信息安全体系风险评估

1、信息安全体系风险评估,基本概念 重要意义 工作方式 几个关键问题,2,1、什么是风险评估,信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,什么是风险评估,风险评估的基本概念,对基本概念的解释,业务战略：即一个单位通过信息技术手段实现的工作任务。一个单位的业务战略对信息

2、系统和信息的依赖程度越高，风险评估的任务就越重要。 为什么要首先谈业务战略？ 这是信息化的目的，一个信息系统如果不能实现具体的工作任务，那么这个信息系统是没有用处的。信息安全不是最终目的，信息安全要服务于信息化,对基本概念的解释（续,资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力等。 这是需要保护的对象。只有资产得到保护，单位的业务战略才可以实现。 资产价值：资产是有价值的，资产价值可通过资产的敏感程度、重要程度和关键程度来表示。 这里指的资产价值不一定是购买时的货币价值。资产价值与业务战略联系紧密。 信息安全的投入是有成本的，信息安全投入应适当，与资产的价值相适宜,对

3、基本概念的解释（续,威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、行为、可能性和后果。 为什么要谈威胁？ 如果没有威胁，就不会有安全事件,示例：常见人为威胁,对基本概念的解释（续,脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。 威胁是外因，而脆弱性是内因。外因要通过内因起作用。脆弱性是资产本身所具有的（例如系统没有打补丁），威胁要利用脆弱性才能造成安全事件,脆弱性/威胁对（示例,对基本概念的解释（续,事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。 在描述

4、一个信息安全事件时，要明确： 安全事件是如何产生的（与威胁的属性和脆弱性有关）？ 事件造成了什么后果（与资产有关）？ 事件的后果有多大（与资产的价值有关）？ 这个事件发生的可能性有多大（与威胁和脆弱性存在的可能性、威胁的动机等属性有关）,对基本要素的解释（续,风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种因素来衡量。 为什么要提出风险的概念？ 安全事件的发生是有概率的。不能只根据安全事件的后果便决定信息安全的投入和安全措施的强度。对后果严重的极小概率事件，不能盲目投入。因此，要综合考虑安全事件的后果影响及其可能性

5、，两者的综合便是“风险”的概念。 高风险要优先得到处理,对基本要素的解释（续,残余风险：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 为什么提出残余风险的概念？ 风险不可能完全消除。信息技术在发展，外部环境在变化，信息系统本身也要发生变化，信息安全的动态性使得不可能完全消除未来发生安全事件的风险。 风险不必要完全消除。资产的价值以及信息安全的投入之间的比例关系决定了对有些安全风险，采取措施反而比不采取措施更糟糕。 此外，由于某些原因（例如时间、资金、业务、安全措施不当等原因），仍有些风险需要在以后继续控制和处理,对基本要素的解释（续,残余风险应受到密切监视,因为它可能会在将来

6、诱发新的事件。 所谓安全的信息系统，并不是指“万无一失”的信息系统，而是指残余风险可以被接受的安全系统,对基本概念的解释（续,安全需求：为保证单位的业务能够正常开展，在信息安全保障措施方面提出的要求。 安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的。要根据威胁的属性和脆弱性的具体情况，有针对性地选择和实施安全措施,风险评估各个要素间的相互作用,对各要素相互作用的解释,通过安全措施来对资产加以保护，对脆弱性加以

7、弥补，从而可降低风险； 实施了安全措施后，威胁只能形成残余风险。 某些情况下，也可能会有多个脆弱性被同时利用。 脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事件。 某些脆弱性可以没有对应的威胁，这可能是由于这个威胁不在考虑的范围内，或者这个威胁的影响极小，以至忽略不计。 采取安全措施的目的是控制风险，将残余风险限制在能够接受的程度上,内容简介,基本概念 重要意义 工作方式 几个关键问题,国家对信息安全风险评估工作的要求,国家信息化领导小组关于加强信息安全保障工作的意见的通知（中办发200327号）在“实行信息安全等级保护”任务中提出：“要重视信息安全风险评估工作，对网络与信息安全的潜在威

