信息安全风险管理知识点标注版课件.ppt

1、1信息安全风险管理信息安全风险管理2课程内容课程内容知识体知识域知识子域信息安全信息安全风险管理风险管理信息安全风险信息安全风险管理主要内容管理主要内容信息安全风险管理的基本内容和过程信息安全风险管理的基本内容和过程信息安全风险管理概述信息安全风险管理概述风险相关基本概念风险相关基本概念信息系统生命周期与信息安全风险管理信息系统生命周期与信息安全风险管理信息安全风险信息安全风险管理基础管理基础信息安全风险相关政策与标准信息安全风险相关政策与标准信息安全风险信息安全风险评估评估风险评估工作形式风险评估工作形式风险评估方法风险评估方法风险评估的实施流程风险评估的实施流程风险评估工具风险评估工具23

2、知识域：信息安全风险管理基础知识域：信息安全风险管理基础知识子域：知识子域：风险相关基础概念风险相关基础概念v 理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念v 理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风险评估的概念v 理解风险相关要素之间的关系34v风险风险，指事态的概率及其结果的组合（GB/Z 24364-2009信息安全风险管理指南）v信息安全风险信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（GB/T 20984-2007信息安全风险评估规范）v信

3、息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性风险、信息安全风险的概念风险、信息安全风险的概念45v风险的构成包括五个方面：起源（威胁源）、方式风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）后果（影响）风险的构成风险的构成56风险相关术语风险相关术语 资产（Asset）威胁（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）业务战略 安全事件 安全需

4、求 风险准则 风险评估 风险处理 风险管理 残余风险（Residental Risk）信息安全风险评估67资产资产v资产任何对组织有价值的东西，是要保护的对象v资产以多种形式存在（多种分类方法）物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）静态的（如设施和规程等）和动态的（如人员和过程等）技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计

5、划和人员等）等78威胁威胁v可能导致对系统或组织危害的不希望事故潜在起因v引起风险的外因v威胁源采取恰当的威胁方式才可能引发风险v威胁举例 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密钥分析 漏洞利用 拒绝服务 窃取数据 物理破坏 社会工程9脆弱性脆弱性v可能被威胁所利用的资产或若干资产的薄弱环节v造成风险的内因v脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害v脆弱性举例 系统程序代码缺陷 系统设备安全配置错误 系统操作流程有缺陷 维护人员安全意识不足10可能性可能性v某件事发生的机会v威胁源利用脆弱性造成不良后果的机会v举

6、例 脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会很小 系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的机会较小 互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大11对风险概念的理解对风险概念的理解v威胁源采用某种威胁方式利用脆弱性造成对资产不良后果的严重性 网站存在SQL注入漏洞，普通攻击者普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉威胁源威胁方式脆弱性风险采取利用造成12对信息安全风险的理解对信息安全风险的理解v信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相关资产损失或损害的可能性v信息安全

7、风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性v信息安全风险只考虑那些对组织有负面影响的事件13信息安全风险评估信息安全风险评估v是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程v它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响14风险处理、风险管理风险处理、风险管理v风险处理是选择并且执行措施来更改风险的过程v风险管理是识别、控制、消除或最小化可能影响系统资源不确定因素的过程1415安全措施安全措施/控制措施控制措施v保护资产，抵

8、御威胁，减少脆弱性，降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制，它是管理风险的具体手段和方法v根据安全需求部署，用来防范威胁，降低风险的措施v举例 部署防火墙、入侵检测、审计系统 测试环节 操作审批环节 应急体系 终端U盘管理制度1516残余风险残余风险v采取安全措施后，信息系统仍然可能存在的风险v有些残余风险是在综合考虑了安全成本与效益后不去控制的风险v残余风险应受到密切监视，它可能会在将来诱发新的安全事件v举例 风险列表中有10项风险，根据风险成本效益分析，只有前8项需要控制，则前8项处理后剩余的风险加上另2项风险为残余风险，一段时间内系统处于风险可接受水平1617风

