cisp0302信息安全风险管理

1、信息安全风险管理信息安全风险管理培训机构名称讲师名称课程内容课程内容2知识域：风险管理工作内容知识域：风险管理工作内容v 知识子域：风险管理工作主要内容 掌握建立背景的主要工作内容 掌握风险评估的主要工作内容 掌握风险处置的主要工作内容 掌握批准监督的主要工作内容 掌握监控审查的主要工作内容 掌握沟通咨询的主要工作内容3风险管理是各行业采取的普遍工作方法风险管理是各行业采取的普遍工作方法4通用风险管理定义通用风险管理定义v定义 是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。 风险管理包括对风险的量度、评估和应变策略。 理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可

2、能发生的事情优先处理、而相对风险较低的事情则押后处理。5信息安全工作为什么需要风险管理方式信息安全工作为什么需要风险管理方式常见问题常见问题问题根源浅析问题根源浅析安全投资逐年增加，但看不到收益没有根据风险优先级做安全投资规划，没有抓住主要矛盾，导致有限资金的有效利用率低按照国家要求或行业要求开展信息安全工作，但安全事件仍出现没有根据企业自身安全需求部署安全控制措施，没有突出控制高风险。IT安全需求很多，有限的资金应优先拨向哪个领域决策者没有看到安全投资收益报告，资金划拨无参考依据。当了CIO，时刻担心系统出事，无法预见可能会出什么事没有残余风险清单，在什么条件可被触发，如何做好控制6信息安全

3、工作为什么需要风险管理方式（续）信息安全工作为什么需要风险管理方式（续）v信息安全风险和事件不可能完全避免，没有绝对的安全。v信息安全是高技术的对抗，有别于传统安全，呈现扩散速度快、难控制等特点v因此管理信息安全必须以风险管理的方式，关键在于如何控制、化解和规避风险，而不是完全消除风险。7风险管理是信息安全保障工作有效工作方式风险管理是信息安全保障工作有效工作方式v好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平。v好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险

4、v风险管理是一个持续的PDCA管理过程。8什么是信息安全风险管理什么是信息安全风险管理v定义一：GB/Z 24364信息安全风险管理指南 信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。v定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。 9正确的风险管理方法正确的风险管理方法10保护人身安全遏制损害评估损害确定损害部位修复损害部位审查响应过程并更新安全策略反应性风险管理评估风险实施风险决策风险控制评定风险管理的有效性前瞻性风险管理+=前瞻性风险管理反应性风险管理风险管理最佳实践 流行性感冒是一种致命的呼吸道疾病，美国每年都会有数以百万计的

5、感染者。这些感染者中，至少有 100,000 人必须入院治疗，并且约有 36,000 人死亡。 您可能会选择通过等待以确定您是否受到感染，如果确实受到感染，则采用服药治疗这种方式来治疗疾病。 此外，您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才是最佳风险管理方法。信息安全风险管理的目标信息安全风险管理的目标v信息安全属性11信息安全风险术语信息安全风险术语 资产（Asset） 威胁源（Threat Agent） 威胁（ Threat ） 脆弱性（Vunerability） 控制措施（Countermeasure,safeguard,control） 可能性（Likelihood

6、,Probability） 影响（ Impact,loss ） 风险（ Risk） 残余风险（Residental Risk）12信息安全风险术语信息安全风险术语- -资产资产v资产是任何对组织有价值的东西，是要保护的对象v资产以多种形式存在（多种分类方法） 物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）； 硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）； 有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）； 静态的（如设施和规程等）和动态的（如人员和过程等）； 技

7、术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等。13信息安全风险术语信息安全风险术语- -威胁威胁v是可能导致信息安全事故和组织信息资产损失的活动。v威胁源采取恰当的威胁方式才可能引发风险v威胁举例： 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密钥分析14 漏洞利用 拒绝服务 窃取数据 物理破坏 社会工程信息安全风险术语信息安全风险术语- -脆弱性脆弱性v是与信息资产有关的弱点或安全隐患。v是造成风险的内因。v脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害。v脆弱性举例 系统

