信息安全管理基础.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,.,*,ISO27001,标准探悉,信息安全管理体系基础知识培训,1,.,信息安全概述,风险评估与管理,ISO27001,简介,信息安全管理实施细则,信息安全管理体系规范,信息安全管理体系认证,总结和展望,内容目录,2,.,我们的目标,理解信息、信息安全和信息安全管理,理解信息安全风险评估与风险管理,理解,ISO27001,标准本身的条款内容,掌握一种实施,ISMS,的方法和途径,了解,ISO27001,认证的完整过程,用,ISO27001,指导企业进行信息安全的各项活动,3,.,信息安全概述,风险评估与风险管理,ISO27001,简介,信息安全管理实施细则,信息安全管理体系规范,信息安全管理体系认证,总结和展望,4,.,什么是信息？,信息安全概述,5,.,信息安全概述,什么是信息？,Information,消息、信号、数据、情报和知识,信息本身是无形的，借助于信息媒体以多种形式存在或传播：,存储在计算机、磁带、纸张等介质中,记忆在人的大脑里,通过网络、打印机、传真机等方式进行传播,信息借助媒体而存在，对现代企业来说具有价值，就成为,信息资产,：,计算机和网络中的数据,硬件、软件、文档资料,关键人员,组织提供的服务,具有价值的信息资产面临诸多威胁，需要妥善保护,有价值的内容,ISO9000,6,.,信息安全概述,企业信息安全管理关注的信息类型,内部信息,组织,不想让其竞争对手知道的信息,客户信息,顾客,/,客户不想让组织泄漏的信息,共享信息,需要与其他业务伙伴分享的信息,7,.,信息安全概述,信息的处理方式,创建,传递,销毁,存 储,使用,更改,8,.,什么是信息安全？,信息安全概述,9,.,信息安全概述,什么是信息安全？,采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。,10,.,信息安全概述,信息安全的发展历史,20,世纪,60,年代前,60,年代到,80,年代,20,世纪,80,年代末以后,电话、电报、传真,强调的是信息的保密性,对安全理论和技术的研究只侧重于密码学,通信安全,，即,COMSEC,计算机软硬件极大发展,关注保密性、完整性和可用性目标,信息安全,，即,INFOSEC,代表性成果是美国的,TCSEC,和欧洲的,ITSEC,测评标准,互联网技术飞速发展，信息无论是对内还是对外都得到极大开放,信息安全从,CIA,中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展,信息保障,（,Information Assurance,），从整体角度考虑安全体系建设,美国的,IATF,规范,11,.,C,I,A,onfidentiality,ntegrity,vailability,信息安全基本目标,信息安全概述,12,.,企业重大泄密事件屡屡发生,信息安全概述,13,.,敏感信息遭受篡改也会导致恶劣后果,信息安全概述,14,.,破坏导致系统瘫痪后果非常严重,信息安全概述,15,.,信息安全概述,C,保密性（,Confidentiality,）,确保信息在存储、使用、传输过程中不会泄漏给非授权,用户,或实体。,完整性（,Integrity,）,确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。,可用性（,Availability,）,确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。,CIA,三元组是信息安全的目标，也是基本原则，与之相反的是,DAD,三元组：,C.I.A.,和,D.A.D.,I,A,D,isclosure,A,lteration,D,estruction,泄漏,破坏,篡改,16,.,Confidentiality,机,密性,Availability,可用性,Integrity,完整性,信息安全概述,17,.,其他概念和原则,私密性（,Privacy,）,个人和组织控制私用信息采集、存储和分发的权利。,身份识别（,Identification,）,用户向系统声称其真实身份的方式。,身份认证（,Authentication,）,测试并认证用户的身份。,授权（,Authorization,）,为用户分配并校验资源访问权限的过程。,可追溯性（,Accountability,）,确认系统中个人行为和活动的能力。,抗抵赖性（,Non-repudiation,）,确保信息创建者就是真正的发送者的能力。,审计（,Audit,）,对系统记录和活动进行独立复查和审核，确保遵守性,信息安全概述,18,.,信息安全概述,信息安全的重要性,信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护,信息安全是国家安全的需要,信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一,信息安全是保护个人隐私与财产的需要,许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏,现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击,网络技术的高速发展增加了对计算机系统未授权访问的机会,组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难,许多信息系统的设计本身就不安全,通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持,19,.,法律法规与,合同要求,组织原则目标和业务需要,风险评估的结果,从什么方面考虑信息安全？