信息安全风险评估培训

信息安全风险评估什么是风险评估？——从深夜一个回家的女孩开始讲起……风险评估的基本概念各安全组件之间的关系资产影响威胁弱点风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密通俗的比喻风险评估6风险风险管理（RiskManagement）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域，风险（Risk）就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。风险管理风险评估（RiskAssessment）就是对各方面风险进行辨识和分析的过程，它包括风险分析和风险评价，是确认安全风险及其大小的过程。概述相关概念资产（Asset）——任何对企业具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或企业造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threatsource）或威胁代理（Threatagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Frequency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给企业带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidualRisk）——在实施安全措施之后仍然存在的风险。风险RISKRISKRISKRISK风险原有风险采取措施后的剩余风险影响威胁脆弱性影响威胁脆弱性风险管理的目标资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障：防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等资产分类方法分类示例服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层资产价值的评估信息安全属性•保密性CONFIDENTIALATY–确保信息只能由那些被授权使用的人获取•完整性INTEGRITY–保护信息及其处理方法的准确性和完整性•可用性AVAILABILITY–确保被授权使用人在需要时可以获取信息和使用相关的资产资产等级计算公式•AV=F(AC,AI,AA)–例1：AV=MAX(AC,AI,AA)–例2：AV=AC+AI+AA–例3：AV=AC×AI×AA威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。威胁分类表脆弱性识别内容表威胁与脆弱性之间的关系风险分析原理定性风险分析风险计算方法风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。一般风险计算方法：矩阵法和相乘法矩阵法风险评价示例01000200030004000500060007000边界人员，攻击混合病毒好奇员工，攻击内部外部人员误操作普通员工，滥用网络病毒内部外部人员恶意基础服务失效交换机硬件失效灾难服务器硬件失效雷击漏水服务器软件失效电源失效交换机软件失效温度、湿度、灰尘、静电等邮件病毒链路失效介质病毒完整性风险机密性风险可用性风险31确定风险处置策略降低风险（ReduceRisk）——采取适当的控制措施来降低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，或是改善不规范的工作流程、制定业务连续性计划，等等。避免风险（AvoidRisk）——通过消除可能导致风险发生的条件来避免风险的发生，如将公司内外网隔离以避免来自互联网的攻击，或是将机房安置在不可能造成水患的位置，等等。转移风险（TransferRisk）——将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以有意识地选择接受。32评价残留风险绝对安全（即零风险）是不可能的。实施安全控制后会有残留风险或残存风险（ResidualRisk）。为了确保信息安全，应该确保残留风险在可接受的范围内：•残留风险Rr＝原有的风险R0－控制ΔR•残留风险Rr≤可接受的风险Rt对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。等保测评与风险评估的区别•目的不同•等级测评：以是否符合等级保护基本要求为目的–照方抓药•风险评估：以PDCA循环持续推进风险管理为目的–对症下药等保测评与风险评估的区别•参照标准不同•等级测评：•GB17859-1999《计算机信息系统安全保护等级划分准则》GA/T387-2002《计算机信息系统安全等级保护网络技术要求》GA388-2002《计算机信息系统安全等级保护操作系统技术要求》GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》GA/T390-2002《计算机信息系统安全等级保护通用技术要求》GA391-2002《计算机信息系统安全等级保护管理要求》…•风险评估：BS7799ISO17799ISO27001ISO27002GBT20984-2007《信息安全技术信息安全风险评估规范》…等保测评与风险评估的区别可以简单的理解为等保是标准或体系，风险评估是一种针对性的手段。为什么需要进行风险评估？——该买辣椒水呢还是请保镖？什么样的信息系统才是安全的?如何确保信息系统的安全?两个基本问题什么样的信息系统才是安全的?如何确保信息系统的安全?风险分析风险管理基本问题的答案潜在损失在可以承受范围之内的系统风险分析安全决策风险管理两个答案的相关性安全保障体系建设安全成本效率安全-效率曲线安全-成本曲线要研究建设信息安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全不同的信息系统，对于安全的要求不同，不是“越安全越好”信息系统矛盾三角三类操作系统举例怎么做风险评估？—评估到底买辣椒水还是请保镖更合适可能的攻击信息的价值可能的损失风险评估简要版资产弱点影响弱点威胁可能性+=当前的风险级别风险分析方法示意图损失的量化必须围绕用户的核心价值，用户的核心业务流程！如何量化损失否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档…………………风险评估流程等级保护下风险评估实施框架保护对象划分和定级网络系统划分和定级资产脆弱性威胁风险分析基本安全要求基本安全要求等级保护管理办法、指南信息安全政策、标准、法律法规安全需求安全需求风险列表风险列表安全规划安全规划风险评估结合等保测评的风险评估流程6060风险评估项目实施过程计划准备实施报告跟踪6161评估工作各角色的责任评估组长评估员XX公司安全专责负责管理问卷访谈和运维问卷访谈；组织评估活动，控制协调进度，保证按计划完成评估任务；组织召开评估会议；代表评估小组与受评估方管理层接触；组织撰写风险评估报告、现状报告和安全改进建议提交评估报告。负责风险评估技术部分的内容包括：网络、主机系统、应用和数据库评估熟悉必要的文件和程序；准备风险评估技术评估工具；撰写每单位的评估报告；配合支持评估组长的工作，有效完成评估任务；收存和保护与评估有关的文件。负责配合顾问提供风险评估相关的工作环境、评估实现条件；备份系统数据;配合评估顾问完成资产分类、赋值、弱点威胁发现和赋值、风险处理意见等工作；掌握风险评估方法；收存和保护与评估有关的文件。完成扫描后,检查风险评估后系统的安全性和稳定性6262风险评估项目实施过程计划准备实施报告跟踪6363制定评估计划评估计划分年度计划和具体的实施计划，前者通常是评估策划阶段就需要完成的，是整个评估活动的总纲，而具体的评估实施计划则是遵照年度评估计划而对每次的评估活动所作的实施安排。评估计划通常应该包含以下内容：目的：申明组织实施内部评估的目标。时间安排：评估时间避免与重要业务活动发生冲突。评估类型：集中方式（本次项目采用集中评估方式）其他考虑因素：范围、评估组织、评估要求、特殊情况等。评估实施计划是对特定评估活动的具体安排，内容通常包括：目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间评估计划应以文件形式颁发，评估实施计划应该有评估组长签名并得到主管领导的批准。6464风险评估计划示例评估目的评价信息安全管理体系运行的符合性和有效性评估范围××××××××××××××××××评估准则《XX公司信息安全管理办法》《ISO27001信息安全管理体系》。评估小组评估组长×××评估组员×××××××××××××××评估活动时间负责人备注填写信息资产采集表X月上旬×××实施风险评估过程X月中旬×××不符合项及高危风险纠正X月末各相关部门负责人跟踪验证X月上旬评估小组召开风险评估整改会议X月下旬信息部领导编制编写者×××时间×××年×月×日评估评估者×××（信息按照专责签字）时间×××年×月×日批准批准者×××（信息部门领导签字）时间×××年×月×日6565风险评估实施计划示例评估目的对ISMS进行内部评估，为体系纠正提供依据，为管理评审提供输入评估范围××××××××××××××评估准则《XX公司信息安全管理办法》《ISO27001信息安全管理体系》。评估方式集中式评估评估时间X年X月X－X月X日评估组织评估组长×××评估组员第一小组×××××××××第二小组×××××××××评估安排日期时间评估区域评估内容第一小组第二小组第一小组第二小组X9:00-9: