信息安全風險評估,.,2,什么是風險評估？,從深夜一個回家的女孩開始講起,.,3,風險評估的基本概念,.,4,各安全組件之間的關系,.,5,資產,影響,威脅,弱點,風險,錢被偷,100塊,沒飯吃,小偷,打瞌睡,服務器,黑客,軟件漏洞,被入侵,數據失密,通俗的比喻,.,6,風險評估,6,風險,風險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統的安全風險的過程。,在信息安全領域，風險（Risk）就是指各種威脅導致安全事件發生的可能性及其對組織所造成的負面影響。,風險管理,風險評估（RiskAssessment）就是對各方面風險進行辨識和分析的過程，它包括風險分析和風險評價，是確認安全風險及其大小的過程。,概述,.,7,相關概念,資產（Asset）任何對企業具有價值的東西，包括計算機硬件、通信設施、建筑物、數據庫、文檔信息、軟件、信息服務和人員等，所有這些資產都需要妥善保護。威脅（Threat）可能對資產或企業造成損害的某種安全事件發生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點（Vulnerability）也被稱作漏洞或脆弱性，即資產或資產組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產造成損害。風險（Risk）特定威脅利用資產弱點給資產或資產組帶來損害的潛在可能性。可能性（Likelihood）對威脅發生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）后果（Consequence），意外事件發生給企業帶來的直接或間接的損失或傷害。安全措施（Safeguard）控制措施（control）或對策（countermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。殘留風險（ResidualRisk）在實施安全措施之后仍然存在的風險。,.,8,RISK,RISK,RISK,風險,原有風險,采取措施后的剩余風險,風險管理的目標,.,9,資產分類方法,.,10,資產分類方法,.,11,資產識別模型,.,12,資產價值的評估,.,13,信息安全屬性,保密性CONFIDENTIALATY確保信息只能由那些被授權使用的人獲取完整性INTEGRITY保護信息及其處理方法的準確性和完整性可用性AVAILABILITY確保被授權使用人在需要時可以獲取信息和使用相關的資產,.,14,.,15,.,16,.,17,資產等級計算公式,AV=F(AC,AI,AA)例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=ACAIAA,.,18,.,19,威脅來源列表,.,20,威脅分類表,.,21,.,22,脆弱性識別內容表,.,23,.,24,威脅與脆弱性之間的關系,.,25,風險分析原理,.,26,定性風險分析,.,27,風險計算方法,風險值=R(A,T,V)=R(L(T,V),F(Ia,Va)其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產價值;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。一般風險計算方法：矩陣法和相乘法,.,28,矩陣法,.,29,.,30,風險評價示例,.,31,31,確定風險處置策略,降低風險（ReduceRisk）采取適當的控制措施來降低風險，包括技術手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不規范的工作流程、制定業務連續性計劃，等等。避免風險（AvoidRisk）通過消除可能導致風險發生的條件來避免風險的發生，如將公司內外網隔離以避免來自互聯網的攻擊，或是將機房安置在不可能造成水患的位置，等等。轉移風險（TransferRisk）將風險全部或者部分地轉移到其他責任方，例如購買商業保險。接受風險（AcceptRisk）在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。,.,32,32,評價殘留風險,絕對安全（即零風險）是不可能的。實施安全控制后會有殘留風險或殘存風險（ResidualRisk）。為了確保信息安全，應該確保殘留風險在可接受的范圍內：殘留風險Rr原有的風險R0控制R殘留風險Rr可接受的風險Rt對殘留風險進行確認和評價的過程其實就是風險接受的過程。決策者可以根據風險評估的結果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。