1、信息安全讲座,安全评估与安全管理,安全评估与安全管理,安全风险分析安全风险评估方法和实例安全风险控制整体安全策略的设计和部署应急响应处理,一、安全风险分析,风险分析概述风险分析的目的和意义风险分析的原则和标准风险分析方法风险分析要素风险识别,一、风险分析概述,安全以风险形式存在，没有绝对的安全,一、风险分析概述,1.1 信息安全风险安全风险是信息安全问题的表现形式，即由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。,一、风险分析概述,1.2 2、对风险分析的认识 从微观上讲，风险评估是“一种度量信息安状况的方法和工具”，风险评估通过对网络和信息系统潜在风险的识别、分析、评价以及控制和缓解措施等要素，度量网络和信息系统的安全状况。风险评估是风险管理的基础。,一、风险分析概述,1.3 信息安全风险相关要素的关系,二、风险分析的目的和意义,风险评估是解决“最基本安全问题”的基础,信息系统的安全状况到底如何？用风险评估结果描述系统安全状况。是否有统一的建设规范，统一的安全要求？风险评估是制定统一规范，统一要求的基础。什么样的信息安全方案合理，建设到什么程度合适？风险评估是制定方案的重要依据。现有的安全体系能否保证系统的安全？通过风险评估来检验3、安全体系。,二、风险分析的目的和意义,2.1 风险分析的目的,安全建设必需先“正确认识安全问题；准确了解安全状态”，信息系统安全测评就是对信息系统安全的“度量”，是做好信息安全保障的重要基础。,二、风险分析的目的和意义,2.1 风险分析的目的 风险分析是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。评价是否实施和维护了适当的安全措施，鉴别存在的风险以及风险发生的可能性和影响，从而选择可将风险降低到组织可接受级别的安全措施。,二4、风险分析的目的和意义,安全评估的目的了解系统,掌握资产,系统业务功能、数据和流程描述用户情况系统结构和配置边界的完整性,二、风险分析的目的和意义,风险评估的目的了解系统安全状况,系统的重要性面临的威胁技术脆弱性和技术措施运行和管理问题风险状况,二、风险分析的目的和意义,风险评估的目的规划域结构，界定边界和责任,二、风险分析的目的和意义,二、风险分析的目的和意义,风险评估的目的建设风险管理体系,二、风险分析的目的和意义,风险管理是指通过风险评估标识系统中的风险、解释风险并实施计划以降低风险至可接受程度的一个持续过程。风险评估是风险管理的一个重要环节，是分析评价信息系统安全状态的重要方法和工具。5、,二、风险分析的目的和意义,风险评估对信息系统生命周期的支持,支持安全需求分析，安全保护等级确定,项目规划,工程实施,工程验收,分析设计,支持系统架构的安全性分析,评估对安全需求的实现,周期性地确定系统的安全状态,系统报废,运行维护,硬件、软件、数据的处置,三、风险评估原则和标准,保密原则 标准性原则 规范性原则 可控性原则 整体性原则 最小影响原则,三、风险评估原则和标准,中华人民共和国保守国家秘密法(1988年9月5日中华人民共和国主席令第6号公布)中华人民共和国保守国家秘密法实施办法（国家保密局文件 国保发 1990 1 号）计算机信息系统保密管理暂行规定（国家保密局文件 国保发19986、 1 号）计算机信息系统安全保护等级划分准则（1999年9月国家技术监督局发布）信息安全风险评估指南国家标准报批稿,四、风险评估过程和方法,风险评估过程(1),硬件软件接口数据和信人员业务功能,（1）系统分析和资产识别,输入,输出,风险评估活动,系统边界系统功能系统和数据 的危险程度系统和数据的敏感程度识别关键资产,系统受攻击的历史信息专业机构和媒体的数据,（2）威胁分析识别,威胁描述,四、风险评估过程和方法,风险评估过程(2),前期风险评估报告系统审计信息系统特性安全需求安全测试结果,（3）脆弱性分析识别,输入,输出,风险评估活动,潜在的脆弱性列表,当前的安全措施计划的安全措施,（4）安全措7、施分析,当前和计划的安全措施列表,四、风险评估过程和方法,风险评估过程(3),威胁动机威胁能力脆弱性本质当前安全措施,（5）可能性分析,输入,输出,风险评估活动,可能性级别,四、风险评估过程和方法,风险评估过程(4),业务影响分析资产危险性分析数据危险性数据敏感性,（6）影响分析,输入,输出,风险评估活动,影响级别,威胁发生的可能性影响的量级当前和计划的安全措施,（7）风险判定（综合分析）,风险和相应的风险等级,四、风险评估过程和方法,风险评估过程(5),（8）安全措施建议,输入,输出,风险评估活动,建议的安全措施,（9）结果报告,风险评估报告,四、风险评估过程和方法,风险评估的基本方法,初级8、风险分析（Preliminary Risk Analysis）风险评价指数（Risk Assessment Codes）失效模式及影响分析（Failure Mode and Effects Analysis(FMEA/FMECA)）基于树的技术（Tree Based Techniques）动态系统技术（Techniques for Dynamic system）,四、风险评估过程和方法,风险计算矩阵法矩阵法原理计算示例风险计算相乘法相乘法原理计算实例动态树,四、风险评估过程和方法,矩阵法概念矩阵法适用范围矩阵法构造方式矩阵法特点,四、风险评估过程和方法,Z=f(x,y)。函数f采用矩阵形式表示9、。