s大風(fēng)起兮云飛揚(yáng)安得猛士守四方

信息安全風(fēng)險評估的原理、方法和規(guī)范交流提綱

“天問”

簡史

對比

原理

方法

展望虛擬空間的困惑

那只“虛擬的蘋果”在哪里…“上帝”創(chuàng)造的宇宙空間我們認(rèn)識，人類創(chuàng)造的網(wǎng)絡(luò)空間我們卻很陌生孫子說“知己知彼百戰(zhàn)不殆”，我們是誰？敵人在哪里？如果發(fā)生“網(wǎng)絡(luò)大地震”，誰來營救我們？“圜則九重，孰營度之？”何為風(fēng)險？“網(wǎng)際空間的人造現(xiàn)象與美國軍隊從事軍事行動的其他空間完全不同。國防部將持續(xù)不斷的探索網(wǎng)際空間的獨(dú)有特征的含義，為美軍在其中采取軍事行動制訂相應(yīng)的政策。”美國國防部《四年防務(wù)評估報告》2010年2月虛擬世界中的“天問”亙古之初，焉有君臣？網(wǎng)絡(luò)之中，孰敵孰友？傾巢之下，完卵安在？九天之上，何以準(zhǔn)繩？

風(fēng)險評估簡史風(fēng)險的演化：人類社會的縮影？中世紀(jì)

Risk：海上貿(mào)易引發(fā)的法律糾紛七

十年代

石油危機(jī)引發(fā)的能源風(fēng)險八

十年代

金融衍生品引發(fā)的金融風(fēng)險九

十年代

PC機(jī)及互聯(lián)網(wