信息安全风险管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据分类技术——个人安全调查机构
给每一个数据用户分配一个单一的授权等级
3.3.5 分类数据管理
1.数据的存储 2.数据的分布移植 3.数据的销毁
清洁桌面政策:要求员工在下半时将所有的信息 放到适当的存储器中。
3.3.6 威胁识别和威胁评估
威胁 1.人为过时或失败行为 2.侵害知识产权 3.间谍或人侵蓄意行为 4.蓄意信息敲诈行为 5.蓄意破坏行为 6.蓄意窃取行为 7.蓄意软件攻击 8.自然灾害 9.服务提供商的服务质量差 10.技术硬件故障或错误 11.技术软件故障或错误 12.技术淘汰
用途
集合信息资产以及它们对 机构的影响或价值
为每项信息资产分配等级 值或影响权重
为每对无法控制的资产漏 洞分配风险等级
3.5风险控制策略
3.5.1 避免
(试图防止漏洞被利用的风险控制策略) (1)通过应用策略来避免 (2)教育培训 (3)应用技术
3.5.2 转移
(将风险转移到其他资产、其他过程或其 他机构的控制方法)
开发控制策略 和计划
标示信息资产
准备分等级的 漏洞风险表
控制是否得当
标示信息资产
准备分等级的 漏洞风险表
是否可以接 受此风险
3.7风险管理的讨论要点
风险可接受程序的定义:当机构评估绝对安全与 无限制访问之间的平衡时愿意接受的风险的级别 和种类。 残留风险:未能完全排除、缓解、规划的一些风险。 (1)降低了通过安全措施减少威胁效果的一种威胁 (2)降低了通过安全措施减少漏洞效果的一种漏洞 (3)降低了通过安全措施保护资产价值的效果的一 种资产
3.2风险管理概述
3.2.1 知己
识别、检查和熟悉机构中当前的信息及系统。
3.2.2 知彼
识别、检查和熟悉机构面临的威胁。
3.2.3 利益团体的作用
1.信息安全
信息安全团队组成:最了解把风险带入机构的 威胁和攻击的成员
2.管理人员
确保给信息安全和信息技术团体分配充足资 源(经费和人员),以满足机构的安全需要。
当事件或者 立即并实时 灾难发生时 作出响应
灾难恢复计划 (DRP)
发生灾难的恢复 准备工作:灾难 发生之前及过程 中减少损失的策 略;逐步恢复常 态的具体指导
•丢失数据的恢 复过程
•丢失服务的重 建过程
•结束过程来保 护数据系统和数
据
在事件刚刚 被确定为在 难后
短期恢复
业务持续性计 划
(BCP)
当灾难的等级超 出DRP的恢复能 力时,确保全部 业务继续动作的 步骤
规划并组织过程
对系统组件进行分类
风
险
列出资产清单并分类
识
别 识别出威胁
指出易受攻击的资产
为资产受到的攻击赋值
评估漏洞攻击的可能性
风
险
计算资产的相对风险因素
评
估 检查可能的控制措施
记录所发现的事件
3.3.1 资产识别和评估
1. 人员、过程及数据资产的识别 (1)人员 (2)过程 (3)数据
2. 硬件、软件和网络资产的识别
3.信息技术
建立安全的系统,并且安全地操作这些系统
信息安全保护的对象是什么? 资产 资产是各种威胁以及威胁代理的目标。
风险管理的目标就是保护资产不受威胁。
3.3风险识别
• 风险识别:规划并组织过程、对系统组 件进行分类、列出资产清单并分类、识 别出威胁、指出易受攻击的资产。
• 风险评估:为资产受到的攻击赋值、评估 漏洞攻击的可能性、计算资产的相对风 险因素、检查可能的控制措施、记录所 发现的事件。
如何提供服务、修改部署模式、外包 给其他机构、购买保险、与提供商签署 服务合同。
3.5.3 缓解
(试图通过规划和预先的准备工作,减 少漏洞造成的影响)
缓解策略(如下表)
计划
描述
实例
何时使用 时间范围
事件响应计划 (IRP)
