信息安全风险管理课件讲义

本节内容信息安全风险的引入1信息安全风险的相关概念2信息安全风险的基本要素3信息安全风险管理的实施

4信息安全风险评估现状

5本节内容信息安全风险的引入1信息安全风险的相关概念2信息安全第三章信息安全风险管理1风险是事件未来可能结果发生的不确定性风险是损失发生的不确定性风险是指可能发生损失的损害程度的大小风险是指损失的大小和发生的可能性

风险是由风险构成要素相互作用的结果1、信息安全风险的引入第三章信息安全风险管理1风险是事件未来可能结果发生的不确第三章信息安全风险管理12007年4月22日至27日，国际标准化组织技术管理局风险管理工作组（ISO/TMB/WG

Risk

Management）在加拿大渥太华召开了第四次工作组会议。“风险”：不确定性对目标的影响（effectofuncertaintyonobjectives）。该定义克服了其他国家对“风险”定义过于狭窄、不准确等弊端，直指风险的本质，准确、全面、易于理解、便于应用。1、信息安全风险的引入第三章信息安全风险管理12007年4月第三章信息安全风险管理11、信息安全风险的引入信息安全的不确定性第三章信息安全风险管理11、信息安全风险的引入信息安全的第三章信息安全风险管理11、信息安全风险的引入信息安全的不确定性第三章信息安全风险管理11、信息安全风险的引入信息安全的1、信息安全风险的引入绝对安全冗余的安全措施；低效的安全投资；紧张的安全管理人员；对员工的不信任感。第三章信息安全风险管理11、信息安全风险的引入绝对安全冗余的安全措施；第三章信息？如何确切掌握网络和信息系统的安全程度；？安全威胁来自何方；？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；？已采取的信息安全措施是否有效。适度安全第三章信息安全风险管理11、信息安全风险的引入？如何确切掌握网络和信息系统的安全程度；适度安全第三章信第三章信息安全风险管理11、信息安全风险的引入安全是相对的，风险是绝对的；安全强度与安全代价寻求平衡点；安全与开放寻求平衡点。第三章信息安全风险管理11、信息安全风险的引入安全是相对1、信息安全风险的引入以风险评估为安全建设的出发点。它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，采取成本－效益平衡的原则。第三章信息安全风险管理11、信息安全风险的引入以风险评估为安全建设的2、信息安全风险的相关概念第三章信息安全风险管理1“风险”：不确定性对目标的影响（effectofuncertaintyonobjectives）。目标不确定性影响2、信息安全风险的相关概念第三章信息安全风险管理1“风险2、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。“风险”：不确定性对目标的影响（effectofuncertaintyonobjectives）。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。威胁（Threat）指可能对资产或组织造成损害的事故的潜在原因。威胁的属性：威胁的主体（威胁源）、能力、资源、动机、途径、可能性等。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。脆弱性（Vulnerability）就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产（Asset）就是被组织赋予了价值、需要保护的有用资源。

每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1资产（Asset）就是被组织赋予了价值、需要保护的有用资源。信息资产：数据库和数据文件等软件资产：应用软件、系统软件等物理资产：计算机设备、通信设备等服务：计算和通信服务、通用公用事业等人力资源：人员及他们的资格、技能和经验等无形资产：组织的声誉和形象等2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1信息资产：数据库和数据文件等信息资产的分类信息的标识和处置2、信息安全风险的相关概念第三章信息安全风险管理1信息资2、信息安全风险的相关概念第三章信息安全风险管理1资产价值（Thevalueofasset）为明确对资产的保护对其进行估价，其价值大小既要考虑其自身价值，也要考虑其对组织机构业务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。资产价值体现了其对一个机构的业务的重要程度。2、信息安全风险的相关概念第三章信息安全风险管理1资产价2、信息安全风险的相关概念第三章信息安全风险管理1风险评估（RiskAssessment）对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。2、信息安全风险的相关概念第三章信息安全风险管理1风险评3、信息安全风险的基本要素第三章信息安全风险管理1ISO/IEC133353、信息安全风险的基本要素第三章信息安全风险管理1ISO3、信息安全风险的基本要素第三章信息安全风险管理1图示：A（Asset）：资产V（Vulnerability）：脆弱性T（Threat）：威胁S（Safeguard）：保护措施R（ResidualRisk）：残余风险C（Constrains）：约束ISO/IEC13335安全要素之间的关系3、信息安全风险的基本要素第三章信息安全风险管理1图示：3、信息安全风险的基本要素第三章信息安全风险管理13、信息安全风险的基本要素第三章信息安全风险管理13、信息安全风险的基本要素第三章信息安全风险管理1资产业务战略/使命资产价值依赖具有成本未被满足脆弱性威胁暴露利用安全需求导出被满足安全措施抵御降低风险增加增加安全事件残余风险演变《信息安全风险评估指南》3、信息安全风险的基本要素第三章信息安全风险管理1资产业3、信息安全风险的基本要素第三章信息安全风险管理1残余风险（ResidualRisk）：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。残余风险的提出风险不可能完全消除风险不必要完全消除残余风险应受到密切监视,因为它可能会在将来诱发新的事件3、信息安全风险的基本要素第三章信息安全风险管理1残余风4、信息安全风险管理的实施第三章信息安全风险管理1

