安全评估与安全管理课件

信息安全讲座安全评估与安全管理信息安全讲座安全评估与安全管理1安全评估与安全管理安全风险分析安全风险评估方法和实例安全风险控制整体安全策略的设计和部署应急响应处理安全评估与安全管理安全风险分析2一、安全风险分析风险分析概述风险分析的目的和意义风险分析的原则和标准风险分析方法风险分析要素风险识别一、安全风险分析风险分析概述3一、风险分析概述安全以风险形式存在，没有绝对的安全HighRiskLowRisk安全目标安全缝隙高风险低风险当前安全状态一、风险分析概述安全以风险形式存在，没有绝对的安全High4一、风险分析概述1.1信息安全风险 安全风险是信息安全问题的表现形式，即由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。一、风险分析概述1.1信息安全风险5一、风险分析概述1.2对风险分析的认识从微观上讲，风险评估是“一种度量信息安状况的方法和工具”，风险评估通过对网络和信息系统潜在风险的识别、分析、评价以及控制和缓解措施等要素，度量网络和信息系统的安全状况。风险评估是风险管理的基础。一、风险分析概述6一、风险分析概述1.3信息安全风险相关要素的关系信息资产信息资产信息资产资产防护措施安全措施安全措施安全措施威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性脆弱性残余风险风险残余风险残余风险一、风险分析概述1.3信息安全风险相关要素的关系信息信息信7二、风险分析的目的和意义

风险评估是解决“最基本安全问题”的基础信息系统的安全状况到底如何？

——用风险评估结果描述系统安全状况。是否有统一的建设规范，统一的安全要求？

——风险评估是制定统一规范，统一要求的基础。什么样的信息安全方案合理，建设到什么程度合适？

——风险评估是制定方案的重要依据。现有的安全体系能否保证系统的安全？

——通过风险评估来检验安全体系。二、风险分析的目的和意义风险评估是解决“最基本安全问题”的8二、风险分析的目的和意义2.1风险分析的目的安全建设必需先“正确认识安全问题；准确了解安全状态”，信息系统安全测评就是对信息系统安全的“度量”，是做好信息安全保障的重要基础。

二、风险分析的目的和意义2.1风险分析的目的安全建9二、风险分析的目的和意义2.1风险分析的目的 风险分析是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。评价是否实施和维护了适当的安全措施，鉴别存在的风险以及风险发生的可能性和影响，从而选择可将风险降低到组织可接受级别的安全措施。二、风险分析的目的和意义2.1风险分析的目的10二、风险分析的目的和意义

安全评估的目的——了解系统,掌握资产系统业务功能、数据和流程描述用户情况系统结构和配置边界的完整性二、风险分析的目的和意义安全评估的目的——了解系统,掌11二、风险分析的目的和意义

风险评估的目的——了解系统安全状况系统的重要性面临的威胁技术脆弱性和技术措施运行和管理问题风险状况二、风险分析的目的和意义风险评估的目的——了解系统安全状况12二、风险分析的目的和意义

风险评估的目的——规划域结构，界定边界和责任二、风险分析的目的和意义风险评估的目的——规划域结构，界定13二、风险分析的目的和意义政务专网平台非涉密光纤网络(专网2芯)业务处理域A业务处理域B公众用户域电子政务域电子政务网络域公钥基础设施异地容灾应急响应电子政务基础服务域公共网络域政务内网域（涉密域）业务单位政务外网域业务单位公众服务域政务内网通信网络政务外网通信网络业务单位政务内网域政务外网域（非涉密域）企业/其它机构信息系统公共通信网安全测评二、风险分析的目的和意义政务专网平台非涉密光纤网络(专网2芯14二、风险分析的目的和意义风险评估的目的——建设风险管理体系风险识别风险分析风险评价风险管理（控制、缓解、转移…）风险评估二、风险分析的目的和意义风险评估的目的——建设风险管理体系15二、风险分析的目的和意义

