互联网大时代安全风险评估研究与实践

　　【 摘 要 】 运营商的门户网厅、预约诊疗、手机游戏等都属于典型的运营商在互联网业务方面的尝试，而且取得了不错的效果。对于这样的互联网业务来说，与运营商的传统网络安全比较起来就显得更为错综复杂，遭遇的安全挑战也要大得多，因此，大力开辟互联网业务的过程中，有效识别门户网站、网上营业厅等互联网业务平台的安全风险就显得尤为重要，需要投入精力在传统的安全评估策略基础之上进行研究与实践，形成本地化高效的日常风险评估模式。
　　【 关键词 】 互联网；风险识别；安全评估
　　【 Abstract 】 Telecoms Operator Online business hall、appointment diagnosis and treatment、mobile phone games are typical operators in the Internet business， and achieved good results. For such Internet business， compared with the traditional network security and operator becomes even more perplexing， security challenges to be much larger， therefore， vigorously open up internet business， security risks effectively identify portals， online business hall and other Internet service platform is particularly important， need focus on the traditional safety assessment strategies on the basis of research and practice， the formation of localized high daily risk assessment model.
　　【 Keywords 】 internet； risk identification； safety assessment
　　1 引言
　　近年以“棱镜门”事件为代表的各类信息安全事件高发、频发，引发世界各国政府对信息安全的重新审视与高度关注，并不断从政策、组织、法律等多个方面强化自身信息安全保障力度。在这一背景下，信息安全与政治、经济、军事、外交等事关国计民生的重要领域各要素之间的联系与融合越来越紧密、深入，相互作用与影响越来越明显、突出，某些时候甚至牵一发而动全身。
　　随着我国国民经济和社会信息化进程的全面加快，互联网已经成为人们工作和生活不可或缺的部分。电信运营商为了适应社会的发展，树立自身良好的形象，扩大社会影响，提升工作效率，均建立起自己的门户网站等面向互联网提供服务的系统。然而，由于这些应用是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生，甚至有的篡改网站的事件直接升级成政治事件，严重危及国家安全和人民利益。
　　信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。
　　2 工作困惑
　　随着业务的发展，互联网业务的架构越来越复杂，使用的应用关键和技术越来越多，要全面的识别其存在的安全风险，难度越来越大，使运维、管理人员面临着严峻的挑战。目前运营商主要按照传统安全风险评估模型开展风险评估工作，围绕确定评估范围-资产的识别和影响分析-威胁识别-脆弱性评估-威胁分析-风险分析-风险管理这几项工作开展，如图1所示。
　　鉴于有清晰的评估关系及流程，执行顺利，但运营商所维护的系统及设备数量巨大，按照传统的风险评估流程，全部系统完成确定评估范围-资产的识别和影响分析-威胁识别-脆弱性评估-威胁分析-风险分析-风险管理这七类工作，需要耗费半年时间，同时在传统安全风险评估中经常遇到难题，导致评估工作不全面，评估周期长，新曝出漏洞在第二个评估周期才能被识别并修复，带来巨大安全隐患。
　　资产不完整：部分系统的管理员岗位调动频次较高，资产在交接过程中，易产生资产信息缺失，资产数不全的情况，直接影响到评估工作的完整性，导致风险识别不全。
