信息安全风险评估技术简介.ppt

信息安全风险评估技术简介信息安全风险评估技术简介宁家骏宁家骏（国家信息中心信息安全研究与服务中心国家信息中心信息安全研究与服务中心）2005.12第一页，编辑于星期六：十六点 十五分。提提纲纲一、信息安全形势需要评估一、信息安全形势需要评估二、信息化风险及风险管理研究二、信息化风险及风险管理研究 三、信息安全风险评估技术导引三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵四、信息安全风险评估试点经验宝贵第二页，编辑于星期六：十六点 十五分。加强信息安全保障工作是当前形势的加强信息安全保障工作是当前形势的需要需要n落实落实2727号文件，一手抓信息化，一手抓安号文件，一手抓信息化，一手抓安全，全，n谁主管谁负责，谁运营谁负责谁主管谁负责，谁运营谁负责n积极防御、综合防范积极防御、综合防范n重点保障网络基础设施和重要信息系统的重点保障网络基础设施和重要信息系统的安全安全n正确处理等级保护与风险评估的关系正确处理等级保护与风险评估的关系n加强信息安全基础设施建设加强信息安全基础设施建设第三页，编辑于星期六：十六点 十五分。我国信息安全问题的突出表现我国信息安全问题的突出表现n病病毒毒肆肆虐虐、黑黑客客侵侵扰扰、系系统统故故障障等等造造成成的的经经济济损损失失呈逐年增长态势呈逐年增长态势n境境外外敌敌对对势势力力利利用用信信息息通通讯讯网网络络造造谣谣诽诽谤谤、组组织织动动员员、煽煽动动闹闹事事和和破破坏坏；国国外外反反华华势势力力加加大大对对我我意意识识形态和文化渗透。形态和文化渗透。n不不良良和和有有害害信信息息屡屡禁禁不不止止，利利用用信信息息网网络络技技术术从从事事犯犯罪罪活活动动日日益益猖猖獗獗，网网络络群群体体层层出出不不穷穷，网网上上舆舆论论传播直接影响社会稳定。传播直接影响社会稳定。n通通讯讯与与信信息息网网络络上上失失密密、泄泄密密及及窃窃密密事事件件时时有有发发生生。直接影响到政府管理效率和公众形象直接影响到政府管理效率和公众形象。第四页，编辑于星期六：十六点 十五分。环境和背景环境和背景n近年来，我国经济社会持续快速发展发展，信息化步伐近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批宝贵的信息资产。步建设和积累了一批宝贵的信息资产。n与之而来的各类计算机犯罪及与之而来的各类计算机犯罪及“黑客黑客”攻击网络事件屡有发攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。会稳定构成了威胁。n计算机互联网络涉及社会经济生活各个领域，并直接与计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治世界相联，可以说是国家的一个政治“关口关口”，一条经，一条经济济“命脉命脉”。网络与信息安全已上升为一个事关国家政。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。建设的全局性问题。第五页，编辑于星期六：十六点 十五分。我国面临的信息安全问题的性质我国面临的信息安全问题的性质n我国面临的信息安全问题已不再是一个局部性和技术性我国面临的信息安全问题已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性安的问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。全问题。它不仅是一个它不仅是一个“不对称不对称”的高技术对抗问题，的高技术对抗问题，而且是一个直接影响国计民生、关乎国家安全而且是一个直接影响国计民生、关乎国家安全与政权稳定的现实问题。与政权稳定的现实问题。确保信息网络安全也正在成为新世纪国家安全确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。的重要基石和基本内涵。第六页，编辑于星期六：十六点 十五分。病毒等网络欺诈行为导致全球经济病毒等网络欺诈行为导致全球经济损失惊人损失惊人n最近最近GartnerGartner组织公布了一项研究报告：每年由于病毒等网络欺组织公布了一项研究报告：每年由于病毒等网络欺诈行为导致全球经济损失高达诈行为导致全球经济损失高达160160多亿美元。多亿美元。n“表哥，你最近还好吗？知道我是谁吗？看了我的相片你表哥，你最近还好吗？知道我是谁吗？看了我的相片你就知道了！就知道了！”这是在上海某银行上班的杨先生收到一封邮这是在上海某银行上班的杨先生收到一封邮件，谁知邮件还未打开，电脑出现了黑屏。杨先生还没有件，谁知邮件还未打开，电脑出现了黑屏。杨先生还没有弄清是哪个弄清是哪个“表妹表妹”发来的玉照便丢失了大量银行保密资发来的玉照便丢失了大量银行保密资料，给单位造成的损失无法估量。