信息安全风险评估技术简介页PPT课件.ppt

1、.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,信息安全风险评估简介,梁立新,（无锡市基础信息安全测评认证中心）,2011.07,1,.,一、信息安全形势需要风险评估,二、信息化风险及风险管理研究,三、信息安全风险评估技术导引,四、信息安全风险评估试点经验宝贵,2,.,加强信息安全保障工作是当前形势的需要,落实,27,号文件,国家信息化领导小组关于加强信息安全保障工作的

2、意见,(,中办发,200327,号,),，一手抓信息化，一手抓安全，,谁主管谁负责，谁运营谁负责,积极防御、综合防范,重点保障网络基础设施和重要信息系统的安全,正确处理等级保护与风险评估的关系,加强信息安全基础设施建设,3,.,我国信息安全问题的突出表现,病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势,不良和有害信息屡禁不止，利用信息网络技术从事犯罪活动日益猖獗，网络群体层出不穷，网上舆论传播直接影响社会稳定。,通讯与信息网络上失密、泄密及窃密事件时有发生。直接影响到政府管理效率和公众形象。,内部人员故意破坏。,内部人员误操作导致系统错误。,硬件问题，导致系统不能提供服务。,软件问

3、题导致服务停止。,4,.,环境和背景,近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批宝贵的信息资产。,与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。,计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题

4、。,5,.,我国面临的信息安全问题的性质,我国面临的信息安全问题已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。,它不仅是一个“不对称”的高技术对抗问题，而且是一个直接影响国计民生、关乎国家安全与政权稳定的现实问题。,确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。,6,.,科研、产业与服务体系,技术与管理标准体系,国家信息安全,保障体系,7,.,一、信息安全形势依然严峻,二、信息化风险及风险管理研究,三、信息安全风险评估技术导引,四、信息安全风险评估试点经验宝贵,8,.,二、信息化风险及风险管理研究,随着信息化的发展，信息化的风险与风险管理问题

5、已经成为各个国家、国际组织所普遍关注的问题。,信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。,9,.,2.1,信息化风险的定义,风险指行动或者事件的结果的不确定性（,uncertainty of outcome,）。,信息化的风险被界定为信息化可能或者实际带来的消极威胁。,风险管理泛指评估风险、确认风险、回应风险的过程。,10,.,2.2,信息安全基本属性,机密性,Confidentiality,完整性,Integrity,可用性,Availability,11,.,2.3,信息化风险的主要特征,全球性,传染性,复杂性,隐蔽性,12,.,信息安

6、全范畴,安全组织,访问控制,业务不间断运转,物理安全,等等,入侵预防与检测,13,.,2.4,信息化风险的内在原因,基本原因在于内因，由信息化自身的特点所决定：,第一，信息化的无疆界特征；,第二，信息化的低成本特征；,第三，信息化的开放性特征；,第四，信息化的匿名性特征。,14,.,第一，自然灾害；,第二，误操作和安全生产事故；,第三，病毒、蠕虫以及网络攻击；,第四，由于信任体系不完善，借助信息化手段进行欺诈；,第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；,第六，因外部因素造成信息、数据的泄露、篡改和丢失；,第七，安全防范措施不到位的高端技术。,2.5,信息化风险的外部原因,15

7、,.,2.6,我国信息安全风险的生成机理,第一，战略能力不足，规划不明确。,（,1,）缺乏项目的建设战略,（,2,）缺乏项目的中长期发展规划,（,3,）缺乏明确项目的发展步骤,（,4,）缺乏项目的阶段性绩效标准,16,.,第二，领导与组织能力不到位，统筹协调不力,领导对于风险管理的重视不足，忽视信息化项目的风险问题；,信息化目标的错误设定，片面追求某些指标，忽视质量；,信息孤岛问题以及跨部门之信息化进程的协调问题；,信息安全总体设计不到位；,项目建设规划、评估和监理存在缺位和不足,2.6,我国信息安全风险的生成机理（续）,17,.,第三，信息化管理的能力差，管理体系不成熟,。,（,1,）对信息

