第9章 涉密信息系统的安全风险管理
DESCRIPTION
彭 飞 湖南大学国家保密学院 [email protected]. 第9章 涉密信息系统的安全风险管理. 1. 内容提要. 信息系统安全风险理论的基本概念 信息安全风险管理体系 涉密信息系统的安全风险评估 涉密信息系统安全保密风险评估的实施 涉密信息系统风险评级与处置. 2. 概述. 信息系统的安全是一个动态的复杂过程,它贯穿于信息系统的整个生命周期 信息安全的本质在于风险管理 信息安全风险管理的核心是风险评估. 3. 9.1 信息系统安全风险理论的基本概念. 信息安全风险的定义 - PowerPoint PPT PresentationTRANSCRIPT
内容提要信息系统安全风险理论的基本概念信息安全风险管理体系涉密信息系统的安全风险评估涉密信息系统安全保密风险评估的实施涉密信息系统风险评级与处置
2
概述信息系统的安全是一个动态的复杂过程,它贯穿于信息
系统的整个生命周期信息安全的本质在于风险管理信息安全风险管理的核心是风险评估
3
9.1 信息系统安全风险理论的基本概念
4
信息安全风险的定义NIST SP 800-30 :风险就是给定的威胁源攻击一个特定
潜在弱点的可能性,以及此风险对事件对机构产生的影响ISO Guide 73:2002 :风险为某事件发生的可能性及其后
果的结合OCTAVE method :风险就是遭到破坏或者收到损失的可
能性,指一个人作出不受欢迎的事情,或自然发生的、可能导致不良后果的情况
SSE-CMM :将风险定义为有害事件发生的可能性
9.1 信息系统安全风险理论的基本概念
5
信息安全风险辨析信息安全事件发生的可能性是信息安全风险的重要特征信息系统的安全风险是一种潜在的、尚未发生但可能发
生的安全事件任何信息系统都有安全风险安全的信息系统是指信息系统在实施了风险评估并作出
风险控制后,仍然存在的残余风险可被接收的信息系统
9.1 信息系统安全风险理论的基本概念
6
信息系统的安全风险评估关注的要素使命:一个组织机构通过信息化形成的能力来进行的工作任务资产:逻辑资产,非物质化的智力财富 ;物理资产,实物资产价值:资产的重要程度威胁:指一个威胁源攻击(偶然触发或故意破坏)一个具体弱点潜
在的可能性 人为威胁:人为故意行为造成的威胁和人为的非故意行为造成的威胁 自然威胁:系统故障威胁或自然灾害威胁
9.1 信息系统安全风险理论的基本概念
7
信息系统的安全风险评估关注的要素脆弱性:指信息系统及其防护措施在安全流程、涉及、实现、配置
或内部控制中的不足或缺陷 技术脆弱性:技术方面的因素造成的弱点,如 OS 的漏洞等。又分为设计
弱点 / 实现弱点 / 配置弱点 结构脆弱性:信息系统网络在拓扑结构的设计、布局等方面存在的缺陷 组织脆弱性:系统运行的物理环境、组织制度、业务策略、人事安全、文
档管理、安全意识及组织成员培训等组织本身的安全因素存在的缺陷和隐患
9.1 信息系统安全风险理论的基本概念
8
信息系统的安全风险评估关注的要素风险:本质上就是威胁源利用信息系统脆弱性的可能性与可能产生
影响的综合残余风险:指采取了安全保障措施,提高防护能力后,仍然可能存
在的风险安全需求:为保证组织机构的使命正常行使,在信息安全保障措施
方面提出的要求安全保障措施:是对付威胁,减少脆弱性,采取预防来保护资产和
限制意外事件的影响、检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称
9.1 信息系统安全风险理论的基本概念
9
信息系统的安全风险评估关注的要素
威胁发起者 资产拥有者
威胁 对策
脆弱性
风险
系统资产
使命
意
识
到
发
现
利用 减少
增加 降低
滥用与破坏 合法与可用
风险各要素之间关系
9.1 信息系统安全风险理论的基本概念
10
信息系统的安全风险评估关注的要素何为信息系统安全风险评估?依据国家有关技术标准,对信息系统的完整性、保密性、可靠性等
安全保障性能进行科学、公正的综合评估活动信息系统风险可以直观的表示为
风险 =f ( 资产 , 脆弱性 , 威胁 )
考虑风险发生的可能性与风险可能产生的影响,风险还可以表示为事件发生的概率及其后果的函数,即
风险 =f ( 可能性 , 影响 )
9.1 信息系统安全风险理论的基本概念
11
风险控制从风险的构成要素可知,控制风险可以从两个方面考虑
消除威胁源修补脆弱点
风险控制的主要方法 风险假设 风险规避 风险限制 风险计划 风险转移
9.2 信息系统安全风险管理体系
12
信息安全评估是信息安全风险管理的起点的基础安全的信息系统是指信息系统在实施了风险评估并做出风险控制
后,仍然存在的残余风险可被接收的信息系统风险管理包括风险评估和风险控制风险控制的目标是针对信息网络面临的风险按照风险级别的高低,
提出相应的风险控制措施和建议,以降低或减缓网络的风险
9.2 信息系统安全风险管理体系
13
信息安全风险评估何为信息安全风险评估?
