信息安全风险评估培训(第十二期).ppt

1、信息安全风险评估,程晓峰,什么是风险评估？,从深夜一个回家的女孩开始讲起,风险评估的基本概念,资产,业务影响,威胁,脆弱性,风险,钱被偷,100块,没饭吃,小偷,打瞌睡,服务器,黑客,软件漏洞,被入侵,数据失密,风险评估通俗类比,风险评估,5,风险,风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，风险（Risk）就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。,风险管理,风险评估（Risk Assessment）就是对各方面风险进行辨识和分析的过程，它包括风险分析和风险评价，是确认安全风险

2、及其大小的过程。,RISK,RISK,RISK,风险,原有风险,采取措施后的剩余风险,风险管理的目标,风险评估和风险管理的关系,风险评估是风险管理的关键环节，在风险管理循环中，必须依靠风险评估来确定随后的风险控制与改进活动。,资产分类方法,资产分类方法,资产识别模型,信息安全属性,保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取完整性INTEGRITY保护信息及其处理方法的准确性和完整性可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产,资产保密性赋值,资产完整性赋值,资产可用性赋值,资产等级计算公式,AV=F(AC,AI,AA)Asse

3、t Value 资产价值Asset Confidentiality 资产保密性赋值Asset Integrity 资产完整性赋值Asset Availability 资产可用性赋值例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=ACAIAA,资产价值赋值,可用性,确保获得授权的用户可访问信息并使用相关信息资产,进不来,拿不走,改不了,跑不了,看不懂,可审查,信息安全属性,威胁来源列表,威胁分类表,威胁赋值,脆弱性识别内容表,脆弱性赋值,风险分析原理,L,F,R,风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)其中,R 表示安全风险计算函数;A 表示资产

4、;T 表示威胁;V 表示脆弱性;Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F 表示安全事件发生后产生的损失。一般风险计算方法：矩阵法和相乘法,风险计算方法,矩阵法,矩阵法风险计算,风险等级表,风险评价示例,28,降低风险（Reduce Risk）采取适当的控制措施来降低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件，或是改善不规范的工作流程、制定业务连续性计划，等等。避免风险（Avoid Risk）通过消除可能导致风险发生的条件来避免风险的发生，如将公司内外网隔离以避免来自互联网的攻击，或是将机房安置在不可能造成水

5、患的位置，等等。转移风险（Transfer Risk）将风险全部或者部分地转移到其他责任方，例如购买商业保险。接受风险（Accept Risk）在实施了其他风险应对措施之后，对于残留的风险，组织可以有意识地选择接受。,风险处置策略,29,绝对安全（即零风险）是不可能的。实施安全控制后会有残留风险或残存风险（Residual Risk）。为了确保信息安全，应该确保残留风险在可接受的范围内：残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,残留

6、风险评价,等保测评与风险评估的区别,目的不同等级测评：以是否符合等级保护基本要求为目的照方抓药风险评估：以PDCA循环持续推进风险管理为目的对症下药,等保测评与风险评估的区别,参照标准不同等级测评：GB 17859-1999 计算机信息系统 安全保护等级划分准则GB/T 222392008 信息系统安全等级保护基本要求GB/T 222402008 信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南（国标报批稿）信息系统安全等级保护测评要求（国标报批稿）GB/T 25058-2010信息系统安全等级保护实施指南GB/T 25070-2010信息系统等级保护安全设计技术要求风险评估：BS

7、7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范,等保测评与风险评估的区别,可以简单的理解为等保是标准或体系，风险评估是一种针对性的手段。,为什么需要进行风险评估？,该买辣椒水呢还是请保镖？,什么样的信息系统才是安全的?,如何确保信息系统的安全?,两个基本问题,什么样的信息系统才是安全的?,如何确保信息系统的安全?,风险分析,风险管理,基本问题的答案,潜在损失在可以承受范围之内的系统,风险分析,安全决策,风险管理,两个答案的相关性,安全保障体系建设,安全,成本 效率,安全-效率曲线,安全-成本曲线,要研究建设信息

8、安全的综合成本与信息安全风险之间的平衡，而不是要片面追求不切实际的安全不同的信息系统，对于安全的要求不同，不是“越安全越好”,信息系统矛盾三角,三类操作系统举例,怎么做风险评估？,评估到底买辣椒水还是请保镖更合适,可能的攻击,信息的价值,可能的损失,风险评估简要版,资产,弱点,影响,弱点,威胁,可能性,+,=,当前的风险级别,风险分析方法示意图,损失的量化必须围绕用户的核心价值，用户的核心业务流程！,如何量化损失,否,是,否,是,风险评估的准备,已有安全措施的确认,风险计算,风险是否接受,保持已有的控制措施施施施,选择适当的控制措施并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,

9、是否接受残余风险,风险识别,评估过程文档,评估过程文档,风险评估结果记录,评估结果文档,风险评估流程,等级保护下风险评估实施框架,保护对象划分和定级,网络系统划分和定级,资产,脆弱性,威胁,风险分析,基本安全要求,等级保护管理办法、指南信息安全政策、标准、法律法规,安全需求,风险列表,安全规划,风险评估,结合等保测评的风险评估流程,47,47,风险评估项目实施过程,48,48,评估工作各角色的责任,49,49,风险评估项目实施过程,50,50,制定评估计划,评估计划分年度计划和具体的实施计划，前者通常是评估策划阶段就需要完成的，是整个评估活动的总纲，而具体的评估实施计划则是遵照年度评估计划而对

