1、提升信息安全风险评估提升信息安全风险评估意识强化信息安全保障意识强化信息安全保障体系建设体系建设2345领导重视、管理较严、常规的系统和外防机制基本到领导重视、管理较严、常规的系统和外防机制基本到位位深层隐患值得深思深层隐患值得深思 u内控机制脆弱内控机制脆弱u高危漏洞存在高危漏洞存在u信息安全域界定与边控待探索信息安全域界定与边控待探索u风险自评估能力弱风险自评估能力弱u灾难恢复不到位灾难恢复不到位u用户自控权不落实用户自控权不落实u-6789101112n早期:通信保密阶段(早期:通信保密阶段(ComSec),通信内容保密为),通信内容保密为主主n中期:信息安全阶段(中期:信息安全阶段(I
2、nfoSec),信息自身的静态),信息自身的静态防护为主防护为主n近期:信息保障阶段(近期:信息保障阶段(Information AssuranceIA),),强调动态的、纵深的、生命周期的、整个信息系统强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。资产的信息对抗。n我们当前所指我们当前所指“信息安全信息安全”=“信息保障信息保障”,即即“在整个生命周期中,处在纵深防御和动态对抗在整个生命周期中,处在纵深防御和动态对抗的信息系统,为保障其中数据及服务的完整性、保密的信息系统,为保障其中数据及服务的完整性、保密性、可用性(防拒绝和破坏)、真实性(交互双方的性、可用性(防拒绝和破坏)
3、、真实性(交互双方的数据、人员的身份和权限、设施的鉴别)、可控性数据、人员的身份和权限、设施的鉴别)、可控性(监控、审计、取证、防有害内容传播)(监控、审计、取证、防有害内容传播)、可靠性、可靠性而抵制各类威胁所提供的一种能力而抵制各类威胁所提供的一种能力13(一一)构建构建信息安全保障体系信息安全保障体系(二二)作好作好信息安全风险评估信息安全风险评估14(一一)构建构建信息安全保障体系信息安全保障体系15安安全全法法规规安安全全管管理理安安全全标标准准安安全全工工程程与与服服务务安安全全基基础础设设施施安安全全技技术术与与产产品品1617行政管理体制行政管理体制:国家网络信息安全协调小组,
4、部门,地区国家网络信息安全协调小组,部门,地区技术管理体制技术管理体制:CSO信息系统安全管理准则(信息系统安全管理准则(ISO 17799)-GBxxxxu管理策略管理策略u组织与人员组织与人员u资产分类与安全控制资产分类与安全控制u配置与运行配置与运行u网络信息安全域与通信安全网络信息安全域与通信安全u异常事件与审计异常事件与审计u信息标记与文档信息标记与文档u物理与环境物理与环境u开发与维护开发与维护u作业连续性保障作业连续性保障u符合性符合性18 安安全全功功能能定定义义安安全全要要素素设设物物理、理、网网络、络、系系统、统、应应用、用、管管理理全全程程安安全全控控制制风风险险全全程程
5、管管理理安安全全有有效效评评估估强强壮壮性性策策略略19202122信息网络安全域纵深防御框架信息网络安全域纵深防御框架23242526(二二)作好作好信息安全风险评信息安全风险评估估2728威胁脆弱性防护措施风险资产防护需求价值抗击利用增加增加暴露被满足引出增加拥有风险管理要素关系图风险管理要素关系图2930信息系统安全风险评估的特征信息系统安全风险评估的特征n信息系统是一个巨型复杂系统(系统要素、安全要素)信息系统是一个巨型复杂系统(系统要素、安全要素)n信息系统受制于外部因素(物理环境、行政管理、人员)信息系统受制于外部因素(物理环境、行政管理、人员)n信息系统安全风险评估是一项系统工程
