第8章信息安全风险评估分析报告.ppt

　　　　　一个完整的信息安全体系和安全解决方案是根据信息系统的体系结构和系统安全形势的具体情况来确定的，没有一个通用的信息安全解决方案。信息安全关心的是保护信息资产免受威胁。绝对的安全是不可能的，只能通过一定的措施把风险降低到一个可接受的程度。 　　因此，信息系统的安全风险评估是指用于了解信息系统的安全状况，估计威胁发生的可能性，计算由于系统易受到攻击的脆弱性而引起的潜在损失。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，其最终目的是帮助选择安全防护措施，将风险降低到可接受的程度，提高信息安全保障能力。这个过程是信息安全管理体系的核心环节，是信息安全保障体系建设过程中的重要评价方法和决策机制。 　　随着信息技术的快速发展，关系国计民生关键信息的基础设施规模和信息系统的复杂程度越来越大。近年来，各个国家越来越重视以风险评估为核心的信息安全评估工作，提倡信息安全风险评估的制度与规范化，通过出台一系列相关的法律、法规和标准等来保障建立完整的信息安全管理体系。例如美国的SP 800系列、英国的BS 7799《信息安全管理指南》、德国联邦信息安全办公室(BSI)《IT基线保护手册》、日本的ISMS《安全管理系统评估制度》等。 　　我国在2004年3月启动了信息安全风险评估指南和风险管理指南等标准的编制工作，2005年完成了《信息安全评估指南》和《信息安全管理指南》的征求意见稿，2006年完成了《信息安全评估指南》送审稿，并分别于2007年和2009年通过了国家标准化管理委员会的审查批准成为国家标准，即GB/T 20984—2007《信息安全风险评估规范》和GB/Z 24364—2009《信息安全风险管理指南》。 8.1.1　信息安全风险评估的目标和原则　　信息安全风险评估的目标是：　　(1) 了解信息系统的体系结构和管理水平，以及可能存在的安全隐患。　　(2) 了解信息系统所提供的服务及可能存在的安全问题。　　(3) 了解其他应用系统与此信息系统的接口及其相应的安全问题。　　(4) 网络攻击和电子欺骗的模拟检测及预防。 　　(5) 找出目前的安全控制措施与安全需求的差距，并为其改进提供参考。　　信息安全风险评估的原则有：　　(1) 可控性原则。　　包括人员可控(资格审查备案与工作确认)、工具可控(风险评估工具的选择，以及对相关方的知会)、项目过程可控(重视项目的管理沟通，运用项目管理科学方法)。　　(2) 可靠性原则。　　要求风险评估要参考有关的信息安全标准和规定，例如GB/T 20984—2007《信息安全风险评估规范》等，做到有据可查。 　　(3) 完整性原则。　　严格按照委托单位的评估要求和指定的范围进行全面的信息安全风险评估服务。　　(4) 最小影响原则。　　风险评估工作不能妨碍组织的正常业务活动，应从系统相关的管理和技术层面，力求将风险评估过程的影响降到最小。　　(5) 时间与成本有效原则。　　风险评估过程花费的时间和成本应该具有合理性。 　　(6) 保密原则。　　受委托的评估方要对评估过程进行保密，应与委托的被评估方签署相关的保密和非侵害性协议，未经允许不得将数据泄露给任何其他组织和个人。 8.1.2　实施信息安全风险评估的好处　　(1) 风险评估是建立信息安全风险管理策略的基础。如果一个管理者不进行风险评估就选择了一种安全防护措施(设备或方法)，也许或造成浪费或已实施的安全防护无法直接减少确定存在的风险。　　(2) 风险评估有利于在员工范围内建立信息安全风险意识，提高工作人员对安全问题的认识和兴趣，以及他们对信息安全问题的重视程度。 　　(3) 风险评估能使系统的管理者明确他们的信息系统资源所存在的弱点，让管理者对系统资源和系统的运行状况有更进一步的了解。　　(4) 风险评估在信息系统的设计阶段最为有用，可以确认潜在损失，并从一开始就明确安全需求，这远比在信息系统运行之后更换相关控制节省成本得多。 　　　　从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者的综合作用在当前安全措施控制下所带来与安全需求不符合的风险可能性评估。作为风险管理的基础，风险评估是组织进一步确定信息安全需求和改进信息安全策略的重要途径，属于组织信息安全管理体系策划的过程。 　　信息系统是信息安全风险评估的对象，信息系统中的资产、信息系统面临的可能威胁、系统中存在的脆弱性、安全风险、安全风险对业务的影响，以及系统中已有的安全控制措施和系统的安全需求等构成了信息安全风险评估的基本要素。 8.2.1　风险评估的相关要素　　1. 资产　　资产(Asset)是指对组织具有价值的信息或资源，是安全策略保护的对象。　　资产能够以多种形式存在，包括