信息安全风险管理资料

《信息安全风险管理资料》由会员分享，可在线阅读，更多相关《信息安全风险管理资料（61页珍藏版）》请在金锄头文库上搜索。

1、本节内容,第三章 信息安全风险管理1,风险是事件未来可能结果发生的不确定性,风险是损失发生的不确定性,风险是指可能发生损失的损害程度的大小,风险是指损失的大小和发生的可能性,风险是由风险构成要素相互作用的结果,1、信息安全风险的引入,第三章 信息安全风险管理1,2007年4月22日至27日，国际标准化组织技术管理 局风险管理工作组（ISO/TMB/WG Risk Management） 在加拿大渥太华召开了第四次工作组会议。,“风险”：不确定性对目标的影响 （effect of uncertainty on objectives）。,该定义克服了其他国家对“风险”定义过于狭窄、不准确等弊 端，

2、直指风险的本质，准确、全面、易于理解、便于应用。,1、信息安全风险的引入,第三章 信息安全风险管理1,1、信息安全风险的引入,信息安全的不确定性,第三章 信息安全风险管理1,1、信息安全风险的引入,信息安全的不确定性,1、信息安全风险的引入,绝对安全,冗余的安全措施； 低效的安全投资； 紧张的安全管理人员； 对员工的不信任感。,第三章 信息安全风险管理1,？如何确切掌握网络和信息系统的安全程度； ？安全威胁来自何方； ？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力； ？已采取的信息安全措施是否有效。,适度安全,第三章 信息安全风险管理1,1、信息安全风险的引入,第三章 信息安

3、全风险管理1,1、信息安全风险的引入,安全是相对的，风险是绝对的； 安全强度与安全代价寻求平衡点； 安全与开放寻求平衡点。,1、信息安全风险的引入,以风险评估为安全建设的出发点。它的重要意义就 在于改变传统的以技术驱动为导向的安全体系结构设计 及详细安全方案制定，采取成本效益平衡的原则。,第三章 信息安全风险管理1,2、信息安全风险的相关概念,第三章 信息安全风险管理1,“风险”：不确定性对目标的影响 （effect of uncertainty on objectives）。,不确定性,影响,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱

4、 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,“风险”：不确定性对目标的影响 （effect of uncertainty on objectives）。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,威胁（Threat）指可能对资产或组织造成损害的事故的潜在原因。,威胁的属性：威胁的主体（威胁源）、能力、资源、 动机、途径、可能性等。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产

5、的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,脆弱性（Vulnerability）就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。,脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,资产（Asset）就是被组织赋予了价值、需要保护的有用资源。,每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安

6、全分类，并以文件形式详细记录在案。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,资产（Asset）就是被组织赋予了价值、需要保护的有 用资源。,信息资产：数据库和数据文件等,软件资产：应用软件、系统软件等,物理资产：计算机设备、通信设备等,服务：计算和通信服务、通用公用事业等,人力资源：人员及他们的资格、技能和经验等,无形资产：组织的声誉和形象等,2、信息安全风险的相关概念,第三章 信息安全风险管理1,信息资产：数据库和数据文件等,信息资产的分类,信息的标识和处置,2、信息安全风险的相关概念,第三章 信息安全风险管理1,资产价值（The value of asset） 为明确对资产

7、的保护对其进行估价，其价值大小既要考虑其自身价值，也要考虑其对组织机构业务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。,资产价值体现了其对一个机构的业务的重要程度。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,风险评估（Risk Assessment） 对信息和信息处理设施的威胁、影响（Impact，指安 全事件所带来的直接和间接损失）和脆弱性及三者发生的 可能性的评估。,3、信息安全风险的基本要素,第三章 信息安全风险管理1,ISO/IEC 13335,3、信息安全风险的基本要素,第三章 信息安全风险管理1,图示： A（Asset）：资产 V（Vulnerabili

8、ty）：脆弱性 T（Threat）：威胁 S（Safeguard）：保护措施 R（Residual Risk）：残余风险 C（Constrains）：约束,ISO/IEC 13335 安全要素之间的关系,3、信息安全风险的基本要素,第三章 信息安全风险管理1,3、信息安全风险的基本要素,第三章 信息安全风险管理1,信息安全风险评估指南,3、信息安全风险的基本要素,第三章 信息安全风险管理1,残余风险（Residual Risk）：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 残余风险的提出 风险不可能完全消除 风险不必要完全消除 残余风险应受到密切监视,因为它可能会在将来诱发

