信息安全管理技术.ppt

信息安全管理技术,NO.:S310060074 NAME:谷德丽,信息安全管理引入与内涵,信息安全风险识别与评估,信息安全等级保护,4,1,2,3,4,ISO信息安全管理标准,5,4,信息安全法规,6,信息安全规划,信息安全管理引入与内涵,信息安全在其发展过程中经历的三个阶段：20世纪80、90年代以前，面对信息交换过程中存在的安全问题，人们强调的主要是信息的保密性和完整性，该阶段称为通信保密阶段；20世纪80、90年代，随着计算机和网络广泛应用，人们对信息安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标，并利用密码、认证、访问控制、审计与监控等多种信息安全技术为信息和信息系统提供安全服务，该阶段称为信息安全阶段；,信息安全管理引入与内涵,信息安全在其发展过程中经历的三个阶段20世纪90年代中后期，由于互联网技术的飞速发展，信息对内、对外都极大开放，由此产生的安全问题已经不仅仅是传统的保密性、完整性和可用性三个方面，人们把信息主体和管理引入信息安全，由此衍生出诸如可控性、抗抵赖性、真实性等安全原则和目标，信息安全也从单一的被动防护向全面而动态的防护、检测、响应和恢复等整体建设方向发展。该阶段称为信息安全保障阶段。,信息安全管理引入与内涵,信息安全技术与信息安全管理,信息安全技术是实现信息安全产品的技术基础；信息安全产品是实现信息安全的工具平台；,信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。,信息安全管理引入与内涵,信息安全风险识别与评估,信息安全等级保护,4,1,2,3,4,ISO信息安全管理标准,5,4,信息安全法规,6,信息安全规划,信息安全规划,信息安全规划也称为信息安全计划，它用于在较高的层次上确定一个组织涉及信息安全的活动，主要内容：,安全策略安全需求计划采用的安全措施安全责任规划执行时间表,信息安全管理引入与内涵,信息安全风险识别与评估,信息安全等级保护,4,1,2,3,4,ISO信息安全管理标准,5,4,信息安全法规,6,信息安全规划,信息安全风险识别与评估,信息安全风险来自人为或自然的威胁，是威胁利用信息系统的脆弱性造成安全事件的可能性及这类安全事件可能对信息资产等造成的负面影响。,信息安全风险识别与评估,信息安全风险评估：也称信息安全风险分析，它是指对信息安全威胁进行分析和预测，评估这些威胁对信息资产造成的影响。信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值，为管理决策提供支持，也可为进一步实施系统安全防护提供依据。,信息安全建设的起点和基础,倡导一种适度安全,信息安全建设和管理的科学方法,分析确定风险的过程,信息安全风险评估,信息安全风险识别与评估,信息安全风险识别与评估,信息安全风险识别与评估,信息安全风险识别与评估应考虑的因素：,资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。,信息安全风险识别与评估,信息安全风险识别与评估,资产的识别与估价 在列出所有信息资产后，应对每项资产赋予价值。资产估价是一个主观的过程，而且资产的价值应当由资产的所有者和相关用户来确定，只有他们最清楚资产对组织业务的重要性，从而能够准确地评估出资产的实际价值。为确保资产估价的一致性和准确性，组织应建立一个资产的价值尺度（资产评估标准），以明确如何对资产进行赋值。在信息系统中，采用精确的财务方式来给资产确定价值比较困难，一般采用定性分级的方式来建立资产的相对价值或重要度，即按照事先确定的价值尺度将资产的价值划分为不同等级，以相对价值作为确定重要资产及为这些资产投入多大资源进行保护的依据。,资产的识别与估价,信息安全风险识别与评估,人员威胁,1,2,系统威胁,环境威胁,3,4,自然威胁,识别产生威胁的原因,信息安全风险识别与评估,威胁识别与评估,人员威胁,1,2,系统威胁,环境威胁,3,4,自然威胁,识别产生威胁的原因,信息安全风险识别与评估,威胁识别与评估,人员威胁,1,2,系统威胁,环境威胁,3,4,自然威胁,识别产生威胁的原因,信息安全风险识别与评估,威胁识别与评估,人员威胁,1,2,系统威胁,环境威胁,3,4,自然威胁,识别产生威胁的原因,信息安全风险识别与评估,威胁识别与评估,威胁识别与评估,信息安全风险识别与评估,威胁识别与评估的主要任务,威胁识别与评估 威胁发生造成的后果或潜在影响,信息安全风险识别与评估,威胁一旦发生会造成信息保密性、完整性和可用性等安全属性的损失，从而给组织造成不同程度的影响，严重的威胁发生会导致诸如信息系统崩溃、业务流程中断、财产损失等重大安全事故。