本节内容信息安全风险的引入1信息安全风险的相关概念2信息安全风险的基本要素3信息安全风险管理的实施4信息安全风险评估现状5第三章信息安全风险管理1风险是事件未来可能结果发生的不确定性风险是损失发生的不确定性风险是指可能发生损失的损害程度的大小风险是指损失的大小和发生的可能性风险是由风险构成要素相互作用的结果1、信息安全风险的引入第三章信息安全风险管理12007年4月22日至27日,国际标准化组织技术管理局风险管理工作组(ISO/TMB/WGRiskManagement)在加拿大渥太华召开了第四次工作组会议。“风险”:不确定性对目标的影响(effectofuncertaintyonobjectives)。该定义克服了其他国家对“风险”定义过于狭窄、不准确等弊端,直指风险的本质,准确、全面、易于理解、便于应用。1、信息安全风险的引入第三章信息安全风险管理11、信息安全风险的引入信息安全的不确定性第三章信息安全风险管理11、信息安全风险的引入信息安全的不确定性1、信息安全风险的引入绝对安全冗余的安全措施;低效的安全投资;紧张的安全管理人员;对员工的不信任感。第三章信息安全风险管理1?如何确切掌握网络和信息系统的安全程度;?安全威胁来自何方;?加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力;?已采取的信息安全措施是否有效。适度安全第三章信息安全风险管理11、信息安全风险的引入第三章信息安全风险管理11、信息安全风险的引入安全是相对的,风险是绝对的;安全强度与安全代价寻求平衡点;安全与开放寻求平衡点。1、信息安全风险的引入以风险评估为安全建设的出发点。它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,采取成本-效益平衡的原则。第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1“风险”:不确定性对目标的影响(effectofuncertaintyonobjectives)。目标不确定性影响2、信息安全风险的相关概念第三章信息安全风险管理1安全风险:特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。“风险”:不确定性对目标的影响(effectofuncertaintyonobjectives)。2、信息安全风险的相关概念第三章信息安全风险管理1安全风险:特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。威胁(Threat)指可能对资产或组织造成损害的事故的潜在原因。威胁的属性:威胁的主体(威胁源)、能力、资源、动机、途径、可能性等。2、信息安全风险的相关概念第三章信息安全风险管理1安全风险:特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。脆弱性(Vulnerability)就是资产的弱点或薄弱点,这些弱点可能被威胁利用造成安全事件的发生,从而对资产造成损害。脆弱性也常常被称为漏洞,脆弱性是资产本身所具有的。2、信息安全风险的相关概念第三章信息安全风险管理1安全风险:特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。资产(Asset)就是被组织赋予了价值、需要保护的有用资源。每项资产都应该清晰地定义,合理地估价,在组织中明确资产所有权关系,对资产进行安全分类,并以文件形式详细记录在案。2、信息安全风险的相关概念第三章信息安全风险管理1资产(Asset)就是被组织赋予了价值、需要保护的有用资源。信息资产:数据库和数据文件等软件资产:应用软件、系统软件等物理资产:计算机设备、通信设备等服务:计算和通信服务、通用公用事业等人力资源:人员及他们的资格、技能和经验等无形资产:组织的声誉和形象等2、信息安全风险的相关概念第三章信息安全风险管理1信息资产:数据库和数据文件等•信息资产的分类•信息的标识和处置2、信息安全风险的相关概念第三章信息安全风险管理1资产价值(Thevalueofasset)为明确对资产的保护对其进行估价,其价值大小既要考虑其自身价值,也要考虑其对组织机构业务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。资产价值体现了其对一个机构的业务的重要程度。2、信息安全风险的相关概念第三章信息安全风险管理1风险评估(RiskAssessment)对信息和信息处理设施的威胁、影响(Impact,指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。3、信息安全风险的基本要素第三章信息安全风险管理1ISO/IEC133353、信息安全风险的基本要素第三章信息安全风险管理1图示:A(Asset):资产V(Vulnerability):脆弱性T(Threat):威胁S(Safeguard):保护措施R(ResidualRisk):残余风险C(Constrains):约束ISO/IEC13335安全要素之间的关系3、信息安全风险的基本要素第三章信息安全风险管理1资产脆弱性脆弱性脆弱性脆弱性脆弱性威胁威胁威胁威胁安全措施安全措施安全措施安全措施残余风险残余风险风险残余风险3、信息安全风险的基本要素第三章信息安全风险管理1资产业务战略/使命资产价值依赖具有成本未被满足脆弱性威胁暴露利用安全需求导出被满足安全措施抵御降低风险增加增加安全事件残余风险演变《信息安全风险评估指南》3、信息安全风险的基本要素第三章信息安全风险管理1残余风险(ResidualRisk):采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。残余风险的提出风险不可能完全消除风险不必要完全消除残余风险应受到密切监视,因为它可能会在将来诱发新的事件4、信息安全风险管理的实施第三章信息安全风险管理1风险管理风险控制风险评估降低风险风险管理通过风险评估来识别风险大小,通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。