cisp0302信息安全風(fēng)險管理

1、信息安全風(fēng)險管理信息安全風(fēng)險管理培訓(xùn)機構(gòu)名稱講師名稱課程內(nèi)容課程內(nèi)容2知識域：風(fēng)險管理工作內(nèi)容知識域：風(fēng)險管理工作內(nèi)容v 知識子域：風(fēng)險管理工作主要內(nèi)容 掌握建立背景的主要工作內(nèi)容 掌握風(fēng)險評估的主要工作內(nèi)容 掌握風(fēng)險處置的主要工作內(nèi)容 掌握批準(zhǔn)監(jiān)督的主要工作內(nèi)容 掌握監(jiān)控審查的主要工作內(nèi)容 掌握溝通咨詢的主要工作內(nèi)容3風(fēng)險管理是各行業(yè)采取的普遍工作方法風(fēng)險管理是各行業(yè)采取的普遍工作方法4通用風(fēng)險管理定義通用風(fēng)險管理定義v定義 是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。 風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。 理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可

2、能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。5信息安全工作為什么需要風(fēng)險管理方式信息安全工作為什么需要風(fēng)險管理方式常見問題常見問題問題根源淺析問題根源淺析安全投資逐年增加，但看不到收益沒有根據(jù)風(fēng)險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導(dǎo)致有限資金的有效利用率低按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn)沒有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風(fēng)險。IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個領(lǐng)域決策者沒有看到安全投資收益報告，資金劃撥無參考依據(jù)。當(dāng)了CIO，時刻擔(dān)心系統(tǒng)出事，無法預(yù)見可能會出什么事沒有殘余風(fēng)險清單，在什么條件可被觸發(fā)，如何做好控制6信息安全

3、工作為什么需要風(fēng)險管理方式（續(xù)）信息安全工作為什么需要風(fēng)險管理方式（續(xù)）v信息安全風(fēng)險和事件不可能完全避免，沒有絕對的安全。v信息安全是高技術(shù)的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點v因此管理信息安全必須以風(fēng)險管理的方式，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險，而不是完全消除風(fēng)險。7風(fēng)險管理是信息安全保障工作有效工作方式風(fēng)險管理是信息安全保障工作有效工作方式v好的風(fēng)險管理過程可以讓機構(gòu)以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平。v好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風(fēng)險。而不是將保貴的資源用于解決所有可能的風(fēng)險

4、v風(fēng)險管理是一個持續(xù)的PDCA管理過程。8什么是信息安全風(fēng)險管理什么是信息安全風(fēng)險管理v定義一：GB/Z 24364信息安全風(fēng)險管理指南 信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。v定義二：在組織機構(gòu)內(nèi)部識別、優(yōu)化、管理風(fēng)險，使風(fēng)險降低到可接受水平的過程。 9正確的風(fēng)險管理方法正確的風(fēng)險管理方法10保護(hù)人身安全遏制損害評估損害確定損害部位修復(fù)損害部位審查響應(yīng)過程并更新安全策略反應(yīng)性風(fēng)險管理評估風(fēng)險實施風(fēng)險決策風(fēng)險控制評定風(fēng)險管理的有效性前瞻性風(fēng)險管理+=前瞻性風(fēng)險管理反應(yīng)性風(fēng)險管理風(fēng)險管理最佳實踐 流行性感冒是一種致命的呼吸道疾病，美國每年都會有數(shù)以百萬計的

5、感染者。這些感染者中，至少有 100,000 人必須入院治療，并且約有 36,000 人死亡。 您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。 此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險管理方法。信息安全風(fēng)險管理的目標(biāo)信息安全風(fēng)險管理的目標(biāo)v信息安全屬性11信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語 資產(chǎn)（Asset） 威脅源（Threat Agent） 威脅（ Threat ） 脆弱性（Vunerability） 控制措施（Countermeasure,safeguard,control） 可能性（Likelihood

6、,Probability） 影響（ Impact,loss ） 風(fēng)險（ Risk） 殘余風(fēng)險（Residental Risk）12信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -資產(chǎn)資產(chǎn)v資產(chǎn)是任何對組織有價值的東西，是要保護(hù)的對象v資產(chǎn)以多種形式存在（多種分類方法） 物理的（如計算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計算程序和數(shù)據(jù)文件等）； 硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應(yīng)用軟件等）； 有形的（如機房、設(shè)備和人員等）和無形的（如品牌、信心和名譽等）； 靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等）； 技

7、術(shù)的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等。13信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -威脅威脅v是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動。v威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險v威脅舉例： 操作失誤 濫用授權(quán) 行為抵賴 身份假冒 口令攻擊 密鑰分析14 漏洞利用 拒絕服務(wù) 竊取數(shù)據(jù) 物理破壞 社會工程信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -脆弱性脆弱性v是與信息資產(chǎn)有關(guān)的弱點或安全隱患。v是造成風(fēng)險的內(nèi)因。v脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當(dāng)?shù)耐{方式對信息資產(chǎn)造成危害。v脆弱性舉例 系統(tǒng)

