信息安全風險分析及安全需求挖掘詳解

1、信息安全(nqun)風險分析及安全(nqun)需求挖掘田坤山共二十一頁主要(zhyo)內(nèi)容現(xiàn)有的風險分析方法綜述風險分析中需要關注的一些問題衛(wèi)士(wi sh)通風險分析流程及安全需求挖掘共二十一頁 現(xiàn)有的風險(fngxin)分析方法綜述共二十一頁風險分析(fnx)的兩大類型定量：準確量化風險分析的各個要素 單次損失估算值 年發(fā)生率 年損失估算值 火災 $500,000 0.1 = $500,000 錯誤操作 $50 1000 = $500,000 但是：資產(chǎn)價值的確定/發(fā)生概率的確定/最終數(shù)值的界定是比較困難(kn nn)的。 因此，真正使用此類方法來評估是很有難度的，需要專業(yè)性很強的公司介入

2、項目。定性：確定資產(chǎn)發(fā)現(xiàn)威脅得出脆弱性風險分析風險控制共二十一頁一些(yxi)定性風險分析的方法基線法 (德國IT Baseline)為系統(tǒng)各部分的保護度設立一個統(tǒng)一的基準，結合最佳實踐（BP）提供的安全措施制定解決方案。適用范圍：使用廣泛的典型IT 系統(tǒng)。對保密性、完整性及可用性為一般要求。在基礎設施、組織、人事、技術及權宜安排方面可采取標準安全措施。詳細的風險分析方法(SP800-30, )包括資產(chǎn)的深度鑒定和估價，對這些資產(chǎn)的威脅評估和脆弱性評估。結果用于評估風險及選擇合理的安全設施。步驟：了解系統(tǒng)特征，識別威脅，識別脆弱性，分析安全控制，確定可能性，分析影響，確定風險，對安全控制提出建

3、議，記錄評估結果非正式的風險分析方法(FRAP，OCTAVE-S)詳細風險分析的簡化方法。FRAP：前期預備會議，F(xiàn)RAP會議，風險分析報告撰寫，總結會議；OCTAVE-S：建立基于資產(chǎn)的威脅檔案，識別技術設施脆弱性， 開發(fā)安全策略和計劃。綜合方法( ISO 17799， OCTAVE )對系統(tǒng)進行宏觀分析，確定出高風險領域，進行詳細的風險分析，其它部分采用基線方法。首先要核實(hsh)系統(tǒng)范圍內(nèi)處于潛在高風險之中，或是對商業(yè)運作至關重要的關鍵性資產(chǎn)進行詳細的風險分析以獲得相應的保護。其余一般對待的 通過基本的風險評估辦法為其選擇控制措施。共二十一頁 風險(fngxin)分析中需要關注的一些問

4、題共二十一頁如何協(xié)同考慮風險(fngxin)分析的各要素?威脅(wixi)等級威脅源動機威脅發(fā)生可能性工具技能要求對系統(tǒng)造成的影響系統(tǒng)抗威脅攻擊能力等級系統(tǒng)脆弱性安全措施資產(chǎn)價值風險等級威脅共二十一頁如何確定(qudng)關鍵資產(chǎn)？是否要從關鍵資產(chǎn)入手開始風險分析？（SP800-30就沒有說列出關鍵資產(chǎn)） 如何確定系統(tǒng)中哪些是關鍵資產(chǎn)？資產(chǎn)敏感性及價值并對資產(chǎn)的分類（軟件、硬件、） -確定各種( zhn)威脅對資產(chǎn)造成的影響：信息財產(chǎn)未被授權的泄露、未被授權的修改、拒絕接受、在各種( zhn)時間段的不可恢復性破壞，考慮不利的商業(yè)影響的情況。共二十一頁如何(rh)確定威脅？威脅(wixi)li

5、st依據(jù)經(jīng)驗具體分析自然威脅發(fā)生概率（關注的重點）系統(tǒng)威脅組件質(zhì)量（硬件軟件系統(tǒng)）偶然性人為威脅用戶類別、人員素質(zhì)、培訓蓄意人為威脅財產(chǎn)的吸引力；財產(chǎn)轉化為報酬的難易程度；系統(tǒng)敏感性（好奇、破壞、影響）；需要的技術能力；需要的工具；攻擊途徑共二十一頁如何(rh)確定脆弱性？主觀(zhgun)可控共二十一頁大中型組織詳細風險(fngxin)分析活動有何異同？共二十一頁如何(rh)選擇風險分析方法？該組織的商業(yè)環(huán)境；該組織的業(yè)務性質(zhì)(xngzh)和重要性；該組織對信息系統(tǒng)的依賴程度；業(yè)務和支持系統(tǒng)、應用程序及服務的復雜性；貿(mào)易伙伴的數(shù)量和對外業(yè)務及契約關系。共二十一頁不同(b tn)階段評估方法如

