《-信息安全ppt第2章信息安全风险评估-.docx》由会员分享,可在线阅读,更多相关《-信息安全ppt第2章信息安全风险评估-.docx(10页珍藏版)》请在课桌文档上搜索。
1、“信息安全PPt第2章信息安全风险评估“1、赵刚2.1风险评估基础模型2.2信息平安风险评估工作概述2.3风险评估的预备工作2.4资产识别2.5威逼识别2.6脆弱性识别2.7已有平安措施确认2.8风险分析与风险处理2.9风险评估报告2.10信息系统生命周期各阶段的风险评估2.1风险评估基础模型2.1.1风险要素关系模型2.1.2风险分析原理平安大事的可能性平安大事的损失风险值资产识别资产价值威逼识别威逼消失的频率脆弱性的严峻程度脆弱性识别2.1.3风险评估方法名称名称定性评估方法定性评估方法定量评估方法定量评估方法定量与定性结合方法定量与定性结合方法定义定义主要依据评估者的学问、阅历、历史教训
2、、政策走向及特别2、案例等非量化资料对系统风险状况做出推断的过程运用数量指标来对风险进行评估定量是分析基础和前提;定性分析是灵魂,是形成概念、观点,作出推断,得出结论所必需依靠的优点优点可以挖掘出一些隐藏很深的思想,使评估的结论更全面、更深刻;便于组织管理、业务和技术人员更好地参加评估工作,大大提高评估结果的适用性和可接受性能够通过投资收益计算的客观结果来劝说组织管理人员来推动风险管理;随着组织建立数据的历史记录并获得阅历,其精确度将随着时间的推移而提高在简单的信息系统风险评估过程中,将这两种方法融合起来,取其优点缺点缺点主观性很强,对评估者本身的要求很高;缺乏客观数据支持计算过程简单、耗时,
3、需要专业工具支3、持和肯定的专业学问基础;计算结果量化以后用财务术语描述有可能被误会和曲解难度大,简单度高2.2信息平安风险评估工作概述221风险评估依据1.政策法规2.国际标准3.国家标准4.行业通用标准2.2.2风险评估原则1.可控性原则(1)人员可控性(2)工具可控性(3)项目过程可控性2.完整性原则3.最小影响原则4.保密原则2.2.3风险评估组织管理角色责任主管机关提出、制定并批准本部门的信息平安风险管理策略;领导和组织本部门内的信息系统平安评估工作;基于本部门内信息系统的特征以及风险评估的结果,推断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行;检查信息系统运行中产生的
4、平安状4、态报告;定期或不定期地开展新的信息平安风险评估工作。信息系统拥有者制定平安方案,报主管机关审批;组织实施信息系统自评估工作;协作强制性检查评价或托付评估工作,并供应必要的文档等资源;向主管机关提出新一轮风险评估的建议;改善信息平安防护措施,掌握信息平安风险。信息系统承建者依据对信息系统建设方案的风险评估结果,修正平安方案,使平安方案成本合理、乐观有效,在方案中有效地掌握风险;规范建设,削减在建设阶段引入的新风险;确保平安组件产品得到了相关机构的认证。信息系统平安评估机构供应独立的信息系统平安风险评价;对信息系统中的平安防护措施进行评估,以推断:这些平安防护措施在特定运行环境中的有效性
5、;(5、2)实现了这些措施后系统中存在的残余风险;提出调整建议,以削减信息系统中的脆弱性,有效对抗平安威逼,掌握风险;爱护风险评估中获得的敏感信息,防止被未授权的、无关人员和单位获得。信息系统的关联机构遵守平安策略、法规、合同等涉及信息系统交互行为的平安要求,削减信息平安风险;帮助风险评估机构确定评估边界;在风险评估中供应必要的资源和资料。2.2.4风险评估实施流程2.3风险评估的预备工作1.确定风险评估的目标;2.确定风险评估的范围;3.组建适当的评估管理与实施团队;4.进行系统调研;5.确定评估依据和方法;6.制定风险评估方案;7.获得最高管理者对风险评估工作的支持。2.4资产识别1.回顾
6、评估6、范围内的业务2.识别信息资产,进行合理分类3.确定每类信息资产的平安需求4.为每类信息资产的重要性赋值资产识别的工作内容:2.4.1工作内容2.4.2参加人员来自评估单位的项目负责人和资产识别小组,以及各活动中来自被评估组织的被访谈人员。资产识别阶段主要参加人员包括:2.4.3工作方式1.评估范围之内的业务识别2.资产的识别与分类3.平安需求分析4.资产赋值资产识别的工作方式:2.4.3工作方式分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、方案、报告、用户手册等。软件系统软件:操作系统、语言包、工具软件、各种库等;应用软件:外部购买7、的应
7、用软件、外包开发的应用软件等;源程序:各种共享源代码、自行或合作开发的各种代码等。硬件网络设备:路由器、网关、交换机等;计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等;存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;传输线路:光纤、双绞线等;保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等;平安保障设备:防火墙、入侵检测系统、身份验证等;其他:打印机、复印机、扫描仪、传真机等。服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务;网络服务:各种网络设备、设施供应的网络连接服务;信息服务8、:对
