信息安全管理技术NO.:S310060074NAME:谷德丽信息安全管理引入与内涵信息安全风险识别与评估信息安全等级保护41234ISO信息安全管理标准54信息安全法规6主讲内容信息安全规划信息安全管理引入与内涵信息安全在其发展过程中经历的三个阶段:20世纪80、90年代以前,面对信息交换过程中存在的安全问题,人们强调的主要是信息的保密性和完整性,该阶段称为通信保密阶段;20世纪80、90年代,随着计算机和网络广泛应用,人们对信息安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标,并利用密码、认证、访问控制、审计与监控等多种信息安全技术为信息和信息系统提供安全服务,该阶段称为信息安全阶段;信息安全管理引入与内涵信息安全在其发展过程中经历的三个阶段20世纪90年代中后期,由于互联网技术的飞速发展,信息对内、对外都极大开放,由此产生的安全问题已经不仅仅是传统的保密性、完整性和可用性三个方面,人们把信息主体和管理引入信息安全,由此衍生出诸如可控性、抗抵赖性、真实性等安全原则和目标,信息安全也从单一的被动防护向全面而动态的防护、检测、响应和恢复等整体建设方向发展。该阶段称为信息安全保障阶段。信息安全管理引入与内涵信息安全技术与信息安全管理信息安全技术是实现信息安全产品的技术基础;信息安全产品是实现信息安全的工具平台;信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理引入与内涵信息安全风险识别与评估信息安全等级保护41234ISO信息安全管理标准54信息安全法规6主讲内容信息安全规划信息安全规划信息安全规划也称为信息安全计划,它用于在较高的层次上确定一个组织涉及信息安全的活动,主要内容:安全策略安全需求计划采用的安全措施安全责任规划执行时间表信息安全管理引入与内涵信息安全风险识别与评估信息安全等级保护41234ISO信息安全管理标准54信息安全法规6主讲内容信息安全规划信息安全风险识别与评估信息安全风险来自人为或自然的威胁,是威胁利用信息系统的脆弱性造成安全事件的可能性及这类安全事件可能对信息资产等造成的负面影响。信息安全风险识别与评估信息安全风险评估:也称信息安全风险分析,它是指对信息安全威胁进行分析和预测,评估这些威胁对信息资产造成的影响。信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值,为管理决策提供支持,也可为进一步实施系统安全防护提供依据。信息安全建设的起点和基础倡导一种适度安全信息安全建设和管理的科学方法分析确定风险的过程信息安全风险评估信息安全风险识别与评估信息安全风险识别与评估信息安全风险识别与评估信息安全风险识别与评估应考虑的因素:信息资产的脆弱性信息资产的威胁及其发生的可能性信息资产的价值已有安全措施资产评估威胁评估准备和计划脆弱性评估评估已有安全控制措施影响可能性评价风险安全措施建议汇报及验收准备阶段识别阶段分析阶段验收阶段资产的识别与估价为了明确被保护的信息资产,组织应列出与信息安全有关的资产清单,对每一项资产进行确认和适当的评估。为了防止资产被忽略或遗漏,在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别,因此要列出对组织或组织的特定部门的业务过程有价值的任何事物,以便根据组织的业务流程来识别信息资产。信息安全风险识别与评估信息安全风险识别与评估资产的识别与估价在列出所有信息资产后,应对每项资产赋予价值。资产估价是一个主观的过程,而且资产的价值应当由资产的所有者和相关用户来确定,只有他们最清楚资产对组织业务的重要性,从而能够准确地评估出资产的实际价值。为确保资产估价的一致性和准确性,组织应建立一个资产的价值尺度(资产评估标准),以明确如何对资产进行赋值。在信息系统中,采用精确的财务方式来给资产确定价值比较困难,一般采用定性分级的方式来建立资产的相对价值或重要度,即按照事先确定的价值尺度将资产的价值划分为不同等级,以相对价值作为确定重要资产及为这些资产投入多大资源进行保护的依据。资产的识别与估价信息安全风险识别与评估资产评估威胁评估准备和计划脆弱性评估评估已有安全控制措施影响可能性评价风险安全措施建议汇报及验收准备阶段识别阶段分析阶段验收阶段故意破坏(网络攻击、恶意代码传播、邮件炸弹、非授权访问等)和无意失误(如误操作、维护错误)人员威胁12系统威胁环境威胁34自然威胁识别产生威胁的原因信息安全风险识别与评估威胁识别与评估人员威胁12系统威胁环境威胁34自然威胁识别产生威胁的原因信息安全风险识别与评估威胁识别与评估系统、网络或服务的故障(软件故障、硬件故障、介质老化等)人员威胁12系统威胁环境威胁34自然威胁电源故障、污染、液体泄漏、火灾等识别产生威胁的原因信息安全风险识别与评估威胁识别与评估人员威胁12系统威胁环境威胁34自然威胁洪水、地震、台风、滑坡、雷电等识别产生威胁的原因信息安全风险识别与评估威胁识别与评估威胁识别与评估信息安全风险识别与评估识别产生威胁的原因确认威胁的目标威胁识别与评估的主要任务威胁发生造成的后果或潜在影响评估威胁发生的可能性威胁识别与评估威胁发生造成的后果或潜在影响信息安全风险识别与评估威胁一旦发生会造成信息保密性、完整性和可用性等安全属性的损失,从而给组织造成不同程度的影响,严重的威胁发生会导致诸如信息系统崩溃、业务流程中断、财产损失等重大安全事故。不同的威胁对同一资产或组织所产生的影响不同,导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要程度)为限。资产评估威胁评估准备和计划脆弱性评估评估已有安全控制措施影响可能性评价风险安全措施建议汇报及验收准备阶段识别阶段分析阶段验收阶段脆弱性识别与评估仅有威胁还构不成风险。由于组织缺乏充分的安全控制,组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点,即脆弱性。威胁只有利用了特定的脆弱性或者弱点,才可能对资产造成影响。