信息安全風(fēng)險(xiǎn)管理（33頁(yè))ppt課件

1、第三章 信息平安風(fēng)險(xiǎn)管理主講:焦楊.學(xué)習(xí)目的：定義風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)控制；了解如何識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)；評(píng)價(jià)風(fēng)險(xiǎn)發(fā)生的能夠性及其對(duì)機(jī)構(gòu)的影響；經(jīng)過創(chuàng)建風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制，掌握描畫風(fēng)險(xiǎn)的根本方法；描畫控制風(fēng)險(xiǎn)的風(fēng)險(xiǎn)減輕戰(zhàn)略；識(shí)別控制的類別；成認(rèn)評(píng)價(jià)風(fēng)險(xiǎn)控制存在的概念框架，并能清楚地論述本錢收益分析；了解如何維護(hù)風(fēng)險(xiǎn)控制.3.1 引言風(fēng)險(xiǎn)管理：識(shí)別和控制機(jī)構(gòu)面臨風(fēng)險(xiǎn)的過程。.1.風(fēng)險(xiǎn)識(shí)別：檢查和闡明機(jī)構(gòu)信息技術(shù)的平安態(tài)勢(shì)和機(jī)構(gòu)面臨的風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)評(píng)價(jià)就是闡明風(fēng)險(xiǎn)識(shí)別的結(jié)果2.風(fēng)險(xiǎn)控制：采取控制手段，減少機(jī)構(gòu)數(shù)據(jù)和信息系統(tǒng)的風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)管理整個(gè)過程：找出機(jī)構(gòu)信息系統(tǒng)中的破綻，采取適當(dāng)?shù)牟襟E，確保機(jī)構(gòu)信息系統(tǒng)

2、中一切組成部分的性、完好性和有效性。 .3.2風(fēng)險(xiǎn)管理概述3.2.1 知己識(shí)別、檢查和熟習(xí)機(jī)構(gòu)中當(dāng)前的信息及系統(tǒng)。3.2.2 知彼識(shí)別、檢查和熟習(xí)機(jī)構(gòu)面臨的要挾。. 3.2.3 利益團(tuán)體的作用 1.信息平安 信息平安團(tuán)隊(duì)組成：最了解把風(fēng)險(xiǎn)帶入機(jī)構(gòu)的要挾和攻擊的成員 2.管理人員 確保給信息平安和信息技術(shù)團(tuán)體分配充足資源經(jīng)費(fèi)和人員，以滿足機(jī)構(gòu)的平安需求。 3.信息技術(shù) 建立平安的系統(tǒng)，并且平安地操作這些系統(tǒng).信息平安維護(hù)的對(duì)象是什么？ 資產(chǎn) 資產(chǎn)是各種要挾以及要挾代理的目的。風(fēng)險(xiǎn)管理的目的就是維護(hù)資產(chǎn)不受要挾。.3.3風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別：規(guī)劃并組織過程、對(duì)系統(tǒng)組件進(jìn)展分類、列出資產(chǎn)清單并分類、識(shí)別

3、出要挾、指出易受攻擊的資產(chǎn)。風(fēng)險(xiǎn)評(píng)價(jià):為資產(chǎn)遭到的攻擊賦值、評(píng)價(jià)破綻攻擊的能夠性、計(jì)算資產(chǎn)的相對(duì)風(fēng)險(xiǎn)要素、檢查能夠的控制措施、記錄所發(fā)現(xiàn)的事件。.規(guī)劃并組織過程 對(duì)系統(tǒng)組件進(jìn)展分類 列出資產(chǎn)清單并分類 識(shí)別出要挾 指出易受攻擊的資產(chǎn) 風(fēng)險(xiǎn)識(shí)別.為資產(chǎn)遭到的攻擊賦值 評(píng)價(jià)破綻攻擊的能夠性 計(jì)算資產(chǎn)的相對(duì)風(fēng)險(xiǎn)要素 檢查能夠的控制措施 記錄所發(fā)現(xiàn)的事件 風(fēng)險(xiǎn)評(píng)價(jià).3.3.1 資產(chǎn)識(shí)別和評(píng)價(jià)1. 人員、過程及數(shù)據(jù)資產(chǎn)的識(shí)別1人員2過程3數(shù)據(jù)2. 硬件、軟件和網(wǎng)絡(luò)資產(chǎn)的識(shí)別.3.3.2 信息資產(chǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機(jī)構(gòu)的人員陌生人過程過程I

