信息安全风险管理.ppt

信息安全风险管理10.1风险管理概述“知己知彼，百战不殆。知己而不知彼，即便获得胜利也损失惨重。既不知已又不知彼，每仗必败。”为了取得信息安全管理的胜利，必须知己知彼。10.1.1知己首先必须识别、检查和熟悉机构中当前的信息及系统，这是不言而喻的。要想保护资产就必须熟悉它们是什么，它们对机构的价值，以及可能有哪些漏洞。资产在这里是指信息及使用、存储和传输这些信息的系统。10.1.2知彼知彼，这就意味着识别、检查并熟悉机构面临的威胁。必须确定出对机构信息资产的安全影响最直接的威胁。然后，通过对这些威胁的理解，按照每项资产对于机构的重要程度，建立一个威胁等级列表。10.1.3利益团体的作用机构中的每一个利益团体都有责任管理机构面临的风险，可以从以下三方面的分析中看出：1.信息安全因为信息安全团体的成员最了解把风险带入机构的威胁和攻击，所以他们常常在处理风险时处于领导地位。10.1.3利益团体的作用2.管理人员管理人员和用户经过适当的培训，会对机构面临的威胁有着清醒的认识，在早期的检测和响应阶段起一定的作用。3.信息技术利益团体必须建立安全的系统，并且安全的操作这些系统。例如，IT操作应进行合理的备份，以避免硬盘故障引起的风险。10.2风险管理的基本概念10.2.1资产相关概念1．资产所谓资产就是被组织赋予了价值、需要保护的有用资源。在信息安全体系范围内，一项非常重要的工作就是为资产编制清单。每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。10.2.1资产相关概念2．资产的价值资产价值是指经济实体所拥有的固定资产、无形资产体现出来的价值。为了明确对资产的保护，有必要对资产进行估价，其价值大小不仅仅要考虑其自身的价值，还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。10.2.1资产相关概念因此，在信息系统中资产的价值可以用信息或其他技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。10.2.1资产相关概念3．威胁威胁是指可能对资产或组织造成损害的事故的潜在原因。例如，网络系统可能受到来自计算机病毒和黑客攻击的威胁。4．脆弱性所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用，造成安全事件的发生，从而对资产造成损害。脆弱性本身并不会引起损害，它只是为威胁提供了影响资产安全性的条件。10.2.2风险管理的相关概念1．安全风险所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。通过确定资产价值及相关威胁与脆弱性的水平，可以得出风险的度量值。10.2.2风险管理的相关概念即对信息和信息处理设施的威胁、影响（指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。10.2.2风险管理的相关概念风险评估的主要任务包括：·识别组织面临的各种风险；·评估风险概率和可能带来的负面影响；·确定组织承受风险的能力；·确定风险降低和控制的优先等级；·推荐风险降低对策。风险评估也就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，确定资产风险等级和优先控制顺序。10.2.2风险管理的相关概念2．风险管理所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息安全方针，使风险被避免、转移或降至一个可被接受的水平。风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如下图所示。风险管理风险识别风险评估风险控制图风险管理过程10.2.2风险管理的相关概念在风险管理过程中，有几个关键的问题需要考虑。第一，要确定保护的对象是什么？它的直接和间接价值如何？第二，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最后，组织应该采取怎样的安全措施才能将风险带来的损失降到最低？解决以上问题的过程，就是风险管理的过程。10.2.2风险管理的相关概念这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析这个概念。实际上，对于信息安全风险管理来说，风险分析和风险评估基本上是同义的。当然，如果细究起来，风险分析应该是处理风险的总体战略，风险评估只是风险分析中的一项工作，即对可识别的风险进行评估，以确定其可能造成的危害。10.2.2风险管理的相关概念3．安全需求在信息安全体系中，要求组织确认如下安全需求：·评估出组织所面临的安全风险，并控制这些风险的需求；·组织、贸易伙伴、签约客户等需要遵守的法律法规及合同的要求；·组织制订支持业务运作与处理的需求。10.2.2风险管理的相关概念4．安全控制正如BS7799中所定义的，安全控制就是保护组织资产、防止威胁、减少脆弱性等一系列安全实践、过程和机制。为获得有效的安全，常常需要把多种安全控制结合起来使用，实现监测、威慑、防护等多种功能。5．剩余风险即实施安全控制后，仍然存在的安全风险。10.2.2风险管理的相关概念6．适用性声明适用性声明是一个包含组织所选择的控制目标与控制方式的文件，相当于一个控制目标与方式清单，其中应阐述选择与不选择的理由。10.2.3风险管理各要素间的关系风险管理中涉及的安全组成要素之间的关系如下图所示，具体描述如下：威胁脆弱性安全控制安全风险资产安全需求资产价值与潜在影响利用防止增加增加暴露减少要求指出增加具有10.2.3风险管理各要素间的关系·资产具有价值，并会受到威胁的潜在影响；·脆弱性将资产暴露给威胁，威胁利用脆弱性对资产造成影响；·威胁与脆弱性的增加导致安全风险的增加；·安全风险的存在对组织的信息安全提出要求；·安全控制应满足安全需求；·通过实施安全控制防范威胁，以降低安全风险。