ch4信息安全风险评估课件.pptVIP

第四章 信息安全风险评估 本章学习目标 了解风险评估的概念、特点和内涵； 熟悉风险评估的过程及应注意的问题； 了解如何选择恰当的风险评估方法； 掌握典型的风险评估方法； 了解风险评估实施准备 4.1信息安全风险评估基础 GB/T 20984-2007《信息安全技术 信息安全风险评估规范》 相关概念 资产（Asset）：任何对组织有价值的事如，是安全策略保护的对象。 威胁（Threat）:指可能对资产或组织造成损害的事故的潜在原因。 脆弱点（Vulnerability）：是指资产或资产组中能被威胁利用的弱点。 风险（Risk）：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件的可能性与后果的结合。 风险评估（Risk Assessment）：对信息或信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。 残余风险（Residual Risk）：采取了安全措施后，信息系统仍然可能存在的风险。 风险要素关系 风险评估的两种方式 自评估和检查评估 1自评估 “谁主管谁负责，谁运营谁负责” 信息系统拥有者依靠自身力量，依据国家风险评估的管理规范和技术标准，对自有的信息系统进行风险评估的活动。 优点 有利于保密 有利于发挥行业和部门内人员的业务特长 有利于降低风险评估的费用 有利于提高本单位的风险评估能力与信息安全知识 风险评估的两种方式 1自评估 缺点： 如果没有统一的规范要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位 自评估中，可能会存在某些不利的干预，从而影响风险评估结果的客观性，降低评估结果的置信度 某些时候，即使自评估的结果比较乐观，也必须与管理层进行沟通 风险评估的两种方式 2 检查评估 检查评估是由信息安全主管部门或业务部门发起的一种评估活动，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。 检查评估通常都是定期的、抽样进行的评估模式 检查评估缺点： 间隔时间较长，如一年一次，通常还是抽样进行 不能贯穿一个部门信息系统生命周期的全过程，很难对信息系统的整体风险状况作出完整的评价 风险评估的两种方式 2 检查评估 检查评估应覆盖但不限于以下内容： 自评估方法的检查 自评估过程记录检查 自评估结果跟踪检查 现有安全措施的检查 系统输入输出控制的检查 软硬件维护制度及实施状况的检查 突发事件应对措施的检查 数据完整性保护措施的检查 审计追踪的检查 风险评估的两种方式 无论是自评估，还是检查评估，都可以委托风险评估服务技术支持方实施，如国家测评认证机构或安全企业公司。 风险分析原理 风险分析中要涉及资产、威胁、脆弱性三个基本要素。 风险分析原理图 风险分析原理 风险分析的主要内容为： 1对资产进行识别，并对资产的价值进行赋值 2对威胁进行识别，描述威胁的属性（威胁主体，影响对象，出现频率，动机等），并对威胁出现的频率赋值 3对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值 4根据威胁及威胁利用脆弱性的难易程度判断安全时间发生的可能性 根据脆弱性的严重程度和安全事件所作用的资产的价值计算安全事件造成的损失 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值 4.2风险评估的过程 4.2.1风险评估的基本步骤 第一步：风险评估准备 第二步：风险因素识别 第三步：风险确定 第四步：风险评价 第五步：风险控制 第一步 风险评估准备 1确定风险评估的目标 风险评估目标要满足企业持续发展在安全方面的要求，满足相关方的要求，满足法律法规的要求 2 风险评估的范围 风险评估范围可能是企业全部的信息以及与信息处理相关的各类资产、管理机构，也可能是某个独立的系统、关键业务流程、与客户知识产权相关的系统或部门等 3选择与组织机构相适应的具体风险判断方法 在选择具体的风险判断方法时，应考虑评估的目的、范围、时间、效果、人员素质等诸多因素，使之能够与组织环境和安全要求相适应 4建立风险评估团队 管理层、业务骨干、信息技术人员、技术专家等 5获得最高管理者对风险评估工作的支持 风险评估过程应得到企业最高管理者的支持、批准，并对管理层和技术人员进行传达，应在组织内部对风险评估的相关内容进行培训，以明确相关人员在风险评估中的任务。 第二步 风险因素评估 1资产评估 识别信息资产，包括数据、软件、硬件、设备、服务、文档等，制定《信息资产列表》 保密性、完整性、可用性是评价资产的三个安全属性 风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。 资产分类 资产赋值 资产价值应根据资产在保密性、完整性和可用性上的赋值等级，经过