信息安全支持风险评估过程的技术示例.docx
信息安全支持风险评估过程的技术示例A.1信息安全风险准则A.1.1风险评估相关准则A.1.1.1风险评估的一般考虑通常情况下,个人的不确定性会主导性地影响信息安全风险评估,不同的分析师在解释可能性和后果标度程度时会表现出不同的不确定性倾向。基准标度宜将后果、可能性和风险类别与共同明确规定的目标价值联系起来,尽可能用定量方法所特有的、以货币计量的经济损失和有限时间内估计的发生频率等来表示。特别是在采用定性方法的情况下,风险分析师宜根据锚定的基准标度进行培训和定期实践,以保持其判断的标定。A.1.1.2定性方法A.1.1.2.1后果标度表A.1给出了后果标度示例。表A.1后果标度示例后果描述5-灾难级影响超出组织范围的行业或监管后果严重影响行业生态系统,其后果可能会长期持续。和/或:政府部门难以甚至没有能力确保履行监管职能或完成至关重要的任务之一。和/或:对人身和财产安全造成严重后果(健康危机、重大环境污染、关键基础设施破坏等)4-危重级对组织的灾难性后果组织无法确保开展全部或部分业务活动,可能对人身和财产安全造成严重后果。组织很可能无法克服这种情况(其生存受到威胁),其经营所在地区的活动或政府部门可能会受到轻微膨响,但不会造成任何的长期后果3-严重级对组织的篁大后果组织活动能力严重下降,可能对人身和财产安全造成重大后果。组织可以克服严重困难的情况(以严重降级的模式运行),但不会对任何地区或政府部门产生影响2-一般级对组织重大但有限的后果组织活动能力下降,但不会对人身和财产安全造成后果。尽管有一些困难但组织可以克服(以降级模式运行)上轻微级对组织可以忽略的后果没有对运营、活动能力或人身和财产安全造成后果。组织可毫无困难的克服这种情况(利润将被消耗)AIj.2.2可能性标度表A.2和表A.4给出了表示可能性标度的可选方法示例。可能性能用表A.2中的概率项或表A.4中的频率项来表示。概率表示风险事态在指定时间段内发生的平均可能性,而频率表示风险事态在指定时间段内预计平均发生的次数。由于这两种方法只是从两个不同的角度表达同一事情,因此两种方法均能使用,这取决于组织认为哪种方式对给定的风险类别最为方便。但是,如果这两种方法在同一组织内都被用作可选方案,重要的是,两个标度理论上等效的等级表示相同的实际可能性。否则,评估结果取决于使用的标度,而不是所评估的风险源的实际可能性。如果同时使用两种方法,则每个理论上等级的概率水平宜根据等效等级的频率值以数学方式计算得出,反之亦然,这取决于使用哪种方法来定义主要的标度。如果单独使用这两种方法中的任何一种,则不必对标度的增量进行严格定义,因为无论使用的绝对值如何,仍可以实现可能性的优先级排序。尽管表A.2和表A.4根据组织的环境和被评估风险类别,对可能性分析使用了完全不同的增量和范围,但如果单独使用,每一种方法都能等效地进行分析。然而,在同一环境下,它们之间的互换可能存在风险,因为赋给等效等级的值是不相关的。表A.2和表A.4中使用的类别和数值仅为示例。给每个可能性等级最合适的赋值取决于组织的风险状况和风险偏好。表A.2可能性标度示例可能性描述5-几乎确定风险源通过使用种经过考虑的攻击方法极其可能达到其目标。风险场景发生的可能性很高4-很可能风险源通过使用一种经过考虑的攻击方法很可能达到其目标。风险场景发生的可能性高3-可能风险源通过使用一种经过考虑的攻击方法有可能达到其目标。风险场景发生的可能性是值得注意的2-不太可能风险源通过使用一种经过考虑的攻击方法达到其目标的机会相对较小。风险场景发生的可能性低I-几乎不可能风险源通过使用一种经过考虑的攻击方法达到其目标的机会非常小。风险场景发生的可能性很低在使用任何一种可能性评估方法时,可对等级赋予“低”、“中”和“高”等标签,这在与非专业风险评估的相关方讨论可能性级别时非常有用。然而,它们是主观的描述,不可避免地模棱两可。因此,在实施评估或报告评估时不宜将它们用作主要描述词。