（高职）9 风险测评与评估ppt课件.ppt

9 风险测评与评估风险测评与评估ppt课件课件信息安全基础信息安全基础第第9章章 风险测评与评估风险测评与评估【学习目标】【学习目标】l了解什么是信息安全测评；了解什么是信息安全测评；l了解什么是风险评估；了解什么是风险评估；l知道信息安全测评与风险评估之间的关系是什知道信息安全测评与风险评估之间的关系是什么；么；l了解信息系统风险测评与风险评估的方法。了解信息系统风险测评与风险评估的方法。案例导读案例导读l首席信息安全官关于安全的贴士（视频）首席信息安全官关于安全的贴士（视频）课程思政课程思政l等保等保2.0的意义的意义9.1信息系统安全测评信息系统安全测评l信息安全测评是信息安全工程学科的一个分支信息安全测评是信息安全工程学科的一个分支。测评人员扮演的是。测评人员扮演的是“质量监察员、监督员、质量监察员、监督员、审核员审核员”的角色。测评工作就是在国际标准化的角色。测评工作就是在国际标准化组织（组织（ISO，International Organization For Standardization）和世界各国根据自身特点）和世界各国根据自身特点颁布实施的各种标准规范的框架之内进行的，颁布实施的各种标准规范的框架之内进行的，即即“贯标贯标”。9.1信息系统安全测评信息系统安全测评l我国的信息系统安全测评就是依据我国的信息系统安全测评就是依据等级保护等级保护对信息系统所采取的安全措施是否满足相应对信息系统所采取的安全措施是否满足相应的等级要求进行符合性测试，对信息系统的安的等级要求进行符合性测试，对信息系统的安全现状进行评价的过程。测评者应对相应的国全现状进行评价的过程。测评者应对相应的国家标准非常熟悉，包括家标准非常熟悉，包括信息安全技术信息安全技术 网络网络安全等级保护定级指南安全等级保护定级指南（GB/T 22240-2020）、）、网络安全等级保护基本要求网络安全等级保护基本要求（GB/T 22239）等国家相关标准；还应具备相应测评）等国家相关标准；还应具备相应测评方法和技能。方法和技能。9.1.1信息安全技术信息安全技术 网络安全等级保护网络安全等级保护定级指南定级指南（GB/T 22240-2020）1 信息系统安全保护等级信息系统安全保护等级根据等级保护相关文件，信息系统的安全保护等根据等级保护相关文件，信息系统的安全保护等级分为以下五级：级分为以下五级：l第一级：信息系统受到破坏后，会对公民、法第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。国家安全、社会秩序和公共利益。l第二级：信息系统受到破坏后，会对公民、法第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国对社会秩序和公共利益造成损害，但不损害国家安全。家安全。9.1.1信息安全技术信息安全技术 网络安全等级保护网络安全等级保护定级指南定级指南（GB/T 22240-2020）l第三级：信息系统受到破坏后，会对社会秩序第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造和公共利益造成严重损害，或者对国家安全造成损害。成损害。l第四级：信息系统受到破坏后，会对社会秩序第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安和公共利益造成特别严重损害，或者对国家安全造成严重损害。全造成严重损害。l第五级：信息系统受到损坏后，会对国家安全第五级：信息系统受到损坏后，会对国家安全造成特别严重损害。造成特别严重损害。9.1.1信息安全技术信息安全技术 网络安全等级保护网络安全等级保护定级指南定级指南（GB/T 22240-2020）2 信息系统安全保护等级的定级要素信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。