2022信息系統(tǒng)風險評估實踐指南

信息安全風險評估實踐指南前言：關(guān)于安全風險的故事前言：關(guān)于安全風險的故事.故事是這樣發(fā)生的：一個鄉(xiāng)下人進城里打工，由于疲憊于是鄉(xiāng)下人就在一個露天的公園里睡覺，結(jié)果不小心被旁邊的小偷盯人并把他口袋里的100塊錢給偷走了，最后搞得晚上沒飯吃…….它的安全風險是這樣的：風險=錢被偷走資產(chǎn)=100塊錢影響=晚上沒飯吃威脅=小偷弱點=打瞌睡前言：安全風險故事的延伸前言：安全風險故事的延伸.故事繼續(xù)中：某證券公司的數(shù)據(jù)庫服務器因為存在RPCDCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。.您的安全風險觀呢？某證券公司的數(shù)據(jù)庫服務器因為存在RPCDCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。風險 RPCDCOM漏洞資產(chǎn) 服務器遭到入侵影響 數(shù)據(jù)庫服務器威脅 入侵者國內(nèi)大多數(shù)風險評估的操作者差不多站在同一個起跑線上了。國內(nèi)大多數(shù)風險評估的操作者差不多站在同一個起跑線上了。目目錄1、風險評估理論2、風險評估的國家政策和標準3、風險評估實踐11、風險評估理論1.1 什么是風險評估1.2 為什么要做風險評估1.3 風險評估怎么做1.1 什么是信息安全1.1 什么是信息安全風險評估信息安全的三個特征（CIA)：機密性：確保只有被授訪問信息；完整性：確保信息的準確和完整；可用性：確保在需要戶可以訪問信息和相關(guān)的資產(chǎn)。信息安全風險：定義風險是指信息資產(chǎn)的能性。定義織有負面影響的事件。定義為或自然的威脅利用信息系全事件的信息安全風險評估：定義存在的脆弱性、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。定義角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全提供科學依據(jù)。11、風險評估理論1.1 什么是風險評估1.2 為什么要做風險評估1.3 風險評估怎么做1.2 為什么要做風險評估1.2 為什么要做風險評估信息安全面臨的威脅計算機欺詐絡病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導“諜件”潛入員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動與信息戰(zhàn)網(wǎng)絡的脆弱性和系統(tǒng)漏洞我國網(wǎng)絡信息安全入侵事件態(tài)勢嚴竣年度報告數(shù)據(jù))收到信息安全事件報告萬件(04年的倍)；監(jiān)測發(fā)現(xiàn)萬臺計算機被木馬遠程控制(04年的倍)；發(fā)現(xiàn)1.4萬個網(wǎng)站遭黑客篡改,其中政府網(wǎng)站千(04的倍)；網(wǎng)絡釣魚(身份竊取事件報告件(04年的倍)；監(jiān)測發(fā)現(xiàn)萬臺計算機被植入諜件(源頭主要在國外)；發(fā)現(xiàn)僵尸網(wǎng)絡個(受控計算機萬臺)?；ヂ?lián)網(wǎng)信息安全威脅的某些新動向僵尸網(wǎng)絡威脅興起諜件泛濫值得嚴重關(guān)注網(wǎng)絡釣魚的獲利動機明顯網(wǎng)頁篡改(嵌入惡意代碼),誘人上當開始用于敲詐木馬潛伏孕育著殺機獲利和竊信傾向正在成為主流“重要信息系統(tǒng)”安全態(tài)勢與深層隱患系統(tǒng)設計缺陷系統(tǒng)集成缺陷內(nèi)控機制脆弱高危漏洞存在信息安全域界定與邊控待探索風險自評估能力弱災難恢復不到位用戶自控權(quán)不落實– ----------風險評估的目的了解組織的安全現(xiàn)狀分析組織的安全需求建立信息安全管理體系的要求制訂安全策略和實施安防措施的依據(jù)消除安全建設中的盲目樂觀或盲目恐懼提高系統(tǒng)安全的科學管理水平11、風險評估理論1.1 什么是風險評估1.2 為什么要做風險評估1.3 風險評估怎么做1.3 1.3 風險評估怎么做1.3.1 風險評估要素1.3.2 風險評估方法1.3.3 風險評估工具1.3.4 風險評估的形式1.3.5信息系統(tǒng)生命周期各階段的風險評估1.3.1 風險評估要素1.3.1 風險評估要素風險評估的四個要素資產(chǎn)脅脆弱性現(xiàn)有安全控制措施資產(chǎn)資產(chǎn)是任何對組織有價值的東西；信息也是一種資產(chǎn)，對組織具有價值。