8、程序代碼缺陷 系統(tǒng)設(shè)備安全配置錯誤 系統(tǒng)操作流程有缺陷 維護(hù)人員安全意識不足15信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -控制措施控制措施v是根據(jù)安全需求部署，用來防范威脅，降低風(fēng)險的措施。v舉例 部署防火墻、入侵檢測、審計系統(tǒng) 測試環(huán)節(jié) 操作審批環(huán)節(jié) 應(yīng)急體系 終端U盤管理制度16信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -可能性可能性v是指威脅源利用脆弱性造成不良后果的可能性。v舉例 脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的可能性很小 系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運行，發(fā)生的可能性較小。 互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測試工具，發(fā)生不良后果的可能性很大。17信息安全風(fēng)險

9、術(shù)語信息安全風(fēng)險術(shù)語- -影響影響v是指威脅源利用脆弱性造成不良后果的程度大小v舉例 網(wǎng)站被黑客控制，國家級網(wǎng)站比省市網(wǎng)站的名譽損失大很多。 銀行門戶網(wǎng)站和內(nèi)部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。 同樣型號路由器被攻破，用于互聯(lián)網(wǎng)骨干路由要比企業(yè)內(nèi)部系統(tǒng)的路由器損失更大。18信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -風(fēng)險風(fēng)險v是指威脅源采用恰當(dāng)?shù)耐{方式利用脆弱性造成不良后果。 網(wǎng)站存在SQL注入漏洞，普通攻擊者普通攻擊者利用自動化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽19威脅源威脅方式脆弱性風(fēng)險采取利用造成信息安全風(fēng)險術(shù)語之間的關(guān)系信息安全風(fēng)險術(shù)語之間的關(guān)系20威脅源

10、威脅方式脆弱性風(fēng)險采取利用造成資產(chǎn)不良影響控制措施破壞造成受控制直接影響信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -風(fēng)險風(fēng)險vGB/T 20984的定義：信息安全風(fēng)險 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。v信息安全風(fēng)險是指一種特定的威脅利用威脅利用一種或一組脆弱性脆弱性造成組織的資產(chǎn)損失或損害資產(chǎn)損失或損害的可能性可能性。v信息安全風(fēng)險是指信息資產(chǎn)的保密性、完整性和信息資產(chǎn)的保密性、完整性和可用性可用性遭到破壞的可能性。v信息安全風(fēng)險只考慮那些對組織有負(fù)面影響的事負(fù)面影響的事件件。21信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -殘余風(fēng)險殘余風(fēng)險v是

11、指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。v有些殘余風(fēng)險是在綜合考慮了安全成本與效益后不去控制的風(fēng)險v殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件v舉例 風(fēng)險列表中有10類風(fēng)險，根據(jù)風(fēng)險成本效益分析，只有前8項需要控制，則另2項為殘余風(fēng)險，一段時間內(nèi)系統(tǒng)處于風(fēng)險可接受水平。22信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -風(fēng)險評估風(fēng)險評估 信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大

12、限度地保障信息安全提供科學(xué)依據(jù)。23風(fēng)險評估的理解風(fēng)險評估的理解v信息系統(tǒng)的安全風(fēng)險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險。所以信息安全評估是一個長期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險評估。v風(fēng)險評估是分析確定風(fēng)險的過程。v風(fēng)險評估的目的是控制風(fēng)險。v風(fēng)險評估是風(fēng)險管理的起點和基礎(chǔ)環(huán)節(jié)v風(fēng)險管理是在倡導(dǎo)適度安全24信息安全風(fēng)險術(shù)語信息安全風(fēng)險術(shù)語- -風(fēng)險評估風(fēng)險評估vsvs風(fēng)險管理風(fēng)險管理 風(fēng)險管理風(fēng)險管理風(fēng)險評估風(fēng)險評估目標(biāo)目標(biāo)將風(fēng)險降低到可接受水平確定面臨的風(fēng)險并確定其優(yōu)先級周期周期包括風(fēng)險評估、風(fēng)險決策、風(fēng)險控制等所有階段風(fēng)險管理中的單

13、個階段計劃計劃持續(xù)（PDCA）按需要25信息安全風(fēng)險管理工作內(nèi)容信息安全風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查溝通咨詢溝通咨詢v GB/Z 24364信息安全風(fēng)險管理指南 四個階段，兩個貫穿。 -26建立背景建立背景v背景建立是信息安全風(fēng)險管理的第一步驟，確定風(fēng)險管理的對象和范圍，確立實施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析。 風(fēng)險管理準(zhǔn)備：確定對象、組建團隊、制定計劃、獲得支持 信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素 信息安全分析：分析安全要求、分析安全環(huán)境27背景建立過程背景建立過程28風(fēng)險管理工作內(nèi)容風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查

14、溝通咨詢溝通咨詢29風(fēng)險評估風(fēng)險評估v信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動。 風(fēng)險分析準(zhǔn)備：制定風(fēng)險評估方案、選擇評估方法 風(fēng)險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 風(fēng)險分析：判斷風(fēng)險發(fā)生的可能性和影響的程度 風(fēng)險結(jié)果判定：綜合分析結(jié)果判定風(fēng)險等級30風(fēng)險評估過程風(fēng)險評估過程31風(fēng)險管理工作內(nèi)容風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查溝通咨詢溝通咨詢32風(fēng)險處理風(fēng)險處理v風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)。 現(xiàn)存風(fēng)險判斷：判斷信息系統(tǒng)中哪些風(fēng)險可以接受，哪些不可以 處理目標(biāo)確認(rèn)：不可接受的風(fēng)險需要控制到怎樣的程度 處理措施選擇：選擇風(fēng)險處理方式，確

