信息安全風(fēng)險(xiǎn)評(píng)估方法與意義PPT課件( 43頁(yè))

1、上海上訊信息系統(tǒng)匚程有限公司安全咨詢(xún)事業(yè)部黃永飛安全咨詢(xún)顧問(wèn)信息妥會(huì)風(fēng)險(xiǎn)督佑What?Why?How?信念要金氐險(xiǎn)督傳信息系統(tǒng)的安全風(fēng)險(xiǎn)是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。人們經(jīng)常會(huì)提出這樣一些問(wèn)題:什么地方、什么時(shí)間可能出問(wèn)題？出問(wèn)題的可能性有多大

2、？這些問(wèn)題的后果是什么？A應(yīng)該米取什么樣的措施加以避免和彌補(bǔ)？總是試圖找出最合理的答案，這一過(guò)程實(shí)際上就是風(fēng)險(xiǎn)評(píng)估。早在上個(gè)世紀(jì)初期，科學(xué)家就已開(kāi)始研究風(fēng)險(xiǎn)管理理論。信息妥金風(fēng)絵督估fiy1. “三分技術(shù)，七分管理”，我們的員工安全意識(shí)如何？2. 依靠現(xiàn)有的安全產(chǎn)品是否能夠解決現(xiàn)在的安全問(wèn)題？3. 現(xiàn)有的安全產(chǎn)品是否真正的起到了作用？4. 如果發(fā)生安全事故，我們能否在最短時(shí)間內(nèi)恢復(fù)業(yè)務(wù)系統(tǒng)？5. 對(duì)未來(lái)的網(wǎng)絡(luò)擴(kuò)展和安全配置升級(jí)有沒(méi)有前瞻性的規(guī)劃？能否更多的節(jié)約投入成本？1. 風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程2. 信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)3. 信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原

3、則的具體體現(xiàn)4重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn)1. 風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程任何系統(tǒng)的安全性都可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量?？茖W(xué)分析系統(tǒng)的安全風(fēng)險(xiǎn)，綜合平衡風(fēng)險(xiǎn)和代價(jià)的過(guò)程就是風(fēng)險(xiǎn)評(píng)估。2. 信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)分析理解信息和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的控制、風(fēng)險(xiǎn)的轉(zhuǎn)移、風(fēng)險(xiǎn)的補(bǔ)償、風(fēng)險(xiǎn)的分散等之間作出決策的過(guò)程。所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險(xiǎn)評(píng)估，只有在正確地、全面地理解風(fēng)險(xiǎn)后，才能在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間作出正確的判斷，決定調(diào)動(dòng)多少

4、資源、以什么的代價(jià)、采取什么樣的應(yīng)對(duì)措施去化解、控制風(fēng)險(xiǎn)。3. 信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn)如果說(shuō)信息安全建設(shè)必須從實(shí)際出發(fā)，堅(jiān)持需求主導(dǎo)、突出重點(diǎn)，則風(fēng)險(xiǎn)評(píng)估（需求分析）就是這一原則在實(shí)際工作中的重要體現(xiàn)。從理論上講風(fēng)險(xiǎn)總是客觀存在的。安全是安全風(fēng)險(xiǎn)與安全建設(shè)管理代價(jià)的綜合平衡。不考慮風(fēng)險(xiǎn)的信息化是要付出代價(jià)有時(shí)代價(jià)可能很高，甚至難以承受不計(jì)成本、片面地追求絕對(duì)安全、試圖消滅風(fēng)險(xiǎn)或完全避免風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是需求主導(dǎo)原則所要求的。堅(jiān)持從實(shí)際出發(fā)，堅(jiān)持需求主導(dǎo)、突出重點(diǎn)，就必須科學(xué)地評(píng)估風(fēng)險(xiǎn)，有效控制風(fēng)險(xiǎn)。4. 重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn)上個(gè)世紀(jì)70年代

