信息安全风险评估原理和过程课件.ppt

广东计安信息网络培训中心,信息安全风险评估,程晓峰,什么是风险评估？,从深夜一个回家的女孩开始讲起,风险评估的基本概念,资产,业务影响,威胁,脆弱性,风险,钱被偷,100,块,没饭吃,小偷,打瞌睡,服务器,黑客,软件漏洞,被入侵,数据失密,风险评估通俗类比,风险评估,5,风险,风险管理（,Risk Management,）,就是以,可接受的代价，识别、控制、减少或消除可,能影响信息系统的安全风险的过程。,在信息安全领域，,风险（,Risk,）,就是指,各种威胁导致安全事件发生的可能性及,其对组织所造成的负面影响。,风险管理,风险评估（,Risk Assessment,）,就,是对各方面风险进行辨识和分析的过程，,它包括风险分析和风险评价，是确认安,全风险及其大小的过程。,风险,RISK,RISK,RISK,风险,原有风险,采取措施后的剩余风险,影响,威胁,脆弱性,影响,威胁,脆弱性,风险管理的目标,风险评估和风险管理的关系,风险评估是风险管理的关键环节，在风险管理循,环中，必须依靠风险评估来确定随后的风险控制,与改进活动。,资产分类方法,分,类,示例,数,据,保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统,文档、运行管理规程、,计划、报告、用户手册、各类纸质的文档等,软,件,系统软件,:,操作系统、数据库管理系统、语句包、开发系统等,应用软件,:,办公软件、数据库软件、各类工具软件等,源程序,:,各种共享源代码、自行或合作开发的各种代码等,硬,件,网络设备,:,路由器、网关、交换机等,计算机设备,:,大型机、小型机、服务器、工作站、台式计算机、便携,计算机等,存储设备,:,磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等,传输线路,:,光纤、双绞线等,保障设备,:UPS,、变电设备等、空调、保险柜、文件柜、门禁、消防,设施等,安全保障：防火墙、入侵检测系统、身份鉴别等,其他,:,打印机、复印机、扫描仪、传真机等,资产分类方法,分,类,示例,服,务,信息服务,:,对外依赖该系统开展的各类服务,网络服务,:,各种,网络设备、设施提供的网络连接服务,办公服务,:,为提高效,率而开发的管理信息系统,包括各种内部配置管理、文件,流转管理等服务,人,员,掌握重要信息和核心业务的人员,如主机维护主管、网络,维护主管及应用项目经理等,其,它,企业形象、客户关系等,资产识别模型,网络层,机房、通信链路,网络设备,1,操作系统、主机设备,软件,OA,人员、文档、制度,业务层,物理层,主机层,应用层,管理层,EAI/EIP,工程管理,物资管理,生产管理,营销系统,人力资源,综合管理,操作系统、主机设备,网络设备,2,数据,软件,软件,软件,数据,数据,数据,数据,数据,数据,数据,数据层,信息安全属性,?,保密性,CONFIDENTIALATY,确保信息只能由那些被授权使,用的人获取,?,完整性,INTEGRITY,保护信息及其处理方法的准确,性和完整性,?,可用性,AVAILABILITY,确保被授权使用人在需要时可,以获取信息和使用相关的资产,资产保密性赋值,资产完整性赋值,资产可用性赋值,资产等级计算公式,AV=F(AC,AI,AA),Asset Value,资产价值,Asset Confidentiality,资产保密性赋值,Asset,Integrity,资产完整性赋值,Asset