8、化管理的理念认识和关注不足；,（,2,）管理基础（包括信息化建设中决策机制、信息透明和公开、实施过程的监督等）不完善；,（,3,）缺乏信息化建设周期中质量控制和评估标准；,2.6,我国信息安全风险的生成机理（续）,18,.,第四，安全子系统建设资金的预算和管理能力差,（,1,）对信息系统未作风险评估和分析，安全子系统建设投资预算缺乏科学依据,或过度保护,或保护不力；,（,2,）总体资金支持不足；,（,3,）信息安全投资的回报难以监控和评估。,2.6,我国信息安全风险的生成机理（续）,19,.,第五，人力资源不足,（,1,）缺乏信息安全风险管理的人员,（,2,）缺乏具备信息安全管理能力和资格的人

9、员；,（,3,）培训滞后于项目，培训效果差。,2.6,我国信息安全风险的生成机理（续）,20,.,第六，法规、标准与政策滞后于信息化发展,相关法制工作滞后于信息化建设需求；,首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。,其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。,再次，缺乏对信息安全风险的管理规范和技术标准。,2.6,我国信息安全风险的生成机理（续,）,21,.,第七，保护隐私，数据安全，技术管理方面的不足。,在泄露隐私方面：,（,1,）不当授权他人或机构滥用用户信息；,（,2,）未遵循法律或

10、法规制定相应的隐私和记录管理政策。,在影响数据安全方面：,（,1,）工作人员对安全因素和措施缺乏足够认知；,（,2,）难以解决相关安全问题；,（,3,）病毒或黑客攻击导致系统瘫痪；,（,4,）由于一个主要系统瘫痪导致其它系统的失灵。,2.6,我国信息安全风险的生成机理（续）,22,.,一、信息安全形势需要评估,二、信息化风险及风险管理研究,三、信息安全风险评估技术导引,四、信息安全风险评估试点经验宝贵,23,.,克服安全“亚健康”的必由之路,医学专家告诉我们：,人的躯体有健康、亚健康和患病等多种状态,但成年人多数处于亚健康状态,如何确认和发现问题，必须体检,信息系统也一样，在安全状态方面，常常

11、处于“亚健康”甚至患病状态，因此也要“体检”,这就是风险评估,24,.,居安思危，思则有备,温总理：清醒就是要认识到我们已经取得的成绩，只是在现代化的进程迈出了第一步，今后的路还更长，更艰苦。形势稍好，尤需兢慎。思所以危则安，思所以乱则治，思所以亡则存。,左传,云：“居安思危，思则有备，有备无患，敢以此规。”安全风险评估同样蕴涵了这一思想。,曾有一个关于名医扁鹊的传说。扁鹊有兄弟三人，有一次齐国国君问他：“其孰最善为医？”扁鹊答：两个哥哥都在自己之上。齐王不解。扁鹊说：两个哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全显露，才能加以诊治。,扁鹊的话告诉我们一个简单的道理：事后控制

12、不如事中控制，事中控制不如事前控制。健康安全是这样，网络信息安全亦然。,25,.,风险评估的理念,安全需要风险管理，信息安全更需要风险管理,风险评估是当前解决信息安全问题的重要手段,26,.,风险评估是一种方法和依据,信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的

13、影响，即信息安全的风险。,信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。,27,.,信息安全风险评估的概念,风险评估是对系统进行信息安全风险管理的基础，也是系统的使用单位或组织判定在系统的整个生命周期中，有关风险级别的过程。其结果是残留风险是否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以进一步降低风险的结论。,信息安全风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。,为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。,影响则是按照系统在单位任务实施中的重要程度来确定的。,28

14、,.,对风险评估总体要求的理解,风险评估工作总体要求是：,充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。,评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。,通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制,。,29,.,风险管理贯穿于信息系统生命周期的整个过程,风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系

15、的一个过程。,这个过程并不是,IT,行业所独有的，实际上它遍及我们日常生活中需要做出决定的任何事情。,进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息安全风险管理的根本原因。,所有与安全性相关的活动都是信息安全风险管理的组成部分。可以说，信息安全风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发,/,获取阶段、实施阶段、运行,/,维护阶段。,30,.,美国,NIST,提出的信息系统安全框架,31,.,风险评估的过程,32,.,安全措施,抵御,业务战略,脆弱性,安全需求,威胁,风险,残余风险,安全事件,依赖,具有,被满足,利用,暴露,降低

