1、信息安全風險管理,,,培訓機構名稱講師名稱,課程內容,,2,知識域：風險管理工作內容,知識子域：風險管理工作主要內容掌握建立背景的主要工作內容掌握風險評估的主要工作內容掌握風險處置的主要工作內容掌握批準監(jiān)督的主要工作內容掌握監(jiān)控審查的主要工作內容掌握溝通咨詢的主要工作內容,3,,風險管理是各行業(yè)采取的普遍工作方法,,4,,通用風險管理定義,定義是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。風險管理包括對風險

2、的量度、評估和應變策略。理想的風險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風險較低的事情則押后處理。,5,,信息安全工作為什么需要風險管理方式,6,,信息安全工作為什么需要風險管理方式（續(xù)）,信息安全風險和事件不可能完全避免，沒有絕對的安全。信息安全是高技術的對抗，有別于傳統(tǒng)安全，呈現擴散速度快、難控制等特點因此管理信息安全必須以風險管理的方式，關鍵在于如何控制、化解和規(guī)避風險，而不是完全

3、消除風險。,7,,風險管理是信息安全保障工作有效工作方式,好的風險管理過程可以讓機構以最具有成本效益的方式運行，并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風險。而不是將保貴的資源用于解決所有可能的風險風險管理是一個持續(xù)的PDCA管理過程。,,8,什么是信息安全風險管理,定義一：GB/Z 24364《信息安全風險管理指南》信息安全風險管理是識別、

4、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構內部識別、優(yōu)化、管理風險，使風險降低到可接受水平的過程。,了解風險+控制風險=管理風險,9,正確的風險管理方法,,10,,保護人身安全遏制損害評估損害確定損害部位修復損害部位審查響應過程并更新安全策略,反應性風險管理,評估風險實施風險決策風險控制評定風險管理的有效性,前瞻性風險管理,+,=,前瞻性風險管理反應性風險管理,風險管理最佳實踐,流行性感

5、冒是一種致命的呼吸道疾病，美國每年都會有數以百萬計的感染者。這些感染者中，至少有 100,000 人必須入院治療，并且約有 36,000 人死亡。 您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。 此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結合才是最佳風險管理方法。,信息安全風險管理的目標,信息安全屬性,11,,,信息安全風險術語,資產（Asset）威脅源（Threat

6、 Agent）威脅（ Threat ）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影響（ Impact,loss ）風險（Risk）殘余風險（Residental Risk）,12,,信息安全風險術語-資產,資產是任何對組織有價值的東西，是要保護的對象資產以多種形式存在（多種分類方法）物理的（如計算

7、設備、網絡設備和存儲介質等）和邏輯的（如體系結構、通信協(xié)議、計算程序和數據文件等）；硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數據庫管理軟件、工具軟件和應用軟件等）；有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等）；靜態(tài)的（如設施和規(guī)程等）和動態(tài)的（如人員和過程等）；技術的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等。,13,,信息安

8、全風險術語-威脅,是可能導致信息安全事故和組織信息資產損失的活動。威脅源采取恰當的威脅方式才可能引發(fā)風險威脅舉例：操作失誤濫用授權行為抵賴身份假冒口令攻擊密鑰分析,14,,漏洞利用拒絕服務竊取數據物理破壞社會工程,信息安全風險術語-脆弱性,是與信息資產有關的弱點或安全隱患。是造成風險的內因。脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當的威脅方式對信息資產造成危害。脆弱性舉

9、例系統(tǒng)程序代碼缺陷系統(tǒng)設備安全配置錯誤系統(tǒng)操作流程有缺陷維護人員安全意識不足,15,,信息安全風險術語-控制措施,是根據安全需求部署，用來防范威脅，降低風險的措施。舉例部署防火墻、入侵檢測、審計系統(tǒng)測試環(huán)節(jié)操作審批環(huán)節(jié)應急體系終端U盤管理制度,16,,信息安全風險術語-可能性,是指威脅源利用脆弱性造成不良后果的可能性。舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的可能性很小系統(tǒng)存在漏洞，但只在

