ch4信息安全風險評估ppt課件

1、第四章 信息平安風險評價本章學習目的了解風險評價的概念、特點和內(nèi)涵； 熟習風險評價的過程及應留意的問題； 了解如何選擇恰當?shù)娘L險評價方法； 掌握典型的風險評價方法；了解風險評價實施預備4.1信息平安風險評價根底GB/T 20984-2007相關概念資產(chǎn)Asset：任何對組織有價值的事如，是平安戰(zhàn)略維護的對象。要挾Threat:指能夠?qū)Y產(chǎn)或組織呵斥損害的事故的潛在緣由。脆弱點Vulnerability：是指資產(chǎn)或資產(chǎn)組中能被要挾利用的弱點。風險Risk：特定的要挾利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的喪失或損害的潛在能夠性，即特定要挾事件的能夠性與后果的結(jié)合。風險評價Risk Assessme

2、nt：對信息或信息處置設備的要挾、影響和脆弱點及三者發(fā)生的能夠性的評價。剩余風險Residual Risk：采取了平安措施后，信息系統(tǒng)依然能夠存在的風險。風險要素關系風險評價的兩種方式自評價和檢查評價1自評價 “誰主管誰擔任，誰運營誰擔任信息系統(tǒng)擁有者依托本身力量，根據(jù)國家風險評價的管理規(guī)范和技術規(guī)范，對自有的信息系統(tǒng)進展風險評價的活動。優(yōu)點有利于嚴密有利于發(fā)揚行業(yè)和部門內(nèi)人員的業(yè)務專長有利于降低風險評價的費用有利于提高本單位的風險評價才干與信息平安知識風險評價的兩種方式1自評價缺陷：假設沒有一致的規(guī)范要求，在缺乏信息系統(tǒng)平安風險評價專業(yè)人才的情況下，自評價的結(jié)果能夠不深化、不規(guī)范、不到位自評

3、價中，能夠會存在某些不利的干涉，從而影響風險評價結(jié)果的客觀性，降低評價結(jié)果的置信度某些時候，即使自評價的結(jié)果比較樂觀，也必需與管理層進展溝通風險評價的兩種方式2 檢查評價檢查評價是由信息平安主管部門或業(yè)務部門發(fā)起的一種評價活動，旨在根據(jù)曾經(jīng)公布的法規(guī)或規(guī)范，檢查被評價單位能否滿足了這些法規(guī)或規(guī)范。檢查評價通常都是定期的、抽樣進展的評價方式檢查評價缺陷：間隔時間較長，如一年一次，通常還是抽樣進展不能貫穿一個部門信息系統(tǒng)生命周期的全過程，很難對信息系統(tǒng)的整體風險情況作出完好的評價風險評價的兩種方式2 檢查評價檢查評價應覆蓋但不限于以下內(nèi)容：自評價方法的檢查自評價過程記錄檢查自評價結(jié)果跟蹤檢查現(xiàn)有平

4、安措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護制度及實施情況的檢查突發(fā)事件應對措施的檢查數(shù)據(jù)完好性維護措施的檢查審計追蹤的檢查風險評價的兩種方式無論是自評價，還是檢查評價，都可以委托風險評價效力技術支持方實施，如國家測評認證機構(gòu)或平安企業(yè)公司。風險分析原理風險分析中要涉及資產(chǎn)、要挾、脆弱性三個根本要素。風險分析原理圖風險分析原理風險分析的主要內(nèi)容為：1對資產(chǎn)進展識別，并對資產(chǎn)的價值進展賦值2對要挾進展識別，描畫要挾的屬性要挾主體，影響對象，出現(xiàn)頻率，動機等，并對要挾出現(xiàn)的頻率賦值3對脆弱性進展識別，并對詳細資產(chǎn)的脆弱性的嚴重程度賦值4根據(jù)要挾及要挾利用脆弱性的難易程度判別平安時間發(fā)生的能夠性根據(jù)

5、脆弱性的嚴重程度和平安事件所作用的資產(chǎn)的價值計算平安事件呵斥的損失根據(jù)平安事件發(fā)生的能夠性以及平安事件出現(xiàn)后的損失，計算平安事件一旦發(fā)生對組織的影響，即風險值4.2風險評價的過程4.2.1風險評價的根本步驟第一步：風險評價預備第二步：風險要素識別第三步：風險確定第四步：風險評價第五步：風險控制第一步 風險評價預備1確定風險評價的目的風險評價目的要滿足企業(yè)繼續(xù)開展在平安方面的要求，滿足相關方的要求，滿足法律法規(guī)的要求2 風險評價的范圍風險評價范圍能夠是企業(yè)全部的信息以及與信息處置相關的各類資產(chǎn)、管理機構(gòu)，也能夠是某個獨立的系統(tǒng)、關鍵業(yè)務流程、與客戶知識產(chǎn)權(quán)相關的系統(tǒng)或部門等3選擇與組織機構(gòu)相順應

