Lecture信息安全测评与风险评估教学课件

1、 交流提纲 “天问” 简史 对比 原理 方法 展望 第1页，共30页。虚拟空间的困惑 第2页，共30页。那只“虚拟的苹果”在哪里 “上帝”创造的宇宙空间我们认识，人类创造的网络空间我们却很陌生 孙子说“知己知彼 百战不殆”，我们是谁？敌人在哪里？ 如果发生“网络大地震”，谁来营救我们？ “圜则九重，孰营度之？” 何为风险？ “网际空间的人造现象与美国军队从事军事行动的其他空间完全不同。国防部将持续不断的探索网际空间的独有特征的含义，为美军在其中采取军事行动制订相应的政策。”美国国防部四年防务评估报告2010年2月第3页，共30页。 虚拟世界中的“天问” 亘古之初，焉有君臣？ 网络之中，孰敌孰友

2、？ 倾巢之下，完卵安在？ 九天之上，何以准绳？ 第4页，共30页。风险评估简史 第5页，共30页。风险的演化：人类社会的缩影？ 中 世 纪 Risk：海上贸易 引发的法律纠纷 七 十 年 代 石油危机引发的 能源风险 八 十 年 代 金融衍生品 引发的金融风险 九 十 年 代 PC机及互联网的广泛 应用引发的信息安全风险 第6页，共30页。 1995年 兰德公司 1995年6月3日和1996年3月23日，美国国防部DARPA与RAND公司在美军国防大学等地采用“The Day Afterin Cyberspace”方法组织了两次信息战战略大演习。飞行控制软件出现故障，AB-340航班坠毁200

3、0年5月22日英格兰银行转账系统出现故障2000年5月14日沙特阿拉伯公共电话网中断，肇事者不详2000年5月11日预想事件预想时间网际风暴I演习2006（国家层面）网际风暴II演习2008（洲际层面） 网际风暴III演习 2010 （? 层面） 第7页，共30页。主要标准对比 第8页，共30页。 NIST SP 800-30 2002年，NIST根据美国计算机安全法案（1987）和信息技术管理改革法案（1996）的要求，颁布了IT系统风险管理指南（NIST SP 800-30），回答了以下核心问题： RA的定位：系统开发生命周期（SDLC）过程中，RA如何介入 RA方法论：风险评估的方法和9

4、个步骤 RA的效果：风险减缓策略、风险控制种类、效费比 RA的实践：最佳实践、RA取得成功的关键要素NIST SP 800-30是我国信息安全风险评估规范（GB/T 209842007）的主要参考标准之一（NIST SP 80026已在FY 2007/FISMA报告中被撤销）第9页，共30页。 NIST 800-30：三风 风险评估报告第九步：结果记录推荐的控制措施第八步：控制建议风险及相关风险水平第七步：风险计算威胁利用可能性、影响级别、已有和计划控制的充分性影响赋值第六步：影响分析（CIA）任务影响分析、资产关键性评估，数据关键性、敏感性可能性赋值第五步：可能性计算威胁源动机、能力，脆弱性

5、特点、目前的控制措施已有的和计划中的控制清单第四步：安全控制分析目前的控制、计划中的控制潜在脆弱性的清单第三步：脆弱性识别以往的风评报告、审计结论、安全需求、安全测试结果威胁报告第二步：威胁识别系统受攻击的历史，来自于情报机关及其它部门的数据系统边界、功能、系统和数据的关键性、系统和数据的敏感性第一步：系统分析软硬件、系统界面、数据、信息、人员、系统任务输出风评步骤输入风险识别 风险分析 风险报告第10页，共30页。NIST 800-30 与 GB/T 20984-2007 评估准备 风险计算 接受接受 保持现状 是 残余风险控制 否否 风险管理 是 资产识别 威胁识别 脆弱性识别 已有安全措

6、施确认 过程 文档 过程 文档 过程 文档 GB/T 20984-2007 风险评估流程 第11页，共30页。原理 化繁为简 第12页，共30页。 准备 识别 计算 报告 一个简化的风险评估流程：准备（Readiness）、识别（Realization）、 计算（Calculation）、报告（Report） 识别 资产 威胁 漏洞 准备 资料审核 SLA 工作计划 组队 计算 威胁概率 事件影响 风险定级 报告 整改建议 各类文档 第13页，共30页。工程 艺术 方法第14页，共30页。 风险评估准备工作 准备工作中要注意的问题 相亲：前期交流（成功案例简介、测评机构资质简介、被 测系统 大