风险管理是指通过风险评估标识系统中的风险、解释风险并实施计划以降低风险至可接受程度的一个持续过程。风险评估是风险管理的一个重要环节，是分析评价信息系统安全状态的重要方法和工具。二、风险分析的目的和意义风险管理是指通过风险16二、风险分析的目的和意义风险评估对信息系统生命周期的支持支持安全需求分析，安全保护等级确定项目规划工程实施工程验收分析设计支持系统架构的安全性分析评估对安全需求的实现周期性地确定系统的安全状态系统报废运行维护硬件、软件、数据的处置二、风险分析的目的和意义风险评估对信息系统生命周期的支持支持17三、风险评估原则和标准保密原则标准性原则规范性原则可控性原则整体性原则最小影响原则三、风险评估原则和标准保密原则18三、风险评估原则和标准中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)《中华人民共和国保守国家秘密法实施办法》（国家保密局文件国保发[1990]1号）《计算机信息系统保密管理暂行规定》（国家保密局文件国保发[1998]1号）《计算机信息系统安全保护等级划分准则》（1999年9月国家技术监督局发布）《信息安全风险评估指南》国家标准报批稿三、风险评估原则和标准中华人民共和国保守国家秘密法》(1919四、风险评估过程和方法风险评估过程(1)硬件软件接口数据和信人员业务功能（1）系统分析和资产识别输入输出风险评估活动系统边界系统功能系统和数据的危险程度系统和数据的敏感程度识别关键资产系统受攻击的历史信息专业机构和媒体的数据（2）威胁分析识别威胁描述四、风险评估过程和方法风险评估过程(1)硬件（1）系统分析和20四、风险评估过程和方法风险评估过程(2)前期风险评估报告系统审计信息系统特性安全需求安全测试结果（3）脆弱性分析识别输入输出风险评估活动潜在的脆弱性列表当前的安全措施计划的安全措施（4）安全措施分析当前和计划的安全措施列表四、风险评估过程和方法风险评估过程(2)前期风险评估报告（321四、风险评估过程和方法风险评估过程(3)威胁动机威胁能力脆弱性本质当前安全措施（5）可能性分析输入输出风险评估活动可能性级别四、风险评估过程和方法风险评估过程(3)威胁动机（5）可能性22四、风险评估过程和方法风险评估过程(4)业务影响分析资产危险性分析数据危险性数据敏感性（6）影响分析输入输出风险评估活动影响级别威胁发生的可能性影响的量级当前和计划的安全措施（7）风险判定（综合分析）风险和相应的风险等级四、风险评估过程和方法风险评估过程(4)业务影响分析（6）影23四、风险评估过程和方法风险评估过程(5)（8）安全措施建议输入输出风险评估活动建议的安全措施（9）结果报告风险评估报告四、风险评估过程和方法风险评估过程(5)（8）安全措施建议输24四、风险评估过程和方法风险评估的基本方法初级风险分析（PreliminaryRiskAnalysis

