對信息安全風(fēng)險評估思考ppt課件

1、對信息平安風(fēng)險評價的思索上海上訊信息系統(tǒng)工程平安咨詢事業(yè)部黃永飛 平安咨詢顧問.風(fēng)險評價信息平安風(fēng)險評價 What ? Why ? How ?問題思索.問題思索信息平安風(fēng)險評價 What .信息平安風(fēng)險評價是什么？ 信息平安風(fēng)險評價就是從風(fēng)險管理角度，運用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的要挾及其存在的脆弱性，評價平安事件一旦發(fā)生能夠呵斥的危害程度，提出有針對性的抵御要挾的防護(hù)對策和整改措施，以防備和化解風(fēng)險，或者將剩余風(fēng)險控制在可接受的程度，從而最大限制地保證網(wǎng)絡(luò)與信息平安。信息系統(tǒng)的平安風(fēng)險是指由于系統(tǒng)存在的脆弱性，人為或自然的要挾導(dǎo)致平安事件發(fā)生的能

2、夠性及其呵斥的影響。.平安風(fēng)險評價是什么？人們經(jīng)常會提出這樣一些問題：什么地方、什么時間能夠出問題？出問題的能夠性有多大？這些問題的后果是什么？應(yīng)該采取什么樣的措施加以防止和彌補(bǔ)？總是試圖找出最合理的答案，這一過程實踐上就是風(fēng)險評價。早在上個世紀(jì)初期，科學(xué)家就已開場研討風(fēng)險管理實際。.問題思索信息平安風(fēng)險評價 Why .“三分技術(shù)，七分管理，我們的員工平安認(rèn)識如何？依托現(xiàn)有的平安產(chǎn)品能否可以處理如今的平安問題？現(xiàn)有的平安產(chǎn)品能否真正的起到了作用？假設(shè)發(fā)生平安事故，我們能否在最短時間內(nèi)恢復(fù)業(yè)務(wù)系統(tǒng)？對未來的網(wǎng)絡(luò)擴(kuò)展和平安配置晉級有沒有前瞻性的規(guī)劃？能否更多的節(jié)約投入本錢？ 。問題思索.信息平安風(fēng)

3、險評價的意義風(fēng)險評價是分析確定風(fēng)險的過程信息平安風(fēng)險評價是信息平安建立的起點和根底信息平安風(fēng)險評價是需求主導(dǎo)和突出重點原那么的詳細(xì)表達(dá)注重風(fēng)險評價是信息化比較興隆國家的根本閱歷.風(fēng)險評價是分析確定風(fēng)險的過程任何系統(tǒng)的平安性都可以經(jīng)過風(fēng)險的大小來衡量。科學(xué)分析系統(tǒng)的平安風(fēng)險，綜合平衡風(fēng)險和代價的過程就是風(fēng)險評價。信息平安風(fēng)險評價的意義.信息平安風(fēng)險評價的意義信息平安風(fēng)險評價是風(fēng)險評價實際和方法在信息系統(tǒng)中的運用，是科學(xué)分析了解信息和信息系統(tǒng)在性、完好性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的預(yù)防、風(fēng)險的控制、風(fēng)險的轉(zhuǎn)移、風(fēng)險的補(bǔ)償、風(fēng)險的分散等之間作出決策的過程。信息平安風(fēng)險評價是信息平安建立的起

4、點和根底.信息平安風(fēng)險評價的意義一切信息平安建立都應(yīng)該是基于信息平安風(fēng)險評價，只需在正確地、全面地了解風(fēng)險后，才干在控制風(fēng)險、減少風(fēng)險、轉(zhuǎn)移風(fēng)險之間作出正確的判別，決議調(diào)動多少資源、以什么的代價、采取什么樣的應(yīng)對措施去化解、控制風(fēng)險。.信息平安風(fēng)險評價的意義假設(shè)說信息平安建立必需從實踐出發(fā)，堅持需求主導(dǎo)、突出重點，那么風(fēng)險評價需求分析就是這一原那么在實踐任務(wù)中的重要表達(dá)。從實際上講風(fēng)險總是客觀存在的。平安是平安風(fēng)險與平安建立管理代價的綜合平衡。信息平安風(fēng)險評價是需求主導(dǎo)和突出重點原那么的詳細(xì)表達(dá).信息平安風(fēng)險評價的意義不思索風(fēng)險的信息化是要付出代價有時代價能夠很高，甚至難以接受 .信息平安風(fēng)險

