信息安全基础知识等保、安检张胜信息安全风险评估培训教材

信息安全风险评估课程内容2信息安全风险术语一国家对开展风险评估工作的政策要求二信息安全风险评估三信息安全风险术语资产（Asset）威胁源（ThreatAgent）威胁（Threat）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影响（Impact,loss）风险（ Risk）残余风险（ResidentalRisk）3信息安全风险术语-资产资产是任何对组织有价值的东西，是要保护的对象资产以多种形式存在（多种分类方法）物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）；硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）；有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）；静态的（如设施和规程等）和动态的（如人员和过程等）；技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等。4信息安全风险术语-威胁可能导致信息安全事故和组织信息资产损失的活动。威胁源采取恰当的威胁方式才可能引发风险威胁举例：操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析5漏洞利用拒绝服务窃取数据物理破坏社会工程信息安全风险术语-脆弱性与信息资产有关的弱点或安全隐患。造成风险的内因。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害。脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足6信息安全风险术语-控制措施根据安全需求部署，用来防范威胁，降低风险的措施。举例部署防火墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度7信息安全风险术语-可能性指威胁源利用脆弱性造成不良后果的可能性。举例脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的可能性很小系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生的可能性较小。互联网公开漏洞且有相应的测试工具，发生不良后果的可能性很大。8信息安全风险术语-影响指威胁源利用脆弱性造成不良后果的程度大小举例网站被黑客控制，国家级网站比省市网站的名誉损失大很多。银行门户网站和内部核心系统受到攻击，其核心系统的损失更大。同样型号路由器被攻破，用于互联网骨干路由要比企业内部系统的路由器损失更大。9信息安全风险术语-风险指威胁源采用恰当的威胁方式利用脆弱性造成不良后果。网站存在SQL注入漏洞，普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉10威胁源威胁方式脆弱性风险采取利用造成信息安全风险术语-风险GB/T20984的定义：信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。11对风险的理解风险的五方面威胁源威胁行为脆弱性资产影响12走在路上被陨石砸到走在马路上被汽车撞倒信息安全风险术语之间的关系13威胁源威胁方式脆弱性风险采取利用造成资产不良影响控制措施破坏造成受控制直接影响信息安全风险术语-残余风险指采取了安全措施后，信息系统仍然可能存在的风险。有些残余风险是在综合考虑了安全成本与效益后不去控制的风险残余风险应受到密切监视，它可能会在将来诱发新的安全事件举例风险列表中有10类风险，根据风险成本效益分析，只有前8项需要控制，则另2项为残余风险，一段时间内系统处于风险可接受水平。14信息安全风险术语-风险评估

信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。15风险评估的理解信息系统的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次全面安全风险评估。风险评估是分析确定风险的过程。风险评估的目的是控制风险。16国家对开展风险评估工作的政策要求1、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确提出：“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”

17国家对开展风险评估工作的政策要求2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办【2006】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则风险评估工作的基本要求开展风险评估工作的有关安排18《关于开展信息安全风险评估工作的意见》的实施要求

1、信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施，从而避免产生欠保护或过保护的情况。2、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能，是否满足了信息系统的安全需求并达到预期的安全目标。19《关于开展信息安全风险评估工作的意见》的实施要求

3、由于信息技术的发展、信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期进行信息安全风险评估，以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时进行信息安全风险评估。4、信息安全风险评估也是落实等级保护制度的重要手段，应通过信息安全风险评估为信息系统确定安全等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。20《关于开展信息安全风险评估工作的意见》的管理要求

1、信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，《意见》强调，必须高度重视信息安全风险评估的组织管理工作2、为规避由于风险评估工作而引入新的安全风险，《意见》提出以下要求：1）参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务。2）风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。3）对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。

21《关于开展信息安全风险评估工作的意见》的管理要求

3、加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规范。4、要加强信息安全风险评估核心技术、方法和工具的研究与攻关。5、要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力，为保障和促进我国信息化发展服务。

222071号文件对电子政务提出要求3、为落实《国家电子政务工程建设项目管理暂行办法》（发改委[2007]55号令）对风险评估的要求，发改高技【2008】2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》提出了具体要求：（相当于“信息安全审计”）电子政务工程建设项目应开展信息安全风险评估工作评估的主要内容应包含：资产、威胁、脆弱性、已有的安全措施和残余风险的影响等项目建设单位应在试运行期间开展风险评估工作，作为项目验收的重要依据项目验收申请时，应提交信息安全风险评估报告系统投入运行后，应定期开展信息安全风险评估23风险评估工作承担单位国家保密局涉密信息系统安全保密测评中心涉密系统非涉密系统中国信息安全测评中心国家信息技术安全研究中心公安部信息安全等级保护评估中心风险评估专业队伍24需要强调：一次测评两个报告发改委要求：一次测评工作，提交两个测评报告，即风险评估报告和等保测评报告风险评估报告的格式由中国信息安全测评中心和国家信息技术安全研究中心牵头制定，基本格式参照原国信办检查评估的报告等保测评报告的格式由等级保护的主管部门负责制定25风险评估、安全检查和等级保护测评之间的关系等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评，其中等保测评是符合国家安全要求的测评，安全检查是符合行业主管安全要求的符合性测评。而风险评估是在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。26风险评估实施流程27