9、险相关要素之间的关系风险相关要素之间的关系1718知识域：信息安全风险管理基础知识域：信息安全风险管理基础知识子域：知识子域：信息安全风险管理概述信息安全风险管理概述v 理解实施风险管理的主要原则v 理解风险管理的范围和对象1819实施风险管理的主要原则实施风险管理的主要原则v风险管理创造和保护价值v风险管理是所有组织过程不可分割的一个部分，促进组织的持续改进v风险管理是透明的，参与人员应包含广泛，同时考虑人员和文化因素v风险管理是定制的，并具有体系化、结构化的特点v风险管理是动态的、反复的和响应变化的20风险管理的范围和对象风险管理的范围和对象v信息安全的概念涵盖了信息、信息载体和信息环境三

10、个方面的安全 信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体，如纸张、硬盘、网线等 信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境v信息安全风险管理涉及信息安全上述三个方面包含的所有相关对象v对于一个具体的信息系统，风险管理选择的范围和对象重点应有所不同2021知识域：信息安全风险管理基础知识域：信息安全风险管理基础知识子域：知识子域：信息安全风险相关政策与标准信息安全风险相关政策与标准v 了解我国有关信息安全风险管理的政策要求v 了解信息安全风险管理相关的国内外标准2122我国有关信息安全风险管理的政策要求我国有关信息安全风险

11、管理的政策要求v国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确提出要重视信息安全风险评估工作，将风险评估作为提高我国信息安全保障水平的一项重要举措v关于开展信息安全风险评估工作的意见（国信办20065号），就信息安全风险评估工作的基本内容和原则，以及开展信息安全风险评估工作的有关安排等做出规定和部署v关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号），规范了国家电子政务工程建设项目信息安全风险评估工作23关于开展信息安全风险评估工作的意见关于开展信息安全风险评估工作的意见 （国信办（国信办2006520065号）的实施要求号）

12、的实施要求v信息安全风险评估工作应当贯穿信息系统全生命周期。规划设计阶段、验收时均应实施风险评估；运行后应定期实施v应通过信息安全风险评估为信息系统确定安全等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求2324关于开展信息安全风险评估工作的意见关于开展信息安全风险评估工作的意见（国信办（国信办2006520065号）的管理要求号）的管理要求v为规避由于风险评估工作而引入新的安全风险，必须高度重视信息安全风险评估的组织管理工作。要求：参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务风险评估工作的发起方必须采取

13、相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行 2425关于加强国家电子政务工程建设项目信息安全风关于加强国家电子政务工程建设项目信息安全风险评估工作的通知险评估工作的通知（发改高技发改高技【20082008】20712071号）号）v电子政务工程建设项目应开展信息安全风险评估工作v项目建设单位应在试运行期间开展风险评估工作，作为项目验收的重要依据v项目验收申请时，应提交信息安全风险评估报告v系统投入运行后，应定期开展信息安全风险评估2526信息安全风险管理相关的国内外标

14、准信息安全风险管理相关的国内外标准v GB/T 20984-2007信息安全风险评估规范v GB/Z 24364-2009信息安全风险管理指南v ISO/IEC 27005:2011信息安全风险管理v ISO GUIDE 73:2009风险管理术语v ISO 31000:2009风险管理主要原则和指南v IEC/ISO 31010:2009风险管理风险评估技术v NIST SP800-30(2012)实施风险评估指南v NIST SP800-39(2011)管理信息安全风险：组织、使命和信息系统梗概v NIST SP800-37(2010)联邦信息系统应用风险管理框架指南：安全生命周期方法v