,信息安全概述,20,.,常规的技术措施,信息安全概述,物理安全技术,：环境安全、设备安全、媒体安全,系统安全技术,：操作系统及数据库系统的安全性,网络安全技术,：网络隔离、访问控制、,VPN,、入侵检测、扫描评估,应用安全技术,：,Email,安全、,Web,访问安全、内容过滤、应用系统安全,数据加密技术,：硬件和软件加密，实现身份认证和数据信息的,CIA,特性,认证授权技术,：口令认证、,SSO,认证（例如,Kerberos,）、证书认证等,访问控制技术,：防火墙、访问控制列表等,审计跟踪技术,：入侵检测、日志审计、辨析取证,防病毒技术,：单机防病毒技术逐渐发展成整体防病毒体系,灾难恢复和备份技术,：业务连续性技术，前提就是对数据的备份,21,.,防火墙,网络入侵检测,病毒防护,主机入侵检测,漏洞扫描评估,VPN,通道,访问控制,22,.,有没有更好的途径？,信息安全概述,23,.,信息安全管理,信息安全的成败取决于两个因素：技术和管理。,安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。,人们常说，,三分技术，七分管理,，可见管理对信息安全的重要性。,信息安全管理（,Information Security Management,）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。,现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。,信息安全管理的核心就是,风险管理,。,信息安全概述,24,.,信息安全管理面临的一些问题,国家的信息安全法律法规体系建设还不是很完善,组织缺乏信息安全意识和明确的信息安全策略,对信息安全还持有传统的认识，即重技术，轻管理,安全管理缺乏系统管理的思想，还是就事论事式的静态管理,信息安全概述,25,.,调查显示有,8,成企业安全管理不理想,信息安全概述,26,.,各行业安全管理状况都不容乐观,信息安全概述,27,.,安全管理各方面能力都很低下,信息安全概述,28,.,信息安全管理应该是体系化的,信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子,这就是信息安全管理体系，它应该成为组织整体经营管理体系的一部分,信息安全概述,务必重视信息安全管理,加强信息安全建设工作,29,.,怎样实现信息安全？,信息安全概述,30,.,通常的信息安全建设方法,采购各种安全产品，由产品厂商提供方案：,防病毒，防火墙，,IDS,，,Scanner,，,VPN,等,通常由,IT,部门的技术人员兼职负责日常维护，甚至根本没有日常维护,这是一种以产品为核心的信息安全解决方案,这种方法存在众多不足：,难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？,管理和服务跟不上，对采购产品运行的效率和效果缺乏评价,通常用漏洞扫描代替风险评估，对风险的认识很不全面,这种方法是“头痛医头，脚痛医脚”，很难实现整体安全,不同厂商、不同产品之间的协调也是难题,信息安全概述,31,.,真正有效的方法,技术和产品是基础，管理才是关键,产品和技术，要通过管理的组织职能才能发挥最佳作用,技术不高但管理良好的系统远比技术高超但管理混乱的系统安全,先进、易于理解、方便操作的安全策略对信息安全至关重要,建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全,根本上说，信息安全是个管理过程，而不是技术过程,信息安全概述,32,.,信息安全概述,对信息安全的正确认识,安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程,33,.,基于风险分析的安全管理方法,信息安全概述,信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。,制定信息安全策略方针,风险评估和管理,控制目标和方式选择,风险控制,安全保证,信息安全策略方针为信息安全管理提供导向和支持。,控制目标与控制方式的选择应该建立在风险评估的基础上。,考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。,对风险实施动态管理。,需要全员参与。,遵循管理的一般模式,PDCA,模型。,34,.,安全管理模型,PDCA,根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。,实施所选的安全控制措施。,针对检查结果采取应对措施，改进安全状况。