《信息安全管理第二章信息安全风险评估—图文概要》由会员分享,可在线阅读,更多相关《信息安全管理第二章信息安全风险评估—图文概要(139页珍藏版)》请在金锄头文库上搜索。
1、,第二章 信息安全风险评估,风险评估,信息安全风险评估概述,信息安全风险评估策略,信息安全风险评估流程,信息安全风险评估方法,风险评估案例,风险评估概述,信息安全风险评估概述,风险评估概述,A风险因子,B风险因子,隐患:内部失控,事故,外部作用,产生了人们不期望的后果,超出设定安全界限的状态、行为,风险评估概述,系统,减少:人的不安全行为,改变:环境不安全条件,减少:物的不安全状态,消除:管理缺陷,预防减少事故 降低事故损失,安全风险管理目标,风险评估概述,信息安全风险评估,风险(Risk) :特定威胁利用某一资产或一组资产的脆弱性,从而对资产产生损害的可能性。,风险评估概述,信息安全风险评估
2、,风险评估概述,信息安全风险评估,风险评估(Risk Assessment):是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,风险评估概述,信息安全风险评估,信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据(国信办20065号文件)。,风险评估概述,信息安全风险评估,信息安全风险评估是指依据有关信息安全技术与管
3、理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 狭义的风险评估包括:评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。,风险评估概述,信息安全风险评估,信息安全风险评估的基本思路是在信息安全事件发生之前,通过有效的手段对组织面临的信息安全风险进行识别、分析,并在此基础上选取相应的安全措施,将组织面临的信息安全风险
4、控制在可接受范围内,以此达到保护信息系统安全的目的。,风险评估概述,信息安全风险评估相关要素 信息安全风险评估的对象是信息系统,信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点(脆弱点)、系统中已有的安全措施等是影响信息安全风险的基本要素,它们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。,资产 威胁 脆弱点 风险 影响 安全措施 安全需求,风险评估概述,1.资产 根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据 、软件、提供产品和服务的能力、人员、无形资产。 我国的信息安全风险评估指南则认为,资产是指对
5、组织具有价值的信息资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。,风险评估要素,风险评估概述,风险评估概述,风险评估要素,2.威胁 威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。 根据威胁源的不同,威胁可分为:自然威胁、环境威胁、系统威胁、人员威胁。,风险评估概述,风险评估概述,风险评估要素,3.脆弱点,
6、脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没有访问控制机制、系统机房任何人都可进入等等。 脆弱点是资产本身存在的,如果没有相应的威胁出现,单纯的脆弱点本身不会对资产造成损害。另一方面如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即:威胁总是要利用资产的弱点才可能造成危害。 资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱点。,风险评估概述,脆弱点主要表现在从技术和管理两个方面 技术脆弱点
7、是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。 管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如: 安装杀毒软件或病毒库未及时升级 操作系统或其他应用软件存在拒绝服务攻击漏洞 数据完整性保护不够完善 数据库访问控制机制不严格都属于技术脆弱点 系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等,风险评估概述,风险评估要素,4. 风险,根据ISO/IEC 13335-1,信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现。 资产、威胁、脆弱点是信息安全风险的
8、基本要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,安全事件也不会发生;系统没有脆弱点,威胁就没有可利用的环节,安全事件也不会发生。,风险评估概述,风险评估要素,4. 风险,风险可以形式化的表示为:R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。 R:Risk A: Asset T: Threat V: Vulnerability,风险评估概述,风险评估要素,5. 影响,影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为: 直接形式,如物理介质或设备的破坏、人员的损伤、
9、直接的资金损失等; 间接的损失如公司信用、形象受损、市场分额损失、法律责任等。 在信息安全领域,直接的损失往往容易估计且损失较小,间接的损失难易估计且常常比直接损失更为严重。如某公司信息系统中一路由器因雷击而破坏,其直接的损失表现为路由器本身的价值、修复所需的人力物力等;而间接损失则较为复杂,由于路由器不能正常工作,信息系统不能提供正常的服务,导致公司业务量的损失、企业形象的损失等,若该路由器为金融、电力、军事等重要部门提供服务,其间接损失更为巨大。,风险评估概述,风险评估要素,6.安全措施,安全措施是指为保护资产、抵御威胁、减少脆弱点、限制不期望发生事件的影响、加速不期望发生事件的检测及响应
