信息安全管理(第四章-信息安全风险评估)课件.ppt

1、LOGO第四章第四章 信息安全风险评估信息安全风险评估信息安全管理LOGO本讲内容本讲内容信息安全风险评估策略信息安全风险评估策略1235信息安全风险评估过程信息安全风险评估过程典型的风险分析方法典型的风险分析方法3445风险评估实例报告风险评估实例报告数据采集方法与评价工具数据采集方法与评价工具LOGO信息安全风险评估策略信息安全风险评估策略 风险评估风险评估（也称风险分析）是风险管理的基（也称风险分析）是风险管理的基础，是组织确定信息安全要求的途径之一，属于础，是组织确定信息安全要求的途径之一，属于组织信息安全管理体系策划的过程。组织信息安全管理体系策划的过程。常见的风险评估方法策略有三种

2、：常见的风险评估方法策略有三种：基线风险评估基线风险评估 详细风险评估详细风险评估 综合风险评估综合风险评估LOGO信息安全风险评估策略信息安全风险评估策略v 基线风险评估基线风险评估基线评估的基线评估的优点优点是：是：只需要最少只需要最少 数量的资源，并且在选择防护措数量的资源，并且在选择防护措施时花费更少的时间和努力施时花费更少的时间和努力 可以采用相同或相似的基线防护措施而不需要可以采用相同或相似的基线防护措施而不需要太多的努力太多的努力基线评估的的基线评估的的缺点缺点是：是：基线水平难以设置基线水平难以设置 风险评估不全面、不透彻，且不易处理变更风险评估不全面、不透彻，且不易处理变更L

3、OGO信息安全风险评估策略信息安全风险评估策略v详细风险评估详细风险评估详细评估的详细评估的优点优点是：是：有可能为所有系统识别出适当的安全措施有可能为所有系统识别出适当的安全措施 详细分析的结果可用于安全变更管理详细分析的结果可用于安全变更管理详细评估的详细评估的缺点缺点是是：需要更多的时间需要更多的时间、努力和专业知识、努力和专业知识LOGO信息安全风险评估策略信息安全风险评估策略v综合风险评估综合风险评估 基线风险评估基线风险评估耗费资源少、周期短、操作简耗费资源少、周期短、操作简单，但不够准确，单，但不够准确，适合一般环境的评估；详细风适合一般环境的评估；详细风险评估准确而细致，但耗费

4、资源较多，适合严格险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。限定边界的较小范围内的评估。/IEC 13335-3/IEC 13335-3提出了综合风险评估框架，其实施提出了综合风险评估框架，其实施流程如图流程如图4-14-1所示。所示。LOGO信息安全风险评估策略信息安全风险评估策略 LOGO信息安全风险评估策略信息安全风险评估策略 综合评估将基线和详细风险评估的优势结合综合评估将基线和详细风险评估的优势结合起来起来，既节省了评估所耗费的资源，又能确保获，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源得一个全面系统的评估结果，而且，组

5、织的资源和资金能够应用到最能发挥作用的地方，具有高和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。风险的信息系统能够被预先关注。v风险评估流程概述风险评估流程概述 当前在国内各行业都比较认可的信息安全风险当前在国内各行业都比较认可的信息安全风险 评估流程如下。评估流程如下。LOGO信息安全风险评估过程信息安全风险评估过程 LOGO信息安全风险评估过程信息安全风险评估过程 v风险评估的准备风险评估的准备 风险风险评估的准备是整个风险评估过程有效性评估的准备是整个风险评估过程有效性的保证。其工作主要包括：的保证。其工作主要包括：确定确定风险评估目标风险评估目标 确定确定风险