10、與互聯(lián)網物理隔離的局域網運行，發(fā)生的可能性較小?；ヂ?lián)網公開漏洞且有相應的測試工具，發(fā)生不良后果的可能性很大。,17,,信息安全風險術語-影響,是指威脅源利用脆弱性造成不良后果的程度大小舉例網站被黑客控制，國家級網站比省市網站的名譽損失大很多。銀行門戶網站和內部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。同樣型號路由器被攻破，用于互聯(lián)網骨干路由要比企業(yè)內部系統(tǒng)的路由器損失更大。,18,,信息安全風險術語-風險,是指威脅源采用恰當的威

11、脅方式利用脆弱性造成不良后果。 網站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網站，修改網站內容，從而損害國家政府部門聲譽,19,,威脅源,威脅方式,脆弱性,風險,采取,利用,造成,信息安全風險術語之間的關系,20,,威脅源,威脅方式,脆弱性,風險,采取,利用,造成,資產,不良影響,控制措施,破壞,造成,受控制,直接影響,信息安全風險術語-風險,GB/T 20984的定義：信息安全風險人為或自然的威脅

12、利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。,21,,信息安全風險術語-殘余風險,是指采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。有些殘余風險是在綜合考慮了安全成本與效益后不去控制的風險殘余風險應受

13、到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件舉例風險列表中有10類風險，根據風險成本效益分析，只有前8項需要控制，則另2項為殘余風險，一段時間內系統(tǒng)處于風險可接受水平。,22,,信息安全風險術語-風險評估,信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接

14、受的水平，從而最大限度地保障信息安全提供科學依據。,23,,風險評估的理解,信息系統(tǒng)的安全風險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現和跟蹤最新的安全風險。所以信息安全評估是一個長期持續(xù)的工作，通常應該每隔1-3年就進行一次全面安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。風險評估是風險管理的起點和基礎環(huán)節(jié)風險管理是在倡導適度安全,24,,信息安全風險術語-風險評估vs風險管理,25,,信息安全風

15、險管理工作內容,建立背景,風險評估,風險處理,批準監(jiān)督,,,,,,,,,,,,GB/Z 24364《信息安全風險管理指南》 四個階段，兩個貫穿。 --,26,建立背景,背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調查和分析。風險管理準備：確定對象、組建團隊、制定計劃、獲得支持信息系統(tǒng)調查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系

16、結構、關鍵要素信息安全分析：分析安全要求、分析安全環(huán)境,27,背景建立過程,,28,風險管理工作內容,建立背景,風險評估,風險處理,批準監(jiān)督,,,,,,,,,,,,29,風險評估,信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監(jiān)督活動。風險分析準備：制定風險評估方案、選擇評估方法風險要素識別：發(fā)現系統(tǒng)存在的威脅、脆弱性和控制措施風險分析：判斷風險發(fā)生的可能性和影響的程度風險結果判定：綜合分析結果判定風險等級,3

17、0,風險評估過程,,31,風險管理工作內容,建立背景,風險評估,風險處理,批準監(jiān)督,,,,,,,,,,,,32,風險處理,風險處理是為了將風險始終控制在可接受的范圍內。現存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以處理目標確認：不可接受的風險需要控制到怎樣的程度處理措施選擇：選擇風險處理方式，確定風險控制措施處理措施實施：制定具體安全方案，部署控制措施,33,,風險處理過程,,34,減低風險轉移風險規(guī)避風險接受風

18、險,常用的四類風險處置方法,35,減低風險,通過對面臨風險的資產采取保護措施來降低風險 首先應當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用。保護措施可以從構成風險的五個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險。,36,減低風險的具體辦法,減少威脅源：采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；減低威脅能力：采取身份認證措施，從而抵制身份假冒這種威脅行為的