8、程序代码缺陷 系统设备安全配置错误 系统操作流程有缺陷 维护人员安全意识不足15信息安全风险术语信息安全风险术语- -控制措施控制措施v是根据安全需求部署，用来防范威胁，降低风险的措施。v举例 部署防火墙、入侵检测、审计系统 测试环节 操作审批环节 应急体系 终端U盘管理制度16信息安全风险术语信息安全风险术语- -可能性可能性v是指威胁源利用脆弱性造成不良后果的可能性。v举例 脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的可能性很小 系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生的可能性较小。 互联网公开漏洞且有相应的测试工具，发生不良后果的可能性很大。17信息安全风险

9、术语信息安全风险术语- -影响影响v是指威胁源利用脆弱性造成不良后果的程度大小v举例 网站被黑客控制，国家级网站比省市网站的名誉损失大很多。 银行门户网站和内部核心系统受到攻击，其核心系统的损失更大。 同样型号路由器被攻破，用于互联网骨干路由要比企业内部系统的路由器损失更大。18信息安全风险术语信息安全风险术语- -风险风险v是指威胁源采用恰当的威胁方式利用脆弱性造成不良后果。 网站存在SQL注入漏洞，普通攻击者普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉19威胁源威胁方式脆弱性风险采取利用造成信息安全风险术语之间的关系信息安全风险术语之间的关系20威胁源

10、威胁方式脆弱性风险采取利用造成资产不良影响控制措施破坏造成受控制直接影响信息安全风险术语信息安全风险术语- -风险风险vGB/T 20984的定义：信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。v信息安全风险是指一种特定的威胁利用威胁利用一种或一组脆弱性脆弱性造成组织的资产损失或损害资产损失或损害的可能性可能性。v信息安全风险是指信息资产的保密性、完整性和信息资产的保密性、完整性和可用性可用性遭到破坏的可能性。v信息安全风险只考虑那些对组织有负面影响的事负面影响的事件件。21信息安全风险术语信息安全风险术语- -残余风险残余风险v是

11、指采取了安全措施后，信息系统仍然可能存在的风险。v有些残余风险是在综合考虑了安全成本与效益后不去控制的风险v残余风险应受到密切监视，它可能会在将来诱发新的安全事件v举例 风险列表中有10类风险，根据风险成本效益分析，只有前8项需要控制，则另2项为残余风险，一段时间内系统处于风险可接受水平。22信息安全风险术语信息安全风险术语- -风险评估风险评估 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大

12、限度地保障信息安全提供科学依据。23风险评估的理解风险评估的理解v信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次全面安全风险评估。v风险评估是分析确定风险的过程。v风险评估的目的是控制风险。v风险评估是风险管理的起点和基础环节v风险管理是在倡导适度安全24信息安全风险术语信息安全风险术语- -风险评估风险评估vsvs风险管理风险管理 风险管理风险管理风险评估风险评估目标目标将风险降低到可接受水平确定面临的风险并确定其优先级周期周期包括风险评估、风险决策、风险控制等所有阶段风险管理中的单

13、个阶段计划计划持续（PDCA）按需要25信息安全风险管理工作内容信息安全风险管理工作内容监控审查监控审查沟通咨询沟通咨询v GB/Z 24364信息安全风险管理指南 四个阶段，两个贯穿。 -26建立背景建立背景v背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。 风险管理准备：确定对象、组建团队、制定计划、获得支持 信息系统调查：信息系统的业务目标、技术和管理上的特点 信息系统分析：信息系统的体系结构、关键要素 信息安全分析：分析安全要求、分析安全环境27背景建立过程背景建立过程28风险管理工作内容风险管理工作内容监控审查监控审查

