信息安全管理.doc

1、信息安全的基本概念信息安全是指信息的保密性、真实性、完整性和可用性的保持。2、信息安全的重要性 a.信息安全是国家安全的需要国家军事安全政治稳定社会安定经济有序运行美国与俄罗斯先后推出和 b.信息安全是组织持续发展的需要任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运行等,信息安全特性已成为许多组织的服务质量的重要特性之一. c.信息安全是保护个人隐私与财产的需要3、如何确定组织信息安全的要求 a.法律法规与合同要求 b.风险评估的结果(保护程度与控制方式) c.组织的原则、目标与要求4、 我国信息安全管理方面,主要有以下几方面问题：宏观：（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信 息安全的第一道防线. （2）管理问题。组织建设、制度建设和人员意识。 （3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权。微观：（1）缺乏信息安全意识与明确的信息安全方针。 （2）重视安全技术，轻视安全管理。信息安全大 约70%以上的问题是由管理原因造成的. （3）安全管理缺乏系统管理的思想。5、系统的信息安全管理原则：制订信息安全方针原则：制定信息安全方针为信息安全管理提供导向和支持风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上费用与风险平衡原则：将风险降至组织可接受的水平，费用太高不接受预防为主原则：信息安全控制应实行预防为主，做到防患于未然商务持续性原则：即信息安全问题一旦发生，我们应能从故障与灾难中恢复商务运作，不至于发生瘫痪，同时应尽力减少故障与灾难对关键商务过程的影响动态管理原则：即对风险实施动态管理全员参与的原则：PDCA原则：遵循管理的一般循环模式-Plan(策划)-Do(执行)-Check(检查)-Action(措施)的持续改进模式。6、 系统信息安全管理与传统比较系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。7、 威胁：是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等. 薄弱：是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等。 关系：威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘.8、 风险：即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小。经济代理人面对的随机状态可以用某种具体的概率值表示.这里的风险只表示结果的不确定性及发生的可能性大小.9、 风险评估：对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析.风 险 管 理风险评估风险控制降低风险10、 风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。结构过程：11、 安全控制：降低安全风险的惯例、程序或机制。12、剩余风险：实施安全控制后，剩余的安全风险。威 胁利用薄弱点防范导致暴露导致安全控制安全风险资产达到指出增加具有安全要求资产价值和潜在影响降低13、风险评估与管理的术语关系图（其实，安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系）14、 风险评估过程a.风险评估应考虑的因素 （1）信息资产及其价值 （2）对这些资产的威胁，以及他们发生的可能性 （3）薄弱点 （4）已有的安全控制措施b.风险评估的基本步骤 （1）按照组织商务运作流程进行信息资产识别， 并根据估价原则对资产进行估价 （2）根据资产所处的环境进行威胁识别与评价 （3）对应每一威胁，对资产或组织存在的薄弱点 进行识别与评价 （4）对已采取的安全控制进行确认 （5）建立风险测量的方法及风险等级评价原则， 确定风险的大小与等级15、资产、威胁和薄弱点对应关系图资产1威胁A薄弱点A1薄弱点A2薄弱点B1薄弱点B2来源A1来源A2威胁B来源B1来源B2资产、威胁和薄弱点对应关系：1、 每一项资产可能存在多个威胁2、 威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑。3、 每一威胁可能利用一个或数个薄弱点。16、 资产识别与估价 信息资产的广义与狭义理解资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是要考虑资产对于组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。建立一个资产的价值尺度(资产评估标准).