利用适当的风险评估工具,包括定性和定量的方法,对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估,确定信息资产的风险等级和优先风险控制顺序,是风险管理的核心所在
风险评估的主要目标结合资产、威胁和弱点、综合定量分析信息网络系统面临的风险
9.2 信息系统安全风险管理体系
14
信息安全风险评估信息安全风险评估的主要流程
步骤 1:系统特征描述
步骤 2:威胁识别
步骤 3:脆弱性识别
步骤 4:控制分析
步骤 5:可能性确定
步骤 6:影响分析
步骤 7:风险确定
步骤 8:控制建议
步骤 9:记录结果文档
9.2 信息系统安全风险管理体系
15
信息安全风险评估常见的风险评估标准
ISMS标准 PDCA模型ISO/IEC13335:1998模型OCTAVE method
SSE-CMM标准SP800-30标准AP-PDRR模型
共同特点:持续型、循环往复式的过程、安全性的提高和风险的降低是成螺旋式前进的。
9.2 信息系统安全风险管理体系
16
信息安全风险控制风险控制的主要目标
针对系统面临的风险按照风险级别的高低,提出相应的风险控制措施和建议,以降低或减缓系统的风险
风险控制可以从两方面考虑消除威胁源修补脆弱点
9.2 信息系统安全风险管理体系
17
信息安全风险控制风险控制包括技术和非技术方法的应用
技术类控制是那些融入到系统硬件、软件或固件中的保护措施,主要针对系统的威胁或脆弱性
非技术控制包括管理类和操作类控制,如法律法规、安全策略、操作流程、人员、物理和环境安全
9.2 信息系统安全风险管理体系
18
信息安全风险控制技术性方法
风险排除风险替换风险降低风险隔离程序控制组织纪律
9.2 信息系统安全风险管理体系
19
信息安全风险控制减少人为失误的方法
人员的保密和安全知识培训管理安全化
评估信息资产的价值
按级划分系统脆弱性和风险的大小
制定相应的控制策略和计划 控制力度
够吗?
实施风险控制
评估控制效果
制定维护计划
度量信息资产面临的风险
风险可承受吗?
是
否
是
否
评估和控制风险的循环过程
9.3 涉密信息系统的安全风险评估
21
涉密信息系统安全风险评估的作用涉密信息系统安全保密管理的过程
Step1. 要确立安全目标与策略Step2. 要进行风险分析Step3. 在方案设计中对风险接受度要进行评估Step4. 在安全计划实施中要进行系统评测Step5. 在系统运行与维护中,要进行日常检查和定期评估从第五步可循环到第一步至第四步
9.3 涉密信息系统的安全风险评估
22
涉密信息系统安全风险评估的作用涉密信息系统风险评测的工作流程
涉密信息系统来函并报资料
测评中心进行资料审查
涉密系统使用单位修改资料
是否通过
否 是 测评中心进行现场考察
测评中心制定《评测方案》
测评中心现场检测
检测结果、分析,提出检测意见
召开专家评估会,给出专家评估意见
综合测评意见和专家意见,写测评报告,给出测评结论,出具测
评证书
测评中心将测评结论和测评证书报国家保密局备
案
9.4 涉密信息系统安全保密风险评估的实施
23
实施涉密信息系统安全风险要注意的几个方面编写并完善信息安全保密策略加强涉密人员的保密教育、宣传和信息安全保密技能的
培训构建失泄密的防御、检测、报告、相应、处置体系和处
置计划设计信息安全保密的技术解决方案并贯彻实施
9.4 涉密信息系统安全保密风险评估的实施
24
保密资产的识别及资产价值的确定涉密资产的主要内容
已经被定密的课题、项目、资料等涉密事项接触涉密事项的各类人员存储、处理、分发、传递、使用涉密事项的信息系统受到损害后,可能造成失、泄密的各类设施
9.4 涉密信息系统安全保密风险评估的实施
25
保密资产的识别及资产价值的确定涉密资产的价值确定
按已经确定的密级计算按失泄密后对国家和军队可能造成的损失计算按其对整个课题、工程、任务或项目的重要程度计算按涉密资产之间的相互安全依赖关系计算
注意:涉密资产之间以及资产组合后的价值是变化的涉密资产的价值是相对的,会随时空改变资产识别及其价值评定要经常进行,随时保障重要资产和核心秘密
9.4 涉密信息系统安全保密风险评估的实施
26
威胁、脆弱性及泄密影响分析确定窃密威胁分析
窃密对象的资产价值秘密可能被接触的范围和频率潜在威胁源的窃密动机和窃密能力
