信息安全风险评估 网络通信安全管理员2012修订.docVIP

信息安全风险评估信息安全风险评估 授课教师：唐作其 1 11.3 风险评估理论与方法-概念 信息安全风险评估是对信息在产生、存 储、传输等过程中其机密性、完整性、 可用性遭到破坏的可能性及由此产生的 后果所做的估计或估价，是组织确定信 息安全需求的过程。 2 国家对开展风险评估工作的政策要求 1 、《国家信息化领导小组关于加强信息安 全保障工作的意见》（中办发[2003]27号 ）中明确提出：“要重视信息安全风险评 估工作，对网络与信息系统安全的潜在威 胁、薄弱环节、防护措施等进行分析评估 ，综合考虑网络与信息系统的重要性、涉 密程度和面临的信息安全风险等因素，进 行相应等级的安全建设和管理” 3 国家对开展风险评估工作的政策要求（续） 2.《国家网络与信息安全协调小组〈关于开 展信息安全风险评估工作的意见〉》（国 信办【2006】5号文）中明确规定了风险 评估工作的相关要求： 风险评估的基本内容和原则 风险评估工作的基本要求 开展风险评估工作的有关安排 4 11.3.1 信息安全风险评估概述 依据 GB/T 20984—2007 《信息安全技 术信息安全风险评估规范》，同时参照 ISO/IEC TR 13335-3、NIST SP800-30等 标准，风险评估过程都会涉及到以下阶段： 识别要评估的资产，确定资产的威胁、脆 弱点及相关问题，评价风险，推荐对策。 11.3.2 风险评估的术语 （1）资产Asset 对组织具有价值的信息或资源，是安全 策略保护的对象。 （2）可用性Available 数据或资源的特性，被授权实体按要求 能访问和使用的数据或资源。 （3）保密性Confidential 数据所具有的特性，即表示数据所达到 的未提供或未泄露给非授权的个人、过 程或其他实体的程度。 6 11.3.2 风险评估的术语（续1） （4）完整性Integrity 保证信息及信息系统不会被非授权更改 或破坏的特性。 （5）安全事件Security Incident 系统、服务或网络的一种可识别状态的 发生，它可能是对信息安全策略的违反 或防护措施的失效，或未预知的不安全 状况。 （6）威胁Threat 可能导致对系统或组织危害的不希望事 故潜在起因。7 11.3.2 风险评估的术语（续2） （7）脆弱性Vulnerability 可能被威胁所利用的资产或若干资产的薄 弱环节。 （8）信息安全风险Information Security risk 人为或自然的威胁利用信息系统及管理体 系中在在的脆弱性导致安全事件的发生及其 对组织造成的影响。 8 风险要素关系图 9 风险分析原理图 10 风险评估实施流程 11.3.5 风险评估实施过程 1.风险评估准备 2.资产识别 3.威胁识别 4.脆弱性识别 5.已有安全措施确认 6.风险分析 7.风险评估文档记录 12 1 评估准备 信息安全风险评估的准备，是实施风险评估的前 提。为了保证评估过程的可控性以及评估结果的客 观性，在信息安全风险评估实施前应进行充分的准 备和计划，信息安全风险评估的准备活动包括： ⑴确定信息安全风险评估的目标； ⑵确定信息安全风险评估的范围； ⑶组建适当的评估管理与实施团队； ⑷进行系统调研； ⑸确定信息安全风险评估依据和方法； ⑹制定信息安全风险评估方案； ⑺获得最高管理者对信息安全风险评估工作的 支持。 确定信息安全风险评估的目标 在信息安全风险评估准备阶段应明确风险 评估的目标，为信息安全风险评估的过程 提供导向。信息安全需求是一个组织为保 证其业务正常、有效运转而必须达到的信 息安全要求，通过分析组织必须符合的相 关法律法规、组织在业务流程中对信息安 全等的保密性、完整性、可用性等方面的 需求，来确定信息安全风险评估的目标。 确定信息安全风险评估的范围 既定的信息安全风险评估可能只针对 组织全部资产的一个子集，评估范围必须 明确。 描述范围最重要的是对于评估边界的 描述。评估的范围可能是单个系统或者是 多个关联的系统。 比较好的方法是按照物理边界和逻辑 边界来描述某次风险评估的范围。 组建适当的评估管理与实施团队 在评估的准备阶段，评估组织应成立 专门的评估团队，具体执行组织的信息安 全风险评估。团队成员应包括评估单位领 导、信息安全风险评估专家、技术专家， 还应该包括管理层、业务部门、人力资源、 IT系统和来自用户的代表。 进行系统调研 系统调研是确定被评估对象的过程。风险 评估团队应进行充分的系统调研，为信息 安全风险评估依据和方法的选择、评估内 容的实施奠定基础。调研内容至少应包括： ⑴业务战略及管理制度； ⑵主要的业务功能和要求； ⑶网络结构与网络环境，包括内部连接 和外部连接； ⑷系统边界； ⑸主要的硬件、软件；