管理软件风险识别系统

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

4，3 风险识别
风险管理策略要求信息安全专业人员将机构的信息资产进行识别、分类，并区分优先次序，来了解这些资产。资产是各种威胁以及威胁代理的目标，风险管理的目标就是保护资产不受威胁。了解了机构的资产后，就可以进入威胁识别阶段。必须检查每一项资产的状况和环境进行检查，找出其漏洞。之后，就要确定采用什么控制措施，并根据这些控制措施对限制攻击所造成的可能损失，来评估控制。
风险识别的过程从机构信息资产的识别和评估其价值开始。这个过程后续的步骤如图4—2所示。

4．3．1 资产识别和评估
    这个循环的过程是从资产的识别开始的，它包括机构系统的所有要素：人员、过程、数据和信息、管理软件、硬件和网络要素。然后，对资产进行分类和归类，在进行深入分析的过程中添加细节。
    表4—1将标准信息系统的组成(人员、过程、数据和信息、软件、硬件)与改进系统(结合了风险管理和SecSDLC方法)的组成进行了比较。如表4-1所示，SecSDLC／风险管理的分类有许多新的部分。

● 人员包括员工和非员工。员工有两个子类别：获得信任并且拥有更大权利和责任的员工，以及没有特权的其他职员。非员工包括承包人和顾问、与机构有信任关系的其他机构的人员，以及陌生人。
● 过程分成两个类别：IT及商业标准过程和IT及商业敏感过程。商业敏感过程指的是帮助威胁代理对机构发起进攻的过程，或者可能将风险带入机构的其他意图及想法。敏感过程可能造成损失的一个事例是盗窃Bellsouth’的E911系统说明文件。这个文件说明了重要电话系统的某些内部工作方式。
● 数据元素进行了扩展，负责信息状态的管理：传输、处理及存储。这些扩展的类别解决了术语“数据”所引起的问题，数据通常与数据库相关，但不包括现代机构使用的数据及信息的全部形式。
● 软件组件可以分为3类：应用程序、操作系统和安全组件。提供安全控制的软件组件可以包含操作系统和应用程序类别，但与这两类不同，因为它们是信息安全控制环境的一部分，得到的保护必须比其他管理信息系统组件更加全面。
● 硬件分为两类：常用的系统设备及其外设，以及信息安全控制系统中的设备。对后者的保护必须比前者更全面。
  ● 硬件组件分为两类：设备和外设：以及网络。因为网络子系统常常是系统攻击的焦点，所以它们应该区别对待，而不应与普通软硬件组件一样。
    1．人员、过程及数据资产的识别
    人力资源、文件资料及数据信息的识别比确定软、硬件资产更困难。这个任务应由具有知识、经验及判断力的人员来完成。确定了人员、过程及数据资产后，还要使用可靠的数据处理程序记录下来。但是，无论使用什么记录保存机制，都要确保属性具有足够的灵活性来说明资产的类别。一些属性对某些元素而言是独有的。在决定跟踪哪一个信息资产时，需要考虑下列资产属性：
    ● 人员：位置名称／号码／ID(避免使用人名，且一定要能识别位置、作用或功能)：管理人；安全检查级别；特殊能力
    ●   过程：说明；意图；与软件、硬件及网络元素的关系：引用的存储位置；更新的存储位置。
   ● 数据：分类：所有者、创建者及管理者；数据结构的大小；使用的数据结构(顺序的还是关系的)；在线还是离线：位置；使用的备份过程。
    在开发数据跟踪过程时，应仔细考虑应该跟踪多少数据，跟踪哪些资产。大多数较大机构发现，它们只能有效跟踪关键设备的几个重要信息，例如，公司仅能跟踪IP地址、服务器名及公司使用的重要服务器的设备类型，无法跟踪所有设备的细节信息，完全忽略了台式电脑或者膝上型电脑系统的跟踪。
    2．硬件、软件和网络资产的识别
