信息安全管理重点概要

1、1国家宏观信息安全管理方面，主要有以下几方面问题： （1） 法律法规问题。健全 的信息安全法律法规体系是确保国家信息安全的基础，是信息安 全的第一道防线 （2） 管理问题。（包括三个层次：组织建设、制度建设和人员意识） （3） 国家信息基础设施建设问题。目前，中国信息基础设施几乎完全是建立在外国的核心 信息技术之上的，导致我国在网络时代没有 制网权.2005年度经济 人物之首：中国芯创立者 邓中翰十五期间，国家863计划和科技攻关的重要项目:信息安全与电子政务，金融信息化两 个信息安全研究项目 2微观信息安全管理方面存在的主要问题为： （1） 缺乏信息安全意识与 明确的信息安全方针。 （2）

2、重视安全技术，轻视 安全管理。信息安全大约70%以上的问题是由管理原因 造成的. （3）安全管理缺乏系统管理的思想。 3信息安全的基本概念（重点CIA） 信息安全（Informationsecurity）是指信息的保密性（Confidentiality）、完整性（Integrity） 和可用性（Availability）的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取，它因信息被允许访问对象的多 少而不同 I:信息完整性是指为保护信息及其处理方法的准确性和完整性，一是指信息在利用，传输，储 存等过程中不被篡改，丢失，缺损等，另外是指信息处理方法的正确性 A:信息可用性是 指信息及

3、相关信息资产在授权人需要时可立即获得.系统硬件，软件安全， 可读性保障等 4 信息安全的重要性： a.信息安全是 国家安全的需要b.信息安全是 组织持续发展的需要 C.信息安全是保护个人隐私与财产的需要 5如何确定组织信息安全的要求：a.法律法规与合同要求b.风险评估的结果（保护程度与控 制方式）c.组织的原则、目标与要求 6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动，关于信息安全 风险的指导和控制活 动通常包括制定信息安全方针、风险评估 、控制目标与方式选择、风 险控制、安全保证等。信息安全管理实际上是风险管理的过程 ，管理的基础是风险的识别与 评估。 7图1-1信息安全

4、管理 PDCA持续改进模式：.doc 系统的信息安全管理原则： （1） 制订信息安全方针原则： 制定信息安全方针为信息安全管理提供导向和支持 （2） 风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上 （3）费用与风险平衡原则：将风险降至组织可接受的 水平，费用太高不接受 （4）预防为主原则：信息安全控制应实行预防为主，做到防患于未然 5）商务持续性原则：即信息安全问题一旦发生，我们应能从故障与灾难中恢复商务 运作，不至于发生瘫痪，同时应尽力减少故障与灾难对关键商 务过程的影响 （6）动态管理原则：即对风险实施动态管理 （7）全员参与的原则： 8） PDCA原则：遵循管理的一般循环

5、模 式-Plan（策划）-Do（执行）-Check（检查）- Action（措施）的持续改进 模式。PDCA模式，如图 措施 寻找改进 的机会， 对方针与信息 安全管理体系 进行评价， 信息安全方针 根据风险评估、法律法规 要求、组织商务运作 持续发展 策划 要求确定控制目 标与控制方式商 持续性计划 采取措施 实施组织所 选择的控制 与控制方式 程 法 因此, 进行有关方针、 序、标准与法律 规的符合性检查， 对存在的问题采取措施 予以改进 系统的信息安 全管理是动态的、系统的、全员参与的、制度化的、预防为主的 信 性, 事后 损失， 息安全管理方式，用最低的成本，达到可接受的信息安全水平，

6、从根本上保证业务的连续 它完全不同 于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、 纠正式的，不能从根本上避 免、降低各类风险，也不能降低信息安全故障导致的综合 商务可能因此瘫痪，不能 持续。 8 威胁(Threat)，是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑 客攻击, 小偷偷盗等 9 薄弱点(Vulnerability)，是指资产或资 产组中能被威胁利用的弱点。如员工缺乏安全意 识,口令简短易猜，操作系统本身有安全漏洞等. 威胁是利用薄弱点而对资产或组织造成损害的如无懈可击，有机可乘. 10风险(Risk),即特定威胁事件发生的 可能性与后果的结合。特定的

7、威胁利用资产的一种或 一组薄弱点，导致资产的丢失或损害的潜在可能性及其影响大小. 经济代理人面对的随机状态可以用某种具体的概率值表示这里的风险只表示结果的不确 定性及发生的可能性 1 1风险评估(Risk 者发生的可能性评估 资产风险等级和优先 大小. Assessme nt),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三 它是确认安全风险及其大小的过程,即利用适当的风险评估工具，确定 控制顺序，所以，风险评估也称为 风险分析 1 2风险管理(Risk Management),以可接受的费用识 另h控制、降低或消除 可能影响信息 系统安全风险的过程。 a. 安全控制(Secur

