资讯安全之风险管理及评估-All.pptx

1、資訊安全之風險管理及評估-以BS7799為例,組長：廖健智組員：蔡宗軒、黃國聯、黃逸平、蔡怡真、鄭雅招,指導老師：曹民和 老師,Agenda,一、前言二、資訊安全三、資訊安全規範-BS7799四、誰適合BS7799五、資訊安全之風險評估六、資訊安全應用七、結語八、參考文獻,一、前言,全球商業環境隨時面對有意圖性的資訊系統攻擊，評估每年 大約損失150 億美元，且損失金額逐年升高。2003 年8 月全球各地上百萬台電腦在短短12 天內被接續出現的Blaster、Welchia 與Sobig.F 三種新生病毒感染而遭受系統癱瘓或作業中斷的衝擊，評估這些威脅所造成的損失約為20 億美元。2004 年

2、5 月殺手病毒（Sasser）肆虐造成全台灣三分之一的郵局即430 個支局共約1,600 個工作站電腦當機影響金融業務的交易甚鉅。根據美國CERT/CC 統計資料（Computer security incidents reported）顯示，2003 年資訊安全事件共137,529 件較2002 年增加67.5%（2002 年82,094 件），成長速度急遽攀升足以揭示現今企業組織的資訊安全面臨日益升高的威脅。此類層出不窮的事件傳達一項明確的訊息不安全是昂貴的，資訊安全的風險阻礙經濟發展的潛能及嚴重影響企業日常的運作。如何建構有效的資訊安全的風險管理已是刻不容緩的議題。,美國CERT/CC

3、資訊安全事件統計資料,二、資訊安全,何謂資訊資料是指未經處理之原始訊息，其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。資訊則是將眾多資料藉由整理或分析的過程，使其成為有意義之內容，具有價值及重要性之資訊也將成為決策制定之參考依據。為有效確保重要資訊的保存，防止非法存取、竄改或惡意毀損與破壞，資訊安全之維護成為個人、企業組織或國家相當重視的議題。,二、資訊安全,資訊的重要性隨著知識經濟時代的來臨，資訊的收集與保護對企業組織與個人都越來越重要。,二、資訊安全,何謂資訊安全現今資訊安全重點強調的是由上而下的整體架構，重視的是管理而非技術，單以密碼學的角度看資訊安全並不正確。,二、資訊

4、安全,何謂資訊安全資訊安全，是管理而非技術 妥善的資訊安全管理是確保組織得以持續成長的 重要關鍵 資訊安全管理議題中最重要的部分 人員管理在過去一向被人所忽略不能僅以防火牆與入侵偵測系統的 技術面來看資訊安全,二、資訊安全,資訊安全之定義,二、資訊安全,資訊安全之定義資訊安全是防範資訊資產遭受各種安全威脅，目的在於確保企業持續營運、企業損失減至最小並且投資報酬率及商機增至最大，並以保護下列三者為其特性：機密性(Confidentiality)確保只有被授權的人可以存取資訊完整性(Integrity)確保資訊及處理方法的正確及完整可用性(Availability)確保資訊在被授權的人有需要時可以

5、存取,二、資訊安全,資訊安全防護措施的三大目標-CIA,資訊安全防護措施的三大目標-CIAC 機密性(Confidentiality)機密性為資訊安全必須能確定唯有通過認證的使用者才得以存取資料當不論任何人都可以輕易得知機密或極機密等級文件內容，這就形同沒有資訊安全。I 真確性或完整性(Integrity)完整性是指當資訊在經過保護及傳送的過程中，仍能確保資訊的正確性及真確性現今所指的資訊完整性，大多是發生在網際網路的傳輸品質以及加/解密技術上A 可用性(Availability)可用性即為通過認證的使用者隨時都可取得所需的資訊除了保護系統的安全外，更應考慮到讓使用者隨時都可使用的便利性,二、

6、資訊安全,資訊安全之威脅,二、資訊安全,資訊安全之相關標準,三、資訊安全規範-BS7799,BS7799是什麼BS7799-國際資訊安全稽核規範，全名是 BS7799 Code of Practice for Information Security，由英國標準協會在 1995 年提出、修訂，為目前國際上最知名的安全規範，而且已被 ISO(International Organization for Standardization)接納成為國際標準稱為ISO-17799。,三、資訊安全規範-BS7799,BS7799是什麼起源資訊安全管理規範(BS7799)是由英國標準協會(BSI；Briti