6、评估的对象和范围风险评估的对象和范围 组建组建团队团队 选择选择方法方法 获得获得支持支持 准备准备相关的评估工具相关的评估工具LOGO信息安全风险评估过程信息安全风险评估过程 v资产识别与评估资产识别与评估资产资产识别识别 资产资产是指对组织具有价值的信息资源。资产识是指对组织具有价值的信息资源。资产识别是风险识别的必要环节。别是风险识别的必要环节。资产资产识别的任务就是对确定的评估对象所涉及识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识，由于它以多种或包含的资产进行详细的标识，由于它以多种形式存在，有无形的、有形的。形式存在，有无形的、有形的。资产资产识别的方法主要有访谈、

7、现场调查、问卷识别的方法主要有访谈、现场调查、问卷、文档查阅等。、文档查阅等。LOGO信息安全风险评估过程信息安全风险评估过程 资产评估资产评估 资产的评价是对资产的价值或重要程度进行评资产的评价是对资产的价值或重要程度进行评估估，资产本身的货币价值是资产价值的体现，资产本身的货币价值是资产价值的体现，但更重要的是资产对组织关键业务的顺利开展但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。乃至组织目标实现的重要程度。通常通常信息资产的机密性、完整性、可用性、可信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的安全属性审计性和不可抵赖性等是评价资产的安全属性

8、。表表4-14-1、表、表4-24-2、表、表4-34-3分别给出了机密性、完分别给出了机密性、完整性、可用性参考赋值表。整性、可用性参考赋值表。LOGO信息安全风险评估过程信息安全风险评估过程 LOGO信息安全风险评估过程信息安全风险评估过程 LOGO信息安全风险评估过程信息安全风险评估过程LOGO信息安全风险评估过程信息安全风险评估过程 v威胁识别与评估威胁识别与评估 威胁威胁识别识别 从从威胁源角度，威胁可分为：自然威胁、环威胁源角度，威胁可分为：自然威胁、环境威胁、系统威胁、外部人员威胁、内部人员威境威胁、系统威胁、外部人员威胁、内部人员威胁。威胁配置文件包括胁。威胁配置文件包括5 5

9、个属性，分别是：资产个属性，分别是：资产（assertassert）、访问（）、访问（accessaccess）、主体（）、主体（actoractor）、动机（、动机（motivemotive）、后果（）、后果（outcomeoutcome）。）。LOGO信息安全风险评估过程信息安全风险评估过程 威胁评估威胁评估LOGO信息安全风险评估过程信息安全风险评估过程 v脆弱点识别与评估脆弱点识别与评估 脆弱点识别脆弱点识别LOGO信息安全风险评估过程信息安全风险评估过程 脆弱点识别所采用的方法主要有：问卷调查、脆弱点识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。工具检

10、测、人工核查、文档查阅、渗透性测试等。脆弱点评估脆弱点评估 我国的我国的信息安全风险评估指南将脆弱点严信息安全风险评估指南将脆弱点严重程度的等级划分为五级，分别代表资产脆弱重程度的等级划分为五级，分别代表资产脆弱点严重程度的高低。等级数值越大，脆弱点严点严重程度的高低。等级数值越大，脆弱点严重程度越高。如表重程度越高。如表4-64-6所示。所示。LOGO信息安全风险评估过程信息安全风险评估过程 LOGO信息安全风险评估过程信息安全风险评估过程 v已有安全措施的确认已有安全措施的确认 安全措施安全措施可以分为预防性安全措施和保护性安可以分为预防性安全措施和保护性安全措施两种。全措施两种。该该步骤

11、的主要任务是，对当前信息系统所采用步骤的主要任务是，对当前信息系统所采用的安全措施进行标识，并对其预期功能、有效的安全措施进行标识，并对其预期功能、有效性进行分析。性进行分析。LOGO信息安全风险评估过程信息安全风险评估过程v 风险分析风险分析 风险分析就是利用资产、威胁、脆弱点识别风险分析就是利用资产、威胁、脆弱点识别与评估结果以及已有安全措施的确认与分析结果，与评估结果以及已有安全措施的确认与分析结果，对资产面临的风险进行分析对资产面临的风险进行分析。风险计算风险计算 影响影响分析分析 LOGO信息安全风险评估过程信息安全风险评估过程v 可能性分析可能性分析 安全措施的效总体说来，安全事件

