信息安全管理技術(shù)

第14章

信息安全管理技術(shù)宣講人：張爽鈺學(xué)號(hào)：S311060058

本章主要內(nèi)容：信息安全規(guī)劃信息安全風(fēng)險(xiǎn)評(píng)估物理安全保障信息系統(tǒng)等級(jí)保護(hù)ISO信息安全管理標(biāo)準(zhǔn)信息安全法規(guī)14.1信息安全規(guī)劃

信息安全規(guī)劃，也稱為信息安全計(jì)劃，它用于在較高層次上確定一個(gè)組織涉及信息安全的活動(dòng)，主要內(nèi)容包括：安全策略安全需求安全措施安全責(zé)任規(guī)劃執(zhí)行時(shí)間表制定并不斷完善和更新信息安全規(guī)劃是一個(gè)組織獲得信息安全保障的重要工作之一。安全策略是信息安全規(guī)劃中的核心組成部分，它表達(dá)了組織的信息安全目的和意圖。安全策略主要應(yīng)明確以為問題：1.安全目標(biāo)，即保護(hù)對(duì)象和保護(hù)效果，前者主要包括業(yè)務(wù)、數(shù)據(jù)等，后者主要包括信息安全的各種基本屬性；2.訪問主體，即允許訪問組織內(nèi)部信息系統(tǒng)的實(shí)體，后者包括人、進(jìn)程和系統(tǒng)等；3.訪問客體，即組織內(nèi)部允許被訪問的系統(tǒng)和資源；4.訪問方式，即規(guī)定哪些主體可以以特定的方式訪問某個(gè)系統(tǒng)或資源。為了實(shí)施安全策略，組織需要進(jìn)一步去確定當(dāng)前的安全狀況，據(jù)此確定安全需求、將采用的安全措施、安全責(zé)任和規(guī)劃執(zhí)行時(shí)間表。其中，安全措施包括技術(shù)措施和組織管理措施兩個(gè)方面，前者已由前面的章節(jié)描述，后者包括確立實(shí)施安全措施的機(jī)構(gòu)、人員及其工作制作，由這些機(jī)構(gòu)和人員分別擔(dān)負(fù)相應(yīng)的安全責(zé)任。14.2信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性，造成安全事件的可能性及這類安全事件可能對(duì)信息資產(chǎn)等造成的負(fù)面影響。信息安全風(fēng)險(xiǎn)評(píng)估也叫做信息安全風(fēng)險(xiǎn)分析，它是指對(duì)信息安全威脅進(jìn)行分析和預(yù)測(cè)，評(píng)估這類威脅對(duì)信息資產(chǎn)造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估使信息系統(tǒng)的管理者可以在考慮風(fēng)險(xiǎn)的情況下估算信息資產(chǎn)的價(jià)值，為管理決策提供支持，也可為進(jìn)一步實(shí)施系統(tǒng)安全防護(hù)提供依據(jù)。一般來說，威脅有基于網(wǎng)絡(luò)和系統(tǒng)攻擊的、內(nèi)部泄露的、人員物理侵入、系統(tǒng)問題等幾類，它們盡可能利用信息系統(tǒng)存在的脆弱性。可能性不但與脆弱性和威脅本身相關(guān)，也與攻擊者、攻擊方法、攻擊時(shí)間、系統(tǒng)狀況等相關(guān)聯(lián)。因此，在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前，一般需要先分析信息系統(tǒng)的威脅、脆弱性和可能的攻擊。威脅的種類和脆弱性隨著信息技術(shù)的普及，信息安全風(fēng)險(xiǎn)評(píng)估成為了一個(gè)組織安全管理的一部分，它既是風(fēng)險(xiǎn)管理的基礎(chǔ)，也是組織確定安全需求的途徑之一。信息安全風(fēng)險(xiǎn)評(píng)估的形式可以是組織內(nèi)部自我評(píng)估或委托專業(yè)機(jī)構(gòu)進(jìn)行評(píng)估，也可能是由上級(jí)機(jī)關(guān)執(zhí)行的檢查性評(píng)估。風(fēng)險(xiǎn)評(píng)估的方法主要分為定性方法、定量方法和定性與定量相結(jié)合的方法3類。在定性評(píng)估中，由評(píng)估者根據(jù)知識(shí)、經(jīng)驗(yàn)、指導(dǎo)性文件等對(duì)信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行分析、判斷和推斷，采用描述性的語言給出風(fēng)險(xiǎn)評(píng)估結(jié)果。風(fēng)險(xiǎn)評(píng)估的形式和方法在定量方法中，由評(píng)估者根據(jù)信息資產(chǎn)的相關(guān)數(shù)據(jù)利用公式進(jìn)行分析和推導(dǎo)，評(píng)估結(jié)果以數(shù)量的形式表達(dá)。當(dāng)前一般認(rèn)為，定性評(píng)估的結(jié)果比較粗糙、主觀性較強(qiáng)，而定量評(píng)估較為繁瑣、缺乏描述性，因此二者有結(jié)合的必要。自20世紀(jì)末以來，信息安全風(fēng)險(xiǎn)評(píng)估逐漸得到了越來越多的重視，國際標(biāo)準(zhǔn)化組織（ISO）先后頒布了很多細(xì)則和準(zhǔn)則來規(guī)劃信息安全風(fēng)險(xiǎn)評(píng)估。當(dāng)前也出現(xiàn)了一些信息安全風(fēng)險(xiǎn)評(píng)估的工具和評(píng)估輔助工具，如COBRA和CRAＭＭ等。信息安全風(fēng)險(xiǎn)評(píng)估的５個(gè)步驟