8、ity Control)，降低安全风险的惯例、程序或机制。 b. 剩余风险(Residual Risk)，实施安全控制后，剩余的安全风险。 c. 适用性声明(Applicability Statement)，适用于组织需要的目标和控制的评述。 (其实，安全控制与 薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均 存在有直接或间接的关系) 图2-2风险评估与管理的术语关系图.doc (1) 资产具有价值，并会 (2) 薄弱点将资产暴露给 (3) 威胁与薄弱点的增加 (4) 安全风险的存在对组 (5) 安全控制应满足安全 (6) 组织通过实施安全控 15 .风险评估应考虑的因素: 受到

9、威胁的潜在影响。 威胁，威胁利用薄弱点对资产造成影响。 导致安全风险的增加。 织的信息安全提出要求 要求。 (1)信息资产及其价值 发生的可能性(3)薄弱点 制防范威胁，以降低安全风险。 (2)对这些资产的威胁，以及 他们 (4) 已有的安全控制措施 16 .风险评估的基本步骤 (1) 按照组织商务运作流程进行信息 资产识另山并根据估价原则对资产进行 估价 (2) 根据资产所处的环境进行 威胁识别与评价 (3) 对应每一威胁，对资 产或组织存在的 薄弱点进行识别与评价 (4 )对已米取的安全控制进行确认 (5) 建立风险测量的方法 及风险等级评价原则，确定风险的大小与等级 17资产估价是一个

10、主观的过程，资产价值不是 以资产的账面价格来衡量的，而是 指其相 对价值。在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是要考虑资产对于 组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。建立一个资产的价 值尺度(资产评估标准).一些信息资产的价值是有时效性的，如数据保密. 18威胁发生的可能性分 析： 确定威胁发生的可能 性是风险评估的重要环节，组织应根据经 验和(或)有关的统计数据 来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能 性受下列因素的影响： （1）资产的吸引力，如金融信息、国防信息等（2）资产转化成报酬的容易程度 （3）威胁的技术含量（4）薄弱点被利用

11、的难易程度 19威胁发生的可能性 大小（具体根据需要定，可能取 大于1的值，也可能取小于 1的值, 但肯定不小于0）可以采取分级赋值的方法 予以确定。如将可能性分为三 个等级： 非常可 能=3 ;大概可能=2;不太可能=1 威胁事件发生的可能 生火灾的可能性要比 发生的可能性应考虑 性大小与威胁事件发生的条件是密切相关 消防管理差的部门发生火灾的可能性小。 具体资产的薄弱点对这一威胁发生可能性 的。如消防管理好的部门发 因此，具体环境下某一威胁 的社会均值予以修正： 式中 P 考虑资产薄弱点因素的威胁发生的可能性; Ptv =Pt*P v Pt 未考虑资产薄弱点因素的威胁发生的可能性，即这一威

12、胁发生可能性的组织、 行业、地区或社会均 值； pv资产的薄弱点被威胁利用的可能性 评价威胁发生所造成 的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同， 即导致的价值损失也 不同，但损失的程度应以资产的相对价值（或重要度）为限。 威胁的潜在影响1=资产相对价值V*价值损失程度CL 价值损失程度CL是一个小于等于1大于0的系数，资产遭受安全事故 后，其价值可能 完全丧失（即CL=1），但不可能对资产价 值没有任何影响（即 CLM 0）。为简化评价过程， 可以用资产的相对价 值代替其所面临的威胁产生的影响，即用V代替I，让Cl=1。20薄 弱点评价与已有 控制措施的确认：a.薄弱点的

13、识别与评价表2-2有关实物和环境安全方 面的薄弱点.doc b.对已有的安全控制进行确认图2-5控制措施与风险程度关系图.doc 21三元风险函数R=R（PT, PV, V）至 二元风险函数R=R（PTV,V ） 均为增函数 图2-6 风险区域示意图（见笔记本最后一页1） 22风险测量方法事例： 例2-1使用风险矩阵表进行测量（预先价值矩阵一Matrix with predefined value） 表2-3风险价值矩阵表 .doc 利用威胁发生的可能 性、薄弱点被威胁利用的可能性及资产的 相对价值的三维矩阵来确定 风 险的大小：威胁发 生的可能性定性划分为三级：低、中、高（02）;薄弱点被利

