第3章 信息安全风险评估的主要内容

信息安全管理与风险评估
3.2 风险评估基础模型
3.2.1 风险要素关系模型
信息安全管理与风险评估
3.2 风险评估基础模型
3.2.2 风险分析原理
威胁识别 威胁出现的频率 安全事件的可 能性
脆弱性识 别
脆弱性的严重程 度 安全事件的损 失
风险值
资产识别
资产价值
信息安全管理与风险评估
3.2 风险评估基础模型
信息安全管理与风险评估
3.3 风险评估相关标准
3.3.1 国外信息安全风险评估相关标准 5. ISO/IEC 15408（CC）：信息产品通用测评准则 CC（Common Criteria）则是最终的集大成者，是 目前国际上最通行的信息技术产品及系统安全性评 估准则，也是信息技术安全性评估结果国际互认的 基础。
信息安全管理与风险评估
3.3 风险评估相关标准
3.3.1 国外信息安全风险评估相关标准 5. ISO/IEC 15408（CC）
1993年加拿大 可信计算机产 品评估标准 （CTCPEC）
1985年美国可 信计算机系统 评估标准 （TCSEC）
1991年欧洲计 算机技术安全 评估标准 （ITSEC）
3.2.3 风险评估方法 1. 定性评估方法 2. 定量评估方法 3. 定量分析和定性分析方法的比较
信息安全管理与风险评估
名称 定性评估方法
定量评估方法
定量与定性结合方法 定量是分析基础和前提； 定性分析是灵魂，是形 成概念、观点，作出判 断，得出结论所必须依 靠的 在复杂的信息系统风险 评估过程中，将这两种 方法融合起来，取其优 点
信息安全管理与风险评估
3.1 信息安全风险评估工作概述
3.1.3 风险评估组织管理
信息安全管理与风险评估
角色 主管机关 责任 提出、制定并批准本部门的信息安全风险管理策略； 领导和组织本部门内的信息系统安全评估工作； 基于本部门内信息系统的特征以及风险评估的结果，判断信息系统残余风 险是否可接受，并确定是否批准信息系统投入运行； 检查信息系统运行中产生的安全状态报告； 定期或不定期地开展新的信息安全风险评估工作。 信息系统拥有者 制定安全计划，报主管机关审批； 组织实施信息系统自评估工作； 配合强制性检查评价或委托评估工作，并提供必要的文档等资源； 向主管机关提出新一轮风险评估的建议； 改善信息安全防护措施，控制信息安全风险。 信息系统承建者 根据对信息系统建设方案的风险评估结果，修正安全方案，使安全方案成 本合理、积极有效，在方案中有效地控制风险； 规范建设，减少在建设阶段引人的新风险； 确保安全组件产品得到了相关机构的认证。 信 息 系 统 安 全 评 提供独立的信息系统安全风险评价； 估机构 对信息系统中的安全防护措施进行评估，以判断： (1)这些安全防护措施在特定运行环境中的有效性； (2)实现了这些措施后系统中存在的残余风险； 提出调整建议，以减少信息系统中的脆弱性，有效对抗安全威胁，控制风 险； 保护风险评估中获得的敏感信息，防止被未授权的、无关人员和单位获得。 信 息 系 统 的 关 联 遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信 机构 息安全风险； 协助风险评估机构确定评估边界； 在风险评估中提供必要的资源和资料。
信息安全管理与风险评估
3.4 风险评估工具
信息安全管理与风险评估
工具名称 COBRA 组织/国家 BSI/Britain RA BSI/Britain CRAMM CCTA/Britain @RISK BDSS Palisade/Amer The Integrated ica Risk Management Group/America n 单机版 专家系统 单机版 专家系统
体系结构 客户机/服务 器 采用方法 专家系统 定性/定量 定性/定量结 算法 合 数据采集 调查问卷 形式 对使用人 不需要有风 员的要求 险评估的专 业知识 结果输出 风险等级与 形式 控制措施