体造成侵害的程度。l受侵害的客体受侵害的客体，等级保护对象受到破坏时所侵等级保护对象受到破坏时所侵害的客体包括以下三个方面：害的客体包括以下三个方面：l（1）公民、法人和其他组织的合法权益）公民、法人和其他组织的合法权益l（2）社会秩序、公共利益）社会秩序、公共利益l（3）国家安全）国家安全9.1.1信息安全技术信息安全技术 网络安全等级保护网络安全等级保护定级指南定级指南（GB/T 22240-2020）表表9-1 定级要素与信息系统安全保护等级的关系定级要素与信息系统安全保护等级的关系3 定级要素与等级的关系定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表定级要素与信息系统安全保护等级的关系如表9-1所示。所示。9.1.2网络安全等级保护基本要网络安全等级保护基本要求求（GB/T 22239-2019）1 等级保护等级保护2.0时代的到来时代的到来 随着信息技术的发展随着信息技术的发展, 已有已有10多年历史的多年历史的GB/T 22239-2008在时效性、易用性、可操作性上需在时效性、易用性、可操作性上需要进一步完善。要进一步完善。2017年中华人民共和国网络安年中华人民共和国网络安全法颁布实施全法颁布实施, 为了配合国家落实网络安全等为了配合国家落实网络安全等级保护制度，级保护制度，2019年信息安全技术年信息安全技术 网络安全网络安全等级保护基本要求等级保护基本要求(GB/T 22239-2019)将正式将正式实施，信息系统等级保护迎来实施，信息系统等级保护迎来2.0时代。时代。GB/T 22239-2019带来以下主要变化：带来以下主要变化：。9.1.2网络安全等级保护基本要求网络安全等级保护基本要求 （GB/T 22239-2019）2. 等保等保2.0在总体结构方面的主要变化在总体结构方面的主要变化：（1）为适应网络安全法为适应网络安全法, 配合落实网络安全等配合落实网络安全等级保护制度级保护制度, 标准的名称由原来的信息系统标准的名称由原来的信息系统安全等级保护基本要求改为网络安全等级安全等级保护基本要求改为网络安全等级保护基本要求。保护基本要求。l（2）等级保护对象由原来的信息系统调整为）等级保护对象由原来的信息系统调整为基础信息网络、信息系统基础信息网络、信息系统(含采用移动互联技含采用移动互联技术的系统术的系统)、云计算平台、云计算平台/系统、大数据应用系统、大数据应用/平平台台/资源、物联网和工业控制系统等。资源、物联网和工业控制系统等。l（3）将原来各个级别的安全要求分为安全通）将原来各个级别的安全要求分为安全通用要求和安全扩展要求用要求和安全扩展要求, 安全扩展要求包括云安全扩展要求包括云计算安全扩展要求、移动互联安全扩展要求、计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩物联网安全扩展要求以及工业控制系统安全扩展要求。安全通用要求是不管等级保护对象形展要求。安全通用要求是不管等级保护对象形态如何必须满足的要求态如何必须满足的要求; 针对云计算、移动互针对云计算、移动互联、物联网和工业控制系统提出的特殊要求称联、物联网和工业控制系统提出的特殊要求称为安全扩展要求。为安全扩展要求。l（4）原来基本要求中各级技术要求的）原来基本要求中各级技术要求的“物理物理安全安全”、“ 网络安全网络安全”、”主机安全主机安全”、“应应用安全用安全”和和”数据安全和备份与恢复数据安全和备份与恢复”修订为修订为“安全物理环境安全物理环境”、“安全通信网络安全通信网络”、“安全区安全区域边界域边界”、“ 安全计算环境安全计算环境”和和“ 安全管理中心安全管理中心”;原各级管理要求的原各级管理要求的“安全管理制度安全管理制度”、“安全安全管理机构管理机构”、“人员安全管理人员安全管理”、“系统建设管理系统建设管理”和和“系统运维管理系统运维管理”修订为修订为“安全管理制度安全管理制度”、“安全管理机构安全管理机构”、“安全管理人员安全管理人员”、“安全建安全建设管理设管理”和和“安全运维管理安全运维管理”。