脆 弱 性 管 理
ISO/IEC 15408 GB/T 18336
崔宝江
设计阶段 实施阶段 运维阶段
安全技术
北邮
信息安全中心
安全生命周期
信息安全管理标准体系
• BS7799和ISO17799
由英国标准协会BSI制定的信息安全管理体系标准，后发布为国际ISO标准
• GAO/AIMD 98-68和GAO/AIMD 99-139：
风险的定义
• 普通字典的解释
风险：遭受损害或损失的可能性
• AS/NZS 4360：澳大利亚/新西兰国家标准
风险：对目标产生影响的某种事件发生的机会。它可以用后果和可 能性来衡量。
• ISO/IEC TR 13335-1:1996
安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的 资产损失或损害的可能性。
北邮
信息安全中心
崔宝江
信息安全管理标准体现的原则
• 制定信息安全方针为信息安全管理提供导向和 支持 • 预防控制为主的思想原则 • 全员参与原则 • 动态管理原则 • 遵循管理的一般循环模式—PDCA持续改进模式 • 控制目标和控制方式的选择建立在风险评估基 础之上
北邮 信息安全中心 崔宝江
信息安全风险评估和风险管理
L
L
L
L
M：中等风险 北邮
M
M
L: 低风险
H
H
E
H
信息安全中心
崔宝江
定性的风险分析
风险的处理措施（示例）
E：极度风险---要求立即采取措施 H：高风险-----需要高级管理部门的注意 M：中等风险---必须规定管理责任
L: 低风险-----用日常程序处理
北邮
信息安全中心
崔宝江
定量的风险分析
定量分析：
北邮 信息安全中心 崔宝江
风险评估的目的
• 明确信息系统的安全现状，明晰安全需求 • 确定信息系统的主要安全风险，选择风险 处置措施 • 指导组织信息系统安全技术体系与管理体 系建设
北邮
信息安全中心
崔宝江
信息系统风险评估
• 一. • 二. • 三. • 四. • 五. • 六. 概述 风险评估内容和方法 风险评估实施过程 风险评估实践和案例 风险评估工具 小结
综合方法
北邮
信息安全中心
崔宝江
定性的风险分析
定性分析：

对后果和可能性进行分析 采用文字形式或叙述性的数值范围描述风险的影响 程度和可能性的大小（如高、中、低等）

分析的有效性取决于所用的数值精确度和完整性。
定性分析适用于：

初始的筛选活动，以鉴定出需要更仔细分析的风险


风险程度和经济上的考虑ห้องสมุดไป่ตู้
北邮 信息安全中心 崔宝江
风险的要素－威胁
• 威胁是可能导致信息安全事故和组织信息资产损 失的活动，威胁是利用脆弱性来造成后果 • 威胁举例
自然威胁：洪水、地震、飓风、泥石流、雪崩、电风 暴及其他类似事件。 人为威胁：由人激发或引发的事件，例如无意识行为 （粗心的数据录入）或故意行为（网络攻击、恶意软 件上传、对秘密信息的未授权访问） 环境威胁：长时间电力故障、污染、化学、液体泄漏 等。
• 风险处理
修改风险手段的选择和实施的处理过程
北邮 信息安全中心 崔宝江
信息安全风险评估
对信息系统及由其处理、传输和存储的信息的 保密性、完整性和可用性等安全属性进行科学 识别和评价的过程。 评估信息系统的脆弱性、信息系统面临的威胁 以及脆弱性被威胁源利用后所产生的实际负面 影响
北邮
信息安全中心
数据不足以进行定量分析的情况
北邮
信息安全中心
崔宝江
定性的风险分析
风险分析矩阵—风险程度
后果 可能性 A（几乎肯定） B （很可能） C ( 可能） 可以忽略 1 H M L 较小 2 H H M 中等 3 E H H 较大 4 E E E 灾难性 5 E E E
D（不太可能）
E （罕见）
E：极度风险 H：高风险
崔宝江
资产、威胁和脆弱性对应关系
资产 威胁A 来源A1 脆弱点A1 脆弱点A2
来源A2 。。。。。。 。。。。。。
威胁B 来源B1
脆弱点B1
脆弱点B2 来源B2 。。。。。。 。。。。。。
北邮
信息安全中心
崔宝江
每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点
北邮
信息安全中心
崔宝江
风险评估方法概述
风险分析方法

目前并没有使用所谓正确或错误的方法 重要的是选择使用一个适合本组织的方法 许多方法都会使用表格并结合主观和经验判断 同一组织内，也可以根据不同等级的风险，运用 不同的风险分析方法 对信息安全的评估很难量化
北邮 信息安全中心 崔宝江