风险管理——考虑控制费用与风险之间的平衡风险评估对信息和信息处理设施的威胁、影响(Impact,指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。风险管理通过风险评估来识别风险大小,通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。4、信息安全风险管理的实施第三章信息安全风险管理1生命周期阶段阶段特征来自风险管理活动的支持阶段1—规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2—设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3—集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否能满足要求,并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。4、信息安全风险管理的实施第三章信息安全风险管理1阶段4—运行和维护信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境(例如新的系统接口)中做出重大变更时,要对其进行风险评估活动。阶段5—废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。当要废弃或替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的废弃处置,且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。4、信息安全风险管理的实施第三章信息安全风险管理1角色责任国家信息安全主管机关制定风险评估的政策、法规和标准督促、检查和指导业务主管机关提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的风险评估工作4、信息安全风险管理的实施第三章信息安全风险管理1信息系统拥有者制定安全计划,报上级审批组织实施信息系统自评估工作配合检查评估或委托评估工作,并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全措施,控制信息安全风险信息系统承建者根据对信息系统建设方案的风险评估结果,修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险规范建设,减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证4、信息安全风险管理的实施第三章信息安全风险管理1信息系统安全评估机构提供独立的风险评估对信息系统中的安全措施进行评估,以判断(1)这些安全措施在特定运行环境中的有效性;(2)实现了这些措施后系统中存在的残余风险提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险保护风险评估中获得的敏感信息,防止被无关人员和单位获得信息系统的关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料4、信息安全风险管理的实施第三章信息安全风险管理1风险评估的一般工作流程风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定和实施风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档..................否否是是风险分析风险评估文件记录5、信息安全风险管理现状第三章信息安全风险管理1一、国际信息安全风险管理动态(一)美国:独占鳌头,加强控管(二)欧洲:不甘落后,重在预防(三)亚太:及时跟进,确保发展(四)国际组织:积极配合,重在规范5、信息安全风险管理现状(一)美国:独占鳌头,加强控管制定了从军政部门、公共部门和私营领域的风险管理政策和指南形成了军、政、学、商分工协作的风险管理体系国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制5、信息安全风险管理现状DOD:风险评估的领路者1967年,DOD开始研究计算机安全问题。到1970年,对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年,DoD提出了加强联邦政府和国防系统计算机安全的倡议。1987年,第一次对新发布的《计算机安全法》的执行情况进行部门级评估1997年,美国国防部发布《国防部IT安全认证认可过程》(DITSCAP);2000年,国家安全委员会发布了《国家信息保障认证和认可过程》(NIACAP)2007年,根据美国的网络安全国家战略计划,对政府各部门的信息安全状况进行更加全面的审计和评估5、信息安全风险管理现状DOC/NIST:风险评估的推动者2000年,NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》(SP800-26)2002年,NIST发布了《IT系统风险管理指南》(SP800-30)。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。2002年,颁布了《联邦信息安全管理法案》(FISMA),要求联邦各机构必须进行定期的风险评估。5、信息安全风险管理现状DOC/NIST:风险评估的推动者从2002年10月开始,NIST先后发布了《联邦IT系统安全认证和认可指南》(SP800-37)、《联邦信息和信息系统的安全分类标准》(FIPS199)、《联邦IT系统最小安全控制》(SP800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP800-60)等多个文档,以风险思想为基