信息安全基礎知識等保、安檢張勝信息安全風險評估培訓教材

信息安全風險評估課程內容2信息安全風險術語一國家對開展風險評估工作的政策要求二信息安全風險評估三信息安全風險術語資產（Asset）威脅源（ThreatAgent）威脅（Threat）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影響（Impact,loss）風險（ Risk）殘余風險（ResidentalRisk）3信息安全風險術語-資產資產是任何對組織有價值的東西，是要保護的對象資產以多種形式存在（多種分類方法）物理的（如計算設備、網絡設備和存儲介質等）和邏輯的（如體系結構、通信協議、計算程序和數據文件等）；硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統軟件、數據庫管理軟件、工具軟件和應用軟件等）；有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等）；靜態(tài)的（如設施和規(guī)程等）和動態(tài)的（如人員和過程等）；技術的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等。4信息安全風險術語-威脅可能導致信息安全事故和組織信息資產損失的活動。威脅源采取恰當的威脅方式才可能引發(fā)風險威脅舉例：操作失誤濫用授權行為抵賴身份假冒口令攻擊密鑰分析5漏洞利用拒絕服務竊取數據物理破壞社會工程信息安全風險術語-脆弱性與信息資產有關的弱點或安全隱患。造成風險的內因。脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當的威脅方式對信息資產造成危害。脆弱性舉例系統程序代碼缺陷系統設備安全配置錯誤系統操作流程有缺陷維護人員安全意識不足6信息安全風險術語-控制措施根據安全需求部署，用來防范威脅，降低風險的措施。舉例部署防火墻、入侵檢測、審計系統測試環(huán)節(jié)操作審批環(huán)節(jié)應急體系終端U盤管理制度7信息安全風險術語-可能性指威脅源利用脆弱性造成不良后果的可能性。舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的可能性很小系統存在漏洞，但只在與互聯網物理隔離的局域網運行，發(fā)生的可能性較小?；ヂ摼W公開漏洞且有相應的測試工具，發(fā)生不良后果的可能性很大。8信息安全風險術語-影響指威脅源利用脆弱性造成不良后果的程度大小舉例網站被黑客控制，國家級網站比省市網站的名譽損失大很多。銀行門戶網站和內部核心系統受到攻擊，其核心系統的損失更大。同樣型號路由器被攻破，用于互聯網骨干路由要比企業(yè)內部系統的路由器損失更大。9信息安全風險術語-風險指威脅源采用恰當的威脅方式利用脆弱性造成不良后果。網站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網站，修改網站內容，從而損害國家政府部門聲譽10威脅源威脅方式脆弱性風險采取利用造成信息安全風險術語-風險GB/T20984的定義：信息安全風險人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。11對風險的理解風險的五方面威脅源威脅行為脆弱性資產影響12走在路上被隕石砸到走在馬路上被汽車撞倒信息安全風險術語之間的關系13威脅源威脅方式脆弱性風險采取利用造成資產不良影響控制措施破壞造成受控制直接影響信息安全風險術語-殘余風險指采取了安全措施后，信息系統仍然可能存在的風險。有些殘余風險是在綜合考慮了安全成本與效益后不去控制的風險殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件舉例風險列表中有10類風險，根據風險成本效益分析，只有前8項需要控制，則另2項為殘余風險，一段時間內系統處于風險可接受水平。14信息安全風險術語-風險評估

信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全提供科學依據。15風險評估的理解信息系統的安全風險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現和跟蹤最新的安全風險。所以信息安全評估是一個長期持續(xù)的工作，通常應該每隔1-3年就進行一次全面安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。16國家對開展風險評估工作的政策要求1、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確提出：“要重視信息安全風險評估工作，對網絡與信息系統安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網絡與信息系統的重要性、涉密程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理”

17國家對開展風險評估工作的政策要求2、《國家網絡與信息安全協調小組〈關于開展信息安全風險評估工作的意見〉》（國信辦【2006】5號文）中明確規(guī)定了風險評估工作的相關要求：風險評估的基本內容和原則風險評估工作的基本要求開展風險評估工作的有關安排18《關于開展信息安全風險評估工作的意見》的實施要求

1、信息安全風險評估工作應當貫穿信息系統全生命周期。在信息系統規(guī)劃設計階段，通過信息安全風險評估工作，可以明確信息系統的安全需求及其安全目標，有針對性地制定和部署安全措施，從而避免產生欠保護或過保護的情況。2、在信息系統建設完成驗收時，通過風險評估工作可以檢驗信息系統是否實現了所設計的安全功能，是否滿足了信息系統的安全需求并達到預期的安全目標。19《關于開展信息安全風險評估工作的意見》的實施要求