5、評價的意義不計本錢、片面地追求絕對平安、試圖消滅風(fēng)險或完全防止風(fēng)險是不現(xiàn)實的，也不是需求主導(dǎo)原那么所要求的。堅持從實踐出發(fā)，堅持需求主導(dǎo)、突出重點，就必需科學(xué)地評價風(fēng)險，有效控制風(fēng)險。.信息平安風(fēng)險評價的意義上個世紀(jì)70年代，美國政府就發(fā)布了。其后公布的關(guān)于信息平安根本政策文件明確提出了信息平安風(fēng)險評估的要求，要求聯(lián)邦政府部門根據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險，根據(jù)信息喪失、濫用、泄露、未授權(quán)訪問等呵斥損失的大小，制定、實施信息平安方案，以保證信息和信息系統(tǒng)應(yīng)有的平安。 注重風(fēng)險評價是信息化比較興隆國家的根本閱歷.信息平安風(fēng)險評價的意義英國規(guī)范化協(xié)會BSI1995年公布了BS 7799，BS 77

6、99分為兩個部分： BS 7799-1和BS 7799-2 。2002年又公布了BS 7799-2:2002。它將信息平安管理的有關(guān)問題劃分成了10個控制要項、36 個控制目的和127 個控制措施。目前，在BS77992中，提出了如何了建立信息平安管理體系的步驟。在信息平安管理體系的中心部位是風(fēng)險評價和風(fēng)險管理。目前，全球經(jīng)過BS7799認(rèn)證的數(shù)量達(dá)450家左右，其中絕大部分分布在歐洲和亞洲，整個中國地域包括香港和臺灣在內(nèi)經(jīng)過BS7799認(rèn)證的數(shù)量近20家。.為用戶提供具有針對性的平安產(chǎn)品和平安技術(shù)給用戶提供量化的信息資產(chǎn)價值列表和資產(chǎn)風(fēng)險列表可全面和有條理地向管理層反映現(xiàn)有的信息科技平安風(fēng)

7、險和所需的平安保證措施為決策和政策思索提供不同的處理方案，使信息科技平安管理可以從戰(zhàn)略性的層面推行 為日后比較信息科技平安措施的變化提供根據(jù) 信息平安風(fēng)險評價的意義-總結(jié).問題思索信息平安風(fēng)險評價 How .問題思索信息平安風(fēng)險評價怎樣實施？信息平安風(fēng)險評價實施前需求預(yù)備什么？信息資產(chǎn)的屬性怎樣進(jìn)展量化？發(fā)現(xiàn)信息資產(chǎn)的弱點后怎樣進(jìn)展補(bǔ)救?.信息平安風(fēng)險評價方法風(fēng)險評價的預(yù)備資產(chǎn)識別要挾識別脆弱性識別設(shè)計處理方案工程規(guī)劃風(fēng)險評價的預(yù)備.風(fēng)險評價的預(yù)備 確定范圍 范圍能夠是組織全部的信息和信息系統(tǒng)，能夠是單獨的信息系統(tǒng)，能夠是組織的關(guān)鍵業(yè)務(wù)流程，也能夠是客戶的知識產(chǎn)權(quán)。 確定目的 目的根本上來源于

