信息安全风险评估技术简介(86.pptVIP

信息安全风险评估基础环境的准备 工具 风险评估工具 风险计算工具 风险评估数据收集工具 模拟环境 测试平台 提 纲 一、信息安全形势需要评估 二、信息化风险及风险管理研究 三、信息安全风险评估技术导引 四、信息安全风险评估试点经验宝贵 风险评估尚需探索、贵在实践 去年以来我有幸参加了国信办组织的一些试点工作 看到了试点单位的成绩和取得的经验，获益良多 也发现了还有不少问题急需探索和研究 试点工作目的 试点工作的目的是: 在现有管理体制下，摸索如何开展信息安全风险评估工作，检验草拟的风险评估相关标准规范的可行性与可用性，为全面推广信息安全风险评估工作和国家出台有关文件做前期准备。 在试点工作中将探讨以下问题： 探索风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则， 包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息安全风险评估的角色、责任、方法、过程及结果 摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验； 检验和完善信息安全风险评估管理规范与技术标准； 了解信息安全检查评估和自评估模式的效果与不足； 选择试点单位 1、条件 试点单位的信息化系统已具有一定的规模，试点单位应具备自己的技术一定的、专业队伍和评估实践经验。 2、范围 信息化程度较高的行业部门的信息系统，如金融、税务、电力； 建设发展中的电子政务重要信息系统； 部分涉密信息系统； 信息化程度不同的地方单位。 专家组提出建议，协助国信办确定试点入选单位。 信息安全风险评估的概念 风险评估是对系统进行信息安全风险管理的基础，也是系统的使用单位或组织判定在系统的整个生命周期中，有关风险级别的过程。其结果是残留风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。 信息安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。 为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。 影响则是按照系统在单位任务实施中的重要程度来确定的。 对风险评估总体要求的理解 风险评估工作总体要求是： 充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。 评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。 通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。 风险管理贯穿于信息系统生命周期的整个过程 风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系的一个过程。 这个过程并不是IT行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。 进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。 所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说，信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段。??? ??? 美国NIST提出的信息系统安全框架 风险评估的过程 安全措施 抵御 业务战略 脆弱性 安全需求 威胁 风险 残余风险 安全事件 依赖 具有 被满足 利用 暴露 降低 增加 加 依赖 增加 导出 演变 未被满足 未控制 可能诱发 残留 成本 资产 资产价值 风险要素关系示意图 信息系统安全评估体系的构成 风险分析的基本要素 风险分析中要涉及资产、威胁、脆弱性等基本要素。 每个要素有各自的属性 资产的属性是资产价值； 威胁的属性是威胁出现的频率； 脆弱性的属性是资产弱点的严重程度。 资产识别 资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。 资产识别 资产定义 资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