,依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。,信息安全概述,35,.,信息安全概述,ISO27001,定义的信息安全管理体系,建立一个信息安全管理框架,评估安全风险,选择并实施控制,信息安全管理体系,ISMS,设定信息安全的方向和目标，定义管理层承诺的策略,确定安全需求,根据需求采取措施消减风险，以实现既定安全目标,36,.,信息安全概述,ISMS,必须明确的内容,要保护的资产,控制目标和控制措施,需要保证的程度,风险管理的途径,37,.,信息安全概述,实施,ISMS,的过程,定义,ISMS,的范围,定义,ISMS,策略,定义一个系统化的风险管理途径,识别风险,评估风险,识别并评价风险处理的可选方案,选择控制目标和控制措施，以便处理风险,准备适用性声明（,SoA,）,获得管理层批准,38,.,信息安全概述,ISMS,是一个文档化的体系,对管理框架的概括,包括策略、控制目标、已实施的控制措施、适用性声明（,SoA,）,各种程序文件,实施控制措施并描述责任和活动的程序文件,覆盖了,ISMS,管理和运行的程序文件,证据,能够表明组织按照,ISO27001,要求采取相应步骤而建立了管理框架,各种,Records,：在操作,ISMS,过程当中自然产生的证据，可识别过程并显现符合性,39,.,信息安全概述,实施,ISMS,的,关键成功因素,（,CSF,）,安全策略、目标和活动应该反映业务目标,有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径,来自高级管理层的明确的支持和承诺,深刻理解安全需求、风险评估和风险管理,向所有管理者和员工有效地推广安全意识,向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准,为信息安全管理活动提供资金支持,提供适当的培训和教育,建立有效的信息安全事件管理流程,建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进,40,.,练习,1,：信息安全管理的工作内容,请列举你认为信息安全管理所应关注的工作方面？,信息安全概述,41,.,信息安全概述,风险评估与风险管理,ISO27001,简介,信息安全管理实施细则,信息安全管理体系规范,信息安全管理体系认证,总结和展望,42,.,风险评估与管理,风险,风险管理（,Risk Management,）,就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，,风险（,Risk,）,就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性,。,风险评估,风险管理,风险评估（,Risk Assessment,）,就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,43,.,风险,RISK,RISK,RISK,RISK,风险,基本的风险,采取措施后剩余的风险,资产,威胁,漏洞,资产,威胁,漏洞,风险评估与管理,风险管理目标,44,.,绝对的零风险是不存在的，要想实现零风险，也是不现实的；,计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的！,在计算机安全领域有一句格言：,“,真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。,”,显然，这样的计算机是无法使用的。,风险评估与管理,45,.,关键是实现成本利益的平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本,/,损失,所提供的安全水平,风险评估与管理,46,.,与风险管理相关的概念,资产（,Asset,）,任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。,威胁（,Threat,）,可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（,Threat source,）或威胁代理（,Threat agent,）。,弱点（,Vulnerability,）,也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。,风险（,Risk,）,特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。,可能性（,Likelihood,）,对威胁发生几率（,Probability,）或频率（,Frequency,）的定性描述。,影响（,Impact,）,后果（,Consequence,），意外事件发生给组织带来的直接或间接的损失或伤害。,安全措施（,Safeguard,）,控制措施（,control,）或对策（,countermeasure,），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。,残留风险（,Residual Risk,）,在实施安全措施之后仍然存在的风险。