以要素x和要素y的取值构建一个二维矩阵，矩阵内m*n个值即为要素Z的取值,四、风险评估过程和方法,矩阵法主要适用于由两个要素值确定一个要素值的情形。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等，同时需要整体掌握风险值的确定，因此矩阵法在风险分析中得到广泛采用。,四、风险评估过程和方法,首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果。矩阵的计算需要根据实际情况确定，矩阵内值的计算不一定遵循统10、一的计算公式，但必须具有统一的增减趋势，即如果是递增函数，Z值应随着x与y的值递增，反之亦然。,四、风险评估过程和方法,矩阵法特点,矩阵法的特点在于通过构造两两要素计算矩阵，可以清晰罗列要素的变化趋势，具备良好灵活性。,四、风险评估过程和方法,矩阵法计算示例(1),资产：共有三个重要资产，资产A1、资产A2和资产A3；资产价值分别是：资产A1=2，资产A2=3，资产A3=5；威胁：资产A1面临两个主要威胁，威胁T1和威胁T2；资产A2面临一个主要威胁，威胁T3；资产A3面临两个主要威胁，威胁T4和T5；威胁发生频率分别是：威胁T1=2，威胁T2=1，威胁T3=2，威胁T4=5，威胁T5=4；,11、四、风险评估过程和方法,矩阵法计算示例(2),脆弱性：威胁T1可以利用的资产A1存在的两个脆弱性，脆弱性V1和脆弱性V2；威胁T2可以利用的资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7；威胁T4可以利用的资产A3存在的一个脆弱性，脆弱性V8；威胁T5可以利用的资产A3存在的一个脆弱性，脆弱性V9。脆弱性严重程度分别是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。,四、风险评估过程和方法,示例计算过程,风险计算过程12、（1）计算安全事件发生可能性（2）计算安全事件造成的损失（3）计算风险值（4）结果判定 以下以资产A1面临的威胁T1可以利用的脆弱性V1为例，计算安全风险值。,四、风险评估过程和方法,计算安全事件发生的可能性,（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）对计算得到的安全风险事件发生可能性进行等级划分。,四、风险评估过程和方法,计算安全事件发生的可能性,四、风险评估过程和方法,计算安全事件的损失,（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的13、安全事件损失进行等级划分。,四、风险评估过程和方法,计算安全事件的损失,四、风险评估过程和方法,四、风险评估过程和方法,（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；,四、风险评估过程和方法,计算风险值,四、风险评估过程和方法,风险结果判定,根据预设的等级划分规则判定风险结果。依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。,四、风险评估过程和方法,矩阵法风险计算过程小结,计算安全事件发生可能性（1）构建安全事件发生可能性矩阵；（2）根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值；（3）14、对计算得到的安全风险事件发生可能性进行等级划分。计算安全事件的损失（1）构建安全事件损失矩阵；（2）根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值；（3）对计算得到的安全事件损失进行等级划分。计算风险值（1）构建风险矩阵；（2）根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险；风险结果判定,四、风险评估过程和方法,风险计算相乘法基本原理,相乘法原理：，当f为增量函数时，可以为直接相乘，也可以为相乘后取模等。相乘法的特点：简单明确，直接按照统一公式计算，即可得到所需结果。相乘法适用范围：在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，因此相15、乘法在风险分析中得到广泛采用。,四、风险评估过程和方法,面向关键资产的风险分析,系统调查,系统业务模型网络和系统环境（用户、结构和边界等）安全体系结构设计与实现文档,四、风险评估过程和方法,面向关键资产的风险分析,四、风险评估过程和方法,面向关键资产的风险分析(系统平台分析),网络通信服务,机构,机构,专用网络,支持性基础设施:安全管理、密码管理等,应用系统,边界,应用区域,图例:,四、风险评估过程和方法,面向关键资产的风险分析评估(网络平台分析),四、风险评估过程和方法,面向关键资产的风险分析(威胁分析),攻击主体,攻击类型、方式与途径,资产,危胁本质,破坏,内部人员,外部人员,恶意代码,故16、障,灾难,侦听与破译,攻击与破坏,利用与欺诈,物理破坏,数据库,操作系统,网络,物理设备,应用系统,未授权访问,假冒,拒绝服务,机密性,完整性,可用性,可控性,真实性,数据,业务,四、风险评估过程和方法,面向关键资产的风险分析(安全功能测试),标识鉴别 审计 通信 密码支持 用户数据保护 安全管理 安全功能保护 资源利用 评估对象访问 可信路径/信道,四、风险评估过程和方法,面向关键资产的风险分析(脆弱性检测),网络扫描 端口扫描 操作系统栈指纹扫描 漏洞扫描主机扫描 基于主机上的Agent精确发现漏洞应用扫描 远程分析Web系统结构，可以对各种应用程序特有及普遍存在的漏洞进行评估。