第11章-信息安全风险评估

第11章信息安全风险评估技术2主要内容风险评估中的概念风险评估标准风险评估流程与方法风险管理-3-信息安全的定义机密性（integrity）：•确保该信息仅对已授权访问的人们才可访问•只有拥有者许可，才可被其他人访问完整性（confidentiality）：•保护信息及处理方法的准确性和完备性；•不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：•当要求时，即可使用信息和相关资产。•不因系统故障或误操作使资源丢失。•响应时间要求、故障下的持续运行。其他：可控性、可审查性-4-KeywordsI信息安全：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。-5-KeywordII威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。6风险综述在系统工程过程中，风险是对达到属于技术性能，成本和进度方面的目的和目标的不确定性的一种量度。风险等级用事件和事件结果的概率来分类。对获取程序，系统在产品和过程方面进行风险评价。风险源包括技术的（可行性，可操作性，生产性，测试性和系统的有效性）；成本（预算，目标），计划表（即技术资料的可用性，技术成就，里程碑）；和规划（即资源、合同）。-7-风险评估的目的和意义认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据-8-(1)系统太脆弱，太容易受攻击；(2)被攻击时很难及时发现和制止；(3)有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势；(4)在规模和复杂程度上不断扩展网络而很少考虑其安全状况的变化情况；(5)因信息系统安全导致的巨大损失并没有得到充分重视，而有组织的犯罪、情报和恐怖组织却深谙这种破坏的威力。信息系统安全领域存在的挑战-9-文化安全信息安全系统安全物理安全信息安全涉及哪些因素?-10-因特网的安全涉及哪些因素系统安全信息安全物理安全又称实体安全又称运行安全又称数据安全又称内容安全-11-关于物理安全作用点：对计算机网络与计算机系统的物理装备的威胁，主要表现在自然灾害、电磁辐射与恶劣工作环境方面。外显行为：通信干扰，危害信息注入，信号辐射，信号替换，恶劣操作环境。防范措施：抗干扰系统，防辐射系统，隐身系统，加固系统，数据备份。-12-关于系统安全作用点：对计算机网络与计算机系统可用性与可控性进行攻击。外显行为：网络被阻塞，黑客行为，非法使用资源等，计算机病毒，使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施：防止入侵，检测入侵，攻击反应，系统恢复。-13-关于信息安全作用点：对所处理的信息机密性与完整性的威胁，主要表现在加密方面。外显行为：窃取信息，篡改信息，冒充信息，信息抵赖。防范措施：加密，完整性技术，认证，数字签名。-14-作用点：有害信息的传播对我国的政治制度及传统文化的威胁，主要表现在舆论宣传方面。外显行为：淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击，互联网被利用作为串联工具，传播迅速，影响范围广。防范措施：设置因特网关，监测、控管。关于文化安全-15-系统风险管理系统风险管理是一个识别什么会出错，测定和评价有关的风险，实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。风险在系统定义，系统规范，系统设计，系统实现或系统操作和支持期内的任何时候都要被识别出来。-16-安全风险和安全风险管理安全风险可被认为是满足系统安全技术要求的不确定性的度量。安全风险管理是识别安全攻击及其相关结果的可能性，然后，如果需要，可动用资源，使系统的安全风险降低到可接受的水平。-17-信息系统风险模型所有者攻击者对策漏洞风险威胁资产-18-风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响-19-AS/NZS4360：1999风险管理•澳大利亚和新西兰联合开发的风险管理标准•将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。•分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。ISO/IECTR13335信息技术安全管理指南•提出了风险评估的方法、步骤和主要内容。•主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。NISTSP800-30：信息技术系统风险管理指南•提出了风险评估的方法论和一般原则，•风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。国外相关信息安全风险评估标准简介-20-我国信息安全风险评估标准发展历程2001年，随着GB/T18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。2004年，提出了《信息安全风险评估指南》标准草案，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对《信息安全风险评估指南》进行了修改。2005～2006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术信息安全风险评估规范。-21-《信息安全风险评估规范》标准操作的主要内容引言定义与术语风险评估概述风险评估流程及模型风险评估实施•资产识别•脆弱性识别•威胁识别•已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录-22-风险评估框架及流程风险评估中各要素的关系脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足-23-风险分析原理威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件的损失风险值威胁识别脆弱性识别资产识别-24-风险评估实施(1)风险评估的准备•（1）确定风险评估的目标；•（2）确定风险评估的范围；•（3）组建适当的评估管理与实施团队；•（4）进行系统调研；•（5）确定评估依据和方法；•（6）获得最高管理者对风险评估工作的支持。-25-资产识别•资产分类•资产赋值:机密性、完整性、可用性三方面的赋值•资产重要性等级威胁识别•威胁分类•威胁来源分类•威胁赋值脆弱性识别•识别内容：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。•脆弱性赋值：等级赋值，技术脆弱性与管理脆弱性的结合。风险评估实施-26-已有安全措施确认•安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。•安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险分析•计算安全事件发生的可能性•计算安全事件发生后的损失•计算风险值•风险等级判定风险评估实施-27-信息系统生命周期各阶段的风险评估规划阶段的风险评估设计阶段的风险评估实施阶段的风险评运行维护阶段的风险评估废弃阶段的风险评估每个阶段的实施内容稍有不同，目的和方法一致。-28-风险评估的工作形式自评估•适用于对自身的信息系统进行安全风险的识别、评价•自评估可以委托风险评估服务技术支持方实施，也可以自行实施检查评估：•一般由主管机关发起，通常都是定期的、抽样进行的评估模式•旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内风险评估应以自评估为主，检查评估对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。-29-附录风险的计算方法•矩阵法：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。•相乘法：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算。风险评估的工具•风险评估与管理工具•系统基础平台风险评估工具•风险评估辅助工具-30-现有风险评估方法综述定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的对比。基于系统安全模型体系的分析方法：针对某个典型的（或固定）的系统，建立其安全要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系。-31-现有风险评估方法综述定性分析方法•定性分析方法一般适用于：•a）风险识别；•b）造成风险的原因分析；•c）威胁发生所造成的影响分析等。例如：•针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度；-32-现有风险评估方法综述（3）定量分析方法•以获取到或采取一定方法量化后得到的被调查对象的定量数据为基本材料，依据一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用于：•a）确立威胁发生概率；•b）预测系统风险发生概率；•c）确立系统总体风险评价等。例如：•对运行在某个平台上的不同主机、应用系统分别进行等价化的赋值，综合分析每个资产的威胁、脆弱性，得到各资产的风险量化值。-33-现有风险评估方法综述（4）基于系统安全模型体系的分析方法•在一般风险评估原理的指导下，针对被评估信息系统实际情况（包括：系统技术特性、组织特性、资产情况、安全假设、脆弱点、威胁、保护措施等）建立有针对性、合理的评估安全需求；•同时建立评估指标体系、评估流程、评估模型，通过系统对评估要求的满足程度进行判断风险评估的指导作用。•例如：•网上政务安信息系统安全保障要求•HIS系统安全保障要求•实际固化了前期的资产识别、威胁分析，仅做审核、结论性判断。-34-资产识别的类型-35-例：常见系统薄弱点及其对应威胁-36-风险评估报告•评估方法•信息系统分析与描述•业务信息流分析•资产识别与划分•威胁分析•安全风险分析与统计信息系统脆弱性评估报告：以资产为主线，描述各资产存在的脆弱性，包括：•主要服务器操作系统、数据库系统•应用系统•网络与交换设备•安全管理体系•物理环境4.7风险评估报告风险评估的输出结果——风险评估报告