风险管理与应急体系

1、风险管理与应急体系风险管理与应急体系国家信息化专家咨询委员会委员国家信息化专家咨询委员会委员 沈昌祥沈昌祥 院士院士 信息安全的风险管理和应急处信息安全的风险管理和应急处理是信息安全保障体系中的重要环理是信息安全保障体系中的重要环节。对保证电信网络的安全有至关节。对保证电信网络的安全有至关重要的意义。科学合理的实施风险重要的意义。科学合理的实施风险管理和应急处理，将为电信网络提管理和应急处理，将为电信网络提供有效的安全保障手段。供有效的安全保障手段。一、信息安全的风险管理一、信息安全的风险管理 风险：风险：安全事件发生（即保密性、完整安全事件发生（即保密性、完整性、可用性损失）的概率及其可能造

2、成性、可用性损失）的概率及其可能造成影响下，脆弱性被利用后所产生的实际影响下，脆弱性被利用后所产生的实际负面影响。负面影响。 风险管理：风险管理：识别风险识别风险, 评估风险评估风险, 采取步采取步骤减缓风险并将它降到可接受的水平之骤减缓风险并将它降到可接受的水平之内的过程。内的过程。 风险管理风险管理就是保护组织机构就是保护组织机构的信息资产及业务，保护其的信息资产及业务，保护其完成使命的能力。不仅是其完成使命的能力。不仅是其IT资产价值资产价值, 而且是专业人员而且是专业人员实施技术功能和组织机构管实施技术功能和组织机构管理功能的综合。即理功能的综合。即信息资产信息资产的保护和业务能力的保

3、证的保护和业务能力的保证。 信息资产由价值表示，分为经济价值和信息资产由价值表示，分为经济价值和社会价值。用下图表示：社会价值。用下图表示：经经济济价价值值社会价值社会价值综合价值综合价值 业务能力表现在信息服务上，分为服务业务能力表现在信息服务上，分为服务范围和连续性依赖程度。范围和连续性依赖程度。服服务务范范围围连续性依赖连续性依赖综合能力保证综合能力保证 等级保护应根据信息系统的综合价等级保护应根据信息系统的综合价值和综合能力保证的要求不同来确值和综合能力保证的要求不同来确定其相应的保护等级。定其相应的保护等级。风险管理包括三个过程：风险管理包括三个过程：1、风险评估：对风险及其影响的识

4、别、风险评估：对风险及其影响的识别和评价，建议如何降低风险。和评价，建议如何降低风险。2、风险减缓：对风险评估过程中所推、风险减缓：对风险评估过程中所推荐的风险降低措施进行优先级排序，荐的风险降低措施进行优先级排序，加以实现和维护。加以实现和维护。3、评价确认：对风险评估结果进行判、评价确认：对风险评估结果进行判断，以明确在风险减缓措施实施后断，以明确在风险减缓措施实施后残余的风险是否可以接受。残余的风险是否可以接受。否否是是否否风险评估实施流程图风险评估实施流程图是是风险评估准备风险评估准备已有安全措施的确认已有安全措施的确认风险计算风险计算风险是否接受风险是否接受保持已有的安全措施保持已有

5、的安全措施选择适当的安全措施选择适当的安全措施并评估残余风险并评估残余风险实施风险管理实施风险管理脆弱性识别脆弱性识别威胁识别威胁识别资产识别资产识别是否接受残余风险是否接受残余风险 风险分析风险分析评估过程文档评估过程文档评估过程文档评估过程文档风险评估文件记录风险评估文件记录评估结果文档评估结果文档风险评估实施流程：风险评估实施流程：来自风险评估报告的风险来自风险评估报告的风险级别级别步骤步骤1：对行动优先级进行排序：对行动优先级进行排序由高到低的行动优先级由高到低的行动优先级风险评估报告风险评估报告可能的控制清单可能的控制清单成本效益分析成本效益分析所选择的安全控制所选择的安全控制责任人

6、清单责任人清单安全措施实现计划安全措施实现计划步骤步骤2：评估所建议的安全选项：评估所建议的安全选项可用性、有效性可用性、有效性步骤步骤3：实施成本效益分析：实施成本效益分析步骤步骤4：选择安全控制：选择安全控制步骤步骤5：分配责任：分配责任步骤步骤6：制定安全措施的实现计划：制定安全措施的实现计划风险及相关风险的级别风险及相关风险的级别优先级排序后的行动优先级排序后的行动所建议的控制所建议的控制所选择的预期控制所选择的预期控制责任人员责任人员开始日期开始日期目标完成日期目标完成日期维护要求维护要求步骤步骤7：实现所选择的安全控制：实现所选择的安全控制残余风险残余风险风险减缓方法流程：风险减缓

7、方法流程：降低威胁能力降低威胁能力降低残余风险：降低残余风险：降低脆弱性降低脆弱性新增或强化新增或强化安全措施安全措施残余风险残余风险能接受？能接受？降低负面影响降低负面影响维维 持持是是否否成功的关键：成功的关键：1、高层管理者的决心、高层管理者的决心2、IT团队全力支持和参与团队全力支持和参与3、风险评估小组能力、风险评估小组能力4、用户的意识和合作、用户的意识和合作5、对使命风险进行持续的评价和评估、对使命风险进行持续的评价和评估二、信息安全应急体系框架二、信息安全应急体系框架（一）应急规划（一）应急规划 做好风险管理工作，使脆弱性和威胁最做好风险管理工作，使脆弱性和威胁最小化，但不可能