Availability,资产可用性赋值,例,1,：,AV=MAX(AC,AI,AA),例,2,：,AV=AC+AI+AA,例,3,：,AV=AC,AI,AA,资产价值赋值,可用性,确保获得授权的用户可访问信息并使用相关信息资产,完整性,保护信息和处理方法的准确和完整,确保只有获得授权的人才能访问信息,保密性,进不来,拿不走,改不了,跑不了,看不懂,可审查,不可抵赖曾经完成的操作和承诺,不可抵赖性,可控制网络信息传播及内容,可控性,确保硬件、软件、环境各方面的运行可以审计,可审计性,信息安全属性,威胁来源列表,来源,描述,环境因素,断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干,扰、洪灾、火灾、地震、意外,事故等环境危害或自然,灾害,以及软件、硬件、数据、通讯线路等方面的故障,人为因,素,恶意人,员,不满的或有预谋的内部人员对信息系统进行恶意破坏,;,采用自主或内外勾结的方式,盗窃机密信息或进行篡改,获取利益,外部人员利用信息系统的脆弱性,对网络或系统的机密,性、完整性和可用性进行破,坏,以获取利益或炫耀能,力,非恶意,人员,内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操,作流程而导致故障或信息,损坏,;,内部人员由于缺乏培训、专业技能不足、不具备,岗,位技能要求而导致信息系统故障或被攻击。,威,胁,分,类,表,威胁赋值,脆弱性识别内容表,脆弱性赋值,风险分析原理,L,F,R,风险值,=R(A,T,V)=R(L(T,V),F(Ia,Va),其中,R,表示安全风险计算函数,;,A,表示资产,;T,表示威胁,;V,表示脆弱性,;,Ia,表示安全事件所作用的资产价值,;Va,表示脆弱性,严重程度,;,L,表示威胁利用资产的脆弱性导致安全事件发生的可,能性,;,F,表示安全事件发生后产生的损失。,一般风险计算方法：矩阵法和相乘法,风险计算方法,矩阵法,矩阵法风险计算,风险等级表,0,1000,2000,3000,4000,5000,6000,7000,边,界,人,员,，,攻,击,混,合,病,毒,好,奇,员,工,，,攻,击,内,部,外,部,人,员,误,操,作,普,通,员,工,，,滥,用,网,络,病,毒,内,部,外,部,人,员,恶,意,基,础,服,务,失,效,交,换,机,硬,件,失,效,灾,难,服,务,器,硬,件,失,效,雷,击,漏,水,服,务,器,软,件,失,效,电,源,失,效,交,换,机,软,件,失,效,温,度,、,湿,度,、,灰,尘,、,静,电,等,邮,件,病,毒,链,路,失,效,介,质,病,毒,完整性风险,机密性风险,可用性风险,风险评价示例,28,?,降低风险（,Reduce Risk,）,采取适当的控制措施来降,低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，,或是改善不规范的工作流程、制定业务连续性计划，等等。,?,避免风险（,Avoid Risk,）,通过消除可能导致风险发生,的条件来避免风险的发生，如将公司内外网隔离以避免来自互,联网的攻击，或是将机房安置在不可能造成水患的位置，等等。,?,转移风险（,Transfer Risk,）,将风险全部或者部分地转,移到其他责任方，例如购买商业保险。,?,接受风险（,Accept Risk,）,在实施了其他风险应对措,施之后，对于残留的风险，组织可以有意识地选择接受。,风险处置策略,29,?,绝对安全（即零风险）是不可能的。,?,实施安全控制后会有残留风险或残,存风险（,Residual Risk,）。,?,为了确保信息安全，应该确保残留,风险在可接受的范围内：,?,残留风险,Rr,原有的风险,R0,控制,R,?,残留风险,Rr,可接受的风险,Rt,?,对残留风险进行确认和评价的过程,其实就是风险接受的过程。决策者可,以根据风险评估的结果来确定一个阀,值，以该阀值作为是否接受残留风险,的标准。,残留风险评价,等保测评与风险评估的区别,?,目的不同,?,等级测评：以是否符合等级保护基本要求,为目的,照方抓药,?,风险评估：以,PDCA,循环持续推进风险管理,为目的,对症下药,等保测评与风险评估的区别,?,参照标准不同,?,等级测评：,GB 17859-1999,计算机信息系统,安全保护等级划分准则,GB/T 22239,2008,信息系统安全等级保护基本要求,GB/T 22240,2008,信息系统安全等级保护定级指南,信息系统安全等级保护测评过程指南（国标报批稿）,信息系统安全等级保护测评要求（国标报批稿）,GB/T 25058-2010,信息系统安全等级保护实施指南,GB/T 25070-2010,信息系统等级保护安全设计技术要求,?,风险评估：,BS7799 ISO17799 ISO27001 ISO,27002 GBT 20984-2007,信息安全技术,信息安全风,险评估规范,等保测评与风险评估的区别,可以简单的理解为等保是标准或体,系，风险评估是一种针对性的手段。