A.1.1.2.3风险级别定性标度的效用和由此产生的风险评估的一致性完全取决于所有相关方对分类标签解释的一致性。任何定性标度的级别都宜是明确的,其增量宜清晰定义,每个级别的定性描述宜采用客观性语言表达,类别不宜相互重叠。因此,在使用可能性、后果或风险的语言描述时,宜正式引用数值参考点(如表A.4中所示)或比值参考点(如表A.2中所示)所锚定的明确标度。所有相关方宜了解基准标度,以确保对定性评估数据和结果的解释是一致的。表A.3给出了一个定性方法的示例。表A.3风险准则的定性方法示例可能性后果灾难级危重级严重级重要级轻微级几乎确定很高很高高高中很可能很高高高中低可能高高中低低不太可能中中低低很低几乎不可能低低低很低很低定性风险矩阵的设计宜以组织的风险接受准则(见6.4.2和A.1.2)为指导。组织有时更关注几乎不可能发生的极端后果,或者主要关注后果较小的高频事件。在设计风险矩阵时,无论是定性的还是定量的,一个组织的风险状况通常是不对称的。微小的事态通常是最频繁的,而预期的频率通常随着后果的增加而降低,最终导致极端后果的可能性很低。高可能性/低后果事态所表示的业务风险与低可能性/高后果事态所表示的业务风险相等也是不常见的。尽管一个低/低至高/高对角线对称的风险矩阵很容易创建并且从直觉上可接受,但它不太可能准确地代表组织的真实风险状况,因此可能会产生无效的结果。为确保风险矩阵切合实际并能满足持续改进的要求(见GB/T22080-XXXX的10.2),当定义和修改标度和矩阵时,宜文件化记录将每个风险类别分配到可能性标度、后果标度和风险矩阵的推论,以及这些分类如何符合组织的风险状况。至少,使用增量标度矩阵所固有的不确定性宜在描述时对其用户给予应有的注意。定性标度的效用和由此获得风险评估的一致性完全取决于所有相关方对类别标签的解释的一致性。任何定性标度的级别都宜明确无误,其增量宜明确定义,每个级别的定性描述宜以客观语言表达,类别不宜互重叠。A.1.1.3定量方法A.1.1.3.1限定标度风险等级可使用任何方法并考虑任何相关因素来计算,但它一般通过可能性乘以后果来表示。可能性表示在给定时间段内事态发生的概率或频率。这个时间段通常是以年为单位(每年),或者根据组织的需要取更长(例如,每世纪)或更短(例如,每秒)的单位。可能性标度宜以反映组织环境的实际情况来定义,以帮助其管理风险并便于所有相关方理解。这主要意味着对所表示的可能性范围设定实现的限制。如果标度的最大和最小限值相差太大,其中的每个类别都包含范围过大的可能性,将使评估变得不确定。示例1:标度上可能性的上限能根据组织通常响应事态所需的时间来有效定义,而卜.限则根据组织长期战略规划的持续时间来有效定义。高于和低于所定义的标度限度的可能性能有用地表示为“大于标度最大值”和“小于标度最小值”,从而清楚地表明,超出所定义标度限度的可能性是需要例外考虑的极端情况(可能使用特殊的“越界”准则)。在这些限制之外,特定的可能性不如指定方向上的例外情况重要。通常,使用财务数据测量后果是有用的,因其允许汇总风险报告。示例2:货币化后果标度通常基于10的倍数(IoO到IOo0;IOoO到100oO等)。可能性标度类别的范围宜参考所选后果标度来选择,以避免每一类风险范围过大。示例3:如果可能性和后果使用指数标度的指标来表示(如标度中的数值对数),则宜将其相加求和。可按以下方式计算风险值:反对数log(可能性值)+log(后果值)o表A.4对数型可能性标度示例近似平均频率对数表达式标度值每小时(JIO5)5每8小时(约10')4每周两次(约IoS)3每月一次IO2)2每年一次(101)1每10年一次(10°)O示例4:在&A.4中,高频事态如口令攻击或来自僵尸网络的分布式拒绝服务攻击。实际上,攻击的频率可能会高得多。示例5:在表A.4中,低频事态如火山爆发。即使预测某个事态每世纪只发生一次,但是并不意味着它在ISMS的生命周期内不会发生。表A.5给出了对数型后果标度的示例。