1、对信息安全风险评估的思考对信息安全风险评估的思考安全咨询事业部黄永飞安全咨询顾问风险评估信息安全风险评估信息安全风险评估 What?What?Why?Why?How?How?问题思考问题思考信息安全风险评估信息安全风险评估 What What 信息安全风险评估是什么?信息安全风险评估信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。信息系统的安
2、全风险信息系统的安全风险是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。安全风险评估是什么?人们经常会提出这样一些问题:人们经常会提出这样一些问题:什么地方、什么时间可能出问题?出问题的可能性有多大?这些问题的后果是什么?应该采取什么样的措施加以避免和弥补?总是试图找出最合理的答案,这一过程实际上就是风险评估。早在上个世纪初期,科学家就已开始研究风险管理理论。问题思考信息安全风险评估信息安全风险评估 Why Why“三分技术,七分管理”,我们的员工安全意识如何?依靠现有的安全产品是否能够解决现在的安全问题?现有的安全产品是否真正的起到了作用?如果发生安全事故,
3、我们能否在最短时间内恢复业务系统?对未来的网络扩展和安全配置升级有没有前瞻性的规划?能否更多的节约投入成本?。问题思考信息安全风险评估的意义风险评估是分析确定风险的过程风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是需求主导和突出重点原则的具体体现信息安全风险评估是需求主导和突出重点原则的具体体现重视风险评估是信息化比较发达国家的基本经验重视风险评估是信息化比较发达国家的基本经验 风险评估是分析确定风险的过程风险评估是分析确定风险的过程任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风
4、险和代价的过程就是风险评估。信息安全风险评估的意义信息安全风险评估的意义信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。信息安全风险评估是信息安全建设的起信息安全风险评估是信息安全建设的起点和基础点和基础信息安全风险评估的意义所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。信息安全
5、风险评估的意义如果说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。信息安全风险评估是需求主导和突出重信息安全风险评估是需求主导和突出重点原则的具体体现点原则的具体体现信息安全风险评估的意义不考虑风险的信息化是要付出代价有时代价可能很高,甚至难以承受 信息安全风险评估的意义不计成本、片面地追求绝对安全、试图消灭风险或完全避免风险是不现实的,也不是需求主导原则所要求的。坚持从实际出发,坚持需求主导、突出重点,就必须科学地评估风险,有效控制风险。信息安全风险评估的
6、意义上个世纪70年代,美国政府就发布了自动化数据外理风险评估指南。其后颁布的关于信息安全基本政策文件联邦信息资源安全明确提出了信息安全风险评估的要求,要求联邦政府部门依据信息和信息系统所面临的风险,根据信息丢失、滥用、泄露、未授权访问等造成损失的大小,制订、实施信息安全计划,以保证信息和信息系统应有的安全。重视风险评估是信息化比较发达国家的重视风险评估是信息化比较发达国家的基本经验基本经验信息安全风险评估的意义 英国标准化协会(BSI)1995年颁布了信息安全 管理指南(BS 7799),BS 7799分为两个部分:BS 7799-1信息安全管理实施规则和BS 7799-2 信息安全管理体系规
7、范。2002年又颁布了信息安全管理系统规范说明(BS 7799-2:2002)。它将信息安全管理的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前,在BS77992中,提出了如何了建立信息安全管理体系的步骤。在信息安全管理体系的核心部位是风险评估和风险管理。目前,全球通过BS7799认证的数量达450家左右,其中绝大部分分布在欧洲和亚洲,整个中国地区(包括香港和台湾在内)通过BS7799认证的数量近20家。为用户提供具有针对性的安全产品和安全技术给用户提供量化的信息资产价值列表和资产风险列表可全面和有条理地向管理层反映现有的信息科技安全风 险和所需的安全保障措施为决策
8、和政策考虑提供不同的解决方案,使信息科技安全管理能够从策略性的层面推行 为日后比较信息科技安全措施的变化提供依据 信息安全风险评估的意义-总结问题思考信息安全风险评估信息安全风险评估 How How 问题思考信息安全风险评估怎么实施?信息安全风险评估实施前需要准备什么?信息资产的属性怎么进行量化?发现信息资产的弱点后怎么进行补救?信息安全风险评估方法信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划风险评估的准备风险评估的准备风险评估的准备风险评估的准备 确定范围确定范围 范围可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是
9、客户的知识产权。确定目标确定目标 目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。确定组织结构确定组织结构 组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的范围、目标。确定方法确定方法 应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定,使之能够与组织的环境和安全要求相适应。获得最高管理者批准获得最高管理者批准 上述所有内容应得到组织的最高管理者的批准,并对管理层和员工进行传达。风险评估的准备风险评估的准备(续)续)信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划资产识别资产识别
