《2022信息系统风险评估实践指南.docx》由会员分享,可在线阅读,更多相关《2022信息系统风险评估实践指南.docx(155页珍藏版)》请在课桌文档上搜索。
1、信息安全风险评估实践指南前言:关于安全风险的故事.故事是这样发生的:一个乡下人进城里打工,由于疲惫于是乡下人就在一个露天的公园里睡觉,结果不小心被旁边的小偷盯人并把他口袋里的100块钱给偷走了,最后搞得晚上没饭吃.它的安全风险是这样的:风险=钱被偷走资产=100块钱影响=晚上没饭吃威胁=小偷弱点=打瞌睡前言:安全风险故事的延伸.故事继续中:某证券公司的数据库服务器因为存在RPCDCOM的漏洞,遭到入侵者攻击,被迫中断3天。.您的安全风险观呢?风险RPCDeoM漏洞资产服务器遭到入侵影响、i数据库服务器威胁A入侵者弱点7断三天如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作
2、者差不多站在同一个起跑线上了。目录1、风险评估理论2、风险评估的国家政策和标准3、风险评估实践Ij什么是风险评估1.2 为什么要做风险评估1.3 风险评估怎么做信息安全的三个特征(ClA):-机密性:确保只有被授权的人才可以访问信息;-完整性:确保信息的准确和完整;-可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。信息安全风险:-定义1:信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。-定义2:信息安全风险只考虑那些对组织有负面影响的事件。-定义3:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估:-定
3、义1:风险评估是对信息资产面临的威胁、存在的脆弱性、造成的影响,以及三者综合作用而带来风险的可能性的评估。-定义2:信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。1.1 什么是风险评估 1.2为什么要做风险评估 1.3风险评估怎么做信息安全面临的威胁- 网上黑客与计算机欺诈- 网络病毒的蔓延和破坏- 有害信息内容污染与舆情误导- 机要信息流失与“谍件”潜入- 内
4、部人员误用、滥用、恶用- IT产品的失控(分发式威胁)- 物理临近式威胁- 网上恐怖活动与信息战- 网络的脆弱性和系统漏洞我国网络信息安全入侵事件态势严竣(CNCERT/CC05年度报告数据)- 收到信息安全事件报告12万件(04年的2倍);- 监测发现2万台计算机被木马远程控制(04年的2倍);- 发现1.4万个网站遭黑客篡改,其中政府网站2千(04年的2倍);- 网络钓鱼(身份窃取)事件报告400件(04年的2倍);- 监测发现70万台计算机被植入谍件(源头主要在国外);- 发现僵尸网络143个(受控计算机250万台)。互联网信息安全威胁的某些新动向- 僵尸网络威胁兴起- 谍件泛滥值得严重
5、关注- 网络钓鱼的获利动机明显- 网页篡改(嵌入恶意代码卜诱人上当- DDOS开始用于敲诈- 木马潜伏孕育着杀机- 获利和窃信倾向正在成为主流“重要信息系统”安全态势与深层隐患- 系统设计缺陷- 系统集成缺陷- 内控机制脆弱一高危漏洞存在- 信息安全域界定与边控待探索- 风险自评估能力弱- 灾难恢复不到位- 用户自控权不落实风险评估的目的- 了解组织的安全现状- 分析组织的安全需求- 建立信息安全管理体系的要求- 制订安全策略和实施安防措施的依据- 消除安全建设中的盲目乐观或盲目恐惧- 提高系统安全的科学管理水平1.1 什么是风险评估1.2 为什么要做风险评估 1.3风险评估怎么做 131风险
6、评估要素 1.3.2风险评估方法1.3.3风险评估工具 1.3.4风险评估的形式 13.5信息系统生命周期各阶段的风险评估风险评估的四个要素- 资产-威胁- 脆弱性- 现有安全控制措施资产0资产是任何对组织有价值的东西;0信息也是一种资产,对组织具有价值。资产的分类分类3示例一数据保存在信息媒介上的各种数据货料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等2软件C系统软件:操作系统、数据库管理系统、语句包、开发系统等一应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等一硬件网络设备:路由器、网关、交换机等4
7、计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等3保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统、身份鉴别等一其他:打印机、复印机、扫描仪、传真机等,服务信息服务:对外依赖该系统开展的各类服务一网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务C人员C掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等一威胁因威胁是可能导致信息安全事故和组织信息资
