安全风险评估PPT.ppt

1、信息系统风险评估,北京邮电大学信息安全中心 主讲人：崔宝江 博士 2006年4月,信息系统风险评估,一. 概述 二. 风险评估内容和方法 三. 风险评估实施过程 四. 风险评估实践和案例 五. 风险评估工具 六. 小结,风险的定义,普通字典的解释 风险：遭受损害或损失的可能性 AS/NZS 4360：澳大利亚/新西兰国家标准 风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。 ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。 信息安全领域 信息安全风险是指信息资产的保密性、完整性和可用性遭到破

2、坏的可能性。 信息安全风险只考虑那些对组织有负面影响的事件。,网络中存在的安全威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,企事业单位对信息系统依赖性增强 安全威胁和风险无处不在 组织自身业务的需要 客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求 法律法规的要求 计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护,风险管理必要性,风险评估和管理的安全标准体系,安全级别,安全评估和管理,GB/T 17859 GA/T 3882002,ISO/IEC 154

3、08 GB/T 18336,BS7799 SSE-CMM ISO/IEC TR 13335 GAO/AIMD-99-139 NISP SP 800-30 OCTAVE AS/NZS 4360,信息安全管理标准体系,BS7799和ISO17799 由英国标准协会BSI制定的信息安全管理体系标准，后发布为国际ISO标准 GAO/AIMD 98-68和GAO/AIMD 99-139： 美国审计总署GAO发布的信息安全管理实施指南和信息安全风险评估指南 NIST SP800-30 美国国家标准和技术学会NIST的信息技术实验室ITL发布的IT系统风险管理指南 OCTAVE 卡耐基梅隆大学软件工程研究所

4、CMU/SEI创建的可操作的关键威胁、资产和弱点评估方法和流程 SSE-CMM 美国国家安全局NSA等启动的信息安全工程能力成熟度模型 AS/NZS4360 澳大利亚和新西兰发布的风险管理指南 COBIT 美国信息系统审计和控制委员会ISACA的信息系统和技术控制目标,GB 18336 idt ISO/IEC 15408 信息技术安全性评估准则,IATF 信息保障技术框架,ISSE 信息系统安全工程,SSE-CMM 系统安全工程能力成熟度模型,BS 7799, ISO/IEC 17799 信息安全管理实践准则,其他相关标准、准则 例如：ISO/IEC 15443, COBIT。,技术准则 （信

5、息技术系统评估准则）,管理准则 （信息系统管理评估准则）,过程准则 （信息系统安全工程评估准则）,信息系统安全保障评估准则,信息安全管理标准概述,信息安全管理标准体现的原则,制定信息安全方针为信息安全管理提供导向和支持 预防控制为主的思想原则 全员参与原则 动态管理原则 遵循管理的一般循环模式PDCA持续改进模式 控制目标和控制方式的选择建立在风险评估基础之上,风险评估是风险管理的第一步,信息安全风险评估和风险管理,信息安全风险评估和风险管理,风险评估是信息安全管理体系和信息安全风险管理的基础 信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动 使得机构能够准确“定位”风险

6、管理的策略、实践和工具 能够将安全活动的重点放在重要的问题上 能够选择成本效益合理的和适用的安全对策,信息安全风险评估和风险管理,风险评估确定安全风险及其大小的过程 风险分析 系统地使用信息以识别起源并估计风险 风险评价 将评估的风险与给的风险原则进行比较以决定重大风险的过程 风险处理 修改风险手段的选择和实施的处理过程,信息安全风险评估,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。 评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,风险评估解决的问题,要保护的对象（或资产）是什么？它的直接和间接价值如何

7、？ 资产面临那些潜在威胁？导致威胁的问题何在？威胁发生的可能性有多大？ 资产中存在哪些脆弱点可能被利用？利用的难易程度如何？ 安全事件发生，组织会遭受怎样的损失或面临怎样的负面影响？ 组织应采取怎样的安全措施来有效控制风险？,风险评估的目的,明确信息系统的安全现状，明晰安全需求 确定信息系统的主要安全风险，选择风险处置措施 指导组织信息系统安全技术体系与管理体系建设,信息系统风险评估,一. 概述 二. 风险评估内容和方法 三. 风险评估实施过程 四. 风险评估实践和案例 五. 风险评估工具 六. 小结,风险评估的历史,信息基础设施的评估阶段 薄弱点评估 渗透性评估 风险评估标准体系阶段 从操作

