Lecture信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估教學(xué)課件

1、 交流提綱 “天問(wèn)” 簡(jiǎn)史 對(duì)比 原理 方法 展望 第1頁(yè)，共30頁(yè)。虛擬空間的困惑 第2頁(yè)，共30頁(yè)。那只“虛擬的蘋果”在哪里 “上帝”創(chuàng)造的宇宙空間我們認(rèn)識(shí)，人類創(chuàng)造的網(wǎng)絡(luò)空間我們卻很陌生 孫子說(shuō)“知己知彼 百戰(zhàn)不殆”，我們是誰(shuí)？敵人在哪里？ 如果發(fā)生“網(wǎng)絡(luò)大地震”，誰(shuí)來(lái)營(yíng)救我們？ “圜則九重，孰營(yíng)度之？” 何為風(fēng)險(xiǎn)？ “網(wǎng)際空間的人造現(xiàn)象與美國(guó)軍隊(duì)從事軍事行動(dòng)的其他空間完全不同。國(guó)防部將持續(xù)不斷的探索網(wǎng)際空間的獨(dú)有特征的含義，為美軍在其中采取軍事行動(dòng)制訂相應(yīng)的政策?！泵绹?guó)國(guó)防部四年防務(wù)評(píng)估報(bào)告2010年2月第3頁(yè)，共30頁(yè)。 虛擬世界中的“天問(wèn)” 亙古之初，焉有君臣？ 網(wǎng)絡(luò)之中，孰敵孰友

2、？ 傾巢之下，完卵安在？ 九天之上，何以準(zhǔn)繩？ 第4頁(yè)，共30頁(yè)。風(fēng)險(xiǎn)評(píng)估簡(jiǎn)史 第5頁(yè)，共30頁(yè)。風(fēng)險(xiǎn)的演化：人類社會(huì)的縮影？ 中 世 紀(jì) Risk：海上貿(mào)易 引發(fā)的法律糾紛 七 十 年 代 石油危機(jī)引發(fā)的 能源風(fēng)險(xiǎn) 八 十 年 代 金融衍生品 引發(fā)的金融風(fēng)險(xiǎn) 九 十 年 代 PC機(jī)及互聯(lián)網(wǎng)的廣泛 應(yīng)用引發(fā)的信息安全風(fēng)險(xiǎn) 第6頁(yè)，共30頁(yè)。 1995年 蘭德公司 1995年6月3日和1996年3月23日，美國(guó)國(guó)防部DARPA與RAND公司在美軍國(guó)防大學(xué)等地采用“The Day Afterin Cyberspace”方法組織了兩次信息戰(zhàn)戰(zhàn)略大演習(xí)。飛行控制軟件出現(xiàn)故障，AB-340航班墜毀200

3、0年5月22日英格蘭銀行轉(zhuǎn)賬系統(tǒng)出現(xiàn)故障2000年5月14日沙特阿拉伯公共電話網(wǎng)中斷，肇事者不詳2000年5月11日預(yù)想事件預(yù)想時(shí)間網(wǎng)際風(fēng)暴I演習(xí)2006（國(guó)家層面）網(wǎng)際風(fēng)暴II演習(xí)2008（洲際層面） 網(wǎng)際風(fēng)暴III演習(xí) 2010 （? 層面） 第7頁(yè)，共30頁(yè)。主要標(biāo)準(zhǔn)對(duì)比 第8頁(yè)，共30頁(yè)。 NIST SP 800-30 2002年，NIST根據(jù)美國(guó)計(jì)算機(jī)安全法案（1987）和信息技術(shù)管理改革法案（1996）的要求，頒布了IT系統(tǒng)風(fēng)險(xiǎn)管理指南（NIST SP 800-30），回答了以下核心問(wèn)題： RA的定位：系統(tǒng)開(kāi)發(fā)生命周期（SDLC）過(guò)程中，RA如何介入 RA方法論：風(fēng)險(xiǎn)評(píng)估的方法和9

4、個(gè)步驟 RA的效果：風(fēng)險(xiǎn)減緩策略、風(fēng)險(xiǎn)控制種類、效費(fèi)比 RA的實(shí)踐：最佳實(shí)踐、RA取得成功的關(guān)鍵要素NIST SP 800-30是我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 209842007）的主要參考標(biāo)準(zhǔn)之一（NIST SP 80026已在FY 2007/FISMA報(bào)告中被撤銷）第9頁(yè)，共30頁(yè)。 NIST 800-30：三風(fēng) 風(fēng)險(xiǎn)評(píng)估報(bào)告第九步：結(jié)果記錄推薦的控制措施第八步：控制建議風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)水平第七步：風(fēng)險(xiǎn)計(jì)算威脅利用可能性、影響級(jí)別、已有和計(jì)劃控制的充分性影響賦值第六步：影響分析（CIA）任務(wù)影響分析、資產(chǎn)關(guān)鍵性評(píng)估，數(shù)據(jù)關(guān)鍵性、敏感性可能性賦值第五步：可能性計(jì)算威脅源動(dòng)機(jī)、能力，脆弱性

