信息安全风险评估培训课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全风险评估培训课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 培训 课件
- 资源描述:
-
1、信息安全风险评估培训1信息安全风险评估信息安全风险评估培训2什么是风险评估?什么是风险评估?从深夜一个回家的女孩开始讲起信息安全风险评估培训3风险评估的基本概念信息安全风险评估培训4各安全组件之间的关系信息安全风险评估培训5资产影响威胁弱点风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密通俗的比喻信息安全风险评估培训66 概概 述述信息安全风险评估培训7 相关概念u 资产(资产(Asset) 任何对企业具有价值的东西任何对企业具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。u 威胁(威胁(Threat)
2、可能对资产或企业造成损害的某种安全事件发生的潜在原因,通常需要识别出威胁源(Threat source)或威胁代理(Threat agent)。u 弱点(弱点(Vulnerability) 也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。u 风险(风险(Risk) 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。u 可能性(可能性(Likelihood) 对威胁发生几率(Probability)或频率(Frequency)的定性描述。u 影响(影响(Impact) 后果(Consequence),意外事件发生给企业带来的直接或间接的
3、损失或伤害。u 安全措施(安全措施(Safeguard) 控制措施(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。u 残留风险(残留风险(Residual Risk) 在实施安全措施之后仍然存在的风险。信息安全风险评估培训8风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险原有风险原有风险采取措施后的剩余风险采取措施后的剩余风险脆弱性脆弱性信息安全风险评估培训9资产分类方法分分类类示例示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、
4、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备: UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等信息安全风险评估培训10资产分类方法分分类类示例示例服务信息服务:对外
5、依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等信息安全风险评估培训11资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP 工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层信息安全风险评估培训12资产价值的评估信息安全风险评估培训13
6、信息安全属性 保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取 完整性INTEGRITY保护信息及其处理方法的准确性和完整性 可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产信息安全风险评估培训14信息安全风险评估培训15信息安全风险评估培训16信息安全风险评估培训17资产等级计算公式 AV=F(AC,AI,AA) 例1:AV=MAX(AC,AI,AA) 例2:AV=AC+AI+AA 例3:AV=ACAIAA信息安全风险评估培训18信息安全风险评估培训19威胁来源列表来源来源描述描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干
7、扰、洪灾、火灾、地震、意外 事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式 盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破 坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操 作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。信息安全风险评估培训20威胁分类表信息安全风险评估培训21信息安全风险评估培训22脆弱性