12、发生的可安全措施的效总体说来，安全事件发生的可能性的因素有：资产吸引力、威胁出现的可能性、能性的因素有：资产吸引力、威胁出现的可能性、脆弱点的属性、能等。脆弱点的属性、能等。根据威胁源的分类，引起安全事件发生的原根据威胁源的分类，引起安全事件发生的原因可能是自然灾害、环境及系统威胁、人员无意因可能是自然灾害、环境及系统威胁、人员无意行为、人员故意行为等。不同类型的安全事件，行为、人员故意行为等。不同类型的安全事件，其可能性影响因素也有点不同。其可能性影响因素也有点不同。LOGO信息安全风险评估过程v安全措施的选取安全措施的选取 风险评估的目的不仅是获取组织面临的有关风险评估的目的不仅是获取组织

13、面临的有关风险信息，更重要的是采取适当的措施将安全风风险信息，更重要的是采取适当的措施将安全风险控制在可接受的范围内险控制在可接受的范围内。v风险评估文件记录风险评估文件记录 风险评估文件包括在整个风险评估过程中产风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，这些文档包生的评估过程文档和评估结果文档，这些文档包括：风险评估计划括：风险评估计划，风险评估程序，资产识别清，风险评估程序，资产识别清单，重要资产清单，威胁列表，脆弱点列表，已单，重要资产清单，威胁列表，脆弱点列表，已有安全措施确认表，风险评估报告，风险处理计有安全措施确认表，风险评估报告，风险处理计划，风险评估

14、记录。划，风险评估记录。LOGO典型的风险分析方法v故障树分析故障树分析 故障树分析是一种故障树分析是一种top-down方法，通过对可能方法，通过对可能造成系统故障的硬件、软件、环境、人为因素进行造成系统故障的硬件、软件、环境、人为因素进行分析，画出故障原因的各种可能组合方式和分析，画出故障原因的各种可能组合方式和/或其发或其发生概率，由总体至部分，按树状结构，逐层细化的生概率，由总体至部分，按树状结构，逐层细化的一种分析方法。一种分析方法。故障树分析法具有如下特点：灵活性，图形演故障树分析法具有如下特点：灵活性，图形演绎，通过故障树可以定量地计算复杂系统的故障概绎，通过故障树可以定量地计算

15、复杂系统的故障概率及其他可靠性参数，为改善和评估系统可靠性提率及其他可靠性参数，为改善和评估系统可靠性提供定量数据。供定量数据。LOGO典型的风险分析方法故障树分析的过程简述如下：故障树分析的过程简述如下：建造故障树建造故障树 求出故障树的全部最小割集求出故障树的全部最小割集 计算顶事件的发生概率计算顶事件的发生概率 重要度的计算重要度的计算 排列出各风险事件（顶事件）的顺序排列出各风险事件（顶事件）的顺序LOGO典型的风险分析方法v故障模式影响及危害性分析故障模式影响及危害性分析 故障模式影响分析是分析系统中每一产品所有故障模式影响分析是分析系统中每一产品所有可能产生的故障模式及其对系统造成

16、的所有可能影可能产生的故障模式及其对系统造成的所有可能影响，并按每一个故障模式的严重程度、检测难易程响，并按每一个故障模式的严重程度、检测难易程度以及发生频度予以分类的一种归纳分析方法。度以及发生频度予以分类的一种归纳分析方法。FMECA的基本步骤是：的基本步骤是：系统分解系统分解，建立层次结构模型，建立层次结构模型 构造构造判断矩阵判断矩阵 通过通过单层次计算进行安全性判断单层次计算进行安全性判断 层次层次总排序，完成综合判断总排序，完成综合判断LOGO典型的风险分析方法模糊综合评价法模糊综合评价法 评价过程描述如下：评价过程描述如下：建立系统评价指标体系建立系统评价指标体系确定因素集确定因

