企业信息安全风险评估方案知识域:信息安全风险评估•:•知识子域:风险评估流程和方法■掌握国家对开展风险评估工作的政策要求■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录-理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃国家对开展风险评估工作的政2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求K信息安全风险评估工作应当贯穿信息系统全生命周期。
在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。
3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。
当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。
4. 信息安全风险评估也是落实等级保护制度的重要手段,应通过信息安全风险评估为信息系统确定安全等级提供依据,根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。
K 信息安全风险评估工作敏感性强,涉及系统的关 键资产和核心信息,_旦处理不当”反而可能引入 新的风险”《意见》强调”必须高度重视信息安全 风险评估的组织管理工作2.为规避由于风险评估工作而引入新的安全风险,《意见》提出以下要求:1)参与信息安全风险评 估工作的单位及其有关人员必须遵守国家有关信息 安全的法律法规,并承担相应的责任和义务。
2) 风险评估工作的发起方必须采取相应保密措施”并 与参与评估的有关单位或人员签订具有法律约束力作必须遵循国家的有关规定逬行。
的保密协议。
3)对关系国计民生和社会稳定的基 础信息网络和重要信息系统的信息安全风险评估工3. 加快制定和完善信息安全风险评估有关技术标准>尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准,各行业主管部门也可根据本行业特点制定相应的技术规范。
4. 要加强信息安全风险评估核心技术.方法和工具的研究与攻关。
5. 要从抓试点开始,逐步探索组织实施和管理的经验,用三生左融在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络和信息系统安全保障能力,为保障和促进我国信息化发展服务。
2071号文件对电子政务提出歸:計卜■ ■■■3、为落实《国家电子政务工巽建设项目管理暂行办循雪尹韻晏圭辭电子政务工程建设项目应开展信息安全风险评估工作评值的主要内容应包含:资产.威胁.脆弱性■已有的安峑措施和残余风险的影响等项目建设单位应在试运行期间开展风险评估工作,作为项目验收的重要依据项目验收申请时,应提交信息安全风险评估报告系统投入运行后,应定期开展信息安全风险评估风险评估工作承担单位厂涉密系统非涉密系统、旨家保密局涉密言息系统安全保彗测评中心中国信息安全测评中心国家信息技术安全研究中心公安部信息安全等级保护中心险估业伍风评专队•:•发改委要求:_次测评工作”提交两个测评报告,即风险评估报告和等保测评报告•:•风险评估报告的格式由中国信息安全测评中心和国家信息技术安全研究中心牵头制定.基本格式参照原国信办检查评估的报告•等保测评报告的格式由等级保护的主管部门负责制定•:•等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评,其中等保测评是符合国家安全要求的测评,安全检查是符合行业主管安全要求的符合性测评。
•:•而风险评估是在国家、行业安全要求的基础上,以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。
风险评估实施流程■■■■肚喙豳偉+醐硕誥H細也一个简化的风险评估流程:准备(Readiness).识别计算(Calculation)、报告(Report)准备■资料审核■ SLA ■工作计划 ■组队风险评估准备工作准备工作中要注意的问题准备识别计算报告■■■■报告■整改建议 ■各类文档(Realization)、 计算■威胁概率 ■事件影响 ■风险定级产胁洞 别资威漏 识■■ ■■相亲:前期交流(成功案例简介、测评机构资质简介、被测系统大致规模、测评服务费用测算…)■订婚:服务水平协'议SLA (获取详细资料的前提,对方的授权、双方的义务,可和保密协议整合…)■甲方礼单:资料审核(明确系统范围、为现场测评制订问卷清单…)■乙方礼单:工作计划(案例分析综合组、管理组、网络组…)进场准备(进场通知,如对方或第三方人员;设备准备,如工具等,标识佩戴…)现场测评现场测评工作要注意的问题■首次会议(必须),听取对方高管的情况简介, 向被测单位有关人员说明此次任务、测评计划介绍、 双方测评人员的相互认识...■问询技巧(直接提问,如业务重要性;间接提问, 如安全 事件;反向提问,适合于所有方面)■资料核对(拓扑核对,管理体系文档,设计文档, 设备台账…)■现场检测(测试过程记录、抓屏、数据提取••) ■末次会议(必须),向对方高管简要总结现场测 评的初步结论,但切忌做最终结论■ ■■■■资产识别在整个风险评估中起什么作用?两点:是整个风险评估工作的起点和终点■资产识别的重点和难点是什么?一线:业务战略i信息化战略T系统特征(管理/技术)■资产识别的方法有哪些?资产分类:树状法。