14、沟通咨询沟通咨询29风险评估风险评估v信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。 风险分析准备：制定风险评估方案、选择评估方法 风险要素识别：发现系统存在的威胁、脆弱性和控制措施 风险分析：判断风险发生的可能性和影响的程度 风险结果判定：综合分析结果判定风险等级30风险评估过程风险评估过程31风险管理工作内容风险管理工作内容监控审查监控审查沟通咨询沟通咨询32风险处理风险处理v风险处理是为了将风险始终控制在可接受的范围内。 现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以 处理目标确认：不可接受的风险需要控制到怎样的程度 处理措施选择：选择风险处理方式，确

15、定风险控制措施 处理措施实施：制定具体安全方案，部署控制措施33风险处理过程风险处理过程34v减低风险v转移风险v规避风险v接受风险常用的四类风险处置方法常用的四类风险处置方法35减低风险减低风险v通过对面临风险的资产采取保护措施来降低风险 v首先应当考虑的风险处置措施，通常在安全投入小于负面影响价值的情况下采用。v保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险。36减低风险的具体办法减低风险的具体办法v减少威胁源： 采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机；v减低威胁能力： 采取身份认证措施，从而抵制身份假冒这种威胁行为

16、的能力；v减少脆弱性： 及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；37减低风险的具体办法减低风险的具体办法v防护资产： 采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；v降低负面影响： 采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。38转移风险转移风险v通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。v通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。 39转移风险的具体做法转移风险的具体做法v在本

17、机构不具备足够的安全保障的技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险。v通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。 40规避风险规避风险v通过不使用面临风险的资产来避免风险。比如： 在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。 对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击。 v通常在风险的损失无法接受，又难以通过控制措施减低风险的情况下41接受风险接受风险v接受风险是选择对风险不采取进一步的处理措施，接受风险可能带来的结果。 v用于

18、那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。 v接受风险不意味着不闻不问，需要对风险态势变化进行持续的监控，一旦发展为无法接受的风险就要进一步采取措施。42风险管理工作内容风险管理工作内容监控审查监控审查沟通咨询沟通咨询43批准监督批准监督v批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定v监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险44批准监督过程批准监督过程45风险管理工作内容风险管理工作内容监控审查监控审查沟通咨询

19、沟通咨询46监控审查的意义监控审查的意义v 监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性。47监控审查过程监控审查过程48风险管理工作内容风险管理工作内容监控审查监控审查沟通咨询沟通咨询49沟通咨询沟通咨询v通过畅通的交流和充分的沟通，保持行动的协调和一致；通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能，就是沟通咨询的意义所在风险管理风险管理与领导沟通，以得到理解和批准。单位内部各有关部门相互沟通，以得到理解和协作。与支持单位和系统用户沟通，以得到了解和支持。为所有层面的

20、相关人员提供咨询和培训等，以提高人员的安全意识、知识和技能50沟通咨询过程沟通咨询过程51知识域：风险管理工作内容知识域：风险管理工作内容v知识子域：系统生命周期中的风险管理 掌握系统规划阶段的风险管理工作 掌握系统设计阶段的风险管理工作 掌握系统实施阶段的风险管理工作 掌握系统运行维护阶段的风险管理工作 掌握系统废弃阶段的风险管理工作52何时作风险管理何时作风险管理v信息安全风险管理是信息安全保障工作中的一项基础性工作 v是需要贯穿信息系统生命周期，持续进行的工作规规划划设设计计实实施施运运维维废废弃弃53 明确信息系统安全建设的目的,对信息系统安全建设实现的可能性进行分析论证分析论证并设计

21、设计出总体安全总体安全规划规划方案。 为了保证安全目标的实现，需要对信息系统规划阶段中可能引入安全风险的环节进行风险管理，从而降低在项目后期处理相同安全风险所带来的高额成本。规规划划设设计计实实施施运运维维废废弃弃系统规划阶段的信息安全风险管理目标系统规划阶段的信息安全风险管理目标54序号序号风险管理活动风险管理活动所处风险管理过程所处风险管理过程1明确安全总体方针背景建立2安全需求分析背景建立4风险评估准则达成一致风险评估5安全实现论证分析风险处理、批准监督系统规划阶段的信息安全风险管理系统规划阶段的信息安全风险管理55 依据规划阶段输出的总体安全规划方案来设计信设计信息系统安全的实现结构息

