信息安全管理講義PPT課件

1、信息安全管理講義信息安全管理技術信息安全管理講義信息安全管理引入與內涵 信息安全風險識別與評估信息安全等級保護41234ISO信息安全管理標準54信息安全法規(guī)6主講內容信息安全規(guī)劃信息安全管理講義信息安全在其發(fā)展過程中經歷的三個階段信息安全在其發(fā)展過程中經歷的三個階段：n20世紀80、90年代以前，面對信息交換過程中存在的安全問題，人們強調的主要是信息的保密性和完整性，該階段稱為通信保密階段；n20世紀80、90年代，隨著計算機和網絡廣泛應用，人們對信息安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標，并利用密碼、認證、訪問控制、審計與監(jiān)控等多種信息安全技術為信息和信息系統(tǒng)提供安全服務，

2、該階段稱為信息安全階段；信息安全管理講義信息安全在其發(fā)展過程中經歷的三個階段信息安全在其發(fā)展過程中經歷的三個階段n20世紀90年代中后期，由于互聯網技術的飛速發(fā)展，信息對內、對外都極大開放，由此產生的安全問題已經不僅僅是傳統(tǒng)的保密性、完整性和可用性三個方面，人們把信息主體和管理引入信息安全，由此衍生出諸如可控性、抗抵賴性、真實性等安全原則和目標，信息安全也從單一的被動防護向全面而動態(tài)的防護、檢測、響應和恢復等整體建設方向發(fā)展。該階段稱為信息安全保障階段。信息安全管理講義信息安全技術是實現信息安全產品的技術基礎；信息安全產品是實現信息安全的工具平臺；信息安全管理是通過維護信息的機密性、完整性和可

3、用性等，來管理和保護信息資產的一項體制，是對信息安全保障進行指導、規(guī)范和管理的一系列活動和過程。 信息安全管理講義信息安全管理引入與內涵 信息安全風險識別與評估信息安全等級保護41234ISO信息安全管理標準54信息安全法規(guī)6主講內容信息安全規(guī)劃信息安全管理講義信息安全規(guī)劃信息安全規(guī)劃n信息安全規(guī)劃也稱為信息安全計劃，它用于在較高的層次上確定一個組織涉及信息安全的活動，主要內容：p安全策略p安全需求p計劃采用的安全措施p安全責任p規(guī)劃執(zhí)行時間表信息安全管理講義信息安全管理引入與內涵 信息安全風險識別與評估信息安全等級保護41234ISO信息安全管理標準54信息安全法規(guī)6主講內容信息安全規(guī)劃信息

4、安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 信息安全風險信息安全風險來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成安全事件的可能性及這類安全事件可能對信息資產等造成的負面影響。信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 信息安全風險評估：信息安全風險評估： 也稱信息安全風險分析，它是指對信息安全威脅進行分析和預測，評估這些威脅對信息資產造成的影響。 信息安全風險評估使信息系統(tǒng)的管理者可以在考慮風險的情況下估算信息資產的價值，為管理決策提供支持，也可為進一步實施系統(tǒng)安全防護提供依據。信息安全管理講義信息安全建設的起點和基礎信息安全建設的起點和基礎倡導一種

5、適度安全倡導一種適度安全信息安全建設和管理的科學方法信息安全建設和管理的科學方法分析確定風險的過程分析確定風險的過程信息安全信息安全風險評估風險評估 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 信息安全風信息安全風險識別與評險識別與評估應考慮的估應考慮的因素：因素：信息資產的脆弱性信息資產的脆弱性信息資產的威脅及其發(fā)生的信息資產的威脅及其發(fā)生的可能性可能性信息資產的價值信息資產的價值已有安全措施已有安全措施信息安全管理講義信息安全管理講義 為了明確被保護的信息資產，組織

