信息安全風險評估方法與意義PPT課件( 43頁)

1、上海上訊信息系統(tǒng)匚程有限公司安全咨詢事業(yè)部黃永飛安全咨詢顧問信息妥會風險督佑What?Why?How?信念要金氐險督傳信息系統(tǒng)的安全風險是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。信息安全風險評估就是從風險管理角度，運用科學的分析方法和手段，系統(tǒng)地分析信息化業(yè)務和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風險，或者將殘余風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡與信息安全。人們經(jīng)常會提出這樣一些問題:什么地方、什么時間可能出問題？出問題的可能性有多大

2、？這些問題的后果是什么？A應該米取什么樣的措施加以避免和彌補？總是試圖找出最合理的答案，這一過程實際上就是風險評估。早在上個世紀初期，科學家就已開始研究風險管理理論。信息妥金風絵督估fiy1. “三分技術，七分管理”，我們的員工安全意識如何？2. 依靠現(xiàn)有的安全產品是否能夠解決現(xiàn)在的安全問題？3. 現(xiàn)有的安全產品是否真正的起到了作用？4. 如果發(fā)生安全事故，我們能否在最短時間內恢復業(yè)務系統(tǒng)？5. 對未來的網(wǎng)絡擴展和安全配置升級有沒有前瞻性的規(guī)劃？能否更多的節(jié)約投入成本？1. 風險評估是分析確定風險的過程2. 信息安全風險評估是信息安全建設的起點和基礎3. 信息安全風險評估是需求主導和突出重點原

3、則的具體體現(xiàn)4重視風險評估是信息化比較發(fā)達國家的基本經(jīng)驗1. 風險評估是分析確定風險的過程任何系統(tǒng)的安全性都可以通過風險的大小來衡量。科學分析系統(tǒng)的安全風險，綜合平衡風險和代價的過程就是風險評估。2. 信息安全風險評估是信息安全建設的起點和基礎信息安全風險評估是風險評估理論和方法在信息系統(tǒng)中的運用，是科學分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風險，并在風險的預防、風險的控制、風險的轉移、風險的補償、風險的分散等之間作出決策的過程。所有信息安全建設都應該是基于信息安全風險評估，只有在正確地、全面地理解風險后，才能在控制風險、減少風險、轉移風險之間作出正確的判斷，決定調動多少

4、資源、以什么的代價、采取什么樣的應對措施去化解、控制風險。3. 信息安全風險評估是需求主導和突出重點原則的具體體現(xiàn)如果說信息安全建設必須從實際出發(fā)，堅持需求主導、突出重點，則風險評估（需求分析）就是這一原則在實際工作中的重要體現(xiàn)。從理論上講風險總是客觀存在的。安全是安全風險與安全建設管理代價的綜合平衡。不考慮風險的信息化是要付出代價有時代價可能很高，甚至難以承受不計成本、片面地追求絕對安全、試圖消滅風險或完全避免風險是不現(xiàn)實的，也不是需求主導原則所要求的。堅持從實際出發(fā)，堅持需求主導、突出重點，就必須科學地評估風險，有效控制風險。4. 重視風險評估是信息化比較發(fā)達國家的基本經(jīng)驗上個世紀70年代

5、，美國政府就發(fā)布了自動化數(shù)據(jù)外理風險評估指南。其后頒布的關于信息安全基本政策文件聯(lián)邦信息資源安全明確提出了信息安全風險評估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風險，根據(jù)信息丟失、濫用、泄露、未授權訪問等造成損失的大小，制訂、實施信息安全計劃，以保證信息和信息系統(tǒng)應有的安全。A英國標準化協(xié)會(BSI)1995年頒布了信息安全管理指南(BS7799),BS7799分為兩個部分：BS7799-1信息安全管理實施規(guī)則和BS7799-2信息安全管理體系規(guī)范。2002年又頒布了信息安全管理系統(tǒng)規(guī)范說明(BS7799-2:2002)。它將信息安全管理的有關問題劃分成了10個控制要項、36個控制

