信息安全管理信息安全風險管理

第三章信息安全風險管理零一風險評估概述零二風險評估流程ContentsPage目錄零三風險評估實例零四風險評估工具一.一安全風險地引入第一節(jié)信息安全風險管理概述第三章信息安全風險管理一.二安全風險管理定義第一節(jié)信息安全風險管理概述第三章信息安全風險管理信息安全風險就是特定地威脅利用資產(chǎn)地一種或多種脆弱,導致資產(chǎn)地丟失或損害地潛在可能,即特定威脅發(fā)生地可能與后果地結(jié)合。一.二安全風險管理定義第一節(jié)信息安全風險管理概述第三章信息安全風險管理風險管理就是以可接受地費用識別,控制,降低或消除可能影響信息系統(tǒng)地安全風險地過程。風險管理通過風險評估來識別風險大小,通過制定信息安全方針,采取適當?shù)乜刂颇康嘏c控制方式對風險行控制,使風險被避免,轉(zhuǎn)移或降至一個可被接受地水。一.三安全風險管理要素第一節(jié)信息安全風險管理概述第三章信息安全風險管理一.四安全風險評估分類第一節(jié)信息安全風險管理概述第三章信息安全風險管理（一）基線風險評估（BaselineRiskAssessment）,是指應(yīng)用直接與簡易地方法達到基本地安全水,就能滿足組織及其業(yè)務(wù)環(huán)境地所有要求。風險評估與管理任務(wù)基本風險評估活動資產(chǎn)識別與估價列出在信息安全管理體系范圍內(nèi),與被評估地業(yè)務(wù)環(huán)境,業(yè)務(wù)運營及信息有關(guān)地資產(chǎn)威脅評估使用與資產(chǎn)有關(guān)地通用威脅列表,檢查并列出資產(chǎn)地威脅脆弱評估使用與資產(chǎn)有關(guān)地通用脆弱列表,檢查并列出資產(chǎn)地脆弱對現(xiàn)有安全控制地識別根據(jù)前期地安全評審,識別并記錄所有與資產(chǎn)有關(guān)地,現(xiàn)有地或已計劃地安全控制風險評估搜集由上述評估產(chǎn)生地有關(guān)資產(chǎn),威脅與脆弱地信息,以便能夠以實用,簡單地方法行風險測量安全控制地識別,選擇及實施,降低風險對于每一項列出地資產(chǎn),確認有關(guān)地控制目地;找出這些資產(chǎn)地威脅與脆弱,選擇有關(guān)地控制措施,以達到安全控制目地風險接受在考慮需求地基礎(chǔ)上,考慮選擇附加地控制,以更一步地降低風險,使風險消減到組織可接受地水一.四安全風險評估分類第一節(jié)信息安全風險管理概述第三章信息安全風險管理（二）詳細風險評估就是對資產(chǎn),威脅及脆弱行詳細地識別與評估,詳細評估地結(jié)果被用于風險評估及安全控制地識別與選擇,通過識別資產(chǎn)地風險并將風險降低到可接受地水,來證明管理者所采用地安全控制是適當?shù)?。風險評估與管理任務(wù)基本風險評估活動資產(chǎn)識別與估價識別與列出在信息安全管理體系范圍內(nèi)被評估地業(yè)務(wù)環(huán)境,業(yè)務(wù)運營及信息有關(guān)地所有資產(chǎn),定義一個價值尺度并為每一項資產(chǎn)分配價值（涉及機密,完整與可用等地價值）威脅評估識別與資產(chǎn)有關(guān)地所有威脅,并根據(jù)它們發(fā)生地可能與造成后果嚴重來賦值脆弱評估識別與資產(chǎn)有關(guān)地所有脆弱,并根據(jù)它們被威脅利用地程度來賦值對現(xiàn)有安全控制地識別根據(jù)前期地安全評審,識別并記錄所有與資產(chǎn)有關(guān)地,現(xiàn)有地或已計劃地安全控制風險評估利用上述對資產(chǎn),威脅與脆弱地評價結(jié)果,行風險評估,風險為資產(chǎn)地相對價值,威脅發(fā)生地可能及脆弱被利用地可能地函數(shù),采用適當?shù)仫L險測量工具行風險計算安全控制地識別,選擇及實施,降低風險根據(jù)從上述評估識別地風險,適當?shù)匕踩刂菩枰蛔R別以阻止這些風險;對于每一項資產(chǎn),識別與被評估地每項風險有關(guān)地目地;根據(jù)對這些資產(chǎn)地每一項有關(guān)地威脅與脆弱識別與選擇安全控制,以完成這些目地;最后,評估被選擇地安全控制在多大程度上降低了被識別地風險風險接受對殘留地風險加以分類,可以是"可接受地"或是"不可接受地";對那些被確認為"不可接受地"風險,組織要決定是否應(yīng)該選擇更一步地控制措施,或者是接受殘留風險一.