8、胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。,国家对信息安全风险评估工作的要求,全国信息安全保障工作会议要求：“开展信息安全风险评估和检查。抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。根据风险评估结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息安全检查。,信息安全风险评估的重要意义,风险评估是信息系统安全的基础性工作 只有在正确、全面地了解和理解安全风险后，才能决定

9、如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。 持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设,信息安全风险评估的重要意义（续,风险评估是分级防护和突出重点的具体体现 信息安全建设必须从实际出发，坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。安全是风险与成本的综合平衡。

10、盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取有效、科学、客观和经济的措施,加强风险评估工作是当前信息安全工作的客观需要和紧迫需求 由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。发达国家越来越重视风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝着制度化的方向发展,信息安全风险

11、评估的重要意义（续,为什么要提出风险评估的概念,内容简介,基本概念 重要意义 工作方式 几个关键问题,风险评估流程,确定评估范围 资产的识别和影响分析 威胁识别 脆弱性评估 威胁分析 风险分析 风险管理,否,是,否,是,风险评估的准备,已有安全措施的确认,风险计算,风险是否接受,保持已有的控制措施 施施施,选择适当的控制措施并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,是否接受残余风险,风险识别,评估过程文档,评估过程文档,风险评估结果记录,评估结果文档,风险评估流程,资产分类方法,资产分类方法,资产识别模型,资产保密性赋值,资产完整性赋值,资产可用性赋值,资产等级计算公式,A

12、V=F(AC,AI,AA) Asset Value 资产价值 Asset Confidentiality 资产保密性赋值 Asset Integrity 资产完整性赋值 Asset Availability 资产可用性赋值 例1：AV=MAX(AC,AI,AA) 例2：AV=AC+AI+AA 例3：AV=ACAIAA,资产价值赋值,威胁来源列表,威胁分类表,威胁赋值,脆弱性识别内容表,风险分析原理,L,F,R,风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ) 其中,R 表示安全风险计算函数; A 表示资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值;Va

13、 表示脆弱性严重程度; L 表示威胁利用资产的脆弱性导致安全事件发生的可能性; F 表示安全事件发生后产生的损失。 一般风险计算方法：矩阵法和相乘法,风险计算方法,矩阵法,矩阵法风险计算,风险等级表,43,降低风险（Reduce Risk） 采取适当的控制措施来降低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，或是改善不规范的工作流程、制定业务连续性计划，等等。 避免风险（Avoid Risk） 通过消除可能导致风险发生的条件来避免风险的发生，如将公司内外网隔离以避免来自互联网的攻击，或是将机房安置在不可能造成水患的位置，等等。 转移风险（Transfer Risk） 将风险全部或者部

14、分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk） 在实施了其他风险应对措施之后，对于残留的风险，组织可以有意识地选择接受,风险处置策略,44,绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了确保信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准,残留风险评价,等级保护下风险评估实施框架,保护对象划分和定级,网络系

15、统划分和定级,资产,脆弱性,威胁,风险分析,基本安全要求,等级保护管理办法、指南 信息安全政策、标准、法律法规,安全需求,风险列表,安全规划,风险评估,结合等保测评的风险评估流程,47,47,风险评估项目实施过程,48,48,风险评估常用方法,检查列表：评估员根据自己的需要，事先编制针对某方面问题的检查列表，然后逐项检查符合性，在确认检查列表应答时，评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。 文件评估：评估员在现场评估之前，应该对受评估方与信息安全管理活动相关的所有文件进行审查，包括安全方针和目标、程序文件、作业指导书和记录文件。 现场观察：评估员到现场参观，可以观察并获取关

16、于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。 人员访谈：与受评估方人员进行面谈，评估员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记录和总结，必要时要和访谈对象进行确认。 技术评估：评估员可以采用各种技术手段，对技术性控制的效力及符合性进行评估。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等,49,49,评估员检查工具检查列表,检查列表（Checklist）是评估员进行评估时必备的自用工具，是评估前需准备的一个重要工作文件。 在实施评估之前，评估员将根据分工情况来准备各自在现场评估所需