考虑频率的目的之一是确保防护措施足够强大以承受高频攻击序列,即使这种攻击序列的可能性很低。表A.5对数型后果标度示例后果(损失)对数表达式值£1OOOOOO(IOfi)6£100OOO(10r,)5£10OOO(104)4£1OOO(103)3£100(102)2不到£100(10l)1如果可能性和后果标度都使用以10为底的对数来分配级别,则风险分析师可能得出大量的风险属于同一风险级别,以致于可能无法做出适当的优先级排序或安全投资决策。在这种情况下,减少底数并增加级别的数量可能是有用的。宜注意,如果可能性和后果选择了不同的底数,则不能应用指数相加的公式。示例6:如果可能性从一个级别到下一个级别只是增加了一倍,而后果增加了10倍,则当风险b)的后果是风险a)的K)倍,但其可能性只有风险a)的一半,上述公式推导出的风险a)和b)处于同一风险级别。这在经济上是错误的。表A.4和表A.5列出了涵盖不同组织中的大多数可能性和后果的范围。没有单个组织可能遇到所有这些示例标度中所表示的风险范围。宜使用组织的环境和ISMS范围来定义可能性和后果的现实的上限和下限,同时记住风险的量化范围超出1至100O时,其实际价值是有限的。A.1.2风险接受准则风险接受准则可能是一个值,超过这个值的风险被认为是不可接受的。示例1:在表A.3中,如果选择的值为中,则组织认为所有很低、低或中的风险都是可接受的,而所有高或很高的风险是不可接受的。通过使用颜色标注的风险矩阵来反映后果和可能性标度,组织能图形地呈现一个或多个风险评估的风险分布。这种风险矩阵也可用于表明组织对风险值的态度,并表明在正常情况下风险是接受还是处置。示例2:使用三种颜色(例如,红色、橙黄色和绿色)的风险矩阵,能用于表示三个风险评价级别,如表A.6所示。风险矩阵也能受益于选择其他颜色模型。示例3:如果风险矩阵被用来比较同一风险的初次风险评估结果和再评估结果,则使用更多的颜色来表示风险等级,更易于呈现风险降低的情况。还可能在模型中增加授权各层级的管理人员决定接受特定风险值的风险。表A.6给出了一个评价标度示例。表A.6使用三色风险矩阵的评价标度示例风险级别风险评价描述低(绿色)接受无需采取进步措施即可接受风险可被接受中(橙色)控制下可接受宜在中长期持续改进的框架内开展风险管理方面的后续行动,并采取措施高(红色)不可接受宜在短期内一定采取降低风险的措施。否则,宜拒绝全部或部分活动A.2实践技术A.2.1信息安全风险组成部分当识别和评估信息安全风险时,宜考虑以下组成部分。与过去有关的:安全事态和事件(包括组织内的和组织外的);风险源;被利用的脆弱性;测量出的后果。与未来有关的:威胁;脆弱性;后果;风险场景。图A.1展示了信息安全风险组成部分之间的关系,并在A.2.2至A.2.7讨论。I1图例*威胁图A.1信息安全风险组成部分关于“预期最终状态”的详细信息,参见A.2.3b)oA.2.2资产当使用基于资产的方法进行风险识别时,宜对资产进行识别。风险评估过程中,识别风险场景中的事态、后果、威胁、脆弱性宜关联到资产。风险处置过程中,每项控制都适用于组资产。这些资产可分为两类。主要或业务资产:对组织有价值的信息或过程。支撑性资产:一个或多个业务资产所依赖的信息系统组成部分。主要或业务资产通常用于基于事态的方法(识别事态及其对业务资产的影响)。支撑性资产通常用于基于资产的方法(识别和分析这些资产的脆弱性和威胁)和风险处置过程(指定资产所采取的控制)。业务资产和支撑性资产是相关的,支撑性资产所识别的风险源同样会影响业务资产。因此,确定资产之间的关系,并了解它们对组织的价值是重要的。对资产价值的错误判断会导致对其风险有关的后果的错误判断,同时影响对所考虑的威胁的可能性的理解。示例1:支撑性资产正承载一项业务资产(本例中为信息)。信息受内部和外部控制保护,以防止风险源通过利用支撑性资产的脆弱性达到其对业务资产的企图。