计算机信息安全风险评估工具109页PPT

第二步 风险因素评估
• 1资产评估 • 识别信息资产，包括数据、软件、硬件、设备、 服务、文档等，制定《信息资产列表》 • 保密性、完整性、可用性是评价资产的三个安 全属性 • 风险评估中资产的价值不是以资产的经济价值 来衡量，而是由资产在这三个属性上的达成程 度或者其安全属性未达成时所造成的影响程度 来决定的。
风险要素关系
风险评估的两种方式
自评估和检查评估 1自评估 “谁主管谁负责，谁运营谁负责” 信息系统拥有者依靠自身力量，依据国家风险 评估的管理规范和技术标准，对自有的信息系 统进行风险评估的活动。 • 优点 • • • •
• • • • 有利于保密 有利于发挥行业和部门内人员的业务特长 有利于降低风险评估的费用 有利于提高本单位的风险评估能力与信息安全知识
风险评估的两种方式
• 2 检查评估 • 检查评估是由信息安全主管部门或业务部门发 起的一种评估活动，旨在依据已经颁布的法规 或标准，检查被评估单位是否满足了这些法规 或标准。 • 检查评估通常都是定期的、抽样进行的评估模 式 • 检查评估缺点：
• 间隔时间较长，如一年一次，通常还是抽样进行 • 不能贯穿一个部门信息系统生命周期的全过程，很 难对信息系统的整体风险状况作出完整的评价
风险评估的两种方式
• 无论是自评估，还是检查评估，都可以 委托风险评估服务技术支持方实施，如 国家测评认证机构或安全企业公司。
风险分析原理
• 风险分析中要涉及资产、威胁、脆弱性 三个基本要素。 • 风险分析原理图
风险分析原理
• 风险分析的主要内容为： • 1对资产进行识别，并对资产的价值进行赋值 • 2对威胁进行识别，描述威胁的属性（威胁主体，影响 对象，出现频率，动机等），并对威胁出现的频率赋 值 • 3对脆弱性进行识别，并对具体资产的脆弱性的严重程 度赋值 • 4根据威胁及威胁利用脆弱性的难易程度判断安全时间 发生的可能性 • 根据脆弱性的严重程度和安全事件所作用的资产的价 值计算安全事件造成的损失 • 根据安全事件发生的可能性以及安全事件出现后的损 失，计算安全事件一旦发生对组织的影响，即风险值

风险评估概述
（8）安全需求可通过安全措施得以满足，需要结合 资产价值考虑实施成本； （9）安全措施可抵御威胁，降低安全事件的发生的 可能性，并减少影响； （10）风险不可能也没有必要降为零，在实施了安全 措施后还会有残留下来的风险。有些残余风险来自于 安全措施可能不当或无效,在以后需要继续控制，而有 些残余风险则是在综合考虑了安全成本与效益后未控 制的风险，是可以被接受的； （11）残余风险应受到密切监视，它可能会在将来诱 发新的安全事件。
网络设备：路由器、网关、交换机等 计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等 存储设备：磁带机、磁盘阵列等 移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等 传输线路：光纤、双绞线等 保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁
、消防设施等 安全保障设备：防火墙、入侵检测系统、身份验证等 其他电子设备：打印机、复印机、扫描仪、传真机等
狭义的风险评估包括：评估前准备、资产识别与评 估、威胁识别与评估、脆弱点识别与评估、当前安全措 施的识别与评估、风险分析以及根据风险评估的结果选 取适当的安全措施以降低风险的过程。
风险评估概述
信息安全风险评估
信息安全风险评估的基本思路是在信息安全 事件发生之前，通过有效的手段对组织面临的信 息安全风险进行识别、分析，并在此基础上选取 相应的安全措施，将组织面临的信息安全风险控 制在可接受范围内，以此达到保护信息系统安全 的目的。
风险评估概述
风险评估要素
7.安全需求
安全需求是指为保证组织业务战略的正常运作而在 安全措施方面提出的要求。
安全需求可体现在技术、组织管理等多个方面。如关 键数据或系统的的机密性、可用性、完整性需求、法律 法规的符合性需求、人员安全意识培训需求、信息系统 运行实时监控的需求等。