8、产损失的活动;团威胁是利用脆弱性来造成后果。威胁的分类m_前H躺产锄动和人为的墨*人为的U减胁依布的或体那件的机失力形货产或资源的成川肤个业的便伯声号或利益;Mfi人员於或除ft史底-误错阱耿小!增设础件失效豆SA哽眄)H威胁导致的糠社会工程类安全威胁分类三助改山类代瞰行类;异常流员%重定向立,略违戢,鲍继1.照|二&帆涧鹤随叔%waettlf.m三10T威胁造成的影响I三三f不可抗类端系统故障人为环境破环脆弱性四是与信息资产有关的弱点或安全隐患;团脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例/系统漏洞/程序BUg,专业人员缺乏
9、/不良习惯,系统没有进行安全配置,物理环境不安全,缺少审计技术手段,缺乏安全意识/后门风险评估要素关系图依赖脆弱性暴露资产J具有产价,利用增力口未被满足成本威朋Jq增力口厂、风险VJ导山安全T二.ifIj演变拿可能诱发抵御余降低未控制被满足安全措施J(1)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;(4)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;(5)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(6
10、)风险的存在及对风险的认识导出安全需求;(7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(8)安全措施可抵御威胁,降低风险;(9)残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的风险;(IO)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。威胁视图:脆弱性视图:影响视图:风险分析原理图练习一识别风险1、请列举五个信息安全的风险的例子,并按下面的要求进行描述。2、要求:,按照资产一资产所面临的威胁一可能被威胁利用的脆弱点的顺序来描述每一个风险。 1.3.1风险评估要素 1.3.2风险评
11、估方法1.3.3风险评估工具 1.3.4风险评估的形式 135信息系统生命周期各阶段的风险评估通用流程:(1)风险评估的准备;(2)资产识别;(3)威胁识别;(4)脆弱性识别;(5)已有安全措施的确认;(6)风险分析;风险评估文件记录。通用流程下的不同评估方法一评估粒度粗细-基线评估-详细评估-组合评估通用流程下的不同评估方法一定性还是定量-定量分析-定性分析-综合方法基线评估-适用情况:适合一般环境的评估。组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式。-工作方法:组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统
12、进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。-优点:需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。-缺点:基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。详细评估-适用情况:适合严格限定边界的较小范围内的评估。-工作方法:要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这
13、种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。-优点:组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织目前的安全水平和安全需求;详细评估的结果可用来管理安全变化。-缺点:详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。组合评估:(基线评估和详细评估二者结合的组合评估。)-工作方法:组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或