）风险评价指数（RiskAssessmentCodes）失效模式及影响分析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于树的技术（TreeBasedTechniques）动态系统技术（TechniquesforDynamicsystem）四、风险评估过程和方法风险评估的基本方法初级风险分析（Pre25四、风险评估过程和方法风险计算矩阵法矩阵法原理计算示例风险计算相乘法相乘法原理计算实例动态树四、风险评估过程和方法风险计算矩阵法26四、风险评估过程和方法矩阵法概念矩阵法适用范围矩阵法构造方式矩阵法特点四、风险评估过程和方法矩阵法概念27四、风险评估过程和方法Z=f(x,y)。函数f采用矩阵形式表示。以要素x和要素y的取值构建一个二维矩阵，矩阵内m*n个值即为要素Z的取值四、风险评估过程和方法Z=f(x,y)。函数f采用矩阵形式表28四、风险评估过程和方法矩阵法主要适用于由两个要素值确定一个要素值的情形。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等，同时需要整体掌握风险值的确定，因此矩阵法在风险分析中得到广泛采用。四、风险评估过程和方法矩阵法主要适用于由两个要素值确定一个要29四、风险评估过程和方法首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果。矩阵的计算需要根据实际情况确定，矩阵内值的计算不一定遵循统一的计算公式，但必须具有统一的增减趋势，即如果是递增函数，Z值应随着x与y的值递增，反之亦然。四、风险评估过程和方法首先需要确定二维计算矩阵，矩阵内各个要30四、风险评估过程和方法矩阵法特点矩阵法的特点在于通过构造两两要素计算矩阵，可以清晰罗列要素的变化趋势，具备良好灵活性。四、风险评估过程和方法矩阵法特点矩阵法的特点在于通过构造两两31四、风险评估过程和方法矩阵法计算示例(1)资产：共有三个重要资产，资产A1、资产A2和资产A3；资产价值分别是：资产A1=2，资产A2=3，资产A3=5；威胁：资产A1面临两个主要威胁，威胁T1和威胁T2；资产A2面临一个主要威胁，威胁T3；资产A3面临两个主要威胁，威胁T4和T5；威胁发生频率分别是：威胁T1=2，威胁T2=1，威胁T3=2，威胁T4=5，威胁T5=4；四、风险评估过程和方法矩阵法计算示例(1)资产：32四、风险评估过程和方法矩阵法计算示例(2)脆弱性：威胁T1可以利用的资产A1存在的两个脆弱性，脆弱性V1和脆弱性V2；威胁T2可以利用的资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7；威胁T4可以利用的资产A3存在的一个脆弱性，脆弱性V8；威胁T5可以利用的资产A3存在的一个脆弱性，脆弱性V9。脆弱性严重程度分别是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。四、风险评估过程和方法矩阵法计算示例(2)脆弱性：33四、风险评估过程和方法示例计算过程风险计算过程（1）计算安全事件发生可能性（2）计算安全事件造成的损失（3）计算风险值（4）结果判定以下以资产A1面临的威胁T1可以利用的脆弱性V1为例，计算安全风险值。四、风险评估过程和方法示例计算过程风险计算过程34四、风险评估过程和方法计算安全事件发生的可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。四、风险评估过程和方法计算安全事件发生的可能性（1）构建安全35四、风险评估过程和方法计算安全事件发生的可能性四、风险评估过程和方法计算安全事件发生的可能性36四、风险评估过程和方法计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。四、风险评估过程和方法计算安全事件的损失（1）构建安全事件损37四、风险评估过程和方法计算安全事件的损失四、风险评估过程和方法计算安全事件的损失38四、风险评估过程和方法四、风险评估过程和方法（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；四、风险评估过程和方法四、风险评估过程和方法（1）构建风险矩39四、风险评估过程和方法计算风险值四、风险评估过程和方法计算风险值40四、风险评估过程和方法风险结果判定根据预设的等级划分规则判定风险结果。依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。四、风险评估过程和方法风险结果判定根据预设的等级划分规则判定41四、风险评估过程和方法矩阵法风险计算过程小结计算安全事件发生可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。计算风险值（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；风险结果判定四、风险评估过程和方法矩阵法风险计算过程小结计算安全事件发生42四、风险评估过程和方法风险计算相乘法基本原理相乘法原理： ，当f为增量函数时，可以为直接相乘，也可以为相乘后取模等。相乘法的特点：简单明确，直接按照统一公式计算，即可得到所需结果。相乘法适用范围：在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，因此相乘法在风险分析中得到广泛采用。四、风险评估过程和方法风险计算相乘法基本原理相乘法原理： 43四、风险评估过程和方法面向关键资产的风险分析系统调查系统业务模型网络和系统环境（用户、结构和边界等）安全体系结构设计与实现文档四、风险评估过程和方法面向关键资产的风险分析系统调查系统业44四、风险评估过程和方法面向关键资产的风险分析四、风险评估过程和方法面向关键资产的风险分析45四、风险评估过程和方法面向关键资产的风险分析(系统平台分析)网络通信服务机构机构专用网络支持性基础设施:安全管理、密码管理等公共网络应用系统边界应用区域图例:涉密网络四、风险评估过程和方法面向关键资产的风险分析(系统平台分析46四、风险评估过程和方法面向关键资产的风险分析评估(网络平台分析)NetworkManagementDirectoryServicesNetworkIDSDomainNameServersNominalNetworkNetworkNodes(Routers/Switches)BackboneBoundaryProtectionNetworkLinks(Fiber,Cable,Wireless,Satellite)LocalNetwork通信网络连接资源子网网络节点(路由器/交换机)骨干边界保护网络连接(光纤,电缆,无线,卫星)资源子网边界LocalNetwork局域网（资源子网）目录服务域名服务网络和基础设施包括局域网内的网络设施网络管理四、风险评估过程和方法面向关键资产的风险分析评估(网络平台分47四、风险评估过程和方法面向关键资产的风险分析(威胁分析)攻击主体攻击类型、方式与途径资产危胁本质破坏内部人员外部人员恶意代码故障灾难侦听与破译攻击与破坏利用与欺诈物理破坏数据库操作系统网络物理设备应用系统未授权访问假冒拒绝服务机密性完整性可用性可控性真实性数据业务四、风险评估过程和方法面向关键资产的风险分析(威胁分析)攻48四、风险评估过程和方法面向关键资产的风险分析(安全功能测试)标识鉴别审计通信密码支持用户数据保护安全管理安全功能保护资源利用评估对象访问可信路径/信道功能验证信息系统测试结果配置检查应用系统公共平台系统平台网络平台测试方法、用例功能分析四、风险评估过程和方法面向关键资产的风险分析(安全功能测试49四、风险评估过程和方法面向关键资产的风险分析(脆弱性检测)网络扫描

