【正文】 safeguard, control） 6 ? 業(yè)務(wù)戰(zhàn)略 ? 安全事件 ? 安全需求 ? 風險準則 ? 風險評估 ? 風險處理 ? 風險管理 ? 殘余風險（ Residental Risk） ? 信息安全風險評估 資產(chǎn) ?資產(chǎn)是任何對組織有價值的東西，是要保護的對象 ?資產(chǎn)以多種形式存在（多種分類方法） ? 物理的（如計算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計算程序和數(shù)據(jù)文件等） ? 硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應(yīng)用軟件等） ? 有形的（如機房、設(shè)備和人員等）和無形的（如品牌、信心和名譽等） ? 靜態(tài)的（如設(shè)施和規(guī)程等）和動態(tài)的（如人員和過程等） ? 技術(shù)的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等 7 威脅 ?可能 導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在 起因 ?引起風險的外因 ?威脅源采取恰當?shù)耐{方式才可能引發(fā)風險 ?威脅舉例 ? 操作失誤 ? 濫用授權(quán) ? 行為抵賴 ? 身份假冒 ? 口令攻擊 ? 密鑰分析 8 ? 漏洞利用 ? 拒絕服務(wù) ? 竊取數(shù)據(jù) ? 物理破壞 ? 社會工程 脆弱性 ?可能 被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié) ?造成風險的內(nèi)因 ?脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當?shù)耐{方式對信息資產(chǎn)造成危害 ?脆弱性舉例 ? 系統(tǒng)程序代碼缺陷 ? 系統(tǒng)設(shè)備安全配置錯誤 ? 系統(tǒng)操作流程有缺陷 ? 維護人員安全意識不足 9 可能性 ?某件事發(fā)生的機會 ?威脅源利用脆弱性造成不良后果的機會 ?舉例 ? 脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的 機會 很小 ? 系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運行，發(fā)生不良后果的 機會 較小 ? 互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測試工具，發(fā)生不良后果的 機會 很大 10 對風險概念的理解 ?威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性 網(wǎng)站存在 SQL注入漏洞 ， 普通攻擊者 利用自動化攻擊工具很容易 控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國家政府部門聲譽 11 威脅源 威脅方式 脆弱性 風險 采取 利用 造成 對信息安全風險的理解 ?信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害的可能性 ?信息安全風險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性 ?信息安全風險只考慮那些對組織有負面影響的事件 12 信息安全風險評估 13 ?是 依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的 過程 ?它 要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件 的可能性 ，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響 風險處理、風險管理 14 ?風險處理是選擇并且執(zhí)行措施來更改風險的 過程 ?風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的 過程 安全措施 /控制措施 ?保護資產(chǎn)，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制，它是管理風險的具體手段和方法 ?根據(jù)安全需求部署，用來防范威脅，降低風險的措施 ?舉例 ? 部署防火墻、入侵檢測、審計系統(tǒng) ? 測試環(huán)節(jié) ? 操作審批環(huán)節(jié) ? 應(yīng)急體系 ? 終端 U盤管理制度 15 殘余風險 ?采取了安全措施后，信息系統(tǒng)仍然可能存在的風險 ?有些 殘余風險 是在綜合考慮了安全成本與效益后不去控制的風險 ?殘余風險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件 ?