6、應列出與信息安全有關的資產清單，對每一項資產進行確認和適當的評估。 為了防止資產被忽略或遺漏，在識別資產之前應確定風險評估范圍。所有在評估范圍之內的資產都應該被識別，因此要列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物，以便根據組織的業(yè)務流程來識別信息資產。 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 在列出所有信息資產后，應對每項資產賦予價值。資產估價是一個主觀的過程，而且資產的價值應當由資產的所有者和相關用戶來確定，只有他們最清楚資產對組織業(yè)務的重要性，從而能夠準確地評估出資產的實際價值。 為確保資產估價的一致性和準確性

7、，組織應建立一個資產的價值尺度（資產評估標準），以明確如何對資產進行賦值。 在信息系統(tǒng)中，采用精確的財務方式來給資產確定價值比較困難，一般采用定性分級的方式來建立資產的相對價值或重要度，即按照事先確定的價值尺度將資產的價值劃分為不同等級，以相對價值作為確定重要資產及為這些資產投入多大資源進行保護的依據。信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義信息安全管理講義故意破壞（網絡攻擊、惡意代碼傳播、郵件炸彈、非授權訪問等）和無意失誤（如誤操作、維護錯誤）人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅識別產生威脅的原因識別產生威脅的原因 信

8、息安全風險識別與評估信息安全風險識別與評估信息安全管理講義人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅識別產生威脅的原因識別產生威脅的原因 信息安全風險識別與評估信息安全風險識別與評估系統(tǒng)、網絡或服務的故障（軟件故障、硬件故障、介質老化等）信息安全管理講義人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅電源故障、污染、液體泄漏、火災等識別產生威脅的原因識別產生威脅的原因 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義人員威脅人員威脅12系統(tǒng)威脅系統(tǒng)威脅環(huán)境威脅環(huán)境威脅34自然威脅自然威脅洪水、地震、臺風、滑坡、雷電等識別產生威脅

9、的原因識別產生威脅的原因 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估威 脅 識 別威 脅 識 別與 評 估 的與 評 估 的主要任務主要任務威脅發(fā)生造成的后果或潛在影響評估威脅發(fā)生的可能性信息安全管理講義 威脅發(fā)生造成的后果或潛在影響威脅發(fā)生造成的后果或潛在影響 信息安全風險識別與評估信息安全風險識別與評估 威脅一旦發(fā)生會造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴重的威脅發(fā)生會導致諸如信息系統(tǒng)崩潰、業(yè)務流程中斷、財產損失等重大安全事故。不同的威脅對同一資產或組織所產生的影響不同，導致的價值損失

10、也不同，但損失的程度應以資產的相對價值（或重要程度）為限。信息安全管理講義信息安全管理講義 僅有威脅還構不成風險。由于組織缺乏充分的安全控制，組織需要保護的信息資產或系統(tǒng)存在著可能被威脅所利用的弱點，即脆弱性。威脅只有利用了特定的脆弱性或者弱點，才可能對資產造成影響。 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義p脆弱性是資產本身存在的，威脅總是要利用資產的脆弱性才能造成危害。p資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現。p脆弱性識別可以資產為核心，即根據每個資產分別識別其存在的弱點，然后綜合評價該資產的脆弱性；也可分物理、網絡、系統(tǒng)、應用等層次進行識別。

11、 信息安全風險識別與評估信息安全風險識別與評估信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估系統(tǒng)、程序和設備中存在的漏洞或缺陷，如結構設計問題和編程漏洞等技術脆弱性技術脆弱性12操作脆弱性操作脆弱性管理脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習慣、審計或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點。脆弱性的分類脆弱性的分類信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估評估脆弱性需要考慮的因素評估脆弱性需要考慮的因素脆弱性的嚴重程度（Severity）；脆弱性的暴露程度（Exposure），即被威脅利用的可能性P， 這兩個因