风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。风险管理——考虑控制费用与风险之间的平衡4、信息安全风险管理的实施第三章信息安全风险管理1风险评估对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。风险评估4、信息安全风险管理的实施第三章信息安全风险管理1生命周期阶段阶段特征来自风险管理活动的支持阶段1—规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2—设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3—集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。4、信息安全风险管理的实施第三章信息安全风险管理1生命周4、信息安全风险管理的实施第三章信息安全风险管理1阶段4—运行和维护信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动。阶段5—废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。4、信息安全风险管理的实施第三章信息安全风险管理1阶段44、信息安全风险管理的实施第三章信息安全风险管理1角色责任国家信息安全主管机关制定风险评估的政策、法规和标准督促、检查和指导业务主管机关提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的风险评估工作4、信息安全风险管理的实施第三章信息安全风险管理1角色责4、信息安全风险管理的实施第三章信息安全风险管理1信息系统拥有者制定安全计划，报上级审批组织实施信息系统自评估工作配合检查评估或委托评估工作，并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全措施，控制信息安全风险信息系统承建者根据对信息系统建设方案的风险评估结果，修正安全方案，使安全方案成本合理、积极有效，在方案中有效地控制风险规范建设，减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证4、信息安全风险管理的实施第三章信息安全风险管理1信息系4、信息安全风险管理的实施第三章信息安全风险管理1信息系统安全评估机构提供独立的风险评估对信息系统中的安全措施进行评估，以判断（1）这些安全措施在特定运行环境中的有效性；（2）实现了这些措施后系统中存在的残余风险提出调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，控制风险保护风险评估中获得的敏感信息，防止被无关人员和单位获得信息系统的关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料4、信息安全风险管理的实施第三章信息安全风险管理1信息系4、信息安全风险管理的实施第三章信息安全风险管理1风险评估的一般工作流程4、信息安全风险管理的实施第三章信息安全风险管理1风险评5、信息安全风险管理现状第三章信息安全风险管理15、信息安全风险管理现状第三章信息安全风险管理1一、国际信息安全风险管理动态（一）美国：独占鳌头，加强控管（二）欧洲：不甘落后，重在预防（三）亚太：及时跟进，确保发展（四）国际组织：积极配合，重在规范5、信息安全风险管理现状一、国际信息安全风险管理动态（一）美国：独占鳌头，加强控管5（一）美国：独占鳌头，加强控管制定了从军政部门、公共部门和私营领域的风险管理政策和指南形成了军、政、学、商分工协作的风险管理体系国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制5、信息安全风险管理现状（一）美国：独占鳌头，加强控管制定了从军政部门、公共部门和私DOD：风险评估的领路者1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。1987年，第一次对新发布的《计算机安全法》的执行情况进行部门级评估1997年，美国国防部发布《国防部IT安全认证认可过程》（DITSCAP）；2000年，国家安全委员会发布了《国家信息保障认证和认可过程》（NIACAP）2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估5、信息安全风险管理现状DOD：风险评估的领路者1967年，DOD开始研究计算机安全DOC/NIST：风险评估的推动者2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》（SP800-26）2002年，NIST发布了《IT系统风险管理指南》（SP800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估。5、信息安全风险管理现状DOC/NIST：风险评估的推动者2000年，NIST在《联DOC/NIST：风险评估的推动者从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP800-37）、《联邦信息和信息系统的安全分类标准》（FIPS199）、《联邦IT系统最小安全控制》（SP800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP800-60）等多个文档，以风险思想为基础加强联邦政府的信息安全。5、信息安全风险管理现状DOC/NIST：风险评估的推动者从2002年10月开始，N学术界：风险评估的探索者美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。如卡内基梅隆大学：SSE-CMM：信息安全工程能力成熟度模型OCTAVE：发布了OCTAVE框架，属于自主型信息安全风险评估方法。5、信息安全风险管理现状学术界：风险评估的探索者美国政府通过信息安全商业界：风险评估的实践者工具公司成熟度功能标准RiskPAC美国CSCI公司成熟产品主要进行定性和定量风险评估RiskWatch美国RiskWatch公司成熟产品，有一定客户群综合各类相关标准进行风险评估和风险管理各类信息安全相关标准XACTA美国XACTA公司成熟产品，有一定客户群主要依据NIACAP、DITSCAP进行C&A过程主要依据ISO17799、NIACAP、DITSCAP5、信息安全风险管理现状商业界：风险评估的实践者工具公司成熟度功能标准RiskPAC（二）欧洲：不甘落后，重在预防1、“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略2、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路3、欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒，值得关注5、信息安全风险管理现状（二）欧洲：不甘落后，重在预防1、“趋利避害”一直是欧洲各国英国：BS7799享誉全球英国BSI推出BS7799，分为两个部分：“BS7799-1:1999信息安全管理实施细则”、“BS7799-2:2002信息安全管理体系规范”，英国CCTA开发了CRAMM风险评估工具，完全遵循BS7799。英国C&A系统安全公司推出了COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）工具，由一系列风险分析、咨询和安全评价工具组成。5、信息安全风险管理现状英国：BS7799享誉全球英国BSI推出BS7799，分为德国：日尔曼人的“基线”防御《德国联邦IT基线防护手册（ITBPM）》以严谨、周密而得名；1991年，德国建立信息安全局(BSI)，主要负责政府部门的信息安全风险管理和评估工作。1997年，颁布《信息和通信服务规范法》风险评估在方法上基本遵循BS