22、系统安全的实现结构（包括功能划分、接口协议和性能指标等）和实施方案和实施方案（包括实现技术、设备选型和系统集成等）。 在设计信息系统的实现结构和实施方案时，在技术的选择、配合、管理等众多的环节均容易引入安全风险，因此对关键的环节应提出必要的安全要求并有针对性地进行安全风险管理。规划规划设计设计实施实施运维运维废弃废弃风险管理的目标风险管理的目标56信息系统设计阶段的信息安全风险管理信息系统设计阶段的信息安全风险管理 序号序号风险管理活动风险管理活动所处风险管理过程所处风险管理过程1设计方案分析论证背景建立、风险评估2安全技术选择风险处理3安全产品选择风险处理4自开发软件设计风险处理 风险处理5

23、7v按照规划和设计阶段所定义的信息系统安全实施方案 采购采购设备和软件，开发开发定制功能 集成、部署、配置和测试集成、部署、配置和测试信息系统的安全机制 培训人员培训人员 对是否允许系统投入运行是否允许系统投入运行进行批准监督 。规划规划设计设计实施实施运维运维废弃废弃风险管理的目标风险管理的目标58信息系统实施阶段的风险管理信息系统实施阶段的风险管理 序号序号风险管理活动风险管理活动所处风险管理过程所处风险管理过程1安全测试风险评估2检查与配置风险处理3人员培训风险处理4授权系统运行批准监督59在信息系统经过授权投入运行之后，确保在运行过程中，以及信息系统或其运行环境发生变化时维维持系统的正

24、常运行和安全性持系统的正常运行和安全性。规划规划设计设计实施实施运维运维废弃废弃风险管理的目标风险管理的目标60信息系统运行维护阶段的风险管理信息系统运行维护阶段的风险管理 序号序号风险管理活动风险管理活动所处风险管理过程所处风险管理过程1安全运行和管理风险评估、风险处理2变更管理风险评估、风险处理3风险再评估风险评估、风险处理4定期重新审批批准监督61v确保对信息系统的过时或无用部分过时或无用部分进行安全报废安全报废处理处理，防止信息系统的安全要求和安全功能遭到破坏。规划规划设计设计实施实施运维运维废弃废弃风险管理的目标风险管理的目标62信息系统废弃阶段的风险管理信息系统废弃阶段的风险管理序

25、号序号风险管理活动风险管理活动所处风险管理过程所处风险管理过程1确定废弃对象背景建立2废弃对象的风险评估风险评估3废弃过程的风险处理风险处理4废弃后的评审批准监督63知识域：信息安全风险评估实践知识域：信息安全风险评估实践v知识子域：风险评估流程和方法 掌握国家对开展风险评估工作的政策要求 理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程：风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录 理解定量风险分析和定性风险分析的区别及优缺点 理解自评估和检查评估的区别及优缺点 掌握典型风险计算方法：年度损失值（ALE）、矩阵法、相乘法 掌

26、握风险评估工具：风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具64国家对开展风险评估工作的政策要求国家对开展风险评估工作的政策要求1 1、国家信息化领导小组关于加强信息安全保障国家信息化领导小组关于加强信息安全保障工作的意见工作的意见（中办发（中办发200327200327号）中明确提出号）中明确提出：“要重视信息安全风险评估工作，对网络与信要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等

27、因素，进性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理行相应等级的安全建设和管理” 65国家对开展风险评估工作的政策要求国家对开展风险评估工作的政策要求2 2、国家网络与信息安全协调小组国家网络与信息安全协调小组关于开展信关于开展信息安全风险评估工作的意见息安全风险评估工作的意见（国信办（国信办【20062006】5 5号文）中明确规定了风险评估工作的相关要号文）中明确规定了风险评估工作的相关要求：求： 风险评估的基本内容和原则风险评估的基本内容和原则 风险评估工作的基本要求风险评估工作的基本要求 开展风险评估工作的有关安排开展风险评估工作的有关安排66关于开展信息安全风