14、者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。-优点:将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。-缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。风险计算模型科学的计笠方社:定性(FMECA).定,(HtaWtaIgyto等)风险分析方法有三种:- 定量评估方法:运用数量指标来对风险进行评估。- 定性评估方法:依据评
15、估者的知识、经验、历史教训、政策走向等非量化资料对系统风险状况做出判断的过程。- 定性和定量相结合的综合评估方法定量分析:- 对后果和可能性进行分析;- 采用量化的数值描述后果(估计出可能损失的金额)和可能性(概率或频率);- 分析的有效性取决于所用的数值精确度和完整性。定量分析适用于:- 当部分的公司资产已具有量化的价值;- 利用财务的手法算出风险造成的财务损失;- 再根据损失的大小决定风险等级。后果定量分析-S1.A(single-timeIossAIgorithm)当一个风险发生时会对资产价值造成多大的财务损失。-A1.E(AnnualizedlossExposure)年度风险损失。年度
16、化损失运算表(频率)不可能0.0300年一次1/3000.00333I200年一次1/2000.003I100年一次1/1000.01I50年一次1/500.02;25年一次1/250.04:5年一次1/50.202年一次1/20.51年一次1/11.01年二次1/0.52.01个月一次12/112.01星期一次52/152.01天一次365/1365.0简易的定量计算公式:资产价值(V)乘以可能性(1.)可以得出A1.E(年度风险损失),即:A1.E=VI1.定性分析:- 对后果和可能性进行分析;- 采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小(如高、中、低等);- 分析的
17、有效性取决于所用的数值精确度和完整性。定性分析适用于:- 初始的筛选活动,以鉴定出需要更仔细分析的风险;- 风险程度和经济上的考虑;- 数据不足以进行定量分析的情况。后果或影响的定性量度(示例)等级描述详细情形1可以忽略无伤害,低财务损失2较小立即受控制,中等财务损失3中等受控,高财务损失4较大大伤害,失去生产能力有较大财务损失5灾难性持续能力中断,巨大财务损失可能性的定性量度(示例)等级描述详细情形A几乎肯定预期在大多数情况发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生风险分析矩阵一风险程度可能性后果可以忽略1较小2
18、中等3较大4灾难性5A(几乎肯定)HHEEEB(很可能)MHHEEC(可能)MHEED(不太可能)MHEE(罕见)MHHE:极度风险H:高风险M:中等风险1.:低风险风险的处理措施(示例)E:极度风险-要求立即采取措施需要高级管理部门的注意必须规定管理责任1.:低风险一一用日常程序处理半定量分析:-在半定量分析中,上述的那些定性数值均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。-半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度,但并非要提出任何在定量分析中所得到的风险实际值。风险评估计算方法风险分析原理图风险评估计算过程- (1)计算安
19、全事件发生可能性- (2)计算安全事件造成的损失- (3)计算风险值- (4)结果判定风险计算方法(常用)- 矩阵法- 相乘法矩阵法风险计算过程-计算安全事件发生可能性(1)构建安全事件发生可能性矩阵;(2)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性楂;(3)对计氧得到的安全风险事件发生可能性进行等级划分。-计算安全事件的损失(1)构建安全事件损失矩阵;(2)毒翳壶价髅婶的在矩阵中(3)对计算得到的安全事件损失进行等级划分。-计算风险值(1)构建风险矩阵;-风险结果判定相乘法风险计算过程-计算安全事件发生可能性-(1)安全事件发生可能性=威胁发生频率值脆弱性严
20、重程度值;-(2)对计算得到的安全风险事件发生可能性进行等级划分。-计算安全事件的损失-(1)安全事件损失值=资产价值函弱性严重程度值;-(2)对计算得到的安全事件损失进行等级划分。-计算风险值-(1)安全事件风险值=安全事件发生可能性安全事件损失;-风险结果判定练习二1 .对练习一中所识别的风险进行定性分析。2 .要求:1)列出后果和可能性的定性描述级别2)依据风险分析矩阵评估风险的级别3)给出各级别风险的处理措施风险评估内容:安全技术、安全管理安全技术-网络安全-主机系统安全-应用安全-数据安全安全管理- 安全管理机构- 安全管理制度- 人员安全管理- 系统建设管理- 系统运维管理1.3.