,0,2,4,6,8,10,12,物理安全,网络安全,数据安全,主机安全,应用安全,0,2,4,6,8,10,物理安全,网络安全,数据安全,主机安全,应用安全,为什么需要进行风险评估？,该买辣椒水呢还是请保镖？,什么样的信息系统才是安全的,?,如何确保信息系统的安全,?,两个基本问题,什么样的信息系统才是安全的,?,如何确保信息系统的安全,?,风险分析,风险管理,基本问题的答案,潜在损失在可以承受范围之内的系统,风险分析,安全决策,风险管理,两个答案的相关性,安全保障体系建设,安,全,成本,效率,安全,-,效率曲线,安全,-,成本曲线,要研究建设信息,安全的综合成本,与信息安全风险,之间的平衡，而,不是要片面追求,不切实际的安全,不同的信息系统，,对于安全的要求,不同，不是,“,越安全越好”,安全,效率,兼容,信息系统矛盾三角,三类操作系统举例,怎么做风险评估？,评估到底买辣椒水还是请保镖更合适,可能的攻击,信息的价值,可能的损失,风险评估简要版,资产,弱点,影响,弱点,威胁,可能性,+,=,当前的风险级别,风险分析方法示意图,损失的量化必须围绕,用户的,核心价值,，用,户的,核心业务流程,！,如何量化损失,否,是,否,是,风险评估的准备,已有安全措施的确认,风险计算,风,险,是,否,接,受,保持已有的控制措施,施施施,选择适当的控制措施,并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,是,否,接,受,残,余,风,险,风险识别,评估过程文档,评估过程文档,风险评估结果记录,评估结果文档,风险评估流程,等级保护下风险评估实施框架,保,护,对,象,划,分,和,定,级,网,络,系,统,划,分,和,定,级,资产,脆弱性,威胁,风,险,分,析,基本安全要求,等级保护管理办法、指南,信息安全政策、标准、法律法规,安,全,需,求,风险列表,安全规划,风险评估,结合等保测评的风险评估流程,47,风险评估项目实施过程,计划,准备,实施,报告,跟踪,48,评估工作各角色的责任,评估组长,评估员,XX,公司安全管理员,?,负责管理问卷访谈和运维,问卷访谈；,?,组织评估活动，控制协调,进度，保证按计划完成评估,任务；,?,组织召开评估会议；,?,代表评估小组与受评估方,管理层接触；,?,组织撰写风险评估报告、,现状报告和安全改进建议,?,提交评估报告。,?,负责风险评估技术部分的内,容包括：网络、主机系统、应,用和数据库评估,?,熟悉必要的文件和程序；,?,准备风险评估技术评估工具；,?,撰写每单位的评估报告；,?,配合支持评估组长的工作，,有效完成评估任务；,?,收存和保护与评估有关的文件。,?,负责配合顾问提供风,险评估相关的工作环境、,评估实现条件；,?,备份系统数据,;,?,配合评估顾问完成资产,分类、赋值、弱点威胁发,现和赋值、风险处理意见,等工作；,?,掌握风险评估方法；,?,收存和保护与评估有关,的文件。,?,完成扫描后,检查风险评,估后系统的安全性和稳定,性,49,风险评估项目实施过程,计划,准备,实施,报告,跟踪,50,制定评估计划,?,评估计划分年度计划和具体的实施计划，前者通常是评估策划阶段就需,要完成的，是整个评估活动的总纲，而具体的评估实施计划则是遵照年度,评估计划而对每次的评估活动所作的实施安排。,?,评估计划通常应该包含以下内容：,?,目的,：申明组织实施内部评估的目标。,?,时间安排,：评估时间避免与重要业务活动发生冲突。,?,评估类型,：集中方式（本次项目采用集中评估方式）,?,其他考虑因素,：范围、评估组织、评估要求、特殊情况等。,?,评估实施计划是对特定评估活动的具体安排，内容通常包括：,?,目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间,?,评估计划应以文件形式颁发，评估实施计划应该有评估组长签名并得到,主管领导的批准。