7、sh Standards Institution)所制定之資訊安全標準目的在於確保企業組織資訊相關資產之安全，並在確保資訊機密性、完整性及可用性的基礎下建立資訊安全管理系統(ISMS；Information Security Management System)1995年由英國標準協會(BSI)將資訊安全管理實務準則(Code of practice for Information Security Management)訂為國家標準，即為BS7799-I,BS7799是什麼1998年英國標準協會(BSI)公佈資訊安全管理系統規範(ISMS；Information Security Manag

8、ement System)，即為BS7799-II2000年底由國際標準組織(ISO；International)將BS7799-I列為國際標準，並命名為ISO 177992002年BSI 再次修訂BS7799-II2005年再次修定為BS7799：2005，ISO則納入PARTII成為ISO 17799與ISO 27001,三、資訊安全規範-BS7799,三、資訊安全規範-BS7799,BS7799是什麼,三、資訊安全規範-BS7799,BS7799是什麼內容BS7799 內容大致上分成兩個部分:The code of practice for information security sy

9、stems:設立了產業最佳的管理資訊安全準則 Specification for Information Security Management Systems-ISMS資訊安全管理系統：詳述 IT 安全應用與稽核所應遵循的架構，包含 11 個控制領域與 44 個控管目標，它可以來設置應用的時程，並以 135 個控管項目來保證目標的達成。,三、資訊安全規範-BS7799,BS7799是什麼內容BS7799 包含了所有企業安全政策，從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。根據 BS7799 標準的風險評估包括了兩項系統化的考量：1.IT 安全的破壞

10、造成可能的資訊保密性、真確性與可用性失效之後果，將會導致對企業的 傷害。2.對各種威脅的防範與合理的控管都會影響這些破 壞發生的實際可能性。,三、資訊安全規範-BS7799,BS7799 Part I&Part IIPart I:Code of Practice 1,ISO 17799“明確”的”建議”要有哪些資訊安全控管 於2000通過成為ISO 17799:2000 於2005.06.10通過,發成為ISO 17799:2005 版Part II:Specification(Audit Guideline),BS7799認證規範，為英國之標準 200511月成為ISO之標準(ISO 270

11、01)世界各國多已採用BS7799或ISO 17799之系規範,待ISO 27001 通過後,未會將ISO 17799 修改成為 ISO2700X 相關系,三、資訊安全規範-BS7799,BS7799是一套國際的標準發展一套各行各業遵循資訊安全管理系統的國際標準BS7799 Part1=ISO17799=CNS17799(我國經濟部標準局編號)Code of practice for information security management資訊安全管理系統實務準則BS7799 Part2=CNS 17800(我國經濟部標準局編號)Specification for information

12、 Security Management Systems資訊安全管理系統驗證規範,三、資訊安全規範-BS7799,ISMS是什麼ISMS利用風險分析管理工具，結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果，綜合評估影響企業整體的因素，以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。簡而言之：ISMS是一套管理潛在資訊風險的方法。,三、資訊安全規範-BS7799,ISMS是什麼藉由國際標準的規範，達到確保管理性資訊安全的目標。BS7799是國際承認的衡量標準，用來評斷企業內架構的ISMS系統是否能適當而有效地達成資訊安全的三個目標。建立ISMS系統並不必然就得申請B

13、S 7799認證，不過BS7799的135條控制標準是審查ISMS的最好方法，通過BS7799的審核代表著所建立的ISMS系統具有可接受的有效性。,三、資訊安全規範-BS7799,ISMS導入模型（PDCA）PDCA視為ISMS一個完整的循環，與ISMS相關的決策、文件、定義、作業、流程、紀錄都需要符合PDCA的循環，以確保ISMS每一個動作都遵循PDCA的順序。,三、資訊安全規範-BS7799,BS7799的10大控管重點,三、資訊安全規範-BS7799,BS7799的導入模式BSI採用ISO9001及ISO14001之規劃-執行-確認-行動 模型(PDCA；Plan-Do-Check-Ac

14、t Model)於2005年發展了BS7799-II：2005，從建置ISMS、實行與操作ISMS、監控與檢視ISMS、維護與改善ISMS等四部份定義必須注意之規範需求，因此BS7799-II：2005可謂是資訊安全管理系統策略。,三、資訊安全規範-BS7799,BS7799的導入模式PDCA模型,三、資訊安全規範-BS7799,BS7799的導入模式認證程序,三、資訊安全規範-BS7799,什麼是 CNS17799/CNS17800我國經濟部標準檢驗局於2002年12月公告資訊安全管理系統驗證標準CNS 17799及CNS 17800。資訊安全管理系統驗證標準其內容主要依據ISO 17799

