CISP0302信息安全風(fēng)險管理_v30

1、信息安全風(fēng)險管理信息安全風(fēng)險管理課程內(nèi)容課程內(nèi)容2知識體知識域知識子域信息安全信息安全風(fēng)險管理風(fēng)險管理信息安全風(fēng)險信息安全風(fēng)險管理主要內(nèi)容管理主要內(nèi)容信息安全風(fēng)險管理的基本內(nèi)容和過程信息安全風(fēng)險管理的基本內(nèi)容和過程信息安全風(fēng)險管理概述信息安全風(fēng)險管理概述風(fēng)險相關(guān)基本概念風(fēng)險相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風(fēng)險管理信息系統(tǒng)生命周期與信息安全風(fēng)險管理信息安全風(fēng)險信息安全風(fēng)險管理基礎(chǔ)管理基礎(chǔ)信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)信息安全風(fēng)險信息安全風(fēng)險評估評估風(fēng)險評估工作形式風(fēng)險評估工作形式風(fēng)險評估方法風(fēng)險評估方法風(fēng)險評估的實(shí)施流程風(fēng)險評估的實(shí)施流程風(fēng)險評估工具風(fēng)險評估工具知識域

2、：信息安全風(fēng)險管理基礎(chǔ)知識域：信息安全風(fēng)險管理基礎(chǔ)知識子域：知識子域： 風(fēng)險相關(guān)基礎(chǔ)概念風(fēng)險相關(guān)基礎(chǔ)概念v 理解風(fēng)險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風(fēng)險相關(guān)概念v 理解風(fēng)險準(zhǔn)則、風(fēng)險評估、風(fēng)險處理、風(fēng)險管理、殘余風(fēng)險的概念，掌握信息安全風(fēng)險評估的概念v 理解風(fēng)險相關(guān)要素之間的關(guān)系3v風(fēng)險風(fēng)險，指事態(tài)的概率及其結(jié)果的組合 （ GB/Z 24364-2009信息安全風(fēng)險管理指南）v信息安全風(fēng)險信息安全風(fēng)險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響（ GB/T 20984-2007信息安全風(fēng)險評估規(guī)范）v信

3、息安全風(fēng)險會破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性風(fēng)險、信息安全風(fēng)險的概念風(fēng)險、信息安全風(fēng)險的概念4v風(fēng)險風(fēng)險的構(gòu)成包括五個方面：起源的構(gòu)成包括五個方面：起源（威脅源）（威脅源）、方式、方式（威脅行為）（威脅行為）、途徑、途徑（脆弱性）（脆弱性）、受體、受體（資產(chǎn)）（資產(chǎn)）和和后果后果（影響）（影響）風(fēng)險的構(gòu)成風(fēng)險的構(gòu)成5風(fēng)險相關(guān)術(shù)語風(fēng)險相關(guān)術(shù)語 資產(chǎn)（Asset） 威脅（ Threat ） 脆弱性（Vunerability） 可能性（Likelihood, Probability） 安全措施/控制措施（Countermeasure, safeguard, control）6 業(yè)務(wù)戰(zhàn)略

4、 安全事件 安全需求 風(fēng)險準(zhǔn)則 風(fēng)險評估 風(fēng)險處理 風(fēng)險管理 殘余風(fēng)險（Residental Risk） 信息安全風(fēng)險評估資產(chǎn)資產(chǎn)v資產(chǎn)是任何對組織有價值的東西，是要保護(hù)的對象v資產(chǎn)以多種形式存在（多種分類方法） 物理的（如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等） 硬件的（如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應(yīng)用軟件等） 有形的（如機(jī)房、設(shè)備和人員等）和無形的（如品牌、信心和名譽(yù)等） 靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等） 技術(shù)的（如計(jì)算機(jī)硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)

5、、戰(zhàn)略、策略、規(guī)程、過程、計(jì)劃和人員等）等7威脅威脅v可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因v引起風(fēng)險的外因v威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險v威脅舉例 操作失誤 濫用授權(quán) 行為抵賴 身份假冒 口令攻擊 密鑰分析8 漏洞利用 拒絕服務(wù) 竊取數(shù)據(jù) 物理破壞 社會工程脆弱性脆弱性v可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)v造成風(fēng)險的內(nèi)因v脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當(dāng)?shù)耐{方式對信息資產(chǎn)造成危害v脆弱性舉例 系統(tǒng)程序代碼缺陷 系統(tǒng)設(shè)備安全配置錯誤 系統(tǒng)操作流程有缺陷 維護(hù)人員安全意識不足9可能性可能性v某件事發(fā)生的機(jī)會v威脅源利用脆弱