28、险评估工作关于开展信息安全风险评估工作的意见的意见的实施要求的实施要求1、信息安全风险评估工作应当贯穿信息系统全生命、信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施，其安全目标，有针对性地制定和部署安全措施，从而避免产生欠保护或过保护的情况。从而避免产生欠保护或过保护的情况。2、在信息系统建设完成验收时，通过风险评估工作、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设

29、计的安全功能可以检验信息系统是否实现了所设计的安全功能，是否满足了信息系统的安全需求并达到预期的，是否满足了信息系统的安全需求并达到预期的安全目标。安全目标。关于开展信息安全风险评估工作关于开展信息安全风险评估工作的意见的意见的实施要求的实施要求3、由于信息技术的发展、信息系统业务以及所处安、由于信息技术的发展、信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期进行信因此，在信息系统的运行阶段，应当定期进行信息安全风险评估，以检验安全措施的有效性以及息安全风险评估，以检验安全措施的有效性以及对安全环境的

30、适应性。当安全形势发生重大变化对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时进行信息或信息系统使命有重大变更时，应及时进行信息安全风险评估。安全风险评估。4、信息安全风险评估也是落实等级保护制度的重要、信息安全风险评估也是落实等级保护制度的重要手段，应通过信息安全风险评估为信息系统确定手段，应通过信息安全风险评估为信息系统确定安全等级提供依据，根据风险评估的结果检验网安全等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要络与信息系统的防护水平是否符合等级保护的要求。求。关于开展信息安全风险评估工作关于开展信息安全风险评估工作的意见的意

31、见的管理要求的管理要求1、信息安全风险评估工作敏感性强，涉及系统的关、信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引键资产和核心信息，一旦处理不当，反而可能引入新的风险，入新的风险，意见意见强调，必须高度重视信息强调，必须高度重视信息安全风险评估的组织管理工作安全风险评估的组织管理工作 2、为规避由于风险评估工作而引入新的安全风险，、为规避由于风险评估工作而引入新的安全风险，意见意见提出以下要求：提出以下要求：1）参与信息安全风险评）参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承

32、担相应的责任和义务。息安全的法律法规，并承担相应的责任和义务。2）风险评估工作的发起方必须采取相应保密措施）风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。约束力的保密协议。3）对关系国计民生和社会稳）对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。险评估工作必须遵循国家的有关规定进行。 关于开展信息安全风险评估工作关于开展信息安全风险评估工作的意见的意见的管理要求的管理要求3、加快制定和完善信息安全风险评

33、估有关技术标准、加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布，尽快完善并颁布信息安全风险评估指南信息安全风险评估指南和和信息安全风险管理指南信息安全风险管理指南等国家标准，各行业等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规主管部门也可根据本行业特点制定相应的技术规范。范。4、要加强信息安全风险评估核心技术、方法和工具、要加强信息安全风险评估核心技术、方法和工具的研究与攻关。的研究与攻关。 5、要从抓试点开始，逐步探索组织实施和管理的经、要从抓试点开始，逐步探索组织实施和管理的经验，验，用三年左右的时间用三年左右的时间在我国基础信息网络和重在我国基础信息网络和重要信

34、息系统普遍推行信息安全风险评估工作，全要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，提升网络面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力，为保障和促进我国信和信息系统安全保障能力，为保障和促进我国信息化发展服务。息化发展服务。 CNITSEC7120712071号文件对电子政务提出要求号文件对电子政务提出要求3 3、为落实、为落实国家电子政务工程建设项目管理暂行办国家电子政务工程建设项目管理暂行办法法（发改委（发改委200755200755号令）对风险评估的要求，号令）对风险评估的要求， 发改高技【发改高技【20082008】20712071号

