信息安全管理重点

1、1国家宏观信息安全管理方面,主要有以下几方面问题：（1）法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.（2）管理问题。（包括三个层次：组织建设、制度建设和人员意识）（3）国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.2微观信息安全管理方面存在的主要问题为：（1）缺乏信息安全意识与明确的信息安全方针。（2）重视安全技术，轻视安全管理。信息

2、安全大约70%以上的问题是由管理原因造成的. （3）安全管理缺乏系统管理的思想。3信息安全的基本概念(重点CIA) 信息安全（Information security)是指信息的保密性（Confidentiality)、完整性（Integrity)和可用性（Availability)的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性. A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系

3、统硬件,软件安全,可读性保障等4信息安全的重要性：a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要c.信息安全是保护个人隐私与财产的需要5如何确定组织信息安全的要求：a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动，关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。7 图1-1信息安全管理PDCA持续改进模式：.doc系统的信息安全管理原则：（1） 制订信

4、息安全方针原则：制定信息安全方针为信息安全管理提供导向和支持（2） 风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上（3） 费用与风险平衡原则：将风险降至组织可接受的水平，费用太高不接受（4） 预防为主原则：信息安全控制应实行预防为主，做到防患于未然（5） 商务持续性原则：即信息安全问题一旦发生，我们应能从故障与灾难中恢复商务运作，不至于发生瘫痪，同时应尽力减少故障与灾难对关键商务过程的影响（6） 动态管理原则：即对风险实施动态管理（7） 全员参与的原则：（8） PDCA原则：遵循管理的一般循环模式-Plan(策划)-Do(执行)-Check(检查)-Action(措施)的持续改

5、进模式。PDCA模式，如图方 针措施 策划 检查 实施本对方针与信息 信息安全方针 安全管理体系 根据风险评估、法律法规 进行评价， 要求、组织商务运作自 寻找改进 身要求确定控制目 的机会， 标与控制方式商务持续发展采取措施 持续性计划进行有关方针、 实施组织所程序、标准与法律 选择的控制法规的符合性检查， 与控制方式对存在的问题采取措施 予以改进 因此，系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的

6、，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。8 威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等.9薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等.威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘.10风险(Risk),即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小.经济代理人面对的随机状态可以用某种具体的概率值表示

7、.这里的风险只表示结果的不确定性及发生的可能性大小.11 风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析12 风险管理（Risk Management),以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。13 图2-1风险管理过程结构.doc风 险 管 理风险评估风险控制降低风险a.安全控制(Security Control)，降低安全风险的惯例、程序或机制。b.剩余风险(Resid

8、ual Risk)，实施安全控制后，剩余的安全风险。c.适用性声明(Applicability Statement)，适用于组织需要的目标和控制的评述。14、术语概念之间的关系威 胁利用薄弱点防范导致暴露导致安全控制安全风险资产达到指出增加具有安全要求资产价值和潜在影响降低（其实，安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系）图2-2风险评估与管理的术语关系图.doc（1）资产具有价值，并会受到威胁的潜在影响。（2）薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成影响。（3）威胁与薄弱点的增加导致安全风险的增加。（4）安全风险的存在对组织的信息安

9、全提出要求（5）安全控制应满足安全要求。（6）组织通过实施安全控制防范威胁，以降低安全风险。15 .风险评估应考虑的因素：（1）信息资产及其价值 （2）对这些资产的威胁，以及他们发生的可能性（3）薄弱点 （4）已有的安全控制措施16 .风险评估的基本步骤 （1）按照组织商务运作流程进行信息资产识别,并根据估价原则对资产进行估价 （2）根据资产所处的环境进行威胁识别与评价 （3）对应每一威胁，对资产或组织存在的薄弱点进行识别与评价 （4）对已采取的安全控制进行确认 （5）建立风险测量的方法及风险等级评价原则,确定风险的大小与等级17资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，

10、而是指其相对价值。在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是要考虑资产对于组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。建立一个资产的价值尺度(资产评估标准).一些信息资产的价值是有时效性的,如数据保密.18 威胁发生的可能性分析：确定威胁发生的可能性是风险评估的重要环节，组织应根据经验和（或）有关的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下列因素的影响：（1）资产的吸引力，如金融信息、国防信息等（2）资产转化成报酬的容易程度（3）威胁的技术含量（4）薄弱点被利用的难易程度19威胁发生的可能性大小（具体根据需要定，可能取大于1的值，也可能