,.,33,等保測評與風險評估的區別,目的不同等級測評：以是否符合等級保護基本要求為目的照方抓藥風險評估：以PDCA循環持續推進風險管理為目的對癥下藥,.,34,等保測評與風險評估的區別,參照標準不同等級測評：GB17859-1999計算機信息系統安全保護等級劃分準則GA/T387-2002計算機信息系統安全等級保護網絡技術要求GA388-2002計算機信息系統安全等級保護操作系統技術要求GA/T389-2002計算機信息系統安全等級保護數據庫管理系統技術要求GA/T390-2002計算機信息系統安全等級保護通用技術要求GA391-2002計算機信息系統安全等級保護管理要求風險評估：BS7799ISO17799ISO27001ISO27002GBT20984-2007信息安全技術信息安全風險評估規范,.,35,等保測評與風險評估的區別,可以簡單的理解為等保是標準或體系，風險評估是一種針對性的手段。,.,36,為什么需要進行風險評估？,該買辣椒水呢還是請保鏢？,.,37,什么樣的信息系統才是安全的?,如何確保信息系統的安全?,兩個基本問題,.,38,什么樣的信息系統才是安全的?,如何確保信息系統的安全?,風險分析,風險管理,基本問題的答案,.,39,潛在損失在可以承受范圍之內的系統,風險分析,安全決策,風險管理,兩個答案的相關性,.,40,信息安全的演化,.,41,概念的演化和技術的演化同步,.,42,可信是保障概念的延續,.,43,信息安全的事實,廣泛,安全是一個廣泛的主題，它涉及到許多不同的區域（物理、網絡、系統、應用、管理等），每個區域都有其相關的風險、威脅及解決方法。,動態,相對,絕對的信息安全是不存在的。信息安全問題的解決只能通過一系列的規劃和措施，把風險降低到可被接受的程度，同時采取適當的機制使風險保持在此程度之內。當信息系統發生變化時應當重新規劃和實施來適應新的安全需求。,人,信息系統的安全往往取決于系統中最薄弱的環節-人。人是信息安全中最關鍵的因素，同時也應該清醒的認識到人也是信息安全中最薄弱的環節。,僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的。信息安全建設是一項復雜的系統工程，要從觀念上進行轉變，規劃、管理、技術等多種因素相結合使之成為一個可持續的動態發展的過程。,.,44,安全保障體系建設,安全,成本效率,安全-效率曲線,安全-成本曲線,要研究建設信息安全的綜合成本與信息安全風險之間的平衡，而不是要片面追求不切實際的安全不同的信息系統，對于安全的要求不同，不是“越安全越好”,.,45,信息系統矛盾三角,.,46,三類操作系統舉例,.,47,信息安全保障能力成長階段,.,48,能力成長階段的劃分,盲目自信階段普遍缺乏安全意識，對企業安全狀況不了解，未意識到信息安全風險的嚴重性認知階段通過信息安全風險評估等，企業意識到自身存在的信息安全風險，開始采取一些措施提升信息安全水平改進階段意識到局部的、單一的信息安全控制措施難以明顯改善企業信息安全狀況，開始進行全面的信息安全架構設計，有計劃的建設信息安全保障體系卓越運營階段信息安全改進項目完成后，在擁有較為全面的信息安全控制能力基礎上，建立持續改進的機制，以應對安全風險的變化，不斷提升安全控制能力,.,49,各個階段的主要工作任務,.,50,各個階段的主要工作任務,.,51,各個階段的主要工作任務,.,52,怎么做風險評估？,評估到底買辣椒水還是請保鏢更合適,.,53,可能的攻擊,信息的價值,可能的損失,風險評估簡要版,.,54,資產,弱點,影響,弱點,威脅,可能性,+,=,當前的風險級別,風險分析方法示意圖,.,55,損失的量化必須圍繞用戶的核心價值，用戶的核心業務流程！,如何量化損失,.,56,風險管理趨勢,IT安全風險成為企業運營風險中最為重要的一個組成部分，業務連續性逐漸與安全并行考慮,來源：Gartner,.,57,否,是,否,是,風險評估的準備,已有安全措施的確認,風險計算,保持已有的控制措施施施施,選擇適當的控制措施并評估殘余風險,實施風險管理,脆弱性識別,威脅識別,資產識別,風險識別,評估過程文檔,評估過程文檔,風險評估結果記錄,評估結果文檔,風險評估流程,.,58,等級保護下風險評估實施框架,保護對象劃分和定級,網絡系統劃分和定級,資產,脆弱性,威脅,風險分析,基本安全要求,等級保護管理辦法、指南信息安全政策、標準、法律法規,安全需求,風險列表,安全規劃,風險評估,.,59,結合等保測評的風險評估流程,.,60,60,60,風險評估項目實施過程,.,61,61,61,評估工作各角色的責任,.,62,62,62,風險評估項目實施過程,.,63,63,63,制定評估計劃,評估計劃分年度計劃和具體的實施計劃，前者通常是評估策劃階段就需要完成的，是整個評估活動的總綱，而具體的評估實施計劃則是遵照年度評估計劃而對每次的評估活動所作的實施安排。評估計劃通常應該包含以下內容：目的：申明組織實施內部評估的目標。時間安排：評估時間避免與重要業務活動發生沖突。評估類型：集中方式（本次項目采用集中評估方式）其他考慮因素：范圍、評估組織、評估要求、特殊情況等。