7799。5、信息安全风险管理现状德国：日尔曼人的“基线”防御《德国联邦IT基线防护手册（IT欧盟的CORAS项目2001年至2003年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的11个机构，历时3年时间，完成了安全关键系统的风险分析平台项目CORAS，使用UML建模技术，开发了一个面向对象建模技术的风险评估框架。一期完成之后，欧盟继续投资为期三年的二期项目COMA，2007年完成。5、信息安全风险管理现状欧盟的CORAS项目2001年至2003年，欧盟投资，四个欧CORAS：欧洲经典CORAS：欧洲经典（三）亚太：及时跟进，确保发展日本：在风险管理方面综合美国和英国的做法，建立了“安全管理系统评估制度”(ISMS)，作为日本标准(JIS)，启用了ISO／IECl7799-1(BS7799)；韩国：主要参照美国的政策和方法；新加坡：主要参照英国的做法，在信息安全风险评估方面依据BS

7799。5、信息安全风险管理现状（三）亚太：及时跟进，确保发展日本：在风险管理方面综合美国和ISO：专业的普通话ISO/IEC13335《IT安全管理指南》ISO/IEC17799ISO

27000系列ISO

27000信息安全管理体系基本原理和词汇ISO

27001信息安全管理体系要求ISO

27002信息安全管理实践准则ISO

27003信息安全管理实施指南ISO

27004信息安全管理的度量指标和衡量ISO

27005信息安全风险管理指南ISO

27006信息和通信技术灾难恢复和服务指南ISO/IEC21827:2002(SSE-CMM)：信息安全工程能力成熟度模型ISO/IEC15408：IT安全评估通用准则（CC）5、信息安全风险管理现状ISO：专业的普通话ISO/IEC13335《IT安全管理ITU：产业的风向标在安全体系和框架方面主要维护X.8xx系列标准：在信息安全管理方面已发布：《ITU-TX.1051信息安全管理系统——通信需求（ISMS-T）