8、识别内容表信息安全风险评估培训23信息安全风险评估培训24威胁与脆弱性之间的关系信息安全风险评估培训25风险分析原理信息安全风险评估培训26定性风险分析信息安全风险评估培训27风险值=R(A,T,V)= R(L(T,V),F(Ia,Va )其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F 表示安全事件发生后产生的损失。一般风险计算方法:矩阵法和相乘法信息安全风险评估培训28矩阵法信息安全风险评估培训29信息安全风险评估培训3001000200030
9、004000500060007000边界人员,攻击混合病毒好奇员工,攻击内部外部人员误操作普通员工,滥用网络病毒内部外部人员恶意基础服务失效交换机硬件失效灾难服务器硬件失效雷击漏水服务器软件失效电源失效交换机软件失效温度、湿度、灰尘、静电等邮件病毒链路失效介质病毒完整性风险机密性风险可用性风险信息安全风险评估培训3131u 降低风险(降低风险(Reduce Risk) 采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等。u 避免风险(避免风险(Avoid Risk) 通过消除可能导致风险发生的条件来避免风险的发生,如
10、将公司内外网隔离以避免来自互联网的攻击,或是将机房安置在不可能造成水患的位置,等等。u 转移风险(转移风险(Transfer Risk) 将风险全部或者部分地转移到其他责任方,例如购买商业保险。u 接受风险(接受风险(Accept Risk) 在实施了其他风险应对措施之后,对于残留的风险,组织可以有意识地选择接受。信息安全风险评估培训3232u 绝对安全(即零风险)是不可能的。u 实施安全控制后会有残留风险或残存风险(Residual Risk)。 u 为了确保信息安全,应该确保残留风险在可接受的范围内: 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rtu 对残留风险进行确
11、认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值,以该阀值作为是否接受残留风险的标准。 信息安全风险评估培训33等保测评与风险评估的区别 目的不同 等级测评:以是否符合等级保护基本要求为目的照方抓药 风险评估:以PDCA循环持续推进风险管理为目的对症下药信息安全风险评估培训34等保测评与风险评估的区别 参照标准不同 等级测评: GB 17859-1999计算机信息系统安全保护等级划分准则GA/T 387-2002计算机信息系统安全等级保护网络技术要求GA 388-2002 计算机信息系统安全等级保护操作系统技术要求GA/T 389-2002计算机信息系统安全等级
12、保护数据库管理系统技术要求GA/T 390-2002计算机信息系统安全等级保护通用技术要求GA 391-2002 计算机信息系统安全等级保护管理要求 风险评估:BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范 信息安全风险评估培训35等保测评与风险评估的区别可以简单的理解为等保是标准或体系,风险评估是一种针对性的手段。信息安全风险评估培训36为什么需要进行风险评估?为什么需要进行风险评估?该买辣椒水呢还是请保镖?信息安全风险评估培训37什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安
13、全如何确保信息系统的安全?两个基本问题信息安全风险评估培训38什么样的信息系统才是安全的什么样的信息系统才是安全的?如何确保信息系统的安全如何确保信息系统的安全?风险分析风险分析风险管理风险管理基本问题的答案信息安全风险评估培训39潜在损失潜在损失在可以承受在可以承受范围范围之内的系统之内的系统风险分析风险分析安全决策安全决策风险管理风险管理两个答案的相关性信息安全风险评估培训40信息安全的演化信息安全风险评估培训41概念的演化和技术的演化同步信息安全风险评估培训42可信是保障概念的延续信息安全风险评估培训43信息安全的事实广泛广泛n安全是一个广泛的主题,它涉及到许多不同的区域(物理、网络、系
14、统、应用、管理等),每个区域都有其相关的风险、威胁及解决方法。动态动态相对相对n绝对的信息安全是不存在的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。人人n信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。n仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态
15、发展的过程。信息安全风险评估培训44 安全保障体系建设安全保障体系建设安安全全成本成本 效率效率 安全安全 - 效率曲线效率曲线 安全安全 - 成本曲线成本曲线要研究建设信息要研究建设信息安全的综合成本安全的综合成本与信息安全风险与信息安全风险之间的平衡,而之间的平衡,而不是要片面追求不是要片面追求不切实际的安全不切实际的安全不同的信息系统,不同的信息系统,对于安全的要求对于安全的要求不同,不是不同,不是“ 越安全越好越安全越好”信息安全风险评估培训45信息系统矛盾三角信息安全风险评估培训46三类操作系统举例信息安全风险评估培训47信息安全保障能力成长阶段盲目自信盲目自信阶段阶段认知阶段认知阶