4、T及商業(yè)標(biāo)準(zhǔn)過程IT及商業(yè)敏感過程數(shù)據(jù)信息傳輸處理存儲(chǔ)軟件軟件應(yīng)用程序操作系統(tǒng)安全組件硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組建因特網(wǎng)或DMZ組件.3.3.3 信息資產(chǎn)評(píng)價(jià) 評(píng)價(jià)資產(chǎn)的價(jià)值。 評(píng)價(jià)價(jià)值規(guī)范：1.哪一項(xiàng)信息資產(chǎn)對(duì)于勝利是最關(guān)鍵的？2.那一項(xiàng)信息資產(chǎn)發(fā)明的收效最多？3.哪一項(xiàng)資產(chǎn)的獲利最多？4.哪一項(xiàng)信息資產(chǎn)在交換時(shí)最昂貴？5.哪一項(xiàng)信息資產(chǎn)的維護(hù)費(fèi)用最高？6.哪一項(xiàng)信息資產(chǎn)是最費(fèi)事的，或者走漏后費(fèi)事最大？.3.3.4 平安調(diào)查數(shù)據(jù)分類技術(shù)個(gè)人平安調(diào)查機(jī)構(gòu) 給每一個(gè)數(shù)據(jù)用戶分配一個(gè)單一的授權(quán)等級(jí)3.3.5 分類數(shù)據(jù)管理 1.數(shù)據(jù)的存儲(chǔ) 2.數(shù)據(jù)的分布移植 3.數(shù)據(jù)的銷

5、毀清潔桌面政策：要求員工在下半時(shí)將一切的信息 放到適當(dāng)?shù)拇鎯?chǔ)器中。.3.3.6 要挾識(shí)別和要挾評(píng)價(jià)威 脅實(shí) 例1.人為過時(shí)或失敗行為意外事故、員工過失2.侵害知識(shí)產(chǎn)權(quán)盜版、版權(quán)侵害3.間諜或人侵蓄意行為未授權(quán)訪問和收集數(shù)據(jù)4.蓄意信息敲詐行為以泄露信息為要挾進(jìn)行勒索5.蓄意破壞行為破壞系統(tǒng)或信息6.蓄意竊取行為非法使用硬件設(shè)備或信息7.蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務(wù)8.自然災(zāi)害火災(zāi)、水災(zāi)、地震、閃電9.服務(wù)提供商的服務(wù)質(zhì)量差電源及WAN服務(wù)問題10.技術(shù)硬件故障或錯(cuò)誤設(shè)備故障11.技術(shù)軟件故障或錯(cuò)誤漏洞、代碼問題、未知問題12.技術(shù)淘汰陳舊或過時(shí)的技術(shù).要挾評(píng)價(jià)過程：一、針對(duì)每種要挾提出

6、同樣問題:1在給定的環(huán)境下，哪一種要挾對(duì)機(jī)構(gòu)的資產(chǎn)而言是危險(xiǎn)的？2哪一種要挾對(duì)機(jī)構(gòu)的信息而言是最危險(xiǎn)的？3從勝利的攻擊中恢復(fù)需求多少費(fèi)用？4防備哪一種要挾的破費(fèi)最大？二、經(jīng)過提問的答案，建立要挾評(píng)價(jià)構(gòu)架.3.3.7 破綻識(shí)別破綻：要挾代理可以用來攻擊信息資產(chǎn)的特定途徑。在按照要挾評(píng)價(jià)規(guī)范，檢查每項(xiàng)要挾，建立破綻表。.3.4 風(fēng)險(xiǎn)評(píng)價(jià)3.4.1 風(fēng)險(xiǎn)評(píng)價(jià)概述風(fēng)險(xiǎn)=出現(xiàn)破綻的能夠性信息資產(chǎn)的價(jià)值-當(dāng)前控制減輕的風(fēng)險(xiǎn)幾率+對(duì)破綻了解的不確定性破綻的能夠性是什么？破綻勝利攻擊機(jī)構(gòu)內(nèi)部的概率。0.11.0.3.4.2 信息平安風(fēng)險(xiǎn)評(píng)價(jià)原那么1自主 機(jī)構(gòu)內(nèi)部人員管理的信息平安風(fēng)險(xiǎn)評(píng)價(jià)2. 順應(yīng)量度 一個(gè)靈