資產(chǎn)的分類威脅威產(chǎn)損失的活動；威脅是利用脆弱性來造成后果。威脅的分類脆弱性是與信息資產(chǎn)有關(guān)的弱點或安全隱患；脆弱性本身并不定條件得到用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞Bug專業(yè)人員缺乏不良習慣系統(tǒng)沒有進行安全配置物理環(huán)境不安全缺少審計技術(shù)手段缺乏安全意識后門……1.3.1 風險評估要素風險評估要素關(guān)系圖業(yè)務戰(zhàn)略依依脆弱性 暴露 資產(chǎn) 具有 資產(chǎn)價值利用 未被滿足 成增加威脅 增加 風險 導出 安全需求演變 抵御

降低 被滿足安全事件

可能誘發(fā)

殘余風險

未控制

安全措施1.3.1 風險評估要素1.3.1 風險評估要素程度越高，要求其風險越??；的依賴程度越高，資產(chǎn)價值就越大；風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多具有的弱點越多則風險越大；脆弱性是未被脆弱性危害資產(chǎn)；風險的存在及對風險的認識導出安全需求；安全需求可通合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低風險；殘余風險是未被安全措施控制的風險。有些是安全措施不當或無效,需要加強才可控制的與效益后未去控制的風險；殘余來誘發(fā)新的安全事件。威脅視圖：脆弱性視圖：影響視圖：脆弱性識別資產(chǎn)識別資產(chǎn)價值脆弱性識別資產(chǎn)識別資產(chǎn)價值威脅識別風險分析原理圖威脅識別安全事件造成的損安全事件造成的損失脆弱性的嚴重程度安全事件的可能性威脅出現(xiàn)的頻率風險值練習一識別風險練習一識別風險1、請列舉五個信息安全的風險的例子，并按下面的要求進行描述。2、要求：按照資產(chǎn)－>資產(chǎn)所面臨的威脅－>能被威脅利用的脆弱點的順序來描述每一個風險。1.3 1.3 風險評估怎么做1.3.1 風險評估要素1.3.2 風險評估方法1.3.3 風險評估工具1.3.4 風險評估的形式1.3.5信息系統(tǒng)生命周期各階段的風險評估1.3.2 風險評估方法1.3.2 風險評估方法通用流程：風險評估的準備；資產(chǎn)識別；威脅識別；脆弱性識別；通用流程：風險評估的準備；資產(chǎn)識別；威脅識別；脆弱性識別；已有安全措施的確認；風險分析；風險評估文件記錄。風險分析是風險是否接受否是否接受殘余風險否是保持已有的安全措施制定和實施風險處理計劃并評估殘余風險風險計算實施風險管理評估過程文檔評估過程文檔.........評估過程文檔風險評估文檔記錄已有安全措施的確認資產(chǎn)識別威脅識別脆弱性識別風險評估準備風險評估準備通用流程下的不同評估方法—評估粒度粗細線評估詳細評估組合評估通用流程下的不同評估方法—定性還是定量定量分析定性分析綜合方法基線評估適用情況：適合一般運作不是很復的依用普遍且標準化的模式。工作方法：組織根據(jù)自己的實際情況（業(yè)、業(yè)務環(huán)境與性質(zhì)等），全基線檢查（定的措施進行比較，找出其中的差距），基本的安全需求，通措施來消減和控制風險。于評估顯然是最經(jīng)濟有效的風險評估途徑。缺點：基可能能關(guān)的變化方面，基線評估比較困難。詳細評估適用情況：適合估。工作方法：要求可能引起估途徑集中體的管理者所采用的安全控制措施是恰當?shù)摹Ｈ壳暗陌踩胶桶踩枨?；詳細評估的結(jié)果可用來管理安全變化。缺點:詳細的風險評估可能是非常耗費資源的過程，包括操作和信息資產(chǎn)的邊界。組合評估：（基線評估和詳細評估二者結(jié)合的組合評估。）工作方法：組織首先對所有的系統(tǒng)進行一次初步的高級風險評估，著眼于信息系統(tǒng)的商務價值和可能面臨的風險，識別出組織內(nèi)具有高風險的或者對其商務運作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)這些資產(chǎn)或系統(tǒng)應該劃入詳細風險評估的范圍，而其他系統(tǒng)則可以通過基線風險評估直接選擇安全措施。