15、定風(fēng)險控制措施 處理措施實施：制定具體安全方案，部署控制措施33風(fēng)險處理過程風(fēng)險處理過程34v減低風(fēng)險v轉(zhuǎn)移風(fēng)險v規(guī)避風(fēng)險v接受風(fēng)險常用的四類風(fēng)險處置方法常用的四類風(fēng)險處置方法35減低風(fēng)險減低風(fēng)險v通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施來降低風(fēng)險 v首先應(yīng)當(dāng)考慮的風(fēng)險處置措施，通常在安全投入小于負(fù)面影響價值的情況下采用。v保護(hù)措施可以從構(gòu)成風(fēng)險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風(fēng)險。36減低風(fēng)險的具體辦法減低風(fēng)險的具體辦法v減少威脅源： 采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；v減低威脅能力： 采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為

16、的能力；v減少脆弱性： 及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；37減低風(fēng)險的具體辦法減低風(fēng)險的具體辦法v防護(hù)資產(chǎn)： 采用各種防護(hù)措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持；v降低負(fù)面影響： 采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施，從而減少安全事件造成的影響程度。38轉(zhuǎn)移風(fēng)險轉(zhuǎn)移風(fēng)險v通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險。v通常只有當(dāng)風(fēng)險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險。 39轉(zhuǎn)移風(fēng)險的具體做法轉(zhuǎn)移風(fēng)險的具體做法v在本

17、機構(gòu)不具備足夠的安全保障的技術(shù)能力時，將信息系統(tǒng)的技術(shù)體系（即信息載體部分）外包給滿足安全保障要求的第三方機構(gòu)，從而避免技術(shù)風(fēng)險。v通過給昂貴的設(shè)備上保險，將設(shè)備損失的風(fēng)險轉(zhuǎn)移給保險公司，從而降低資產(chǎn)價值的損失。 40規(guī)避風(fēng)險規(guī)避風(fēng)險v通過不使用面臨風(fēng)險的資產(chǎn)來避免風(fēng)險。比如： 在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏。 對于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊。 v通常在風(fēng)險的損失無法接受，又難以通過控制措施減低風(fēng)險的情況下41接受風(fēng)險接受風(fēng)險v接受風(fēng)險是選擇對風(fēng)險不采取進(jìn)一步的處理措施，接受風(fēng)險可能帶來的結(jié)果。 v用于

18、那些在采取了降低風(fēng)險和避免風(fēng)險措施后，出于實際和經(jīng)濟方面的原因，只要組織進(jìn)行運營，就必然存在并必須接受的風(fēng)險。 v接受風(fēng)險不意味著不聞不問，需要對風(fēng)險態(tài)勢變化進(jìn)行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風(fēng)險就要進(jìn)一步采取措施。42風(fēng)險管理工作內(nèi)容風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查溝通咨詢溝通咨詢43批準(zhǔn)監(jiān)督批準(zhǔn)監(jiān)督v批準(zhǔn)：是指機構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險管理活動的決定v監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險44批準(zhǔn)監(jiān)督過程批準(zhǔn)監(jiān)督過程45風(fēng)險管理工作內(nèi)容風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查溝通咨詢

19、溝通咨詢46監(jiān)控審查的意義監(jiān)控審查的意義v 監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險管理主循環(huán)的有效性。47監(jiān)控審查過程監(jiān)控審查過程48風(fēng)險管理工作內(nèi)容風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查溝通咨詢溝通咨詢49溝通咨詢溝通咨詢v通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓(xùn)和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在風(fēng)險管理風(fēng)險管理與領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn)。單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作。與支持單位和系統(tǒng)用戶溝通，以得到了解和支持。為所有層面的

20、相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識、知識和技能50溝通咨詢過程溝通咨詢過程51知識域：風(fēng)險管理工作內(nèi)容知識域：風(fēng)險管理工作內(nèi)容v知識子域：系統(tǒng)生命周期中的風(fēng)險管理 掌握系統(tǒng)規(guī)劃階段的風(fēng)險管理工作 掌握系統(tǒng)設(shè)計階段的風(fēng)險管理工作 掌握系統(tǒng)實施階段的風(fēng)險管理工作 掌握系統(tǒng)運行維護(hù)階段的風(fēng)險管理工作 掌握系統(tǒng)廢棄階段的風(fēng)險管理工作52何時作風(fēng)險管理何時作風(fēng)險管理v信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作 v是需要貫穿信息系統(tǒng)生命周期，持續(xù)進(jìn)行的工作規(guī)規(guī)劃劃設(shè)設(shè)計計實實施施運運維維廢廢棄棄53 明確信息系統(tǒng)安全建設(shè)的目的,對信息系統(tǒng)安全建設(shè)實現(xiàn)的可能性進(jìn)行分析論證分析論證并設(shè)計

21、設(shè)計出總體安全總體安全規(guī)劃規(guī)劃方案。 為了保證安全目標(biāo)的實現(xiàn)，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風(fēng)險的環(huán)節(jié)進(jìn)行風(fēng)險管理，從而降低在項目后期處理相同安全風(fēng)險所帶來的高額成本。規(guī)規(guī)劃劃設(shè)設(shè)計計實實施施運運維維廢廢棄棄系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理目標(biāo)系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理目標(biāo)54序號序號風(fēng)險管理活動風(fēng)險管理活動所處風(fēng)險管理過程所處風(fēng)險管理過程1明確安全總體方針背景建立2安全需求分析背景建立4風(fēng)險評估準(zhǔn)則達(dá)成一致風(fēng)險評估5安全實現(xiàn)論證分析風(fēng)險處理、批準(zhǔn)監(jiān)督系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理55 依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來設(shè)計信設(shè)計信息系統(tǒng)安全的實現(xiàn)結(jié)構(gòu)息

