信息安全管理技術(shù)

第14章

信息安全管理技術(shù)宣講人：張爽鈺學(xué)號：S311060058

本章主要內(nèi)容：信息安全規(guī)劃信息安全風(fēng)險評估物理安全保障信息系統(tǒng)等級保護ISO信息安全管理標(biāo)準(zhǔn)信息安全法規(guī)14.1信息安全規(guī)劃

信息安全規(guī)劃，也稱為信息安全計劃，它用于在較高層次上確定一個組織涉及信息安全的活動，主要內(nèi)容包括：安全策略安全需求安全措施安全責(zé)任規(guī)劃執(zhí)行時間表制定并不斷完善和更新信息安全規(guī)劃是一個組織獲得信息安全保障的重要工作之一。安全策略是信息安全規(guī)劃中的核心組成部分，它表達了組織的信息安全目的和意圖。安全策略主要應(yīng)明確以為問題：1.安全目標(biāo)，即保護對象和保護效果，前者主要包括業(yè)務(wù)、數(shù)據(jù)等，后者主要包括信息安全的各種基本屬性；2.訪問主體，即允許訪問組織內(nèi)部信息系統(tǒng)的實體，后者包括人、進程和系統(tǒng)等；3.訪問客體，即組織內(nèi)部允許被訪問的系統(tǒng)和資源；4.訪問方式，即規(guī)定哪些主體可以以特定的方式訪問某個系統(tǒng)或資源。為了實施安全策略，組織需要進一步去確定當(dāng)前的安全狀況，據(jù)此確定安全需求、將采用的安全措施、安全責(zé)任和規(guī)劃執(zhí)行時間表。其中，安全措施包括技術(shù)措施和組織管理措施兩個方面，前者已由前面的章節(jié)描述，后者包括確立實施安全措施的機構(gòu)、人員及其工作制作，由這些機構(gòu)和人員分別擔(dān)負(fù)相應(yīng)的安全責(zé)任。14.2信息安全風(fēng)險評估

信息安全風(fēng)險來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性，造成安全事件的可能性及這類安全事件可能對信息資產(chǎn)等造成的負(fù)面影響。信息安全風(fēng)險評估也叫做信息安全風(fēng)險分析，它是指對信息安全威脅進行分析和預(yù)測，評估這類威脅對信息資產(chǎn)造成的影響。信息安全風(fēng)險評估使信息系統(tǒng)的管理者可以在考慮風(fēng)險的情況下估算信息資產(chǎn)的價值，為管理決策提供支持，也可為進一步實施系統(tǒng)安全防護提供依據(jù)。一般來說，威脅有基于網(wǎng)絡(luò)和系統(tǒng)攻擊的、內(nèi)部泄露的、人員物理侵入、系統(tǒng)問題等幾類，它們盡可能利用信息系統(tǒng)存在的脆弱性。可能性不但與脆弱性和威脅本身相關(guān)，也與攻擊者、攻擊方法、攻擊時間、系統(tǒng)狀況等相關(guān)聯(lián)。因此，在進行風(fēng)險評估之前，一般需要先分析信息系統(tǒng)的威脅、脆弱性和可能的攻擊。威脅的種類和脆弱性隨著信息技術(shù)的普及，信息安全風(fēng)險評估成為了一個組織安全管理的一部分，它既是風(fēng)險管理的基礎(chǔ)，也是組織確定安全需求的途徑之一。信息安全風(fēng)險評估的形式可以是組織內(nèi)部自我評估或委托專業(yè)機構(gòu)進行評估，也可能是由上級機關(guān)執(zhí)行的檢查性評估。風(fēng)險評估的方法主要分為定性方法、定量方法和定性與定量相結(jié)合的方法3類。在定性評估中，由評估者根據(jù)知識、經(jīng)驗、指導(dǎo)性文件等對信息系統(tǒng)存在的風(fēng)險進行分析、判斷和推斷，采用描述性的語言給出風(fēng)險評估結(jié)果。風(fēng)險評估的形式和方法在定量方法中，由評估者根據(jù)信息資產(chǎn)的相關(guān)數(shù)據(jù)利用公式進行分析和推導(dǎo)，評估結(jié)果以數(shù)量的形式表達。當(dāng)前一般認(rèn)為，定性評估的結(jié)果比較粗糙、主觀性較強，而定量評估較為繁瑣、缺乏描述性，因此二者有結(jié)合的必要。自20世紀(jì)末以來，信息安全風(fēng)險評估逐漸得到了越來越多的重視，國際標(biāo)準(zhǔn)化組織（ISO）先后頒布了很多細(xì)則和準(zhǔn)則來規(guī)劃信息安全風(fēng)險評估。當(dāng)前也出現(xiàn)了一些信息安全風(fēng)險評估的工具和評估輔助工具，如COBRA和CRAＭＭ等。信息安全風(fēng)險評估的５個步驟

