1、 交流提綱 “天問” 簡史 對比 原理 方法 展望 第1頁，共30頁。虛擬空間的困惑 第2頁，共30頁。那只“虛擬的蘋果”在哪里 “上帝”創(chuàng)造的宇宙空間我們認(rèn)識，人類創(chuàng)造的網(wǎng)絡(luò)空間我們卻很陌生 孫子說“知己知彼 百戰(zhàn)不殆”，我們是誰？敵人在哪里？ 如果發(fā)生“網(wǎng)絡(luò)大地震”，誰來營救我們？ “圜則九重，孰營度之？” 何為風(fēng)險(xiǎn)？ “網(wǎng)際空間的人造現(xiàn)象與美國軍隊(duì)從事軍事行動的其他空間完全不同。國防部將持續(xù)不斷的探索網(wǎng)際空間的獨(dú)有特征的含義，為美軍在其中采取軍事行動制訂相應(yīng)的政策?！泵绹鴩啦克哪攴绖?wù)評估報(bào)告2010年2月第3頁，共30頁。 虛擬世界中的“天問” 亙古之初，焉有君臣？ 網(wǎng)絡(luò)之中，孰敵孰友

2、？ 傾巢之下，完卵安在？ 九天之上，何以準(zhǔn)繩？ 第4頁，共30頁。風(fēng)險(xiǎn)評估簡史 第5頁，共30頁。風(fēng)險(xiǎn)的演化：人類社會的縮影？ 中 世 紀(jì) Risk：海上貿(mào)易 引發(fā)的法律糾紛 七 十 年 代 石油危機(jī)引發(fā)的 能源風(fēng)險(xiǎn) 八 十 年 代 金融衍生品 引發(fā)的金融風(fēng)險(xiǎn) 九 十 年 代 PC機(jī)及互聯(lián)網(wǎng)的廣泛 應(yīng)用引發(fā)的信息安全風(fēng)險(xiǎn) 第6頁，共30頁。 1995年 蘭德公司 1995年6月3日和1996年3月23日，美國國防部DARPA與RAND公司在美軍國防大學(xué)等地采用“The Day Afterin Cyberspace”方法組織了兩次信息戰(zhàn)戰(zhàn)略大演習(xí)。飛行控制軟件出現(xiàn)故障，AB-340航班墜毀200

3、0年5月22日英格蘭銀行轉(zhuǎn)賬系統(tǒng)出現(xiàn)故障2000年5月14日沙特阿拉伯公共電話網(wǎng)中斷，肇事者不詳2000年5月11日預(yù)想事件預(yù)想時(shí)間網(wǎng)際風(fēng)暴I演習(xí)2006（國家層面）網(wǎng)際風(fēng)暴II演習(xí)2008（洲際層面） 網(wǎng)際風(fēng)暴III演習(xí) 2010 （? 層面） 第7頁，共30頁。主要標(biāo)準(zhǔn)對比 第8頁，共30頁。 NIST SP 800-30 2002年，NIST根據(jù)美國計(jì)算機(jī)安全法案（1987）和信息技術(shù)管理改革法案（1996）的要求，頒布了IT系統(tǒng)風(fēng)險(xiǎn)管理指南（NIST SP 800-30），回答了以下核心問題： RA的定位：系統(tǒng)開發(fā)生命周期（SDLC）過程中，RA如何介入 RA方法論：風(fēng)險(xiǎn)評估的方法和9

4、個(gè)步驟 RA的效果：風(fēng)險(xiǎn)減緩策略、風(fēng)險(xiǎn)控制種類、效費(fèi)比 RA的實(shí)踐：最佳實(shí)踐、RA取得成功的關(guān)鍵要素NIST SP 800-30是我國信息安全風(fēng)險(xiǎn)評估規(guī)范（GB/T 209842007）的主要參考標(biāo)準(zhǔn)之一（NIST SP 80026已在FY 2007/FISMA報(bào)告中被撤銷）第9頁，共30頁。 NIST 800-30：三風(fēng) 風(fēng)險(xiǎn)評估報(bào)告第九步：結(jié)果記錄推薦的控制措施第八步：控制建議風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)水平第七步：風(fēng)險(xiǎn)計(jì)算威脅利用可能性、影響級別、已有和計(jì)劃控制的充分性影響賦值第六步：影響分析（CIA）任務(wù)影響分析、資產(chǎn)關(guān)鍵性評估，數(shù)據(jù)關(guān)鍵性、敏感性可能性賦值第五步：可能性計(jì)算威脅源動機(jī)、能力，脆弱性