17、的检查列表，检查列表的内容，取决于评估主题和被评估部门的职能、范围、评估方法及要求。 检查列表在信息安全管理体系内部评估中起着以下重要作用： 明确与评估目标有关的抽样问题； 使评估程序规范化，减少评估工作的随意性和盲目性； 保证评估目标始终明确，突出重点，避免在评估过程中因迷失方向而浪费时间； 更好地控制评估进度； 检查列表、评估计划和评估报告一起，都作为评估记录而存档,50,常用技术工具清单,技术漏洞扫描工具 针对操作系统、典型应用软件漏洞（Nessus 、绿盟极光、启明天镜） 针对网络端口（Nmap） 针对数据库漏洞(安信通、安恒) 针对Web漏洞（IBM Appscan、HP WebIn

18、spect WVS） 针对网络数据流（WireShark、Ethereal,51,信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用、提高信息系统相关人员的安全意识，但可能由于缺乏风险评估的专业技能，其结果不够深入准确；同时，受到组织内部各种因素的影响，其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技

19、能及业务了解的限制，对被评估系统的了解，尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制,风险评估的形式,52,自评估中的“自”不仅仅是指自已做评估的“自”，也不仅仅是指自愿做评估的“自”。由于“谁主管谁负责”，出于对自身信息系统的安全责任考虑，信息系统主管者应定期对系统进行风险评估，具体实施时可以依托自身的评估队伍进行，也可委托有资质的第三方提供评估服务技术支持，但无论是哪一种形式，责任都是由信息系统主管者自已担负的。因此，自评估中的“自”的含义是自已负责的“自”。包括自已负责系统的安全、自己发起对

20、信息系统的风险评估以及自己负责为保障系统安全所做的风险评估的安全等。 此外，为保证风险评估的实施，与系统相连的相关方也应配合，以防止给其他方的使用带来困难或引入新的风险也往往较多，因此，要对实施检查评估机构的资质进行严格管理,风险评估的形式,53,检查评估,检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。 检查评估可依据本标准的要求，实施完整的风险评估过程,风险评估的形式,54,国信办20065号文件指出：信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段，应通

21、过信息安全风险评估进一步明确安全需求和安全目标,信息系统生命周期各阶段的风险评估,55,规划阶段的风险评估 设计阶段的风险评估 实施阶段的风险评估 运行维护阶段的风险评估 废弃阶段的风险评估,信息系统生命周期各阶段的风险评估,56,规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标。 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为采购过程

22、风险控制的依据,信息系统生命周期各阶段的风险评估,57,实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量控制。 基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估,信息系统生命周期各阶段的风险评估,58,运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种较为全面的风险

23、评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面,信息系统生命周期各阶段的风险评估,59,当信息系统不能满足现有要求时，信息系统进入废弃阶段。根据废弃的程度，又分为部分废弃和全部废弃两种。 废弃阶段风险评估着重在以下几方面： 1、确保硬件和软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换； 2、如果被废弃的系统是某个系统的一部分，或与其他系统存在物理或逻辑上的连接，还应考虑系统废弃后与其他系统的连接是否被关闭； 3、如果在系统变更中废弃，除对废弃部分外，还应对变更的部分进行评估，以确定是否会增加风险或引入新的风险； 4、是否建立了流程，确保更新过程在一个安全、系统化的状态下完成,信息系统生命周期各阶段的风险评估,内容简介,基本概念 重要意义 工作方式 几个关键问题,1）风险评估的完整性,漏洞扫描、IDS监视、渗透性测试、调查问卷等工作只是风险评估中的步骤之一，尚不能称之为完整的风险评估。在早期，很多企业和机构声称的风险评估服务，实质上是在以偏概全。 当然，根据具体情况，在进行风险评估时可以有所侧重。例如，如果某单位曾经实施过风险评估，其业务此后也没有发生变化，那么再次评估时，该单位有可能只需关注新的漏洞就可以了。这时，风险评估就可以简化为脆弱性评估,2）风险评估的最终目的,风险评估结果是后续安全建设的依据。单独的信息系统