信息安全风险分析及安全需求挖掘

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,信息安全风险分析及安全需求挖掘,卫士通信息产业股份有限公司,二00四年十月,谭兴烈,主要内容,现有的风险分析方法综述,风险分析中需要关注的一些问题,卫士通风险分析流程及安全需求挖掘,现有的风险分析方法综述,风险分析的两大类型,定量：准确量化风险分析的各个要素,单次损失估算值,年发生率 年损失估算值,火灾,$500,000 0.1 =$500,000,错误使用资源,$50 1000 =$500,000,但是：资产价值的确定/,发生概率的确定/最终数值的界定是比较困难的。,因此，真正使用此类方法来评估是很有难度的。,定性：资产威胁脆弱性风险,一些定性风险分析的方法,基准法,(,德国,IT Baseline),为系统各部分的保护度设立一个统一的基准，结合最佳实践（,BP）,提供的安全措施制定解决方案。,适用范围：使用广泛的典型,IT,系统。对保密性、完整性及可用性为一般要求。在基础设施、组织、人事、技术及权宜安排方面可采取标准安全措施。,详细的风险分析方法,(SP800-30,),包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。结果用于评估风险及选择合理的安全设施。,步骤：了解系统特征，识别威胁，识别脆弱性，分析安全控制，确定可能性，分析影响，确定风险，对安全控制提出建议，记录评估结果,非正式的风险分析方法,(FRAP,，,OCTAVE-S),详细风险分析的简化方法。,FRAP：,前期预备会议，,FRAP,会议，风险分析报告撰写，总结会议；,OCTAVE-S：,建立基于资产的威胁档案，识别技术设施脆弱性，开发安全策略和计划。,综合方法,(,ISO 17799,，,OCTAVE,),对系统进行宏观分析，确定出高风险领域，进行详细的风险分析，其它部分采用基线方法。,首先要核实系统范围内处于潜在高风险之中，或是对商业运作至关重要的关键性资产进行详细的风险分析以获得相应的保护。其余一般对待的 通过基本的风险评估办法为其选择控制措施。,风险分析中需要关注的一些问题,如何协同考虑风险分析的各要素?,威胁等级,威胁源,动机,威胁发生,可能性,工具,技能要求,对系统,造成,的影响,系统抗威胁,攻击能力等级,系统脆弱性,安全措施,资产价值,风险等级,威胁,如何确定关键资产？,是否要从关键资产入手开始风险分析？（,SP800-30,就没有说列出关键资产）,如何确定系统中哪些是关键资产？资产敏感性及价值,并对资产的分类（软件、硬件、）,-确定各种威胁对资产造成的影响：信息财产未被授权的泄露、未被授权的修改、拒绝接受、在各种时间段的不可恢复性破坏，考虑不利的商业影响的情况。,如何确定威胁？,威胁,list,依据经验,具体分析,自然威胁发生概率（关注的重点）,系统威胁组件质量,偶然性人为威胁用户类别、人员素质、培训,蓄意人为威胁财产的吸引力；财产转化为报酬的难易程度；系统敏感性（好奇、破坏、影响）；需要的技术能力；需要的工具；攻击途径,如何确定脆弱性？,主观可控,大中型组织详细风险分析活动有何异同？,如何选择风险分析方法？,该组织的商业环境；,该组织的业务性质和重要性；,该组织对信息系统的依赖程度；,业务和支持系统、应用程序及服务的复杂性；,贸易伙伴的数量和对外业务及契约关系。,不同阶段评估方法如何选择？,系统安全构建初期-综合法/基准法,系统安全状况评估-详细风险分析法,系统运行期的安全优化-非正式风险分析法,卫士通风险分析流程及安全需求挖掘,部分机构/厂商的风险分析方法,有厂商主要参照,OCTAVE，,同时利用扫描器，基于,ISO17799,的量化可视化的评估工具，并导入工具扫描结果生成信息库及其它软件等；,有的厂商主要针对系统和网络进行风险评估，在技术上分析得比较多，技术弱点把握精确，但对管理上较弱，管理评估存在不足；,有的厂商针对,UNIX、NT,等,OS,及,DB、,网络设备进行评估，使用评估工具并配合使用人工评估等，建立信息安全库。,风险管理的一般流程,风险对策,国家法律、法规或行业安全要求,组织的原则、目标及要求，合同要求,风,险,评,估,识别,关键,资产,识别威胁,判定威胁发生,的可能性。,威胁发生的,后果。,识别脆弱性。,识别现有的,保护措施,风险定级,降低风险,规避风险,转移风险,接受风险,准备,风险分析,风险策略,接受风险,安全需求,转移风险,规避风险,计划,目标,范围,确定组织,的安全策略，,系统安全等,级，安全目,标。,评估,选择安全措施,安全技术,安全运行,安全管理,实施,认证,运行,维护,系统优化,设计,风,险,管,理,识别,关键,资产,确定,系统,安全,基线,系统优化,运行维护,认证,后续活动,风险对策,国家法律、法规或行业安全要求,组织的原则、目标及要求，合同要求,风,险,分,析,识别,关键,资产,识别威胁,判定威胁发生,的可能性。,威胁发生的,后果。,识别脆弱性。,识别现有的,保护措施,风险定级,降低风险,规避风险,转移风险,接受风险,接受风险,安全需求,转移风险,规避风险,计划,目标,范围,确定组织,的安全策略，,系统安全等,级，安全目,标。,评估,选择安全措施,安全技术,安全运行,安全管理,实施,认证,运行,维护,系统优化,设计,风,险控制,识别,关键,资产,确定,系统,安全,基线,系统优化,运行维护,认证,后续活动,用户情况调查,卫士通的风险分析流程,确定风险评估方法,风险评估,确定安全需求,法律、法规,系统任务和使命,系统建设阶段、规模,资产、威胁、,脆弱性、现有措施,法律、法规，系统,任务和使命、评估结果,制定安全策略,选择风险控制措施,验证措施实施效果,安全需求,技术限制、资源限制,安全需求、,实施效果,安全策略文件,风险评估报告,安全需求报告,风险管理方案,适用性声明,验证报告,挖掘系统安全需求,小结,目前有多种风险分析的方法，在实际工作中需要考虑系统的实际情况和不同的阶段，灵活使用定性和定量、手工评估和辅助工具、技术评估和系统组织评估、基于知识经验和基于模型的评估等多种方法；,依据国家法律法规和对系统的风险评估，确定系统的安全需求，采取相应的安全措施对系统的风险进行控制；,信息安全是一个动态的复杂过程，因此风险分析也是一个十分复杂的过程，如何做到以较小的代价较准确客观地评估出系统的风险需要我们共同探讨。,谢 谢！,