21、1风险评估要素1.3.2风险评估方法 1.3.3风险评估工具 1.3.4风险评估的形式 13.5信息系统生命周期各阶段的风险评估根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成:-风险评估与管理工具:集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。-系统基础平台风险评估工具:主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。-风险评估辅助工具:实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值
22、、定级提供依据。风险评估与管理工具- 基于信息安全标准的风险评估与管理工具依据标准或指南的内容为基础,开发相应的评估工具,完成遵循标准或指南的风险评估过程。如ASSET、CCToolboxo- 基于知识的风险评估与管理工具并不仅仅遵循某个单一的标准或指南,而是将各种风险分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。如COBRA、MSATsRISK等。- 基于模型的风险评估与管理工具对系统各组成部分、安全要素充分研究的基础上,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评价的结果。如RA、CORA等。常用风险评估与管理工具对比工具
23、国家公司成熟度功能标准Asseet-1美国NISTNIST发布依据美国NISTSP800-26进行IT安全自动化自我评估NISTSP800-26CCToolbox美国NlAPNIAP发布依据CC进行信息安全自动化评估CCCOBRA美国C&ASystemSecurity1.td.成熟产品主要依据ISo17799进行风险评估主要依据ISO17799MSAT美国MiCroSOft公司成熟产品主要进行定性和定量风险评估专家系统RiskWatch美国RiSkWatCh公司成熟产品综合各类相关标准进行风险评估和风险管理各类信息安全相关标准RA英国BSlBSl发布主要依据ISc)17799进行风险等级和控制
24、措施的过程式分析主要依据ISO17799求假食叁孤夫亶梨僭工具货产*短出产克S!苫期面*产配量理e项日管理K*资产BMK导产制!W劣关愦招播强除!D浒点评信X卖1001WFr弱点信息愿升级XV1002峥阈椁讦信崛讦信X寸1003V#BASX量1004范富*黄产烧计找点统计X以1005UniX主机弼点比收X丁1006indows三st.IClWht军统X堂1007胸设都XW1008ftff*X叨1009茶附设检X寸WllA更产美的睫计网喔伴,W由81.类校网要的火*,理在空尻,而收.G传存Il也卷“业务既依海、通用应咫状忖、FWR备ID主规的IMt新烧Ir州、开我工乂知51力弹号状件,包福正在运
25、行中的秋冷趣传的尤、KeyW.四务存在电子介的谷和敖如府以,但HM代码,KffJtBS备和敌警殳M.浜技文8is行除&祗、im非告、用户手册号一般力一gumx壬机,色曲:y主网中的建件OS,应用软件,事务,我先箸TK力一台WEoWSWT/20。叱机,色洛本日主爪中的蚪OS,应用软件展务,散SW一般力一台FWhft备,包福享8FWR晶中的睁,IOS,配文传数富网堵黑务.包融也图.5机、及Mn火hRASW-三B三*,包曲哥Att样,*M1文件”电熹、KK文件施,E1.网第&警再括人员碗税,国括备3安全电统,安全人同、书0密&人员,RW,*1WS,业务It人员一三万人摄E3IicrosoftExce
26、l-UpdatedFY_control:)文件任)编辑更)视图9插入(X)格式(Q)工具(I)数据)窗口电)帮助QDAdobePDFQB)淀人需要帮助的问题Q1.JK340上JJE”仙西即宋体1。B/H等春基到率I_出星萄JM46仪可能性2:冲击2:风险2:ABCDEIFG1序号威胁薄弱点所有影的通产极高风险的洸产增加的控制措法残余风险较高风险的2蓄意行为3DOl操纵破坏IT设备或配件保护IT设备的物理访问控制比较薄弱VNAME?#NAME?可能性2:冲击2:风险2:HN幺4D02数据或软件的操纵防止未经授权者访问数据或软件的逻辑访问控制比较薄弱#NAME?#NAME?可能性2:冲击2:风险2
27、:#N&5D03对限制区域的未经授权登入确保访问经过授权的物理控制和访客执行控制措施比较薄弱#NAME?#NAME?可能性2:冲击2:风险2:VNAMvD04!乂风险评估总表风险3主修4口411乩Ms14口,平估总表Sl风险评估总=#NAME?麦Dl风险评估总表P风险评#NAME?估总表U风险处理及残余风险评估总表/可能性2:_I就绪NISTASSETSysteaASSETFileEditToolsHelpCCtools系统基础平台风险评估工具-脆弱性扫描工具;商用:绿盟“极光”、福建榕基。免费:nessussX-scanoooo- 基于网络的扫描器- 基于主机的扫描器- 分布式网络扫描器-
