信息安全管理讲义.pptx

1、信息安全管理技术信息安全管理引入与内涵 信息安全风险识别与评估信息安全等级保护41234ISO信息安全管理标准54信息安全法规6主讲内容信息安全规划信息安全管理引入与内涵信息安全管理引入与内涵信息安全在其发展过程中经历的三个阶段信息安全在其发展过程中经历的三个阶段：n20世纪80、90年代以前，面对信息交换过程中存在的安全问题，人们强调的主要是信息的保密性和完整性，该阶段称为通信保密阶段；n20世纪80、90年代，随着计算机和网络广泛应用，人们对信息安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标，并利用密码、认证、访问控制、审计与监控等多种信息安全技术为信息和信息系统提供安全服务，该阶

2、段称为信息安全阶段；信息安全管理引入与内涵信息安全管理引入与内涵信息安全在其发展过程中经历的三个阶段信息安全在其发展过程中经历的三个阶段n20世纪90年代中后期，由于互联网技术的飞速发展，信息对内、对外都极大开放，由此产生的安全问题已经不仅仅是传统的保密性、完整性和可用性三个方面，人们把信息主体和管理引入信息安全，由此衍生出诸如可控性、抗抵赖性、真实性等安全原则和目标，信息安全也从单一的被动防护向全面而动态的防护、检测、响应和恢复等整体建设方向发展。该阶段称为信息安全保障阶段。信息安全管理引入与内涵信息安全管理引入与内涵信息安全技术与信息安全管理信息安全技术与信息安全管理信息安全技术与信息安全

3、管理信息安全技术与信息安全管理信息安全技术是实现信息安全产品的技术基础；信息安全产品是实现信息安全的工具平台；信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理引入与内涵 信息安全风险识别与评估信息安全等级保护41234ISO信息安全管理标准54信息安全法规6主讲内容信息安全规划信息安全规划信息安全规划n信息安全规划也称为信息安全计划，它用于在较高的层次上确定一个组织涉及信息安全的活动，主要内容：p安全策略p安全需求p计划采用的安全措施p安全责任p规划执行时间表信息安全管理引入与内涵 信息安

4、全风险识别与评估信息安全等级保护41234ISO信息安全管理标准54信息安全法规6主讲内容信息安全规划 信息安全风险识别与评估信息安全风险识别与评估 信息安全风险信息安全风险来自人为或自然的威胁，是威胁利用信息系统的脆弱性造成安全事件的可能性及这类安全事件可能对信息资产等造成的负面影响。信息安全风险识别与评估信息安全风险识别与评估 信息安全风险评估：信息安全风险评估：也称信息安全风险分析，它是指对信息安全威胁进行分析和预测，评估这些威胁对信息资产造成的影响。信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值，为管理决策提供支持，也可为进一步实施系统安全防护提供依据。信息

5、安全建设的起点和基础信息安全建设的起点和基础倡导一种适度安全倡导一种适度安全信息安全建设和管理的科学方法信息安全建设和管理的科学方法分析确定风险的过程分析确定风险的过程信息安全信息安全风险评估风险评估 信息安全风险识别与评估信息安全风险识别与评估 信息安全风险识别与评估信息安全风险识别与评估 信息安全风险识别与评估信息安全风险识别与评估 信息安全风信息安全风险识别与评险识别与评估应考虑的估应考虑的因素：因素：信息资产的脆弱性信息资产的脆弱性信息资产的威胁及其发生的信息资产的威胁及其发生的可能性可能性信息资产的价值信息资产的价值已有安全措施已有安全措施n n资产的识别与估价资产的识别与估价 为了

6、明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。信息安全风险识别与评估信息安全风险识别与评估 信息安全风险识别与评估信息安全风险识别与评估n n资产的识别与估价资产的识别与估价 在列出所有信息资产后，应对每项资产赋予价值。资产估价是一个主观的过程，而且资产的价值应当由资产的所有者和相关用户来确定，只有他们最清楚资产对组织业务的重要性，从而能够准确地评估出资产