料，给单位造成的损失无法估量。n去年去年6 6月浙江警方破获一起月浙江警方破获一起“黑客窃取网游密码案黑客窃取网游密码案”，单单，单单一个黑客就窃取网游账号一个黑客就窃取网游账号6 6万多个，价值上百万元。万多个，价值上百万元。n去年去年6 6月月3 3日至日至9 9月月1919日，就发现较大规模僵尸网络日，就发现较大规模僵尸网络5959个，平均每个，平均每天发现天发现3 3万个受黑客控制的万个受黑客控制的“僵尸僵尸”计算机。计算机。n包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大行其道，它们侵入用户电脑安装插件和后门程序，窃取个人行其道，它们侵入用户电脑安装插件和后门程序，窃取个人信息，一年之内使自己的流量上升信息，一年之内使自己的流量上升600%600%；而通过设立搏彩、；而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等，更是数低价网络购物等欺诈性网站直接骗取用户钱财等等，更是数不胜数。不胜数。第七页，编辑于星期六：十六点 十五分。从鸩酒到慢药：从鸩酒到慢药：“混合性威胁混合性威胁”的时代的时代已经到来已经到来n根据根据IDCIDC最新的调查结果，如今计算机用户面临的三项最严最新的调查结果，如今计算机用户面临的三项最严重的安全威胁依次是垃圾邮件、重的安全威胁依次是垃圾邮件、DdoSDdoS攻击和网上欺诈。与攻击和网上欺诈。与前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈爆发前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈爆发不同，近年来各种各样的不同，近年来各种各样的“谍件谍件”或恶意代码开始在网上或恶意代码开始在网上肆虐，其疯狂程度已超过了传统的病毒威胁。肆虐，其疯狂程度已超过了传统的病毒威胁。n倘若把病毒比作剧毒的鸩酒，那么倘若把病毒比作剧毒的鸩酒，那么“间谍软件间谍软件”就如同就如同小说里的小说里的“慢药慢药”，毒性更强，中毒后还不易被察觉。，毒性更强，中毒后还不易被察觉。由于利益驱动，由于利益驱动，“间谍软件间谍软件”大都采用巧妙的形式潜伏大都采用巧妙的形式潜伏于用户的个人电脑中，它们更难被被发现，却能窃取用于用户的个人电脑中，它们更难被被发现，却能窃取用户宝贵个人资料，以非法获利，这就是户宝贵个人资料，以非法获利，这就是“网上欺诈网上欺诈”。n今天用户面对的安全威胁更复杂，经常是由多种善变的威今天用户面对的安全威胁更复杂，经常是由多种善变的威胁组成的胁组成的“混合型威胁混合型威胁”，包括病毒、蠕虫、间谍软件、，包括病毒、蠕虫、间谍软件、拒绝服务攻击等。网络安全问题正日益严峻。拒绝服务攻击等。网络安全问题正日益严峻。第八页，编辑于星期六：十六点 十五分。科科研研、产产业业与与服服务务体体系系技技术术与与管管理理标标准准体体系系国家信息安全国家信息安全国家信息安全国家信息安全保障体系保障体系保障体系保障体系第九页，编辑于星期六：十六点 十五分。提提纲纲一、信息安全形势依然严峻一、信息安全形势依然严峻二、信息化风险及风险管理研究二、信息化风险及风险管理研究 三、信息安全风险评估技术导引三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵四、信息安全风险评估试点经验宝贵第十页，编辑于星期六：十六点 十五分。二、信息化风险及风险管理研究二、信息化风险及风险管理研究n随着信息化的发展，信息化的风险与风随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组险管理问题已经成为各个国家、国际组织所普遍关注的问题。织所普遍关注的问题。n信息化的风险管理，其中信息安全风险信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。息化能否健康发展的重大问题。第十一页，编辑于星期六：十六点 十五分。2.1 2.1 信息化风险的定义信息化风险的定义n风险指行动或者事件的结果的不确定性风险指行动或者事件的结果的不确定性（uncertainty of outcomeuncertainty of outcome）。）。n信息化的风险被界定为信息化可能或者实信息化的风险被界定为信息化可能或者实际带来的消极威胁。际带来的消极威胁。n风险管理泛指评估风险、确认风险、回应风险管理泛指评估风险、确认风险、回应风险的过程。风险的过程。第十二页，编辑于星期六：十六点 十五分。