1、信息安全管理 (第二版)(第二版)授课内容:信息安全风险评估授课内容:信息安全风险评估 信息安全管理 Information security management 第第3 3章章 信息安全风险评估信息安全风险评估 3.1 概述概述 3.2 信息安全风险评估策略信息安全风险评估策略 3.3 信息安全风险评估流程信息安全风险评估流程 3.4 信息安全风险评估方法信息安全风险评估方法 3.5 风险评估案例风险评估案例 3.6 本章小结本章小结 3.7 习题习题 从一个故事开始认识从一个故事开始认识“风险”“风险”3.13.1 概述概述 故事梗概 q 傻根在外地打工挣了钱傻根在外地打工挣了钱,随身携
2、带着随身携带着10万元钱坐上了一万元钱坐上了一辆混杂着很多小偷的长途火车回家辆混杂着很多小偷的长途火车回家。q 傻根把钱就放在了普通的布质书包里傻根把钱就放在了普通的布质书包里。傻根没有坐软卧傻根没有坐软卧包厢包厢,而是坐在挤满了上百人的硬座车厢而是坐在挤满了上百人的硬座车厢。有时候累了有时候累了,就坐着打个瞌睡就坐着打个瞌睡。q 一路上一路上,葛优等小偷团伙频频出手葛优等小偷团伙频频出手,尝试着偷这尝试着偷这10万元万元钱钱。但是在好心人刘德华和刘若英等的保护下但是在好心人刘德华和刘若英等的保护下,葛优等葛优等小偷团伙未能得逞小偷团伙未能得逞。q 好险啊好险啊,如果这钱被偷走了如果这钱被偷走
3、了,傻根就娶不上媳妇了傻根就娶不上媳妇了。3.13.1 概述概述 q 资产(asset)-对组织具有价值的任何东西 ISO/IEC TR 13335-1:2004 概念 q 威胁(threat)-可能导致对系统或组织损害的不希望事故潜在起因 ISO/IEC TR 13335-1:2004 q 脆弱性(vulnerability)(也称脆弱点、漏洞)-可能会被威胁所利用的资产或若干资产的弱点 ISO/IEC TR 13335-1:2004 3.13.1 概述概述 q 风险管理(risk management)-在风险方面指挥或控制一个组织的协调活动,一般包括风险评估、风险处理、风险接受和风险传递
4、 ISO Guide 73:2002 q 风险(risk)-事件的概率及其结果的组合 ISO Guide 73:2002 q 风险评价(risk evaluation)-对照风险准则比较被估计的风险,以确定风险严重性的过程 ISO Guide 73:2002 概念 3.13.1 概述概述 信息安全风险 l 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。的可能性。l 信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。l风险值风险值=资产价值资产价值威胁可能性威胁可能性脆弱性严重性
5、(脆弱性严重性(简单理解简单理解)3.13.1 概述概述 对信息和信息处理设施的对信息和信息处理设施的威胁、影响威胁、影响(Impact(Impact,指安,指安全事件所带来的直接和间接损失全事件所带来的直接和间接损失)和和脆弱性脆弱性及三者发生及三者发生的的可能性可能性的评估。的评估。3.13.1 概述概述 风险评估(Risk Assessment)故事分析 在火车开动到停止这段时间内,综合资产、脆弱性、威胁在火车开动到停止这段时间内,综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是:和安全措施等各方面因素进行风险评估的结果是:因为因为10万元钱不是一笔小数目(资产),葛优等
6、小偷能力万元钱不是一笔小数目(资产),葛优等小偷能力很强且决心坚决(威胁),且傻根对钱的保管手段(技术)和很强且决心坚决(威胁),且傻根对钱的保管手段(技术)和意识(管理)都不足(脆弱性),差一点发生意识(管理)都不足(脆弱性),差一点发生“娶不上媳妇”“娶不上媳妇”这样的结果(风险)。这样的结果(风险)。因好心人刘德华和刘若英等的保护到位(安全措施),最因好心人刘德华和刘若英等的保护到位(安全措施),最终钱保住了(风险消减)。终钱保住了(风险消减)。3.13.1 概述概述 以风险为核心的安全模型(ISO13335)风险风险 安全措施安全措施 信息资产信息资产 威胁威胁 脆弱性脆弱性 安全需求
7、安全需求 降低 增加 增加 利用 暴露 价值价值 拥有 抗击 增加 引出 被满足 3.13.1 概述概述 信息安全风险评估的意义和作用 信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。做出决策的过程。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应风险评估
8、将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。其直接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。体系的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单
