安全评估与安全管理

信息安全讲座安全评估与安全管理安全评估与安全管理安全风险分析安全风险评估方法和实例安全风险控制整体安全策略的设计和部署应急响应处理一、安全风险分析风险分析概述风险分析的目的和意义风险分析的原则和标准风险分析方法风险分析要素风险识别一、风险分析概述安全以风险形式存在，没有绝对的安全安全缝隙高风险低风险一、风险分析概述1.1信息安全风险安全风险是信息安全问题的表现形式，即由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。一、风险分析概述1.2对风险分析的认识从微观上讲，风险评估是“一种度量信息安状况的方法和工具”，风险评估通过对网络和信息系统潜在风险的识别、分析、评价以及控制和缓解措施等要素，度量网络和信息系统的安全状况。风险评估是风险管理的基础。一、风险分析概述1.3信息安全风险相关要素的关系资产安全措施威胁威胁威胁威胁脆弱性残余风险风险残余风险残余风险二、风险分析的目的和意义风险评估是解决“最基本安全问题”的基础信息系统的安全状况到底如何？——用风险评估结果描述系统安全状况。是否有统一的建设规范，统一的安全要求？——风险评估是制定统一规范，统一要求的基础。什么样的信息安全方案合理，建设到什么程度合适？——风险评估是制定方案的重要依据。现有的安全体系能否保证系统的安全？——通过风险评估来检验安全体系。二、风险分析的目的和意义2.1风险分析的目的安全建设必需先“正确认识安全问题；准确了解安全状态”，信息系统安全测评就是对信息系统安全的“度量”，是做好信息安全保障的重要基础。二、风险分析的目的和意义2.1风险分析的目的风险分析是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。评价是否实施和维护了适当的安全措施，鉴别存在的风险以及风险发生的可能性和影响，从而选择可将风险降低到组织可接受级别的安全措施。二、风险分析的目的和意义安全评估的目的——了解系统,掌握资产系统业务功能、数据和流程描述用户情况系统结构和配置边界的完整性二、风险分析的目的和意义风险评估的目的——了解系统安全状况系统的重要性面临的威胁技术脆弱性和技术措施运行和管理问题风险状况二、风险分析的目的和意义风险评估的目的——规划域结构，界定边界和责任二、风险分析的目的和意义政务专网平台非涉密光纤网络(专网2芯)业务处理域A业务处理域B公众用户域电子政务域电子政务网络域公钥基础设施异地容灾应急响应电子政务基础服务域公共网络域政务内网域（涉密域）业务单位政务外网域业务单位公众服务域政务内网通信网络政务外网通信网络业务单位政务内网域政务外网域（非涉密域）企业/其它机构信息系统公共通信网安全测评二、风险分析的目的和意义风险评估的目的——建设风险管理体系风险识别风险分析风险评价风险管理（控制、缓解、转移…）风险评估二、风险分析的目的和意义风险管理是指通过风险评估标识系统中的风险、解释风险并实施计划以降低风险至可接受程度的一个持续过程。风险评估是风险管理的一个重要环节，是分析评价信息系统安全状态的重要方法和工具。二、风险分析的目的和意义风险评估对信息系统生命周期的支持支持安全需求分析，安全保护等级确定项目规划工程实施工程验收分析设计支持系统架构的安全性分析评估对安全需求的实现周期性地确定系统的安全状态系统报废运行维护硬件、软件、数据的处置三、风险评估原则和标准保密原则标准性原则规范性原则可控性原则整体性原则最小影响原则三、风险评估原则和标准中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)《中华人民共和国保守国家秘密法实施办法》（国家保密局文件国保发[1990]1号）《计算机信息系统保密管理暂行规定》（国家保密局文件国保发[1998]1号）《计算机信息系统安全保护等级划分准则》（1999年9月国家技术监督局发布）《信息安全风险评估指南》国家标准报批稿四、风险评估过程和方法风险评估过程(1)•硬件•软件•接口•数据和信•人员•业务功能（1）系统分析和资产识别输入输出风险评估活动•系统边界•系统功能•系统和数据的危险程度•系统和数据的敏感程度•识别关键资产•系统受攻击的历史信息•专业机构和媒体的数据（2）威胁分析识别•威胁描述四、风险评估过程和方法风险评估过程(2)•前期风险评估报告•系统审计信息•系统特性•安全需求•安全测试结果（3）脆弱性分析识别输入输出风险评估活动•潜在的脆弱性列表•当前的安全措施•计划的安全措施（4）安全措施分析•当前和计划的安全措施列表四、风险评估过程和方法风险评估过程(3)•威胁动机•威胁能力•脆弱性本质•当前安全措施（5）可能性分析输入输出风险评估活动•可能性级别四、风险评估过程和方法风险评估过程(4)•业务影响分析•资产危险性分析•数据危险性•数据敏感性（6）影响分析输入输出风险评估活动•影响级别•威胁发生的可能性•影响的量级•当前和计划的安全措施（7）风险判定（综合分析）•风险和相应的风险等级四、风险评估过程和方法风险评估过程(5)（8）安全措施建议输入输出风险评估活动•建议的安全措施（9）结果报告•风险评估报告四、风险评估过程和方法风险评估的基本方法初级风险分析（PreliminaryRiskAnalysis）风险评价指数（RiskAssessmentCodes）失效模式及影响分析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于树的技术（TreeBasedTechniques）动态系统技术（TechniquesforDynamicsystem）四、风险评估过程和方法风险计算矩阵法矩阵法原理计算示例风险计算相乘法相乘法原理计算实例动态树四、风险评估过程和方法矩阵法概念矩阵法适用范围矩阵法构造方式矩阵法特点四、风险评估过程和方法Z=f(x,y)。