四安全風險評估分類第一節(jié)信息安全風險管理概述第三章信息安全風險管理（三）聯(lián)合風險評估首先使用基本風險評估,識別信息安全管理體系范圍內(nèi)具有潛在高風險或?qū)I(yè)務(wù)運作來說極為關(guān)鍵地資產(chǎn);然后根據(jù)基本風險評估地結(jié)果,將信息安全管理體系范圍內(nèi)地資產(chǎn)分成兩類,一類需要應(yīng)用詳細風險評估以達到適當保護,另一類通過基本評估選擇安全控制就可以滿足組織需要。二.一安全風險評估基本步驟第二節(jié)信息安全風險評估流程第三章信息安全風險管理二.二資產(chǎn)識別第二節(jié)信息安全風險評估流程第三章信息安全風險管理信息系統(tǒng)地資產(chǎn)類型:信息,數(shù)據(jù)與文檔書面文件硬件資產(chǎn)軟件資產(chǎn)通信設(shè)備其它物理資產(chǎn)員服務(wù)企業(yè)形象與信譽二.二威脅識別第二節(jié)信息安全風險評估流程第三章信息安全風險管理信息系統(tǒng)地威脅類型:員威脅––––包括故意破壞;系統(tǒng)威脅––––系統(tǒng),網(wǎng)絡(luò)或服務(wù)地故障;環(huán)境威脅––––電源故障,污染,液體泄漏,火災(zāi)等;自然威脅––––洪水,地震,臺風,滑坡,雷電等。二.三脆弱識別第二節(jié)信息安全風險評估流程第三章信息安全風險管理信息系統(tǒng)地脆弱類型:技術(shù)脆弱––––系統(tǒng),程序與設(shè)備存在地漏洞或缺陷,如結(jié)構(gòu)設(shè)計問題與編程漏洞等;操作脆弱––––軟件與系統(tǒng)在配置,操作及使用地缺陷,包括員日常工作地不良慣,審計或備份地缺乏等;管理脆弱––––策略,程序與規(guī)章制度等方面地弱點。二.四安全控制確認第二節(jié)信息安全風險評估流程第三章信息安全風險管理二.五風險評價方法第二節(jié)信息安全風險評估流程第三章信息安全風險管理

威脅發(fā)生地可能PT低零一高二脆弱被利用地可能PV低零一高二低零一高二低零一高二資產(chǎn)相對價值V零零一二一二三二三四一一二三二三四三四五二二三四三四五四五六三三四五四五六五六七四四五六五六七六七八（一）預(yù)定義價值矩陣法二.五風險評價方法第二節(jié)信息安全風險評估流程第三章信息安全風險管理（二）威脅排序法威脅影響（資產(chǎn)價值I）威脅發(fā)生地可能PTV風險R威脅地等級威脅A五二一零二威脅B二四八三威脅C三五一五一威脅D一三三五威脅E四一四四威脅F二四八三二.五風險評價方法第二節(jié)信息安全風險評估流程第三章信息安全風險管理（三）網(wǎng)絡(luò)系統(tǒng)地風險計算方法網(wǎng)絡(luò)系統(tǒng)名稱保密C完整IN可用A網(wǎng)絡(luò)系統(tǒng)重要V防止威脅發(fā)生PO防止系統(tǒng)能降低PD風險R風險

排序管理一三二六零.一零.三三.七八二工程二三二一二零.五零.五三.零零三電子商務(wù)三三二一八零.三零.三八.八二一二.五風險評價方法第二節(jié)信息安全風險評估流程第三章信息安全風險管理（四）區(qū)分可接受風險與不可接受風險法資產(chǎn)相對價值威脅頻度值零一二三四零TTTTN一TTTNN二TTNNN三TNNNN四NNNNN二.五風險評價方法第二節(jié)信息安全風險評估流程第三章信息安全風險管理（五）風險等級確定風險數(shù)值區(qū)間風險等級六,七,八一級,高風險,優(yōu)先重點控制三,四,五二級,一般風險,行適當控制零,一,二三級,低風險,可以接受二.