2.2 2.2 信息安全基本属性信息安全基本属性n机密性机密性 Confidentiality Confidentialityn完整性完整性 Integrity Integrityn可用性可用性 Availability Availability第十三页，编辑于星期六：十六点 十五分。2.3 2.3 信息化风险的主要特征信息化风险的主要特征 n全球性全球性n传染性传染性n复杂性复杂性n隐蔽性隐蔽性 第十四页，编辑于星期六：十六点 十五分。信息安全范畴信息安全范畴安全组织访问控制业务不间断运转物理安全等等入侵预防与检测第十五页，编辑于星期六：十六点 十五分。2.4 2.4 信息化风险的内在原因信息化风险的内在原因 基本原因在于内因，由信息化自身的特点所基本原因在于内因，由信息化自身的特点所决定：决定：n第一，信息化的无疆界特征；第一，信息化的无疆界特征；n第二，信息化的低成本特征；第二，信息化的低成本特征；n第三，信息化的开放性特征；第三，信息化的开放性特征；n第四，信息化的匿名性特征。第四，信息化的匿名性特征。第十六页，编辑于星期六：十六点 十五分。n第一，自然灾害；第一，自然灾害；n第二，误操作和安全生产事故；第二，误操作和安全生产事故；n第三，病毒、蠕虫以及网络攻击；第三，病毒、蠕虫以及网络攻击；n第四，由于信任体系不完善，借助信息化手段进第四，由于信任体系不完善，借助信息化手段进行欺诈；行欺诈；n第五，因内部因素而造成的信息、数据的修改和第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；丢失和内部泄密；n第六，因外部因素造成信息、数据的泄露、篡改和第六，因外部因素造成信息、数据的泄露、篡改和丢失；丢失；n第七，安全防范措施不到位的高端技术。第七，安全防范措施不到位的高端技术。2.5 2.5 信息化风险的外部原因信息化风险的外部原因第十七页，编辑于星期六：十六点 十五分。2.6我国信息安全风险的生成机理我国信息安全风险的生成机理第一，战略能力不足，规划不明确。第一，战略能力不足，规划不明确。n（1）缺乏项目的建设战略）缺乏项目的建设战略n（2）缺乏项目的中长期发展规划）缺乏项目的中长期发展规划n（3）缺乏明确项目的发展步骤）缺乏明确项目的发展步骤n（4）缺乏项目的阶段性绩效标准）缺乏项目的阶段性绩效标准第十八页，编辑于星期六：十六点 十五分。第二，领导与组织能力不到位，统筹协调不力第二，领导与组织能力不到位，统筹协调不力n领导对于风险管理的重视不足，忽视信息化项目的风险问题；领导对于风险管理的重视不足，忽视信息化项目的风险问题；n信息化目标的错误设定，片面追求某些指标，忽视质量；信息化目标的错误设定，片面追求某些指标，忽视质量；n信息孤岛问题以及跨部门之信息化进程的协调问题；信息孤岛问题以及跨部门之信息化进程的协调问题；n信息安全总体设计不到位；信息安全总体设计不到位；n项目建设规划、评估和监理存在缺位和不足项目建设规划、评估和监理存在缺位和不足2.62.6我国信息安全风险的生成机理（续）我国信息安全风险的生成机理（续）第十九页，编辑于星期六：十六点 十五分。第三，信息化管理的能力差，管理体系不成熟。第三，信息化管理的能力差，管理体系不成熟。n（1）对信息化管理的理念认识和关注不足；）对信息化管理的理念认识和关注不足；n（2）管理基础（包括信息化建设中决策机制、信息透明和）管理基础（包括信息化建设中决策机制、信息透明和公开、实施过程的监督等）不完善；公开、实施过程的监督等）不完善；n（3）缺乏信息化建设周期中质量控制和评估标准；）缺乏信息化建设周期中质量控制和评估标准；2.62.6我国信息安全风险的生成机理（续）我国信息安全风险的生成机理（续）第二十页，编辑于星期六：十六点 十五分。第四，安全子系统建设资金的预算和管理第四，安全子系统建设资金的预算和管理能力差能力差n（1）对信息系统未作风险评估和分析，安全子系统建）对信息系统未作风险评估和分析，安全子系统建设投资预算缺乏科学依据设投资预算缺乏科学依据或过度保护或过度保护或保护不力；或保护不力；n（2）总体资金支持不足；）总体资金支持不足；n（3）信息安全投资的回报难以监控和评估。）信息安全投资的回报难以监控和评估。2.62.6我国信息安全风险的生成机理（续）我国信息安全风险的生成机理（续）第二十一页，编辑于星期六：十六点 十五分。第五，人力资源不足第五，人力资源不足n（1）缺乏信息安全风险管理的人员）缺乏信息安全风险管理的人员n（2）缺乏具备信息安全管理能力和资格的人）缺乏具备信息安全管理能力和资格的人员；员；n（3）培训滞后于项目，培训效果差。）培训滞后于项目，培训效果差。2.62.6我国信息安全风险的生成机理（续）我国信息安全风险的生成机理（续）第二十二页，编辑于星期六：十六点 十五分。第六，法规、标准与政策滞后于信息化发展第六，法规、标准与政策滞后于信息化发展n相关法制工作滞后于信息化建设需求；相关法制工作滞后于信息化建设需求；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。