1、信息安全管理与风险评估第5章 信息安全风险评估实施流程赵 刚信息安全管理与风险评估5.1 风险评估准备1.确定风险评估的目标确定风险评估的目标2.确定风险评估的范围确定风险评估的范围3.组建评估团队组建评估团队4.进行系统调研进行系统调研5.确定评估依据和方法确定评估依据和方法6.制定评估方案制定评估方案7.获得最高管理者支持获得最高管理者支持信息安全管理与风险评估5.2 资产识别5.2.1 工作内容1.回顾评估范围内的业务回顾评估范围内的业务2.识别信息资产,进行合理分类识别信息资产,进行合理分类3.确定每类信息资产的安全需求确定每类信息资产的安全需求4.为每类信息资产的重要性赋值为每类信息
2、资产的重要性赋值信息安全管理与风险评估5.2.2 参与人员5.2.3 工作方式1.评估范围之内的业务识别评估范围之内的业务识别2.资产的识别与分类资产的识别与分类3.安全需求分析安全需求分析4.资产赋值资产赋值5.2 资产识别信息安全管理与风险评估5.2 资产识别分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等。软件系统软件:操作系统、语言包、工具软件、各种库等;应用软件:外部购买的应用软件、外包开发的应用软件等;源程序:各种共享源代码、自行或合作开发的各种代码等。硬件网络设备:路由器、网关、交换机等;计算机设备:大型机、小型机
3、、服务器、工作站、台式计算机、移动计算机等;存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;传输线路:光纤、双绞线等;保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等;安全保障设备:防火墙、入侵检测系统、身份验证等;其他:打印机、复印机、扫描仪、传真机等。服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务;网络服务:各种网络设备、设施提供的网络连接服务;信息服务:对外依赖该系统开展的各类服务。文档纸质的各种文件,如传真、电报、财务报告、发展计划等。人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应
4、用项目负责人等。其它企业形象、客户关系等。信息安全管理与风险评估5.2.4 工具及资料1.自动化工具自动化工具2.手工记录表格手工记录表格3.辅助材料辅助材料5.2 资产识别信息安全管理与风险评估资产识别记录表项目名称或编号表格编号资产识别活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述保密性要求完整性要求可用性要求重要程度安全控制措施负责人备注信息安全管理与风险评估5.2 资产识别5.2.5 输出结果资产及评价报告信息安全管理与风险评估5.3 威胁识别5.3.1 工作内容1.威胁识别威胁识别2.威胁分类威胁分类3
5、.威胁赋值威胁赋值4.构建威胁场景构建威胁场景5.3.2 参与人员信息安全管理与风险评估5.3.3 工作方式1.威胁识别威胁识别(1)针对实际威胁的识别活动(2)针对潜在威胁的识别活动2.威胁分类威胁分类3.构建威胁场景构建威胁场景4.威胁赋值威胁赋值5.3.4 工具及资料5.3 威胁识别信息安全管理与风险评估来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通讯线路方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益;外部人员利用
6、信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击信息安全管理与风险评估5.3.5 输出结果威胁列表;关键资产的威胁场景。5.3 威胁识别信息安全管理与风险评估5.4.1 工作内容5.4.2 参与人员序号活动名称参与人员来自于评估单位来自于被评估单位1脆弱性识别项目负责人脆弱性识别小组项目负责人识别活动中配合人员或访谈对象2脆弱性识别结果整理与展现脆弱性识别小组3脆弱性赋值
7、脆弱性识别小组5.4 脆弱性识别信息安全管理与风险评估5.4.3 工作方式1.脆弱性识别方法脆弱性识别方法2.脆弱性识别原则脆弱性识别原则(1)全面考虑和突出重点相结合的原则(2)局部与整体相结合的原则(3)层次化原则(4)手工与自动化工具相结合的原则3.脆弱性识别内容脆弱性识别内容5.4 脆弱性识别信息安全管理与风险评估信息安全管理与风险评估5.4.3 工作方式4.脆弱性赋值脆弱性赋值5.脆弱性分类的设计脆弱性分类的设计5.4 脆弱性识别信息安全管理与风险评估5.4.4 工具及资料1.漏洞扫描工具漏洞扫描工具2.各类检查列表各类检查列表3.渗透测试渗透测试5.4.5 输出结果1.原始的识别结
8、果原始的识别结果2.漏洞分析报告漏洞分析报告5.4 脆弱性识别信息安全管理与风险评估5.5 已有安全措施确认5.5.1 工作内容5.5.2 参与人员序号活动名称参与人员来自于评估单位来自于被评估单位1技术控制措施的识别与确认项目负责人安全控制措施识别小组项目负责人识别活动中配合人员或访谈对象,主要包括被评估组织的安全主管、负责安全的管理员2管理和操作控制措施的识别与确认项目负责人安全控制措施识别小组项目负责人被评估组织的安全主管信息安全管理与风险评估5.5.3 工作方式1.技术控制措施的识别与确认技术控制措施的识别与确认2.管理和操作控制措施的识别与确认管理和操作控制措施的识别与确认3.分析与
9、统计分析与统计5.5.4 工具及资料5.5.5 输出结果5.5 已有安全措施确认信息安全管理与风险评估5.6 风险分析5.6.1 风险计算原理1.计算安全事件发生的可能性计算安全事件发生的可能性安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V)2.计算安全事件发生后造成的损失计算安全事件发生后造成的损失安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va)3.计算风险值计算风险值风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va)(1)风险计算:相乘法(2)风险计算:矩阵法信息安全管理与风险评估5.7 风险处理计划图5-2 风险管理方法图
10、信息安全管理与风险评估5.7.1 现存风险判断5.7.2 控制目标确定5.7.3 控制措施选择1.接受风险接受风险2.避免风险避免风险3.转移风险转移风险4.降低风险降低风险5.处置残留风险处置残留风险5.7 风险处理计划信息安全管理与风险评估5.8 风险评估报告信息安全管理与风险评估封皮XXXX信息安全风险评估报告被评估的系统:被评估单位:评估类别:负责人:评估时间:目录第一章综述介绍评估准备的相关内容。第2章识别并评价资产介绍资产的识别和评价结果。第3章识别并评估威胁介绍威胁的识别和评价结果。第4章识别并评估脆弱性介绍脆弱性的识别和评价结果。第5章识别安全措施介绍已有安全措施的识别和分析结果。第6章分析可能性和影响介绍可能性和影响的分析结果。第7章风险计算介绍风险的计算结果。第8章风险控制介绍需控制的风险及控制措施。第9章总结对本次评估进行总结。信息安全管理与风险评估思考题思考题简单叙述“风险评估准备”阶段的主要工作内容。简单叙述“资产识别”的工作内容和工作方式。简单叙述“威胁识别”的工作内容和参与人员。叙述“针对潜在威胁的识别活动”的主要内容。如何构建威胁场景?简单叙述“脆弱性识别”的工作方式。叙述“风险计算原理”。