对信息安全风险评估思考ppt课件

1、对信息平安风险评价的思索上海上讯信息系统工程平安咨询事业部黄永飞 平安咨询顾问.风险评价信息平安风险评价 What ? Why ? How ?问题思索.问题思索信息平安风险评价 What .信息平安风险评价是什么？ 信息平安风险评价就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的要挟及其存在的脆弱性，评价平安事件一旦发生能够呵斥的危害程度，提出有针对性的抵御要挟的防护对策和整改措施，以防备和化解风险，或者将剩余风险控制在可接受的程度，从而最大限制地保证网络与信息平安。信息系统的平安风险是指由于系统存在的脆弱性，人为或自然的要挟导致平安事件发生的能

2、够性及其呵斥的影响。.平安风险评价是什么？人们经常会提出这样一些问题：什么地方、什么时间能够出问题？出问题的能够性有多大？这些问题的后果是什么？应该采取什么样的措施加以防止和弥补？总是试图找出最合理的答案，这一过程实践上就是风险评价。早在上个世纪初期，科学家就已开场研讨风险管理实际。.问题思索信息平安风险评价 Why .“三分技术，七分管理，我们的员工平安认识如何？依托现有的平安产品能否可以处理如今的平安问题？现有的平安产品能否真正的起到了作用？假设发生平安事故，我们能否在最短时间内恢复业务系统？对未来的网络扩展和平安配置晋级有没有前瞻性的规划？能否更多的节约投入本钱？ 。问题思索.信息平安风

3、险评价的意义风险评价是分析确定风险的过程信息平安风险评价是信息平安建立的起点和根底信息平安风险评价是需求主导和突出重点原那么的详细表达注重风险评价是信息化比较兴隆国家的根本阅历.风险评价是分析确定风险的过程任何系统的平安性都可以经过风险的大小来衡量。科学分析系统的平安风险，综合平衡风险和代价的过程就是风险评价。信息平安风险评价的意义.信息平安风险评价的意义信息平安风险评价是风险评价实际和方法在信息系统中的运用，是科学分析了解信息和信息系统在性、完好性、可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。信息平安风险评价是信息平安建立的起

4、点和根底.信息平安风险评价的意义一切信息平安建立都应该是基于信息平安风险评价，只需在正确地、全面地了解风险后，才干在控制风险、减少风险、转移风险之间作出正确的判别，决议调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。.信息平安风险评价的意义假设说信息平安建立必需从实践出发，坚持需求主导、突出重点，那么风险评价需求分析就是这一原那么在实践任务中的重要表达。从实际上讲风险总是客观存在的。平安是平安风险与平安建立管理代价的综合平衡。信息平安风险评价是需求主导和突出重点原那么的详细表达.信息平安风险评价的意义不思索风险的信息化是要付出代价有时代价能够很高，甚至难以接受 .信息平安风险

5、评价的意义不计本钱、片面地追求绝对平安、试图消灭风险或完全防止风险是不现实的，也不是需求主导原那么所要求的。坚持从实践出发，坚持需求主导、突出重点，就必需科学地评价风险，有效控制风险。.信息平安风险评价的意义上个世纪70年代，美国政府就发布了。其后公布的关于信息平安根本政策文件明确提出了信息平安风险评估的要求，要求联邦政府部门根据信息和信息系统所面临的风险，根据信息丧失、滥用、泄露、未授权访问等呵斥损失的大小，制定、实施信息平安方案，以保证信息和信息系统应有的平安。 注重风险评价是信息化比较兴隆国家的根本阅历.信息平安风险评价的意义英国规范化协会BSI1995年公布了BS 7799，BS 77

6、99分为两个部分： BS 7799-1和BS 7799-2 。2002年又公布了BS 7799-2:2002。它将信息平安管理的有关问题划分成了10个控制要项、36 个控制目的和127 个控制措施。目前，在BS77992中，提出了如何了建立信息平安管理体系的步骤。在信息平安管理体系的中心部位是风险评价和风险管理。目前，全球经过BS7799认证的数量达450家左右，其中绝大部分分布在欧洲和亚洲，整个中国地域包括香港和台湾在内经过BS7799认证的数量近20家。.为用户提供具有针对性的平安产品和平安技术给用户提供量化的信息资产价值列表和资产风险列表可全面和有条理地向管理层反映现有的信息科技平安风

7、险和所需的平安保证措施为决策和政策思索提供不同的处理方案，使信息科技平安管理可以从战略性的层面推行 为日后比较信息科技平安措施的变化提供根据 信息平安风险评价的意义-总结.问题思索信息平安风险评价 How .问题思索信息平安风险评价怎样实施？信息平安风险评价实施前需求预备什么？信息资产的属性怎样进展量化？发现信息资产的弱点后怎样进展补救?.信息平安风险评价方法风险评价的预备资产识别要挟识别脆弱性识别设计处理方案工程规划风险评价的预备.风险评价的预备 确定范围 范围能够是组织全部的信息和信息系统，能够是单独的信息系统，能够是组织的关键业务流程，也能够是客户的知识产权。 确定目的 目的根本上来源于

