对信息安全风险评估思考

对信息平安风险评估的思考上海上讯信息系统工程平安咨询事业部黄永飞平安咨询参谋风险评估信息平安风险评估What?Why?How?问题思考

问题思考信息平安风险评估What信息平安风险评估是什么？

信息平安风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估平安事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将剩余风险控制在可接受的水平，从而最大限度地保障网络与信息平安。信息系统的平安风险是指由于系统存在的脆弱性，人为或自然的威胁导致平安事件发生的可能性及其造成的影响。平安风险评估是什么？人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以防止和弥补？总是试图找出最合理的答案，这一过程实际上就是风险评估。早在上个世纪初期，科学家就已开始研究风险管理理论。问题思考信息平安风险评估Why“三分技术，七分管理〞，我们的员工平安意识如何？依靠现有的平安产品是否能够解决现在的平安问题？现有的平安产品是否真正的起到了作用？如果发生平安事故，我们能否在最短时间内恢复业务系统？对未来的网络扩展和平安配置升级有没有前瞻性的规划？能否更多的节约投入本钱？。。。。。。。。。。。。。。。。。。。。。。。。。问题思考信息平安风险评估的意义风险评估是分析确定风险的过程信息平安风险评估是信息平安建设的起点和根底信息平安风险评估是需求主导和突出重点原那么的具体表达重视风险评估是信息化比较兴旺国家的根本经验风险评估是分析确定风险的过程任何系统的平安性都可以通过风险的大小来衡量。科学分析系统的平安风险，综合平衡风险和代价的过程就是风险评估。信息平安风险评估的意义信息平安风险评估的意义信息平安风险评估是风险评估理论和方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。信息平安风险评估是信息平安建设的起点和根底信息平安风险评估的意义所有信息平安建设都应该是基于信息平安风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减少风险、转移风险之间作出正确的判断，决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。信息平安风险评估的意义如果说信息平安建设必须从实际出发，坚持需求主导、突出重点，那么风险评估〔需求分析〕就是这一原那么在实际工作中的重要表达。从理论上讲风险总是客观存在的。平安是平安风险与平安建设管理代价的综合平衡。信息平安风险评估是需求主导和突出重点原那么的具体表达信息平安风险评估的意义不考虑风险的信息化是要付出代价有时代价可能很高，甚至难以承受

信息平安风险评估的意义不计本钱、片面地追求绝对平安、试图消灭风险或完全防止风险是不现实的，也不是需求主导原那么所要求的。坚持从实际出发，坚持需求主导、突出重点，就必须科学地评估风险，有效控制风险。信息平安风险评估的意义上个世纪70年代，美国政府就发布了?自动化数据外理风险评估指南?。其后公布的关于信息平安根本政策文件?联邦信息资源平安?明确提出了信息平安风险评估的要求，要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丧失、滥用、泄露、未授权访问等造成损失的大小，制订、实施信息平安方案，以保证信息和信息系统应有的平安。

重视风险评估是信息化比较兴旺国家的根本经验信息平安风险评估的意义英国标准化协会〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分为两个局部：BS7799-1?信息平安管理实施规那么?和BS7799-2?信息平安管理体系标准?。2002年又公布了?信息平安管理系统标准说明?〔BS7799-2:2002〕。它将信息平安管理的有关问题划分成了10个控制要项、36个控制目标和127个控制措施。目前，在BS77992中，提出了如何了建立信息平安管理体系的步骤。在信息平安管理体系的核心部位是风险评估和风险管理。目前，全球通过BS7799认证的数量达450家左右，其中绝大局部分布在欧洲和亚洲，整个中国地区〔包括香港和台湾在内〕通过BS7799认证的数量近20家。为用户提供具有针对性的平安产品和平安技术给用户提供量化的信息资产价值列表和资产风险列表可全面和有条理地向管理层反映现有的信息科技平安风险和所需的平安保障措施为决策和政策考虑提供不同的解决方案，使信息科技平安管理能够从策略性的层面推行为日后比较信息科技平安措施的变化提供依据信息平安风险评估的意义-总结问题思考信息平安风险评估How问题思考信息平安风险评估怎么实施？信息平安风险评估实施前需要准备什么？信息资产的属性怎么进行量化？发现信息资产的弱点后怎么进行补救?信息平安风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案工程规划风险评估的准备风险评估的准备确定范围范围可能是组织全部的信息和信息系统，可能是单独的信息系统，可能是组织的关键业务流程，也可能是客户的知识产权。确定目标目标根本上来源于组织业务持续开展的需要、满足相关方的要求、满足法律法规的要求等方面。确定组织结构组织结构的建立应考虑其结构和复杂程度，以保证能够满足风险评估的范围、目标。确定方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与组织的环境和平安要求相适应。获得最高管理者批准上述所有内容应得到组织的最高管理者的批准，并对管理层和员工进行传达。风险评估的准备(续〕信息平安风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案工程规划资产识别资产分类类别资产赋值原那么信息资产的价值取决于：保密性完整性可用性信息资产的价值随时间改变信息资产的价值随资产相关性变化信息资产赋值过程机密性、完整性和可用性的价值分别赋值影响威胁C1.竞争劣势

