信息安全风险评估与风险管理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险分析
• 计算安全事件发生的可能性 • 计算安全事件发生后的损失 • 计算风险值 • 风险等级判定
- 21 -
All rights reserved © 2006
风险评估实施 (4)
风险评估文件记录
• 风险评估文件记录的要求 • 风险评估文件 的类型、多少
• 风险评估方案 • 资产识别清单 • 重要资产清单 • 威胁列表 • 脆弱性列表 • 风险评估报告 • 风险处理计划
国外相关信息安全风险评估标准简介(2)
AS/NZS 4360:1999 风险管理 • 澳大利亚和新西兰联合开发的风险管理标准 • 将对象定位在“信息系统”;在资产识别和评估时,采取半定量化的
方法,将威胁、风险发生可能性、造成的影响划分为不同的等级。 • 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。
评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级 别的过程。
- 11 -
All rights reserved © 2006
我国信息安全风险评估标准发展历程
2001年,随着GB/T 18336的正式发布,从风险的角度来认识、理解信 息安全也逐步得到了业界的认可。
2003年,国务院信息化办公室成立了风险评估研究课题组,对风险评估 相关问题进行研究。
• 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别 基础设施脆弱性、决定安全风险管理策略。
• OCTAVE 实施指南(OCTAVESM Catalog of Practices, Version 2.0),该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。
- 10 -
All rights reserved © 2006
ISO/IEC TR 13335信息技术安全管理指南 • 提出了风险评估的方法、步骤和主要内容。
• 主要步骤包括:资产识别、威胁识别、脆弱性识别、已有控制措施确 认、风险计算等过程。
NIST SP800-30:信息技术系统风险管理指南 • 提出了风险评估的方法论和一般原则, • 风险及风险评估概念:风险就是不利事件发生的可能性。风险管理是
安全措施
风险分析原理
威胁识别 脆弱性识别 资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件的损失
风险值
- 17 -
Hale Waihona Puke Baidu
All rights reserved © 2006
(1)对资产进行识别,并对资产的价值进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
风险评估的工作形式
自评估
• 适用于对自身的信息系统进行安全风险的识别、评价 • 自评估可以委托风险评估服务技术支持方实施,也可以自行实施
检查评估 :
• 一般由主管机关发起,通常都是定期的、抽样进行的评估模式 • 旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内
风险评估应以自评估为主,检查评估对自评估过程记录与评估结 果的基础上,验证和确认系统存在的技术、管理和运行风险,以 及用户实施自评估后采取风险控制措施取得的效果。
• 风险评估与管理工具 • 系统基础平台风险评估工具 • 风险评估辅助工具
- 25 -
All rights reserved © 2006
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
- 26 -
All rights reserved © 2006
现有风险评估方法综述(1)
定性分析方法:针对某个被评估对象,确定其潜在的风险,描述可能引 起风险的原因。
定量分析方法:在某个基准上,建立不同资产的等级化评价模型,定量 描述某个资产的风险值,可以做到不同资产之间风险状况的对比。
基于系统安全模型体系的分析方法:针对某个典型的(或固定)的系统 ,建立其安全要素的模型,以及判定某个要素的条件和内容,有相对完 善、固定的评估模型体系。
- 18 -
All rights reserved © 2006
风险评估实施 (1)
风险评估的准备
• (1)确定风险评估的目标; • (2)确定风险评估的范围; • (3)组建适当的评估管理与实施团队; • (4)进行系统调研; • (5)确定评估依据和方法; • (6)获得最高管理者对风险评估工作的支持。
- 24 -
All rights reserved © 2006
附录
风险的计算方法
• 矩阵法 :通过构造两两要素计算矩阵,得到第三个要素的判断值,是 一种基于经验的判断方法。
• 相乘法 :直接使用两个要素值进行相乘得到另一个要素的值。相乘法 的特点是简单明确,直接按照统一公式计算 。
风险评估的工具
- 12 -
All rights reserved © 2006