15、NIST SP800-53(2010)为联邦信息系统和组织推荐的安全控制措施v NIST SP800-53A(2010)联邦信息系统和组织安全控制措施评估指南：建立有效的安全评估计划27知识域：信息安全风险管理主要内容知识域：信息安全风险管理主要内容知识子域：知识子域：信息安全风险管理的基本内容和过程信息安全风险管理的基本内容和过程v 理解背景建立的主要工作内容v 理解风险评估的主要工作内容v 理解风险处理的主要工作内容v 理解批准监督的主要工作内容v 理解监控审查的主要工作内容v 理解沟通咨询的主要工作内容2728信息安全风险管理工作内容信息安全风险管理工作内容背景背景建立建立风险评估风险评

16、估风险处理风险处理批准监督批准监督监监控控审审查查沟沟通通咨咨询询v GB/Z 24364信息安全风险管理指南：四个阶段，两个贯穿 29背景建立背景建立v背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析 风险管理准备：确定对象、组建团队、制定计划、获得支持 信息系统调查：信息系统的业务目标、技术和管理上的特点 信息系统分析：信息系统的体系结构、关键要素 信息安全分析：分析安全要求、分析安全环境30背景建立过程背景建立过程31风险评估风险评估v信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动 风险评估准备：制定

17、风险评估方案、选择评估方法 风险要素识别：发现系统存在的威胁、脆弱性和控制措施 风险分析：判断风险发生的可能性和影响的程度 风险结果判定：综合分析结果判定风险等级32风险评估过程风险评估过程3233风险处理风险处理v风险处理是为了将风险始终控制在可接受的范围内。现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以 处理目标确认：不可接受的风险需要控制到怎样的程度 处理措施选择：选择风险处理方式，确定风险控制措施 处理措施实施：制定具体安全方案，部署控制措施34风险处理过程风险处理过程35v减低风险v转移风险v规避风险v接受风险常用的四类风险处置方法常用的四类风险处置方法36减低风险减低风险

18、v通过对面临风险的资产采取保护措施来降低风险 v首先应当考虑的风险处置措施，通常在安全投入小于负面影响价值的情况下采用v保护措施可以从构成风险的五个方面（即威胁源、威胁行为、脆弱性、资产和影响）来降低风险3637减低风险的具体办法减低风险的具体办法v减少威胁源 采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机v减低威胁能力 采取身份认证措施，从而抵制身份假冒这种威胁行为的能力v减少脆弱性 及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性v防护资产 采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持v降低负面影响

19、采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度38转移风险转移风险v通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险v通常只有当风险不能被降低或避免、且被第三方（被转嫁方）接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险购买保险服务外包39规避风险规避风险v通过不使用面临风险的资产来避免风险。比如：在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏 对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击v通常在风险的损失无法接受，又难以通过控制措施减低风险的情况下40接受风险

20、接受风险v接受风险是选择对风险不采取进一步的处理措施，接受风险可能带来的结果 v用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险 v接受风险不意味着不闻不问，需要对风险态势变化进行持续的监控，一旦发展为无法接受的风险就要进一步采取措施41批准监督批准监督v批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定v监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险42批准监督过程批准监督过程43监控审查的意义监控审查的意义v 监控与审查可

21、以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性类似信息系统工程中的监理44监控审查过程监控审查过程4445沟通咨询沟通咨询v通过畅通的交流和充分的沟通，保持行动的协调和一致；通过有效的培训和方便的咨询，保证行动者具有足够的知识和技能，就是沟通咨询的意义所在沟通咨询沟通咨询 与领导沟通，以得到理解和批准与领导沟通，以得到理解和批准 单位内部各有关部门相互沟通，以得到理解和协作单位内部各有关部门相互沟通，以得到理解和协作 与支持单位和系统用户沟通，以得到了解和支持与支持单位和系统用户沟通，以得到了解和

