信息安全风险管理资料.ppt

本节内容,第三章 信息安全风险管理1,风险是事件未来可能结果发生的不确定性,风险是损失发生的不确定性,风险是指可能发生损失的损害程度的大小,风险是指损失的大小和发生的可能性,风险是由风险构成要素相互作用的结果,1、信息安全风险的引入,第三章 信息安全风险管理1,2007年4月22日至27日，国际标准化组织技术管理 局风险管理工作组（ISO/TMB/WG Risk Management） 在加拿大渥太华召开了第四次工作组会议。,“风险”：不确定性对目标的影响 （effect of uncertainty on objectives）。,该定义克服了其他国家对“风险”定义过于狭窄、不准确等弊 端，直指风险的本质，准确、全面、易于理解、便于应用。,1、信息安全风险的引入,第三章 信息安全风险管理1,1、信息安全风险的引入,信息安全的不确定性,第三章 信息安全风险管理1,1、信息安全风险的引入,信息安全的不确定性,1、信息安全风险的引入,绝对安全,冗余的安全措施； 低效的安全投资； 紧张的安全管理人员； 对员工的不信任感。,第三章 信息安全风险管理1,？如何确切掌握网络和信息系统的安全程度； ？安全威胁来自何方； ？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力； ？已采取的信息安全措施是否有效。,适度安全,第三章 信息安全风险管理1,1、信息安全风险的引入,第三章 信息安全风险管理1,1、信息安全风险的引入,安全是相对的，风险是绝对的； 安全强度与安全代价寻求平衡点； 安全与开放寻求平衡点。,1、信息安全风险的引入,以风险评估为安全建设的出发点。它的重要意义就 在于改变传统的以技术驱动为导向的安全体系结构设计 及详细安全方案制定，采取成本效益平衡的原则。,第三章 信息安全风险管理1,2、信息安全风险的相关概念,第三章 信息安全风险管理1,“风险”：不确定性对目标的影响 （effect of uncertainty on objectives）。,不确定性,影响,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,“风险”：不确定性对目标的影响 （effect of uncertainty on objectives）。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,威胁（Threat）指可能对资产或组织造成损害的事故的潜在原因。,威胁的属性：威胁的主体（威胁源）、能力、资源、 动机、途径、可能性等。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,脆弱性（Vulnerability）就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。,脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,安全风险：特定的威胁利用资产的一种或多种脆弱 性，导致资产的丢失或损害的潜在可能性，即特定威胁 事件发生的可能性与后果的结合。,资产（Asset）就是被组织赋予了价值、需要保护的有用资源。,每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,资产（Asset）就是被组织赋予了价值、需要保护的有 用资源。,信息资产：数据库和数据文件等,软件资产：应用软件、系统软件等,物理资产：计算机设备、通信设备等,服务：计算和通信服务、通用公用事业等,人力资源：人员及他们的资格、技能和经验等,无形资产：组织的声誉和形象等,2、信息安全风险的相关概念,第三章 信息安全风险管理1,信息资产：数据库和数据文件等,信息资产的分类,信息的标识和处置,2、信息安全风险的相关概念,第三章 信息安全风险管理1,资产价值（The value of asset） 为明确对资产的保护对其进行估价，其价值大小既要考虑其自身价值，也要考虑其对组织机构业务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。,资产价值体现了其对一个机构的业务的重要程度。,2、信息安全风险的相关概念,第三章 信息安全风险管理1,风险评估（Risk Assessment） 对信息和信息处理设施的威胁、影响（Impact，指安 全事件所带来的直接和间接损失）和脆弱性及三者发生的 可能性的评估。,3、信息安全风险的基本要素,第三章 信息安全风险管理1,ISO/IEC 13335,3、信息安全风险的基本要素,第三章 信息安全风险管理1,图示： A（Asset）：资产 V（Vulnerability）：脆弱性 T（Threat）：威胁 S（Safeguard）：保护措施 R（Residual Risk）：残余风险 C（Constrains）：约束,ISO/IEC 13335 安全要素之间的关系,3、信息安全风险的基本要素,第三章 信息安全风险管理1,3、信息安全风险的基本要素,第三章 信息安全风险管理1,信息安全风险评估指南,3、信息安全风险的基本要素,第三章 信息安全风险管理1,残余风险（Residual Risk）：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。 