16、段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月信息安全风险评估培训48能力成长阶段的划分 盲目自信阶段 普遍缺乏安全意识,对企业安全状况不了解,未意识到信息安全风险的严重性 认知阶段 通过信息安全风险评估等,企业意识到自身存在的信息安全风险,开始采取一些措施提升信息安全水平 改进阶段 意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况,开始进行全面的信息安全架构设计,有计划的建设信息安全保障体系 卓越运营阶段 信息安全改进项目完成后,在拥有较为全面的信息安全控制能力基础上,建立持续改进的机制,以应
17、对安全风险的变化,不断提升安全控制能力信息安全风险评估培训49各个阶段的主要工作任务盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月基本安全产品部署主要人员的培训教育建立安全团队制定安全方针政策评估并了解现状信息安全风险评估培训50各个阶段的主要工作任务盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月启动信息安全战略项目设计信息安全架构建立信息安全流程完成信
18、息安全改进项目信息安全风险评估培训51各个阶段的主要工作任务盲目自信盲目自信阶段阶段认知阶段认知阶段改进阶段改进阶段卓越运营卓越运营阶段阶段福布斯2000强企业在不同阶段的百分比分布来源:Gartner Inc. 2006年1月信息安全流程的持续改进追踪技术和业务的变化信息安全风险评估培训52怎么做风险评估?怎么做风险评估?评估到底买辣椒水还是请保镖更合适信息安全风险评估培训53可能的攻击可能的攻击信息的价值信息的价值可能的损失可能的损失风险评估简要版信息安全风险评估培训54资产资产弱点弱点影响影响弱点弱点威胁威胁可能性可能性+=当前的风险级别当前的风险级别风险分析方法示意图信息安全风险评估培
19、训55损失的量化必须围绕损失的量化必须围绕用户的用户的核心价值核心价值,用,用户的户的核心业务流程核心业务流程!如何量化损失信息安全风险评估培训56企 业 风 险 管 理企 业 风 险 管 理 ( E R M )信 用 风 险信 用 风 险市 场 风 险市 场 风 险运 营 风 险运 营 风 险IT 风 险风 险项 目 风 险项 目 风 险设 施 风 险设 施 风 险法 律 风 险法 律 风 险安 全安 全业 务 连 续 性业 务 连 续 性项 目项 目等 等等 等运 营 风 险 关 注运 营 风 险 关 注 :怎 么 做怎 么 做 ?核 心 风 险 关 注核 心 风 险 关 注 :做 什 么
20、做 什 么 ?内 部 欺 诈内 部 欺 诈外 部 欺 诈外 部 欺 诈产 品产 品交 付交 付客 户客 户物 理 资 产 的 损 失物 理 资 产 的 损 失工 作 场 所 安 全工 作 场 所 安 全业 务 行 为业 务 行 为员 工 行 为员 工 行 为风险管理趋势IT安全风险成为企业运营风险中最为重要的一个组成部分,业务连续性逐渐与安全并行考虑来源:来源:Gartner信息安全风险评估培训57否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险识别评估过程文档评估过
21、程文档风险评估结果记录评估结果文档 风险评估流程信息安全风险评估培训58等级保护下风险评估实施框架保护对象划分和定级保护对象划分和定级网络系统划分和定级网络系统划分和定级资产脆弱性威胁风险分析基本安全要求等级保护管理办法、指南信息安全政策、标准、法律法规安全需求风险列表安全规划风险评估信息安全风险评估培训59结合等保测评的风险评估流程信息安全风险评估培训6060606060信息安全风险评估培训6161616161评估组长评估组长评估员评估员XX公司安全专责公司安全专责p负责管理问卷访谈和运维负责管理问卷访谈和运维问卷访谈;问卷访谈;p组织评估活动,控制协调组织评估活动,控制协调进度,保证按计划
22、完成评估进度,保证按计划完成评估任务;任务;p组织召开评估会议;组织召开评估会议;p代表评估小组与受评估方代表评估小组与受评估方管理层接触;管理层接触;p组织撰写风险评估报告、组织撰写风险评估报告、现状报告和安全改进建议现状报告和安全改进建议p提交评估报告。提交评估报告。p 负责风险评估技术部分的内负责风险评估技术部分的内容包括:网络、主机系统、应容包括:网络、主机系统、应用和数据库评估用和数据库评估p 熟悉必要的文件和程序;熟悉必要的文件和程序;p准备风险评估技术评估工具;准备风险评估技术评估工具;p 撰写每单位的评估报告;撰写每单位的评估报告;p 配合支持评估组长的工作,配合支持评估组长的
展开阅读全文