28、数据库脆弱性扫描器-渗透性测试工具:主要是免费。黑客工具、脚本文件。常用脆弱性检测工具对比NetReconBindViewHarkerShieldEEyeDigitalSecurityRetinaISSInternetScannerNessusSecurityNetworkAssociatesCyberCopScannerSARAWorldWideDigitalSecuritySAINT操作系统WindowsWindowsWindowsWindowsUnixWindowsUnixUnix内建的自动更新特征能修自动更新(从网络下载)能够自动更新能够自动更新能够自动更新能句多自动更新(从网络下载)
29、能帔自动更新无此功能无此功能扫描类型基于网络的扫描基于主机的扫描基于主机的扫描基于主机的扫描基于网络的扫描基于主机的扫描基于网络的扫描基于网络的扫描CVE对照没有对应CVE歹U表对应CVE歹IJ表没有对应CVE列表对应CVE歹U表对应CVE歹U表没有对应CVE歹U表对应CVE歹U表对应CVE列表是否能够对选点的漏洞进行修复否能够能够否*能够否有风险评估辅助工具- 检查列表:基于特定标准或基线建立的,对特定系统进行审查的项目条款。- 入侵检测工具:帮助检测各种攻击试探和误操作;同时也可以作为一个警报器,提醒管理员发生的安全状况。- 安全审计工具:用于记录网络行为,分析系统或网络安全现状;它的审计
30、记录可以作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。- 拓扑发现工具:主要是自动完成网络硬件设备的识别、发现功能。- 资产信息收集系统:通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的收集功能。- 其他:评估指标库、知识库、漏洞库、算法库、模型库等。1.3风险评估怎么做1.3.1 风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具 1.3.4风险评估的工作形式 1.3.5信息系统生命周期各t段的风险评估信息安全风险评估分为自评估、检查评估两种形式。自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托
31、第三方机构提供技术支持。自评估-由发起方实施或委托风险评估服务技术支持方实施。-优点:- 有利于保密- 有利于发挥行业和部门内的人员的业务特长- 有利于降低风险评估的费用- 有利于提高本单位的风险评估能力与信息安全知识-缺点:可能由于缺乏风险评估的专业技能,其结果不够深入准确;同时,受到组织内部各种因素的影响,其评估结果的客观性易受影响。-建议方法:委托风险评估服务技术支持方实施的评估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及业务了解的限制,对被评估系统的了解,尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素,因此,对其背景与资
32、质、评估过程与结果的保密要求等方面应进行控制。检查评估-是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。优点:-最具权威性;-通过行政手段加强信息安全的重要措施。缺点:间隔时间较长,一般是抽样进行,难于贯穿信息系统的生命周期。二.进行风险评估要求评估人员既要了解评估本身的一套方法与流程,还要了解被评估系统的业务特性,这对于完全从事评估的第三方来讲,在短时间内了解每个系统的业务特性难度是比较大的;三.风险评估工作流程中常常要求被评估方向评估方提供各种信息,需要之间的良好互动以及多方会商,单靠评估方第三方是无法完成系统评估的。基于以上原因,委托评估技术支持比委托评估的提法更为切
33、合实际。并且,提供委托评估技术支持的机构应具有相应的资质。1.3风险评估怎么做1.3.1风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具 1.3.4风险评估的形式 1.3.5信息系统生命周期各阶段的风险评估国信办20065号文件指出:信息安全风险评估应贯穿于网络与信息系统的建设&运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。 规划阶段的风险评估 设计阶段的风险评估 实施阶段的风险评估运行维护阶段的风险评估 废弃阶段的风险评估规划阶段的风险评估规划阶段风险评估的目
34、的是识别系统的业的以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的安全目标。设计阶段的风险评估设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。实施阶段的风险评估实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制。基于设计阶段的资产列表
35、、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估。运行维护阶段的风险评估运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。废弃阶段的风险评估当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废弃的程度,又分为部分废弃和全部废弃两种。废弃阶段风险评估着重在以下几方面:1、确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件