7、的实际价值。为确保资产估价的一致性和准确性，组织应建立一个资产的价值尺度（资产评估标准），以明确如何对资产进行赋值。在信息系统中，采用精确的财务方式来给资产确定价值比较困难，一般采用定性分级的方式来建立资产的相对价值或重要度，即按照事先确定的价值尺度将资产的价值划分为不同等级，以相对价值作为确定重要资产及为这些资产投入多大资源进行保护的依据。n n资产的识别与估价资产的识别与估价 信息安全风险识别与评估信息安全风险识别与评估故意破坏故意破坏（网络攻击、（网络攻击、恶意代码传播、邮件炸恶意代码传播、邮件炸弹、非授权访问等）和弹、非授权访问等）和无意失误无意失误（如误操作、（如误操作、维护错误）维

8、护错误）人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险识别与评估信息安全风险识别与评估n n威胁识别与评估威胁识别与评估人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险识别与评估信息安全风险识别与评估n n威胁识别与评估威胁识别与评估系统、网络或服系

9、统、网络或服务的故障（软件务的故障（软件故障、硬件故障、故障、硬件故障、介质老化等）介质老化等）人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁电源故障、污电源故障、污染、液体泄漏、染、液体泄漏、火灾等火灾等识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险识别与评估信息安全风险识别与评估n n威胁识别与评估威胁识别与评估人员威胁人员威胁人员威胁人员威胁12系统威胁系统威胁系统威胁系统威胁环境威胁环境威胁环境威胁环境威胁34自然威胁自然威胁自然威胁自然威胁洪水、地震、洪水

10、、地震、台风、滑坡、台风、滑坡、雷电等雷电等识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因识别产生威胁的原因 信息安全风险识别与评估信息安全风险识别与评估n n威胁识别与评估威胁识别与评估n n威胁识别与评估威胁识别与评估 信息安全风险识别与评估信息安全风险识别与评估识别产生威胁的识别产生威胁的识别产生威胁的识别产生威胁的识别产生威胁的识别产生威胁的原因原因原因原因原因原因确认威胁的目标确认威胁的目标确认威胁的目标确认威胁的目标确认威胁的目标确认威胁的目标威威胁胁识识别别与与评评估估的的主要任务主要任务威胁发生造成的后威胁发生造成的后果或潜在影响果或潜在影响评估威胁发生的可评估威胁发生

11、的可能性能性n n威胁识别与评估威胁识别与评估 威胁发生造成的后果或潜在影响威胁发生造成的后果或潜在影响 信息安全风险识别与评估信息安全风险识别与评估 威胁一旦发生会造成信息保密性、完整性和可用性等安全属性的损失，从而给组织造成不同程度的影响，严重的威胁发生会导致诸如信息系统崩溃、业务流程中断、财产损失等重大安全事故。不同的威胁对同一资产或组织所产生的影响不同，导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要程度）为限。n n脆弱性识别与评估脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只

12、有利用了特定的脆弱性或者弱点，才可能对资产造成影响。信息安全风险识别与评估信息安全风险识别与评估n n脆弱性识别与评估脆弱性识别与评估p脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。p资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。p脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。信息安全风险识别与评估信息安全风险识别与评估n n脆弱性识别与评估脆弱性识别与评估 信息安全风险识别与评估信息安全风险识别与评估系统、程序和设系统、程序和设备中存在的漏洞备中存在的漏洞或缺陷，如结

13、构或缺陷，如结构设计问题和编程设计问题和编程漏洞等漏洞等技术脆弱性技术脆弱性技术脆弱性技术脆弱性12操作脆弱性操作脆弱性操作脆弱性操作脆弱性管理脆弱性管理脆弱性管理脆弱性管理脆弱性3软件和系统在配软件和系统在配置、操作及使用置、操作及使用中的缺陷，包括中的缺陷，包括人员日常工作中人员日常工作中的不良习惯、审的不良习惯、审计或备份的缺乏计或备份的缺乏等等策略、程序和策略、程序和规章制度等方规章制度等方面的弱点。面的弱点。脆弱性的分类脆弱性的分类脆弱性的分类脆弱性的分类 信息安全风险识别与评估信息安全风险识别与评估n n脆弱性识别与评估脆弱性识别与评估评估脆弱性需要考虑的因素评估脆弱性需要考虑的因

