《信息安全风险评估培训》由会员分享,可在线阅读,更多相关《信息安全风险评估培训(75页珍藏版)》请在金锄头文库上搜索。
1、广东计安信息网络培训中心信息安全风险评估傅欲华什么是风险评估?从深夜一个回家的女孩开始讲起风险评估的基本概念各安全组件之间的关系资产影响威胁弱点 风险钱被偷100块没饭吃小偷打瞌睡服务器 黑客软件漏洞被入侵 数据失密通俗的比喻风险评估风险评估6风险风险风险管理(风险管理(Risk ManagementRisk Management)就是以就是以 可接受的代价,识别、控制、减少或消除可可接受的代价,识别、控制、减少或消除可 能影响信息系统的安全风险的过程。能影响信息系统的安全风险的过程。在信息安全领域,在信息安全领域,风险(风险(RiskRisk)就是指就是指 各种威胁导致安全事件发生的可能性及
2、各种威胁导致安全事件发生的可能性及 其对组织所造成的负面影响。其对组织所造成的负面影响。风险管理风险管理风险评估(风险评估(Risk AssessmentRisk Assessment)就就 是对各方面风险进行辨识和分析的过程是对各方面风险进行辨识和分析的过程 ,它包括风险分析和风险评价,是确认,它包括风险分析和风险评价,是确认 安全风险及其大小的过程。安全风险及其大小的过程。概 述相关概念u 资产(Asset) 任何对企业具有价值的东西,包括计算机硬件、通信设施、建筑 物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。 u 威胁(Threat) 可能对资产或企业造成损
3、害的某种安全事件发生的潜在原因, 通常需要识别出威胁源(Threat source)或威胁代理(Threat agent)。u 弱点(Vulnerability) 也被称作漏洞或脆弱性,即资产或资产组中存在的可被 威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。 u 风险(Risk) 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。u 可能性(Likelihood) 对威胁发生几率(Probability)或频率(Frequency) 的定性描述。 u 影响(Impact) 后果(Consequence),意外事件发生给企业带来的直接或间 接的损失或伤害。 u 安全措施(Safe
4、guard) 控制措施(control)或对策(countermeasure),即 通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 u 残留风险(Residual Risk) 在实施安全措施之后仍然存在的风险。风险RISKRISKRISKRISK风险原有风险采取措施后的剩余风险影响影响威胁威胁脆弱性影响影响威胁威胁脆弱性脆弱性风险管理的目标风险管理的目标资产分类方法分 类类示例数 据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统 文档、运行管理规程、 计划、报告、用户手册、各类纸质 的文档等软 件系统软 件:操作系统、数据库管理系统、语句包、开发
5、系统等 应用软件:办公软件、数据库软 件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等硬 件网络设备 :路由器、网关、交换机等 计算机设备 :大型机、小型机、服务器、工作站、台式计算机、便 携计算机等 存储设备 :磁带机、磁盘阵 列、磁带、光盘、软盘 、移动硬盘等 传输线 路:光纤、双绞线 等 保障设备 : UPS、变电设备 等、空调、保险柜、文件柜、门禁、消 防设施等 安全保障:防火墙、入侵检测 系统、身份鉴别 等 其他:打印机、复印机、扫描仪、传真机等资产分类方法分 类类示例服 务信息服务:对外依赖该系统开展的各类服务 网络服务:各 种网络设备 、设施提供的网络连接服
6、务 办公服务:为提 高效率而开发的管理信息系统,包括各种内部配置管理、 文件流转管理等服务 人 员掌握重要信息和核心业务的人员,如主机维护主管、网络 维护主管及应用项目经理等 其 它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP 工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层资产价值的评估信息安全属性 保密性CONFIDENTIALATY确保信息只能由那些被授权使 用的人获取 完整性INTEGRITY保护信息及其处
7、理方法的准确 性和完整性 可用性AVAILABILITY确保被授权使用人在需要时可 以获取信息和使用相关的资产资产等级计算公式 AV=F(AC,AI,AA) 例1:AV=MAX(AC,AI,AA) 例2:AV=AC+AI+AA 例3:AV=ACAIAA威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁 干扰、洪灾、火灾、地震、意外 事故等环境危害或 自然灾害,以及软件、硬件、数据、通讯线 路等方面 的故障人为因 素恶意人 员不满的或有预谋 的内部人员对 信息系统进 行恶意破 坏;采用自主或内外勾结的方式 盗窃机密信息或进行 篡改,获取利益 外部人员利用信息系统的脆弱性,对
8、网络或系统的机 密性、完整性和可用性进行破 坏,以获取利益或炫耀 能力非恶意 人员内部人员由于缺乏责任心,或者由于不关心和不专注, 或者没有遵循规章制度和操 作流程而导致故障或信 息损坏;内部人员由于缺乏培训、专业 技能不足、不 具备岗 位技能要求而导致信息系统故障或被攻击。威 胁 分 类 表脆弱性识别内容表威胁与脆弱性之间的关系风险分析原理定性风险分析风险计算方法风险计算方法风险值=R(A,T,V)= R(L(T,V),F(Ia,Va )其中,R 表示安全风险计算函数;A 表示资产;T 表示威 胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值 ;Va 表示脆弱性严重程度;L 表示威胁
