信息安全風(fēng)險(xiǎn)培訓(xùn)講學(xué)

第三章信息安全風(fēng)險(xiǎn)管理主講(zhǔjiǎng):焦楊第一頁(yè)，共33頁(yè)。學(xué)習(xí)(xuéxí)目標(biāo)：定義風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)控制；理解如何識(shí)別和評(píng)估風(fēng)險(xiǎn)；評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其對(duì)機(jī)構(gòu)的影響；通過(guò)創(chuàng)建風(fēng)險(xiǎn)評(píng)估機(jī)制，掌握描述風(fēng)險(xiǎn)的基本方法；描述控制風(fēng)險(xiǎn)的風(fēng)險(xiǎn)減輕策略；識(shí)別控制的類別；承認(rèn)評(píng)估風(fēng)險(xiǎn)控制存在的概念框架，并能清楚地闡述成本收益(shōuyì)分析；理解如何維護(hù)風(fēng)險(xiǎn)控制第二頁(yè)，共33頁(yè)。3.1引言(yǐnyán)風(fēng)險(xiǎn)(fēngxiǎn)管理：識(shí)別和控制機(jī)構(gòu)面臨風(fēng)險(xiǎn)(fēngxiǎn)的過(guò)程。第三頁(yè)，共33頁(yè)。1.風(fēng)險(xiǎn)識(shí)別：檢查和說(shuō)明機(jī)構(gòu)信息技術(shù)的安全態(tài)勢(shì)和機(jī)構(gòu)面臨的風(fēng)險(xiǎn)。（風(fēng)險(xiǎn)評(píng)估就是說(shuō)明風(fēng)險(xiǎn)識(shí)別的結(jié)果）2.風(fēng)險(xiǎn)控制：采取控制手段，減少機(jī)構(gòu)數(shù)據(jù)和信息系統(tǒng)的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)管理整個(gè)過(guò)程：找出機(jī)構(gòu)信息系統(tǒng)中的漏洞，采取適當(dāng)?shù)牟襟E，確保(quèbǎo)機(jī)構(gòu)信息系統(tǒng)中所有組成部分的機(jī)密性、完整性和有效性。第四頁(yè)，共33頁(yè)。3.2風(fēng)險(xiǎn)管理概述(ɡàishù)3.2.1知己識(shí)別、檢查和熟悉(shúxī)機(jī)構(gòu)中當(dāng)前的信息及系統(tǒng)。3.2.2知彼識(shí)別、檢查和熟悉(shúxī)機(jī)構(gòu)面臨的威脅。第五頁(yè)，共33頁(yè)。3.2.3利益團(tuán)體的作用1.信息安全信息安全團(tuán)隊(duì)組成：最了解把風(fēng)險(xiǎn)(fēngxiǎn)帶入機(jī)構(gòu)的威脅和攻擊的成員2.管理人員確保給信息安全和信息技術(shù)團(tuán)體分配充足資源（經(jīng)費(fèi)和人員），以滿足機(jī)構(gòu)的安全需要。3.信息技術(shù)建立安全的系統(tǒng)，并且安全地操作這些系統(tǒng)第六頁(yè)，共33頁(yè)。信息安全保護(hù)(bǎohù)的對(duì)象是什么？資產(chǎn)資產(chǎn)是各種威脅以及威脅代理的目標(biāo)。風(fēng)險(xiǎn)管理的目標(biāo)就是(jiùshì)保護(hù)資產(chǎn)不受威脅。第七頁(yè)，共33頁(yè)。3.3風(fēng)險(xiǎn)(fēngxiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別：規(guī)劃并組織過(guò)程、對(duì)系統(tǒng)組件進(jìn)行分類、列出資產(chǎn)清單并分類、識(shí)別出威脅、指出易受攻擊的資產(chǎn)。風(fēng)險(xiǎn)評(píng)估:為資產(chǎn)受到的攻擊賦值、評(píng)估漏洞攻擊的可能性、計(jì)算資產(chǎn)的相對(duì)風(fēng)險(xiǎn)因素(yīnsù)、檢查可能的控制措施、記錄所發(fā)現(xiàn)的事件。第八頁(yè)，共33頁(yè)。規(guī)劃并組織(zǔzhī)過(guò)程對(duì)系統(tǒng)組件(zǔjiàn)進(jìn)行分類列出資產(chǎn)(zīchǎn)清單并分類識(shí)別出威脅

指出易受攻擊的資產(chǎn)