8、外依靠该系统开展的各类服务。文档纸质的各种文件,如传真、电报、财务报告、进展方案等。人员把握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目负责人等。其它企业形象、客户关系等。2.4.4工具及资料1自动化工具2.手工记录表格3.帮助材料资产识别的工具及资料:2.4.4工具及资料资产识别记录表项目名称或编号表格编号资产识别活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述保密性要求完整性要求可用性要求重要程度平安掌握措施负责人备注2.49、.5输出结果在资产划分的基础上,再进行资产的统计、汇总,形成完备
9、的资产及评价报告。此报告属于评估活动的中间结果,将被视为分析阶段的输入文档之一。2.5威逼识别2.5.1工作内容1.威逼识别(1)实际威逼识别:通过访谈和检测工具识别并记录被评估组织近期曾经实际消失过的威逼。(2)潜在威逼识别:依据被评估组织的特点,结合当前信息平安总体的威逼统计和趋势,分析被评估组织面临的潜在威逼。2.威逼分类3.威逼赋值4.构建威逼场景2.5.2参加人员威逼识别活动的主体是评估团队中的威逼识别小组。另外,在实际威逼调查的活动中,如访谈和工具检测等,还需要来自于被评估组织的人员参加。2.5.3工作10、方式1.威逼识别(1)实际威逼识别:通过访谈和检测工具识别并记录被评估组织
10、近期曾经实际消失过的威逼。(2)潜在威逼识别:依据被评估组织的特点,结合当前信息平安总体的威逼统计和趋势,分析被评估组织面临的潜在威逼。2.威逼分类3.构建威逼场景2.威逼分类来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾难,意外事故或软件、硬件、数据、通讯线路方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采纳自主或内外勾结的方式盗窃机密信息或进行篡改,猎取利益;外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以11、猎取利益或炫耀力量非恶意人员内部人员由于缺乏责任心,或者由于不关怀和
11、不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击种类描述威逼子类软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障物理环境影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾难无作为或操作失误由于应当执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造12、成的影响维护错误、操作失误管理不到位平安管理无法落实、不到位,造
12、成平安管理不规范、或者管理混乱,从而破坏信息系统正常有序运行恶意代码和病毒具有自我复制、自我传播力量,对信息系统构成破坏的程序代码恶意代码、木马后门、网络病毒、间谍软件、窃听软件越权或滥用通过采纳一些措施,超越自己的权限,访问了原来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露隐秘信息2.威逼分类种类描述威逼子类网络攻击利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造和哄骗、拒绝服务等手段,对信息系统进行攻击和入侵网络探测和信13、息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和
13、哄骗、用户或业务数据的窃取和破坏、系统运行的掌握和破坏物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露篡改非法修改信息、破坏信息的完整性,使系统的平安性降低或信息不行用篡改网络配置信息、篡改系统配置信息、篡改平安配置信息、篡改用户身份信息或业务数据信息抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖2.威逼分类2.5.4工具及资料访谈记录表格手工记录IDSIPS平安审计工具工具平安大事记录帮助材料2.5.5输出结果威逼列14、表关键资产的威逼场景威逼识别输出结果:2.6脆弱性识别2.6.1工作内
14、容通过扫描工具或手工等不同方式,识别当前系统中存在的脆弱性;脆弱性识别:在实际评估项目中,被评估组织往往会要求评估单位提交脆弱性识别活动的阶段成果,所以在脆弱性识别阶段,还应将脆弱性识别结果以合理的方式呈现给被评估组织;识别结果整理与展现:某些详细的风险分析和计算方法,需要对脆弱性赋值后方能完成后续的风险计算活动。假如评估活动选用了上述类型的风险分析和计算方法,应依据肯定的赋值准则,对被识别的脆弱性进行赋值。脆弱性赋值:2.6.2参加人员序号活动名称参加人员来自于评估单位来自于被评估单位1脆弱性识别项目负责人脆弱性15、识别小组项目负责人识别活动中协作人员或访谈对象2脆弱性识别结果整理与呈现脆
