安全风险评估课件.pptx

1、北邮 信息安全中心 崔宝江信息系统风险评估北京邮电大学信息安全中心主讲人：崔宝江 博士2006年4月北邮 信息安全中心 崔宝江信息系统风险评估 一.概述 二.风险评估内容和方法 三.风险评估实施过程 四.风险评估实践和案例 五.风险评估工具 六.小结北邮 信息安全中心 崔宝江风险的定义普通字典的解释r风险：遭受损害或损失的可能性风险：遭受损害或损失的可能性AS/NZS 4360：澳大利亚/新西兰国家标准r风险：对目标产生影响的某种事件发生的机会。它可以用后果和可风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。能性来衡量。ISO/IEC TR 13335-1:1996r安全

2、风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。资产损失或损害的可能性。信息安全领域r信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。可能性。r 信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。北邮 信息安全中心 崔宝江网络中存在的安全威胁 网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失

3、、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫北邮 信息安全中心 崔宝江r企事业单位对信息系统依赖性增强r安全威胁和风险无处不在r组织自身业务的需要客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求r法律法规的要求计算机信息系统安全保护条例互联网安全管理办法知识产权保护信息安全等级保护风险管理必要性北邮 信息安全中心 崔宝江风险评估和管理的安全标准体系审计通信密码支持用户数据保护标识与鉴别安全管理安全功能保护资源利用评估对象访问可信信道恶意代码防范脆弱性管理安全技术安全技术安全生命周期安全生命周期设计阶段实施阶段运维阶段1级：用户自主保护级2级：系统审计保护级3级

4、：安全标记保护级4级：结构化保护级5级：访问验证保护级安全级别安全级别安全评估和管理安全评估和管理安全策略安全组织资产的分类与控制人员安全物理和环境安全通信和操作管理访问控制系统开发与维护业务连续性法律依从GB/T 17859GA/T 3882002ISO/IEC 15408GB/T 18336BS7799SSE-CMMISO/IEC TR 13335GAO/AIMD-99-139NISP SP 800-30OCTAVEAS/NZS 4360北邮 信息安全中心 崔宝江信息安全管理标准体系BS7799和和ISO17799r 由英国标准协会由英国标准协会BSI制定的信息安全管理体系标准，后发布为国

5、际制定的信息安全管理体系标准，后发布为国际ISO标准标准GAO/AIMD 98-68和和GAO/AIMD 99-139：r 美国审计总署美国审计总署GAO发布的信息安全管理实施指南和信息安全风险评估指南发布的信息安全管理实施指南和信息安全风险评估指南NIST SP800-30r 美国国家标准和技术学会美国国家标准和技术学会NIST的信息技术实验室的信息技术实验室ITL发布的发布的IT系统风险管理指南系统风险管理指南OCTAVEr 卡耐基梅隆大学软件工程研究所卡耐基梅隆大学软件工程研究所CMU/SEI创建的可操作的关键威胁、资产和弱点创建的可操作的关键威胁、资产和弱点评估方法和流程评估方法和流程

6、SSE-CMMr 美国国家安全局美国国家安全局NSA等启动的信息安全工程能力成熟度模型等启动的信息安全工程能力成熟度模型AS/NZS4360r 澳大利亚和新西兰发布的风险管理指南澳大利亚和新西兰发布的风险管理指南COBITr 美国信息系统审计和控制委员会美国信息系统审计和控制委员会ISACA的信息系统和技术控制目标的信息系统和技术控制目标北邮 信息安全中心 崔宝江GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能

7、力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如：例如：ISO/IEC 15443,COBIT。技术准则技术准则（信息技术系统评估准则）（信息技术系统评估准则）管理准则管理准则（信息系统管理评估准则）（信息系统管理评估准则）过程准则过程准则（信息系统安全工程评估准则）（信息系统安全工程评估准则）信信息息系系统统安安全全保保障障评评估估准准则则信息安全管理标准概述北邮 信息安全中心 崔宝江信息安全管理标准体现的原则 制定信息安全方针制定信息安全方针为信息安全管理提供导向和为信息安全管理提供导向和支持支持 预防控