9、利用资产的脆弱 性导致安全事件发生的可能性;F 表示安全事件发生 后产生的损失。一般风险计算方法:矩阵法和相乘法矩阵法风险评价示例风险评价示例31确定风险处置策略确定风险处置策略u 降低风险(Reduce Risk) 采取适当的控制措施来降低风险,包 括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工 作流程、制定业务连续性计划,等等。u 避免风险(Avoid Risk) 通过消除可能导致风险发生的条件来避 免风险的发生,如将公司内外网隔离以避免来自互联网的攻击,或是将机 房安置在不可能造成水患的位置,等等。u 转移风险(Transfer Risk) 将风险全部或者部分地转移到其
10、他责 任方,例如购买商业保险。u 接受风险(Accept Risk) 在实施了其他风险应对措施之后,对 于残留的风险,组织可以有意识地选择接受。32评价残留风险评价残留风险u 绝对安全(即零风险)是不可能的。u 实施安全控制后会有残留风险或残存 风险(Residual Risk)。 u 为了确保信息安全,应该确保残留风 险在可接受的范围内: 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rtu 对残留风险进行确认和评价的过程其 实就是风险接受的过程。决策者可以根据 风险评估的结果来确定一个阀值,以该阀 值作为是否接受残留风险的标准。 等保测评与风险评估的区别 目的不同 等级测
11、评:以是否符合等级保护基本要求 为目的 照方抓药 风险评估:以PDCA循环持续推进风险管理 为目的 对症下药等保测评与风险评估的区别 参照标准不同 等级测评: GB 17859-1999计算机信息系统安全保护等级划分准则 GA/T 387-2002计算机信息系统安全等级保护网 络技术要求 GA 388-2002 计算机信息系统安全等 级保护操作系统技术要求 GA/T 389-2002计算机 信息系统安全等级保护数据库管理系统技术要求 GA/T 390-2002计算机信息系统安全等级保护通用技术 要求 GA 391-2002 计算机信息系统安全等级保护 管理要求 风险评估:BS7799 ISO1
12、7799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风 险评估规范 等保测评与风险评估的区别可以简单的理解为等保是标准或体系,风险评 估是一种针对性的手段。为什么需要进行风险评估?该买辣椒水呢还是请保镖?什么样的信息系统才是安全的?如何确保信息系统的安全?两个基本问题什么样的信息系统才是安全的?如何确保信息系统的安全?风险分析风险管理基本问题的答案潜在损失在可以承受范围之内的系统风险分析安全决策风险管理两个答案的相关性信息安全的演化概念的演化和技术的演化同步可信是保障概念的延续信息安全的事实广泛n安全是一个广泛的主题,它涉及到许多不同的区域(物理
13、 、网络、系统、应用、管理等),每个区域都有其相关的风 险、威胁及解决方法。动态相对n绝对的信息安全是不存在的。信息安全问题的解决只能通 过一系列的规划和措施,把风险降低到可被接受的程度,同 时采取适当的机制使风险保持在此程度之内。当信息系统发 生变化时应当重新规划和实施来适应新的安全需求。人n信息系统的安全往往取决于系统中最薄弱的环节-人。人是 信息安全中最关键的因素,同时也应该清醒的认识到人也是 信息安全中最薄弱的环节。n仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻 击手段是不能持续有效的。信息安全建设是一项复杂的系统 工程,要从观念上进行转变,规划、管理、技术等多种因素 相结合使之
14、成为一个可持续的动态发展的过程。安全保障体系建设安 全成本 效率 安全 - 效率曲线 安全 - 成本曲线要研究建设信息 安全的综合成本 与信息安全风险 之间的平衡,而 不是要片面追求 不切实际的安全 不同的信息系统 ,对于安全的要 求不同,不是“ 越安全越好”信息系统矛盾三角三类操作系统举例信息安全保障能力成长阶段成熟度成熟度时间时间盲目自信 阶段认知阶段改进阶段卓越运营 阶段福布斯2000强企业在不同阶段的百分比分布 来源:Gartner Inc. 2006年1月30%30%50%50%15%15%5%5%能力成长阶段的划分 盲目自信阶段 普遍缺乏安全意识,对企业安全状况不了解,未意识到信息
15、安全风险的 严重性 认知阶段 通过信息安全风险评估等,企业意识到自身存在的信息安全风险,开始 采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状 况,开始进行全面的信息安全架构设计,有计划的建设信息安全保障体 系 卓越运营阶段 信息安全改进项目完成后,在拥有较为全面的信息安全控制能力基础上 ,建立持续改进的机制,以应对安全风险的变化,不断提升安全控制能 力各个阶段的主要工作任务成熟度成熟度时间时间盲目自信 阶段认知阶段改进阶段卓越运营 阶段福布斯2000强企业在不同阶段的百分比分布 来源:Gartner Inc. 2006年1月30%30%5
16、0%50%15%15%5%5%基本安全 产品部署主要人员的 培训教育建立 安全团队制定安全 方针政策评估并 了解现状各个阶段的主要工作任务成熟度成熟度时间时间盲目自信 阶段认知阶段改进阶段卓越运营 阶段福布斯2000强企业在不同阶段的百分比分布 来源:Gartner Inc. 2006年1月30%30%50%50%15%15%5%5%启动信息安全 战略项目设计信息 安全架构建立信息 安全流程完成信息安全 改进项目各个阶段的主要工作任务成熟度成熟度时间时间盲目自信 阶段认知阶段改进阶段卓越运营 阶段福布斯2000强企业在不同阶段的百分比分布 来源:Gartner Inc. 2006年1月30%30%50%50%15%15%5%5%信息安全流程 的持续改进追踪技术和业 务的变化怎么做风险评估?评
