某信息安全技术公司风险评估概述

《某信息安全技术公司风险评估概述》由会员分享，可在线阅读，更多相关《某信息安全技术公司风险评估概述（67页珍藏版）》请在金锄头文库上搜索。

1、风险评估101,蓝盾信息安全技术股份有限公司 程晓峰,2009年11月1日,什么是风险评估？,从深夜一个回家的女孩开始讲起,风险评估,3,风险,风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，风险（Risk）就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。,风险管理,风险评估（Risk Assessment）就是对各方面风险进行辨识和分析的过程，它包括风险分析和风险评价，是确认安全风险及其大小的过程。,风险评估的基本概念,资产,影响,威胁,弱点,风险,钱被偷,100块,没饭吃,小偷,打瞌睡

2、,服务器,黑客,软件漏洞,被入侵,数据失密,通俗的比喻,RISK,RISK,RISK,风险,原有风险,采取措施后的剩余风险,风险管理的目标,风险评估和风险管理的关系,风险评估是风险管理的关键环节，在风险管理循环中，必须依靠风险评估来确定随后的风险控制与改进活动。,信息安全属性,保密性CONFIDENTIALATY 确保信息只能由那些被授权使用的人获取 完整性INTEGRITY 保护信息及其处理方法的准确性和完整性 可用性AVAILABILITY 确保被授权使用人在需要时可以获取信息和使用相关的资产,可用性,确保获得授权的用户可访问信息并使用相关信息资产,进不来,拿不走,改不了,跑不了,看不懂,

3、可审查,信息安全 之属性,风险计算体系,风险评价,确定风险的等级，有两个关键因素要考虑（定性风险评估）： 威胁对信息资产造成的影响（后果） 威胁发生的可能性 影响可以通过资产的价值（重要性）评估来确定。 可能性可以根据对威胁因素和弱点因素的综合考虑来确定。 按照风险分析模型计算得出风险水平。,风险评价示例,13,确定风险处置策略,降低风险（Reduce Risk） 采取适当的控制措施来降低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，或是改善不规范的工作流程、制定业务连续性计划，等等。 避免风险（Avoid Risk） 通过消除可能导致风险发生的条件来避免风险的发生，如将公司内外网隔离

4、以避免来自互联网的攻击，或是将机房安置在不可能造成水患的位置，等等。 转移风险（Transfer Risk） 将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk） 在实施了其他风险应对措施之后，对于残留的风险，组织可以有意识地选择接受。,14,评价残留风险,绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了确保信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评

5、估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,ISO 27001 信息安全管理体系建立,ISO17799:2005,业务连续性管理（Business continuity management）,信息安全事故管理（Information security incident management）,访问控制（Access control）,人力资源安全 （Human resources security）,物理和环境安全 （Physical and environmental security）,通信和操作安全 （Communications and operations Man

6、agement）,信息系统采集 开发和维护 （Information system acquisition, development and maintenance）,资产管理（Asset management）,信息安全的组织（Organizing information security）,安全策略（Security Policy）,基于ISO27001的信息安全管理体系架构,注：11控制域，39 控制目标，133控制措施,等保测评与风险评估的区别,目的不同 等级测评：以是否符合等级保护基本要求为目的 照方抓药 风险评估：以PDCA循环持续推进风险管理为目的 对症下药,等保测评与风险评估的

7、区别,参照标准不同 等级测评： GB 17859-1999计算机信息系统安全保护等级划分准则 GA/T 387-2002计算机信息系统安全等级保护网络技术要求 GA 388-2002 计算机信息系统安全等级保护操作系统技术要求 GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求 GA/T 390-2002计算机信息系统安全等级保护通用技术要求 GA 391-2002 计算机信息系统安全等级保护管理要求 风险评估：BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范,等保测评与风险评估的区别

8、,可以简单的理解为等保是标准或体系，风险评估是一种针对性的手段。,为什么需要进行风险评估？,该买辣椒水呢还是请保镖？,什么样的信息系统才是安全的?,如何确保信息系统的安全?,两个基本问题,什么样的信息系统才是安全的?,如何确保信息系统的安全?,风险分析,风险管理,基本问题的答案,潜在损失在可以承受范围之内的系统,风险分析,安全决策,风险管理,两个答案的相关性,信息安全的演化,概念的演化和技术的演化同步,可信是保障概念的延续,信息安全的事实,广泛,安全是一个广泛的主题，它涉及到许多不同的区域（物理、网络、系统、应用、管理等），每个区域都有其相关的风险、威胁及解决方法。,动态,相对,绝对的信息安全

9、是不存在的。信息安全问题的解决只能通过一系列的规划和措施，把风险降低到可被接受的程度，同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。,人,信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素，同时也应该清醒的认识到人也是信息安全中最薄弱的环节。,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。,安全保障体系建设,安 全,成本 效率,安全 - 效率曲线,安全 - 成本曲线,要

