信息安全风险评估技术简介(86页)

信息安全风险评估技术简介宁家骏（国家信息中心信息安全研究与服务中心）2005.12提纲一、信息安全形势需要评估二、信息化风险及风险管理研究三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵加强信息安全保障工作是当前形势的需要落实27号文件，一手抓信息化，一手抓安全，谁主管谁负责，谁运营谁负责积极防御、综合防范重点保障网络基础设施和重要信息系统的安全正确处理等级保护与风险评估的关系加强信息安全基础设施建设我国信息安全问题的突出表现病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势境外敌对势力利用信息通讯网络造谣诽谤、组织动员、煽动闹事和破坏；国外反华势力加大对我意识形态和文化渗透。不良和有害信息屡禁不止，利用信息网络技术从事犯罪活动日益猖獗，网络群体层出不穷，网上舆论传播直接影响社会稳定。通讯与信息网络上失密、泄密及窃密事件时有发生。直接影响到政府管理效率和公众形象。环境和背景近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批宝贵的信息资产。与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。我国面临的信息安全问题的性质我国面临的信息安全问题已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。•它不仅是一个“不对称”的高技术对抗问题，而且是一个直接影响国计民生、关乎国家安全与政权稳定的现实问题。•确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。病毒等网络欺诈行为导致全球经济损失惊人最近Gartner组织公布了一项研究报告：每年由于病毒等网络欺诈行为导致全球经济损失高达160多亿美元。“表哥，你最近还好吗？知道我是谁吗？看了我的相片你就知道了！”这是在上海某银行上班的杨先生收到一封邮件，谁知邮件还未打开，电脑出现了黑屏。杨先生还没有弄清是哪个“表妹”发来的玉照便丢失了大量银行保密资料，给单位造成的损失无法估量。去年6月浙江警方破获一起“黑客窃取网游密码案”，单单一个黑客就窃取网游账号6万多个，价值上百万元。去年6月3日至9月19日，就发现较大规模僵尸网络59个，平均每天发现3万个受黑客控制的“僵尸”计算机。包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大行其道，它们侵入用户电脑安装插件和后门程序，窃取个人信息，一年之内使自己的流量上升600%；而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等，更是数不胜数。从鸩酒到慢药：“混合性威胁”的时代已经到来根据IDC最新的调查结果，如今计算机用户面临的三项最严重的安全威胁依次是垃圾邮件、DdoS攻击和网上欺诈。与前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈爆发不同，近年来各种各样的“谍件”或恶意代码开始在网上肆虐，其疯狂程度已超过了传统的病毒威胁。倘若把病毒比作剧毒的鸩酒，那么“间谍软件”就如同小说里的“慢药”，毒性更强，中毒后还不易被察觉。由于利益驱动，“间谍软件”大都采用巧妙的形式潜伏于用户的个人电脑中，它们更难被被发现，却能窃取用户宝贵个人资料，以非法获利，这就是“网上欺诈”。今天用户面对的安全威胁更复杂，经常是由多种善变的威胁组成的“混合型威胁”，包括病毒、蠕虫、间谍软件、拒绝服务攻击等。网络安全问题正日益严峻。科研、产业与服务体系技术与管理标准体系国家信息安全保障体系提纲一、信息安全形势依然严峻二、信息化风险及风险管理研究三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵二、信息化风险及风险管理研究随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。2.1信息化风险的定义风险指行动或者事件的结果的不确定性（uncertaintyofoutcome）。信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指评估风险、确认风险、回应风险的过程。2.2信息安全基本属性机密性Confidentiality完整性Integrity可用性Availability2.3信息化风险的主要特征全球性传染性复杂性隐蔽性信息安全范畴安全组织访问控制业务不间断运转物理安全等等……入侵预防与检测2.4信息化风险的内在原因基本原因在于内因，由信息化自身的特点所决定：第一，信息化的无疆界特征；第二，信息化的低成本特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。第一，自然灾害；第二，误操作和安全生产事故；第三，病毒、蠕虫以及网络攻击；第四，由于信任体系不完善，借助信息化手段进行欺诈；第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；；第六，因外部因素造成信息、数据的泄露、篡改和丢失；第七，安全防范措施不到位的高端技术。