5、，美國(guó)政府就發(fā)布了自動(dòng)化數(shù)據(jù)外理風(fēng)險(xiǎn)評(píng)估指南。其后頒布的關(guān)于信息安全基本政策文件聯(lián)邦信息資源安全明確提出了信息安全風(fēng)險(xiǎn)評(píng)估的要求，要求聯(lián)邦政府部門(mén)依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，根據(jù)信息丟失、濫用、泄露、未授權(quán)訪問(wèn)等造成損失的大小，制訂、實(shí)施信息安全計(jì)劃，以保證信息和信息系統(tǒng)應(yīng)有的安全。A英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)(BSI)1995年頒布了信息安全管理指南(BS7799),BS7799分為兩個(gè)部分：BS7799-1信息安全管理實(shí)施規(guī)則和BS7799-2信息安全管理體系規(guī)范。2002年又頒布了信息安全管理系統(tǒng)規(guī)范說(shuō)明(BS7799-2:2002)。它將信息安全管理的有關(guān)問(wèn)題劃分成了10個(gè)控制要項(xiàng)、36個(gè)控制

6、目標(biāo)和127個(gè)控制措施。目前，在BS77992中，提出了如何了建立信息安全管理體系的步驟。在信息安全管理體系的核心部位是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。目前，全球通過(guò)BS7799認(rèn)證的數(shù)量達(dá)450家左右，其中絕大部分分布在歐洲和亞洲，整個(gè)中國(guó)地區(qū)(包括香港和臺(tái)灣在內(nèi))通過(guò)BS7799認(rèn)證的數(shù)量近20家。/為用戶(hù)提供具有針對(duì)性的安全產(chǎn)品和安全技術(shù)/給用戶(hù)提供量化的信息資產(chǎn)價(jià)值列表和資產(chǎn)風(fēng)險(xiǎn)列表/可全面和有條理地向管理層反映現(xiàn)有的信息科技安全風(fēng)險(xiǎn)和所需的安全保障措施/為決策和政策考慮提供不同的解決方案，使信息科技安全管理能夠從策略性的層面推行/為日后比較信息科技安全措施的變化提供依據(jù)信息要仝風(fēng)險(xiǎn)督佑1. 信息

7、安全風(fēng)險(xiǎn)評(píng)估怎么實(shí)施？2. 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施前需要準(zhǔn)備什么?3. 信息資產(chǎn)的屬性怎么進(jìn)行量化？4. 發(fā)現(xiàn)信息資產(chǎn)的弱點(diǎn)后怎么進(jìn)行補(bǔ)救？A風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案A項(xiàng)目規(guī)劃/確定范圍范圍可能是組織全部的信息和信息系統(tǒng)，可能是單獨(dú)的信息系統(tǒng)，可能是組織的關(guān)鍵業(yè)務(wù)流程，也可能是客戶(hù)的知識(shí)產(chǎn)權(quán)。/確定目標(biāo)目標(biāo)基本上來(lái)源于組織業(yè)務(wù)持續(xù)發(fā)展的需要、滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面。/確定組織結(jié)構(gòu)組織結(jié)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度，以保證能夠滿足風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)。/確定方法應(yīng)考慮評(píng)估的范圍、目的、時(shí)間、效果、組織文化、人員素質(zhì)以及具體開(kāi)展的程度等

8、因素來(lái)確定，使之能夠與組織的環(huán)境和安全要求相適應(yīng)。/獲得最高管理者批準(zhǔn)上述所有內(nèi)容應(yīng)得到組織的最高管理者的批準(zhǔn)，并對(duì)管理層和員工進(jìn)行傳達(dá)。A風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案A項(xiàng)目規(guī)劃數(shù)據(jù)軟件服務(wù)文檔設(shè)備人員其它簡(jiǎn)稱(chēng)DataSoftwareServiceHardwareDocumentFacilityHROther解釋/示例存在電子媒介的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)，各種數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶(hù)手冊(cè)等應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和資源庫(kù)等操作系統(tǒng)、WWW、SMTP、POP3、FTP、MRPII.DNS、呼叫中心、內(nèi)部文件服務(wù)、網(wǎng)絡(luò)連接