端口扫描操作系统栈指纹扫描漏洞扫描主机扫描

基于主机上的Agent精确发现漏洞应用扫描

远程分析Web系统结构，可以对各种应用程序特有及普遍存在的漏洞进行评估。配置核查

核查列表四、风险评估过程和方法面向关键资产的风险分析(脆弱性检测)网50四、风险评估过程和方法面向关键资产的风险分析(系统体系结构分析)信息安全相关法律、法规、政策、标准和规范的符合性安全体系结构的合理性和对需求的符合性设计与实现的一致性相关文档资料的齐备性四、风险评估过程和方法面向关键资产的风险分析(系统体系结构分51四、风险评估过程和方法面向关键资产的风险分析(脆弱性分析)四、风险评估过程和方法面向关键资产的风险分析(脆弱性分析)52四、风险评估过程和方法面向关键资产的风险评价关键资产系统单元

相关脆弱性

相关措施

个人所得税业务和数据数据库服务器应用服务器防火墙OS脆弱性数据库脆弱性应用脆弱性防病毒

权限管理补丁管理审计策略

备份策略报警响应……………………安全风险安全风险安全风险安全风险数据泄露非授权访问数据篡改破坏服务假冒拒绝服务多余开放端口默认打开服务更新不及时……四、风险评估过程和方法面向关键资产的风险评价关键资产系统单元53四、风险评估要素资产识别威胁识别脆弱性识别四、风险评估要素资产识别54四、风险评估要素识别相互联系安全措施

抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变

未被满足未控制可能诱发残留成本资产资产价值四、风险评估要素识别相互联系安全措施抵御业务战略脆弱55四、风险评估要素识别相互联系

（1）业务战略依赖资产去实现；（2）资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；（3）资产价值越大则其面临的风险越大；（4）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（5）弱点越多，威胁利用脆弱性导致安全事件的可能性越大；（6）脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；四、风险评估要素识别相互联系（1）业务战略依赖资产去实现；56四、风险评估要素识别相互联系（7）风险的存在及对风险的认识导出安全需求；（8）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（9）安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；（10）风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；（11）残余风险应受到密切监视，它可能会在将来诱发新的安全事件四、风险评估要素识别相互联系（7）风险的存在及对风险的认识导57四、风险评估要素资产 资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。四、风险评估要素资产58四、风险评估要素资产分类 数据 软件 硬件 服务 文档 人员四、风险评估要素资产分类59四、风险评估要素资产赋值方法对资产的赋值不仅要考虑资产本身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一个综合结果的过程。四、风险评估要素资产赋值方法对资产的赋值不仅要考虑资产本身的60四、风险评估要素资产赋值—机密性赋值赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等四、风险评估要素资产赋值—机密性赋值赋值标识定义5极高包含组61四、风险评估要素资产赋值—完整性赋值赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略四、风险评估要素资产赋值—完整性赋值赋值标识定义5极高完整性62五、信息安全管理体系定义安全管理原则制定安全保护机制制定信息安全策略确定审查角色和责任？？？？往复推进,不断提升？？？？五、信息安全管理体系定义安全管理原则63五、信息安全管理体系安全管理策略组成 身份 完整性 机密性 可用性 审计

五、信息安全管理体系安全管理策略组成64五、信息安全管理体系信息安全管理国际标准 ISO17799 ISO27001:2005为建立,实施,运作,监视,评审,保持,和改进信息安全管理体系(ISMS)提供了模型。采用PDCA“规划－执行－控制－改进“过程模式。五、信息安全管理体系信息安全管理国际标准65五、信息安全管理体系安全保护机制－－安全保障体系结构图五、信息安全管理体系安全保护机制－－安全保障体系结构图66五、信息安全管理体系安全保护机制通过人、管理和技术手段三大要素，构成动态的信息与网络安全保障体系框架PDR模型，实现网络和应用安全保障。PDR模型三个概念框之间存在着一定的因果和依存关系，在网络安全防护上实现了多层安全防护，形成一个整体。五、信息安全管理体系安全保护机制通过人、管理和技术手段三大要67五、信息安全管理体系安全策略 物理安全策略 边界控制策略 信息加密策略 数据备份策略 数据恢复策略 安全管理策略五、信息安全管理体系安全策略68五、信息安全管理体系物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。五、信息安全管理体系物理安全策略物理安全策略的目的是保护计算69五、信息安全管理体系边界控制策略边界访问控制是网络与应用安全防范和保护的主要策略，它的主要任务是保证网络与应用资源不被非法使用和非常访问。它也是维护网络与应用系统安全、保护网络与应用资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络与应用安全最重要的核心策略之一。五、信息安全管理体系边界控制策略边界访问控制是网络与应用安全70五、信息安全管理体系信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。五、信息安全管理体系信息加密策略信息加密的目的是71五、信息安全管理体系数据备份策略数据备份主要实现系统的各种数据库、重要文件、CA密钥和证书、数据链路与网络设备的配置信息、网络安全设备安全配置、应用系统自身配置文件和应用服务器数据的多重备份。主干级备份部门级备份全备份增量备份五、信息安全管理体系数据备份策略数据备份主要实现系统的各种数72五、信息安全管理体系数据恢复策略 将繁琐的恢复过程必须集中到一点进行管理。（可见业务连续性计划）

