《信息安全管理講義》PPT課件.ppt

信息安全管理技術(shù),信息安全管理引入與內(nèi)涵,信息安全風(fēng)險識別與評估,信息安全等級保護,4,1,2,3,4,ISO信息安全管理標準,5,4,信息安全法規(guī),6,信息安全規(guī)劃,信息安全管理引入與內(nèi)涵,信息安全在其發(fā)展過程中經(jīng)歷的三個階段： 20世紀80、90年代以前，面對信息交換過程中存在的安全問題，人們強調(diào)的主要是信息的保密性和完整性，該階段稱為通信保密階段； 20世紀80、90年代，隨著計算機和網(wǎng)絡(luò)廣泛應(yīng)用，人們對信息安全的關(guān)注已經(jīng)逐漸擴展為以保密性、完整性和可用性為目標，并利用密碼、認證、訪問控制、審計與監(jiān)控等多種信息安全技術(shù)為信息和信息系統(tǒng)提供安全服務(wù)，該階段稱為信息安全階段；,信息安全管理引入與內(nèi)涵,信息安全在其發(fā)展過程中經(jīng)歷的三個階段 20世紀90年代中后期，由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息對內(nèi)、對外都極大開放，由此產(chǎn)生的安全問題已經(jīng)不僅僅是傳統(tǒng)的保密性、完整性和可用性三個方面，人們把信息主體和管理引入信息安全，由此衍生出諸如可控性、抗抵賴性、真實性等安全原則和目標，信息安全也從單一的被動防護向全面而動態(tài)的防護、檢測、響應(yīng)和恢復(fù)等整體建設(shè)方向發(fā)展。該階段稱為信息安全保障階段。,信息安全管理引入與內(nèi)涵,信息安全技術(shù)與信息安全管理,信息安全技術(shù)是實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)； 信息安全產(chǎn)品是實現(xiàn)信息安全的工具平臺；,信息安全管理是通過維護信息的機密性、完整性 和可用性等，來管理和保護信息資產(chǎn)的一項體制， 是對信息安全保障進行指導(dǎo)、規(guī)范和管理的一系 列活動和過程。,信息安全管理引入與內(nèi)涵,信息安全風(fēng)險識別與評估,信息安全等級保護,4,1,2,3,4,ISO信息安全管理標準,5,4,信息安全法規(guī),6,信息安全規(guī)劃,信息安全規(guī)劃,信息安全規(guī)劃也稱為信息安全計劃，它用于在較高的層次上確定一個組織涉及信息安全的活動，主要內(nèi)容：,安全策略 安全需求 計劃采用的安全措施 安全責(zé)任 規(guī)劃執(zhí)行時間表,信息安全管理引入與內(nèi)涵,信息安全風(fēng)險識別與評估,信息安全等級保護,4,1,2,3,4,ISO信息安全管理標準,5,4,信息安全法規(guī),6,信息安全規(guī)劃,信息安全風(fēng)險識別與評估,信息安全風(fēng)險來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成安全事件的可能性及這類安全事件可能對信息資產(chǎn)等造成的負面影響。,信息安全風(fēng)險識別與評估,信息安全風(fēng)險評估： 也稱信息安全風(fēng)險分析，它是指對信息安全威脅進行分析和預(yù)測，評估這些威脅對信息資產(chǎn)造成的影響。 信息安全風(fēng)險評估使信息系統(tǒng)的管理者可以在考慮風(fēng)險的情況下估算信息資產(chǎn)的價值，為管理決策提供支持，也可為進一步實施系統(tǒng)安全防護提供依據(jù)。,信息安全建設(shè)的起點和基礎(chǔ),倡導(dǎo)一種適度安全,信息安全建設(shè)和管理的科學(xué)方法,分析確定風(fēng)險的過程,信息安全 風(fēng)險評估,信息安全風(fēng)險識別與評估,信息安全風(fēng)險識別與評估,信息安全風(fēng)險識別與評估,信息安全風(fēng)險識別與評估應(yīng)考慮的因素：,資產(chǎn)的識別與估價 為了明確被保護的信息資產(chǎn)，組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單，對每一項資產(chǎn)進行確認和適當(dāng)?shù)脑u估。 為了防止資產(chǎn)被忽略或遺漏，在識別資產(chǎn)之前應(yīng)確定風(fēng)險評估范圍。所有在評估范圍之內(nèi)的資產(chǎn)都應(yīng)該被識別，因此要列出對組織或組織的特定部門的業(yè)務(wù)過程有價值的任何事物，以便根據(jù)組織的業(yè)務(wù)流程來識別信息資產(chǎn)。,信息安全風(fēng)險識別與評估,信息安全風(fēng)險識別與評估,資產(chǎn)的識別與估價 在列出所有信息資產(chǎn)后，應(yīng)對每項資產(chǎn)賦予價值。資產(chǎn)估價是一個主觀的過程，而且資產(chǎn)的價值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們最清楚資產(chǎn)對組織業(yè)務(wù)的重要性，從而能夠準確地評估出資產(chǎn)的實際價值。 為確保資產(chǎn)估價的一致性和準確性，組織應(yīng)建立一個資產(chǎn)的價值尺度（資產(chǎn)評估標準），以明確如何對資產(chǎn)進行賦值。 在信息系統(tǒng)中，采用精確的財務(wù)方式來給資產(chǎn)確定價值比較困難，一般采用定性分級的方式來建立資產(chǎn)的相對價值或重要度，即按照事先確定的價值尺度將資產(chǎn)的價值劃分為不同等級，以相對價值作為確定重要資產(chǎn)及為這些資產(chǎn)投入多大資源進行保護的依據(jù)。,資產(chǎn)的識別與估價,信息安全風(fēng)險識別與評估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識別產(chǎn)生威脅的原因,信息安全風(fēng)險識別與評估,威脅識別與評估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識別產(chǎn)生威脅的原因,信息安全風(fēng)險識別與評估,威脅識別與評估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識別產(chǎn)生威脅的原因,信息安全風(fēng)險識別與評估,威脅識別與評估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識別產(chǎn)生威脅的原因,信息安全風(fēng)險識別與評估,威脅識別與評估,威脅識別與評估,信息安全風(fēng)險識別與評估,威脅識別與評估的主要任務(wù),威脅識別與評估 威脅發(fā)生造成的后果或潛在影響,信息安全風(fēng)險識別與評估,威脅一旦發(fā)生會造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴重的威脅發(fā)生會導(dǎo)致諸如信息系統(tǒng)崩潰、業(yè)務(wù)流程中斷、財產(chǎn)損失等重大安全事故。