自然形态分类(勾画资产树:管理、技术…逐步往下细化);信息形态分类(信息环境、信息载体、信息)20资产识别信息系统系统组件A依赖于B0?威胁识别识别■威胁识别的重点和难点是什么?三问:"敌人"在哪儿?效果如何?如何取证? ■威胁识别的方法有哪些?日志分析历史安全事件专家经验■■■■互联网信息检索威胁分类■人为故意威胁・威胁意图评估、威胁能力评估、操作限制评估、威 胁源特点评估 ■人为非故意威胁■判定威胁源、评估威胁源特点、评估威胁源环境、 评估事故发生时间 ■自然威胁地震、海啸、洪水。
■ ■■■■脆弱性识别与威胁识别是何关系?验证:以资产为对象,对威胁识别进行验证■脆弱性识别的难点是什么?三性:隐蔽性、欺骗性、复杂性■脆弱性识别的方法有哪些?脆弱性分类:管理脆弱性。
结构脆弱性(如安全域划分不当),操作脆弱性(如安全审计员业务生疏);技术脆弱性。
脆弱性识别内容♦考虑:-防护性措施-威慑性措施-预警性措施-检测性措施-应急处理性措施■ ■■❖GB/T 20984-2007《信息安全风险评估规范》给出信息安全风险分析思路风险值二R (A, T z V) = R(L(T, V)z F(la z Va ))o其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;I a表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。
定量分析与定性分析■ ■■■方法优点缺点定性2.3.4.5.简易的计算方式不必精确算出资产价值不需得到量化的威胁发生率非技术或非安全背景的员工也能轻易参与流程和报告形式比较有弹性1. 本质上是非常主观的2. 对关键资产的财务价值评估参考性较低3. 缺乏对风险降低的成本分析结果建立在独立客观的程序或量化风险计算方法复杂指标上 2.需要自动化工具及相当的基EI 疋車 2 •大部分的工作集中在制定资产价值和础知识减缓可能风险3 •主要目的是做成本效益的审核3. 投入大4. 个人难以执行•:•步骤1-评估资产:根据资产价值(AV产总价值及资产损失对财务的直接和间接影响•步骤2-确定单一预期损失SLESLE是指发生一次风险引起的收入损失总额。
SLE是分酉己给单个事件的金额,代表一个具体威胁利用漏洞时将面临的潜在损失。
(SLE类似于定性风险分析的影响。
)将资产价值与暴露系数相乘(EF)计算出SLE。
暴露系数表示为现实威胁对某个资产造成的损失百分比。
•:•步骤3 -确定年发生率AROARO是一年中风险发生的次数.■ ■■•:•步骤4-确定年预期损失ALE (财务价值*频率)ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。
SLE乘以ARO即可计算出该值o ALE类似于定量风险分析的相对级别。
♦步骤5-确定控制成本控制成本就是为了规避企业所存在风险的发生而应投入的费用.•:•步骤6-安全投资收益ROSI■(实施控制前的ALE)-(实施控制后的ALE)-(年控制成本)二ROSI后果或影响的定性量度(示例)可能性的定性量度(示例)■ ■■■风险分析矩阵一风险程度E:极度风险H:高风险M:中等风险L:低风险•根据预设的等级划分规则判定风险结果。
•:•依此类推,得到所有重要资产的风险值,并根据风险等级划分表,确定风险等级。
0?(1)计算安全事件发生可能性 威胁发生频率:威胁T21; 脆弱性严重程度:脆弱性V1二3。
安全事件发生可能性二脆弱性严重程度:脆弱性V1二3。
计算安全事件的损失,安全事件损失二 (3)计算风险值 安全事件发生可能性二2; 安全事件损失3安全事件风险值二风险值 1-5 6-10 11-15 16-20 21-25 风险等级12345V3xV12=6定性分析方法■相乘法■■■■(4)确走风险等级定性分析与定量分析。
-风险排名具有可见性,易于理解O* -更容易达成一致意见。
_无需量化威胁发生频率。
-无需确定资产的财务价值。
0 _更便于不是安全或计算机专家的人员参与。
◎-重要风险之间没有显著区别。
◎-因为没有成本效益分析,很难证明控制措施的投资是合理的。
•-结果取决于风险管理小组人员的主观判断。
方法优点。
按经济影响排列风险优先级;按经济价值排列资产价值。