一些信息资产的价值是有时效性的,如数据保密.17、关键资产：采用精确的财务方式来给资产确定价值有时是很困难的,一般采用定性的方式来建立资产的价值或重要度,即按照事先确定的价值尺度将资产的价值划分为不同等级或说对资产赋值.从而可以确定需要保护的关键资产。18、空气中的悬浮颗粒或灰尘 维护错误 空调故障 恶意软件 电子邮件炸弹 用户身份的伪装 通信侵入 信息路径错误或路径变更 存储媒体的老化 被未经授权的网络访问 地震 操作人员的错误 偷听 供电波动 环境污染 否定或抵赖项 极端的温度和湿度 软件故障 通信服务故障 员工短缺 网络组件的故障 盗窃 电力供应故障 飓风 水供应故障 通信量超载 火灾 传输错误 洪水 软件未经授权的使用目 硬件故障 存储媒体未经授权的使用 软件的非法进或出口 软件被未经授权的用户使用 软件的非法使用 软件以一种未经许可的方法使用 工业活动 用户错误 闪电 故意破坏 通信电缆损坏 资源滥用总之，我们应对组织需要保护的每一项关键信息资产进行威胁识别，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断威胁来源，威胁可能来源于意外，或有预谋的事件。威胁发生的可能性大小（具体根据需要定，可能取大于1的值，也可能取小于1的值，但肯定不小于0）可以采取分级赋值的方法予以确定。如将可能性分为三个等级：非常可能=3；大概可能=2；不太可能=119、威胁事件发生的可能性大小与威胁事件发生的条件是密切相关的。如消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。因此，具体环境下某一威胁发生的可能性应考虑具体资产的薄弱点对这一威胁发生可能性的社会均值予以修正：PTV=PT*PV式中 PTV考虑资产薄弱点因素的威胁发生的可能性； PT未考虑资产薄弱点因素的威胁发生的可能性，即这一威胁发生可能性的组织、行业、地区或社会均值； PV资产的薄弱点被威胁利用的可能性20、评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要度）为限。威胁的潜在影响I=资产相对价值V*价值损失程度CL价值损失程度CL是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即CL=1），但不可能对资产价值没有任何影响（即CL0）。为简化评价过程，可以用资产的相对价值代替其所面临的威胁产生的影响，即用V代替I，让CL=1。21、 薄弱点识别与评价表2-2 有关实物和环境安全方面的薄弱点薄弱点 利用薄弱点的威胁对建筑、房屋和办公室实物访问控制 故意破坏的不充分或疏忽 对于建筑、门和窗缺乏物理保护 盗窃位于易受洪水影响的区域 洪水未被保护的储藏库 盗窃缺乏维护程序或维护作业指导 维护错误缺乏定期的设备更新计划 存储媒体的老化设备缺乏必要防护措施 空气中的颗粒/灰尘设备对温度变化敏感或缺乏空调设施 极端温度(高温或低温)设备易受电压变化的影响、不稳定的高压输电网、缺少供电保护设施 电压波动可见，威胁可能是人为的、攻击的，也可能是环境的、自然的。组织应对每一项需要保护的信息资产，找出每一种威胁所能利用的薄弱点，并对薄弱点的严重性进行评价，即对薄弱点被威胁利用的可能性PV进行评价，可以采用分级赋值的方法（同PT一样，具体大小根据需要定，可能取大于1的值，也可能取小于1的值，但肯定不小于0）。如：非常可能=4；很可能=3；可能=2；不太可能=1；不可能=022、风险函数：风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数: R=R(PT,PV,I) 其中：R-资产受到某一威胁所拥有的风险威胁的潜在影响 I 可以用资产的相对价值V来代替：三元风险函数 R=R(PT，PV，V) 二元风险函数 R=R(PTV,V) 风险区域示意图风险大小可以利用二元或三元的方法来测量，风险计算公式可以采用简单的乘法、矩阵风险表等方式表示。但用不同方法所形成的结论是一致的.23、 风险测量方法a. 使用风险矩阵表进行测量利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小：威胁发生的可能性定性划分为三级：低、中、高（02）；薄弱点被利用的可能性也定性划分为三级：低、中、高（02）；受到威胁的资产的相对价值定性划分为五级：（04） 共有3*3*5=45种风险情况，依据风险函数特性将这45种风险情况按照某种规律赋值，形成事先确定的风险价值表（即确定风险函数R的矩阵表达式）表2-3 风险价值矩阵表中1资产相对价值V6威胁发生的可能性PT薄弱点被利用的可能性PV0123401212323412342345345623453456456734564567578高2低0高2中1低0高2低0中1高2低0中1如PT=0，PV=1，V=3，则R=R（PT，PV，V）=R（0，1，3）=4b.