19、能力；減少脆弱性：及時給系統(tǒng)打補丁，關閉無用的網絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；,37,減低風險的具體辦法,防護資產：采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持；降低負面影響：采取容災備份、應急響應和業(yè)務連續(xù)計劃等措施，從而減少安全事件造成的影響程度。,38,轉移風險,通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。通常只有當風險不能被降低或避免、且被第

20、三方（被轉嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產生重大影響的風險。,39,轉移風險的具體做法,在本機構不具備足夠的安全保障的技術能力時，將信息系統(tǒng)的技術體系（即信息載體部分）外包給滿足安全保障要求的第三方機構，從而避免技術風險。通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司，從而降低資產價值的損失。,40,規(guī)避風險,通過不使用面臨風險的資產來避免風險。比如：在沒有足夠安全保障的信息系統(tǒng)中，不處理

21、特別敏感的信息，從而防止敏感信息的泄漏。對于只處理內部業(yè)務的信息系統(tǒng)，不使用互聯(lián)網，從而避免外部的有害入侵和不良攻擊。 通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下,41,接受風險,接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果。 用于那些在采取了降低風險和避免風險措施后，出于實際和經濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。 接受風險不意味著不聞不問，需要對風險態(tài)勢變化

22、進行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風險就要進一步采取措施。,42,風險管理工作內容,建立背景,風險評估,風險處理,批準監(jiān)督,,,,,,,,,,,,43,批準監(jiān)督,批準：是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定監(jiān)督：是指檢查機構及其信息系統(tǒng)以及信息安全相關的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險,44,,批準監(jiān)督過程,,45,風險管理工作內容,建立背景,風險評估,

23、風險處理,批準監(jiān)督,,,,,,,,,,,,46,監(jiān)控審查的意義,監(jiān)控與審查可以及時發(fā)現已經出現或即將出現的變化、偏差和延誤等問題，并采取適當的措施進行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性。,47,監(jiān)控審查過程,,48,風險管理工作內容,建立背景,風險評估,風險處理,批準監(jiān)督,,,,,,,,,,,,49,溝通咨詢,通過暢通的交流和充分的溝通，保持行動的協(xié)調和一致；通過有效的培訓和方便的咨詢，保證行動者具有

24、足夠的知識和技能，就是溝通咨詢的意義所在,50,溝通咨詢過程,,51,知識域：風險管理工作內容,知識子域：系統(tǒng)生命周期中的風險管理掌握系統(tǒng)規(guī)劃階段的風險管理工作掌握系統(tǒng)設計階段的風險管理工作掌握系統(tǒng)實施階段的風險管理工作掌握系統(tǒng)運行維護階段的風險管理工作掌握系統(tǒng)廢棄階段的風險管理工作,52,,何時作風險管理,信息安全風險管理是信息安全保障工作中的一項基礎性工作 是需要貫穿信息系統(tǒng)生命周期，持續(xù)進行的工作,規(guī)劃,設計,實施,運

25、維,廢棄,53,明確信息系統(tǒng)安全建設的目的,對信息系統(tǒng)安全建設實現的可能性進行分析論證并設計出總體安全規(guī)劃方案。為了保證安全目標的實現，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風險的環(huán)節(jié)進行風險管理，從而降低在項目后期處理相同安全風險所帶來的高額成本。,規(guī)劃,設計,實施,運維,廢棄,系統(tǒng)規(guī)劃階段的信息安全風險管理目標,54,系統(tǒng)規(guī)劃階段的信息安全風險管理,55,依據規(guī)劃階段輸出的總體安全規(guī)劃方案來設計信息系統(tǒng)安全的實現結構（包括功能劃分、

26、接口協(xié)議和性能指標等）和實施方案（包括實現技術、設備選型和系統(tǒng)集成等）。在設計信息系統(tǒng)的實現結構和實施方案時，在技術的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風險，因此對關鍵的環(huán)節(jié)應提出必要的安全要求并有針對性地進行安全風險管理。,規(guī)劃,設計,實施,運維,廢棄,風險管理的目標,56,信息系統(tǒng)設計階段的信息安全風險管理,57,按照規(guī)劃和設計階段所定義的信息系統(tǒng)安全實施方案采購設備和軟件，開發(fā)定制功能集成、部署、配置和測試信息系統(tǒng)的