22、系統(tǒng)安全的實現(xiàn)結(jié)構(gòu)（包括功能劃分、接口協(xié)議和性能指標(biāo)等）和實施方案和實施方案（包括實現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等）。 在設(shè)計信息系統(tǒng)的實現(xiàn)結(jié)構(gòu)和實施方案時，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進(jìn)行安全風(fēng)險管理。規(guī)劃規(guī)劃設(shè)計設(shè)計實施實施運維運維廢棄廢棄風(fēng)險管理的目標(biāo)風(fēng)險管理的目標(biāo)56信息系統(tǒng)設(shè)計階段的信息安全風(fēng)險管理信息系統(tǒng)設(shè)計階段的信息安全風(fēng)險管理 序號序號風(fēng)險管理活動風(fēng)險管理活動所處風(fēng)險管理過程所處風(fēng)險管理過程1設(shè)計方案分析論證背景建立、風(fēng)險評估2安全技術(shù)選擇風(fēng)險處理3安全產(chǎn)品選擇風(fēng)險處理4自開發(fā)軟件設(shè)計風(fēng)險處理 風(fēng)險處理5

23、7v按照規(guī)劃和設(shè)計階段所定義的信息系統(tǒng)安全實施方案 采購采購設(shè)備和軟件，開發(fā)開發(fā)定制功能 集成、部署、配置和測試集成、部署、配置和測試信息系統(tǒng)的安全機制 培訓(xùn)人員培訓(xùn)人員 對是否允許系統(tǒng)投入運行是否允許系統(tǒng)投入運行進(jìn)行批準(zhǔn)監(jiān)督 。規(guī)劃規(guī)劃設(shè)計設(shè)計實施實施運維運維廢棄廢棄風(fēng)險管理的目標(biāo)風(fēng)險管理的目標(biāo)58信息系統(tǒng)實施階段的風(fēng)險管理信息系統(tǒng)實施階段的風(fēng)險管理 序號序號風(fēng)險管理活動風(fēng)險管理活動所處風(fēng)險管理過程所處風(fēng)險管理過程1安全測試風(fēng)險評估2檢查與配置風(fēng)險處理3人員培訓(xùn)風(fēng)險處理4授權(quán)系統(tǒng)運行批準(zhǔn)監(jiān)督59在信息系統(tǒng)經(jīng)過授權(quán)投入運行之后，確保在運行過程中，以及信息系統(tǒng)或其運行環(huán)境發(fā)生變化時維維持系統(tǒng)的正

24、常運行和安全性持系統(tǒng)的正常運行和安全性。規(guī)劃規(guī)劃設(shè)計設(shè)計實施實施運維運維廢棄廢棄風(fēng)險管理的目標(biāo)風(fēng)險管理的目標(biāo)60信息系統(tǒng)運行維護(hù)階段的風(fēng)險管理信息系統(tǒng)運行維護(hù)階段的風(fēng)險管理 序號序號風(fēng)險管理活動風(fēng)險管理活動所處風(fēng)險管理過程所處風(fēng)險管理過程1安全運行和管理風(fēng)險評估、風(fēng)險處理2變更管理風(fēng)險評估、風(fēng)險處理3風(fēng)險再評估風(fēng)險評估、風(fēng)險處理4定期重新審批批準(zhǔn)監(jiān)督61v確保對信息系統(tǒng)的過時或無用部分過時或無用部分進(jìn)行安全報廢安全報廢處理處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞。規(guī)劃規(guī)劃設(shè)計設(shè)計實施實施運維運維廢棄廢棄風(fēng)險管理的目標(biāo)風(fēng)險管理的目標(biāo)62信息系統(tǒng)廢棄階段的風(fēng)險管理信息系統(tǒng)廢棄階段的風(fēng)險管理序

25、號序號風(fēng)險管理活動風(fēng)險管理活動所處風(fēng)險管理過程所處風(fēng)險管理過程1確定廢棄對象背景建立2廢棄對象的風(fēng)險評估風(fēng)險評估3廢棄過程的風(fēng)險處理風(fēng)險處理4廢棄后的評審批準(zhǔn)監(jiān)督63知識域：信息安全風(fēng)險評估實踐知識域：信息安全風(fēng)險評估實踐v知識子域：風(fēng)險評估流程和方法 掌握國家對開展風(fēng)險評估工作的政策要求 理解風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系 掌握風(fēng)險評估的實施流程：風(fēng)險評估準(zhǔn)備、資產(chǎn)識別、威脅評估、脆弱性評估、已有安全措施確認(rèn)、風(fēng)險分析、風(fēng)險評估文檔記錄 理解定量風(fēng)險分析和定性風(fēng)險分析的區(qū)別及優(yōu)缺點 理解自評估和檢查評估的區(qū)別及優(yōu)缺點 掌握典型風(fēng)險計算方法：年度損失值（ALE）、矩陣法、相乘法 掌

26、握風(fēng)險評估工具：風(fēng)險評估與管理工具、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具、風(fēng)險評估輔助工具64國家對開展風(fēng)險評估工作的政策要求國家對開展風(fēng)險評估工作的政策要求1 1、國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見工作的意見（中辦發(fā)（中辦發(fā)200327200327號）中明確提出號）中明確提出：“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等