16、,增加,加,依赖,增加,导出,演变,未被满足,未控制,可能诱发,残留,成本,资产,资产价值,风险要素关系示意图,33,.,信息系统安全评估体系的构成,34,.,风险分析的基本要素,风险分析中要涉及资产、威胁、脆弱性等基本要素。,每个要素有各自的属性,资产的属性是资产价值；,威胁的属性是威胁出现的频率；,脆弱性的属性是资产弱点的严重程度。,35,.,资产识别,资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量

17、，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。,36,.,资产识别,资产定义,资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。,通常信息资产的机密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。,资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根

18、据时间变化的频度制定资产相关的评估和安全策略的频度。,资产分类,在一般的评估体中，资产大多属于不同的信息系统，如,OA,系统，网管系统，业务生产系统等。这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。,资产赋值,资产赋值是对资产安全价值的估价,37,.,资产分类,风险评估中，资产大多属于不同的信息系统，如,OA,系统、网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求

19、，由评估者来灵活把握。,根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。,38,.,威胁识别,威胁定义,安全威胁是对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。,威胁分类,威胁赋值：,评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者应根据经验和（或）有关的统计数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受下列因素影响：,1,、资产的吸引力；,2,、资产转化成报酬的容易程度；,3,、威胁的技术力量；,4,、脆弱性被利用的难易程度。,39,.,脆弱性识别,脆弱性

20、定义,脆弱性评估也称为弱点评估，是风险评估中重要的内容。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。,脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，为其赋相对等级值。脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。,脆弱性分类,脆弱性主要从技术和管理两个方面进行评估，其中在技术方面主要是通过远程和本地两种方式进行系统扫描；管理脆弱性评估方面可以按照,BS 7799,等标准的安全管理要求对现

21、有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足。,脆弱性赋值,40,.,风险识别,风险计算,风险计算原理形式化描述为：,R=f(A,V,T)=f(Ia,L(Va,T),注：,R,表示风险；,A,表示资产；,V,表示脆弱性；,T,表示威胁；,Ia,表示资产发生安全事件后对机构业务的影响,(,也称为资产的重要程度,),；,Va,表示某一资产本身的脆弱性，,L,表示威胁利用资产的脆弱性造成安全事件发生的可能性。,41,.,不打无准备之仗,做好准备,风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前，应：,确定风险评估的目标；,确定风险评估的范围；,组建适当的评估管理与实施

22、团队；,选择与组织相适应的具体的风险判断方法；,获得最高管理者对风险评估工作的支持。,42,.,风险评估的准备,风险评估的准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。,确定风险评估的目标,确定风险评估的范围,建立适当的组织结构,建立系统性的风险评估方法,获得最高管理者对风险评估策划的批准,43,.,风险评估依据,1,、政策法规：中办发,2003,27,号文件和国信办文件,2,、国际标准：如,BS7799-1,信息安全管理实施细则,、,BS7799-2 ,信息安全管理体系规范,等,3,、国家标准或正在审批的讨论稿，如,GB 17859-1999,计算机信息系统安全保护等级划

23、分准则,和,信息安全风险评估指南,等,4,、行业通用标准等其它标准,44,.,风险评估原则,1,、可控性原则,（,1,）人员可控性,（,2,）工具可控性,（,3,）项目过程可控性,2,、完整性原则,严格按照委托单位的评估要求和指定的范围进行全面的评估服务。,3,、最小影响原则,从项目管理层面和工具技术层面，力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。,4,、保密原则,45,.,Recommendations,评估,现状,确定,范围,Org Charts,Polices,ITSM Overview,报告,评审,Structured interviews,Process defin

24、itions,Interview schedule,Process records,评估报告,改进,项目,SIP,Customer survey,评估流程,2.5 Internal Integration,着重流程内部的集成性,2 Process Capability,重视流程执行,Other Process,Management,1.5 Mgnt intent,制定管理规范,3.5 Quality Control,流程质量监控,4 Mgnt information,提供充分的管理信息,Customer,1 Prerequisites/,基本条件,4.5 External Integratio

25、n,与其它流程的紧密集成,5 Customer,Interface,流程优化和服务客户,3 Products,流程的可交付物,46,.,风险计算模型,风险计算模型包含信息资产、弱点,/,脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。,风险计算的过程是：,对信息资产进行识别，并对资产赋值；,对威胁进行分析，并对威胁发生的可能性赋值；,识别信息资产的脆弱性，并对弱点的严重程度赋值；,根据威胁和脆弱性计算安全事件发生的可能性；,结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资