8、組織業(yè)務(wù)繼續(xù)開展的需求、滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面。 確定組織構(gòu)造 組織構(gòu)造的建立應(yīng)思索其構(gòu)造和復(fù)雜程度，以保證可以滿足風(fēng)險評價的范圍、目的。. 確定方法 應(yīng)思索評價的范圍、目的、時間、效果、組織文化、人員素質(zhì)以及詳細(xì)開展的程度等要素來確定，使之可以與組織的環(huán)境和平安要求相順應(yīng)。 獲得最高管理者同意 上述一切內(nèi)容應(yīng)得到組織的最高管理者的同意，并對管理層和員工進(jìn)展傳達(dá)。風(fēng)險評價的預(yù)備(續(xù).信息平安風(fēng)險評價方法風(fēng)險評價的預(yù)備資產(chǎn)識別要挾識別脆弱性識別設(shè)計處理方案工程規(guī)劃資產(chǎn)識別.資產(chǎn)分類類別.資產(chǎn)賦值原那么信息資產(chǎn)的價值取決于：嚴(yán)密性完好性可用性信息資產(chǎn)的價值隨時間改動信息資產(chǎn)的價

9、值隨資產(chǎn)相關(guān)性變化.信息資產(chǎn)賦值過程 性、完好性和可用性的價值分別賦值影響威脅C1. 競爭劣勢 當(dāng)本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被競爭者得知時，將會造成何種程度的損失？01234C2. 直接業(yè)務(wù)損失當(dāng)本業(yè)務(wù)系統(tǒng)內(nèi)涵蓋的信息資產(chǎn)被被不適當(dāng)揭露時，可能著成企業(yè)業(yè)務(wù)的損失程度？01234C3. 公眾信心本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時，公司在客戶的信任度、公眾形象、股東或供應(yīng)商的忠誠度上所招受到的損失？01234C4. 額外成本本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時可能造成的額外成本負(fù)擔(dān)？01234C5. 法律責(zé)任本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時，可能造成法律、規(guī)定或合約上的影響？01234C6. 員

10、工士氣本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時，可能對員工士氣造成的影響？01234C7. 欺詐行為本業(yè)務(wù)系統(tǒng)內(nèi)的信息數(shù)據(jù)被不適當(dāng)泄露時，企業(yè)商品或資金可能被不當(dāng)?shù)霓D(zhuǎn)移？01234結(jié)果請選擇上列因素中會造成最嚴(yán)重?fù)p失的評估結(jié)果01234.信息平安風(fēng)險評價方法風(fēng)險評價的預(yù)備資產(chǎn)識別要挾識別脆弱性識別設(shè)計處理方案工程規(guī)劃要挾識別.平安要挾 要挾種類是對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞才干的能夠性要素或者事件IDS事件采集歷史事件數(shù)據(jù)顧問訪談平安戰(zhàn)略分析見下頁平安審計權(quán)威組織的統(tǒng)計數(shù)據(jù)獲取方法要挾定義.攻擊類型闡明被動攻擊被動攻擊包括分析通訊流，監(jiān)視未被維護(hù)的通訊，解密弱加密通訊，獲取鑒別信息比如口令。被

11、動攻擊能夠呵斥在沒有得到用戶贊同或告知用戶的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個人的信譽(yù)卡號碼和醫(yī)療檔案等。自動攻擊自動攻擊包括試圖阻斷或攻破維護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。自動進(jìn)攻能夠呵斥數(shù)據(jù)資料的泄露和散播，或?qū)е禄亟^效力以及數(shù)據(jù)的篡改改。物理臨近攻擊是指一未被授權(quán)的個人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改動、搜集信息或回絕他人對信息的訪問。內(nèi)部人員攻擊內(nèi)部人員攻擊可以分為惡意或無惡意攻擊。前者指內(nèi)部人員對信息的惡意破壞或不當(dāng)運用，或使他人的訪問遭到回絕；后者指由于大意、無知以及其它非惡意的緣由而呵斥的破壞。軟硬件裝配分發(fā)攻擊指在工廠消費或分銷過程中對硬件和軟