全恢复；局部恢复；定向恢复；五、信息安全管理体系数据恢复策略73五、信息安全管理体系安全管理策略根据信息系统安全需求对于各类角色制定全面的安全管理制度，并定义相应的安全审核制度。？？？？五、信息安全管理体系安全管理策略74五、信息安全管理体系对于安全策略的验证与监控 系统脆弱性分析（SCANNER) 帐户权限管理 建立整体安全管理平台 渗透性测试（入侵检测） 定期对所有日志和审计信息进行审核五、信息安全管理体系对于安全策略的验证与监控75五、信息安全管理体系小结：安全管理目标定义物理安全控制定义逻辑安全控制取保系统和数据的完整性确保数据的机密性定义验证和监控安全状态的机制为系统内部人员制定安全政策和规程对全员进行必要的安全意识培训五、信息安全管理体系小结：安全管理目标76信息安全讲座安全评估与安全管理信息安全讲座安全评估与安全管理77安全评估与安全管理安全风险分析安全风险评估方法和实例安全风险控制整体安全策略的设计和部署应急响应处理安全评估与安全管理安全风险分析78一、安全风险分析风险分析概述风险分析的目的和意义风险分析的原则和标准风险分析方法风险分析要素风险识别一、安全风险分析风险分析概述79一、风险分析概述安全以风险形式存在，没有绝对的安全HighRiskLowRisk安全目标安全缝隙高风险低风险当前安全状态一、风险分析概述安全以风险形式存在，没有绝对的安全High80一、风险分析概述1.1信息安全风险 安全风险是信息安全问题的表现形式，即由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。一、风险分析概述1.1信息安全风险81一、风险分析概述1.2对风险分析的认识从微观上讲，风险评估是“一种度量信息安状况的方法和工具”，风险评估通过对网络和信息系统潜在风险的识别、分析、评价以及控制和缓解措施等要素，度量网络和信息系统的安全状况。风险评估是风险管理的基础。一、风险分析概述82一、风险分析概述1.3信息安全风险相关要素的关系信息资产信息资产信息资产资产防护措施安全措施安全措施安全措施威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性脆弱性残余风险风险残余风险残余风险一、风险分析概述1.3信息安全风险相关要素的关系信息信息信83二、风险分析的目的和意义

风险评估是解决“最基本安全问题”的基础信息系统的安全状况到底如何？

——用风险评估结果描述系统安全状况。是否有统一的建设规范，统一的安全要求？

——风险评估是制定统一规范，统一要求的基础。什么样的信息安全方案合理，建设到什么程度合适？

——风险评估是制定方案的重要依据。现有的安全体系能否保证系统的安全？

——通过风险评估来检验安全体系。二、风险分析的目的和意义风险评估是解决“最基本安全问题”的84二、风险分析的目的和意义2.1风险分析的目的安全建设必需先“正确认识安全问题；准确了解安全状态”，信息系统安全测评就是对信息系统安全的“度量”，是做好信息安全保障的重要基础。

二、风险分析的目的和意义2.1风险分析的目的安全建85二、风险分析的目的和意义2.1风险分析的目的 风险分析是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。评价是否实施和维护了适当的安全措施，鉴别存在的风险以及风险发生的可能性和影响，从而选择可将风险降低到组织可接受级别的安全措施。二、风险分析的目的和意义2.1风险分析的目的86二、风险分析的目的和意义

安全评估的目的——了解系统,掌握资产系统业务功能、数据和流程描述用户情况系统结构和配置边界的完整性二、风险分析的目的和意义安全评估的目的——了解系统,掌87二、风险分析的目的和意义