基本法律，如政府信息公开法、政府信息资源管理法。其次，原有的一些法律已不能适应信息化时代的要求，如著作权其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。法、专利法、刑法等，亟待修订。再次，缺乏对信息安全风险的管理规范和技术标准。再次，缺乏对信息安全风险的管理规范和技术标准。2.62.6我国信息安全风险的生成机理（续我国信息安全风险的生成机理（续）第二十三页，编辑于星期六：十六点 十五分。第七，保护隐私，数据安全，技术管理方面的第七，保护隐私，数据安全，技术管理方面的不足。不足。在泄露隐私方面：在泄露隐私方面：n（1）不当授权他人或机构滥用用户信息；）不当授权他人或机构滥用用户信息；n（2）未遵循法律或法规制定相应的隐私和记录管理政策。）未遵循法律或法规制定相应的隐私和记录管理政策。在影响数据安全方面：在影响数据安全方面：n（1）工作人员对安全因素和措施缺乏足够认知；）工作人员对安全因素和措施缺乏足够认知；n（2）难以解决相关安全问题；）难以解决相关安全问题；n（3）病毒或黑客攻击导致系统瘫痪；）病毒或黑客攻击导致系统瘫痪；n（4）由于一个主要系统瘫痪导致其它系统的失灵。）由于一个主要系统瘫痪导致其它系统的失灵。2.62.6我国信息安全风险的生成机理（续）我国信息安全风险的生成机理（续）第二十四页，编辑于星期六：十六点 十五分。提提纲纲一、信息安全形势需要评估一、信息安全形势需要评估二、信息化风险及风险管理研究二、信息化风险及风险管理研究 三、信息安全风险评估技术导引三、信息安全风险评估技术导引 四、信息安全风险评估试点经验宝贵四、信息安全风险评估试点经验宝贵第二十五页，编辑于星期六：十六点 十五分。克服安全克服安全“亚健康亚健康”的必的必由之路由之路n医学专家告诉我们：医学专家告诉我们：人的躯体有健康、亚健康和患病等多种状态人的躯体有健康、亚健康和患病等多种状态但成年人多数处于亚健康状态但成年人多数处于亚健康状态如何确认和发现问题，必须体检如何确认和发现问题，必须体检n信息系统也一样，在安全状态方面，常常信息系统也一样，在安全状态方面，常常处于处于“亚健康亚健康”甚至患病状态，因此也要甚至患病状态，因此也要“体检体检”这就是风险评估这就是风险评估第二十六页，编辑于星期六：十六点 十五分。居安思危，思则有备n温总理：温总理：清醒就是要认识到我们已经取得的成绩，只是在现代清醒就是要认识到我们已经取得的成绩，只是在现代化的进程迈出了第一步，今后的路还更长，更艰苦。形势稍好，化的进程迈出了第一步，今后的路还更长，更艰苦。形势稍好，尤需兢慎。思所以危则安，思所以乱则治，思所以亡则存。尤需兢慎。思所以危则安，思所以乱则治，思所以亡则存。n左传云：左传云：“居安思危，思则有备，有备无患，敢以此规。居安思危，思则有备，有备无患，敢以此规。”安全风险评估同样蕴涵了这一思想。安全风险评估同样蕴涵了这一思想。n曾有一个关于名医扁鹊的传说。扁鹊有兄弟三人，有一次齐曾有一个关于名医扁鹊的传说。扁鹊有兄弟三人，有一次齐国国君问他：国国君问他：“其孰最善为医？其孰最善为医？”扁鹊答：两个哥哥都在自扁鹊答：两个哥哥都在自己之上。齐王不解。扁鹊说：两个哥哥都是治大病于小恙，己之上。齐王不解。扁鹊说：两个哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全显露，才能加以或者防病于未然，而他是直到病人病情完全显露，才能加以诊治。诊治。n扁鹊的话告诉我们一个简单的道理：事后控制不如事中控制，事中扁鹊的话告诉我们一个简单的道理：事后控制不如事中控制，事中控制不如事前控制。健康安全是这样，网络信息安全亦然。控制不如事前控制。健康安全是这样，网络信息安全亦然。第二十七页，编辑于星期六：十六点 十五分。风险评估的理念风险评估的理念n安全需要风险管理，信息安全更需要风安全需要风险管理，信息安全更需要风险管理险管理n风险评估是当前解决信息安全问题的风险评估是当前解决信息安全问题的重要手段重要手段第二十八页，编辑于星期六：十六点 十五分。风险评估是一种方法和依据风险评估是一种方法和依据n信息安全风险是由于资产的重要性，人为或自然的信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安断安全事件一旦发生对组织造成的影响，即信息安全的风险。全的风险。n信息安全风险评估是信息系统安全保障机制建立过程中信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。的一种评价方法，其结果为信息安全风险管理提供依据。第二十九页，编辑于星期六：十六点 十五分。