《信息安全风险培训讲学.ppt》由会员分享,可在线阅读,更多相关《信息安全风险培训讲学.ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第三章第三章 信息安全风险管理信息安全风险管理主讲(zhjing):焦杨第一页,共33页。学习学习(xux)目标:目标:定义风险管理、风险识别、风险控制;定义风险管理、风险识别、风险控制;理解如何识别和评估风险;理解如何识别和评估风险;评估风险发生的可能性及其对机构的影响;评估风险发生的可能性及其对机构的影响;通过创建风险评估机制,掌握描述风险的基本方法;通过创建风险评估机制,掌握描述风险的基本方法;描述控制风险的风险减轻策略;描述控制风险的风险减轻策略;识别控制的类别;识别控制的类别;承认评估风险控制存在的概念框架,并能清楚地阐承认评估风险控制存在的概念框架,并能清楚地阐述成本收益述成本收益
2、(shuy)分析;分析;理解如何维护风险控制理解如何维护风险控制第二页,共33页。3.1 引言引言(ynyn)风险风险(fngxin)管理:识别和控制机构面临风管理:识别和控制机构面临风险险(fngxin)的过程。的过程。第三页,共33页。1.风险识别:检查和说明机构信息技术的风险识别:检查和说明机构信息技术的安全态势和机构面临的风险。安全态势和机构面临的风险。(风险评估就是说明风险识别的结果)(风险评估就是说明风险识别的结果)2.风险控制:采取控制手段,减少机构数风险控制:采取控制手段,减少机构数据和信息系统的风险。据和信息系统的风险。风险管理整个过程:找出机构信息系统风险管理整个过程:找出
3、机构信息系统中的漏洞,采取适当的步骤,确保中的漏洞,采取适当的步骤,确保(qubo)机构信息系统中所有组成部分机构信息系统中所有组成部分的机密性、完整性和有效性。的机密性、完整性和有效性。第四页,共33页。3.2风险管理概述风险管理概述(i sh)3.2.1 知己知己识别、检查和熟悉识别、检查和熟悉(shx)机构中当前的机构中当前的信息及系统。信息及系统。3.2.2 知彼知彼识别、检查和熟悉识别、检查和熟悉(shx)机构面临的威机构面临的威胁。胁。第五页,共33页。3.2.3 利益团体的作用利益团体的作用 1.信息安全信息安全 信息安全团队组成:最了解把风险信息安全团队组成:最了解把风险(fn
4、gxin)带入机构的威胁和攻击的成员带入机构的威胁和攻击的成员 2.管理人员管理人员 确保给信息安全和信息技术团体分配充足确保给信息安全和信息技术团体分配充足资源(经费和人员),以满足机构的安全需资源(经费和人员),以满足机构的安全需要。要。3.信息技术信息技术 建立安全的系统,并且安全地操作这些系统建立安全的系统,并且安全地操作这些系统第六页,共33页。信息安全保护信息安全保护(boh)的对象是什么?的对象是什么?资产 资产是各种威胁以及威胁代理的目标。风险管理的目标就是(jish)保护资产不受威胁。第七页,共33页。3.3风险风险(fngxin)识别识别风险识别:规划并组织过程、对系统组风
5、险识别:规划并组织过程、对系统组件进行分类、列出资产清单并分类、识件进行分类、列出资产清单并分类、识别出威胁、指出易受攻击的资产。别出威胁、指出易受攻击的资产。风险评估风险评估:为资产受到的攻击赋值、评估为资产受到的攻击赋值、评估漏洞攻击的可能性、计算资产的相对风漏洞攻击的可能性、计算资产的相对风险因素险因素(yn s)、检查可能的控制措施、检查可能的控制措施、记录所发现的事件。记录所发现的事件。第八页,共33页。风风险险识识别别第九页,共33页。风风险险评评估估第十页,共33页。3.3.1 资产识别资产识别(shbi)和评估和评估1.人员、过程及数据资产人员、过程及数据资产(zchn)的识别
6、的识别(1)人员)人员(2)过程)过程(3)数据)数据2.硬件、软件和网络资产硬件、软件和网络资产(zchn)的识别的识别第十一页,共33页。3.3.2 信息资产信息资产(zchn)分类分类传统的系统组成SecSDLC及管理系统的组成人员员工信任的员工其他员工非员工信任机构的人员陌生人过程过程IT及商业标准过程IT及商业敏感过程数据信息传输处理存储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组建因特网或DMZ组件第十二页,共33页。3.3.3 信息资产信息资产(zchn)评估评估 评估资产评估资产(zchn)的价值。的价值。评估价值标准:评估价值标准:1
