《信息安全风险评估培训讲义》由会员分享,可在线阅读,更多相关《信息安全风险评估培训讲义(85页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估,傅欲华,什么是风险评估?,从深夜一个回家的女孩开始讲起,风险评估的基本概念,各安全组件之间的关系,资产,影响,威胁,弱点,风险,钱被偷,100块,没饭吃,小偷,打瞌睡,服务器,黑客,软件漏洞,被入侵,数据失密,通俗的比喻,风险评估,6,风险,风险管理(Risk Management)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域,风险(Risk)就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。,风险管理,风险评估(Risk Assessment)就是对各方面风险进行辨识和分析的过程,它包括风险分析和风险评价,是确
2、认安全风险及其大小的过程。,概 述,相关概念,资产(Asset) 任何对企业具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。 威胁(Threat) 可能对资产或企业造成损害的某种安全事件发生的潜在原因,通常需要识别出威胁源(Threat source)或威胁代理(Threat agent)。 弱点(Vulnerability) 也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。 风险(Risk) 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性(Likel
3、ihood) 对威胁发生几率(Probability)或频率(Frequency)的定性描述。 影响(Impact) 后果(Consequence),意外事件发生给企业带来的直接或间接的损失或伤害。 安全措施(Safeguard) 控制措施(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险(Residual Risk) 在实施安全措施之后仍然存在的风险。,RISK,RISK,RISK,风险,原有风险,采取措施后的剩余风险,风险管理的目标,资产分类方法,资产分类方法,资产识别模型,资产价值的评估,
4、信息安全属性,保密性CONFIDENTIALATY 确保信息只能由那些被授权使用的人获取 完整性INTEGRITY 保护信息及其处理方法的准确性和完整性 可用性AVAILABILITY 确保被授权使用人在需要时可以获取信息和使用相关的资产,资产等级计算公式,AV=F(AC,AI,AA) 例1:AV=MAX(AC,AI,AA) 例2:AV=AC+AI+AA 例3:AV=ACAIAA,威胁来源列表,威胁分类表,脆弱性识别内容表,威胁与脆弱性之间的关系,风险分析原理,定性风险分析,风险计算方法,风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ) 其中,R 表示安全风险计算函数;A 表示
5、资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F 表示安全事件发生后产生的损失。 一般风险计算方法:矩阵法和相乘法,矩阵法,风险评价示例,31,确定风险处置策略,降低风险(Reduce Risk) 采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等。 避免风险(Avoid Risk) 通过消除可能导致风险发生的条件来避免风险的发生,如将公司内外网隔离以避免来自互联网的攻击,或是将机房安置在不可能造成水患的位置,
6、等等。 转移风险(Transfer Risk) 将风险全部或者部分地转移到其他责任方,例如购买商业保险。 接受风险(Accept Risk) 在实施了其他风险应对措施之后,对于残留的风险,组织可以有意识地选择接受。,32,评价残留风险,绝对安全(即零风险)是不可能的。 实施安全控制后会有残留风险或残存风险(Residual Risk)。 为了确保信息安全,应该确保残留风险在可接受的范围内: 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值,以该阀值作为是否接受残留风险的标准。,
7、等保测评与风险评估的区别,目的不同 等级测评:以是否符合等级保护基本要求为目的 照方抓药 风险评估:以PDCA循环持续推进风险管理为目的 对症下药,等保测评与风险评估的区别,参照标准不同 等级测评: GB 17859-1999计算机信息系统安全保护等级划分准则 GA/T 387-2002计算机信息系统安全等级保护网络技术要求 GA 388-2002 计算机信息系统安全等级保护操作系统技术要求 GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T 390-2002计算机信息系统安全等级保护通用技术要求 GA 391-2002 计算机信息系统安全等级保护管理要求 风
8、险评估:BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范,等保测评与风险评估的区别,可以简单的理解为等保是标准或体系,风险评估是一种针对性的手段。,为什么需要进行风险评估?,该买辣椒水呢还是请保镖?,什么样的信息系统才是安全的?,如何确保信息系统的安全?,两个基本问题,什么样的信息系统才是安全的?,如何确保信息系统的安全?,风险分析,风险管理,基本问题的答案,潜在损失在可以承受范围之内的系统,风险分析,安全决策,风险管理,两个答案的相关性,信息安全的演化,概念的演化和技术的演化同步,可信是保障概念的延续,信息