12、素可采用分級賦值的方法。 例如對于脆弱性被威脅利用的可能性可以分級為：非?？赡芊浅？赡? 4= 4，很可能，很可能= 3= 3，可能，可能= 2= 2，不太可能，不太可能= 1= 1，不可，不可能能= 0= 0。信息安全管理講義信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 在影響威脅事件發(fā)生的外部條件中，除了資產的弱點，再就是組織現有的安全控制措施。 在風險評估過程中，應當識別已有的（或已計劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對于那些不適當的控制應當核查是否應被取消，或者用更合適的控制代替。信息安全管理講義 信息安全風險識別與評估信息安全風險

13、識別與評估對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障和系統(tǒng)生命周期管理等管理性安全控制管理性安全控制12操作性安全控制操作性安全控制技術性安全控制技術性安全控制3用來保護系統(tǒng)和應用操作的流程和機制，包括人員職責、應急響應、事件處理，安全意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識別與認證、邏輯訪問控制、日志審計和加密等安全控制方式的分類安全控制方式的分類( (依據目標和針對性分類依據目標和針對性分類) )信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估此類控制可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機威懾性安全控制威懾性安全控制

14、12預防性安全控制預防性安全控制檢測性安全控制檢測性安全控制34糾正性安全控制糾正性安全控制此類控制可以保護脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測并及時發(fā)現攻擊活動，還可以激活糾正性或預防性安全控制此類控制可以將攻擊造成的影響降到最低安全控制方式的分類安全控制方式的分類（依據功能分類（依據功能分類) )信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 安全控制應對風險各要素的情況安全控制應對風險各要素的情況利用利用引發(fā)引發(fā)造成造成信息安全管理講義信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 風險評價就是利用適當的風險測量方法或工具確定風險

15、的大小與等級，對組織信息安全管理范圍內的每一信息資產因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的安全控制方式。信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 風險度量的目的風險度量的目的是明確當前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源 。信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產的相對價值三者預定義的三維矩陣來確定風險的大小。威脅發(fā)生的可威脅發(fā)生的可能性能性PT低低 0中中 1高高 2脆弱性被利用脆弱性被利用的可能性的可能性PV低低 0中中

16、 1高高 2低低 0中中 1高高 2低低 0中中 1高高 2資資產產相相對對價價值值V001212323411232343452234345456334545656744565676782+1+2=5信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估 該方法把風險對資產的影響與威脅發(fā)生的可能性聯系起來，常用于考察和比較威脅對組織資產的危害程度。第一步第一步：按預定義的尺度，評估風險對資產的影響即資產的相 對價值I，例如，尺度可以是從1到5；第二步第二步：評估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被 利用的脆弱性因素）代替，例如尺度為1到5 ；第三步第三步：測量風險值R，R

17、= RR = R（PTV PTV ，I I）= PTV = PTV I I ； 該方法把風險對資產的影響與威脅發(fā)生的可能性聯系起來，常用于考察和比較威脅對組織資產的危害程度。方法的實施過程是：方法的實施過程是：信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估威威 脅脅影響影響（資產價值（資產價值I）威脅發(fā)生的可能性威脅發(fā)生的可能性PTV風險風險R威脅的等級威脅的等級威脅威脅A52102威脅威脅B2483威脅威脅C35151威脅威脅D1335威脅威脅E4144威脅威脅F2483R = PTV I=3 5=15信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估R = VR

18、 = V（1 - PD1 - PD）（1 - PO1 - PO）其中：V V系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三 項評價值的乘積，即V = V = C CI IA A； POPO防止威脅發(fā)生的可能性，與用戶的個數、原先的信任、備份的頻率以及強制安全措施需求的滿足程度有關； PDPD防止系統(tǒng)性能降低的可能性，與組織已實施的保護性控制措施有關。 信息安全管理講義 信息安全風險識別與評估信息安全風險識別與評估網絡系網絡系統(tǒng)名稱統(tǒng)名稱保密性保密性 C完整性完整性IN可用性可用性A網絡系網絡系統(tǒng)重要統(tǒng)重要性性V防止威防止威脅發(fā)生脅發(fā)生PO防止系防止系統(tǒng)性能統(tǒng)性能降低降低PD風險風險R風險風險排序排序管理管理13260.10.33.782工程工程23