9、新的事件,4、信息安全风险管理的实施,第三章 信息安全风险管理1,风险管理通过风险评估来识别风险大小，通过制定信 息安全方针、采取适当的控制目标与控制方式对风险进行 控制，使风险被避免、转移或降至一个可被接受的水平。,风险管理考虑控制费用与风险之间的平衡,风险评估 对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 风险管理 通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安

10、全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,风险评估的一般工作流程,5、信息安全风险管理现状,第三章 信息安全风险管理1,一、国际信息安全风险管理动态,（一）美国：独占鳌头，加强控管 （二）欧洲：不甘落后，重在预防 （三）亚太：及时跟进，确保发展 （四）国际组织：积极配合，重在规范,5、信息安全风险管理现状,（一）美国：独占鳌头，加强控管,制定了从军政部门、公共部门和私营

11、领域的风险管理政策和指南 形成了军、政、学、商分工协作的风险管理体系 国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制,5、信息安全风险管理现状,DOD：风险评估的领路者,1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。 1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。 1987年，第一次对新发布的计算机安全法的执行情况进行部门级评估 1997年，美国国防部发布国防部IT安全认证认可过程（DITSCAP）；2000年，国家安全委员会发布了国家信息保障认证和认可

12、过程（NIACAP） 2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估,5、信息安全风险管理现状,DOC/NIST：风险评估的推动者,2000年，NIST在联邦IT安全评估框架中提出了自评估的5个级别。并颁布了IT系统安全自评估指南（SP 800-26） 2002年，NIST发布了IT系统风险管理指南（SP 800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。 2002年，颁布了联邦信息安全管理法案（FISMA），要求联邦各机构必须进行定期的风险评估。,5、信息安全风险管理现状,DOC/NIST：风险评估的推动者,从2002年10

13、月开始，NIST先后发布了联邦IT系统安全认证和认可指南（SP 800-37）、联邦信息和信息系统的安全分类标准（FIPS 199）、联邦IT系统最小安全控制（SP 800-53）、将各种信息和信息系统映射到安全类别的指南（SP 800-60）等多个文档，以风险思想为基础加强联邦政府的信息安全。,5、信息安全风险管理现状,学术界：风险评估的探索者,美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。 如卡内基梅隆大学： SSE-CMM：信息安全工程能力成熟度模型 OCTAVE：发布了OCTAVE框架，属于自

14、主型信息安全风险评估方法。,5、信息安全风险管理现状,商业界：风险评估的实践者,5、信息安全风险管理现状,（二）欧洲：不甘落后，重在预防,1、“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略 2、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路 3、欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒，值得关注,5、信息安全风险管理现状,英国：BS7799享誉全球,英国BSI推出BS 7799，分为两个部分：“BS7799-1:1999 信息安全管理实施细则”、“BS7799-2:2002 信息安全管理体系规范”， 英国CCTA开发了CRAMM风险评估工具，完

15、全遵循BS7799。 英国C&A系统安全公司推出了COBRA（ Consultative, Objective and Bi-functional Risk Analysis）工具，由一系列风险分析、咨询和安全评价工具组成。,5、信息安全风险管理现状,德国：日尔曼人的“基线”防御,德国联邦IT基线防护手册（ITBPM）以严谨、周密而得名； 1991 年，德国建立信息安全局(BSI) ，主要负责政府部门的信息安全风险管理和评估工作。 1997年，颁布信息和通信服务规范法 风险评估在方法上基本遵循BS 7799。,5、信息安全风险管理现状,欧盟的CORAS项目,2001年至2003年，欧盟投资，四

16、个欧洲国家（德国、希腊、英国、挪威）的11个机构，历时3年时间，完成了安全关键系统的风险分析平台项目CORAS，使用UML建模技术，开发了一个面向对象建模技术的风险评估框架。 一期完成之后，欧盟继续投资为期三年的二期项目COMA，2007年完成。,5、信息安全风险管理现状,CORAS：欧洲经典,（三）亚太：及时跟进，确保发展,日本：在风险管理方面综合美国和英国的做法，建立了“安全管理系统评估制度”(ISMS)，作为日本标准 (JIS)，启用了ISOIECl7799-1(BS7799)； 韩国：主要参照美国的政策和方法； 新加坡：主要参照英国的做法，在信息安全风险评估方面依据BS 7799。,5、信息安全风险管理现状,ISO：专业的普通话,ISO/IEC 13335IT安全管理指南 ISO/IEC 17799 ISO 27000系列 ISO 27000 信息安全管理体系基本原理和词汇 ISO 27001 信息安全管理体系要求 ISO 27002 信息安全管理实践准则 ISO 27003 信息安全管理实施指