26、产的风险值。,47,.,风险结果的判定,风险等级的划分,确定风险数值的大小不是机构风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对关系，即要确定不同风险的优先次序或等级，对于其中风险级别高的资产应被优先分配资源进行保护。,风险等级建议从,1,到,5,划分为五级。等级越大，风险越高。风险的等级应得到机构管理层的评审并批准。,控制措施的选择,残余风险的评价,对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据机构风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能

27、性的降低。,48,.,风险评估结果纪录,根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。,评估报告是风险评估结果的记录文件，是实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料，必须做到有据可查,报告主要包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议、风险控制措施建议、残余风险描述等。,风险评估过程应形成下列文件：,风险评估过程计划、风险评估程序、信息资产识别清单、重要信息资产清单、威胁参考列表、脆弱性参考列表、风险评估记录、风险处理计划：,风险评估报告：对整个风险评估过程进行总结，说明机构的风险状况及残

28、余风险状况，通过管理层的评审，确定评估后的风险状况满足机构业务发展及其他相关方的要求。,49,.,信息安全风险评估基本方法,手动评估：在风险评估工具出现前，安全评估工作都只能手工进行。其劳动量巨大，容易出现疏漏，而且由于依据各自经验，有较大的局限性。,工具辅助评估,工具的出现在一定程度上解决了手动评估的局限性。,1985,年，英国,CCTA,开发了,CRAMM,风险评估工具。遵循,BS 7799,规范。,1991,年，,C&A System Security,公司推出了,COBRA,工具，用来进行信息安全风险评估。它可以看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对

29、重要性，并且给出合适的建议和解决方案，对每个风险类别提供风险分析报告和风险值。,技术评估和整体评估,50,.,技术评估和整体评估,技术评估是指对机构的技术基础结构和程序进行系统的、及时的检查，包括对机构内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。,（,1,）评估整个计算基础结构。（,2,）使用软件工具分析基础结构及其全部组件。（,3,）提供详细的分析报告，,整体风险评估扩展了上述技术评估的范围，着眼于分析机构内部与安全相关的风险，包括内部和外部的风险源、技术基础和机构结构以及基于电子的和基于人的风险。,关注的焦点主要集中在以下,4,个方面：,（,1,）检查与安全相关的实践，标识当前安

30、全实践的优点和弱点。,（,2,）包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查。,（,3,）检查,IT,的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。,（,4,）帮助决策制订者综合平衡风险以选择成本效益对策,51,.,定性评估和定量评估,定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失（,Loss,），而忽略事件发生的概率（,Probability,）。,多数定性风险分析方法依据机构面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指

31、定期望值，如设定每种风险的影响值和概率值为,“,高,”,、,“,中,”,、,“,低,”,。,有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设,“,高,”,的值为,3,，,“,中,”,的值为,2,，,“,低,”,的值为,1,。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。,定量分析方法利用两个基本的元素：,威胁事件发生的概率和可能造成的损失。,把这两个元素简单相乘的结果称为,ALE,（,Annual Loss Expectancy,）或,EAC,（,Estimated Annual Cost,）。理论上可以依据,ALE,计算风险

32、等级，并且做出相应的决策。,52,.,一种定量风险评估方法,首先评估特定资产的价值,V,然后根据客观数据计算威胁的频率,P,；,最后计算威胁影响系数,，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害。,根据上述三个参数，计算,ALE,：,ALE,V P,定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种方法存在一个问题，就是数据的不可靠和不精确。,53,.,基于知识的评估和基于模型的评估,基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措

33、施、结构框架和实施计划。,基于“良好实践”的知识评估方法提出重用具有相似性机构（主要从机构的大小、范围以及市场来判断机构是否相似）的“良好实践”。,基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照机构的相似性程度进行快速的安全实施和包装，以减少机构的安全风险。然而，机构相似性的判定、被评估机构的安全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。,基于模型的评估可以分析系统自身内部机制中存在的危险，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统弱点和安全威胁的定性分析

