购买

¥ 30.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 信息安全风险评估

信息安全风险评估.ppt

信息安全风险评估

教育文库
2018-11-14 0人阅读 举报 0 0 暂无简介

简介:本文档为《信息安全风险评估ppt》,可适用于综合领域

信息安全风险评估中国科学院研究生院信息安全国家重点实验室赵战生年月日内容概要国信办下达的研究任务及研究进展国际上风险评估的发展及现状我国信息系统安全风险评估的现状和问题什么是信息安全风险评估为什么要进行风险评估怎样进行风险评估国信办下达的研究任务及研究进展年月日国务院信息化领导小组第三次会议专题讨论了《关于加强信息安全保障工作的意见〉月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见〉(号文件)。文件要求采取必要措施进行信息安全风险的防范。月日国信办安全组决定委托国家信息中心组建成立“信息安全风险评估课题组”对信息安全风险评估工作的现状进行全面深入了解提出我国开展信息安全风险评估的对策和办法为下一步信息安全的建设和管理做准备。国家信息中心根据国务院信息办安全组的要求,迅速成立了以国家信息中心公共技术服务部主任宁家骏为组长,包括崔书昆、曲成义、赵战生、吴亚非、左晓栋博士、范红博士和朱建勇博士组成贾颖禾为国信办联络员的“信息安全风险评估”起草组,开展信息安全风险评估筹备工作。后根据工作需要又吸收杜虹、景乾元两位同志参加。课题组在广东、上海、北京共访问了多个单位,召开了次座谈会。研究与起草阶段开了次研讨会。经过四个多月的努力,完成了:信息安全风险评估调查报告信息安全风险评估研究报告关于信息安全风险评估工作的意见三份稿约十万字提交的《信息安全风险评估研究报告》在多次征求意见和修改后作为全国信息安全保障工作会议下发的文件附件在年月日发放给会议参加者。研究报告结构一、前言二、信息系统安全风险评估的概念三、风险评估的意义和作用四、信息安全风险评估的目标和目的五、信息安全风险评估的基本要素六、风险评估对信息系统生命周期的支持七、风险评估的一般工作流程八、当前存在的风险评估理论和工具九、我国信息系统安全风险评估的现状和问题十、信息安全风险评估工作的原则十一、等级保护、认证认可、风险管理、风险评估的关系十二、自评估、强制性检查评估与委托评估十三、信息系统安全风险评估的角色和责任十四、信息安全风险评估的任务和措施附件、国际信息安全风险评估的发展和现状附件、风险评估工作流程详述附件、风险控制及工作流程附件、美国对认证认可概念的看法附件、美国信息系统安全认证认可工作概述附件、对美国OMB主任备忘录的总结附件、美国认证认可计划中相关标准和指南概况年课题组继续进行《关于信息安全风险评估工作的意见》的研究起草年国信办安全组要求在已有工作基础上开展风险评估相关标准的研究制定标准包括:风险评估框架风险评估指南信息安全风险管理指南相关标准已经形成初稿正在进一步研究修改中预期在近期完成“工作意见”和“相关标准”并于下半年开展信息安全风险评估的试点工作。国际上风险评估的发展及现状美国是国际上对信息安全风险评估研究历史最长和工作最丰富的国家。随着信息化应用需求的牵引安全事件的驱动和信息安全技术、信息安全管理概念的发展深化他们对信息安全风险评估的认识也逐步加深。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障大体经历了以下三个阶段:第一个阶段(年代)以计算机为对象的信息保密阶段背景:计算机开始应用于政府军队。标志性行动:年月美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司开始研究计算机安全问题。到年月经过将近两年半的工作主要对当时的大型机、远程终端进行了研究分析。作了第一次比较大规模的风险评估。特点:仅重点针对了计算机系统的保密性问题提出要求对安全的评估只限于保密性。第二个阶段(年代)以计算机和网络为对象的信息安全保护阶段背景:计算机系统形成了网络化的应用。标志性行动:出现了初期的针对美国军方的计算机黑客行为年年美国的计算机网络出现了一系列重大事件。美国的审计总署(GAO)对美国国内主要由国防部使用的计算机网络进行了大规模的持续评估。特点:逐步认识到了更多的信息安全属性(保密性、完整性、可用性)从关注操作系统安全发展到关注操作系统、网络和数据库。试图通过对安全产品的质量保证和安全评测来保障系统安全但实际上仅仅奠定了安全产品测评认证的基础和工作程序。