在区分不同类型的资产时,宜记录资产之间的依赖关系并对风险传递进行评估,宜保证同一风险不被二次评估:一次是风险发生在支撑性资产上,另一次是风险影响到业务资产时。可使用资产依赖关系图表示这种依赖关系,并宜确保考虑了所有依赖关系。示例2:图A.2展示了“显示订单和发票处理”业务资产所依赖的资产,解释如下:“管理员”(类型:人力资源),如果没有经过适当的培训,把风险带给资产。“信息技术运维”(类型:服务),把风险带给资产。“服务器”(类型:硬件)或“网络”资产(类型:网络连接)。服务器因停止运行或网络异常影响资产。“门户网站”(类型:应用程序),停止运行或不可用。如果“门户网站”不可用,”显示订单和发票处理”的业务过程就不能向客户提供预期的服务。图A.2资产依赖关系图的示例A.2.3风险源和预期最终状态本条描述风险源的特征。这种描述性方法有两个主要准则:动机;行动能力。a)识别风险源表A.7给出了风险源示例及常用攻击方法。表A.7风险源示例及常用攻击方法风险源风险源示例及常用攻击方法国家相关国家、情报机构方法:攻击通常由专业人员实施,按照预先设定的时间和攻击方法开展。该类攻击者的特点是能在很长一段时间内(稳定的资源、规程)执行攻击操作,并根据目标的拓扑结构调整其工具和方法。此外,该类攻击者有途径购买或者发现零日漏洞,并且有些攻击者能渗透到隔离的网络中进行深入攻击,以达到一个或多个目标(例如,通过攻击供应链)有组织的犯罪网络犯罪组织(黑手党、帮派、犯罪团伙)方法:通过建立虚假网站、病毒勒索、僵尸网络等信息网络方式实施违法犯罪活动。特别是由于容易从网上获得的攻击工具包激增,网络犯罪正通过日益第杂且有组织的行动来达到获取利益或欺诈的目的。有些攻击者具备购买或发现冬日漏洞的能力恐怖分子网络恐怖分子,网络民兵方法:攻击通常不是很复杂,但以干扰和破坏为目的:拒绝服务(例如,使医院中心的应急服务不可用,突然关闭能源生产工业系统),利用互联网网站脆弱性并篡改意识形态激进分子网络黑客,利益集团,派别方法:攻击的方法和攻击的复杂性与网络恐怖分子相似,但其破坏意图不明显。一些攻击者是为了传达一种意识形态,一种信息(例如,大规模使用社交网络作为宣传媒介)专业团队“网络雇佣兵”的信息技术能力从技术角度来看通常都很高。尽管他们与“脚本小子”同样有挑战和寻求认可的精神,但其目的是追逐利益,需与“脚本小子”区分开,其能被组织成专门的团体,提供黑客服务。方法:这类有经验的黑客通常设计和创建攻击工具和工具包并在线上发布(可能需要收费),然后可交由其他攻击团体作为“站式解决方案”使用C除了经济利益之外,没有什么特别的动机业余爱好者出于追求社会认可、乐趣和挑战的“脚本小子”或具有良好信息技术知识的人员。方法:基本攻击,但有能力使用网上在线攻击工具包报复者攻击动机由强烈的报复情绪或者不公正感所引导(例如,员工因严重过错被解雇,服务提供者因未续签合同而不满等)°方法:攻击者的特征是其决心,以及对系统和组织流程的了解。这使其变得更难对付,并具备制造伤害的巨大力量病态攻击者攻击动机是病态的或者具有机会主义性质,有时受利益驱使进行(例如,不公平的竞争时手,不诚信的客户,诈骗犯和欺诈者)。方法:这种情况下,攻击者有计算机方面的基础知识,从而把破坏信息系统作为其目标,或者使用在线可用的攻击工具包,或者委托给专业团队进行攻击。某些情况下,攻击者能将关注点转向内部资源(不满的员工、不道德的服务提供者),并试图进行腐蚀b)描述风险源的动机一一预期最终状态。攻击动机范围较广:它们即是政治的、经济的、意识形态的,也是社会性的,甚至是机会主义性质的或病态的心理状态。当不能直接表达动机时,能通过风险源的意图来说明,并以预期最终状态(DES)的形式来描述,即风险源在攻击对抗后想达到的总体状况。一种与通用措施分类相关的系统性情境分类方法,可用来指导情境分析。表A.8给出了用DES表述的攻击动机分类的示例。