風(fēng)險(xiǎn)識(shí)別第九頁(yè)，共33頁(yè)。為資產(chǎn)(zīchǎn)受到的攻擊賦值評(píng)估(pínɡɡū)漏洞攻擊的可能性計(jì)算(jìsuàn)資產(chǎn)的相對(duì)風(fēng)險(xiǎn)因素檢查可能的控制措施

記錄所發(fā)現(xiàn)的事件

風(fēng)險(xiǎn)評(píng)估第十頁(yè)，共33頁(yè)。3.3.1資產(chǎn)識(shí)別(shíbié)和評(píng)估1.人員、過(guò)程及數(shù)據(jù)資產(chǎn)(zīchǎn)的識(shí)別（1）人員（2）過(guò)程（3）數(shù)據(jù)2.硬件、軟件和網(wǎng)絡(luò)資產(chǎn)(zīchǎn)的識(shí)別第十一頁(yè)，共33頁(yè)。3.3.2信息資產(chǎn)(zīchǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機(jī)構(gòu)的人員陌生人過(guò)程過(guò)程IT及商業(yè)標(biāo)準(zhǔn)過(guò)程IT及商業(yè)敏感過(guò)程數(shù)據(jù)信息傳輸處理存儲(chǔ)軟件軟件應(yīng)用程序操作系統(tǒng)安全組件硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組建因特網(wǎng)或DMZ組件第十二頁(yè)，共33頁(yè)。3.3.3信息資產(chǎn)(zīchǎn)評(píng)估評(píng)估資產(chǎn)(zīchǎn)的價(jià)值。評(píng)估價(jià)值標(biāo)準(zhǔn)：1.哪一項(xiàng)信息資產(chǎn)(zīchǎn)對(duì)于成功是最關(guān)鍵的？2.那一項(xiàng)信息資產(chǎn)(zīchǎn)創(chuàng)造的收效最多？3.哪一項(xiàng)資產(chǎn)(zīchǎn)的獲利最多？4.哪一項(xiàng)信息資產(chǎn)(zīchǎn)在替換時(shí)最昂貴？5.哪一項(xiàng)信息資產(chǎn)(zīchǎn)的保護(hù)費(fèi)用最高？6.哪一項(xiàng)信息資產(chǎn)(zīchǎn)是最麻煩的，或者泄漏后麻煩最大？第十三頁(yè)，共33頁(yè)。3.3.4安全調(diào)查數(shù)據(jù)分類技術(shù)——個(gè)人(gèrén)安全調(diào)查機(jī)構(gòu)給每一個(gè)數(shù)據(jù)用戶分配一個(gè)單一的授權(quán)等級(jí)3.3.5分類數(shù)據(jù)管理1.數(shù)據(jù)的存儲(chǔ)2.數(shù)據(jù)的分布移植3.數(shù)據(jù)的銷毀清潔桌面政策：要求員工在下半時(shí)將所有的信息放到適當(dāng)?shù)拇鎯?chǔ)器中。第十四頁(yè)，共33頁(yè)。3.3.6威脅識(shí)別(shíbié)和威脅評(píng)估威脅實(shí)例1.人為過(guò)時(shí)或失敗行為意外事故、員工過(guò)失2.侵害知識(shí)產(chǎn)權(quán)盜版、版權(quán)侵害3.間諜或人侵蓄意行為未授權(quán)訪問(wèn)和收集數(shù)據(jù)4.蓄意信息敲詐行為以泄露信息為要挾進(jìn)行勒索5.蓄意破壞行為破壞系統(tǒng)或信息6.蓄意竊取行為非法使用硬件設(shè)備或信息7.蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務(wù)8.自然災(zāi)害火災(zāi)、水災(zāi)、地震、閃電9.服務(wù)提供商的服務(wù)質(zhì)量差電源及WAN服務(wù)問(wèn)題10.技術(shù)硬件故障或錯(cuò)誤設(shè)備故障11.技術(shù)軟件故障或錯(cuò)誤漏洞、代碼問(wèn)題、未知問(wèn)題12.技術(shù)淘汰陳舊或過(guò)時(shí)的技術(shù)第十五頁(yè)，共33頁(yè)。威脅評(píng)估(pínɡɡū)過(guò)程：一、針對(duì)每種威脅提出同樣問(wèn)題(wèntí):（1）在給定的環(huán)境下，哪一種威脅對(duì)機(jī)構(gòu)的資產(chǎn)而言是危險(xiǎn)的？（2）哪一種威脅對(duì)機(jī)構(gòu)的信息而言是最危險(xiǎn)的？（3）從成功的攻擊中恢復(fù)需要多少費(fèi)用？（4）防范哪一種威脅的花費(fèi)最大？二、通過(guò)提問(wèn)的答案，建立威脅評(píng)估構(gòu)架第十六頁(yè)，共33頁(yè)。