8、系统、网络发展到整个管理体系 解决信息安全问题重点在于预防,风险的要素,资产及其价值 威胁 脆弱性 现有的和计划的控制措施(对策),风险要素之间的关系,风险要素之间的关系,资产拥有者,威胁来源,信息资产,威胁,脆弱性,安全风险 (风险值),对策,风险的要素资产,资产是任何对组织有价值的东西 资产的分类 软件：基础应用软件（如数据库软件）、操作系统 硬件设施：主机、路由器、防火墙、交换机等 实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等 人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等 电子数据：所有通过网络能访问到的

9、数据 服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等 其他：公司形象、公司信誉和客户关系,风险的要素威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果 威胁举例 自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。 人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问） 环境威胁：长时间电力故障、污染、化学、液体泄漏等。,风险的要素脆弱性,与信息资产有关的弱点或安全隐患， 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造

10、成危害。 脆弱性举例 系统漏洞 配置不当 程序Bug 专业人员缺乏 弱口令 缺乏安全意识 后门,资产、威胁和脆弱性对应关系,资产,威胁A,威胁B,来源A1,来源A2,来源B1,来源B2,脆弱点A1,脆弱点A2,。,。,。,脆弱点B1,脆弱点B2,。,每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点,风险分析方法 目前并没有使用所谓正确或错误的方法 重要的是选择使用一个适合本组织的方法 许多方法都会使用表格并结合主观和经验判断 同一组织内，也可以根据不同等级的风险，运用不同的风险分析方法 对信息安全的评估很难量化,风险评估方法概述,定性分析 定量分析 综合方法,风险评估方法概述,定性

11、分析适用于： 初始的筛选活动，以鉴定出需要更仔细分析的风险 风险程度和经济上的考虑 数据不足以进行定量分析的情况,定性分析： 对后果和可能性进行分析 采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等） 分析的有效性取决于所用的数值精确度和完整性。,定性的风险分析,风险分析矩阵风险程度,E：极度风险 H：高风险 M：中等风险 L: 低风险,定性的风险分析,E：极度风险-要求立即采取措施 H：高风险-需要高级管理部门的注意 M：中等风险-必须规定管理责任 L: 低风险-用日常程序处理,风险的处理措施（示例）,定性的风险分析,定量分析： 对后果和可能性进行分析 采用量化

12、的数值描述后果（估计出可能损失的金额）和可能性（概率或频率） 分析的有效性取决于所用的数值精确度和完整性。 定量分析适用于： 当部分的公司资产已具有量化的价值 利用财务的手法算出风险造成的财务损失 再根据损失的大小决定风险等级,定量的风险分析,年度化损失运算表（频率）,定量的风险分析,简易的定量计算公式： 资产价值（v)乘以可能性（L）可以得出 ALE （年度风险损失），即： ALE = V L,定量的风险分析,半定量分析： 在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。 半定量分析的目的是为了得到比通常在定性分析中所得

13、到的更为详细的风险程度，但并非要提出任何在定量分析中所得到的风险实际值。,半定量分析,定性风险分析的优点 1. 简易的计算方式 2. 不必精确算出资产价值 3. 不需得到量化的威胁发生率 4. 非技术或非安全背景的员工也能轻易参与 5. 流程和报告形式比较有弹性 定性风险分析的缺点 1. 本质上是非常主观的 2. 对关键资产的财务价值评估参考性较低 3. 缺乏对风险降低的成本分析,定性分析与定量分析的比较,定量风险分析的优点 1. 大体来说其结果都是建立在独立客观的程序或量化指标上 2. 大部分的工作集中在制定资产价值和减缓可能风险 3. 主要目的是做成本效益的审核 定量风险分析的缺点 1.

14、风险计算方法复杂 2. 需要自动化工具及相当的基础知识 3. 投入大 4. 个人难以执行 5. 很难中途改变方向 6. 不会有范围之外的结果,定性分析与定量分析的比较,风险的函数表达：,R = f（ a, v, t ） R：风险 a：资产的价值 v：资产本身的脆弱性 t：资产所面临的威胁,基于要素的风险分析,1.资产的价值 运用ISO17799中对信息安全的定义来衡量资产价值： Confidentiality Integrity Availability,基于要素的风险分析,1.资产的价值,基于要素的风险分析,1.资产的价值,基于要素的风险分析,1.资产的价值,基于要素的风险分析,资产的价值