    应该跟踪每个信息资产的哪些属性呢?这取决于机构的需求和它的风险管理，以及信息管理和信息技术团体的优先权和需求。决定跟踪哪一种信息资产时，需要考虑下列几种资产属性。
● 名称：使用较常见的设备或程序名称。机构的一个产品可以有几个名称。例如，协同软件产品在开发时有一个公司内部人员使用的名称，在上市和销售时又有一个正式的名称。不论跟踪多少个名称，不论如何选择名称，都要确定每个名称对于使用该信息的团体意味什么。应该采用不会把信息传达给潜在系统攻击者的命名规则。例如，命名为CASHl或HQ FINANCE的服务器，可以诱使攻击者通过捷径进入系统，获取有价值的资料。
● IP地址：对于网络设备和服务器非常有用，但是通常不用于软件。然而可以使用关系型数据库，跟踪特定服务器或者网络设备上的软件。还要注意，许多机构使用TCP~P内的动态主机控制协议(DHCP)，把IP号重新分配给需要的设备，这样，IP号的使用就成为资产识别过程中难以解决的一个问题。资产清单中使用的IP地址一般仅限于使用静态IP地址的设备。
● 媒介访问控制(MAC)地址：MAC地址有时称为电子序列号或者硬件地址。作为TCP／IP标准的一部分，所有网络接口硬件设备均有惟一的号码。MAC地址号由网络操作系统用作识别特定网络设备的一种方式。客户网络软件用它来识别必须通过的路由。在多数环境中，MAC地址在测试连通性时非常有用。但是，它们容易被一些硬件和OA软件欺骗。
● 要素类型：列出每一个要素的类型，说明其功能。对于硬件，可列出可能的要素类型和所需的细节，如服务器、台式机、网络设备，或者测试装备。对于软件要素，可选择列出一个类型列表，包括操作系统、按类型定制的应用程序(账号系统、HR、或者工资单程序)、打包程序以及专业应用程序，如防火墙程序。机构的需求决定了专业化的程度。实际上，类型可以记录成两个或者更多的专业等级，记录一个对资产粗略分类的属性，然后增加属性，记录更多的细节。例如，一台服务器可列为：
    · DeviceClass=S(服务器)
    ． DeviceOS=W2K(Windows2000)
    ． DeviceCapacity=AS(高级服务器)
● 序列号：对于硬件设备而言，序列号能够惟一确定一台设备。一些软件销售商也为机构授权的每个程序分配了一个软件序列号。
●   制造商名称：记录了设备或者软件组件的制造商。在响应涉及这些设备的事故，或某些制造商宣布发现漏洞时，这是非常有用的。
● 制造商的型号和部件号：记录了元件的型号或部件号。这个对元件组成的精确记录在日后的漏洞分析中非常有用，因为一些漏洞实例仅存在于特定设备或软件的特定型号中。
● 软件版本、更新版本或者FCO号：只要可能，就记录特定软件或者固件的修订号，以及硬件设备当前的字段修改顺序(FCO)号。FCO是机构为维修、改造或者更新设备而指定的授权号。通常，这些设备不会送回厂家，而是在客户所在地由第三方负责进行维修。记录修订号和FCO对于网络设备是特别重要的，这些网络设备主要通过在其上运行的软件实现功能。例如，防火墙设备通常有3种版本：操作系统(OS)版本、软件版本，及基本输入输出系统(BIOS)固件版本。依据需求，必须跟踪这些版本号码。
● 物理位置：记录该要素的物理存放位置。这不适用于软件要素，但是一些机构还是指定了软件的使用地点。
    ● 逻辑位置：记录该要素在机构网络上的哪个位置。逻辑位置对于网络设备非常有用，它指明了设备在哪一个逻辑网络上连接。
    ● 控制实体：识别哪个机构单位对要素进行控制。有时远端位置的职员就地控制一台网络设备，在另一个时间，中心网络组对相同厂家相同型号的其他设备进行控制。应该尽量区分哪个团体或单位控制每个要素，因为机构可能希望知道设备可以承担多大的风险，增加控制要支付多少费用。