攻击动机预期最终状态描述征服长期获取资源或经济市场,获得政治权力或施加价值观念获取掠夺的方法,坚决的进攻,以获取资源或利益为动力防范限制第三方行为的进攻方法维护维持一种意识形态、政治、经济或社会状况的努力防御采取严格的防御性退守姿态,或明确的威胁态度(如恐吓),以防止明确指定的对手的攻击行为,或减缓他们的行动等生存不惜一切代价保护实体,这能导致极端攻击的行动c)最终目标为了达成DES,风险源专注于影响目标系统业务资产的一个或多个目标。这些都是风险源的最终目标。表A.9给出了最终目标的示例。表A.9最终目标的示例最终目标描述搜集情报情报行动(与国家相关、经济相关)。多数情况下,攻击者的目标是在信息系统中进行长期潜伏,并完全可以自行决定。武器、航天、航空、制药、能源和国家的某些活动(经济、金融和外交事务)是优先目标战略预先部署预先部署行动。通常是没有明确的最终目的的长期攻击(例如,破坏电信运营商网络,港透到大量信息互联网网站以发动具有强烈反响的政治或经济膨响力的行动).为了形成低尸网络而突然大规模入侵计算机的行为可归于此类影响散布虚假信息或篡改信息、组织社交网络上意见领袖、破坏名誉、披露保密信息、损害组织或国家形象的行动。最终目的通常是引起不稳定或改变看法阻碍运行破坏行动,例如使互联网网站不可用,导致信息饱和,阻止数字资源使用,使物理设施不可用。工业系统通过其互联的信息技术网络,可能特别容易被暴露并具有脆弱性(例如,发送命令以产生硬件损坏或需要大量维修的故障)°分布式拒绝服务攻击(DDoS)是阻止使用数字资源的常用技术有利可图以直接或间接的经济利益为目的的行动。通常与有组织的犯罪有关:网络诈骗、洗钱、敲诈勒索或挪用公款、操纵金融市场、伪造行政文件、身份盗窃等。某些以营利为目的的行动可以利用上述类别的攻击方法(例如,搜集情报和数据盗窃,以勒索软件的形式使活动无效),但最终都是以经济利益为目的挑战,乐趣以实现社会认可、挑战或单纯的乐趣为目的的行动。虽然目的主要是为了获得乐趣,而且没有任何特别的伤害欲望,但这种行为的特征可能会对受害者带来严重的后果DES和最终目标之间的区别能通过一个风险源的例子来说明,该风险源的目标是赢得一项交易(DES),试图窃取竞争对手的谈判保密信息(战略目标)。有时,相关的目标(期望得到的信息)最终不能得出DES。从风险源的角度来看,最终目标的价值来自于其对DES的贡献。总的来说,风险源的最终目标分为两大类:一利用目标资源为自己谋利,如收集情报、盗窃、诈骗、欺诈、非法交易;一阻止目标使用其资源(对抗总是相对的),如战争、恐怖主义、蓄意毁坏、颠覆、破坏稳定。A.2.4基于事态的方法A.2.4.1生态系统在基于事态的方法中,宜通过分析与组织及各相关方之间的不同的互动路径来构建场景,这些路径形成一个生态系统,风险源能通过这个生态系统接触到业务资产并达到其DES。越来越多的攻击方法利用这种生态系统中最薄弱的环节,以达到其目标。在分析风险情景时宜考虑到ISMS范围的各相关方,其可以分为两种类型。外部各方,包括:客户;合作伙伴、联合承包商;服务提供商(分包商、供应商)。内部各方,包括:与技术相关的服务提供者(例如,由信息技术管理部门提供的支持服务);与业务相关的服务提供者(例如,使用业务数据的商业实体);子公司(尤其是位于其他国家的)。识别相关方的目的是对生态系统有清晰的认识,以识别最脆弱的点。了解生态系统宜作为初步的风险研究来应对。图A.3显示了如何识别生态系统各相关方。关键点*生态系蛟内的美系<-蹲越生态系袋边界的关系<风险簿内的关系W核与系统相连的内部/ 外部相关方 (第一隹关系)与相关方相速的另一个相关75(第二层关系)实体较酒7生态系线电Ia图A.3生态系统中相关方的识别根据有关风险源和事态的信息,可以设想出实现的高级别场景(战略场景),表明风险A.2.4.2战略场景源可以以何种方式达到其DES。例如,它可以检查生态系统或改变某些业务过程。从风险源和他们的DES开始,通过推理识别这些场景:对于每个场景,可以从风险源的角度提出以下问题:一一为了达到其DES,风险源需要针对组织的哪些业务资产?