第三个阶段(年代末世纪初)以信息系统关键基础设施为对象的信息保障阶段背景:计算机网络系统成为关键基础设施的核心。年前后由于国际范围内出现了大规模黑客攻击以及信息战的理论逐步走向成熟信息攻防成为战争手段和国家综合利用的一种方式且美国的军、政、经济和社会活动对信息基础设施的依赖程度达到了空前的高度迫使美国又开始了对信息系统新一轮的评估和研究产生了一些新的概念法规和标准。标志性的行动:在军方提出信息保障(IA)概念的基础上克林顿和布什两届总统持续数年进行了国家信息安全保护计划和信息保障战略的研究。到目前为止形成了与国家安全、反恐战略、国土安全等国家战略相配套的网络空间信息保障的国家战略。各个行业也逐步提出了本行业的信息安全战略风险评估思想在其中得到了重要的贯彻。年美国国会总审计署(GAO)的报告的研究DISA对美军网络实施的次渗透性攻击测试次即%的攻击行为取得了成功。在这些成功的攻击中只有即%被发现。在被发现的攻击活动中只有次即%被报告给了DISA。也就是说只有不到的攻击事件被报告。有关风险评估的重要工作结果:年美国国防部发布了《国防部IT安全认证和认可过程》(DITSCAP)。年月NIST颁布了《IT系统安全计划开发指南》(SP)。此前的OMBA曾要求应该将风险评估作为基于风险的方法的一部分来为系统实现适当的、成本有效性更好的安全用来评估系统风险性质和级别的方法中应该包括对风险管理主要因素的考虑:系统和应用的价值、威胁、脆弱性、当前或所建议的安全措施的有效性。因此NIST在为信息系统开发的安全计划模版中专门对所用的风险评估方法加以了描述例如所选的风险评估方法是否对威胁、脆弱性及补充性安全防护措施进行了标识?此外NIST还要求安全计划中应包括风险评估的日期且要说明已标识的风险是如何与系统的保密性、完整性和可用性要求相关联的。年月负责国家安全系统的国家安全系统委员会(此前称为国家安全电信和信息系统安全委员会)发布了专门针对国家安全系统的《国家信息保障认证和认可过程》(NIACAP)。NIST在年月为CIO委员会制定的《联邦IT安全评估框架》中提出了自评估的个级别。年月针对《联邦IT安全评估框架》NIST颁布了《IT系统安全自评估指南》(SP)针对三大类项安全控制提出了张调查表。年月NIST发布了《IT安全基础技术模型》(SP)提出了信息系统安全的目标、目的、安全服务的模型、安全目的的实现和安全控制措施在风险管理中的作用。年月NIST发布了《IT系统风险管理指南》(SP)概述了风险评估的重要性、风险评估在系统生命周期中的地位、进行风险评估的角色和任务。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。年颁布了《联邦信息安全管理法案》(FISMA)提出联邦各机构的信息安全项目必须包括:定期的风险评估包括评估由于对信息和信息系统进行未授权访问、使用、泄露、中断、修改或者破坏而带来的危害的大小。基于风险评估的政策和流程将信息安全风险通过成本有效性较好的手段而降低到一个可接受的水平并确保信息安全在各机构信息系统的整个生命周期中都得到了处理。子计划用于为网络、设施、一个或一组信息系统提供足够的信息安全。安全意识培训用于使相关人员(包括联邦信息系统的合同商和其他用户)知晓其行为中的信息安全风险并了解其有责任遵循机构的风险控制政策和流程。对信息安全政策、流程、实践措施和安全控制的有效性所实施的定期测试和评估。这些测试和评估的实施频率取决于风险本身但至少每年要实施一次。对矫正措施进行规划、实现、评估和记录的过程用于处理联邦机构信息安全政策、流程和实践中所出现的任何缺陷。对安全事件进行检测、报告和响应的流程。用来确保信息系统运行的连续性的计划和流程。年月美国国家安全局(NSA)颁布了《信息安全评估能力成熟度模型》(IACMM)版。提出了包括评估信息安全风险在内的个过程域和个子域。描述了与之有关的能力成熟度的五个级别。年月NIST发布了《联邦IT系统安全认证和认可指南》(SP)的第版。年月NIST发布了《联邦IT系统安全认证和认可指南》(SP)的第版。年月NIST发布了FIPS:《联邦信息和信息系统的安全分类标准》。年月NIST发布了NIST的伴随文档:NISTSP《联邦IT系统最小安全控制》提出了管理、运行、技术三大类族多项安全控制。其他有关NISTSP的伴随文档:NISTSPA《联邦IT系统安全控制验证技术和流程》、NISTSP《如何将各种信息和信息系统映射到安全类别中的指南》正在制定之中。