《信息安全管理講義》PPT課件.ppt

信息安全管理技術(shù),信息安全管理引入與內(nèi)涵,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全等級(jí)保護(hù),4,1,2,3,4,ISO信息安全管理標(biāo)準(zhǔn),5,4,信息安全法規(guī),6,信息安全規(guī)劃,信息安全管理引入與內(nèi)涵,信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段： 20世紀(jì)80、90年代以前，面對(duì)信息交換過程中存在的安全問題，人們強(qiáng)調(diào)的主要是信息的保密性和完整性，該階段稱為通信保密階段； 20世紀(jì)80、90年代，隨著計(jì)算機(jī)和網(wǎng)絡(luò)廣泛應(yīng)用，人們對(duì)信息安全的關(guān)注已經(jīng)逐漸擴(kuò)展為以保密性、完整性和可用性為目標(biāo)，并利用密碼、認(rèn)證、訪問控制、審計(jì)與監(jiān)控等多種信息安全技術(shù)為信息和信息系統(tǒng)提供安全服務(wù)，該階段稱為信息安全階段；,信息安全管理引入與內(nèi)涵,信息安全在其發(fā)展過程中經(jīng)歷的三個(gè)階段 20世紀(jì)90年代中后期，由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息對(duì)內(nèi)、對(duì)外都極大開放，由此產(chǎn)生的安全問題已經(jīng)不僅僅是傳統(tǒng)的保密性、完整性和可用性三個(gè)方面，人們把信息主體和管理引入信息安全，由此衍生出諸如可控性、抗抵賴性、真實(shí)性等安全原則和目標(biāo)，信息安全也從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)等整體建設(shè)方向發(fā)展。該階段稱為信息安全保障階段。,信息安全管理引入與內(nèi)涵,信息安全技術(shù)與信息安全管理,信息安全技術(shù)是實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)； 信息安全產(chǎn)品是實(shí)現(xiàn)信息安全的工具平臺(tái)；,信息安全管理是通過維護(hù)信息的機(jī)密性、完整性 和可用性等，來管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制， 是對(duì)信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系 列活動(dòng)和過程。,信息安全管理引入與內(nèi)涵,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全等級(jí)保護(hù),4,1,2,3,4,ISO信息安全管理標(biāo)準(zhǔn),5,4,信息安全法規(guī),6,信息安全規(guī)劃,信息安全規(guī)劃,信息安全規(guī)劃也稱為信息安全計(jì)劃，它用于在較高的層次上確定一個(gè)組織涉及信息安全的活動(dòng)，主要內(nèi)容：,安全策略 安全需求 計(jì)劃采用的安全措施 安全責(zé)任 規(guī)劃執(zhí)行時(shí)間表,信息安全管理引入與內(nèi)涵,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全等級(jí)保護(hù),4,1,2,3,4,ISO信息安全管理標(biāo)準(zhǔn),5,4,信息安全法規(guī),6,信息安全規(guī)劃,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成安全事件的可能性及這類安全事件可能對(duì)信息資產(chǎn)等造成的負(fù)面影響。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)評(píng)估： 也稱信息安全風(fēng)險(xiǎn)分析，它是指對(duì)信息安全威脅進(jìn)行分析和預(yù)測(cè)，評(píng)估這些威脅對(duì)信息資產(chǎn)造成的影響。 信息安全風(fēng)險(xiǎn)評(píng)估使信息系統(tǒng)的管理者可以在考慮風(fēng)險(xiǎn)的情況下估算信息資產(chǎn)的價(jià)值，為管理決策提供支持，也可為進(jìn)一步實(shí)施系統(tǒng)安全防護(hù)提供依據(jù)。,信息安全建設(shè)的起點(diǎn)和基礎(chǔ),倡導(dǎo)一種適度安全,信息安全建設(shè)和管理的科學(xué)方法,分析確定風(fēng)險(xiǎn)的過程,信息安全 風(fēng)險(xiǎn)評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估應(yīng)考慮的因素：,資產(chǎn)的識(shí)別與估價(jià) 為了明確被保護(hù)的信息資產(chǎn)，組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單，對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u(píng)估。 為了防止資產(chǎn)被忽略或遺漏，在識(shí)別資產(chǎn)之前應(yīng)確定風(fēng)險(xiǎn)評(píng)估范圍。所有在評(píng)估范圍之內(nèi)的資產(chǎn)都應(yīng)該被識(shí)別，因此要列出對(duì)組織或組織的特定部門的業(yè)務(wù)過程有價(jià)值的任何事物，以便根據(jù)組織的業(yè)務(wù)流程來識(shí)別信息資產(chǎn)。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,資產(chǎn)的識(shí)別與估價(jià) 在列出所有信息資產(chǎn)后，應(yīng)對(duì)每項(xiàng)資產(chǎn)賦予價(jià)值。資產(chǎn)估價(jià)是一個(gè)主觀的過程，而且資產(chǎn)的價(jià)值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們最清楚資產(chǎn)對(duì)組織業(yè)務(wù)的重要性，從而能夠準(zhǔn)確地評(píng)估出資產(chǎn)的實(shí)際價(jià)值。 為確保資產(chǎn)估價(jià)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)的價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)），以明確如何對(duì)資產(chǎn)進(jìn)行賦值。 在信息系統(tǒng)中，采用精確的財(cái)務(wù)方式來給資產(chǎn)確定價(jià)值比較困難，一般采用定性分級(jí)的方式來建立資產(chǎn)的相對(duì)價(jià)值或重要度，即按照事先確定的價(jià)值尺度將資產(chǎn)的價(jià)值劃分為不同等級(jí)，以相對(duì)價(jià)值作為確定重要資產(chǎn)及為這些資產(chǎn)投入多大資源進(jìn)行保護(hù)的依據(jù)。,資產(chǎn)的識(shí)別與估價(jià),信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識(shí)別產(chǎn)生威脅的原因,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,威脅識(shí)別與評(píng)估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識(shí)別產(chǎn)生威脅的原因,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,威脅識(shí)別與評(píng)估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識(shí)別產(chǎn)生威脅的原因,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,威脅識(shí)別與評(píng)估,人員威脅,1,2,系統(tǒng)威脅,環(huán)境威脅,3,4,自然威脅,識(shí)別產(chǎn)生威脅的原因,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,威脅識(shí)別與評(píng)估,威脅識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,威脅識(shí)別與評(píng)估的主要任務(wù),威脅識(shí)別與評(píng)估 威脅發(fā)生造成的后果或潛在影響,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,威脅一旦發(fā)生會(huì)造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴(yán)重的威脅發(fā)生會(huì)導(dǎo)致諸如信息系統(tǒng)崩潰、業(yè)務(wù)流程中斷、財(cái)產(chǎn)損失等重大安全事故。