15、(原BS 7799-I:1999)轉定為國家標準CNS 17799，為提供組織作為建立資訊安全管理制度之指導綱要。另依據BS 7799-II:2002轉定為國家標準CNS 17800，為我國受理資訊安全管理制度之驗證標準。,三、資訊安全規範-BS7799,什麼是 CNS17799/CNS17800,ISO/IEC 27001資訊安全管理系統驗證規範,ISO/IEC 17799-III:2005資訊安全管理執行,三、資訊安全規範-BS7799,什麼是 CNS17799/CNS17800CNS 17800之PDCA模式,四、誰適合 BS7799?,政府單位發生的資安案例:在台灣，我們常常可以看到報

16、章雜誌以及電視新聞的報導，各大網站受到駭客入侵，可說是頗不平靜，關於這些駭客的狀況，雖然報導很多，但大部分都只是曇花一現。對於台灣常出現的駭客入侵議題，以下做一個簡單且較深入回顧及探討。駭客入侵仍是台灣資訊安全所面臨最大的問題。,四、誰適合 BS7799?,以學術單位為例：國內教育環境的資安挑戰與對策:教育體系資安作業推動目標建完備之教育體系資安作業體系建深化之教育體系資安認知宣導作業建完整之教育體系資安人才培訓作業建符合資安需求之各級機關學校資訊系統平台架構及作業規範建各級學校資安教育學程。分級實施A級（重要核心）負責教育政策審定機關（如教育部），凡涉及各相關部會委託研究具國家安全機密性或重

17、要敏感性之位資之執單位。教學醫院B級（核心）凡涉及社會秩序運作及民眾隱私等機敏系統之學研機關，各大學（含科技大學）（98）、台灣學術網各區域網中心（12）及縣市教育網中心（25）各技術學院（57）及專科學校（17）（159所大專院校（145所大學校院+專科學校）高中職以下學校（473所高中職（312高中+161高職），3369所國中小學（2646國小+723國中）。C級（重要）D級（一般）輔導重於管制強調認証輔以稽核（自主重於被動）依實際需求建適性化資安作業規範成輔導團協助導入作業規範及準則加強日常演強化認知宣導實素養培訓。,四、誰適合 BS7799?,淡江大學成功導入BS 7799:2004

18、年10月11日，淡江大學獲英國標準協會頒發BSI（British Standards）7799資訊安全證書，成為台灣第一個通過此認證的學術單位。這項殊榮不僅使淡江的知名度更加響亮，也肯定淡江大學資訊中心在安全政策、制度管理、資料維護及意外事件防範等流程都符合國際標準，強化資訊安全達到機密、完整、可用的目標。成為國內第一家通過並取得該認證的學術單位，這對相當強調資訊安全的淡江大學來說，應是實至名歸，不僅對日後在管理學校資訊上有更實質幫助，同時，對於該校的資訊安全課程教授上也挹注了更大的助力。注重安全引發取證動機相對於一般外面企業來說，取得BS7799認證是刻不容緩的，但對學術單位來說，似乎並不是

19、那麼急迫，因此，淡大資訊中心能取得該項認證，在學術界來說，算是個異數，也成為首家取得BS7799認證的學術單位！,四、誰適合 BS7799?,以電信單位為例:Seednet數位聯合電信通過高標準國際BS7799認證民營電信業者Seednet數位聯合電信，提出管理才是資安服務的真功夫！Seednet歷經半年的嚴格審核，於2004年5月正式通過英國標準協會(British Standards Institute,BSI)的BS7799資訊安全管理系統認證審核，並於今日舉行授證儀式。儀式中英國標準協會台灣分公司總經理高毅民博士特別親自蒞臨Seednet授證，見證這難能可貴的一刻。過程中，Seedne

20、t也同時宣佈IDC二樓機房正式啟用。通過此項認證，無疑是宣告IDC正式進入服務至上的戰國時代，Seednet則率先邁向資安管理的更高層級！Seednet總經理程嘉君表示，資訊安全管理最重要的宗旨就是確保企業營運不中斷，這也正與Seednet對企業客戶的Business Continuity Support服務承諾相呼應。翻開Seednet申請BS7799認證的內容，有關電力、設備、人員等等的管理細項看似瑣碎，但讓企業正確無誤維持運轉的力量就在這些管理細節之中。他感概地說，企業資料會流失中斷，絕大多數都是人為因素造成的。以今年國內陸續發生的幾起電信、金融業客戶資料外洩的案子為例，均是由於人為刻意