NIST已经若干次推迟了这些文档的预计发布日期根据最新的进度上述文档在年才能全部定稿。NIST认证认可系列指南的相互关系特点:随着信息保障的研究的深入关注的安全属性扩大到了保密性、完整性、可用性、可认证性、不可否认性五个方面保障对象明确为信息、信息系统保障能力明确来源于技术、管理和人员三个方面关注局域计算环境、边界与外部连接、网络基础设施以保护、检测、反应、恢复四个工作环节形成支撑条件构建纵深防御体系。认识到CC和FIPS等标准仅仅适合安全产品的测评认证。对于信息系统则需要确立新的包括非技术因素的全面评估。逐步形成了风险评估、自评估、认证认可的工作思路而风险评估工作贯穿于认证认可工作的各个阶段中且实现了制度化。风险评估已经成为一种通用的方法学和基础理论应用到了广泛的信息安全实践工作之中。其他国家和地区的情况英国标准化协会(BSI)年颁布了《信息安全管理指南》(BS)BS分为两个部分:BS《信息安全管理实施规则》和BS《信息安全管理体系规范》。年又颁布了《信息安全管理系统规范说明》(BS:)。它将信息安全管理的有关问题划分成了个控制要项、个控制目标和个控制措施。目前在BS中提出了如何了建立信息安全管理体系的步骤。在信息安全管理体系的核心部位是风险评估和风险管理。目前全球通过BS认证的数量已达到家其中绝大部分分布在欧洲和亚洲整个中国地区(包括香港和台湾在内)通过BS认证的数量已有家。德国的联邦信息技术安全局的信息安全管理是通过他们年月颁布和不断更新的《信息技术基线保护手册》(ITBaselineProtectionManual(ITBPMorBPM))来加以指导的。BPM比英国的BS更加详细地对威胁和安全措施加以了分类具体地开列威胁清单和安全措施清单并通过维护网上更新来实现与时俱进的安全需求。该文将威胁目录分为五类种(严重影响种机构缺陷种人为故障种技术故障种故意行为种)安全措施目录分为六类种(基础设施类种机构类种个人类种软件和硬件类种通信类种意外事故计划类种)。澳大利亚新西兰风险管理准则联合委员会于年颁布了世界上第一部风险管理的正式标准:ASNZS。这是一个针对普遍风险(而非信息安全风险)的风险管理标准成为关注一般风险管理的人员的通用准则。ASNZS在年又颁布了其修改版本。澳大利亚的经验表明:这些准则虽然不能直接为内部审计人员提供一个风险模型但却为产生风险模型奠定了基础。加拿大风险管理准则委员会于年颁布了《风险管理:决策者的指导》(ANCSAQ)。国际标准化组织在信息安全管理方面早在年就开始制定《信息技术信息安全管理指南》(ISOIEC)它分成《信息安全的概念和模型》、《信息安全管理和规划》、《信息安全管理技术》、《基线方法》、《网络安全管理指南》五个部分。其后国际标准化组织又通过了依据BS制定的《信息安全管理实施指南》(ISOIEC:)提出了基于风险管理的信息安全管理体系。综观国际情况信息安全风险评估经历了一个从只重技术到技术、管理并重的全面评估从单机到网络再到信息系统基础设施从单一安全属性到多种安全属性发展。当前正在信息保障的概念下还处在不断深化完善之中。总体上看虽然传统的风险评估不是一个陌生问题。但是信息系统的安全风险评估在国际上仍是一个尚在探讨的未决问题。美国国家安全局的有关领导曾检讨道橘皮书时代提出过军队和政府的信息系统在某个时段应达到某个安全级别的要求但是实际上他们仅仅落实了一批经过测评认证的安全产品而系统安全什么也没有作到。近年来美国的信息安全研究人员正加紧工作计划在国家标准和技术研究所(NIST)制定的以SP为核心的配套指南完善后于年开展新一轮的联邦信息系统认证认可工作。我国信息系统安全风险评估的现状和问题我国的信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密通过保密检查来发现问题改进提高。年代后随着计算机的推广应用随即提出了计算机安全的问题开展了计算机安全检查工作。但是当时缺乏风险意识在领导和信息系统管理者的思想中通常追求的是万无一失、绝对安全。年代后随着互连网在我国得到了广泛的社会化应用国际大环境的信息安全问题和信息战的威胁直接在我国的信息环境中有所反映。年月颁布的《中华人民共和国计算机信息系统安全保护条例》提出了计算机信息系统实行安全等级保护的要求。其后在有关部门的组织下不断开展了有关等级保护评价准则、安全产品的测评认证、系统安全等级划分指南的研究初步提出了一系列相关技术标准和管理规范。信息安全的风险意识也开始建立并逐步有所加强。