二元乘法风险测量，计算公式为：R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险，风险大小为两者因素值之乘积 二元乘法风险计算表 威胁 影响（资产） 威胁发生的 风险 威胁的等级 价值I 可能性PTV R 威胁A 5 2 10 2 威胁B 2 4 8 3 威胁C 3 5 15 1 威胁D 1 3 3 5 威胁E 4 1 4 4 威胁F 2 4 8 3 即，在此我们将威胁发生的可能性定性划分为15级，威胁所造成的影响也定性划分为15级。对于某一资产因不同威胁所产生的风险大小与风险排序（或者说威胁的等级）就是上表所述的情形。注意：由于采用乘法计算风险，因此，这里的变量数值不取为0C.关于网络系统的风险测量举例 R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中：V-系统的重要性 PO-防止威胁发生的可能性 , PTV = 1-PO PD-防止系统性能降低的可能性, CL= 1-PD以某个网络系统作为信息资产的风险测量对象来开展根据网络系统的重要性（系统的相对价值）V、威胁发生的可能性PTV、威胁发生时防止性能降低的可能性PD，三个因素来评价风险的大小。V系统的重要性，为系统的保密性C、完整性IN、可用性A三项评价值的乘积，即V=CINA风险计算示例：如某组织有三个网络系统：管理、工程与电子商务系统的保密性、完整性、可用性均定性划分为低（1）、中（2）、高（3）三个等级；PO、PD均划分为5级，并赋予以下数值：均设定为小于1（why?）很低0.1低 0.3中 0.5高 0.7很高0.9则，该组织这三个系统的风险大小及排序如下：表2-5 风险计算结果 网络系 保密性 完整性 可用性 网络系统 防止威 防止系统 风险 风险统名称 C IN A 重要性 胁发生 性能降低 排序 V PO PD R 管 理 1 3 2 6 0.1 0.3 3.78 2 工 程 2 3 2 12 0.5 0.5 3.00 3 电子商务 3 3 2 18 0.3 0.3 8.82 1 d.可接受的和不可接受的风险区分方法 测量风险的另一个方法就是只区别可接受的和不可接受的风险，这样就能以较少的精力完成。利用此方法，风险测量的结果仅是可接受的（T）或不可接受的（N）例如：PT定性划分为三级：低、中、高（02）；PV也定性划分为三级：低、中、高（02）；受到威胁的资产的相对价值定性地划分为五级（04）风险测量如下：表2-6 威胁频率值计算表威胁发生的可能性 低 中 高 PT 0 1 2 薄弱点被利用的可能性 L M H L M H L M H PV 0 1 2 0 1 2 0 1 2威胁频率值PTV 0 1 2 1 2 3 2 3 4注意：1、威胁频率值就是威胁真实发生的可能性大小，即考虑了薄弱点被利用的可能性后对威胁发生可能性的修正； 2、由于这里的可能性值有为0，因此，此时用赋值方法，而不用乘法法来计算，即不用PTV=PTPV 表2-7 风险矩阵表 R=R（PTV，V） 威胁频率值资产相对价值V 0 1 2 3 4 0 T T T T N 1 T T T N N 2 T T N N N 3 T N N N N 4 N N N N N 24、 风险控制过程 安全控制的识别和选择实施控制降低风险风险接受风险评估过程25、安全控制的识别和选择：选择依据以风险评估的结果为依据以费用因素为依据26、 风险控制：降低风险途径避免风险,也称规避风险,属去除威胁转移风险减少威胁减少薄弱点减少威胁可能的影响程度探测有害事故，对其做出反应并恢复,属及时捕捉威胁27、风险接受：信息系统绝对安全（即零风险）是不可能的.组织在实施选择的控制后,总仍有残留的风险，称之为残留风险或残余风险或剩余风险。 造成残余风险的原因:可能是某些资产未被有意识保护所致,如假设的低风险;或者被提及的控制需要高费用而未采取应有的控制 残余风险应在可接受的范围内,即应满足: 残余风险 Rr=原有风险Ro-控制 R 残余风险 Rr可接受风险Rt风险接受就是一个对残余风险进行确认和评价的过程:按照风险评估确定的风险测量方法对实施安全控制后的资产风险进行重新计算,以获得残余风险的大小,并将残余风险分为可接受或不可接受的风险.28、 风险评估方法a. 基本的风险评估:是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其商业环境的所有要求。优点：（1）风险评估所需资源最少，简便易行 （2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的解决方案。缺点：（1）如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来说，可能会得不到充分的安全。（由于方法是基本的，不细，较粗，因此，评估结果可能也较粗，不够精确，有一定的出入）（2） 对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级，评估最初的控制是否仍然充分就