3、由于信息技術的發(fā)展、信息系統業(yè)務以及所處安全環(huán)境的變化，會不斷出現新的信息安全風險，因此，在信息系統的運行階段，應當定期進行信息安全風險評估，以檢驗安全措施的有效性以及對安全環(huán)境的適應性。當安全形勢發(fā)生重大變化或信息系統使命有重大變更時，應及時進行信息安全風險評估。4、信息安全風險評估也是落實等級保護制度的重要手段，應通過信息安全風險評估為信息系統確定安全等級提供依據，根據風險評估的結果檢驗網絡與信息系統的防護水平是否符合等級保護的要求。20《關于開展信息安全風險評估工作的意見》的管理要求

1、信息安全風險評估工作敏感性強，涉及系統的關鍵資產和核心信息，一旦處理不當，反而可能引入新的風險，《意見》強調，必須高度重視信息安全風險評估的組織管理工作2、為規(guī)避由于風險評估工作而引入新的安全風險，《意見》提出以下要求：1）參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規(guī)，并承擔相應的責任和義務。2）風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協議。3）對關系國計民生和社會穩(wěn)定的基礎信息網絡和重要信息系統的信息安全風險評估工作必須遵循國家的有關規(guī)定進行。

21《關于開展信息安全風險評估工作的意見》的管理要求

3、加快制定和完善信息安全風險評估有關技術標準，盡快完善并頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準，各行業(yè)主管部門也可根據本行業(yè)特點制定相應的技術規(guī)范。4、要加強信息安全風險評估核心技術、方法和工具的研究與攻關。5、要從抓試點開始，逐步探索組織實施和管理的經驗，用三年左右的時間在我國基礎信息網絡和重要信息系統普遍推行信息安全風險評估工作，全面提高我國信息安全的科學管理水平，提升網絡和信息系統安全保障能力，為保障和促進我國信息化發(fā)展服務。

222071號文件對電子政務提出要求3、為落實《國家電子政務工程建設項目管理暫行辦法》（發(fā)改委[2007]55號令）對風險評估的要求，發(fā)改高技【2008】2071號文件《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求：（相當于“信息安全審計”）電子政務工程建設項目應開展信息安全風險評估工作評估的主要內容應包含：資產、威脅、脆弱性、已有的安全措施和殘余風險的影響等項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據項目驗收申請時，應提交信息安全風險評估報告系統投入運行后，應定期開展信息安全風險評估23風險評估工作承擔單位國家保密局涉密信息系統安全保密測評中心涉密系統非涉密系統中國信息安全測評中心國家信息技術安全研究中心公安部信息安全等級保護評估中心風險評估專業(yè)隊伍24需要強調：一次測評兩個報告發(fā)改委要求：一次測評工作，提交兩個測評報告，即風險評估報告和等保測評報告風險評估報告的格式由中國信息安全測評中心和國家信息技術安全研究中心牽頭制定，基本格式參照原國信辦檢查評估的報告等保測評報告的格式由等級保護的主管部門負責制定25風險評估、安全檢查和等級保護測評之間的關系等保測評、安全檢查都是在既定安全基線的基礎上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評。而風險評估是在國家、行業(yè)安全要求的基礎上，以被評估系統特定安全要求為目標而開展的風險識別、風險分析、風險評價活動。26風險評估實施流程27

準備識別計算

報告一個簡化的風險評估流程：準備（Readiness）、識別（Realization）、計算（Calculation）、報告（Report）識別資產威脅漏洞

準備資料審核

SLA

工作計劃組隊計算威脅概率事件影響風險定級

報告整改建議各類文檔

28

風險評估準備工作準備工作中要注意的問題相親：前期交流（成功案例簡介、測評機構資質簡介、被測系統大致規(guī)模、測評服務費用測算…）訂婚：服務水平協議SLA（獲取詳細資料的前提，對方的授權、雙方的義務，可和保密協議整合…）甲方禮單：資料審核（明確系統范圍、為現場測評制訂問卷清單…）乙方禮單：工作計劃（案例分析綜合組、管理組、網絡組…）迎親：進場準備（進場通知，如對方或第三方人員；設備準備，如工具等，標識佩戴…）29現場測評30現場測評工作要注意的問題首次會議（必須），聽取對方高管的情況簡介，向被測單位有關人員說明此次任務、測評計劃介紹、雙方測評人員的相互認識…問詢技巧（直接提問，如業(yè)務重要性；間接提問，如安全事件；反向提問，適合于所有方面）資料核對（拓撲核對，管理體系文檔，設計文檔，設備臺賬…）現場檢測（測試過程記錄、抓屏、數據提取…）末次會議（必須），向對方高管簡要總結現場測評的初步結論，但切忌做最終結論