既全面系能信息系統(tǒng)能夠被預先關(guān)注。缺點：如果初步的高本來需要致結(jié)果失準。風險計算模型風險分析方法有三種：定量評估方法：運用數(shù)量指標來對風險進行評估。定性評估方法：依據(jù)評估者的知識、經(jīng)驗、歷史教訓、政策走向等非量化資料對系統(tǒng)風險狀況做出判斷的過程。定性和定量相結(jié)合的綜合評估方法定量分析：對后果和可能性進行分析；采用量化的數(shù)值描述后果（失的金額）和可能性（概率或頻率）；分析的有效性取決于所用的數(shù)完整性。定量分析適用于：當部分的公司資產(chǎn)已具有量化的價值；利用財務的手法算出風險造成的財務損失；再根據(jù)損失的大小決定風險等級。后果定量分析SLA（single-timelossAlgorithm)當一個風險發(fā)生時會對資產(chǎn)價值造成多大的財務損失。ALE（AnnualizedlossExposure)年度風險損失。年度化損失運算表（頻率）不可能0.0300年一次1/3000.00333200年一次1/2000.003100年一次1/1000.0150年一次1/500.0225年一次1/250.045年一次1/50.202年一次1/20.51年一次1/11.01年二次1/0.52.01個月一次12/112.01星期一次52/152.01天一次365/1365.0簡易的定量計算公式：資產(chǎn)價值（v)乘以可能性（L）可以得出ALE（年度風險損失），即：ALE=V?L定性分析：對后果和可能性進行分析；采用文字形式或敘述性的數(shù)值范圍描述風險的影響程度和可能性的大?。ㄈ绺?、中、低等分析的有效性取決于所用的數(shù)性。定性分析適用于：初始的風險；風險程度和經(jīng)濟上的考慮；數(shù)據(jù)不足以進行定量分析的情況。后果或影響的定性量度（示例）等級描述詳細情形1可以忽略無傷害，低財務損失2較小立即受控制，中等財務損失3中等受控，高財務損失4較大大傷害，失去生產(chǎn)能力有較大財務損失5災難性持續(xù)能力中斷，巨大財務損失可能性的定性量度（示例）等級描述詳細情形A幾乎肯定預期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生風險分析矩陣—風險程度可能性后果可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）MHEED（不太可能）MHEE（罕見）MHHE：極度風險 H：高風險 M：中等風險 L:低風險風險的處理措施（示例）E：極度風險---要求立即采取措施H：高風險 需要高級管理部門的注M：中等風險 必須規(guī)定管理責任L:低風險 用日常程序處理半定量分析：在半定量分析中，上述的那些定性數(shù)范并不一定與后果或可能性的度具有精確的關(guān)系。半定量分析的目的是定性分析中所得到的更得到的風險實際值。脆弱性識別脆弱性的嚴重程度風險值脆弱性識別脆弱性的嚴重程度風險值威脅識別威脅出現(xiàn)的頻率安全事件的可能性風險評估計算方法威脅識別威脅出現(xiàn)的頻率安全事件的可能性資產(chǎn)識別資產(chǎn)價值安全事件造成的損失風險分析原理圖資產(chǎn)識別資產(chǎn)價值安全事件造成的損失風險評估計算過程計算安全事件發(fā)生可能性計算安全事件造成的損失計算風險值結(jié)果判定風險計算方法（常用）陣法相乘法矩陣法風險計算過程計算安全事件發(fā)生可能性構(gòu)建安全事件發(fā)生可能性矩陣；根據(jù)威在矩陣中進行對照，確定安全事件發(fā)生可能性值；行等級劃分。計算安全事件的損失構(gòu)建安全事件損失矩陣；根據(jù)中進行對照，確定安全事件損失值；對計算得到的安全事件損失進行等級劃分。計算風險值構(gòu)建風險矩陣；根據(jù)安全事件在矩陣中進行對照，確定安全事件風險；風險結(jié)果判定相乘法風險計算過程計算安全事件發(fā)生可能性（1）安全事件發(fā)生可能性威脅發(fā)生頻率值脆弱性嚴重程度值；（2）。計算安全事件的損失（1）安全事件損失值重程度；