10、而采取的各种实践、规程和机制的总称。 有效的安全通常要求不同安全措施的结合以为资产提供多级的安全。例如,应用于计算机的访问控制机制应被审计控制、人员管理、培训和物理安全所支持。,风险评估概述,风险评估要素,6.安全措施,安全措施可能实现一个或多个下列功能:保护、震慑、检测、限制、纠正、恢复、监视、安全意识等。 同功能的安全措施需要不同的成本,同时能够实现多个功能的安全措施通常具有更高的成本有效性。 安全措施的实施领域包括:物理环境、技术领域、人员、管理等,可用的安全措施包括:访问控制机制、防病毒软件、加密机制、数字签名、防火墙、监视与分析工具、冗余电力供应、信息备份等。,风险评估概述,风险评估
11、要素,7.安全需求,安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。 安全需求可体现在技术、组织管理等多个方面。如关键数据或系统的的机密性、可用性、完整性需求、法律法规的符合性需求、人员安全意识培训需求、信息系统运行实时监控的需求等。,风险评估概述,风险评估概述,风险评估概述,风险评估要素相互关系,资产、威胁、脆弱点是信息安全风险的基本要素,与信息安全风险有关的要素还包括:安全措施、安全需求、影响等。ISO/IEC 13335-1对它们之间的关系描述如图所示,风险评估概述,风险评估要素相互关系,(1)威胁利用脆弱点将导致安全风险的产生; (2)资产具有价值,并对组织业务有一
12、定影响,资产价值及影响越大则其面临的风险越大; (3)安全措施能抵御威胁、减少脆弱点,因而能减少安全风险; (4)风险的存在及对风险的认识导出保护需求,保护需求通过安全措施来满足或实现。,风险评估概述,我国的信息安全风险评估指南对ISO/IEC 13335-1提出风险要素关系模型进行了扩展。,增加,风险评估概述,图中方框部分的内容为风险评估的基本要素;,风险评估概述,椭圆部分的内容是与基本要素相关的属性。,风险评估概述,风险要素及属性之间存在着以下关系: (1)业务战略依赖资产去实现; (2)资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大; (3)资产价值越大则其面临的风险越
13、大; (4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件; (5)弱点越多,威胁利用脆弱点导致安全事件的可能性越大; (6)脆弱点是未被满足的安全需求,威胁要通过利用脆弱点来危害资产,从而形成风险; (7)风险的存在及对风险的认识导出安全需求;,风险评估概述,(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; (9)安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响; (10)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本
14、与效益后未控制的风险,是可以被接受的; (11)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。,风险评估概述,为什么要做风险评估,安全源于风险。 在信息化建设中,建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。,风险评估概述,为什么要做风险评估,风险评估概述,风险评估可以不断深入地发现系统建设中的安全隐患,采取或完善更加经济有效的安全保障措施,来消除安全建设中的盲目乐观或盲目恐惧,提出有针
15、对性的从实际出发的解决方法,提高系统安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。,风险评估策略,信息安全风险评估策略,风险评估策略,不同的组织有不同的安全需求和安全战略,风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。 影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。,风险评估策略,基线风险评估 详细风险评估 综合风险评估,风险评估策略,1. 基线风险评估 基线风险评估要求组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行基线安全检查(将现有的安全措施与安全
16、基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。,风险评估策略,1. 基线风险评估 可以根据以下资源来选择安全基线: (1) 国际标准和国家标准; (2)行业标准或推荐; (3)来自其他有类似商务目标和规模的组织的惯例。,风险评估策略,基线评估的优点是: (1)风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力; (2)如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。 基线评估的的缺点是: (1)基线水平难以设置,如果基线水平设置的过高,有些IT系统可能会有过高的安全等级;如果基线水平设置的过低,有些IT系统可能会缺少安全,导致更高层次的暴露; (2)风险评估不全面、不透彻,且不易处理变更。,风险评估策略,综合评价 虽然当安全基线已建立的情况下,基线评估成本低、易于实施。但由于不同组织信息系统千差万别,信息系统的威胁时刻都在变化,很难制定全面的、具有广泛适用性的安全基