3.3.7漏洞(lòudòng)識(shí)別漏洞：威脅代理能夠用來(lái)攻擊信息資產(chǎn)的特定途徑。在按照威脅評(píng)估(pínɡɡū)標(biāo)準(zhǔn)，檢查每項(xiàng)威脅，建立漏洞表。第十七頁(yè)，共33頁(yè)。3.4風(fēng)險(xiǎn)(fēngxiǎn)評(píng)估3.4.1風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)=出現(xiàn)(chūxiàn)漏洞的可能性×信息資產(chǎn)的價(jià)值-當(dāng)前控制減輕的風(fēng)險(xiǎn)幾率+對(duì)漏洞了解的不確定性漏洞的可能性是什么？漏洞成功攻擊機(jī)構(gòu)內(nèi)部的概率。（0.1～1.0）第十八頁(yè)，共33頁(yè)。3.4.2信息安全風(fēng)險(xiǎn)(fēngxiǎn)評(píng)估原則1．自主機(jī)構(gòu)內(nèi)部人員管理的信息安全風(fēng)險(xiǎn)評(píng)估2.適應(yīng)量度一個(gè)靈活的評(píng)估過(guò)程可以適應(yīng)不斷變化的技術(shù)和進(jìn)展；既不會(huì)受限當(dāng)前威脅源的嚴(yán)格模型，也不會(huì)受限于當(dāng)前公認(rèn)的“最佳”實(shí)踐。3.已定義過(guò)程描述了信息安全評(píng)估程序依賴于已定義的標(biāo)準(zhǔn)化評(píng)估規(guī)程的需要。4.連續(xù)過(guò)程的基礎(chǔ)機(jī)構(gòu)必須(bìxū)實(shí)施基于實(shí)踐安全策略和計(jì)劃，以逐漸改進(jìn)自身的安全狀態(tài)。第十九頁(yè)，共33頁(yè)。3.4.3風(fēng)險(xiǎn)(fēngxiǎn)評(píng)估的過(guò)程1.信息資產(chǎn)評(píng)估使用信息資產(chǎn)的識(shí)別過(guò)程(guòchéng)中的到的信息，就可以為機(jī)構(gòu)中每項(xiàng)信息資產(chǎn)的價(jià)值指定權(quán)重分?jǐn)?shù)（1～100）。（舉例：一些資產(chǎn)會(huì)導(dǎo)致整個(gè)公司停止運(yùn)作，說(shuō)明資產(chǎn)比重較高）2.風(fēng)險(xiǎn)的確定利用風(fēng)險(xiǎn)公式：第二十頁(yè)，共33頁(yè)。3.識(shí)別可能的控制（訪問(wèn)控制）訪問(wèn)控制：控制用戶進(jìn)入機(jī)構(gòu)信息區(qū)域訪問(wèn)控制方法：強(qiáng)制、非任意、任意。4.記錄風(fēng)險(xiǎn)評(píng)估的結(jié)果過(guò)程：信息資產(chǎn)列表(lièbiǎo)（分類）→帶有漏洞的信息資產(chǎn)列表(lièbiǎo)→權(quán)重標(biāo)準(zhǔn)分析表→漏洞風(fēng)險(xiǎn)等級(jí)表第二十一頁(yè)，共33頁(yè)。成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對(duì)機(jī)構(gòu)的影響或價(jià)值權(quán)重標(biāo)準(zhǔn)分析表為每項(xiàng)信息資產(chǎn)分配等級(jí)值或影響權(quán)重漏洞風(fēng)險(xiǎn)等級(jí)表為每對(duì)無(wú)法控制的資產(chǎn)漏洞分配風(fēng)險(xiǎn)等級(jí)第二十二頁(yè)，共33頁(yè)。3.5風(fēng)險(xiǎn)(fēngxiǎn)控制策略3.5.1避免（試圖防止漏洞被利用的風(fēng)險(xiǎn)控制策略(cèlüè)）（1）通過(guò)應(yīng)用策略(cèlüè)來(lái)避免（2）教育培訓(xùn)（3）應(yīng)用技術(shù)第二十三頁(yè)，共33頁(yè)。3.5.2轉(zhuǎn)移（將風(fēng)險(xiǎn)轉(zhuǎn)移到其他資產(chǎn)、其他過(guò)程或其他機(jī)構(gòu)的控制方法(fāngfǎ)）如何提供服務(wù)、修改部署模式、外包給其他機(jī)構(gòu)、購(gòu)買保險(xiǎn)、與提供商簽署服務(wù)合同。第二十四頁(yè)，共33頁(yè)。3.5.3緩解（試圖通過(guò)(tōngguò)規(guī)劃和預(yù)先的準(zhǔn)備工作，減少漏洞造成的影響）