17、素集确定模糊权重集确定模糊权重集确定评价集确定评价集建立模糊评价矩阵建立模糊评价矩阵计算综合评价结果计算综合评价结果给出评价报告给出评价报告 常用的评价原则有：最大隶属度原则常用的评价原则有：最大隶属度原则,最小代价原最小代价原则，置信度原则，评分原则等。则，置信度原则，评分原则等。LOGO典型的风险分析方法德尔斐法德尔斐法 德尔斐法是一种定性预测方法，通过背对背群体德尔斐法是一种定性预测方法，通过背对背群体决策咨询的方法，群体成员各自独立工作，然后以决策咨询的方法，群体成员各自独立工作，然后以系统的、独立的方式综合他们的判断，克服了为某系统的、独立的方式综合他们的判断，克服了为某些权威所左右

18、的缺点，减少调查对象的心理压力，些权威所左右的缺点，减少调查对象的心理压力，使预测的可靠性增加。使预测的可靠性增加。层次分析法层次分析法 层次分析法是一种定性与定量相结合的多目标决层次分析法是一种定性与定量相结合的多目标决策分析方法。策分析方法。LOGO典型的风险分析方法 层次分析法的决策过程如下：层次分析法的决策过程如下：层次分析法建立的层次模型如图层次分析法建立的层次模型如图4-64-6所示，层次模所示，层次模型至少包含三层。型至少包含三层。图4-6 层次结构模型LOGO典型的风险分析方法 构建两两比较判断矩阵构建两两比较判断矩阵 计算单个判断矩阵对应的权重向量计算单个判断矩阵对应的权重向

19、量 计算各层元素对目标层的合成权重向量计算各层元素对目标层的合成权重向量事件树分析法事件树分析法 事件树分析是风险分析的一种重要方法。它是在事件树分析是风险分析的一种重要方法。它是在给定系统事件的情况下，分析此事件可能导致的各给定系统事件的情况下，分析此事件可能导致的各种事件的一系列结果。种事件的一系列结果。原因后果分析原因后果分析 原因原因-后果分析实际上是故障树分析（后果分析实际上是故障树分析（FTA）和）和事件树分析（事件树分析（ETA）的混合。）的混合。LOGO典型的风险分析方法 概率风险评估和动态风险概率评估概率风险评估和动态风险概率评估 该风险分析方法以事件树和故障树为核心的分析该

20、风险分析方法以事件树和故障树为核心的分析方法。其分析步骤如下：方法。其分析步骤如下：识别系统中存在的事件，找出风险源识别系统中存在的事件，找出风险源 对各风险源考察其在系统安全中的地位，及相互对各风险源考察其在系统安全中的地位，及相互逻逻辑关系，给出系统的风险源树辑关系，给出系统的风险源树 标识各风险源后果大小及风险概率标识各风险源后果大小及风险概率 对风险源通过逻辑及数学方法进行组合，最后得对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量到系统风险的度量LOGO典型的风险分析方法vOCTAVEOCTAVE模型模型 它的实施分为三个阶段：它的实施分为三个阶段：建立建立基于资产的威胁配

21、置文件（基于资产的威胁配置文件（Threat ProfileThreat Profile）标识标识基础结构的弱点基础结构的弱点 开发开发安全策略和计划安全策略和计划LOGO数据采集方法与评价工具v风险分析数据的采集方法风险分析数据的采集方法 风险评估过程中，可以利用一些辅助性的工具和方风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：法来采集数据，包括：调查问卷调查问卷 检查列表检查列表 人员访谈人员访谈 文档检查文档检查 漏洞扫描器漏洞扫描器 渗透测试渗透测试LOGO数据采集方法与评价工具v风险评价工具风险评价工具SAFESuiteSAFESuite套件套件KaneSecurityAnalystKaneSecurityAnalystWebTrendsSecurityAnalyzerWebTrendsSecurityAnalyzerCOBRACOBRACRAMMCRAMMASSETASSETCORACORALOGO风险评估实例报告风险评估实例报告v风险评估实例报告风险评估实例报告