10、资产分类类别资产分类类别资产赋值原则资产赋值原则信息资产的价值取决于:信息资产的价值取决于:l 保密性l 完整性l 可用性信息资产的价值随时间改变信息资产的价值随时间改变信息资产的价值随资产相关性变化信息资产的价值随资产相关性变化信息资产赋值过程 机密性、完整性和可用性的价值分别赋值影响影响威胁威胁C1.竞争劣势 当本业务系统内的信息数据被竞争者得知时,将会造成何种程度的损失?01234C2.直接业务损失当本业务系统内涵盖的信息资产被被不适当揭露时,可能着成企业业务的损失程度?01234C3.公众信心本业务系统内的信息数据被不适当泄露时,公司在客户的信任度、公众形象、股东或供应商的忠诚度上所招
11、受到的损失?01234C4.额外成本本业务系统内的信息数据被不适当泄露时可能造成的额外成本负担?01234C5.法律责任本业务系统内的信息数据被不适当泄露时,可能造成法律、规定或合约上的影响?01234C6.员工士气本业务系统内的信息数据被不适当泄露时,可能对员工士气造成的影响?01234C7.欺诈行为本业务系统内的信息数据被不适当泄露时,企业商品或资金可能被不当的转移?01234結果请选择上列因素中会造成最严重损失的评估结果01234信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划威胁识别威胁识别安全威胁 威胁种类威胁种类 是对系统、组织及其资产构成潜在破坏能
12、力的是对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件可能性因素或者事件 IDSIDS事件采集事件采集 历史事件数据历史事件数据 顾问访谈顾问访谈 安全策略分析安全策略分析见下页见下页 安全审计安全审计 权威组织的统计数据权威组织的统计数据 获取方法获取方法威胁定义威胁定义攻击类型攻击类型说明说明被动攻击被动攻击被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。这样的例子如泄露个人的信用卡号码和医疗档案等。主动攻击主动攻击主动攻击包括试图阻断或攻破保护机制、引入恶意代码、
13、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改改。物理临近物理临近攻击攻击是指一未被授权的个人,在物理意义上接近网络、系统或设备,试图改变、收集信息或拒绝他人对信息的访问。内部人员内部人员攻击攻击内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。软硬件装软硬件装配分发攻配分发攻击击指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码,比如后门。主要有哪些攻击?主要有哪些攻击?信息安全风险评估方法风险评估的准备资产识别威
14、胁识别脆弱性识别设计解决方案项目规划脆弱性识别脆弱性识别安全弱点安全弱点 安全弱点是系统可以被利用从而导致资产发生安全弱点是系统可以被利用从而导致资产发生损失的特性损失的特性 网络扫描网络扫描 上机检查上机检查 安全策略评估安全策略评估 网络架构评估网络架构评估技术类,比如技术类,比如OSOS漏洞,防火墙错误配置等漏洞,防火墙错误配置等管理类,比如没有安全策略、具体负责人、审核管理类,比如没有安全策略、具体负责人、审核流程等流程等业务模式类,比如充值卡业务,非实名制业务等业务模式类,比如充值卡业务,非实名制业务等 应用软件评估应用软件评估 数据库评估数据库评估 弱点种类弱点种类获取方法获取方法
15、弱点定义弱点定义信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划设计解决方案设计解决方案风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的风险基本的风险采取措施后剩余的风险采取措施后剩余的风险漏洞漏洞实施安全解决方案实施安全解决方案信息安全风险评估方法风险评估的准备资产识别威胁识别脆弱性识别设计解决方案项目规划项目规划项目规划项目规划方法项目规划方法实施难实施难易程度易程度预期效预期效果果紧迫性紧迫性可实施可实施性性项目规划项目规划综合分析综合分析难易程度预期效果可实施性优先级紧迫性 项目紧迫性分析项目紧迫性分析 威胁强度多大
16、能够造成危害,难易度 分布范围大小 层次影响范围大小 直接危害的严重程度 间接危害的严重程度 破坏后的恢复时间 破坏后恢复的消耗 最近6个月问题发现的频度 最近一次发现问题的间隔项目可实施性分析项目可实施性分析 外部策略允许程度 内部管理条件是否具备 技术成熟度 内部技术条件是否具备 外部支持条件是否具备 其他分析其他分析 如前文.紧迫性紧迫性 如前文.可实施性可实施性 技术难度 资金投入大小 时间投入长短 人力投入大小和人员素质要求 外部支持资源的复杂度 对企业策略的触动大小 对组织管理的触动大小 对运作规定和习惯的触动大小实施难易程度实施难易程度 见效速度 对于安全性的直接效果评价 对于业
17、务的直接促进 对于其他安全建设项目的支持 对安全策略完善的促进 对安全组织完善的促进 对人员安全素质的促进 对安全管理运作规范化的促进 预期效果预期效果124561-1-项目准备与范围确定项目准备与范围确定项目交流需求调研,背景讨论范围确定项目计划2-2-项目定义和蓝图项目定义和蓝图Kickoff meeting资产信息收集完成详细方案设计确定风险评估模型完成蓝图并与用户签署6-6-支持和维护支持和维护项目初验修复和加固协助二次验证评估电话热线支持其他服务35-5-风险综合和解决方案风险综合和解决方案安全风险综合分析输出安全评估报告设计安全解决方案建议3-3-现状调研与分析现状调研与分析基本信
18、息调查业务流程分析数据流分析资产赋值4-4-安全风险评估安全风险评估安全威胁评估网络架构安全评估设备安全评估应用软件安全评估安全策略(环境)评估12356项目计项目计划划项目蓝图项目蓝图安全风险评安全风险评估报告估报告4安全威胁评估纪录网络架构评估纪录设备评估纪录应用软件评估纪录安全审计纪录项目项目SOWSOW数据流程数据流程图等中间图等中间结果结果安全解决方安全解决方案建议案建议信息安全风险评估过程描述信息安全风险评估过程描述 从使命出发确认资产及其依赖度 从资产的重要性和敏感程度(CIA)判断面对的威胁 识别确定脆弱性 分析威胁利用脆弱性对资产造成损失的可能性和可能产生的影响 对已经采取的安全控制进行确认 建立风险测量的方法及风险等级评价原则,确定风险的大小与等级 形成报告,提出选择合适的安全控制措施的建议谢谢大家!请提出宝贵意见请提出宝贵意见