信息安全風(fēng)險評估人員應(yīng)首先明確被評估組織擁有的資產(chǎn)及其中哪些與信息安全相關(guān)，并在不考慮信息安全風(fēng)險情況下估算所識別資產(chǎn)的價值Ｖ。在以上過程中，主要應(yīng)考慮以下幾個方面：１.信息資產(chǎn)：數(shù)據(jù)與文檔、數(shù)據(jù)庫與數(shù)據(jù)文件、電子文件等各類文檔等；2.軟件資產(chǎn)：應(yīng)用軟件與系統(tǒng)、系統(tǒng)軟件、開發(fā)工具、信息和通信服務(wù)等；3、硬件資產(chǎn)：計算機和通信設(shè)備、移動介質(zhì)等；4、人員資產(chǎn)：具有特殊技能的員工；5、系統(tǒng)資產(chǎn)：處理和存儲信息的信息系統(tǒng)。1.資產(chǎn)識別與估計2威脅與脆弱性識別

信息安全風(fēng)險評估需要對組織要保護的每一項信息資產(chǎn)進行安全分析，識別出可能的威脅。分析人員一般根據(jù)信息資產(chǎn)所處的環(huán)境、以前遭受的威脅、自身經(jīng)驗、特定的規(guī)程或統(tǒng)計數(shù)據(jù)等推斷或發(fā)現(xiàn)可能的威脅，并估計威脅發(fā)生的可能性ＰＴ。ＰＴ主要是受資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化為報酬的難易程度、產(chǎn)生威脅的技術(shù)含量與利用脆弱性的難易程度等因素影響。必須指出的是，ＰＴ僅表示威脅存在的可能性，但威脅不一定造成安全事件，后者一般僅當(dāng)攻擊者成功利用脆弱性后才發(fā)生，因此識別脆弱性也是評估的必要環(huán)節(jié)。評估人員需要根據(jù)這些情況，結(jié)合所識別的威脅，分析每個威脅可能利用的脆弱性，并根據(jù)脆弱性的特點，估計它們能夠被威脅所利用的可能性PV。由于在信息安全風(fēng)險評估之后，被評估的組織可能根據(jù)評估結(jié)果調(diào)整信息安全防護措施，為了避免重復(fù)施加安全措施，需要確認(rèn)信息安全防護系統(tǒng)在評估前的狀況。這里，信息安全防護系統(tǒng)一般分為防御性系統(tǒng)和保護性系統(tǒng)，前者可以減少威脅并減小它們發(fā)生的可能性，如防火請和IDS，后者在安全事件發(fā)生后能減少損失，如數(shù)據(jù)備份和恢復(fù)系統(tǒng)。3.安全防護措施確認(rèn)在以上步驟的基礎(chǔ)上，信息安全風(fēng)險評估人員需要利用適當(dāng)?shù)脑u估方法或工具確定風(fēng)險的大小和等級。由于信息安全風(fēng)險是存在的威脅、脆弱性與威脅利用脆弱性所造成的影響這三方面共同作用的結(jié)果。4.確定風(fēng)險大小和等級信息安全風(fēng)險R是風(fēng)險發(fā)生的可能性PT、脆弱性被成功利用的可能性PV，和威脅的潛在影響I的函數(shù)一般I可以表示為Ｉ＝V*C；（式中，V為不考慮風(fēng)險情況下所估算的信息資產(chǎn)價值，C為價值損失的程度，0<<C<<1,C=1表明價值完全喪失）一般R可以表示為R=f(PT,PV,I)(函數(shù)f表示評估函數(shù))由于C取決于PT，PT，V,因此Ｒ也可以表示為