15、弱性识别小组3脆弱性赋值脆弱性识别小组2.6.3工作方式问卷调查;工具检测;人工检查;文档查阅;渗透性测试,等。Ll.脆弱性识别方法脆弱性识别方法2.6.3工作方式全面考虑和突出重点相结合的原则;局部与整体相结合的原则;层次化原则;手工与自动化工具相结合的原则。2.脆弱性识别原则脆弱性识别原则263工作方式3.脆弱性识别内容类型类型识别对象识别对象识别内容识别内容技术技术脆弱脆弱性性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的爱护、机房区域防护、机16、房设备管理等方面进行识别网络结构从网络结构设计、边界爱护、外部访问掌握策略、内部访问掌握策略、网
16、络设备平安配置等方面进行识别系统软件(含操作系统及系统服务)从补丁安装、物理爱护、用户账号、口令策略、资源共享、大事审计、访问掌握、新系统配置(初始化)、注册表加固、网络平安、系统管理等方面进行识别数据库软件从补丁安装、鉴别机制、口令机制、访问掌握、网络和服务设置、备份恢复机制、审计机制等方面进行识别应用中间件从协议平安、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问掌握策略、数据完整性、通信、鉴别机制、密码爱护等方面进行识别管理管理脆弱脆弱性性技术管理从物理和环境安17、全、通信与操作管理、访问掌握、系统开发与维护、业务连续性等方面进行识别组织管理从平安策略、组织平安
17、、资产分类与掌握、人员平安、符合性等方面进行识别2.6.3工作方式4.脆弱性赋值等级表示定义3高假如被威逼利用,将对资产造成完全破坏的结果2中假如被威逼利用,将对资产造成一般损害的结果1低假如被威逼利用,将对资产造成的损害可以忽视5.脆弱性分类的设计信息系统或资产存在的脆弱性一般可以分为脆弱性类型、识别对象、识别内容三个方面。通过对此三个方面的选择可确定详细的脆弱性。2.6.4工具及资料SQLmaPWVSNeSSUS漏洞扫描工具平安策略检查表各类检查列表综合使用工具,模拟黑客渗透入18、侵,发觉脆弱点渗透测试2.6.5输出结果原始漏洞检测、识别报告文件原始的识别结果原始的识别结果对漏洞识别结果
18、进行汇总、分析、分类,有助于被评估组织的信息平安主管或高层领导了解当前信息系统的平安状况,报告的原始数据可能来源于漏洞扫描的结果,也可能来源于漏洞扫描和手工检查的结果。2.漏洞分析报告2.7已有平安措施确认2.7.1工作内容2.7.2参加人员2.7.3工作方式2.7.4工具及资料2.7.5输出结果1.技术掌握措施的识别与确认漏洞分析报告2.管理和操作掌握措施的识别与确认3.统计与分析2.8风险分析与风险处理2.8.1风险分析与计算L计算平安大事发生的可能性2.计算19、平安大事发生后造成的损失3.计算风险值风险计算原理,以形式化加以说明:风险值=R(AlV)=R(L(T,V),F(la,Va)
19、其中,R表示平安风险计算函数;A表示资产;T表示威逼;V表示脆弱性;Ia表示平安大事所作用的资产价值;Va表示脆弱性严峻程度;L表示威逼利用资产的脆弱性导致平安大事的可能性;F表示平安大事发生后造成的损失。2.8.2风险处理方案2.8.3现存风险推断2.8.4掌握目标确定L风险掌握需求分析2.风险掌握目标3.统计与分析2.8.5风险管理的方法1.接受风险2.避开风险3.转移风险4.降低风险5.处置残留风险减轻威逼削减威逼消失的可能性;削减脆弱性减轻并弥补系20、统脆弱性;降低影响把平安大事的影响降低到可接受的水平;检测意外大事;从意外大事中恢复。2.9风险评估报告封皮封皮XXXX信息平安风险评
20、估报告信息平安风险评估报告被评估的系统:被评估单位:评估类别:负责人:评估时间:名目名目第一章第一章综述介绍评估预备的相关内容。介绍评估预备的相关内容。第第2章章识别并评价资产介绍资产的识别和评价结果。介绍资产的识别和评价结果。第第3章章识别并评价威逼介绍威逼的识别和评价结果。介绍威逼的识别和评价结果。第第4章章识别并评价脆弱性介绍脆弱性的识别和评价结果。介绍脆弱性的识别和评价结果。第第5章章识别平安措施介绍已有平安措施的识别和分析结果。介绍已有平安措施的21、识别和分析结果。第第6章章分析可能性和影响介绍可能性和影响的分析结果。介绍可能性和影响的分析结果。第第7章章风险计算介绍风险的计算结果
21、。介绍风险的计算结果。第第8章章风险掌握介绍需掌握的风险及掌握措施。介绍需掌握的风险及掌握措施。第第9章章总结对本次评估进行总结。对本次评估进行总结。2.10信息系统生命周期各阶段的风险评估2.10.1规划阶段的信息平安风险评估2.10.2设计阶段的信息平安风险评估2.10.3实施阶段的信息平安风险评估2.10.4运维阶段的信息平安风险评估2.10.5废弃阶段的信息平安风险评估思索题(1)解释风险评估依据和“风险评估原贝产的主要内容。(2)解释风险要素关系模型和风险分析原理。(3)叙述风险评估实施流程。(4)绽开叙述针对潜在威逼的识别活动的主要内容。(5)结合实例叙述脆弱性识别的工作方式。(6)查阅资料,归纳国内外信息平安风险评估相关标准。