信息安全风险评估与风险管理信息安全风险评估与风险管理- 2 -All rights reserved 2006一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录- 3 -All rights reserved 2006信息安全的定义机密性（integrity）：确保该信息仅对已授权访问的人们才可访问只有拥有者许可，才可被其他人访问 完整性（confidentiality）：保护信息及处理方法的准确性和完备性；不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：当要求时，即可使用信息和相关资产。 不因系统故障或误操作使资源丢失。响应时间要求、故障下的持续运行。其他：可控性、可审查性- 4 -All rights reserved 2006 Key words I信息安全：信息安全：信息安全：信息安全：信息的保密性、完整性、可用性的保持。风险评估：风险评估：风险评估：风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：风险管理：风险管理：风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：威胁：威胁：威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。- 5 -All rights reserved 2006Key word IIv威胁威胁(Threat):(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。v薄弱点薄弱点(Vulnerability):(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。v风险风险(Risk):(Risk): 特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。- 6 -All rights reserved 2006风险评估的目的和意义认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据- 7 -All rights reserved 2006信息系统风险模型 所所 有有 者者攻攻 击击 者者 对对 策策 漏漏 洞洞 风风 险险 威威 胁胁 资资 产产- 8 -All rights reserved 2006风险计算依据价值价值价值价值资产拥有者资产拥有者资产拥有者资产拥有者信息资产信息资产信息资产信息资产威胁来源威胁来源威胁来源威胁来源风险风险风险风险后果后果后果后果可能性可能性可能性可能性难易程度难易程度难易程度难易程度严重性严重性严重性严重性弱点弱点弱点弱点可能性可能性可能性可能性威胁威胁威胁威胁影响影响影响影响- 9 -All rights reserved 2006一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录- 10 -All rights reserved 2006国外相关信息安全风险评估标准简介（1）ISO 27001：信息安全管理体系规范、ISO 17799 信息安全管理实践指南基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施 ；提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。 OCTAVE：Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework 卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全风险评估方法 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略。OCTAVE 实施指南（OCTAVESM Catalog of Practices, Version 2.0），该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。 - 11 -All rights reserved 2006AS/NZS 4360：1999 风险管理 澳大利亚和新西兰联合开发的风险管理标准 将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。 ISO/IEC TR 13335信息技术安全管理指南 提出了风险评估的方法、步骤和主要内容。 主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。 NIST SP800-30：信息技术系统风险管理指南 提出了风险评估的方法论和一般原则， 风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。 国外相关信息安全风险评估标准简介（2）- 12 -All rights reserved 2006我国信息安全风险评估标准发展历程2001年，随着GB/T 18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。 2004年，提出了信息安全风险评估指南标准草案 ，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。 2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对信息安全风险评估指南 进行了修改。20052006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术 信息安全风险评估规范。 - 13 -All rights reserved 2006信息安全风险评估规范标准操作的主要内容引言定义与术语风险评估概述风险评估流程及模型风险评估实施资产识别脆弱性识别威胁识别已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录- 14 -All rights reserved 2006标准内容：引言提出了风险评估的作用、定位及目的。作用：过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面临的风险。 定位建立信息安全保障机制中的一种科学方法。 目的信息系统所有者：使用本标准为其选择安全措施，实施信息系统保护提供技术支持，依据本标准中提出的安全风险理念选择技术与管理控制措施；风险评估的实施者：依据本标准进行风险评估，依据本标准的判定准则，做出科学的判断。信息系统管理机构：依据本标准对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。 - 15 -All rights reserved 2006范围本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。规范性引用文件说明标准中引用到其他的标准文件或条款。术语和定义 对标准中涉及的一些术语进行定义。- 16 -All rights reserved 2006风险评估框架及流程 风险评估中各要素的关系 - 17 -All rights reserved 2006风险分析原理 - 18 -All rights reserved 2006（1）对资产进行识别，并对资产的价值进行赋值；（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；（6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。 - 19 -All rights reserved 2006风险评估实施 (1)风险评估的准备风险评估的准备 （1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）进行系统调研；（5）确定评估依据和方法；（6）获得最高管理者对风险评估工作的支持。 - 20 -All rights reserved 2006资产识别资产识别 资产分类资产分类 资产赋值资产赋值 :机密性、完整性、可用性三方面的赋值资产重要性等级资产重要性等级 威胁识别威胁识别威胁分类威胁分类 威胁来源分类威胁来源分类威胁赋值威胁赋值 脆弱性识别脆弱性识别 识别内容识别内容 ：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。脆弱性赋值脆弱性赋值 ：等级赋值，技术脆弱性与管理脆弱性的结合。 风险评估实施 (2)- 21 -All rights reserved 2006已有安全措施确认已有安全措施确认 安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。 风险分析风险分析 计算安全事件发生的可能性计算安全事件发生后的损失 计算风险值风险等级判定风险等级判定 风险评估实施 (3)- 22 -All rights reserved 2006风险评估文件记录风险评估文件记录风险评估文件记录的要求风险评估文件记录的要求 风险评估文件风险评估文件 的类型、多少的类型、多少风险评估方案 资产识别清单 重要资产清单 威胁列表 脆弱性列表 风险评估报告 风险处理计划 风险评估实施 (4)- 23 -All rights reserved 2006信息系统生命周期各阶段的风险评估 规划阶段的风险评估规划阶段的风险评估 设计阶段的风险评估设计阶段的风险评估 实施阶段的风险评实施阶段的风险评 运行维护阶段的风险评估运行维护阶段的风险评估 废弃阶段的风险评估废弃阶段的风险评估 每个阶段的实施内容稍有不同，目的和方法一致。- 24 -All rights reserved 2006风险评估的工作形式 自评估自评估 适用于对自身的信息系统进行安全风险的识别、评价 自评估可以委托风险评估服务技术支持方实施，也可以自行实施检查评估检查评估 ：一般由主管机关发起，通常都是定期的、抽样进行的评估模式旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内风险评估应以自评估为主，检查评估对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。 - 25 -All rights reserved 2006附录风险的计算方法风险的计算方法矩阵法矩阵法 ：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。 相乘法相乘法 ：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算 。风险评估的工具风险评估的工具风险评估与管理工具风险评估与管理工具 系统基础平台风险评估工具系统基础平台风险评估工具 风险评估辅助工具风险评估辅助工具 - 26 -All rights reserved 2006一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录- 27 -All rights reserved 2006现有风险评估方法综述（1）定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。 定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的对比。 基于系统安全模