信息安全風(fēng)險培訓(xùn)講學(xué)

第三章信息安全風(fēng)險管理主講(zhǔjiǎng):焦楊第一頁，共33頁。學(xué)習(xí)(xuéxí)目標(biāo)：定義風(fēng)險管理、風(fēng)險識別、風(fēng)險控制；理解如何識別和評估風(fēng)險；評估風(fēng)險發(fā)生的可能性及其對機構(gòu)的影響；通過創(chuàng)建風(fēng)險評估機制，掌握描述風(fēng)險的基本方法；描述控制風(fēng)險的風(fēng)險減輕策略；識別控制的類別；承認(rèn)評估風(fēng)險控制存在的概念框架，并能清楚地闡述成本收益(shōuyì)分析；理解如何維護風(fēng)險控制第二頁，共33頁。3.1引言(yǐnyán)風(fēng)險(fēngxiǎn)管理：識別和控制機構(gòu)面臨風(fēng)險(fēngxiǎn)的過程。第三頁，共33頁。1.風(fēng)險識別：檢查和說明機構(gòu)信息技術(shù)的安全態(tài)勢和機構(gòu)面臨的風(fēng)險。（風(fēng)險評估就是說明風(fēng)險識別的結(jié)果）2.風(fēng)險控制：采取控制手段，減少機構(gòu)數(shù)據(jù)和信息系統(tǒng)的風(fēng)險。

風(fēng)險管理整個過程：找出機構(gòu)信息系統(tǒng)中的漏洞，采取適當(dāng)?shù)牟襟E，確保(quèbǎo)機構(gòu)信息系統(tǒng)中所有組成部分的機密性、完整性和有效性。第四頁，共33頁。3.2風(fēng)險管理概述(ɡàishù)3.2.1知己識別、檢查和熟悉(shúxī)機構(gòu)中當(dāng)前的信息及系統(tǒng)。3.2.2知彼識別、檢查和熟悉(shúxī)機構(gòu)面臨的威脅。第五頁，共33頁。3.2.3利益團體的作用1.信息安全信息安全團隊組成：最了解把風(fēng)險(fēngxiǎn)帶入機構(gòu)的威脅和攻擊的成員2.管理人員確保給信息安全和信息技術(shù)團體分配充足資源（經(jīng)費和人員），以滿足機構(gòu)的安全需要。3.信息技術(shù)建立安全的系統(tǒng)，并且安全地操作這些系統(tǒng)第六頁，共33頁。信息安全保護(bǎohù)的對象是什么？資產(chǎn)資產(chǎn)是各種威脅以及威脅代理的目標(biāo)。風(fēng)險管理的目標(biāo)就是(jiùshì)保護資產(chǎn)不受威脅。第七頁，共33頁。3.3風(fēng)險(fēngxiǎn)識別風(fēng)險識別：規(guī)劃并組織過程、對系統(tǒng)組件進行分類、列出資產(chǎn)清單并分類、識別出威脅、指出易受攻擊的資產(chǎn)。風(fēng)險評估:為資產(chǎn)受到的攻擊賦值、評估漏洞攻擊的可能性、計算資產(chǎn)的相對風(fēng)險因素(yīnsù)、檢查可能的控制措施、記錄所發(fā)現(xiàn)的事件。第八頁，共33頁。規(guī)劃并組織(zǔzhī)過程對系統(tǒng)組件(zǔjiàn)進行分類列出資產(chǎn)(zīchǎn)清單并分類識別出威脅

指出易受攻擊的資產(chǎn)

風(fēng)險識別第九頁，共33頁。為資產(chǎn)(zīchǎn)受到的攻擊賦值評估(pínɡɡū)漏洞攻擊的可能性計算(jìsuàn)資產(chǎn)的相對風(fēng)險因素檢查可能的控制措施