目前就信息安全保障的主管机关而言国家保密管理部门由于有优良的工作传统、组织机构和国家保密法的依据思想明确技术规范相对齐全工作力度比较强到位情况比较好。计算机网络安全管理部门经过二十多年的探索准备以及对犯罪案件和安全事件的侦破处理积累了经验和知识组织制定了一系列的技术标准正在为实施计算机信息系统安全的等级保护制度进行试点和政策性文件的准备。但密码管理、保密管理、计算机网络信息安全管理、信息内容安全管理等部门的协调协同还有待加强。从本课题调研的情况看我国各个部门和行业对信息安全风险评估的认识和开展的情况是不平衡的。国内现阶段风险评估的状况可分为以下几类:一是有认识、有行动、有措施、有效果二是有认识、有行动但措施不当三是有认识、无行动、无措施四是无认识、无行动、无措施。国家部门建立的测评认证机构:在国家标准GB和GBT的原则指导下进行了大量的安全产品的功能评测并逐步向安全产品的性能评测、安全性评测提高。通过自己的工作实践和社会需求的牵引并在注意到美国提出的联邦IT系统安全认证认可指南等国外动态后逐步认识到仅仅进行安全产品的测评认证不能解决信息系统的安全。因此国家部门建立的测评认证机构开始把信息系统的安全评测纳入自己的工作范畴风险评估一般也作为系统安全评估的一个环节纳入其中。开展了风险评估的国内信息安全厂商:国内已经有一批信息安全企业(如盛安、启明星辰、联想、科友、绿盟、思乐等)开始对客户提供信息系统安全评估服务并且承担了一些行业单位的系统安全评估工作。他们一般参考国际标准(多数参考BS、ISOIEC、SSECMM、ASNZS有的仅参考信息安全产品评测标准如CC等)和我国的国家标准GB。评估工具一般使用自己开发或免费获得的系统漏洞扫描软件。评估过程一般是在签定保密协议的前提下阅读被评单位的安全管理文档和系统设计文档、问卷调查、现场考察、扫描漏洞(个别企业会开展渗透性测试)并最终给出评估报告和安全改进建议。外资企业在我国进行的系统安全评估:外资企业(如安氏中国、英国BSI、IBM、微软等)已经涉足我国的信息系统安全评估工作并且围绕着信息安全技术及安全评测进行了一些教育培训和系统评估的工作甚至在很多关键行业(如银行、电信行业)开展了较多的风险评估服务。从积极意义上看他们带来了国外风险评估的理念和标准宣传了风险评估的重要性和必要性培养了一批进行系统安全评估的技术人员(其中不少已经回流到国内安全企业成为这些厂商进行安全评估、安全产品设计开发、安全服务的业务骨干)。信息化依赖程度高的行业和部门:如海关总署、电力、金融、铁路、通信、宝钢、上海社会保障中心等行业和部门信息化手段已经成为其生产第一线上不可或缺的工作平台。其中有的单位也发生过一些安全事件对正常生产带来了一些影响。在安全事件的驱动下行业管理部门制定了针对本行业有关信息安全要求的文件。这些行业重视了生产系统和办公系统以及互连网之间的隔离和安全防护并针对性地进行了一些风险评估工作。有的单位还建立了行业性的信息安全实验室开展了针对本行业的信息安全需求和解决方案的研究与规划实施。但多数单位还是请信息安全产业(甚至请外资企业)和本单位的人员结合开展风险评估工作。信息化依赖程度低的行业和部门:这类行业和部门信息化程度不高依赖程度不强。一般对信息安全的内涵和外延、信息安全保障的技术和管理涉足不深认识模糊风险概念不强有的处于计划进行风险评估的状态有的还根本没有提上议事日程。仍然存在的问题:.信息系统安全风险评估的研究积累不足。信息系统风险评估既是一个管理问题也是一个技术问题。科学的风险评估需要理论、方法、技术和工具来支撑。我国的科学研究计划中有关信息系统安全风险评估的重点科研项目非常之少。对国际上的理论和技术发展的了解、跟踪、分析也不够系统、深入和广泛。特别是随着信息化应用的日益拓展风险已经不仅仅来自于通用的信息技术平台而更进一步与各个行业的应用、服务、生产的特性密切相关。因此仅靠目前的IT企业通用技术平台的脆弱性分析难以真正掌握和了解具体行业、部门的资产、威胁和风险。不但需要深化研究IT技术平台的共性化的风险还需要推动对不同行业部门的个性化风险的深化研究否则风险评估将会出现关注面的缺失。.缺乏信息系统安全风险评估的规范化标准。计算机信息系统安全等级保护制度的贯彻中提出了“谁主管谁负责。谁运营谁负责”的原则。但是急需解决的是什么才是真正意义上的负责怎样才算负责。这需要针对风险评估的任务、责任、过程、程序制定规范的标准才能统一要求落到实处。否则必然是风险评估工作的效果受限于各部门和个人的认识这些部门有什么认识有多大能力风险评估就只能进行到什么程度参差不齐难以达标。.