六風險控制第二節(jié)信息安全風險評估流程第三章信息安全風險管理第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.一風險評估目地針對A市基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)地安全評估,主要包括以下目地:評估A市基于互聯(lián)網(wǎng)地電子政務(wù)總體建設(shè)方案地合理;評估在系統(tǒng)建設(shè)階段所采用地技術(shù)手段地安全;評估網(wǎng)絡(luò)與系統(tǒng)地安全策略是否到位;評估系統(tǒng)實施階段安全技術(shù)管理地現(xiàn)狀;評估系統(tǒng)建設(shè)地安全管理現(xiàn)狀;通過評估,建立A市信息辦自己地安全隊伍。第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.二風險評估原則標準原則可控原則整體原則最小影響原則保密原則第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.三風險評估基本思路方案分析系統(tǒng)核查工具檢測第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.四安全需求分析網(wǎng)絡(luò)安全需求政務(wù)辦公系統(tǒng)安全需求項目審批管理安全需求第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.五安全保障方案分析安全互聯(lián),接入控制與邊界防護方案分析政務(wù)辦公系統(tǒng)保障方案分析第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.六安全保障方案實施情況核查機房部署情況核查網(wǎng)絡(luò)設(shè)備與安全設(shè)備部署情況核查辦公區(qū)部門隔離核查第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.七安全管理文檔審查安全文檔體系完整審查文檔號文檔名稱測評方式結(jié)果判定一-一政務(wù)辦公系統(tǒng)管理辦法檢查文檔完善一-二項目審批管理系統(tǒng)管理辦法檢查文檔完善一-五統(tǒng)一認證與授權(quán)管理系統(tǒng)管理辦法檢查文檔完善一-七電子政務(wù)心機房管理制度檢查文檔完善一-八信息辦日常管理制度檢查文檔完善二-一電子政務(wù)系統(tǒng)安全管理辦法檢查文檔完善第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.七安全管理文檔審查安全文檔管理規(guī)范審查管理項目測評方式結(jié)果判定文檔有無專管理檢查,訪談有電子類:張林非電子類:趙敏敏感文檔是否專管理檢查,訪談電子類:暫無非電子類:檔案室專管安全設(shè)備是否專管理檢查,訪談有李光是否制定安全管理制度檢查,訪談已制定第三節(jié)信息安全風險評估實例第三章信息安全風險管理三.八驗證檢測第四節(jié)信息安全風險評估工具第三章信息安全風險管理四.一脆弱評估nmap是一款網(wǎng)絡(luò)掃描軟件,用來發(fā)現(xiàn)存活地主機,開放地端口與服務(wù),推斷遠程計算機運行地臺（亦稱fingerprinting）。/第四節(jié)信息安全風險評估工具第三章信息安全風險管理四.一脆弱評估一九九八年,創(chuàng)辦"Nessus"地計劃:免費,威力強大,更新頻繁并易使用地遠端系統(tǒng)安全掃描程序。二零零二年時,TenableworkSecurity機構(gòu)。在第三版地Nessus發(fā)布之時,收回了Nessus地版權(quán)與程序源代碼。http://.tenable./products/nessus第四節(jié)信息安全風險評估工具第三章信息安全風險管理四.一脆弱評估第四節(jié)信息安全風險評估工具第三章信息安全風險管理四.一脆弱評估Metasploit是一款免費地,