34、。,54,.,系统安全风险动态分析与评估方法,信息安全管理是指导和控制机构的关于信息安全风险的相互协调的活动，关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程，管理的基础是风险的识别和评估。,信息安全管理中认为风险的分析与评估是个动态的过程，所以相应得分析与评估方法、评估工具都要体现动态性。,PDCA,（,Plan Do Check Action,）是当前代表性的动态风险管理过程，,计划（,Plan,）：定义信息安全管理体系得范围，鉴别和评估业务风险。,实施（,Do,）：实施同意的风险治理活动以及适

35、当的控制。,检查（,Check,）：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计。,改进（,Action,）：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。,55,.,典型的风险评估方法,1,FTA,故障树最初是,20,世纪,60,年代为便于,Minuteman,火箭系统的分析而提出的，后来这种方法在航天工业、电子设备、化学工业、机械制造、核工业及一般电站的可靠性分析中得到了广泛应用，并且取得了不少成果。目前它主要用于分析大型复杂系统的可靠性及安全性，被公认为是对复杂系统可靠性、安全性进行分析的一种有效的方法。,故障树分析是一种,top

36、-down,方法，通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析，画出故障原因的各种可能组合方式和,/,或其发生概率，由总体至部分，按树状结构，逐层细化的一种分析方法。故障树分析采用树形图的形式，把系统的故障与组成系统的部件的故障有机地联系在一起。,56,.,典型的风险评估方法（,2,）,2,FMECA,FMECA,（故障模式影响及危害性分析）由两部分工作构成，即故障模式影响分析（,Failure Mode and Effects AnalysisFMEA,）和危害性分析（,Criticality Analysis,CA,）。,FMECA,（,Failure Mode Effect

37、s and Criticality Analysis,）是一种可靠性、安全性、维修性、保障性分析与设计技术，用来分析、审查系统及其设备的潜在故障模式，确定其对系统和设备工作能力的影响，从而发现设计中潜在的薄弱环节，提出可能采取的预防改进措施，以消除或减少故障发生的可能性，提高系统和设备的可靠性、安全性、维修性、保障性水平。,FMECA,是一种,bottom-up,分析方法，按规定的规则记录产品设计中所有可能的故障模式，分析每种故障模式对系统的工作及状态（包括整体完好、任务成功、维修保障、系统安全等）的影响并确定单点故障，将每种故障模式按其影响的严重度及发生概率排序，从而发现设计中潜在的薄弱环节

38、，提出可能采取的预防改进措施（包括设计、工艺或管理），以消除或减少故障发生的可能性，保证系统的可靠性。,57,.,典型的风险评估方法（,3,）,HazOp,HazOp,是,Hazard and operability study,的简称，即危害及可操作性研究。,HazOp,分析是由专家组来进行的，它是一种系统潜在危害的结构化检查方法。专家们通过脑风暴会议方式，确定系统所有可能偏离正常设计的异常运行问题，并分析这种偏离正常运行的原因、可能性和可能造成的后果及后果的严重性等。,HazOp,是一个定性的标准危害分析技术，可用于一个新的系统或已有系统在更改后的初步安全风险评估。,HazOp,分析方法的

39、主要目标是识别出存在的问题，而不是解决问题。其生成结果是一个可能危害的列表。对每个危害，需要对可能的原因及后果进行进一步地评估。,58,.,典型的风险评估方法（,4,）,4 Markov,方法,有两个基本的,Markov,分析方法：,Markov,链和,Markov,过程。,Markov,链是一个随机变量的序列，将来的随机变量只决定于当前的随机变量，但与当前随机变量之前的随机变量无关。这与其他随机事件是不相同的，因为很多随机事件将来的事件发生是要受到以前发生事件的影响的，它们前后存在着较大的相关性，不是相互独立的。,Markov,链可以是齐次的，也可以是非齐次的。齐次的,Markov,链的特征

40、是状态间的转移率是常量，而非齐次,Markov,链的特征则相反，状态间的转移率是变量，是时间的函数。,Markov,模型根据系统的初始配置状态，估计从一个已知状态转移到下一逻辑状态的概率，直到系统到达一个最终或完全失效的状态。,Markov,过程的一个基本假设是在每个状态，系统的行为是不会被记忆的。,Markov,过程完全由其转移概率矩阵所确定。一个无记忆系统的特征就是系统的将来状态只取决于其当前状态，而与过去无关,。,59,.,信息安全风险评估基础环境的准备,工具,风险评估工具,风险计算工具,风险评估数据收集工具,模拟环境,测试平台,60,.,一、信息安全形势需要评估,二、信息化风险及风险管