脆弱性嚴（2）計算風險值（1）安全事件風險值安全事件發(fā)生可能性安全事件損失；風險結(jié)果判定練習二練習二對練習一中所識別的風險進行定性分析。要求：列出后果和可能性的定性描述依據(jù)給出各級別風險的處理措施1.3.2 1.3.2 風險評估方法風險評估內(nèi)容：安全技術(shù)、安全管理安全技術(shù)網(wǎng)絡安全主機系統(tǒng)安全應用安全數(shù)據(jù)安全安全管理安全管理機構(gòu)安全管理制度員安全管理統(tǒng)建設管理統(tǒng)運維管理1.3 1.3 風險評估怎么做1.3.1 風險評估要素1.3.2 風險評估方法1.3.3 風險評估工具1.3.4 風險評估的形式1.3.5信息系統(tǒng)生命周期各階段的風險評估1.3.3 風險評估工具1.3.3 風險評估工具根據(jù)在理的不同，：：集成了風險評估各類知程和操作方法；或者是用于收集據(jù)和分析。系：主要用于對信息系統(tǒng)的主要部件（絡設備等）性的攻擊。：實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和的賦值、定級提供依據(jù)。風險評估與管理工具基于信息安全標準的風險評估與管理工具依據(jù)標準或指南的內(nèi)容為基礎，開發(fā)相應的評估工具，完成遵循標準或指南的風險評估過程。如ASSET、CCToolbox等。基于知識的風險評估與管理工具并不僅僅遵循某個單一的標準或指南，而是將各種風險分析方法進行綜合，并結(jié)合實踐經(jīng)驗，形成風險評估知識庫，以此為基礎完成綜合評估。如COBRA、MSAT、@RISK等?；谀Ｐ偷娘L險評估與管理工具對系統(tǒng)各組成部分、安全要素充分研究的基礎上，對典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型，根據(jù)采集信息的輸入，得到評價的結(jié)果。如RA、CORA等。常用風險評估與管理工具對比工具國家公司成熟度功能標準Asseet-1美國NISTNIST發(fā)布依據(jù)美國NISTSP800-26估NISTSP800-26CCToolbox美國NIAPNIAP發(fā)布依據(jù)CC進行信息安全自動化評估CCCOBRA美國 C&A SystemSecurityLtd.成熟產(chǎn)品主要依據(jù)ISO17799進行風險評估主要依據(jù) 17799MSAT美國Microsoft公司成熟產(chǎn)品主要進行定性和定量風險評估專家系統(tǒng)RiskWatch美國RiskWatch公司成熟產(chǎn)品綜合各類相關(guān)標準進行風險評估和風險管理各類信息安全相關(guān)標準RA英國BSIBSI發(fā)布主要依據(jù)ISO17799進行風險等級和控制措施的過程式分析主要依據(jù) 17799ASSETCCtoolsCCtools1.3.3 風險評估工具1.3.3 風險評估工具系統(tǒng)基礎平臺風險評估工具脆弱性掃描工具；商用：綠盟“極光”、福建榕基。。。免費：nessus、X-scan。。。?；诰W(wǎng)絡的掃描器基于主機的掃描器分布式網(wǎng)絡掃描器數(shù)據(jù)庫脆弱性掃描器滲透性具、腳本文件。常用脆弱性檢測工具對比NetReconBindViewHarkerShieldEEyeDigitalSecurityRetinaISSInternetScannerNessusSecurityNetworkAssociatesCyberCopScannerSARAWorldWideDigitalSecuritySAINT操作系統(tǒng)WindowsWindowsWindowsWindowsUnixWindowsUnixUnix內(nèi)建的自動更新特征能夠自動更新（從網(wǎng)絡下載）能夠自動更新能夠自動更新能夠自動更新（絡下載）能夠自動更新無此功能無此功能掃描類型基于網(wǎng)絡的掃描基于主機的掃描基于主機的掃描基于主機的掃描基于網(wǎng)絡的掃描基于主機的掃描基于網(wǎng)絡的掃描基于網(wǎng)絡的掃描CVE對照沒有對應CVE列表對應 列表沒有對應CVE列表對 應列表對 應列表沒有對應列表對 應CVE列表對應 列表是否能夠?qū)x點的漏洞進行修復否能夠能夠否否能夠否否風險評估輔助工具檢查列表：基于特定標準或基線建立的，對特定系統(tǒng)進行審查的項目條款。入侵作；同發(fā)生的安全狀況。安全或網(wǎng)對象威脅信息的來源。拓撲的識別、發(fā)現(xiàn)功能。成被息的收集功能。其他：模型庫等。1.3 1.3 風險評估怎么做1.3.1 風險評估要素1.3.2 風險評估方法1.3.3 風險評估工具1.3.4 風險評估的工作形式1.3.5信息系統(tǒng)生命周期各階段的風險評估1.3.4 風險評估的形式1.3.4 風險評估的形式信息安全兩種形式。