信息安全风险评估的概念信息安全风险评估的概念n风险评估是对系统进行信息安全风险管理的基础，风险评估是对系统进行信息安全风险管理的基础，也是系统的使用单位或组织判定在系统的整个生也是系统的使用单位或组织判定在系统的整个生命周期中，有关风险级别的过程。其结果是残留命周期中，有关风险级别的过程。其结果是残留风险是否达到可接受水平的一个明确界定，或者风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降是一个是否应当实施额外的安全控制以进一步降低风险的结论。低风险的结论。n信息安全风险定义为有害事件发生的可能性和该事件信息安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。可能对组织的使命所产生影响的函数。为了确定这种可能性，需要对系统的威胁以及由此表现为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。出来的脆弱性进行分析。影响则是按照系统在单位任务实施中的重要程度来确定的。影响则是按照系统在单位任务实施中的重要程度来确定的。第三十页，编辑于星期六：十六点 十五分。对风险评估总体要求的理解n风险评估工作总体要求是：风险评估工作总体要求是：充分发挥和调动各方面力量，运用风险管理的思想，充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息安全需求，逐步建成有中国统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。特色的风险评估体系。评估我国基础信息网络和重要信息系统，掌握我国评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。取合适的应对措施，保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理验，不断探索，逐步完善我国风险评估工作的管理机制。机制。第三十一页，编辑于星期六：十六点 十五分。风险管理贯穿于信息系统生命周期的风险管理贯穿于信息系统生命周期的整个过程整个过程n风险管理是管理者权衡保护措施的运行和经济成本与获得风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。的收益之间关系的一个过程。n这个过程并不是这个过程并不是ITIT行业所独有的，实际上它遍及我们日常行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。生活中需要做出决定的任何事情。n进行风险管理的最终目的就是要在这种平衡关系下，将风险进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息安最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。全风险管理的根本原因。n所有与安全性相关的活动都是信息安全风险管理的组成部分。所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说，信息安全风险管理贯穿于系统生命周期的整个过程，可以说，信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发即初始阶段、开发/获取阶段、实施阶段、运行获取阶段、实施阶段、运行/维护阶段。维护阶段。第三十二页，编辑于星期六：十六点 十五分。美国美国NISTNIST提出的信息系统安全框架提出的信息系统安全框架 第三十三页，编辑于星期六：十六点 十五分。风险评估的过程风险评估的过程第三十四页，编辑于星期六：十六点 十五分。安全措施安全措施 抵御业务战略业务战略脆弱性脆弱性安全需求安全需求威胁威胁风险风险残余风险残余风险安全事件安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变 未被满足未控制可能诱发残留成本资产资产资产价值资产价值风险要素关系示意图风险要素关系示意图第三十五页，编辑于星期六：十六点 十五分。信息系统安全评估体系的构成信息系统安全评估体系的构成 第三十六页，编辑于星期六：十六点 十五分。风险分析的基本要素风险分析的基本要素n风险分析中要涉及资产、威胁、脆弱风险分析中要涉及资产、威胁、脆弱性等基本要素。性等基本要素。n每个要素有各自的属性每个要素有各自的属性资产的属性是资产价值；资产的属性是资产价值；威胁的属性是威胁出现的频率；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度脆弱性的属性是资产弱点的严重程度。第三十七页，编辑于星期六：十六点 十五分。