❖ 为什么要提出风险的概念 ▪ 安全事件的发生是有概率的.不能只根据安全事 件的后果便决定信息安全的投入和安全措施的 强度.对后果严重的极小概率事件,不能盲目投 入.因此,要综合考虑安全事件的后果影响及其 可能性,两者的综合便是风险的概念.
❖ 高风险要优先得到处理.
对基本要素的解释续
❖ 残余风险：采取了安全措施,提高了信息安全保障 能力后,仍然可能存在的风险.
脆弱性
资产
脆
弱
性
脆弱性
安全措施
残余风险
威胁
对各要素相互作用的解释
❖ 通过安全措施来对资产加以保护,对脆弱性加以弥 补,从而可降低风险；
❖ 实施了安全措施后,威胁只能形成残余风险. ❖ 某些情况下,也可能会有多个脆弱性被同时利用. ❖ 脆弱性与威胁是独立的,威胁要利用脆弱性才能造
对基本概念的解释续
❖威胁：一个单位的信息资产的安全可能受到的侵 害.威胁由多种属性来刻画：威胁的主体威胁源、 能力、资源、动机、行为、可能性和后果.
❖ 为什么要谈威胁 ▪ 如果没有威胁,就不会有安全事件.
威胁源
黑客 计算机罪犯
恐怖分子
动机
挑战 自负 反叛
破坏信息 非法泄漏信息 非法篡改数据 获取钱财
2
风险评估的基本概念
对基本概念的解释
❖业务战略：即一个单位通过信息技术手段实现的 工作任务.一个单位的业务战略对信息系统和信息 的依赖程度越高,风险评估的任务就越重要.
❖ 为什么要首先谈业务战略 ▪ 这是信息化的目的,一个信息系统如果不能实现 具体的工作任务,那么这个信息系统是没有用处 的.信息安全不是最终目的,信息安全要服务于 信息化.
信息安全体系风险评估
基本概念 重要意义 工作方式 几个关键问题

漏洞扫描
检查本地或者远程主机、设备、应用的安全漏洞
主机/
We
……
数据库
设备
b
➢免费：HScan、SolarWinds、XScan ➢商业：极光RSAS、明鉴Web扫描、明鉴 DBScan
2
中广国电州信研广究东院公司
综合部
存活性判断
1
2 2.1 2.2 2.3
ICMP判断
TCP SYN判断 存活且端口开放：收到SYN+ACK包 存活但端口不开放或被防火墙过滤：收到RST包 不存活或被防火墙DROP：直到超时都没有收到回应包
▪ 为判断服务类型、应用 版本、OS平台，模拟 各种协议初始化握手， 获取信息
▪ 在安全意识普遍提升的 今天， 对Banner的伪 装导致精度大幅降低
6
中广国电州信研广究东院公司
综合部
指纹识别技术
▪ 被动识别技术
- 利用对报头内DF位，TOS位， 窗口大小，TTL的嗅探判断 OS
- 扫描工具： P0f ▪ 主动识别技术
▪ UDP端口扫描技术： - 靠端口不可达来进行判断。（UDP扫描非常慢，不建议使 用）
4
中广国电州信研广究东院公司
综合部
服务识别
▪ 如何识别服务？ - Banner 抓取:一般可用于确定服务版本信息 - TCP栈协议识别，也叫指纹电州信研广究东院公司
综合部
Banner 抓取
▪ 扫描器的存活判断扫描手段有：
- ICMP Echo扫描 - TCP ping 端口 - UDP ping 端口 - ARP ping
3
中广国电州信研广究东院公司
综合部
端口扫描
▪ TCP端口扫描技术： - TCP Connect(推荐) - SYN，半连接扫描。 - FIN等(已经较老的技术，不通用，不推荐）

场，造成了潜在的安全威胁 – 软件在接口的扩展性和兼容性方面考虑不周
2021/8/2
6.2 信息安全风险识别
• 6.3.1 人为因素 • 6.3.2 自然灾害 • 6.3.3 基础架构故障
2021/8/2
6.2.1 人为因素
• 人为因素源于人类的感知观念和处理事物能力， 其行为有可能增加系统的安全风险
• 具体因素
– 操作人员业务能力不足 – 操作人员不按规定操作 – 管理员对系统配置不当 – 管理制度不严使外部人员有机会接触系统
2021/8/2
6.4.1 通过定量分析方法进行威胁分析
• 单一预期亏损:用于替换该资源或恢复该资源所消 耗的支出
• 年预期被攻击概率:通过统计以往的被攻击的次数 来计算
• 年预期亏损量=单一预期亏损×年预期被攻击概率
2021/8/2
6.4.2 构建攻击模型
通过构建攻击模型是风险分析的一种有效技术手段。
主动防御。
术 5 系统漏洞识别与评估
自然灾害导致安全威胁的因素常见的有地震，火灾，洪水，台风，龙卷风，雷电等。 很多影响计算机安全系统的恶意行为都是由用户发动的，这些恶意行为主要有非法入侵系统，或制造能够威胁系统安全的软件
• 软件故障 相对系统软件，编写应用程序的门槛比较低
4 信息安全威胁分析方法
– 最严重的安全威胁来自于软件故障。 分类依据：系统性能、网络安全、网络性能和诊断、网络连接、动态IP和DNS记录、远程操作与文件共享事件记录、文件传输工具
应对方法：备份冗余、监控系统、硬件单元的恢复技术 原因：磨损、温度过高、湿度过湿或者灰尘过多
– 原因：复杂、测试困难、存在漏洞 单一预期亏损:用于替换该资源或恢复该资源所消耗的支出

