信息安全风险评估国家标准介绍课件.pptx

1,信息安全风险评估标准化工作情况介绍,国家信息中心信息安全研究与服务中心范红昆明2006年3月,2,前言,2003年7月以来，信息安全风险评估国家标准经过前期的调查与研究，开始了编制工作。两年多来，在国信办和有关主管部门具体指导下，在信安标委大力支持下，经过科研单位、企业的专家以及业内人士共同努力，协力工作，目前信息安全风险评估指南等标准的编制工作已基本完成。 现将有关情况简要汇报如下。,3,汇报内容,一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考,4,汇报内容,一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考,5,一、标准的编制过程,1、前期研究准备2、标准草案编制3、试点实践验证,6,一、标准的编制过程,1、前期研究准备2、标准草案编制3、试点实践验证,7,1、前期研究准备,2003年7月, 中办发200327号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。,8,统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。 为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。,9,一、标准的编制过程,1、前期研究准备2、标准草案编制3、试点实践验证,10,根据国信办的指示和信安标委的具体要求，国家信息中心组织北京信息安全测评中心、上海市测评认证中心、国家保密技术研究所、公安部三所以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。 起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:,2、标准草案编制,11,1 、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神； 2 、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范； 3 、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法； 4 、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果； 5 、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。,12,在标准编制的过程中，标准起草组多次与相关主管部门所属机构的专家代表就技术标准有关主体内容进行会商；向相关单位发放标准文本，通过电子邮件等形式广泛征求业界意见；召开标准讨论会议三十几次，共收集近100条修改意见。 起草组逐一对修改意见进行研究，在充分吸纳合理成份的基础上，对信息安全风险评估指南等标准进行了较大幅度的修改，使标准的体系结构更趋完善、合理。,13,一、标准的制定过程,1、前期研究准备2、标准草案编制3、试点实践验证,14,3、试点实践验证,2005年2月, 根据国信办20054号和5号文件，关于在银行、税务、电力等部门和电子政务外网，以及北京、上海、黑龙江、云南等省市，开展信息安全风险评估试点工作的要求，标准起草组配合风险评估试点工作专家组开展了以下工作： -为各试点单位提供标准草案文本和相关说明； -在试点准备阶段与各试点单位的技术骨干进行标 准技术交流； -根据标准草案文本涉及的关键技术，起草组成员 选择试点环节参与实际试点； -在试点过程中，先后几次召开标准研讨会，征求 各单位对标准的意见与建议。,15,整个试点工作历时7个月，各试点单位对标准草案先后提出40 多条补充修改意见，标准起草组根据试点结果先后进行了三次较大规模的修改。主要内容包括： -细化了资产的分类方法、脆弱性的识别要求，修 改并细化了风险计算的方法； -对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分； -对风险评估的工具进行了梳理和区分，形成了现 在的几种类型； -细化了生命周期不同阶段风险评估的主要内容。 试点实践证明，试行标准基本满足各试点单位评估工作的需求。,16,2005年9月16日，信息安全风险评估指南顺利通过由周仲义院士主持的第一次评审。 10月27日第二次专家评审会上，参评专家一致认为指南的操作性较强，对开展风险评估工作具有指导作用，并在国信办组织的风险评估试点中得到了进一步的实践验证和充实完善，达到国家标准送审稿的要求，同意通过评审。 12月14日,由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的信息安全风险评估指南（送审稿）专家评审会,得到与会专家的一致肯定并通过评审。,17,汇报内容,一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考,18,二、标准的主要内容,1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做,19,二、标准的主要内容,1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做,20,1、什么是风险评估,信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办20065号文件）。,21,风险评估要素关系图,22,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;,23,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;,24,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;,25,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;,26,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;,27,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;,28,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。,29,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。,30,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。,31,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。,32,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。,33,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。,34,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,35,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；,36,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；,37,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；,38,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；,39,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；,40,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；,41,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；,42,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；,43,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；（9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险；,44,风险评估要素关系图,图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。,（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；（6）风险的存在及对风险的认识导出安全需求；（7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；（8）安全措施可抵御威胁，降低风险；（9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险；（10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。