数据安全学习笔记——网络安全风险评估

一、网络安全风险评估过程

（一）网络安全风险评估概述

依据有关信息安全技术和管理标准（等保2.0），对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威者利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认网络安全风险等级简单地说，网络风险评估就是评估威者利用网络资产的脆弱性，造成网络资产损失的严重程度。

网络安全风险值可以等价为安全事件发生的概率（可能性）与安全事件的损失的乘积，即R=f（Ep，Ev）。

网络安全风险评估要素：涉及资产、威胁、脆弱性、安全措施、风险等各个要素。

（二）网络安全风险评估模式

自评估：网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动 ；

检查评估：由网络安全主管机关或业务主管机关发起（根据法律法规、安全标准进行检查）；

委托评估：网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

（三）网络安全风险评估过程

网络安全风险评估工作主要包括：网络安全风险评估准备、资产识别、 威胁识别、 脆弱性识别、 已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等，如图所示

1. 风险评估准备

首先确定评估对象和范围。评估范围一般包括：网络系统拓扑结构；网络通信协议；网络地址分配；网络设备网络服务；网上业务类型与业务信息流程；网络安全防范措施（防火墙、IDS、保安系统等）；网络操作系统；网络相关人员；网络物理环境（如建筑、设备位置）

在这个阶段，最终将生成评估文档《网络风险评估范围界定报告》，该报告是后续工作的范围限定。

2.资产识别

资产识别包含“网络资产鉴定”和“网络资产价值估算”两个步骤

网络资产鉴定：确认网络资产种类和清单，常见网络资产：网络设备、主机、服务器、应用、数据和文档资产。

网络资产价值估算：确定具体资产在网络系统中的重要程度确认。组织可以进行资产等级划分，如表所示。

网络安全风险评估中，价值估算不是资产的物理实际经济价值，而是相对价值，一般是以资产的三个基本安全属性为基础进行衡量的，即保密性、完整性和可用性。价值估算的结果是由资产安全属性未满足时，对资产自身及与其关联业务的影响大小来决定的。

国家信息风险评估标准对资产保密性、完整性和可用性赋值划分为五级，级别越高表示资产越重要。

3.威胁识别

威胁识别是对网络资产有可能受到的安全危害进行分析，一般从威胁来源、威胁途径、威胁能力、威胁效果、威胁意图、威胁频率等方面来分析。

首先是标记出潜在的威胁源，并且形成一份威胁列表，列出被评估的网络系统面临的潜在威胁源。

威胁源按照其性质一般可分为自然威胁和人为威胁。自然威胁有雷电、洪水、地震、火灾等，而人为威胁则有盗窃、破坏、网络攻击等。对威胁进行分类的方式有多种，可以根据表现形式分类，如表：

威胁途径：指威胁资产的方法和过程步骤，威胁者为了实现其意图，会使用各种攻击方法和工具，如计算机病毒、特洛伊木马、蠕虫、漏洞利用和嗅探程序。通过各种方法的组合，完成威胁实施。

威胁效果：威胁成功后，给网络系统造成的影响。一般来威胁效果为：非法访问、欺骗、拒绝服务。

威胁意图：指威胁主体实施威胁的目的。根据威胁者身份，威胁意图可以分为挑战、情报信息获取、恐怖主义、经济利益和报复。

威胁频率：指出现威胁活动的可能性。一般通过已经发生的网络安全事件、行业领域统计报告和有关的监测统计数据来判断出现威胁活动的频繁程度。

4.脆弱性识别

脆弱性识别是指通过各种测试方法，获得网络资产中所存在的缺陷清单，这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制，缺陷将会危及网络资产的安全。

脆弱性识别以资产为核心，针对需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性严重程度进行评估。

脆弱性识别方法：漏洞扫描、人工检查、问卷调查、安全访谈和渗透测试等。

脆弱性严重程度的赋值方法，如表所示。

脆弱性评估工作分为技术脆弱性评估和管理脆弱性评估。

技术脆弱性评估：主要从现有安全技术措施的合理性和有效性方面进行评估。

管理脆弱性评估：从网络信息安全管理上分析评估存在的安全弱点，并标识其严重程度。安全管理脆弱性评估主要是指对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价，其目的在于确认安全策略的执行情况。

