安全风险评估PPT.ppt

信息系统风险评估,北京邮电大学信息安全中心主讲人：崔宝江博士cuibj2006年4月,信息系统风险评估,一.概述二.风险评估内容和方法三.风险评估实施过程四.风险评估实践和案例五.风险评估工具六.小结,风险的定义,普通字典的解释风险：遭受损害或损失的可能性AS/NZS4360：澳大利亚/新西兰国家标准风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。ISO/IECTR13335-1:1996安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全领域信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。,网络中存在的安全威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,企事业单位对信息系统依赖性增强安全威胁和风险无处不在组织自身业务的需要客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求法律法规的要求计算机信息系统安全保护条例互联网安全管理办法知识产权保护信息安全等级保护,风险管理必要性,风险评估和管理的安全标准体系,安全级别,安全评估和管理,GB/T17859GA/T3882002,ISO/IEC15408GB/T18336,BS7799SSE-CMMISO/IECTR13335GAO/AIMD-99-139NISPSP800-30OCTAVEAS/NZS4360,信息安全管理标准体系,BS7799和ISO17799由英国标准协会BSI制定的信息安全管理体系标准，后发布为国际ISO标准GAO/AIMD98-68和GAO/AIMD99-139：美国审计总署GAO发布的信息安全管理实施指南和信息安全风险评估指南NISTSP800-30美国国家标准和技术学会NIST的信息技术实验室ITL发布的IT系统风险管理指南OCTAVE卡耐基梅隆大学软件工程研究所CMU/SEI创建的可操作的关键威胁、资产和弱点评估方法和流程SSE-CMM美国国家安全局NSA等启动的信息安全工程能力成熟度模型AS/NZS4360澳大利亚和新西兰发布的风险管理指南COBIT美国信息系统审计和控制委员会ISACA的信息系统和技术控制目标,GB18336idtISO/IEC15408信息技术安全性评估准则,IATF信息保障技术框架,ISSE信息系统安全工程,SSE-CMM系统安全工程能力成熟度模型,BS7799,ISO/IEC17799信息安全管理实践准则,其他相关标准、准则例如：ISO/IEC15443,COBIT。,技术准则（信息技术系统评估准则）,管理准则（信息系统管理评估准则）,过程准则（信息系统安全工程评估准则）,信息系统安全保障评估准则,信息安全管理标准概述,信息安全管理标准体现的原则,制定信息安全方针为信息安全管理提供导向和支持预防控制为主的思想原则全员参与原则动态管理原则遵循管理的一般循环模式PDCA持续改进模式控制目标和控制方式的选择建立在风险评估基础之上,风险评估是风险管理的第一步,信息安全风险评估和风险管理,信息安全风险评估和风险管理,风险评估是信息安全管理体系和信息安全风险管理的基础信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动使得机构能够准确“定位”风险管理的策略、实践和工具能够将安全活动的重点放在重要的问题上能够选择成本效益合理的和适用的安全对策,信息安全风险评估和风险管理,风险评估确定安全风险及其大小的过程风险分析系统地使用信息以识别起源并估计风险风险评价将评估的风险与给的风险原则进行比较以决定重大风险的过程风险处理修改风险手段的选择和实施的处理过程,信息安全风险评估,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,风险评估解决的问题,要保护的对象（或资产）是什么？它的直接和间接价值如何？资产面临那些潜在威胁？导致威胁的问题何在？威胁发生的可能性有多大？资产中存在哪些脆弱点可能被利用？利用的难易程度如何？安全事件发生，组织会遭受怎样的损失或面临怎样的负面影响？组织应采取怎样的安全措施来有效控制风险？,风险评估的目的,明确信息系统的安全现状，明晰安全需求确定信息系统的主要安全风险，选择风险处置措施指导组织信息系统安全技术体系与管理体系建设,信息系统风险评估,一.概述二.风险评估内容和方法三.风险评估实施过程四.风险评估实践和案例五.风险评估工具六.小结,风险评估的历史,信息基础设施的评估阶段薄弱点评估渗透性评估风险评估标准体系阶段从操作系统、网络发展到整个管理体系解决信息安全问题重点在于预防,风险的要素,资产及其价值威胁脆弱性现有的和计划的控制措施(对策),风险要素之间的关系,风险要素之间的关系,资产拥有者,威胁来源,信息资产,威胁,脆弱性,安全风险(风险值),对策,风险的要素资产,资产是任何对组织有价值的东西资产的分类软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等其他：公司形象、公司信誉和客户关系,风险的要素威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果威胁举例自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问）环境威胁：长时间电力故障、污染、化学、液体泄漏等。,风险的要素脆弱性,与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞配置不当程序Bug专业人员缺乏弱口令缺乏安全意识后门,资产、威胁和脆弱性对应关系,资产,威胁A,威胁B,来源A1,来源A2,来源B1,来源B2,脆弱点A1,脆弱点A2,。,。,。,脆弱点B1,脆弱点B2,。,每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点,风险分析方法目前并没有使用所谓正确或错误的方法重要的是选择使用一个适合本组织的方法许多方法都会使用表格并结合主观和经验判断同一组织内，也可以根据不同等级的风险，运用不同的风险分析方法对信息安全的评估很难量化,风险评估方法概述,定性分析定量分析综合方法,风险评估方法概述,定性分析适用于：初始的筛选活动，以鉴定出需要更仔细分析的风险风险程度和经济上的考虑数据不足以进行定量分析的情况,定性分析：对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）分析的有效性取决于所用的数值精确度和完整性。