【正文】 信息安全風險管理 吳金城 13980826171 版本： 發(fā)布日期： 2023121 生效日期： 202311 課程內(nèi)容 2 知識體 知識域 知識子域 信息安全 風險管理 信息安全風險 管理主要內(nèi)容 信息安全風險管理的基本內(nèi)容和過程 信息安全風險管理概述 風險相關(guān)基本概念 信息系統(tǒng)生命周期與信息安全風險管理 信息安全風險 管理基礎(chǔ) 信息安全風險相關(guān)政策與標準 信息安全風險 評估 風險評估工作形式 風險評估方法 風險評估的實施流程 風險評估工具 知識域：信息安全風險管理基礎(chǔ) 知識子域： 風險相關(guān)基礎(chǔ)概念 ?理解風險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風險相關(guān)概念 ?理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念 ?理解風險相關(guān)要素之間的關(guān)系 3 ? 風險 ，指 事態(tài)的概率及其結(jié)果的組合 （ —— GB/Z 243642023《 信息安全風險管理指南 》 ） ? 信息安全風險 ，指 人為 或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的 影響 （ —— GB/T 209842023《 信息安全風險評估規(guī)范 》 ） ? 信息 安全風險會破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性 風險、信息安全風險的概念 4 ? 風險 的構(gòu)成包括五個方面：起源 （威脅源） 、方式（威脅行為） 、途徑 （脆弱性） 、受體 （資產(chǎn)） 和后果 （影響） 風險的構(gòu)成 5 資 產(chǎn)載 體威 脅 源威 脅 行 為影 響環(huán) 境脆 弱 性風險相關(guān)術(shù)語 ? 資產(chǎn)（ Asset） ? 威脅（ Threat ） ? 脆弱性（ Vunerability） ? 可能性（ Likelihood, Probability） ? 安全措施 /控制措施（Countermeasure, safeguard, control） 6 ? 業(yè)務(wù)戰(zhàn)略 ? 安全事件 ? 安全需求 ? 風險準則 ? 風險評估 ? 風險處理 ? 風險管理 ? 殘余風險（ Residental Risk） ? 信息安全風險評估 資產(chǎn) ?資產(chǎn)是任何對組織有價值的東西，是要保護的對象 ?資產(chǎn)以多種形式存在（多種分類方法） ? 物理的（如計算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計算程序和數(shù)據(jù)文件等） ? 硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應用軟件等） ? 有形的（如機房、設(shè)備和人員等）和無形的（如品牌、信心和名譽等） ? 靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等） ? 技術(shù)的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等 7 威脅 ?可能 導致對系統(tǒng)或組織危害的不希望事故潛在 起因 ?引起風險的外因 ?威脅源采取恰當?shù)耐{方式才可能引發(fā)風險 ?威脅舉例 ? 操作失誤 ? 濫用授權(quán) ? 行為抵賴 ? 身份假冒 ? 口令攻擊 ? 密鑰分析 8 ? 漏洞利用 ? 拒絕服務(wù) ? 竊取數(shù)據(jù) ? 物理破壞 ? 社會工程 脆弱性 ?可能 被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié) ?造成風險的內(nèi)因 ?脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當?shù)耐{方式對信息資產(chǎn)造成危害 ?脆弱性舉例 ? 系統(tǒng)程序代碼缺陷 ? 系統(tǒng)設(shè)備安全配置錯誤 ? 系統(tǒng)操作流程有缺陷 ? 維護人員安全意識不足 9 可能性 ?某件事發(fā)生的機會 ?威脅源利用脆弱性造成不良后果的機會 ?舉例 ? 脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的 機會 很小 ? 系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運行，發(fā)生不良后果的 機會 較小 ? 互聯(lián)網(wǎng)公開漏洞且有相應的測試工具，發(fā)生不良后果的 機會 很大 10 對風險概念的理解 ?威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性 網(wǎng)站存在 SQL注入漏洞 ， 普通攻擊者 利用自動化攻擊工具很容易 控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽 11 威脅源 威脅方式 脆弱性 風險 采取 利用 造成 對信息安全風險的理解 ?信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害的可能性 ?信息安全風險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性 ?信息安全風險只考慮那些對組織有負面影響的事件 12 信息安全風險評估 13 ?是 依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的 過程 ?它 要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件 的可能性 ，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響 風險處理、風險管理 14 ?風險處理是選擇并且執(zhí)行措施來更改風險的 過程 ?風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的 過程 安全措施 /控制措施 ?保護資產(chǎn)，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制，它是管理風險的具體手段和方法 ?根據(jù)安全需求部署，用來防范威脅，降低風險的措施 ?舉例 ? 部署防火墻、入侵檢測、審計系統(tǒng) ? 測試環(huán)節(jié) ? 操作審批環(huán)節(jié) ? 應急體系 ? 終端 U盤管理制度 15 殘余風險 ?采取了安全措施后，信息系統(tǒng)仍然可能存在的風險 ?有些 殘余風險 是在綜合考慮了安全成本與效益后不去控制的風險 ?殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件 ?舉例 ? 風險列表中有 10項 風險，根據(jù)風險成本效益分析，只有前 8項需要控制，則前 8項處理后剩余的風險加上另 2項風險為殘余風險，一段時間內(nèi)系統(tǒng)處于風險可接受水平 16 風險相關(guān)要素之間的關(guān)系 17 業(yè) 務(wù) 戰(zhàn) 略脆 弱 性 資 產(chǎn) 資 產(chǎn) 價 值暴 露 具 有威 脅利 用風 險 安 全 需 求殘 余 風 險安 全 事 件 安 全 措 施確 定 成 本滿 足演 變未 控 制可 能 誘 發(fā)增 加 導 出降 低抵 御增 加未 被 滿 足依 賴知識域：信息安全風險管理基礎(chǔ) 知識子域： 信息安全風險管理概述 ?理解實施風險管理的主要原則 ?理解風險管理的范圍和對象 18 實施 風險管理的主要原則 ?風險 管理創(chuàng)造和保護 價值 ?風險 管理是所有組織過程不可分割的一個部分，促進組織的持續(xù) 改進 ?風險 管理是透明的，參與人員應包含廣泛，同時考慮人員和文化 因素 ?風險 管理是定制的，并具有體系化、結(jié)構(gòu)化的 特點 ?風險 管理是動態(tài)的、反復的和響應變化 的 19 風險管理的范圍和對象 ?信息 安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的 安全 ? 信息 載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、硬盤、網(wǎng)線 等 ? 信息 環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應用平臺等硬環(huán)境和 軟環(huán)境 ?信息 安全風險 管理涉及信息 安全上述三個 方面包含 的所有相關(guān) 對象 ?對于一個具體的信息系統(tǒng) ，風險 管理選擇的范圍和對象重點應有所不同 20 知識域：信息安全風險管理基礎(chǔ) 知識子域： 信息安全風險相關(guān)政策與標準 ?了解 我國有關(guān)信息安全風險管理的政策要求 ?了解信息安全風險管理相關(guān)的國內(nèi)外標準 21 我國有關(guān)信息安全風險管理的政策要求 ?《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》 （中辦發(fā)［ 2023］ 27號）明確