6、目標和127個控制措施。目前，在BS77992中，提出了如何了建立信息安全管理體系的步驟。在信息安全管理體系的核心部位是風險評估和風險管理。目前，全球通過BS7799認證的數(shù)量達450家左右，其中絕大部分分布在歐洲和亞洲，整個中國地區(qū)(包括香港和臺灣在內)通過BS7799認證的數(shù)量近20家。/為用戶提供具有針對性的安全產品和安全技術/給用戶提供量化的信息資產價值列表和資產風險列表/可全面和有條理地向管理層反映現(xiàn)有的信息科技安全風險和所需的安全保障措施/為決策和政策考慮提供不同的解決方案，使信息科技安全管理能夠從策略性的層面推行/為日后比較信息科技安全措施的變化提供依據(jù)信息要仝風險督佑1. 信息

7、安全風險評估怎么實施？2. 信息安全風險評估實施前需要準備什么?3. 信息資產的屬性怎么進行量化？4. 發(fā)現(xiàn)信息資產的弱點后怎么進行補救？A風險評估的準備風險評估的準備資產識別威脅識別脆弱性識別設計解決方案A項目規(guī)劃/確定范圍范圍可能是組織全部的信息和信息系統(tǒng)，可能是單獨的信息系統(tǒng)，可能是組織的關鍵業(yè)務流程，也可能是客戶的知識產權。/確定目標目標基本上來源于組織業(yè)務持續(xù)發(fā)展的需要、滿足相關方的要求、滿足法律法規(guī)的要求等方面。/確定組織結構組織結構的建立應考慮其結構和復雜程度，以保證能夠滿足風險評估的范圍、目標。/確定方法應考慮評估的范圍、目的、時間、效果、組織文化、人員素質以及具體開展的程度等

8、因素來確定，使之能夠與組織的環(huán)境和安全要求相適應。/獲得最高管理者批準上述所有內容應得到組織的最高管理者的批準，并對管理層和員工進行傳達。A風險評估的準備資產識別資產識別威脅識別脆弱性識別設計解決方案A項目規(guī)劃數(shù)據(jù)軟件服務文檔設備人員其它簡稱DataSoftwareServiceHardwareDocumentFacilityHROther解釋/示例存在電子媒介的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)，各種數(shù)據(jù)資料、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等應用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫等操作系統(tǒng)、WWW、SMTP、POP3、FTP、MRPII.DNS、呼叫中心、內部文件服務、網(wǎng)絡連接

9、、網(wǎng)絡隔離保護、網(wǎng)絡管理、網(wǎng)絡安全保障、入侵監(jiān)控及各種業(yè)務生產應用計算機硬件、路由器、交換機、硬件防火墻、程控交換機、布線、備份存儲設備等紙質的各種文件、傳真、電報、財務報告、發(fā)展計劃電源、空調、保險柜、文件柜、門禁、消防設施等各級雇員和雇主、合同方雇員企業(yè)形象，客戶關系等/信息資產的價值取決于:保密性完整性可用性/信息資產的價值隨時間改變/信息資產的價值隨資產相關性變化影響威脅ci競爭劣勢當本業(yè)務系統(tǒng)內的信息數(shù)據(jù)被競爭者得知時，將會造成何種程度的損失？01234C2.直接業(yè)務損失當本業(yè)務系統(tǒng)內涵蓋的信息資產被被不適當揭露時，可能著成企業(yè)業(yè)務的損失程度？01234C3公眾信心本業(yè)務系舜內的信息

10、數(shù)據(jù)被不適當泄露時，公司在客戶的信任度、公眾形象、股東或供應商的忠誠度上所招受到的損失？01234C4.額外成本本業(yè)務系統(tǒng)內的信息數(shù)據(jù)被不適當泄露時可能造成的額外成本負擔？01234C5.法律責任本業(yè)務系統(tǒng)內的信息數(shù)據(jù)被不適當泄露時，可能造成法律、規(guī)定或合約上的影響？01234C6.員工士氣本業(yè)務系統(tǒng)內的信息數(shù)據(jù)被不適當泄露時，可能對員工士氣造成的影響？01234C7.欺詐行為本業(yè)務系統(tǒng)內的信息數(shù)據(jù)被不適當泄露時，企業(yè)商品或資金可能被不當?shù)霓D移？01234結果請選擇上列因素中會造成最嚴重損失的評估結果01234A風險評估的準備資產識別威脅識別脆弱性識別威脅識別設計解決方案A項目規(guī)劃威脅定義獲取

