信息安全风险管理资料.ppt

本节内容 第三章信息安全风险管理1 风险是事件未来可能结果发生的不确定性 风险是损失发生的不确定性 风险是指可能发生损失的损害程度的大小 风险是指损失的大小和发生的可能性 风险是由风险构成要素相互作用的结果 1 信息安全风险的引入 第三章信息安全风险管理1 2007年4月22日至27日 国际标准化组织技术管理局风险管理工作组 ISO TMB WGRiskManagement 在加拿大渥太华召开了第四次工作组会议 风险 不确定性对目标的影响 effectofuncertaintyonobjectives 该定义克服了其他国家对 风险 定义过于狭窄 不准确等弊端 直指风险的本质 准确 全面 易于理解 便于应用 1 信息安全风险的引入 第三章信息安全风险管理1 1 信息安全风险的引入 信息安全的不确定性 第三章信息安全风险管理1 1 信息安全风险的引入 信息安全的不确定性 1 信息安全风险的引入 绝对安全 冗余的安全措施 低效的安全投资 紧张的安全管理人员 对员工的不信任感 第三章信息安全风险管理1 如何确切掌握网络和信息系统的安全程度 安全威胁来自何方 加强信息安全保障工作应采取哪些措施 要投入多少人力 财力和物力 已采取的信息安全措施是否有效 适度安全 第三章信息安全风险管理1 1 信息安全风险的引入 第三章信息安全风险管理1 1 信息安全风险的引入 安全是相对的 风险是绝对的 安全强度与安全代价寻求平衡点 安全与开放寻求平衡点 1 信息安全风险的引入 以风险评估为安全建设的出发点 它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定 采取成本 效益平衡的原则 第三章信息安全风险管理1 2 信息安全风险的相关概念 第三章信息安全风险管理1 风险 不确定性对目标的影响 effectofuncertaintyonobjectives 不确定性 影响 2 信息安全风险的相关概念 第三章信息安全风险管理1 安全风险 特定的威胁利用资产的一种或多种脆弱性 导致资产的丢失或损害的潜在可能性 即特定威胁事件发生的可能性与后果的结合 风险 不确定性对目标的影响 effectofuncertaintyonobjectives 2 信息安全风险的相关概念 第三章信息安全风险管理1 安全风险 特定的威胁利用资产的一种或多种脆弱性 导致资产的丢失或损害的潜在可能性 即特定威胁事件发生的可能性与后果的结合 威胁 Threat 指可能对资产或组织造成损害的事故的潜在原因 威胁的属性 威胁的主体 威胁源 能力 资源 动机 途径 可能性等 2 信息安全风险的相关概念 第三章信息安全风险管理1 安全风险 特定的威胁利用资产的一种或多种脆弱性 导致资产的丢失或损害的潜在可能性 即特定威胁事件发生的可能性与后果的结合 脆弱性 Vulnerability 就是资产的弱点或薄弱点 这些弱点可能被威胁利用造成安全事件的发生 从而对资产造成损害 脆弱性也常常被称为漏洞 脆弱性是资产本身所具有的 2 信息安全风险的相关概念 第三章信息安全风险管理1 安全风险 特定的威胁利用资产的一种或多种脆弱性 导致资产的丢失或损害的潜在可能性 即特定威胁事件发生的可能性与后果的结合 资产 Asset 就是被组织赋予了价值 需要保护的有用资源 每项资产都应该清晰地定义 合理地估价 在组织中明确资产所有权关系 对资产进行安全分类 并以文件形式详细记录在案 2 信息安全风险的相关概念 第三章信息安全风险管理1 资产 Asset 就是被组织赋予了价值 需要保护的有用资源 信息资产 数据库和数据文件等 软件资产 应用软件 系统软件等 物理资产 计算机设备 通信设备等 服务 计算和通信服务 通用公用事业等 人力资源 人员及他们的资格 技能和经验等 无形资产 组织的声誉和形象等 2 信息安全风险的相关概念 第三章信息安全风险管理1 信息资产 数据库和数据文件等 信息资产的分类 信息的标识和处置 2 信息安全风险的相关概念 第三章信息安全风险管理1 资产价值 Thevalueofasset 为明确对资产的保护对其进行估价 其价值大小既要考虑其自身价值 也要考虑其对组织机构业务的重要性 一定条件下的潜在价值以及与之相关的安全保护措施 资产价值体现了其对一个机构的业务的重要程度 2 信息安全风险的相关概念 第三章信息安全风险管理1 风险评估 RiskAssessment 对信息和信息处理设施的威胁 影响 Impact 指安全事件所带来的直接和间接损失 和脆弱性及三者发生的可能性的评估 3 信息安全风险的基本要素 第三章信息安全风险管理1 ISO IEC13335 3 信息安全风险的基本要素 第三章信息安全风险管理1 图示 A