信息安全风险评估技术简介课件.pptVIP

提 纲 一、信息安全形势需要评估 二、信息化风险及风险管理研究 三、信息安全风险评估技术导引 四、信息安全风险评估试点经验宝贵 风险评估尚需探索、贵在实践 去年以来我有幸参加了国信办组织的一些试点工作 看到了试点单位的成绩和取得的经验，获益良多 也发现了还有不少问题急需探索和研究 试点工作目的 试点工作的目的是: 在现有管理体制下，摸索如何开展信息安全风险评估工作，检验草拟的风险评估相关标准规范的可行性与可用性，为全面推广信息安全风险评估工作和国家出台有关文件做前期准备。 在试点工作中将探讨以下问题： 探索风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则， 包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息安全风险评估的角色、责任、方法、过程及结果 摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验； 检验和完善信息安全风险评估管理规范与技术标准； 了解信息安全检查评估和自评估模式的效果与不足； 选择试点单位 1、条件 试点单位的信息化系统已具有一定的规模，试点单位应具备自己的技术一定的、专业队伍和评估实践经验。 2、范围 信息化程度较高的行业部门的信息系统，如金融、税务、电力； 建设发展中的电子政务重要信息系统； 部分涉密信息系统； 信息化程度不同的地方单位。 专家组提出建议，协助国信办确定试点入选单位。 试点工作与标准验证 试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议 绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的《信息安全风险评估指南》及《信息安全风险管理指南》。 试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的安全控制措施及管理流程，实践经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。 收获和体会 提高了对风险评估工作的认识和理解 —科学方法、长效机制 为国信办风险评估工作文件起草积累了素材 检验了标准，两项试行标准得到了肯定 初步规范了评估内容，演练了评估的实施流程 试行了部分评估技术方法，重视了评估的科学性 评估方法的百花齐放和创新性 体现了创新，积累了成果，培训了人才 试点工作技术上特点 计划比较周密 注意控制了评估自身的风险 注意遵循和验证标准讨论稿 及时总结经验和问题 始终重视人才培养 在技术上通过评估方法的多样化，进行了有益的探索 试点工作出现了一批成果 上海市的风险评估管理软件 评估模型和方法的创新与探索 北京市利用了已有的工具平台，形成了评估辅助工具平台 黑龙江提出了基于模糊综合判定理论的风险评估判定方法 既有量化的探索，也有定性为主的探索 云南提出了增加业务流分析和已有控制措施的有效性识别或判定 试点工作出现了一批成果（续） 国家税务总局提出了差距分析法，细化了流程 国电公司提出了符合行业特点的方法，初步形成了行业安全评估方法论，涵盖了安全定义、安全评测和风险分析的全过程 典型方法之一：计算系统综合风险 规范的评估过程 摸清家底：划分资产类型，建立重要资产清单，识别资产重要性 分析威胁和分析脆弱性两种途径 按层次分析脆弱性 判定安全时间及其影响 计算威胁风险值 制定风险控制措施 典型方法之一：计算系统综合风险（续） 资产综合风险计算三种做法 选择该资产中分析风险最高的作为风险，乘以资产值，作为该资产风险 将资产中每一威胁的风险之于资产值相乘，得到多个资产的风险值 构建模型，进行综合计算 综合风险： R=V*[∑cRti*Qc+∑ARti*QA+∑IRti*Qi] 其中R:总风险，V:该资产得分， ∑为威胁累计 C:机密性，I:完整性，A:可用性 典型方法之二：差距分析 风险评估方法-差距分析法 建立分析模型 在风险评估中通过识别、判断和分析目标系统的安全现状与安全要求之间的差距确定系统风险的分析方法。也就是说，目标系统的可接受风险和系统残余风险间的差距就是系统存在的风险。 构建差距分析法模型 风险分析模型 差距分析法的实施路径 步骤一 :调研目标系统状况 步骤二：确定信息系统安全要求 任务1：确定信息系统安全等级 任务2：确定和规范化描述信息系统的安全要求 步骤三：评估信息系统安全现状 任务1：信息系统安全现状评估报告 步骤四：对信息安全风险进行差距分析和风险计算 任务1：评估信息系统安全现状对信息系统安全要求的符合程度，即信息系统现有安全措施在当前系统运行环境下是否满足其安全要求 任务2：对信息系统安全执行能力进行评估，评估信息系统安全级（包括技术架构能力级、工程能力级和管理能力级的评定）,与要达到目标的安全等级 步骤五：用户根据安全风险评估的结果进行风险控制，形成满足其信息系统安全要求的信息系统安全保障能