《信息安全风险评估工作讲义.ppt》由会员分享,可在线阅读,更多相关《信息安全风险评估工作讲义.ppt(36页珍藏版)》请在金锄头文库上搜索。
1、我看信息安全风险评估工作,宁家骏(国家信息中心) 2005.10,提纲,信息安全与风险评估 风险评估贵在探索 努力研发符合我国特色的评估体系 安全保密需要风险评估,克服安全“亚健康”的必由之路,医学专家告诉我们: 人的躯体有健康、亚健康和患病等多种状态 但成年人多数处于亚健康状态 如何确认和发现问题,必须体检 信息系统也一样,在安全状态方面,常常处于“亚健康”甚至患病状态,因此也要“体检”这就是风险评估,环境和背景,近年来,我国经济社会持续快速发展发展,信息化步伐加快,在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越
2、来越高,同时逐步建设和积累了一批宝贵的信息资产。 与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,从而对各国的主权、安全和社会稳定构成了威胁。 计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治“关口”,一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。,风险评估是一种方法和依据,信息安全风险是由于资产的重要性,人为或自然的威胁利用信息系统及其管理体系的脆弱性,导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理
3、、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,即信息安全的风险。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供依据。,风险评估的理念,安全需要风险管理,信息安全更需要风险管理 风险评估是当前解决信息安全问题的重要手段,风险要素关系示意图,风险分析的基本要素,风险分析中要涉及资产、威胁、脆弱性等基本要素。 每个要素有各自的属性 资产的属性是资产价值; 威胁的属性是威胁出现的频率; 脆弱性的属性是资
4、产弱点的严重程度。,风险评估实施流程示意图,风险分析主要内容,对资产进行识别,并对资产的重要性进行赋值; 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值; 对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值; 根据威胁和脆弱性的识别结果判断安全事件发生的可能性; 根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失; 根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。,不打无准备之仗做好准备,风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前,应: 确定风险评估的目标; 确定风险评估的范围; 组建适当的评估管理与实
5、施团队; 选择与组织相适应的具体的风险判断方法; 获得最高管理者对风险评估工作的支持。,风险评估的准备阶段,明确目标 应明确风险评估的目标,为风险评估的过程提供导向。信息系统是重要的资产,其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。 确定范围 基于风险评估目标确定评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某独立的系统,关键业务流程,与客户知识产权相关的系统或部门等。 组建团队 组建适当的风险评估管理与实施团队,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组
6、。评估团队应能够保证风险评估工作的有效开展。 选择方法 应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法,使之能够与组织环境和安全要求相适应。 获得支持 上述所有内容确定后应得到组织的最高管理者的支持、批准,并对管理和技术人员进行传达和在组织范围就风险评估进行培训,资产识别,资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达
7、成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。,资产分类,风险评估中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者来灵活把握。 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。,风
8、险评估尚需探索、贵在实践,今年我有幸参加了国信办组织的一些试点工作 看到了试点单位的成绩和取得的经验,获益良多 也发现了还有不少问题急需探索和研究,参与了试点咨询工作,协助修订关于开展信息安全风险评估工作的意见,提供相关的咨询和技术支持。 参与试点的相关咨询工作 1、准备阶段:组织八个试点单位的相关人员进行培训,明确风险评估流程和风险评估准备阶段的任务,协助试点单位制定其风险评估实施方案。 标准培训 试点方案编制的培训 2、实施阶段:调研试点方案实施情况,了解试点单位对评估及管理的流程、方法、工具的使用存在的问题,充实和完善标准。 选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试点
