信息安全风险评估概述

ComputerSecurityRiskAssessment2015.91计算机风险评估董开坤ComputerSecurityRiskAssessment2015.92联系方式：研究院北楼424电话：5687079E-mail:dkk@hitwh.edu.cnComputerSecurityRiskAssessment2015.93课程简介信息安全风险评估是一项重要的信息安全技术、理论和方法。信息安全风险评估是信息安全风险管理的一个阶段，是信息安全风险管理的核心环节。信息安全风险评估既是信息安全建设的起点和基础，也是评价信息安全建设成效的科学方法。ComputerSecurityRiskAssessment2015.94涉及的安全技术或工具包括防火墙、基于主机操作系统的监控、基于应用服务的监控、路由器日志的分析技术、漏洞扫描、入侵检测以及加密认证等。纵深的网络安全防御体系ComputerSecurityRiskAssessment2015.95信息安全风险评估的概念依据有关的信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。ComputerSecurityRiskAssessment2015.96课程内容1.信息安全风险评估概述2.信息安全风险管理与风险评估标准3.信息安全风险评估的基本过程4.信息安全风险评估技术5.信息安全风险分析理论和方法6.信息安全风险评估工具7.信息安全风险评估实例ComputerSecurityRiskAssessment2015.97参考书张泽虹，赵冬梅.信息安全管理与风险评估.电子工业出版社，北京，2010.4向宏，付鹂，詹榜华.信息安全测评与风险评估（第2版）.电子工业出版社，北京，2014.6范红，冯登国.信息安全风险评估实施教程.清华大学出版社，北京，2007.4ComputerSecurityRiskAssessment2015.98参考书（2）张玉清，戴祖锋，谢崇斌.安全扫描技术.清华大学出版社，北京，2004.7孙强，陈伟，王东红.信息安全管理全球最佳实务与实施指南.清华大学出版社，北京，2004.10WheelerEvan,SwickKenneth.SecurityRiskManagement:BuildinganInformationSecurityRiskManagementProgramfromtheGroundUp.SyngressPublishing.2011.5ComputerSecurityRiskAssessment2015.99第一章信息安全风险评估概述信息安全的内涵信息安全风险评估的目的和意义信息安全风险评估的原则信息安全风险评估的相关概念信息安全风险评估的分类信息安全风险评估的发展状况ComputerSecurityRiskAssessment2015.9互联网的高速发展(2013)中国互联网络信息中心（CNNIC）2015年7月《第36次中国互联网络发展状况统计报告》显示：截至2015年6月，中国网民规模达到6.68亿，半年新增网民1894万。互联网普及率较上年底提升0.9个百分点，达到48.8%。ComputerSecurityRiskAssessment2015.9ComputerSecurityRiskAssessment2015.9互联网的高速发展(2)中国手机网民规模达到5.94亿，占整体网民比例为88.9%，较上年底增长3679万人。ComputerSecurityRiskAssessment2015.9ComputerSecurityRiskAssessment2015.9互联网的高速发展(3)截至2015年6月，中国域名总数为2231万个，半年增长8.3%。中国网站总数为357万个，半年增长为6.6%。截至2015年6月，我国IPv4地址数量为3.36亿，拥有IPv6地址19338块/32，半年增长2.9%。中国互联网国际出口带宽数达4,717,761Mbps，半年增长14.5%。ComputerSecurityRiskAssessment2015.9ComputerSecurityRiskAssessment2015.9ComputerSecurityRiskAssessment2015.9信息安全态势仍然不容乐观国家计算机网络应急技术处理协调中心(CNCERT)2015年5月《2014年中国互联网网络安全报告》显示：2014年，CNCERT/CC接收境内外报告网络安全事件56180起，较2013年增长77.5%。其中，境内报告网络安全事件55302起，较2013年增长80.2%。ComputerSecurityRiskAssessment2015.9ComputerSecurityRiskAssessment2015.9ComputerSecurityRiskAssessment2015.920信息与信息安全信息–具有一定含义（价值）的数据–例如：（110101）二进制53，十进制110,101，乐谱…（women）女士，我们–网络信息多指数字化信息–信息资产ComputerSecurityRiskAssessment2015.921信息与信息安全（2）互联网是人类社会的缩影，信息则体现了经济、政治等多方面的利益。–个人秘密（照片、存折密码、账号口令、工资收入）–商业秘密（竞标底价、药品配方、财务报表）–国家秘密（军事情报、技术情报、政治情报）IS与IT如影随形ComputerSecurityRiskAssessment2015.922信息与信息安全（3）信息系统硬件、软件、数据、用户信息安全–保护信息系统中的硬件、软件、数据不会遭受偶然或恶意的破坏、更改、泄露，系统能够连续可靠正常地运行。–信息系统或安全产品的安全策略、安全功能、管理、开发、维护、检测、恢复、安全测评等。ComputerSecurityRiskAssessment2015.923信息与信息安全（4）信息安全–木桶原理，攻防不对称。