配置核查 17、核查列表,四、风险评估过程和方法,面向关键资产的风险分析(系统体系结构分析),信息安全相关法律、法规、政策、标准和规范的符合性 安全体系结构的合理性和对需求的符合性 设计与实现的一致性 相关文档资料的齐备性,四、风险评估过程和方法,面向关键资产的风险分析(脆弱性分析),四、风险评估过程和方法,面向关键资产的风险评价,关键资产,系统单元,相关脆弱性,相关措施,个人所得税业务和数据,数据库服务器,应用服务器,防火墙,OS脆弱性,数据库脆弱性,应用脆弱性,防病毒,权限管理,补丁管理,审计策略,备份策略,报警响应,安全风险,数据泄露,非授权访问,数据篡改破坏,服务假冒,拒绝服务,多余开放端口,默认打开18、服务,更新不及时,四、风险评估要素,资产识别威胁识别脆弱性识别,四、风险评估要素识别,相互联系,四、风险评估要素识别,相互联系,（1）业务战略依赖资产去实现；（2）资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；（3）资产价值越大则其面临的风险越大；（4）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（5）弱点越多，威胁利用脆弱性导致安全事件的可能性越大；（6）脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；,四、风险评估要素识别,相互联系,（7）风险的存在及对风险的认识导出安全需求；（8）安全需求可通过安全措施得以满足，需19、要结合资产价值考虑实施成本；（9）安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；（10）风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；（11）残余风险应受到密切监视，它可能会在将来诱发新的安全事件,四、风险评估要素,资产资产是具有价值的信息或资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。,四、风险评估要素,资20、产分类数据软件硬件服务文档人员,四、风险评估要素,资产赋值方法,对资产的赋值不仅要考虑资产本身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一个综合结果的过程。,四、风险评估要素,资产赋值机密性赋值,四、风险评估要素,资产赋值完整性赋值,五、信息安全管理体系,定义安全管理原则制定安全保护机制制定信息安全策略确定审查角色和责任？往复推进,不断提升？,五、信息安全管理体系,安全管21、理策略组成身份完整性机密性可用性审计,五、信息安全管理体系,信息安全管理国际标准ISO 17799ISO 27001:2005为建立,实施,运作,监视,评审,保持,和改进信息安全管理体系(ISMS)提供了模型。采用PDCA“规划执行控制改进“过程模式。,五、信息安全管理体系,安全保护机制安全保障体系结构图,五、信息安全管理体系,安全保护机制,通过人、管理和技术手段三大要素，构成动态的信息与网络安全保障体系框架PDR模型，实现网络和应用安全保障。PDR模型三个概念框之间存在着一定的因果和依存关系，在网络安全防护上实现了多层安全防护，形成一个整体。,五、信息安全管理体系,安全策略物理安全策略边界控22、制策略信息加密策略数据备份策略数据恢复策略安全管理策略,五、信息安全管理体系,物理安全策略,物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。,五、信息安全管理体系,边界控制策略,边界访问控制是网络与应用安全防范和保护的主要策略，它的主要任务是保证网络与应用资源不被非法使用和非常访问。它也是维护网络与应用系统安全、保护网络与应用资源的重要手段。各种安全策略必须相互配合才能真正23、起到保护作用，但访问控制可以说是保证网络与应用安全最重要的核心策略之一。,五、信息安全管理体系,信息加密策略,信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。,五、信息安全管理体系,数据备份策略,数据备份主要实现系统的各种数据库、重要文件、CA密钥和证书、数据链路与网络设备的配置信息、网络安全设备安全配置、应用系统自身配置文件和应用服务器数据的多重备份。主24、干级备份 部门级备份全备份 增量备份,五、信息安全管理体系,数据恢复策略将繁琐的恢复过程必须集中到一点进行管理。（可见业务连续性计划）全恢复；局部恢复；定向恢复；,五、信息安全管理体系,安全管理策略根据信息系统安全需求对于各类角色制定全面的安全管理制度，并定义相应的安全审核制度。？,五、信息安全管理体系,对于安全策略的验证与监控系统脆弱性分析（SCANNER)帐户权限管理建立整体安全管理平台渗透性测试（入侵检测）定期对所有日志和审计信息进行审核,五、信息安全管理体系,小结：安全管理目标定义物理安全控制定义逻辑安全控制取保系统和数据的完整性确保数据的机密性定义验证和监控安全状态的机制为系统内部人员制定安全政策和规程对全员进行必要的安全意识培训,