l（5）云计算安全扩展要求针对云计算环境的）云计算安全扩展要求针对云计算环境的特点提出。主要内容包括特点提出。主要内容包括“基础设施的位置基础设施的位置”、“虚拟化安全保护虚拟化安全保护”、“镜像和快照保护镜像和快照保护”、“云计算环境管理云计算环境管理”和和“云服务商选择云服务商选择”等等。l（6）移动互联安全扩展要求针对移动互联的）移动互联安全扩展要求针对移动互联的特点提出。主要内容包括特点提出。主要内容包括“ 无线接入点的物无线接入点的物理位置理位置”、“移动终端管控移动终端管控”、“移动应用管移动应用管控控”、“移动应用软件采购移动应用软件采购”和和“移动应用软移动应用软件开发件开发”等。等。l（7）物联网安全扩展要求针对物联网的特点）物联网安全扩展要求针对物联网的特点提出。主要内容包括提出。主要内容包括“感知节点的物理防护感知节点的物理防护”、“感知节点设备安全感知节点设备安全”、“网关节点设备安网关节点设备安全全”、“感知节点的管理感知节点的管理”和和“数据融合处理数据融合处理”等。等。l（8）工业控制系统安全扩展要求针对工业控）工业控制系统安全扩展要求针对工业控制系统的特点提出。主要内容包括制系统的特点提出。主要内容包括“室外控制室外控制设备防护设备防护”、“工业控制系统网络架构安全工业控制系统网络架构安全”、“拨号使用控制拨号使用控制”、“无线使用控制无线使用控制” 和和“控制设备安全控制设备安全”等。等。l（9）取消了原来安全控制点的）取消了原来安全控制点的S、A、G标注标注, 增加附录增加附录A“ 关于安全通用要求和安全扩展要关于安全通用要求和安全扩展要求的选择和使用求的选择和使用”,描述等级保护对象的定级描述等级保护对象的定级结果和安全要求之间的关系结果和安全要求之间的关系, 说明如何根据定说明如何根据定级的级的S、A结果选择安全要求的相关条款结果选择安全要求的相关条款, 简化简化了标准正文部分的内容。了标准正文部分的内容。l（10）增加附录）增加附录C描述等级保护安全框架和关描述等级保护安全框架和关键技术、附录键技术、附录D描述云计算应用场景、附录描述云计算应用场景、附录E描述移动互联应用场景、附录描述移动互联应用场景、附录F描述物联网应描述物联网应用场景、附录用场景、附录G描述工业控制系统应用场景、描述工业控制系统应用场景、附录附录H描述大数据应用场景。描述大数据应用场景。9.2风险评估风险评估信息安全风险评估的目的和意义信息安全风险评估的目的和意义信息安全风险评估有助于认清信息安全环境和信信息安全风险评估有助于认清信息安全环境和信息安全状况，提高信息安全保障能力，其目的息安全状况，提高信息安全保障能力，其目的和意义体现在以下几个方面。和意义体现在以下几个方面。l信息安全风险评估是科学分析并确定风险的过信息安全风险评估是科学分析并确定风险的过程程l信息安全风险评估是信息安全建设的起点和基信息安全风险评估是信息安全建设的起点和基础础l信息安全风险评估是需求主导和突出重点原则信息安全风险评估是需求主导和突出重点原则的具体体现的具体体现l信息安全风险评估是组织机构实现信息系统安信息安全风险评估是组织机构实现信息系统安全的重要步骤全的重要步骤信息安全风险评估的原则信息安全风险评估的原则信息安全风险评估的原则包括以下几项。信息安全风险评估的原则包括以下几项。l可控制原则可控制原则l完整性原则完整性原则l最小影响原则最小影响原则l保密原则保密原则信息安全风险评估的相关概念信息安全风险评估的相关概念l信息安全风险评估的概念信息安全风险评估的概念信息安全风险评估是依据有关信息安全技术与管信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所设计的资产价值来能性，并结合安全事件所设计的资产价值来判断安全事件一旦发生对组织造成的影响。