6、性造成不良后果的機(jī)會v舉例 脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機(jī)會很小 系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生不良后果的機(jī)會較小 互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測試工具，發(fā)生不良后果的機(jī)會很大10對風(fēng)險概念的理解對風(fēng)險概念的理解v威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性 網(wǎng)站存在SQL注入漏洞，普通攻擊者普通攻擊者利用自動化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽(yù)11威脅源威脅方式脆弱性風(fēng)險采取利用造成對信息安全風(fēng)險的理解對信息安全風(fēng)險的理解v信息安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害

7、的可能性v信息安全風(fēng)險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性v信息安全風(fēng)險只考慮那些對組織有負(fù)面影響的事件12信息安全風(fēng)險評估信息安全風(fēng)險評估13v是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程v它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響風(fēng)險處理、風(fēng)險管理風(fēng)險處理、風(fēng)險管理14v風(fēng)險處理是選擇并且執(zhí)行措施來更改風(fēng)險的過程v風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的過程安全措施安全措施/ /控制措施控制

8、措施v保護(hù)資產(chǎn)，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制，它是管理風(fēng)險的具體手段和方法v根據(jù)安全需求部署，用來防范威脅，降低風(fēng)險的措施v舉例 部署防火墻、入侵檢測、審計(jì)系統(tǒng) 測試環(huán)節(jié) 操作審批環(huán)節(jié) 應(yīng)急體系 終端U盤管理制度15殘余風(fēng)險殘余風(fēng)險v采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險v有些殘余風(fēng)險是在綜合考慮了安全成本與效益后不去控制的風(fēng)險v殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件v舉例 風(fēng)險列表中有10項(xiàng)風(fēng)險，根據(jù)風(fēng)險成本效益分析，只有前8項(xiàng)需要控制，則前8項(xiàng)處理后剩余的風(fēng)險加上另2項(xiàng)風(fēng)險為殘余風(fēng)險，一段時間內(nèi)系統(tǒng)處于風(fēng)險可接

9、受水平16風(fēng)險相關(guān)要素之間的關(guān)系風(fēng)險相關(guān)要素之間的關(guān)系17知識域：信息安全風(fēng)險管理基礎(chǔ)知識域：信息安全風(fēng)險管理基礎(chǔ)知識子域：知識子域： 信息安全風(fēng)險管理概述信息安全風(fēng)險管理概述v 理解實(shí)施風(fēng)險管理的主要原則v 理解風(fēng)險管理的范圍和對象18實(shí)施實(shí)施風(fēng)險管理的主要原則風(fēng)險管理的主要原則v風(fēng)險管理創(chuàng)造和保護(hù)價值v風(fēng)險管理是所有組織過程不可分割的一個部分，促進(jìn)組織的持續(xù)改進(jìn)v風(fēng)險管理是透明的，參與人員應(yīng)包含廣泛，同時考慮人員和文化因素v風(fēng)險管理是定制的，并具有體系化、結(jié)構(gòu)化的特點(diǎn)v風(fēng)險管理是動態(tài)的、反復(fù)的和響應(yīng)變化的19風(fēng)險管理的范圍和對象風(fēng)險管理的范圍和對象v信息安全的概念涵蓋了信息、信息載體和信息

10、環(huán)境三個方面的安全 信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體，如紙張、硬盤、網(wǎng)線等 信息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺等硬環(huán)境和軟環(huán)境v信息安全風(fēng)險管理涉及信息安全上述三個方面包含的所有相關(guān)對象v對于一個具體的信息系統(tǒng)，風(fēng)險管理選擇的范圍和對象重點(diǎn)應(yīng)有所不同20知識域：信息安全風(fēng)險管理基礎(chǔ)知識域：信息安全風(fēng)險管理基礎(chǔ)知識子域：知識子域： 信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)信息安全風(fēng)險相關(guān)政策與標(biāo)準(zhǔn)v 了解我國有關(guān)信息安全風(fēng)險管理的政策要求v 了解信息安全風(fēng)險管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn)21我國有關(guān)信息安全風(fēng)險管理的政策要求我國有關(guān)信息安全風(fēng)險