熟悉和有能力进行风险评估的专业技术和管理人才匮乏。调研中各单位普遍反映熟悉和有能力进行系统安全建设甚至是风险评估的专业技术和管理人才严重匮乏。一些已开始进行信息系统安全评估的国内企业也是骨干成员边学习边培养一般业务人员边进行评估项目。不少骨干来自在外资信息安全企业工作回流的人员。被评单位更是缺乏有能力进行配合的人员。在很多单位中安全技术管理部门的人员一般认为聘请外单位进行评估有“外来的和尚好念经”的效果这样的评估结论容易引起领导重视认为能够促使领导下决心加大安全投入的力度。.信息系统安全风险评估的角色和责任混乱。风险评估是责任性极强的严肃工作。评估中应该有什么人参加?他们应该扮演什么角色?承担什么责任?这些责任通过什么过程和手续体现?这一系列的问题还没有明确的答案。评估工作常出现评估方和被评单位两不满意的情况。有的被评单位在工作进行到一定阶段后认为评估结论不用请人来做也能想出(对信息安全管理体系的评估尤其如此)而且还花费了很多资金。而评估方也感到委屈认为自己在评估工作中投入的成本已经很大评估的程度也很深却得不到对方认同。此外目前由信息安全企业实施的风险评估工作中被评单位的实际配合往往不够限制颇多使评估方难于了解该单位的业务特点和管理要求。评估结果有时缺乏严肃的认可。改进工作的建议和结论时遭束之高阁。很多单位的风险评估工作没有与信息系统的生命周期和安全建设联系起来仅仅是为了评估而评估由于在风险评估后没有针对风险评估的结果采取对策安全状况最终并未取得实质性的增强和改善这些风险评估工作仅仅起到了应付领导的作用。.风险评估存在风险。由于与信息系统漏洞有关的信息、各单位信息安全保障的现状和问题是涉及单位要害、利益、声誉的事项所以风险评估是敏感的工作。调研中一些单位反映了如下一些情况:有的公司参加评估的人员在离职赴国外学习中将被评单位的问题和解决办法作为自己的学业论文内容公诸于世。有的公司把为某单位的评估项目作为自己的成功案例公诸于世。某单位在进行风险评估前虽然也存在网络入侵现象但是这些入侵仅处于试探和扫描状况。在请外部单位进行评估检测之后入侵者反而直奔系统要害而来了。总之我国在信息安全的测评认证方面开展了一些工作积累了一些经验但是对信息系统的风险评估还处于起步阶段有待规范提高并需纳入等级保护的总体制度和机制中。已经显现的问题和可能发生的问题也有待深入研究提出解决办法。什么是信息安全风险评估风险是个传统概念天有不测风云人有旦夕祸福IT成为成熟的生产力还要走很长的路RSA会议的一个报告提出问题为什么是今天的软件工程方法学有缺点为什么软件缺点对cybersecurity是一个关键的挑战我们为什么应该立刻修正我们写软件的方式我们如何测度软件质量和软件安全性我们必须对软件开发者提供什么激励Complexity:BugsperKLOCBKLOCinQAtestedsoftwareQAtestingincludesfaultinjectionandfailureanalysisBKLOCinfeaturetested(commercial)softwareExamplesSolaris=KLOCK–KbugsLinux=<MLOCK–KbugsWindowsNT=MLOCK–MbugsWindowsXP=MLOCK–MbugsBoeing=MLOCK–Kbugs数学支持攻击者冲击波的成功是合乎逻辑的考虑K节网络(中型的公司)每个节平均有,个exe模块每个模块有关KB假设每行代码(LOC)=byte代码然后每个KBexe模块=KLOC每个模块有约(到)bug这样每个主节点存在K(到M)bug在这样的网络中Kbug*K节点=Bbug假定的bug能造成安全失败那么有M个可被远程利用的bug信息化的发展在数字世界凸显了风险面对对风险存在不同认识有的同志把信息安全目标定位于:系统永不停机数据永不丢失网络永不瘫痪信息永不泄密有的同志认为信息安全无能为力美国FBI对付不了黑客信息安全专家对付不了中学生有的同志觉得信息安全问题越来越说不清楚信息系统是一个智能化、人机交互、非线性、时变、复杂、巨系统出路何在?科学的发展观人类对真理的认识是一个不断的求极限的过程具体问题具体分析是认识论的精髓实践是检验真理的唯一标准信息系统的安全风险信息系统的安全风险是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估依据国家有关的政策法规及信息技术标准对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。