单机版 过程式算法 定性/定量结 合 过程 依靠评估人 员的知识与 经验 风险等级与 控制措施
单机版 过程式算法
优点
缺点
主观性很强，对评估 计算过程复杂、耗时，需要 难度大，复杂度高 者本身的要求很高； 专业工具支持和一定的专业 缺乏客观数据支持 知识基础；计算结果量化以 后用财务术语描述有可能被 误解和曲解
信息安全管理与风险评估
3.2 风险评估基础模型
3.2.4 风险评估实施流程概述
信息安全管理与风险评估
第3章 信息安全风险评估 主要内容
赵 刚
信息安全管理与风险评估
3.1 信息安全风险评估工作概述
3.1.1 风险评估依据 1. 政策法规 2. 国际标准 3. 国家标准 4. 行业标准
信息安全管理与风险评估
3.1 信息安全风险评估工作概述
3.1.2 风险评估原则 1. 可控性原则 2. 完整性原则 3. 最小影响原则 4. 保密原则
定义
主要依据研究者的知 运用数量指标来对风险进行 识、经验、历史教训、 评估 政策走向及特殊变例 等非量化资料对系统 风险状况做出判断的 过程 可以挖掘出一些蕴藏 很深的思想，使评估 的结论更全面、更深 刻；便于企业管理、 业务和技术人员更好 地参与分析工作，大 大提高分析结果的适 用性和可接受性 能够通过投资收益计算的客 观结果来说服企业管理人员 来推动风险管理；随着组织 建立数据的历史记录并获得 经验，其精确度将随着时间 的推移而提高
信息安全管理与风险评估
3.3 风险评估相关标准
3.3.1 国外信息安全风险评估相关标准 1. OCTAVE 2. SSE-CMM 3. GAO/AIMD 4. TCSEC：可信计算机系统评估标准（Trusted Computer System Evaluation Criteria, TCSEC）， 将安全分为4个方面（安全政策、可说明性、安全 保障和文档）和7个安全级别（从低到高依次为D、 C1、C2、B1、B2、B3和A级）。
定性/定量结合 定性/定量结合 定性/定量结合 过程 依靠评估人员 的知识与经验 调查文件 不需要有风险 评估的专业知 识 决策支持信息 调查问卷 不需要有风险评 估的专业知识
风险等级与控 制措施
安全防护措施列 表
信息安全管理与风险评估
思考题 简单叙述“风险评估依据”的主要内容。 简单叙述“风险评估原则”的主要内容。 解释“风险要素关系模型”。 叙述“风险分析原理”。 论述“风险评估方法”。 叙述“风险评估实施流程”。 查阅资料，归纳国内外信息安全风险评估 相关标准。
3.3.2 国内信息安全风险评估相关标准 1. GB/T 20984-2007 信息安全技术 信息安全风险评估 规范。 2. 其它标准 GB/T 18336-2001《信息技术 安全技术 信息技术安全 性评估准则》是2001年参照国际标准ISO/IEC 15408： 1999，我国制定的在信息安全技术方面的第一个国家 标准，作为评估信息技术产品与信息安全特性的基础准 则。GB/Z 24364- 2009是信息安全风险管理指南。
3.3 风险评估相关标准
3.3.1 国外信息安全风险评估相关标准 6．NIST SP800-30：美国国家标准和技术学会 （The National Institute of Standards and Technology，NIST）颁布的“信息技术系统风险管 理指南”。
信息安全管理与风险评估
3.3 风险评估相关标准
1996年六国七 方信息技术安 全评估通用标 准（CC v1.0) 1998年CC v2.0
1999年CC成为 国际标准 （ISO/ICE 15408)
我国等同采用 CC标准Leabharlann Baidu（GB/T 18336 2001)
1993年加拿大 可信计算机产 品评估标准 （CTCPEC）
图3-4 CC的发展过程
信息安全管理与风险评估