27、因素，進(jìn)性、涉密程度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理行相應(yīng)等級的安全建設(shè)和管理” 65國家對開展風(fēng)險評估工作的政策要求國家對開展風(fēng)險評估工作的政策要求2 2、國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信關(guān)于開展信息安全風(fēng)險評估工作的意見息安全風(fēng)險評估工作的意見（國信辦（國信辦【20062006】5 5號文）中明確規(guī)定了風(fēng)險評估工作的相關(guān)要號文）中明確規(guī)定了風(fēng)險評估工作的相關(guān)要求：求： 風(fēng)險評估的基本內(nèi)容和原則風(fēng)險評估的基本內(nèi)容和原則 風(fēng)險評估工作的基本要求風(fēng)險評估工作的基本要求 開展風(fēng)險評估工作的有關(guān)安排開展風(fēng)險評估工作的有關(guān)安排66關(guān)于開展信息安全風(fēng)

28、險評估工作關(guān)于開展信息安全風(fēng)險評估工作的意見的意見的實施要求的實施要求1、信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命、信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計階段，通過信息安全周期。在信息系統(tǒng)規(guī)劃設(shè)計階段，通過信息安全風(fēng)險評估工作，可以明確信息系統(tǒng)的安全需求及風(fēng)險評估工作，可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)，有針對性地制定和部署安全措施，其安全目標(biāo)，有針對性地制定和部署安全措施，從而避免產(chǎn)生欠保護(hù)或過保護(hù)的情況。從而避免產(chǎn)生欠保護(hù)或過保護(hù)的情況。2、在信息系統(tǒng)建設(shè)完成驗收時，通過風(fēng)險評估工作、在信息系統(tǒng)建設(shè)完成驗收時，通過風(fēng)險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)

29、計的安全功能可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。安全目標(biāo)。關(guān)于開展信息安全風(fēng)險評估工作關(guān)于開展信息安全風(fēng)險評估工作的意見的意見的實施要求的實施要求3、由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安、由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安全環(huán)境的變化，會不斷出現(xiàn)新的信息安全風(fēng)險，全環(huán)境的變化，會不斷出現(xiàn)新的信息安全風(fēng)險，因此，在信息系統(tǒng)的運行階段，應(yīng)當(dāng)定期進(jìn)行信因此，在信息系統(tǒng)的運行階段，應(yīng)當(dāng)定期進(jìn)行信息安全風(fēng)險評估，以檢驗安全措施的有效性以及息安全風(fēng)險評估，以檢驗安全措施的有效性以及對安全環(huán)境的

30、適應(yīng)性。當(dāng)安全形勢發(fā)生重大變化對安全環(huán)境的適應(yīng)性。當(dāng)安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時，應(yīng)及時進(jìn)行信息或信息系統(tǒng)使命有重大變更時，應(yīng)及時進(jìn)行信息安全風(fēng)險評估。安全風(fēng)險評估。4、信息安全風(fēng)險評估也是落實等級保護(hù)制度的重要、信息安全風(fēng)險評估也是落實等級保護(hù)制度的重要手段，應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定手段，應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)安全等級提供依據(jù)，根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求。求。關(guān)于開展信息安全風(fēng)險評估工作關(guān)于開展信息安全風(fēng)險評估工作的意見的意

31、見的管理要求的管理要求1、信息安全風(fēng)險評估工作敏感性強，涉及系統(tǒng)的關(guān)、信息安全風(fēng)險評估工作敏感性強，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險，入新的風(fēng)險，意見意見強調(diào)，必須高度重視信息強調(diào)，必須高度重視信息安全風(fēng)險評估的組織管理工作安全風(fēng)險評估的組織管理工作 2、為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險，、為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險，意見意見提出以下要求：提出以下要求：1）參與信息安全風(fēng)險評）參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承

32、擔(dān)相應(yīng)的責(zé)任和義務(wù)。息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。2）風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施）風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。約束力的保密協(xié)議。3）對關(guān)系國計民生和社會穩(wěn)）對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行。險評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行。 關(guān)于開展信息安全風(fēng)險評估工作關(guān)于開展信息安全風(fēng)險評估工作的意見的意見的管理要求的管理要求3、加快制定和完善信息安全風(fēng)險評

33、估有關(guān)技術(shù)標(biāo)準(zhǔn)、加快制定和完善信息安全風(fēng)險評估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布，盡快完善并頒布信息安全風(fēng)險評估指南信息安全風(fēng)險評估指南和和信息安全風(fēng)險管理指南信息安全風(fēng)險管理指南等國家標(biāo)準(zhǔn)，各行業(yè)等國家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)范。范。4、要加強信息安全風(fēng)險評估核心技術(shù)、方法和工具、要加強信息安全風(fēng)險評估核心技術(shù)、方法和工具的研究與攻關(guān)。的研究與攻關(guān)。 5、要從抓試點開始，逐步探索組織實施和管理的經(jīng)、要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，驗，用三年左右的時間用三年左右的時間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信