,定性的风险分析,风险分析矩阵风险程度,E：极度风险H：高风险M：中等风险L:低风险,定性的风险分析,E：极度风险-要求立即采取措施H：高风险-需要高级管理部门的注意M：中等风险-必须规定管理责任L:低风险-用日常程序处理,风险的处理措施（示例）,定性的风险分析,定量分析：对后果和可能性进行分析采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）分析的有效性取决于所用的数值精确度和完整性。定量分析适用于：当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级,定量的风险分析,年度化损失运算表（频率）,定量的风险分析,简易的定量计算公式：资产价值（v)乘以可能性（L）可以得出ALE（年度风险损失），即：ALE=VL,定量的风险分析,半定量分析：在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度，但并非要提出任何在定量分析中所得到的风险实际值。,半定量分析,定性风险分析的优点1.简易的计算方式2.不必精确算出资产价值3.不需得到量化的威胁发生率4.非技术或非安全背景的员工也能轻易参与5.流程和报告形式比较有弹性定性风险分析的缺点1.本质上是非常主观的2.对关键资产的财务价值评估参考性较低3.缺乏对风险降低的成本分析,定性分析与定量分析的比较,定量风险分析的优点1.大体来说其结果都是建立在独立客观的程序或量化指标上2.大部分的工作集中在制定资产价值和减缓可能风险3.主要目的是做成本效益的审核定量风险分析的缺点1.风险计算方法复杂2.需要自动化工具及相当的基础知识3.投入大4.个人难以执行5.很难中途改变方向6.不会有范围之外的结果,定性分析与定量分析的比较,风险的函数表达：,R=f（a,v,t）R：风险a：资产的价值v：资产本身的脆弱性t：资产所面临的威胁,基于要素的风险分析,1.资产的价值运用ISO17799中对信息安全的定义来衡量资产价值：ConfidentialityIntegrityAvailability,基于要素的风险分析,1.资产的价值,基于要素的风险分析,1.资产的价值,基于要素的风险分析,1.资产的价值,基于要素的风险分析,资产的价值资产的保护是信息安全和风险管理的首要目标。每个资产都应该被识别与评价以提供适当保护。资产的拥有者与使用者须清楚识别。应盘点资产并建立资产清单,基于要素的风险分析,识别资产的脆弱性资产本身的安全问题是什么？这个资产缺少什么安全措施？分析脆弱程度这个脆弱性被利用的程度有多高？相对的防护措施有效性？定义脆弱性的计量可利用“低”，“中”，“高”来表示。,2.脆弱性分析,基于要素的风险分析,识别资产的威胁鉴别威胁的目标（什么资产会被威胁？）为什么会造成这威胁？找出威胁的相关性它有影响吗？重要或严重吗？有没有被它利用的脆弱点？鉴别威胁的可能性利用“不可能”，“可能”，“非常可能”来表示,3.威胁分析,基于要素的风险分析,风险计算：,基于要素的风险分析,信息系统风险评估,一.概述二.风险评估内容和方法三.风险评估实施过程四.风险评估实践和案例五.风险评估工具六.小结,风险评估过程,前期准备阶段主要任务是：明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。中期现场阶段编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究工作。人员调查技术调查后期评估阶段撰写系统测试报告，进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。风险信息评估风险控制策略,风险评估过程,风险评估过程,建立风险评估小组确定风险评估的范围建立资产列表对资产进行赋值建立漏洞列表建立威胁列表建立与威胁相关的控件列表提供风险评估报告进行风险处置（风险管理）,由管理委员会建立风险评估小组风险评估小组主要由组长：设计内部审核计划同时管理副组长和各部门协调人员副组长：负责协调具体的风险评估工作成员：配合副组长完成风险评估工作,风险评估过程,因为对于一个大型的企业或行业客户来讲，公司的整个信息系统的规模非常大，而且有很多类似的地方，所以如果对整个范围做评估，成本较高、周期较长，对于企业不合适，所有需要划定范围。通过认证范围制定风险评估的范围一般规则为：公司总部的信息系统评估某个分公司整体的信息系统评估某个分公司机房的信息系统评估某个分公司用户使用信息系统评估,风险评估过程,建立资产列表和资产分类资产分为7个组软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等其他：公司形象、公司信誉和客户关系,风险评估过程,对资产进行赋值根据资产在公司中使用的人数及本身的价值、重要性，对资产进行赋值。信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行半量化。,风险评估过程,建立弱点列表弱点列表，包含所有信息系统中存在的漏洞，该漏洞列表需要根据系统资源和信息资源的变化，不断的修改和增加。典型的弱点为：建立威胁列表列出每个资产可能存在的威胁。威胁是潜在存在着的，在某种时机或场合下利用漏洞而对信息系统造成危害。建立与威胁相关的控件列表当得到所有资产威胁后，根据资产威胁归纳出与该资产威胁相关的控件列表把相应的控件对象和控件复制到资产列表中。得到一个总结性的文档“风险评估中使用的控件列表”,风险评估过程,一份总结性的报告提供给管理委员会。这份报告概述整个信息安全管理体系，是符合此单位的信息安全方针和长期发展目标的。从这份报告中，能够非常清楚的知道资产的值,组织可以能够重视资产值高的资产同时使用相应的控件对象，控件和对策。,风险评估过程,监控和回顾信息安全小组做完评估工作以后，应该对资产的评估报告与资产情况进行有规则的监控和审核每半年重新进行一次风险评估资产发生重大变化时公司业务发生重大变化时出现重大信息安全漏洞或发生重大信息安全事件时出现其它需要重新进行风险评估的情形时,风险评估过程,风险处置,风险处置方法拒绝风险（下策）转移风险（中策）减少风险（上策）接受风险（上、中、下策）风险处置计划风险处置实施，形成风险处置报告风险处置监督、检查和改进,信息系统风险评估,一.概述二.风险评估内容和方法三.风险评估实施过程四.