14、素脆弱性的严重程度（Severity）；脆弱性的暴露程度（Exposure），即被威胁利用的可能性P，这两个因素可采用分级赋值的方法。例如对于脆弱性被威胁利用的可能性可以分级为：非常可能非常可能=4=4，很可能，很可能=3=3，可能，可能=2=2，不太可能，不太可能=1=1，不可能，不可能=0=0。信息安全风险识别与评估信息安全风险识别与评估n n确认现有安全控制确认现有安全控制 在影响威胁事件发生的外部条件中，除了资产的弱点，再就是组织现有的安全控制措施。在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力，有效的安全控制继续保持，而对于那些不适当的控制应当核查

15、是否应被取消，或者用更合适的控制代替。信息安全风险识别与评估信息安全风险识别与评估n n确认现有安全控制确认现有安全控制对系统开发、维护对系统开发、维护和使用实施管理的和使用实施管理的措施，包括安全策措施，包括安全策略、程序管理、风略、程序管理、风险管理、安全保障险管理、安全保障和系统生命周期管和系统生命周期管理等理等管理性安全控制管理性安全控制管理性安全控制管理性安全控制12操作性安全控制操作性安全控制操作性安全控制操作性安全控制技术性安全控制技术性安全控制技术性安全控制技术性安全控制3用来保护系统和应用用来保护系统和应用操作的流程和机制，操作的流程和机制，包括人员职责、应急包括人员职责、应

16、急响应、事件处理，安响应、事件处理，安全意识培训、系统支全意识培训、系统支持和操作、物理和环持和操作、物理和环境安全等境安全等身份识别与认身份识别与认证、逻辑访问证、逻辑访问控制、日志审控制、日志审计和加密等计和加密等安全控制方式的分类安全控制方式的分类安全控制方式的分类安全控制方式的分类(依据目标和针对性分类依据目标和针对性分类依据目标和针对性分类依据目标和针对性分类)信息安全风险识别与评估信息安全风险识别与评估n n确认现有安全控制确认现有安全控制此类控制可以降低此类控制可以降低蓄意攻击的可能性蓄意攻击的可能性，实际上针对的是，实际上针对的是威胁源的动机威胁源的动机威慑性安全控制威慑性安全

17、控制威慑性安全控制威慑性安全控制12预防性安全控制预防性安全控制预防性安全控制预防性安全控制检测性安全控制检测性安全控制检测性安全控制检测性安全控制34纠正性安全控制纠正性安全控制纠正性安全控制纠正性安全控制此类控制可以保此类控制可以保护脆弱性，使攻护脆弱性，使攻击难以成功，或击难以成功，或者降低攻击造成者降低攻击造成的影晌的影晌此类控制可以检测此类控制可以检测并及时发现攻击活并及时发现攻击活动，还可以激活纠动，还可以激活纠正性或预防性安全正性或预防性安全控制控制此类控制可以此类控制可以将攻击造成的将攻击造成的影响降到最低影响降到最低安全控制方式的分类安全控制方式的分类安全控制方式的分类安全控

18、制方式的分类（依据功能分类（依据功能分类（依据功能分类（依据功能分类)信息安全风险识别与评估信息安全风险识别与评估n n确认现有安全控制确认现有安全控制 安全控制应对风险各要素的情况安全控制应对风险各要素的情况利用利用引发引发造成造成 信息安全风险识别与评估信息安全风险识别与评估n n风险评价风险评价 风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级，对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。信息安全风险识别与评估信息安全风险识别与评估n n风险评价风险评价风险度量常用方法风险

19、度量常用方法p预定义价值矩阵法预定义价值矩阵法预定义价值矩阵法预定义价值矩阵法p按风险大小对威胁排序法按风险大小对威胁排序法按风险大小对威胁排序法按风险大小对威胁排序法p网络系统的风险计算方法网络系统的风险计算方法网络系统的风险计算方法网络系统的风险计算方法 风风险险度度量量的的目目的的是明确当前的安全状态、改善该状态并获得改善状态所需的资源。信息安全风险识别与评估信息安全风险识别与评估n n风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法pp预定义价值矩阵法预定义价值矩阵法预定义价值矩阵法预定义价值矩阵法 该方法利用威胁发生的可能性、脆弱性被威