5、特點(diǎn)、目前的控制措施已有的和計(jì)劃中的控制清單第四步：安全控制分析目前的控制、計(jì)劃中的控制潛在脆弱性的清單第三步：脆弱性識別以往的風(fēng)評報(bào)告、審計(jì)結(jié)論、安全需求、安全測試結(jié)果威脅報(bào)告第二步：威脅識別系統(tǒng)受攻擊的歷史，來自于情報(bào)機(jī)關(guān)及其它部門的數(shù)據(jù)系統(tǒng)邊界、功能、系統(tǒng)和數(shù)據(jù)的關(guān)鍵性、系統(tǒng)和數(shù)據(jù)的敏感性第一步：系統(tǒng)分析軟硬件、系統(tǒng)界面、數(shù)據(jù)、信息、人員、系統(tǒng)任務(wù)輸出風(fēng)評步驟輸入風(fēng)險(xiǎn)識別 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)報(bào)告第10頁，共30頁。NIST 800-30 與 GB/T 20984-2007 評估準(zhǔn)備 風(fēng)險(xiǎn)計(jì)算 接受接受 保持現(xiàn)狀 是 殘余風(fēng)險(xiǎn)控制 否否 風(fēng)險(xiǎn)管理 是 資產(chǎn)識別 威脅識別 脆弱性識別 已有安全措

6、施確認(rèn) 過程 文檔 過程 文檔 過程 文檔 GB/T 20984-2007 風(fēng)險(xiǎn)評估流程 第11頁，共30頁。原理 化繁為簡 第12頁，共30頁。 準(zhǔn)備 識別 計(jì)算 報(bào)告 一個(gè)簡化的風(fēng)險(xiǎn)評估流程：準(zhǔn)備（Readiness）、識別（Realization）、 計(jì)算（Calculation）、報(bào)告（Report） 識別 資產(chǎn) 威脅 漏洞 準(zhǔn)備 資料審核 SLA 工作計(jì)劃 組隊(duì) 計(jì)算 威脅概率 事件影響 風(fēng)險(xiǎn)定級 報(bào)告 整改建議 各類文檔 第13頁，共30頁。工程 藝術(shù) 方法第14頁，共30頁。 風(fēng)險(xiǎn)評估準(zhǔn)備工作 準(zhǔn)備工作中要注意的問題 相親：前期交流（成功案例簡介、測評機(jī)構(gòu)資質(zhì)簡介、被 測系統(tǒng) 大

7、致規(guī)模、 測評服務(wù)費(fèi)用測算） 訂婚：服務(wù)水平協(xié)議SLA（獲取詳細(xì)資料的前提，對方的 授權(quán)、 雙方的義務(wù)，可和保密協(xié)議整合） 甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場測評制訂問卷清單） 乙方禮單：工作計(jì)劃（案例分析 綜合組、管理組、網(wǎng)絡(luò)組） 迎親：進(jìn)場準(zhǔn)備（進(jìn)場通知，如對方或第三方人員；設(shè)備 準(zhǔn)備， 如工具等，標(biāo)識佩戴） 第15頁，共30頁。 現(xiàn)場測評 現(xiàn)場測評工作要注意的問題 首次會議（如有必要），聽取對方高管的情況簡介，向被 測單位有關(guān)人員說明此次任務(wù)、測評計(jì)劃介紹、雙方測評人 員的相互認(rèn)識 問詢技巧（直接提問，如業(yè)務(wù)重要性；間接提問，如安全 事件；反向提問，適合于所有方面） 資料核對（拓?fù)?/p>

8、核對，管理體系文檔，設(shè)計(jì)文檔，設(shè)備臺 賬） 現(xiàn)場檢測（測試過程記錄、抓屏、數(shù)據(jù)提?。?末次會議（如有必要），向?qū)Ψ礁吖芎喴偨Y(jié)現(xiàn)場測評的 初步結(jié)論，指出優(yōu)缺點(diǎn)，但暫不做最終結(jié)論 第16頁，共30頁。 資產(chǎn)識別 資產(chǎn)識別在整個(gè)風(fēng)險(xiǎn)評估中起什么作用？ 兩點(diǎn)：是整個(gè)風(fēng)險(xiǎn)評估工作的起點(diǎn)和終點(diǎn) 資產(chǎn)識別的重點(diǎn)和難點(diǎn)是什么？ 一線：業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特征（管理/技術(shù)） 資產(chǎn)識別的方法有哪些？ 資產(chǎn)分類：樹狀法。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技 術(shù)逐步往下細(xì)化）；金字塔法。信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 資產(chǎn)安全性賦值：CIA（5級） 資產(chǎn)重要性分級：5級（很高、高、中等、低、很低）