11、管理的政策要求v國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）明確提出要重視信息安全風(fēng)險評估工作，將風(fēng)險評估作為提高我國信息安全保障水平的一項(xiàng)重要舉措v關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦20065號），就信息安全風(fēng)險評估工作的基本內(nèi)容和原則，以及開展信息安全風(fēng)險評估工作的有關(guān)安排等做出規(guī)定和部署v關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險評估工作的通知（發(fā)改高技20082071號），規(guī)范了國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險評估工作22關(guān)于開展信息安全風(fēng)險評估工作的意見關(guān)于開展信息安全風(fēng)險評估工作的意見 （國信辦（國信辦2006520065號號）的的實(shí)施要求

12、實(shí)施要求v信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。規(guī)劃設(shè)計(jì)階段、驗(yàn)收時均應(yīng)實(shí)施風(fēng)險評估；運(yùn)行后應(yīng)定期實(shí)施v應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險評估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求23關(guān)于開展信息安全風(fēng)險評估工作的意見關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦國信辦2006520065號）號）的的管理要求管理要求v為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險，必須高度重視信息安全風(fēng)險評估的組織管理工作。要求：參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密

13、措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議對關(guān)系國計(jì)民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行 24關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險評估工作的通知險評估工作的通知（發(fā)改高技發(fā)改高技【20082008】20712071號號）v電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險評估工作v項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險評估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù)v項(xiàng)目驗(yàn)收申請時，應(yīng)提交信息安全風(fēng)險評估報(bào)告v系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險評估25信息信息安全風(fēng)險管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn)安全風(fēng)險管理

14、相關(guān)的國內(nèi)外標(biāo)準(zhǔn)v GB/T 20984-2007信息安全風(fēng)險評估規(guī)范v GB/Z 24364-2009信息安全風(fēng)險管理指南v ISO/IEC 27005:2011信息安全風(fēng)險管理v ISO GUIDE 73:2009風(fēng)險管理術(shù)語v ISO 31000:2009風(fēng)險管理主要原則和指南v IEC/ISO 31010:2009風(fēng)險管理風(fēng)險評估技術(shù)v NIST SP800-30 (2012)實(shí)施風(fēng)險評估指南v NIST SP800-39 (2011) 管理信息安全風(fēng)險：組織、使命和信息系統(tǒng)梗概v NIST SP800-37 (2010) 聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險管理框架指南：安全生命周期方法v NIST

15、 SP800-53 (2010) 為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施v NIST SP800-53A (2010) 聯(lián)邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計(jì)劃26知識域：信息安全風(fēng)險管理主要內(nèi)容知識域：信息安全風(fēng)險管理主要內(nèi)容知識子域：知識子域： 信息安全風(fēng)險管理的基本內(nèi)容和過程信息安全風(fēng)險管理的基本內(nèi)容和過程v 理解背景建立的主要工作內(nèi)容v 理解風(fēng)險評估的主要工作內(nèi)容v 理解風(fēng)險處理的主要工作內(nèi)容v 理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容v 理解監(jiān)控審查的主要工作內(nèi)容v 理解溝通咨詢的主要工作內(nèi)容27信息安全風(fēng)險管理工作內(nèi)容信息安全風(fēng)險管理工作內(nèi)容監(jiān)控審查監(jiān)控審查溝通咨詢溝通咨詢

16、v GB/Z 24364信息安全風(fēng)險管理指南：四個階段，兩個貫穿 28背景建立背景建立v背景建立是信息安全風(fēng)險管理的第一步驟，確定風(fēng)險管理的對象和范圍，確立實(shí)施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析 風(fēng)險管理準(zhǔn)備：確定對象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持 信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn) 信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素 信息安全分析：分析安全要求、分析安全環(huán)境29背景建立過程背景建立過程30風(fēng)險評估風(fēng)險評估v信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動 風(fēng)險評估準(zhǔn)備：制定風(fēng)險評估方案、選擇評估方法 風(fēng)險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱

17、性和控制措施 風(fēng)險分析：判斷風(fēng)險發(fā)生的可能性和影響的程度 風(fēng)險結(jié)果判定：綜合分析結(jié)果判定風(fēng)險等級31風(fēng)險評估過程風(fēng)險評估過程32風(fēng)險處理風(fēng)險處理v風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)。 現(xiàn)存風(fēng)險判斷：判斷信息系統(tǒng)中哪些風(fēng)險可以接受，哪些不可以 處理目標(biāo)確認(rèn)：不可接受的風(fēng)險需要控制到怎樣的程度 處理措施選擇：選擇風(fēng)險處理方式，確定風(fēng)險控制措施 處理措施實(shí)施：制定具體安全方案，部署控制措施33風(fēng)險處理過程風(fēng)險處理過程34v減低風(fēng)險v轉(zhuǎn)移風(fēng)險v規(guī)避風(fēng)險v接受風(fēng)險常用的四類風(fēng)險處置方法常用的四類風(fēng)險處置方法35減低風(fēng)險減低風(fēng)險v通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施來降低風(fēng)險 v首先應(yīng)當(dāng)考慮的風(fēng)險處

18、置措施，通常在安全投入小于負(fù)面影響價值的情況下采用v保護(hù)措施可以從構(gòu)成風(fēng)險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風(fēng)險36減低風(fēng)險的具體辦法減低風(fēng)險的具體辦法v減少威脅源 采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機(jī)v減低威脅能力 采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力v減少脆弱性 及時給系統(tǒng)打補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性v防護(hù)資產(chǎn) 采用各種防護(hù)措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持v降低負(fù)面影響 采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施，從而減少安全事件造成的影響程

19、度37轉(zhuǎn)移風(fēng)險轉(zhuǎn)移風(fēng)險v通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險v通常只有當(dāng)風(fēng)險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險38購買保險服務(wù)外包規(guī)避風(fēng)險規(guī)避風(fēng)險v通過不使用面臨風(fēng)險的資產(chǎn)來避免風(fēng)險。比如： 在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏 對于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊v通常在風(fēng)險的損失無法接受，又難以通過控制措施減低風(fēng)險的情況下39接受風(fēng)險接受風(fēng)險v接受風(fēng)險是選擇對風(fēng)險不采取進(jìn)一步的處理措施，接受風(fēng)險可能帶來

20、的結(jié)果 v用于那些在采取了降低風(fēng)險和避免風(fēng)險措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營，就必然存在并必須接受的風(fēng)險 v接受風(fēng)險不意味著不聞不問，需要對風(fēng)險態(tài)勢變化進(jìn)行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風(fēng)險就要進(jìn)一步采取措施40批準(zhǔn)監(jiān)督批準(zhǔn)監(jiān)督v批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險管理活動的決定v監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險41批準(zhǔn)監(jiān)督過程批準(zhǔn)監(jiān)督過程42監(jiān)控審查的意義監(jiān)控審查的意義v 監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧?/p>

21、進(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險管理主循環(huán)的有效性43類似信息系統(tǒng)工程中的監(jiān)理監(jiān)控審查過程監(jiān)控審查過程44溝通咨詢溝通咨詢v通過暢通的交流和充分的溝通，保持行動的協(xié)調(diào)和一致；通過有效的培訓(xùn)和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在溝通咨詢溝通咨詢 與領(lǐng)導(dǎo)領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn) 單位內(nèi)部各有關(guān)部門相互單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作 與支持單位和系統(tǒng)用戶支持單位和系統(tǒng)用戶溝通，以得到了解和支持 為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識、知識和技能45溝通咨詢過程溝通咨詢過程46知識域：信息安全風(fēng)險管理主要內(nèi)容知識

22、域：信息安全風(fēng)險管理主要內(nèi)容知識子域：知識子域： 信息系統(tǒng)使命周期與信息安全風(fēng)險管理信息系統(tǒng)使命周期與信息安全風(fēng)險管理v 理解信息系統(tǒng)生命周期與信息安全風(fēng)險管理的關(guān)系v 理解系統(tǒng)規(guī)劃階段的風(fēng)險管理工作內(nèi)容v 理解系統(tǒng)設(shè)計(jì)階段的風(fēng)險管理工作內(nèi)容v 理解系統(tǒng)實(shí)施階段的風(fēng)險管理工作內(nèi)容v 理解系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險管理工作內(nèi)容v 理解系統(tǒng)廢棄階段的風(fēng)險管理工作內(nèi)容47信息系統(tǒng)生命周期與信息安全風(fēng)險信息系統(tǒng)生命周期與信息安全風(fēng)險管理的關(guān)系管理的關(guān)系v信息系統(tǒng)生命周期的每個階段，有不同的信息安全目標(biāo)v為了達(dá)到其安全目標(biāo)，每一階段都需要相應(yīng)的風(fēng)險管理手段作為支持 v信息安全目標(biāo)就是要實(shí)現(xiàn)信息系統(tǒng)的基本安全