资产识别n资产是具有价值的信息或资源，是安全策略保护的资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个安全属性的账面价格来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资的达成程度产生影响。为此，有必要对组织中的资产进行识别。产进行识别。第三十八页，编辑于星期六：十六点 十五分。资产识别资产识别n资产定义资产定义资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。码，也有服务、企业形象等。通常信息资产的机密性、完整性和可用性是公认的能够反映资产安全特性的通常信息资产的机密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。三个要素。资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。变化，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。n资产分类资产分类在一般的评估体中，资产大多属于不同的信息系统，如在一般的评估体中，资产大多属于不同的信息系统，如OAOA系统，网管系统，系统，网管系统，业务生产系统等。这时首先需要将信息系统及其中的信息资产进行恰当的分业务生产系统等。这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。类，才能在此基础上进行下一步的风险评估工作。n资产赋值资产赋值资产赋值是对资产安全价值的估价资产赋值是对资产安全价值的估价第三十九页，编辑于星期六：十六点 十五分。资产分类资产分类n风险评估中，资产大多属于不同的信息系统，如风险评估中，资产大多属于不同的信息系统，如OAOA系统、系统、网管系统、业务生产系统等，而且对于提供多种业务的网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。估者来灵活把握。n根据资产的表现形式，可将资产分为数据、软件、硬件、根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。文档、服务、人员等类。第四十页，编辑于星期六：十六点 十五分。威胁识别威胁识别n威胁定义威胁定义安全威胁是对机构及其资产构成潜在破坏的可能性因素或者安全威胁是对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。存在的事物，它是风险评估的重要因素之一。n威胁分类威胁分类n威胁赋值：威胁赋值：评估确定威胁发生的可能性是威胁评估阶段的重要工作，评评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者应根据经验和（或）有关的统计数据来判断威胁发生的估者应根据经验和（或）有关的统计数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受下列因素频率或者发生的概率。其中，威胁发生的可能性受下列因素影响：影响：n1 1、资产的吸引力；、资产的吸引力；n2 2、资产转化成报酬的容易程度；、资产转化成报酬的容易程度；n3 3、威胁的技术力量；、威胁的技术力量；n4 4、脆弱性被利用的难易程度。、脆弱性被利用的难易程度。第四十一页，编辑于星期六：十六点 十五分。脆弱性识别脆弱性识别n脆弱性定义脆弱性定义脆弱性评估也称为弱点评估，是风险评估中重要的内容。弱点是资脆弱性评估也称为弱点评估，是风险评估中重要的内容。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。和信息等各种资产的脆弱性。脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，为其赋相对等级值。利用的脆弱性，并对脆弱性的严重程度进行评估，为其赋相对等级值。脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。手动检查、文档审查、渗透测试等。n脆弱性分类脆弱性分类脆弱性主要从技术和管理两个方面进行评估，其中在技术方面主要是通过远程脆弱性主要从技术和管理两个方面进行评估，其中在技术方面主要是通过远程和本地两种方式进行系统扫描；管理脆弱性评估方面可以按照和本地两种方式进行系统扫描；管理脆弱性评估方面可以按照BS 7799BS 7799等标准等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足。理漏洞和不足。n脆弱性赋值脆弱性赋值第四十二页，编辑于星期六：十六点 十五分。