27、安全機制培訓人員對是否允許系統(tǒng)投入運行進行批準監(jiān)督 。,規(guī)劃,設計,實施,運維,廢棄,風險管理的目標,58,信息系統(tǒng)實施階段的風險管理,59,在信息系統(tǒng)經過授權投入運行之后，確保在運行過程中，以及信息系統(tǒng)或其運行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運行和安全性。,規(guī)劃,設計,實施,運維,廢棄,風險管理的目標,60,信息系統(tǒng)運行維護階段的風險管理,61,確保對信息系統(tǒng)的過時或無用部分進行安全報廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞。

28、,規(guī)劃,設計,實施,運維,廢棄,風險管理的目標,62,信息系統(tǒng)廢棄階段的風險管理,63,知識域：信息安全風險評估實踐,知識子域：風險評估流程和方法掌握國家對開展風險評估工作的政策要求理解風險評估、檢查評估和等級保護測評之間的關系掌握風險評估的實施流程：風險評估準備、資產識別、威脅評估、脆弱性評估、已有安全措施確認、風險分析、風險評估文檔記錄理解定量風險分析和定性風險分析的區(qū)別及優(yōu)缺點理解自評估和檢查評估的區(qū)別及優(yōu)缺點掌握典型

29、風險計算方法：年度損失值（ALE）、矩陣法、相乘法掌握風險評估工具：風險評估與管理工具、系統(tǒng)基礎平臺風險評估工具、風險評估輔助工具,64,,國家對開展風險評估工作的政策要求,1、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確提出：“要重視信息安全風險評估工作，對網絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網絡與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風險等因素，進行

30、相應等級的安全建設和管理”,65,,國家對開展風險評估工作的政策要求,2、《國家網絡與信息安全協(xié)調小組〈關于開展信息安全風險評估工作的意見〉》（國信辦【2006】5號文）中明確規(guī)定了風險評估工作的相關要求：風險評估的基本內容和原則風險評估工作的基本要求開展風險評估工作的有關安排,66,,《關于開展信息安全風險評估工作的意見》的實施要求,1、信息安全風險評估工作應當貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設計階段，通過信息安全風險評估

31、工作，可以明確信息系統(tǒng)的安全需求及其安全目標，有針對性地制定和部署安全措施，從而避免產生欠保護或過保護的情況。2、在信息系統(tǒng)建設完成驗收時，通過風險評估工作可以檢驗信息系統(tǒng)是否實現了所設計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達到預期的安全目標。,《關于開展信息安全風險評估工作的意見》的實施要求,3、由于信息技術的發(fā)展、信息系統(tǒng)業(yè)務以及所處安全環(huán)境的變化，會不斷出現新的信息安全風險，因此，在信息系統(tǒng)的運行階段，應當定期進行信息安全

32、風險評估，以檢驗安全措施的有效性以及對安全環(huán)境的適應性。當安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時，應及時進行信息安全風險評估。4、信息安全風險評估也是落實等級保護制度的重要手段，應通過信息安全風險評估為信息系統(tǒng)確定安全等級提供依據，根據風險評估的結果檢驗網絡與信息系統(tǒng)的防護水平是否符合等級保護的要求。,《關于開展信息安全風險評估工作的意見》的管理要求,1、信息安全風險評估工作敏感性強，涉及系統(tǒng)的關鍵資產和核心信息，一旦處理不當

33、，反而可能引入新的風險，《意見》強調，必須高度重視信息安全風險評估的組織管理工作 2、為規(guī)避由于風險評估工作而引入新的安全風險，《意見》提出以下要求：1）參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規(guī)，并承擔相應的責任和義務。2）風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協(xié)議。3）對關系國計民生和社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)的信息安全風險評估工作