信息安全风险识别与评估脆弱性识别与评估脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才能造成危害。资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现。脆弱性识别可以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可分物理、网络、系统、应用等层次进行识别。信息安全风险识别与评估脆弱性识别与评估信息安全风险识别与评估系统、程序和设备中存在的漏洞或缺陷,如结构设计问题和编程漏洞等技术脆弱性12操作脆弱性管理脆弱性3软件和系统在配置、操作及使用中的缺陷,包括人员日常工作中的不良习惯、审计或备份的缺乏等策略、程序和规章制度等方面的弱点。脆弱性的分类信息安全风险识别与评估脆弱性识别与评估评估脆弱性需要考虑的因素脆弱性的严重程度(Severity);脆弱性的暴露程度(Exposure),即被威胁利用的可能性P,这两个因素可采用分级赋值的方法。例如对于脆弱性被威胁利用的可能性可以分级为:非常可能=4,很可能=3,可能=2,不太可能=1,不可能=0。资产评估威胁评估准备和计划脆弱性评估评估已有安全控制措施影响可能性评价风险推荐对策汇报及验收准备阶段识别阶段分析阶段验收阶段信息安全风险识别与评估确认现有安全控制在影响威胁事件发生的外部条件中,除了资产的弱点,再就是组织现有的安全控制措施。在风险评估过程中,应当识别已有的(或已计划的)安全控制措施,分析安全控制措施的效力,有效的安全控制继续保持,而对于那些不适当的控制应当核查是否应被取消,或者用更合适的控制代替。信息安全风险识别与评估确认现有安全控制对系统开发、维护和使用实施管理的措施,包括安全策略、程序管理、风险管理、安全保障和系统生命周期管理等管理性安全控制12操作性安全控制技术性安全控制3用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事件处理,安全意识培训、系统支持和操作、物理和环境安全等身份识别与认证、逻辑访问控制、日志审计和加密等安全控制方式的分类(依据目标和针对性分类)信息安全风险识别与评估确认现有安全控制此类控制可以降低蓄意攻击的可能性,实际上针对的是威胁源的动机威慑性安全控制12预防性安全控制检测性安全控制34纠正性安全控制此类控制可以保护脆弱性,使攻击难以成功,或者降低攻击造成的影晌此类控制可以检测并及时发现攻击活动,还可以激活纠正性或预防性安全控制此类控制可以将攻击造成的影响降到最低安全控制方式的分类(依据功能分类)信息安全风险识别与评估确认现有安全控制安全控制应对风险各要素的情况利用引发造成资产评估威胁评估准备和计划脆弱性评估评估已有安全控制措施影响可能性评价风险安全措施建议汇报及验收准备阶段识别阶段分析阶段验收阶段信息安全风险识别与评估风险评价风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级,对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。信息安全风险识别与评估风险评价——风险度量常用方法预定义价值矩阵法按风险大小对威胁排序法网络系统的风险计算方法风险度量的目的是明确当前的安全状态、改善该状态并获得改善状态所需的资源。信息安全风险识别与评估风险评价——风险度量常用方法预定义价值矩阵法该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小。威胁发生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2资产相对价值V001212323411232343452234345456334545656744565676782+1+2=5信息安全风险识别与评估风险评价——风险度量常用方法按风险大小对威胁排序法该方法把风险对资产的影响与威胁发生的可能性联系起来,常用于考察和比较威胁对组织资产的危害程度。第一步:按预定义的尺度,评估风险对资产的影响即资产的相对价值I,例如,尺度可以是从1到5;第二步:评估威胁发生的可能性PT,PT也可以用PTV(考虑被利用的脆弱性因素)代替,例如尺度为1到5;第三步:测量风险值R,R=R(PTV,I)=PTV×I;该方法把风险对资产的影响与威胁发生的可能性联系起来,常用于考察和比较威胁对组织资产的危害程度。方法的实施过程是:信息安全风险识别与评估风险评价——风险度量常用方法按风险大小对威胁排序法威胁影响(资产价值I)威胁发生的可能性PTV风险R威胁的等级威胁A52102威胁B2483威胁C35151威胁D1335威胁E4144威胁F2483R=PTV×I=3×5=15信息安全风险识别与评估风险评价——风险度量常用方法网络系统的风险计算方法R=V×(1-PD)×(1-PO)其中:V––––系统的重要性,是系统的保密性C、完整性I和可用性A三项评价值的乘积,即V=C×I×A;PO––––防止威胁发生的可能性,与用户的个数、原先的信任、备份的频率以及强制安全措施需求的满足程度有关;PD––––防止系统性能降低的可能性,与组织已实施的保护性控制措施有关。信息安全风险识别与评估风险评价——风险度量常用方法网络系统的风险计算方法网络系统名称保密性C完整性IN可用性A网络系统重要性V防止威胁发生PO防止系统性能降低PD风险R风险排序管理13260.10.33.782工程232120.50.53.003电子商务332180.30.38.821V=C×I×A=2×3×2=12R=V×(1-PD)×(1-PO)=12×(1-0.5)×(1-0.5)=3.00资产评估威胁评估准备和计划脆弱性评估评估已有安全控制措施影响可能性评价风险安全措施建议汇报及验收准备阶段识别阶段分析阶段验收阶段信息安全风险识别与评估安全措施建议信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级,他们在这一步骤中根据风险等级和其他评估结论,结合被评估组织当前信息安全防护措施