不同的威胁对同一资产或组织所产生的影响不同，导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要程度）为限。,脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。,信息安全风险识别与评估,脆弱性识别与评估脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。,信息安全风险识别与评估,脆弱性识别与评估,信息安全风险识别与评估,技术脆弱性,1,2,操作脆弱性,管理脆弱性,3,脆弱性的分类,信息安全风险识别与评估,脆弱性识别与评估评估脆弱性需要考虑的因素脆弱性的严重程度（Severity）；脆弱性的暴露程度（Exposure），即被威胁利用的可能性P，这两个因素可采用分级赋值的方法。例如对于脆弱性被威胁利用的可能性可以分级为：非常可能=4，很可能=3，可能=2，不太可能=1，不可能=0。,信息安全风险识别与评估,确认现有安全控制 在影响威胁事件发生的外部条件中，除了资产的弱点，再就是组织现有的安全控制措施。在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力，有效的安全控制继续保持，而对于那些不适当的控制应当核查是否应被取消，或者用更合适的控制代替。,信息安全风险识别与评估,确认现有安全控制,管理性安全控制,1,2,操作性安全控制,技术性安全控制,3,安全控制方式的分类(依据目标和针对性分类),信息安全风险识别与评估,确认现有安全控制,信息安全风险识别与评估,确认现有安全控制 安全控制应对风险各要素的情况,信息安全风险识别与评估,风险评价 风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级，对组织信息安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。,信息安全风险识别与评估,风险评价风险度量常用方法预定义价值矩阵法按风险大小对威胁排序法网络系统的风险计算方法 风险度量的目的是明确当前的安全状态、改善该状态并获得改善状态所需的资源。,信息安全风险识别与评估,风险评价风险度量常用方法预定义价值矩阵法,该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小。,信息安全风险识别与评估,风险评价风险度量常用方法按风险大小对威胁排序法,该方法把风险对资产的影响与威胁发生的可能性联系起来，常用于考察和比较威胁对组织资产的危害程度。,第一步：按预定义的尺度，评估风险对资产的影响即资产的相 对价值I，例如，尺度可以是从1到5；第二步：评估威胁发生的可能性PT，PT也可以用PTV（考虑被 利用的脆弱性因素）代替，例如尺度为1到5；第三步：测量风险值R，R=R（PTV，I）=PTV I；,该方法把风险对资产的影响与威胁发生的可能性联系起来，常用于考察和比较威胁对组织资产的危害程度。方法的实施过程是：,信息安全风险识别与评估,风险评价风险度量常用方法按风险大小对威胁排序法,R=PTV I=3 5=15,信息安全风险识别与评估,风险评价风险度量常用方法网络系统的风险计算方法,R=V（1-PD）（1-PO）其中：V系统的重要性，是系统的保密性C、完整性I和可用性A三 项评价值的乘积，即V=CIA；PO防止威胁发生的可能性，与用户的个数、原先的信任、备份的频率以及强制安全措施需求的满足程度有关；PD防止系统性能降低的可能性，与组织已实施的保护性控制措施有关。,信息安全风险识别与评估,风险评价风险度量常用方法网络系统的风险计算方法,V=CIA=232=12,R=V（1-PD）（1-PO）=12（1-0.5）（1-0.5）=3.00,信息安全风险识别与评估,安全措施建议,信息安全风险评估人员通过以上评估得到了不同信息资产的风险等级，他们在这一步骤中根据风险等级和其他评估结论，结合被评估组织当前信息安全防护措施的状况，为被评估组织提供加强信息安全防护的建议。,风险评估管理软件为便于系统所有单位实施自评估，基于现有评估方法，开发了风险评估管理软件。将各类风险判据、评分依据、检查列表集成在系统中，为系统所有者实施的风险自评估提供帮助。力图做到：信息采集规范、判别符合标准、风险计算一致、输出结果完整。经非专业人员试用，基本达到专业评估人员的评估效果。,信息安全风险识别与评估,系统脆弱性管理界面,风险系数的计算,风险处理计划,风险分类统计,基础数据的管理,输出各类报表,The EndThanks For Your Attention,