论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 8 篇帖子 ] 
作者 内容
 文章标题 : 关于威胁-脆弱性-影响-传播的定量化描述讨论
帖子发表于 : 2005-10-06 10:00 
离线
初级用户

注册: 2004-12-23 09:55
最近: 2007-07-04 21:30
拥有: 818.00 安全币

奖励: 0 安全币
在线: 1413 点
帖子: 49
地址: 浙江
国庆节还没有度完,哈哈,兄弟姐妹们假期还好吗?
例如说,一个工作站的USB端口是开放的,那么这个可以视为工作站的一个脆弱点,对吗?
那么一天笔记本电脑接入到该工作站,就构成了一个风险事件,对吗?
接入后可能将工作站的信息拷贝到笔记本电脑,也可能将笔记本电脑的破坏性信息拷入工作站,这是风险事件的直接后果,对吗?
假如将重要信息(比如机械设计图纸)拷走了,可能造成某个产品失去市场竞争力,进而造成本公司相关业务萧条,这是风险事件的进一步影响,对吗?
第一、上述思路是否行得通?如何理论地用什么模型来描述这个思路呢?
第二、按照上述思路,如何对脆弱性、威胁进行分类呢?如何获得脆弱性、威胁的权威统计信息呢(知情人士请告知,感激不尽!)?
第三、如何定量描述脆弱性、威胁?
第四、如何描述一个风险事件呢?
第五、如何定量描述风险的直接后果呢?
第六、如何描述一个风险的进一步影响呢?可以分步的来,如工作站的风险进一步对数据库/数据的影响;数据库/数据对业务过程的影响等等。
......
欢迎大家参加讨论,批评指正,提出你的思想和见解,共享你的信息和智慧。


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 哥们儿,你想得太简单了吧?风险评估,如火如荼啊!
帖子发表于 : 2005-10-06 16:01 
离线
中级用户

注册: 2004-06-15 15:23
最近: 2015-01-15 10:35
拥有: 2,006.20 安全币

奖励: 11 安全币
在线: 2560 点
帖子: 89
地址: 北京
哥们儿,你想得太简单了吧?

首先,还要考虑当前是否还有其他的保护措施(countermeasures)!比如,存放此工作站的房间是不是专门的机房?有没有门禁(物理访问控制措施)?房间内是否有监控头等设备?接触和进入此工作站有没有审批、登记的规定和手段?笔记本接入的用户有权限吗(难道是管理员亲自监守自盗?)?有没有其他的访问方式?(比如网络连接,如果有网络连接就不用这种危险的方式而可以通过网络访问而窃取了;也可以说进一步考虑还有没有其他的脆弱性)。还要考虑该工作站有哪些信息资产(包括你举例的机械设计图纸)及其价值,这是和影响直接挂钩的。

其次,你的思路不是风险分析的思路,请参考OCTAVE等标准。
不是有个脆弱性就有风险的,也不可能把所有脆弱性都避免掉。所以还要看是否有防范和处理的措施。就比如你举例的工作站USB口是否应该封掉,实际中也要具体分析,要综合考虑工作站上的信息资产重要性、可能面临的威胁。如果不用USB口当然应该彻底封掉,如果不得不用的话,那就要采取一些其他的保护和监控措施,比如我上面举例的物理安全保护措施、物理和逻辑的访问控制、物理监控措施等等。总之解决方案会有很多,风险评估/分析也要检查当前的countermeasures是否得当。

作为风险评估,应该对所有可能的威胁进行分析,分析威胁源、威胁路径和可能产生的破坏(因为不同的威胁源、不同的威胁路径的话,采取的应对措施就不同;比如地震和病毒都可能使数据遭到破坏,但防范措施就不同),得到威胁库;然后还要分析脆弱性,包括技术上的和管理上的脆弱性,得到所有脆弱性的列表;分析被评估系统范围内的资产(影响),根据资产的价值和业务重要性等属性得到影响列表;分析哪个威胁可能利用哪个脆弱性对哪个资产造成什么样、多大程度的损失……经过一一匹配得到风险列表。

此处不可尽述……

哥们儿,推荐你先看看ISO 13335、OCTAVE和SSE-CMM等标准上提到的风险评估方法,先看了这些方法,了解了风险评估的流程,再考虑定性、定量的风险分析方法吧。
这个论坛里也有我国即将推出的风险评估和风险管理的国家标准,也可以参考参考。

风险评估,如火如荼啊!