Asset 资产V Vulnerability 脆弱性T Threat 威胁S Safeguard 保护措施R ResidualRisk 残余风险C Constrains 约束 ISO IEC13335安全要素之间的关系 3 信息安全风险的基本要素 第三章信息安全风险管理1 3 信息安全风险的基本要素 第三章信息安全风险管理1 信息安全风险评估指南 3 信息安全风险的基本要素 第三章信息安全风险管理1 残余风险 ResidualRisk 采取了安全措施 提高了信息安全保障能力后 仍然可能存在的风险 残余风险的提出风险不可能完全消除风险不必要完全消除残余风险应受到密切监视 因为它可能会在将来诱发新的事件 4 信息安全风险管理的实施 第三章信息安全风险管理1 风险管理通过风险评估来识别风险大小 通过制定信息安全方针 采取适当的控制目标与控制方式对风险进行控制 使风险被避免 转移或降至一个可被接受的水平 风险管理 考虑控制费用与风险之间的平衡 风险评估对信息和信息处理设施的威胁 影响 Impact 指安全事件所带来的直接和间接损失 和脆弱性及三者发生的可能性的评估 风险管理通过风险评估来识别风险大小 通过制定信息安全方针 采取适当的控制目标与控制方式对风险进行控制 使风险被避免 转移或降至一个可被接受的水平 4 信息安全风险管理的实施 第三章信息安全风险管理1 4 信息安全风险管理的实施 第三章信息安全风险管理1 4 信息安全风险管理的实施 第三章信息安全风险管理1 4 信息安全风险管理的实施 第三章信息安全风险管理1 4 信息安全风险管理的实施 第三章信息安全风险管理1 4 信息安全风险管理的实施 第三章信息安全风险管理1 风险评估的一般工作流程 5 信息安全风险管理现状 第三章信息安全风险管理1 一 国际信息安全风险管理动态 一 美国 独占鳌头 加强控管 二 欧洲 不甘落后 重在预防 三 亚太 及时跟进 确保发展 四 国际组织 积极配合 重在规范 5 信息安全风险管理现状 一 美国 独占鳌头 加强控管 制定了从军政部门 公共部门和私营领域的风险管理政策和指南形成了军 政 学 商分工协作的风险管理体系国防部 商务部 审计署 预算管理等部门各司其职 形成了较为完整的风险分析 评估 监督 检查问责的工作机制 5 信息安全风险管理现状 DOD 风险评估的领路者 1967年 DOD开始研究计算机安全问题 到1970年 对当时的大型机 远程终端作了第一次比较大规模的风险评估 1977年 DoD提出了加强联邦政府和国防系统计算机安全的倡议 1987年 第一次对新发布的 计算机安全法 的执行情况进行部门级评估1997年 美国国防部发布 国防部IT安全认证认可过程 DITSCAP 2000年 国家安全委员会发布了 国家信息保障认证和认可过程 NIACAP 2007年 根据美国的网络安全国家战略计划 对政府各部门的信息安全状况进行更加全面的审计和评估 5 信息安全风险管理现状 DOC NIST 风险评估的推动者 2000年 NIST在 联邦IT安全评估框架 中提出了自评估的5个级别 并颁布了 IT系统安全自评估指南 SP800 26 2002年 NIST发布了 IT系统风险管理指南 SP800 30 阐明了风险评估的步骤 风险缓解的控制和评估评价的方法 2002年 颁布了 联邦信息安全管理法案 FISMA 要求联邦各机构必须进行定期的风险评估 5 信息安全风险管理现状 DOC NIST 风险评估的推动者 从2002年10月开始 NIST先后发布了 联邦IT系统安全认证和认可指南 SP800 37 联邦信息和信息系统的安全分类标准 FIPS199 联邦IT系统最小安全控制 SP800 53 将各种信息和信息系统映射到安全类别的指南 SP800 60 等多个文档 以风险思想为基础加强联邦政府的信息安全 5 信息安全风险管理现状 学术界 风险评估的探索者 美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作 为风险管理不断输送技术和智力资源 如卡内基梅隆大学 SSE CMM 信息安全工程能力成熟度模型OCTAVE 发布了OCTAVE框架 属于自主型信息安全风险评估方法 5 信息安全风险管理现状 商业界 风险评估的实践者 5 信息安全风险管理现状 二 欧洲 不甘落后 重在预防 1 趋利避害 一直是欧洲各国在信息化进程中防范安全风险的共同策略2 欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路3 欧盟投资 多国共同推动的CORAS项目充满欧洲理性思想的光芒 值得关注 5 信息安全风险管理现状 英国 BS7799享誉全球 英国BSI推出BS7799 