22、支持 为所有层面的相关人员提供咨询和培训等，以提高人员为所有层面的相关人员提供咨询和培训等，以提高人员的安全意识、知识和技能的安全意识、知识和技能46沟通咨询过程沟通咨询过程4647知识域：信息安全风险管理主要内容知识域：信息安全风险管理主要内容知识子域：知识子域：信息系统使命周期与信息安全风险管理信息系统使命周期与信息安全风险管理v 理解信息系统生命周期与信息安全风险管理的关系v 理解系统规划阶段的风险管理工作内容v 理解系统设计阶段的风险管理工作内容v 理解系统实施阶段的风险管理工作内容v 理解系统运行维护阶段的风险管理工作内容v 理解系统废弃阶段的风险管理工作内容4748信息系统生命周期

23、与信息安全风险信息系统生命周期与信息安全风险管理的关系管理的关系v信息系统生命周期的每个阶段，有不同的信息安全目标v为了达到其安全目标，每一阶段都需要相应的风险管理手段作为支持 v信息安全目标就是要实现信息系统的基本安全特性（即信息安全基本属性），并达到所需的保障级别49规划规划设计设计实施实施运维运维废弃废弃系统规划阶段的安全目标系统规划阶段的安全目标 明确信息系统安全建设的目的,对信息系统安全建设实现的可能性进行分析论证并设计出总体安全规划方案 为了保证安全目标的实现，需要对信息系统规划阶段中可能引入安全风险的环节进行风险管理，从而降低在项目后期处理相同安全风险所带来的高额成本4950序号

24、序号风险管理活动风险管理活动风险管理工作内容风险管理工作内容1明确安全总体方针明确安全总体方针 背景建立背景建立2安全需求分析安全需求分析背景建立背景建立4风险评估准则达成风险评估准则达成一致一致风险评估风险评估5安全实现论证分析安全实现论证分析 风险处理、批准监督风险处理、批准监督系统规划阶段的信息安全风险管理系统规划阶段的信息安全风险管理51系统设计阶段的安全目标系统设计阶段的安全目标规划规划设计设计实施实施运维运维废弃废弃 依据规划阶段输出的总体安全规划方案来设计信设计信息系统安全的实现结构息系统安全的实现结构（包括功能划分、接口协议和性能指标等）和实施方案和实施方案（包括实现技术、设备

25、选型和系统集成等）在设计信息系统的实现结构和实施方案时，在技术的选择、配合、管理等众多的环节均容易引入安全风险，因此对关键的环节应提出必要的安全要求并有针对性地进行安全风险管理5152系统设计阶段的信息安全风险管理系统设计阶段的信息安全风险管理 序号序号风险管理活动风险管理活动风险管理工作内容风险管理工作内容1设计方案分析论证设计方案分析论证背景建立、风险评估背景建立、风险评估2安全技术选择安全技术选择风险处理风险处理3安全产品选择安全产品选择风险处理风险处理4自开发软件设计风自开发软件设计风险处理险处理风险处理风险处理53系统实施阶段的安全目标系统实施阶段的安全目标规划规划设计设计实施实施运

26、维运维废弃废弃v按照规划和设计阶段所定义的信息系统安全实施方案 采购采购设备和软件，开发开发定制功能 集成、部署、配置和测试集成、部署、配置和测试信息系统的安全机制 培训人员培训人员 对是否允许系统投入运行是否允许系统投入运行进行批准监督54系统实施阶段的信息安全风险管理系统实施阶段的信息安全风险管理 序号序号风险管理活动风险管理活动风险管理工作内容风险管理工作内容1安全测试安全测试风险评估风险评估2检查与配置检查与配置风险处理风险处理3人员培训人员培训风险处理风险处理4授权系统运行授权系统运行批准监督批准监督55v在信息系统经过授权投入运行之后，确保在运行过程中，以及信息系统或其运行环境发生