9、、網(wǎng)絡(luò)隔離保護(hù)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全保障、入侵監(jiān)控及各種業(yè)務(wù)生產(chǎn)應(yīng)用計(jì)算機(jī)硬件、路由器、交換機(jī)、硬件防火墻、程控交換機(jī)、布線、備份存儲(chǔ)設(shè)備等紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃電源、空調(diào)、保險(xiǎn)柜、文件柜、門(mén)禁、消防設(shè)施等各級(jí)雇員和雇主、合同方雇員企業(yè)形象，客戶(hù)關(guān)系等/信息資產(chǎn)的價(jià)值取決于:保密性完整性可用性/信息資產(chǎn)的價(jià)值隨時(shí)間改變/信息資產(chǎn)的價(jià)值隨資產(chǎn)相關(guān)性變化影響威脅ci競(jìng)爭(zhēng)劣勢(shì)當(dāng)本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被競(jìng)爭(zhēng)者得知時(shí)，將會(huì)造成何種程度的損失？01234C2.直接業(yè)務(wù)損失當(dāng)本業(yè)務(wù)系統(tǒng)內(nèi)涵蓋的信息資產(chǎn)被被不適當(dāng)揭露時(shí)，可能著成企業(yè)業(yè)務(wù)的損失程度？01234C3公眾信心本業(yè)務(wù)系舜內(nèi)的信息

10、數(shù)據(jù)被不適當(dāng)泄露時(shí)，公司在客戶(hù)的信任度、公眾形象、股東或供應(yīng)商的忠誠(chéng)度上所招受到的損失？01234C4.額外成本本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)可能造成的額外成本負(fù)擔(dān)？01234C5.法律責(zé)任本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，可能造成法律、規(guī)定或合約上的影響？01234C6.員工士氣本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，可能對(duì)員工士氣造成的影響？01234C7.欺詐行為本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時(shí)，企業(yè)商品或資金可能被不當(dāng)?shù)霓D(zhuǎn)移？01234結(jié)果請(qǐng)選擇上列因素中會(huì)造成最嚴(yán)重?fù)p失的評(píng)估結(jié)果01234A風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別威脅識(shí)別設(shè)計(jì)解決方案A項(xiàng)目規(guī)劃威脅定義獲取

11、方法威脅種類(lèi)是對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件IDS事件采集安全審計(jì)歷史事件數(shù)據(jù)權(quán)威組織的統(tǒng)計(jì)數(shù)據(jù)顧問(wèn)訪談安全策略分析見(jiàn)下頁(yè)攻擊類(lèi)型說(shuō)明被動(dòng)攻擊被動(dòng)攻擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動(dòng)攻擊可能造成在沒(méi)有得到用戶(hù)同意或告知用戶(hù)的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個(gè)人的信用卡號(hào)碼和醫(yī)療檔案等。主動(dòng)攻擊主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改改。物理臨近攻缶是指一未被授權(quán)的個(gè)人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變

12、、收集信息或拒絕他人對(duì)信息的訪問(wèn)。內(nèi)部人員攻擊內(nèi)部人員攻擊可以分為惡意或無(wú)惡意攻擊。前者指內(nèi)部人員對(duì)信息的惡意破壞或不當(dāng)使用，或使他人的訪問(wèn)遭到拒絕；后者指由于粗心、無(wú)知以及其它非惡意的原因而造成的破壞。軟硬件裝配分發(fā)攻擊指在工廠生產(chǎn)或分銷(xiāo)過(guò)程中對(duì)硬件和軟件進(jìn)行的惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼，比如后門(mén)。A風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案A項(xiàng)目規(guī)劃弱點(diǎn)定義獲取方法弱點(diǎn)種類(lèi)安全弱點(diǎn)是系統(tǒng)可以被利用從而導(dǎo)致資產(chǎn)發(fā)生損失的特性網(wǎng)絡(luò)掃描應(yīng)用軟件評(píng)估上機(jī)檢杳數(shù)據(jù)庫(kù)評(píng)估安全策略評(píng)估網(wǎng)絡(luò)架構(gòu)評(píng)估技術(shù)類(lèi)，比如OS漏洞，防火墻錯(cuò)誤配置等管理類(lèi)，比如沒(méi)有安全策略、具體負(fù)

