搜索
对信息安全风险评估的思考上海上讯信息系统工程有限公司安全咨询事业部黄永飞安全咨询顾问风险评估信息安全风险评估What?Why?How?问题思考问题思考信息安全风险评估What信息安全风险评估是什么?信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。信息系统的安全风险是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。安全风险评估是什么?人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?总是试图找出最合理的答案,这一过程实际上就是风险评估。早在上个世纪初期,科学家就已开始研究风险管理理论。问题思考信息安全风险评估Why1.“三分技术,七分管理”,我们的员工安全意识如何?2.依靠现有的安全产品是否能够解决现在的安全问题?3.现有的安全产品是否真正的起到了作用?4.如果发生安全事故,我们能否在最短时间内恢复业务系统?5.对未来的网络扩展和安全配置升级有没有前瞻性的规划?能否更多的节约投入成本?。。。。。。。。。。。。。。。。。。。。。。。。。问题思考信息安全风险评估的意义1.风险评估是分析确定风险的过程2.信息安全风险评估是信息安全建设的起点和基础3.信息安全风险评估是需求主导和突出重点原则的具体体现4.重视风险评估是信息化比较发达国家的基本经验1.风险评估是分析确定风险的过程任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。信息安全风险评估的意义信息安全风险评估的意义信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。2.信息安全风险评估是信息安全建设的起点和基础信息安全风险评估的意义所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。信息安全风险评估的意义如果说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。3.信息安全风险评估是需求主导和突出重点原则的具体体现信息安全风险评估的意义不考虑风险的信息化是要付出代价有时代价可能很高,甚至难以承受信息安全风险评估的意义不计成本、片面地追求绝对安全、试图消灭风险或完全避免风险是不现实的,也不是需求主导原则所要求的。坚持从实际出发,坚持需求主导、突出重点,就必须科学地评估风险,有效控制风险。信息安全风险评估的意义上个世纪70年代,美国政府就发布了《自动化数据外理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。4.重视风险评估是信息化比较发达国家的基本经验信息安全风险评估的意义英国标准化协会(BSI)1995年颁布了《信息安全管理指南》(BS7799),BS7799分为两个部分:BS7799-1《信息安全管理实施规则》和BS7799-2《信息安全管理体系规范》。2002年又颁布了《信息安全管理系统规范说明》(BS7799-2:2002)。它将信息安全管理的有关问题划分成了10个控制要项、36个控制目标和127个控制措施。目前,在BS77992中,提出了如何了建立信息安全管理体系的步骤。在信息安全管理体系的核心部位是风险评估和风险管理。目前,全球通过BS7799认证的数量达450家左右,其中绝大部分分布在欧洲和亚洲,整个中国地区(包括香港和台湾在内)通过BS7799认证的数量近20家。为用户提供具有针对性的安全产品和安全技术给用户提供量化的信息资产价值列表和资产风险列表可全面和有条理地向管理层反映现有的信息科技安全风险和所需的安全保障措施为决策和政策考虑提供不同的解决方案,使信息科技安全管理能够从策略性的层面推行为日后比较信息科技安全措施的变化提供依据信息安全风险评估的意义-总结问题思考信息安全风险评估How问题思考1.信息安全风险评估怎么实施?2.信息安全风险评估实施前需要准备什么?3.信息资产的属性怎么进行量化?4.发现信息资产的弱点后怎么进行补救?信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划风险评估的准备风险评估的准备确定范围范围可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是客户的知识产权。确定目标目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。确定组织结构组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的范围、目标。确定方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应。获得最高管理者批准上述所有内容应得到组织的最高管理者的批准,并对管理层和员工进行传达。