信息安全風(fēng)險(xiǎn)評(píng)估人員應(yīng)首先明確被評(píng)估組織擁有的資產(chǎn)及其中哪些與信息安全相關(guān)，并在不考慮信息安全風(fēng)險(xiǎn)情況下估算所識(shí)別資產(chǎn)的價(jià)值Ｖ。在以上過程中，主要應(yīng)考慮以下幾個(gè)方面：１.信息資產(chǎn)：數(shù)據(jù)與文檔、數(shù)據(jù)庫與數(shù)據(jù)文件、電子文件等各類文檔等；2.軟件資產(chǎn)：應(yīng)用軟件與系統(tǒng)、系統(tǒng)軟件、開發(fā)工具、信息和通信服務(wù)等；3、硬件資產(chǎn)：計(jì)算機(jī)和通信設(shè)備、移動(dòng)介質(zhì)等；4、人員資產(chǎn)：具有特殊技能的員工；5、系統(tǒng)資產(chǎn)：處理和存儲(chǔ)信息的信息系統(tǒng)。1.資產(chǎn)識(shí)別與估計(jì)2威脅與脆弱性識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估需要對(duì)組織要保護(hù)的每一項(xiàng)信息資產(chǎn)進(jìn)行安全分析，識(shí)別出可能的威脅。分析人員一般根據(jù)信息資產(chǎn)所處的環(huán)境、以前遭受的威脅、自身經(jīng)驗(yàn)、特定的規(guī)程或統(tǒng)計(jì)數(shù)據(jù)等推斷或發(fā)現(xiàn)可能的威脅，并估計(jì)威脅發(fā)生的可能性ＰＴ。ＰＴ主要是受資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化為報(bào)酬的難易程度、產(chǎn)生威脅的技術(shù)含量與利用脆弱性的難易程度等因素影響。必須指出的是，ＰＴ僅表示威脅存在的可能性，但威脅不一定造成安全事件，后者一般僅當(dāng)攻擊者成功利用脆弱性后才發(fā)生，因此識(shí)別脆弱性也是評(píng)估的必要環(huán)節(jié)。評(píng)估人員需要根據(jù)這些情況，結(jié)合所識(shí)別的威脅，分析每個(gè)威脅可能利用的脆弱性，并根據(jù)脆弱性的特點(diǎn)，估計(jì)它們能夠被威脅所利用的可能性PV。由于在信息安全風(fēng)險(xiǎn)評(píng)估之后，被評(píng)估的組織可能根據(jù)評(píng)估結(jié)果調(diào)整信息安全防護(hù)措施，為了避免重復(fù)施加安全措施，需要確認(rèn)信息安全防護(hù)系統(tǒng)在評(píng)估前的狀況。這里，信息安全防護(hù)系統(tǒng)一般分為防御性系統(tǒng)和保護(hù)性系統(tǒng)，前者可以減少威脅并減小它們發(fā)生的可能性，如防火請(qǐng)和IDS，后者在安全事件發(fā)生后能減少損失，如數(shù)據(jù)備份和恢復(fù)系統(tǒng)。3.安全防護(hù)措施確認(rèn)在以上步驟的基礎(chǔ)上，信息安全風(fēng)險(xiǎn)評(píng)估人員需要利用適當(dāng)?shù)脑u(píng)估方法或工具確定風(fēng)險(xiǎn)的大小和等級(jí)。由于信息安全風(fēng)險(xiǎn)是存在的威脅、脆弱性與威脅利用脆弱性所造成的影響這三方面共同作用的結(jié)果。4.確定風(fēng)險(xiǎn)大小和等級(jí)信息安全風(fēng)險(xiǎn)R是風(fēng)險(xiǎn)發(fā)生的可能性PT、脆弱性被成功利用的可能性PV，和威脅的潛在影響I的函數(shù)一般I可以表示為Ｉ＝V*C；（式中，V為不考慮風(fēng)險(xiǎn)情況下所估算的信息資產(chǎn)價(jià)值，C為價(jià)值損失的程度，0<<C<<1,C=1表明價(jià)值完全喪失）一般R可以表示為R=f(PT,PV,I)(函數(shù)f表示評(píng)估函數(shù))由于C取決于PT，PT，V,因此Ｒ也可以表示為