风险评估方法概述
定性分析
定量分析
美国审计总署GAO发布的信息安全管理实施指南和信息安全风险评估指南
• NIST SP800-30
美国国家标准和技术学会NIST的信息技术实验室ITL发布的IT系统风险管理指南
• OCTAVE
卡耐基梅隆大学软件工程研究所CMU/SEI创建的可操作的关键威胁、资产和弱点 评估方法和流程
• SSE-CMM
风险管理必要性
企事业单位对信息系统依赖性增强 安全威胁和风险无处不在 组织自身业务的需要
客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求
法律法规的要求
计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护
崔宝江
风险评估解决的问题
要保护的对象（或资产）是什么？它的直接和 间接价值如何？ 资产面临那些潜在威胁？导致威胁的问题何在？ 威胁发生的可能性有多大？ 资产中存在哪些脆弱点可能被利用？利用的难 易程度如何？ 安全事件发生，组织会遭受怎样的损失或面临 怎样的负面影响？ 组织应采取怎样的安全措施来有效控制风险？
• 信息安全领域
信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的 可能性。 信息安全风险只考虑那些对组织有负面影响的事件。
北邮 信息安全中心 崔宝江
网络中存在的安全威胁
特洛伊木马
黑客攻击 后门、隐蔽通道
计算机病毒
网络
信息丢失、 篡改、销毁 拒绝服务攻击
逻辑炸弹
蠕虫
北邮
内部、外部泄密 信息安全中心 崔宝江
使得机构能够准确“定位”风险管理的策略、实践和工具
能够将安全活动的重点放在重要的问题上
能够选择成本效益合理的和适用的安全对策
北邮
信息安全中心
崔宝江
信息安全风险评估和风险管理
• 风险评估－确定安全风险及其大小的过程
风险分析
系统地使用信息以识别起源并估计风险
风险评价
将评估的风险与给的风险原则进行比较以决定重大 风险的过程
美国国家安全局NSA等启动的信息安全工程能力成熟度模型
• AS/NZS4360 澳大利亚和新西兰发布的风险管理指南 • COBIT 美国信息系统审计和控制委员会ISACA的信息系统和技术控制目标 北邮 信息安全中心 崔宝江
信息安全管理标准概述
GB 18336 idt ISO/IEC 15408 信息技术安全性评估准则 IATF 信息保障技术框架 技术准则 （信息技术系统评估准则）
信息系统风险评估
北京邮电大学信息安全中心 主讲人：崔宝江 博士
cuibj@
2006年4月
北邮 信息安全中心 崔宝江
信息系统风险评估
• 一. • 二. • 三. • 四. • 五. • 六. 概述 风险评估内容和方法 风险评估实施过程 风险评估实践和案例 风险评估工具 小结
北邮 信息安全中心 崔宝江
• 风险评估是风险管理的第一步
安全需求 保 护 措 施 BS7799 控制目标 由…实现 选择安全措施
北邮
提出/确定
安全问题 （风险评估） 保 护 措 施 BS7799控制措 施
信息安全中心
崔宝江
信息安全风险评估和风险管理
风险评估是信息安全管理体系和信息安全风险管理的 基础 信息安全风险管理要依靠风险评估的结果来确定随后 的风险控制和审核批准活动
•资产是任何对组织有价值的东西 •资产的分类
软件：基础应用软件（如数据库软件）、操作系统 硬件设施：主机、路由器、防火墙、交换机等 实体信息：合同、传真、电报、财务报告、企业发展计划，磁带， 光盘打印机、复印机等 人员：包括各级安全组织，安全人员、各级管理人员，网管员，系 统管理员，业务操作人员，第三方人员等 电子数据：所有通过网络能访问到的数据 服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照 明等 其他：公司形象、公司信誉和客户关系
北邮
信息安全中心
崔宝江
定性分析与定量分析的比较
定性风险分析的优点
1. 简易的计算方式 2. 不必精确算出资产价值
3. 不需得到量化的威胁发生率
4. 非技术或非安全背景的员工也能轻易参与 5. 流程和报告形式比较有弹性 定性风险分析的缺点 1. 本质上是非常主观的 2. 对关键资产的财务价值评估参考性较低 3. 缺乏对风险降低的成本分析

对后果和可能性进行分析 采用量化的数值描述后果（估计出可能损失的金额） 和可能性（概率或频率） 分析的有效性取决于所用的数值精确度和完整性。

定量分析适用于：


当部分的公司资产已具有量化的价值
利用财务的手法算出风险造成的财务损失 再根据损失的大小决定风险等级
北邮 信息安全中心 崔宝江
定量的风险分析