,风险评估与管理,47,.,安全措施,安全需求,防范,采取,提出,减少,威胁,弱点,资产,资产价值,利用,导致,导致,暴露,增加,具有,风险,风险要素关系模型,风险评估与管理,48,.,风险管理概念的公式化描述,Risk,=,Asset Value,Threat,Vulnerability,Residual Risk,=,Asset Value,Threat,Vulnerability,Control Gap,（,）,风险评估与管理,49,.,风险评估与管理,风险管理过程,识别并评价资产,识别并评估威胁,识别并评估弱点,现有控制确认,评估风险（测量与等级划分）,接受,保持现有控制,选择控制目标和控制方式,制定,/,修订适用性声明,实施选定的控制,Yes,No,确认并评估残留风险,定期评估,风险评估,风险消减,风险接受,风险管理,50,.,风险评估与管理,定量与定性风险评估方法,定性风险分析,优点,计算方式简单，易于理解和执行,不必精确算出资产价值和威胁频率,不必精确计算推荐的安全措施的成本,流程和报告形式比较有弹性,缺点,本质上是非常主观的，其结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果,对关键资产财务价值评估参考性较低,并不能为安全措施的成本效益分析提供客观依据,定量风险分析,优点,评估结果是建立在独立客观地程序或量化指标之上的,可以为成本效益审核提供精确依据，有利于预算决策,量化的资产价值和预期损失易理解,可利用自动化工具帮助分析,缺点,信息量大，计算量大，方法复杂,没有一种标准化的知识库，依赖于提供工具或实施调查的厂商,投入大，费时费力,定量风险评估,：,试图从数字上对安全风险进行分析评估的一种方法。,定性风险评估,：,凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或,高低程度定性分级。,51,.,风险评估与管理,采集数据的辅助工具：,调查问卷（,Questionnaire,）,检查列表（,Checklist,）,人员访谈（,Interview,）,漏洞扫描器（,Scanner,）,渗透测试（,Penetration Test,）,专用的风险评估工具：,COBRA,CRAMM,ASSET,CORA,风险评估工具,52,.,信息资产是我们要保护的对象！,风险评估与管理,53,.,识别信息资产,对资产进行保护是信息安全和风险管理的首要目标。,划入风险评估范围和边界的每项资产都应该被识别和评价。,应该清楚识别每项资产的拥有者、保管者和使用者。,组织应该建立资产清单，可以根据业务流程来识别信息资产。,信息资产的存在形式有多种，物理的、逻辑的、无形的。,数据信息,：存在于电子媒介中的各种数据和资料，包括源代码、数据库、数据文件、系统文件等,书面文件,：合同，策略方针，企业文件，重要商业结果,软件资产,：应用软件，系统软件，开发工具，公用程序,实物资产,：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所,人员,：承担特定职能和责任的人员,服务,：计算和通信服务，其他技术性服务，例如供暖、照明、水电、,UPS,等,组织形象与声誉,：企业形象，客户关系等，属于无形资产,风险评估与管理,54,.,信息资产登记表图例,风险评估与管理,55,.,资产评价时应该考虑：,信息资产因为受损而对业务造成的直接损失；,信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；,信息资产受损对其他部门的业务造成的影响；,组织在公众形象和名誉上的损失；,因为业务受损导致竞争优势降级而引发的间接损失；,其他损失，例如保险费用的增加。,定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。,可以根据资产的重要性（影响或后果）来为资产划分等级。,应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。,评价信息资产,风险评估与管理,56,.,练习,2,：识别并评价信息资产,以我们现在的培训环境和培训活动（业务）为风险评估的范围,请举出,5,种信息资产的例子,描述这些信息资产对你组织的价值,风险评估与管理,57,.,高（,3,）：非常重要，缺了这个资产（,CIA,的丧失），业务活动将中断并且遭受不可挽回的损失,中（,2,）：比较重要，缺了这个资产（,CIA,的丧失或受损），业务活动将被迫延缓，造成明显损失,低（,1,）：不太重要，缺了这个资产，业务活动基本上不受影响,练习,2,续：资产重要性等级标准,风险评估与管理,58,.,风险评估与管理,资产名称,价值（重要性）,C,I,A,59,.,我们的信息资产面临诸多外在威胁,信息资产,拒绝服务,逻辑炸弹,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统,Bug,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,风险评估与管理,60,.,识别并评估威胁,识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。