網絡安全風險評估培訓班課件

網絡安全風險評估

錄

■網絡安全風險管理基礎

1、風險相關基礎概念

2、信息安全風險相關政策與標準

■網絡安全風險管理主要內容

目錄1、信息安全風險管理概述

2、信息安全風險管理的基本內容和過程

3、信息系統(tǒng)生命周期與信息安全風險管理

三、網絡安全風險評估

1、風險評估工作形式

2、風險評估的實施流程

3、風險評估工具

風險,信息安全風險的概念

理解風險的概念，理解資產、威脅、脆弱性、業(yè)務戰(zhàn)略、安全事件、安全需求、安全

措施等風險相關概念

理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風

險評估的概念

理解風險相關要素之間的關系

Pace?

風險相關基礎概念

風險，指事態(tài)的概率及其結果的組合（一GB/Z24364-2009《信息安全

風險管理指南》）

信息安全風險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系

中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響?:——

GB/T20984-2007《信息安全風險評估規(guī)范》）

信息安全風險會破壞組織信息資產的保密性、完整性或可用性等

屬性

PW4

風險相關基礎概念

信息安全，就是保證信息的機密性、完整性和可用性。

機密性：確保信息不被非授權的個人、組織和計算機程序使用

完整性：確保信息沒有被篡改和破壞

可用性：確保擁有授權的用戶或程序可以及時、正常使用信息

CIA三元組是信息安全的目標，也是基本原則，與之相反的是DAD三元組：

A

風險的構成

風險的構成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑

（脆弱性）、受體（資產）和后果（影響）

環(huán)境

Pace6

風險相關術語

■資產(Asset)業(yè)務戰(zhàn)略

■威脅(Threat)■安全事件

■脆弱性(Vunerability)■安全需求

■可能性(Likelihood,風險準則

Probability)風險評估

■安全措施/控制措施(風險處理

Countermeasure,■風險管理

safeguard,control)

■殘余風險(ResidentalRisk)

信息安全風險評估

Pat?7

資產

:資產是任何對組織有他值的左酉，是要保護的對象

'?資產以多種形式看在（多種分類用去）

物理的（如計算設備、網絡設備和存儲介質等）和邏輯的（如體系結構、通信協(xié)議、計算程序和數(shù)據(jù)

文件等）

硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟

件、工具軟件和應用軟件等）

有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等）

靜態(tài)的（如設施和規(guī)程等）和動態(tài)的（如人員和過程等）

技術的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人

員等）等

PW8

威脅

?:?可能導致對系統(tǒng)或組織危害的不希望事故潛在起因

?:?引起風險的外因

?威脅源采取恰當?shù)耐{方式才可能引發(fā)風險

?:?威脅舉例

■操作失誤漏洞利用

■濫用授權拒絕服務

-行為抵賴竊取數(shù)據(jù)

?身份假冒物理破壞

■口令攻擊社會工程

-密鑰分析

脆弱性

的資產或若干資產的薄弱環(huán)節(jié)

脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時,

iiWW恰當?shù)耐{方式對信息資產造成危害

系統(tǒng)程序代碼缺陷

系統(tǒng)設備安全配置錯誤

系統(tǒng)操作流程有缺陷

維護人員安全意識不足

Pace10

可能性

'?某件事發(fā)生的機會

:簟物源利用脆弱性造成不良后果的機會

脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機會

很小

系統(tǒng)存在漏洞，但只在與互聯(lián)網物理隔離的局域網運行，發(fā)生不良后果的

機會較小

互聯(lián)網公開漏洞且有相應的測試工具，發(fā)生不良后果的機會很大

PW11

影響

:瞿F源利用脆弱性造成不良后果的程度大小

網站被黑客控制，國家級網站比省市網站的名譽損失大很多。

銀行門戶網站和內部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。

同樣型號路由器被攻破，用于互聯(lián)網骨干路由要比企業(yè)內部系統(tǒng)的路由器損失

更大。

Pace12

風險

。威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性

采取

'威脅源］

利用

造成

威脅方式

網站存在SQL注入漏洞,普通攻擊者利用自動化攻擊工具很容易

控制網站，修改網站內容，從而損害國家政府部門聲譽

13

對信息安全風險的理解

“?伊星室制&障號旨一種特定的威脅利用一種或一

組脆弱性造成組織的信息相關資產損失或損害的可能性

'?信息盤金風臉最指信息資產的保密性、完整性和

可用秩遭到祓壞的可能性

”?信息安全風險只考慮那些對組織有負面影響的事件

'?風險的五方面

威脅源、威脅行為、脆弱性、資產、影響

Pa<e14

安全措施/控制措施

降

唯要墓置件『勵慨唳懸鬻I鬻％各種

實踐、規(guī)程和機制，它是管理風險的具體手段和方法

:.根全需求部署，用來防范威脅，降低風險的措施

部署防火墻、入侵檢測、審計系統(tǒng)