31資產識別資產識別在整個風險評估中起什么作用？兩點：是整個風險評估工作的起點和終點資產識別的重點和難點是什么？一線：業(yè)務戰(zhàn)略→信息化戰(zhàn)略→系統特征（管理/技術）資產識別的方法有哪些？資產分類：樹狀法。自然形態(tài)分類（勾畫資產樹：管理、技術…逐步往下細化）；信息形態(tài)分類（信息環(huán)境、信息載體、信息）32按信息形態(tài)分類33威脅識別威脅識別與資產識別是何關系？點和面：重點識別和全面識別威脅識別的重點和難點是什么？三問：“敵人”在哪兒？效果如何？如何取證？威脅識別的方法有哪些？日志分析歷史安全事件專家經驗互聯網信息檢索威脅分類分為：人為故意威脅威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估人為非故意威脅判定威脅源、評估威脅源特點、評估威脅源環(huán)境、評估事故發(fā)生時間自然威脅地震、海嘯、洪水。3435脆弱性識別脆弱性識別的難點是什么？三性：隱蔽性、欺騙性、復雜性脆弱性識別的方法有哪些？脆弱性分類：管理脆弱性、結構脆弱性（如安全域劃分不當）、操作脆弱性（如安全審計員業(yè)務生疏）、技術脆弱性。脆弱性識別與威脅識別是何關系？驗證：以資產為對象，對威脅識別進行驗證脆弱性識別內容36常見脆弱性識別工作方式37脆弱性識別方式工作對象安全配置核查服務器、網絡設備、終端、中間件、應用軟件漏洞掃描主機、應用程序滲透測試系統各個層面安全架構分析系統各個層面數據流分析網絡中的數據流訪談管理人員及系統開發(fā)、運維技術人員。。?，F有安全控制措施識別考慮：防護性措施威懾性措施預警性措施檢測性措施應急處理性措施38（二）風險分析GB/T20984-2007《信息安全風險評估規(guī)范》給出信息安全風險分析思路

39風險值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。方法優(yōu)點缺點定性簡易的計算方式不必精確算出資產價值不需得到量化的威脅發(fā)生率非技術或非安全背景的員工也能輕易參與流程和報告形式比較有彈性本質上是非常主觀的對關鍵資產的財務價值評估參考性較低缺乏對風險降低的成本分析

定量1.結果建立在獨立客觀的程序或量化指標上大部分的工作集中在制定資產價值和減緩可能風險主要目的是做成本效益的審核風險計算方法復雜需要自動化工具及相當的基礎知識投入大個人難以執(zhí)行定量分析與定性分析40定量分析方法步驟1-評估資產：根據資產價值（AV）清單,計算資產總價值及資產損失對財務的直接和間接影響步驟2-確定單一預期損失SLESLE是指發(fā)生一次風險引起的收入損失總額。SLE是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失。（SLE類似于定性風險分析的影響。）將資產價值與暴露系數相乘(EF)計算出SLE。暴露系數表示為現實威脅對某個資產造成的損失百分比。步驟3-確定年發(fā)生率AROARO是一年中風險發(fā)生的次數.41定量分析方法（續(xù)）步驟4-確定年預期損失ALEALE是不采取任何減輕風險的措施在一年中可能損失的總金額。SLE乘以ARO即可計算出該值。ALE類似于定量風險分析的相對級別。步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風險的發(fā)生而應投入的費用.步驟6-安全投資收益ROSI(實施控制前的ALE）–（實施控制后的ALE）–（年控制成本）=ROSI42后果或影響的定性量度（示例）等級描述

詳細情形1可以忽略無傷害，低財務損失2

較小立即受控制，中等財務損失3

中等

受控，高財務損失4

較大大傷害，失去生產能力有較大財務損失5災難性持續(xù)能力中斷，巨大財務損失定性分析方法43可能性的定性量度（示例）等級描述

詳細情形A幾乎肯定預期在大多數情況發(fā)生B很可能在大多數情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生定性分析方法44風險分析矩陣—風險程度

可能性

后果可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHHE：極度風險H：高風險M：中等風險L:低風險定性分析方法45定性分析方法-矩陣法根據預設的等級劃分規(guī)則判定風險結果。依此類推，得到所有重要資產的風險值，并根據風險等級劃分表，確定風險等級。

46定性分析方法-相乘法（1）計算安全事件發(fā)生可能性 威脅發(fā)生頻率：威脅T1=1； 脆弱性嚴重程度：脆弱性V1=3。 安全事件發(fā)生可能性=（2）計算安全事件的損失 資產價值：資產A1=4； 脆弱性嚴重程度：脆弱性V1=3。 計算安全事件的損失，安全事件損失=（3）計算風險值 安全事件發(fā)生可能性=2； 安全事件損失=3。 安全事件風險值=（4）確定風險等級

47定性分析與定量分析48方法優(yōu)點缺點定量按經濟影響排列風險優(yōu)先級；按經濟價值排列資產價值風險管理的效果以投資回報率衡量結果可用因管理而異的術語來表達（例如貨幣值和表達為具體百分比隨著組織建立數據的歷史記錄并獲得經驗，其精確度將隨時間的推移而提高–