自評估為主，自評估和檢查評估相互結(jié)合、互身技技術(shù)支持。自評估由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施。優(yōu)點：有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息安全知識缺點：可能由于缺乏深入準確；同估結(jié)果的客觀性易受影響。建高；但由于受到行定的局限。但由于引入第三方本身就是一個因此，方面應進行控制。檢查評估是指信息系有關(guān)職能部門依法開展的風險評估。優(yōu)點最具優(yōu)點通過行政手段加強信息安全的重要措施。缺點：缺點：穿信息系統(tǒng)的生命周期。一.風險評估究其根本是評估系統(tǒng)的敏感信息，涉及大量的安全問題，完全委托第三方將帶來評估本身的風險；二.進行風險評估要求評估人員既要了解評估本身的一套方法與流程，于完全從事系統(tǒng)的業(yè)務特性難度是比較大的；三.風險評估工作流程中常常要求被評估方向評估方提供各種信息，需要之評估方第三方是無法完成系統(tǒng)評估的?；谝陨显?，委托評估技術(shù)支持比委托評估的提法更為切合實際。并且，提供委托評估技術(shù)支持的機構(gòu)應具有相應的資質(zhì)。1.3 1.3 風險評估怎么做1.3.1 風險評估要素1.3.2 風險評估方法1.3.3 風險評估工具1.3.4 風險評估的形式1.3.5信息系統(tǒng)生命周期各階段的風險評估1.3.51.3.5信息系統(tǒng)生命周期各階段的風險評估國信辦[2006]5號文件指出：信息安全風險評估應貫穿于網(wǎng)絡與信息系統(tǒng)的建通全目標。規(guī)劃階段的風險評估規(guī)劃階段的風險評估設計階段的風險評估實施階段的風險評估運行維護階段的風險評估廢棄階段的風險評估規(guī)劃階段的風險評估規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設應達到的安全目標。設計階段的風險評估設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系功能需求。方案中所提供的安全功能符合性進行判斷為采購過程風險控制的依據(jù)。實施階段的風險評估實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證根據(jù)設計階段分析的威脅和制定的安全措施，在實施及驗收時進行質(zhì)量控制?；谠O計階段的資產(chǎn)列表、安全措施，實施分，同安全措施能否抵御實施階段風險評估主要對系統(tǒng)的開發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進行評估。運行維護階段的風險評估運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。廢棄階段的風險評估當信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進入廢棄兩種。廢棄階段風險評估著重在以下幾方面：1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹?，并確保系統(tǒng)組件被合理地丟棄或更換；、如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系其他系統(tǒng)的連接是否被關(guān)閉；變更的部分進行評估，以確定是否會增加風險或引入新的風險；變更的部分進行評估，以確定是否會增加風險或引入新的風險；、是否建立了流程，確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。目目錄1、風險評估理論2、風險評估的國家政策和標準3、風險評估實踐22、風險評估的國家政策和標準2.1 國內(nèi)風險評估工作進展及國家政策2.2 風險評估的國內(nèi)外標準2.3 國外風險評估的發(fā)展歷程2.1 國內(nèi)2.1 國內(nèi)風險評估工作進展從年月至今，我國信息安全風險評估工作大致準中辦發(fā)[2003]27號文件：工作提出了明確的要求，啟入風險評估調(diào)研階段。年上半年啟動了《信息安全風險評估指南》和《風險管理指南》等標準的編制工作。