网络安全风险评估培训班课件

网络安全风险评估

录

■网络安全风险管理基础

1、风险相关基础概念

2、信息安全风险相关政策与标准

■网络安全风险管理主要内容

目录1、信息安全风险管理概述

2、信息安全风险管理的基本内容和过程

3、信息系统生命周期与信息安全风险管理

三、网络安全风险评估

1、风险评估工作形式

2、风险评估的实施流程

3、风险评估工具

风险,信息安全风险的概念

理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全

措施等风险相关概念

理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风

险评估的概念

理解风险相关要素之间的关系

Pace?

风险相关基础概念

风险，指事态的概率及其结果的组合（一GB/Z24364-2009《信息安全

风险管理指南》）

信息安全风险，指人为或自然的威胁利用信息系统及其管理体系

中存在的脆弱性导致安全事件的发生及其对组织造成的影响•:——

GB/T20984-2007《信息安全风险评估规范》）

信息安全风险会破坏组织信息资产的保密性、完整性或可用性等

属性

PW4

风险相关基础概念

信息安全，就是保证信息的机密性、完整性和可用性。

机密性：确保信息不被非授权的个人、组织和计算机程序使用

完整性：确保信息没有被篡改和破坏

可用性：确保拥有授权的用户或程序可以及时、正常使用信息

CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：

A

风险的构成

风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径

（脆弱性）、受体（资产）和后果（影响）

环境

Pace6

风险相关术语

■资产(Asset)业务战略

■威胁(Threat)■安全事件

■脆弱性(Vunerability)■安全需求

■可能性(Likelihood,风险准则

Probability)风险评估

■安全措施/控制措施(风险处理

Countermeasure,■风险管理

safeguard,control)

■残余风险(ResidentalRisk)

