信息安全体系风险评估-

信息安全体系风险评估基本概念重要意义工作方式几个关键问题21、什么是风险评估信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。什么是风险评估风险评估的基本概念对基本概念的解释业务战略：即一个单位通过信息技术手段实现的工作任务。一个单位的业务战略对信息系统和信息的依赖程度越高，风险评估的任务就越重要。为什么要首先谈业务战略？这是信息化的目的，一个信息系统如果不能实现具体的工作任务，那么这个信息系统是没有用处的。信息安全不是最终目的，信息安全要服务于信息化。对基本概念的解释（续）资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力等。这是需要保护的对象。只有资产得到保护，单位的业务战略才可以实现。资产价值：资产是有价值的，资产价值可通过资产的敏感程度、重要程度和关键程度来表示。这里指的资产价值不一定是购买时的货币价值。资产价值与业务战略联系紧密。信息安全的投入是有成本的，信息安全投入应适当，与资产的价值相适宜。对基本概念的解释（续）威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、行为、可能性和后果。为什么要谈威胁？如果没有威胁，就不会有安全事件。威胁源动机威胁行为黑客挑战自负反叛破解社会工程系统入侵、闯入未授权访问计算机罪犯破坏信息非法泄漏信息非法篡改数据获取钱财计算机犯罪（例如网络骚扰）欺诈行为（例如重放、身份假冒、截获）伪造系统入侵恐怖分子勒索破坏恶意利用复仇炸弹/恐怖主义信息战系统攻击（例如分布式拒绝服务）系统渗透系统篡改工业间谍竞争优势经济间谍信息窃取侵犯个人隐私社会工程系统渗透未授权的系统访问示例：常见人为威胁对基本概念的解释（续）脆弱性：信息资产及其安全措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。威胁是外因，而脆弱性是内因。外因要通过内因起作用。脆弱性是资产本身所具有的（例如系统没有打补丁），威胁要利用脆弱性才能造成安全事件。脆弱性/威胁对（示例）脆弱性威胁源威胁行为离职员工的系统账号没有从系统中注销离职员工拨号进入网络，并访问单位的保密数据防火墙允许进入方向的telnet，并且在某服务器上允许以guest账号进入未经授权的用户（例如黑客、离职员工、计算机罪犯、恐怖分子）通过telnet，用guest账号进入服务器，浏览系统文件厂商在系统安全设计中存在为人所知的缺陷，但还没有补丁文件未经授权的用户（例如黑客、离职员工、计算机罪犯、恐怖分子）基于已为人所知的系统的脆弱性，未授权地访问敏感的系统文件数据中心使用洒水器来灭火，没有用防水油布来保护硬件和设备火灾、人员疏忽大意打开了数据中心的洒水器对基本概念的解释（续）事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。在描述一个信息安全事件时，要明确：安全事件是如何产生的（与威胁的属性和脆弱性有关）？事件造成了什么后果（与资产有关）？事件的后果有多大（与资产的价值有关）？这个事件发生的可能性有多大（与威胁和脆弱性存在的可能性、威胁的动机等属性有关）？对基本要素的解释（续）风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种因素来衡量。为什么要提出风险的概念？安全事件的发生是有概率的。不能只根据安全事件的后果便决定信息安全的投入和安全措施的强度。对后果严重的极小概率事件，不能盲目投入。因此，要综合考虑安全事件的后果影响及其可能性，两者的综合便是“风险”的概念。高风险要优先得到处理。对基本要素的解释（续）残余风险：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。为什么提出残余风险的概念？风险不可能完全消除。信息技术在发展，外部环境在变化，信息系统本身也要发生变化，信息安全的动态性使得不可能完全消除未来发生安全事件的风险。风险不必要完全消除。资产的价值以及信息安全的投入之间的比例关系决定了对有些安全风险，采取措施反而比不采取措施更糟糕。此外，由于某些原因（例如时间、资金、业务、安全措施不当等原因），仍有些风险需要在以后继续控制和处理。对基本要素的解释（续）残余风险应受到密切监视,因为它可能会在将来诱发新的事件。所谓安全的信息系统，并不是指“万无一失”的信息系统，而是指残余风险可以被接受的安全系统。对基本概念的解释（续）安全需求：为保证单位的业务能够正常开展，在信息安全保障措施方面提出的要求。安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的。要根据威胁的属性和脆弱性的具体情况，有针对性地选择和实施安全措施。风险评估各个要素间的相互作用资产脆弱性脆弱性脆弱性脆弱性脆弱性威胁威胁威胁威胁脆弱性安全措施安全措施安全措施安全措施残余风险残余风险风险残余风险对各要素相互作用的解释通过安全措施来对资产加以保护，对脆弱性加以弥补，从而可降低风险；实施了安全措施后，威胁只能形成残余风险。某些情况下，也可能会有多个脆弱性被同时利用。脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事件。某些脆弱性可以没有对应的威胁，这可能是由于这个威胁不在考虑的范围内，或者这个威胁的影响极小，以至忽略不计。采取安全措施的目的是控制风险，将残余风险限制在能够接受的程度上。内容简介基本概念重要意义工作方式几个关键问题国家对信息安全风险评估工作的要求《国家信息化领导小组关于加强信息安全保障工作的意见》的通知（中办发[2003]27号）在“实行信息安全等级保护”任务中提出：“要重视信息安全风险评估工作，对网络与信息安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”国家对信息安全风险评估工作的要求全国信息安全保障工作会议要求：“开展信息安全风险评估和检查。抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。根据风险评估结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息安全检查。”信息安全风险评估的重要意义风险评估是信息系统安全的基础性工作只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。信息安全风险评估的重要意义（续）风险评估是分级防护和突出重点的具体体现信息安全建设必须从实际出发，坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取有效、科学、客观和经济的措施。加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。发达国家越来越重视风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝着制度化的方向发展。信息安全风险评估的重要意义（续）为什么要提出风险评估的概念？内容简介基本概念重要意义工作方式几个关键问题风险评估流程确定评估范围资产的识别和影响分析威胁识别脆弱性评估威胁分析风险分析风险管理否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档…………………风险评估流程资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障：防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等资产分类方法分类示例服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层资产保密性赋值资产完整性赋值资产可用性赋值资产等级计算公式AV=F(AC,AI,AA)AssetValue资产价值AssetConfidentiality资产保密性赋值AssetIntegrity资产完整性赋值AssetAvailability资产可用性赋值例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=AC×AI×AA资产价值赋值威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。威胁分类表威胁赋值脆弱性识别内容表风险分析原理LFR风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。一般风险计算方法：矩阵法和相乘法风险计算方法矩阵法矩阵法