6、的詳細風險判別方法在選擇詳細的風險判別方法時，應思索評價的目的、范圍、時間、效果、人員素質(zhì)等諸多要素，使之可以與組織環(huán)境和平安要求相順應4建立風險評價團隊管理層、業(yè)務骨干、信息技術人員、技術專家等5獲得最高管理者對風險評價任務的支持風險評價過程應得到企業(yè)最高管理者的支持、同意，并對管理層和技術人員進展傳達，應在組織內(nèi)部對風險評價的相關內(nèi)容進展培訓，以明確相關人員在風險評價中的義務。第二步 風險要素評價1資產(chǎn)評價識別信息資產(chǎn)，包括數(shù)據(jù)、軟件、硬件、設備、效力、文檔等，制定嚴密性、完好性、可用性是評價資產(chǎn)的三個平安屬性風險評價中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個屬性上的達成程

7、度或者其平安屬性未達成時所呵斥的影響程度來決議的。資產(chǎn)分類資產(chǎn)賦值資產(chǎn)價值應根據(jù)資產(chǎn)在嚴密性、完好性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)本身的特點，選擇對資產(chǎn)嚴密性、完好性和可用性最重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；或三者進展加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。第二步 風險要素評價2 要挾評價要挾Threat:指能夠?qū)Y產(chǎn)或組織呵斥損害的事故的潛在緣由。要挾分析包括：潛在要挾分析、要挾審計和入侵檢測分析、綜合分析要挾賦值應根據(jù)要挾發(fā)生的能夠性和要挾產(chǎn)生的影響程度綜合確定要挾出現(xiàn)頻率發(fā)生的能夠性的賦值第二步 風險要素評價3弱點評價脆弱點Vulnerability

8、：是指資產(chǎn)或資產(chǎn)組中能被要挾利用的弱點。脆弱性識別可以以資產(chǎn)為中心，針對每一項需求維護的資產(chǎn)，識別能夠被要挾利用的弱點；也可以從物理、網(wǎng)絡、系統(tǒng)、運用等層次進展識別，然后與資產(chǎn)、要挾對應起來。脆弱性識別的方法主要有：問卷調(diào)查、工具檢測、人工核對、文檔查閱、浸透性測試等。第三步 風險確定1 現(xiàn)有平安措施評價評價人員應對已采取的平安措施的有效性進展確認，即能否真正降低了系統(tǒng)的脆弱性，抵御了要挾。對有效的平安措施繼續(xù)堅持，對確以為不適當?shù)钠桨泊胧藢嵞芊駪蝗∠驅(qū)ζ溥M展修正，或用更適宜的平安措施替代。2風險計算根據(jù)以上評價產(chǎn)生的結(jié)果，計算出每項信息資產(chǎn)的風險值風險計算原理風險值=R(A,T,V)

9、=R(L(T,V),F(Ia，Va)R：平安風險計算函數(shù)A：資產(chǎn)T：要挾V：脆弱性Ia：平安事件所作用的資產(chǎn)價值Va：脆弱性嚴重程度L：要挾利用資產(chǎn)的脆弱性導致平安事件的能夠性F：平安事件發(fā)生后呵斥的損失評價者可根據(jù)本身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。第四步 風險斷定對一切風險計算結(jié)果進展等級化處置，每個等級代表了相應風險的嚴重程度。第五步 風險控制對不可接受的風險應根據(jù)導致該風險的脆弱性制定風險處置方案。風險處置方案中應明確采取的彌補脆弱性的平安措施、預期效果、實施條件、進度安排、責任部門等。平安措施的選擇應從管理和技術兩個方面思索剩余風險評價在對于不可接受的風險選

10、擇適當平安措施后，為確保平安措施的有效性，可再進展評價，以判別實施平安措施后的剩余風險能否曾經(jīng)降低到可接受的程度。風險評價文檔記錄風險的計算方法計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va)R：平安風險計算函數(shù)A：資產(chǎn)T：要挾V：脆弱性Ia：平安事件所作用的資產(chǎn)價值Va：脆弱性嚴重程度L：要挾利用資產(chǎn)的脆弱性導致平安事件的能夠性F：平安事件發(fā)生后呵斥的損失評價者可根據(jù)本身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。風險的計算方法風險值計算涉及的風險要素：資產(chǎn)、要挾、脆弱性由要挾和脆弱性確定平安事件發(fā)生的能夠性由資產(chǎn)和脆弱性確定平安事件的損失由平安事件發(fā)生的能

11、夠性和平安事件的損失確定風險值目前，常用的計算方法是矩陣法和相乘法運用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素值的情形Z=f(x,y)，函數(shù)f采用矩陣法x=(x1,x2,x3,xi,xm) 1i m xi為正整數(shù)y=(y1,y2,y3,yj,yn) 1i n yj為正整數(shù)以要素x和要素y的取值構(gòu)造一個二維矩陣，矩陣行值為要素y的一切取值，矩陣列值為要素x的一切取值，矩陣內(nèi)mxn個值即為要素z的取值。運用矩陣法計算風險值對于z值的計算，可以采取以下計算公式Zij=xi+yj 或Zij=xiXyj 或Zij=aXxi+bXyj， a，b為正常數(shù)Zij的計算需求根據(jù)實踐情況確定，矩陣