人们的认识能力和实践能力是有局限性的因此信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性使信息系统在现实环境中总要面临各种人为与自然的威胁存在安全风险也是必然的。信息安全建设的宗旨之一就是在综合考虑成本与效益的前提下通过安全措施来控制风险使残余风险降低到可接受的程度。因为任何信息系统都会有安全风险所以人们追求的所谓安全的信息系统实际是指信息系统在实施了风险评估并做出风险控制后仍然存在的残余风险可被接受的信息系统。因此要追求信息系统的安全就不能脱离全面、完整的信息系统的安全评估就必须运用信息系统安全风险评估的思想和规范对信息系统开展安全风险评估。信息安全风险评估的基本要素资产威胁脆弱性风险使命:一个单位通过信息化要来实现的工作任务。依赖度:一个单位的使命对信息系统和信息的依靠程度。资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。价值:资产的重要程度和敏感程度。威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。风险是在考虑事件发生的可能性及其可能造成的影响下脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数前者指威胁源利用一个潜在脆弱性的可能性后者指不利事件对组织机构产生的影响。残余风险:采取了安全防护措施提高了防护能力后仍然可能存在的风险。安全需求:为保证单位的使命能够正常行使在信息安全防护措施方面提出的要求。安全防护措施:对付威胁减少脆弱性保护资产限制意外事件的影响检测、响应意外事件促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。要素关系图(一)要素关系图(二)为什么要进行风险评估信息安全风险评估的目标和目的信息系统安全风险评估的总体目标是:服务于国家信息化建设促进信息安全保障体系的建设提高信息系统的安全保护能力。信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况达成共识明确责任采取或完善安全保障措施保持信息系统的建设与信息安全策略的一致性和持续性。信息安全风险评估的近期目标是:贯彻落实号文件启动评估工作流程、工作规范、评估标准的研究与制定推进基础信息网络和重要信息系统的风险评估试点示范工作促进信息系统安全等级保护制度的建设。风险评估的意义和作用风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求因此所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化但其直接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后才能决定如何处理安全风险从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。进一步持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段风险评估的结果能够供相关主管单位参考并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响促进信息系统拥有单位加强信息安全建设。风险评估是分级防护和突出重点原则的具体体现信息安全建设的基本原则包括必须从实际出发坚持分级防护、突出重点。风险评估正是这一原则在实际工作中的具体体现。从理论上讲不存在绝对的安全实践中也不可能做到绝对安全风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和回避风险是不现实的也不是分级防护原则所要求的。要从实际出发坚持分级防护、突出重点就必须正确地评估风险以便采取科学、客观、经济和有效的措施。加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展关系国计民生的关键信息基础设施的规模越来越大同时也极大地增加了系统的复杂程度。发达国家越来越重视信息安全风险评估工作提倡风险评估制度化。他们提出没有有效的风险评估便会导致信息安全需求与安全解决方案的严重脱离。