35、文件号文件关于加强国家电子关于加强国家电子政务工程建设项目信息安全风险评估工作的通知政务工程建设项目信息安全风险评估工作的通知提出了具体要求：（相当于提出了具体要求：（相当于“信息安全审计信息安全审计”） 电子政务工程建设项目应开展信息安全风险评估工作电子政务工程建设项目应开展信息安全风险评估工作 评估的主要内容应包含：资产、威胁、脆弱性、已有的评估的主要内容应包含：资产、威胁、脆弱性、已有的安全措施和残余风险的影响等安全措施和残余风险的影响等 项目建设单位应在试运行期间开展风险评估工作，作为项目建设单位应在试运行期间开展风险评估工作，作为项目验收的重要依据项目验收的重要依据 项目验收申请时，

36、应提交信息安全风险评估报告项目验收申请时，应提交信息安全风险评估报告 系统投入运行后，应定期开展信息安全风险评估系统投入运行后，应定期开展信息安全风险评估CNITSEC72风险评估工作承担单位风险评估工作承担单位国家保密局涉密国家保密局涉密信息系统安全保信息系统安全保密测评中心密测评中心涉密系统涉密系统非涉密系统非涉密系统中国信息安全测评中国信息安全测评中心中心国家信息技术安全研国家信息技术安全研究中心究中心公安部信息安全等公安部信息安全等级保护中心级保护中心风险风险评估评估专业专业队伍队伍CNITSEC73需要强调：一次测评两个报告需要强调：一次测评两个报告v发改委要求：一次测评工作，提交两

37、个测评报告发改委要求：一次测评工作，提交两个测评报告，即风险评估报告和等保测评报告，即风险评估报告和等保测评报告v风险评估报告的格式由中国信息安全测评中心和风险评估报告的格式由中国信息安全测评中心和国家信息技术安全研究中心牵头制定，基本格式国家信息技术安全研究中心牵头制定，基本格式参照原国信办检查评估的报告参照原国信办检查评估的报告v等保测评报告的格式由等级保护的主管部门负责等保测评报告的格式由等级保护的主管部门负责制定制定风险评估、检查评估和等级保护测风险评估、检查评估和等级保护测评之间的关系评之间的关系v等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评，其中等保测评是符合国家安

38、全要求的测评，安全检查是符合行业主管安全要求的符合性测评。v而风险评估是在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。74风险评估实施流程风险评估实施流程75风险评估是风险评估是“健康体检健康体检”76资产威胁脆弱性现有控制措施人病毒病情预防措施风险评估健康体检风险优先级和风险控制建议病情诊断和药方 准备准备 识别识别 计算计算 报告报告 一个简化的风险评估流程：准备（Readiness）、识别（Realization）、 计算（Calculation）、报告（Report） 识别 n 资产 n 威胁 n 漏洞 准备 n 资料审核 n S

39、LA n 工作计划 n 组队 计算 n 威胁概率 n 事件影响 n 风险定级 报告 n 整改建议 n 各类文档 77 风险评估准备工作风险评估准备工作 准备工作中要注意的问题 n 相亲：前期交流（成功案例简介、测评机构资质简介、被 测系统 大致规模、 测评服务费用测算） n 订婚：服务水平协议SLA（获取详细资料的前提，对方的 授权、 双方的义务，可和保密协议整合） n 甲方礼单：资料审核（明确系统范围、为现场测评制订问卷清单） n 乙方礼单：工作计划（案例分析 综合组、管理组、网络组） n 迎亲：进场准备（进场通知，如对方或第三方人员；设备 准备， 如工具等，标识佩戴） 78 现场测评现场测

40、评 79现场测评工作要注意的问题 n 首次会议（必须），听取对方高管的情况简介，向被测单位有关人员说明此次任务、测评计划介绍、双方测评人 员的相互认识 n 问询技巧（直接提问，如业务重要性；间接提问，如安全 事件；反向提问，适合于所有方面） n 资料核对（拓扑核对，管理体系文档，设计文档，设备台 账） n 现场检测（测试过程记录、抓屏、数据提取） n 末次会议（必须），向对方高管简要总结现场测评的初步结论，但切忌做最终结论 80 资产识别资产识别 n 资产识别在整个风险评估中起什么作用？ 两点：是整个风险评估工作的起点和终点 n 资产识别的重点和难点是什么？ 一线：业务战略 信息化战略 系统特

