2022信息系统风险评估实践指南.docx
《2022信息系统风险评估实践指南.docx》由会员分享,可在线阅读,更多相关《2022信息系统风险评估实践指南.docx(155页珍藏版)》请在课桌文档上搜索。
1、信息安全风险评估实践指南前言:关于安全风险的故事.故事是这样发生的:一个乡下人进城里打工,由于疲惫于是乡下人就在一个露天的公园里睡觉,结果不小心被旁边的小偷盯人并把他口袋里的100块钱给偷走了,最后搞得晚上没饭吃.它的安全风险是这样的:风险=钱被偷走资产=100块钱影响=晚上没饭吃威胁=小偷弱点=打瞌睡前言:安全风险故事的延伸.故事继续中:某证券公司的数据库服务器因为存在RPCDCOM的漏洞,遭到入侵者攻击,被迫中断3天。.您的安全风险观呢?风险RPCDeoM漏洞资产服务器遭到入侵影响、i数据库服务器威胁A入侵者弱点7断三天如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作
2、者差不多站在同一个起跑线上了。目录1、风险评估理论2、风险评估的国家政策和标准3、风险评估实践Ij什么是风险评估1.2 为什么要做风险评估1.3 风险评估怎么做信息安全的三个特征(ClA):-机密性:确保只有被授权的人才可以访问信息;-完整性:确保信息的准确和完整;-可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。信息安全风险:-定义1:信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。-定义2:信息安全风险只考虑那些对组织有负面影响的事件。-定义3:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估:-定
3、义1:风险评估是对信息资产面临的威胁、存在的脆弱性、造成的影响,以及三者综合作用而带来风险的可能性的评估。-定义2:信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。1.1 什么是风险评估 1.2为什么要做风险评估 1.3风险评估怎么做信息安全面临的威胁- 网上黑客与计算机欺诈- 网络病毒的蔓延和破坏- 有害信息内容污染与舆情误导- 机要信息流失与“谍件”潜入- 内
4、部人员误用、滥用、恶用- IT产品的失控(分发式威胁)- 物理临近式威胁- 网上恐怖活动与信息战- 网络的脆弱性和系统漏洞我国网络信息安全入侵事件态势严竣(CNCERT/CC05年度报告数据)- 收到信息安全事件报告12万件(04年的2倍);- 监测发现2万台计算机被木马远程控制(04年的2倍);- 发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍);- 网络钓鱼(身份窃取)事件报告400件(04年的2倍);- 监测发现70万台计算机被植入谍件(源头主要在国外);- 发现僵尸网络143个(受控计算机250万台)。互联网信息安全威胁的某些新动向- 僵尸网络威胁兴起- 谍件泛滥值得严重
5、关注- 网络钓鱼的获利动机明显- 网页篡改(嵌入恶意代码卜诱人上当- DDOS开始用于敲诈- 木马潜伏孕育着杀机- 获利和窃信倾向正在成为主流“重要信息系统”安全态势与深层隐患- 系统设计缺陷- 系统集成缺陷- 内控机制脆弱一高危漏洞存在- 信息安全域界定与边控待探索- 风险自评估能力弱- 灾难恢复不到位- 用户自控权不落实风险评估的目的- 了解组织的安全现状- 分析组织的安全需求- 建立信息安全管理体系的要求- 制订安全策略和实施安防措施的依据- 消除安全建设中的盲目乐观或盲目恐惧- 提高系统安全的科学管理水平1.1 什么是风险评估1.2 为什么要做风险评估 1.3风险评估怎么做 131风险
6、评估要素 1.3.2风险评估方法1.3.3风险评估工具 1.3.4风险评估的形式 13.5信息系统生命周期各阶段的风险评估风险评估的四个要素- 资产-威胁- 脆弱性- 现有安全控制措施资产0资产是任何对组织有价值的东西;0信息也是一种资产,对组织具有价值。资产的分类分类3示例一数据保存在信息媒介上的各种数据货料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等2软件C系统软件:操作系统、数据库管理系统、语句包、开发系统等一应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等一硬件网络设备:路由器、网关、交换机等4
7、计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等3保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统、身份鉴别等一其他:打印机、复印机、扫描仪、传真机等,服务信息服务:对外依赖该系统开展的各类服务一网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务C人员C掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等一威胁因威胁是可能导致信息安全事故和组织信息资
8、产损失的活动;团威胁是利用脆弱性来造成后果。威胁的分类m_前H躺产锄动和人为的墨*人为的U减胁依布的或体那件的机失力形货产或资源的成川肤个业的便伯声号或利益;Mfi人员於或除ft史底-误错阱耿小!增设础件失效豆SA哽眄)H威胁导致的糠社会工程类安全威胁分类三助改山类代瞰行类;异常流员%重定向立,略违戢,鲍继1.照|二&帆涧鹤随叔%waettlf.m三10T威胁造成的影响I三三f不可抗类端系统故障人为环境破环脆弱性四是与信息资产有关的弱点或安全隐患;团脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例/系统漏洞/程序BUg,专业人员缺乏
9、/不良习惯,系统没有进行安全配置,物理环境不安全,缺少审计技术手段,缺乏安全意识/后门风险评估要素关系图依赖脆弱性暴露资产J具有产价,利用增力口未被满足成本威朋Jq增力口厂、风险VJ导山安全T二.ifIj演变拿可能诱发抵御余降低未控制被满足安全措施J(1)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;(4)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;(5)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(6
10、)风险的存在及对风险的认识导出安全需求;(7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(8)安全措施可抵御威胁,降低风险;(9)残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的风险;(IO)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。威胁视图:脆弱性视图:影响视图:风险分析原理图练习一识别风险1、请列举五个信息安全的风险的例子,并按下面的要求进行描述。2、要求:,按照资产一资产所面临的威胁一可能被威胁利用的脆弱点的顺序来描述每一个风险。 1.3.1风险评估要素 1.3.2风险评