因此美国国家安全局强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作并通过法规、标准手段加以保障逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。在我国目前的国情下为加强宏观信息安全管理促进信息安全保障体系建设就必须加强风险评估工作并逐步使风险评估工作朝向制度化的方向发展。怎样进行风险评估从使命出发确认资产及其依赖度从资产的重要性和敏感程度(CIA)判断面对的威胁识别确定脆弱性分析威胁利用脆弱性对资产造成损失的可能性和可能产生的影响形成报告提出选择合适的安全控制措施的建议风险评估的一般工作流程风险评估对信息系统生命周期的支持生命周期阶段阶段特征来自风险管理活动的支持阶段规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价考察其是否能满足要求并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。阶段运行和维护信息系统开始执行其功能一般情况下系统要不断修改添加硬件和软件或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时或者信息系统在其运行性生产环境(例如新的系统接口)中做出重大变更时要对其进行风险评估活动。阶段废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。当要废弃或替换系统组件时要对其进行风险评估以确保硬件和软件得到了适当的废弃处置且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。从风险评估实施的时机划分可以分为面向待建系统的风险评估和面向运行系统的风险评估。对于待建系统如果已经有了设计方案或安全计划则可以从这些文档中标识出部分脆弱性如果系统建设尚处在启动或提议阶段则无从评估其脆弱性上述工作流程可以简化省略对脆弱性的评估。当前存在的风险评估理论和工具当前存在很多风险评估的理论这些方法遵循了基本的风险评估流程但在具体实施手段和风险的计算方法方面各有不同。从计算方法区分有定性的方法、定量的方法和半定量的方法。从实施手段区分有基于树的技术、动态系统的技术等。在风险评估的某些具体阶段(例如威胁评估或脆弱性评估中)也存在更多的理论和方法如脆弱性分类方法、威胁列表等。评估工具目前存在以下几类:扫描工具:包括主机扫描、网络扫描、数据库扫描用于分析系统的常见漏洞入侵检测系统(IDS):用于收集与统计威胁数据渗透性测试工具:黑客工具用于人工渗透评估系统的深层次漏洞主机安全性审计工具:用于分析主机系统配置的安全性安全管理评价系统:用于安全访谈评价安全管理措施风险综合分析系统:在基础数据基础上定量、综合分析系统的风险并且提供分类统计、查询、TOPN查询以及报表输出功能评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。等级保护、认证认可、风险管理、风险评估的关系等级保护是计算机信息系统信息安全保障的重要制度和任务。年《中华人民共和国计算机信息系统安全保护条例》中正式提出了实施等级保护的要求。年中办发号文件重申了这一重要任务。信息系统安全认证认可是发达国家普遍采取的信息系统安全评估与管理模式。由于信息系统不是产品不具有流通性对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息安全保障是否到位。信息安全产品的认证是信息系统安全认证的前提和基础但不能代替对信息系统安全的认证。信息系统安全认可则是单位的管理层或上级主管机关依据安全认证的结果判断信息系统中存在的残余风险是否可以接受从而决定是否允许信息系统投入建设或运行的过程。风险管理是安全管理的重要组成部分。它包括:风险评估、风险控制(实施成本效益分析选择安全防护措施来控制风险)以及根据风险评估结果对信息系统的运行中的相关事项(例如是否批准系统投入运行、是否加大信息安全建设投资等)做出决策。风险评估是认证认可和风险管理的重要组成部分没有风险评估认证认可和风险管理就会成为无源之水、无本之木缺乏决策行动的依据与方向。但风险管理属于概念和方法学的范畴而认证认可则属于实践的层次认证认可本身便是一种风险管理的实施措施。自评估、强制性检查评估与委托评估自评估是信息系统拥有单位依靠自身力量对自有的信息系统进行的风险评估活动。信息系统的风险不仅仅来自信息系统技术平台的共性还来自于特定的应用服务。