34、息系統(tǒng)普遍推行信息安全風(fēng)險評估工作，全要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工作，全面提高我國信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)面提高我國信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國信和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國信息化發(fā)展服務(wù)。息化發(fā)展服務(wù)。 CNITSEC7120712071號文件對電子政務(wù)提出要求號文件對電子政務(wù)提出要求3 3、為落實、為落實國家電子政務(wù)工程建設(shè)項目管理暫行辦國家電子政務(wù)工程建設(shè)項目管理暫行辦法法（發(fā)改委（發(fā)改委200755200755號令）對風(fēng)險評估的要求，號令）對風(fēng)險評估的要求， 發(fā)改高技【發(fā)改高技【20082008】20712071號

35、文件號文件關(guān)于加強國家電子關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知提出了具體要求：（相當(dāng)于提出了具體要求：（相當(dāng)于“信息安全審計信息安全審計”） 電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風(fēng)險評估工作電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風(fēng)險評估工作 評估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的評估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險的影響等安全措施和殘余風(fēng)險的影響等 項目建設(shè)單位應(yīng)在試運行期間開展風(fēng)險評估工作，作為項目建設(shè)單位應(yīng)在試運行期間開展風(fēng)險評估工作，作為項目驗收的重要依據(jù)項目驗收的重要依據(jù) 項目驗收申請時，

36、應(yīng)提交信息安全風(fēng)險評估報告項目驗收申請時，應(yīng)提交信息安全風(fēng)險評估報告 系統(tǒng)投入運行后，應(yīng)定期開展信息安全風(fēng)險評估系統(tǒng)投入運行后，應(yīng)定期開展信息安全風(fēng)險評估CNITSEC72風(fēng)險評估工作承擔(dān)單位風(fēng)險評估工作承擔(dān)單位國家保密局涉密國家保密局涉密信息系統(tǒng)安全保信息系統(tǒng)安全保密測評中心密測評中心涉密系統(tǒng)涉密系統(tǒng)非涉密系統(tǒng)非涉密系統(tǒng)中國信息安全測評中國信息安全測評中心中心國家信息技術(shù)安全研國家信息技術(shù)安全研究中心究中心公安部信息安全等公安部信息安全等級保護(hù)中心級保護(hù)中心風(fēng)險風(fēng)險評估評估專業(yè)專業(yè)隊伍隊伍CNITSEC73需要強調(diào)：一次測評兩個報告需要強調(diào)：一次測評兩個報告v發(fā)改委要求：一次測評工作，提交兩

37、個測評報告發(fā)改委要求：一次測評工作，提交兩個測評報告，即風(fēng)險評估報告和等保測評報告，即風(fēng)險評估報告和等保測評報告v風(fēng)險評估報告的格式由中國信息安全測評中心和風(fēng)險評估報告的格式由中國信息安全測評中心和國家信息技術(shù)安全研究中心牽頭制定，基本格式國家信息技術(shù)安全研究中心牽頭制定，基本格式參照原國信辦檢查評估的報告參照原國信辦檢查評估的報告v等保測評報告的格式由等級保護(hù)的主管部門負(fù)責(zé)等保測評報告的格式由等級保護(hù)的主管部門負(fù)責(zé)制定制定風(fēng)險評估、檢查評估和等級保護(hù)測風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系評之間的關(guān)系v等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安

38、全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評。v而風(fēng)險評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險識別、風(fēng)險分析、風(fēng)險評價活動。74風(fēng)險評估實施流程風(fēng)險評估實施流程75風(fēng)險評估是風(fēng)險評估是“健康體檢健康體檢”76資產(chǎn)威脅脆弱性現(xiàn)有控制措施人病毒病情預(yù)防措施風(fēng)險評估健康體檢風(fēng)險優(yōu)先級和風(fēng)險控制建議病情診斷和藥方 準(zhǔn)備準(zhǔn)備 識別識別 計算計算 報告報告 一個簡化的風(fēng)險評估流程：準(zhǔn)備（Readiness）、識別（Realization）、 計算（Calculation）、報告（Report） 識別 n 資產(chǎn) n 威脅 n 漏洞 準(zhǔn)備 n 資料審核 n S

39、LA n 工作計劃 n 組隊 計算 n 威脅概率 n 事件影響 n 風(fēng)險定級 報告 n 整改建議 n 各類文檔 77 風(fēng)險評估準(zhǔn)備工作風(fēng)險評估準(zhǔn)備工作 準(zhǔn)備工作中要注意的問題 n 相親：前期交流（成功案例簡介、測評機構(gòu)資質(zhì)簡介、被 測系統(tǒng) 大致規(guī)模、 測評服務(wù)費用測算） n 訂婚：服務(wù)水平協(xié)議SLA（獲取詳細(xì)資料的前提，對方的 授權(quán)、 雙方的義務(wù)，可和保密協(xié)議整合） n 甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場測評制訂問卷清單） n 乙方禮單：工作計劃（案例分析 綜合組、管理組、網(wǎng)絡(luò)組） n 迎親：進(jìn)場準(zhǔn)備（進(jìn)場通知，如對方或第三方人員；設(shè)備 準(zhǔn)備， 如工具等，標(biāo)識佩戴） 78 現(xiàn)場測評現(xiàn)場測

