风险评估概述

江苏省信息安全测评中心2009-11-25信息安全风险评估概述江苏省信息安全测评中心2主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心3一、信息安全的概念广义：一个国家的信息化状态和信息技术体系不受威胁和侵害。狭义：信息资产（信息网络、信息系统及其运行软件、数据等）不因偶然或故意的原因被非授权泄露、更改、破坏，或被非法系统辨别、控制。江苏省信息安全测评中心4一、信息安全的概念保密性Confidentiality完整性Integrity可用性Availability信息资产信息资产的安全属性图确保信息仅对已授权的用户才可访问确保信息不被非法改动和销毁确保授权用户能可靠及时地访问信息，不会被异常拒绝可控性真实性不可抵赖性可追溯性江苏省信息安全测评中心5政府网站被篡改统计.gov.cn域名网站占.cn域名的2.3%3472541632142091666.3%8.0%6.5%6.4%8.4%9.8%0.0%2.0%4.0%6.0%8.0%10.0%12.0%0501001502002503003504007月8月9月10月11月12月我国被篡改的网站中政府网站的数量与所占比例2008年7-12月江苏省信息安全测评中心6主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心7二、风险评估概念及现状1.什么是风险评估2.开展风险评估的意义3.风险评估工作的推进过程江苏省信息安全测评中心81.什么是风险评估信息安全风险评估是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。江苏省信息安全测评中心92.开展风险评估的意义是分析确定风险的过程是信息安全建设和管理的科学方法是信息安全建议的起点和基础是在倡导一种适度安全江苏省信息安全测评中心103.风险评估工作的推进过程2003年，在《关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”将开展信息安全风险评估工作作为我国信息安全保障水平的一项重要举措。江苏省信息安全测评中心113.风险评估工作的推进过程为了贯彻落实27号文精神，2004年原国信办组织有关单位和专家编写了《信息安全风险评估指南》。2005年，原国信办在北京、上海、云南、黑龙江和银行、电力、税务行业组织了信息安全风险评估试点。江苏省信息安全测评中心123.风险评估工作的推进过程2006年，国家部委、各省信息办、8+2系统依据中办发[2006]5号文、9号文，要求在政府或重要行业系统中开展信息安全风险评估工作。江苏省信息安全测评中心133.风险评估工作的推进过程2006年筹建了省信息安全测评中心2007年开展了我省的风险评估试点工作2008年扩大试点工作范围，将其扩展到13个省辖市2009年将在全省范围内全面实施风险评估工作2010年基本覆盖全省基础信息网络和重要信息系统《江苏省信息安全风险评估管理办法（试行）》2008年11月发布第三方的法定质量检验机构中国合格评定国家认可委员会(CNAS)认可的检测实验室从事信息系统的安全风险评估、外部安全测试等工作。。。江苏省电子信息产品质量监督检验研究院江苏省信息安全测评中心江苏省信息安全测评中心15主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心16三、风险评估的工作形式自评估信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估由被评估组织的上级主管机关或业务主管机关发起的，对信息系统及其管理进行的具有强制性的检查活动。江苏省信息安全测评中心171.自评估的特点优点：有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用有利于提高本单位的风险评估能力与信息安全知识江苏省信息安全测评中心181.自评估的特点缺点：不深入、不规范、不到位客观性、置信度较差不易被管理层所接受江苏省信息安全测评中心192.自评估的改进办法发挥专家的指导作用或委托专业评估组织参与部分工作由国家建立的测评认证机构或具有相应资质的安全企业实施评估活动江苏省信息安全测评中心203.委托第三方参与自评估的特点拥有风险评估的专业人才经验比较丰富对信息技术风险的共性了解得比较深入过程规范、客观性好、置性度高江苏省信息安全测评中心214.检查评估的特点检查评估的模式通常都是定期的、抽样的，旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内。由于检查评估是由被评估方的主管机关实施的，被检查单位自身不能对评估过程进行干预，因此，其评估结果较具权威性。江苏省信息安全测评中心22主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心23四、信息系统生命周期各阶段的风险评估1.规划阶段2.设计阶段3.实施阶段4.运维阶段5.废弃阶段江苏省信息安全测评中心241.规划阶段的风险评估识别系统的业务战略、支撑系统安全需求及安全战略等，资产、脆弱性不需要识别。