在事件(攻击) 进行过程中机构 采取的行动
•灾难发生期间 采取的措施
•情报收集 •信息分析
3.3.2 信息资产分类
传统的系统组成
SecSDLC及管理系统的组成
人员
员工 非员工
信任的员工 其他员工
信任机构的人员 陌生人
过程
过程
IT及商业标准过程 IT及商业敏感过程
数据
信息
传输 处理 存储
软件
软件
应用程序 操作系统 安全组件
硬件
系统设备及外设 网络组件
系统及外设 安全设备
内部连网组建 因特网或DMZ组件
3.4 风险评估
3.4.1 风险评估概述
风险=出现漏洞的可能性×信息资产的价值当前控制减轻的风险几率+对漏洞了解的不 确定性
漏洞的可能性是什么? 漏洞成功攻击机构内部的概率。(0.1~1.0)
3.4.2 信息安全风险评估原则
1.自主 机构内部人员管理的信息安全风险评估
2. 适应量度 一个灵活的评估过程可以适应不断变化的技术和 进展;既不会受限当前威胁源的严格模型,也不 会受限于当前公认的“最佳”实践。
的资产而言是危险的? (2)哪一种威胁对机构的信息而言是最危
险的? (3)从成功的攻击中恢复需要多少费用? (4)防范哪一种威胁的花费最大?
二、通过提问的答案,建立威胁评估构架
3.3.7 漏洞识别
• 漏洞:威胁代理能够用来攻击信息资产 的特定途径。
• 在按照威胁评估标准,检查每项威胁, 建立漏洞表。
3.3.3 信息资产评估
评估资产的价值。
评估价值标准:
1.哪一项信息资产对于成功是最关键的? 2.那一项信息资产创造的收效最多? 3.哪一项资产的获利最多? 4.哪一项信息资产在替换时最昂贵? 5.哪一项信息资产的保护费用最高? 6.哪一项信息资产是最麻烦的,或者泄漏
后麻烦最大?
3.3.4 安全wk.baidu.com查
•启动下级数据 中心的准备步骤
•在远程服务位 置建立热站点
在确定灾难 影响了机构 的持续运转 之后
长期恢复
3.5.4 接受
(选择对漏洞不采取任何保护措施,接受漏洞 带来的结果)
1.确定了风险等级 2.评估了攻击的可能性 3.估计了供给带来的潜在破坏 4.进行了全面的成本效益分析 5.评估了使用每种控制的可行性 6.认定了某些功能、服务、信息或者资产不值得保护
3.8 验证结果
提交结果方式:执行控制风险的系统方法、 风险评估项目和特定主题的风险评估 。
地阐述成本收益分析; • 理解如何维护风险控制
3.1 引言
风险管理:识别和控制机构面临风险的过程。
1.风险识别:检查和说明机构信息技术的 安全态势和机构面临的风险。 (风险评估就是说明风险识别的结果)
2.风险控制:采取控制手段,减少机构数 据和信息系统的风险。
风险管理整个过程:找出机构信息系统 中的漏洞,采取适当的步骤,确保机构 信息系统中所有组成部分的机密性、完 整性和有效性。
第三章 信息安全风险管理
主讲:焦杨
学习目标:
• 定义风险管理、风险识别、风险控制; • 理解如何识别和评估风险; • 评估风险发生的可能性及其对机构的影响; • 通过创建风险评估机制,掌握描述风险的基本
方法; • 描述控制风险的风险减轻策略; • 识别控制的类别; • 承认评估风险控制存在的概念框架,并能清楚
实例 意外事故、员工过失 盗版、版权侵害 未授权访问和收集数据 以泄露信息为要挟进行勒索 破坏系统或信息 非法使用硬件设备或信息 病毒、蠕虫、宏、拒绝服务 火灾、水灾、地震、闪电 电源及WAN服务问题 设备故障 漏洞、代码问题、未知问题 陈旧或过时的技术
威胁评估过程:
一、针对每种威胁提出同样问题: (1)在给定的环境下,哪一种威胁对机构
结论:保护的资产的成本抵不上安全措施的开销。
3.6 选择风险控制策略
面对漏洞,如何去选择风险控制策略?