》在安全通讯业务方面涉及所有网络与信息安全，主要集中在移动通信安全、P2P安全认证、Web服务安全等等。已发布标准“ITU-TX.1121移动端到端数据通信安全技术框架”、“ITU-TX.1121基于PKI实施安全移动系统指南。”5、信息安全风险管理现状ITU：产业的风向标在安全体系和框架方面主要维护X.8xx系二、国内信息安全风险管理情况（一）总体态势：起步较晚，发展很快（二）市场状况：需求迫切，形势喜人5、信息安全风险管理现状二、国内信息安全风险管理情况（一）总体态势：起步较晚，发展很（一）总体态势：起步较晚，发展较快国信办从国家层面强力推动各部委各司其职，积极呼应国内企业在技术、服务方面及时跟进国外企业利用技术和市场优势乘势而入5、信息安全风险管理现状（一）总体态势：起步较晚，发展较快国信办从国家层面强力推动5国信办强力推动2003年，27号文，强调“要重视信息安全风险评估工作”2004年，完成风险评估研究报告与标准草案2005年，开展风险评估试点工作2006年１月，出台5号文件，提出开展信息安全风险评估工作的意见2006年8月-9月，开展风险评估检查工作2006年10月，总书记批示“加快专控队伍建设”，“风险评估工作要制度化”从2007年起，对”8＋2“系统开始实行制度化的风险评估。5、信息安全风险管理现状国信办强力推动2003年，27号文，强调“要重视信息安全风险各部委积极响应公安部主力推动“等级保护”工作；保密局对涉密网络和信息系统提出相应风险管控要求；发改委、科技部、信息产业部等持续在科研和产业化投入方面予以支持；国防科工委加强安全风险管理的体制、机制和建制工作；信息安全标准化工作重点支持风险评估/管理；各相关部门在积极开展风险管理方面的政策制定、技术研究和评估实践。5、信息安全风险管理现状各部委积极响应公安部主力推动“等级保护”工作；5、信息安全风以中国信息安全测评中心为例1999-2004年，开展了信息系统安全性评估工作，对网上证券、网上银行、党政机关等数十个信息系统颁发了证书2003-2005年，连续两期承担了国家863风险评估研究课题，同时完成了多项国家信息安全风险评估相关标准的研制工作2005年起，参加国信办组织的风险评估试点工作和检查评估工作2006年，成为国家风险评估专控队伍2007年，将风险评估作为中心的核心工作之一。5、信息安全风险管理现状以中国信息安全测评中心为例1999-2004年，开展了信息系国内企业及时跟进以启明星辰、天融信、联想、三零盛安、绿盟等为代表的信息安全企业，为民航、电信、石油等多个行业提供了商业性的风险评估服务；以国家电力公司为代表的大型国有企业开展了信息安全风险自评估工作。5、信息安全风险管理现状国内企业及时跟进以启明星辰、天融信、联想、三零盛安、绿盟等为在华外企乘势而入以IBM、HP、爱森哲等为代表的国外IT企业为金融、石油、电信等行业用户提供高端、商业性的风险评估服务；以普华永道、毕马威等为代表的会计师事务所为我国在海外上市的企业提供包括风险评估在内的审计服务。5、信息安全风险管理现状在华外企乘势而入以IBM、HP、爱森哲等为代表的国外IT企业（二）市场状况：需求迫切，形势喜人国内信息安全风险评估的市场：党政军机关等重要部门基础信息网络和重要信息系统行业/企业信息系统公众商业服务系统5、信息安全风险管理现状（二）市场状况：需求迫切，形势喜人国内信息安全风险评估的市场三、我国信息安全风险管理展望（一）依靠创新，解决好关键技术问题（二）结合实际，解决好标准选择问题（三）面向实践，解决好评估工具问题（四）服务决策，解决好评估效用问题（五）发展产业，解决好持续发展问题5、信息安全风险管理现状三、我国信息安全风险管理展望（一）依靠创新，解决好关键技术问安全评估要回答的基本问题自问：1、谁的安全？(who)2、如何保障安全？(how)3、多少算足够？(howmuch)他问：1、我们单位的信息系统安全状况如何？2、我们单位的信息系统安全应该如何？3、怎样用有限的投入获得最好的安全？小结第三章信息安全风险管理1安全评估要回答的基本问题自问：小结第三章信息安全风险管理小结第三章信息安全风险管理1安全事件的发生是有概率的。不能只根据安全事件的后果便决定信息安全的投入和安全措施的强度。对后果严重的极小概率事件，不能盲目投入。要综合考虑安全事件的后果影响及其可能性。所谓安全的信息系统，并不是指“万无一失”的信息系统，而是指残余风险可以被接受的安全系统。小结第三章信息安全风险管理1安全事件的发生第三章信息安全风险管理1安全风险管理是一个持续的过程，它将伴随着系统的整个生命周期。第三章信息安全风险管理1安全风险管理是一资产、威胁与脆弱性之间的关系如何？习题第三章信息安全风险管理1资产、威胁与脆弱性之间的关系如何？习题第三章信息安全ThankYou!ThankYou!本节内容信息安全风险的引入1信息安全风险的相关概念2信息安全风险的基本要素3信息安全风险管理的实施