15、资产的保护是信息安全和风险管理的首要目标。 每个资产都应该 被识别与评价以提供适当保护。 资产的拥有者与使用者须清楚识别。 应盘点资产并建立资产清单,基于要素的风险分析,识别资产的脆弱性 资产本身的安全问题是什么？ 这个资产缺少什么安全措施？ 分析脆弱程度 这个脆弱性被利用的程度有多高？ 相对的防护措施有效性？ 定义脆弱性的计量 可利用“低”， “中”， “高”来表示。,2.脆弱性分析,基于要素的风险分析,识别资产的威胁 鉴别威胁的目标（什么资产会被威胁？） 为什么会造成这威胁？ 找出威胁的相关性 它有影响吗？重要或严重吗？ 有没有被它利用的脆弱点？ 鉴别威胁的可能性 利用“不可能”，“可能”

16、，“非常可能”来表示,3.威胁分析,基于要素的风险分析,风险计算：,基于要素的风险分析,信息系统风险评估,一. 概述 二. 风险评估内容和方法 三. 风险评估实施过程 四. 风险评估实践和案例 五. 风险评估工具 六. 小结,风险评估过程,前期准备阶段 主要任务是：明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。 中期现场阶段 编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究工作。 人员调查 技术调查 后期评估阶段 撰写系统测试报告，进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系

17、统风险评估报告。 风险信息评估 风险控制策略,风险评估过程,风险评估过程,建立风险评估小组 确定风险评估的范围 建立资产列表 对资产进行赋值 建立漏洞列表 建立威胁列表 建立与威胁相关的控件列表 提供风险评估报告 进行风险处置（风险管理）,由管理委员会建立风险评估小组 风险评估小组主要由 组长：设计内部审核计划同时管理副组长和各部门协调人员 副组长：负责协调具体的风险评估工作 成员：配合副组长完成风险评估工作,风险评估过程,因为对于一个大型的企业或行业客户来讲，公司的整个信息系统的规模非常大，而且有很多类似的地方，所以如果对整个范围做评估，成本较高、周期较长，对于企业不合适，所有需要划定范围。

18、 通过认证范围制定风险评估的范围 一般规则为： 公司总部的信息系统评估 某个分公司整体的信息系统评估 某个分公司机房的信息系统评估 某个分公司用户使用信息系统评估,风险评估过程,建立资产列表和资产分类 资产分为7个组 软件：基础应用软件（如数据库软件）、操作系统 硬件设施：主机、路由器、防火墙、交换机等 实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等 人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等 电子数据：所有通过网络能访问到的数据 服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等 其他：公司形象、

19、公司信誉和客户关系,风险评估过程,对资产进行赋值 根据资产在公司中使用的人数及本身的价值、重要性，对资产进行赋值。 信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行半量化。,风险评估过程,建立弱点列表 弱点列表，包含所有信息系统中存在的漏洞，该漏洞列表需要根据系统资源和信息资源的变化，不断的修改和增加。 典型的弱点为： 建立威胁

20、列表 列出每个资产可能存在的威胁。威胁是潜在存在着的，在某种时机或场合下利用漏洞而对信息系统造成危害。 建立与威胁相关的控件列表 当得到所有资产威胁后，根据资产威胁归纳出与该资产威胁相关的控件列表 把相应的控件对象和控件复制到资产列表中。得到一个总结性的文档“风险评估中使用的控件列表”,风险评估过程,一份总结性的报告提供给管理委员会。 这份报告概述整个信息安全管理体系，是符合此单位的信息安全方针和长期发展目标的。 从这份报告中，能够非常清楚的知道资产的值,组织可以能够重视资产值高的资产同时使用相应的控件对象，控件和对策。,风险评估过程,监控和回顾 信息安全小组做完评估工作以后，应该对资产的评估报告与资产情况进行有规则的监控和审核 每半年重新进行一次风险评估 资产发生重大变化时 公司业务发生重大变化时 出现重大信息安全漏洞或发生重大信息安全事件时 出现其它需要重新进行风险评估的情形时,风险评估过程,风险处置,风险处置方法 拒绝风险（下策） 转移风险（中策） 减少风险（上策） 接受风险（上、中、下策） 风险处置计划 风险处置实施，形成风险处置报告 风险处置监督、检查和改进,信息系统风险评估,一. 概述 二. 风险评估内容和方法 三. 风险评估实施过程 四. 风险评估实践和案例 五. 风险评估工具 六. 小结,风险