
四、后期安全维护阶段
后期安全维护其实只是信息系统安全风险评估过程中的一个附加阶段。对于专门的风险评估机构或安全公司来说,当给出具体的安全风险评估报告后,就表明此次风险评估任务全部结束。但是,对于评估对象所在的机构来说,安全风险评估工作的结束,只是表示另一个重要的任务,安全修补任务的开始。
后期安全维护就是按照风险评估报告中给出的安全修补建议,决定实施额外的管理和安全防范措施,以便能修正现有的安全策略,降低目前存在的弱点可能被威胁利用后带来的风险水平。
在安全修补实施的过程中,如果有些安全弱点不能按要求进行修补,你应当将它们记录下来,并上报给机构技术负责人。
另外,非常重要的一点就是:在所有的安全修补工作按要求全部完成后,一定要按本文所描述的风险评估过程重新对修补后的评估对象进行一次复查评估,以便确认修补后评估对象是否真正达到了期望的安全水平。同时,也能给出仍然不能防范的安全弱点,以及这些弱点目前应当如何应对才能降低发生的可能。
从这里我们就可以看出,信息系统安全风险评估是一个风险评估准备、风险评测、给出风险报告与后期维护四者之间不断循环往复的处理过程。
3COME考试频道为您精心整理,希望对您有所帮助,更多信息在http://www.reader8.com/exam/