5、特點(diǎn)、目前的控制措施已有的和計(jì)劃中的控制清單第四步：安全控制分析目前的控制、計(jì)劃中的控制潛在脆弱性的清單第三步：脆弱性識(shí)別以往的風(fēng)評(píng)報(bào)告、審計(jì)結(jié)論、安全需求、安全測(cè)試結(jié)果威脅報(bào)告第二步：威脅識(shí)別系統(tǒng)受攻擊的歷史，來(lái)自于情報(bào)機(jī)關(guān)及其它部門的數(shù)據(jù)系統(tǒng)邊界、功能、系統(tǒng)和數(shù)據(jù)的關(guān)鍵性、系統(tǒng)和數(shù)據(jù)的敏感性第一步：系統(tǒng)分析軟硬件、系統(tǒng)界面、數(shù)據(jù)、信息、人員、系統(tǒng)任務(wù)輸出風(fēng)評(píng)步驟輸入風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)報(bào)告第10頁(yè)，共30頁(yè)。NIST 800-30 與 GB/T 20984-2007 評(píng)估準(zhǔn)備 風(fēng)險(xiǎn)計(jì)算 接受接受 保持現(xiàn)狀 是 殘余風(fēng)險(xiǎn)控制 否否 風(fēng)險(xiǎn)管理 是 資產(chǎn)識(shí)別 威脅識(shí)別 脆弱性識(shí)別 已有安全措

6、施確認(rèn) 過(guò)程 文檔 過(guò)程 文檔 過(guò)程 文檔 GB/T 20984-2007 風(fēng)險(xiǎn)評(píng)估流程 第11頁(yè)，共30頁(yè)。原理 化繁為簡(jiǎn) 第12頁(yè)，共30頁(yè)。 準(zhǔn)備 識(shí)別 計(jì)算 報(bào)告 一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程：準(zhǔn)備（Readiness）、識(shí)別（Realization）、 計(jì)算（Calculation）、報(bào)告（Report） 識(shí)別 資產(chǎn) 威脅 漏洞 準(zhǔn)備 資料審核 SLA 工作計(jì)劃 組隊(duì) 計(jì)算 威脅概率 事件影響 風(fēng)險(xiǎn)定級(jí) 報(bào)告 整改建議 各類文檔 第13頁(yè)，共30頁(yè)。工程 藝術(shù) 方法第14頁(yè)，共30頁(yè)。 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作 準(zhǔn)備工作中要注意的問(wèn)題 相親：前期交流（成功案例簡(jiǎn)介、測(cè)評(píng)機(jī)構(gòu)資質(zhì)簡(jiǎn)介、被 測(cè)系統(tǒng) 大

7、致規(guī)模、 測(cè)評(píng)服務(wù)費(fèi)用測(cè)算） 訂婚：服務(wù)水平協(xié)議SLA（獲取詳細(xì)資料的前提，對(duì)方的 授權(quán)、 雙方的義務(wù)，可和保密協(xié)議整合） 甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場(chǎng)測(cè)評(píng)制訂問(wèn)卷清單） 乙方禮單：工作計(jì)劃（案例分析 綜合組、管理組、網(wǎng)絡(luò)組） 迎親：進(jìn)場(chǎng)準(zhǔn)備（進(jìn)場(chǎng)通知，如對(duì)方或第三方人員；設(shè)備 準(zhǔn)備， 如工具等，標(biāo)識(shí)佩戴） 第15頁(yè)，共30頁(yè)。 現(xiàn)場(chǎng)測(cè)評(píng) 現(xiàn)場(chǎng)測(cè)評(píng)工作要注意的問(wèn)題 首次會(huì)議（如有必要），聽(tīng)取對(duì)方高管的情況簡(jiǎn)介，向被 測(cè)單位有關(guān)人員說(shuō)明此次任務(wù)、測(cè)評(píng)計(jì)劃介紹、雙方測(cè)評(píng)人 員的相互認(rèn)識(shí) 問(wèn)詢技巧（直接提問(wèn)，如業(yè)務(wù)重要性；間接提問(wèn)，如安全 事件；反向提問(wèn)，適合于所有方面） 資料核對(duì)（拓?fù)?/p>

8、核對(duì)，管理體系文檔，設(shè)計(jì)文檔，設(shè)備臺(tái) 賬） 現(xiàn)場(chǎng)檢測(cè)（測(cè)試過(guò)程記錄、抓屏、數(shù)據(jù)提?。?末次會(huì)議（如有必要），向?qū)Ψ礁吖芎?jiǎn)要總結(jié)現(xiàn)場(chǎng)測(cè)評(píng)的 初步結(jié)論，指出優(yōu)缺點(diǎn)，但暫不做最終結(jié)論 第16頁(yè)，共30頁(yè)。 資產(chǎn)識(shí)別 資產(chǎn)識(shí)別在整個(gè)風(fēng)險(xiǎn)評(píng)估中起什么作用？ 兩點(diǎn)：是整個(gè)風(fēng)險(xiǎn)評(píng)估工作的起點(diǎn)和終點(diǎn) 資產(chǎn)識(shí)別的重點(diǎn)和難點(diǎn)是什么？ 一線：業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特征（管理/技術(shù)） 資產(chǎn)識(shí)別的方法有哪些？ 資產(chǎn)分類：樹(shù)狀法。自然形態(tài)分類（勾畫資產(chǎn)樹(shù)：管理、技 術(shù)逐步往下細(xì)化）；金字塔法。信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 資產(chǎn)安全性賦值：CIA（5級(jí)） 資產(chǎn)重要性分級(jí)：5級(jí)（很高、高、中等、低、很低）