20、胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小。威威胁胁发发生生的的可可能性能性PT低低 0中中 1高高 2脆脆弱弱性性被被利利用用的可能性的可能性PV低低 0中中 1高高 2低低 0中中 1高高 2低低 0中中 1高高 2资资产产相相对对价价值值V001212323411232343452234345456334545656744565676782+1+2=5 信息安全风险识别与评估信息安全风险识别与评估n n风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法pp按风险大小对威胁排序法按风险大小对威胁排序法按风险大小对威胁排序

21、法按风险大小对威胁排序法 该方法把风险对资产的影响与威胁发生的可能性联系起来，常用于考察和比较威胁对组织资产的危害程度。第一步第一步：按预定义的尺度，评估风险对资产的影响即资产的相 对价值I，例如，尺度可以是从1到5；第第二二步步：评估威胁发生的可能性PT，PT也可以用PTV（考虑被 利用的脆弱性因素）代替，例如尺度为1到5；第三步第三步：测量风险值R，R=RR=R（PTV PTV，I I）=PTV I=PTV I；该方法把风险对资产的影响与威胁发生的可能性联系起来，常用于考察和比较威胁对组织资产的危害程度。方法的实施过程是：方法的实施过程是：信息安全风险识别与评估信息安全风险识别与评估n n

22、风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法pp按风险大小对威胁排序法按风险大小对威胁排序法按风险大小对威胁排序法按风险大小对威胁排序法威威 胁胁影响影响（资产价值（资产价值I）威胁发生的可能性威胁发生的可能性PTV风险风险R威胁的等级威胁的等级威胁威胁A52102威胁威胁B2483威胁威胁C35151威胁威胁D1335威胁威胁E4144威胁威胁F2483R=PTV I=3 5=15 信息安全风险识别与评估信息安全风险识别与评估n n风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法pp网络系统的

23、风险计算方法网络系统的风险计算方法网络系统的风险计算方法网络系统的风险计算方法R=VR=V（1-PD1-PD）（1-PO1-PO）其中：V V系统的重要性，是系统的保密性C、完整性I和可用性A三 项评价值的乘积，即V=CIAV=CIA；POPO防止威胁发生的可能性，与用户的个数、原先的信任、备份的频率以及强制安全措施需求的满足程度有关；PDPD防止系统性能降低的可能性，与组织已实施的保护性控制措施有关。信息安全风险识别与评估信息安全风险识别与评估n n风险评价风险评价风险评价风险评价风险度量常用方法风险度量常用方法风险度量常用方法风险度量常用方法pp网络系统的风险计算方法网络系统的风险计算方法

24、网络系统的风险计算方法网络系统的风险计算方法网络系网络系统名称统名称保密性保密性 C完整性完整性IN可用性可用性A网络系网络系统重要统重要性性V防止威防止威胁发生胁发生PO防止系防止系统性能统性能降低降低PD风险风险R风险风险排序排序管理管理13260.10.33.782工程工程232120.50.53.003电子商电子商务务332180.30.38.821V=CIA=232=12R=V（1-PD）（1-PO）=12（1-0.5）（1-0.5）=3.00 信息安全风险识别与评估信息安全风险识别与评估n n安全措施建议安全措施建议 信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级，他

25、们在这一步骤中根据风险等级和其他评估结论，结合被评估组织当前信息安全防护措施的状况，为被评估组织提供加强信息安全防护的建议。风险评估管理软件n为便于系统所有单位实施自评估，基于现有评估方法，开发了风险评估管理软件。n将各类风险判据、评分依据、检查列表集成在系统中，为系统所有者实施的风险自评估提供帮助。n力图做到：信息采集规范、判别符合标准、风险计算一致、输出结果完整。n经非专业人员试用，基本达到专业评估人员的评估效果。信息安全风险识别与评估信息安全风险识别与评估系统脆弱性管理界面系统脆弱性管理界面风险系数的计算风险系数的计算风险处理计划风险处理计划风险分类统计风险分类统计基础数据的管理基础数据的管理输出各类报表输出各类报表 The EndThanks For Your Attention