不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，導(dǎo)致的價值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對價值（或重要程度）為限。,脆弱性識別與評估 僅有威脅還構(gòu)不成風(fēng)險。由于組織缺乏充分的安全控制，組織需要保護的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點，即脆弱性。威脅只有利用了特定的脆弱性或者弱點，才可能對資產(chǎn)造成影響。,信息安全風(fēng)險識別與評估,脆弱性識別與評估 脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才能造成危害。 資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。 脆弱性識別可以資產(chǎn)為核心，即根據(jù)每個資產(chǎn)分別識別其存在的弱點，然后綜合評價該資產(chǎn)的脆弱性；也可分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別。,信息安全風(fēng)險識別與評估,脆弱性識別與評估,信息安全風(fēng)險識別與評估,技術(shù)脆弱性,1,2,操作脆弱性,管理脆弱性,3,脆弱性的分類,信息安全風(fēng)險識別與評估,脆弱性識別與評估 評估脆弱性需要考慮的因素 脆弱性的嚴重程度（Severity）； 脆弱性的暴露程度（Exposure），即被威脅利用的可能性P， 這兩個因素可采用分級賦值的方法。 例如對于脆弱性被威脅利用的可能性可以分級為： 非?？赡? 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。,信息安全風(fēng)險識別與評估,確認現(xiàn)有安全控制 在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點，再就是組織現(xiàn)有的安全控制措施。 在風(fēng)險評估過程中，應(yīng)當(dāng)識別已有的（或已計劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更合適的控制代替。,信息安全風(fēng)險識別與評估,確認現(xiàn)有安全控制,管理性安全控制,1,2,操作性安全控制,技術(shù)性安全控制,3,安全控制方式的分類 (依據(jù)目標和針對性分類),信息安全風(fēng)險識別與評估,確認現(xiàn)有安全控制,信息安全風(fēng)險識別與評估,確認現(xiàn)有安全控制 安全控制應(yīng)對風(fēng)險各要素的情況,信息安全風(fēng)險識別與評估,風(fēng)險評價 風(fēng)險評價就是利用適當(dāng)?shù)娘L(fēng)險測量方法或工具確定風(fēng)險的大小與等級，對組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個風(fēng)險測量的列表，以便識別與選擇適當(dāng)和正確的安全控制方式。,信息安全風(fēng)險識別與評估,風(fēng)險評價風(fēng)險度量常用方法 預(yù)定義價值矩陣法 按風(fēng)險大小對威脅排序法 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險計算方法 風(fēng)險度量的目的是明確當(dāng)前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源 。,信息安全風(fēng)險識別與評估,風(fēng)險評價風(fēng)險度量常用方法 預(yù)定義價值矩陣法,該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產(chǎn)的相對價值三者預(yù)定義的三維矩陣來確定風(fēng)險的大小。,信息安全風(fēng)險識別與評估,風(fēng)險評價風(fēng)險度量常用方法 按風(fēng)險大小對威脅排序法,該方法把風(fēng)險對資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產(chǎn)的危害程度。,第一步：按預(yù)定義的尺度，評估風(fēng)險對資產(chǎn)的影響即資產(chǎn)的相 對價值I，例如，尺度可以是從1到5； 第二步：評估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被 利用的脆弱性因素）代替，例如尺度為1到5 ； 第三步：測量風(fēng)險值R，R = R（PTV ，I）= PTV I ；,該方法把風(fēng)險對資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產(chǎn)的危害程度。 方法的實施過程是：,信息安全風(fēng)險識別與評估,風(fēng)險評價風(fēng)險度量常用方法 按風(fēng)險大小對威脅排序法,R = PTV I=3 5=15,信息安全風(fēng)險識別與評估,風(fēng)險評價風(fēng)險度量常用方法 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險計算方法,R = V（1 - PD）（1 - PO） 其中： V系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三 項評價值的乘積，即V = CIA； PO防止威脅發(fā)生的可能性，與用戶的個數(shù)、原先的信任、備份的頻率以及強制安全措施需求的滿足程度有關(guān)； PD防止系統(tǒng)性能降低的可能性，與組織已實施的保護性控制措施有關(guān)。,信息安全風(fēng)險識別與評估,風(fēng)險評價風(fēng)險度量常用方法 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險計算方法,V = CIA=232=12,R = V（1 - PD）（1 - PO） =12 （1-0.5） （1-0.5）=3.00,信息安全風(fēng)險識別與評估,安全措施建議,信息安全風(fēng)險評估人員通過以上評估得到了不同信息資產(chǎn)的風(fēng)險等級，他們在這一步驟中根據(jù)風(fēng)險等級和其他評估結(jié)論，結(jié)合被評估組織當(dāng)前信息安全防護措施的狀況，為被評估組織提供加強信息安全防護的建議。,風(fēng)險評估管理軟件 為便于系統(tǒng)所有單位實施自評估，基于現(xiàn)有評估方法，開發(fā)