21、或疏失所導致，這不僅突顯資安管理不被重視，更造成客戶對企業的不信任，是一種無形的嚴重傷害。,四、誰適合 BS7799?,以金融業為例:新巴賽爾協定（Basel II），預計2006年開始實施，銀行金融機構將為了有效降低作業風險、加強風險控管，勢必要加強資訊安全管理，參考BS7799標準，建立自我的資訊安全管理系統，有效管理人 加強單位內部的資安意識:取得BS7799提升銀行公信力教育每個人使其了解在資安中扮演的角色金融機構資訊系統安全基準供各單位參考以案例分享提高警覺性以案例分享提高警覺性:如何確認委外不洩密？委外之後該如何持續經營？,五、資訊安全之風險評估?,外在風險、內在風險:環境的威脅。

22、如天然災害，像是颱風、地震、水火災等。人的威脅。又可分為內部人員與外部人員。內部人員造成的威脅原因，有可能是使用錯誤或是受外部誘惑賄賂，也有可能是離職員工挾怨報復。外部人員造成的威脅原因，大部分是我們熟知的各類病毒及網路駭客。,五、資訊安全之風險評估?,安全威脅評估(一)評估安全威脅發生之可能性評估方法確認安全威脅的目標：那些資產將受到影響確認安全威脅的來源：由誰產生確認安全威脅的影響：影響程度及嚴重性等,安全弱點評估(二),計算風險值,風險=資產價值+安全威脅+安全弱點,六、資訊安全應用：,在這個賽局中，假定參賽者 A 與參賽者 B 以彼此所做出的策略為回應。當參賽都錐交出下列策略時：資安建

23、置與否 A 是 B在自身利益極大化下將回應攻擊 A 否 B在自身利益極大化下將回應攻擊 當參賽者 B 做出下列策略時：駭客、蠕蟲對資誕勛貍受損 B 攻擊 A 在自身利益極大化下將回應是 B 無攻擊 A在自身利益極大化下將回應是,政府及民問單位是否實施資訊安全建置,六、資訊安全應用：,設備買進前後期的成本（當資安事件存在），並分析何種條件下花費是有利可圖。我們推測網路環境存在資安的威脅，因此資訊單位購買資安產品以維護自身資訊安全。假設未購買設備時，資安事件可能發生機率為:（Po），現存成本（改善前成本）為（A）；設備購買後，資安事件發生機率變為（Pl），虛擬成本（改善後成本）為（B）。資訊單位總

24、資產價值為（w），資安產品成本為（Co），已確定損害成本為（Cl），我們將同做如下推論,現存成本大於虛擬成本的決策樹（出處：資安人雜誌，2005年）,現存成本大於虛擬成本時，資訊單位選擇採用資安產品有利可圖，決策者將決定購買資安產品。然而若損害成本（C1）為可負擔成本，資訊單位將選擇不購買資安產品。,六、資訊安全應用：,規劃資訊安全:Gateway SolutionSpam Mail&Mail Server Firewall/IPS/IDS/IM/P2P Content Security Solution資產清點管 為控管 文件控管 Storage&Backup Solution直接損失間接損

25、失其它損失 Wireless Application&Security Solution 校園及廠區的應用 醫診所應用 證券公司的應用 動辦公室的應用 時性集會場所的應用,七、結語:,處於資訊科技快速變化的今天，各種資訊系統衍然而生，而資訊化的社會來臨，改變了人們資料處理的習慣，然而隨著資訊便利而來的則是令人擔憂的資訊安全問題，因此，我們必須做好資訊安全防護措施，唯有在確保資訊安全之前提下享受資訊便利，才是面對資訊世紀來臨的正確態度。任何系統最薄弱的一環是人，安全警覺訓練是投資報酬率最高的反制對策。利用資訊及保護資訊同等重要；一分事前的預防重於十分的事後的補救；面對數位行政時代的來臨，各級人員對機關資訊機密維護負有重要責任。世上沒有完美無瑕的安全，任何政府機構或私人企業都可能發生資安事件。取得機關上下的支持，讓安全成為行政文化的精髓之一；營造機關上下齊心維護安全的組織氣候是最好的安全對策。,八、參考文獻:,八、參考文獻:,八、參考文獻:,八、參考文獻:,資訊安全攻防戰，http:/,END,