判断安全事件一旦发生对组织造成的影响。信息安全风险评估的相关概念信息安全风险评估的相关概念2.信息安全风险评估和风险管理的关系信息安全风险评估和风险管理的关系信息安全风险评估是信息风险管理的一个阶段，信息安全风险评估是信息风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风只是在更大的风险管理流程中的一个评估风险的一个阶段。险的一个阶段。3.信息安全风险评估的两种方式信息安全风险评估的两种方式根据风险评估发起者的不同，信息安全风险评估根据风险评估发起者的不同，信息安全风险评估分为自评估、检查评估两种方式。自评估和分为自评估、检查评估两种方式。自评估和检查评估可以依靠自身技术力量进行，也可检查评估可以依靠自身技术力量进行，也可以委托第三方专业机构进行。以委托第三方专业机构进行。信息安全风险评估的相关概念信息安全风险评估的相关概念（1）自评估）自评估自评估是指信息系统拥有、运营或使用单位发起自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估，以发现的对本单位信息系统进行的风险评估，以发现信系统现有弱点、实施安全管理为目的，是信信系统现有弱点、实施安全管理为目的，是信息安全风险评估的主要形式。息安全风险评估的主要形式。（2）检查评估）检查评估检查评估是指信息系统上级管理部门或信息安全检查评估是指信息系统上级管理部门或信息安全职能部门的信息安全风险评估，是通过行政手职能部门的信息安全风险评估，是通过行政手段加强信息安全的重要措施。段加强信息安全的重要措施。信息安全风险评估的相关概念信息安全风险评估的相关概念4.信息安全风险评估的分类信息安全风险评估的分类在进行风险评估时，应当针对不同的环境和安全在进行风险评估时，应当针对不同的环境和安全要求选择恰当的风险评估种类，目前，实际操要求选择恰当的风险评估种类，目前，实际操作中经常使用的风险评估包括基线风险评估、作中经常使用的风险评估包括基线风险评估、详细风险评估、联合风险评估。详细风险评估、联合风险评估。l基线风险评估基线风险评估l详细风险评估详细风险评估l联合风险评估联合风险评估9.3信息安全测评与风险评估的关信息安全测评与风险评估的关系系l风险评估是等级保护制度建设的基础风险评估是等级保护制度建设的基础l等级保护和风险评估的宏观联系等级保护和风险评估的宏观联系l风险评估是信息安全等级保护的技术支撑风险评估是信息安全等级保护的技术支撑l风险评估在等级保护周期中的作用风险评估在等级保护周期中的作用等级保护的三个阶段是系统定级、安全实施和安等级保护的三个阶段是系统定级、安全实施和安全运维，风险评估作为用户自主的一种技术全运维，风险评估作为用户自主的一种技术手段可以运用到等级保护周期的三个阶段中手段可以运用到等级保护周期的三个阶段中。等级保护的三个阶段和风险评估的关系如。等级保护的三个阶段和风险评估的关系如图图9-1所示。所示。等级保护的三个阶段和风险评估等级保护的三个阶段和风险评估的关系的关系图图9-1 等级保护的三个阶段和风险评估的关系等级保护的三个阶段和风险评估的关系9.3信息安全测评与风险评估的关信息安全测评与风险评估的关系系5.风险评估在等级保护层次中的应用风险评估在等级保护层次中的应用风险评估不但在等级保护周期的各阶段发挥着重风险评估不但在等级保护周期的各阶段发挥着重要的作用，在等级保护的各层次中也不可或缺要的作用，在等级保护的各层次中也不可或缺9.4项目小实验项目小实验9.4.1 网络信息系统风险测评举例网络信息系统风险测评举例l【实验名称实验名称】安全通信网络测评安全通信网络测评l【实验内容及原理实验内容及原理】l在等级保护在等级保护2.0标准标准“安全通信网络安全通信网络”安全测评安全测评通用标准主要包括通用标准主要包括“网络架构网络架构”、“通信传输通信传输”和和“可信验证可信验证”三个控制点。根据事先的评定等级三个控制点。