11、取小于1的值，但肯定不小于0）可以采取分级赋值的方法予以确定。如将可能性分为三个等级：非常可能=3；大概可能=2；不太可能=1威胁事件发生的可能性大小与威胁事件发生的条件是密切相关的。如消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。因此，具体环境下某一威胁发生的可能性应考虑具体资产的薄弱点对这一威胁发生可能性的社会均值予以修正：PTV=PT*PV式中 PTV考虑资产薄弱点因素的威胁发生的可能性； PT未考虑资产薄弱点因素的威胁发生的可能性，即这一威胁发生可能性的组织、行业、地区或社会均值； PV资产的薄弱点被威胁利用的可能性评价威胁发生所造成的后果或潜在影响。不同的威

12、胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要度）为限。威胁的潜在影响I=资产相对价值V*价值损失程度CL价值损失程度CL是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即CL=1），但不可能对资产价值没有任何影响（即CL0）。为简化评价过程，可以用资产的相对价值代替其所面临的威胁产生的影响，即用V代替I，让CL=1。20薄弱点评价与已有控制措施的确认：a.薄弱点的识别与评价 表2-2有关实物和环境安全方面的薄弱点.doc b.对已有的安全控制进行确认 图2-5控制措施与风险程度关系图.doc21三元风险函数 R=R(P

13、T，PV，V) 至 二元风险函数 R=R(PTV,V）<均为增函数>图2-6 风险区域示意图（见笔记本最后一页 1）22风险测量方法事例：例2-1 使用风险矩阵表进行测量（预先价值矩阵Matrix with predefined value)表2-3风险价值矩阵表.doc利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小：威胁发生的可能性定性划分为三级：低、中、高（02）；薄弱点被利用的可能性也定性划分为三级：低、中、高（02）；受到威胁的资产的相对价值定性划分为五级：（04） 共有3*3*5=45种风险情况，依据风险函数特性将这45种风险情况

14、按照某种规律赋值，形成事先确定的风险价值表（即确定风险函数R的矩阵表达式）表2-3 风险价值矩阵表中1资产相对价值V6威胁发生的可能性PT薄弱点被利用的可能性PV0123401212323412342345345623453456456734564567578高2低0高2中1低0高2低0中1高2低0中1如PT=0，PV=1，V=3，则R=R（PT，PV，V）=R（0，1，3）=4例2-2 二元乘法风险测量，计算公式为：R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险，风险大小为两者因素值之乘积表2-4二元乘法风险计算表.doc表2-4 二元乘

15、法风险计算表 威胁 影响（资产） 威胁发生的 风险 威胁的等级 价值I 可能性PTV R 威胁A 5 2 10 2 威胁B 2 4 8 3 威胁C 3 5 15 1 威胁D 1 3 3 5 威胁E 4 1 4 4 威胁F 2 4 8 3 即，在此我们将威胁发生的可能性定性划分为15级，威胁所造成的影响也定性划分为15级。对于某一资产因不同威胁所产生的风险大小与风险排序（或者说威胁的等级）就是上表所述的情形。注意：由于采用乘法计算风险，因此，这里的变量数值最好不要取为0例2-3 关于网络系统的风险测量举例 R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO)式中：V

16、-系统的重要性 ； PO-防止威胁发生的可能性 , PTV = 1-PO ； PD-防止系统性能降低的可能性, CL= 1-PD表2-5风险计算结果.doc 以某个网络系统作为信息资产的风险测量对象来开展根据网络系统的重要性（系统的相对价值）V、威胁发生的可能性PTV、威胁发生时防止性能降低的可能性PD，三个因素来评价风险的大小。V系统的重要性，为系统的保密性C、完整性IN、可用性A三项评价值的乘积，即V=C×IN×A风险计算示例：如某组织有三个网络系统：管理、工程与电子商务系统的保密性、完整性、可用性均定性划分为低（1）、中（2）、高（3）三个等级；PO、PD均划分为5级

17、，并赋予以下数值：均设定为小于1（why?）；很低0.1；低 0.3；中 0.5；高 0.7；很高0.9则，该组织这三个系统的风险大小及排序如下：表2-5 风险计算结果 网络系 保密性 完整性 可用性 网络系统 防止威 防止系统 风险 风险统名称 C IN A 重要性 胁发生 性能降低 排序 V PO PD R 管 理 1 3 2 6 0.1 0.3 3.78 2 工 程 2 3 2 12 0.5 0.5 3.00 3 电子商务 3 3 2 18 0.3 0.3 8.82 1 例2-4 可接受的和不可接受的风险区分方法 表2-6威胁频率值计算表.doc 测量风险的另一个方法就是只区别可接受的和