8、制预防控制为主的思想原则为主的思想原则 全员参与全员参与原则原则 动态管理动态管理原则原则 遵循管理的一般循环模式遵循管理的一般循环模式PDCA持续改进模持续改进模式式 控制目标和控制方式的选择建立在控制目标和控制方式的选择建立在风险评估基风险评估基础之上础之上北邮 信息安全中心 崔宝江 风险评估是风险管理的第一步风险评估是风险管理的第一步安全问题（风险评估）安全需求BS7799控制措施BS7799控制目标保护措施保护措施提出/确定由实现选择安全措施信息安全风险评估和风险管理北邮 信息安全中心 崔宝江信息安全风险评估和风险管理r风险评估是信息安全管理体系和信息安全风险管理的基础r信息安全风险管

9、理要依靠风险评估的结果来确定随后的风险控制和审核批准活动使得机构能够准确“定位”风险管理的策略、实践和工具能够将安全活动的重点放在重要的问题上能够选择成本效益合理的和适用的安全对策北邮 信息安全中心 崔宝江信息安全风险评估和风险管理 风险评估确定安全风险及其大小的过程风险评估确定安全风险及其大小的过程r风险分析风险分析系统地使用信息以识别起源并估计风险系统地使用信息以识别起源并估计风险r风险评价风险评价将评估的风险与给的风险原则进行比较以决定重大将评估的风险与给的风险原则进行比较以决定重大风险的过程风险的过程 风险处理风险处理修改风险手段的选择和实施的处理过程修改风险手段的选择和实施的处理过程

10、北邮 信息安全中心 崔宝江信息安全风险评估r对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。r评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响北邮 信息安全中心 崔宝江风险评估解决的问题r要保护的对象（或资产）是什么？它的直接和要保护的对象（或资产）是什么？它的直接和间接价值如何？间接价值如何？r资产面临那些潜在威胁？导致威胁的问题何在？资产面临那些潜在威胁？导致威胁的问题何在？威胁发生的可能性有多大？威胁发生的可能性有多大？r资产中存在哪些脆弱点可能被利用？利用的难资产中存在哪些脆弱点可能被利用？利用的难易

11、程度如何？易程度如何？r安全事件发生，组织会遭受怎样的损失或面临安全事件发生，组织会遭受怎样的损失或面临怎样的负面影响？怎样的负面影响？r组织应采取怎样的安全措施来有效控制风险？组织应采取怎样的安全措施来有效控制风险？北邮 信息安全中心 崔宝江风险评估的目的 明确信息系统的安全现状，明晰安全需求 确定信息系统的主要安全风险，选择风险处置措施 指导组织信息系统安全技术体系与管理体系建设北邮 信息安全中心 崔宝江信息系统风险评估 一.概述 二.风险评估内容和方法 三.风险评估实施过程 四.风险评估实践和案例 五.风险评估工具 六.小结北邮 信息安全中心 崔宝江风险评估的历史 信息基础设施的评估阶段

12、信息基础设施的评估阶段r薄弱点评估薄弱点评估r渗透性评估渗透性评估 风险评估标准体系阶段风险评估标准体系阶段r从操作系统、网络发展到整个管理体系从操作系统、网络发展到整个管理体系r解决信息安全问题重点在于预防解决信息安全问题重点在于预防北邮 信息安全中心 崔宝江风险的要素 资产及其价值资产及其价值 威胁威胁 脆弱性脆弱性 现有的和计划的控制措施现有的和计划的控制措施(对策对策)北邮 信息安全中心 崔宝江风险要素之间的关系资产资产可能意识到可能意识到引起引起增加增加利用利用导致导致攻击者攻击者威胁威胁所有者所有者风险风险脆弱性脆弱性对策对策可能被减少可能被减少利用利用价值价值希望最小化希望最小化