14、用的可 能性 也定性划分为三 级：低、中、高（02）;受到威胁的资产的相对价值定性划分为五级： （0 4） 共有3*3*5=45种风险情况，依据风险函数特性将这45种风险情况按照某种规律 赋值， 形成事先确定的风险价值表（即确定风险函数R的矩阵表达式） 表2-3风险价值矩阵表 威胁发生的可能性 Pt 低 0 中 1 高 2 薄弱点被利用的可 能性V P 低 0 中 1 高 2 低 0 中 1 高 2 低 0 中 1 高 2 0 0 1 2 1 2 3 2 3 4 资产相对 价值V 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6

15、 7 4 4 5 6 5 6 7 6 7 8 如 Pt=0, Pv=1 , V=3 ,贝U R=R ( Pt, Pv, V) =R (0, 1 , 3) =4 例2-2二元乘法风险测量，计算公式为：R=R(PTV,I)=PTV*I即利用威胁发生的真实可能 性PTV和威胁的潜在影响I两个因素来评价风险，风险大小为两者因素值之乘积 表2-4二元乘法风险计算表 .doc 表2-4 二元乘法风险计算表 威胁 影响(资产) 价值1 威胁发生的 可能性PTV 风险 R 威胁的等级 威胁A 5 2 10 2 威胁B 2 4 8 3 威胁C 3 5 15 1 威胁D 1 3 3 5 威胁E 4 1 4 4 威

16、胁F 2 4 8 3 即，在此我们将威胁 发生的可能性定性划分为15级，威胁所造成的影 响也定性划分为 15级。对于某一资 产因不同威胁所产生的风险大小与风险排序(或者说威胁的等级)就 是上表所述的情形。 注意：由于采用乘法计算风险，因此，这里的变量数值最好不要取为 0 例 2-3 关于网络系统的风险测量举例R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中：V-系统的重要性；PO-防 止威胁发生的可能性，PTV = 1-PO ;PD-防止系统性能降低的可能性，CL= 1-PD 表2-5风险计算结果.doc 以某个网络系统作为信息资产的风险测量对象来开展

17、根据网络系统的重要 性(系统的相对价值) V、威胁发生的可能性 Pt、威胁发生时防止性 V 能降低的可能性 Pd，三个因素来评价风 险的大小。 V系统的重要性，为系统的保密性C、完整性IN、可用性A三项评价值的乘积，即 V= CX IN X A 风险计算示例：如某 组织有三个网络系统：管理、工程与电子商务 系统的保密性、完整 性、可用性均定性划分为低（1）、中（2）、高（3）三个等级； P。、d均划分为5级，并赋予以下数值：均设定为小于 1（ why?）;很 P 低0.1; 低 0.3; 中 0.5; 高 0.7; 很 咼0.9 则，该组织这三个系 统的风险大小及排序如下： 表2-5风险计算结

18、果 网络系 统名称 保密性 C 完整性 IN 可用性 A 网络系统 重要性 V 防止威 胁发生 P。 防止系统 性能降低 Pd 风险 R 风险 排序 管理 1 3 2 6 0.1 0.3 3.78 2 工程 2 3 2 12 0.5 0.5 3.00 3 电子商务 3 3 2 18 0.3 0.3 8.82 1 例2-4可接受的和不可接受的风险区分方法 表2-6威胁频率值计算表.doc 测量风险的另一个方法就是只区别可接受的和不可接受的 风险，这样就能以较 少的精力完成。利用此方法，风险测量的结果仅是可接受的（T）或不 可接受的（N） 例如：T定性划分为三级：低、中、高（02）; PV也定性划

19、分为三级：低、中、高 P （0 2）; 受到威胁的资产的相 对价值定性地划分为五级（04） 风险测量如下：表2-6威胁频率值计算表 威胁发生的可能性 Pt 低 0 中 1 高 2 薄弱点被利用的可能性 Pv L 0 M 1 H 2 L 0 M 1 H 2 L 0 M 1 H 2 威胁频率值PTV 0 1 2 1 2 3 2 3 4 注意：1、威胁频率值就是威胁真实发生的 可能性大小，即考虑了薄弱点被利用的可能性后 对威胁发生可能性的 修正； 2、由于这里的可能性值有为0，因此，此时用赋值方法，而不用乘法法来计算，即 不用T = TX v PV P P 表27风险矩阵表.doc 表2）7丿 险矩