《信息安全风险评估规范》标准操作的主 要内容
引言 定义与术语 风险评估概述 风险评估流程及模型 风险评估实施 • 资产识别 • 脆弱性识别 • 威胁识别 • 已有安全措施确认 风险评估在信息系统生命周期中的不同要求 风险评估的形式及角色 附录
目的
• 信息系统所有者:使用本标准为其选择安全措施,实施信息系统保护 提供技术支持,依据本标准中提出的安全风险理念选择技术与管理控 制措施;
• 风险评估的实施者:依据本标准进行风险评估,依据本标准的判定准 则,做出科学的判断。
• 信息系统管理机构:依据本标准对信息系统及其管理进行安全检查, 推动行业或地区信息安全风险管理的实施。
- 27 -
All rights reserved © 2006
现有风险评估方法综述(2)
后果 风险
可能性
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
-9-
All rights reserved © 2006
国外相关信息安全风险评估标准简介(1)
ISO 27001:信息安全管理体系规范、ISO 17799 信息安全管理实践指南 • 基于风险管理的理念,提出了11个控制大类、34个控制目标和133个
(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值 ;
(4)根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;
(5)根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件 的损失;
(6)根据安全事件发生的可能性以及安全事件的损失,计算安全事件一 旦发生对组织的影响,即风险值。
- 22 -
All rights reserved © 2006
信息系统生命周期各阶段的风险评估
规划阶段的风险评估 设计阶段的风险评估 实施阶段的风险评 运行维护阶段的风险评估 废弃阶段的风险评估
• 每个阶段的实施内容稍有不同,目的和方法一致。
- 23 -
All rights reserved © 2006
完整性、可用性或合法使用所造成的危险。
-4-
All rights reserved © 2006
Key word II
❖ 威胁(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。
❖ 薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。
❖ 风险(Risk): 特定的威胁利用资产的一种或一组薄弱点,导致资产的
丢失或损害的潜在可能性,即特定威胁事件发生的可能性 与后果的结合。
-5-
All rights reserved © 2006
风险评估的目的和意义
认识现有的资产及其价值 对信息系统安全的各个方面的当前潜在威胁、弱点和影响进 行全面的评估 通过安全评估,能够清晰地了解当前所面临的安全风险,清 晰地了解信息系统的安全现状 明确地看到当前安全现状与安全目标之间的差距 为下一步控制和降低安全风险、改善安全状况提供客观和翔 实的依据
- 15 -
All rights reserved © 2006
风险评估框架及流程
风险评估中各要素的关系
业务战略
依赖
- 16 -
脆弱性
暴露
资产
具有
利用
威胁
增加 增加
未被满足
风险
导出
演变
抵御
降低
安全事件
可能诱发
All rights reserved © 2006
残余风险
未控制
资产价值
成本
安全需求
被满足
-3-
All rights reserved © 2006
Key words I
信息安全:信息的保密性、完整性、可用性的保持。
风险评估:对信息和信息处理设施的威胁,影响和薄弱 点以及威胁发生的可能性的评估。
风险管理:以可接受的费用识别、控制、降低或消除可 能影响信息系统安全的风险的过程。
威胁:是指某个人、物、事件或概念对某一资源的保密性、
- 19 -
All rights reserved © 2006
风险评估实施 (2)
资产识别
• 资产分类 • 资产赋值 :机密性、完整性、可用性三方面的赋值 • 资产重要性等级
威胁识别
• 威胁分类 • 威胁来源分类 • 威胁赋值
脆弱性识别
• 识别内容 :技术脆弱性涉及物理层、网络层、系统层、应用层等各 个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管 理脆弱性两方面。
-6-
All rights reserved © 2006
信息系统风险模型
所有者 攻击者
对策
漏洞
威胁
风险
资产
-7-
All rights reserved © 2006
风险计算依据
资产拥有者
信息资产 价值
弱点 难易程度
威胁来源
威胁
可能性
影响
严重性
-8-
All rights reserved © 2006
- 13 -
All rights reserved © 2006
标准内容:引言
提出了风险评估的作用、定位及目的。
作用:
• 过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措 施等进行分析,确定信息系统面临的安全风险,从技术和管理两个层 面综合判断信息系统面临的风险。