7、.哪一项信息资产哪一项信息资产(zchn)对于成功是对于成功是最关键的?最关键的?2.那一项信息资产那一项信息资产(zchn)创造的收效创造的收效最多?最多?3.哪一项资产哪一项资产(zchn)的获利最多?的获利最多?4.哪一项信息资产哪一项信息资产(zchn)在替换时最在替换时最昂贵?昂贵?5.哪一项信息资产哪一项信息资产(zchn)的保护费用的保护费用最高?最高?6.哪一项信息资产哪一项信息资产(zchn)是最麻烦的,是最麻烦的,或者泄漏后麻烦最大?或者泄漏后麻烦最大?第十三页,共33页。3.3.4 安全调查安全调查数据分类技术数据分类技术个人个人(grn)安全调查机构安全调查机构 给每一
8、个数据用户分配一个单一的授权等级给每一个数据用户分配一个单一的授权等级3.3.5 分类数据管理分类数据管理 1.数据的存储数据的存储 2.数据的分布移植数据的分布移植 3.数据的销毁数据的销毁清洁桌面政策:要求员工在下半时将所有的清洁桌面政策:要求员工在下半时将所有的信息信息 放到适当的存储器中。放到适当的存储器中。第十四页,共33页。3.3.6 威胁识别威胁识别(shbi)和威胁评估和威胁评估威 胁实 例1.人为过时或失败行为意外事故、员工过失2.侵害知识产权盗版、版权侵害3.间谍或人侵蓄意行为未授权访问和收集数据4.蓄意信息敲诈行为以泄露信息为要挟进行勒索5.蓄意破坏行为破坏系统或信息6.
9、蓄意窃取行为非法使用硬件设备或信息7.蓄意软件攻击病毒、蠕虫、宏、拒绝服务8.自然灾害火灾、水灾、地震、闪电9.服务提供商的服务质量差电源及WAN服务问题10.技术硬件故障或错误设备故障11.技术软件故障或错误漏洞、代码问题、未知问题12.技术淘汰陈旧或过时的技术第十五页,共33页。威胁评估(pn)过程:一、针对每种威胁提出同样问题一、针对每种威胁提出同样问题(wnt):(1)在给定的环境下,哪一种威胁对机构)在给定的环境下,哪一种威胁对机构的资产而言是危险的?的资产而言是危险的?(2)哪一种威胁对机构的信息而言是最危)哪一种威胁对机构的信息而言是最危险的?险的?(3)从成功的攻击中恢复需要多
10、少费用?)从成功的攻击中恢复需要多少费用?(4)防范哪一种威胁的花费最大?)防范哪一种威胁的花费最大?二、通过提问的答案,建立威胁评估构架二、通过提问的答案,建立威胁评估构架第十六页,共33页。3.3.7 漏洞漏洞(ludng)识别识别漏洞:威胁代理能够用来攻击信息资产的特定途径。在按照威胁评估(pn)标准,检查每项威胁,建立漏洞表。第十七页,共33页。3.4 风险风险(fngxin)评估评估3.4.1 风险评估概述风险评估概述风险风险=出现出现(chxin)漏洞的可能性漏洞的可能性信息资信息资产的价值产的价值-当前控制减轻的风险几率当前控制减轻的风险几率+对对漏洞了解的不确定性漏洞了解的不确
11、定性漏洞的可能性是什么?漏洞的可能性是什么?漏洞成功攻击机构内部的概率。(漏洞成功攻击机构内部的概率。(0.11.0)第十八页,共33页。3.4.2 信息安全风险信息安全风险(fngxin)评估原评估原则则1自主 机构内部人员管理的信息安全风险评估2.适应量度 一个灵活的评估过程可以适应不断变化的技术和进展;既不会受限当前威胁源的严格模型,也不会受限于当前公认的“最佳”实践。3.已定义过程 描述了信息安全评估程序依赖于已定义的标准化评估规程的需要。4.连续过程的基础 机构必须(bx)实施基于实践安全策略和计划,以逐渐改进自身的安全状态。第十九页,共33页。3.4.3 风险风险(fngxin)评
12、估的过程评估的过程1.信息资产评估 使用信息资产的识别过程(guchng)中的到的信息,就可以为机构中每项信息资产的价值指定权重分数(1100)。(举例:一些资产会导致整个公司停止运作,说明资产比重较高)2.风险的确定 利用风险公式:第二十页,共33页。3.识别可能的控制(访问控制)访问控制:控制用户进入机构信息区域访问控制方法:强制、非任意、任意。4.记录风险评估的结果 过程:信息资产列表(li bio)(分类)带有漏洞的信息资产列表(li bio)权重标准分析表漏洞风险等级表第二十一页,共33页。成果用途信息资产分类表集合信息资产以及它们对机构的影响或价值权重标准分析表为每项信息资产分配等