12、內(nèi)zij的值不一定遵照一致的計算公式，但必需具有一致的增減趨勢，即假設f是遞增函數(shù)，zij的值應隨著xi和yj的值遞增，反之亦然。運用矩陣法計算風險值例如資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95運用矩陣法計算風險值例如以資產(chǎn)A1面臨的要挾T1可以利用的弱點V1為例，計算平安風險值，其他風險值計算過程類似1 計算平安事件發(fā)生的能夠性首先由要挾發(fā)生的頻率和弱點的嚴重程度值構(gòu)建平安事件能夠性矩陣然后根據(jù)T1發(fā)生的頻率值和V1嚴重程度值在矩陣中進展對照，確定平安事件發(fā)生能夠性值要挾發(fā)生的頻率T1=2

13、弱點嚴重性程度V1=2平安事件發(fā)生能夠性值=6由于平安事件發(fā)生能夠性將參與風險事件值的計算，為了構(gòu)建風險矩陣，需對平安事件發(fā)生能夠能夠性進展等級劃分該平安事件發(fā)生能夠性等級為2運用矩陣法計算風險值例如2計算平安事件的損失 首先由資產(chǎn)價值和弱點嚴重程度值構(gòu)建平安事件損失矩陣然后對照表，確定平安事件損失值資產(chǎn)A1的價值=2弱點嚴重性程度V1=2平安事件損失值=5由于平安事件損失值將參與風險事件值的計算，為了構(gòu)建風險矩陣，需對平安事件損失進展等級劃分該平安事件損失等級為1運用矩陣法計算風險值例如3計算風險值首先由平安事件發(fā)生能夠性和平安事件損失構(gòu)建平安風險矩陣然后對照表，確定平安風險值平安事件發(fā)生能

14、夠性等級為2平安事件損失等級為1平安風險值=6結(jié)果斷定，確定風險等級劃分根據(jù)上述計算方法，計算資產(chǎn)的其他風險值，并根據(jù)風險等級劃分表，確定風險等級運用相乘法計算風險值相乘法主要用于兩個或多個要素值確定一個要素值的情形相乘法的原理z=f(x,y)=xXy 也可以相乘后開平方或取模運算等。運用相乘法計算風險值例如以資產(chǎn)A1面臨的要挾T1可以利用的弱點V1為例，計算平安風險值計算公式x和y的積的平方根的四舍五入結(jié)果設資產(chǎn)A1價值為4，面臨的要挾T1發(fā)生的頻率為1，可利用的弱點V1嚴重程度為31計算平安事件發(fā)生的能夠性要挾發(fā)生的頻率T1=1弱點嚴重性程度V1=3平安事件發(fā)生能夠性值=運用相乘法計算風險

15、值例如2計算平安事件的損失資產(chǎn)價值A1=4脆弱性嚴重程度V1=3平安事件的損失=3計算風險值平安事件發(fā)生能夠性=平安事件損失=平安事件風險值= =6根據(jù)風險等級劃分表，風險等級確定為24.6風險評價實施4.6.1風險評價實施原那么目的一致關注重點資產(chǎn)用戶參與注重質(zhì)量管理和過程4.6.2風險評價流程1前期預備階段2現(xiàn)場調(diào)查階段3風險分析階段4戰(zhàn)略制定階段前期預備階段背景資料預備技術資料預備調(diào)查提綱預備調(diào)查提綱確認簽署嚴密協(xié)議現(xiàn)場調(diào)查階段人員調(diào)查了解組織最注重的信息資產(chǎn)、最擔憂發(fā)生的事件以及組織對信息系統(tǒng)平安的期望調(diào)查了解組織中曾經(jīng)發(fā)生過的信息平安相關事件采用問詢、會議、資料審計的方式獲取相關的數(shù)據(jù)，包括目前信息管理的規(guī)章制度以及詳細實施情況技術調(diào)查網(wǎng)絡架構(gòu)調(diào)查 繪制被評價單位的網(wǎng)絡拓撲構(gòu)造；目前網(wǎng)絡上的虛擬網(wǎng)劃分與運用情況；明確網(wǎng)絡邊境；對業(yè)務系統(tǒng)的平安等級建議，確認目前到達的平安等級等現(xiàn)場調(diào)查階段技術調(diào)查業(yè)務流程調(diào)查 主要業(yè)務系統(tǒng)之間的邏輯關系；業(yè)務的平安要求；系統(tǒng)業(yè)務功能；構(gòu)成業(yè)務流程現(xiàn)狀圖；初步分析業(yè)務流程現(xiàn)狀中存在的問題等主機系統(tǒng)調(diào)查 主機系統(tǒng)固有的破綻和配置問題；系統(tǒng)提供的效力；賬號的平安情況；采用的訪問控制戰(zhàn)略；日志審計等情況數(shù)據(jù)庫系統(tǒng)調(diào)查 賬號、密碼設置情況；數(shù)據(jù)庫運用情況，存儲、