9、持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。促进信息系统拥有单位加强信息安全建设。3.13.1 概述概述 3.13.1 概述概述 3.1.1 信息安全风险评估相关要素信息安全风险评估相关要素 信息安全风险评估的对象是信息系统,信息系统的资产、信信息安全风险评估的对象是信息系统,信息系统的资产、信息系统可能
10、面对的威胁、系统中存在的弱点(脆弱性)、系息系统可能面对的威胁、系统中存在的弱点(脆弱性)、系统中已有的安全措施等是影响信息安全风险的基本要素,它统中已有的安全措施等是影响信息安全风险的基本要素,它们和安全风险、安全风险对业务的影响以及系统安全需求等们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。构成信息安全风险评估的要素。1.资产资产 根据根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产是指任何对组织有价值的东西,资产包括:物理资产、信息资产包括:物理资产、信息/数据数据、软件、提供产品和服务的、软件、提供产品和服务的能力、人员、无形资
11、产。能力、人员、无形资产。信息安全风险评估规范信息安全风险评估规范资产是指对组织具有价值的资产是指对组织具有价值的信息资源,是安全策略保护的对象。以多种形式存在,有无信息资源,是安全策略保护的对象。以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。硬件、文档、服务、人员等类。3.13.1 概述概述 2.威胁威胁 威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导威胁是可能对资产或组织造成
12、损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同,威胁可分为:根据威胁源的不同,威胁可分为:自然威胁、环境威胁、系统自然威胁、环境威胁、系统威胁、人员威胁威胁、人员威胁 3.脆弱性脆弱性 脆弱性是一个或一组资产所具有的,可能被威胁利用对资产造脆弱性是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节
13、。成损害的薄弱环节。4.风险风险 根据根据ISO/IEC 13335-1,信息安全风险是指威胁利用利用一个,信息安全风险是指威胁利用利用一个或一组资产的脆弱性导致组织受损的潜在,并以威胁利用脆弱或一组资产的脆弱性导致组织受损的潜在,并以威胁利用脆弱性造成的一系列不期望发生的事件(或称为安全事件)体现性造成的一系列不期望发生的事件(或称为安全事件)体现 3.13.1 概述概述 5.影响影响 影响是威胁利用资产的脆弱性导致不期望发生事件的后果。影响是威胁利用资产的脆弱性导致不期望发生事件的后果。这些后果可能表现为直接形式,如物理介质或设备的破坏、这些后果可能表现为直接形式,如物理介质或设备的破坏、
14、人员的损伤、人员的损伤、直接的资金损失等;也可能表现为间接的损失直接的资金损失等;也可能表现为间接的损失如公司信用、形象受损、市场分额损失、法律责任等。如公司信用、形象受损、市场分额损失、法律责任等。6.安全措施安全措施 安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。采取的各种实践、规程和机制的总称。7.安全需求安全需求 安全需求是指为保证组织业务战略的正常运作而在安全措施安全需求是指为保证组织业务战
15、略的正常运作而在安全措施方面提出的要求。方面提出的要求。3.13.1 概述概述 3.1.2 信息安全风险评估信息安全风险评估 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。可用性等安全属性进行评价的过程。3.1.3 风险要素相互间的关系风险要素相互间的关系 资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风险有关的要素还包括:安全措施、安
16、全需求、影响等。险有关的要素还包括:安全措施、安全需求、影响等。ISO/IEC 13335-1对它们之间的关系描述如图对它们之间的关系描述如图2-1所示所示 3.13.1 概述概述 信息安全风险信息安全风险评估规范评估规范GB/T20984 对对ISO/IEC 13335-1提出风险要素关提出风险要素关系模型进行了扩系模型进行了扩展展 我国提出的信息我国提出的信息风险要素关系图风险要素关系图 脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足3.23.2 信息安全风险评估策略信息安全风险评估策略 3.2.1 基线风险评估基线风险评估 要求组织根据自己的实际情况(所在行业、业务环境与性要求组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行基线安全检查(质等),对信息系统进行基线安全检查(将现有的安全措将现有的安全措施与安全基线规定的措施进行比较,找出其中的差距施与安全基线规定的措施进行比较,找出其中的差距),),得出基本的安全需求,通过选择并实施标准的安全措施来得出基本的安全需求,通