《风险评估实践研究与探索 [毛剑].pdf》由会员分享,可在线阅读,更多相关《风险评估实践研究与探索 [毛剑].pdf(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Research on Risk Research on Risk Assessment PracticeAssessment Practice风险评估实践研究与探索风险评估实践研究与探索风险评估实践研究与探索风险评估实践研究与探索Jackie Mao PostJackie Mao Post-DoctorDoctor毛剑博士后National Computer Network National Computer Network Intrusion Protection CenterIntrusion Protection Center国家计算机网络入侵防范中心2006-4-52Agenda/议
2、程IT security&Risk Assessment(IT安全与风险评估)(IT安全与风险评估)Risk Assessment Overview(风险评估概述)(风险评估概述)Research on Risk Assessment Practice(风险评估实践研究)(风险评估实践研究)NCNIPCs Work(NCNIPC实务)实务)2006-4-53The Global Threat/全球威胁越来越多的攻击者、越来越强的攻击能力、愈演愈烈的攻击事件不断给企业乃至国家的信息机构带来毁灭性的打击严重的影响着社会经济发展与国家安全的方方面面保障信息系统安全已经刻不容缓2006-4-54E-m
3、ail Virus VirusSpamInternetIllegal ContentVarious Threat/各种威胁?TrojanWormVulnerabilityIntranetHackerInfection and destroyIllegal InformationInformation Leakage Information Leakage Insiders(malicious,negligent)2006-4-552006-4-56The Advantage of the Offense Today/如今的攻击优势混合性攻击工具可由互联网上轻松获取混合性攻击工具可由互联网上轻松
4、获取功能强大的计算平台使得实施大规模混合型的集团攻击异常容易功能强大的计算平台使得实施大规模混合型的集团攻击异常容易发起高危险性攻击所需的技术与综合专业知识越来越少发起高危险性攻击所需的技术与综合专业知识越来越少Problems of IT security Problems of IT security stab us in the face!stab us in the face!2006-4-57Key Security Challenges/关键任务控制方法过程有效性、正确性评估控制方法过程有效性、正确性评估在组织的预算内,给予组织信息系统最恰当合理的保护在组织的预算内,给予组织信息系
5、统最恰当合理的保护安全控制的选择与实施安全控制的选择与实施2006-4-58Risk Analysis helps establish a good security posture/风险评估是安全保障的基础性手段安全措施无法保证安全措施无法保证100的抵御全部威胁的抵御全部威胁风险评估对系统存在的脆弱点、面临的威胁、可能引发的安全事件、带来的影响等问题进行分析风险评估对系统存在的脆弱点、面临的威胁、可能引发的安全事件、带来的影响等问题进行分析风险管理的基础风险管理的基础评估为后续的控制选择与实施提供依据评估为后续的控制选择与实施提供依据风险管理则是在风险评估的基础上,对评估中建议的控制进行效
6、能成本等分析,以确定采取或维持某些控制将组织风险降低到可接受的水平风险管理则是在风险评估的基础上,对评估中建议的控制进行效能成本等分析,以确定采取或维持某些控制将组织风险降低到可接受的水平2006-4-59Agenda/议程IT security&Risk Assessment(IT安全与风险评估)(IT安全与风险评估)Risk Assessment Overview(风险评估概述)(风险评估概述)Research on Risk Assessment Practice(风险评估实践研究)(风险评估实践研究)NCNIPCs Work(NCNIPC实务)实务)2006-4-510Concept/
7、相关概念可用性:数据或资源的特性,被授权实体按要求能访问和使用数据资源完整性:保证信息与信息系统不会被非授权修改或破坏的特性机密性:表示数据所达到的未提供或未泄漏给未授权的个人、过程或其他实体的程度威胁:可能导致对系统或组织危害的不希望事故潜在起因脆弱性:可能被威胁利用的资产或若干资产的弱点控制措施:保护资产、防范威胁、减少脆弱性、降低安全事件影响(探测安全事件、迅速恢复)的安全实践。风险:威胁利用资产或若干资产的脆弱点对组织带来相当影响的可能或趋势2006-4-511Relationship of the risk elements/风险评估要素关系VulnerabilityAssetRis
8、kThreatineffectiveProtect againstUtilizeProbably causeSatisfied withCostIncreaseRudimentalIncreaseUnsatisfiedExposurepossessRely onCauseReduceDeduceValueEventResidual RiskCountermeasureMissionRequirement风险不可能也没有必要降低为0,在实施了安全措施后还可能有残余风险。有些残余风险的原因可能是安全措施不当或无效,需要继续控制;而有些残余风险则是在综合考虑了安全成本与效益后未去控制的风险,是可以接
9、受的2006-4-512Risk Assessment vs.ISMS/风险评估与ISMSDesign ISMSImplement and usethe ISMSMonitoring and review the ISMSImprove and update the ISMSPlanDOCHECKACTDefine ISMS Scope and PolicyDefine ISMS Scope and PolicyImplement Risk AssessmentImplement Risk AssessmentDecide the treatment of risksDecide the tr
10、eatment of risksSelect ControlsSelect ControlsISMSDesign ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMSImplement the specific risk treatment planImplement the specific risk treatment planImplement controlsImplement controlsAwareness&trainingAwareness&training