函数f采用矩阵形式表示。以要素x和要素y的取值构建一个二维矩阵，矩阵内m*n个值即为要素Z的取值y1y2y…jy…ny1x11z12z…1jz…1nz2x21z22z…2jz…2nz…………………ixi1zi2z…ijz…inz…………………xmxm1zm1z…mjz…mnz四、风险评估过程和方法矩阵法主要适用于由两个要素值确定一个要素值的情形。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等，同时需要整体掌握风险值的确定，因此矩阵法在风险分析中得到广泛采用。四、风险评估过程和方法首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果。矩阵的计算需要根据实际情况确定，矩阵内值的计算不一定遵循统一的计算公式，但必须具有统一的增减趋势，即如果是递增函数，Z值应随着x与y的值递增，反之亦然。四、风险评估过程和方法矩阵法特点矩阵法的特点在于通过构造两两要素计算矩阵，可以清晰罗列要素的变化趋势，具备良好灵活性。四、风险评估过程和方法矩阵法计算示例(1)资产：共有三个重要资产，资产A1、资产A2和资产A3；资产价值分别是：资产A1=2，资产A2=3，资产A3=5；威胁：资产A1面临两个主要威胁，威胁T1和威胁T2；资产A2面临一个主要威胁，威胁T3；资产A3面临两个主要威胁，威胁T4和T5；威胁发生频率分别是：威胁T1=2，威胁T2=1，威胁T3=2，威胁T4=5，威胁T5=4；四、风险评估过程和方法矩阵法计算示例(2)脆弱性：威胁T1可以利用的资产A1存在的两个脆弱性，脆弱性V1和脆弱性V2；威胁T2可以利用的资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7；威胁T4可以利用的资产A3存在的一个脆弱性，脆弱性V8；威胁T5可以利用的资产A3存在的一个脆弱性，脆弱性V9。脆弱性严重程度分别是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。四、风险评估过程和方法示例计算过程风险计算过程（1）计算安全事件发生可能性（2）计算安全事件造成的损失（3）计算风险值（4）结果判定以下以资产A1面临的威胁T1可以利用的脆弱性V1为例，计算安全风险值。四、风险评估过程和方法计算安全事件发生的可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。四、风险评估过程和方法计算安全事件发生的可能性脆弱性严重程度12345124711142361013173591216204711141822威胁发生频率5812172025安全事件发生可能性值1-56-1112-1617-2122-25发生可能性等级12345四、风险评估过程和方法计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。四、风险评估过程和方法计算安全事件的损失脆弱性严重程度123451246101323591216347111520458141922资产价值5610162125安全事件损失值1-56-1011-1516-2021-25安全事件损失等级12345四、风险评估过程和方法四、风险评估过程和方法（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；四、风险评估过程和方法计算风险值可能性12345136912162581115183691317214711162023损失5914202325四、风险评估过程和方法风险结果判定根据预设的等级划分规则判定风险结果。依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。风险值1-67-1213-1819-2324-25风险等级12345四、风险评估过程和方法矩阵法风险计算过程小结计算安全事件发生可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。计算风险值（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；风险结果判定四、风险评估过程和方法风险计算相乘法基本原理相乘法原理：，当f为增量函数时，可以为直接相乘，也可以为相乘后取模等。相乘法的特点：简单明确，直接按照统一公式计算，即可得到所需结果。相乘法适用范围：在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，因此相乘法在风险分析中得到广泛采用。yxyxfz),(四、风险评估过程和方法面向关键资产的风险分析系统调查系统业务模型网络和系统环境（用户、结构和边界等）安全体系结构设计与实现文档四、风险评估过程和方法面向关键资产的风险分析四、风险评估过程和方法面向关键资产的风险分析(系统平台分析)网络通信服务机构机构专用网络支持性基础设施:安全管理、密码管理等公共网络应用系统边界应用区域图