第05讲 信息安全风险评估.pptVIP

信息安全工程学 五、信息安全风险评估 信息安全风险评估 风险评估，是发掘信息保护需要的重要步骤 风险评估并非仅在发掘需要阶段进行，后续阶段根据需要也会进行风险评估 例如在定义架构阶段的有效性评估中就需要对已定义的架构进行风险评估，检查结构性漏洞 风险评估可以是对待建的信息系统的评估，也可以是对已有的信息系统的评估。 对已有系统的评估是PDCA的第二次循环，或以后的各次循环中进行的。 每次的PDCA循环，相当于一个新的信息安全工程过程。 信息安全风险评估 风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点 风险管理的概念 定义 风险管理是一个过程。通过这个过程，信息系统管理者能够综合衡量安全措施和实施成本，并通过为信息系统提供安全防护，促进组织的业务能力提升。（NIST SP800-30） 包括三个过程 风险评估 风险消减（控制措施的选用） 风险监控（监视风险，定期再评估） 风险管理的概念 风险管理与信息安全管理 信息安全管理是以风险为驱动的。可以看到，PDCA的各个阶段，主要工作是对信息系统的风险来做识别、评估、控制、检查等动作。 从概念上讲，“信息安全管理”的外延更广，人事管理、财务管理等组织管理的其它部分也有信息安全管理的因素渗透其中。 我们所关心的信息安全管理，是以风险为核心的信息安全管理。从这个概念上讲，信息安全管理和风险管理二者的大部分细节都是一致的。 风险管理的概念 风险管理的概念 风险管理中的基本概念（1） 资产（Asset）：任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等。 威胁（Threat）：某威胁源成功利用特定脆弱点的潜在可能。 脆弱点（Vulnerability）：资产或资产组中存在的可被威胁利用的缺点。脆弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。 风险（Risk）：特定威胁利用资产的脆弱点给资产带来损害的潜在可能性。 风险管理的概念 风险管理中的基本概念（2） 可能性（Likelihood）：对威胁事件发生的几率（Probability）或频率（Frequency）的描述。 影响（Impact）或者后果（Consequence）：意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard）/控制措施（control）/对策（countermeasure）：通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 剩余风险（Residual Risk）：在实施安全措施之后仍然存在的风险。 风险管理的概念 信息安全风险评估 风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点 风险评估的方法 按照分析对象分类 以安全措施为主：基线评估 以实际系统为主：详细评估 组合评估 按照精确程度分类 量化评估 定性评估 按照思路分类 基于知识专家的方法 基于模型的方法 基线评估 组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查 安全基线：在诸多标准规范中规定的一组安全控制措施或者惯例，例如BS 7799-1、ISO 13335-4，德国联邦安全局IT基线保护手册等。 如果环境和商务目标较为典型，组织也可以自行建立基线，而不是直接采用现行标准。 基线检查：拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距 适用情况 组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高 组织信息系统多采用普遍且标准化的模式 基线评估 基线评估的优点 需要的资源少，周期短，操作简单 对于环境相似且安全需求相当的诸多组织，基线评估是最经济有效的风险评估途径。 基线评估的缺点 基线水平的高低难以设定。过高可能导致资源浪费和限制过度，过低则可能难以达到充分的安全， 在管理安全相关的变化方面，基线评估比较困难。 基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合 详细评估 要求对资产进行详细识别和评价，对可能引起风险的威胁和脆弱点进行评估。 详细评估的优点 可以对信息安全风险有一个精确的认识，从而能够准确定义出组织目前的安全水平和安全需求 详细评估的结果可用来管理安全变化。 详细评估的缺点 可能是非常耗费资源的过程，包括时间、精力和技术。因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。 稍后讲述的评估过程，主要针对的是详细评估。 组合评估 基线风险评估耗费资源少、周期短、操作简单，但不够准确 适合一般环境的评估 详细风险评估准确而细致，但耗费资源较多 适合严格限定边界的较小范围内的评估 组合评估：二者相结合。 对所有的系统进行一次初步的高级风险评估，着眼于信息系统的价值，识别出