分为两个部分 BS7799 1 1999信息安全管理实施细则 BS7799 2 2002信息安全管理体系规范 英国CCTA开发了CRAMM风险评估工具 完全遵循BS7799 英国C A系统安全公司推出了COBRA Consultative ObjectiveandBi functionalRiskAnalysis 工具 由一系列风险分析 咨询和安全评价工具组成 5 信息安全风险管理现状 德国 日尔曼人的 基线 防御 德国联邦IT基线防护手册 ITBPM 以严谨 周密而得名 1991年 德国建立信息安全局 BSI 主要负责政府部门的信息安全风险管理和评估工作 1997年 颁布 信息和通信服务规范法 风险评估在方法上基本遵循BS7799 5 信息安全风险管理现状 欧盟的CORAS项目 2001年至2003年 欧盟投资 四个欧洲国家 德国 希腊 英国 挪威 的11个机构 历时3年时间 完成了安全关键系统的风险分析平台项目CORAS 使用UML建模技术 开发了一个面向对象建模技术的风险评估框架 一期完成之后 欧盟继续投资为期三年的二期项目COMA 2007年完成 5 信息安全风险管理现状 CORAS 欧洲经典 三 亚太 及时跟进 确保发展 日本 在风险管理方面综合美国和英国的做法 建立了 安全管理系统评估制度 ISMS 作为日本标准 JIS 启用了ISO IECl7799 1 BS7799 韩国 主要参照美国的政策和方法 新加坡 主要参照英国的做法 在信息安全风险评估方面依据BS7799 5 信息安全风险管理现状 ISO 专业的普通话 ISO IEC13335 IT安全管理指南 ISO IEC17799ISO27000系列ISO27000信息安全管理体系基本原理和词汇ISO27001信息安全管理体系要求ISO27002信息安全管理实践准则ISO27003信息安全管理实施指南ISO27004信息安全管理的度量指标和衡量ISO27005信息安全风险管理指南ISO27006信息和通信技术灾难恢复和服务指南ISO IEC21827 2002 SSE CMM 信息安全工程能力成熟度模型ISO IEC15408 IT安全评估通用准则 CC 5 信息安全风险管理现状 ITU 产业的风向标 在安全体系和框架方面主要维护X 8xx系列标准 在信息安全管理方面已发布 ITU TX 1051信息安全管理系统 通信需求 ISMS T 在安全通讯业务方面涉及所有网络与信息安全 主要集中在移动通信安全 P2P安全认证 Web服务安全等等 已发布标准 ITU TX 1121移动端到端数据通信安全技术框架 ITU TX 1121基于PKI实施安全移动系统指南 5 信息安全风险管理现状 二 国内信息安全风险管理情况 一 总体态势 起步较晚 发展很快 二 市场状况 需求迫切 形势喜人 5 信息安全风险管理现状 一 总体态势 起步较晚 发展较快 国信办从国家层面强力推动各部委各司其职 积极呼应国内企业在技术 服务方面及时跟进国外企业利用技术和市场优势乘势而入 5 信息安全风险管理现状 国信办强力推动 2003年 27号文 强调 要重视信息安全风险评估工作 2004年 完成风险评估研究报告与标准草案2005年 开展风险评估试点工作2006年 月 出台5号文件 提出开展信息安全风险评估工作的意见2006年8月 9月 开展风险评估检查工作2006年10月 总书记批示 加快专控队伍建设 风险评估工作要制度化 从2007年起 对 8 2 系统开始实行制度化的风险评估 5 信息安全风险管理现状 各部委积极响应 公安部主力推动 等级保护 工作 保密局对涉密网络和信息系统提出相应风险管控要求 发改委 科技部 信息产业部等持续在科研和产业化投入方面予以支持 国防科工委加强安全风险管理的体制 机制和建制工作 信息安全标准化工作重点支持风险评估 管理 各相关部门在积极开展风险管理方面的政策制定 技术研究和评估实践 5 信息安全风险管理现状 以中国信息安全测评中心为例 1999 2004年 开展了信息系统安全性评估工作 对网上证券 网上银行 党政机关等数十个信息系统颁发了证书2003 2005年 连续两期承担了国家863风险评估研究课题 同时完成了多项国家信息安全风险评估相关标准的研制工作2005年起 参加国信办组织的风险评估试点工作和检查评估工作2006年 成为国家风险评估专控队伍2007年 将风险评估作为中心的核心工作之一 5 信息安全风险管理现状 国内企业及时跟进 以启明星辰 天融信 联想 三零盛安 绿盟等为代表的信息安全企业 为民航 电信 石油等多个行业提供了商业性的风险评估服务 以国家电力公司为代表的大型国有企业开展了信息安全风险自评估工作 5 信息安全风险管理现状 在华外企乘势而入 以IBM H