定位 • 建立信息安全保障机制中的一种科学方法。
2004年,提出了《信息安全风险评估指南》标准草案 ,其规定了风险评 估的一些内容和流程,基本与SP800-30中的内容一致。
2005年,国信办在全国4个省市和3个行业进行风险评估的试点工作,根 据试点结果对《信息安全风险评估指南》 进行了修改。
2005~2006年,通过了国家标准立项的一系列程序,目前已进入正式发 布阶段。正式定名为:信息技术 信息安全风险评估规范。
- 14 -
All rights reserved © 2006
范围 • 本标准提出了风险评估的要素、实施流程、评估内容、评
估方法及其在信息系统生命周期不同阶段的实施要点,适 用于组织开展的风险评估工作。
规范性引用文件 • 说明标准中引用到其他的标准文件或条款。
术语和定义 • 对标准中涉及的一些术语进行定义。
• 脆弱性赋值 :等级赋值,技术脆弱性与管理脆弱性的结合。
- 20 -
All rights reserved © 2006
风险评估实施 (3)
已有安全措施确认
• 安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性 ,抵御了威胁。
• 安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件 的弱点,而是一类具体措施的集合,为风险处理计划的制定提供依据 和参考。
信息安全风险评估与风险管理
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
-2-
All rights reserved © 2006
信息安全的定义
机密性(integrity): • 确保该信息仅对已授权访问的人们才可访问 • 只有拥有者许可,才可被其他人访问 完整性(confidentiality): • 保护信息及处理方法的准确性和完备性; • 不因人为的因素改变原有的内容,保证不被非法改动和销毁 可用性(availability): • 当要求时,即可使用信息和相关资产。 • 不因系统故障或误操作使资源丢失。 • 响应时间要求、故障下的持续运行。 其他:可控性、可审查性
控制措施 ; • 提出风险评估的要求,并未对适用于信息系统的风险评估方法和管理
方法做具体的描述。
OCTAVE:Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework
• 卡耐基梅隆大学软件工程研究所(CMU/SEI)开发的一种综合的、系 统的信息安全风险评估方法
• 计算安全事件发生的可能性 • 计算安全事件发生后的损失 • 计算风险值 • 风险等级判定
- 21 -
All rights reserved © 2006
风险评估实施 (4)
风险评估文件记录
• 风险评估文件记录的要求 • 风险评估文件 的类型、多少
• 风险评估方案 • 资产识别清单 • 重要资产清单 • 威胁列表 • 脆弱性列表 • 风险评估报告 • 风险处理计划
国外相关信息安全风险评估标准简介(2)
AS/NZS 4360:1999 风险管理 • 澳大利亚和新西兰联合开发的风险管理标准 • 将对象定位在“信息系统”;在资产识别和评估时,采取半定量化的
方法,将威胁、风险发生可能性、造成的影响划分为不同的等级。 • 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。
评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级 别的过程。
- 11 -
All rights reserved © 2006
我国信息安全风险评估标准发展历程
2001年,随着GB/T 18336的正式发布,从风险的角度来认识、理解信 息安全也逐步得到了业界的认可。
2003年,国务院信息化办公室成立了风险评估研究课题组,对风险评估 相关问题进行研究。
• 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别 基础设施脆弱性、决定安全风险管理策略。
• OCTAVE 实施指南(OCTAVESM Catalog of Practices, Version 2.0),该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。
- 10 -
All rights reserved © 2006
ISO/IEC TR 13335信息技术安全管理指南 • 提出了风险评估的方法、步骤和主要内容。
• 主要步骤包括:资产识别、威胁识别、脆弱性识别、已有控制措施确 认、风险计算等过程。
NIST SP800-30:信息技术系统风险管理指南 • 提出了风险评估的方法论和一般原则, • 风险及风险评估概念:风险就是不利事件发生的可能性。风险管理是
安全措施
风险分析原理
威胁识别 脆弱性识别 资产识别
威胁出现的频率 脆弱性的严重程度
资产价值
安全事件的可能性 安全事件的损失
风险值
- 17 -