13、責(zé)人、審核流程等業(yè)務(wù)模式類(lèi)，比如充值卡業(yè)務(wù)，非實(shí)名制業(yè)務(wù)等A風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別A設(shè)計(jì)解決方案設(shè)計(jì)解決方案A項(xiàng)目規(guī)劃就是為了把企業(yè)的風(fēng)險(xiǎn)降到可接受的程度漏洞基本的風(fēng)險(xiǎn)資產(chǎn)漏洞釆取措施后剩余的風(fēng)險(xiǎn)項(xiàng)目規(guī)劃A風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別設(shè)計(jì)解決方案A項(xiàng)目規(guī)劃44編號(hào)項(xiàng)目名稱(chēng)可實(shí)施性附加解釋外部策略ES技術(shù)成熟度內(nèi)部技術(shù)外部支持1制訂最高安全方針29212222策略體系開(kāi)發(fā)和建立27211123策略的有效發(fā)布和執(zhí)行28212124策略的定期審查和修訂29222125BS7799認(rèn)證項(xiàng)目03200106明確安全領(lǐng)導(dǎo)小組工作職責(zé)27122117安全組織建設(shè)27121218

14、第三方安全管理2721211E可實(shí)施性1部理內(nèi)管1外部支持lx方全安高最訂制292lx222Ld策立nnkJnlxnnnkJbJn2nLr1綁nkJEJ2nn5o32ooIXoLd確責(zé)明職Ldn2727IX2lx2IX8m二管全安方三第272lx2IXIX9282lx2lx2緊迫性1可實(shí)施性實(shí)施難易程度-如前文-如前文-技術(shù)難度-資金投入大小-時(shí)間投入長(zhǎng)短-人力投入大小和人員素質(zhì)要求-外部支持資源的復(fù)雜度-對(duì)企業(yè)策略的觸動(dòng)大小-對(duì)組織管理的觸動(dòng)大小-對(duì)運(yùn)作規(guī)定和習(xí)慣的觸動(dòng)大小預(yù)期效果-見(jiàn)效速度-對(duì)于安全性的直接效果評(píng)價(jià)-對(duì)于業(yè)務(wù)的直接促進(jìn)-對(duì)于其他安全建設(shè)項(xiàng)目的支持-對(duì)安全策略完善的促進(jìn)-對(duì)安

15、全組織完善的促進(jìn)-對(duì)人員安全素質(zhì)的促進(jìn)-對(duì)安全管理運(yùn)作規(guī)范化的促進(jìn)項(xiàng)目實(shí)施主要階段564322-項(xiàng)目定義和藍(lán)圖Kickoffmeeting資產(chǎn)信息收集完成詳細(xì)方案設(shè)計(jì)4-安全風(fēng)險(xiǎn)評(píng)估安全威脅評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估設(shè)備安全評(píng)估應(yīng)用軟件安全評(píng)估安全策略（環(huán)境）評(píng)估6-支持和維護(hù)項(xiàng)目初驗(yàn)修復(fù)和加固協(xié)助二次驗(yàn)證評(píng)估電話熱線支持其他服務(wù)1-項(xiàng)目準(zhǔn)備與范圍確定3-現(xiàn)狀調(diào)研與分析項(xiàng)目交流基本信息調(diào)查5-風(fēng)險(xiǎn)綜合和解決方案需求調(diào)研，背景討論業(yè)務(wù)流程分析安全風(fēng)險(xiǎn)綜合分析范圍確定數(shù)據(jù)流分析輸出安全評(píng)估報(bào)告項(xiàng)目計(jì)劃資產(chǎn)賦值設(shè)計(jì)安全解決方案建議確定風(fēng)險(xiǎn)評(píng)估模型完成藍(lán)圖并與用戶(hù)簽署各階段提交文酋項(xiàng)目計(jì)劃組織結(jié)構(gòu)項(xiàng)目人員項(xiàng)目范圍項(xiàng)目sow一/1數(shù)據(jù)流程一圖等中間71結(jié)果項(xiàng)目藍(lán)圖I一安全