残余风险的提出 风险不可能完全消除 风险不必要完全消除 残余风险应受到密切监视,因为它可能会在将来诱发新的事件,4、信息安全风险管理的实施,第三章 信息安全风险管理1,风险管理通过风险评估来识别风险大小，通过制定信 息安全方针、采取适当的控制目标与控制方式对风险进行 控制，使风险被避免、转移或降至一个可被接受的水平。,风险管理考虑控制费用与风险之间的平衡,风险评估 对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 风险管理 通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,4、信息安全风险管理的实施,第三章 信息安全风险管理1,风险评估的一般工作流程,5、信息安全风险管理现状,第三章 信息安全风险管理1,一、国际信息安全风险管理动态,（一）美国：独占鳌头，加强控管 （二）欧洲：不甘落后，重在预防 （三）亚太：及时跟进，确保发展 （四）国际组织：积极配合，重在规范,5、信息安全风险管理现状,（一）美国：独占鳌头，加强控管,制定了从军政部门、公共部门和私营领域的风险管理政策和指南 形成了军、政、学、商分工协作的风险管理体系 国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制,5、信息安全风险管理现状,DOD：风险评估的领路者,1967年，DOD开始研究计算机安全问题。到1970年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。 1977年，DoD提出了加强联邦政府和国防系统计算机安全的倡议。 1987年，第一次对新发布的计算机安全法的执行情况进行部门级评估 1997年，美国国防部发布国防部IT安全认证认可过程（DITSCAP）；2000年，国家安全委员会发布了国家信息保障认证和认可过程（NIACAP） 2007年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估,5、信息安全风险管理现状,DOC/NIST：风险评估的推动者,2000年，NIST在联邦IT安全评估框架中提出了自评估的5个级别。并颁布了IT系统安全自评估指南（SP 800-26） 2002年，NIST发布了IT系统风险管理指南（SP 800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。 2002年，颁布了联邦信息安全管理法案（FISMA），要求联邦各机构必须进行定期的风险评估。,5、信息安全风险管理现状,DOC/NIST：风险评估的推动者,从2002年10月开始，NIST先后发布了联邦IT系统安全认证和认可指南（SP 800-37）、联邦信息和信息系统的安全分类标准（FIPS 199）、联邦IT系统最小安全控制（SP 800-53）、将各种信息和信息系统映射到安全类别的指南（SP 800-60）等多个文档，以风险思想为基础加强联邦政府的信息安全。,5、信息安全风险管理现状,学术界：风险评估的探索者,美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。 如卡内基梅隆大学： SSE-CMM：信息安全工程能力成熟度模型 OCTAVE：发布了OCTAVE框架，属于自主型信息安全风险评估方法。,5、信息安全风险管理现状,商业界：风险评估的实践者,5、信息安全风险管理现状,（二）欧洲：不甘落后，重在预防,1、“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略 2、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路 3、欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒，值得关注,5、信息安全风险管理现状,英国：BS7799享誉全球,英国BSI推出BS 7799，分为两个部分：“BS7799-1:1999 信息安全管理实施细则”、“BS7799-2:2002 信息安全管理体系规范”， 英国CCTA开发了CRAMM风险评估工具，完全遵循BS7799。 英国C&A系统安全公司推出了COBRA（ Consultative, Objective and Bi-functional Risk Analysis）工具，由一系列风险分析、咨询和安全评价工具组成。,5、信息安全风险管理现状,德国：日尔曼人的“基线”防御,德国联邦IT基线防护手册（ITBPM）以严谨、周密而得名； 1991 年，德国建立信息安全局(BSI) ，主要负责政府部门的信息安全风险管理和评估工作。 1997年，颁布信息和通信服务规范法 风险评估在方法上基本遵循BS 7799。,5、信息安全风险管理现状,欧盟的CORAS项目,2001年至2003年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的11个机构，历时3年时间，完成了安全关键系统的风险分析平台项目CORAS，使用UML建模技术，开发了一个面向对象建模技术的风险评估框架。 一期完成之后，欧盟继续投资为期三年的二期项目COMA，2007年完成。