准备识别计算

报告一个简化的风险评估流程：准备（Readiness）、识别（Realization）、计算（Calculation）、报告（Report）识别资产威胁漏洞

准备资料审核

SLA

工作计划组队计算威胁概率事件影响风险定级

报告整改建议各类文档

28

风险评估准备工作准备工作中要注意的问题相亲：前期交流（成功案例简介、测评机构资质简介、被测系统大致规模、测评服务费用测算…）订婚：服务水平协议SLA（获取详细资料的前提，对方的授权、双方的义务，可和保密协议整合…）甲方礼单：资料审核（明确系统范围、为现场测评制订问卷清单…）乙方礼单：工作计划（案例分析综合组、管理组、网络组…）迎亲：进场准备（进场通知，如对方或第三方人员；设备准备，如工具等，标识佩戴…）29现场测评30现场测评工作要注意的问题首次会议（必须），听取对方高管的情况简介，向被测单位有关人员说明此次任务、测评计划介绍、双方测评人员的相互认识…问询技巧（直接提问，如业务重要性；间接提问，如安全事件；反向提问，适合于所有方面）资料核对（拓扑核对，管理体系文档，设计文档，设备台账…）现场检测（测试过程记录、抓屏、数据提取…）末次会议（必须），向对方高管简要总结现场测评的初步结论，但切忌做最终结论

31资产识别资产识别在整个风险评估中起什么作用？两点：是整个风险评估工作的起点和终点资产识别的重点和难点是什么？一线：业务战略→信息化战略→系统特征（管理/技术）资产识别的方法有哪些？资产分类：树状法。自然形态分类（勾画资产树：管理、技术…逐步往下细化）；信息形态分类（信息环境、信息载体、信息）32按信息形态分类33威胁识别威胁识别与资产识别是何关系？点和面：重点识别和全面识别威胁识别的重点和难点是什么？三问：“敌人”在哪儿？效果如何？如何取证？威胁识别的方法有哪些？日志分析历史安全事件专家经验互联网信息检索威胁分类分为：人为故意威胁威胁意图评估、威胁能力评估、操作限制评估、威胁源特点评估人为非故意威胁判定威胁源、评估威胁源特点、评估威胁源环境、评估事故发生时间自然威胁地震、海啸、洪水。3435脆弱性识别脆弱性识别的难点是什么？三性：隐蔽性、欺骗性、复杂性脆弱性识别的方法有哪些？脆弱性分类：管理脆弱性、结构脆弱性（如安全域划分不当）、操作脆弱性（如安全审计员业务生疏）、技术脆弱性。脆弱性识别与威胁识别是何关系？验证：以资产为对象，对威胁识别进行验证脆弱性识别内容36常见脆弱性识别工作方式37脆弱性识别方式工作对象安全配置核查服务器、网络设备、终端、中间件、应用软件漏洞扫描主机、应用程序渗透测试系统各个层面安全架构分析系统各个层面数据流分析网络中的数据流访谈管理人员及系统开发、运维技术人员。。。现有安全控制措施识别考虑：防护性措施威慑性措施预警性措施检测性措施应急处理性措施38（二）风险分析GB/T20984-2007《信息安全风险评估规范》给出信息安全风险分析思路

39风险值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产价值；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事件发生后造成的损失。方法优点缺点定性简易的计算方式不必精确算出资产价值不需得到量化的威胁发生率非技术或非安全背景的员工也能轻易参与流程和报告形式比较有弹性本质上是非常主观的对关键资产的财务价值评估参考性较低缺乏对风险降低的成本分析

定量1.结果建立在独立客观的程序或量化指标上大部分的工作集中在制定资产价值和减缓可能风险主要目的是做成本效益的审核风险计算方法复杂需要自动化工具及相当的基础知识投入大个人难以执行定量分析与定性分析40定量分析方法步骤1-评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和间接影响步骤2-确定单一预期损失SLESLE是指发生一次风险引起的收入损失总额。SLE是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失。（SLE类似于定性风险分析的影响。）将资产价值与暴露系数相乘(EF)计算出SLE。暴露系数表示为现实威胁对某个资产造成的损失百分比。步骤3-确定年发生率AROARO是一年中风险发生的次数.41定量分析方法（续）步骤4-确定年预期损失ALEALE是不采取任何减轻风险的措施在一年中可能损失的总金额。SLE乘以ARO即可计算出该值。ALE类似于定量风险分析的相对级别。步骤5-确定控制成本控制成本就是为了规避企业所存在风险的发生而应投入的费用.步骤6-安全投资收益ROSI(实施控制前的ALE）–（实施控制后的ALE）–（年控制成本）=ROSI42后果或影响的定性量度（示例）等级描述

详细情形1可以忽略无伤害，低财务损失2

较小立即受控制，中等财务损失3

中等

受控，高财务损失4

较大大伤害，失去生产能力有较大财务损失5灾难性持续能力中断，巨大财务损失定性分析方法43可能性的定性量度（示例）等级描述

详细情形A几乎肯定预期在大多数情况发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生定性分析方法44风险分析矩阵—风险程度

可能性

后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险H：高风险M：中等风险L:低风险定性分析方法45定性分析方法-矩阵法根据预设的等级划分规则判定风险结果。依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。

46定性分析方法-相乘法（1）计算安全事件发生可能性 威胁发生频率：威胁T1=1； 脆弱性严重程度：脆弱性V1=3。 安全事件发生可能性=（2）计算安全事件的损失 资产价值：资产A1=4； 脆弱性严重程度：脆弱性V1=3。 计算安全事件的损失，安全事件损失=（3）计算风险值 安全事件发生可能性=2； 安全事件损失=3。 安全事件风险值=（4）确定风险等级

47定性分析与定量分析48方法优点缺点定量按经济影响排列风险优先级；按经济价值排列资产价值风险管理的效果以投资回报率衡量结果可用因管理而异的术语来表达（例如货币值和表达为具体百分比随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高–