11、方法威脅種類是對系統(tǒng)、組織及其資產構成潛在破壞能力的可能性因素或者事件IDS事件采集安全審計歷史事件數(shù)據(jù)權威組織的統(tǒng)計數(shù)據(jù)顧問訪談安全策略分析見下頁攻擊類型說明被動攻擊被動攻擊包括分析通信流，監(jiān)視未被保護的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個人的信用卡號碼和醫(yī)療檔案等。主動攻擊主動攻擊包括試圖阻斷或攻破保護機制、引入惡意代碼、偷竊或篡改信息。主動進攻可能造成數(shù)據(jù)資料的泄露和散播，或導致拒絕服務以及數(shù)據(jù)的篡改改。物理臨近攻缶是指一未被授權的個人，在物理意義上接近網(wǎng)絡、系統(tǒng)或設備，試圖改變

12、、收集信息或拒絕他人對信息的訪問。內部人員攻擊內部人員攻擊可以分為惡意或無惡意攻擊。前者指內部人員對信息的惡意破壞或不當使用，或使他人的訪問遭到拒絕；后者指由于粗心、無知以及其它非惡意的原因而造成的破壞。軟硬件裝配分發(fā)攻擊指在工廠生產或分銷過程中對硬件和軟件進行的惡意修改。這種攻擊可能是在產品里引入惡意代碼，比如后門。A風險評估的準備資產識別威脅識別脆弱性識別脆弱性識別設計解決方案A項目規(guī)劃弱點定義獲取方法弱點種類安全弱點是系統(tǒng)可以被利用從而導致資產發(fā)生損失的特性網(wǎng)絡掃描應用軟件評估上機檢杳數(shù)據(jù)庫評估安全策略評估網(wǎng)絡架構評估技術類，比如OS漏洞，防火墻錯誤配置等管理類，比如沒有安全策略、具體負

13、責人、審核流程等業(yè)務模式類，比如充值卡業(yè)務，非實名制業(yè)務等A風險評估的準備資產識別威脅識別脆弱性識別A設計解決方案設計解決方案A項目規(guī)劃就是為了把企業(yè)的風險降到可接受的程度漏洞基本的風險資產漏洞釆取措施后剩余的風險項目規(guī)劃A風險評估的準備資產識別威脅識別脆弱性識別設計解決方案A項目規(guī)劃44編號項目名稱可實施性附加解釋外部策略ES技術成熟度內部技術外部支持1制訂最高安全方針29212222策略體系開發(fā)和建立27211123策略的有效發(fā)布和執(zhí)行28212124策略的定期審查和修訂29222125BS7799認證項目03200106明確安全領導小組工作職責27122117安全組織建設27121218

14、第三方安全管理2721211E可實施性1部理內管1外部支持lx方全安高最訂制292lx222Ld策立nnkJnlxnnnkJbJn2nLr1綁nkJEJ2nn5o32ooIXoLd確責明職Ldn2727IX2lx2IX8m二管全安方三第272lx2IXIX9282lx2lx2緊迫性1可實施性實施難易程度-如前文-如前文-技術難度-資金投入大小-時間投入長短-人力投入大小和人員素質要求-外部支持資源的復雜度-對企業(yè)策略的觸動大小-對組織管理的觸動大小-對運作規(guī)定和習慣的觸動大小預期效果-見效速度-對于安全性的直接效果評價-對于業(yè)務的直接促進-對于其他安全建設項目的支持-對安全策略完善的促進-對安

15、全組織完善的促進-對人員安全素質的促進-對安全管理運作規(guī)范化的促進項目實施主要階段564322-項目定義和藍圖Kickoffmeeting資產信息收集完成詳細方案設計4-安全風險評估安全威脅評估網(wǎng)絡架構安全評估設備安全評估應用軟件安全評估安全策略（環(huán)境）評估6-支持和維護項目初驗修復和加固協(xié)助二次驗證評估電話熱線支持其他服務1-項目準備與范圍確定3-現(xiàn)狀調研與分析項目交流基本信息調查5-風險綜合和解決方案需求調研，背景討論業(yè)務流程分析安全風險綜合分析范圍確定數(shù)據(jù)流分析輸出安全評估報告項目計劃資產賦值設計安全解決方案建議確定風險評估模型完成藍圖并與用戶簽署各階段提交文酋項目計劃組織結構項目人員項目范圍項目sow一/1數(shù)據(jù)流程一圖等中間71結果項目藍圖I一安全