27、变化时维持系统的正常运行和安全性系统运维阶段的安全目标系统运维阶段的安全目标规划规划设计设计实施实施运维运维废弃废弃56系统运维阶段的信息安全风险管理系统运维阶段的信息安全风险管理 序号序号风险管理活动风险管理活动风险管理工作内容风险管理工作内容1安全运行和管理安全运行和管理风险评估、风险处理风险评估、风险处理2变更管理变更管理风险评估、风险处理风险评估、风险处理3风险再评估风险再评估风险评估、风险处理风险评估、风险处理4定期重新审批定期重新审批批准监督批准监督57v确保对信息系统的过时或无用部分进行安全报废处理，防止信息系统的安全要求和安全功能遭到破坏系统废弃阶段的安全目标系统废弃阶段的安全

28、目标规划规划设计设计实施实施运维运维废弃废弃58信息系统废弃阶段的风险管理信息系统废弃阶段的风险管理序号序号风险管理活动风险管理活动风险管理工作内容风险管理工作内容1确定废弃对象确定废弃对象背景建立背景建立2废弃对象的风险评估废弃对象的风险评估 风险评估风险评估3废弃过程的风险处理废弃过程的风险处理 风险处理风险处理4废弃后的评审废弃后的评审批准监督批准监督59知识域：信息安全风险评估知识域：信息安全风险评估知识子域：知识子域：风险评估工作形式风险评估工作形式v 理解自评估和检查评估的风险评估工作形式v 理解自评估和检查评估的区别及优缺点v 理解风险评估、检查评估和等级保护测评之间的关系596

29、0风险评估工作形式风险评估工作形式v信息安全风险评估分为自评估、检查评估两种形式v自评估为主，自评估和检查评估相互结合、互为补充v自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持61自评估自评估v信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估由发起方实施由发起方实施v 优点 有利于降低实施的费用 有利于保密 有利于发挥行业和部门内人员的业务特长 有利于提高相关人员的安全意识和评估能力v 缺点 可能结果不够深入准确 客观性易受影响由受委托方实施由受委托方实施v 优点 过程比较规范 客观性比较好v 缺点 对业务了解存在局限性 不利于保密6162检查评估检查评

30、估v信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估v 优点 具权威性 通过行政手段加强信息安全，具强制性v 缺点 间隔时间较长，难以贯穿信息系统的生命周期 一般是以抽样的方式进行，难以覆盖全部评估对象6263风险评估、检查评估和等级保护测评风险评估、检查评估和等级保护测评之间的关系之间的关系v等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评，其中等保测评是符合国家安全要求的测评，安全检查是符合行业主管安全要求的符合性测评v而风险评估是在国家、行业安全要求的基础上，以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动6364知识域：信息安全风险评估知

31、识域：信息安全风险评估知识子域：知识子域：风险评估方法风险评估方法v 理解定性风险分析方法v 理解定量风险分析方法，掌握年度预期损失（ALE）的计算方法v 理解半定量风险分析方法v 理解定性和定量风险分析方法的优缺点6465定性风险分析定性风险分析v 定性风险分析在风险评价时，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险诸要素的大小或高低程度定性分级v 定性风险分析更具主观性v 后果或影响的定性量度（示例）等级等级描述描述 详细情形详细情形 1 1可以忽略可以忽略无伤害，低财务损失无伤害，低财务损失 2 2 较小较小立即受控制，中等财务损失立即受控制，中等财务损失 3 3 中等

32、中等 受控，高财务损失受控，高财务损失 4 4 较大较大大伤害，失去生产能力有较大财务损失大伤害，失去生产能力有较大财务损失 5 5灾难性灾难性持续能力中断，巨大财务损失持续能力中断，巨大财务损失66v可能性的定性量度（示例）等级等级描述描述 详细情形详细情形 A A几乎肯定几乎肯定预期在大多数情况发生预期在大多数情况发生 B B很可能很可能在大多数情况下很可能会发生在大多数情况下很可能会发生 C C可能可能在某个时间可能会发生在某个时间可能会发生 D D不太可能不太可能在某个时间能够发生在某个时间能够发生 E E罕见罕见仅在例外的情况下可能发生仅在例外的情况下可能发生定性风险分析定性风险分析