可能的威胁
按设计实现 的系统
系统是否 易受攻击
具有风险
系统是否 可利用
按设计实现 的系统
具有风险
存在威胁 和漏洞
存在风险
攻击者获取的 利益是否大于攻击开销
预期的损失 是否大于机构的
可接受的级别
具有风险
3. 已定义过程 描述了信息安全评估程序依赖于已定义的标准化 评估规程的需要。
4. 连续过程的基础 机构必须实施基于实践安全策略和计划,以逐渐 改进自身的安全状态。
3.4.3 风险评估的过程
1.信息资产评估 使用信息资产的识别过程中的到的信息, 就可以为机构中每项信息资产的价值指 定权重分数(1~100)。(举例:一些 资产会导致整个公司停止运作,说明资 产比重较高)
具有风险
无法接受此风险
风险处理决策: 存在漏洞:实现安全控制,来减少漏洞被利用 的可能性
(1)漏洞可以利用 (2)攻击着的开销少于收益 (3)可能的损失非常大
●实现了控制策略,就应对控制效果进行监控和 衡量,来确定安全控制的有效性,估计残留风 险的准确性。 连续循环过程确保控制风险
标示信息资产
准备分等级的 漏洞风险表
2.风险的确定 利用风险公式:
3.识别可能的控制(访问控制) • 访问控制:控制用户进入机构信息区域 • 访问控制方法:强制、非任意、任意。
4.记录风险评估的结果 过程:信息资产列表(分类)→带有漏 洞的信息资产列表→权重标准分析表→ 漏洞风险等级表
成果 信息资产分类表
权重标准分析表
漏洞风险等级表
给每一个数据用户分配一个单一的授权等级
3.3.5 分类数据管理
1.数据的存储 2.数据的分布移植 3.数据的销毁
清洁桌面政策:要求员工在下半时将所有的信息 放到适当的存储器中。
3.3.6 威胁识别和威胁评估
威胁 1.人为过时或失败行为 2.侵害知识产权 3.间谍或人侵蓄意行为 4.蓄意信息敲诈行为 5.蓄意破坏行为 6.蓄意窃取行为 7.蓄意软件攻击 8.自然灾害 9.服务提供商的服务质量差 10.技术硬件故障或错误 11.技术软件故障或错误 12.技术淘汰
用途
集合信息资产以及它们对 机构的影响或价值
为每项信息资产分配等级 值或影响权重
为每对无法控制的资产漏 洞分配风险等级
3.5风险控制策略
3.5.1 避免
(试图防止漏洞被利用的风险控制策略) (1)通过应用策略来避免 (2)教育培训 (3)应用技术
3.5.2 转移
(将风险转移到其他资产、其他过程或其 他机构的控制方法)
开发控制策略 和计划
标示信息资产
准备分等级的 漏洞风险表
控制是否得当
标示信息资产
准备分等级的 漏洞风险表
是否可以接 受此风险
3.7风险管理的讨论要点
风险可接受程序的定义:当机构评估绝对安全与 无限制访问之间的平衡时愿意接受的风险的级别 和种类。 残留风险:未能完全排除、缓解、规划的一些风险。 (1)降低了通过安全措施减少威胁效果的一种威胁 (2)降低了通过安全措施减少漏洞效果的一种漏洞 (3)降低了通过安全措施保护资产价值的效果的一 种资产
3.2风险管理概述
3.2.1 知己
识别、检查和熟悉机构中当前的信息及系统。
3.2.2 知彼
识别、检查和熟悉机构面临的威胁。
3.2.3 利益团体的作用
1.信息安全
信息安全团队组成:最了解把风险带入机构的 威胁和攻击的成员
2.管理人员
确保给信息安全和信息技术团体分配充足资 源(经费和人员),以满足机构的安全需要。