11、估方法1.3.3风险评估工具 1.3.4风险评估的形式 135信息系统生命周期各阶段的风险评估通用流程:(1)风险评估的准备;(2)资产识别;(3)威胁识别;(4)脆弱性识别;(5)已有安全措施的确认;(6)风险分析;风险评估文件记录。通用流程下的不同评估方法一评估粒度粗细-基线评估-详细评估-组合评估通用流程下的不同评估方法一定性还是定量-定量分析-定性分析-综合方法基线评估-适用情况:适合一般环境的评估。组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式。-工作方法:组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统
12、进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。-优点:需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。-缺点:基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。详细评估-适用情况:适合严格限定边界的较小范围内的评估。-工作方法:要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这
13、种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。-优点:组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织目前的安全水平和安全需求;详细评估的结果可用来管理安全变化。-缺点:详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。组合评估:(基线评估和详细评估二者结合的组合评估。)-工作方法:组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或
14、者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。-优点:将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。-缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。风险计算模型科学的计笠方社:定性(FMECA).定,(HtaWtaIgyto等)风险分析方法有三种:- 定量评估方法:运用数量指标来对风险进行评估。- 定性评估方法:依据评
15、估者的知识、经验、历史教训、政策走向等非量化资料对系统风险状况做出判断的过程。- 定性和定量相结合的综合评估方法定量分析:- 对后果和可能性进行分析;- 采用量化的数值描述后果(估计出可能损失的金额)和可能性(概率或频率);- 分析的有效性取决于所用的数值精确度和完整性。定量分析适用于:- 当部分的公司资产已具有量化的价值;- 利用财务的手法算出风险造成的财务损失;- 再根据损失的大小决定风险等级。后果定量分析-S1.A(single-timeIossAIgorithm)当一个风险发生时会对资产价值造成多大的财务损失。-A1.E(AnnualizedlossExposure)年度风险损失。年度
16、化损失运算表(频率)不可能0.0300年一次1/3000.00333I200年一次1/2000.003I100年一次1/1000.01I50年一次1/500.02;25年一次1/250.04:5年一次1/50.202年一次1/20.51年一次1/11.01年二次1/0.52.01个月一次12/112.01星期一次52/152.01天一次365/1365.0简易的定量计算公式:资产价值(V)乘以可能性(1.)可以得出A1.E(年度风险损失),即:A1.E=VI1.定性分析:- 对后果和可能性进行分析;- 采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小(如高、中、低等);- 分析的
17、有效性取决于所用的数值精确度和完整性。定性分析适用于:- 初始的筛选活动,以鉴定出需要更仔细分析的风险;- 风险程度和经济上的考虑;- 数据不足以进行定量分析的情况。后果或影响的定性量度(示例)等级描述详细情形1可以忽略无伤害,低财务损失2较小立即受控制,中等财务损失3中等受控,高财务损失4较大大伤害,失去生产能力有较大财务损失5灾难性持续能力中断,巨大财务损失可能性的定性量度(示例)等级描述详细情形A几乎肯定预期在大多数情况发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生风险分析矩阵一风险程度可能性后果可以忽略1较小2
18、中等3较大4灾难性5A(几乎肯定)HHEEEB(很可能)MHHEEC(可能)MHEED(不太可能)MHEE(罕见)MHHE:极度风险H:高风险M:中等风险1.:低风险风险的处理措施(示例)E:极度风险-要求立即采取措施需要高级管理部门的注意必须规定管理责任1.:低风险一一用日常程序处理半定量分析:-在半定量分析中,上述的那些定性数值均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。-半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度,但并非要提出任何在定量分析中所得到的风险实际值。风险评估计算方法风险分析原理图风险评估计算过程- (1)计算安
19、全事件发生可能性- (2)计算安全事件造成的损失- (3)计算风险值- (4)结果判定风险计算方法(常用)- 矩阵法- 相乘法矩阵法风险计算过程-计算安全事件发生可能性(1)构建安全事件发生可能性矩阵;(2)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性楂;(3)对计氧得到的安全风险事件发生可能性进行等级划分。-计算安全事件的损失(1)构建安全事件损失矩阵;(2)毒翳壶价髅婶的在矩阵中(3)对计算得到的安全事件损失进行等级划分。-计算风险值(1)构建风险矩阵;-风险结果判定相乘法风险计算过程-计算安全事件发生可能性-(1)安全事件发生可能性=威胁发生频率值脆弱性严
20、重程度值;-(2)对计算得到的安全风险事件发生可能性进行等级划分。-计算安全事件的损失-(1)安全事件损失值=资产价值函弱性严重程度值;-(2)对计算得到的安全事件损失进行等级划分。-计算风险值-(1)安全事件风险值=安全事件发生可能性安全事件损失;-风险结果判定练习二1 .对练习一中所识别的风险进行定性分析。2 .要求:1)列出后果和可能性的定性描述级别2)依据风险分析矩阵评估风险的级别3)给出各级别风险的处理措施风险评估内容:安全技术、安全管理安全技术-网络安全-主机系统安全-应用安全-数据安全安全管理- 安全管理机构- 安全管理制度- 人员安全管理- 系统建设管理- 系统运维管理1.3.
21、1风险评估要素1.3.2风险评估方法 1.3.3风险评估工具 1.3.4风险评估的形式 13.5信息系统生命周期各阶段的风险评估根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成:-风险评估与管理工具:集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。-系统基础平台风险评估工具:主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。-风险评估辅助工具:实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 信息系统 风险 评估 实践 指南
链接地址:https://www.desk33.com/p-1422394.html