8、组织业务继续开展的需求、满足相关方的要求、满足法律法规的要求等方面。 确定组织构造 组织构造的建立应思索其构造和复杂程度，以保证可以满足风险评价的范围、目的。. 确定方法 应思索评价的范围、目的、时间、效果、组织文化、人员素质以及详细开展的程度等要素来确定，使之可以与组织的环境和平安要求相顺应。 获得最高管理者同意 上述一切内容应得到组织的最高管理者的同意，并对管理层和员工进展传达。风险评价的预备(续.信息平安风险评价方法风险评价的预备资产识别要挟识别脆弱性识别设计处理方案工程规划资产识别.资产分类类别.资产赋值原那么信息资产的价值取决于：严密性完好性可用性信息资产的价值随时间改动信息资产的价

9、值随资产相关性变化.信息资产赋值过程 性、完好性和可用性的价值分别赋值影响威胁C1. 竞争劣势 当本业务系统内的信息数据被竞争者得知时，将会造成何种程度的损失？01234C2. 直接业务损失当本业务系统内涵盖的信息资产被被不适当揭露时，可能着成企业业务的损失程度？01234C3. 公众信心本业务系统内的信息数据被不适当泄露时，公司在客户的信任度、公众形象、股东或供应商的忠诚度上所招受到的损失？01234C4. 额外成本本业务系统内的信息数据被不适当泄露时可能造成的额外成本负担？01234C5. 法律责任本业务系统内的信息数据被不适当泄露时，可能造成法律、规定或合约上的影响？01234C6. 员

10、工士气本业务系统内的信息数据被不适当泄露时，可能对员工士气造成的影响？01234C7. 欺诈行为本业务系统内的信息数据被不适当泄露时，企业商品或资金可能被不当的转移？01234結果请选择上列因素中会造成最严重损失的评估结果01234.信息平安风险评价方法风险评价的预备资产识别要挟识别脆弱性识别设计处理方案工程规划要挟识别.平安要挟 要挟种类是对系统、组织及其资产构成潜在破坏才干的能够性要素或者事件IDS事件采集历史事件数据顾问访谈平安战略分析见下页平安审计权威组织的统计数据获取方法要挟定义.攻击类型阐明被动攻击被动攻击包括分析通讯流，监视未被维护的通讯，解密弱加密通讯，获取鉴别信息比如口令。被

11、动攻击能够呵斥在没有得到用户赞同或告知用户的情况下，将信息或文件泄露给攻击者。这样的例子如泄露个人的信誉卡号码和医疗档案等。自动攻击自动攻击包括试图阻断或攻破维护机制、引入恶意代码、偷窃或篡改信息。自动进攻能够呵斥数据资料的泄露和散播，或导致回绝效力以及数据的篡改改。物理临近攻击是指一未被授权的个人，在物理意义上接近网络、系统或设备，试图改动、搜集信息或回绝他人对信息的访问。内部人员攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当运用，或使他人的访问遭到回绝；后者指由于大意、无知以及其它非恶意的缘由而呵斥的破坏。软硬件装配分发攻击指在工厂消费或分销过程中对硬件和软

12、件进展的恶意修正。这种攻击能够是在产品里引入恶意代码，比如后门。主要有哪些攻击？.信息平安风险评价方法风险评价的预备资产识别要挟识别脆弱性识别设计处理方案工程规划脆弱性识别.平安弱点平安弱点是系统可以被利用从而导致资产发生损失的特性网络扫描上机检查平安战略评价网络架构评价技术类，比如OS破绽，防火墙错误配置等管理类，比如没有平安战略、详细担任人、审核流程等业务方式类，比如充值卡业务，非实名制业务等运用软件评价数据库评价弱点种类获取方法弱点定义.信息平安风险评价方法风险评价的预备资产识别要挟识别脆弱性识别设计处理方案工程规划设计处理方案.风险RISKRISKRISKRISK风险-就是为了把企业的

13、风险降到可接受的程度根本的风险采取措施后剩余的风险资产要挟破绽资产要挟破绽实施平安处理方案.信息平安风险评价方法风险评价的预备资产识别要挟识别脆弱性识别设计处理方案工程规划工程规划.工程规划方法实施难易程度预期效果紧迫性可实施性工程规划综合分析.工程紧迫性分析要挟强度多大可以呵斥危害，难易度分布范围大小层次影响范围大小直接危害的严重程度间接危害的严重程度破坏后的恢复时间破坏后恢复的耗费最近6个月问题发现的频度最近一次发现问题的间隔.工程可实施性分析外部战略允许程度内部管理条件能否具备技术成熟度内部技术条件能否具备外部支持条件能否具备 .其他分析如前文.紧迫性如前文.可实施性技术难度资金投入大小

14、时间投入长短人力投入大小和人员素质要求外部支持资源的复杂度对企业战略的触动大小对组织管理的触动大小对运作规定和习惯的触动大小实施难易程度见效速度对于平安性的直接效果评价对于业务的直接促进对于其他平安建立工程的支持对平安战略完善的促进对平安组织完善的促进对人员平安素质的促进对平安管理运作规范化的促进 预期效果.124561-工程预备与范围确定工程交流需求调研，背景讨论范围确定工程方案2-工程定义和蓝图Kickoff meeting资产信息搜集完成详细方案设计确定风险评价模型完成蓝图并与用户签署6-支持和维护工程初验修复和加固协助二次验证评价热线支持其他效力35-风险综合和处理方案平安风险综合分析输出平安评价报告设计平安处理方案建议工程实施主要阶段3-现状调研与分析根本信息调查业务流程分析数据流分析资产赋值4-平安风险评价平安要挟评价网络架构平安评价设备平安评价运用软件平安评价平安战略环境评价.12356工程方案工程蓝图平安风险评价报告4平安要挟