当事件或者 立即并实时 灾难发生时 作出响应
灾难恢复计划 (DRP)
发生灾难的恢复 准备工作:灾难 发生之前及过程 中减少损失的策 略;逐步恢复常 态的具体指导
•丢失数据的恢 复过程
•丢失服务的重 建过程
•结束过程来保 护数据系统和数
据
在事件刚刚 被确定为在 难后
短期恢复
业务持续性计 划
(BCP)
当灾难的等级超 出DRP的恢复能 力时,确保全部 业务继续动作的 步骤
规划并组织过程
对系统组件进行分类
风
险
列出资产清单并分类
识
别 识别出威胁
指出易受攻击的资产
为资产受到的攻击赋值
评估漏洞攻击的可能性
风
险
计算资产的相对风险因素
评
估 检查可能的控制措施
记录所发现的事件
3.3.1 资产识别和评估
1. 人员、过程及数据资产的识别 (1)人员 (2)过程 (3)数据
2. 硬件、软件和网络资产的识别
3.信息技术
建立安全的系统,并且安全地操作这些系统
信息安全保护的对象是什么? 资产 资产是各种威胁以及威胁代理的目标。
风险管理的目标就是保护资产不受威胁。
3.3风险识别
• 风险识别:规划并组织过程、对系统组 件进行分类、列出资产清单并分类、识 别出威胁、指出易受攻击的资产。
• 风险评估:为资产受到的攻击赋值、评估 漏洞攻击的可能性、计算资产的相对风 险因素、检查可能的控制措施、记录所 发现的事件。
如何提供服务、修改部署模式、外包 给其他机构、购买保险、与提供商签署 服务合同。
3.5.3 缓解
(试图通过规划和预先的准备工作,减 少漏洞造成的影响)
缓解策略(如下表)
计划
描述
实例
何时使用 时间范围
事件响应计划 (IRP)
在事件(攻击) 进行过程中机构 采取的行动
•灾难发生期间 采取的措施
•情报收集 •信息分析
3.3.2 信息资产分类
传统的系统组成
SecSDLC及管理系统的组成
人员
员工 非员工
信任的员工 其他员工
信任机构的人员 陌生人
过程
过程
IT及商业标准过程 IT及商业敏感过程
数据
信息
传输 处理 存储
软件
软件
应用程序 操作系统 安全组件
硬件
系统设备及外设 网络组件
系统及外设 安全设备
内部连网组建 因特网或DMZ组件
3.4 风险评估
3.4.1 风险评估概述
风险=出现漏洞的可能性×信息资产的价值当前控制减轻的风险几率+对漏洞了解的不 确定性
漏洞的可能性是什么? 漏洞成功攻击机构内部的概率。(0.1~1.0)
3.4.2 信息安全风险评估原则
1.自主 机构内部人员管理的信息安全风险评估
2. 适应量度 一个灵活的评估过程可以适应不断变化的技术和 进展;既不会受限当前威胁源的严格模型,也不 会受限于当前公认的“最佳”实践。
的资产而言是危险的? (2)哪一种威胁对机构的信息而言是最危
险的? (3)从成功的攻击中恢复需要多少费用? (4)防范哪一种威胁的花费最大?
二、通过提问的答案,建立威胁评估构架
3.3.7 漏洞识别
• 漏洞:威胁代理能够用来攻击信息资产 的特定途径。
• 在按照威胁评估标准,检查每项威胁, 建立漏洞表。
3.3.3 信息资产评估
评估资产的价值。
评估价值标准:
1.哪一项信息资产对于成功是最关键的? 2.那一项信息资产创造的收效最多? 3.哪一项资产的获利最多? 4.哪一项信息资产在替换时最昂贵? 5.哪一项信息资产的保护费用最高? 6.哪一项信息资产是最麻烦的,或者泄漏
后麻烦最大?