为了使他们的攻击成为可能或为攻击提供便利,他们是否可能攻击生态系统中对业务资产有访问特权的关键相关方?一旦识别了暴露程度最高的要素,可通过描述风险源为达到DES产生事态的过程来构建战略场景。对业务资产的侵害行为是最终事态,而与生态系统相关的事态则是中间事态。战略场景反映的是直接从有关事态继承下来的后果评估。这些场景能以攻击图的形式表示,也可以通过叠加攻击路径直接在信息系统映射的生态系统视图上表示。战略场景需要额外考虑事态的可能性。基于资产的方法和相关的运行场景能用于定义事态的可能性。在A.2.5.1中给出的威胁实例能用于收集必要的评估项。A.2.5基于资产的方法A.2.5.1威胁示例表A.10给出了典型威胁示例。该列表可以在威胁评估过程中使用。威胁作为风险源能分为故意的、意外的或环境的(自然因素),并能导致后果,如基础服务的损害或损失。该表列举了与D(故意的)、A(意外的)、E(环境的)相关的每种威胁类型。D表示所有针对信息和信息相关资产的故意行为,A表示可能意外损害信息和信息相关资产的其他所有人为行为,E表示所有非人为行为的事件。该表没有优先顺序。控制能通过威胁或阻止这些威胁起作用或发生来降低威胁。选择降低风险的控制,还需要考虑识别、响应、遏制和恢复事态的监测和响应控制。监测和响应的控制与后果有关,与威胁无关。日志和监控可以实现安全事态的识别和响应。表A.10典型威胁示例类别编号威胁描述风险源类型I物理威胁TPOl火A,D,ETP02水A,D,ETP03污染、有害辐射A,D,ETP04重大事故A,D,ETP05爆炸A,D,ETP06灰尘、腐蚀、冰冻A,D,E自然灾害TNOl气候现象ETN02地震现象ETN03火山现象ETN04气象现象ETN05洪水ETN06流行病/疫情现象E基础设施故障TIOl供应系统故障A,DTI02冷却或通风系统故障A,DTI03供电故障A,D,ETI04电信网络故障A,D,ETI05电信设备故障A,DI26电磁辐射A,D,ETI07热辐射A,D,EIIOS电磁脉冲A,D,E技术失效TTOl设备或系统故障TT02信息系统饱和A,DTT03信息系统可维护性破坏A,D人为行为THOl恐怖活动、攻击、破坏DTH02社会工程DTHO3设备电磁监听/对阻止干扰信号的拦截DTH04远程情报收集DTH05窃听DTH06介质或文件偷窃DTH07设备偷窃DTflOS数字身份或凭证窃取DTH09回收或废弃介质的检索DTHlO信息泄露A,DIllll不可信来源的数据输入A,DTH12硬件篡改DTil13软件篡改A,DTH14使用基于WCb通信的漏洞DTHlB重放攻击,中间人攻击DTH16个人数据的未授权处理A,DTH17场所的未授权进入DTH18设备的未授权使用DTH19设备的不当使用A,DTH20设备或介质的损坏,D1112】软件的伪造复制DTH22假冒或盗版软件使用A,DTH23数据损坏DTH24数据的非法处理DTH25恶意软件的发送或传播,D,ETH26位置探测D功能或服务缺陷ICOl使用错误AT('()2权限或许可滥用A,DTC03权限或许可伪造DTCO4行为否认D组织威胁TOOl人员缺失A,ET002资源缺失A,E10()3服务提供者失效A,ETHOl违法违规行为A,D1D=故意的;A=意外的;E=环境的。A.2.5.2脆弱性示例表A.11给出了多种安全领域的脆弱性示例,包括可以利用这些脆弱性的威胁示例。该表能在威胁和脆弱性评估中提供帮助,来确定相关的风险场景。在某些场合,其他威胁同样可能利用这些脆弱性。