风险评估的目的——了解系统安全状况系统的重要性面临的威胁技术脆弱性和技术措施运行和管理问题风险状况二、风险分析的目的和意义风险评估的目的——了解系统安全状况88二、风险分析的目的和意义

风险评估的目的——规划域结构，界定边界和责任二、风险分析的目的和意义风险评估的目的——规划域结构，界定89二、风险分析的目的和意义政务专网平台非涉密光纤网络(专网2芯)业务处理域A业务处理域B公众用户域电子政务域电子政务网络域公钥基础设施异地容灾应急响应电子政务基础服务域公共网络域政务内网域（涉密域）业务单位政务外网域业务单位公众服务域政务内网通信网络政务外网通信网络业务单位政务内网域政务外网域（非涉密域）企业/其它机构信息系统公共通信网安全测评二、风险分析的目的和意义政务专网平台非涉密光纤网络(专网2芯90二、风险分析的目的和意义风险评估的目的——建设风险管理体系风险识别风险分析风险评价风险管理（控制、缓解、转移…）风险评估二、风险分析的目的和意义风险评估的目的——建设风险管理体系91二、风险分析的目的和意义

风险管理是指通过风险评估标识系统中的风险、解释风险并实施计划以降低风险至可接受程度的一个持续过程。风险评估是风险管理的一个重要环节，是分析评价信息系统安全状态的重要方法和工具。二、风险分析的目的和意义风险管理是指通过风险92二、风险分析的目的和意义风险评估对信息系统生命周期的支持支持安全需求分析，安全保护等级确定项目规划工程实施工程验收分析设计支持系统架构的安全性分析评估对安全需求的实现周期性地确定系统的安全状态系统报废运行维护硬件、软件、数据的处置二、风险分析的目的和意义风险评估对信息系统生命周期的支持支持93三、风险评估原则和标准保密原则标准性原则规范性原则可控性原则整体性原则最小影响原则三、风险评估原则和标准保密原则94三、风险评估原则和标准中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)《中华人民共和国保守国家秘密法实施办法》（国家保密局文件国保发[1990]1号）《计算机信息系统保密管理暂行规定》（国家保密局文件国保发[1998]1号）《计算机信息系统安全保护等级划分准则》（1999年9月国家技术监督局发布）《信息安全风险评估指南》国家标准报批稿三、风险评估原则和标准中华人民共和国保守国家秘密法》(1995四、风险评估过程和方法风险评估过程(1)硬件软件接口数据和信人员业务功能（1）系统分析和资产识别输入输出风险评估活动系统边界系统功能系统和数据的危险程度系统和数据的敏感程度识别关键资产系统受攻击的历史信息专业机构和媒体的数据（2）威胁分析识别威胁描述四、风险评估过程和方法风险评估过程(1)硬件（1）系统分析和96四、风险评估过程和方法风险评估过程(2)前期风险评估报告系统审计信息系统特性安全需求安全测试结果（3）脆弱性分析识别输入输出风险评估活动潜在的脆弱性列表当前的安全措施计划的安全措施（4）安全措施分析当前和计划的安全措施列表四、风险评估过程和方法风险评估过程(2)前期风险评估报告（397四、风险评估过程和方法风险评估过程(3)威胁动机威胁能力脆弱性本质当前安全措施（5）可能性分析输入输出风险评估活动可能性级别四、风险评估过程和方法风险评估过程(3)威胁动机（5）可能性98四、风险评估过程和方法风险评估过程(4)业务影响分析资产危险性分析数据危险性数据敏感性（6）影响分析输入输出风险评估活动影响级别威胁发生的可能性影响的量级当前和计划的安全措施（7）风险判定（综合分析）风险和相应的风险等级四、风险评估过程和方法风险评估过程(4)业务影响分析（6）影99四、风险评估过程和方法风险评估过程(5)（8）安全措施建议输入输出风险评估活动建议的安全措施（9）结果报告风险评估报告四、风险评估过程和方法风险评估过程(5)（8）安全措施建议输100四、风险评估过程和方法风险评估的基本方法初级风险分析（PreliminaryRiskAnalysis