國信辦[2005]4號和號文件：關(guān)于在作的要求，檢驗《信息安全風險評估規(guī)范》可行性可用性。先后開展兩次全國范國信辦[2006]5號文件《關(guān)于開展信息安全工作的意見》，標志著我國信息安全領域一項基礎性全體性的業(yè)務，正式啟動?！皣呸k”與“安標委”《信息安全風險評估規(guī)范》“保密局”涉密信息領域風險評估規(guī)范。”科技部“信息安全風險評估方法、工具、模型研制。《關(guān)于開展信息安全風險評估工作的意見中主要內(nèi)容：風險評估的實施要求風險評估的管理要求 《關(guān)于開展信息安全風險評估工作的意見》的實施要求：信息安全風險評估工作應當期。在信息系目產(chǎn)生欠保護或過保護的情況。在信息系統(tǒng)建設完成檢驗信息系統(tǒng)是否實現(xiàn)了所設計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達到預期的安全目標。在信息系統(tǒng)的運行階段，應當定期在信息系統(tǒng)的運行階段，應當定期應性。當安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時，應及時進行信息安全風險評估。段，應通段，應通等級提供依據(jù)，根據(jù)息系統(tǒng)的防護水平是否符合等級保護的要求。 《關(guān)于開展信息安全風險評估工作的意見》的管理要求：的風險，《意的風險，《意見》強調(diào)，必險評估的組織管理工作為規(guī)避由于風險評估工作而引入新的安全風險，估工作的單位及其有關(guān)人員必安全的法律法規(guī)，并承擔相應的責任和義務。估工作的單位及其有關(guān)人員必安全的法律法規(guī)，并承擔相應的責任和義務。2）采取相應保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。3）對關(guān)系國計民生和社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng)的信息安全風險評估工作作必須遵循國家的有關(guān)規(guī)定進行。加快制定和完善信息安全風險評估有關(guān)技術(shù)標準盡快完善并頒布《信息安全風險評估指南息安全風險管理指南》等國家門也可根據(jù)本行業(yè)特點制定相應的技術(shù)規(guī)范。要加強信息安全風險評估核心技研究與攻關(guān)。要從抓試點開始，逐步探索用三年左右的時間在我國基礎信息網(wǎng)絡和重要信息系統(tǒng)普遍推行信息安全風險評估工作，全面提高我國信息安全的科學管理水平，提升網(wǎng)絡和信息系統(tǒng)安全保障能力，為保障和促進我國信息化發(fā)展服務。22、風險評估的國家政策和標準2.1 國內(nèi)風險評估工作進展及國家政策2.2 風險評估的國內(nèi)外標準2.3 國外風險評估的發(fā)展歷程2.2 2.2 風險評估的國內(nèi)外標準《信息安全風險評估規(guī)范》信息安全管理體系ISO/IECTRNISTSPOCTAVESSE-CMMAS/NZSBS7799BS7799包括《信息安全管理實施細則》《信息安全管理體系規(guī)范》當前狀態(tài)–ISO–ISO關(guān)于并未給出具體的方案，只是在BS7799-2:2002中將風險評估作為建立信息安全管理體系的中間步驟來看待。其中所要求的風險評估的步驟包括：定義風險評估的系統(tǒng)方法識別風險評估風險識別并評價風險處理的方法為風險的處理選擇控制目標與控制方式根據(jù)的文件要求，以上成風險評估報告。ISO/IECTR13335ISO/IECTR13335ISO/IECTR《信息技術(shù)IT安全管理指南第部分：IT安全管理技術(shù)》其中介紹了：如何根據(jù)組織自身情況選擇風險評估方法可供選擇的多種風險評估方法風險分析方法的選擇基線方法：對所有IT系統(tǒng)應用基本分析，不考慮系適用的事實。非正式方法：運用非常精力于感覺具有較大風險的IT系統(tǒng)。詳細的風險分析方法：對所有的IT系風險評估。復合方法：先在以識別面臨高風險并對業(yè)務起關(guān)鍵作用的IT系統(tǒng)，再基本的風險分析。