9、模糊定性半定性半定量精確定性 第17頁(yè)，共30頁(yè)。金字塔法：按信息形態(tài)分類 第18頁(yè)，共30頁(yè)。 資產(chǎn)識(shí)別效果圖：禮花模型 機(jī)構(gòu)業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 信息系統(tǒng) 資產(chǎn)識(shí)別 資產(chǎn)分類 資產(chǎn)A：1 級(jí)資產(chǎn)B：4 級(jí)資產(chǎn)E：5 級(jí)資產(chǎn)D：3 級(jí) 案例分析 第19頁(yè)，共30頁(yè)。 威脅識(shí)別 威脅識(shí)別與資產(chǎn)識(shí)別是何關(guān)系？ 點(diǎn)和面：重點(diǎn)識(shí)別和全面識(shí)別 威脅識(shí)別的重點(diǎn)和難點(diǎn)是什么？ 三問(wèn)：“敵人”在哪兒？效果如何？如何取證？ 威脅識(shí)別的方法有哪些？ 威脅分類：植樹(shù)與剪枝。威脅源、攻擊樹(shù)（查閱主要的數(shù)據(jù) 庫(kù)，如CERT/CNCERT/CVE）；金字塔法。根據(jù)信息形態(tài)分 類（信息環(huán)境、信息載體、信息）來(lái)分析威脅源。

10、 威脅嚴(yán)重性賦值：威脅出現(xiàn)的頻率是賦值的重要依據(jù)，但不是 唯一依據(jù)。例如隕石撞地球。 威脅嚴(yán)重性分級(jí)：5級(jí)（很高、高、中等、低、很低） 濃 霧 半定性半定量 薄 霧 第20頁(yè)，共30頁(yè)。 信息環(huán)境 信息載體 信息 環(huán)境威脅 載體威脅 信息威脅 環(huán)境威脅 載體威脅 信息威脅 威脅識(shí)別效果圖：群山模型 案例分析 第21頁(yè)，共30頁(yè)。 脆弱性識(shí)別 脆弱性識(shí)別的難點(diǎn)是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 脆弱性識(shí)別的方法有哪些？ 脆弱性分類：管理脆弱性。 結(jié)構(gòu)脆弱性（如安全域劃分不當(dāng)），操作脆弱性（如安全審計(jì)員業(yè)務(wù)生疏）；技術(shù)脆弱性。在線測(cè)試、離線測(cè)試（仿真測(cè)試）脆弱性分級(jí)：5級(jí)（很高、高、中等、低、

11、很低） 模糊定性半定性半定量精確定性 脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？ 驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證 第22頁(yè)，共30頁(yè)。脆弱性識(shí)別效果圖：雙星模型 離線測(cè)試 在線測(cè)試 案例分析 第23頁(yè)，共30頁(yè)。風(fēng)險(xiǎn)計(jì)算 安全事件發(fā)生 的可能性 安全事件發(fā)生 造成的損失 風(fēng)險(xiǎn)值 第24頁(yè)，共30頁(yè)。資產(chǎn)識(shí)別 威脅識(shí)別 脆弱性識(shí)別 資產(chǎn)價(jià)值 脆弱性 嚴(yán)重程度 威脅頻率 安全事件 造成的損失 安全事件 可能性 風(fēng)險(xiǎn)分析示意圖 風(fēng)險(xiǎn)值 GB/T 20984-2007 風(fēng)險(xiǎn)分析原理圖 從柔到剛再到柔 第25頁(yè)，共30頁(yè)。 風(fēng)險(xiǎn)評(píng)估報(bào)告 評(píng)估報(bào)告要注意的問(wèn)題 主報(bào)告與附件的關(guān)系（決策者閱讀要點(diǎn)/技術(shù)人員閱讀細(xì)節(jié)） 安全措施確認(rèn)與剩余風(fēng)險(xiǎn)分析的關(guān)系（新三年 舊三年 縫縫補(bǔ) 補(bǔ)又三年） 專家評(píng)審與報(bào)告簽署授權(quán)的關(guān)系 評(píng)估報(bào)告撰寫藝術(shù) 統(tǒng)一的格式（有利于今后進(jìn)行基線、基準(zhǔn)統(tǒng)計(jì)） 全方位的效果展示（圖例、表例、動(dòng)畫演示） 第26頁(yè)，共30頁(yè)。未來(lái)展望 第27頁(yè)，共30頁(yè)。 FISMA/NIST風(fēng)險(xiǎn)管理框架 安全生命周期 SP 80039 信息系統(tǒng)分類 SP 80060 安全控制選擇 SP 80053 安全控制