信息安全风险评估

Pat?7

资产

:资产是任何对组织有他值的左酉，是要保护的对象

'♦资产以多种形式看在（多种分类用去）

物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据

文件等）

硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软

件、工具软件和应用软件等）

有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）

静态的（如设施和规程等）和动态的（如人员和过程等）

技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人

员等）等

PW8

威胁

♦:♦可能导致对系统或组织危害的不希望事故潜在起因

♦:♦引起风险的外因

❖威胁源采取恰当的威胁方式才可能引发风险

♦:♦威胁举例

■操作失误漏洞利用

■滥用授权拒绝服务

-行为抵赖窃取数据

•身份假冒物理破坏

■口令攻击社会工程

-密钥分析

脆弱性

的资产或若干资产的薄弱环节

脆弱性本身并不对资产构成危害，但是在一定条件得到满足时,

iiWW恰当的威胁方式对信息资产造成危害

系统程序代码缺陷

系统设备安全配置错误

系统操作流程有缺陷

维护人员安全意识不足

Pace10

可能性

'♦某件事发生的机会

:簟物源利用脆弱性造成不良后果的机会

脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会

很小

系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的

机会较小

互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大

PW11

影响

:瞿F源利用脆弱性造成不良后果的程度大小

网站被黑客控制，国家级网站比省市网站的名誉损失大很多。

银行门户网站和内部核心系统受到攻击，其核心系统的损失更大。

同样型号路由器被攻破，用于互联网骨干路由要比企业内部系统的路由器损失

更大。

Pace12

风险

。威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性

采取

'威胁源］

利用

造成

威胁方式

网站存在SQL注入漏洞,普通攻击者利用自动化攻击工具很容易

控制网站，修改网站内容，从而损害国家政府部门声誉

13

对信息安全风险的理解

“♦伊星室制&障号旨一种特定的威胁利用一种或一

组脆弱性造成组织的信息相关资产损失或损害的可能性

'♦信息盘金风脸最指信息资产的保密性、完整性和

可用秩遭到祓坏的可能性

”♦信息安全风险只考虑那些对组织有负面影响的事件

'♦风险的五方面

威胁源、威胁行为、脆弱性、资产、影响

Pa<e14

安全措施/控制措施

降

唯要墓置件『励慨唳悬鬻I鬻％各种

实践、规程和机制，它是管理风险的具体手段和方法

:.根全需求部署，用来防范威胁，降低风险的措施

部署防火墙、入侵检测、审计系统

测试环节

操作审批环节

应急体系

终端U盘管理制度

Pace1$

风险术语之同鲜系

造成

Pa<e16

信息安全风险评估

.是依据有关信息安全技术与管理标准，对信息系统及由

其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程

'♦它要评估资产面临的威胁以及威胁利

用脆弱性导致安全事件的可能性，并结

合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响

风险处理.风险管理

'♦风险处理是选择并且执行措施来更改风险的过程

'♦风险管理是识别、控制、消除或最小化可能影响系统资源不确定因

素的过程

Pate18

风险评估VS风险管理

风险管理风险评估

目标将风险降低到可接受水平确定面临的风险并确定其优先级

周期包括风险评估、风险决策、风险控制风险管理中的单个阶段

等所有阶段

计划持续（PDCA）按需要

Pw19

残余风险

♦,采取了安全措施后，信息系统仍然可能存在的风险

'♦有些残余风险是在综合考虑了安全成本与效

益后不去控制的风险*残余风险应受到密切监

视，它可能会在将来诱发新的安全事件'♦举例

风险列表中有10项风险，根据风险成本效益分析，只有前8项需要控

制，则前8项处理后剩余的风险加上另2项风险为残余风险，一段时

间内系统处于风险可接受水平

Pace20

风险相关要素之间的关系

业务战略

依赖

脆弱性:一暴露Bj—具有一

T

利用增加未被满足确定成本

「表全事件：《可能诱发

残余风险'♦未控制一安全措施

Pace21

录

网络安全风险管理基础

1、风险相关基础概念

2、信息安全风险相关政策与标准

网络安全风险管理主要内容

目录1、信息安全风险管理概述

2、信息安全风险管理的基本内容和过程

3、信息系统生命周期与信息安全风险管理

三、网络安全风险评估

1、风险评估工作形式

2、风险评估的实施流程

3、风险评估工具

信息安全风险相关政策与标准

了解我国有关信息安全风险管理的政策要求

了解信息安全风险管理相关的国内外标准

Pw23

我国有关信息安全风险管理的政策要求

避髓器解魏替郭T需替辗

全风险评估工作，将风险评估作为提高我国信息安全保障水平的一项重要举措

了国家电子政务工程建设项目信息安全风险评估工作

叼02£

《关于开展信息安全风险评估工作的意见》（国信办[2006]5

号）的实施要求

■晨窿翎牌评假工作应当贯穿信息系统全生命周期。

规戈IJ设计阶段、%收时均应实施风险评估；运行后应定期实施

座通填信思我会风险评估为信息系统确定安全等级提供依

据,根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求

■风险评估的基本内容和原则

■风险评估工作的基本要求

开展风险评估工作的有关安排

Pace25

《关于开展信息安全风险评估工作的意见》（国信办[2006]5

号）的实施要求

电现避电氏风险评估工作而引入新的安全风险，必须高度重

视彳后,息女全风险评估的组织管理工作。要求：

•参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的

法律法规，并承担相应的责任和义务

・风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人

员签订具有法律约束力的保密协议

•对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评

估工作必须遵循国家的有关规定进行

PW26

集团公司网络安全管理办法对风险评估的要求

集团公司结合国家相关法律法规要求，2019年发布了《集团公司网络安全管理办法》，共七章46条，明确提出集团

公司网络安全实行统一管理、分级负责，遵循"谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，规定了所属企事

业单位承担本单位的网络安全管理责任。

条款内容

胸氐候'（访网公，4

第九条所属企业落实集团公司总体网络安全要求，承担本单位网络安全管理责任，主要负责人是网络安全第一*安金济再心值।遥审M>

责任人，主管网络安全的领导是直接责任人，主要履行以下职责：■T

下■■•■■A，*

（-）明确网络安全归口管理机构和相应岗位，完善网络安全管理制度，实行网络安全管理员持证上岗

se<u<<i<Aia\aK

制度；«

■二•'•«♦♦

（二）编制本单位网络安全解决方案、年度工作计划，其配套项目投资和系统运堆赛用，纳入本单位年»■.•传・

会金.)IMXaafe4RUfVIlKtt.

度预算；»a,“

a.・・.■・.*・.

