信息安全风险评估与风险管理

信息安全风险评估与风险管理-2-Allrightsreserved©2006一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录-3-Allrightsreserved©2006信息安全的定义机密性（integrity）：•确保该信息仅对已授权访问的人们才可访问•只有拥有者许可，才可被其他人访问完整性（confidentiality）：•保护信息及处理方法的准确性和完备性；•不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：•当要求时，即可使用信息和相关资产。•不因系统故障或误操作使资源丢失。•响应时间要求、故障下的持续运行。其他：可控性、可审查性-4-Allrightsreserved©2006KeywordsI信息安全：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。-5-Allrightsreserved©2006KeywordII威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。-6-Allrightsreserved©2006风险评估的目的和意义认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据-7-Allrightsreserved©2006信息系统风险模型所有者攻击者对策漏洞风险威胁资产-8-Allrightsreserved©2006风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响-9-Allrightsreserved©2006一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录-10-Allrightsreserved©2006国外相关信息安全风险评估标准简介（1）ISO27001：信息安全管理体系规范、ISO17799信息安全管理实践指南•基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施；•提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework•卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全风险评估方法•3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略。•OCTAVE实施指南（OCTAVESMCatalogofPractices,Version2.0），该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。-11-Allrightsreserved©2006AS/NZS4360：1999风险管理•澳大利亚和新西兰联合开发的风险管理标准•将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。•分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。ISO/IECTR13335信息技术安全管理指南•提出了风险评估的方法、步骤和主要内容。•主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。NISTSP800-30：信息技术系统风险管理指南•提出了风险评估的方法论和一般原则，•风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。国外相关信息安全风险评估标准简介（2）-12-Allrightsreserved©2006我国信息安全风险评估标准发展历程2001年，随着GB/T18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。2004年，提出了《信息安全风险评估指南》标准草案，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对《信息安全风险评估指南》进行了修改。2005～2006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术信息安全风险评估规范。-13-Allrightsreserved©2006《信息安全风险评估规范》标准操作的主要内容引言定义与术语风险评估概述风险评估流程及模型风险评估实施•资产识别•脆弱性识别•威胁识别•已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录-14-Allrightsreserved©2006标准内容：引言提出了风险评估的作用、定位及目的。作用：•过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面临的风险。定位•建立信息安全保障机制中的一种科学方法。目的•信息系统所有者：使用本标准为其选择安全措施，实施信息系统保护提供技术支持，依据本标准中提出的安全风险理念选择技术与管理控制措施；•风险评估的实施者：依据本标准进行风险评估，依据本标准的判定准则，做出科学的判断。•信息系统管理机构：依据本标准对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。-15-Allrightsreserved©2006范围•本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。规范性引用文件•说明标准中引用到其他的标准文件或条款。术语和定义•对标准中涉及的一些术语进行定义。-16-Allrightsreserved©2006风险评估框架及流程风险评估中各要素的关系脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足-17-Allrightsreserved©2006风险分析原理威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件的损失风险值威胁识别脆弱性识别资产识别-18-Allrightsreserved©2006（1）对资产进行识别，并对资产的价值进行赋值；（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；（6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。-19-Allrightsreserved©2006风险评估实施(1)风险评估的准备•（1）确定风险评估的目标；•（2）确定风险评估的范围；•（3）组建适当的评估管理与实施团队；•（4）进行系统调研；•（5）确定评估依据和方法；•（6）获得最高管理者对风险评估工作的支持。-20-Allrightsreserved©2006资产识别•资产分类•资产赋值:机密性、完整性、可用性三方面的赋值•资产重要性等级威胁识别•威胁分类•威胁来源分类•威胁赋值脆弱性识别•识别内容：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。•脆弱性赋值：等级赋值，技术脆弱性与管理脆弱性的结合。风险评估实施(2)-21-Allrightsreserved©2006已有安全措施确认•安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。•安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险分析•计算安全事件发生的可能性•计算安全事件发生后的损失•计算风险值•风险等级判定风险评估实施(3)-22-Allrightsreserved©2006风险评估文件记录•风险评估文件记录的要求•风险评估文件的类型、多少•风险评估方案•资产识别清单•重要资产清单•威胁列表•脆弱性列表•风险评估报告•风险处理计划风险评估实施(4)-23-Allrightsreserved©2006信息系统生命周期各阶段的风险评估规划阶段的风险评估设计阶段的风险评估实施阶段的风险评运行维护阶段的风险评估废弃阶段的风险评估•每个阶段的实施内容稍有不同，目的和方法一致。-24-Allrightsreserved©2006风险评估的工作形式自评估•适用于对自身的信息系统进行安全风险的识别、评价•自评估可以委托风险评估服务技术支持方实施，也可以自行实施检查评估：•一般由主管机关发起，通常都是定期的、抽样进行的评估模式•旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内风险评估应以自评估为主，检查评估对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。-25-Allrightsreserved©2006附录风险的计算方法•矩阵法：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。•相乘法：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算。风险评估的工具•风险评估与管理工具•系统基础平台风险评估工具•风险评估辅助工具-26-Allrightsreserved©2006一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录-27-Allrightsreserved©2006现有风险评估方法综述（1）定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的对比。基于系统安全模型体系的分析方法：针对某个典型的（或固定）的系统，建立其安全要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系。-28-Allrightsreserved©2006现有风险评估方法综述（2）定性分析方法•定性分析方法一般适用于：•a）风险识别；•b）造成风险的原因分析；•c）威胁发生所造成的影响分析等。例如：•针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度；-29-Allrightsreserved©2006现有风险评估方法综述（3）定量分析方法•以获取到或采取一定方法量化后得到的被调查对象的定量数据为基本材料，依据一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用于：•a）确立威胁发生概率；•b）预测系统风险发生概率；•c）确立系统总体风险评价等。例如：•对运行在某个平台上的不同主机、应用系统分别进行等价化的赋值，综合分析每个资产的威胁、脆弱性，得到各资产的风险量化值。-30-Allrightsreserved©2006现有风险评估方法综述（4）基于系统安全模型体系的分析方法•在一般风险评