R=f2(PT,PV,V)

為了更清楚地表示與描繪威脅、資產(chǎn)價值與風(fēng)險的關(guān)系，往往將PT與PV合并為PTV=PT*PV(PTV表示威脅發(fā)生并成功利用脆弱性的可能性)，即安全事件發(fā)生的可能性，這樣可以將R表示為R=f3(PTV,V)顯然銳，R隨著PT棍V與V的增唯長而枕增長方。一述般根鞋據(jù)以律上公初式可極以將齡風(fēng)險暖發(fā)生貝的條蒙件劃化分為4個區(qū)遣域：羽高風(fēng)渴險區(qū)盞、低購風(fēng)險遷區(qū)、佳高可胞能區(qū)魚與高藝影響撓區(qū)。繳其中寨，在位高可堵能區(qū)醋，安瞧全事賀件時扭常發(fā)早生，嫁但由金于資水產(chǎn)損叉失較鵲小，使引發(fā)猾的風(fēng)擦險不福大；萬在高恭影響奸區(qū)，巴不常缺發(fā)生辦的安賄全事擴件可攤能突慶然發(fā)晴生，收并引弊發(fā)了間較大庫的資牲產(chǎn)損家失。高可燒能區(qū)低風(fēng)沈險區(qū)高影涼響區(qū)高風(fēng)面險區(qū)安全止事件叉發(fā)生離的可晉能性傍ＰＴ級Ｖ信息咳資產(chǎn)個價值從ＶPT高，PV低PT高，PV高PT低，PV高PT低，PV低信息或安全稱風(fēng)險劣評估鮮人員以通過斜以上掀評估菌得到田了不狂同信撓息資吃產(chǎn)的仍風(fēng)險邊等級果，他乓們在皺這一置步驟稿中根晝據(jù)１．扛風(fēng)險堆等級２．所其他子評估尿結(jié)論３．結(jié)合屆被評訪估組受織當(dāng)味前信張息安隙全防請護措緣瑞施的競狀況為被喂評估加組織塔提供棍加強位信息臘安全植防護議的建湯議。５．處安全食措施尖建議信息惕安全武威脅轟也可煉能來兆自自然膊災(zāi)害忙、系炊統(tǒng)故肚障或教人為蚊破壞。事艷實證拆明，寸提供佳相應(yīng)怎的物本理安蘿全保械障，天不但綢可以尾直接敏抵御吩這類霧威脅館，也筑有利紋于防騾止非簡授權(quán)絲式訪問安和信貧息泄絨露等野威脅室。生活貢中典夏型的側(cè)物理訪安全鄙保障拖是由烈門衛(wèi)經(jīng)、圍馬墻和水門鎖辰等提堤供的告安全敘措施提，而淚在信秘息安您全領(lǐng)停域，物理吐安全鑼保障揉一般幟是指隔在所品保護枝信息破系統(tǒng)樹或資化源的析外圍奇提供嬸的信究息安爭全保醫(yī)障，主爺要包里括為衡重要撫信息終系統(tǒng)導(dǎo)或資菜源提怖供門鋸衛(wèi)、牽選擇豆安全自的運團行或某存放憂地點已、備餡份數(shù)鑄據(jù)或騎設(shè)備彼、提宿供備槍用電栽源和否穩(wěn)壓役裝備咐、防煉止電溉磁輻叛射、螞采用訓(xùn)碎紙列機或塘消磁訂器等旨信息藏銷毀伏設(shè)備捧等措耗施。14遭.３物理犧安全端保障物理暢安全股的獲面得需竭要建鐮立在政相應(yīng)表的安懼全管訂理制犧度基刷礎(chǔ)之柏上，這漠也是不信息珠安全繡管理呼通過院把分批散