40、評 79現(xiàn)場測評工作要注意的問題 n 首次會議（必須），聽取對方高管的情況簡介，向被測單位有關(guān)人員說明此次任務(wù)、測評計劃介紹、雙方測評人 員的相互認(rèn)識 n 問詢技巧（直接提問，如業(yè)務(wù)重要性；間接提問，如安全 事件；反向提問，適合于所有方面） n 資料核對（拓?fù)浜藢Γ芾眢w系文檔，設(shè)計文檔，設(shè)備臺 賬） n 現(xiàn)場檢測（測試過程記錄、抓屏、數(shù)據(jù)提?。?n 末次會議（必須），向?qū)Ψ礁吖芎喴偨Y(jié)現(xiàn)場測評的初步結(jié)論，但切忌做最終結(jié)論 80 資產(chǎn)識別資產(chǎn)識別 n 資產(chǎn)識別在整個風(fēng)險評估中起什么作用？ 兩點：是整個風(fēng)險評估工作的起點和終點 n 資產(chǎn)識別的重點和難點是什么？ 一線：業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特

41、征（管理/技術(shù)） n 資產(chǎn)識別的方法有哪些？ 資產(chǎn)分類：樹狀法。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù)逐步往下細(xì)化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 81按信息形態(tài)分類按信息形態(tài)分類 資產(chǎn)識別資產(chǎn)識別8283 威脅識別威脅識別 n 威脅識別與資產(chǎn)識別是何關(guān)系？ 點和面：重點識別和全面識別 n 威脅識別的重點和難點是什么？ 三問：“敵人”在哪兒？效果如何？如何取證？ n 威脅識別的方法有哪些？ 日志分析歷史安全事件專家經(jīng)驗互聯(lián)網(wǎng)信息檢索威脅分類威脅分類v分為： 人為故意威脅 威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估 人為非故意威脅 判定威脅源、評估威脅源特點、評估威脅源

42、環(huán)境、評估事故發(fā)生時間 自然威脅 地震、海嘯、洪水。8485 脆弱性識別脆弱性識別 n 脆弱性識別的難點是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 n 脆弱性識別的方法有哪些？ 脆弱性分類：管理脆弱性。 結(jié)構(gòu)脆弱性（如安全域劃分不當(dāng)），操作脆弱性（如安全審計員業(yè)務(wù)生疏）；技術(shù)脆弱性。n 脆弱性識別與威脅識別是何關(guān)系？ 驗證：以資產(chǎn)為對象，對威脅識別進(jìn)行驗證 脆弱性識別內(nèi)容脆弱性識別內(nèi)容86常見脆弱性識別工作方式常見脆弱性識別工作方式87脆弱性識別方式脆弱性識別方式工作對象工作對象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機、應(yīng)用程序滲透測試系統(tǒng)各個層面安全架構(gòu)分析系統(tǒng)各個層面數(shù)

43、據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開發(fā)、運維技術(shù)人員?，F(xiàn)有安全控制措施識別現(xiàn)有安全控制措施識別v考慮： 防護(hù)性措施 威懾性措施 預(yù)警性措施 檢測性措施 應(yīng)急處理性措施88（二）風(fēng)險分析（二）風(fēng)險分析vGB/T 20984-2007 信息安全風(fēng)險評估規(guī)范給出信息安全風(fēng)險分析思路 89風(fēng)險值=R（A，T，V）= R(L(T，V)，F(xiàn)(Ia，Va )。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性； Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。方法方法優(yōu)點優(yōu)點缺點缺點定性定性1.簡

44、易的計算方式簡易的計算方式2.不必精確算出資產(chǎn)價值不必精確算出資產(chǎn)價值3.不需得到量化的威脅發(fā)生率不需得到量化的威脅發(fā)生率4.非技術(shù)或非安全背景的員工也能輕非技術(shù)或非安全背景的員工也能輕易參與易參與5.流程和報告形式比較有彈性流程和報告形式比較有彈性1.本質(zhì)上是非常主觀的本質(zhì)上是非常主觀的2.對關(guān)鍵資產(chǎn)的財務(wù)價值評估對關(guān)鍵資產(chǎn)的財務(wù)價值評估參考性較低參考性較低3.缺乏對風(fēng)險降低的成本分析缺乏對風(fēng)險降低的成本分析定量定量 1. 結(jié)果建立在獨立客觀的程序或量化結(jié)果建立在獨立客觀的程序或量化指標(biāo)上指標(biāo)上2.大部分的工作集中在制定資產(chǎn)價值和大部分的工作集中在制定資產(chǎn)價值和減緩可能風(fēng)險減緩可能風(fēng)險3.主

45、要目的是做成本效益的審核主要目的是做成本效益的審核1.風(fēng)險計算方法復(fù)雜風(fēng)險計算方法復(fù)雜2.需要自動化工具及相當(dāng)?shù)幕枰詣踊ぞ呒跋喈?dāng)?shù)幕A(chǔ)知識礎(chǔ)知識3.投入大投入大4.個人難以執(zhí)行個人難以執(zhí)行定量分析與定性分析定量分析與定性分析90定量分析方法定量分析方法v步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和間接影響v步驟2-確定單一預(yù)期損失SLE SLE 是指發(fā)生一次風(fēng)險引起的收入損失總額。 SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失。 （SLE 類似于定性風(fēng)險分析的影響。） 將資產(chǎn)價值與暴露系數(shù)相乘 (EF) 計算出 SLE。