36、被合理地丢弃或更换;2、如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,还应考虑系统废弃后与其他系统的连接是否被关闭;3、如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估,以确定是否会增加风险或引入新的风险;4、是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。目录1、风险评估理论2、风险评估的国家政策和标准3、风险评估实践2、风险评估的国家政策和标准2J国内风险评估工作进展及国家政策2.2 风险评估的国内外标准2.3 国外风险评估的发展历程从2003年7月至今,我国信息安全风险评估工作大致经历了四个阶段,即调查研究阶段、标准编制阶段、试点工作阶
37、段和正式启动阶段。-中办发200327号文件:对开展信息安全风险评估工作提出了明确的要求,启动了风险评估工作,进入风险评估调研阶段。-2004年上半年启动了信息安全风险评估指南和风险管理指南等标准的编制工作。-国信办20054号和5号文件:关于在银行、税务、电力等部门和电子政务外网,以及北京、上海、黑龙江、云南等省市,开展信息安全风险评估试点工作的要求,检验信息安全风险评估规范标准的可行性可用性。先后开展两次全国范围内的试点。-国信办20065号文件关于开展信息安全风险评估工作的意见,标志着我国信息安全领域一项基础性全体性的业务,正式启动。“国信办”与“安标委”信息安全风险评估规范“保密局”涉
38、密信息领域风险评估规范。”科技部信息安全风险评估方法、工具、模型研制。关于开展信息安全风险评估工作的意见文中主要内容:信息安全风险评估的实施要求信息安全风险评估的管理要求-信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施,从而避免产生欠保护或过保护的情况。-在信息系统建设完成验收时,通过风险评估工作可t验信息系统是否实现了所设计的安全功能,是E满足了信息系统的安全需求并达到预期的安全目标。-由于信息技术的发展、信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此
39、,在信息系统的运行阶段,应当定期进行信息安全风险评估,以检验安全措施的有效性以及对安全环境的曲性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时进行信息安全风险评估。-信息安全风险评估也是落实等级保护制度的重要手段,应通过信息安全风险评估为信息系统确定安全等级提供依据,根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。-信息安全风险评估工作敏感性强,涉及系统的关键资产和核心信息,一旦处理不当,反而可能引入新的风险,意见强调,必须高度重视信息安全风险评估的组织管理工作-为规避由于风险评估工作而引入新的安全风险,意见提出以下要求:1)参与信息安全风险评估工作的单位及其
40、有关人员必须遵守国家有关信息安全的法律法规,并承担相应的责任和义务。2)风险评估工作的发起方必须采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议。3)对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。-加快制定和完善信息安全风险评估有关技术标准,尽快完善并颁布信息安全风险评估指南和信息安全风险管理指南等国家标准,各行业主管部门也可根据本行业特点制定相应的技术规范。-要加强信息安全风险评估核心技术、方法和工具的研究与攻关。-要从抓试点开始,逐步探索组织实施和管理的经验,用三年左右的时间在我国基础信息网络和重要信息系统普
41、遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络和信息系统安全保障能力,为保障和促进我国信息化发展服务。2.1 国内风险评估工作进展及国家政策2.2风险评估的国内外标准2.3国外风险评估的发展历程信息安全风险评估规范BS7799信息安全管理体系 ISO/IECTR13335NISTSP800-30 OCTAVESSE-CMM AS/NZS4360BS7799BS7799包括-BS7799-1信息安全管理实施细则-BS7799-2信息安全管理体系规范当前状态-BS7799-1一,ISO27002(17799)-BS7799-2:2002,ISO27001关于风险评估,BS
42、7799并未给出具体的方案,只是在BS77992:2002中将风险评估作为建立信息安全管理体系的中间步骤来看待。其中所要求的风险评估的步骤包括:- 定义风险评估的系统方法- 识别风险- 评估风险- 识别并评价风险处理的方法- 为风险的处理选择控制目标与控制方式根据BS7799:2005的文件要求,以上5步要形成风险评估报告。ISO/IECTR13335ISO/IECTR13335-3:1998信息技术IT安全管理指南第3部分:IT安全管理技术其中介绍了:-如何根据组织自身情况选择风险评估方法-可供选择的多种风险评估方法风险分析方法的选择- 基线方法:对所有IT系统应用基本分析,不考虑系统所面临的风险不同,并且接受安全等级可能不总适用的事实。- 非正式方法:运用非常规方法进行风险分析,集中