,识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，,Threat Agent,）。,威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）：,人员威胁,：故意破坏和无意失误,系统威胁,：系统、网络或服务出现的故障,环境威胁,：电源故障、污染、液体泄漏、火灾等,自然威胁,：洪水、地震、台风、雷电等,威胁对资产的侵害，表现在,CIA,某方面或者多个方面的受损上。,对威胁的评估，主要考虑威胁源出现的可能性。评估威胁可能性时要考虑威胁源的动机（,Motivation,）和能力（,Capability,）这两个因素，可以用“高”、“中”、“低”三级来衡量，有时候也可以和弱点结合起来考虑。,风险评估与管理,61,.,威胁评估表图例,风险评估与管理,62,.,对威胁来源的定位，其实是综合了人为因素和系统自身逻辑与物理上诸多因素在一起的，但归根结底，还是人在起着决定性的作用，无论是系统自身的缺陷，还是配置管理上的不善，都是因为人的参与（访问操作或攻击破坏），才给网络的安全带来了种种隐患和威胁。,Internet,DMZ,远程办公,恶意者,商业伙伴,Extranet,供应商,HR,R&D,Finance,Marketing,外部人员威胁,内部人员威胁,其他人员的威胁,Intranet,人是最关键的威胁因素,风险评估与管理,63,.,威胁不仅仅来自公司外部,黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害,据权威部门统计，内部人员犯罪（或于内部人员有关的犯罪）占到了计算机犯罪总量的,70%,以上,员工误操作,蓄意破坏,公司资源私用,风险评估与管理,64,.,练习,3,：识别并评价威胁,针对刚才列举的,5,项信息资产，分别指出各自面临的最突出的威胁（最多三个）？,评价这些威胁出现的可能性,风险评估与管理,65,.,练习,3,续：评价威胁的标准,风险评估与管理,威胁可能性评估标准,高（,3,）：,非常可能，在业务活动持续期间，时刻都有可能出现,中（,2,）：,比较可能，在业务活动持续期间，有可能多次出现,低（,1,）：,不太可能，在业务活动持续期间，不大可能出现,66,.,风险评估与管理,资产名称,价值（重要性）,威胁,可能性,C,I,A,67,.,一个巴掌拍不响！,外因是条件,内因才是根本！,风险评估与管理,68,.,识别并评估弱点,针对每一项需要保护的资产，找到可被威胁利用的弱点，包括：,技术性弱点,：系统、程序、设备中存在的漏洞或缺陷。,操作性弱点,：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。,管理性弱点,：策略、程序、规章制度、人员意识、组织结构等方面的不足。,弱点的识别途径：,审计报告、事件报告、安全检查报告、系统测试和评估报告,专业机构发布的漏洞信息,自动化的漏洞扫描工具和渗透测试,对弱点的评估，主要考虑其严重程度（,Severity,，即一旦被利用会对资产本身造成多大影响）或暴露程度（,Exposure,，即被利用的容易度或明显程度），也可以用“高”、“中”、“低”三级来衡量。,如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损害。,风险评估与管理,69,.,信息系统存在诸多危及安全的漏洞,风险评估与管理,摘自,CERT/CC,的统计报告,2003,年,12,月,70,.,人最常犯的一些错误,将口令写在便签上，贴在电脑监视器旁,开着电脑离开，就像离开家却忘记关灯那样,轻易相信来自陌生人的邮件，好奇打开邮件附件,使用容易猜测的口令，或者根本不设口令,丢失笔记本电脑,不能保守秘密，口无遮拦，泄漏敏感信息,随便在服务器上接,Modem,，或者随意将服务器连入网络,事不关己，高高挂起，不报告安全事件,在系统更新和安装补丁上总是行动迟缓,只关注外来的威胁，忽视企业内部人员的问题,风险评估与管理,71,.,资产,威胁,A,来源,A1,来源,A2,威胁,B,来源,B1,来源,B2,弱点,A1,弱点,A2,弱点,B1,弱点,B2,资产、威胁和弱点的关系,弱点,威胁,影响的资产,没有逻辑访问控制,蓄意破坏软件,软件，信誉,窃取软件,数据完整性，信誉,没有应急计划,火灾、飓风、地震、水灾、恐怖攻击,设施、硬件、存储介质、数据可用性、软件、信誉,窃取软件,数据完整性，信誉,风险评估与管理,72,.,练习,4,：识别并评价弱点,考虑到面临的威胁，找到每一项资产可能存在并被威胁利用的弱点？只选择最明显并最严重的,风险评估与管理,73,.,练习,4,续：评价弱点的标准,风险评估与管理,弱点严重性评估标准,高（,3,）：,很容易被利用,中（,2,）：,可被利用，但不是太容易,低（,1,）：,基本上不可能被利用,74,.,风险评估与管理,资产名称,价值（重要性）,威胁,可能性,弱点,严重性,C,I,A,75,.,风险评价,风险评估与管理,确定风险的等级，需要综合考虑以下因素：,资产价值,，也就是威胁一旦利用资产弱点对资产进行破坏，对组织造成的影响,威胁本身出现的,可能性,弱点将资产暴露在外的,严重性,三个因素可以简单相乘，得到最终的风险值。,或者通过风险评估矩阵来确定最终的风险水平。