10、每次的评估活动所作的实施安排。评估计划通常应该包含以下内容：目的：申明组织实施内部评估的目标。时间安排：评估时间避免与重要业务活动发生冲突。评估类型：集中方式（本次项目采用集中评估方式）其他考虑因素：范围、评估组织、评估要求、特殊情况等。评估实施计划是对特定评估活动的具体安排，内容通常包括：目的、范围、准则、评估组成员及分工、评估时间和地点、首末次会议及报告时间 评估计划应以文件形式颁发，评估实施计划应该有评估组长签名并得到主管领导的批准。,51,51,风险评估计划示例,52,52,风险评估实施计划示例,53,53,风险评估项目实施过程,54,54,检查列表的四要素,去哪里？,找谁？,查什么？

11、,如何查？,55,55,风险评估常用方法,检查列表：评估员根据自己的需要，事先编制针对某方面问题的检查列表，然后逐项检查符合性，在确认检查列表应答时，评估员可以采取调查问卷、文件审查、现场观察和人员访谈等方式。文件评估：评估员在现场评估之前，应该对受评估方与信息安全管理活动相关的所有文件进行审查，包括安全方针和目标、程序文件、作业指导书和记录文件。现场观察：评估员到现场参观，可以观察并获取关于现场物理环境、信息系统的安全操作和各类安全管理活动的第一手资料。人员访谈：与受评估方人员进行面谈，评估员可以了解其职责范围、工作陈述、基本安全意识、对安全管理获知的程度等信息。评估员进行人员访谈时要做好记

12、录和总结，必要时要和访谈对象进行确认。技术评估：评估员可以采用各种技术手段，对技术性控制的效力及符合性进行评估。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。,56,56,评估员检查工具检查列表,检查列表（Checklist）是评估员进行评估时必备的自用工具，是评估前需准备的一个重要工作文件。在实施评估之前，评估员将根据分工情况来准备各自在现场评估所需的检查列表，检查列表的内容，取决于评估主题和被评估部门的职能、范围、评估方法及要求。检查列表在信息安全管理体系内部评估中起着以下重要作用：明确与评估目标有关的抽样问题；使评估程序规范化，减少评估工作的随意性和盲

13、目性；保证评估目标始终明确，突出重点，避免在评估过程中因迷失方向而浪费时间；更好地控制评估进度；检查列表、评估计划和评估报告一起，都作为评估记录而存档。,57,57,检查列表编写的依据，是评估准则，也就是信息安全管理标准、组织信息安全方针手册等文件的要求 针对受评估部门的特点，重点选择某些应该格外关注的信息安全问题 信息的收集和验证的方法应该多种多样，包括面谈、观察、文件和记录的收集和汇总分析、从其他信息源（客户反馈、外部报告等）收集信息等 检查列表应该具有可操作性 检查列表内容应该能够覆盖体系所涉及的全部范围和安全要求 如果采用了技术性评估，可在检查列表中列出具体方法和工具 检查列表的形式和

14、详略程度可采取灵活方式 检查列表要经过信息安全主管人员审查无误后才能使用,检查列表编写注意事项,58,常用技术工具清单,技术漏洞扫描工具针对操作系统、典型应用软件漏洞（Nessus、绿盟极光、启明天镜）针对网络端口（Nmap）针对数据库漏洞(安信通、安恒)针对Web漏洞（IBM Appscan、HP WebInspect WVS）针对网络数据流（WireShark、Ethereal）,59,59,风险评估项目实施过程,60,60,召开首次会议,在完成全部评估准备工作之后，评估小组就可以按照预先的计划实施现场评估了，现场评估开始于首次会议，评估小组全体成员和受评估方领导及相关人员共同参加。首次会

15、议由评估组长主持，评估小组要向组织的相关人员介绍评估计划、具体内容、评估方法，并协调、澄清有关问题。召开首次会议时，与会者应该做好正式记录。,61,61,首次会议议程及内容,62,风险评估原则,在风险评估前，需要对技术评估的风险进行重审。被评估方应在接受技术评估前对业务系统备份。在技术扫描过程中，需要系统管理员全程陪同。参考最近一年的风险评估记录.在遇到异常情况时，及时通知管理员，并且停止评估。技术评估安排在对系统影响较小的时间进行,63,63,实施现场评估,首次会议之后，即可进入现场评估。现场评估按计划进行，评估内容参照事先准备好的检查列表。评估期间，评估员应该做好笔记和记录，这些记录是评估

16、员提出报告的真凭实据。记录的格式可以是“笔记式”，也可以是“记录表式”，一般来说，内审活动都应该有统一的“现场评估记录表”，便于规范化管理。评估进行到适当阶段，评估组长应该主持召开评估小组会议，借此了解各个评估员的工作进展，提出下一步工作要求，协调有关活动，并对已获得的评估证据和评估发现展开分析和讨论。,64,64,对不符合项进行描述,无论是严重不符合项还是轻微不符合项，评估员都应该将其记录到不符合项报告中。不符合项报告是对现场评估得到的评估发现进行评审并经过受评估方确认的对不符合项的陈述，是最终的评估报告的一部分，是评估小组提交给委托方或受评估方的正式文件。不符合项描述应该明确以下内容：在哪里发现的？描述相关区域、文件、记录、设备 发现了什么？客观描述发现的事实 有谁在场？或者和谁有关？描述相关人员、职位 为什么不合格？描述不符合原因，所违背的标准或文件条款 在对不符合项进行描述时，应该注意：不符合项描述务必清楚明白，便于追溯 描述语句务必正规，采用标准术语,65,现场工作时间安排（一）,现场工作时间安排（二）,67,67,召开评估小组会议,现场评估结束后，末次会议召开之前，评估小组