23、特性（即信息安全基本屬性），并達(dá)到所需的保障級別48規(guī)劃規(guī)劃設(shè)計(jì)設(shè)計(jì)實(shí)施實(shí)施運(yùn)維運(yùn)維廢棄廢棄系統(tǒng)規(guī)劃階段的安全目標(biāo)系統(tǒng)規(guī)劃階段的安全目標(biāo)49 明確信息系統(tǒng)安全建設(shè)的目的,對信息系統(tǒng)安全建設(shè)實(shí)現(xiàn)的可能性進(jìn)行分析論證并設(shè)計(jì)出總體安全規(guī)劃方案 為了保證安全目標(biāo)的實(shí)現(xiàn)，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風(fēng)險的環(huán)節(jié)進(jìn)行風(fēng)險管理，從而降低在項(xiàng)目后期處理相同安全風(fēng)險所帶來的高額成本序號序號風(fēng)險管理活動風(fēng)險管理活動風(fēng)險管理風(fēng)險管理工作內(nèi)容工作內(nèi)容1明確安全總體方針 背景建立2安全需求分析背景建立4風(fēng)險評估準(zhǔn)則達(dá)成一致風(fēng)險評估5安全實(shí)現(xiàn)論證分析 風(fēng)險處理、批準(zhǔn)監(jiān)督系統(tǒng)規(guī)劃階段的信息安全風(fēng)險管理系統(tǒng)規(guī)劃階段的信

24、息安全風(fēng)險管理50系統(tǒng)設(shè)計(jì)階段的安全目標(biāo)系統(tǒng)設(shè)計(jì)階段的安全目標(biāo)51規(guī)劃規(guī)劃設(shè)計(jì)設(shè)計(jì)實(shí)施實(shí)施運(yùn)維運(yùn)維廢棄廢棄 依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來設(shè)計(jì)信設(shè)計(jì)信息系統(tǒng)安全的實(shí)現(xiàn)結(jié)構(gòu)息系統(tǒng)安全的實(shí)現(xiàn)結(jié)構(gòu)（包括功能劃分、接口協(xié)議和性能指標(biāo)等）和實(shí)施方案和實(shí)施方案（包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等） 在設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險，因此對關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對性地進(jìn)行安全風(fēng)險管理系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險管理系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險管理 序號序號風(fēng)險管理活動風(fēng)險管理活動風(fēng)險管理風(fēng)險管理工作內(nèi)容工作內(nèi)容1設(shè)計(jì)方案分析論證背景

25、建立、風(fēng)險評估2安全技術(shù)選擇風(fēng)險處理3安全產(chǎn)品選擇風(fēng)險處理4自開發(fā)軟件設(shè)計(jì)風(fēng)險處理風(fēng)險處理52系統(tǒng)實(shí)施階段的安全目標(biāo)系統(tǒng)實(shí)施階段的安全目標(biāo)53規(guī)劃規(guī)劃設(shè)計(jì)設(shè)計(jì)實(shí)施實(shí)施運(yùn)維運(yùn)維廢棄廢棄v按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)安全實(shí)施方案 采購采購設(shè)備和軟件，開發(fā)開發(fā)定制功能 集成、部署、配置和測試集成、部署、配置和測試信息系統(tǒng)的安全機(jī)制 培訓(xùn)人員培訓(xùn)人員 對是否允許系統(tǒng)投入運(yùn)行是否允許系統(tǒng)投入運(yùn)行進(jìn)行批準(zhǔn)監(jiān)督系統(tǒng)實(shí)施階段的信息安全風(fēng)險管理系統(tǒng)實(shí)施階段的信息安全風(fēng)險管理 序號序號風(fēng)險管理活動風(fēng)險管理活動風(fēng)險管理風(fēng)險管理工作內(nèi)容工作內(nèi)容1安全測試風(fēng)險評估2檢查與配置風(fēng)險處理3人員培訓(xùn)風(fēng)險處理4授權(quán)系統(tǒng)運(yùn)