測試環(huán)節(jié)

操作審批環(huán)節(jié)

應急體系

終端U盤管理制度

Pace1$

風險術語之同鮮系

造成

Pa<e16

信息安全風險評估

.是依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由

其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程

'?它要評估資產面臨的威脅以及威脅利

用脆弱性導致安全事件的可能性，并結

合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響

風險處理.風險管理

'?風險處理是選擇并且執(zhí)行措施來更改風險的過程

'?風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因

素的過程

Pate18

風險評估VS風險管理

風險管理風險評估

目標將風險降低到可接受水平確定面臨的風險并確定其優(yōu)先級

周期包括風險評估、風險決策、風險控制風險管理中的單個階段

等所有階段

計劃持續(xù)（PDCA）按需要

Pw19

殘余風險

?,采取了安全措施后，信息系統(tǒng)仍然可能存在的風險

'?有些殘余風險是在綜合考慮了安全成本與效

益后不去控制的風險*殘余風險應受到密切監(jiān)

視，它可能會在將來誘發(fā)新的安全事件'?舉例

風險列表中有10項風險，根據(jù)風險成本效益分析，只有前8項需要控

制，則前8項處理后剩余的風險加上另2項風險為殘余風險，一段時

間內系統(tǒng)處于風險可接受水平

Pace20

風險相關要素之間的關系

業(yè)務戰(zhàn)略

依賴

脆弱性:一暴露Bj—具有一

T

利用增加未被滿足確定成本

「表全事件：《可能誘發(fā)

殘余風險'?未控制一安全措施

Pace21

錄

網絡安全風險管理基礎

1、風險相關基礎概念

2、信息安全風險相關政策與標準

網絡安全風險管理主要內容

目錄1、信息安全風險管理概述

2、信息安全風險管理的基本內容和過程

3、信息系統(tǒng)生命周期與信息安全風險管理

三、網絡安全風險評估

1、風險評估工作形式

2、風險評估的實施流程

3、風險評估工具

信息安全風險相關政策與標準

了解我國有關信息安全風險管理的政策要求

了解信息安全風險管理相關的國內外標準

Pw23

我國有關信息安全風險管理的政策要求

避髓器解魏替郭T需替輾

全風險評估工作，將風險評估作為提高我國信息安全保障水平的一項重要舉措

了國家電子政務工程建設項目信息安全風險評估工作

叼02￡

《關于開展信息安全風險評估工作的意見》（國信辦[2006]5

號）的實施要求

■晨窿翎牌評假工作應當貫穿信息系統(tǒng)全生命周期。

規(guī)戈IJ設計階段、%收時均應實施風險評估；運行后應定期實施

座通填信思我會風險評估為信息系統(tǒng)確定安全等級提供依

據(jù),根據(jù)風險評估的結果檢驗網絡與信息系統(tǒng)的防護水平是否符合等級保護的要求

■風險評估的基本內容和原則

■風險評估工作的基本要求

開展風險評估工作的有關安排

Pace25

《關于開展信息安全風險評估工作的意見》（國信辦[2006]5

號）的實施要求

電現(xiàn)避電氏風險評估工作而引入新的安全風險，必須高度重

視彳后,息女全風險評估的組織管理工作。要求：

?參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的

法律法規(guī)，并承擔相應的責任和義務

?風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人

員簽訂具有法律約束力的保密協(xié)議

?對關系國計民生和社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)的信息安全風險評

估工作必須遵循國家的有關規(guī)定進行

PW26

集團公司網絡安全管理辦法對風險評估的要求

集團公司結合國家相關法律法規(guī)要求，2019年發(fā)布了《集團公司網絡安全管理辦法》，共七章46條，明確提出集團

公司網絡安全實行統(tǒng)一管理、分級負責，遵循"誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，規(guī)定了所屬企事

業(yè)單位承擔本單位的網絡安全管理責任。

條款內容

胸氐候'（訪網公，4

第九條所屬企業(yè)落實集團公司總體網絡安全要求，承擔本單位網絡安全管理責任，主要負責人是網絡安全第一*安金濟再心值?遙審M>

責任人，主管網絡安全的領導是直接責任人，主要履行以下職責：■T

下■■?■■A，*

（-）明確網絡安全歸口管理機構和相應崗位，完善網絡安全管理制度，實行網絡安全管理員持證上崗

se<u<<i<Aia\aK

制度；?

■二?'????

（二）編制本單位網絡安全解決方案、年度工作計劃，其配套項目投資和系統(tǒng)運堆賽用，納入本單位年?■.?傳?