根据事先的评定等级，测评的网络信息系统安全等级是，测评的网络信息系统安全等级是3级，共计级，共计8个测评点。个测评点。9.4.1 信息系统风险测评举例信息系统风险测评举例【实验环境实验环境】根据具体的测评项目而定。根据具体的测评项目而定。【实验步骤实验步骤】l主机安全访谈调研主机安全访谈调研l主机安全现场检查主机安全现场检查l主机安全测试阶段主机安全测试阶段信息系统评估案例信息系统评估案例【实验名称实验名称】网络信息系统威胁识别网络信息系统威胁识别【实验内容及原理实验内容及原理】风险评估实施流程：准备阶段、风险要素（资产风险评估实施流程：准备阶段、风险要素（资产，威胁，脆弱性，安全措施）识别阶段、分析，威胁，脆弱性，安全措施）识别阶段、分析阶段、控制及规划阶段、总结汇报阶段、验收阶段、控制及规划阶段、总结汇报阶段、验收阶段。阶段。现在以威胁识别为例说明风险要素的识别。现在以威胁识别为例说明风险要素的识别。信息系统评估案例信息系统评估案例l威胁识别要对需要保护的每项关键资产进行威威胁识别要对需要保护的每项关键资产进行威胁识别，一项资产可能面临着多个威胁，同样胁识别，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别出一个威胁可能对不同的资产造成影响。识别出威胁源以及威胁影响的资产是什么，即确认威威胁源以及威胁影响的资产是什么，即确认威胁的主体和客体。胁的主体和客体。l威胁识别的方法：问卷法、问询、威胁识别的方法：问卷法、问询、IDS取样、取样、日志分析（操作系统、网络设备和防火墙的日日志分析（操作系统、网络设备和防火墙的日志）等。志）等。信息系统评估案例信息系统评估案例l威胁识别的信息来源：信息安全管理的有关人威胁识别的信息来源：信息安全管理的有关人员、相关商业过程中获得，如内部的职员、设员、相关商业过程中获得，如内部的职员、设备策划和备策划和IT专家，也包括组织内部负责安全的专家，也包括组织内部负责安全的人员。人员。l参加人员：此项工作应由系统的网络管理员、参加人员：此项工作应由系统的网络管理员、系统管理员、数据库管理员、安全管理员、用系统管理员、数据库管理员、安全管理员、用户等相关运行维护人员，以及实施方相应小组户等相关运行维护人员，以及实施方相应小组成员参加。成员参加。信息系统评估案例信息系统评估案例【实验环境实验环境】XX银行国际业务系统。（读者可以根据各自的银行国际业务系统。（读者可以根据各自的条件选择某信息系统进行实践）条件选择某信息系统进行实践）【实验步骤实验步骤】下面以下面以XX银行国际业务系统面临的威胁为例，银行国际业务系统面临的威胁为例，来识别信息安全威胁。来识别信息安全威胁。根据威胁出现频率的不同，将它分为根据威胁出现频率的不同，将它分为5个不同的个不同的等级。以此属性来衡量威胁，具体的判断准则等级。以此属性来衡量威胁，具体的判断准则如表如表9-3所示。所示。信息系统评估案例信息系统评估案例表表9-3 威胁出现频率判断准则威胁出现频率判断准则信息系统评估案例信息系统评估案例通过问卷调查法进行威胁识别，如通过问卷调查法进行威胁识别，如9-4所示的调查表。所示的调查表。表表9-4 威胁识别调查表威胁识别调查表信息系统评估案例信息系统评估案例国际业务系统潜在的安全威胁和安全威胁种类如表国际业务系统潜在的安全威胁和安全威胁种类如表9-5所示。所示。信息系统评估案例信息系统评估案例表表9-6 国际业务系统面临的安全威胁种类国际业务系统面临的安全威胁种类9.5习题习题l等级保护等级保护2.0 相对比相对比1.0，有哪些新的变化？，有哪些新的变化？l信息安全风险评估的目的和意义是什么？信息安全风险评估的目的和意义是什么？l信息安全风险评估的原则是什么？信息安全风险评估的原则是什么？l什么是信息安全风险评估？什么是信息安全风险评估？l信息安全风险评估的两种方式是什么？信息安全风险评估的两种方式是什么？l信息安全测评与风险评估的关系是什么？信息安全测评与风险评估的关系是什么？