13、希望滥用或破坏希望滥用或破坏可能具有可能具有减少减少到到到到北邮 信息安全中心 崔宝江风险要素之间的关系资产拥有者威胁来源信息资产威胁脆弱性安全风险(风险值)对策北邮 信息安全中心 崔宝江风险的要素资产资产是任何对组织有价值资产是任何对组织有价值的东西的东西资产的分类资产的分类r软件：基础应用软件（如数据库软件）、操作系统软件：基础应用软件（如数据库软件）、操作系统r硬件设施：主机、路由器、防火墙、交换机等硬件设施：主机、路由器、防火墙、交换机等r实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等光盘打印机、

14、复印机等r人员：包括各级安全组织，安全人员、各级管理人员，网管员，系人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等统管理员，业务操作人员，第三方人员等r电子数据：所有通过网络能访问到的数据电子数据：所有通过网络能访问到的数据r服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等明等r其他：公司形象、公司信誉和客户关系其他：公司形象、公司信誉和客户关系北邮 信息安全中心 崔宝江风险的要素威胁 威胁是可能导致信息安全事故和组织信息资产损威胁是可能导致信息安全事故和组织信息资产损失的活

15、动，威胁是利用脆弱性来造成后果失的活动，威胁是利用脆弱性来造成后果 威胁举例威胁举例r自然威胁：洪水、地震、飓风、泥石流、雪崩、电风自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。暴及其他类似事件。r人为威胁：由人激发或引发的事件，例如无意识行为人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问）件上传、对秘密信息的未授权访问）r环境威胁：长时间电力故障、污染、化学、液体泄漏环境威胁：长时间电力故障、污染、化学、液体泄漏等。等。北邮 信息安全中心 崔宝江风险的要

16、素脆弱性与信息资产有关的弱点或安全隐患，与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。产造成危害。脆弱性举例脆弱性举例r系统漏洞系统漏洞r配置不当配置不当r程序程序Bugr专业人员缺乏专业人员缺乏r弱口令弱口令r缺乏安全意识缺乏安全意识r后门后门北邮 信息安全中心 崔宝江资产、威胁和脆弱性对应关系资产资产威胁威胁A威胁威胁B来源来源A1来源来源A2来源来源B1来源来源B2脆弱点脆弱点A1脆弱点脆弱点A2。脆弱点脆弱点B1脆

17、弱点脆弱点B2。每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点北邮 信息安全中心 崔宝江北邮 信息安全中心 崔宝江风险分析方法目前并没有使用所谓正确或错误的方法重要的是选择使用一个适合本组织的方法许多方法都会使用表格并结合主观和经验判断同一组织内，也可以根据不同等级的风险，运用不同的风险分析方法对信息安全的评估很难量化风险评估方法概述北邮 信息安全中心 崔宝江 定性分析定性分析 定量分析定量分析 综合方法综合方法风险评估方法概述北邮 信息安全中心 崔宝江定性分析适用于：定性分析适用于：初始的筛选活动，以鉴定出需要更仔细分

18、析的风险初始的筛选活动，以鉴定出需要更仔细分析的风险风险程度和经济上的考虑风险程度和经济上的考虑数据不足以进行定量分析的情况数据不足以进行定量分析的情况定性分析：定性分析：对后果和可能性进行分析对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）程度和可能性的大小（如高、中、低等）分析的有效性取决于所用的数值精确度和完整性分析的有效性取决于所用的数值精确度和完整性。定性的风险分析北邮 信息安全中心 崔宝江风险分析矩阵风险分析矩阵风险程度风险程度 可能性可能性 后果后果可以忽略可以忽略1较小较小2中等中

19、等3较大较大4灾难性灾难性5A（几乎肯定）（几乎肯定）HHEEEB（很可能）（很可能）MHH EEC (可能）可能）LMHEED（不太可能）（不太可能）LLMHEE（罕见）（罕见）LLMHH E E：极度风险：极度风险 H H：高风险：高风险 M M：中等风险：中等风险 L:L:低风险低风险定性的风险分析北邮 信息安全中心 崔宝江E E：极度风险：极度风险-要求立即采取措施要求立即采取措施H H：高风险：高风险-需要高级管理部门的注意需要高级管理部门的注意M M：中等风险：中等风险-必须规定管理责任必须规定管理责任L:L:低风险低风险-用日常程序处理用日常程序处理风险的处理措施（示例）风险的处