,5、信息安全风险管理现状,CORAS：欧洲经典,（三）亚太：及时跟进，确保发展,日本：在风险管理方面综合美国和英国的做法，建立了“安全管理系统评估制度”(ISMS)，作为日本标准 (JIS)，启用了ISOIECl7799-1(BS7799)； 韩国：主要参照美国的政策和方法； 新加坡：主要参照英国的做法，在信息安全风险评估方面依据BS 7799。,5、信息安全风险管理现状,ISO：专业的普通话,ISO/IEC 13335IT安全管理指南 ISO/IEC 17799 ISO 27000系列 ISO 27000 信息安全管理体系基本原理和词汇 ISO 27001 信息安全管理体系要求 ISO 27002 信息安全管理实践准则 ISO 27003 信息安全管理实施指南 ISO 27004 信息安全管理的度量指标和衡量 ISO 27005 信息安全风险管理指南 ISO 27006 信息和通信技术灾难恢复和服务指南 ISO/IEC 21827:2002(SSE-CMM)：信息安全工程能力成熟度模型 ISO/IEC 15408： IT 安全评估通用准则（CC）,5、信息安全风险管理现状,ITU：产业的风向标,在安全体系和框架方面主要维护X.8xx系列标准： 在信息安全管理方面已发布：ITU-TX.1051信息安全管理系统通信需求（ISMS-T） 在安全通讯业务方面涉及所有网络与信息安全，主要集中在移动通信安全、P2P安全认证、Web服务安全等等。 已发布标准“ITU-TX.1121移动端到端数据通信安全技术框架”、“ITU-TX.1121基于PKI实施安全移动系统指南。”,5、信息安全风险管理现状,二、国内信息安全风险管理情况,（一）总体态势：起步较晚，发展很快 （二）市场状况：需求迫切，形势喜人,5、信息安全风险管理现状,（一）总体态势：起步较晚，发展较快,国信办从国家层面强力推动 各部委各司其职，积极呼应 国内企业在技术、服务方面及时跟进 国外企业利用技术和市场优势乘势而入,5、信息安全风险管理现状,国信办强力推动,2003年，27号文，强调“要重视信息安全风险评估工作” 2004年，完成风险评估研究报告与标准草案 2005年，开展风险评估试点工作 2006年月，出台5号文件，提出开展信息安全风险评估工作的意见 2006年8月-9月，开展风险评估检查工作 2006年10月，总书记批示“加快专控队伍建设”，“风险评估工作要制度化” 从2007年起，对”82“系统开始实行制度化的风险评估。,5、信息安全风险管理现状,各部委积极响应,公安部主力推动“等级保护”工作； 保密局对涉密网络和信息系统提出相应风险管控要求； 发改委、科技部、信息产业部等持续在科研和产业化投入方面予以支持； 国防科工委加强安全风险管理的体制、机制和建制工作； 信息安全标准化工作重点支持风险评估/管理； 各相关部门在积极开展风险管理方面的政策制定、技术研究和评估实践。,5、信息安全风险管理现状,以中国信息安全测评中心为例,1999-2004年，开展了信息系统安全性评估工作，对网上证券、网上银行、党政机关等数十个信息系统颁发了证书 2003-2005年，连续两期承担了国家863风险评估研究课题，同时完成了多项国家信息安全风险评估相关标准的研制工作 2005年起，参加国信办组织的风险评估试点工作和检查评估工作 2006年，成为国家风险评估专控队伍 2007年，将风险评估作为中心的核心工作之一。,5、信息安全风险管理现状,国内企业及时跟进,以启明星辰、天融信、联想、三零盛安、绿盟等为代表的信息安全企业，为民航、电信、石油等多个行业提供了商业性的风险评估服务； 以国家电力公司为代表的大型国有企业开展了信息安全风险自评估工作。,5、信息安全风险管理现状,在华外企乘势而入,以IBM、HP、爱森哲等为代表的国外IT企业为金融、石油、电信等行业用户提供高端、商业性的风险评估服务； 以普华永道、毕马威等为代表的会计师事务所为我国在海外上市的企业提供包括风险评估在内的审计服务。,5、信息安全风险管理现状,（二）市场状况：需求迫切，形势喜人,国内信息安全风险评估的市场： 党政军机关等重要部门 基础信息网络和重要信息系统 行业/企业信息系统 公众商业服务系统,5、信息安全风险管理现状,三、我国信息安全风险管理展望,（一）依靠创新，解决好关键技术问题 （二）结合实际，解决好标准选择问题 （三）面向实践，解决好评估工具问题 （四）服务决策，解决好评估效用问题 （五）发展产业，解决好持续发展问题,5、信息安全风险管理现状,安全评估要回答的基本问题,自问： 1、谁的安全？(who) 2、如何保障安全？(how) 3、多少算足够？(how much) 他问： 1、我们单位的信息系统安全状况如何？ 2、我们单位的信息系统安全应该如何？ 3、怎样用有限的投入获得最好的安全？,小结,第三章 信息安全风险管理1,小结,第三章 信息安全风险管理1,安全事件的发生是有概率的。不能只根据安全事件的 后果便决定信息安全的投入和安全措施的强度。对后果严 重的极小概率事件，不能盲目投入。 要综合考虑安全事件的后果影响及其可能性。,所谓安全的信息系统，并不是指“万无一失”的信息系统，而是指残余风险可以被接受的安全系统。,第三章 信息安全风险管理1,安全风险管理是一个持续的过程，它将伴随着系 统的整个生命周期。,资产、威胁与脆弱性之间的关系如何？,习题,第三章 信息安全风险管理1,Thank You !,