10.3风险的识别风险管理策略要求信息安全专业人员将机构的信息资产进行识别、分类，并区分优先次序，来了解资产。资产是各种威胁以及威胁代理的目标，风险管理的目标就是保护资产不受威胁。了解了机构的资产后，就可以进入资产的识别阶段。必须对每一项资产的状况和环境进行检查，找出其漏洞。10.3风险的识别之后，就要确定采用的控制措施，并根据这些控制措施对限制攻击所造成的可能损失，来评估控制。风险识别的过程从机构信息资产的识别和评估其价值开始。10.3.1信息资产的识别风险识别过程是从资产的识别开始的，它包括机构系统的所有要素：人员、过程、数据及信息、软件、硬件和网络，然后对资产进行分析和归类，在进行深入分析的过程中添加细节。1．人员、过程及数据资产的识别人力资源、文件资料及数据信息的识别比确定软、硬件资产更困难。这个任务应由具有知识、经验及判断力的人员来完成。10.3.1信息资产的识别在决定属于哪一个信息资产时，需要考虑下列资产属性：（1）人员：位置名称/号码；管理人；安全检查级别；特殊能力。（2）过程：说明；意图；与软件、硬件及网络元素的关系；引用的存储位置；更新的存储位置。（3）数据：分类；所有者、创建者及管理者；使用的数据结构；数据结构的大小；在线与否；位置；使用的备份过程。10.3.1信息资产的识别2．硬件、软件和网络资产的识别应该跟踪每个信息资产，了解哪些属性取决于机构需求及其风险管理，以及信息安全管理和信息安全技术团队的优先权和需求。决定跟踪哪一种信息资产时，需要考虑名称、IP地址、MAC地址、序列号、制造商名称、软件版本等资产属性。10.3.2信息资产的分类对信息资产进行分类的目的是便于在处理信息时指明保护的需求、优先级和期望程度。1．分类指导原则信息资产应当按照它对组织的价值、法律要求、敏感性和关键性予以分类。10.3.2信息资产的分类信息分类的一个事例如下：《中华人民共和国保守国家秘密法》第九条将国家秘密的密级分为“绝密”、“机密”和“秘密”三级。“绝密”是最重要的国家秘密，泄漏会使国家的安全和利益遭受特别严重的损害；“机密”是重要的国家秘密，泄漏会使国家的安全和利益遭受严重的损害；“秘密”是一般的国家秘密，泄漏会使国家的安全和利益遭受损害。10.3.2信息资产的分类对于信息安全来说，信息资产的分类往往是按照级别进行。保护级别可通过分析信息资产的保密性、完整性、可用性等安全属性及其他要求进行评估和确定。这些方面应予以考虑，因为过多的分类会致使实施不必要的控制措施，从而导致成本的增加。10.3.2信息资产的分类同时，在对信息资产进行分类时，对于具有类似安全要求的资产可以一起进行考虑，以便简化分类任务。总之，对信息资产进行分类是确定如何对信息资产予以处理和保护的简便方法。10.3.2信息资产的分类2．信息标识与处置在对资产进行科学合理的分类的同时，应当根据资产的分类机制建立并实施一组相应的信息标识和处置程序。如果系统输出中包含了被分类为敏感或关键的信息，那么该输出中就应当携带享用的分类标识，以便及时进行处理。这样的项目包括打印报告、屏幕显示、记录介质（例如磁带、磁盘、CD）、电子消息和文件传送等。10.3.2信息资产的分类分类信息的标识和安全处理是信息共享的一个关键要求。物理标识是常用的标识形式，然而，某些信息资产（诸如电子形式的文件等）不能进行物理标识，此时就需要使用电子标识手段。如打印报告可采用盖章的方式进行标识，记录的媒介可采用实物标签的形式进行标识，屏幕显示则采用电子形式标识。10.3.2信息资产的分类3．资产分类方法表10-1所示是标准信息系统的组成与结合了风险管理和SecSDLC（TheSecuritySystemsDevelopmentLifeCycle，安全系统的开发生命周期）方法的改进系统的组成。一些机构还可以将所列的类进一步细分。例如，因特网组件再细分为服务器、网络设备（路由器、集线器、交换机）、保护设备（防火墙、代理服务器）以及电缆。传统的系统组成SecSDLC及管理系统的组成人员员工信任的员工其他员工非员工信任机构的人员陌生人过程过程IT及商业标准构成IT及商业敏感过程数据信息传输处理存储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组件因特网或DMZ组件表10-1信息系统的组成分类10.3.2信息资产的分类许多机构已建立了数据分类模式。这种分类的例子如机密数据、内部数据和公共数据。非正规的机构必须组织建立一个便于使用的数据分类模型。数据分类模型的另一个方面是人员安全调查结构，根据每个人需要了解信息的多少，来确定授予给他查看的信息等级。10.3.2信息资产的分类分类必须全面、互斥，全面意味着所有的信息资产必须对应各部门的资产清单，互斥意味着一份信息资产应该只对应一个种类。例如，假定机构拥有公钥基础结构认证授权，这是一个提供密钥管理服务的软件应用程序，通过一个完全的技术标准，分析人员可以在表10-1中把认证授权归类为软件，在软件一类中再归类为应用程序或安全组件。10.3.3信息资产评估在对机构的每一项资产归类时，应提出一些问题，来确定用于信息资产评估或者影响评估的权重标准。当提出和回答每个问题时，应该准备一个工作表，记录答案，用于以后的分析。在开始清单处理过程之前，应确定一些评估信息资产价值的最佳标准，要考虑的标准如下：10.3.3信息资产评估（1）哪一项信息资产对于成功是最关键的？当决定每一项资产的相对重要性时，应参考机构的任务陈述或者目标陈述。根据这些陈述，确定何种要素对于实现的目标是必不可少的，哪个要素支持目标，哪个要素仅仅是附