20、理措施（示例）定性的风险分析北邮 信息安全中心 崔宝江 定量分析：定量分析：对后果和可能性进行分析对后果和可能性进行分析采用量化的数值描述后果（估计出可能损失的金额）采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）和可能性（概率或频率）分析的有效性取决于所用的数值精确度和完整性分析的有效性取决于所用的数值精确度和完整性。定量分析适用于：定量分析适用于：当部分的公司资产已具有量化的价值当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级再根据损失的大小决定风险等级定量的风险分析北邮 信息安全中心

21、崔宝江年度化损失运算表（频率）年度化损失运算表（频率）不可能 0.0300年一次 1/300 0.00333200年一次 1/200 0.003100年一次 1/100 0.0150年一次 1/50 0.0225年一次 1/25 0.045年一次 1/5 0.20定量的风险分析北邮 信息安全中心 崔宝江简易的定量计算公式：简易的定量计算公式：资产价值（资产价值（v)v)乘以可能性（乘以可能性（L L）可以得出）可以得出 ALE ALE（年度风险损失），即：（年度风险损失），即：ALE=V L定量的风险分析北邮 信息安全中心 崔宝江半定量分析：半定量分析：在半定量分析中，上述的那些定性数值范围均

22、为已知值。在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。程度具有精确的关系。半定量分析的目的是为了得到比通常在定性分析中所得到半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度的更为详细的风险程度，但并非要提出任何在定量分析中，但并非要提出任何在定量分析中所得到的风险实际值。所得到的风险实际值。半定量分析北邮 信息安全中心 崔宝江定性风险分析的优点 1.简易的计算方式 2.不必精确算出资产价值 3.不需得到量化的威胁发生率 4.非技术或非安全背景的员工

23、也能轻易参与 5.流程和报告形式比较有弹性定性风险分析的缺点 1.本质上是非常主观的 2.对关键资产的财务价值评估参考性较低 3.缺乏对风险降低的成本分析定性分析与定量分析的比较北邮 信息安全中心 崔宝江定量风险分析的优点 1.大体来说其结果都是建立在独立客观的程序或量化指标上 2.大部分的工作集中在制定资产价值和减缓可能风险 3.主要目的是做成本效益的审核定量风险分析的缺点 1.风险计算方法复杂 2.需要自动化工具及相当的基础知识 3.投入大 4.个人难以执行 5.很难中途改变方向 6.不会有范围之外的结果定性分析与定量分析的比较北邮 信息安全中心 崔宝江风险的函数表达：R=f（a,v,t）

24、R：风险 a：资产的价值 v：资产本身的脆弱性 t：资产所面临的威胁基于要素的风险分析北邮 信息安全中心 崔宝江1.1.资产的价值资产的价值 运用运用ISO17799ISO17799中对信息安全的定义来衡量资产价值：中对信息安全的定义来衡量资产价值：ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailability基于要素的风险分析北邮 信息安全中心 崔宝江1.1.资产的价值资产的价值保密性（C）价值分类详细说明 1公开资讯 非敏感的资讯，公用的资讯处理设施和系统资源 2内部使用 非敏感但仅限公司内部使用的资讯（非公

25、开）3限定使用 受控的资讯，需有业务需求方得以授权使用 4秘密敏感的资讯，资讯处理设施和系统资源只给必知者 5极机密敏感资讯，资讯处理设施和系统资源仅适用及少数必知者。基于要素的风险分析北邮 信息安全中心 崔宝江完整性（I）价值分类详细说明 1非常低未经授权的破坏或修改不会对资讯系统造成重大影响且或对业务冲击可忽略 2 低未经授权的破坏或修改不会对资讯系统造成重大影响且或对业务冲击轻微 3 中等未经授权的破坏或修改已对资讯系统造成影响且或对业务有明显冲击 4 高未经授权的破坏或修改对资讯系统有重大影响且或对业务严重 5非常高未经授权的破坏或修改对资讯系统有重大影响且可能导致严重的业务中断。1.