34、必須遵循國家的有關規(guī)定進行。,《關于開展信息安全風險評估工作的意見》的管理要求,3、加快制定和完善信息安全風險評估有關技術標準，盡快完善并頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準，各行業(yè)主管部門也可根據本行業(yè)特點制定相應的技術規(guī)范。4、要加強信息安全風險評估核心技術、方法和工具的研究與攻關。 5、要從抓試點開始，逐步探索組織實施和管理的經驗，用三年左右的時間在我國基礎信息網絡和重要信息系統(tǒng)普遍推行信息安全風險

35、評估工作，全面提高我國信息安全的科學管理水平，提升網絡和信息系統(tǒng)安全保障能力，為保障和促進我國信息化發(fā)展服務。,CNITSEC,71,2071號文件對電子政務提出要求,3、為落實《國家電子政務工程建設項目管理暫行辦法》（發(fā)改委[2007]55號令）對風險評估的要求， 發(fā)改高技【2008】2071號文件《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求：（相當于“信息安全審計”）電子政務工程建設項目應開展信息安

36、全風險評估工作評估的主要內容應包含：資產、威脅、脆弱性、已有的安全措施和殘余風險的影響等項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據項目驗收申請時，應提交信息安全風險評估報告系統(tǒng)投入運行后，應定期開展信息安全風險評估,CNITSEC,72,風險評估工作承擔單位,,CNITSEC,73,需要強調：一次測評兩個報告,發(fā)改委要求：一次測評工作，提交兩個測評報告，即風險評估報告和等保測評報告風險評估報告的格式由中

37、國信息安全測評中心和國家信息技術安全研究中心牽頭制定，基本格式參照原國信辦檢查評估的報告等保測評報告的格式由等級保護的主管部門負責制定,風險評估、檢查評估和等級保護測評之間的關系,等保測評、安全檢查都是在既定安全基線的基礎上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評。而風險評估是在國家、行業(yè)安全要求的基礎上，以被評估系統(tǒng)特定安全要求為目標而開展的風險識別、風險分析、風險評價活動

38、。,74,,風險評估實施流程,,75,,,,,風險評估是“健康體檢+專項檢查”,76,,資產,威脅,脆弱性,現有控制措施,人,病毒,身體情況,預防措施,風險評估,健康體檢,風險優(yōu)先級和風險控制建議,病情診斷和藥方,準備 識別 計算 報告,一個簡化的風險評估流程：準備（Readiness）、識別（Realization）、 計算（Calculation）、報告（Report）,77,風險評估準備工作,準備工作中要注意的問題,相親：前期

39、交流（成功案例簡介、測評機構資質簡介、被 測系統(tǒng) 大致規(guī)模、 測評服務費用測算…）,訂婚：服務水平協(xié)議SLA（獲取詳細資料的前提，對方的 授權、 雙方的義務，可和保密協(xié)議整合…）,甲方禮單：資料審核（明確系統(tǒng)范圍、為現場測評制訂問卷清單…）,乙方禮單：工作計劃（案例分析 綜合組、管理組、網絡組…）,迎親：進場準備（進場通知，如對方或第三方人員；設備 準備， 如工具等，標識佩戴…）,78,現場測評,79,,現場測評工作要注意的問題,

40、首次會議（必須），聽取對方高管的情況簡介，向被測單位有關人員說明此次任務、測評計劃介紹、雙方測評人 員的相互認識…,問詢技巧（直接提問，如業(yè)務重要性；間接提問，如安全 事件；反向提問，適合于所有方面）,資料核對（拓撲核對，管理體系文檔，設計文檔，設備臺 賬…）,現場檢測（測試過程記錄、抓屏、數據提取…）,末次會議（必須），向對方高管簡要總結現場測評的初步結論，但切忌做最終結論,80,,資產識別,資產識別在整個風險評估中起什么作用？

