信息安全风险评估指南.ppt

信息安全风险评估国家标准 编制及内容介绍,范 红 二00六年九月,2,主要内容,一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考,3,主要内容,一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考,4,一、标准的编制过程,1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证,5,一、标准的编制过程,1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证,6,1、前期研究准备,2003年7月, 中办发200327号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。,7,统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。 为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。,8,一、标准的编制过程,1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证,9,根据国信办的指示和信安标委的具体要求，国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后，中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。 起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:,2、标准草案编制,10,1 、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神； 2 、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范； 3 、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法； 4 、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果； 5 、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。,11,在标准编制的过程中，标准起草组多次与相关主管部门所属机构的专家代表就技术标准有关主体内容进行会商；向相关单位发放标准文本，通过电子邮件等形式广泛征求业界意见；召开标准讨论会议三十几次，共收集100多条修改意见。 起草组逐一对修改意见进行研究，在充分吸纳合理成份的基础上，对信息安全风险评估规范等标准进行了较大幅度的修改，使标准的体系结构更趋完善、合理。,12,一、标准的制定过程,1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证,13,3、试点实践检验,2005年2月, 根据国信办20054号和5号文件，关于在银行、税务、电力等部门和电子政务外网，以及北京、上海、黑龙江、云南等省市，开展信息安全风险评估试点工作的要求，标准起草组配合风险评估试点工作专家组开展了以下工作： -为各试点单位提供标准草案文本和相关说明； -在试点准备阶段与各试点单位的技术骨干进行标 准技术交流； -根据标准草案文本涉及的关键技术，起草组成员 选择试点环节参与实际试点； -在试点过程中，先后几次召开标准研讨会，征求 各单位对标准的意见与建议。,14,整个试点工作历时7个月，各试点单位对标准草案先后提出40 多条补充修改意见，标准起草组根据试点结果先后进行了三次较大规模的修改。主要内容包括： -细化了资产的分类方法、脆弱性的识别要求，修 改并细化了风险计算的方法； -对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分； -对风险评估的工具进行了梳理和区分，形成了现 在的几种类型； -细化了生命周期不同阶段风险评估的主要内容。 试点实践证明，试行标准基本满足各试点单位评估工作的需求。,一、标准的制定过程,1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证,16,2005年9月16日，国家信息中心在北京组织召开 了由周仲义院士主持的信息安全风险评估指南（征求意 见稿）第一次专家评审会。,4、专家评审论证,17,第一次专家评审会名单,18,2005年10月27日，国家信息中心在北京组织召开了信息安全风险评估国家标准征求意见稿的第二次专家评审会。,19,第二次专家评审会名单,20,与会专家认为标准起草组做了大量卓有成效的工作，标准的结构合理、内容完备、可操作性强，并充分考虑与信息安全等级保护相关标准相衔接。文本的编制符合国家标准的要求。同时，专家们也对完善标准提出了进一步的修改意见。,21,2005年12月14日，由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审稿的专家评审会。,22,专家评审会名单,23,与会专家听取了起草小组的编制说明及内容介绍，审阅了相关文档资料，经质询和讨论，一致认为： 一、送审稿规范了风险评估的评估内容与范围、基本概念，明确 了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和 要求，提出了实施流程与操作步骤、评估规则与基本方法，并 充分考虑与信息安全等级保护相关标准相衔接。 二、送审稿的操作性较强，对开展风险评估工作具有指导作用， 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善。 三、文本的编制符合国家标准GB1.1的要求。 专家组认为送审稿达到国家标准送审稿的要求，同意通过评 审。建议起草组根据专家意见尽快修改完善后申报。,24,2006年月日和月日，在国信办进行的 行业和省市的风险评估政策文件的两次宣贯会上，信息安全 风险评估征求意见稿以国信办文件的形式下发，为各行业和 省市开展风险评估提供技术依据。,25,2006年4月18日，全国信息安全标准化技术委员 （安标委）会第五工作组（WG5）在北京召开全体工作组成员 标准投票会议，对信息安全风险评估国家标准送审稿进行工 作组全体成员投票表决。与会的三十几位专家听取了标准起 草组对指南的编制过程以及主要内容的介绍，经投票一 致通过了标准的评审。,26,2006年6月19日，全国信息安全标准化技术委员会秘书处在北京组织召开了信息安全风险评估标准送审稿的专家审查会，与会专家经质询和讨论，将标准正式命名为信息安全技术 信息安全风险评估规范，认为该标准达到国家标准送审稿的要求，同意通过评审。 会后，国家信息中心先后与各起草单位和有关专家就标准规范报批稿的修改进行了进一步的研讨，并逐一落实了专家提出的意见。,27,2006年7月19日， 全国信息安全标准化委员会主任办公会上讨论通过了信息安全技术 信息安全风险评估规范(报批稿),目前已进入报批程序。,28,主要内容,一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考,29,二、标准的主要内容,1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做,30,二、标准的主要内容,1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做,31,1、什么是风险评估,信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。,32,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； （2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； （3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件； （4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大； （5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； （6）风险的存在及对风险的认识导出安全需求； （7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； （8）安全措施可抵御威胁，降低风险； （9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险； （10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。