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 谢谢watery的回复,欢迎进一步讨论
帖子发表于 : 2005-10-07 09:07 
离线
初级用户

注册: 2004-12-23 09:55
最近: 2007-07-04 21:30
拥有: 818.00 安全币

奖励: 0 安全币
在线: 1413 点
帖子: 49
地址: 浙江
watery言之有理!
此帖本意是想看看大家对风险评估的各个阶段的具体描述,所以未能详细分析与之相关的环境(可以说是不同层次吧)的风险与保护措施。
想先从最简单的一个事件开始进行描述,然后再考虑与之相关的层次的影响以及相互之间的传递。
你所提及,我们可以分为数据层-计算机层-机房层(当然,有必要可以进一步划分为更详细的层次),对于笔记本电脑带入(视为一种威胁),那么它首先需要经历“机房层”,然后作用于“计算机层”,进一步影响“数据层”。现在假设它已作用于“计算机层”,如何具体描述呢?


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 又想到一点儿补充一点儿,欢迎大家继续讨论。
帖子发表于 : 2005-10-09 11:10 
离线
中级用户

注册: 2004-06-15 15:23
最近: 2015-01-15 10:35
拥有: 2,006.20 安全币

奖励: 11 安全币
在线: 2560 点
帖子: 89
地址: 北京
应该说,像你举的例子,工作站的USB口的问题,不是一个简单的技术脆弱性而应从管理上分析是否有漏洞(脆弱性)。所以要考虑管理上的制度、措施,包括物理安全的问题。
我再举个盖房子的例子你就明白了,如果盖仓库就没必要窗户,但是门总是必不可少的;如果盖住人的房子,就必须有窗户、有门;这时的门窗是必不可少的,门方便人正常进出,窗户可以采光通风等等,都有各自的作用(“作用”这点很重要,信息系统就是要用,如果不用信息系统就不必谈这个信息系统所面临的威胁和自身脆弱性以及风险了),但也会是贼出没的途径。但这时不可能把门窗封掉,必须上锁啊防盗门啊防护栏杆等等措施来保护。我想这和你举例的USB是一个道理。
说这些的目的是,在进行风险分析的时候很重要的一点是要考虑单个产品所能完成所必须完成的任务,进而到整个信息系统所要完成的使命/任务(mission),然后考虑保护措施是否有效、到位,是否还有管理和技术上的漏洞。

欢迎更多的人参与风险评估方法和理论的讨论。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 有待进一步讨论
帖子发表于 : 2005-10-09 13:42 
离线
初级用户

注册: 2004-12-23 09:55
最近: 2007-07-04 21:30
拥有: 818.00 安全币

奖励: 0 安全币
在线: 1413 点
帖子: 49
地址: 浙江
自然,因为资产是用来服务于业务过程/组织的,所以我们需要保护它,这样也就促使我们从业务过程这一高层入手进行风险分析和评估。
而事实上,威胁需要通过一定的路径来“着陆”于资产,并利用其脆弱性形成风险事件。风险事件对该资产造成一定程度的“破坏”,进而影响与该资产相关的其他资产,最终影响业务运作。
但是这一威胁作用路径如何寻求?如何描述?
风险事件如何描述?
风险事件对作用点资产的破坏程度如何描述?
风险事件如何影响其他资产乃至业务过程?
风险事件对其他资产和业务过程的影响如何定性/定量分析和描述?
总而言之,风险在信息系统里面是如何传播的呢?

斑竹及各位高人,贡献你的智慧,哈哈


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 风险讨论
帖子发表于 : 2005-10-09 16:20 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
以上是不可控制风险!
(1)有些风险是可控的,比如笔记本电脑的使用、携带问题,是可控的,不可控的,是由于疏忽丢失,或者被小偷盗走!
(2)系统漏洞的问题,有些是公开的,发布了补丁公告,系统更新了补丁。这是一般常识,但有些漏洞没有公布呀!
(3)系统软件或CPU中,有没有后门呀?哪些后门是能检测的?
(4)间谍或社会工程问题。

以下是可控制风险!
至于一些物理安全、环境安全、实体安全和管理制度,是企业愿不愿意花成本的问题,去解决!有些问题是领导不知道、不了解!

其它说明,现在社会上有了一些标准和措施,如气象、保密、消防、安防,认真按照这些要求做了,信息安全就少了很多!


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 风险控制还是抓源头,过程控制,事后验收
帖子发表于 : 2005-10-09 16:23 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
风险控制还是抓源头,过程控制,事后验收!
抓源头:最有效!
过程控制:进一步保障!
事后验收:最低要求!

实际上软件开发,系统集成都有风险,因为按照项目管理而论!


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-06 22:53 
离线
顶级用户

注册: 2009-05-17 11:00
最近: 2013-10-09 09:35
拥有: 9,107.00 安全币

奖励: 11523 安全币
在线: 1721 点
帖子: 684
地址: 苏州
学习了


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 8 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012