,45,二、标准的主要内容,1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做,46,2、为什么要做风险评估,安全源于风险。 在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。,47,风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。,48,二、标准的主要内容,1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做,49,3、风险评估怎么做,风险评估实施流程图,50,3、风险评估怎么做,风险评估实施流程图,51,3、风险评估怎么做,先期准备,风险评估实施流程图,52,3、风险评估怎么做,先期准备 要素分析,风险评估实施流程图,53,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,54,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,55,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,56,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,57,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,58,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,59,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,60,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,61,3、风险评估怎么做,先期准备 要素分析 风险分析,风险评估实施流程图,62,3、风险评估怎么做,先期准备 要素分析 风险分析 文件记录,风险评估实施流程图,63,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,64,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,65,(1)风险评估的准备,1）确定风险评估的目标；2）确定风险评估的范围；3）组建适当的评估管理与实施团队；4）进行系统调研；5）确定评估依据和方法 ；6）获得最高管理者对风险评估工作的支持。,66,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,67,(2)资产识别,1）资产分类2）资产赋值3）资产等级,68,资产分类,69,资产赋值,资产赋值主要考虑资产的安全状况对于系统或组织的重要性，对资产在机密性、完整性和可用性上的达成程度进行综合评定得出。综合评定方法可以根据业务特点，选择对资产三性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以进行加权计算而得到资产的最终赋值。,70,资产等级,71,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,72,(3)威胁识别,1）威胁来源2）威胁分类3）威胁赋值4）威胁等级,73,威胁来源,74,威胁分类,75,威胁赋值,判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。,76,威胁等级,77,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,78,(4)脆弱性识别,1）脆弱性识别内容2）脆弱性分类3）脆弱性赋值4）脆弱性等级,79,脆弱性识别内容,脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。,80,脆弱性分类,81,脆弱性赋值,可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。,82,脆弱性等级,83,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,84,(5)已有安全措施的确认,在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认，即安全措施是否真正地降低了系统的脆弱性，抵御了威胁。安全措施可以分为预防性安全措施和保护性安全措施两种。,85,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,86,(6)风险分析,1）风险计算2）风险等级3）风险处理计划,87,风险计算,在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。,风险分析原理图,88,标准中给出了风险分析原理的形式化范式：风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va ) 其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产重要程度；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失。 有以下三个关键的计算环节：,89,一是计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即： 安全事件发生的可能性L(威胁出现频率，脆弱性) L(T，V ) 二是计算安全事件发生后的损失根据资产重要程度及脆弱性严重程度，计算安全事件发生后的损失，即： 安全事件的损失F(资产重要程度，脆弱性严重程度) F(Ia，Va ) 三是计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值R(安全事件发生的可能性，安全事件的损失) R(L(T，V)，F(Ia，Va ),90,风险等级,91,以上标准中的资产、威胁、脆弱性和风险的等级划分，遵照了由公安部、国家保密局、国家密码管理局和国务院信息化工作办公室四部委联合颁发的66号文件的精神。,92,风险处理计划,系统管理者应综合考虑风险控制成本与风险造成的影响，提出一个可接受风险范围。对某些风险，如果评估值在可接受风险范围内，可以保持已有的安全措施；如果评估值超出了可接受风险值的范围，则需要采取安全措施以降低、控制风险。,93,对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。 在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。 某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。,94,实施步骤,(1) 风险评估的准备(2) 资产识别(3) 威胁识别(4) 脆弱性识别(5) 已有安全措施的确认(6) 风险分析(7) 风险评估文件记录,95,国信办20065号文件指出：信息安全风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。,96,信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 以上是信息安全风险评估指南的主要内容，具体细节请参见标准文本。,97,98,在信息安全风险管理指南中规定了信息安全风险管理的内容和过程，并提供了信息系统生命周期不同阶段的信息安全风险管理措施。,99,汇报内容,一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考,100,2005年10月，黄菊副总理在国信办报送的简报上曾对风险评估工作做出重要指示： “在总结交流试点经验的基础上，继续做好相关标准制定和推广工作” 。 根据黄菊同志的指示以及国信办20065号文件的精神，对下一步工作有以下几点思考：,三、下一步工作的几点思考,101,-按照标准化管理和审批程序，继续完成信息安全风险评估指南和信息安全风险管理指南两项国家标准； -结合国家基础网络和重要系统工程发展的需要，在已有相关标准推广应用的基础上，进行风险评估与管理标准体系的研究，以构建我国信息安全风险评估标准体系； -根据标准体系总体规划的原则，相应开展规划与设计阶段方案风险评估实施细则、要素等级划分规范等标准化项目的研制工作； -在总结我国信息安全风险评估与管理工作经验的基础上，积极参与ISO相关国际标准化活动。,102,总之，将继续跟踪国内外相关领域的最新技术发展动态，进一步研究完善信息安全风险评估标准体系，进行相关标准的编制工作。以此，为国家信息安全风险评估工作健康顺利的发展做好基础性工作。,103,谢谢!,