Hale Waihona Puke Baidu
All rights reserved © 2006
(1)对资产进行识别,并对资产的价值进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
风险评估的工作形式
自评估
• 适用于对自身的信息系统进行安全风险的识别、评价 • 自评估可以委托风险评估服务技术支持方实施,也可以自行实施
检查评估 :
• 一般由主管机关发起,通常都是定期的、抽样进行的评估模式 • 旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内
风险评估应以自评估为主,检查评估对自评估过程记录与评估结 果的基础上,验证和确认系统存在的技术、管理和运行风险,以 及用户实施自评估后采取风险控制措施取得的效果。
• 风险评估与管理工具 • 系统基础平台风险评估工具 • 风险评估辅助工具
- 25 -
All rights reserved © 2006
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
- 26 -
All rights reserved © 2006
现有风险评估方法综述(1)
定性分析方法:针对某个被评估对象,确定其潜在的风险,描述可能引 起风险的原因。
定量分析方法:在某个基准上,建立不同资产的等级化评价模型,定量 描述某个资产的风险值,可以做到不同资产之间风险状况的对比。
基于系统安全模型体系的分析方法:针对某个典型的(或固定)的系统 ,建立其安全要素的模型,以及判定某个要素的条件和内容,有相对完 善、固定的评估模型体系。
- 18 -
All rights reserved © 2006
风险评估实施 (1)
风险评估的准备
• (1)确定风险评估的目标; • (2)确定风险评估的范围; • (3)组建适当的评估管理与实施团队; • (4)进行系统调研; • (5)确定评估依据和方法; • (6)获得最高管理者对风险评估工作的支持。
- 24 -
All rights reserved © 2006
附录
风险的计算方法
• 矩阵法 :通过构造两两要素计算矩阵,得到第三个要素的判断值,是 一种基于经验的判断方法。
• 相乘法 :直接使用两个要素值进行相乘得到另一个要素的值。相乘法 的特点是简单明确,直接按照统一公式计算 。
风险评估的工具
- 12 -
All rights reserved © 2006
《信息安全风险评估规范》标准操作的主 要内容
引言 定义与术语 风险评估概述 风险评估流程及模型 风险评估实施 • 资产识别 • 脆弱性识别 • 威胁识别 • 已有安全措施确认 风险评估在信息系统生命周期中的不同要求 风险评估的形式及角色 附录
目的
• 信息系统所有者:使用本标准为其选择安全措施,实施信息系统保护 提供技术支持,依据本标准中提出的安全风险理念选择技术与管理控 制措施;
• 风险评估的实施者:依据本标准进行风险评估,依据本标准的判定准 则,做出科学的判断。
• 信息系统管理机构:依据本标准对信息系统及其管理进行安全检查, 推动行业或地区信息安全风险管理的实施。
- 27 -
All rights reserved © 2006
现有风险评估方法综述(2)
后果 风险
可能性
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
-9-
All rights reserved © 2006
国外相关信息安全风险评估标准简介(1)
ISO 27001:信息安全管理体系规范、ISO 17799 信息安全管理实践指南 • 基于风险管理的理念,提出了11个控制大类、34个控制目标和133个
(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值 ;
(4)根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;
(5)根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件 的损失;
(6)根据安全事件发生的可能性以及安全事件的损失,计算安全事件一 旦发生对组织的影响,即风险值。
- 22 -
All rights reserved © 2006
信息系统生命周期各阶段的风险评估
规划阶段的风险评估 设计阶段的风险评估 实施阶段的风险评 运行维护阶段的风险评估 废弃阶段的风险评估
• 每个阶段的实施内容稍有不同,目的和方法一致。
- 23 -
All rights reserved © 2006
完整性、可用性或合法使用所造成的危险。
-4-
All rights reserved © 2006
Key word II
❖ 威胁(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。
❖ 薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。
❖ 风险(Risk): 特定的威胁利用资产的一种或一组薄弱点,导致资产的
丢失或损害的潜在可能性,即特定威胁事件发生的可能性 与后果的结合。