41、,兩點：是整個風險評估工作的起點和終點,資產識別的重點和難點是什么？,一線：業(yè)務戰(zhàn)略→ 信息化戰(zhàn)略→ 系統(tǒng)特征（管理/技術）,資產識別的方法有哪些？,資產分類：樹狀法。自然形態(tài)分類（勾畫資產樹：管理、技術…逐步往下細化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息）,81,,按信息形態(tài)分類,資產識別,,82,,83,,威脅識別,威脅識別與資產識別是何關系？,點和面：重點識別和全面識別,威脅識別的重點和難點是什么？,三問：“敵人”在哪兒？

42、效果如何？如何取證？,威脅識別的方法有哪些？,日志分析歷史安全事件專家經驗互聯(lián)網信息檢索,威脅分類,分為：人為故意威脅威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估人為非故意威脅判定威脅源、評估威脅源特點、評估威脅源環(huán)境、評估事故發(fā)生時間自然威脅地震、海嘯、洪水。,84,85,,脆弱性識別,脆弱性識別的難點是什么？,三性：隱蔽性、欺騙性、復雜性,脆弱性識別的方法有哪些？,脆弱性分類：管理脆弱性。 結構脆弱性（

43、如安全域劃分不當），操作脆弱性（如安全審計員業(yè)務生疏）；技術脆弱性。,脆弱性識別與威脅識別是何關系？,驗證：以資產為對象，對威脅識別進行驗證,脆弱性識別內容,,86,,常見脆弱性識別工作方式,,87,,現有安全控制措施識別,考慮：防護性措施威懾性措施預警性措施檢測性措施應急處理性措施,88,,（二）風險分析,GB/T 20984-2007 《信息安全風險評估規(guī)范》給出信息安全風險分析思路,89,,,,風險值=R（A，T，V）=

44、 R(L(T，V)，F(Ia，Va ))。其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性； Ia表示安全事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。,,定量分析與定性分析,90,,定量分析方法,步驟1-評估資產：根據資產價值（AV）清單,計算資產總價值及資產損失對財務的直接和間接影響步驟2-確定單一預期損失SLESLE 是指發(fā)生一

45、次風險引起的收入損失總額。 SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失。 （SLE 類似于定性風險分析的影響。）將資產價值與暴露系數相乘 (EF) 計算出 SLE。暴露系數表示為現實威脅對某個資產造成的損失百分比。 步驟3-確定年發(fā)生率AROARO 是一年中風險發(fā)生的次數.,91,,定量分析方法（續(xù)）,步驟4-確定年預期損失ALEALE 是不采取任何減輕風險的措施在一年中可能損失的總金額。 SL

46、E 乘以 ARO 即可計算出該值。 ALE 類似于定量風險分析的相對級別。步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風險的發(fā)生而應投入的費用.步驟6-安全投資收益ROSI(實施控制前的 ALE）–（實施控制后的 ALE）–（年控制成本）= ROSI,92,,后果或影響的定性量度（示例）,定性分析方法,93,可能性的定性量度（示例）,定性分析方法,94,風險分析矩陣—風險程度,E：極度風險 H：高風險 M：中等

47、風險 L: 低風險,,,,,定性分析方法,95,定性分析方法-矩陣法,根據預設的等級劃分規(guī)則判定風險結果。依此類推，得到所有重要資產的風險值，并根據風險等級劃分表，確定風險等級。,96,定性分析方法-相乘法,（1）計算安全事件發(fā)生可能性威脅發(fā)生頻率：威脅T1=1；脆弱性嚴重程度：脆弱性V1=3。安全事件發(fā)生可能性=（2）計算安全事件的損失資產價值：資產A1=4；脆弱性嚴重程度：脆弱性V1=3。

48、計算安全事件的損失，安全事件損失=（3）計算風險值安全事件發(fā)生可能性=2；安全事件損失=3。安全事件風險值=（4）確定風險等級,,,,97,定性分析與定量分析,,98,,（三）風險評估工作形式,信息安全風險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結合、互為補充。自評估和檢查評估可依托自身技術力量進行，也可委托第三方機構提供技術支持。,99,風險評估的工作形式—自評估,由發(fā)起方實施或委托

