Lecture6 信息安全测评与风险评估 教学课件.ppt

今日长缨在手 何时缚住苍龙 当刘邦击筑高唱这首传世之作的时候，他是否隐隐约约感到了汉王朝以后将面临的潜在风险？… * 牛顿发现了宇宙空间的三定律，虚拟空间的“牛顿定律”是什么？ 互联网、物联网、人联网…谁是主宰？网还是人？ 善攻者动于九天之上，善守者藏于九地之下 ？九天九地是什么？ 阶级社会：我饿；风险社会：我怕 南海公司引发的泡沫法案（babble act） 尽管美国空军从上个世纪七十年代初就已经形成了系统的信息安全框架理念 美国国防科技委员会关于信息系统安全规范的想法甚至还可以追溯到1967年， 但信息安全战略上升为国家安全战略，RAND功不可没 在这两次演习中，方法论很重要 我国的GB/T 20984—2007标准参考的另一个NIST标准，NIST 800-26已在FY 2007中被FISMA撤销。 NIST 800-30的九个步骤大致可以分为三个环节： 风险识别、风险分析和风险报告 我国的GB/T 20984-2007也基本遵循了这个流程（增加了评估准备环节） 现场测评包括资产识别、威胁识别和脆弱性识别，是风险评估最重要的环节。测评人员需要尽量记录、提取各种数据，已备场外分析和撰写文档之用。 传统的婚嫁流程： 相亲、订婚、礼单、迎亲… 在实际测评工作中，我们主要是采用四大步骤。 在资产识别过程中，业务战略和信息化战略往往是长期的，持续的，而系统建设则是分阶段的。 对于企业而言，信息系统的费效比相对而言比较容易量化（如系统投入/营销总额，等），但对政府部门而言，则需要有不同的量化指标。 金字塔法的好处是具有“聚类性”，比传统的“树状法”更容易“收敛”。 最后出具资产评估报告（或资产重要性清单） 根据金字塔法产生的“群山模型” 最后出具威胁识别报告（或清单） 在线测试与离线测试各有优缺点，可以用时间、实效等来均衡二者之间的工作量 最后出具脆弱性识别报告（或清单） 重点：根据资产识别结果（资产重要性排序）进行识别 全面：高等级系统（含高等级子系统较多的系统） 三个关系的处理 脆弱性识别过程实际上也是“风险控制措施”的制订过程。 这个环节是最容易（小学计算）也是最让人疑惑的 从柔到刚再到柔 上图是一个风险管理框架图，其核心是NIST SP 800-39。 NIST SP 800-39（草案）是2008年颁布的，而2002年颁布的NIST SP 800-30目前仍在重新审核中，原计划08年公布SP 30 Rev 1至今尚未看到。 目前最新的有关风险管理的NIST标准是今年2月颁布的NIST SP 800-37 Rev1《联邦信息系统应用风险管理框架指南》以及NIST SP 800-39《从机构的角度来看信息系统的风险管理》。SP800-39是有关风险管理的一个全面总结。 SP800-37与SP800-30相比，有许多更细的地方，例如在进行系统刻画的时候，SP800-37罗列了很多系统特征刻画项，这是在SP 800-30中没有的。 总之，SP800-37更像是一个RM的实用手册。 SP800-37从信息系统全生命周期（SDLC）来论述安全控制和RM的切入点 SP800-39则从安全生命周期和“信任”的角度来谈RM 信息安全的未来发展趋势对风评有巨大影响 我们的疑惑主要来自于这个人造空间 我们对很多问题越来越感到困惑。 * * * 信息安全风险评估原理、方法和规范 CQU/CISTEC 向宏 s 大风起兮云飞扬 安得猛士守四方 向宏 主任/教授 重庆市信息安全技术中心 重庆大学 软件工程学院 信息安全风险评估的原理、方法和规范 交流提纲 “天问” 简史 对比 原理 方法 展望 虚拟空间的困惑 那只“虚拟的苹果”在哪里… “上帝”创造的宇宙空间我们认识，人类创造的网络空间我们却很陌生 孙子说“知己知彼 百战不殆”，我们是谁？敌人在哪里？ 如果发生“网络大地震”，谁来营救我们？ “圜则九重，孰营度之？” 何为风险？ “网际空间的人造现象与美国军队从事军事行动的其他空间完全不同。 国防部将持续不断的探索网际空间的独有特征的含义， 为美军在其中采取军事行动制订相应的政策。” 美国国防部《四年防务评估报告》 2010年2月 虚拟世界中的“天问” 亘古之初，焉有君臣？ 网络之中，孰敌孰友？ 倾巢之下，完卵安在？ 九天之上，何以准绳？ 风险评估简史 风险的演化：人类社会的缩影？ 中 世 纪 Risk：海上贸易 引发的法律纠纷 七 十 年 代 石油危机引发的 能源风险 八 十 年