記錄所發(fā)現(xiàn)的事件

風(fēng)險評估第十頁，共33頁。3.3.1資產(chǎn)識別(shíbié)和評估1.人員、過程及數(shù)據(jù)資產(chǎn)(zīchǎn)的識別（1）人員（2）過程（3）數(shù)據(jù)2.硬件、軟件和網(wǎng)絡(luò)資產(chǎn)(zīchǎn)的識別第十一頁，共33頁。3.3.2信息資產(chǎn)(zīchǎn)分類傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機構(gòu)的人員陌生人過程過程IT及商業(yè)標(biāo)準(zhǔn)過程IT及商業(yè)敏感過程數(shù)據(jù)信息傳輸處理存儲軟件軟件應(yīng)用程序操作系統(tǒng)安全組件硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組建因特網(wǎng)或DMZ組件第十二頁，共33頁。3.3.3信息資產(chǎn)(zīchǎn)評估評估資產(chǎn)(zīchǎn)的價值。評估價值標(biāo)準(zhǔn)：1.哪一項信息資產(chǎn)(zīchǎn)對于成功是最關(guān)鍵的？2.那一項信息資產(chǎn)(zīchǎn)創(chuàng)造的收效最多？3.哪一項資產(chǎn)(zīchǎn)的獲利最多？4.哪一項信息資產(chǎn)(zīchǎn)在替換時最昂貴？5.哪一項信息資產(chǎn)(zīchǎn)的保護費用最高？6.哪一項信息資產(chǎn)(zīchǎn)是最麻煩的，或者泄漏后麻煩最大？第十三頁，共33頁。3.3.4安全調(diào)查數(shù)據(jù)分類技術(shù)——個人(gèrén)安全調(diào)查機構(gòu)給每一個數(shù)據(jù)用戶分配一個單一的授權(quán)等級3.3.5分類數(shù)據(jù)管理1.數(shù)據(jù)的存儲2.數(shù)據(jù)的分布移植3.數(shù)據(jù)的銷毀清潔桌面政策：要求員工在下半時將所有的信息放到適當(dāng)?shù)拇鎯ζ髦?。第十四頁，?3頁。3.3.6威脅識別(shíbié)和威脅評估威脅實例1.人為過時或失敗行為意外事故、員工過失2.侵害知識產(chǎn)權(quán)盜版、版權(quán)侵害3.間諜或人侵蓄意行為未授權(quán)訪問和收集數(shù)據(jù)4.蓄意信息敲詐行為以泄露信息為要挾進行勒索5.蓄意破壞行為破壞系統(tǒng)或信息6.蓄意竊取行為非法使用硬件設(shè)備或信息7.蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務(wù)8.自然災(zāi)害火災(zāi)、水災(zāi)、地震、閃電9.服務(wù)提供商的服務(wù)質(zhì)量差電源及WAN服務(wù)問題10.技術(shù)硬件故障或錯誤設(shè)備故障11.技術(shù)軟件故障或錯誤漏洞、代碼問題、未知問題12.技術(shù)淘汰陳舊或過時的技術(shù)第十五頁，共33頁。威脅評估(pínɡɡū)過程：一、針對每種威脅提出同樣問題(wèntí):（1）在給定的環(huán)境下，哪一種威脅對機構(gòu)的資產(chǎn)而言是危險的？（2）哪一種威脅對機構(gòu)的信息而言是最危險的？（3）從成功的攻擊中恢復(fù)需要多少費用？（4）防范哪一種威脅的花費最大？二、通過提問的答案，建立威脅評估構(gòu)架第十六頁，共33頁。3.3.7漏洞(lòudòng)識別漏洞：威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。在按照威脅評估(pínɡɡū)標(biāo)準(zhǔn)，檢查每項威脅，建立漏洞表。第十七頁，共33頁。3.4風(fēng)險(fēngxiǎn)評估3.4.1風(fēng)險評估概述風(fēng)險=出現(xiàn)(chūxiàn)漏洞的可能性×信息資產(chǎn)的價值-當(dāng)前控制減輕的風(fēng)險幾率+對漏洞了解的不確定性漏洞的可能性是什么？漏洞成功攻擊機構(gòu)內(nèi)部的概率。（0.1～1.0）第十八頁，共33頁。3.4.2信息安全風(fēng)險(fēngxiǎn)評估原則1．自主機構(gòu)內(nèi)部人員管理的信息安全風(fēng)險評估2.適應(yīng)量度一個靈活的評估過程可以適應(yīng)不斷變化的技術(shù)和進展；既不會受限當(dāng)前威脅源的嚴(yán)格模型，也不會受限于當(dāng)前公認(rèn)的“最佳”實踐。3.已定義過程描述了信息安全評估程序依賴于已定義的標(biāo)準(zhǔn)化評估規(guī)程的需要。4.連續(xù)過程的基礎(chǔ)機構(gòu)必須(bìxū)實施基于實踐安全策略和計劃，以逐漸改進自身的安全狀態(tài)。第十九頁，共33頁。3.4.3風(fēng)險(fēngxiǎn)評估的過程1.信息資產(chǎn)評估使用信息資產(chǎn)的識別過程(guòchéng)中的到的信息，就可以為機構(gòu)中每項信息資產(chǎn)的價值指定權(quán)重分?jǐn)?shù)（1～100）。（舉例：一些資產(chǎn)會導(dǎo)致整個公司停止運作，說明資產(chǎn)比重較高）2.風(fēng)險的確定利用風(fēng)險公式：第二十頁，共33頁。3.識別可能的控制（訪問控制）訪問控制：控制用戶進入機構(gòu)信息區(qū)域訪問控制方法：強制、非任意、任意。4.記錄風(fēng)險評估的結(jié)果過程：信息資產(chǎn)列表(lièbiǎo)（分類）→帶有漏洞的信息資產(chǎn)列表(lièbiǎo)→權(quán)重標(biāo)準(zhǔn)分析表→漏洞風(fēng)險等級表第二十一頁，共33頁。成果用途信息資產(chǎn)分類表集合信息資產(chǎn)以及它們對機構(gòu)的影響或價值權(quán)重標(biāo)準(zhǔn)分析表為每項信息資產(chǎn)分配等級值或影響權(quán)重漏洞風(fēng)險等級表為每對無法控制的資產(chǎn)漏洞分配風(fēng)險等級第二十二頁，共33頁。3.5風(fēng)險(fēngxiǎn)控制策略3.5.1避免（試圖防止漏洞被利用的風(fēng)險控制策略(cèlüè)）（1）通過應(yīng)用策略(cèlüè)來避免（2）教育培訓(xùn)（3）應(yīng)用技術(shù)第二十三頁，共33頁。3.5.2轉(zhuǎn)移（將風(fēng)險轉(zhuǎn)移到其他資產(chǎn)、其他過程或其他機構(gòu)的控制方法(fāngfǎ)）如何提供服務(wù)、修改部署模式、外包給其他機構(gòu)、購買保險、與提供商簽署服務(wù)合同。第二十四頁，共33頁。3.5.3緩解（試圖通過(tōngguò)規(guī)劃和預(yù)先的準(zhǔn)備工作，減少漏洞造成的影響）