）风险评价指数（RiskAssessmentCodes）失效模式及影响分析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于树的技术（TreeBasedTechniques）动态系统技术（TechniquesforDynamicsystem）四、风险评估过程和方法风险评估的基本方法初级风险分析（Pre101四、风险评估过程和方法风险计算矩阵法矩阵法原理计算示例风险计算相乘法相乘法原理计算实例动态树四、风险评估过程和方法风险计算矩阵法102四、风险评估过程和方法矩阵法概念矩阵法适用范围矩阵法构造方式矩阵法特点四、风险评估过程和方法矩阵法概念103四、风险评估过程和方法Z=f(x,y)。函数f采用矩阵形式表示。以要素x和要素y的取值构建一个二维矩阵，矩阵内m*n个值即为要素Z的取值四、风险评估过程和方法Z=f(x,y)。函数f采用矩阵形式表104四、风险评估过程和方法矩阵法主要适用于由两个要素值确定一个要素值的情形。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等，同时需要整体掌握风险值的确定，因此矩阵法在风险分析中得到广泛采用。四、风险评估过程和方法矩阵法主要适用于由两个要素值确定一个要105四、风险评估过程和方法首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果。矩阵的计算需要根据实际情况确定，矩阵内值的计算不一定遵循统一的计算公式，但必须具有统一的增减趋势，即如果是递增函数，Z值应随着x与y的值递增，反之亦然。四、风险评估过程和方法首先需要确定二维计算矩阵，矩阵内各个要106四、风险评估过程和方法矩阵法特点矩阵法的特点在于通过构造两两要素计算矩阵，可以清晰罗列要素的变化趋势，具备良好灵活性。四、风险评估过程和方法矩阵法特点矩阵法的特点在于通过构造两两107四、风险评估过程和方法矩阵法计算示例(1)资产：共有三个重要资产，资产A1、资产A2和资产A3；资产价值分别是：资产A1=2，资产A2=3，资产A3=5；威胁：资产A1面临两个主要威胁，威胁T1和威胁T2；资产A2面临一个主要威胁，威胁T3；资产A3面临两个主要威胁，威胁T4和T5；威胁发生频率分别是：威胁T1=2，威胁T2=1，威胁T3=2，威胁T4=5，威胁T5=4；四、风险评估过程和方法矩阵法计算示例(1)资产：108四、风险评估过程和方法矩阵法计算示例(2)脆弱性：威胁T1可以利用的资产A1存在的两个脆弱性，脆弱性V1和脆弱性V2；威胁T2可以利用的资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7；威胁T4可以利用的资产A3存在的一个脆弱性，脆弱性V8；威胁T5可以利用的资产A3存在的一个脆弱性，脆弱性V9。脆弱性严重程度分别是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。四、风险评估过程和方法矩阵法计算示例(2)脆弱性：109四、风险评估过程和方法示例计算过程风险计算过程（1）计算安全事件发生可能性（2）计算安全事件造成的损失（3）计算风险值（4）结果判定以下以资产A1面临的威胁T1可以利用的脆弱性V1为例，计算安全风险值。四、风险评估过程和方法示例计算过程风险计算过程110四、风险评估过程和方法计算安全事件发生的可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。四、风险评估过程和方法计算安全事件发生的可能性（1）构建安全111四、风险评估过程和方法计算安全事件发生的可能性四、风险评估过程和方法计算安全事件发生的可能性112四、风险评估过程和方法计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。四、风险评估过程和方法计算安全事件的损失（1）构建安全事件损113四、风险评估过程和方法计算安全事件的损失四、风险评估过程和方法计算安全事件的损失114四、风险评估过程和方法四、风险评估过程和方法（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；四、风险评估过程和方法四、风险评估过程和方法（1）构建风险矩115四、风险评估过程和方法计算风险值四、风险评估过程和方法计算风险值116四、风险评估过程和方法风险结果判定根据预设的等级划分规则判定风险结果。依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。四、风险评估过程和方法风险结果判定根据预设的等级划分规则判定117四、风险评估过程和方法矩阵法风险计算过程小结计算安全事件发生可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。计算风险值（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；风险结果判定四、风险评估过程和方法矩阵法风险计算过程小结计算安全事件发生118四、风险评估过程和方法风险计算相乘法基本原理相乘法原理： ，当f为增量函数时，可以为直接相乘，也可以为相乘后取模等。相乘法的特点：简单明确，直接按照统一公式计算，即可得到所需结果。相乘法适用范围：在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，因此相乘法在风险分析中得到广泛采用。四、风险评估过程和方法风险计算相乘法基本原理相乘法原理： 119四、风险评估过程和方法面向关键资产的风险分析系统调查系统业务模型网络和系统环境（用户、结构和边界等）安全体系结构设计与实现文档四、风险评估过程和方法面向关键资产的风险分析系统调查系统业120四、风险评估过程和方法面向关键资产的风险分析四、风险评估过程和方法面向关键资产的风险分析121四、风险评估过程和方法面向关键资产的风险分析(系统平台分析)网络通信服务机构机构专用网络支持性基础设施:安全管理、密码管理等公共网络应用系统边界应用区域图例:涉密网络四、风险评估过程和方法面向关键资产的风险分析(系统平台分析122四、风险评估过程和方法面向关键资产的风险分析评估(网络平台分析)NetworkManagementDirectoryServicesNetworkIDSDomainNameServersNominalNetworkNetworkNodes(Routers/Switches)BackboneBoundaryProtectionNetworkLinks(Fiber,Cable,Wireless,Satellite)LocalNetwork通信网络连接资源子网网络节点(路由器/交换机)骨干边界保护网络连接(光纤,电缆,无线,卫星)资源子网边界LocalNetwork局域网（资源子网）目录服务域名服务网络和基础设施包括局域网内的网络设施网络管理四、风险评估过程和方法面向关键资产的风险分析评估(网络平台分123四、风险评估过程和方法面向关键资产的风险分析(威胁分析)攻击主体攻击类型、方式与途径资产危胁本质破坏内部人员外部人员恶意代码故障灾难侦听与破译攻击与破坏利用与欺诈物理破坏数据库操作系统网络物理设备应用系统未授权访问假冒拒绝服务机密性完整性可用性可控性真实性数据业务四、风险评估过程和方法面向关键资产的风险分析(威胁分析)攻124四、风险评估过程和方法面向关键资产的风险分析(安全功能测试)标识鉴别审计通信密码支持用户数据保护安全管理安全功能保护资源利用评估对象访问可信路径/信道功能验证信息系统测试结果配置检查应用系统公共平台系统平台网络平台测试方法、用例功能分析四、风险评估过程和方法面向关键资产的风险分析(安全功能测试125四、风险评估过程和方法面向关键资产的风险分析(脆弱性检测)网络扫描