当本业务系统内的信息数据被竞争者得知时，将会造成何种程度的损失？01234C2.直接业务损失

当本业务系统内涵盖的信息资产被被不适当揭露时，可能着成企业业务的损失程度？01234C3.公众信心

本业务系统内的信息数据被不适当泄露时，公司在客户的信任度、公众形象、股东或供应商的忠诚度上所招受到的损失？01234C4.额外成本

本业务系统内的信息数据被不适当泄露时可能造成的额外成本负担？01234C5.法律责任

本业务系统内的信息数据被不适当泄露时，可能造成法律、规定或合约上的影响？01234C6.员工士气

本业务系统内的信息数据被不适当泄露时，可能对员工士气造成的影响？01234C7.欺诈行为

本业务系统内的信息数据被不适当泄露时，企业商品或资金可能被不当的转移？01234結果请选择上列因素中会造成最严重损失的评估结果01234信息平安风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案工程规划威胁识别平安威胁威胁种类是对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件IDS事件采集历史事件数据参谋访谈平安策略分析见下页平安审计权威组织的统计数据……获取方法威胁定义攻击类型说明被动攻击被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息（比如口令）。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将信息或文件泄露给攻击者。这样的例子如泄露个人的信用卡号码和医疗档案等。主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改改。物理临近攻击是指一未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。内部人员攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。软硬件装配分发攻击指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码，比如后门。主要有哪些攻击？信息平安风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案工程规划脆弱性识别平安弱点平安弱点是系统可以被利用从而导致资产发生损失的特性网络扫描上机检查平安策略评估网络架构评估技术类，比方OS漏洞，防火墙错误配置等管理类，比方没有平安策略、具体负责人、审核流程等业务模式类，比方充值卡业务，非实名制业务等应用软件评估数据库评估……弱点种类获取方法弱点定义信息平安风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案工程规划设计解决方案风险RISKRISKRISKRISK风险

---就是为了把企业的风险降到可接受的程度根本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞实施平安解决方案信息平安风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案工程规划工程规划工程规划方法实施难易程度预期效果紧迫性可实施性项目规划综合分析工程紧迫性分析威胁强度多大能够造成危害，难易度分布范围大小层次影响范围大小直接危害的严重程度间接危害的严重程度破坏后的恢复时间破坏后恢复的消耗最近6个月问题发现的频度最近一次发现问题的间隔工程可实施性分析外部策略允许程度内部管理条件是否具备技术成熟度内部技术条件是否具备外部支持条件是否具备

其他分析如前文…...紧迫性如前文…...可实施性技术难度资金投入大小时间投入长短人力投入大小和人员素质要求外部支持资源的复杂度对企业策略的触动大小对组织管理的触动大小对运作规定和习惯的触动大小实施难易程度见效速度对于安全性的直接效果评价对于业务的直接促进对于其他安全建设项目的支持对安全策略完善的促进对安全组织完善的促进对人员安全素质的促进对安全管理运作规范化的促进预期效果124561-工程准备与范围确定

工程交流

需求调研，背景讨论

范围确定

工程方案2-工程定义和蓝图

Kickoffmeeting

资产信息收集

完成详细方案设计

确定风险评估模型

完成蓝图并与用户签署6-支持和维护

工程初验修复和加固协助

二次验证评估热线支持

其他效劳35-风险综合和解决方案

平安风险综合分析

输出平安评估报告

设计平安解决方案建议工程实施主要阶段3-现状调研与分析

根本信息调查

业务流程分析

数据流分析

资产赋值4-平安风险评估

平安威胁评估

网络架构平安评估

设备平安评估

应用软件平安评估

平安策略〔环境〕评估……12356项目计划工程蓝图平安风险评