我看信息安全风险评估工作(宁家骏国家信息中心)绪论.ppt

我看信息安全风险评估工作 宁家骏（国家信息中心） 2005.10 提纲 信息安全与风险评估 风险评估贵在探索 努力研发符合我国特色的评估体系 安全保密需要风险评估 克服安全“亚健康”的必由之路 医学专家告诉我们： 人的躯体有健康、亚健康和患病等多种状态 但成年人多数处于亚健康状态 如何确认和发现问题，必须体检 信息系统也一样，在安全状态方面，常常处于“亚健康”甚至患病状态，因此也要“体检”—这就是风险评估 环境和背景 近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批宝贵的信息资产。 与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。 计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。 风险评估是一种方法和依据 信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。 风险评估的理念 安全需要风险管理，信息安全更需要风险管理 风险评估是当前解决信息安全问题的重要手段 风险分析的基本要素 风险分析中要涉及资产、威胁、脆弱性等基本要素。 每个要素有各自的属性 资产的属性是资产价值； 威胁的属性是威胁出现的频率； 脆弱性的属性是资产弱点的严重程度。 风险分析主要内容 对资产进行识别，并对资产的重要性进行赋值； 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； 根据威胁和脆弱性的识别结果判断安全事件发生的可能性； 根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失； 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。 不打无准备之仗—做好准备 风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前，应： 确定风险评估的目标； 确定风险评估的范围； 组建适当的评估管理与实施团队； 选择与组织相适应的具体的风险判断方法； 获得最高管理者对风险评估工作的支持。 风险评估的准备阶段 明确目标 应明确风险评估的目标，为风险评估的过程提供导向。信息系统是重要的资产，其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。 确定范围 基于风险评估目标确定评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某独立的系统，关键业务流程，与客户知识产权相关的系统或部门等。 组建团队 组建适当的风险评估管理与实施团队，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。 选择方法 应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和安全要求相适应。 获得支持 上述所有内容确定后应得到组织的最高管理者的支持、批准，并对管理和技术人员进行传达和在组织范围就风险评估进行培训 资产识别 资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。 资产分类 风险评估中，资产大多属于不同的信息系统，如OA系统、网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下