由于具体单位的信息系统应用服务各具特性这些个性化的过程和要求往往是敏感的而且是没有长期接触该单位所属行业和部门的人难于在短期内熟悉和掌握的。因此自评估有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用有利于提高本单位的风险评估能力与信息安全知识。但是如果没有统一的规范和要求在缺乏信息系统安全风险评估专业人才的情况下自评估的结果可能不深入不规范不到位。自评估中也可能会存在来自于本单位或上级单位领导的不利干预从而出现风险评估结果不够客观或评估结果的置信度较低等问题。某些时候即使自评估的结果比较客观但也可能不会被管理层所信任。这种情况下如果的确有必要实施自评估或自评估的结果对管理层的决策关系重大则可以采取专家组论证的方式加以解决。强制性检查评估则由信息安全主管机关或业务主管机关发起旨在依据已经颁布的法规或标准检查被评估单位是否满足了这些法规或标准。这种评估具有强制性是一种纯粹意义上的他评估单位自身不能对该过程进行干预。此外强制性检查评估必须以明确的法规或标准为基础。这是通过行政手段加强信息安全的重要手段。委托评估指信息系统使用单位委托具有风险评估能力的专业评估机构(国家建立的测评认证机构或安全企业)实施的评估活动。它既有自评估的特点(由单位自身发起且本单位对风险评估过程的影响可以很大)也有他评估的特点(由独立与本单位的另外一方实施评估)。在委托评估中接受委托的评估机构一般拥有风险评估的专业人才风险评估的经验比较丰富对IT技术风险的共性了解得比较深入评估过程较为规范评估结果的客观性比较好置信度比较高。但是评估费用可能会较高且可能会难以深入了解行业应用服务中的安全风险。需着重指出由于风险评估中必然会接触到被评估单位的敏感情况且评估结果本身也属于敏感信息因此委托评估中容易发生评估风险。另外评估方应与系统承建者保持独立不能为同一实体但在评估中可以向系统承建者进行咨询。信息系统安全风险评估的角色和责任信息安全风险评估的任务和措施任务:建立健全和完善信息系统安全风险评估的工作机制。措施:设立攻关课题结合贯彻计算机信息系统安全等级保护要求提出我国风险评估的工作的规范化过程、任务和程序。明确所有者、管理者、运行者、建设者、使用者、共享信息和业务系统者和主管部门等各方职责。结合贯彻计算机信息系统安全等级保护要求建立健全国家重点信息系统安全风险评估监管和督察体系及国家和行业信息系统安全风险评估工作指导机构。建立和完善国家或部门的信息系统安全风险评估工作管理与协调机制完善部门协调机制。促进相关资源的管理与共享提高信息系统安全风险评估能力。建立和完善信息系统安全风险评估工作的各项制度实施信息系统安全风险评估工作的备案报告和定期检查制度。任务:统筹建设信息安全风险评估的基础设施和基础环境满足信息安全风险评估的需求。措施:按照不同行业培养多层次信息系统安全风险评估专业队伍。完善我国信息系统信息安全风险评估服务的资质认证和行为规范提高信息安全风险评估服务水平。加强信息系统安全风险评估核心技术研究与攻关增强信息系统安全风险评估核心竞争力。国家要组织攻关力争在近几年内在核心环节有较大的突破为国家基础信息网络和重要信息系统的评估提供自主可控的工具、模型与实用技术。完善法律法规和标准体系建设实现管理法制化和规范化。重视信息安全风险评估有关信息的收集、分析和利用工作增强我国信息系统安全风险评估的预警和报知能力。建立国家基础信息网络和重要信息系统的风险评估数据库。任务:对涉及国家电子政务、国防系统等重要信息系统开展风险评估掌握关键信息系统的安全状况。措施:对涉及国家电子政务、国防系统等重要信息系统的风险分析和分级保护策略进行认真研究制定基本的安全策略和评估指南。开展相关系统风险评估的试点工作总结经验教训逐步在面上推广确保国家基础信息网络和重要信息系统功能和系统运行正常安全措施有效进一步增强系统保障能力。任务:推动社会关注提高风险意识。措施:通过意识、培训、教育提高社会公众的信息安全风险意识。通过信息安全企业对社会公众的安全服务解决社会公众在信息化中遇到的信息安全问题。开展信息化道德教育引导青少年的志趣、行为。提倡爱国报国爱护信息化家园。表彰遵纪守法打击违规犯罪。谢谢大家

VIP尊享8折文档

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/99

信息安全风险评估

¥30.0

会员价¥24.0

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利