搜索
1ComputerSecurityRiskAssessment2012.8信息安全风险评估董开坤2ComputerSecurityRiskAssessment2012.8课程内容1.信息安全风险评估概述2.信息安全风险管理与风险评估标准3.信息安全风险评估的基本过程4.信息安全风险评估技术5.信息安全风险分析理论和方法6.信息安全风险评估工具7.信息安全风险评估实例3ComputerSecurityRiskAssessment2012.8第二章信息安全风险管理与风险评估标准国外的信息安全等级保护标准我国的信息安全等级保护标准国外的信息安全管理标准我国的信息安全管理标准国外的信息安全风险评估标准我国的信息安全风险评估标准4ComputerSecurityRiskAssessment2012.8国外的信息安全等级保护标准美国政府早在1998年便提出要制定综合性的国家信息安全保障计划,经过了2000年1月颁布的《信息系统保护国家计划》的初步实践之后,2002年9月发布《保护网络空间的国家战略》(草案),将信息安全保障的工作划分为5个级别。5ComputerSecurityRiskAssessment2012.8美国的信息系统安全保护等级划分第1级:家庭用户与小型商业;第2级:大型企业;第3级:关键部门;第4级:国家的优先任务;第5级:全球6ComputerSecurityRiskAssessment2012.8第二章信息安全风险管理与风险评估标准国外的信息安全等级保护标准我国的信息安全等级保护标准国外的信息安全管理标准我国的信息安全管理标准国外的信息安全风险评估标准我国的信息安全风险评估标准7ComputerSecurityRiskAssessment2012.8我国的信息安全等级保护标准公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准gb17859-1999《计算机信息系统安全保护等级划分准则》,于2001年1月1日开始执行。等级保护是国家信息安全保障的基本制度。体现了信息安全是国家安全的重要组成部分。具有强制实施的性质。8ComputerSecurityRiskAssessment2012.8《计算机信息系统安全保护等级划分准则》准则将信息系统安全分为5个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。主要的安全考核指标有:身份认证、自主访问控制、数据完整性、审计等,这些指标涵盖了不同级别的安全要求。第五级:专有保护级第四级:强制保护级第三级:监督保护级第二级:指导保护级第一级:用户自主保护级计算机信息系统安全等级保护的五个层面计算机信息系统安全等级保护的五个层面物理层面物理层面网络层面网络层面系统层面系统层面应用层面应用层面数据层面数据层面构建过程控制构建过程控制测评过程控制测评过程控制运行过程控制运行过程控制计算机信息系统安全等级保护三维空间10ComputerSecurityRiskAssessment2012.8用户自主保护级第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。11ComputerSecurityRiskAssessment2012.8系统审计保护级第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。12ComputerSecurityRiskAssessment2012.8安全标记保护级第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。13ComputerSecurityRiskAssessment2012.8结构化保护级第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。14ComputerSecurityRiskAssessment2012.8访问验证保护级第五级,信息系统受到破坏后,会对国家安全造成特别严重的损害。15ComputerSecurityRiskAssessment2012.8信息安全保护等级的划分决定信息系统的安全保护等级由两个定级要素:等级保护对象受到破坏时所侵害的客体;对客体造成侵害的程度。16ComputerSecurityRiskAssessment2012.8等级保护对象受到破坏时所侵害的客体公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。17ComputerSecurityRiskAssessment2012.8对客体造成侵害的程度造成一般损害;造成严重损害;造成特别严重损害。18ComputerSecurityRiskAssessment2012.8系统安全保护等级的定级范围(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。19ComputerSecurityRiskAssessment2012.8系统安全保护等级的定级范围(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。20ComputerSecurityRiskAssessment2012.8系统安全保护等级的定级范围(3)市(地)级以上党政机关的重要网站和办公信息系统。涉及国家秘密的信息系统。21ComputerSecurityRiskAssessment2012.8实例:人民银行制定的重要信息系统安全等级保护定级(1)全国商业性银行的核心业务信息系统或综合业务信息系统应当定为四级,其网上银行系统、跨省骨干网络、重要支撑设施、在线服务的重要信息系统、重要管理信息系统等应定为三级;22ComputerSecurityRiskAssessment2012.8实例:人民银行制定的重要信息系统安全等级保护定级(2)政策性银行中的核心业务信息系统或综合业务信息系统、跨省骨干网络、重要管理信息系统等应定为三级;中国银联的银行卡信息交换系统应定为四级,跨省骨干网络应定为三级。