4信息安全风险评估现状

5本节内容信息安全风险的引入1信息安全风险的相关概念2信息安全第三章信息安全风险管理1风险是事件未来可能结果发生的不确定性风险是损失发生的不确定性风险是指可能发生损失的损害程度的大小风险是指损失的大小和发生的可能性

风险是由风险构成要素相互作用的结果1、信息安全风险的引入第三章信息安全风险管理1风险是事件未来可能结果发生的不确第三章信息安全风险管理12007年4月22日至27日，国际标准化组织技术管理局风险管理工作组（ISO/TMB/WG

Risk

Management）在加拿大渥太华召开了第四次工作组会议。“风险”：不确定性对目标的影响（effectofuncertaintyonobjectives）。该定义克服了其他国家对“风险”定义过于狭窄、不准确等弊端，直指风险的本质，准确、全面、易于理解、便于应用。1、信息安全风险的引入第三章信息安全风险管理12007年4月第三章信息安全风险管理11、信息安全风险的引入信息安全的不确定性第三章信息安全风险管理11、信息安全风险的引入信息安全的第三章信息安全风险管理11、信息安全风险的引入信息安全的不确定性第三章信息安全风险管理11、信息安全风险的引入信息安全的1、信息安全风险的引入绝对安全冗余的安全措施；低效的安全投资；紧张的安全管理人员；对员工的不信任感。第三章信息安全风险管理11、信息安全风险的引入绝对安全冗余的安全措施；第三章信息？如何确切掌握网络和信息系统的安全程度；？安全威胁来自何方；？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；？已采取的信息安全措施是否有效。适度安全第三章信息安全风险管理11、信息安全风险的引入？如何确切掌握网络和信息系统的安全程度；适度安全第三章信第三章信息安全风险管理11、信息安全风险的引入安全是相对的，风险是绝对的；安全强度与安全代价寻求平衡点；安全与开放寻求平衡点。第三章信息安全风险管理11、信息安全风险的引入安全是相对1、信息安全风险的引入以风险评估为安全建设的出发点。它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，采取成本－效益平衡的原则。第三章信息安全风险管理11、信息安全风险的引入以风险评估为安全建设的2、信息安全风险的相关概念第三章信息安全风险管理1“风险”：不确定性对目标的影响（effectofuncertaintyonobjectives）。目标不确定性影响2、信息安全风险的相关概念第三章信息安全风险管理1“风险2、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。“风险”：不确定性对目标的影响（effectofuncertaintyonobjectives）。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。威胁（Threat）指可能对资产或组织造成损害的事故的潜在原因。威胁的属性：威胁的主体（威胁源）、能力、资源、动机、途径、可能性等。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。脆弱性（Vulnerability）就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1

安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产（Asset）就是被组织赋予了价值、需要保护的有用资源。

每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1资产（Asset）就是被组织赋予了价值、需要保护的有用资源。信息资产：数据库和数据文件等软件资产：应用软件、系统软件等物理资产：计算机设备、通信设备等服务：计算和通信服务、通用公用事业等人力资源：人员及他们的资格、技能和经验等无形资产：组织的声誉和形象等2、信息安全风险的相关概念第三章信息安全风险管理12、信息安全风险的相关概念第三章信息安全风险管理1信息资产：数据库和数据文件等信息资产的分类信息的标识和处置2、信息安全风险的相关概念第三章信息安全风险管理1信息资2、信息安全风险的相关概念第三章信息安全风险管理1资产价值（Thevalueofasset）为明确对资产的保护对其进行估价，其价值大小既要考虑其自身价值，也要考虑其对组织机构业务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。资产价值体现了其对一个机构的业务的重要程度。2、信息安全风险的相关概念第三章信息安全风险管理1资产价2、信息安全风险的相关概念第三章信息安全风险管理1风险评估（RiskAssessment）对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。2、信息安全风险的相关概念第三章信息安全风险管理1风险评3、信息安全风险的基本要素第三章信息安全风险管理1ISO/IEC133353、信息安全风险的基本要素第三章信息安全风险管理1ISO3、信息安全风险的基本要素第三章信息安全风险管理1图示：A（Asset）：资产V（Vulnerability）：脆弱性T（Threat）：威胁S（Safeguard）：保护措施R（ResidualRisk）：残余风险C（Constrains）：约束ISO/IEC13335安全要素之间的关系3、信息安全风险的基本要素第三章信息安全风险管理1图示：3、信息安全风险的基本要素第三章信息安全风险管理13、信息安全风险的基本要素第三章信息安全风险管理13、信息安全风险的基本要素第三章信息安全风险管理1资产业务战略/使命资产价值依赖具有成本未被满足脆弱性威胁暴露利用安全需求导出被满足安全措施抵御降低风险增加增加安全事件残余风险演变《信息安全风险评估指南》3、信息安全风险的基本要素第三章信息安全风险管理1资产业3、信息安全风险的基本要素第三章信息安全风险管理1残余风险（ResidualRisk）：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。残余风险的提出风险不可能完全消除风险不必要完全消除残余风险应受到密切监视,因为它可能会在将来诱发新的事件3、信息安全风险的基本要素第三章信息安全风险管理1残余风4、信息安全风险管理的实施第三章信息安全风险管理1