26、行批準(zhǔn)監(jiān)督54v在信息系統(tǒng)經(jīng)過授權(quán)投入運(yùn)行之后，確保在運(yùn)行過程中，以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運(yùn)行和安全性系統(tǒng)運(yùn)維階段的安全目標(biāo)系統(tǒng)運(yùn)維階段的安全目標(biāo)55規(guī)劃規(guī)劃設(shè)計(jì)設(shè)計(jì)實(shí)施實(shí)施運(yùn)維運(yùn)維廢棄廢棄系統(tǒng)運(yùn)維階段的信息安全風(fēng)險管理系統(tǒng)運(yùn)維階段的信息安全風(fēng)險管理 序號序號風(fēng)險管理活動風(fēng)險管理活動風(fēng)險管理風(fēng)險管理工作內(nèi)容工作內(nèi)容1安全運(yùn)行和管理風(fēng)險評估、風(fēng)險處理2變更管理風(fēng)險評估、風(fēng)險處理3風(fēng)險再評估風(fēng)險評估、風(fēng)險處理4定期重新審批批準(zhǔn)監(jiān)督56v確保對信息系統(tǒng)的過時或無用部分進(jìn)行安全報(bào)廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞系統(tǒng)廢棄階段的安全目標(biāo)系統(tǒng)廢棄階段的安全目標(biāo)57規(guī)劃

27、規(guī)劃設(shè)計(jì)設(shè)計(jì)實(shí)施實(shí)施運(yùn)維運(yùn)維廢棄廢棄信息系統(tǒng)廢棄階段的風(fēng)險管理信息系統(tǒng)廢棄階段的風(fēng)險管理序號序號風(fēng)險管理活動風(fēng)險管理活動風(fēng)險管理風(fēng)險管理工作內(nèi)容工作內(nèi)容1確定廢棄對象背景建立2廢棄對象的風(fēng)險評估 風(fēng)險評估3廢棄過程的風(fēng)險處理 風(fēng)險處理4廢棄后的評審批準(zhǔn)監(jiān)督58知識域：信息安全風(fēng)險評估知識域：信息安全風(fēng)險評估知識子域：知識子域： 風(fēng)險評估工作形式風(fēng)險評估工作形式v 理解自評估和檢查評估的風(fēng)險評估工作形式v 理解自評估和檢查評估的區(qū)別及優(yōu)缺點(diǎn)v 理解風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系59風(fēng)險評估工作形式風(fēng)險評估工作形式v信息安全風(fēng)險評估分為自評估、檢查評估兩種形式v自評估為主，自評估和檢查

28、評估相互結(jié)合、互為補(bǔ)充v自評估和檢查評估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持60自自評估評估v信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估61由發(fā)起方實(shí)施由發(fā)起方實(shí)施v 優(yōu)點(diǎn) 有利于降低實(shí)施的費(fèi)用 有利于保密 有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長 有利于提高相關(guān)人員的安全意識和評估能力v 缺點(diǎn) 可能結(jié)果不夠深入準(zhǔn)確 客觀性易受影響由受由受委托方實(shí)施委托方實(shí)施v 優(yōu)點(diǎn) 過程比較規(guī)范 客觀性比較好v 缺點(diǎn) 對業(yè)務(wù)了解存在局限性 不利于保密檢查評估檢查評估v信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險評估62v優(yōu)點(diǎn) 具權(quán)威性 通過行政手段加強(qiáng)信息安

29、全，具強(qiáng)制性v缺點(diǎn) 間隔時間較長，難以貫穿信息系統(tǒng)的生命周期 一般是以抽樣的方式進(jìn)行，難以覆蓋全部評估對象風(fēng)險評估、檢查評估和等級保護(hù)測評風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系之間的關(guān)系v等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評v而風(fēng)險評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被評估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險識別、風(fēng)險分析、風(fēng)險評價活動63知識域：信息安全風(fēng)險評估知識域：信息安全風(fēng)險評估知識子域：知識子域： 風(fēng)險評估方法風(fēng)險評估方法v 理解定性風(fēng)險分析方法v 理解定量風(fēng)險分析方法，掌握

