安全风险管理要点详解.ppt

行业标准《电信网和互联网安全风险评估实施指南》中的风险值计算方法 * * 对于不可接受的风险，应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和社会文化等多方面的可能限制因素，从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。安全措施的选择与实施应参照国家和行业的相关标准。 * 在对不可接受风险选择新的安全措施后，为确保安全措施的有效性，应进行再评估，以判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准的风险评估流程实施，也可做适当裁减。 某些风险可能在选择了新的安全措施后，残余风险的风险评估结果仍处于不可接受范围内，应考虑是否接受此风险或进一步增加相应的安全措施。 * 风险分析过程中，应记录风险评估过程，作为评估文档保存下来。风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档。 * 来源于《中国移动网络与信息安全风险评估管理办法》 第三章 风险评估的组织及职责 * 来源于《中国移动网络与信息安全风险评估管理办法》 第三章 风险评估的组织及职责 * 来源于《中国移动网络与信息安全风险评估管理办法》 第三章 风险评估的组织及职责 * 来源于《中国移动网络与信息安全风险评估管理办法》 第三章 风险评估的组织及职责 * 来源于《中国移动网络与信息安全风险评估管理办法》第四章 风险评估工作基本制度 * 在网络建设的各个阶段均需要进行风险评估，风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、安全要求等各方面也有所不同，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。 使风险管理渗透到网络建设的各个阶段。 * 各生命周期内进行安全风险评估的目的不同。 * * * 各种安全问题层出不穷，安全隐患无处不在，安全工作长期处于被动、滞后、修补漏洞的状态。追不上问题，也无法预测故障，网络安全必需体系化开展。 * 打破原有的一个解决方法只针对一个或一类问题的做法。 即必须建立安全保障体系，对网络或系统体系化保护，系统的落实安全风险控制措施。 * * * * 参考 澳大利亚和新西兰联合发布的风险管理标准AS/NZS 4360－1999，第一版于1995年发布。 风险处置的目的为对识别出来的风险采取什么措施以及谁负责进行处理。风险处置需要根据可行性、代价、风险管理的目标 最恰当、最实际的方法，来把风险降低到可容忍的程度。风险处置的方式有：1、降低风险：减小安全事件发生的可能性，降低安全事件产生的后果。2、接受风险：承担风险评价准则中规定的企业能够容忍的风险。 3、回避风险：消极退却。4、转移风险：责任外包或保险。 风险处置应制定风险处置计划，包括落实责任、进度表、预算、预期的处置结果等，还应评估实现风险处置方法的性能准则、个人责任及其它目标。 * 没有绝对的安全，但我们需要可管理的安全。 安全可管理即安全可量化、可考核、可控制，经常采取的安全措施包括防火墙、入侵检测、防病毒、安全事件分析、安全审计、评估加固、认证、应急措施等。 * * 虽然安全工作一直在作，但是网络或系统中存在一定的安全隐患，存在资产的脆弱性被威胁利用的可能性。 通过四个案例说明网络中存在的威胁、脆弱性。 * * * 对目前安全工作存在的问题进行小结 * * 我们该有的手段都有了，为什么还总出现故障甚至是重大故障 根本原因是缺乏对安全的整体控制，各种技术手段分散在各专业手里，无法进行整体控制 因此有必要进行风险管理 * 目前已有安全控制措施（SOX法案、双节点、双路由、备件等）由于相对分散，没有体系化管理，随着网络发展，安全威胁日益突出，需要对现有安全工作进行有机结合，体系化地进行风险管理 * 风险管理是基于风险评估的安全管理方法。它是以可以接受的代价识别、控制、最小化或者避免影响信息系统安全的风险的过程。 参考国标《信息安全风险管理指南》，信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查和沟通与咨询六个方面的内容。 对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤，监控与审查和沟通与咨询则贯穿于这四个基本步骤中。 风险管理的核心是风险评估。 * 与审计和检查的关系 * 三分技术、七分管理，目前安全工作还需要进一步加强 * * 风险评估定义来源于《中国移动网络与信息安全风险评估管理办法》 第一章 风险评估对象的范畴来源于信部电[2007]555号：《关于进一步开展电信网络安全防护