Xinan Soft Test 第 16 章 ネットワークセキュリティリスク評価技術の原理と応用

開発 2023-07-01 20:29:54 訪問数: null

1. ネットワークセキュリティリスク評価の概要

1.1 サイバーセキュリティリスク評価の概念と要素

  • ネットワーク セキュリティ リスクとは、ネットワーク システムの脆弱性による人為的または自然の脅威によって引き起こされるセキュリティ インシデントの可能性のある影響を指しますネットワークセキュリティリスク評価(「ネットワークリスク評価」といいます)とは、関連する情報セキュリティ技術や管理基準に基づいて、機密性、完全性、制御性、可用性などのネットワークシステムのセキュリティ特性を科学的に評価するプロセスを指します。ネットワーク システムの脆弱性、ネットワーク セキュリティの脅威、および攻撃者による脆弱性の実際の影響を考慮し、セキュリティ インシデントの可能性に応じてネットワーク セキュリティのリスク レベルを確認します。

簡単に言うと、ネットワーク リスク評価とは、ネットワーク資産の脆弱性を利用した攻撃者によって引き起こされるネットワーク資産損失の重大度を評価することです。

  • ネットワークセキュリティのリスク評価には、資産、脅威、脆弱性、セキュリティ対策、リスクなどが含まれます。要素、さまざまな要素間の相互作用。資産はその価値により脅かされており、脅威アクターは資産の脆弱性を利用して脅威をもたらします。セキュリティ対策は資産を保護し、資産の脆弱性を修復することで、資産のリスクを軽減します。

画像

1.2 ネットワークリスク評価モデル

  評価者と評価対象者の関係およびネットワーク資産の所有権に応じて、リスク評価モードには自己評価が含まれます。

    (1) 自己評価:ネットワークシステムの所有者が自らの力で自らのネットワークシステムのリスク評価を行う。

    (2) 検査と評価: 公布された安全規制、安全基準、安全管理規則などに従って検査と評価を実施することを目的として、ネットワーク セキュリティの管轄当局または事業当局によって開始されます。

    (3) 受託評価:リスク評価能力を有する専門の評価機関に委託して行う評価業務

2. ネットワークセキュリティリスク評価プロセス

   ネットワーク セキュリティ リスク評価には、図に示すように、主にネットワーク リスク評価の準備、資産の特定、脅威の特定、脆弱性の特定、既存のネットワーク セキュリティ対策の分析、ネットワーク セキュリティ リスクの処分と管理などの複数のリンクが含まれます。以下の図はネットワークリスク評価作業の基本的なプロセスであり、実際の評価では目的や環境が異なり、各ステップの詳細は簡略化または補足される場合があります。

画像

(1) サイバーリスク評価の準備

  最初の作業は、評価の対象と範囲を決定することです。ネットワーク評価の範囲には通常、次の内容が含まれます。

  • ネットワーク システム トポロジ。
  • ネットワーク通信プロトコル
  • ネットワークアドレスの割り当て
  • インターネット機器
  • インターネットサービス
  • オンライン ビジネスの種類とビジネス情報の流れ
  • ネットワークセキュリティ対策(ファイアウォール、IDS、セキュリティシステムなど)
  • ネットワークオペレーティングシステム
  • ネットワーク関連担当者。
  • ネットワークの物理環境(建物、機器の設置場所など)は、
      
    この段階で最終的に、その後の評価作業の範囲定義となる評価書「サイバーリスク評価スコーピングレポート」を生成します。

(2) 資産の特定

  資産の特定には、「ネットワーク資産の特定」と「ネットワーク資産の評価と推定」の 2 つのステップが含まれます。前者は、評価で考慮される特定のオブジェクトを指定し、ネットワーク資産のタイプとリストを決定します。(共通資産は主に、ネットワーク機器、ホスト、サーバー、アプリケーション、データ、ドキュメント資産の6つの側面に分けられます。)後者は、ネットワークシステムにおける特定の資産の重要性を確認することです。資産の実態に応じた事業上の重要度による資産の割り当てをやめ、資産重要度分類表を取得する。

