如何评估网络信息安全风险?
根据《信息安全技术信息安全风险评估规范》(GB/T20984-2007),对评估对象进行安全风险分析,包括评估对象的作用范围、威胁和脆弱性三个基本要素。
以下是对新网络技术和企业的安全风险评估,可分为确定影响范围、检测威胁、检测漏洞、计算风险分担值和创建评估结论。安全风险评估采用定量和定性相结合的方法进行。
1、行动范围的确定
影响范围以评价对象支持的用户数量表示,表明评价对象的传播效果。
对于在互联网上运行的应用系统,请参考下表中的映射。
范围 | 赋值 |
10万以内 | 1 |
10万-100万以内 | 2 |
100万-1000万以内 | 3 |
1000万-5000万以内 | 4 |
5000万及以上 | 5 |
2、了解威胁
威胁是指可能对额定物体造成损坏的外部原因。威胁利用被评估对象的脆弱性,使用一些手段和方法对被评估对象造成损害或损失,从而构成风险。例如,下表规定了新互联网技术和企业安全评估中的威胁值和发生概率。
威胁分类 | 威胁名称 | 赋值 | 威胁描述 |
假冒 | 假冒 | 4 | 通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 |
假冒 | 诱骗欺诈 | 1 | 通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式,诱骗用户,而达到不正当目的。 |
假冒 | 恶意扣费 | 5 | 在用户不知情或非授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,造成用户经济损失。 |
篡改 | 篡改 | 3 | 通过作伪的手段对应用程序的数据、进程、交互内容、发布内容进行修改。 |
拒绝服务 | 系统破坏 | 4 | 通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行。 |
拒绝服务 | 拒绝服务 | 5 | 对信息或其他资源的合法访问被无条件地阻止。 |
拒绝服务 | 资源消耗 | 4 | 在用户不知情或非授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,造成用户资费损失。 |
暴力破解 | 暴力破解 | 2 | 一种针对于用户账号和密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。 |
抵赖 | 抵赖 | 4 | 合法用户对自己操作行为否认的可能性。 |
越权(提升权限) | 非授权访问 | 3 | 某一资源被某个非授权的人,或以非授权的方式使用。 |
越权(提升权限) | 隐私窃取 | 4 | 在用户不知情或非授权的情况下,获取涉及用户个人信息。 |
越权(提升权限) | 窃听 | 3 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 |
越权(提升权限) | 业务流分析 | 3 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 |
越权(提升权限) | 远程控制 | 4 | 在用户不知情或非授权的情况下,能够接受远程控制端指令并进行相关操作。 |
越权(提升权限) | 破坏信息的完整性/可用性 | 4 | 数据被非授权地进行增删、修改或破坏而受到损失/数据遗失。 |
越权(提升权限) | 授权侵犯(内部攻击) | 3 | 被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的。 |
非法传播 | 恶意传播 | 5 | 自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的行为。 |
非法传播 | 信息泄露 | 5 | 信息被泄露或透露给某个非授权的实体。 |
非法传播 | 三涉 | 5 | 传播的内容与应用包含了非法的信息,如涉黄、涉非、涉政,含病毒等。 |
非法传播 | 非法应用 | 2 | 传播内容与应用的方式让用户无法接受,如垃圾短信的发送、骚扰电话等。 |
溯源失效 | 溯源失效 | 4 | 无法准确追溯到传播违法有害信息或进行恶意攻击的责任主体。 |
管理失控 | 管理失控 | 4 | 用户、业务规模已超过企业最大安全监管能力范围;或企业安全保障能力无法满足针对业务实现方式或功能属性带来安全风险的管理。 |
为了便于对不同威胁发生的可能性概率数据进行类比、度量,依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-5,1为最低,5为最高。
表:威胁赋值准则
等级 | 标识 | 定义 |
5 | VH(很高) | 威胁发生的可能性很高,在大多数情况下几乎不可避免或者可以证实发生过的频率较高。 |
4 | H(高) | 威胁发生的可能性较高,在大多数情况下很有可能会发生或者可以证实曾发生过。 |
3 | M(中) | 威胁发生的可能性中等,在某种情况下可能会发生但未被证实发生过。 |
2 | L(低) | 威胁发生的可能性较小,一般不太可能发生,也没有被证实发生过。 |
1 | VL(很低) | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 |