會金.)IMXaafe4RUfVIlKtt.

度預算；?a,“

a.??.■?.*?.

（=）開展網絡安全等級保護、風險評估等工作，制定專酶急預案并弊R演練，

實施網絡安全事件的應急處置，組織網絡安全檢查和培訓等工作；

（四）?…?…

PwV

錄

網絡安全風險管理基礎

1、風險相關基礎概念

2、信息安全風險相關政策與標準

網絡安全風險管理主要內容

目錄1、信息安全風險管理概述

2、信息安全風險管理的基本內容和過程

3、信息系統(tǒng)生命周期與信息安全風險管理

三、網絡安全風險評估

1、風險評估工作形式

2、風險評估的實施流程

3、風險評估工具

信息安全風險管理相關的國內外標準

?:?GB/T20984?2007《信息安全風險評估規(guī)范》

GB/Z24364-2009《信息安全風險管理指南》

?ISO/IEC27005:2011《信息安全風險管理》

?ISOGUIDE73:2009《風險管理一術語》

?15031000:2009《風險管理一主要原則和指南》

?IEC/ISO31010:2009《風險管理一風險評估技術》

?NISTSP800-30(2012)《實施風險評估指南》

?NISTSP800-39(2011)《管理信息安全風險：組織、使命和信息系統(tǒng)梗概》

?NISTSP800-37(2010)《聯(lián)邦信息系統(tǒng)應用風險管理框架指南：安全生命周期方法》

?NISTSP800-53(2010)《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》

?NISTSP800-53A(2010)I《聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的

安全評估計劃》

信息安全風險管理概述

'?理解實施風險管理的主要原則

'?理解風險管理的范圍和對象

風險管理是各行業(yè)采取的普遍工作方法

It空安全風險管理探討B(tài)nehnqontheRiskControloverAviati

IDOC］食品安全風險評估管理規(guī)定（試行）近年來，民航業(yè)高速發(fā)票，時航空安全槎出了更高的要求.由此促使航交安全*

文件格式DOC/McrosoflWord-HTML>就看安全■理科學的發(fā)祟在逐漸轉眇，由較早的以?我魂查為主到近期的以人為

（三國務院有關部門監(jiān)督省理工作帚要并提出應叁.渾伯建議IWWWcqvipcom/QK/88616）V2007001/24344626html2010-11-2?口度快照

貿易告塔希夏的第十七條需要開展應急評估計國家食品？

航空安全風險管理模式探討-《中國安全生產科學技術》2007年0

wwwmohgovcn/oublicfiles/business/cmsre2010-1-26

航空安全帶要動套?理因此構建并實施基干向匙?理的航空安全風險?理模JtU

［PPTJ國際食品安全風險管理發(fā)展在文保請了航空公司、機場和交道的安全管理工作如何圍崗航空安全向昆為中心

文件格式PPT/MwrosoftPowerpoint-HTML>emuchnet/joumal/articlephp">id=CJFDTota2010-10-24-/度快照

風險管理的相關搜索貨易轉至的設定必笈以科學的人類健康風險訐估為基岫妁

航空安全風險管理根式探討Discussionon:heaviationsafetyn

強行磁?理全面唳雷理食品貿易現(xiàn)則和析淮的產格方法國際食品貿易平衙兩種不I

?主與工需要一:宜w：曰比相i訃：貸圣干向*宜理的臟〒亍丁爪同省”惶r

wwwfoodmatenet/zhihang/document/fengx）2004-2-27

項目風段掌理金融見跆管理師義。本文保講了航空公司、機場和文宣的安全道理工作如何圍發(fā)航空安全問題為

企業(yè)磁?理反險?理案例食品安全風險管理基礎-食品安全與風險分析-WWWcqvipcom/qk/947950/200702/24210150html2010-10-16?百度快照

雙檢*理方法用金*理理論11察回復發(fā)帖時間200蟀12月22日

困片國航西南砌艮規(guī)范安全風險管理推進SMS建設

食品論壇這是在參加標準培訓計的裳堂記錄，另外發(fā)財寫:

商業(yè)銀行■?理公的戰(zhàn)站與刖堂T理

2010年4月2日國航西南地照發(fā)范安全風險道理推送SMSSt遂圖?J也服部等!5

址，［PPT］食R安全標準喻道理題道理基本應用模式

安全運行n息排查.胃影，尹濤民航濱海網2Q10年4月2日消息I航空安全網R'

bbsfoodmatenetthre?d-328304-1-1html2010-11-13-g￡

newscamoccom/list/157/157117html2010-7-23-4度快照

鶴山市枳極探煮食品安全風險管理及信用體系建

航空公司安全管理體系中的:音理的分析（06.9）中國民用航

200彈11月18日近年來，外山市政府重視食品安全保陵.