,需要注意的是，通常在评价威胁和弱点时，都考虑到了现实环境中已经采取的各种控制措施。,实际操作时，有时候也可以把威胁和弱点综合起来考虑，得出风险发生的可能性，这样以来，最终计算风险时，只有两个指标要考虑：风险影响和风险可能性。,76,.,风险场景：,一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。,确定风险因子：,后果为,2,，弱点值为,3,，威胁值为,3,评估风险：,套用风险分析矩阵，该风险被定为高风险（,18,）,应对风险：,根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。,风险评价示例,风险评估与管理,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响,/,资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,77,.,练习,5,：进行风险评估,资产、威胁、弱点，构成一个风险场景,从资产价值去考虑影响因素,从威胁和弱点去考虑可能性因素,用风险评估矩阵评估风险,风险评估与管理,78,.,练习,5,续：风险评估矩阵,风险评估与管理,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响,/,资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,79,.,风险评估与管理,资产名称,价值（重要性）,威胁,可能性,弱点,严重性,风险值,C,I,A,80,.,确定风险消减策略,降低风险（,Reduce Risk,）,实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：,减少威胁：,例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。,减少弱点：,例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。,降低影响：,例如，制定灾难恢复计划和业务连续性计划，做好备份。,规避风险（,Avoid Risk,）,或者,Rejecting Risk,。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。,转嫁风险（,Transfer Risk,）,也称作,Risk Assignment,。将风险全部或者部分地转移到其他责任方，例如购买商业保险。,接受风险（,Accept Risk,）,在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。,风险评估与管理,81,.,风险评估与管理,从针对性和实施方式来看，控制措施包括三类：,管理性（,Administrative,）,：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。,操作性（,Operational,）,：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。,技术性（,Technical,）,：身份识别与认证、逻辑访问控制、日志审计、加密等。,从功能来看，控制措施类型包括：,威慑性（,Deterrent,）,预防性（,Preventive,）,检测性（,Detective,）,纠正性（,Corrective,）,对于现有的控制措施，可以,取消、替换或保持。,威胁,弱点,威胁事件,防止,威慑性控制,影响,利用,引发,造成,保护,发现,减小,预防性控制,检测性控制,纠正性控制,对控制措施的考虑,82,.,风险评估与管理,选择控制措施,依据风险评估的结果来选择安全控制措施。,选择安全措施（对策）时需要进行成本效益分析（,cost/benefit analysis,）：,基本原则：实施安全措施的代价不应该大于所要保护资产的价值,控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等,控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失,除了成本效益，还应该考虑：,控制的易用性,对用户的透明度,控制自身的强度,控制的功能类型（预防、威慑、检测、纠正）,可以从,ISO17799,规定的控制目标范围中选择控制。,确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。,83,.,评价残留风险,绝对安全（即零风险）是不可能的。,实施安全控制后会有残留风险或残存风险（,Residual Risk,）。,为了确保信息安全，应该确保残留风险在可接受的范围内：,残留风险,Rr,原有的风险,R0,控制,R,残留风险,Rr,可接受的风险,Rt,对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,风险评估与管理,84,.,风险场景：,一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。