11、Implement and use the ISMSImplement and use the ISMSPlanDOCHECKACTISMSDesign ISMSImplement and usethe ISMSMonitoring and review the ISMSImprove and update the ISMSImplement the monitor procedureImplement the monitor procedureUndertake regular reviews of the ISMSUndertake regular reviews of the ISMSR
12、eview the level of residual risk and acceptable risk Review the level of residual risk and acceptable risk Internal AuditInternal AuditPlanDOCHECKACTISMSDesign ISMSImplement and usethe ISMSMonitoring and review the ISMSImprove and update the ISMSIdentify improvements in the ISMS and effectively impl
13、ement themIdentify improvements in the ISMS and effectively implement themTake appropriate correc-tive and preventive actionsTake appropriate correc-tive and preventive actionsCommunicate the results and actions and consult with all parties involved Communicate the results and actions and consult wi
14、th all parties involved Ensure that the revisions achieve their intended objectivesEnsure that the revisions achieve their intended objectivesPlanDOCHECKACTISMS2006-4-513Agenda/议程IT security&Risk Assessment(IT安全与风险评估)(IT安全与风险评估)Risk Assessment Overview(风险评估概述)(风险评估概述)Research on Risk Assessment Prac
15、tice(风险评估实践研究)(风险评估实践研究)NCNIPCs Work(NCNIPC实务)实务)2006-4-514Several Questions/贯穿分析的关键问题你在保护什么资产?资产对组织的价值?你试图避免资产出现什么情况?损失或暴露的情况可能如何发生?资产的潜在暴露程度是多少?现在采取了什么安全措施来降低对资产损坏的可能或损害的程度?可在将来降低其可能性的措施有哪些?2006-4-515IT System Risk Model/IT系统风险模型HighHighLowLowHighHighImpact to BusinessImpact to Business(Defined by
16、 Business Owner)(Defined by Business Owner)LowLowAcceptable RiskUnacceptable RiskProbability of ExploitProbability of Exploit(Defined by Corporate Security)(Defined by Corporate Security)Risk assessment drives to acceptable risk2006-4-516Key Risk Assessment Practices/评估实践中的关键Multidisciplinary and Kn
17、owledge-based Approach多方法多知识体系风险的评估和消减,需要广泛的用户参与、需要广泛的专业和商务知识。并非所有用户对于攻击严重性、控制重要性、以及数据、信息系统组件关键性等问题都能达到一致。因此风险评估需要多方法论多知识体系的综合支持。Systematic and Central Control系统化与集中控制有助于确保规范化、一致性以及评估策略和过程的完整性。有效的由风险评估过程中归纳出组织存在风险与安全教训的视图.Integrated Process一体化过程以风险评估是作为安全维护的基础,通过评估指导控制的引入、进行控制时效性以及其他属性的分析测试、通过测试分析继而
18、明确选择和实施的控制是否达到预期目的,同时还可对可接受风险的基线进行确认。Accountable Activities行为责任化CIO、系统管理员、安全管理员的行为和责任明确Documentation过程与结果的文档化可以保证评估的完整性、一致性和可审计性。并可为后续的评估提供有力的支持和分析基线。此外,还可为风险缓解以及安全管理审计提供依据。.Enhanced Knowledge知识提升有效的风险评估也要求对信息处理相关机制管理知识的提升Regular Updates定期更新当信息系统出现新的安全风险时(入,新的威胁、弱点、攻击测试结果,软、硬件配置发生变化),即需进行风险评估的更新。通常周
19、期为13年2006-4-517Challenges Associated With Assessing Information Security Risks/风险评估实践的诸多困扰风险因子的数据化问题如:黑客发动攻击可能性?发送攻击所需花费?造成的损失破坏?一些费用的量化问题如:用户信任度流失、敏感信息暴露也是难以量化的强化控制所需的软硬件费用的精确估计?新控制实施引起的生产力损失的估计?即使我们手里有一些精确的数据描述上面的一些问题,但这些数据随着技术的迅速更新,环境的急速变换,而会很快的失去效用。数据的时效性2006-4-518Problems of Risk Assessment in
20、China/我国风险评估面临的问题research on risk assessmentstandards or disciplines of risk assessmentProfessionals/expert in techniques and management The roles and responsibilities of risk assessmentNew risk imported by risk assessment implementation2006-4-519Agenda/议程IT security&Risk Assessment(IT安全与风险评估)(IT安全与
21、风险评估)Risk Assessment Overview(风险评估概述)(风险评估概述)Research on Risk Assessment Practice(风险评估实践研究)(风险评估实践研究)NCNIPCs Work(NCNIPC实务)实务)2006-4-520NCNIPCS Role in Security Risk Management/NCNIPC风险管理服务使组织处于一个前瞻性的安全态势帮助组织有效转移高等级风险(而非利用大量资源去转移全部风险)通过给出安全项目的价值使得安全性可度量2006-4-521Basic Program/基本过程PlanRisk Identifica