5.已有安全措施确认

对评估对象已采取的各种预防性和保护性安全措施的有效性进行确认，评估安全措施能否防止脆弱性被利用，能否抵御已确认的安全威胁。

6.网络安全风险分析

网络安全风险分析：在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法，选择适当的风险计算方法或工具确定风险的大小与风险等级。

网络安全风险分析步骤

1.对资产进行识别，并对资产的价值进行赋值。

2.对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值。

3.对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值。

4.根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。

5.根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。

6.根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即网络安全风险值。其中，安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下，其影响主要从以下几个方面来考虑：违反了有关法律或规章制度；对法律实施造成了负面影响；违反社会公共准则，影响公共秩序危害公共安全；侵犯商业机密；影响业务运行；信誉、声誉损失；侵犯个人隐私；人身伤害；经济损失。

网络安全风险值的计算方法主要有：定性计算方法、定量计算方法、定性和定量综合计算方法。

定性计算方法：将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估，然后再给出风险计算结果。定性计算方法给出的风险分析结果是：无关紧要、可接受、待观察、不可接受。

定量计算方法：将资产、威胁、脆弱性等量化为数据，然后进行风险量化计算。实际上资产、威胁、脆弱性、安全事件损失难以用数据准确地量化，因而完全的定量计算方法不可行。

综合计算方法：结合定性和定量方法，将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化，然后选用合适的计算方法进行风险计算。例如，脆弱性的严重程度量化赋值评估为：5 （很高）、4 （高）、3 （中等）、2 （低）、1 （很低）。综合计算方法的输出结果是一个风险数值，同时给出相应的定性结论。

7.网络处置与管理

针对网络系统所存在的各种风险，给出具体的风险控制建议，其目标在于降低网络系统的安全风险。

对不可接受的相关风险，应根据导致该风险的脆弱性制定风险处理计划。

风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。

安全措施的选择从管理与技术两个方面考虑。安全措施的选择与实施参照信息安全的相关标准进行。

网络安全风险管理的控制措施（10类）

1.制订明确安全策略建立安全组织；

2.实施网络资产分类；

3.控制加强人员安全管理；

4.保证物理实体和环境安全；

5.加强安全通信运行；

6.采取访问控制机制；

7.进行安全系统开发与维护；

8.保证业务持续运行；

9.遵循法律法规、安全目标一致性检杳。

二、网络安全风险评估技术方法与工具

资产信息收集：通过调查表形式，对被评估的网络信息系统的资产信息进行收集，以掌握被评估对象的重要资产分布，进而分析这些资产所关联的业务、面临的安全威胁及存在的安全脆弱性。

网络拓扑发现：网络拓扑发现工具有ping,traceroute以及网络管理综合平台。通过网络拓扑图，可以方便地掌握网络重要资产的分布状况及相互关联情况。

网络安全漏洞扫描：可以自动搜集待评估对象的漏洞信息，以评估其脆弱性。漏扫内容：系统版本、开放端口、开启服务、漏洞情况、密码算法和安全强度、弱口令分布状况等。

人工检查：进行人工检查前，要事先设计好"检查表(checklist) "评估人员按照"检查表"进行查找，以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。为了做好评估依据，所有的检查操作应有书面的记录材料。

渗透测试：在获得法律授权后，模拟黑客攻击网络系统，以发现深层次的安全问题。目的：安全漏洞发现、网络攻击路径构造、安全漏洞利用验证等。

问卷调查：采用书面的形式获得被评估信息系统的相关信息，以掌握信息系统的基本安全状况。

访谈：安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈，以考查和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。