20、阵表 R=R t v , V)3 (PT T T T 威胁频率值 T T T N 资产相对价值 V T T N N 4 0 T N N N N 1 N 2N 3 4 NNNN 23风险优先级别确定 例2-5利用区间的方 法将例2-1计算的风险进行等级划分 表2-8风险等级划分示例 .doc 对于风险级别高的资产应被优先分配资源进行保护 可接受与不可接受的界限应当考 虑风险控制成本与风险（机会损失成本）的平衡 即风险控制成本V机会损失成本（高风险）不可接受即实施控制是值得的 风险控制成本机会损失成本（低风险）可接受即实施控制是不值得的 风险控制成本=机会损失成本平衡即实施控制与否无所谓 风险控制

21、成本是指实施和维持所选择的控制的费用之和机 会损失成本是指资产一旦遭受威胁所造成的损失预期值 表2-8风险等级划分示例 风险数值区间 风险等级 6, 7, 8 1级，高风险，优先重点控制 3, 4, 5 2级，一般风险，进行适当控制 0, 1 , 2 3级，低风险，可以接受 24风险控制过程 图2-7风险控制过程.doc （见笔记本） 25安全控制的识别和选择：选择依据以风险评估的结果为依据以费用因素为依据 如果风险控制成本大于机会损失成本，则所提议的控制是不合适的,即所指的风险可接受， 如果控制费用比组织计划的安全预算要高，也是不合适的，但如果预算不足以提供足够数量和 质量的控制，导致不必要

22、的风险，那么就应对其关注安全控制预算应为一个限制性因素予以 考虑 26风险控制： 降低风险途径避免风险 ，也称规避风险，属去除威胁转移风险 减少威胁 减少薄弱点减少威胁可能的影响程度探测有害事故，对 其做出反应并恢复，属及时捕 捉威胁 27风险接受：信息系统 绝对安全（即零风险）是不可能的 组织在实施选择的控 制后，总仍有残留的风险，称之为 残留风险或残余风险或剩余风 险。 造成残余风险的原因：可能是某些资产未被 有意识保护所致，如假设的低风险；或者被提及 的控制需要高费用而未采取应有的控制 残余风险应在可接受 的范围内，即应满足： 残余风险 只=原有风险Ro-控制 R 残余风险 RrW可接受

23、风险Rt 风险接受就是一个对残余风险进行确认和评价的过程：按照风险评估确定的风险测量方法 对实施安全控制后的 资产风险进行重新计算，以获得残余风险的大小，并将残余风险分为可接 受或不可接受的风险 风险是随时间而变化的，风险管理应是一个动态的管理过程，因此组织要动态地定期进 行风险评估，甚至在以下情况进行临时评估，以便及时识别需要控制的风险并进行有效的 控制：当组织新增 信息资产时当系统发生 重大变更时发生严重信息安全事故时 组织认为有必要时 28风险评估与管理方 法（分类，各风险评估含义及优 缺点） 风险评估和风险管理的时间力度，以及具体开展的深度应与组织的环境 和安全要求相称 A 基本的风险

24、评估：是指应用直接和简易的方法达到基本的安全 水平，就能满足组织及其 商 业环境的所有要求。适用范围：适用于商业运作不是非常 复杂的组织，并且组织对信息 处 理和网络的依赖程 度不高。 优点：（1风险评估所需资源 最少，简便易行（2）同样或类似的控制 能被许多信息安全 管理体系所采用，不 需要耗费很大的精力。如果多个商业要求 类似，并且在相同的环境中运作，这些控制可以 提供一个经济有效的解决方案。 缺点： （ 1）如果安全水平被设 置的太高，就可能需要过多的费用或控 制过度；如果水平太 低， 对一些组织来说 ，可能会得不到充分的安全 。（由于方法是基本的，不细，较粗，因此 ， 评估 结果可能也

25、较粗 ，不够精确，有一定的出入 ）（2）对管理相关的安全进行更改可能有 困难。 如一个信息安 全管理体系被升级，评估最初的控制是否 仍然充分就有一定的困难。 B 详细 的 风险评估： 是指估，在此基础上开展风险评估并随后被 用于安全控制的识别和选 择。对资产 的详细识 别和估价，以及那些对资产形成威胁和相 关薄弱点水平的详细评优点： （1） 能获 得一个更精确 的安全风险的认识，从而更为精确 地识别反映组织安全要求 的安全水平 。（2） 可以从详细的风 险评估中获得额外信息，使与组织更改相关的 安全管理 受益。 缺点： （1） 需要非常仔细制订 被评估的信息系统范围内的商务环 境、运作、信息和资产边 界， 需要管理者持续 关注，因而需要花费相当的时间、精力和 技术才能获得可行的结果。（ 2） 不 能把一个系统的控制方案 简单移植到另一个系统中，甚至是一个以 为类似的系统中。 C 联合 评 估方法： 就是首先使用基本的风 险评估方法 ,识别信息安全管理体 系范围