26、1.资产的价值资产的价值基于要素的风险分析北邮 信息安全中心 崔宝江可用性（A）价值分类详细说明1非常低合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到25%以上。2低合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到50%以上。3中等合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到90%以上。4高合法使用者对信息系统及资源的存取可用度达到每天95%以上。5非常高合法使用者对信息系统及资源的存取可用度达到每天99.9%以上。1.1.资产的价值资产的价值基于要素的风险分析北邮 信息安全中心 崔宝江资产的价值资产的保护是信息安全和风险管理的首要目标。每个资产都应该

27、r 被识别与评价以提供适当保护。r 资产的拥有者与使用者须清楚识别。应盘点资产并建立资产清单基于要素的风险分析北邮 信息安全中心 崔宝江 识别资产的脆弱性识别资产的脆弱性 资产本身的安全问题是什么？资产本身的安全问题是什么？这个资产缺少什么安全措施？这个资产缺少什么安全措施？分析脆弱程度分析脆弱程度 这个脆弱性被利用的程度有多高？这个脆弱性被利用的程度有多高？相对的防护措施有效性？相对的防护措施有效性？定义脆弱性的计量定义脆弱性的计量 可利用可利用“低低”，“中中”，“高高”来表示。来表示。2.脆弱性分析脆弱性分析基于要素的风险分析北邮 信息安全中心 崔宝江 识别资产的威胁识别资产的威胁r 鉴

28、别威胁的目标（什么资产会被威胁？）鉴别威胁的目标（什么资产会被威胁？）r 为什么会造成这威胁？为什么会造成这威胁？r 找出威胁的相关性找出威胁的相关性r 它有影响吗？重要或严重吗？它有影响吗？重要或严重吗？r 有没有被它利用的脆弱点？有没有被它利用的脆弱点？鉴别威胁的可能性鉴别威胁的可能性r 利用利用“不可能不可能”，“可能可能”，“非常可能非常可能”来表示来表示3.威胁分析威胁分析基于要素的风险分析北邮 信息安全中心 崔宝江风险计算：项项 目目威胁等级威胁等级低低中中高高脆弱性等级脆弱性等级低低中中高高低低中中高高低低中中高高资产价值资产价值0012123234112323434522343

29、4545633454565674456567678基于要素的风险分析北邮 信息安全中心 崔宝江信息系统风险评估 一.概述 二.风险评估内容和方法 三.风险评估实施过程 四.风险评估实践和案例 五.风险评估工具 六.小结北邮 信息安全中心 崔宝江风险评估过程前期准备阶段主要任务是：明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。中期现场阶段 编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究工作。人员调查技术调查后期评估阶段 撰写系统测试报告，进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最

30、终的系统风险评估报告。风险信息评估风险控制策略北邮 信息安全中心 崔宝江风险评估过程否否是风险评估的准备已有安全措施的确认风险计算风险是否接风险是否接受受保持已有的控制保持已有的控制措施措施选择控制措施选择控制措施并评估残余风险并评估残余风险实施风险管理是脆弱性识别威胁识别资产识别是否接受残余风险是否接受残余风险 风险识别与评价风险评估风险评估记录记录风险评估风险评估报告报告风险评估结果记录风险处置风险处置报告报告.资产资产清单清单风险处置风险处置措施措施北邮 信息安全中心 崔宝江风险评估过程建立风险评估小组确定风险评估的范围建立资产列表对资产进行赋值建立漏洞列表建立威胁列表建立与威胁相关的控

31、件列表提供风险评估报告进行风险处置（风险管理）北邮 信息安全中心 崔宝江 由管理委员会建立风险评估小组由管理委员会建立风险评估小组r风险评估小组主要由风险评估小组主要由组长：设计内部审核计划同时管理副组长和各部门协调人员组长：设计内部审核计划同时管理副组长和各部门协调人员副组长：负责协调具体的风险评估工作副组长：负责协调具体的风险评估工作成员：配合副组长完成风险评估工作成员：配合副组长完成风险评估工作风险评估过程北邮 信息安全中心 崔宝江 因为对于一个大型的企业或行业客户来讲，公因为对于一个大型的企业或行业客户来讲，公司的整个信息系统的规模非常大，而且有很多司的整个信息系统的规模非常大，而且有

