《信息系统安全管理理论及应用 教学课件 ppt 作者 李建华《信息系统安全管理理论及应用》1-4 第4章信息系统的安全风险评估与管理》由会员分享,可在线阅读,更多相关《信息系统安全管理理论及应用 教学课件 ppt 作者 李建华《信息系统安全管理理论及应用》1-4 第4章信息系统的安全风险评估与管理(33页珍藏版)》请在金锄头文库上搜索。
1、信息系统的安全风险评估与管理,1,2,相关术语,资产(Asset)任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、信息服务和人员等,所有这此资产都需要妥善保护。 威胁(Threat)某种威胁源(threat source)或威胁代理(threat agent)成功利用特定弱点对资产造成负面影响的潜在可能。 弱点(Vulnerability)也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点。弱点一旦被利用,就可能对资产造成损害。 风险(Risk)特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。,3,风险管理,风险管理是基于风险分析的安全管理方法
2、。风险管理是一个过程,其首要目的是保护机构以及该机构完成其使命的能力。 风险管理的原则 适度安全 平衡成本与效益,风险管理,ISO/IEC 27001中将风险管理定义为以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。即是一系列识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。,4,5,风险管理的一般过程,识别风险,评估风险,控制风险,风险评估,ISO/IEC 27001中将风险评估定义为对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评
3、估。,6,7,风险评估应考虑的因素,资产具有价值 资产本身具有薄弱点 威胁利用可被利用的薄弱点对资产造成影响 安全控制可以降低威胁利用薄弱点产生的风险 实施安全控制后仍然会有残余风险存在,8,安全要素与其相互关系(ISO/IEC13335),A (Asset) 资产 V (Vulnerability) 脆弱性 T (Threat) 威胁 S (Safeguard) 保护措施 RR (Residual Risk) 残余风险 C (Constrains) 约束,风险和四大要素之间的关系,9,风险评估和管理的重要性,(1) 基于风险的评估与管理使得机构能够准确“定位”风险管理的策略、实践和工具,能够
4、将安全活动的重点放在重要的问题上。 (2) 风险管理可使管理者能在保护措施的运行和经济成本之间寻求平衡。 (3) 风险评估与管理是以保障和提高机构完成使命能力为目的的,这是机构的基本需求。,10,风险评估和管理的重要性,(4) 风险评估与管理能够完全的集成到信息系统的生命周期中,而且无论哪个阶段进行评估、管理的方法均是相同的。 (5) 风险评估与管理涉及到整个机构,不仅包括信息技术部分的人员,也包括机构内部业务流程线人员以及管理层人员。这正是解决信息安全问题所必需的机构内不同的层面,不同的业务部门协调的基础。 (6) 风险评估与管理不仅需要运用机构内外部的技术设施、资源和能力,也需要科学的决策
5、和控制理论的指导,这是符合信息安全复杂性特点的。,11,12,风险管理与SDLC,有效的风险管理必须完全地集成到SDLC(System Development Life Cycle)中 启动 开发或采办 实现 运行或维护 废弃,13,风险评估主要任务,识别机构/业务的信息资产,以及对其价值的评价 识别资产面临的威胁,以及其发生的可能性评估 识别资产所具有的薄弱点,以及其被利用的可能性评估 识别已有控制措施,以及其保护强度评估 综合分析风险以及机构/业务承受风险的能力,14,基本风险评估类型,基线评估方法 详细风险评估 组合评估,15,风险评估常用方法,基于知识(Knowledge-based)
6、 基于模型(Model-based) 定性(Qualitative)分析 定量(Quantitative)分析,16,17,定量分析重要概念,暴露因子(Exposure Factor,EF) 特定威胁对特定资产造成损失的百分比,或者说损失的程度。 单一损失期望(Single Loss Expectancy,SLE) 或者称作SOC(Single Occurance Costs),即特定威胁可能造成的潜在损失总量。 年度发生率(Annualized Rate of Occurrence,ARO) 即威胁在一年内估计会发生的频率。 年度损失期望(Annualized Loss Expectancy