2.5信息化风险的外部原因2.6我国信息安全风险的生成机理第一，战略能力不足，规划不明确。（1）缺乏项目的建设战略（2）缺乏项目的中长期发展规划（3）缺乏明确项目的发展步骤（4）缺乏项目的阶段性绩效标准第二，领导与组织能力不到位，统筹协调不力领导对于风险管理的重视不足，忽视信息化项目的风险问题；信息化目标的错误设定，片面追求某些指标，忽视质量；信息孤岛问题以及跨部门之信息化进程的协调问题；信息安全总体设计不到位；项目建设规划、评估和监理存在缺位和不足2.6我国信息安全风险的生成机理（续）第三，信息化管理的能力差，管理体系不成熟。（1）对信息化管理的理念认识和关注不足；（2）管理基础（包括信息化建设中决策机制、信息透明和公开、实施过程的监督等）不完善；（3）缺乏信息化建设周期中质量控制和评估标准；2.6我国信息安全风险的生成机理（续）第四，安全子系统建设资金的预算和管理能力差（1）对信息系统未作风险评估和分析，安全子系统建设投资预算缺乏科学依据或过度保护或保护不力；（2）总体资金支持不足；（3）信息安全投资的回报难以监控和评估。2.6我国信息安全风险的生成机理（续）第五，人力资源不足（1）缺乏信息安全风险管理的人员（2）缺乏具备信息安全管理能力和资格的人员；（3）培训滞后于项目，培训效果差。2.6我国信息安全风险的生成机理（续）第六，法规、标准与政策滞后于信息化发展相关法制工作滞后于信息化建设需求；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。再次，缺乏对信息安全风险的管理规范和技术标准。2.6我国信息安全风险的生成机理（续）第七，保护隐私，数据安全，技术管理方面的不足。在泄露隐私方面：（1）不当授权他人或机构滥用用户信息；（2）未遵循法律或法规制定相应的隐私和记录管理政策。在影响数据安全方面：（1）工作人员对安全因素和措施缺乏足够认知；（2）难以解决相关安全问题；（3）病毒或黑客攻击导致系统瘫痪；（4）由于一个主要系统瘫痪导致其它系统的失灵。2.6我国信息安全风险的生成机理（续）提纲一、信息安全形势需要评估二、信息化风险及风险管理研究三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵克服安全“亚健康”的必由之路医学专家告诉我们：人的躯体有健康、亚健康和患病等多种状态但成年人多数处于亚健康状态如何确认和发现问题，必须体检信息系统也一样，在安全状态方面，常常处于“亚健康”甚至患病状态，因此也要“体检”—这就是风险评估居安思危，思则有备温总理：清醒就是要认识到我们已经取得的成绩，只是在现代化的进程迈出了第一步，今后的路还更长，更艰苦。形势稍好，尤需兢慎。思所以危则安，思所以乱则治，思所以亡则存。《左传》云：“居安思危，思则有备，有备无患，敢以此规。”安全风险评估同样蕴涵了这一思想。曾有一个关于名医扁鹊的传说。扁鹊有兄弟三人，有一次齐国国君问他：“其孰最善为医？”扁鹊答：两个哥哥都在自己之上。齐王不解。扁鹊说：两个哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全显露，才能加以诊治。扁鹊的话告诉我们一个简单的道理：事后控制不如事中控制，事中控制不如事前控制。健康安全是这样，网络信息安全亦然。风险评估的理念安全需要风险管理，信息安全更需要风险管理风险评估是当前解决信息安全问题的重要手段风险评估是一种方法和依据信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。信息安全风险评估的概念风险评估是对系统进行信息安全风险管理的基础，也是系统的使用单位或组织判定在系统的整个生命周期中，有关风险级别的过程。其结果是残留风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。信息安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。影响则是按照系统在单位任务实施中的重要程度来确定的。对风险评估总体要求的理解风险评估工作总体要求是：充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。风险管理贯穿于信息系统生命周期的整个过程风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。这个过程并不是IT行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说，信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段。美国NIST提出的信息系统安全框架风险评估的过程安全措施业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露增加导出演变未控制可能诱发残留成本资产资产价值风险要素关系示意图信息系统安全评估体系的构成风险分析的基本要素风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度。资产识别资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息