信息安全风险评估培训(第十二期).ppt
《信息安全风险评估培训(第十二期).ppt》由会员分享,可在线阅读,更多相关《信息安全风险评估培训(第十二期).ppt(72页珍藏版)》请在三一文库上搜索。
1、信息安全风险评估,程晓峰,什么是风险评估?,从深夜一个回家的女孩开始讲起,风险评估的基本概念,资产,业务影响,威胁,脆弱性,风险,钱被偷,100块,没饭吃,小偷,打瞌睡,服务器,黑客,软件漏洞,被入侵,数据失密,风险评估通俗类比,风险评估,5,风险,风险管理(Risk Management)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域,风险(Risk)就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。,风险管理,风险评估(Risk Assessment)就是对各方面风险进行辨识和分析的过程,它包括风险分析和风险评价,是确认安全风险
2、及其大小的过程。,RISK,RISK,RISK,风险,原有风险,采取措施后的剩余风险,风险管理的目标,风险评估和风险管理的关系,风险评估是风险管理的关键环节,在风险管理循环中,必须依靠风险评估来确定随后的风险控制与改进活动。,资产分类方法,资产分类方法,资产识别模型,信息安全属性,保密性CONFIDENTIALATY 确保信息只能由那些被授权使用的人获取 完整性INTEGRITY 保护信息及其处理方法的准确性和完整性 可用性AVAILABILITY 确保被授权使用人在需要时可以获取信息和使用相关的资产,资产保密性赋值,资产完整性赋值,资产可用性赋值,资产等级计算公式,AV=F(AC,AI,AA
3、) Asset Value 资产价值 Asset Confidentiality 资产保密性赋值 Asset Integrity 资产完整性赋值 Asset Availability 资产可用性赋值 例1:AV=MAX(AC,AI,AA) 例2:AV=AC+AI+AA 例3:AV=ACAIAA,资产价值赋值,可用性,确保获得授权的用户可访问信息并使用相关信息资产,进不来,拿不走,改不了,跑不了,看不懂,可审查,信息安全属性,威胁来源列表,威胁分类表,威胁赋值,脆弱性识别内容表,脆弱性赋值,风险分析原理,L,F,R,风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ) 其中,R 表示
4、安全风险计算函数; A 表示资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值;Va 表示脆弱性严重程度; L 表示威胁利用资产的脆弱性导致安全事件发生的可能性; F 表示安全事件发生后产生的损失。 一般风险计算方法:矩阵法和相乘法,风险计算方法,矩阵法,矩阵法风险计算,风险等级表,风险评价示例,28,降低风险(Reduce Risk) 采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连续性计划,等等。 避免风险(Avoid Risk) 通过消除可能导致风险发生的条件来避免风险的发生,如将公司内外网隔离以避免
5、来自互联网的攻击,或是将机房安置在不可能造成水患的位置,等等。 转移风险(Transfer Risk) 将风险全部或者部分地转移到其他责任方,例如购买商业保险。 接受风险(Accept Risk) 在实施了其他风险应对措施之后,对于残留的风险,组织可以有意识地选择接受。,风险处置策略,29,绝对安全(即零风险)是不可能的。 实施安全控制后会有残留风险或残存风险(Residual Risk)。 为了确保信息安全,应该确保残留风险在可接受的范围内: 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结
6、果来确定一个阀值,以该阀值作为是否接受残留风险的标准。,残留风险评价,等保测评与风险评估的区别,目的不同 等级测评:以是否符合等级保护基本要求为目的 照方抓药 风险评估:以PDCA循环持续推进风险管理为目的 对症下药,等保测评与风险评估的区别,参照标准不同 等级测评: GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 222392008 信息系统安全等级保护基本要求 GB/T 222402008 信息系统安全等级保护定级指南 信息系统安全等级保护测评过程指南(国标报批稿) 信息系统安全等级保护测评要求(国标报批稿) GB/T 25058-2010信息系统安全等级保护实
7、施指南 GB/T 25070-2010信息系统等级保护安全设计技术要求 风险评估:BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范,等保测评与风险评估的区别,可以简单的理解为等保是标准或体系,风险评估是一种针对性的手段。,为什么需要进行风险评估?,该买辣椒水呢还是请保镖?,什么样的信息系统才是安全的?,如何确保信息系统的安全?,两个基本问题,什么样的信息系统才是安全的?,如何确保信息系统的安全?,风险分析,风险管理,基本问题的答案,潜在损失在可以承受范围之内的系统,风险分析,安全决策,风险管理,两个答案的相关
8、性,安全保障体系建设,安 全,成本 效率,安全 - 效率曲线,安全 - 成本曲线,要研究建设信息安全的综合成本与信息安全风险之间的平衡,而不是要片面追求不切实际的安全不同的信息系统,对于安全的要求不同,不是 “ 越安全越好”,信息系统矛盾三角,三类操作系统举例,怎么做风险评估?,评估到底买辣椒水还是请保镖更合适,可能的攻击,信息的价值,可能的损失,风险评估简要版,资产,弱点,影响,弱点,威胁,可能性,+,=,当前的风险级别,风险分析方法示意图,损失的量化必须围绕用户的核心价值,用户的核心业务流程!,如何量化损失,否,是,否,是,风险评估的准备,已有安全措施的确认,风险计算,风险是否接受,保持已
9、有的控制措施 施施施,选择适当的控制措施并评估残余风险,实施风险管理,脆弱性识别,威胁识别,资产识别,是否接受残余风险,风险识别,评估过程文档,评估过程文档,风险评估结果记录,评估结果文档,风险评估流程,等级保护下风险评估实施框架,保护对象划分和定级,网络系统划分和定级,资产,脆弱性,威胁,风险分析,基本安全要求,等级保护管理办法、指南 信息安全政策、标准、法律法规,安全需求,风险列表,安全规划,风险评估,结合等保测评的风险评估流程,47,47,风险评估项目实施过程,48,48,评估工作各角色的责任,49,49,风险评估项目实施过程,50,50,制定评估计划,评估计划分年度计划和具体的实施计划
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 培训 第十二
链接地址:https://www.31doc.com/p-2781087.html