41、理研究,三、信息安全风险评估技术导引,四、信息安全风险评估试点经验宝贵,61,.,风险评估尚需探索、贵在实践,去年以来我有幸参加了国信办组织的一些试点工作,看到了试点单位的成绩和取得的经验，获益良多,也发现了还有不少问题急需探索和研究,62,.,典型方法之一：计算系统综合风险,规范的评估过程,摸清家底：划分资产类型，建立重要资产清单，识别资产重要性,分析威胁和分析脆弱性两种途径,按层次分析脆弱性,判定安全时间及其影响,计算威胁风险值,制定风险控制措施,63,.,典型方法之一：计算系统综合风险（续）,资产综合风险计算三种做法,选择该资产中分析风险最高的作为风险，乘以资产值，作为该资产风险,将资产

42、中每一威胁的风险之于资产值相乘，得到多个资产的风险值,构建模型，进行综合计算,综合风险：,R=V*,c,R,ti,*Q,c,+,A,R,ti,*Q,A,+,I,R,ti,*Q,i,其中,R:,总风险，,V:,该资产得分，为威胁累计,C:,机密性，,I:,完整性，,A:,可用性,64,.,典型方法之二：差距分析,风险评估方法,-,差距分析法,建立分析模型,在风险评估中通过识别、判断和分析目标系统的安全现状与安全要求之间的差距确定系统风险的分析方法。也就是说，目标系统的可接受风险和系统残余风险间的差距就是系统存在的风险。,65,.,构建差距分析法模型,风险分析模型,66,.,差距分析法的实施路径,

43、步骤一,:,调研目标系统状况,步骤二：确定信息系统安全要求,任务,1,：确定信息系统安全等级,任务,2,：确定和规范化描述信息系统的安全要求,步骤三：评估信息系统安全现状,任务,1,：信息系统安全现状评估报告,步骤四：对信息安全风险进行差距分析和风险计算,任务,1,：评估信息系统安全现状对信息系统安全要求的符合程度，即信息系统现有安全措施在当前系统运行环境下是否满足其安全要求,任务,2,：对信息系统安全执行能力进行评估，评估信息系统安全级（包括技术架构能力级、工程能力级和管理能力级的评定）,与要达到目标的安全等级,步骤五：用户根据安全风险评估的结果进行风险控制，形成满足其信息系统安全要求的信息

44、系统安全保障能力。,67,.,典型方法之三：量化风险,对风险量化计算方法进行扩展,风险的计算方法目前还没有明细的技术标准，通常效果比较好的计算方式为：,R,A,T,V=E*D,；,T=Ts*Tf,，,E,A,Ts,，,D=Tf*V,其中,R,为风险值，,A,为资产价值，,T,为威胁值，,V,为脆弱性值，,E,为资产损失产生的影响，,D,为资产暴露程度，,Ts,为威胁的严重程度，,Tf,为威胁发生的可能性。,68,.,典型方法之三：量化风险（续）,在本次试点中，结合试点单位评估实践经验、以及行业管理特性，有的试点单位对风险计算方法进行了如下的扩展：,其中：,c,代表,“,机密性方面的,”,、,i

45、,代表,“,完整性方面的,”,、,a,代表,“,可用性方面的,”,，,t,代表,“,技术方面的,”,、,m,代表,“,管理方面的,”,、,o,代表,“,运维方面的,”,、,W,为技术、运维和管理脆弱性之间的相关性，,Wt,、,Wm,、,Wo,之和等于,1,。,69,.,典型方法之四：面向关键信息资产的评估方法（续）,威胁路径分析法,面向关键信息资产的层次分析法,利用等级保护支撑平台的评估方法,70,.,多级安全服务势在必行,依据需求开展多层次的安全服务,评估,设计,实施,维护,71,.,安全测试评估工具、平台与环境,促进建立国家信息安全测试评估体系,形成示范应用,产品和系统,测试评估工具,产品和系统,测试评估支撑环境,建立先进的测试评估标准体系和开发环境,系统等级保护测试评估平台,安全测试评估技术与系统,72,.,谢谢观看！,