–相对性，信息安全贯穿于信息系统生命周期的始终：设计、实现、测试、维护、使用、管理。–三分技术、七分管理。ComputerSecurityRiskAssessment2015.924信息的安全属性以云计算为例。机密性完整性可用性可控性抗抵赖性ComputerSecurityRiskAssessment2015.925机密性机密性指对抗对手的被动攻击，保证信息不泄漏给未经授权的人。信息的机密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息。根据信息的重要程度和保密要求可以将信息分为不同密级。ComputerSecurityRiskAssessment2015.926完整性完整性指对抗对手的主动攻击，防止信息被未经授权的篡改。信息的完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等；另一方面是指信息处理方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。ComputerSecurityRiskAssessment2015.927可用性可用性指保证信息及信息系统确实为授权使用者所用。信息的可用性确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许授权用户或实体可靠而及时地访问信息及资源。ComputerSecurityRiskAssessment2015.928可控性信息的可控性是指能够控制使用信息资源的人或实体的使用方式。同时，确保信息的所有者可以对信息及信息系统实施安全监控。ComputerSecurityRiskAssessment2015.929抗抵赖性信息的抗抵赖性也称不可否认性、不可抵赖性，是防止实体否认其已经发生的行为。例如，防止通信双方否认发生过的通信。信息的不可否认性分为原发不可否认和接受不可否认。原发不可否认用于防止发送者否认自己已发送的数据和数据内容，接受不可否认防止接受者否认已接受的数据和数据内容。实现抗抵赖性的技术手段一般有数字证书和数字签名。ComputerSecurityRiskAssessment2015.930安全要素涵盖属性机密性(Confidentiality)实用性真实性(Authenticity)完整性、合法性、唯一性、不可否认性可控性(Controllability)占有性、可追溯性可用性(Availability)生存性、稳定性、可靠性信息安全4要素模型（CACA，方滨兴）ComputerSecurityRiskAssessment2015.931信息安全的目标信息安全的主要目标是信息安全属性的保持，即通过采用计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施，保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，保持其机密性、完整性、可用性等安全属性。ComputerSecurityRiskAssessment2015.932信息安全的保护对象信息安全的概念涵盖了信息、信息载体和信息环境3个方面的安全。信息指信息本身；信息载体指信息的承载体，包括物理平台、系统平台、通信平台、网络平台和应用平台；信息环境指信息及信息载体所处的环境，包括硬环境和软环境。信息、信息载体、信息环境是信息安全的3大类保护对象。表1-1信息安全保护对象的分类和示例ComputerSecurityRiskAssessment2015.934信息安全的内涵对于建立在网络基础之上的现代信息系统，信息安全的定义是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者是恶意的侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是削减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。ComputerSecurityRiskAssessment2015.935信息安全的内涵ComputerSecurityRiskAssessment2015.936信息安全技术体系物理安全运行安全数据安全内容安全ComputerSecurityRiskAssessment2015.937物理安全围绕网络与信息系统的物理装备及其有关信息的安全。主要涉及信息及信息系统的电磁辐射、抗恶劣工作环境等方面的问题。面对的威胁主要有自然灾害、电磁泄露、通信干扰等；主要的保护方式有数据和系统备份、电磁屏蔽、抗干扰、容错等。ComputerSecurityRiskAssessment2015.938运行安全围绕网络与信息系统的运行过程和运行状态的安全；主要涉及信息系统的正常运行与有效访问控制等方面的问题；面对的威胁包括网络攻击、网络病毒、网络阻塞、系统安全漏洞利用等。主要的保护方式有访问控制、病毒防治、应急响应、风险分析、漏洞扫描、入侵检测、系统加固、安全审计等。ComputerSecurityRiskAssessment2015.939网络运行安全支撑技术层检测与扫描技术响应技术分析工具数据缩减数据关联性数据挖掘诱骗技术主动防御措施恢复工具监视技术扫描技术入侵取证技术攻击行为稽查工具功能层访问控制事件检测事件特征抽取事件响应攻击行为判定攻击行为特征抽取灾难恢复攻击反应安全策略拓扑结构发现系统评估隔离、网关防火墙ComputerSecurityRiskAssessment2015.940数据安全围绕着数据（信息）的生成、处理、传输、存储等环节中的安全。主要涉及数据（信息）的泄密、破坏、伪造、否认等方面的问题。面对的威胁主要包括对数据（信息）的窃取、篡改、冒充、抵赖、破译、越权访问等。主要的保护方式有