7、敏的評(píng)價(jià)過程可以順應(yīng)不斷變化的技術(shù)和進(jìn)展；既不會(huì)受限當(dāng)前要挾源的嚴(yán)厲模型，也不會(huì)受限于當(dāng)前公認(rèn)的“最正確實(shí)際。3. 已定義過程 描畫了信息平安評(píng)價(jià)程序依賴于已定義的規(guī)范化評(píng)價(jià)規(guī)程的需求。4. 延續(xù)過程的根底 機(jī)構(gòu)必需實(shí)施基于實(shí)際平安戰(zhàn)略和方案，以逐漸改良本身的平安形狀。.3.4.3 風(fēng)險(xiǎn)評(píng)價(jià)的過程1.信息資產(chǎn)評(píng)價(jià) 運(yùn)用信息資產(chǎn)的識(shí)別過程中的到的信息，就可以為機(jī)構(gòu)中每項(xiàng)信息資產(chǎn)的價(jià)值指定權(quán)重分?jǐn)?shù)1100。舉例：一些資產(chǎn)會(huì)導(dǎo)致整個(gè)公司停頓運(yùn)作，闡明資產(chǎn)比重較高 2.風(fēng)險(xiǎn)確實(shí)定 利用風(fēng)險(xiǎn)公式：.3.識(shí)別能夠的控制訪問控制訪問控制：控制用戶進(jìn)入機(jī)構(gòu)信息區(qū)域訪問控制方法：強(qiáng)迫、非恣意、恣意。4.記錄風(fēng)險(xiǎn)

8、評(píng)價(jià)的結(jié)果 過程：信息資產(chǎn)列表分類帶有破綻的信息資產(chǎn)列表權(quán)重規(guī)范分析表破綻風(fēng)險(xiǎn)等級(jí)表.成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對(duì)機(jī)構(gòu)的影響或價(jià)值權(quán)重標(biāo)準(zhǔn)分析表為每項(xiàng)信息資產(chǎn)分配等級(jí)值或影響權(quán)重漏洞風(fēng)險(xiǎn)等級(jí)表為每對(duì)無法控制的資產(chǎn)漏洞分配風(fēng)險(xiǎn)等級(jí).3.5風(fēng)險(xiǎn)控制戰(zhàn)略 3.5.1 防止試圖防止破綻被利用的風(fēng)險(xiǎn)控制戰(zhàn)略1經(jīng)過運(yùn)用戰(zhàn)略來防止2教育培訓(xùn)3運(yùn)用技術(shù).3.5.2 轉(zhuǎn)移 將風(fēng)險(xiǎn)轉(zhuǎn)移到其他資產(chǎn)、其他過程或其他機(jī)構(gòu)的控制方法 如何提供效力、修正部署方式、外包給其他機(jī)構(gòu)、購(gòu)買保險(xiǎn)、與提供商簽署效力合同。.3.5.3 緩解試圖經(jīng)過規(guī)劃和預(yù)先的預(yù)備任務(wù)，減少破綻呵斥的影響 緩解戰(zhàn)略如下表.計(jì)劃描述實(shí)例何