32、很多类似的地方，所以如果对整个范围做评估，成类似的地方，所以如果对整个范围做评估，成本较高、周期较长，对于企业不合适，所有需本较高、周期较长，对于企业不合适，所有需要划定范围。要划定范围。通过认证范围制定风险评估的范围通过认证范围制定风险评估的范围 一般规则为：一般规则为：r公司总部的信息系统评估公司总部的信息系统评估r某个分公司整体的信息系统评估某个分公司整体的信息系统评估r某个分公司机房的信息系统评估某个分公司机房的信息系统评估r某个分公司用户使用信息系统评估某个分公司用户使用信息系统评估风险评估过程北邮 信息安全中心 崔宝江建立资产列表和资产分类建立资产列表和资产分类r资产分为资产分为7

33、个组个组软件：基础应用软件（如数据库软件）、操作系统软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据电子数据：所有通过网络能访问到的数据服务性设

34、施：电源、空调、保险柜、文件柜、门禁、消防设施、服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等照明等其他：公司形象、公司信誉和客户关系其他：公司形象、公司信誉和客户关系风险评估过程北邮 信息安全中心 崔宝江 对资产进行赋值对资产进行赋值r 根据资产在公司中使用的人数及本身的价值、重要性，对资产进根据资产在公司中使用的人数及本身的价值、重要性，对资产进行赋值。行赋值。信息资产分别具有不同的安全属性，机密性、完整性和可用信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通性分别反映了资产在三个不同方面的特性。安全属性的不同通常也

35、意味着安全控制、保护功能需求的不同。通过考察三种不常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行半量于进一步考察资产相关的弱点、威胁和风险属性，并进行半量化。化。风险评估过程北邮 信息安全中心 崔宝江 建立弱点列表建立弱点列表r 弱点列表，包含所有信息系统中存在的漏洞，该漏洞列表需要根弱点列表，包含所有信息系统中存在的漏洞，

36、该漏洞列表需要根据系统资源和信息资源的变化，不断的修改和增加。据系统资源和信息资源的变化，不断的修改和增加。r 典型的弱点为：典型的弱点为：建立威胁列表建立威胁列表r 列出每个资产可能存在的威胁。威胁是潜在存在着的，在某种时列出每个资产可能存在的威胁。威胁是潜在存在着的，在某种时机或场合下利用漏洞而对信息系统造成危害。机或场合下利用漏洞而对信息系统造成危害。建立与威胁相关的控件列表建立与威胁相关的控件列表r 当得到所有资产威胁后，根据资产威胁归纳出与该资产威胁相关当得到所有资产威胁后，根据资产威胁归纳出与该资产威胁相关的控件列表的控件列表r 把相应的控件对象和控件复制到资产列表中。得到一个总结

37、性的把相应的控件对象和控件复制到资产列表中。得到一个总结性的文档文档“风险评估中使用的控件列表风险评估中使用的控件列表”风险评估过程北邮 信息安全中心 崔宝江 一份总结性的报告提供给管理委员会。一份总结性的报告提供给管理委员会。r这份报告概述整个信息安全管理体系，是符合这份报告概述整个信息安全管理体系，是符合此单位的信息安全方针和长期发展目标的。此单位的信息安全方针和长期发展目标的。r从这份报告中，能够非常清楚的知道资产的值从这份报告中，能够非常清楚的知道资产的值,组织可以能够重视资产值高的资产同时使用相组织可以能够重视资产值高的资产同时使用相应的控件对象，控件和对策。应的控件对象，控件和对策