画像

(3) 脅威の特定

  脅威の特定とは、図に示すように、一般に脅威の発生源、脅威チャネル、および脅威から、ネットワーク資産に対する潜在的な危害を分析することです。

画像

(4) 脆弱性の特定

  さまざまなテスト方法を通じて、ネットワーク資産内のすべての欠陥のリストを取得することを指し、これらの欠陥は、不正なルート化、漏洩、制御の喪失、情報資産の破壊または利用不能、および既存のセキュリティメカニズムのバイパスにつながります。ネットワーク資産のセキュリティを侵害する

(5) 既存の安全対策の確認

  評価対象が講じているさまざまな予防・保護セキュリティ対策の有効性を確認し、そのセキュリティ対策が脆弱性の悪用を防止できるか、確認されたセキュリティ脅威に対抗できるかを評価します。

(6) ネットワークセキュリティリスク分析

  ネットワーク セキュリティ リスク分析とは、資産評価、脅威評価、脆弱性評価、セキュリティ管理評価に基づく定性的および定量的分析手法を包括的に使用し、ネットワーク セキュリティの規模とレベルを判断するための適切なリスク テクノロジ手法またはツールの選択を指します。リスク、つまり、ネットワークシステム管理の範囲内で、漏洩、改ざん、利用不能、破壊などのネットワーク資産ごとのリスク測定リストを作成し、適切かつ正しいセキュリティ管理方法を特定および選択します。バリュー・アット・リスクの計算は、評価されたデータを分析することによって実行されます。ネットワークセキュリティリスク分析のプロセスを図に示します。

画像

(7) ネットワークセキュリティリスクの処理と管理

  許容できない関連リスクについては、リスクにつながる脆弱性に応じてリスク対応計画をカスタマイズする必要があります。リスク対応計画では、弱点を補うために講じるべきセキュリティ対策、期待される効果、実施条件、スケジュール調整、担当部署などを定めます。セキュリティ対策の選択は、管理とテクノロジーの 2 つの側面から検討されます。セキュリティ対策の選択と実施は、情報セキュリティの一次基準を参照して行われます。現在、ネットワークセキュリティリスク管理の制御手段は主に以下の10カテゴリーに分類されます。

  • 明確なセキュリティポリシーを策定する
  • セキュリティ組織を構築する
  • ネットワーク資産分類制御の実装
  • 従業員の安全管理の強化
  • 物理的実体と環境の保護
  • 安全な通信運用の強化
  • アクセス制御メカニズムを採用する
  • セキュリティシステムの開発と維持
  • ビジネス継続性を確保する
  • 法令遵守、安全目標の整合性チェック

3. ネットワークセキュリティリスク評価のための技術的手法とツール

  • 情報資産の収集:資産登録データベースにアンケート形式で問い合わせを行い、評価対象のネットワーク情報システムの資産情報を収集し、評価対象の重要な資産の分布を把握し、これらの資産に関連するビジネスとセキュリティを分析します。直面している脅威と既存のセキュリティ脆弱性

  • ネットワークトポロジーディスカバリー:ネットワーク情報システムを評価するための資産関係構造情報を取得し、資産情報を取得するために使用されます。一般的なネットワーク トポロジ検出ツールには、ping、traceroute、ネットワーク管理プラットフォームなどがあります。

  • ネットワークセキュリティ脆弱性スキャン:ネットワークセキュリティ脆弱性スキャンでは、評価対象の脆弱性情報を自動的に検索し、その脆弱性を評価できます。一般に、さまざまな専門的なスキャン ツールを使用して、評価対象のオブジェクトの脆弱性をスキャンし、さまざまなスキャン結果を相互検証してスキャン結果レコードを形成できます。