否否是評估風險建立評估邊界IT系統(tǒng)安全方針風險接受選擇控制識別/評審限制因素識別已存在/計劃的控制薄弱點評估威脅評估資產(chǎn)的價值及組織對其依賴性識別風險ITIT安全方案詳細的風險分析步驟NISTSP800-30NISTSP800-30SP《IT系統(tǒng)風險管理指南》風險管理包括三個過程：風險評估風險降低再評估及評估其中風險評估過程包括個步驟：步驟統(tǒng)描述步驟識別步驟脅識別步驟步驟步驟步驟風險判定步驟議步驟結(jié)果文檔OCTAVEOCTAVEOCTAVE—OperationallyCriticalThreat,Vulnerability,Evaluation?？刹僮鞯年P(guān)鍵威脅、資產(chǎn)和薄弱點評估；OCTAVEMethod是專為大型組織設計的方法。OCTAVEMethod分成個階段個過程：第階段包含個過程，第階段包含個程，第階段包含個過程。另外，在開始實際評估之前，需要做好許多準備工作。準下準備活動是成功的關(guān)鍵因素：爭取高層管理部門的支持選擇分析團隊設置OCTAVEMethod的適當范圍選擇參與者第一第一階段：建立基于資產(chǎn)的威脅配置文件第二第二階段：識別基礎設施的弱點第三第三階段：開發(fā)安全策略和計劃RiskSSE-CMMRiskSSE-CMMSecurityEngineeringCapabilityMaturityModel,系統(tǒng)安全工程能力成熟度模型ISO/IEC《信息技系能力成熟度模型》產(chǎn)品或服務工程過程保證過程風險過程工程過程保證過程風險過程保證論據(jù) 風險信息風險過程風險過程PA:評估威脅 PA:評估威脅ThreatThreatPA:評估脆弱性 PA:評估安全風險PA:評估脆弱性 PA:評估安全風險PA:AssessSecurityRiskPA:AssessVulnerability脆弱性信息PA:AssessSecurityRiskPA:AssessVulnerability

風險信息PA:評估影響 PA:評估影響ImpactImpact工程過程工程過程PA：確安全需求PA：監(jiān)視安全態(tài)勢SpecifySecurityNeedsMonitorSecurityPosture風險信息PA：確安全需求PA：監(jiān)視安全態(tài)勢SpecifySecurityNeedsMonitorSecurityPosture PA：協(xié)調(diào)安全 PA：協(xié)調(diào)安全CoordinateSecurity策 CoordinateSecurityPA：管理安全控制…PA：管理安全控制AdministerSecurityControlsProvideSecurityInput AdministerSecurityControlsProvideSecurityInput 保證過程保證過程認安全 認安全andandSecurityPA：建立保證論據(jù)其它的PAPA：建立保證論據(jù)其它的PAManyotherManyotherManyotherManyotherManyotherManyother與與風險評估過程相關(guān)的過程區(qū)評估影響評估安全風險評估威脅評估脆弱性SSE-CMM沒有規(guī)定風險評估的定量方法，但它將風險評估的流程及風險評估中各因素（脅、脆弱性、影響、風險）楚，具有極強的指導作用和可實施性。AS/NZS4360AS/NZS4360AS/NZS《風險管理指南》是澳大利年發(fā)布第一版。風險管理過程圖風險管理過程環(huán)境風險識別風險分析風險評價風險處理監(jiān)控和評審詢目目錄1、風險評估理論2、風險評估的國家政策和標準3、風險評估實踐33、風險評估實踐3.1 國內(nèi)信息安全評估機構(gòu)3.2 風險評估案例13.3 風險評估案例23.4 風險評估過程體會3.5 風險評估與等級保護、安全測評關(guān)系3.1 3.1 國內(nèi)信息安全評估機構(gòu)國家信息安全標準化委員會（“信息安全工作組-WG5）國家信息安全測評中心（信息技術(shù)安全性評估準則-GB/T信息系估準則）公安部（計算機信息系統(tǒng)安全保護等級劃分準則-GB17859-1999）（計算機信息系統(tǒng)安全等級保護通用技術(shù)要求-GA/T國家保密局（涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南-BMZ北京市信息辦（黨政機關(guān)信息系統(tǒng)安全測評規(guī)范）上海市信息辦（信息系統(tǒng)安全測評規(guī)范）解放軍（信息系統(tǒng)安全評估規(guī)范）許多安全服務公司。。。