CISP0302信息安全风险管理_v3.0重点.pptx

信息安全风险管理 培训机构：中启航国际信息技术（北京）有限公司 讲师姓名：秦俊 电话版本：3.0 发布日期：2014-12-1 生效日期：2015-1-1 课程内容 2 知识体 知识域 知识子域 信息安全 风险管理 信息安全风险 管理主要内容 信息安全风险 管理基础 信息安全风险 评估 知识域：信息安全风险管理基础 知识子域： 风险相关基础概念 理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念 理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风险评估的概念 理解风险相关要素之间的关系 3 风险，指事态的概率及其结果的组合 （—— GB/Z 24364-2009《信息安全风险管理指南》） 信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（—— GB/T 20984-2007《信息安全风险评估规范》） 信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性 风险、信息安全风险的概念 4 风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响） 风险的构成 5 风险相关术语 资产（Asset） 威胁（ Threat ） 脆弱性（Vunerability） 可能性（Likelihood, Probability） 安全措施/控制措施（Countermeasure, safeguard, control） 6 业务战略 安全事件 安全需求 风险准则 风险评估 风险处理 风险管理 残余风险（Residental Risk） 信息安全风险评估 资产 资产是任何对组织有价值的东西，是要保护的对象 资产以多种形式存在（多种分类方法） 物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等） 硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等） 有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等） 静态的（如设施和规程等）和动态的（如人员和过程等） 技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等 7 威胁 可能导致对系统或组织危害的不希望事故潜在起因 引起风险的外因 威胁源采取恰当的威胁方式才可能引发风险 威胁举例 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密钥分析 8 漏洞利用 拒绝服务 窃取数据 物理破坏 社会工程 脆弱性 可能被威胁所利用的资产或若干资产的薄弱环节 造成风险的内因 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害 脆弱性举例 系统程序代码缺陷 系统设备安全配置错误 系统操作流程有缺陷 维护人员安全意识不足 9 可能性 某件事发生的机会 威胁源利用脆弱性造成不良后果的机会 举例 脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会很小 系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的机会较小 互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大 10 对风险概念的理解 威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性 网站存在SQL注入漏洞，普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉 11 威胁源 威胁方式 脆弱性 风险 采取 利用 造成 对信息安全风险的理解 信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相关资产损失或损害的可能性 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性 信息安全风险只考虑那些对组织有负面影响的事件 12 信息安全风险评估 13 是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程 它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响 风险处理、风险管理 14 风险处理是选择并且执行措施来更改风险的过程 风险管理是识别、控制、消除或最小化可能影响系统资源不确定因素的过程 安全措施/控制措施 保护资产，抵御威胁，减少脆弱性，降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制，它是管理风险的具体手段和方法 根据安全需求部署，用来防范威胁，降低风险的措施 举例 部署防火墙、入侵检测、审计系统 测试环节 操作审批环节 应急