9、時(shí)使用時(shí)間范圍事件響應(yīng)計(jì)劃（IRP）在事件（攻擊）進(jìn)行過程中機(jī)構(gòu)采取的行動(dòng)災(zāi)難發(fā)生期間采取的措施情報(bào)收集信息分析當(dāng)事件或者災(zāi)難發(fā)生時(shí)立即并實(shí)時(shí)作出響應(yīng)災(zāi)難恢復(fù)計(jì)劃（DRP）發(fā)生災(zāi)難的恢復(fù)準(zhǔn)備工作：災(zāi)難發(fā)生之前及過程中減少損失的策略；逐步恢復(fù)常態(tài)的具體指導(dǎo)丟失數(shù)據(jù)的恢復(fù)過程丟失服務(wù)的重建過程結(jié)束過程來保護(hù)數(shù)據(jù)系統(tǒng)和數(shù)據(jù)在事件剛剛被確定為在難后短期恢復(fù)業(yè)務(wù)持續(xù)性計(jì)劃（BCP）當(dāng)災(zāi)難的等級(jí)超出DRP的恢復(fù)能力時(shí)，確保全部業(yè)務(wù)繼續(xù)動(dòng)作的步驟啟動(dòng)下級(jí)數(shù)據(jù)中心的準(zhǔn)備步驟在遠(yuǎn)程服務(wù)位置建立熱站點(diǎn)在確定災(zāi)難影響了機(jī)構(gòu)的持續(xù)運(yùn)轉(zhuǎn)之后長(zhǎng)期恢復(fù).3.5.4 接受選擇對(duì)破綻不采取任何維護(hù)措施，接受破綻帶來的結(jié)果1.確

10、定了風(fēng)險(xiǎn)等級(jí)2.評(píng)價(jià)了攻擊的能夠性3.估計(jì)了供應(yīng)帶來的潛在破壞4.進(jìn)展了全面的本錢效益分析5.評(píng)價(jià)了運(yùn)用每種控制的可行性6.認(rèn)定了某些功能、效力、信息或者資產(chǎn)不值得維護(hù) 結(jié)論：維護(hù)的資產(chǎn)的本錢抵不上平安措施的開銷。.3.6 選擇風(fēng)險(xiǎn)控制戰(zhàn)略面對(duì)破綻，如何去選擇風(fēng)險(xiǎn)控制戰(zhàn)略？.能夠的要挾按設(shè)計(jì)實(shí)現(xiàn)的系統(tǒng)系統(tǒng)能否易受攻擊系統(tǒng)能否可利用按設(shè)計(jì)實(shí)現(xiàn)的系統(tǒng)存在要挾和破綻具有風(fēng)險(xiǎn)具有風(fēng)險(xiǎn)存在風(fēng)險(xiǎn)攻擊者獲取的利益能否大于攻擊開銷具有風(fēng)險(xiǎn)具有風(fēng)險(xiǎn)預(yù)期的損失能否大于機(jī)構(gòu)的可接受的級(jí)別無法接受此風(fēng)險(xiǎn).風(fēng)險(xiǎn)處置決策： 存在破綻：實(shí)現(xiàn)平安控制，來減少破綻被利用的能夠性1破綻可以利用2攻擊著的開銷少于收益3能夠的損失非常大實(shí)現(xiàn)了控制戰(zhàn)略，就應(yīng)對(duì)控制效果進(jìn)展監(jiān)控和衡量，來確定平安控制的有效性，估計(jì)殘留風(fēng)險(xiǎn)的準(zhǔn)確性。 延續(xù)循環(huán)過程確保控制風(fēng)險(xiǎn).標(biāo)示信息資產(chǎn)預(yù)備分等級(jí)的破綻風(fēng)險(xiǎn)表開發(fā)控制戰(zhàn)略和方案標(biāo)示信息資產(chǎn)標(biāo)示信息資產(chǎn)預(yù)備分等級(jí)的破綻風(fēng)險(xiǎn)表預(yù)備分等級(jí)的破綻風(fēng)險(xiǎn)表控制能否得當(dāng)能否可以接受此風(fēng)險(xiǎn).3.7風(fēng)險(xiǎn)管理的討論要點(diǎn) 風(fēng)險(xiǎn)可接受程序的定義：當(dāng)機(jī)構(gòu)評(píng)價(jià)絕對(duì)平