信息安全风险评估实践与探索

信息平安风险评估实践与探索国家信息中心信息平安研究与效劳中心平安评估事业部禄凯Email:InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter4/29/20251汇报内容一、网络空间平安与风险评估二、评估实践的一些体会三、案例分析四、平安效劳中心业务开展情况4/29/20252一、网络空间平安与风险评估拿到Web后台管理账户结果80端口IE或其他浏览器工具SQL注入方法威胁无处不在：一种常见的攻击资产威胁页面篡改数据失密数据丧失…….政治影响经济影响风险漏洞索引内容：特殊字符4/29/20253一、网络空间平安与风险评估平安威胁日益严重复合威胁：蠕虫、病毒、特洛伊木马黑客攻击基础设施Flash威胁大规模蠕虫侵入分布式Dos攻击可加载病毒和蠕虫（如脚本病毒….）4/29/20254面对层出不穷的平安漏洞和各式各样的威胁，简单的产品堆叠无法保证您的信息平安！一、网络空间平安与风险评估要保护什么到达什么平安程度？是否到达了考核标准？员工Hacks/Cracks自然界和环境威胁内部人员的操作失误或恶意行为系统故障信息及相关资源其他问题蠕虫、木马病毒泛滥4/29/20255一、网络空间平安与风险评估4/29/20256一、网络空间平安与风险评估为了应对这些威胁，在?网络空间平安：迫在眉睫的危机?报告中，PITAC提出了10大优先研究工程，其中信息平安风险评估位列其中。其主要研究内容包括：〔1〕开发网络空间平安测试方法、评估标准；〔2〕风险分析方法和基于不同领域的评估方法〔政治、军事、经济等〕；〔3〕平安风险以及一致性检查的自动评估工具的研发；〔4〕对易受到攻击对象的评估研究工作，如源代码扫描工具；〔5〕通过研究过程管理、配置管理和补丁管理的最正确策略方案，来发现并提供有效的平安管理实施方案。4/29/20257二、评估实践的一些体会〔一〕风险评估工作的实质是什么？以被评估单位的业务为核心，围绕相关资产，对其所具有弱点和所面临的威胁展开分析工作；同时分析和确认该单位已经部署平安措施是否发挥了应有的效力；最终找到风险所在，并提出风险消减解决方案……4/29/20258二、评估实践的一些体会〔二〕评估实施的五个关键阶段4/29/20259二、评估实践的一些体会〔三〕两种常用评估计算方法

相关性分析Ti低0中1高2Ri低0中1高2低0中1高2低0中1高2Ai001212323411232343452234345456334545656744565676781、预设矩阵方法【5×5×5】【5×3×3】【2×2×2】Ti：威胁赋值Ri：脆弱性赋值Vi：资产赋值

相关性分析Ti低0高1Ri低0高1低0高1Ai0012311234简化4/29/202510二、评估实践的一些体会2、二元法那么：Risk〔风险〕＝Impact〔影响〕×Possibility〔可能性〕ImpactPossibility123451123452246810336912154481216205510152025Impact＝威胁对资产的危害程度，f〔V，T〕Possibility＝威胁利用资产脆弱性的可能程度，g〔T，R〕Risk级别说明已达标：1－－5可容忍：6－－10须整改：12－254/29/202511二、评估实践的一些体会4/29/202512二、评估实践的一些体会〔五〕如何躲避评估自身带来的风险信息泄密问题评估结果的效力问题评估过程难于控制问题把握好定性与定量程度问题法律合同评估单位资质评估单位性质从业人员的资质执行的标准评估单位的资质……管理层的意识参与部门的意识成熟方法＆行业经验引入质量管理与控制计算过程的复杂性参数之间的循环嵌套以业务为核心开展评估主观意识依据客观分析4/29/202513三、案例分析案例1：某部委门户网站系统工程案例2：某部委内部信息系统网络工程案例3：国家电子政务外网工程4/29/202514三、案例分析〔1〕工程：某部委门户网站无损测试评估信息系统说明：主站WWW系统、Email系统、VOD系统，子站60个评估内容：黑盒渗透测试、风险分析、加固建议案例分析：模拟攻击测试；SQL攻击渗透测试；DDOS攻击测试；主页篡改测试；……4/29/202515三、案例分析〔2〕案例分析前期工作十分细致，进行了大量情况摸底＆人员访谈；工程实施中，参考了“等级保护〞，“涉密信息系统保护要求〞，“BS7799〞等多项标准；通过评估元素相关性分析＆关联分析，大大减少了后期计算复杂度；……4/29/202516三、案例分析〔3〕工程：国家电子政务外网建设方案平安评估信息系统说明：广域网络、城域网络、32个省级节点…..评估内容：方案评估，资产识别，威胁分析，脆弱性识别，风险分析；案例分析：平安体系咨询；各平安域防护需求；平安域等级划分；容灾分析；潜在威胁类别分析；潜在脆弱性分析……4/29/202517三、案例分析4/29/202518四、平安效劳中心业务开展情况4/29/202519四、平安效劳中心业务开展情况将原始数据与标准进行关联分析等级保护条例涉密系统保护条例ISO17799SOX404GLBABaselII………..或者组织自己的策略相关数据收集等级方式百分比方式图形方式趋势图方法……数据分类展现信息的采集控制分析控制评估控制整改工作部署……综合智能评估工具的研发数据采集标准库分析引擎评价展现数据展现工作流4/29/202520四、平安效劳中心业务开展情