（=）开展网络安全等级保护、风险评估等工作，制定专酶急预案并弊R演练，

实施网络安全事件的应急处置，组织网络安全检查和培训等工作；

（四）•…•…

PwV

录

网络安全风险管理基础

1、风险相关基础概念

2、信息安全风险相关政策与标准

网络安全风险管理主要内容

目录1、信息安全风险管理概述

2、信息安全风险管理的基本内容和过程

3、信息系统生命周期与信息安全风险管理

三、网络安全风险评估

1、风险评估工作形式

2、风险评估的实施流程

3、风险评估工具

信息安全风险管理相关的国内外标准

♦:♦GB/T20984・2007《信息安全风险评估规范》

GB/Z24364-2009《信息安全风险管理指南》

❖ISO/IEC27005:2011《信息安全风险管理》

❖ISOGUIDE73:2009《风险管理一术语》

❖15031000:2009《风险管理一主要原则和指南》

❖IEC/ISO31010:2009《风险管理一风险评估技术》

❖NISTSP800-30(2012)《实施风险评估指南》

❖NISTSP800-39(2011)《管理信息安全风险：组织、使命和信息系统梗概》

❖NISTSP800-37(2010)《联邦信息系统应用风险管理框架指南：安全生命周期方法》

❖NISTSP800-53(2010)《为联邦信息系统和组织推荐的安全控制措施》

❖NISTSP800-53A(2010)I《联邦信息系统和组织安全控制措施评估指南：建立有效的

安全评估计划》

信息安全风险管理概述

'♦理解实施风险管理的主要原则

'♦理解风险管理的范围和对象

风险管理是各行业采取的普遍工作方法

It空安全风险管理探讨BnehnqontheRiskControloverAviati

IDOC］食品安全风险评估管理规定（试行）近年来，民航业高速发票，时航空安全槎出了更高的要求.由此促使航交安全*

文件格式DOC/McrosoflWord-HTML>就看安全■理科学的发祟在逐渐转眇，由较早的以•我魂查为主到近期的以人为

（三国务院有关部门监督省理工作帚要并提出应叁.浑伯建议IWWWcqvipcom/QK/88616）V2007001/24344626html2010-11-2•口度快照

贸易告塔希夏的第十七条需要开展应急评估计国家食品？

航空安全风险管理模式探讨-《中国安全生产科学技术》2007年0

wwwmohgovcn/oublicfiles/business/cmsre2010-1-26

航空安全带要动套・理因此构建并实施基干向匙♦理的航空安全风险・理模JtU

［PPTJ国际食品安全风险管理发展在文保请了航空公司、机场和交道的安全管理工作如何围岗航空安全向昆为中心

文件格式PPT/MwrosoftPowerpoint-HTML>emuchnet/joumal/articlephp">id=CJFDTota2010-10-24-/度快照

风险管理的相关搜索货易转至的设定必笈以科学的人类健康风险讦估为基岫妁

航空安全风险管理根式探讨Discussionon:heaviationsafetyn

强行磁・理全面唳雷理食品贸易现则和析淮的产格方法国际食品贸易平衙两种不I

・主与工需要一:宜w：曰比相i讣：贷圣干向*宜理的脏〒亍丁爪同省”惶r

wwwfoodmatenet/zhihang/document/fengx）2004-2-27

项目风段掌理金融见跆管理师义。本文保讲了航空公司、机场和文宣的安全道理工作如何围发航空安全问题为

企业磁・理反险・理案例食品安全风险管理基础-食品安全与风险分析-WWWcqvipcom/qk/947950/200702/24210150html2010-10-16•百度快照

双检*理方法用金*理理论11察回复发帖时间200蟀12月22日

困片国航西南砌艮规范安全风险管理推进SMS建设

食品论坛这是在参加标准培训计的裳堂记录，另外发财写:

商业银行■・理公的战站与刖堂T理

2010年4月2日国航西南地照发范安全风险道理推送SMSSt遂图।J也服部等!5

址，［PPT］食R安全标准喻道理题道理基本应用模式

安全运行n息排查.胃影，尹涛民航滨海网2Q10年4月2日消息I航空安全网R'

bbsfoodmatenetthre»d-328304-1-1html2010-11-13­g£

newscamoccom/list/157/157117html2010-7-23-4度快照

鹤山市枳极探煮食品安全风险管理及信用体系建

航空公司安全管理体系中的:音理的分析（06.9）中国民用航

200弹11月18日近年来，外山市政府重视食品安全保陵.