脆弱性分析制度缺陷 / 管理缺陷 / 技术缺陷脆弱性被窃密者利用的难易程度脆弱性之间的相互影响分析
已有安保措施下的失泄密影响分析明确在采取安保措施下,失、泄密后可能造成的相对损失
9.4 涉密信息系统安全保密风险评估的实施
27
评测内容安全保密系统
物理安全
环境安全
设备安全
介质安全
网络运行安全
备份与恢复
计算机病毒防治
电磁兼容
操作系统安全
数据库安全
入侵检测
安全审计
信息安全保密
身份鉴别
访问控制
信息加密
电磁泄露发射防护
信息完整性校验
信息安全保密性能检测
抗抵赖
安全保密管理
管理机构
管理制度
管理技术
人员管理
9.4 涉密信息系统安全保密风险评估的实施
28
评估要点
信息安全保密
技术层面
管理层面
物理安全
网络安全
主机系统安全
应用安全
数据安全
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理
9.4 涉密信息系统安全保密风险评估的实施
29
涉密信息系统的评估要点涉密信息系统的硬件情况涉密信息系统哦功能的网络结构及功能使用涉密信息系统的用户涉密信息系统的规章制度采用的保密措施
9.5 涉密信息系统风险评级与处置
30
评测依据中华人民共和国保密指南, BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》
涉密信息系统安全风险的计算公式:
R1=f (G(Tfren, P(vi)), L(Avalue, Vserious))
R2=f(R1, P)=R1P+R2old
R1表示涉密资产的直接风险值; Avalue 为资产价值; Tfren 为威胁发生频率; Vserious 为脆弱性的严重程度; P(Vi) 为脆弱性被利用的难易程度 ;G 为风险发生可能性的计算函数; L 为风险事件所造成的损失的计算函数; f 为资产风险值的计算函数; R2表示被关联资产的风险值。
9.5 涉密信息系统风险评级与处置
31
评测结果判据评测项目分为基本要求项和一般要求项
基本要求项高风险一般要求项低风险
检测项目结果判据如果一个大项中所有小项均为“合格”,则该大项为“合格”如果一个大项中“不合格”的小项超过 40% ,则该大项为“不合格”
除上述以外的其他情况,均为“基本合格”
9.5 涉密信息系统风险评级与处置
32
评测结果判据检测结论判据
基本要求项中有一个大项“不合格”,检测结论“不合格”基本要求项中 60% (含)“合格”,其他基本要求项为“基本合格”,且一般要求项中 60% 以上(含)“合格”,检测结论即为“合格”
除上述两种情况以外的其他情况,检测结论即为“基本合格”
9.5 涉密信息系统风险评级与处置
33
评测结果判据检测意见、专家评估意见与评测结论的关系
检测意见认为“不合格”,待整改复测后,再召开专家评估会进行评估
检测意见认为“合格”,专家评估意见为“基本合格”,则评测结论为“基本合格”
检测意见认为“基本合格”,专家评估意见认为“不合格”,待整改复测后,再给出评测结论
9.5 涉密信息系统风险评级与处置
34
风险处置检测意见为“不合格”,即表示存在风险
需要针对评测项目,采取相应的技术或非技术措施进行专项整治,切实降低风险。风险处置后,需要重新评估,直至达标为止
风险处置需要注意目的是降低风险,使残余风险在可接受的范围之内即可要严防采取风险控制措施本身而带来新的风险
9.6 涉密信息系统安全保密风险评估的方法
35
风险评估的三种形式自我评估
本机构信息系统安全管理人员进行评估自查自纠专业性和客观性差
委托评估委托具有相应资质的评估单位进行评估专业性、公证性和客观性较强对于评估可能引入的新风险,要加强控制
9.6 涉密信息系统安全保密风险评估的方法
36
风险评估的三种形式检查评估
信息系统拥有者的上级机关进行评估专业性、公证性和客观性较强一般不会引入评估带来的新的风险
9.6 涉密信息系统安全保密风险评估的方法
37
涉密信息系统的风险评估自我评估
涉密信息系统的拥有者进行评估是安全风险评估的主要方式
检查评估国家保密局涉密信息系统安全保密测评中心进行评估可在已建涉密信息系统安全改进方案之前进行,作为方案涉及的依据可在已建涉密信息系统审批运行之前进行,作为保密局审批的依据可在已建涉密信息系统开通运行一段时间之后进行,作为控制新的安
全风险的依据