13、级值或影响权重漏洞风险等级表为每对无法控制的资产漏洞分配风险等级第二十二页,共33页。3.5风险风险(fngxin)控制策略控制策略 3.5.1 避免避免(试图防止漏洞被利用的风险控制策略(试图防止漏洞被利用的风险控制策略(cl))(1)通过应用策略)通过应用策略(cl)来避免来避免(2)教育培训)教育培训(3)应用技术)应用技术第二十三页,共33页。3.5.2 转移(将风险转移到其他资产、其他过程或其他机构的控制方法(fngf))如何提供服务、修改部署模式、外包给其他机构、购买保险、与提供商签署服务合同。第二十四页,共33页。3.5.3 缓解缓解(试图通过(试图通过(tnggu)规划和预先的
14、准规划和预先的准备工作,减少漏洞造成的影响)备工作,减少漏洞造成的影响)缓解策略(如下表)缓解策略(如下表)第二十五页,共33页。计划描述实例何时使用时间范围事件响应计划(IRP)在事件(攻击)进行过程中机构采取的行动灾难发生期间采取的措施情报收集信息分析当事件或者灾难发生时立即并实时作出响应灾难恢复计划(DRP)发生灾难的恢复准备工作:灾难发生之前及过程中减少损失的策略;逐步恢复常态的具体指导丢失数据的恢复过程丢失服务的重建过程结束过程来保护数据系统和数据在事件刚刚被确定为在难后短期恢复业务持续性计划(BCP)当灾难的等级超出DRP的恢复能力时,确保全部业务继续动作的步骤启动下级数据中心的准
15、备步骤在远程服务位置建立热站点在确定灾难影响了机构的持续运转之后长期恢复第二十六页,共33页。3.5.4 接受接受(选择对漏洞不采取任何保护措施,接受(选择对漏洞不采取任何保护措施,接受漏洞带来的结果)漏洞带来的结果)1.确定了风险确定了风险(fngxin)等级等级2.评估了攻击的可能性评估了攻击的可能性3.估计了供给带来的潜在破坏估计了供给带来的潜在破坏4.进行了全面的成本效益分析进行了全面的成本效益分析5.评估了使用每种控制的可行性评估了使用每种控制的可行性6.认定了某些功能、服务、信息或者资产认定了某些功能、服务、信息或者资产不值得保护不值得保护 结论:保护的资产的成本抵不上安全措施结论
16、:保护的资产的成本抵不上安全措施的开销。的开销。第二十七页,共33页。3.6 选择选择(xunz)风险控制策略风险控制策略面对漏洞,如何去选择面对漏洞,如何去选择(xunz)风险控制策略?风险控制策略?第二十八页,共33页。可能(knng)的威胁按设计实现(shxin)的系统系统(xtng)是否易受攻击系统是否可利用按设计实现的系统存在威胁和漏洞具有风险具有风险存在风险攻击者获取的利益是否大于攻击开销具有风险具有风险预期的损失是否大于机构的可接受的级别无法接受此风险第二十九页,共33页。风险处理决策风险处理决策(juc):存在漏洞:实现安全控制,来减少漏洞被利用的可存在漏洞:实现安全控制,来减
17、少漏洞被利用的可能性能性(1)漏洞可以利用)漏洞可以利用(2)攻击着的开销少于收益)攻击着的开销少于收益(3)可能的损失非常大)可能的损失非常大实现了控制策略,就应对控制效果进行监控和衡量,实现了控制策略,就应对控制效果进行监控和衡量,来确定安全控制的有效性,估计残留风险的准确性。来确定安全控制的有效性,估计残留风险的准确性。连续循环过程确保控制风险连续循环过程确保控制风险第三十页,共33页。标示(bio sh)信息资产准备(zhnbi)分等级的漏洞风险表开发(kif)控制策略和计划标示信息资产标示信息资产准备分等级的漏洞风险表准备分等级的漏洞风险表控制是否得当是否可以接受此风险第三十一页,共33页。3.7风险管理的讨论风险管理的讨论(toln)要点要点 风险可接受程序的定义:当机构评估绝对安全与无限制访问之间的平衡时愿意接受的风险的级别和种类。残留风险:未能完全排除、缓解、规划的一些风险。(1)降低了通过(tnggu)安全措施减少威胁效果的一种威胁(2)降低了通过(tnggu)安全措施减少漏洞效果的一种漏洞(3)降低了通过(tnggu)安全措施保护资产价值的效果的一种资产 第三十二页,共33页。3.8 验证验证(ynzhng)结果结果 提交结果方式:执行(zhxng)控制风险的系统方法、风险评估项目和特定主题的风险评估。第三十三页,共33页。