9、安全的事实,广泛,安全是一个广泛的主题,它涉及到许多不同的区域(物理、网络、系统、应用、管理等),每个区域都有其相关的风险、威胁及解决方法。,动态,相对,绝对的信息安全是不存在的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。,人,信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要
10、从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。,安全保障体系建设,安 全,成本 效率,安全 - 效率曲线,安全 - 成本曲线,要研究建设信息安全的综合成本与信息安全风险之间的平衡,而不是要片面追求不切实际的安全不同的信息系统,对于安全的要求不同,不是 “ 越安全越好”,信息系统矛盾三角,三类操作系统举例,信息安全保障能力成长阶段,能力成长阶段的划分,盲目自信阶段 普遍缺乏安全意识,对企业安全状况不了解,未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等,企业意识到自身存在的信息安全风险,开始采取一些措施提升信息安全水平 改进阶段 意识到局部的
11、、单一的信息安全控制措施难以明显改善企业信息安全状况,开始进行全面的信息安全架构设计,有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后,在拥有较为全面的信息安全控制能力基础上,建立持续改进的机制,以应对安全风险的变化,不断提升安全控制能力,各个阶段的主要工作任务,基本安全产品部署,主要人员的培训教育,建立 安全团队,制定安全方针政策,评估并 了解现状,各个阶段的主要工作任务,启动信息安全战略项目,设计信息安全架构,建立信息安全流程,完成信息安全改进项目,各个阶段的主要工作任务,信息安全流程的持续改进,追踪技术和业务的变化,怎么做风险评估?,评估到底买辣椒水还是请保镖更合适,可
12、能的攻击,信息的价值,可能的损失,风险评估简要版,资产,弱点,影响,弱点,威胁,可能性,+,=,当前的风险级别,风险分析方法示意图,损失的量化必须围绕用户的核心价值,用户的核心业务流程!,如何量化损失,风险管理趋势,IT安全风险成为企业运营风险中最为重要的一个组成部分,业务连续性逐渐与安全并行考虑,来源:Gartner,否,是,否,是,风险评估的准备,已有安全措施的确认,风险计算,风险是否接受,保持已有的控制措施 施施施,选择适当的控制措施并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,是否接受残余风险,风险识别,评估过程文档,评估过程文档,风险评估结果记录,评估结果文档,风险评
13、估流程,等级保护下风险评估实施框架,保护对象划分和定级,网络系统划分和定级,资产,脆弱性,威胁,风险分析,基本安全要求,等级保护管理办法、指南 信息安全政策、标准、法律法规,安全需求,风险列表,安全规划,风险评估,结合等保测评的风险评估流程,60,60,风险评估项目实施过程,61,61,评估工作各角色的责任,62,62,风险评估项目实施过程,63,63,制定评估计划,评估计划分年度计划和具体的实施计划,前者通常是评估策划阶段就需要完成的,是整个评估活动的总纲,而具体的评估实施计划则是遵照年度评估计划而对每次的评估活动所作的实施安排。 评估计划通常应该包含以下内容: 目的:申明组织实施内部评估的
14、目标。 时间安排:评估时间避免与重要业务活动发生冲突。 评估类型:集中方式(本次项目采用集中评估方式) 其他考虑因素:范围、评估组织、评估要求、特殊情况等。 评估实施计划是对特定评估活动的具体安排,内容通常包括: 目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间 评估计划应以文件形式颁发,评估实施计划应该有评估组长签名并得到主管领导的批准。,64,64,风险评估计划示例,65,65,风险评估实施计划示例,66,66,风险评估项目实施过程,67,67,检查列表的四要素,去哪里?,找谁?,查什么?,如何查?,68,68,风险评估常用方法,检查列表:评估员根据自己的需要,事先
15、编制针对某方面问题的检查列表,然后逐项检查符合性,在确认检查列表应答时,评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。 文件评估:评估员在现场评估之前,应该对受评估方与信息安全管理活动相关的所有文件进行审查,包括安全方针和目标、程序文件、作业指导书和记录文件。 现场观察:评估员到现场参观,可以观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。 人员访谈:与受评估方人员进行面谈,评估员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记录和总结,必要时要和访谈对象进行确认。 技术评估:评估员可以采用各种技术
16、手段,对技术性控制的效力及符合性进行评估。这些技术性措施包括:自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。,69,69,评估员检查工具检查列表,检查列表(Checklist)是评估员进行评估时必备的自用工具,是评估前需准备的一个重要工作文件。 在实施评估之前,评估员将根据分工情况来准备各自在现场评估所需的检查列表,检查列表的内容,取决于评估主题和被评估部门的职能、范围、评估方法及要求。 检查列表在信息安全管理体系内部评估中起着以下重要作用: 明确与评估目标有关的抽样问题; 使评估程序规范化,减少评估工作的随意性和盲目性; 保证评估目标始终明确,突出重点,避免在评估过程中因迷失方向而浪费时间; 更好地控制评估进度; 检查列表、评估计划和评估报告一起,都作为评估记录而存档。,70,70,检查
