信息安全风险管理（PPT33页)

第三章信息安全风险管理主讲:焦杨学习目标：•定义风险管理、风险识别、风险控制；•理解如何识别和评估风险；•评估风险发生的可能性及其对机构的影响；•通过创建风险评估机制，掌握描述风险的基本方法；•描述控制风险的风险减轻策略；•识别控制的类别；•承认评估风险控制存在的概念框架，并能清楚地阐述成本收益分析；•理解如何维护风险控制3.1引言风险管理：识别和控制机构面临风险的过程。1.风险识别：检查和说明机构信息技术的安全态势和机构面临的风险。（风险评估就是说明风险识别的结果）2.风险控制：采取控制手段，减少机构数据和信息系统的风险。风险管理整个过程：找出机构信息系统中的漏洞，采取适当的步骤，确保机构信息系统中所有组成部分的机密性、完整性和有效性。3.2风险管理概述3.2.1知己识别、检查和熟悉机构中当前的信息及系统。3.2.2知彼识别、检查和熟悉机构面临的威胁。3.2.3利益团体的作用1.信息安全信息安全团队组成：最了解把风险带入机构的威胁和攻击的成员2.管理人员确保给信息安全和信息技术团体分配充足资源（经费和人员），以满足机构的安全需要。3.信息技术建立安全的系统，并且安全地操作这些系统信息安全保护的对象是什么？资产资产是各种威胁以及威胁代理的目标。风险管理的目标就是保护资产不受威胁。3.3风险识别•风险识别：规划并组织过程、对系统组件进行分类、列出资产清单并分类、识别出威胁、指出易受攻击的资产。•风险评估:为资产受到的攻击赋值、评估漏洞攻击的可能性、计算资产的相对风险因素、检查可能的控制措施、记录所发现的事件。规划并组织过程对系统组件进行分类列出资产清单并分类识别出威胁指出易受攻击的资产风险识别为资产受到的攻击赋值评估漏洞攻击的可能性计算资产的相对风险因素检查可能的控制措施记录所发现的事件风险评估3.3.1资产识别和评估1.人员、过程及数据资产的识别（1）人员（2）过程（3）数据2.硬件、软件和网络资产的识别3.3.2信息资产分类传统的系统组成SecSDLC及管理系统的组成人员员工信任的员工其他员工非员工信任机构的人员陌生人过程过程IT及商业标准过程IT及商业敏感过程数据信息传输处理存储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组建因特网或DMZ组件3.3.3信息资产评估评估资产的价值。评估价值标准：1.哪一项信息资产对于成功是最关键的？2.那一项信息资产创造的收效最多？3.哪一项资产的获利最多？4.哪一项信息资产在替换时最昂贵？5.哪一项信息资产的保护费用最高？6.哪一项信息资产是最麻烦的，或者泄漏后麻烦最大？3.3.4安全调查数据分类技术——个人安全调查机构给每一个数据用户分配一个单一的授权等级3.3.5分类数据管理1.数据的存储2.数据的分布移植3.数据的销毁清洁桌面政策：要求员工在下半时将所有的信息放到适当的存储器中。3.3.6威胁识别和威胁评估威胁实例1.人为过时或失败行为意外事故、员工过失2.侵害知识产权盗版、版权侵害3.间谍或人侵蓄意行为未授权访问和收集数据4.蓄意信息敲诈行为以泄露信息为要挟进行勒索5.蓄意破坏行为破坏系统或信息6.蓄意窃取行为非法使用硬件设备或信息7.蓄意软件攻击病毒、蠕虫、宏、拒绝服务8.自然灾害火灾、水灾、地震、闪电9.服务提供商的服务质量差电源及WAN服务问题10.技术硬件故障或错误设备故障11.技术软件故障或错误漏洞、代码问题、未知问题12.技术淘汰陈旧或过时的技术威胁评估过程：一、针对每种威胁提出同样问题:（1）在给定的环境下，哪一种威胁对机构的资产而言是危险的？（2）哪一种威胁对机构的信息而言是最危险的？（3）从成功的攻击中恢复需要多少费用？（4）防范哪一种威胁的花费最大？二、通过提问的答案，建立威胁评估构架3.3.7漏洞识别•漏洞：威胁代理能够用来攻击信息资产的特定途径。•在按照威胁评估标准，检查每项威胁，建立漏洞表。