10、研究建设信息安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全不同的信息系统，对于安全的要求不同，不是 “ 越安全越好”,信息安全保障能力成长阶段,能力成长阶段的划分,盲目自信阶段 普遍缺乏安全意识，对企业安全状况不了解，未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等，企业意识到自身存在的信息安全风险，开始采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况，开始进行全面的信息安全架构设计，有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后，在拥有较为全面的信息安全控制能力基础上，建立持续改

11、进的机制，以应对安全风险的变化，不断提升安全控制能力,各个阶段的主要工作任务,基本安全产品部署,主要人员的培训教育,建立 安全团队,制定安全方针政策,评估并 了解现状,各个阶段的主要工作任务,启动信息安全战略项目,设计信息安全架构,建立信息安全流程,完成信息安全改进项目,各个阶段的主要工作任务,信息安全流程的持续改进,追踪技术和业务的变化,怎么做风险评估？,可能的攻击,信息的价值,可能的损失,风险评估简要版,资产,威胁,影响,弱点,控制,可能性,+,=,当前的危险级别,风险分析方法示意图,损失的量化必须围绕用户的核心价值，用户的核心业务流程,如何量化损失,风险管理趋势,IT安全风险成为企业运营

12、风险中最为重要的一个组成部分，业务连续性逐渐与安全并行考虑,来源：Gartner,否,是,否,是,风险评估的准备,已有安全措施的确认,风险计算,风险是否接受,保持已有的控制措施 施施施,选择适当的控制措施并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,是否接受残余风险,风险识别,评估过程文档,评估过程文档,风险评估结果记录,评估结果文档,等级保护下风险评估实施框架,保护对象划分和定级,网络系统划分和定级,资产,脆弱性,威胁,风险分析,基本安全要求,等级保护管理办法、指南 信息安全政策、标准、法律法规,安全需求,风险列表,安全规划,风险评估,42,42,风险评估项目实施过程,43,

13、43,评估工作各角色的责任,44,44,风险评估项目实施过程,45,45,制定评估计划,评估计划分年度计划和具体的实施计划，前者通常是评估策划阶段就需要完成的，是整个评估活动的总纲，而具体的评估实施计划则是遵照年度评估计划而对每次的评估活动所作的实施安排。 评估计划通常应该包含以下内容： 目的：申明组织实施内部评估的目标。 时间安排：评估时间避免与重要业务活动发生冲突。 评估类型：集中方式（本次项目采用集中评估方式） 其他考虑因素：范围、评估组织、评估要求、特殊情况等。 评估实施计划是对特定评估活动的具体安排，内容通常包括： 目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告

14、时间 评估计划应以文件形式颁发，评估实施计划应该有评估组长签名并得到主管领导的批准。,46,46,风险评估计划示例,47,47,风险评估实施计划示例,48,48,风险评估项目实施过程,49,49,检查列表的四要素,去哪里？,找谁？,查什么？,如何查？,50,50,风险评估常用方法,检查列表：评估员根据自己的需要，事先编制针对某方面问题的检查列表，然后逐项检查符合性，在确认检查列表应答时，评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。 文件评估：评估员在现场评估之前，应该对受评估方与信息安全管理活动相关的所有文件进行审查，包括安全方针和目标、程序文件、作业指导书和记录文件。 现场观

15、察：评估员到现场参观，可以观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。 人员访谈：与受评估方人员进行面谈，评估员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记录和总结，必要时要和访谈对象进行确认。 技术评估：评估员可以采用各种技术手段，对技术性控制的效力及符合性进行评估。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。,51,51,评估员检查工具检查列表,检查列表（Checklist）是评估员进行评估时必备的自用工具，是评估前需准备的一个重要工作文件。 在实施评估之前，评估

16、员将根据分工情况来准备各自在现场评估所需的检查列表，检查列表的内容，取决于评估主题和被评估部门的职能、范围、评估方法及要求。 检查列表在信息安全管理体系内部评估中起着以下重要作用： 明确与评估目标有关的抽样问题； 使评估程序规范化，减少评估工作的随意性和盲目性； 保证评估目标始终明确，突出重点，避免在评估过程中因迷失方向而浪费时间； 更好地控制评估进度； 检查列表、评估计划和评估报告一起，都作为评估记录而存档。,52,52,检查列表编写的依据，是评估准则，也就是信息安全管理标准、组织信息安全方针手册等文件的要求 针对受评估部门的特点，重点选择某些应该格外关注的信息安全问题 信息的收集和验证的方法应该多种多样，包括面谈、观察、文件和记录的收集和汇总分析、从其他信息源（客户反馈、外部报告等）收集信息等 检查列表