风险评估的准备(续)信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划资产识别类别简称解释/示例数据Data存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等软件Software应用软件、系统软件、开发工具和资源库等服务Service操作系统、、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生产应用硬件Hardware计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等文档Document纸质的各种文件、传真、电报、财务报告、发展计划设备Facility电源、空调、保险柜、文件柜、门禁、消防设施等人员HR各级雇员和雇主、合同方雇员其它Other企业形象,客户关系等资产分类类别资产赋值原则信息资产的价值取决于:保密性完整性可用性信息资产的价值随时间改变信息资产的价值随资产相关性变化信息资产赋值过程机密性、完整性和可用性的价值分别赋值赋值含义解释4VeryHigh价值非常关键,对相应资产具有致命性的潜在影响3High价值较高,潜在影响严重,相应资产将蒙受严重损失,难以弥补2Medium价值中等,对相应资产潜在影响重大,但可以弥补1Low价值较低,对相应资产潜在影响可以忍受,较容易弥补0Negligible价值或潜在影响可以忽略影响威胁C1.竞争劣势当本业务系统内的信息数据被竞争者得知时,将会造成何种程度的损失?01234C2.直接业务损失当本业务系统内涵盖的信息资产被被不适当揭露时,可能着成企业业务的损失程度?01234C3.公众信心本业务系统内的信息数据被不适当泄露时,公司在客户的信任度、公众形象、股东或供应商的忠诚度上所招受到的损失?01234C4.额外成本本业务系统内的信息数据被不适当泄露时可能造成的额外成本负担?01234C5.法律责任本业务系统内的信息数据被不适当泄露时,可能造成法律、规定或合约上的影响?01234C6.员工士气本业务系统内的信息数据被不适当泄露时,可能对员工士气造成的影响?01234C7.欺诈行为本业务系统内的信息数据被不适当泄露时,企业商品或资金可能被不当的转移?01234結果请选择上列因素中会造成最严重损失的评估结果01234信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划威胁识别安全威胁威胁种类•是对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件•IDS事件采集•历史事件数据•顾问访谈•安全策略分析•见下页•安全审计•权威组织的统计数据•……获取方法威胁定义攻击类型说明被动攻击被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。这样的例子如泄露个人的信用卡号码和医疗档案等。主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改改。物理临近攻击是指一未被授权的个人,在物理意义上接近网络、系统或设备,试图改变、收集信息或拒绝他人对信息的访问。内部人员攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。软硬件装配分发攻击指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码,比如后门。主要有哪些攻击?信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划脆弱性识别安全弱点•安全弱点是系统可以被利用从而导致资产发生损失的特性•网络扫描•上机检查•安全策略评估•网络架构评估•技术类,比如OS漏洞,防火墙错误配置等•管理类,比如没有安全策略、具体负责人、审核流程等•业务模式类,比如充值卡业务,非实名制业务等•应用软件评估•数据库评估•……弱点种类获取方法弱点定义信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划设计解决方案风险RISKRISKRISKRISK风险---就是为了把企业的风险降到可接受的程度基本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞实施安全解决方案信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划项目规划项目规划方法实施难易程度预期效果紧迫性可实施性项目规划综合分析2难易程度+预期效果可实施性+优先级=紧迫性项目紧迫性分析•威胁强度多大能够造成危害,难易度•分布范围大小•层次影响范围大小•直接危害的严重程度•间接危害的严重程度•破坏后的恢复时间•破坏后恢复的消耗•最近6个月问题发现的频度•最近一次发现问题的间隔编号项目名称可实施性附加解释外部策略内部管理技术成熟度内部技术外部支持1制订最高安全方针29212222策略体系开发和建立27211123策略的有效发布和执行28212124策略的定期审查和修订29222125BS7799认证项目03200106明确安全领导小组工作职责27122117安全组织建设27121218第三方安全管理2721211项目可实施性分析•外部策略允许程度•内部管理条件是否具备•技术成熟度•内部技术条件是否具备•外部支持条件是否具备编号项目名称可实施性附加解释外部策略内部管理技术成熟度内部技术外部支持1制订最高安全方针29212222策略体系开发和建立27211123策略的有效发布和执行28212124策略的定期审查和修订29222125BS7799认证项目03200106明确安全小组工作职责27122117安全组织建设27121218第三方安全管理27212119落实安全责任文件2821212其他分析–如前文…...紧迫性–如前文…...可实施性–技术难度–资金投入大小–时间投入长短–人力投入大小和人员素质要求–外部支持资源的复杂度–对企业策略的触动大小–对组织管理的触动大小–对运作规定和习惯的触动大