风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。风险管理——考虑控制费用与风险之间的平衡4、信息安全风险管理的实施第三章信息安全风险管理1风险评估对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。风险评估4、信息安全风险管理的实施第三章信息安全风险管理1生命周期阶段阶段特征来自风险管理活动的支持阶段1—规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2—设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3—集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。4、信息安全风险管理的实施第三章信息安全风险管理1生命周4、信息安全风险管理的实施第三章信息安全风险管理1阶段4—运行和维护信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动。阶段5—废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。4、信息安全风险管理的实施第三章信息安全风险管理1阶段44、信息安全风险管理的实施第三章信息安全风险管理1角色责任国家信息安全主管机关制定风险评估的政策、法规和标准督促、检查和指导业务主管机关提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的风险评估工作4、信息安全风险管理的实施第三章信息安全风险管理1角色责4、信息安全风险管理的实施第三章信息安全风险管理1信息系统拥有者制定安全计划，报上级审批组织实施信息系统自评估工作配合检查评估或委托评估工作，并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全措施，控制信息安全风险信息系统承建者根据对信息系统建设方案的风险评估结果，修正安全方案，使安全方案成本合理、积极有效，在方案中有效地控制风险规范建设，减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证4、信息安全风险管理的实施第三章信息安全风险管理1信息系4、信息安全风险管理的实施第三章信息安全风险管理1信息系统安全评估机构提供独立的风险评估对信息系统中的安全措施进行评估，以判断（1）这些安全措施在特定运行环境中的有效性；（2）实现了这些措施后系统中存在的残余风险提出调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，控制风险保护风险评估中获得的敏感信息，防止被无关人员和单位获得信息系统的关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料4、信息安全风险管理的实施第三章信息安全风险管理1信息系4、信息安全风险管理的实施第三章信息安全风险管理1风险评估的一般工作流程4、信息安全风险管理的实施第三章信息安全风险管理1风险评5、信息安全风险管理现状第三章信息安全风险管理15、信息安全风险管理现状第三章信息安全风险管理1一、国际信息安全风险管理动态（一）美国：独占鳌头，加强控管（二）欧洲：不甘落后，重在预防（三）亚太：及时跟进，确保发展（四）国际组织：积极配合，重在规范5、信息安全风险管理现状一、国际信息安全风险管理动态（一）美国：独占鳌头，加强控管5（一）美国：独占鳌头，加强控管制定了从军政部门、公共部门和私营领域的风险管理政策和指南形成了军、政、学、商分工协作的风险管理体系国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制5、信息安全风险管理现状（一）美国：独占鳌头，加强控管制定了从军政部门、公共部门和私DOD：风险评估的领路者1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。1987年，第一次对新发布的《计算机安全法》的执行情况进行部门级评估1997年，美国国防部发布《国防部IT安全认证认可过程》（DITSCAP）；2000年，国家安全委员会发布了《国家信息保障认证和认可过程》（NIACAP）2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估5、信息安全风险管理现状DOD：风险评估的领路者1967年，DOD开始研究计算机安全DOC/NIST：风险评估的推动者2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》（SP800-26）2002年，NIST发布了《IT系统风险管理指南》（SP800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估。5、信息安全风险管理现状DOC/NIST：风险评估的推动者2000年，NIST在《联DOC/NIST：风险评估的推动者从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP800-37）、《联邦信息和信息系统的安全分类标准》（FIPS199）、《联邦IT系统最小安全控制》（SP800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP800-60）等多个文档，以风险思想为基础加强联邦政府的信息安全。5、信息安全风险管理现状DOC/NIST：风险评估的推动者从2002年10月开始，N学术界：风险评估的探索者美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。如卡内基梅隆大学：SSE-CMM：信息安全工程能力成熟度模型OCTAVE：发布了OCTAVE框架，属于自主型信息安全风险评估方法。5、信息安全风险管理现状学术界：风险评估的探索者美国政府通过信息安全商业界：风险评估的实践者工具公司成熟度功能标准RiskPAC美国CSCI公司成熟产品主要进行定性和定量风险评估RiskWatch美国RiskWatch公司成熟产品，有一定客户群综合各类相关标准进行风险评估和风险管理各类信息安全相关标准XACTA美国XACTA公司成熟产品，有一定客户群主要依据NIACAP、DITSCAP进行C&A过程主要依据ISO17799、NIACAP、DITSCAP5、信息安全风险管理现状商业界：风险评估的实践者工具公司成熟度功能标准RiskPAC（二）欧洲：不甘落后，重在预防1、“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略2、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路3、欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒，值得关注5、信息安全风险管理现状（二）欧洲：不甘落后，重在预防1、“趋利避害”一直是欧洲各国英国：BS7799享誉全球英国BSI推出BS7799，分为两个部分：“BS7799-1:1999信息安全管理实施细则”、“BS7799-2:2002信息安全管理体系规范”，英国CCTA开发了CRAMM风险评估工具，完全遵循BS7799。英国C&A系统安全公司推出了COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）工具，由一系列风险分析、咨询和安全评价工具组成。5、信息安全风险管理现状英国：BS7799享誉全球英国BSI推出BS7799，分为德国：日尔曼人的“基线”防御《德国联邦IT基线防护手册（ITBPM）》以严谨、周密而得名；1991年，德国建立信息安全局(BSI)，主要负责政府部门的信息安全风险管理和评估工作。1997年，颁布《信息和通信服务规范法》风险评估在方法上基本遵循BS