2010年6月9日航空公R安全道理體系中的反趁?理的分析（06-9）發(fā)布時閻,

不斷創(chuàng)新監(jiān)?模式，枚極保逑食品安全風蹌?理及信用體不

（民航堆修網通訊員方小平報JI）安全管理體系（S”S）起源千英國和澳大利H

WWWnxnewsneV3171/2008-11-18^9@340402htm2008-

WWWcamacorgcn/news/showphp?news_id=24532010-8-8?口度快盥

日本食品安全風險管理體制及啟示-《農村經濟;

國航西南地服部舉辦布京安全風險管理培訓培訓華夏汽車網

蠲H急從航空安全網金篦理概要、方法、安全風險道理的發(fā)布、隘校以及地服部

PateSI

通用風險管理定義

'?定義

是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。

風險管理包括對風險的量度、評估和應變策略。

理想的風險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生

的事情優(yōu)先處理、而相對風險較低的事情則押后處理。

PW32

風險目理是信息安全保障工作有效工作方式

好的風險管理過程可以讓機構以最具有成本效益的方式運行，并且使

已知的風險維持在可接受的水平。

好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織

有限的資源并確定優(yōu)先級，更好地管理風險。而不是將保貴的資源用

于解決所有可能的風險

'?風險管理是一個持續(xù)的PDCA管理過程。

PW33

信息安全工作中的風險管理

常見問題問題根源淺析

安全投資逐年增加，但看不到收益沒有根據(jù)風險優(yōu)先級做安全投資規(guī)劃，沒有抓

住主要矛盾，導致有限資金的有效利用率低

按照國家要求或行業(yè)要求開展信息安全工作，沒有根據(jù)企業(yè)自身安全需求部署安全控制措施,

但安全事件仍出現(xiàn)沒有突出控制高風險。

IT安全需求很多，有限的資金應優(yōu)先撥向哪個決策者沒有看到安全投資收益報告，資金劃撥

領域無參考依據(jù)。

當了CIO,時刻擔心系統(tǒng)出事，無法預見可能沒有殘余風險清單，在什么條件可被觸發(fā)，如

會出什么事何做好控制

PWM

什么是信息安全風險管理

.定義一：GB/Z24364《信息安全風險管理指南》

信息安全風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的

過程。

善標的警髯盤普部識別、優(yōu)化、管理風險，使風

Pace?

實施風險管理的主要原則

'?風險管理創(chuàng)造和保護價值

*風險管理是所有組織過程不可分割的一個部分，促進組織的持續(xù)改進

*風險管理是透明的，參與人員應包含廣泛，同時考慮人員和文化因素

風險管理是定制的，并具有體系化、結構化的特點

風險管理是動態(tài)的、反復的和響應變化的

Pace56

風險管理的范圍和對象

。信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的安全

信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、

硬盤、網線等

信息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網絡平臺和應用

平臺等硬環(huán)境和軟環(huán)境

?:?信息安全風險管理涉及信息安全上述三個方面包含的所有相關對象“

對于一個具體的信息系統(tǒng)，風險管理選擇的范圍和對象重點應有所

木同

P?e37

錄

網絡安全風險管理基礎

1、風險相關基礎概念

2、信息安全風險相關政策與標準

■網絡安全風險管理主要內容

目錄1、信息安全風險管理概述

2、信息安全風險管理的基本內容和過程

3、信息系統(tǒng)生命周期與信息安全風險管理

三、網絡安全風險評估

1、風險評估工作形式

2、風險評估的實施流程

3、風險評估工具

信息安全風險管理的基本內容和過程

'?理解背景建立的主要工作內容

”理解風險評估的主要工作內容

?'理解風險處理的主要工作內容

*理解批準監(jiān)督的主要工作內容

。理解監(jiān)控審查的主要工作內容

理解溝通咨詢的主要工作內容

PW39

信息安全風險管理工作內容

GB/Z24364《信息安全風險管理指南》：四個階段，兩個貫穿

背景建立

風險評估溝

通

咨

風險處理

批準監(jiān)督

Pate40

背景建立

食氟I遍隼易安全風險管理的第一步驟，確定風險

官理的對象和氾圍，確立實施風險管理的準備，進行相關信息的調查和分析

風險管理準備：確定對象、組建團隊、制定計劃、獲得支持

信息系統(tǒng)調查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點

信息系統(tǒng)分析：信息系統(tǒng)的體系結構、關鍵要素

信息安全分析：分析安全要求、分析安全環(huán)境

PW<1

背景建立過程

—

—

分

分

調

確

組

制

獲

調

調

調

析

析

查

得

建

定

定

查

查

查

信

信

支

信

風

風

風