22、tionRisk AnalysisControl RecommendationResidual Risk EvaluateEstablish the teamDevelop the scheme Training of the projectAsset IdentificationTreat IdentificationVulnerability IdentificationControl AnalysisLikelihood DeterminationImpact AnalysisRisk DeterminationControl RecommendationsResidual risk a
23、nalysisAccept it?2006-4-522Information-Gathering Techniques/信息收集方法QuestionnaireOn-site InterviewDocument ReviewSecurity Requirements ChecklistUse of Automated Scanning ToolsSecurity test and evaluationPenetration testing2006-4-523Questionnaire/调查问卷Develop a questionnaire concerning the management an
24、d operational controls planned or used for the IT systems.Reference toNIST SP 800 SeriesISO/IEC 17799ISO/IEC 27001SSE-CMM2006-4-524Automated Vulnerability Scanning Tools/漏洞扫描工具NetReconBindView HarkerShieldISS Internet ScannerNessus SecuritySARASAINTNIPC-Scanner Pro 1.0NIPC-Attacker 1.02006-4-525Risk
25、 Assessment Tools/风险评估工具COBRARACRAMMASSETRISKNIPC-BS7799TOOLS 1.0NIPC-RiskAssessTool 1.02006-4-526Risk Analysis Method/风险分析方法FMECA(Failure Modes,Effects and Criticality AnalysisFMEA(Failure Mode and Effect Analysis)FTA(Fault Tree Analysis)HAZOP(HAzard and Operability Analysis)CCA(Cause Consequence A
26、nalysis)MORT(Management Oversight Risk Tree)Security/Survivability Systems Analysis(S/SSA)Risk Assessment Method based on AHP and Fuzzy Theory2006-4-527Related Standards/相关标准ISO/IEC 27001:2005 Information Security Management-Specification for information security management systems.ISO/IEC 17799:200
27、5 Information Technology-Code of practice for information security management.ISO/IEC TR 13335 Guidelines for the Management of IT Security.GAO/AIMD-99-139:1999 Information Security Risk Assessment Practices of Leading Organizations.ISO/IEC 15408:1999 Information Technology-Security techniques-Evalu
28、ation criteria for IT security.NIST Special Publication 800-30 Rev A.Risk Management Guide for Information Technology Systems,2004.System Security Engineering Capability Maturity Model SSE-CMM Model Description Document Version 3.0 June 15,2003.Christopher J.Alberts,Audrey J.Dorofee,OCTAVESM Method
29、Implementation Guide Version 2.0,June 2001.Christopher J.,Alberts Audrey J.Dorofee,Managing Information Security Risks:The OCTAVESMApproach.信息安全风险评估指南信息安全风险评估指南2006-4-528Practice/评估案例国家某大型企业信息系统风险评估国家某大型企业信息系统风险评估?信息系统概况信息系统概况信息系统概况信息系统概况(System)(System)?资产评估资产评估资产评估资产评估(Asset)(Asset)?威胁评估威胁评估威胁评估威胁
30、评估(Threat)(Threat)?脆弱点评估脆弱点评估脆弱点评估脆弱点评估(Vulnerability)(Vulnerability)?风险分析报表风险分析报表风险分析报表风险分析报表(Analysis)(Analysis)?风险处理建议风险处理建议风险处理建议风险处理建议(Recommendation)(Recommendation)对操作人员工号和密码有保密规定对操作人员工号和密码有保密规定对操作人员工号和密码有保密规定对操作人员工号和密码有保密规定 上岗前进行操作培训,考试合格后才可上岗前进行操作培训,考试合格后才可上岗前进行操作培训,考试合格后才可上岗前进行操作培训,考试合格后才可
31、上岗上岗上岗上岗 系统系统系统系统UPSUPSUPSUPS电源和电池组每半年进行一次电源和电池组每半年进行一次电源和电池组每半年进行一次电源和电池组每半年进行一次深充放电深充放电深充放电深充放电 大型机维护由专门维护小组进行,每小大型机维护由专门维护小组进行,每小大型机维护由专门维护小组进行,每小大型机维护由专门维护小组进行,每小时检查一次设备运行状态时检查一次设备运行状态时检查一次设备运行状态时检查一次设备运行状态 对大型机采取磁带机方式进行数据、系对大型机采取磁带机方式进行数据、系对大型机采取磁带机方式进行数据、系对大型机采取磁带机方式进行数据、系统备份,磁带存放在不同建筑物内统备份,磁带存放在不同建筑物内统备份,磁带存放在不同建筑物内统备份,磁带存放在不同建筑物内 2006-4-529Practice is the sole criterion for judging truth2006-4-530Jackie MaoNCNIPC