33、風險評估實踐3.1 國內(nèi)信息安全評估機構(gòu)3.2 風險評估案例13.3 風險評估案例23.4 風險評估過程體會3.5 風險評估與等級保護、安全測評關(guān)系3.2 風險評估案例3.2 風險評估案例1-銀行評估對象：某銀行網(wǎng)銀系統(tǒng)評估過程準備階段現(xiàn)場檢測階段風險分析階段機構(gòu)的業(yè)務調(diào)查信息系統(tǒng)的業(yè)務特性機構(gòu)的組織結(jié)機構(gòu)的業(yè)務調(diào)查信息系統(tǒng)的業(yè)務特性機構(gòu)的組織結(jié)構(gòu)和管理制度調(diào)查信息系統(tǒng)的管理特性機構(gòu)的技術(shù)平臺調(diào)查信息系統(tǒng)的技術(shù)特性機構(gòu)的使命調(diào)查信息系統(tǒng)的業(yè)務目標現(xiàn)場檢測階段—了解信息系統(tǒng)機構(gòu)的使命調(diào)查信息系統(tǒng)的業(yè)務目標信息系統(tǒng)的信息系統(tǒng)的描述報告資產(chǎn)分類與賦值資產(chǎn)分類與賦值中需要注意的問題由于被全部評估可能把握不住重點，因此需要資產(chǎn)抽樣。抽樣時遵循典型性、全面性和特殊性三原則。具體如下：典型性原性能完全相同的的資產(chǎn)抽樣部分資產(chǎn)。全面性原則，對于“網(wǎng)銀系統(tǒng)”中每一類資產(chǎn)都要抽樣到。特殊性原則，對于“網(wǎng)銀系統(tǒng)”殊用途的資產(chǎn)，則不抽樣，全部檢測，比如對服務器。資產(chǎn)分類與賦值3.2 3.2 風險評估案例1-銀行3.2 風險評估案例3.2 風險評估案例1-銀行威脅識別與賦值威黑客、內(nèi)部黑客、合法用環(huán)境因素、管理因素威份假冒、密碼攻擊等大約十幾種。威脅識別與賦值3.2 3.2 風險評估案例1-銀行3.2 風險評估案例3.2 風險評估案例1-銀行脆弱性分類與賦值術(shù)脆弱性管理脆弱性脆弱性識別與賦值3.2 3.2 風險評估案例1-銀行3.2 風險評估案例3.2 風險評估案例1-銀行風險計算公式依據(jù)高低，形成如下：33、風險評估實踐3.1 國內(nèi)信息安全評估機構(gòu)3.2 13.3 23.4 風險評估過程體會3.5 風險評估與等級保護、安全測評關(guān)系3.3 3.3 風險評估案例2風險評估范圍的確定一般最初只對機房中的信息資產(chǎn)（問這些設備和業(yè)務的各種終端）估。全，它信息安全風險組成：主要存在于安全管理風險、IT資產(chǎn)風險、IT治理風險、IT流程險四個方面?，F(xiàn)狀調(diào)研內(nèi)容與方法現(xiàn)狀調(diào)研內(nèi)容與方法現(xiàn)狀調(diào)查的目的了解細評估做好準備?，F(xiàn)狀調(diào)查的主要內(nèi)容現(xiàn)狀調(diào)查有關(guān)統(tǒng)計數(shù)據(jù)–在10天的現(xiàn)狀調(diào)研中，評估組共完成44場現(xiàn)場調(diào)查與一對一的訪談，發(fā)放和回收各種問卷60份，掃描主機超過500臺，人工評估關(guān)鍵服務器40臺，獲得了大量第一手資料?，F(xiàn)場訪談：訪談目的和范圍訪談是現(xiàn)狀調(diào)查中的重要一環(huán)。對公司領導層的訪談在于了解管理層對信息安全的看法及要求對部門負責人的訪談是為了了解信息安全現(xiàn)狀及存在的問題。對員工的訪談是為了了解信息安全的行為及意識。訪談計劃：訪談時間安排訪談提綱：管理層、部門經(jīng)理、員工技術(shù)評估范圍- 對多臺系統(tǒng)主機和多臺訪問終端存在的漏洞和安全采用工具掃描和人工分析兩種方式。范圍工具掃描：漏洞檢測人工分析：系統(tǒng)安全配置檢測\網(wǎng)安全配置檢測\用戶安全\操作系統(tǒng)安全\網(wǎng)絡服務安全\系統(tǒng)程序安全ISO差距分析目的：通現(xiàn)狀與標準的差距。差距分析蓋了的個域和個控制項，由各部門參加人員填寫，從主觀角度了解各層面人員從自身角度出發(fā)對于機構(gòu)安全現(xiàn)狀的認識和與標準的差距感受。IT運行安全問卷的分發(fā)范圍包括個部門。安全日常運維現(xiàn)狀調(diào)研目的：狀況，從日常的管理、系統(tǒng)安全管理和維護上的現(xiàn)