端口扫描操作系统栈指纹扫描漏洞扫描主机扫描

基于主机上的Agent精确发现漏洞应用扫描

远程分析Web系统结构，可以对各种应用程序特有及普遍存在的漏洞进行评估。配置核查

核查列表四、风险评估过程和方法面向关键资产的风险分析(脆弱性检测)网126四、风险评估过程和方法面向关键资产的风险分析(系统体系结构分析)信息安全相关法律、法规、政策、标准和规范的符合性安全体系结构的合理性和对需求的符合性设计与实现的一致性相关文档资料的齐备性四、风险评估过程和方法面向关键资产的风险分析(系统体系结构分127四、风险评估过程和方法面向关键资产的风险分析(脆弱性分析)四、风险评估过程和方法面向关键资产的风险分析(脆弱性分析)128四、风险评估过程和方法面向关键资产的风险评价关键资产系统单元

相关脆弱性

相关措施

个人所得税业务和数据数据库服务器应用服务器防火墙OS脆弱性数据库脆弱性应用脆弱性防病毒

权限管理补丁管理审计策略

备份策略报警响应……………………安全风险安全风险安全风险安全风险数据泄露非授权访问数据篡改破坏服务假冒拒绝服务多余开放端口默认打开服务更新不及时……四、风险评估过程和方法面向关键资产的风险评价关键资产系统单元129四、风险评估要素资产识别威胁识别脆弱性识别四、风险评估要素资产识别130四、风险评估要素识别相互联系安全措施

抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变

未被满足未控制可能诱发残留成本资产资产价值四、风险评估要素识别相互联系安全措施抵御业务战略脆弱131四、风险评估要素识别相互联系

（1）业务战略依赖资产去实现；（2）资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；（3）资产价值越大则其面临的风险越大；（4）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（5）弱点越多，威胁利用脆弱性导致安全事件的可能性越大；（6）脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；四、风险评估要素识别相互联系（1）业务战略依赖资产去实现；132四、风险评估要素识别相互联系（7）风险的存在及对风险的认识导出安全需求；（8）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（9）安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；（10）风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；（11）残余风险应受到密切监视，它可能会在将来诱发新的安全事件四、风险评估要素识别相互联系（7）风险的存在及对风险的认识导133四、风险评估要素资产 资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。四、风险评估要素资产134四、风险评估要素资产分类 数据 软件 硬件 服务 文档 人员四、风险评估要素资产分类135四、风险评估要素资产赋值方法对资产的赋值不仅要考虑资产本身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一个综合结果的过程。四、风险评估要素资产赋值方法对资产的赋值不仅要考虑资产本身的136四、风险评估要素资产赋值—机密性赋值赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织