审计数据分析：采用数据统计、特征模式匹配等技术，从审计数据中寻找安全事件有关信息。

入侵监测（IDS）：将入侵监测软件或设备接入待评估的网络中，然后采集评估对象的威胁信息和安全状态。

三、网络安全风险评估项目流程和工作内容

（一）网络安全风险评估项目主要工作流程和内容

网络安全风险评估项目主要工作流程和内容，包括评估工程前期准备、评估方案设计与论证、评估方案实施、评估报告撰写、评估结果评审与认可等。

评估工程前期准备：包括确定风险评估的需求目标，其中包括评估对象确定、评估范围界定、评估的粒度和评估的时间等；签订合同和保密协议；成立评估工作组；选择评估模式。

评估方案设计与论证：评估方案设计依据被评估方的安全需求来制定，需经过双方讨论并论证通过后方可进行下一步工作。评估方案设计主要是确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划等内容。为确保评估方案的可行性，评估工作小组应组织相关人员讨论，听取各方意见，然后修改评估方案，直至论证通过。

评估方案实施：包括评估对象的基本情况调查、安全需求挖掘以及确定具体操作步骤，评估实施过程中应避免改变系统的任何设置或备份系统原有的配置，并书面记录操作过程和相关数据。工作实施必须有工作备忘录，内容包括评估环境描述、操作的详细过程记录、问题简要分析、相关测试数据保存等。敏感系统的测试，参加评估实施的人员要求至少两人，且必须领导签字批准。

风险评估报告撰写：根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。评估报告是风险评估结果的记录文件，是组织实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料，因此，报告必须做到有据可查。

内容一般主要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、残余风险描述等。网络风险评估报告由绪论、安全现状描述、资产评估、脆弱性评估、安全管理评估、评估总结和建议组成。

评估结果评审与认可：最高管理层或其委托的机构应组织召开评估工作结束会议，总结评估工作，对风险评估活动进行评审，以确保风险评估活动的适宜、充分和有效。评估认可是单位最高管理者或上级主管机关对风险评估结果的验收，是本次风险评估活动结束的标志。评估项目负责方应将评估工作经验形成文字材料，一并把评估数据、评估方案、评估报告等相关文档备案处理。

（二）ICT供应链安全威胁识别

ICT是I"information and communication technology"的缩写。ICT供应链风险管理的主要目标如下：

完整性。确保在ICT供应链的所有环节中，产品、系统、服务及其所包含的组件、部件、元器件、数据等不被植入、篡改、替换和伪造。

保密性。确保ICT供应链上传递的信息不被泄露给未授权者。

可用性。确保需方对ICT供应链的使用不会被不合理地拒绝。

可控性。可控性是指需方对ICT产品、服务或供应链的控制能力。

ICT供应链主要面临恶意篡改、假冒伪劣、供应中断、信息泄露或违规操作和其他威胁五类安全威胁。

工业控制平台脆弱性识别：工业控制系统平台是由工业控制系统硬件、操作系统及其应用软件组成的。平台脆弱性是由工业控制系统中软硬件本身存在的缺陷、配置不当和缺少必要的维护等问题造成的。平台脆弱性包括平台硬件、平台软件、平台配置和平台管理四个方面的脆弱性。

（三）人工智能安全风险分析

人工智能安全是指通过必要措施，防范对人工智能系统的攻击、侵入、干扰、破坏和非法利用以及意外事故，使人工智能系统处于稳定可靠的运行状态，以及遵循人工智能以人为本、权责一致等安全原则，保障人工智能算法模型、数据、系统和产品应用的完整性、保密性、可用性、鲁棒性、透明性、公平性和保护隐私的能力。随着人工智能（内）技术的应用普及，其安全风险问题随之而来。人工智能安全风险分析如下。

1.人工智能训练数据安全风险。人工智能依赖于训练数据，若智能计算系统的训练数据污染，则可导致人工智能决策错误。

2.人工智能算法安全风险。智能算法模型脆弱性，使得其容易受到人为闪避攻击、后门攻击。研究人员发现对抗样本生成方法可诱使智能算法识别出现错误判断。

3.人工智能系统代码实现安全风险。人工智能系统和算法都依赖于代码的正确实现。目前，开源学习框架存在未知的安全漏洞，可导致智能系统数据泄露或失控。

4人工智能技术滥用风险。人工智能技术过度采集个人数据和自动学习推理服务，导致隐私泄露风险增加。

5.高度自治智能系统导致社会安全风险。自动驾驶、无人机等智能系统的非正常运行，可能直接危害人类身体健康和生命安全。

↑↑↑长按图片识别二维码关註↑↑↑