12、件進(jìn)展的惡意修正。這種攻擊能夠是在產(chǎn)品里引入惡意代碼，比如后門。主要有哪些攻擊？.信息平安風(fēng)險評價方法風(fēng)險評價的預(yù)備資產(chǎn)識別要挾識別脆弱性識別設(shè)計處理方案工程規(guī)劃脆弱性識別.平安弱點平安弱點是系統(tǒng)可以被利用從而導(dǎo)致資產(chǎn)發(fā)生損失的特性網(wǎng)絡(luò)掃描上機(jī)檢查平安戰(zhàn)略評價網(wǎng)絡(luò)架構(gòu)評價技術(shù)類，比如OS破綻，防火墻錯誤配置等管理類，比如沒有平安戰(zhàn)略、詳細(xì)擔(dān)任人、審核流程等業(yè)務(wù)方式類，比如充值卡業(yè)務(wù)，非實名制業(yè)務(wù)等運用軟件評價數(shù)據(jù)庫評價弱點種類獲取方法弱點定義.信息平安風(fēng)險評價方法風(fēng)險評價的預(yù)備資產(chǎn)識別要挾識別脆弱性識別設(shè)計處理方案工程規(guī)劃設(shè)計處理方案.風(fēng)險RISKRISKRISKRISK風(fēng)險-就是為了把企業(yè)的

13、風(fēng)險降到可接受的程度根本的風(fēng)險采取措施后剩余的風(fēng)險資產(chǎn)要挾破綻資產(chǎn)要挾破綻實施平安處理方案.信息平安風(fēng)險評價方法風(fēng)險評價的預(yù)備資產(chǎn)識別要挾識別脆弱性識別設(shè)計處理方案工程規(guī)劃工程規(guī)劃.工程規(guī)劃方法實施難易程度預(yù)期效果緊迫性可實施性工程規(guī)劃綜合分析.工程緊迫性分析要挾強(qiáng)度多大可以呵斥危害，難易度分布范圍大小層次影響范圍大小直接危害的嚴(yán)重程度間接危害的嚴(yán)重程度破壞后的恢復(fù)時間破壞后恢復(fù)的耗費最近6個月問題發(fā)現(xiàn)的頻度最近一次發(fā)現(xiàn)問題的間隔.工程可實施性分析外部戰(zhàn)略允許程度內(nèi)部管理條件能否具備技術(shù)成熟度內(nèi)部技術(shù)條件能否具備外部支持條件能否具備 .其他分析如前文.緊迫性如前文.可實施性技術(shù)難度資金投入大小

14、時間投入長短人力投入大小和人員素質(zhì)要求外部支持資源的復(fù)雜度對企業(yè)戰(zhàn)略的觸動大小對組織管理的觸動大小對運作規(guī)定和習(xí)慣的觸動大小實施難易程度見效速度對于平安性的直接效果評價對于業(yè)務(wù)的直接促進(jìn)對于其他平安建立工程的支持對平安戰(zhàn)略完善的促進(jìn)對平安組織完善的促進(jìn)對人員平安素質(zhì)的促進(jìn)對平安管理運作規(guī)范化的促進(jìn) 預(yù)期效果.124561-工程預(yù)備與范圍確定工程交流需求調(diào)研，背景討論范圍確定工程方案2-工程定義和藍(lán)圖Kickoff meeting資產(chǎn)信息搜集完成詳細(xì)方案設(shè)計確定風(fēng)險評價模型完成藍(lán)圖并與用戶簽署6-支持和維護(hù)工程初驗修復(fù)和加固協(xié)助二次驗證評價熱線支持其他效力35-風(fēng)險綜合和處理方案平安風(fēng)險綜合分析輸出平安評價報告設(shè)計平安處理方案建議工程實施主要階段3-現(xiàn)狀調(diào)研與分析根本信息調(diào)查業(yè)務(wù)流程分析數(shù)據(jù)流分析資產(chǎn)賦值4-平安風(fēng)險評價平安要挾評價網(wǎng)絡(luò)架構(gòu)平安評價設(shè)備平安評價運用軟件平安評價平安戰(zhàn)略環(huán)境評價.12356工程方案工程藍(lán)圖平安風(fēng)險評價報告4平安要挾