7799。5、信息安全风险管理现状德国：日尔曼人的“基线”防御《德国联邦IT基线防护手册（IT欧盟的CORAS项目2001年至2003年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的11个机构，历时3年时间，完成了安全关键系统的风险分析平台项目CORAS，使用UML建模技术，开发了一个面向对象建模技术的风险评估框架。一期完成之后，欧盟继续投资为期三年的二期项目COMA，2007年完成。5、信息安全风险管理现状欧盟的CORAS项目2001年至2003年，欧盟投资，四个欧CORAS：欧洲经典CORAS：欧洲经典（三）亚太：及时跟进，确保发展日本：在风险管理方面综合美国和英国的做法，建立了“安全管理系统评估制度”(ISMS)，作为日本标准(JIS)，启用了ISO／IECl7799-1(BS7799)；韩国：主要参照美国的政策和方法；新加坡：主要参照英国的做法，在信息安全风险评估方面依据BS

7799。5、信息安全风险管理现状（三）亚太：及时跟进，确保发展日本：在风险管理方面综合美国和ISO：专业的普通话ISO/IEC13335《IT安全管理指南》ISO/IEC17799ISO

27000系列ISO

27000信息安全管理体系基本原理和词汇ISO

27001信息安全管理体系要求ISO

27002信息安全管理实践准则ISO

27003信息安全管理实施指南ISO

27004信息安全管理的度量指标和衡量ISO

27005信息安全风险管理指南ISO

27006信息和通信技术灾难恢复和服务指南ISO/IEC21827:2002(SSE-CMM)：信息安全工程能力成熟度模型ISO/IEC15408：IT安全评估通用准则（CC）5、信息安全风险管理现状ISO：专业的普通话ISO/IEC13335《IT安全管理ITU：产业的风向标在安全体系和框架方面主要维护X.8xx系列标准：在信息安全管理方面已发布：《ITU-TX.1051信息安全管理系统——通信需求（ISMS-T）

》在安全通讯业务方面涉及所有网络与信息安全，主要集中在移动通信安全、P2P安全认证、Web服务安全等等。已发布标准“ITU-TX.1121移动端到端数据通信安全技术框架”、“ITU-TX.