6、何選擇？系統(tǒng)安全構建初期(chq)-綜合法/基準法系統(tǒng)安全狀況評估-詳細風險分析法系統(tǒng)運行期的安全優(yōu)化-非正式風險分析法共二十一頁衛(wèi)士通風險(fngxin)分析流程及安全需求挖掘共二十一頁部分(b fen)機構/廠商的風險分析方法有廠商主要參照(cnzho)OCTAVE，同時利用掃描器，基于ISO17799的量化可視化的評估工具，并導入工具掃描結果生成信息庫及其它軟件等；有的廠商主要針對系統(tǒng)和網(wǎng)絡進行風險評估，在技術上分析得比較多，技術弱點把握精確 ，但對管理上較弱，管理評估存在不足；有的廠商針對UNIX、NT等OS及DB、網(wǎng)絡設備進行評估，使用評估工具并配合使用人工評估等，建立信息安全庫。共

7、二十一頁風險管理的一般(ybn)流程風險對策國家法律、法規(guī)或行業(yè)安全要求組織的原則、目標及要求，合同要求風險評估識別關鍵資產(chǎn)識別威脅判定威脅發(fā)生的可能性。威脅發(fā)生的后果。識別脆弱性。識別現(xiàn)有的保護措施風險定級降低風險規(guī)避風險轉移風險接受風險準備風險分析風險策略接受風險安全需求轉移風險規(guī)避風險計劃目標范圍確定組織的安全策略，系統(tǒng)安全等級，安全目標。評估選擇安全措施安全技術安全運行安全管理實施認證運行維護系統(tǒng)優(yōu)化設計風險管理識別關鍵資產(chǎn)確定系統(tǒng)安全基線系統(tǒng)優(yōu)化運行維護認證后續(xù)活動風險對策國家法律、法規(guī)或行業(yè)安全要求組織的原則、目標及要求，合同要求風險分 析識別關鍵資產(chǎn)識別威脅判定威脅發(fā)生的可能性。

8、威脅發(fā)生的后果。識別脆弱性。識別現(xiàn)有的保護措施風險定級降低風險規(guī)避風險轉移風險接受風險接受風險安全需求轉移風險規(guī)避風險計劃目標范圍確定組織的安全策略，系統(tǒng)安全等級，安全目標。評估選擇安全措施安全技術安全運行安全管理實施認證運行維護系統(tǒng)優(yōu)化設計風險控制識別關鍵資產(chǎn)確定系統(tǒng)安全基線系統(tǒng)優(yōu)化運行維護認證后續(xù)活動用戶(yngh)情況調(diào)查共二十一頁衛(wèi)士通的風險(fngxin)分析流程確定風險評估方法 風險評估確定安全需求法律、法規(guī)系統(tǒng)任務和使命系統(tǒng)建設階段、規(guī)模資產(chǎn)、威脅、脆弱性、現(xiàn)有措施法律、法規(guī)，系統(tǒng)任務和使命、評估結果制定安全策略選擇風險控制措施驗證措施實施效果安全需求技術限制、資源限制安全需求、

9、實施效果安全策略文件風險評估報告安全需求報告風險管理方案適用性聲明驗證(ynzhng)報告共二十一頁 挖掘(wju)系統(tǒng)安全需求共二十一頁小結(xioji)目前有多種風險分析的方法，在實際工作中需要考慮系統(tǒng)的實際情況和不同的階段，靈活使用定性和定量、手工評估和輔助工具、技術(jsh)評估和系統(tǒng)組織評估、基于知識經(jīng)驗和基于模型的評估等多種方法；依據(jù)國家法律法規(guī)和對系統(tǒng)的風險評估，確定系統(tǒng)的安全需求，采取相應的安全措施對系統(tǒng)的風險進行控制；信息安全是一個動態(tài)的復雜過程，因此風險分析也是一個十分復雜的過程，如何做到以較小的代價較準確客觀地評估出系統(tǒng)的風險需要我們共同探討。共二十一頁謝 謝！共二十一頁內(nèi)容摘要信息安全風險分析及安全需求挖掘。單次損失估算值 年發(fā)生率 年損失估算值?；馂?$500,000 0.1 = $500,000。但是：資產(chǎn)(zchn)價值的確定/發(fā)生概率的確定/最終數(shù)值的界定是比較困難的。因此，真正使用此類方法來評估是很有難度的，需要專業(yè)性很強的公司介入項目?；€法 (德國I