舉例 ? 風險列表中有 10項 風險，根據(jù)風險成本效益分析，只有前 8項需要控制，則前 8項處理后剩余的風險加上另 2項風險為殘余風險，一段時間內(nèi)系統(tǒng)處于風險可接受水平 16 風險相關(guān)要素之間的關(guān)系 17 業(yè) 務(wù) 戰(zhàn) 略脆 弱 性 資 產(chǎn) 資 產(chǎn) 價 值暴 露 具 有威 脅利 用風 險 安 全 需 求殘 余 風 險安 全 事 件 安 全 措 施確 定 成 本滿 足演 變未 控 制可 能 誘 發(fā)增 加 導(dǎo) 出降 低抵 御增 加未 被 滿 足依 賴知識域：信息安全風險管理基礎(chǔ) 知識子域： 信息安全風險管理概述 ?理解實施風險管理的主要原則 ?理解風險管理的范圍和對象 18 實施 風險管理的主要原則 ?風險 管理創(chuàng)造和保護 價值 ?風險 管理是所有組織過程不可分割的一個部分，促進組織的持續(xù) 改進 ?風險 管理是透明的，參與人員應(yīng)包含廣泛，同時考慮人員和文化 因素 ?風險 管理是定制的，并具有體系化、結(jié)構(gòu)化的 特點 ?風險 管理是動態(tài)的、反復(fù)的和響應(yīng)變化 的 19 風險管理的范圍和對象 ?信息 安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的 安全 ? 信息 載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、硬盤、網(wǎng)線 等 ? 信息 環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺等硬環(huán)境和 軟環(huán)境 ?信息 安全風險 管理涉及信息 安全上述三個 方面包含 的所有相關(guān) 對象 ?對于一個具體的信息系統(tǒng) ，風險 管理選擇的范圍和對象重點應(yīng)有所不同 20 知識域：信息安全風險管理基礎(chǔ) 知識子域： 信息安全風險相關(guān)政策與標準 ?了解 我國有關(guān)信息安全風險管理的政策要求 ?了解信息安全風險管理相關(guān)的國內(nèi)外標準 21 我國有關(guān)信息安全風險管理的政策要求 ?《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》 （中辦發(fā)［ 2023］ 27號）明確提出要重視信息安全風險評估工作，將風險評估作為提高我國信息安全保障水平的一項重要 舉措 ?《關(guān)于開展信息安全風險評估工作的意見》 （國信辦[2023]5號），就信息安全風險評估工作的基本內(nèi)容和原則，以及開展信息安全風險評估工作的有關(guān)安排等做出規(guī)定和 部署 ?《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知》 （發(fā)改高技 [2023]2071號 ），規(guī)范了 國家 電子政務(wù)工程建設(shè)項目信息安全風險評估 工作 22 《 關(guān)于開展信息安全風險評估工作的意見 》 （國信辦 [2023]5號 ） 的 實施要求 ?信息 安全風險評估工作應(yīng)當貫穿信息系統(tǒng)全 生命周期。一般用于那些低概率、但一旦風險發(fā)生時會對組織產(chǎn)生重大影響的風險 38 購買保險 服務(wù)外包 規(guī)避風險 ?通過不使用面臨風險的資產(chǎn)來避免風險。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù) … 逐步往下細化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 79 按信息形態(tài)分類 資產(chǎn)識別 80 業(yè) 務(wù) 系 統(tǒng) 1業(yè) 務(wù) 過 程 1 1 業(yè) 務(wù) 過 程 1 2信 息 系 統(tǒng) 1 信 息 系 統(tǒng) 2信 息 子 系 統(tǒng) 1 1 信 息 子 系 統(tǒng) 1 2軟 件 4軟 件 1 軟 件 2硬 件 1軟 件 3 軟 件 5硬 件 2 硬 件 3 硬 件 4環(huán) 境 1 環(huán) 境 2業(yè)務(wù)系統(tǒng)信息系統(tǒng)系統(tǒng)組件業(yè) 務(wù) 活 動 1 1 1 業(yè) 務(wù) 活 動 1 1 2 業(yè) 務(wù) 活 動 1 2 1 業(yè) 務(wù) 活 動 1 2 2圖 例A依賴于BAB81 威 脅識別 ? 威脅識別與資產(chǎn)識別是何關(guān)系？ 點和面：重點識別和全面識別 ? 威脅識別的重點和難點是什么 ？ 三問：“敵人”在哪兒？效果如何？如何取證？ ? 威脅識別的方法有哪些？ 日志分析 歷史安全事件 專家經(jīng)驗 互聯(lián)網(wǎng)信息檢索