其他信息系统可以定为二级。23ComputerSecurityRiskAssessment2012.8第二章信息安全风险管理与风险评估标准国外的信息安全等级保护标准我国的信息安全等级保护标准国外的信息安全管理标准我国的信息安全管理标准国外的信息安全风险评估标准我国的信息安全风险评估标准24ComputerSecurityRiskAssessment2012.8国外的信息安全管理标准信息安全管理标准BS7799ISO/IEC13335《信息技术-信息技术安全管理指南》ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》CC(CommonCriteria,通用准则)ISO/IEC15408信息技术安全性评估准则25ComputerSecurityRiskAssessment2012.8信息安全管理标准BS7799BS7799-1:1999《信息安全管理细则》(CodeofPracticeforInformationSecurityManagement)BS7799-2:2002《信息安全管理体系规范》(SpecificationforInformationSecurityManagement)26ComputerSecurityRiskAssessment2012.8BS7799-1简介ISO/IEC17799该标准的正文规定了10大管理要项,36个执行目标,127个安全控制措施,作为组织实施信息安全管理的实用指南。¾若干个控制要点,主要提供了有效地实施信息系统风险管理的建议。28ComputerSecurityRiskAssessment2012.8BS7799-2:2002标准简介详细说明了建立、实施和维护信息安全管理体系(ISMS)的要求,指出实施组织需要通过风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。提出了应该如何建立ISMS的步骤。30ComputerSecurityRiskAssessment2012.8PDCA模型BS7799-2:2002标准在介绍信息安全管理体系的建立、实施和改进的过程中引用了PDCA(Plan-Do-Check-Action,计划-实施-检查-改进)模型。按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估4个子过程,特别介绍了基于PDCA模型的过程管理方法。组织通过持续地执行这些过程而使自身的信息安全水平得到不断的提高。32ComputerSecurityRiskAssessment2012.8BS7799的不足1.在BS7799的十大核心领域中,没有一个控制项目具有任何程度的权重。这意味着若有两个不同的认证人员,对风险级别可能就会给出不同的度量与分类。2.许多安全管理文档中列出的大量有用的安全管理信息均未包含在ISO/IEC17799之中,作为国际标准,这种不全面导致了它不能被完全接受。33ComputerSecurityRiskAssessment2012.8BS7799的不足(续)3.BS7799在标准的内容上更偏重于信息安全中的管理部分,在技术方面的评估则显得不足,所以它在信息系统中风险评估的技术指导还不全面、不精确。4.BS7799对标准中每个安全要素风险事件发生的危害程度分析不足。5.BS7799没有如何对该标准进行实施的说明。34ComputerSecurityRiskAssessment2012.8BS7799信息安全管理标准开展的现状BS7799-1在转换成ISO/IEC17799的过程中受到了包括美国等很多发达国家的反对,截至到目前全球已有41个国家和地区的878个组织获得了BS7799-2的认证。35ComputerSecurityRiskAssessment2012.8国外的信息安全管理标准信息安全管理标准BS7799ISO/IEC13335《信息技术-信息技术安全管理指南》ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》CC(CommonCriteria,通用准则)ISO/IEC15408信息技术安全性评估准则36ComputerSecurityRiskAssessment2012.8ISO/IEC13335ISO/IEC13335《信息技术信息技术安全管理指南》(InformationTechnologyGuidelinesforthemanagementofITSecurity(GMITS))是一个关于IT安全管理的指南,这个标准的主要目的给出如何有效地实施IT安全管理的建议和指南。它提出了以风险为核心的安全模型,阐述了信息安全评估的思路,对信息安全评估工作具有指导意义。37ComputerSecurityRiskAssessment2012.8ISO/IEC13335标准的内容ISO/IEC13335-1:信息技术安全概念和模型(ConceptsandModelsofITSecurity)。ISO/IEC13335-2:管理和计划信息技术安全(ManagingandPlanningITSecurity)。ISO/IEC13335-3:信息技术管理技术(TechniquesfortheManagementofITSecurity)。ISO/IEC13335-4:防护措施的选择(SelectionofSafeguards)。ISO/IEC13335-5:网络安全管理指南(ManagementGuidanceonNetworkS