33、6667v根据预设的等级划分规则判定风险结果v依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级 可能性可能性 影响影响可以忽略可以忽略1较小较小2中等中等3较大较大4灾难性灾难性5A（几乎肯定）（几乎肯定）HHEEEB（很可能）（很可能）MHH EEC (可能）可能）LMHEED（不太可能）（不太可能）LLMHEE（罕见）（罕见）LLMHH E：极度风险 H：高风险 M：中等风险 L:低风险定性风险分析定性风险分析矩阵法矩阵法6768定量风险分析定量风险分析v定量风险分析试图是在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值，定量风险分析更具客观性v例如，用替

34、换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各项资产的真实价值v定量分析主要试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量v因为定量分析处理数字和金额价值，它必须有公式6869定量风险分析定量风险分析年度预期损失法年度预期损失法v步骤1-评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和间接影响v步骤2-确定单一预期损失SLE SLE 是指发生一次风险引起的收入损失总额 SLE 是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失（SLE 类似于定性风险分析的影响）将资产价值与暴露系数相

35、乘(EF)计算出 SLE。暴露系数表示为现实威胁对某个资产造成的损失百分比 v步骤3-确定年发生率ARO ARO 是一年中风险发生的次数6970v步骤4-确定年预期损失ALE ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。SLE 乘以 ARO 即可计算出该值（ALE 类似于定性风险分析的相对级别）ALE=SLE*ARO=AV*EF*AROv 步骤5-确定控制成本 控制成本就是为了规避企业所存在风险的发生而应投入的费用v 步骤6-安全投资收益ROSI ROSI=(实施控制前的ALE）（实施控制后的ALE）（年控制成本）定量风险分析定量风险分析年度预期损失法（续）年度预期损失法（续）

36、71定性分析与定量分析定性分析与定量分析 定量定性优点结果可用货币值和具体数据（如百分比）来表达按财务影响确定风险优先级；按财务价值确定资产优先级通过安全投资收益分析推动风险管理随着组织建立的历史数据记录而获得经验，其精确度将随时间的推移而提高可以对风险的处置排定优先顺序更容易达成一致意见无需量化威胁频率无需确定资产的财务价值更便于非安全或计算机专业人员的参与缺点分配给风险的影响值以参与者的主观意见为基础达成可靠结果和一致意见的流程非常耗时计算可能会非常复杂且耗时流程专业技术性强，参与者若未获指导则无法轻松执行流程在重要的风险之间没有足够的区别没有为成本效益分析，难以证明投资控制措施是否正确结

37、果取决于风险管理团队的素质、经验和知识技能72v在风险分析过程中综合使用定性和定量风险分析技术对风险要素赋值的方式，实现对风险各要素的度量数值化v在实际的风险分析活动中，经常采用半定量的风险分析方法半定量风险分析半定量风险分析73半定量风险分析半定量风险分析相乘法相乘法 可能性可能性影响影响可以忽略可以忽略1较小较小2中等中等3较大较大4灾难性灾难性55（几乎肯定）（几乎肯定）5101520254（很可能）（很可能）4812 16203 (可能）可能）36912152（不太可能）（不太可能）2468101（罕见）（罕见）123457374知识域：信息安全风险评估知识域：信息安全风险评估知识子域

38、：知识子域：风险评估的实施流程风险评估的实施流程v 掌握风险评估准备阶段的工作内容v 掌握风险要素识别阶段的工作内容v 掌握风险分析阶段的工作内容和工作步骤 v 掌握风险结果判定阶段的工作内容7475v风险评估准备v风险要素识别v风险分析v风险结果判定风险评估实施流程风险评估实施流程76风险评估准备风险评估准备7677风险要素识别风险要素识别7778资产识别资产识别 n 资产识别在整个风险评估中起什么作用？资产识别在整个风险评估中起什么作用？两点：是整个风险评估工作的起点和终点 n 资产识别的重点和难点是什么？资产识别的重点和难点是什么？一线：业务战略 信息化战略 系统特征（管理/技术）n 资