服务
办公服务：为提高效率而开发的管理信息系统（MIS），它包括各种内部配置管理、文件流转管理等服务 网络服务：各种网络设备、设施提供的网络连接服务 信息服务：对外依赖该系统开展服务而取得业务收入的服务
文档
纸质的各种文件、传真、电报、财务报告、发展计划等
人员
掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理及网络研发人员等
风险评估
信息安全风险评估概述
信息安全风险评估策略
信息安全风险评估流程
信息安全风险评估方法
风险评估案例
风险评估概述
信息安全风险评估概述
风险评估概述
A风险因子
B风险因子
危险源
结合
隐患：内部失控
事故
外部作用
产生了人们不期望的后果
超出设定安全界限的状态、行为
风险评估概述
系统
减少：人的不安全行为
改变：环境不安全条件
6、低优先观察清单
5、进一步分析的风险
4、需近期处理的风险
3、风险成因及需关注领域
2、按类别分类的风险
1、优先级清单
风险登记册（更新）
组织过程资产
风险管理计划
项目范围说明书
风险分类
风险紧迫性评估
专家判断
风险评估概述
4、实施定量风险分析流程
依据
工具、技术
结果
风险登记册
风险管理计划
成本管理计划
进度管理计划
风险评估概述
脆弱点主要表现在从技术和管理两个方面 技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。 管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如： 安装杀毒软件或病毒库未及时升级 操作系统或其他应用软件存在拒绝服务攻击漏洞 数据完整性保护不够完善 数据库访问控制机制不严格都属于技术脆弱点 系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等

风险评估
根据识别的威胁和脆弱性，评估潜在的后果 和可能性，确定风险的等级。
04
风险评价
评价方法
定性评价法
基于专家经验和知识，对风险进行主观评估 。
定量评价法
运用数学模型和统计方法，对风险进行客观 量化的评估。
综合评价法
结合定性评价和定量评价，综合考虑各种因 素，得出全面准确的风险评估结果。
评价工具
保障业务连续性
有效的风险评估有助于降低安全事件发生的可能性，减少业务中断 的风险，保障业务的连续性。
风险评估的流程
确定评估范围
明确评估对象和范围，确定需要评估的信息系统和相关 资产。
收集信息
收集与信息系统相关的各种信息，包括系统架构、安全 配置、安全日志等。
识别威胁和脆弱性
分析信息系统中可能存在的威胁和脆弱性，了解潜在的 安全风险。
05
风险应对
应对策略
检测策略
通过检测机制及时发现和响应信息安全风险 ，降低风险影响程度。
预防策略
通过采取预防措施，降低或消除信息安全风 险的发生概率。
恢复策略
制定和实施恢复计划，以尽快恢复受影响的 信息系统和服务。
应对措施
技术措施
采用先进的安全技术，如加 密、防火墙、入侵检测等， 提高信息系统的安全性。
风ห้องสมุดไป่ตู้评估
对识别出的威胁和脆弱性进行定性和定量评估，确定风 险等级和影响程度。
制定控制措施
根据风险评估结果，制定相应的风险控制措施，降低或 消除风险。
持续监测与改进
对实施控制措施后的信息系统进行持续监测，及时发现 和处理新的风险，不断改进和完善风险评估体系。
02
风险识别
识别方法

> 2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根 据试点结果对《信息安全风险评估指南》 进行了修改。
> 2005～2006年，通过了国家标准立项的一系列程序，目前已进入正式发 布阶段。正式定名为：信息技术 信息安全风险评估规范。
信息安全风险评估与风险管理
《信息安全风险评估规范》标准操作的主 要内容
信息安全风险评估与风险管理
信息系统生命周期各阶段的风险评估
> 规划阶段的风险评估 > 设计阶段的风险评估 > 实施阶段的风险评 > 运行维护阶段的风险评估 > 废弃阶段的风险评估
• 每个阶段的实施内容稍有不同，目的和方法一致。
信息安全风险评估与风险管理
风险评估的工作形式
> 自评估
• 适用于对自身的信息系统进行安全风险的识别、评价 • 自评估可以委托风险评估服务技术支持方实施，也可以自行实施
> 其他：可控性、可审查性
信息安全风险评估与风险管理
Key words I
信息安全：信息的保密性、完整性、可用性的保持。
风险评估：对信息和信息处理设施的威胁，影响和薄弱 点以及威胁发生的可能性的评估。
风险管理：以可接受的费用识别、控制、降低或消除可 能影响信息系统安全的风险的过程。
威胁：是指某个人、物、事件或概念对某一资源的保密性、
信息安全风险评估与风险管理
风险评估实施 (2)
> 资产识别
• 资产分类 • 资产赋值 :机密性、完整性、可用性三方面的赋值 • 资产重要性等级
> 威胁识别
• 威胁分类 • 威胁来源分类 • 威胁赋值
> 脆弱性识别
• 识别内容 ：技术脆弱性涉及物理层、网络层、系统层、应用层等各 个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管 理脆弱性两方面。