　　工具扫描的准确度、完整度及效率：安全评估工作对扫描工具的要求极高，近年来，信息安全技术发展的一个最明显的趋势就是安全操作工具化。例如漏洞挖掘工具、攻击特征转换到防护策略的工具、代码安全性扫描工具、渗透测试工具等等。借助安全工具可以将原来的高度依赖知识经验技能的纯手工操作，固化成可重复自动执行的工具。降低对系统管理人员在安全知识经验技能方面的要求，但是这些便捷需要可靠的工具支撑，否则将导致风险识别不全。
　　手工渗透人员能力问题：渗透测试大量依赖安全人员的知识技能水平，相同系统交给不同的渗透测试人员进行渗透，发现的问题类型、数量、风险级别都可能不同，难以保障风险识别的全面性。同时安全渗透人员对安全态势的及时感知也影响到新安全威胁识别的及时性。
　　评估周期过长：由于传统风险评估工作涉及到多方面，导致按照《信息安全技术信息安全风险评估规范》的评估模型，运营商完成一次全系统风险评估，需要耗费近半年时间，针对互联网系统的高速发展，新暴露的风险无法得到及时识别修复，可能产生无法估量的后果。据国外的统计数字显示，只有60%的风险评估是成功的。国内的风险评估工作面临的挑战更多，需要一定时间的积累和沉淀。
　3 解决思路
　　传统安全风险评估涉及内容措施全面，需要较长的评估周期，而且确定评估范围、资产的识别和影响分析、威胁识别、威胁分析、风险分析这五类类评估工作无需在日常评估中较高频次开展，可根据实际情况按半年度或按需来完成，脆弱性评估和风险管理应该作为运营商日常风险评估关注的重点，依照传统风险评估模型，结合运营商日常网络安全的实际评估需求，形成与本地结合度高的风险评估模型，通过该风险评估模式，让风险评估工作融入到日常安全运维工作中，缩短评估周期，增加检查频次，为及时全面发现安全风险提供流程保障，模型关系图如图2所示。
　　对应安全风险评估工作的资产问题、工具扫描的准确度、完整度及效率，渗透人员能力等问题，通过技术及优化评估措施来保障。
　　4 风险评估实践
　　针对目前已形成的解决思路，在日常安全工作中进 行了实践，提升了安全风险评估的及时性、全面性、高效性，达到了预期效果。
　　4.1 资产统计
　　根据风险评估要素关系图，资产作为所有评估环节的关键依赖，需要尽可能的清晰完整，否则可能导致识别风险不全，或由于资产不明，导致识别的风险无责任人整改。对此有针对性的开发资产管理系统，利用资产管理工具进行资产管理，清晰展示资产对应的属性、漏洞风险及责任人。同时资产统计还涉及资产信息扫描，通过资产管理系统的扫描，完整记录资产的存活性、端口服务开放、操作系统类型等。
　　4.2 工具扫描
　　在安全评估过程中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具，工具扫描主要执行几方面内容。
　　（1） 漏洞扫描：使用与第三方安全厂家合作开发的自评估系统对网络、应用、数据库等进行安全漏洞扫描，及时发现系统存在的安全漏洞，漏扫的特征库要及时更新才能保证结果准确。
　　（2） 配置检查：使用自评估系统自动化匹配上级部门发布的配置安全规范，发现系统不合格的安全配置风险。
　　（3）弱口令检查：通过自评估系统的弱口令探测模块及收集密码文件进行破解，深度挖掘系统中存在的弱口令，字典库需要持续优化才能保证弱口令检查的效果。同时通过工具外挂字典的暴力破解方式，存在破解周期长、破解效果极大地依赖字典库准确性的情况，对此还可通过获取系统中的密码文件进行破解，双管齐下，对应Linux、Solaris、Unix等有Shadow文件的系统，由系统管理员提供/etc/shadow文件，AIX提供/etc/security/passwd文件进行破解，全面发现弱口令问题。
　　（4）Web扫描：通过自评估系统的Web扫描模块和IBM的APPSCAN扫描系统，定期扫描各站点的安全漏洞。
　　4.3 手工检查
　　手工检查的主体工作在于渗透测试，同时结合当前的安全形式，及时获取最新暴露的漏洞信息进行安全评估。
　　渗透测试：指通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。开展该工作可以非常有效的发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。通过全面准确的渗透测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补。