39、产识别的方法有哪些？资产识别的方法有哪些？资产分类：树状法。自然形态分类（勾画资产树：管理、技术逐步往下细化）；信息形态分类（信息环境、信息载体、信息）7879按信息形态分类按信息形态分类 80资产识别资产识别81威胁识别威胁识别 n 威胁识别与资产识别是何关系？威胁识别与资产识别是何关系？点和面：重点识别和全面识别 n 威胁识别的重点和难点是什么威胁识别的重点和难点是什么？三问：“敌人”在哪儿？效果如何？如何取证？n 威胁识别的方法有哪些？威胁识别的方法有哪些？日志分析历史安全事件专家经验互联网信息检索82威胁分类威胁分类v分为：人为故意威胁威胁意图评估、威胁能力评估、操作限制评估、威胁源特

40、点评估 人为非故意威胁判定威胁源、评估威胁源特点、评估威胁源环境、评估事故发生时间 自然威胁地震、海啸、洪水83脆弱性识别脆弱性识别 n 脆弱性识别的难点是什么？脆弱性识别的难点是什么？三性：隐蔽性、欺骗性、复杂性 n 脆弱性识别的方法有哪些？脆弱性识别的方法有哪些？脆弱性分类管理脆弱性（如缺少管理制度）结构脆弱性（如安全域划分不当）操作脆弱性（如安全审计员业务生疏）技术脆弱性（如系统有bug）物理脆弱性（如一层的窗子没有防护栏）n 脆弱性识别与威胁识别是何关系？脆弱性识别与威胁识别是何关系？验证：以资产为对象，对威胁识别进行验证 84脆弱性识别内容脆弱性识别内容85常见脆弱性识别工作方式常见

41、脆弱性识别工作方式脆弱性识别方式脆弱性识别方式工作对象工作对象安全配置核查服务器、网络设备、终端、中间件、应用软件漏洞扫描主机、应用程序渗透测试系统各个层面安全架构分析系统各个层面数据流分析网络中的数据流访谈管理人员及系统开发、运维技术人员.86确认已有的安全控制确认已有的安全控制v考虑：预防性措施 检测性措施 纠正性措施 威慑性措施87风险分析风险分析88风险分析风险分析vGB/T 20984-2007信息安全风险评估规范给出信息安全风险分析思路 风险值风险值 =R（A，T，V）=R（L（T，V），），F（Ia，Va）R表示安全风险计算函数A表示资产T表示威胁V表示脆弱性Ia表示安全事件所作

42、用的资产价值Va表示脆弱性严重程度L表示威胁利用资产的脆弱性导致安全事件的可能性F表示安全事件发生后造成的损失8889风险结果判定风险结果判定90知识域：信息安全风险评估知识域：信息安全风险评估知识子域：知识子域：风险评估工具风险评估工具v 了解风险评估工具的分类v 了解常用风险评估工具9091风险评估工具风险评估工具v风险评估与管理工具 基于标准的工具基于标准的工具，如基于NIST SP 800-30或ISO 27005开发的工具 基于知识的工具基于知识的工具，综合各种风险分析方法，形成知识库，以此为基础完成综合评估 基于模型的工具基于模型的工具，对典型系统的资产、威胁、脆弱性建立量化或半量化的模型v系统基础平台风险评估工具 脆弱性扫描工具脆弱性扫描工具：基于网络的扫描器、基于主机的扫描器、分布式网络扫描器、数据库脆弱性扫描器 渗透性测试工具渗透性测试工具：黑客工具、脚本文件v风险评估辅助工具 检查列表、入侵检测系统、安全审计工具、拓扑发现工具和资产信息收集系统，用于评估过程参考的评估指标库、知识库、漏洞库、算法库和模型库9192谢谢，请提问题！谢谢，请提问题！