  • 手動検査:手動検査は、評価対象を直接操作して必要な評価情報を取得することです。

  • ネットワーク セキュリティ侵入テスト: ネットワーク セキュリティ侵入テストは、法的認可を得た後に根深いセキュリティ問題を発見するためにネットワーク システムを攻撃するハッカーをシミュレートすることを指します。主な業務としては、対象システムのセキュリティ脆弱性の発見、ネットワーク攻撃パスの構築、セキュリティ脆弱性利用の検証などが挙げられます。一般的な侵入テスト統合ツールボックスには、BackTrack5、Metasploit、Cobalt Strike などが含まれます。

  • アンケート調査:情報システムの基本的なセキュリティ状況を把握するために、評価対象の情報システムに関する情報を書面で入手します。

  • ネットワークセキュリティ面談:セキュリティの専門家やネットワークシステムの利用・管理に関わる担当者と直接対話し、ネットワークシステムのセキュリティポリシーの導入、ルールや規制の導入、管理や技術などの一連の状況を調査・検証します。

  • 監査データ分析: 監査データ分析は通常、脅威の特定に使用され、分析における監査の役割には、違反の検出、異常なイベントの検出、潜在的な攻撃の兆候の検出が含まれます。監査データ分析では、多くの場合、データ統計や特徴パターン マッチングなどのさまざまな手法を使用して、監査データからセキュリティ イベントに関する情報を見つけます。

  • 侵入検知:ネットワークセキュリティリスク評価者は、評価対象のネットワークに侵入検知ソフトウェアや機器を接続し、評価対象の脅威情報やセキュリティ状況を収集します。

4. ネットワークセキュリティリスク評価プロジェクトのプロセスと作業内容

(1) 評価プロジェクトの事前準備

  リスク評価ニーズ調査は、評価の事後作業の前提となるものであり、その内容には、評価対象の決定、評価範囲の定義、評価の粒度、評価の時期、等 リスク評価活動には、部門内の異なる分野や担当者が関わるため、多方面での連携が必要であり、必要かつ十分な準備がリスク評価の成功の鍵となります。評価前の準備には少なくとも次のものが含まれます。

  • 評価対象、評価範囲、評価の粒度、評価時間など、リスク評価のニーズと目標を決定します。
  • 通信および機密保持契約に署名する
  • 評価ワーキンググループの設立
  • 評価モードの選択

(2) 評価計画の設計と実証

  評価計画の設計は、評価対象者のセキュリティ要件に基づいて策定され、両当事者が議論し、デモンストレーションに合格した後にのみ次のステップを実行できます。評価計画の策定では、主に評価方法、評価者の組織、評価ツールの選定、想定されるリスクの分析、評価実施計画の確認を行います。評価計画の実現可能性を確保するために、評価ワーキンググループは関係者を組織して議論し、全員の意見を聞き、実証が通過するまで評価計画を修正する必要がある。

(3) 評価計画の実施

  評価計画が可決されて初めて、計画を実行するために関連する担当者が組織されます。評価計画の実施内容は、主に評価対象の基本状況の調査、セキュリティニーズの掘り起こし、具体的な運用手順の決定などであり、評価実施プロセス中はシステムの設定や変更を避ける必要があります。システムの元の構成をバックアップし、運用プロセスと関連データを書面で記録します。評価環境の説明、操作の詳細なプロセス記録、問題の簡単な分析、関連するテストデータの保存など、作業の実装に関する作業メモが必要です。機密性の高いシステムのテストでは、評価と実装に少なくとも 2 人が参加する必要があり、リーダーは署名して承認する必要があります。

(4) リスク評価報告書の作成

  評価の実施と資産評価データ、脅威評価データ、脆弱性評価データなどの収集された情報に従って、評価レポートの作成が完了します。評価報告書は、リスク評価結果の記録文書であり、リスク管理を組織し実施するための主要な基礎であり、リスク評価活動をレビューおよび承認するための基礎情報であるため、報告書は十分に文書化されている必要があります。報告書の内容は通常、リスク評価の範囲、リスク計算方法、安全上の問題の誘導と説明、リスクレベル、安全上の推奨事項などが主に含まれます。