3.4风险评估3.4.1风险评估概述风险=出现漏洞的可能性×信息资产的价值-当前控制减轻的风险几率+对漏洞了解的不确定性漏洞的可能性是什么？漏洞成功攻击机构内部的概率。（0.1～1.0）3.4.2信息安全风险评估原则1．自主机构内部人员管理的信息安全风险评估2.适应量度一个灵活的评估过程可以适应不断变化的技术和进展；既不会受限当前威胁源的严格模型，也不会受限于当前公认的“最佳”实践。3.已定义过程描述了信息安全评估程序依赖于已定义的标准化评估规程的需要。4.连续过程的基础机构必须实施基于实践安全策略和计划，以逐渐改进自身的安全状态。3.4.3风险评估的过程1.信息资产评估使用信息资产的识别过程中的到的信息，就可以为机构中每项信息资产的价值指定权重分数（1～100）。（举例：一些资产会导致整个公司停止运作，说明资产比重较高）2.风险的确定利用风险公式：3.识别可能的控制（访问控制）•访问控制：控制用户进入机构信息区域•访问控制方法：强制、非任意、任意。4.记录风险评估的结果过程：信息资产列表（分类）→带有漏洞的信息资产列表→权重标准分析表→漏洞风险等级表成果用途信息资产分类表集合信息资产以及它们对机构的影响或价值权重标准分析表为每项信息资产分配等级值或影响权重漏洞风险等级表为每对无法控制的资产漏洞分配风险等级3.5风险控制策略3.5.1避免（试图防止漏洞被利用的风险控制策略）（1）通过应用策略来避免（2）教育培训（3）应用技术3.5.2转移（将风险转移到其他资产、其他过程或其他机构的控制方法）如何提供服务、修改部署模式、外包给其他机构、购买保险、与提供商签署服务合同。3.5.3缓解（试图通过规划和预先的准备工作，减少漏洞造成的影响）缓解策略（如下表）计划描述实例何时使用时间范围事件响应计划（IRP）在事件（攻击）进行过程中机构采取的行动•灾难发生期间采取的措施•情报收集•信息分析当事件或者灾难发生时立即并实时作出响应灾难恢复计划（DRP）发生灾难的恢复准备工作：灾难发生之前及过程中减少损失的策略；逐步恢复常态的具体指导•丢失数据的恢复过程•丢失服务的重建过程•结束过程来保护数据系统和数据在事件刚刚被确定为在难后短期恢复业务持续性计划（BCP）当灾难的等级超出DRP的恢复能力时，确保全部业务继续动作的步骤•启动下级数据中心的准备步骤•在远程服务位置建立热站点在确定灾难影响了机构的持续运转之后长期恢复3.5.4接受（选择对漏洞不采取任何保护措施，接受漏洞带来的结果）1.确定了风险等级2.评估了攻击的可能性3.估计了供给带来的潜在破坏4.进行了全面的成本效益分析5.评估了使用每种控制的可行性6.认定了某些功能、服务、信息或者资产不值得保护结论：保护的资产的成本抵不上安全措施的开销。3.6选择风险控制策略面对漏洞，如何去选择风险控制策略？可能的威胁按设计实现的系统系统是否易受攻击系统是否可利用按设计实现的系统存在威胁和漏洞具有风险具有风险存在风险攻击者获取的利益是否大于攻击开销具有风险具有风险预期的损失是否大于机构的可接受的级别无法接受此风险风险处理决策：存在漏洞：实现安全控制，来减少漏洞被利用的可能性（1）漏洞可以利用（2）攻击着的开销少于收益（3）可能的损失非常大●实现了控制策略，就应对控制效果进行监控和衡量，来确定安全控制的有效性，估计残留风险的准确性。连续循环过程确保控制风险标示信息资产准备分等级的漏洞风险表开发控制策略和计划标示信息资产标示信息资产准备分等级的漏洞风险表准备分等级的漏洞风险表控制是否得当是否可以接受此风险3.7风险管理的讨论要点风险可接受程序的定义：当机构评估绝对安全与无限制访问之间的平衡时愿意接受的风险的级别和种类。残留风险：未能完全排除、缓解、规划的一些风险。（1）降低了通过安全措施减少威胁效果的一种威胁（2）降低了通过安全措施减少漏洞效果的一种漏洞（3）降低了通过安全措施保护资产价值的效果的一种资产3.8验证结果提交结果方式：执行控制风险的系统方法、风险评估项目和特定主题的风险评估。