41、征（管理/技术） n 资产识别的方法有哪些？ 资产分类：树状法。自然形态分类（勾画资产树：管理、技术逐步往下细化）；信息形态分类（信息环境、 信息载体、信息） 81按信息形态分类按信息形态分类 资产识别资产识别8283 威胁识别威胁识别 n 威胁识别与资产识别是何关系？ 点和面：重点识别和全面识别 n 威胁识别的重点和难点是什么？ 三问：“敌人”在哪儿？效果如何？如何取证？ n 威胁识别的方法有哪些？ 日志分析历史安全事件专家经验互联网信息检索威胁分类威胁分类v分为： 人为故意威胁 威胁意图评估、威胁能力评估、操作限制评估、威胁源特点评估 人为非故意威胁 判定威胁源、评估威胁源特点、评估威胁源

42、环境、评估事故发生时间 自然威胁 地震、海啸、洪水。8485 脆弱性识别脆弱性识别 n 脆弱性识别的难点是什么？ 三性：隐蔽性、欺骗性、复杂性 n 脆弱性识别的方法有哪些？ 脆弱性分类：管理脆弱性。 结构脆弱性（如安全域划分不当），操作脆弱性（如安全审计员业务生疏）；技术脆弱性。n 脆弱性识别与威胁识别是何关系？ 验证：以资产为对象，对威胁识别进行验证 脆弱性识别内容脆弱性识别内容86常见脆弱性识别工作方式常见脆弱性识别工作方式87脆弱性识别方式脆弱性识别方式工作对象工作对象安全配置核查服务器、网络设备、终端、中间件、应用软件漏洞扫描主机、应用程序渗透测试系统各个层面安全架构分析系统各个层面数

43、据流分析网络中的数据流访谈管理人员及系统开发、运维技术人员。现有安全控制措施识别现有安全控制措施识别v考虑： 防护性措施 威慑性措施 预警性措施 检测性措施 应急处理性措施88（二）风险分析（二）风险分析vGB/T 20984-2007 信息安全风险评估规范给出信息安全风险分析思路 89风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va )。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性； Ia表示安全事件所作用的资产价值；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事件发生后造成的损失。方法方法优点优点缺点缺点定性定性1.简

44、易的计算方式简易的计算方式2.不必精确算出资产价值不必精确算出资产价值3.不需得到量化的威胁发生率不需得到量化的威胁发生率4.非技术或非安全背景的员工也能轻非技术或非安全背景的员工也能轻易参与易参与5.流程和报告形式比较有弹性流程和报告形式比较有弹性1.本质上是非常主观的本质上是非常主观的2.对关键资产的财务价值评估对关键资产的财务价值评估参考性较低参考性较低3.缺乏对风险降低的成本分析缺乏对风险降低的成本分析定量定量 1. 结果建立在独立客观的程序或量化结果建立在独立客观的程序或量化指标上指标上2.大部分的工作集中在制定资产价值和大部分的工作集中在制定资产价值和减缓可能风险减缓可能风险3.主

45、要目的是做成本效益的审核主要目的是做成本效益的审核1.风险计算方法复杂风险计算方法复杂2.需要自动化工具及相当的基需要自动化工具及相当的基础知识础知识3.投入大投入大4.个人难以执行个人难以执行定量分析与定性分析定量分析与定性分析90定量分析方法定量分析方法v步骤1-评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和间接影响v步骤2-确定单一预期损失SLE SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失。 （SLE 类似于定性风险分析的影响。） 将资产价值与暴露系数相乘 (EF) 计算出 SLE。

46、暴露系数表示为现实威胁对某个资产造成的损失百分比。 v步骤3-确定年发生率ARO ARO 是一年中风险发生的次数.91定量分析方法（续）定量分析方法（续）v步骤4-确定年预期损失ALE ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。v步骤5-确定控制成本 控制成本就是为了规避企业所存在风险的发生而应投入的费用.v步骤6-安全投资收益ROSI (实施控制前的 ALE）（实施控制后的 ALE）（年控制成本）= ROSI92后果或影响的定性量度（示例）等级描述 详细情形 1可以忽略无伤害，低财务损失 2 较