　　在手工检查阶段，利用乌云平台、国家应急响应中心等漏洞暴露预警平台，建立最新安全事态感知环节，在新威胁暴露后，能及时感知并开展评估。
　　通过渗透测试可发现的安全漏洞举例，如表1所示。
　　4.4 优化评估周期
　　依据《信息安全技术信息安全风险评估规范》结合运营商实际环境，形成日常安全风险评估模式，通过该风险评估模式，让风险评估工作融入日常安全运维工作中，缩短评估周期，增加检查频次，为及时全面发现安全风险提供流程保障。
　　4.5 风险分析汇总
　　根据安全评估结果，形成风险评估报告及风险漏洞跟踪表，方便对已识别风险进行整改跟踪。对于技术类安全风险，通过漏洞跟踪表能清晰展示需要关注的风险，同时能清晰的展示整改情况。
　　5 成果亮点
　　通过安全风险评估研究与实践形成了本地化风险评估流程，可以高效、及时、全面的识别系统中的风险点。
　　5.1 高效性
　　明确各评估要素间的关系，依据《信息安全技术信息安全风险评估规范》风险评估的七个工作步骤整合至四个，并利用与第三方安全厂家合作开发的远程安全评估系统，高效完成资产信息管理识别、漏洞风险识别等工作，大大缩短了常规风险评估工作所需的时间，将半年度评估工作融入日常运维工作中，部分应用系统做到每周扫描评估。
　　5.2 及时性
　　利用互联网信息共享优势，通过乌云平台等及时感知风险披露，对于新爆发的安全漏洞如心脏滴血漏洞，第一时间感知漏洞并开展全面自查评估工作，在风险漏洞的第一个半衰期内及时发现并整改。
　　5.3 全面性
　　通过工具扫描加人工渗透的方式，既发挥了工具扫描速度快的优势，又能通过人工渗透来弥补工具扫描发现问题不全的不足，同时同一个工作内容例如弱口令检查，通过字典暴力猜解和密码文件破解的方式同时开展，确保能全面发现风险。截止目前，本年度风险评估工作共计发现并修复互联网系统高危风险15个，其中有3个风险在被乌云平台内部披露当天就由安全评估团队识别并修复；通过资产扫描，梳理出23个无用资产并进行下线处理，同时完善了资产信息，在识别出风险后，能第一时间找到责任人进行处理。
　　6 意义及价值
　　结合互联网公共信息平台，并按实际情况出发，简化了信息安全风险评估机制，能有效的解决传统安全风险评估工作风险识别效率低、周期长、及时性差等情况，具有较大的实际应用价值。
　　6.1 整合资源提高效率
　　进行安全评估时，均在业务量最小的凌晨进行。通过定时任务流程，可有效解决评估人员凌晨扫描，导致第二天无法工作的情况，提升了人员的利用效率。同时建立了完善的工具支撑，有效管理资产、识别风险、落实责任，提升了整个风险识别的效率。
　　6.2 缩短评估周期，提高评估频次
　　依据《信息安全技术信息安全风险评估规范》将风险评估工作的七个步骤整合至四个，简化各评估要素间的关系，并利用与第三方安全厂家合作开发的远程安全评估系统，高效完成资产信息管理识别、漏洞风险识别等工作，大大缩短了传统风险评估工作所需的时间，将半年度评估工作融入日常运维工作中，部分应用系统做到每周扫描评估。
　　6.3 减少风险评估盲点及提升风险发现及时性
　　在资产排查阶段，利用资产管理系统进行黑盒探测，完善资产属性，清查无用资产；在手工检查阶段，利用乌云平台、国家应急响应中心等漏洞暴露预警平台，建立最新安全事态感知环节，在新威胁暴露后，能及时感知并开展评估，将风险控制在发生安全事件之前。
　　参考文献
　　[1] 范红.信息安全风险评估规范国家标准理解与实施[M].北京：中国标准出版社，2008.
　　[2] 绿盟科技安全小组.http：//，2014.
　　[3] 赵战生，谢宗晓.信息安全风险评估——概论、方法和实践[M].北京：中国标准出版社，2007.
　　[ 4] 范红，冯登国.信息安全风险评估实施教程[M].北京：电子工业出版社，2007.
　　[5] 李东东，韦荣译.安全度量 SECURITY METRICS Replacing Fear，Uncertainty，and Doubt——量化、分析与确定企业信息安全效[M].北京：电子工业出版社 ，2007.
　　[6] 石华耀，张辉，段海.CISSP认证考试指南（第4版）[M].北京：科学出版社，2009.
　　作者简介：
　　邱岚（1979-），女，湖南人，厦门大学，硕士研究生，中国移动广西公司网络与信息安全管理，高级工程师；主要研究方向和关注领域：网络安全等级保护、信息安全体系、网络安全管理等。