R=f2(PT,PV,V)

為了更清楚地表示與描繪威脅、資產(chǎn)價(jià)值與風(fēng)險(xiǎn)的關(guān)系，往往將PT與PV合并為PTV=PT*PV(PTV表示威脅發(fā)生并成功利用脆弱性的可能性)，即安全事件發(fā)生的可能性，這樣可以將R表示為R=f3(PTV,V)顯然銳，R隨著PT棍V與V的增唯長而枕增長方。一述般根鞋據(jù)以律上公初式可極以將齡風(fēng)險(xiǎn)暖發(fā)生貝的條蒙件劃化分為4個(gè)區(qū)遣域：羽高風(fēng)渴險(xiǎn)區(qū)盞、低購風(fēng)險(xiǎn)遷區(qū)、佳高可胞能區(qū)魚與高藝影響撓區(qū)。繳其中寨，在位高可堵能區(qū)醋，安瞧全事賀件時(shí)扭常發(fā)早生，嫁但由金于資水產(chǎn)損叉失較鵲小，使引發(fā)猾的風(fēng)擦險(xiǎn)不福大；萬在高恭影響奸區(qū)，巴不常缺發(fā)生辦的安賄全事擴(kuò)件可攤能突慶然發(fā)晴生，收并引弊發(fā)了間較大庫的資牲產(chǎn)損家失。高可燒能區(qū)低風(fēng)沈險(xiǎn)區(qū)高影涼響區(qū)高風(fēng)面險(xiǎn)區(qū)安全止事件叉發(fā)生離的可晉能性傍ＰＴ級(jí)Ｖ信息咳資產(chǎn)個(gè)價(jià)值從ＶPT高，PV低PT高，PV高PT低，PV高PT低，PV低信息或安全稱風(fēng)險(xiǎn)劣評(píng)估鮮人員以通過斜以上掀評(píng)估菌得到田了不狂同信撓息資吃產(chǎn)的仍風(fēng)險(xiǎn)邊等級(jí)果，他乓們?cè)诎欉@一置步驟稿中根晝據(jù)１．扛風(fēng)險(xiǎn)堆等級(jí)２．所其他子評(píng)估尿結(jié)論３．結(jié)合屆被評(píng)訪估組受織當(dāng)味前信張息安隙全防請(qǐng)護(hù)措緣瑞施的競(jìng)狀況為被喂評(píng)估加組織塔提供棍加強(qiáng)位信息臘安全植防護(hù)議的建湯議。５．處安全食措施尖建議信息惕安全武威脅轟也可煉能來兆自自然膊災(zāi)害忙、系炊統(tǒng)故肚障或教人為蚊破壞。事艷實(shí)證拆明，寸提供佳相應(yīng)怎的物本理安蘿全保械障，天不但綢可以尾直接敏抵御吩這類霧威脅館，也筑有利紋于防騾止非簡授權(quán)絲式訪問安和信貧息泄絨露等野威脅室。生活貢中典夏型的側(cè)物理訪安全鄙保障拖是由烈門衛(wèi)經(jīng)、圍馬墻和水門鎖辰等提堤供的告安全敘措施提，而淚在信秘息安您全領(lǐng)停域，物理吐安全鑼保障揉一般幟是指隔在所品保護(hù)枝信息破系統(tǒng)樹或資化源的析外圍奇提供嬸的信究息安爭(zhēng)全保醫(yī)障，主爺要包里括為衡重要撫信息終系統(tǒng)導(dǎo)或資菜源提怖供門鋸衛(wèi)、牽選擇豆安全自的運(yùn)團(tuán)行或某存放憂地點(diǎn)已、備餡份數(shù)鑄據(jù)或騎設(shè)備彼、提宿供備槍用電栽源和否穩(wěn)壓役裝備咐、防煉止電溉磁輻叛射、螞采用訓(xùn)碎紙列機(jī)或塘消磁訂器等旨信息藏銷毀伏設(shè)備捧等措耗施。14遭.３物理犧安全端保障物理暢安全股的獲面得需竭要建鐮立在政相應(yīng)表的安懼全管訂理制犧度基刷礎(chǔ)之柏上，這漠也是不信息珠安全繡管理呼通過院把分批散