第13章 信息安全风险估第13章 信息安全风险评估.pptVIP

第11章 信息安全风险评估 李 剑 北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn 010目 录 风险评估管理概述 风险评估方法 风险评估 当前，无论是政府还是企业，对于自身的信息安全都非常重视。因此，企业信息安全风险评估再一次引起了业界的关注。 13.1 风险评估概述 13.1.1 风险的概念 风险(Risk)指在某一特定环境下，在某一特定时间段内，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。ISO 27001要求组织通过风险评估来识别组织的潜在风险及其大小，并按照风险的大小安排控制措施的优先等级。 13.1.2 风险评估的概念 风险评估 (Risk Assessment)有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估，也就是确认安全风险及其大小的过程。 风险评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。 13.1.2 风险评估的概念 风险评估是在一定范围内识别所存在信息安全风险，并确定其大小的过程。风险评估保证信息安全管理活动可以有的放矢，将有限的信息安全预算应用到最需要的地方，风险评估是风险管理的前提。 13.1.3 风险评估的意义 长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上不遗余力，新的技术和产品不断涌现；消费者也更加相信安全产品，把仅有的预算投入到安全产品的采购上。 　　但实际情况是，单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术，七分管理”这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。 13.1.3 风险评估的意义 根据信息产业部披露的数字，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的。其中技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。 　　不难看出，属于内部人员方面的原因超过70%，而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。 　　可见，对于一个企业来说，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是企业实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。 13.1.3 风险评估的意义 目前，国内众多部门和行业都开始投入精力进行风险评估或者风险评估规范的制订。据悉，信息产业部、公安部等都推出了各自的风险评估规范，而电信、金融等行业则已经开始进行风险评估工作，将评估推向了实践。 　　专家指出，风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险评估的成本。 13.1.3 风险评估的意义 如图13.1所示为信息安全风险评估的要素。 13.1.4 风险评估的标准、过程与工具 Gartner的风险评估报告指出，未来企业信息化的发展关键在于：关键资产数字化、高速无线网络、网络空间获取、生物访问控制、复杂应用系统、分布系统网络互联、全球化生产等方面。为此，Gartner建议企业的信息安全风险评估，重点在于如何评估复杂的分布式系统和如何保障复杂应用系统的安全两个方面。 　　从国内的实际情况看，复杂应用系统已经初步呈现，许多企业的核心业务系统安全性较弱，且网络建设与安全建设不协调，已经给企业用户带来了极大的挑战。针对这些挑战，主流安全厂商提出了动态安全评估标准。 13.1.4 风险评估的标准、过程与工具 此标准针对现有安全需求进行评估和分析，定义安全策略，建立安全框架，实施安全方案，得出合规性报告，确定目前的安全基线，并随着业务的发展，进行周期性的再评估，保障信息系统的安全。 　　针对风险评估的工程实现，SSE-CMM、OCTAVE等标准和方法对评估过程给予了较好的指导。常规的风险评估方法包括以下阶段：项目准备阶段、项目执行阶段、项目维护阶段。 　　为保障评估的规范性、一致性，降低人工成本，目前国内外普遍开发了一系列的评估工具。其中，网络评估工具主要有Nessus、R