评估重点：是否建立得到最高管理者认可的安全规划；是否明确优先级；是否根据威胁制定安全方针；是否描述信息系统预期使用的信息；是否描述运行环境、安全配置等。评估结果：整体规划或项目建议书中。江苏省信息安全测评中心252.设计阶段的风险评估应详细评估系统所面临的威胁。评估重点：是否符合建设规划；是否对威胁进行了分析；是否符合规划阶段的安全目标；是否采取措施来应对系统可能的故障；是否对管理脆弱性和技术平台固有的脆弱性进行评估；是否考虑其他系统接入产生的风险；系统性能是否满足要求等。评估结果：需求分析报告或建设实施方案。江苏省信息安全测评中心263.实施阶段的风险评估对风险进行识别，对安全功能进行验证，对实施及验收进行质量控制。评估重点：开发与技术/产品获取过程的评估：法律、政策、适用标准和指导方针；信息系统的功能需要；成本效益风险；评估保证级别。对照实施方案和标准要求的方式，对实际建设结果进行测试、分析。江苏省信息安全测评中心274.运维阶段的风险评估是较为全面的风险评估。评估重点：对真实运行的信息系统、资产、威胁、脆弱性等各方面。应定期执行，当组织的业务流程、系统状况发生重大变更时，也应进行风险评估。增加新的应用或应用发生较大变更；网络结构和连接状况发生较大变更；技术平台大规模的更新；系统扩容或改造；发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件；组织结构发生重大变动对系统产生了影响。江苏省信息安全测评中心285.废弃阶段的风险评估评估重点：确保资产得到适当处置、被合理地丢弃或更换；确保废弃后的系统与其他系统的连接关闭；确保更新过程在一个安全、系统化的状态下完成等。江苏省信息安全测评中心29主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心30五、风险评估标准介绍1.国际信息安全测评标准的发展2.我国信息安全测评标准现状江苏省信息安全测评中心311.国际信息安全测评标准的发展本土化阶段多国化阶段国际化阶段江苏省信息安全测评中心32(1)本土化阶段《可信计算机系统安全评估准则》（TCSEC）（美国国防部于1983年开发）江苏省信息安全测评中心33(2)多国化阶段《信息技术安全评估标准》（ITSEC）（德国、英国、法国、荷兰于1991年推出）《加拿大计算机产品评估准则》（CTCPEC）（加拿大于1993年公布第三版）《联邦准则》（FC）（美国于1993年公布1.0版）江苏省信息安全测评中心34(3)国际化阶段《信息技术安全性评估准则》（CC）（欧美六国七方于1999年发行了2.1版）ISO/IEC15408：1999（ISO于1999年发行）江苏省信息安全测评中心352.我国信息安全测评标准现状GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第一部分：简介和一般模型、GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求GB/T20984-2007信息安全技术信息安全风险评估规范。。。。。。江苏省信息安全测评中心36主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心37六、风险评估的要素业务战略脆弱性资产风险威胁资产价值安全需求残余风险安全事件安全措施依赖导出演变利用暴露增加被满足成本具有增加未被满足抵御未控制可能诱发对组织具有价值的信息或资源,是安全策略保护的对象。可能导致对系统或组织危害的不希望事故潜在起因。可能被威胁所利用的资产或若干资产的薄弱环节。人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践规程和机制。江苏省信息安全测评中心38主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心39七、风险评估的原理威胁识别脆弱性识别资产识别威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件造成的损失风险值江苏省信息安全测评中心40主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心41八、风险评估的流程风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档..................否否是是风险分析风险评估文档记录江苏省信息安全测评中心42信息系统责任单位拟定自评估计划组织本单位评估力量，明确评估事项出具风险评估报告实施风险评估报信息化主管部门备案实施安全整改选定符合条件的风险评估服务机构，明确评估事项，签订评估协议是否依托自身技术力量否是我省信息安全风险评估（自评估）工作流程图江苏省信息安全测评中心43我省信息安全风险评估（检查评估）工作流程图出具风险评估报告实施风险评估报信息化主管部门备案被评估单位提出整改方案确定检查评估服务机构，组织签订评估协议报信息化主管部门审定告知被评估单位审定结果和整改意见告知被评估单位实施安全整改信息化主管部