第八章 计算机系统安全风险评估.pptVIP

计算机系统安全原理与技术(第2版) 第8章 计算机系统安全风险评估 主要内容 计算机系统安全风险评估的目的和意义 安全风险评估途径 安全风险评估基本方法 安全风险评估工具 安全风险评估的依据和过程 8.1计算机系统安全风险评估的目的和意义 1. 安全风险评估是科学分析并确定风险的过程 任何系统的安全性都可以通过风险的大小来衡量。 风险评估——人们为了找出答案，分析确定系统风险及风险大小，进而决定采取什么措施去减少、转移、避免风险，把风险控制在可以容忍的范围内，这一过程即为风险评估。 信息安全风险评估——从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，将风险控制在可接受水平，最大程度地保障计算机网络信息系统安全提供科学依据。 2. 信息安全风险评估是信息安全建设的起点和基础 信息安全风险评估是风险评估理论和方法在信息系统安全中的运用，是科学地分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、控制、转移、补偿以及分散等之间作出决策的过程。 3. 信息安全风险评估是需求主导和突出重点原则的具体体现 如果说信息安全建设必须从实际出发，坚持需求主导、突出重点、则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的，安全是安全风险和安全建设管理代价的综合平衡。 4. 重视风险评估是信息化比较发达的国家的基本经验 20世纪70年代，美国政府就颁布了《自动化数据处理风险评估指南》，其后颁布的信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求——要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露、未授权访问等造成损失的大小，制定、实施信息安全计划，以保证信息和信息系统应有的安全。 8.2 安全风险评估途径 基线评估(Baseline Risk Assessment) 详细评估 组合评估 基线评估(Baseline Risk Assessment) 安全基线——在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。 采用基线风险评估，组织根据自己的实际情况，对信息系统进行安全基线检查，即拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。 优点 所需资源少、周期短、操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效地风险评估途径。 缺点 基线水平的高低难以设定。如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分的安全。 在管理安全相关的变化方面，基线评估比较困难。 详细评估 要求对资产进行详细识别和评估，对可能引起风险的威胁和脆弱点进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降到可接受的水平，以此证明管理者采用的安全控制措施是恰当的。 优点：通过此途径可以对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求。 缺点：非常耗费资源，包括时间、精力、技术等。 组合评估——将前面二者相结合！ 优点： 既节省评估所耗费的资源，又能确保获得一个全面系统的评估结果。 组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。 缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也会被忽略，最终导致结果失准。 8.3 安全风险评估基本方法 目标——找出组织信息资产面临的风险及其影响 基于知识的评估方法 基于模型的评估方法 定量评估方法 定性分析方法 定性与定量相结合的综合评估方法 基于知识的评估方法 又称为经验法，采用这种方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。 信息源包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察。 基于模型的评估方法 CORAS——安全危急系统的风险分析平台，2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发。 目的：开发一个机遇面向对象建模，特别是UML技术的风险评估框架。 评估对象：对安全要求很高的一般性系统，特别是IT