緩解策略（如下表）第二十五頁，共33頁。計劃描述實例何時使用時間范圍事件響應(yīng)計劃（IRP）在事件（攻擊）進行過程中機構(gòu)采取的行動災(zāi)難發(fā)生期間采取的措施情報收集信息分析當(dāng)事件或者災(zāi)難發(fā)生時立即并實時作出響應(yīng)災(zāi)難恢復(fù)計劃（DRP）發(fā)生災(zāi)難的恢復(fù)準(zhǔn)備工作：災(zāi)難發(fā)生之前及過程中減少損失的策略；逐步恢復(fù)常態(tài)的具體指導(dǎo)丟失數(shù)據(jù)的恢復(fù)過程丟失服務(wù)的重建過程結(jié)束過程來保護數(shù)據(jù)系統(tǒng)和數(shù)據(jù)在事件剛剛被確定為在難后短期恢復(fù)業(yè)務(wù)持續(xù)性計劃（BCP）當(dāng)災(zāi)難的等級超出DRP的恢復(fù)能力時，確保全部業(yè)務(wù)繼續(xù)動作的步驟啟動下級數(shù)據(jù)中心的準(zhǔn)備步驟在遠(yuǎn)程服務(wù)位置建立熱站點在確定災(zāi)難影響了機構(gòu)的持續(xù)運轉(zhuǎn)之后長期恢復(fù)第二十六頁，共33頁。3.5.4接受（選擇對漏洞不采取任何保護措施，接受漏洞帶來的結(jié)果）1.確定了風(fēng)險(fēngxiǎn)等級2.評估了攻擊的可能性3.估計了供給帶來的潛在破壞4.進行了全面的成本效益分析5.評估了使用每種控制的可行性6.認(rèn)定了某些功能、服務(wù)、信息或者資產(chǎn)不值得保護結(jié)論：保護的資產(chǎn)的成本抵不上安全措施的開銷。第二十七頁，共33頁。3.6選擇(xuǎnzé)風(fēng)險控制策略面對漏洞，如何去選擇(xuǎnzé)風(fēng)險控制策略？第二十八頁，共33頁?？赡?kěnéng)的威脅按設(shè)計實現(xiàn)(shíxiàn)的系統(tǒng)系統(tǒng)(xìtǒng)是否易受攻擊系統(tǒng)是否可利用按設(shè)計實現(xiàn)的系統(tǒng)存在威脅和漏洞具有風(fēng)險具有風(fēng)險存在風(fēng)險攻擊者獲取的利益是否大于攻擊開銷具有風(fēng)險具有風(fēng)險預(yù)期的損失是否大于機構(gòu)的可接受的級別無法接受此風(fēng)險第二十九頁，共33頁。風(fēng)險處理決策(juécè)：存在漏洞：實現(xiàn)安全控制，來減少漏洞被利用的可能性（1）漏洞可以利用（2）攻擊著的開銷少于收益（3）可能的損失非常大●實現(xiàn)了控制策略，就應(yīng)對控制效果進行監(jiān)控和衡量，來確定安全控制的有效性，估計殘留風(fēng)險的準(zhǔn)確性。連續(xù)循環(huán)過程確保控制風(fēng)險第三十頁，共33頁。標(biāo)示(biāoshì)信息資產(chǎn)準(zhǔn)備(zhǔnbèi)分等級的漏洞風(fēng)險表開發(fā)(kāifā)控制策略和計劃標(biāo)示信息資產(chǎn)標(biāo)示信息資產(chǎn)準(zhǔn)備分等級的漏洞風(fēng)險表準(zhǔn)備分等級的漏洞風(fēng)險表控制是否得當(dāng)是否可以接受此風(fēng)險第三十一頁，共33頁。3.7風(fēng)險管理的討論(tǎolùn)要點風(fēng)險可接受程序的定義：當(dāng)機構(gòu)評估絕對安全與無限制訪問之間的平衡時愿意