,实施控制之前：,后果为,2,，弱点值为,3,，威胁值为,3,，风险值为,18,实施控制之后：,后果为,2,，弱点值降为,1,，威胁值降为,1,，残留风险值为,2,应对残留风险：,残留风险在可接受范围内，说明控制措施的应用是成功的,残留风险示例,风险评估与管理,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响,/,资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,85,.,练习,6,：选择控制，评价残留风险,首先，要确定一个风险接受的标准,针对之前识别出来的风险，选择最合适的控制措施,评价实施控制措施之后的残留风险,风险评估与管理,86,.,练习,6,续：风险评估矩阵,风险评估与管理,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响,/,资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,87,.,风险评估与管理,资产名称,价值,威胁,弱点,风险处理前,控制措施,风险处理后,C,I,A,可能性,严重性,风险值,可能性,严重性,风险值,风险接受水平：,_,88,.,风险评估与管理,接下来。,制定风险处理计划：确定实施人员，规划实施时间，进行实施效果复查,编写配套的指导文件：信息安全策略和程序文件、作业指导书和记录等,按照计划实施,Review,和内部审核，检查控制实施效果,如果发生重大变化，或者按照既定计划，重新再做一次风险评估，找到新的风险点,89,.,90,.,信息安全概述,风险评估与风险管理,ISO27001,简介,信息安全管理实施细则,信息安全管理体系规范,信息安全管理体系认证,总结和展望,91,.,ISO27001,简介,英国标准协会（,BSI,）,英国标准学会（,British Standards Institution,，,BSI,）,著名的,ISO9000,、,ISO14000,、,ISO17799/BS7799,等标准的编写机构,英国标准学会（,BSI,）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。,BSI,不断发展自己的工作队伍，完善自己的工作机构和体制，把标准化和质量管理以及对外贸易紧密结合起来开展工作,BSI,的宗旨：,1.,为增产节约努力协调生产者和用户之间的关系，促进生产，达到标准化（包括简化）,2.,制定和修订英国标准，并促进其贯彻执行,3.,以学会名义，对各种标志进行登记，并颁发许可证,4.,必要时采取各种行动，保护学会利益,92,.,国际标准化组织（,ISO,）,国际标准化组织（,International Organization for Standardization,，,ISO,）,国际标准化组织是世界上最大的非政府性标准化专门机构，它在国际标准化中占主导地位。,ISO,的主要活动是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会,进行交流,，以及与其他国际性组织进行合作，共同研究有关标准问题。,随着国际贸易的发展，对国际标准的要求日益提高，,ISO,的作用也日趋扩大，世界上许多国家对,ISO,也越加重视。,ISO,的目的和宗旨是：在世界范围内促进标准化工作的发展，以利于国际物资交流和互助，并扩大在知识、科学、技术和经济 方面的合作。,ISO27001,简介,93,.,什么是,ISO27001,？,ISO27001,简介,最早是英国标准协会（,British Standards Institute,，,BSI,）制定的信息安全标准。目前已经成为国际标准。,由信息安全方面的最佳惯例组成的一套全面的控制集。,信息安全管理方面最受推崇的国际标准。,94,.,ISO27001,的历史沿革,1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。,BS7799,标准最早是由英国工贸部、英国标准化协会（,BSI,）组织的相关专家共同开发制定的,BS7799,BS7799-1,BS7799-2,在,1998,年、,1999,年经过两次修订之后出版,BS7799-1,：,1999,和,BS7799-2,：,1999,。,ISO17799,ISO27001,2000,年,4,月，将,BS7799-1,：,1999,提交,ISO,，同年,10,月获得通过成为,ISO/IEC17799,：,2000,版。,2005,年对,ISO/IEC17799,：,2000,版进行了修订，于,6,月,15,日发布了,ISO/IEC17799,：,2005,版。,2001,年修订,BS7799-2,：,1999,，同年,BS7799-2,：,2000,发布。,2002,年对,BS7799-2,：,2000,进行了修订发布了,BS7799-2,：,2002,版。,ISO,于,2005,年,10,月,15,采用,BS7799-2,：,2002,版本成为国际标准,-ISO/IEC27001,：,2005,版。,ISO27001,简介,95,.,截至,2011,年,1,月，全球通过,BS7799/ISO27001,认证的有,7205,多家机构,/,3829,Slovenia,17,