2010年6月9日航空公R安全道理体系中的反趁・理的分析（06-9）发布时阎,

不断创新监・模式，枚极保逑食品安全风跄・理及信用体不

（民航堆修网通讯员方小平报JI）安全管理体系（S”S）起源千英国和澳大利H

WWWnxnewsneV3171/2008-11-18^9@340402htm2008-

WWWcamacorgcn/news/showphp?news_id=24532010-8-8•口度快盥

日本食品安全风险管理体制及启示-《农村经济;

国航西南地服部举办布京安全风险管理培训培训华夏汽车网

蠲H急从航空安全网金篦理概要、方法、安全风险道理的发布、隘校以及地服部

PateSI

通用风险管理定义

'♦定义

是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。

风险管理包括对风险的量度、评估和应变策略。

理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生

的事情优先处理、而相对风险较低的事情则押后处理。

PW32

风险目理是信息安全保障工作有效工作方式

好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使

已知的风险维持在可接受的水平。

好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织

有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用

于解决所有可能的风险

'♦风险管理是一个持续的PDCA管理过程。

PW33

信息安全工作中的风险管理

常见问题问题根源浅析

安全投资逐年增加，但看不到收益没有根据风险优先级做安全投资规划，没有抓

住主要矛盾，导致有限资金的有效利用率低

按照国家要求或行业要求开展信息安全工作，没有根据企业自身安全需求部署安全控制措施,

但安全事件仍出现没有突出控制高风险。

IT安全需求很多，有限的资金应优先拨向哪个决策者没有看到安全投资收益报告，资金划拨

领域无参考依据。

当了CIO,时刻担心系统出事，无法预见可能没有残余风险清单，在什么条件可被触发，如

会出什么事何做好控制

PWM

什么是信息安全风险管理

.定义一：GB/Z24364《信息安全风险管理指南》

信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的

过程。

善标的警髯盘普部识别、优化、管理风险，使风

Pace»

实施风险管理的主要原则

'♦风险管理创造和保护价值

*风险管理是所有组织过程不可分割的一个部分，促进组织的持续改进

*风险管理是透明的，参与人员应包含广泛，同时考虑人员和文化因素

风险管理是定制的，并具有体系化、结构化的特点

风险管理是动态的、反复的和响应变化的

Pace56

风险管理的范围和对象

。信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全

信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体，如纸张、

硬盘、网线等

信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用

平台等硬环境和软环境

♦:・信息安全风险管理涉及信息安全上述三个方面包含的所有相关对象“

对于一个具体的信息系统，风险管理选择的范围和对象重点应有所

木同

P»e37

录

网络安全风险管理基础

1、风险相关基础概念

2、信息安全风险相关政策与标准

■网络安全风险管理主要内容

目录1、信息安全风险管理概述

2、信息安全风险管理的基本内容和过程

3、信息系统生命周期与信息安全风险管理

三、网络安全风险评估

1、风险评估工作形式

2、风险评估的实施流程

3、风险评估工具

信息安全风险管理的基本内容和过程

'♦理解背景建立的主要工作内容

”理解风险评估的主要工作内容

♦'理解风险处理的主要工作内容

*理解批准监督的主要工作内容

。理解监控审查的主要工作内容

理解沟通咨询的主要工作内容

PW39

信息安全风险管理工作内容

GB/Z24364《信息安全风险管理指南》：四个阶段，两个贯穿

背景建立

风险评估沟

通

咨

风险处理

批准监督

Pate40

背景建立

食氟I遍隼易安全风险管理的第一步骤，确定风险

官理的对象和氾围，确立实施风险管理的准备，进行相关信息的调查和分析

风险管理准备：确定对象、组建团队、制定计划、获得支持

信息系统调查：信息系统的业务目标、技术和管理上的特点

信息系统分析：信息系统的体系结构、关键要素

信息安全分析：分析安全要求、分析安全环境

PW<1

背景建立过程

—

—

分

分

调

确

组

制

获

调

调

调

析

析

查

得

建

定

定

查

查

查

信

信

支

信

风

风

风