9、工作过程中存在的问题,为两个标准的完善提供实践素材; 进行试点中期总结,为指导意见提供阶段性素材; 根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作,参与了试点咨询工作(续),总结阶段:协助国信办汇总试点工作情况,总结修改意见,并完善标准。 在各试点单位正式总结之前,召开专家组评审会; 为国信办试点工作总结提供基础素材。 标准的完善 充实和完善信息安全风险评估指南和信息安全风险管理指南,通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法和规范的研究。,试点工作与标准验证,试点工作对去年国信办组织制定的两项试行标准进行了验证,提出了修订建议 绝大多数试点单位大都参
10、照了去年国信办和国家安标委组织编写的信息安全风险评估指南及信息安全风险管理指南。 试点单位大都结合自身的具体情况,选择了相应的评估方法和适当的安全控制措施及管理流程,实践经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。,收获和体会,提高了对风险评估工作的认识和理解 方法科学、机制长效 为国信办风险评估工作文件起草积累了素材 检验了标准,两项试行标准得到了基本肯定 初步规范了评估内容,演练了评估的实施流程 体现了创新,积累了成果,培训了人才,试点工作技术上特点,方法科学,积极探索 既注意了统一规范,又坚持了方法的多样性 注意遵循和验证标准(讨论稿) 试行了部分评估技术方
11、法,重视了评估的科学性 评估方法的百花齐放和创新性 注意控制了评估自身的风险 及时总结经验和问题,典型方法之一:综合风险计算法,评估过程规范化 摸清家底:划分资产类型,建立重要资产清单,识别资产重要性 分析威胁和分析脆弱性两种途径 按层次分析脆弱性 判定安全时间及其影响 计算威胁风险值 制定风险控制措施,典型方法之一:计算系统综合风险(续),资产综合风险计算三种做法 选择该资产中分析风险最高的作为风险,乘以资产值,作为该资产风险 将资产中每一威胁的风险之于资产值相乘,得到多个资产的风险值 构建模型,进行综合计算 综合风险: R=V*cRti*Qc+ARti*QA+IRti*Qi 其中R:总风险
12、,V:该资产得分, 为威胁累计 C:机密性,I:完整性,A:可用性,典型方法之二:差距分析,风险评估方法-差距分析法 建立分析模型 在风险评估中通过识别、判断和分析目标系统的安全现状与安全要求之间的差距确定系统风险的分析方法。也就是说,目标系统的可接受风险和系统残余风险间的差距就是系统存在的风险。,构建差距分析法模型,风险分析模型,差距分析法的实施路径,步骤一 :调研目标系统状况 步骤二:确定信息系统安全要求 任务1:确定信息系统安全等级 任务2:确定和规范化描述信息系统的安全要求 步骤三:评估信息系统安全现状 任务1:信息系统安全现状评估报告 步骤四:对信息安全风险进行差距分析和风险计算 任
13、务1:评估信息系统安全现状对信息系统安全要求的符合程度,即信息系统现有安全措施在当前系统运行环境下是否满足其安全要求 任务2:对信息系统安全执行能力进行评估,评估信息系统安全级(包括技术架构能力级、工程能力级和管理能力级的评定),与要达到目标的安全等级 步骤五:用户根据信息系统安全风险评估的结果进行风险控制,形成满足其信息系统安全要求的信息系统安全保障能力。,典型方法之三:量化风险,对风险量化计算方法进行扩展 风险的计算方法目前还没有明细的技术标准,通常效果比较好的计算方式为: RATV=E*D;T=Ts*Tf,EATs,D= Tf* V 其中R为风险值, A为资产价值,T为威胁值,V为脆弱性
14、值,E为资产损失产生的影响,D为资产暴露程度,Ts为威胁的严重程度,Tf为威胁发生的可能性。,典型方法之三:量化风险(续),在本次试点中,结合试点单位评估实践经验、以及行业管理特性,有的试点单位对风险计算方法进行了如下的扩展: 其中:c代表“机密性方面的”、i代表“完整性方面的”、a代表“可用性方面的”,t代表“技术方面的”、m代表“管理方面的”、o代表“运维方面的”、W为技术、运维和管理脆弱性之间的相关性,Wt 、Wm 、Wo 之和等于1。,典型方法之四:面向关键信息资产的评估方法 (续),威胁路径分析法 面向关键信息资产的层次分析法 利用等级保护支撑平台的评估方法,试点工作出现了一批成果,
15、上海市的风险评估管理软件 评估模型和方法的创新与探索 北京市利用了已有的工具平台,形成了评估辅助工具平台 黑龙江提出了基于模糊综合判定理论的风险评估判定方法 既有量化的探索,也有定性为主的探索 云南提出了增加业务流分析和已有控制措施的有效性识别或判定,试点工作出现了一批成果(续),国家税务总局提出了差距分析法,细化了流程 国电公司提出了符合行业特点的方法,初步形成了行业安全评估方法论,涵盖了安全定义、安全评测和风险分析的全过程,试点工作发现的问题,技术 评测工具, 缺乏统一的要求和资质认定 模拟环境或联机旁路测试环境的不完备和缺乏 测试深度的不平衡 管理 标准规范 试行标准指南总体得到肯定,但
16、尚需进一步完善,下一步建议,认真总结经验 统一规划、建立制度。制定国家基础网络和重要信息系统的风险评估总体规划以及“十一五”期间的工作计划。积极推进风险评估基本管理制度的建立;应尽快就国家基础信息网络和重要信息系统风险评估工作所涉及的领导体制、协调机制、认证与认可、监管和督察、评估时间、评估对象、评估范围、评估方式、评估人员资质、评估结果发布和备案等内容,进一步开展研究,形成风险评估工作管理法规制度 加快建立、逐步完善标准规范体系。标准规范是推广和实施风险评估工作的法律依据和技术保障,要加快风险评估管理与技术标准的制定和完善, 研究评估机构服务标准、资质认可与资质的核查评估的管理办法;尽快出台国家标准。,建设独立自主、符合国际惯例的风险评估技术支撑体系,举国家之力,支持建设独立自主、符合国际惯例的风险评估技术支撑体系。 建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境; 落实开发相关技术和产品的攻关项目。通过研发自主关键技术和设备,满足国家网络基础设施和重要信息系统的风险评估需求,支持安全评估应用 逐步建立符合国际惯例、达到