30、年度預(yù)期損失（ALE）的計(jì)算方法v 理解半定量風(fēng)險分析方法v 理解定性和定量風(fēng)險分析方法的優(yōu)缺點(diǎn)64定性風(fēng)險分析定性風(fēng)險分析v 定性風(fēng)險分析在風(fēng)險評價時，往往需要憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險諸要素的大小或高低程度定性分級v 定性風(fēng)險分析更具主觀性v 后果或影響的定性量度（示例）65等級等級描述描述 詳細(xì)情形詳細(xì)情形 1可以忽略無傷害，低財(cái)務(wù)損失 2 較小立即受控制，中等財(cái)務(wù)損失 3 中等 受控，高財(cái)務(wù)損失 4 較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失 5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失v可能性的定性量度（示例）等級等級描述描述 詳細(xì)情形詳細(xì)情形 A幾乎肯定預(yù)期在大多數(shù)情況

31、發(fā)生 B很可能在大多數(shù)情況下很可能會發(fā)生 C可能在某個時間可能會發(fā)生 D不太可能在某個時間能夠發(fā)生 E罕見僅在例外的情況下可能發(fā)生定性風(fēng)險分析定性風(fēng)險分析66v根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風(fēng)險結(jié)果v依此類推，得到所有重要資產(chǎn)的風(fēng)險值，并根據(jù)風(fēng)險等級劃分表，確定風(fēng)險等級 可能性可能性 影響影響可以忽略可以忽略1較小較小2中等中等3較大較大4災(zāi)難性災(zāi)難性5A（幾乎肯定）（幾乎肯定）HHEEEB （很可能）（很可能）MHH EEC ( 可能）可能）LMHEED（不太可能）（不太可能）LLMHEE （罕見）（罕見）LLMHH E：極度風(fēng)險 H：高風(fēng)險 M：中等風(fēng)險 L: 低風(fēng)險定性風(fēng)險分析定性風(fēng)險分析矩

32、陣法矩陣法67定量風(fēng)險分析定量風(fēng)險分析v定量風(fēng)險分析試圖是在風(fēng)險評估與成本效益分析期間收集的各個組成部分計(jì)算客觀數(shù)字值，定量風(fēng)險分析更具客觀性v例如，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價值來估計(jì)各項(xiàng)資產(chǎn)的真實(shí)價值v定量分析主要試圖從財(cái)務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，準(zhǔn)確度量風(fēng)險的可能性和損失量v因?yàn)槎糠治鎏幚頂?shù)字和金額價值，它必須有公式68定量風(fēng)險分析定量風(fēng)險分析年度預(yù)期損失法年度預(yù)期損失法v步驟1 - 評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計(jì)算資產(chǎn)總價值及資產(chǎn)損失對財(cái)務(wù)的直接和間接影響v步驟2 - 確定單一預(yù)期損失SLE SLE 是指發(fā)生一

33、次風(fēng)險引起的收入損失總額 SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失 （SLE 類似于定性風(fēng)險分析的影響） 將資產(chǎn)價值與暴露系數(shù)相乘 (EF) 計(jì)算出 SLE。暴露系數(shù)表示為現(xiàn)實(shí)威脅對某個資產(chǎn)造成的損失百分比 v步驟3 - 確定年發(fā)生率ARO ARO 是一年中風(fēng)險發(fā)生的次數(shù)69v步驟4 - 確定年預(yù)期損失ALE ALE 是不采取任何減輕風(fēng)險的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計(jì)算出該值（ALE 類似于定性風(fēng)險分析的相對級別）v步驟5 - 確定控制成本 控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險的發(fā)生而應(yīng)投入的費(fèi)用v步驟6 - 安全投資收益ROSI

34、 ROSI = (實(shí)施控制前的ALE）（實(shí)施控制后的ALE） （年控制成本）70定量風(fēng)險分析定量風(fēng)險分析年度預(yù)期損失法（續(xù)）年度預(yù)期損失法（續(xù)）定性分析與定量分析定性分析與定量分析71 定量定性優(yōu)點(diǎn)結(jié)果可用貨幣值和具體數(shù)據(jù)（如百分比）來表達(dá)按財(cái)務(wù)影響確定風(fēng)險優(yōu)先級；按財(cái)務(wù)價值確定資產(chǎn)優(yōu)先級通過安全投資收益分析推動風(fēng)險管理隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗(yàn)，其精確度將隨時間的推移而提高可以對風(fēng)險的處置排定優(yōu)先順序更容易達(dá)成一致意見無需量化威脅頻率無需確定資產(chǎn)的財(cái)務(wù)價值更便于非安全或計(jì)算機(jī)專業(yè)人員的參與缺點(diǎn)分配給風(fēng)險的影響值以參與者的主觀意見為基礎(chǔ)達(dá)成可靠結(jié)果和一致意見的流程非常耗時計(jì)算可能會非