38、。风险评估过程北邮 信息安全中心 崔宝江 监控和回顾监控和回顾r信息安全小组做完评估工作以后，应该对资产信息安全小组做完评估工作以后，应该对资产的评估报告与资产情况进行有规则的监控和审的评估报告与资产情况进行有规则的监控和审核核每半年重新进行一次风险评估每半年重新进行一次风险评估资产发生重大变化时资产发生重大变化时公司业务发生重大变化时公司业务发生重大变化时出现重大信息安全漏洞或发生重大信息安全事件时出现重大信息安全漏洞或发生重大信息安全事件时出现其它需要重新进行风险评估的情形时出现其它需要重新进行风险评估的情形时风险评估过程北邮 信息安全中心 崔宝江风险处置 风险处置方法风险处置方法r拒绝风

39、险（下策）拒绝风险（下策）r转移风险（中策）转移风险（中策）r减少风险减少风险（上策）（上策）r接受风险（上、中、下策）接受风险（上、中、下策）风险处置计划风险处置计划 风险处置实施，形成风险处置报告风险处置实施，形成风险处置报告 风险处置监督、检查和改进风险处置监督、检查和改进北邮 信息安全中心 崔宝江信息系统风险评估 一.概述 二.风险评估内容和方法 三.风险评估实施过程 四.风险评估实践和案例 五.风险评估工具 六.小结北邮 信息安全中心 崔宝江风险评估实践和案例 某公司的某公司的OA网数据库服务器，放置在公网上，未网数据库服务器，放置在公网上，未做任何的防护措施，因为存在做任何的防护措

40、施，因为存在RPC DCOM的漏洞，的漏洞，遭到入侵者攻击，被迫中断遭到入侵者攻击，被迫中断3天。天。资产资产 数据库服务器数据库服务器弱点弱点 RPC DCOM漏洞漏洞威胁威胁 入侵者入侵者威胁发生的可能性威胁发生的可能性 非常可能非常可能 影响影响 服务中断服务中断3天天风险风险 服务器遭到入侵服务器遭到入侵北邮 信息安全中心 崔宝江信息系统风险评估 一.概述 二.风险评估内容和方法 三.风险评估实施过程 四.风险评估实践和案例 五.风险评估工具 六.小结北邮 信息安全中心 崔宝江风险评估工具 综合评估和管理工具综合评估和管理工具 脆弱性评估工具脆弱性评估工具 风险评估辅助工具和支撑工具风

41、险评估辅助工具和支撑工具北邮 信息安全中心 崔宝江综合评估和管理工具 Asset-1评估工具评估工具 Cobra评估工具评估工具 RiskPAC评估工具评估工具 RiskWatch评估工具评估工具 XACTA评估工具评估工具北邮 信息安全中心 崔宝江脆弱性评估工具 商业产品商业产品rSTATrISSrRetinar天镜脆弱性扫描与管理系统天镜脆弱性扫描与管理系统r极光远程安全评估系统极光远程安全评估系统 开源及共享软件开源及共享软件rNessusr流光流光rX-scan北邮 信息安全中心 崔宝江风险评估辅助工具和支撑工具 SnifferPro Iris CVE WhiteHats Bugtra

42、q北邮 信息安全中心 崔宝江信息系统风险评估 一.概述 二.风险评估内容和方法 三.风险评估实施过程 四.风险评估实践和案例 五.风险评估工具 六.小结北邮 信息安全中心 崔宝江风险评估的错误理解r风险评估的结果唯一风险评估的结果唯一r风险评估可以发现所有安全问题风险评估可以发现所有安全问题r风险评估可以一劳永逸的解决安全问题风险评估可以一劳永逸的解决安全问题r风险评估就是漏洞扫描风险评估就是漏洞扫描r风险评估是风险评估是IT部门的工作，与其它部门无关部门的工作，与其它部门无关r风险评估是对机构的所有信息资产都进行评估风险评估是对机构的所有信息资产都进行评估北邮 信息安全中心 崔宝江总结 风险评估可以明确信息系统的安全现状风险评估可以明确信息系统的安全现状 风险评估可以确定信息系统的主要安全风风险评估可以确定信息系统的主要安全风险险 风险评估是信息系统安全技术体系与管理风险评估是信息系统安全技术体系与管理体系建设的基础体系建设的基础北邮 信息安全中心 崔宝江Q&A