-5-
All rights reserved © 2006
风险评估的目的和意义
认识现有的资产及其价值 对信息系统安全的各个方面的当前潜在威胁、弱点和影响进 行全面的评估 通过安全评估,能够清晰地了解当前所面临的安全风险,清 晰地了解信息系统的安全现状 明确地看到当前安全现状与安全目标之间的差距 为下一步控制和降低安全风险、改善安全状况提供客观和翔 实的依据
- 15 -
All rights reserved © 2006
风险评估框架及流程
风险评估中各要素的关系
业务战略
依赖
- 16 -
脆弱性
暴露
资产
具有
利用
威胁
增加 增加
未被满足
风险
导出
演变
抵御
降低
安全事件
可能诱发
All rights reserved © 2006
残余风险
未控制
资产价值
成本
安全需求
被满足
-3-
All rights reserved © 2006
Key words I
信息安全:信息的保密性、完整性、可用性的保持。
风险评估:对信息和信息处理设施的威胁,影响和薄弱 点以及威胁发生的可能性的评估。
风险管理:以可接受的费用识别、控制、降低或消除可 能影响信息系统安全的风险的过程。
威胁:是指某个人、物、事件或概念对某一资源的保密性、
- 19 -
All rights reserved © 2006
风险评估实施 (2)
资产识别
• 资产分类 • 资产赋值 :机密性、完整性、可用性三方面的赋值 • 资产重要性等级
威胁识别
• 威胁分类 • 威胁来源分类 • 威胁赋值
脆弱性识别
• 识别内容 :技术脆弱性涉及物理层、网络层、系统层、应用层等各 个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管 理脆弱性两方面。
-6-
All rights reserved © 2006
信息系统风险模型
所有者 攻击者
对策
漏洞
威胁
风险
资产
-7-
All rights reserved © 2006
风险计算依据
资产拥有者
信息资产 价值
弱点 难易程度
威胁来源
威胁
可能性
影响
严重性
-8-
All rights reserved © 2006
- 13 -
All rights reserved © 2006
标准内容:引言
提出了风险评估的作用、定位及目的。
作用:
• 过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措 施等进行分析,确定信息系统面临的安全风险,从技术和管理两个层 面综合判断信息系统面临的风险。
定位 • 建立信息安全保障机制中的一种科学方法。
2004年,提出了《信息安全风险评估指南》标准草案 ,其规定了风险评 估的一些内容和流程,基本与SP800-30中的内容一致。
2005年,国信办在全国4个省市和3个行业进行风险评估的试点工作,根 据试点结果对《信息安全风险评估指南》 进行了修改。
2005~2006年,通过了国家标准立项的一系列程序,目前已进入正式发 布阶段。正式定名为:信息技术 信息安全风险评估规范。
- 14 -
All rights reserved © 2006
范围 • 本标准提出了风险评估的要素、实施流程、评估内容、评
估方法及其在信息系统生命周期不同阶段的实施要点,适 用于组织开展的风险评估工作。
规范性引用文件 • 说明标准中引用到其他的标准文件或条款。
术语和定义 • 对标准中涉及的一些术语进行定义。
• 脆弱性赋值 :等级赋值,技术脆弱性与管理脆弱性的结合。
- 20 -
All rights reserved © 2006
风险评估实施 (3)
已有安全措施确认
• 安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性 ,抵御了威胁。
• 安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件 的弱点,而是一类具体措施的集合,为风险处理计划的制定提供依据 和参考。
信息安全风险评估与风险管理
目录
一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结
-2-
All rights reserved © 2006
信息安全的定义
机密性(integrity): • 确保该信息仅对已授权访问的人们才可访问 • 只有拥有者许可,才可被其他人访问 完整性(confidentiality): • 保护信息及处理方法的准确性和完备性; • 不因人为的因素改变原有的内容,保证不被非法改动和销毁 可用性(availability): • 当要求时,即可使用信息和相关资产。 • 不因系统故障或误操作使资源丢失。 • 响应时间要求、故障下的持续运行。 其他:可控性、可审查性
控制措施 ; • 提出风险评估的要求,并未对适用于信息系统的风险评估方法和管理
方法做具体的描述。
OCTAVE:Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework
• 卡耐基梅隆大学软件工程研究所(CMU/SEI)开发的一种综合的、系 统的信息安全风险评估方法