表A.11典型脆弱性示例类别编号脆弱性示例VHOl存储介质的维护不足/错误安装VH02定期更换计划的缺乏硬件VH03对潮湿、灰尘、污染的敏感性VH04对电磁辐射的敏感性VII05有效配置变更控制的缺乏VH06对电压变化的敏感性VII07对温度变化的敏感性VH08未保护的存储器VH09废物谨慎处置的缺乏VHlO未控制的复制软件VSOl软件测试的缺失或不足VS02软件中众所周知的缺陷VS03离开工作站时未"退出"VS04未适当擦除的存储介质的废弃或再使用VS05审计跟踪的缺乏VS06访问权限的错误分配VS07广泛分布的软件VS08应用程序使用了错误的时钟数据VS09匏杂的用户界面VSlO文件化不充分或缺失VSll不正确的参数设置VS12不正确的日期VS13标识与鉴别机制(如用户鉴别)不充分VSl4未保护的口令表VS15糟糕的口令管理VS16不必要的服务开启VS17不成熟或新的软件VS18不清晰或不完整的开发者规范VS19有效变更控制的缺乏VS20软件未受控的下较和使用VS21备份的缺乏或不完整VS22未能生成管理报告网络VNOl发送或接收消息的证据机制不完整VN02未保护的通信线路VN03未保护的敏感通信VN04糟糕的综合布线VN05单点故障VN06发送者和接收者的标识与鉴别机制不充分或缺失VN07不安全的网络架构VN08口令明文传输VN09网络管理不足(路由弹性)VNlO未保护的公共网络连接人员VPOl人员脱岗VP02招聘规程不足VP03安全培训不充分VP04软件和硬件的不正确使用VP05安全意识缺乏VP06监视机制缺乏VP07对外部人员或清洁人员的工作无监督VP08无效或不正确使用电信介质和通讯策略场所VSOl建筑物和房间物理访问控制使用不当或疏忽VS02位于洪水多发地区VS03不稳定的电网VS04建筑物和门窗物理保护的不充分组织VOOl未制定用户注册和注销的正式规程,或实施无效V002未制定访问权限审查(监督)的正式过程,或实施无效V003与客户和(或)第三方合同中的规定(关于安全)缺乏或不足V004未制定信息处理设施的监视规程,或实施无效V005未定期审计(监督)V006未制定风险识别和评估规程,或实施无效V007管理员和操作员日志中记录的故障报告缺乏或不充分V008设备维护响应不足V009服务级别协议缺乏或不充分VOlO未制定变更控制规程,或实施无效VOll未制定ISMS文件化控制的正式规程,或实施无效V012未制定ISMS记录监督的正式规程,或实施无效V013未制定公开可用信息授权的正式过程,或实施无效V014信息安全责任分配不当VOl5连续性计划不存在、不完整或过时V016未制定电子邮件使用策略,或实施无效VOl7未制定在运行系统中引入软件的规程,或实施无效V018未制定保密信息处理的规程,或实施无效V019职位描述中缺乏信息安全责任V020员工合同中的规定(关于信息安全)缺乏或不充分V021未制定信息安全事件违规处理过程,或不能正确运行V022未制定移动计算机使用的正式策略,或实施无效V023外部资产控制不充分V024“清理桌面和屏幕”策略缺乏或不充分V025信息处理设施授权未实施,或不能正确运行V026安全违规的监视机制未正确实施V027未制定报告安全弱点的规程,或实施无效V028未制定符合知识产权规定的规程,或实施无效A.2.5.3技术脆弱性评估方法根据信息和通信技术(ICT)系统的关键性和可用资源(例如,己分配的资金、现有技术、具备专业知识的测试人员),可以使用信息系统测试等主动的方法来识别脆弱性。测试方法包括:自动脆弱性扫描工具;一一安全测试和评价;一一渗透测试;一一代码审查.自动脆弱性扫描工具被用于扫描一组主机或网络中己知的易受攻击服务(例如,系统允许匿名文件传输协议(FTP)、邮件中继)。然而,宜注意到自动扫描工具识别的潜在脆弱性在系统环境中可能并非真正的脆弱性。(例如,这些扫描工具中的一些在评估潜在脆弱性时并没有考虑场所的环境和要求)。被自动扫描软件标记的一些脆弱性对特定场所可能实际上不是脆弱性,而可能是其环境需要那种配置。因此,这种测试方法可能产生误报。安全测试与评价(STE)是另一种可被用于风险评估过程中识别ICT系统脆弱性的技术。它包括测试计划(例如,测试脚本、测试规程和期望的测试结果)的开发和执行。系统安全测试的目的是测试ICT系统的安全控制被应用在运行环境中的有效性。