47、小立即受控制，中等财务损失 3 中等 受控，高财务损失 4 较大大伤害，失去生产能力有较大财务损失 5灾难性持续能力中断，巨大财务损失定性分析方法定性分析方法93可能性的定性量度（示例）等级描述 详细情形 A几乎肯定预期在大多数情况发生 B很可能在大多数情况下很可能会发生 C可能在某个时间可能会发生 D不太可能在某个时间能够发生 E罕见仅在例外的情况下可能发生定性分析方法定性分析方法94风险分析矩阵风险程度 可能性可能性 后果后果可以忽略可以忽略1较小较小2中等中等3较大较大4灾难性灾难性5A（几乎肯定）（几乎肯定）HHEEEB （很可能）（很可能）MHH EEC ( 可能）可能）LMHEED

48、（不太可能）（不太可能）LLMHEE （罕见）（罕见）LLMHH E：极度风险 H：高风险 M：中等风险 L: 低风险定性分析方法定性分析方法95定性分析方法定性分析方法- -矩阵法矩阵法v根据预设的等级划分规则判定风险结果。v依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。 96定性分析方法定性分析方法- -相乘法相乘法v （1）计算安全事件发生可能性威胁发生频率：威胁T1=1；脆弱性严重程度：脆弱性V1=3。安全事件发生可能性=v （2）计算安全事件的损失资产价值：资产A1=4；脆弱性严重程度：脆弱性V1=3。计算安全事件的损失，安全事件损失=v （3）计算风险值安

49、全事件发生可能性=2；安全事件损失=3。安全事件风险值=v （4）确定风险等级 3311234612397定性分析与定量分析定性分析与定量分析98方法方法优点优点缺点缺点定量定量按经济影响排列风险优先级；按经济价值排列资产价值风险管理的效果以投资回报率衡量结果可用因管理而异的术语来表达（例如货币值和表达为具体百分比随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高 风险影响值以参与者的主观意见为基础取得风险一致意见的过程非常耗时。 计算可能会非常复杂且耗时。 风险结果以财务术语表达，对非技术性人员而言可能难以解释。 流程要求专业技术，因此参与者无法轻松通过流程获得指导。定性定性

50、风险排名具有可见性，易于理解。 更容易达成一致意见。 无需量化威胁发生频率。 无需确定资产的财务价值。 更便于不是安全或计算机专家的人员参与。 重要风险之间没有显著区别。因为没有成本效益分析，很难证明控制措施的投资是合理的。 结果取决于风险管理小组人员的主观判断。（三）风险评估工作形式（三）风险评估工作形式 信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。99 风险评估的工作形式风险评估的工作形式自评估自评估v 由发起方实施或委托风险评估服务技术支持方实施。v 优点： 有利于保

51、密 有利于发挥行业和部门内的人员的业务特长 有利于降低风险评估的费用 有利于提高本单位的风险评估能力与信息安全知识v 缺点 可能由于缺乏风险评估的专业技能，其结果不够深入准确；同时，受到组织内部各种因素的影响，其评估结果的客观性易受影响。v 建议方法 委托风险评估服务技术支持方实施的评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的限制，对被评估系统的了解，尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。100风险评估的工作形式风险评估的工作形式检查评估检查

52、评估v检查评估 是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。 v优点： 最具权威性。 通过行政手段加强信息安全的重要措施。v缺点： 间隔时间较长，一般是抽样进行，难于贯穿信息系统的生命周期。101（四）风险评估工具（四）风险评估工具v风险评估与管理工具 一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经验，对输入输出进行模型分析。v系统基础平台风险评估工具 主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击。v风险评估辅助工具 实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据。102知识域：信息安全风险评估实践知识域：信息安全风险评估实践v知识子域：风险分析实例 了解典型信息系统风险评估实