7、致规模、 测评服务费用测算） 订婚：服务水平协议SLA（获取详细资料的前提，对方的 授权、 双方的义务，可和保密协议整合） 甲方礼单：资料审核（明确系统范围、为现场测评制订问卷清单） 乙方礼单：工作计划（案例分析 综合组、管理组、网络组） 迎亲：进场准备（进场通知，如对方或第三方人员；设备 准备， 如工具等，标识佩戴） 第15页，共30页。 现场测评 现场测评工作要注意的问题 首次会议（如有必要），听取对方高管的情况简介，向被 测单位有关人员说明此次任务、测评计划介绍、双方测评人 员的相互认识 问询技巧（直接提问，如业务重要性；间接提问，如安全 事件；反向提问，适合于所有方面） 资料核对（拓扑

8、核对，管理体系文档，设计文档，设备台 账） 现场检测（测试过程记录、抓屏、数据提取） 末次会议（如有必要），向对方高管简要总结现场测评的 初步结论，指出优缺点，但暂不做最终结论 第16页，共30页。 资产识别 资产识别在整个风险评估中起什么作用？ 两点：是整个风险评估工作的起点和终点 资产识别的重点和难点是什么？ 一线：业务战略 信息化战略 系统特征（管理/技术） 资产识别的方法有哪些？ 资产分类：树状法。自然形态分类（勾画资产树：管理、技 术逐步往下细化）；金字塔法。信息形态分类（信息环境、 信息载体、信息） 资产安全性赋值：CIA（5级） 资产重要性分级：5级（很高、高、中等、低、很低）

9、模糊定性半定性半定量精确定性 第17页，共30页。金字塔法：按信息形态分类 第18页，共30页。 资产识别效果图：礼花模型 机构业务战略 信息化战略 信息系统 资产识别 资产分类 资产A：1 级资产B：4 级资产E：5 级资产D：3 级 案例分析 第19页，共30页。 威胁识别 威胁识别与资产识别是何关系？ 点和面：重点识别和全面识别 威胁识别的重点和难点是什么？ 三问：“敌人”在哪儿？效果如何？如何取证？ 威胁识别的方法有哪些？ 威胁分类：植树与剪枝。威胁源、攻击树（查阅主要的数据 库，如CERT/CNCERT/CVE）；金字塔法。根据信息形态分 类（信息环境、信息载体、信息）来分析威胁源。

10、 威胁严重性赋值：威胁出现的频率是赋值的重要依据，但不是 唯一依据。例如陨石撞地球。 威胁严重性分级：5级（很高、高、中等、低、很低） 浓 雾 半定性半定量 薄 雾 第20页，共30页。 信息环境 信息载体 信息 环境威胁 载体威胁 信息威胁 环境威胁 载体威胁 信息威胁 威胁识别效果图：群山模型 案例分析 第21页，共30页。 脆弱性识别 脆弱性识别的难点是什么？ 三性：隐蔽性、欺骗性、复杂性 脆弱性识别的方法有哪些？ 脆弱性分类：管理脆弱性。 结构脆弱性（如安全域划分不当），操作脆弱性（如安全审计员业务生疏）；技术脆弱性。在线测试、离线测试（仿真测试）脆弱性分级：5级（很高、高、中等、低、

11、很低） 模糊定性半定性半定量精确定性 脆弱性识别与威胁识别是何关系？ 验证：以资产为对象，对威胁识别进行验证 第22页，共30页。脆弱性识别效果图：双星模型 离线测试 在线测试 案例分析 第23页，共30页。风险计算 安全事件发生 的可能性 安全事件发生 造成的损失 风险值 第24页，共30页。资产识别 威胁识别 脆弱性识别 资产价值 脆弱性 严重程度 威胁频率 安全事件 造成的损失 安全事件 可能性 风险分析示意图 风险值 GB/T 20984-2007 风险分析原理图 从柔到刚再到柔 第25页，共30页。 风险评估报告 评估报告要注意的问题 主报告与附件的关系（决策者阅读要点/技术人员阅读细节） 安全措施确认与剩余风险分析的关系（新三年 旧三年 缝缝补 补又三年） 专家评审与报告签署授权的关系 评估报告撰写艺术 统一的格式（有利于今后进行基线、基准统计） 全方位的效果展示（图例、表例、动画演示） 第26页，共30页。未来展望 第27页，共30页。 FISMA/NIST风险管理框架 安全生命周期 SP 80039 信息系统分类 SP 80060 安全控制选择 SP 80053 安全控制