18、不可接受的风险，这样就能以较少的精力完成。利用此方法，风险测量的结果仅是可接受的（T）或不可接受的（N）例如：PT定性划分为三级：低、中、高（02）；PV也定性划分为三级：低、中、高（02）；受到威胁的资产的相对价值定性地划分为五级（04）风险测量如下： 表2-6 威胁频率值计算表威胁发生的可能性 低 中 高 PT 0 1 2 薄弱点被利用的可能性 L M H L M H L M H PV 0 1 2 0 1 2 0 1 2威胁频率值PTV 0 1 2 1 2 3 2 3 4注意：1、威胁频率值就是威胁真实发生的可能性大小，即考虑了薄弱点被利用的可能性后对威胁发生可能性的修正； 2、由于这里的

19、可能性值有为0，因此，此时用赋值方法，而不用乘法法来计算，即不用PTV=PT×PV 表2-7风险矩阵表.doc表2-7 风险矩阵表 R=R（PTV，V） 威胁频率值资产相对价值V 0 1 2 3 4 0 T T T T N 1 T T T N N 2 T T N N N 3 T N N N N 4 N N N N N23风险优先级别确定 例2-5 利用区间的方法将例2-1计算的风险进行等级划分 表2-8风险等级划分示例.doc对于风险级别高的资产应被优先分配资源进行保护可接受与不可接受的界限应当考虑风险控制成本与风险（机会损失成本）的平衡即风险控制成本机会损失成本（高风险） 不可接受

20、 即实施控制是值得的风险控制成本机会损失成本（低风险） 可接受 即实施控制是不值得的风险控制成本=机会损失成本 平衡 即实施控制与否无所谓风险控制成本是指实施和维持所选择的控制的费用之和机会损失成本是指资产一旦遭受威胁所造成的损失预期值 表2-8 风险等级划分示例 风险数值区间 风险等级 6，7，8 1级，高风险，优先重点控制 3，4，5 2级，一般风险，进行适当控制 0，1，2 3级，低风险，可以接受24风险控制过程 图2-7风险控制过程.doc（见笔记本）25安全控制的识别和选择：选择依据以风险评估的结果为依据以费用因素为依据 如果风险控制成本大于机会损失成本,则所提议的控制是不合适的,即

21、所指的风险可接受,如果控制费用比组织计划的安全预算要高,也是不合适的,但如果预算不足以提供足够数量和质量的控制,导致不必要的风险,那么就应对其关注.安全控制预算应为一个限制性因素予以考虑.26 风险控制： 降低风险途径避免风险,也称规避风险,属去除威胁转移风险减少威胁减少薄弱点减少威胁可能的影响程度探测有害事故，对其做出反应并恢复,属及时捕捉威胁27 风险接受：信息系统绝对安全（即零风险）是不可能的. 组织在实施选择的控制后,总仍有残留的风险，称之为残留风险或残余风险或剩余风险。 造成残余风险的原因:可能是某些资产未被有意识保护所致,如假设的低风险;或者被提及的控制需要高费用而未采取应有的控制

22、 残余风险应在可接受的范围内,即应满足: 残余风险 Rr=原有风险Ro-控制 R 残余风险 Rr可接受风险Rt 风险接受就是一个对残余风险进行确认和评价的过程:按照风险评估确定的风险测量方法对实施安全控制后的资产风险进行重新计算,以获得残余风险的大小,并将残余风险分为可接受或不可接受的风险. 风险是随时间而变化的，风险管理应是一个动态的管理过程，因此组织要动态地定期进行风险评估，甚至在以下情况进行临时评估,以便及时识别需要控制的风险并进行有效的控制：当组织新增信息资产时. 当系统发生重大变更时. 发生严重信息安全事故时.组织认为有必要时.28风险评估与管理方法（分类，各风险评估含义及优缺点）风

23、险评估和风险管理的时间力度,以及具体开展的深度应与组织的环境和安全要求相称.A基本的风险评估：是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其商业环境的所有要求。适用范围：适用于商业运作不是非常复杂的组织，并且组织对信息处理和网络的依赖程度不高。优点：（1）风险评估所需资源最少，简便易行（2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的解决方案。缺点：（1）如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来说，可能会得不到充分的安全。（由于方法是基

24、本的，不细，较粗，因此，评估结果可能也较粗，不够精确，有一定的出入）（2）对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定的困难。B详细的风险评估：是指估，在此基础上开展风险评估并随后被用于安全控制的识别和选择。对资产的详细识别和估价，以及那些对资产形成威胁和相关薄弱点水平的详细评优点：（1）能获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求的安全水平。（2）可以从详细的风险评估中获得额外信息，使与组织更改相关的安全管理受益。缺点：（1）需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界，需要管理者持续关注，因而需要花费相当的时间、精力和技术才能获得可行的结果。（2）不能把一个系统的控制方案简单移植到另一个系统中，甚至是一个以为类似的系