风险识别n风险计算风险计算风险计算原理形式化描述为：风险计算原理形式化描述为：R=f(A,V,T)=f(Ia,L(Va,T)R=f(A,V,T)=f(Ia,L(Va,T)注：注：R R表示风险；表示风险；A A表示资产；表示资产；V V表示脆弱性；表示脆弱性；T T表示威胁；表示威胁；IaIa表示资产发生安全事件后对机构表示资产发生安全事件后对机构业务的影响业务的影响(也称为资产的重要程度也称为资产的重要程度)；VaVa表示表示某一资产本身的脆弱性，某一资产本身的脆弱性，L L表示威胁利用资产的表示威胁利用资产的脆弱性造成安全事件发生的可能性。脆弱性造成安全事件发生的可能性。第四十三页，编辑于星期六：十六点 十五分。不打无准备之仗不打无准备之仗做好做好准备准备n风险评估的准备是整个风险评估过程有效风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前，应：性的保证。在风险评估实施前，应：确定风险评估的目标；确定风险评估的目标；确定风险评估的范围；确定风险评估的范围；组建适当的评估管理与实施团队；组建适当的评估管理与实施团队；选择与组织相适应的具体的风险判断方法；选择与组织相适应的具体的风险判断方法；获得最高管理者对风险评估工作的支持。获得最高管理者对风险评估工作的支持。第四十四页，编辑于星期六：十六点 十五分。风险评估的准备风险评估的准备n风险评估的准备过程是组织进行风险评估风险评估的准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保的基础，是整个风险评估过程有效性的保证。证。确定风险评估的目标确定风险评估的目标确定风险评估的范围确定风险评估的范围建立适当的组织结构建立适当的组织结构建立系统性的风险评估方法建立系统性的风险评估方法获得最高管理者对风险评估策划的批准获得最高管理者对风险评估策划的批准第四十五页，编辑于星期六：十六点 十五分。风险评估依据风险评估依据n1 1、政策法规：中办发、政策法规：中办发200320032727号文件和国号文件和国信办文件信办文件n2 2、国际标准：如、国际标准：如BS7799-1 BS7799-1 信息安全管理信息安全管理实施细则、实施细则、BS7799-2 BS7799-2 信息安全管理体信息安全管理体系规范等系规范等n3 3、国家标准或正在审批的讨论稿，如、国家标准或正在审批的讨论稿，如GB GB 17859-1999 17859-1999 计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则和信息安全风险评估指南等划分准则和信息安全风险评估指南等n4 4、行业通用标准等其它标准、行业通用标准等其它标准第四十六页，编辑于星期六：十六点 十五分。风险评估原则风险评估原则n1 1、可控性原则、可控性原则（1 1）人员可控性）人员可控性（2 2）工具可控性）工具可控性（3 3）项目过程可控性）项目过程可控性n2 2、完整性原则、完整性原则严格按照委托单位的评估要求和指定的范围进行全面的评估严格按照委托单位的评估要求和指定的范围进行全面的评估服务。服务。n3 3、最小影响原则、最小影响原则从项目管理层面和工具技术层面，力求将风险评估对信息系统从项目管理层面和工具技术层面，力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。的正常运行的可能影响降低到最低限度。n4 4、保密原则、保密原则第四十七页，编辑于星期六：十六点 十五分。Recommendations评估现状确定确定范围范围Org ChartsPolicesITSM Overview报告报告评审评审Structured interviewsProcess definitionsInterview scheduleProcess records评估报告评估报告改进项目SIPCustomer survey评估流程评估流程2.5 Internal Integration着重流程内部的集成性着重流程内部的集成性2 Process Capability重视流程执行重视流程执行Other ProcessManagement1.5 Mgnt intent制定管理规范制定管理规范3.5 Quality Control流程质量监控流程质量监控4 Mgnt information提供充分的管理信息提供充分的管理信息Customer1 Prerequisites/基本条件基本条件4.5 External Integration与其它流程的紧密集成与其它流程的紧密集成5 Customer Interface流程优化和服务客户流程优化和服务客户3 Products流程的可交付物流程的可交付物第四十八页，编辑于星期六：十六点 十五分。风险计算模型风险计算模型n风险计算模型包含信息资产、弱点