49、風險評估服務技術支持方實施。優(yōu)點：有利于保密有利于發(fā)揮行業(yè)和部門內的人員的業(yè)務特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息安全知識缺點可能由于缺乏風險評估的專業(yè)技能，其結果不夠深入準確；同時，受到組織內部各種因素的影響，其評估結果的客觀性易受影響。建議方法委托風險評估服務技術支持方實施的評估，過程比較規(guī)范、評估結果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務了解的限制，對被評估系統(tǒng)的了

50、解，尤其是在業(yè)務方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風險因素，因此，對其背景與資質、評估過程與結果的保密要求等方面應進行控制。,100,風險評估的工作形式—檢查評估,檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展的風險評估。 優(yōu)點：最具權威性。通過行政手段加強信息安全的重要措施。缺點：間隔時間較長，一般是抽樣進行，難于貫穿信息系統(tǒng)的生命周期。,101,（四）風險評估工

51、具,風險評估與管理工具一套集成了風險評估各類知識和判據的管理信息系統(tǒng)，以規(guī)范風險評估的過程和操作方法；或者是用于收集評估所需要的數據和資料，基于專家經驗，對輸入輸出進行模型分析。系統(tǒng)基礎平臺風險評估工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數據庫系統(tǒng)、網絡設備等）的脆弱性進行分析，或實施基于脆弱性的攻擊。風險評估輔助工具實現對數據的采集、現狀分析和趨勢分析等單項功能，為風險評估各要素的賦值、定級提供依據。,102,,知識域

52、：信息安全風險評估實踐,知識子域：風險分析實例了解典型信息系統(tǒng)風險評估實踐過程,103,,評估依據,,,國家標準規(guī)范,,,XX行業(yè)安全要求,GB/T 20274-2006 信息系統(tǒng)安全保障評估框架GB/T 20984-2007 信息安全風險評估規(guī)范GB/T 18336-2001 信息技術安全性評估準則,xx系統(tǒng)網絡與信息安全管理崗位及其職責（試行稿）xx系統(tǒng)網絡與信息安全總體策略xx系統(tǒng)網絡與信息安全風險評估工作管

53、理規(guī)定（試行稿）xx系統(tǒng)電子數據處理管理辦法（試行）首期網絡與信息安全防護體系運行管理辦法,104,評估范圍-被評估單位選擇,本次風險評估工作的對象為省級國家xx局及其兩個下屬的地市級國家xx局的信息系統(tǒng),,105,直轄市： 市國家xx局+區(qū)國家xx局 北京市x局 海淀區(qū)x局省級： 省國家xx局+2地市x局 浙江省x局

54、 杭州市x局 XX市x局單列市： 市國家xx局 寧波市x局,105,評估范圍-評估對象選擇,106,106,評估范圍-評估內容,,,基礎網絡與物理環(huán)境,,業(yè)務系統(tǒng),,,安全管理,107,實施內容—評估準備,成立風險評估團隊形成風險評估方案：《xx信息系統(tǒng)風險評估技術方案》形成統(tǒng)一的評估方法：檢測工具集和測試用例庫集成，評估標準、規(guī)范的學習工作。

55、確定評估范圍：以《xx信息系統(tǒng)風險評估技術方案》為指導，與被評估單位協(xié)商確定此次風險評估的范圍。熟悉評估的內容和環(huán)境確認評估保障條件,,108,108,實施評估-現場信息獲取,現場評估啟動會議資產識別威脅識別物理環(huán)境脆弱性評估網絡脆弱性識別系統(tǒng)脆弱性識別管理脆弱性評估滲透測試確認現場評估結果,,109,109,實施評估-風險計算,業(yè)務系統(tǒng)風險關聯(lián)值 Fn=業(yè)務系統(tǒng)脆弱性值V*業(yè)務系統(tǒng)威脅值T單一資產的風險值