8、完全消除，也有可能遭小化，但不可能完全消除，也有可能遭受系统被破坏。受系统被破坏。 安全应急是一种协调的战略过程，涉及安全应急是一种协调的战略过程，涉及到计划、流程和技术措施，以使到计划、流程和技术措施，以使IT系统、系统、运行和数据在被破坏后能够得到恢复。运行和数据在被破坏后能够得到恢复。这涉及到法律、组织管理和技术支持等这涉及到法律、组织管理和技术支持等环节，首先要做好应急规划。环节，首先要做好应急规划。应急规划应急规划计计 划划流流 程程技技 术术基础信息网络基础信息网络重要信息系统重要信息系统应急规划：应急规划：计计 划划目目 的的范范 围围业务连续性计划业务连续性计划提供在从严重破坏

9、中恢复提供在从严重破坏中恢复时保持必要的业务运行的时保持必要的业务运行的流程流程涉及到业务过程，并由于涉及到业务过程，并由于其对业务过程的支持而涉其对业务过程的支持而涉及到及到IT业务恢复业务恢复/再继续计划再继续计划提供灾难发生后立即恢复提供灾难发生后立即恢复业务运行的流程业务运行的流程涉及到业务过程；并不关涉及到业务过程；并不关注注IT；仅限据其对业务过；仅限据其对业务过程的支持而涉及到程的支持而涉及到IT运行连续性计划运行连续性计划提供在提供在30天之内在备用站天之内在备用站点保持机构必要的战略功点保持机构必要的战略功能的能力能的能力涉及到被认为是最关键的涉及到被认为是最关键的机构使命子

10、集；通常在总机构使命子集；通常在总部级制定；不关注部级制定；不关注IT支持连续性计划支持连续性计划提供恢复主应用或通用支提供恢复主应用或通用支撑系统的流程和能力撑系统的流程和能力同同IT应急计划；涉及到应急计划；涉及到IT系统破坏；不关注业务过系统破坏；不关注业务过程程应急计划类型（应急计划类型（1/2）：）：计计 划划目目 的的范范 围围危机沟通计划危机沟通计划提供将状态报告分发给员提供将状态报告分发给员工和公众的流程工和公众的流程涉及到和人员及公众的涉及到和人员及公众的沟通沟通,不关注不关注IT计算机事件响应计划计算机事件响应计划为检测、响应恶意计算机为检测、响应恶意计算机事件，并限制其后

11、果提供事件，并限制其后果提供战略战略关注于对影响系统和关注于对影响系统和/或或网络的事件的信息安全网络的事件的信息安全响应响应 灾难恢复计划灾难恢复计划为帮助在备用站点实现能为帮助在备用站点实现能力恢复提供详细流程力恢复提供详细流程经常关注经常关注IT,限于会带来限于会带来长时间破坏影响的主要长时间破坏影响的主要破坏破坏 拥有者应急计划拥有者应急计划提供经过协调的流程，从提供经过协调的流程，从而在应对物理威胁时而在应对物理威胁时,将生将生命损失和伤害降到最低，命损失和伤害降到最低，并保护财产免遭损害并保护财产免遭损害 关注针对特定设施的特关注针对特定设施的特殊人员和财产；而不是殊人员和财产；而

12、不是基于业务过程或基于业务过程或IT 系统系统功能功能应急计划类型（应急计划类型（2/2）：）：不同计划之间的关系：不同计划之间的关系：应急贯穿系统全生命周期：应急贯穿系统全生命周期：开发开发/采办阶段采办阶段实现阶段实现阶段运行运行/维护阶段维护阶段启动阶段启动阶段废弃阶段废弃阶段进行测试进行测试计划的培训、演习计划的培训、演习随时准备随时准备实现原系统实现原系统确定应急需求确定应急需求确定应急方案确定应急方案（二）应急规划过程（二）应急规划过程1、制定应急规划的政策说明、制定应急规划的政策说明2、实施业务影响分析、实施业务影响分析3、确定预防性控制、确定预防性控制4、制定恢复战略、制定恢复

13、战略5、制定、制定IT应急计划应急计划6、计划的测试、培训和演习、计划的测试、培训和演习7、计划维护、计划维护应急规划的过程：应急规划的过程：（三）技术支持（三）技术支持常见的考虑事项包括：常见的考虑事项包括： 数据、应用和操作系统的备份与异地存储数据、应用和操作系统的备份与异地存储 关键系统组建或能力的冗余关键系统组建或能力的冗余 系统配置和要求文档系统配置和要求文档 在系统组件间以及主备点间互操作，以加在系统组件间以及主备点间互操作，以加快系统恢复快系统恢复 适当规模的电源管理系统和环境控制适当规模的电源管理系统和环境控制广域网应急策略：广域网应急策略：WAN的文档记录的文档记录和厂商的协调和厂商的协调与安全政策和控制保持协调与安全政策和控制保持协调确定单点故障确定单点故障实现关键组件冗余实现关键组件冗余制定服务级别协定制定服务级别协定应急方案：确保广域网的可用性应急方案：确保广域网的可用性冗余的通信线路：线路在物理上是分离的；冗余的通信线路：线路在物理上是分离的；冗余的网络服务提供商：冗余的网络服务提供商：NSP之间没有任何之间没有任何点共享同一设备；点共享同一设备；冗余的网络连接设备：双重网络连接设备；冗余的网络连接设备：双重网络连接设备；来自来自NSP或者或者ISP的冗余：评估其核心网络的的冗余：评估其核心网络的健壮性、可靠性。健壮性、可靠性。结束语结束