7、,ALE) 或者称作EAC(Estimated Annual Cost),表示特定资产在一年内遭受损失的预期值。,定量分析过程,1)首先,识别资产并为资产赋值; 2)通过威胁和薄弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0100%之间); 3)计算特定威胁发生的频率,即ARO; 4)计算资产的SLE:SLE = Asset Value EF 5)计算资产的ALE:ALE = SLE ARO,18,定性分析方法,为风险管理诸要素(资产价值,威胁的可能性,薄弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。 并最终通过不同的风
8、险计算矩阵进行风险的评估,19,风险评估手段,调查问卷 检查列表 人员访谈 漏洞扫描器 渗透测试,20,风险评估与管理过程,21,确定评估范围,确定评估范围应包括如下信息: 信息资产(例如:硬件、软件、信息); 人员(例如:职员、其他外部人员); 环境(例如:建筑物、基础设施) 活动(例如:操作、业务),22,资产识别考虑的方面,数据与文档 书面文件 软件资产 实物资产 人员 服务 组织形象与声誉,23,资产价值评估的因素,信息资产因为受损而对业务造成的直接损失; 信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力; 信息资产受损对其他部门的业务造成的影响; 组织在公众形象
9、和名誉上的损失; 因为商务受损导致竞争优势降级而引发的间接损失; 其他损失,例如保险费用的增加。,24,威胁识别,识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。 识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁代理。威胁源可能是蓄意也可能是偶然的因素,通常包括人、系统、环境和自然等类型。,25,威胁发生可能性评估,机构应该根据经验或者相关的统计数据来判断各类威胁发生的频率或概率。而攻击的动机和资源使得人成为了潜在的特别危险威胁源之一,就这个威胁本身来说,评估威胁可能性时有两个关键因素
10、需要考虑,一个是威胁源的动机(Motivation)(利益趋势、报复心理、玩笑等),另一个是威胁源的能力(Capability)(包括其技能、环境、机会等),这两个因素决定了不带外部条件时威胁发生的可能性(这里没有考虑弱点被利用的容易程度和现有控制的效力等外部条件),是威胁发生的内因。,26,脆弱点,常见的弱点有三类: 技术性弱点:系统、程序、设备中存在的漏洞或缺陷,比如结构设计问题和编程漏洞。 操作性弱点:软件和系统在配置、操作、使用中的缺陷,包括人员日常工作中的不良习惯,审计或备份的缺乏。 管理性弱点:策略、程序、规章制度、人员意识、组织结构等方面的不足。,27,脆弱点检测和评估,识别弱点
11、的途径有很多,包括各种审计报告、事件报告、安全复查报告、系统测试及评估报告等,还可以利用专业机构发布的列表信息,当然,许多技术性和操作性弱点,可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。 评估弱点时需要考虑两个因素,一个是弱点的严重程度(Severity),另一个是弱点的暴露程度(Exposure),即被利用的容易程度,当然,这两个因素也可以用“高”、“中”、“低”三个等级来衡量。,28,控制措施的识别,管理性(Administrative) 对系统的开发、维护和使用实施管理的措施,包括:安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 操作性(Operational
12、) 用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。 技术性(Technical) 身份识别与认证、逻辑访问控制、日志审计、加密等。,29,安全措施应对风险各要素的情况,30,风险的评价,评价风险有两个关键因素 一个是威胁发生对信息资产造成的影响,通过资产识别与评价以及评估对应的威胁和弱点对资产的影响程度来评价。 另一个是威胁发生的可能性,需要根据威胁评估、弱点评估、现有控制的评估来进行认定。,31,风险控制,风险控制是依据决策后的风险管理方案而实施控制措施。 在风险控制阶段,通过操作、维护、监视、响应、审计和再评估、安全意识与培训,以及其他风险管理的跟进活动(配置变更管理、业务连续性管理等),力求控制风险并维持现有的安全状态的过程。 风险管理不是一次性的,而是持续不断、循环递进的一个过程。风险控制中的再评估使得风险管理可以有效地维持。,32,谢 谢!,33,
