安全风险评估讲解.pptVIP

信息系统风险评估 北京邮电大学信息安全中心 主讲人：崔宝江 博士 cuibj@bupt.edu.cn 2006年4月 信息系统风险评估 一. 概述 二. 风险评估内容和方法 三. 风险评估实施过程 四. 风险评估实践和案例 五. 风险评估工具 六. 小结 风险的定义 普通字典的解释 风险：遭受损害或损失的可能性 AS/NZS 4360：澳大利亚/新西兰国家标准 风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。 ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。 信息安全领域 信息安全风险是指信息资产的必威体育官网网址性、完整性和可用性遭到破坏的可能性。 信息安全风险只考虑那些对组织有负面影响的事件。 网络中存在的安全威胁 风险管理必要性 企事业单位对信息系统依赖性增强 安全威胁和风险无处不在 组织自身业务的需要 客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求 法律法规的要求 计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护 风险评估和管理的安全标准体系 信息安全管理标准体系 BS7799和ISO17799 由英国标准协会BSI制定的信息安全管理体系标准，后发布为国际ISO标准 GAO/AIMD 98-68和GAO/AIMD 99-139： 美国审计总署GAO发布的信息安全管理实施指南和信息安全风险评估指南 NIST SP800-30 美国国家标准和技术学会NIST的信息技术实验室ITL发布的IT系统风险管理指南 OCTAVE 卡耐基梅隆大学软件工程研究所CMU/SEI创建的可操作的关键威胁、资产和弱点评估方法和流程 SSE-CMM 美国国家安全局NSA等启动的信息安全工程能力成熟度模型 AS/NZS4360 澳大利亚和新西兰发布的风险管理指南 COBIT 美国信息系统审计和控制委员会ISACA的信息系统和技术控制目标 信息安全管理标准概述 信息安全管理标准体现的原则 制定信息安全方针为信息安全管理提供导向和支持 预防控制为主的思想原则 全员参与原则 动态管理原则 遵循管理的一般循环模式—PDCA持续改进模式 控制目标和控制方式的选择建立在风险评估基础之上 信息安全风险评估和风险管理 风险评估是风险管理的第一步 信息安全风险评估和风险管理 风险评估是信息安全管理体系和信息安全风险管理的基础 信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动 使得机构能够准确“定位”风险管理的策略、实践和工具 能够将安全活动的重点放在重要的问题上 能够选择成本效益合理的和适用的安全对策 信息安全风险评估和风险管理 风险评估－确定安全风险及其大小的过程 风险分析 系统地使用信息以识别起源并估计风险 风险评价 将评估的风险与给的风险原则进行比较以决定重大风险的过程 风险处理 修改风险手段的选择和实施的处理过程 信息安全风险评估 对信息系统及由其处理、传输和存储的信息的必威体育官网网址性、完整性和可用性等安全属性进行科学识别和评价的过程。 评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响 风险评估解决的问题 要保护的对象（或资产）是什么？它的直接和间接价值如何？ 资产面临那些潜在威胁？导致威胁的问题何在？威胁发生的可能性有多大？ 资产中存在哪些脆弱点可能被利用？利用的难易程度如何？ 安全事件发生，组织会遭受怎样的损失或面临怎样的负面影响？ 组织应采取怎样的安全措施来有效控制风险？ 风险评估的目的 明确信息系统的安全现状，明晰安全需求 确定信息系统的主要安全风险，选择风险处置措施 指导组织信息系统安全技术体系与管理体系建设 信息系统风险评估 一. 概述 二. 风险评估内容和方法 三. 风险评估实施过程 四. 风险评估实践和案例 五. 风险评估工具 六. 小结 风险评估的历史 信息基础设施的评估阶段 薄弱点评估 渗透性评估 风险评估标准体系阶段 从操作系统、网络发展到整个管理体系 解决信息安全问题重点在于预防 风险的要素 资产及其价值 威胁 脆弱性 现有的和计划的控制措施(对策) 风险要素之间的关系 风险要素之间的关系 风险的要素－资产 资产是任何对组织有价值的东西 资产的分类 软件：基础应用软件（如数据库软件）、操作系统 硬件设施：主机、路由器、防火墙、交换机等 实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等 人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等 电子数据：所有通过网络能访问到的数据 服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等