信息安全风险分析和安全需求挖掘.pptVIP

信息安全风险分析及安全需求挖掘 卫士通信息产业股份有限公司 二00四年十月 主要内容 现有的风险分析方法综述 风险分析中需要关注的一些问题 卫士通风险分析流程及安全需求挖掘 现有的风险分析方法综述 风险分析的两大类型 定量：准确量化风险分析的各个要素 单次损失估算值 × 年发生率 ＝ 年损失估算值 火灾 $500,000 × 0.1 = $500,000 错误使用资源 $50 × 1000 = $500,000 但是：资产价值的确定/发生概率的确定/最终数值的界定是比较困难的。 因此，真正使用此类方法来评估是很有难度的。 定性：资产－－威胁－－脆弱性－－风险 一些定性风险分析的方法 基准法 (德国IT Baseline…) 为系统各部分的保护度设立一个统一的基准，结合最佳实践（BP）提供的安全措施制定解决方案。 适用范围：使用广泛的典型IT 系统。对保密性、完整性及可用性为一般要求。在基础设施、组织、人事、技术及权宜安排方面可采取标准安全措施。 详细的风险分析方法(SP800-30, …) 包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。结果用于评估风险及选择合理的安全设施。 步骤：了解系统特征，识别威胁，识别脆弱性，分析安全控制，确定可能性，分析影响，确定风险，对安全控制提出建议，记录评估结果 非正式的风险分析方法(FRAP，OCTAVE-S…) 详细风险分析的简化方法。 FRAP：前期预备会议，FRAP会议，风险分析报告撰写，总结会议；OCTAVE-S：建立基于资产的威胁档案，识别技术设施脆弱性， 开发安全策略和计划。 综合方法( ISO 17799， OCTAVE …) 对系统进行宏观分析，确定出高风险领域，进行详细的风险分析，其它部分采用基线方法。 首先要核实系统范围内处于潜在高风险之中，或是对商业运作至关重要的关键性资产进行详细的风险分析以获得相应的保护。其余‘一般对待的’ 通过‘基本的风险评估’办法为其选择控制措施。 风险分析中需要关注的一些问题 如何协同考虑风险分析的各要素? 如何确定关键资产？ 是否要从关键资产入手开始风险分析？（SP800-30就没有说列出关键资产） 如何确定系统中哪些是关键资产？资产敏感性及价值 并对资产的分类（软件、硬件、） --确定各种威胁对资产造成的影响：信息财产未被授权的泄露、未被授权的修改、拒绝接受、在各种时间段的不可恢复性破坏，考虑不利的商业影响的情况。 如何确定威胁？ 威胁list 依据经验 具体分析 如何确定脆弱性？ 大中型组织详细风险分析活动有何异同？ 如何选择风险分析方法？ 该组织的商业环境； 该组织的业务性质和重要性； 该组织对信息系统的依赖程度； 业务和支持系统、应用程序及服务的复杂性； 贸易伙伴的数量和对外业务及契约关系。 不同阶段评估方法如何选择？ 系统安全构建初期--综合法/基准法 系统安全状况评估--详细风险分析法 系统运行期的安全优化--非正式风险分析法 卫士通风险分析流程及安全需求挖掘 部分机构/厂商的风险分析方法 有厂商主要参照OCTAVE，同时利用扫描器，基于ISO17799的量化可视化的评估工具，并导入工具扫描结果生成信息库及其它软件等； 有的厂商主要针对系统和网络进行风险评估，在技术上分析得比较多，技术弱点把握精确 ，但对管理上较弱，管理评估存在不足； 有的厂商针对UNIX、NT等OS及DB、网络设备进行评估，使用评估工具并配合使用人工评估等，建立信息安全库。 风险管理的一般流程 卫士通的风险分析流程 挖掘系统安全需求 小结 目前有多种风险分析的方法，在实际工作中需要考虑系统的实际情况和不同的阶段，灵活使用定性和定量、手工评估和辅助工具、技术评估和系统组织评估、基于知识经验和基于模型的评估等多种方法； 依据国家法律法规和对系统的风险评估，确定系统的安全需求，采取相应的安全措施对系统的风险进行控制； 信息安全是一个动态的复杂过程，因此风险分析也是一个十分复杂的过程，如何做到以较小的代价较准确客观地评估出系统的风险需要我们共同探讨。 谢 谢！ * * 谭兴烈 威胁等级 威胁源 动机 威胁发生 可能性 工具 技能要求 对系统 造成 的影响 系统抗威胁 攻击能力等级 系统脆弱性 安全措施 资产价值 风险等级 威胁 自然威胁－－发生概率（关注的重点） 系统威胁－－组件质量 偶然性人为威胁－－用户类别、人员素质、培训 蓄意人为威胁－－财产的吸引力；财产转化为报酬的难易程度；系统敏感性（好奇、破坏