3.3.4 安全wk.baidu.com查
•启动下级数据 中心的准备步骤
•在远程服务位 置建立热站点
在确定灾难 影响了机构 的持续运转 之后
长期恢复
3.5.4 接受
(选择对漏洞不采取任何保护措施,接受漏洞 带来的结果)
1.确定了风险等级 2.评估了攻击的可能性 3.估计了供给带来的潜在破坏 4.进行了全面的成本效益分析 5.评估了使用每种控制的可行性 6.认定了某些功能、服务、信息或者资产不值得保护
3.8 验证结果
提交结果方式:执行控制风险的系统方法、 风险评估项目和特定主题的风险评估 。
地阐述成本收益分析; • 理解如何维护风险控制
3.1 引言
风险管理:识别和控制机构面临风险的过程。
1.风险识别:检查和说明机构信息技术的 安全态势和机构面临的风险。 (风险评估就是说明风险识别的结果)
2.风险控制:采取控制手段,减少机构数 据和信息系统的风险。
风险管理整个过程:找出机构信息系统 中的漏洞,采取适当的步骤,确保机构 信息系统中所有组成部分的机密性、完 整性和有效性。
第三章 信息安全风险管理
主讲:焦杨
学习目标:
• 定义风险管理、风险识别、风险控制; • 理解如何识别和评估风险; • 评估风险发生的可能性及其对机构的影响; • 通过创建风险评估机制,掌握描述风险的基本
方法; • 描述控制风险的风险减轻策略; • 识别控制的类别; • 承认评估风险控制存在的概念框架,并能清楚
实例 意外事故、员工过失 盗版、版权侵害 未授权访问和收集数据 以泄露信息为要挟进行勒索 破坏系统或信息 非法使用硬件设备或信息 病毒、蠕虫、宏、拒绝服务 火灾、水灾、地震、闪电 电源及WAN服务问题 设备故障 漏洞、代码问题、未知问题 陈旧或过时的技术
威胁评估过程:
一、针对每种威胁提出同样问题: (1)在给定的环境下,哪一种威胁对机构
结论:保护的资产的成本抵不上安全措施的开销。
3.6 选择风险控制策略
面对漏洞,如何去选择风险控制策略?
可能的威胁
按设计实现 的系统
系统是否 易受攻击
具有风险
系统是否 可利用
按设计实现 的系统
具有风险
存在威胁 和漏洞
存在风险
攻击者获取的 利益是否大于攻击开销
预期的损失 是否大于机构的
可接受的级别
具有风险
3. 已定义过程 描述了信息安全评估程序依赖于已定义的标准化 评估规程的需要。
4. 连续过程的基础 机构必须实施基于实践安全策略和计划,以逐渐 改进自身的安全状态。
3.4.3 风险评估的过程
1.信息资产评估 使用信息资产的识别过程中的到的信息, 就可以为机构中每项信息资产的价值指 定权重分数(1~100)。(举例:一些 资产会导致整个公司停止运作,说明资 产比重较高)
具有风险
无法接受此风险
风险处理决策: 存在漏洞:实现安全控制,来减少漏洞被利用 的可能性
(1)漏洞可以利用 (2)攻击着的开销少于收益 (3)可能的损失非常大
●实现了控制策略,就应对控制效果进行监控和 衡量,来确定安全控制的有效性,估计残留风 险的准确性。 连续循环过程确保控制风险
标示信息资产
准备分等级的 漏洞风险表
2.风险的确定 利用风险公式:
3.识别可能的控制(访问控制) • 访问控制:控制用户进入机构信息区域 • 访问控制方法:强制、非任意、任意。
4.记录风险评估的结果 过程:信息资产列表(分类)→带有漏 洞的信息资产列表→权重标准分析表→ 漏洞风险等级表
成果 信息资产分类表
权重标准分析表
漏洞风险等级表