35、常復(fù)雜且耗時流程專業(yè)技術(shù)性強(qiáng)，參與者若未獲指導(dǎo)則無法輕松執(zhí)行流程在重要的風(fēng)險之間沒有足夠的區(qū)別沒有為成本效益分析，難以證明投資控制措施是否正確結(jié)果取決于風(fēng)險管理團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識技能v在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素賦值的方式，實(shí)現(xiàn)對風(fēng)險各要素的度量數(shù)值化v在實(shí)際的風(fēng)險分析活動中，經(jīng)常采用半定量的風(fēng)險分析方法72半定量風(fēng)險分析半定量風(fēng)險分析半定量風(fēng)險分析半定量風(fēng)險分析相乘法相乘法73 可能性可能性影響影響可以忽略可以忽略1較小較小2中等中等3較大較大4災(zāi)難性災(zāi)難性55（幾乎肯定）（幾乎肯定）5101520254 （很可能）（很可能）4812 16203 ( 可能）可

36、能）36912152（不太可能）（不太可能）2468101 （罕見）（罕見）12345知識域：信息安全風(fēng)險評估知識域：信息安全風(fēng)險評估知識子域：知識子域： 風(fēng)險評估的實(shí)施流程風(fēng)險評估的實(shí)施流程v 掌握風(fēng)險評估準(zhǔn)備階段的工作內(nèi)容v 掌握風(fēng)險要素識別階段的工作內(nèi)容v 掌握風(fēng)險分析階段的工作內(nèi)容和工作步驟 v 掌握風(fēng)險結(jié)果判定階段的工作內(nèi)容74v風(fēng)險評估準(zhǔn)備v風(fēng)險要素識別v風(fēng)險分析v風(fēng)險結(jié)果判定75風(fēng)險評估實(shí)施流程風(fēng)險評估實(shí)施流程76風(fēng)險評估準(zhǔn)備風(fēng)險評估準(zhǔn)備77風(fēng)險要素識別風(fēng)險要素識別78資資產(chǎn)識別產(chǎn)識別 n 資產(chǎn)識別在整個風(fēng)險評估中起什么作用？資產(chǎn)識別在整個風(fēng)險評估中起什么作用？ 兩點(diǎn)：是整個風(fēng)險

37、評估工作的起點(diǎn)和終點(diǎn) n 資產(chǎn)識別的重點(diǎn)和難點(diǎn)是什么？資產(chǎn)識別的重點(diǎn)和難點(diǎn)是什么？ 一線：業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特征（管理/技術(shù)） n 資產(chǎn)識別的方法有哪些？資產(chǎn)識別的方法有哪些？ 資產(chǎn)分類：樹狀法。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù)逐步往下細(xì)化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 79按信息形態(tài)分類按信息形態(tài)分類 資產(chǎn)識別資產(chǎn)識別8081威威脅識別脅識別 n 威脅識別與資產(chǎn)識別是何關(guān)系？威脅識別與資產(chǎn)識別是何關(guān)系？ 點(diǎn)和面：重點(diǎn)識別和全面識別 n 威脅識別的重點(diǎn)和難點(diǎn)是什么威脅識別的重點(diǎn)和難點(diǎn)是什么？ 三問：“敵人”在哪兒？效果如何？如何取證？ n 威脅識別的方法有哪些？威脅識別的方法有哪些？ 日志分析歷史安全事件專家經(jīng)驗(yàn)互聯(lián)網(wǎng)信息檢索威脅分類威脅分類v分為： 人為故意威脅 威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點(diǎn)評估 人為非故意威脅 判定威脅源、評估威脅源特點(diǎn)、評估威脅源環(huán)境、評估事故發(fā)生時間 自然威脅 地震、海嘯、洪水8283脆脆弱性識別弱