,33,二、标准的主要内容,1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做,34,2、为什么要做风险评估,安全源于风险。 在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。,35,风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。,36,信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据。 （国信办20065号文件）,37,二、标准的主要内容,1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做,38,3、风险评估怎么做,-风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估,39,3、风险评估怎么做,-风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估,40,风险评估的实施流程,先期准备 要素分析 风险分析 文档记录,风险评估实施流程图,41,实施步骤,(1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录,42,3、风险评估怎么做,-风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估,43,信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。,风险评估的形式,44,自评估,自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用、提高信息系统相关人员的安全意识，但可能由于缺乏风险评估的专业技能，其结果不够深入准确；同时，受到组织内部各种因素的影响，其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的限制，对被评估系统的了解，尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。,45,自评估中的“自”不仅仅是指自已做评估的“自”，也不仅仅是指自愿做评估的“自”。由于“谁主管谁负责”，出于对自身信息系统的安全责任考虑，信息系统主管者应定期对系统进行风险评估，具体实施时可以依托自身的评估队伍进行，也可委托有资质的第三方提供评估服务技术支持，但无论是哪一种形式，责任都是由信息系统主管者自已担负的。因此，自评估中的“自”的含义是自已负责的“自”。包括自已负责系统的安全、自己发起对信息系统的风险评估以及自己负责为保障系统安全所做的风险评估的安全等。,46,此外，为保证风险评估的实施，与系统相连的相关方也应配合，以防止给其他方的使用带来困难或引入新的风险也往往较多，因此，要对实施检查评估机构的资质进行严格管理。,47,检查评估,检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。 检查评估可依据本标准的要求，实施完整的风险评估过程。,48,一是风险评估究其根本是评估系统的敏感信息，涉及大量的安全问题，完全委托第三方将带来评估本身的风险； 二是进行风险评估要求评估人员既要了解评估本身的一套方法与流程，还要了解被评估系统的业务特性，这对于完全从事评估的第三方来讲，在短时间内了解每个系统的业务特性难度是比较大的； 三是风险评估工作流程中常常要求被评估方向评估方提供各种信息，需要之间的良好互动以及多方会商，单靠评估方第三方是无法完成系统评估的。 基于以上原因，委托评估技术支持比委托评估的提法更为切合实际。并且，提供委托评估技术支持的机构应具有相应的资质。,49,3、风险评估怎么做,-风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估,50,国信办20065号文件指出：信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。,51,信息系统生命周期各阶段的风险评估,规划阶段的风险评估 设计阶段的风险评估 实施阶段的风险评估 运行维护阶段的风险评估 废弃阶段的风险评估,52,规划阶段的风险评估,规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标。,53,设计阶段的风险评估,设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为采购过程风险控制的依据。,54,实施阶段的风险评估,实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量控制。 基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估。,55,运行维护阶段的风险评估,运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。 资产评估：在真实环境下较为细致的评估。包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等，本阶段资产识别是前期资产识别的补充与增加； 威胁评估：应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参照安全事件的发生频率；对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断； 脆弱性评估：是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施；安全保障设备的脆弱性评估，应考虑安全功能的实现情况和安全保障设备本身的脆弱性；管理脆弱性评估可以采取文档、记录核查等方式进行验证； 风险计算：根据本标准的相关方法，对重要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。,56,废弃阶段的风险评估,当信息系统不能满足现有要求时，信息系统进入废弃阶段。根据废弃的程度，又分为部分废弃和全部废弃两种。 废弃阶段风险评估着重在以下几方面： 1、确保硬件和软件等资产及残留信息得到了适当的处置，并确保系 统组件被合理地丢弃或更换； 2、如果被废弃的系统是某个系统的一部分，或与其他系统存在物理 或逻辑上的连接，还应考虑系统废弃后与其他系统的连接是否被 关闭； 3、如果在系统变更中废弃，除对废弃部分外，还应对变更的部分进 行评估，以确定是否会增加风险或引入新的风险； 4、是否建立了流程，确保更新过程在一个安全、系统化的状态下完 成。,57,汇报内容,一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考,58,-按照标准化管理和审批程序，继续完成信息安全风 险评估规范和信息安全风险管理指南两项国家标准； -结合国家基础网络和重要系统工程发展的需要，在已 有相关标准推广应用的基础上，进行风险评估与管理标准体 系的研究，以构建我国信息安全风险评估标准体系； -根据标准体系总体规划的原则，相应开展规划与设计 阶段方案风险评估实施细则、要素等级划分规范等标准化项 目的研制工作； -在总结我国信息安全风险评估与管理工作经验的基础 上，积极参与ISO相关国际标准化活动。,三、下一步工作的几点思考,59,总之，将继续跟踪国内外相关领域的最新技术发展动态，进一步研究完善信息安全风险评估标准体系，进行相关标准的编制工作。以此，为国家信息安全风险评估工作健康顺利的发展做好基础性工作。,60,进行国家信息安全风险评估基础环境立项,以保证风险评估工作能够依据标准科学、规范地展开。 1、构建风险评估的模拟仿真实验环境 （1）方案风险评估模拟验证平台建设 （2）风险评估工具仿真测试平台建设 （3）在平台上建设国家风险评估基础数据库 2、构建风险评估前沿问题的实验环境 （1）网络攻防实验环境 （2）构建渗透测试实验环境 （3）风险评估的理论研究环境 3、构建风险评估成果普及与推广环境,三、下一步工作的几点思考,61,谢谢!,