46、暴露系數(shù)表示為現(xiàn)實威脅對某個資產(chǎn)造成的損失百分比。 v步驟3-確定年發(fā)生率ARO ARO 是一年中風(fēng)險發(fā)生的次數(shù).91定量分析方法（續(xù)）定量分析方法（續(xù)）v步驟4-確定年預(yù)期損失ALE ALE 是不采取任何減輕風(fēng)險的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計算出該值。 ALE 類似于定量風(fēng)險分析的相對級別。v步驟5-確定控制成本 控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險的發(fā)生而應(yīng)投入的費用.v步驟6-安全投資收益ROSI (實施控制前的 ALE）（實施控制后的 ALE）（年控制成本）= ROSI92后果或影響的定性量度（示例）等級描述 詳細(xì)情形 1可以忽略無傷害，低財務(wù)損失 2 較

47、小立即受控制，中等財務(wù)損失 3 中等 受控，高財務(wù)損失 4 較大大傷害，失去生產(chǎn)能力有較大財務(wù)損失 5災(zāi)難性持續(xù)能力中斷，巨大財務(wù)損失定性分析方法定性分析方法93可能性的定性量度（示例）等級描述 詳細(xì)情形 A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生 B很可能在大多數(shù)情況下很可能會發(fā)生 C可能在某個時間可能會發(fā)生 D不太可能在某個時間能夠發(fā)生 E罕見僅在例外的情況下可能發(fā)生定性分析方法定性分析方法94風(fēng)險分析矩陣風(fēng)險程度 可能性可能性 后果后果可以忽略可以忽略1較小較小2中等中等3較大較大4災(zāi)難性災(zāi)難性5A（幾乎肯定）（幾乎肯定）HHEEEB （很可能）（很可能）MHH EEC ( 可能）可能）LMHEED

48、（不太可能）（不太可能）LLMHEE （罕見）（罕見）LLMHH E：極度風(fēng)險 H：高風(fēng)險 M：中等風(fēng)險 L: 低風(fēng)險定性分析方法定性分析方法95定性分析方法定性分析方法- -矩陣法矩陣法v根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風(fēng)險結(jié)果。v依此類推，得到所有重要資產(chǎn)的風(fēng)險值，并根據(jù)風(fēng)險等級劃分表，確定風(fēng)險等級。 96定性分析方法定性分析方法- -相乘法相乘法v （1）計算安全事件發(fā)生可能性威脅發(fā)生頻率：威脅T1=1；脆弱性嚴(yán)重程度：脆弱性V1=3。安全事件發(fā)生可能性=v （2）計算安全事件的損失資產(chǎn)價值：資產(chǎn)A1=4；脆弱性嚴(yán)重程度：脆弱性V1=3。計算安全事件的損失，安全事件損失=v （3）計算風(fēng)險值安

49、全事件發(fā)生可能性=2；安全事件損失=3。安全事件風(fēng)險值=v （4）確定風(fēng)險等級 3311234612397定性分析與定量分析定性分析與定量分析98方法方法優(yōu)點優(yōu)點缺點缺點定量定量按經(jīng)濟影響排列風(fēng)險優(yōu)先級；按經(jīng)濟價值排列資產(chǎn)價值風(fēng)險管理的效果以投資回報率衡量結(jié)果可用因管理而異的術(shù)語來表達(dá)（例如貨幣值和表達(dá)為具體百分比隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗，其精確度將隨時間的推移而提高 風(fēng)險影響值以參與者的主觀意見為基礎(chǔ)取得風(fēng)險一致意見的過程非常耗時。 計算可能會非常復(fù)雜且耗時。 風(fēng)險結(jié)果以財務(wù)術(shù)語表達(dá)，對非技術(shù)性人員而言可能難以解釋。 流程要求專業(yè)技術(shù)，因此參與者無法輕松通過流程獲得指導(dǎo)。定性定性

50、風(fēng)險排名具有可見性，易于理解。 更容易達(dá)成一致意見。 無需量化威脅發(fā)生頻率。 無需確定資產(chǎn)的財務(wù)價值。 更便于不是安全或計算機專家的人員參與。 重要風(fēng)險之間沒有顯著區(qū)別。因為沒有成本效益分析，很難證明控制措施的投資是合理的。 結(jié)果取決于風(fēng)險管理小組人員的主觀判斷。（三）風(fēng)險評估工作形式（三）風(fēng)險評估工作形式 信息安全風(fēng)險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結(jié)合、互為補充。自評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機構(gòu)提供技術(shù)支持。99 風(fēng)險評估的工作形式風(fēng)險評估的工作形式自評估自評估v 由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施。v 優(yōu)點： 有利于保

51、密 有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長 有利于降低風(fēng)險評估的費用 有利于提高本單位的風(fēng)險評估能力與信息安全知識v 缺點 可能由于缺乏風(fēng)險評估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。v 建議方法 委托風(fēng)險評估服務(wù)技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風(fēng)險因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。100風(fēng)險評估的工作形式風(fēng)險評估的工作形式檢查評估檢查

52、評估v檢查評估 是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險評估。 v優(yōu)點： 最具權(quán)威性。 通過行政手段加強信息安全的重要措施。v缺點： 間隔時間較長，一般是抽樣進(jìn)行，難于貫穿信息系統(tǒng)的生命周期。101（四）風(fēng)險評估工具（四）風(fēng)險評估工具v風(fēng)險評估與管理工具 一套集成了風(fēng)險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進(jìn)行模型分析。v系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具 主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓簟風(fēng)險評估輔助工具 實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風(fēng)險評估各要素的賦值、定級提供依據(jù)。102知識域：信息安全風(fēng)險評估實踐知識域：信息安全風(fēng)險評估實踐v知識子域：風(fēng)險分析實例 了解典型信息系統(tǒng)風(fēng)險評估實