,51,风险评估计划示例,评估目的,评价信息安全管理体系运行的符合性和有效性,评估范围,评估准则,XX,公司信息安全管理办法,ISO27001,信息安全管理体系。,评估小组,评估组长,评估组员,评估活动,时间,负责人,备注,填写信息资产采,集表,X,月上旬,实施风险评估过,程,X,月中旬,不符合项及高危,风险纠正,X,月末,各相关部门负责,人,跟踪验证,X,月上旬,评估小组,召开风险评估整,改会议,X,月下旬,信息部领导,编制,编写者,时间,年月日,评估,评估者,（信息按照专责签字）,时间,年月日,批准,批准者,（信息部门领导签字）,时间,年月日,52,风险评估实施计划示例,评估目的,对,ISMS,进行内部评估，为体系纠正提供依据，为管理评审提供输入,评估范围,评估准则,XX,公司信息安全管理办法,ISO27001,信息安全管理体系。,评估方式,集中式评估,评估时间,X,年,X,月,X,X,月,X,日,评估组织,评估组长,评估组员,第一小组,第二小组,评估安排,日期,时间,评估区域,评估内容,第一小组,第二小组,第一小组,第二小组,X,9:00-9:30,会议室,首次会议,9:30-12:00,14:00-17:00,17:00-18:00,X,9:00-11:00,11:00-12:00,会议室,评估小组会议,14:00-15:00,会议室,末次会议,编制,编写者,时间,年月日,评估,评估者,（信息安全管理员签字）,时间,年月日,批准,批准者,（信息部管理者签字）,时间,年月日,53,风险评估项目实施过程,计划,准备,实施,报告,跟踪,54,检查列表的四要素,去哪里？,找谁？,查什么？,如何查？,55,风险评估常用方法,?,检查列表,：评估员根据自己的需要，事先编制针对某方面问题的检查列,表，然后逐项检查符合性，在确认检查列表应答时，评估员可以采取调查,问卷、文件审查、现场观察和人员访谈等方式。,?,文件评估,：评估员在现场评估之前，应该对受评估方与信息安全管理活,动相关的所有文件进行审查，包括安全方针和目标、程序文件、作业指导,书和记录文件。,?,现场观察,：评估员到现场参观，可以观察并获取关于现场物理环境、信,息系统的安全操作和各类安全管理活动的第一手资料。,?,人员访谈,：与受评估方人员进行面谈，评估员可以了解其职责范围、工,作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员,访谈时要做好记录和总结，必要时要和访谈对象进行确认。,?,技术评估,：评估员可以采用各种技术手段，对技术性控制的效力及符合,性进行评估。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分,析、本地主机审查、渗透测试等。,56,评估员检查工具,检查列表,?,检查列表（,Checklist,）是评估员进行评估时必备的自用工具，是评估前,需准备的一个重要工作文件。,?,在实施评估之前，评估员将根据分工情况来准备各自在现场评估所需的,检查列表，检查列表的内容，取决于评估主题和被评估部门的职能、范围、,评估方法及要求。,?,检查列表在信息安全管理体系内部评估中起着以下重要作用：,?,明确与评估目标有关的抽样问题；,?,使评估程序规范化，减少评估工作的随意性和盲目性；,?,保证评估目标始终明确，突出重点，避免在评估过程中因迷失方向,而浪费时间；,?,更好地控制评估进度；,?,检查列表、评估计划和评估报告一起，都作为评估记录而存档。