緩解策略（如下表）第二十五頁(yè)，共33頁(yè)。計(jì)劃描述實(shí)例何時(shí)使用時(shí)間范圍事件響應(yīng)計(jì)劃（IRP）在事件（攻擊）進(jìn)行過(guò)程中機(jī)構(gòu)采取的行動(dòng)災(zāi)難發(fā)生期間采取的措施情報(bào)收集信息分析當(dāng)事件或者災(zāi)難發(fā)生時(shí)立即并實(shí)時(shí)作出響應(yīng)災(zāi)難恢復(fù)計(jì)劃（DRP）發(fā)生災(zāi)難的恢復(fù)準(zhǔn)備工作：災(zāi)難發(fā)生之前及過(guò)程中減少損失的策略；逐步恢復(fù)常態(tài)的具體指導(dǎo)丟失數(shù)據(jù)的恢復(fù)過(guò)程丟失服務(wù)的重建過(guò)程結(jié)束過(guò)程來(lái)保護(hù)數(shù)據(jù)系統(tǒng)和數(shù)據(jù)在事件剛剛被確定為在難后短期恢復(fù)業(yè)務(wù)持續(xù)性計(jì)劃（BCP）當(dāng)災(zāi)難的等級(jí)超出DRP的恢復(fù)能力時(shí)，確保全部業(yè)務(wù)繼續(xù)動(dòng)作的步驟啟動(dòng)下級(jí)數(shù)據(jù)中心的準(zhǔn)備步驟在遠(yuǎn)程服務(wù)位置建立熱站點(diǎn)在確定災(zāi)難影響了機(jī)構(gòu)的持續(xù)運(yùn)轉(zhuǎn)之后長(zhǎng)期恢復(fù)第二十六頁(yè)，共33頁(yè)。3.5.4接受（選擇對(duì)漏洞不采取任何保護(hù)措施，接受漏洞帶來(lái)的結(jié)果）1.確定了風(fēng)險(xiǎn)(fēngxiǎn)等級(jí)2.評(píng)估了攻擊的可能性3.估計(jì)了供給帶來(lái)的潛在破壞4.進(jìn)行了全面的成本效益分析5.評(píng)估了使用每種控制的可行性6.認(rèn)定了某些功能、服務(wù)、信息或者資產(chǎn)不值得保護(hù)結(jié)論：保護(hù)的資產(chǎn)的成本抵不上安全措施的開(kāi)銷。第二十七頁(yè)，共33頁(yè)。3.6選擇(xuǎnzé)風(fēng)險(xiǎn)控制策略面對(duì)漏洞，如何去選擇(xuǎnzé)風(fēng)險(xiǎn)控制策略？第二十八頁(yè)，共33頁(yè)。可能(kěnéng)的威脅按設(shè)計(jì)實(shí)現(xiàn)(shíxiàn)的系統(tǒng)系統(tǒng)(xìtǒng)是否易受攻擊系統(tǒng)是否可利用按設(shè)計(jì)實(shí)現(xiàn)的系統(tǒng)存在威脅和漏洞具有風(fēng)險(xiǎn)具有風(fēng)險(xiǎn)存在風(fēng)險(xiǎn)攻擊者獲取的利益是否大于攻擊開(kāi)銷具有風(fēng)險(xiǎn)具有風(fēng)險(xiǎn)預(yù)期的損失是否大于機(jī)構(gòu)的可接受的級(jí)別無(wú)法接受此風(fēng)險(xiǎn)第二十九頁(yè)，共33頁(yè)。風(fēng)險(xiǎn)處理決策(juécè)：存在漏洞：實(shí)現(xiàn)安全控制，來(lái)減少漏洞被利用的可能性（1）漏洞可以利用（2）攻擊著的開(kāi)銷少于收益（3）可能的損失非常大●實(shí)現(xiàn)了控制策略，就應(yīng)對(duì)控制效果進(jìn)行監(jiān)控和衡量，來(lái)確定安全控制的有效性，估計(jì)殘留風(fēng)險(xiǎn)的準(zhǔn)確性。連續(xù)循環(huán)過(guò)程確?？刂骑L(fēng)險(xiǎn)第三十頁(yè)，共33頁(yè)。標(biāo)示(biāoshì)信息資產(chǎn)準(zhǔn)備(zhǔnbèi)分等級(jí)的漏洞風(fēng)險(xiǎn)表開(kāi)發(fā)(kāifā)控制策略和計(jì)劃標(biāo)示信息資產(chǎn)標(biāo)示信息資產(chǎn)準(zhǔn)備分等級(jí)的漏洞風(fēng)險(xiǎn)表準(zhǔn)備分等級(jí)的漏洞風(fēng)險(xiǎn)表控制是否得當(dāng)是否可以接受此風(fēng)險(xiǎn)第三十一頁(yè)，共33頁(yè)。3.7風(fēng)險(xiǎn)管理的討論(tǎolùn)要點(diǎn)風(fēng)險(xiǎn)可接受程序的定義：當(dāng)機(jī)構(gòu)評(píng)估絕對(duì)安全與無(wú)限制訪問(wèn)之間的平衡時(shí)愿意