9、模糊定性半定性半定量精確定性 第17頁，共30頁。金字塔法：按信息形態(tài)分類 第18頁，共30頁。 資產(chǎn)識別效果圖：禮花模型 機(jī)構(gòu)業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 信息系統(tǒng) 資產(chǎn)識別 資產(chǎn)分類 資產(chǎn)A：1 級資產(chǎn)B：4 級資產(chǎn)E：5 級資產(chǎn)D：3 級 案例分析 第19頁，共30頁。 威脅識別 威脅識別與資產(chǎn)識別是何關(guān)系？ 點(diǎn)和面：重點(diǎn)識別和全面識別 威脅識別的重點(diǎn)和難點(diǎn)是什么？ 三問：“敵人”在哪兒？效果如何？如何取證？ 威脅識別的方法有哪些？ 威脅分類：植樹與剪枝。威脅源、攻擊樹（查閱主要的數(shù)據(jù) 庫，如CERT/CNCERT/CVE）；金字塔法。根據(jù)信息形態(tài)分 類（信息環(huán)境、信息載體、信息）來分析威脅源。

10、 威脅嚴(yán)重性賦值：威脅出現(xiàn)的頻率是賦值的重要依據(jù)，但不是 唯一依據(jù)。例如隕石撞地球。 威脅嚴(yán)重性分級：5級（很高、高、中等、低、很低） 濃 霧 半定性半定量 薄 霧 第20頁，共30頁。 信息環(huán)境 信息載體 信息 環(huán)境威脅 載體威脅 信息威脅 環(huán)境威脅 載體威脅 信息威脅 威脅識別效果圖：群山模型 案例分析 第21頁，共30頁。 脆弱性識別 脆弱性識別的難點(diǎn)是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 脆弱性識別的方法有哪些？ 脆弱性分類：管理脆弱性。 結(jié)構(gòu)脆弱性（如安全域劃分不當(dāng)），操作脆弱性（如安全審計(jì)員業(yè)務(wù)生疏）；技術(shù)脆弱性。在線測試、離線測試（仿真測試）脆弱性分級：5級（很高、高、中等、低、

11、很低） 模糊定性半定性半定量精確定性 脆弱性識別與威脅識別是何關(guān)系？ 驗(yàn)證：以資產(chǎn)為對象，對威脅識別進(jìn)行驗(yàn)證 第22頁，共30頁。脆弱性識別效果圖：雙星模型 離線測試 在線測試 案例分析 第23頁，共30頁。風(fēng)險(xiǎn)計(jì)算 安全事件發(fā)生 的可能性 安全事件發(fā)生 造成的損失 風(fēng)險(xiǎn)值 第24頁，共30頁。資產(chǎn)識別 威脅識別 脆弱性識別 資產(chǎn)價(jià)值 脆弱性 嚴(yán)重程度 威脅頻率 安全事件 造成的損失 安全事件 可能性 風(fēng)險(xiǎn)分析示意圖 風(fēng)險(xiǎn)值 GB/T 20984-2007 風(fēng)險(xiǎn)分析原理圖 從柔到剛再到柔 第25頁，共30頁。 風(fēng)險(xiǎn)評估報(bào)告 評估報(bào)告要注意的問題 主報(bào)告與附件的關(guān)系（決策者閱讀要點(diǎn)/技術(shù)人員閱讀細(xì)節(jié)） 安全措施確認(rèn)與剩余風(fēng)險(xiǎn)分析的關(guān)系（新三年 舊三年 縫縫補(bǔ) 補(bǔ)又三年） 專家評審與報(bào)告簽署授權(quán)的關(guān)系 評估報(bào)告撰寫藝術(shù) 統(tǒng)一的格式（有利于今后進(jìn)行基線、基準(zhǔn)統(tǒng)計(jì)） 全方位的效果展示（圖例、表例、動畫演示） 第26頁，共30頁。未來展望 第27頁，共30頁。 FISMA/NIST風(fēng)險(xiǎn)管理框架 安全生命周期 SP 80039 信息系統(tǒng)分類 SP 80060 安全控制選擇 SP 80053 安全控制