6、信息系统安全风险评估是一项系统工程n发现隐患、采取对策、提升强度、总结经验发现隐患、采取对策、提升强度、总结经验n自评估、委托评估、检察评估自评估、委托评估、检察评估3132333435n国家信息安全标准化委员会(国家信息安全标准化委员会(“信息安全评估工作组信息安全评估工作组-WG5)n国家信息安全测评中心(信息技术安全性评估准则国家信息安全测评中心(信息技术安全性评估准则-GB/T 18336)(EG信息系统安全保障评估准则)信息系统安全保障评估准则)n公安部(计算机信息系统安全保护等级划分准则公安部(计算机信息系统安全保护等级划分准则-GB 17859-1999)(计算机信息系统安全等级
7、保护通用技(计算机信息系统安全等级保护通用技术要求术要求-GA/T 390-2002)n国家保密局(涉及国家秘密的计算机信息系统安全保国家保密局(涉及国家秘密的计算机信息系统安全保密测评指南密测评指南-BMZ 3-2001)n北京市信息办(党政机关信息系统安全测评规范)北京市信息办(党政机关信息系统安全测评规范)n上海市信息办(信息系统安全测评规范)上海市信息办(信息系统安全测评规范)n解放军(信息系统安全评估规范)解放军(信息系统安全评估规范)n其它其它 36n信息安全评估标准和规范体系信息安全评估标准和规范体系 IT产品、产品、IT系统、系统、IT服务服务n信息安全评估监管体系信息安全评估
8、监管体系 对评估组织与评估行为的监管对评估组织与评估行为的监管(等级等级,资质资质,规则规则)n信息安全评估组织体系,在认监委、信息办领导下信息安全评估组织体系,在认监委、信息办领导下 37nNIACAPn DICSCAPnNSTISSI nFIPS 102FIPS 102 n行业与企业的风险评估投入明显行业与企业的风险评估投入明显 (1%5%)38n定性分析与定量结合定性分析与定量结合n评估机构与评估专家结合评估机构与评估专家结合n评估考查与评估检测结合评估考查与评估检测结合n技术安全与管理安全结合技术安全与管理安全结合39n管理安全分析管理安全分析 组织、人员、制度、资产控制、物理、操作、
9、连续性、应急组织、人员、制度、资产控制、物理、操作、连续性、应急n过程安全分析过程安全分析 威胁、风险、脆弱性、需求、策略、方案、符合性威胁、风险、脆弱性、需求、策略、方案、符合性 分发、运行、维护、更新、废弃分发、运行、维护、更新、废弃n技术安全分析与检测技术安全分析与检测 安全机制、功能和强度分析安全机制、功能和强度分析 网络设施、安全设施及主机配置安全分析网络设施、安全设施及主机配置安全分析 网络设备和主机设备脆弱性分析网络设备和主机设备脆弱性分析 系统穿透性测试系统穿透性测试40风险评估实施步骤风险评估实施步骤(1)1)风险评估的准备风险评估的准备(2)(2)资产识别资产识别(3)(3
10、)威胁识别威胁识别(4)(4)脆弱性识别脆弱性识别(5)(5)已有安全措施的确认已有安全措施的确认(6)(6)风险分析风险分析(7)(7)风险评估文件记录风险评估文件记录(8)(8)风险评估对策风险评估对策41 风险评估流程风险评估流程42 风险分析示意图风险分析示意图43风险评估工具风险评估工具 (1 1)风险评估管理工具)风险评估管理工具 基于安全标准、基于知识、基于模型基于安全标准、基于知识、基于模型 采点、收集、描述、分析采点、收集、描述、分析 (2 2)风险评估检测工具风险评估检测工具 脆弱性扫描:网络、主机、数据库、网站、脆弱性扫描:网络、主机、数据库、网站、滲透性测试:黑客、病毒、木马、谍件、劫持、拒绝、破译滲透性测试:黑客、病毒、木马、谍件、劫持、拒绝、破译 (3 3)风险评估辅助工具风险评估辅助工具 入侵检测、安全审计、拓扑发现、资产收集入侵检测、安全审计、拓扑发现、资产收集 知识库、漏洞库、算法库、模型库、指标库知识库、漏洞库、算法库、模型库、指标库44454647(一一)构建构建信息安全保障体系信息安全保障体系 (重视(重视顶层顶层设计)设计)(二二)作好信息安全风险评估作好信息安全风险评估 (是是起点、起点、也覆盖也覆盖终生终生)48