,57,?,检查列表编写的依据，是评估准则，也就是信息安全管理标准、组织信,息安全方针手册等文件的要求,?,针对受评估部门的特点，重点选择某些应该格外关注的信息安全问题,?,信息的收集和验证的方法应该多种多样，包括面谈、观察、文件和记录,的收集和汇总分析、从其他信息源（客户反馈、外部报告等）收集信息等,?,检查列表应该具有可操作性,?,检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求,?,如果采用了技术性评估，可在检查列表中列出具体方法和工具,?,检查列表的形式和详略程度可采取灵活方式,?,检查列表要经过信息安全主管人员审查无误后才能使用,检查列表编写注意事项,58,常用技术工具清单,?,技术漏洞扫描工具,?,针对操作系统、典型应用软件漏洞（,Nessus,、绿盟极光、,启明天镜）,?,针对网络端口（,Nmap,）,?,针对数据库漏洞,(,安信通、安恒,),?,针对,Web,漏洞（,IBM Appscan,、,HP WebInspect WVS,）,?,针对网络数据流（,WireShark,、,Ethereal,）,59,风险评估项目实施过程,计划,准备,实施,报告,跟踪,60,召开首次会议,?,在完成全部评估准备工作之后，评估小组就可以按照预先,的计划实施现场评估了，现场评估开始于首次会议，评估小组,全体成员和受评估方领导及相关人员共同参加。,?,首次会议由评估组长主持，评估小组要向组织的相关人员,介绍评估计划、具体内容、评估方法，并协调、澄清有关问题。,?,召开首次会议时，与会者应该做好正式记录。,61,首次会议议程及内容,62,风险评估原则,?,在风险评估前，需要对技术评估的风险进行重审。,?,被评估方应在接受技术评估前对业务系统备份。,?,在技术扫描过程中，需要系统管理员全程陪同。,?,参考最近一年的风险评估记录,.,?,在遇到异常情况时，及时通知管理员，并且停止评估。,?,技术评估安排在对系统影响较小的时间进行,63,实施现场评估,?,首次会议之后，即可进入现场评估。现场评估按计划进行，,评估内容参照事先准备好的检查列表。,?,评估期间，评估员应该做好笔记和记录，这些记录是评估,员提出报告的真凭实据。记录的格式可以是“笔记式”，也可,以是“记录表式”，一般来说，内审活动都应该有统一的“现,场评估记录表”，便于规范化管理。,?,评估进行到适当阶段，评估组长应该主持召开评估小组会,议，借此了解各个评估员的工作进展，提出下一步工作要求，,协调有关活动，并对已获得的评估证据和评估发现展开分析和,讨论。,64,对不符合项进行描述,?,无论是严重不符合项还是轻微不符合项，评估员都应该将其记录到不符,合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并,经过,受评估方确认,的对不符合项的陈述，是最终的评估报告的一部分，是评估,小组提交给委托方或受评估方的正式文件。,?,不符合项描述应该明确以下内容：,?,在哪里发现的？描述相关区域、文件、记录、设备,?,发现了什么？客观描述发现的事实,?,有谁在场？或者和谁有关？描述相关人员、职位,?,为什么不合格？描述不符合原因，所违背的标准或文件条款,?,在对不符合项进行描述时，应该注意：,?,不符合项描述务必清楚明白，便于追溯,?,描述语句务必正规，采用标准术语,65,现场工作时间安排（一）,现场工作时间安排（二）,67,召开评估小组会议,?,现场评估结束后，末次会议召开之前，评估小组应该召开内部碰头会。,或者是在整个评估过程中，定期（每天结束时）召开评估小组碰头会,?,同一评估小组的成员参加,?,会议期间讨论当前的评估结果,?,沟通评估信息、线索,?,协调评估方向，控制评估实施按计划进行,?,评估组长作评估总结准备。在末次会议之前的评估组会议中，评估组长,要对评估的观察结果作一次汇总分析：,?,从发现的风险进行分析（发生的部门、要素、性质、类型）,?,从技术漏洞的趋势分析（不同业务系统的比较）,?,从体系运行状况对影响情况进行分析,?,总结各项安全措施落实的优缺点,68,召开末次会议,?,现场评估之后，评估组长应该主持召开末次会议，有评估小组、受评估,方领导和各相关部门负责人共同参加。,?,末次会议的任务在于：向受评估方介绍评估的情况；报告评估发现（重,大风险点）和评估结论；提出后续工作的建议（纠正措施等）；结束现场,评估。,69,末次会议议程及内容,等级保护测评中的风险分析,?,风险分析和评价,安全事件可能性分析,安全事件后果分析,风险分析和评价,重点回顾,?,风险评估基本概念,(P5),?,资产赋值的一般方法,(P11-P16),?,风险分析原理,(P23),?,风险评估流程,(P54),