評估實施計劃是對特定評估活動的具體安排，內容通常包括：目的、范圍、準則、評估組成員及分工、評估時間和地點、首末次會議及報告時間評估計劃應以文件形式頒發，評估實施計劃應該有評估組長簽名并得到主管領導的批準。,.,64,64,64,風險評估計劃示例,.,65,65,65,風險評估實施計劃示例,.,66,66,66,風險評估項目實施過程,.,67,67,67,檢查列表的四要素,去哪里？,找誰？,查什么？,如何查？,.,68,68,68,風險評估常用方法,檢查列表：評估員根據自己的需要，事先編制針對某方面問題的檢查列表，然后逐項檢查符合性，在確認檢查列表應答時，評估員可以采取調查問卷、文件審查、現場觀察和人員訪談等方式。文件評估：評估員在現場評估之前，應該對受評估方與信息安全管理活動相關的所有文件進行審查，包括安全方針和目標、程序文件、作業指導書和記錄文件。現場觀察：評估員到現場參觀，可以觀察并獲取關于現場物理環境、信息系統的安全操作和各類安全管理活動的第一手資料。人員訪談：與受評估方人員進行面談，評估員可以了解其職責范圍、工作陳述、基本安全意識、對安全管理獲知的程度等信息。評估員進行人員訪談時要做好記錄和總結，必要時要和訪談對象進行確認。技術評估：評估員可以采用各種技術手段，對技術性控制的效力及符合性進行評估。這些技術性措施包括：自動化的掃描工具、網絡拓撲結構分析、本地主機審查、滲透測試等。,.,69,69,69,評估員檢查工具檢查列表,檢查列表（Checklist）是評估員進行評估時必備的自用工具，是評估前需準備的一個重要工作文件。在實施評估之前，評估員將根據分工情況來準備各自在現場評估所需的檢查列表，檢查列表的內容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。檢查列表在信息安全管理體系內部評估中起著以下重要作用：明確與評估目標有關的抽樣問題；使評估程序規范化，減少評估工作的隨意性和盲目性；保證評估目標始終明確，突出重點，避免在評估過程中因迷失方向而浪費時間；更好地控制評估進度；檢查列表、評估計劃和評估報告一起，都作為評估記錄而存檔。,.,70,70,70,檢查列表編寫的依據，是評估準則，也就是信息安全管理標準、組織信息安全方針手冊等文件的要求針對受評估部門的特點，重點選擇某些應該格外關注的信息安全問題信息的收集和驗證的方法應該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源（客戶反饋、外部報告等）收集信息等檢查列表應該具有可操作性檢查列表內容應該能夠覆蓋體系所涉及的全部范圍和安全要求如果采用了技術性評估，可在檢查列表中列出具體方法和工具檢查列表的形式和詳略程度可采取靈活方式檢查列表要經過信息安全主管人員審查無誤后才能使用,檢查列表編寫注意事項,.,71,71,常用技術工具清單,技術漏洞掃描工具Nessus掃描器Nmap端口掃描工具綠盟極光漏洞掃描器安信通數據庫掃描器WireShark/EtherealIBMAppscan,.,72,72,72,風險評估項目實施過程,.,73,73,73,召開首次會議,在完成全部評估準備工作之后，評估小組就可以按照預先的計劃實施現場評估了，現場評估開始于首次會議，評估小組全體成員和受評估方領導及相關人員共同參加。首次會議由評估組長主持，評估小組要向組織的相關人員介紹評估計劃、具體內容、評估方法，并協調、澄清有關問題。召開首次會議時，與會者應該做好正式記錄。,.,74,74,74,首次會議議程及內容,.,75,75,風險評估原則,在風險評估前，需要對技術評估的風險進行重審。被評估方應在接受技術評估前對業務系統備份。在技術掃描過程中，需要系統管理員全程陪同。參考最近一年的風險評估記錄.在遇到異常情況時，及時通知管理員，并且停止評估。技術評估安排在對系統影響較小的時間進行,.,76,76,76,實施現場評估,首次會議之后，即可進入現場評估。現場評估按計劃進行，評估內容參照事先準備好的檢查列表。評估期間，評估員應該做好筆記和記錄，這些記錄是評估員提出報告的真憑實據。記錄的格式可以是“筆記式”，也可以是“記錄表式”，一般來說，內審活動都應該有統一的“現場評估記錄表”，便于規范化管理。評估進行到適當階段，評估組長應該主持召開評估小組會議，借此了解各個評估員的工作進展，提出下一步工作要求，協調有關活動，并對已獲得的評估證據和評估發現展開分析和討論。,.,77,77,77,對不符合項進行描述,無論是嚴重不符合項還是輕微不符合項，評估員都應該將其記錄到不符合項報告中。不符合項報告是對現場評估得到的評估發現進行評審并經過受評估方確認的對不符合項的陳述，是最終的評估報告的一部分，是評估小組提交給委托方或受評估方的正式文件。不符合項描述應該明確以下內容：在哪里發現的？描述相關區域、文件、記錄、設備發現了什么？客觀描述發現的事實有誰在場？或者和誰有關？描述相關人員、職位為什么不合格？描述不符合原因，