不同的威脅對(duì)同一資產(chǎn)或組織所產(chǎn)生的影響不同，導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對(duì)價(jià)值（或重要程度）為限。,脆弱性識(shí)別與評(píng)估 僅有威脅還構(gòu)不成風(fēng)險(xiǎn)。由于組織缺乏充分的安全控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)，即脆弱性。威脅只有利用了特定的脆弱性或者弱點(diǎn)，才可能對(duì)資產(chǎn)造成影響。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,脆弱性識(shí)別與評(píng)估 脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才能造成危害。 資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。 脆弱性識(shí)別可以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性；也可分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,脆弱性識(shí)別與評(píng)估,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,技術(shù)脆弱性,1,2,操作脆弱性,管理脆弱性,3,脆弱性的分類,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,脆弱性識(shí)別與評(píng)估 評(píng)估脆弱性需要考慮的因素 脆弱性的嚴(yán)重程度（Severity）； 脆弱性的暴露程度（Exposure），即被威脅利用的可能性P， 這兩個(gè)因素可采用分級(jí)賦值的方法。 例如對(duì)于脆弱性被威脅利用的可能性可以分級(jí)為： 非?？赡? 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,確認(rèn)現(xiàn)有安全控制 在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點(diǎn)，再就是組織現(xiàn)有的安全控制措施。 在風(fēng)險(xiǎn)評(píng)估過程中，應(yīng)當(dāng)識(shí)別已有的（或已計(jì)劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對(duì)于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更合適的控制代替。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,確認(rèn)現(xiàn)有安全控制,管理性安全控制,1,2,操作性安全控制,技術(shù)性安全控制,3,安全控制方式的分類 (依據(jù)目標(biāo)和針對(duì)性分類),信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,確認(rèn)現(xiàn)有安全控制,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,確認(rèn)現(xiàn)有安全控制 安全控制應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)評(píng)價(jià)就是利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法或工具確定風(fēng)險(xiǎn)的大小與等級(jí)，對(duì)組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測(cè)量的列表，以便識(shí)別與選擇適當(dāng)和正確的安全控制方式。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法 預(yù)定義價(jià)值矩陣法 按風(fēng)險(xiǎn)大小對(duì)威脅排序法 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法 風(fēng)險(xiǎn)度量的目的是明確當(dāng)前的安全狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源 。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法 預(yù)定義價(jià)值矩陣法,該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產(chǎn)的相對(duì)價(jià)值三者預(yù)定義的三維矩陣來確定風(fēng)險(xiǎn)的大小。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法 按風(fēng)險(xiǎn)大小對(duì)威脅排序法,該方法把風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對(duì)組織資產(chǎn)的危害程度。,第一步：按預(yù)定義的尺度，評(píng)估風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響即資產(chǎn)的相 對(duì)價(jià)值I，例如，尺度可以是從1到5； 第二步：評(píng)估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被 利用的脆弱性因素）代替，例如尺度為1到5 ； 第三步：測(cè)量風(fēng)險(xiǎn)值R，R = R（PTV ，I）= PTV I ；,該方法把風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對(duì)組織資產(chǎn)的危害程度。 方法的實(shí)施過程是：,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法 按風(fēng)險(xiǎn)大小對(duì)威脅排序法,R = PTV I=3 5=15,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法,R = V（1 - PD）（1 - PO） 其中： V系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三 項(xiàng)評(píng)價(jià)值的乘積，即V = CIA； PO防止威脅發(fā)生的可能性，與用戶的個(gè)數(shù)、原先的信任、備份的頻率以及強(qiáng)制安全措施需求的滿足程度有關(guān)； PD防止系統(tǒng)性能降低的可能性，與組織已實(shí)施的保護(hù)性控制措施有關(guān)。,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法 網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法,V = CIA=232=12,R = V（1 - PD）（1 - PO） =12 （1-0.5） （1-0.5）=3.00,信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估,安全措施建議,信息安全風(fēng)險(xiǎn)評(píng)估人員通過以上評(píng)估得到了不同信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)，他們?cè)谶@一步驟中根據(jù)風(fēng)險(xiǎn)等級(jí)和其他評(píng)估結(jié)論，結(jié)合被評(píng)估組織當(dāng)前信息安全防護(hù)措施的狀況，為被評(píng)估組織提供加強(qiáng)信息安全防護(hù)的建議。,風(fēng)險(xiǎn)評(píng)估管理軟件 為便于系統(tǒng)所有單位實(shí)施自評(píng)估，基于現(xiàn)有評(píng)估方法，開發(fā)