(5) 評価結果の検討と認識

  経営トップまたはその委託を受けた組織は、リスク評価活動が適切、十分かつ効果的であることを確認するために、評価作業を総括し、リスク評価活動をレビューするための評価終了会議を組織して開催する必要があります。評価と承認は、部門のトップマネジメントまたは上位の管轄当局によるリスク評価結果の承認であり、このリスク評価活動の終了の兆候です。評価プロジェクトの責任者は、評価業務の経験を文書化し、評価データ、評価計画、評価報告書などの関連文書をファイルする必要があります。

V. ネットワークセキュリティリスク評価の適用シナリオ

  ネットワーク情報技術やシステムのセキュリティ管理はますます複雑化しており、ネットワークセキュリティリスク評価の重要性については国内外で一致しており、ネットワークセキュリティリスク評価を制度化することが推奨されている。ネットワーク セキュリティ評価の主なアプリケーション シナリオは、次の側面に要約できます。

  • ネットワークセキュリティの計画と設計: ネットワークセキュリティのリスク評価は、ネットワーク情報システムのセキュリティ構築の基本的な作業であり、ネットワークセキュリティの計画と設計に役立ち、ネットワークセキュリティの保証要件を明確にします。ネットワークセキュリティリスク評価を通じて、ネットワーク情報システムが直面する機密性、完全性、可用性、制御性などのリスクを科学的に分析・理解し、ネットワークの削減、移転、回避のためのリスクコントロールを行うことが有益です。セキュリティリスクに関する意思決定の根拠を提供し、ネットワーク情報システムのセキュリティ構築要件を明確にし、ネットワーク情報システムのセキュリティ投資、ネットワークセキュリティ対策の選択、ネットワークセキュリティ保証システムの構築などに役立てる。ネットワーク情報システムの情報セキュリティ構築の価値を高めます。
  • ネットワーク セキュリティ レベルの保護: ネットワーク セキュリティ リスク評価は、重要なポイントと階層的な保護に焦点を当てたネットワーク システムのセキュリティ保護に役立ちます。実際、リスクは常に避けられない客観的なものであり、作業プロセスが完全に安全であることはあり得ません。したがって、絶対的な安全性を追求し、リスクを完全に回避することは非現実的であり、安全性とはリスクとコストの総合的なバランスです。ネットワーク セキュリティ リスク評価を通じて、ネットワーク情報システムの分類とファイリングに役立ち、国家ネットワーク セキュリティ法および規制の要件を満たし、ネットワーク セキュリティ コンプライアンスの構築と管理を促進します。
  • ネットワークの運用と保守および緊急時対応: ネットワーク セキュリティのリスク評価は、ネットワーク セキュリティの運用と保守および緊急時対応の重要な日常業務です。ネットワーク セキュリティの脅威、新たな脆弱性の発見、悪意のあるコード攻撃などは不確実であるため、ネットワーク セキュリティ リスクを継続的に評価し、セキュリティ対策をタイムリーに調整することが、ネットワーク情報システムのセキュリティを維持するのに役立ちます。
  • データ セキュリティの管理と運用: データ セキュリティ評価は、データ資産の種類とレベルを特定し、データ セキュリティ保護戦略を確立するのに役立ちます。

おすすめ

転載: blog.csdn.net/qq_43632414/article/details/127394471
おすすめ
ランキング
Oracleのクエリ重複フィールド
An error occurred when ssm used count to query data
【Leyes de la Naturaleza】La sabiduría de las multitudes
JavaWebの研究では、(13)を締結 - セッションの使用は、重複送信フォームを防ぎます
Firebase増加サインアップクォータ
[MyBatisフレームワーク]mybatis入門
ハートレスの世界
Djangoのインストールと使用について
[转] UiPath展開アーキテクチャ
mybatis-plusは楽観的なロック変更を使用します
アーカイブ
もっと
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)

コードワールド

© 2018 codetd.com