目标是确保所应用的控制符合被批准的软件和硬件安全规范,并执行组织的安全策略或符合行业标准。渗透测试可被用于补充安全控制的审查和确保ICT系统的不同方面是安全的。当用在风险评估过程中时,渗透测试可被用于评估ICT系统抵御故意绕过系统安全企图的能力。其目标是从威胁源的视角测试IeT系统,并识别ICT系统保护方案中的潜在问题。代码审查是最彻底的(但也是最昂贵的)脆弱性评估方法。这些类型的安全测试结果将有助于识别系统的脆弱性。除非脆弱性被成功利用,否则渗透工具和技术可能给出错误的结果,除非脆弱性被成功利用。为了利用特定脆弱性,需要知道被测系统上确切的系统/应用/补丁设置。如果在测试时不知道这些数据,就不太可能成功地利用特定脆弱性(例如,获得远程反向ShCl1)。然而,仍可能使被测试的进程或系统损毁或重。在这种情况下,被测对象宜同样被视为脆弱的。方法可以包括以下活动:访谈人员和用户;问卷调查;物理检查;文件分析。A.2.5.4运行场景在基于资产的方法中,可以通过分析风险源接触到业务资产或达到其DES有关联支撑性资产和不同路径来构建运行场景。分析这些场景能帮助深入研究基于事态的方法。成功的攻击通常是利用多个脆弱性的结果。故意的攻击通常遵循一种序列化的方法,这种方法会以协调一致的方式利用信息技术、组织或物理的多个脆弱性。尽管这些被利用的脆弱性在单独考虑时可能微不足道,但同时利用多个脆弱性的方法可能会带来严重的后果。所分析的场景能根据典型的攻击序列进行结构化。多种模型存在并能使用(例如,网络杀伤链模型该方法能识别关键的支撑性资产,这些资产可被用作入侵或利用的载体,或作为模拟攻击的传播中继。1)网络杀伤链模型是由洛克希德马丁公司提供的一种模型的名称。给出这一信息是为了方便本文这些情景可以用图形或攻击图的形式呈现,用于表示攻击者的攻击方法。A.2.6两种方法的适用场景示例风险场景可以通过使用基于事态的方法、基于资产的方法或两者结合来构建。风险场景1)风险场景(n)风阶级别(见 7.3.4)图A.4基于风险场景的风险评估表A.12给出了风险场景的示例,以及与基于资产/事态的方法和风险源之间的联系。表A.12两种方法中风险场景示例风险源最终目标或DES风险的战略场景(基于事态的方法)风险的运行场景(基于资产的方法)独裁型国家行为体获取战略攻击载体破坏关键基础设施在供应链中部署隐蔽和持久性恶意软件有组织的犯罪开展非法活动利用港口基础设施对码头工人工会的渗透控制计算机化流程管理系统税收欺诈创建空壳公司,在碳税市场进行虚假交易勒索散播勒索软件积极拓展业务获得市场垄断影响监管机构腐蚀决策者消除竞争对手社交网络上的诽谤活动A.2.7监视风险相关事态监视风险相关的事态是指识别能够影响10.5.2中定义的可能影响信息安全风险场景的因素。在此环境下,因素被识别为能检测出指定资产意外行为的一组元素,并可被整合到组织的监视能力和工具中,以确定信息安全风险场景的诱因。监视风险相关的事态能使用7.2.1中介绍的来自运行场景或战略场景的多个指标来定义。它们可以具有不同的性质(技术、组织、行为、审计结果等)。根据定义的优先级对事态进行监视,如事态的后果大小和可能性。表A.13给出了一个信息安全风险场景描述和监视风险相关事态的关系示例。件使用者,并不表示对该模型的认可。如果其他模型具有相同的效果,那么可使用这些等效模型。表A.13风险场景和监视风险相关事态关系的示例风险组成部分示例需要监视的事态战略场景(基于事态)敏感文件被管理员销毁检测到在正常工作时间->外直接访问数据库检测到影响大量数据的操作(销毁)相关事态关键文件损失后果的严重性描述性测度:高运行场景(基于资产)使用管理员权限,通过直接访问数据库来销毁敏感文件通过root权限,修改系统的日期/时间管理员工作站感染恶意软件,并在数据库传播可能性描述性测度:中风险源管理员目标任务敏感文件的可用性受损DES对系统的破坏备份策略的实施安全控制反恶意软件解决方案实施网络时间协议操作系统加固运行数据的访问权限控制源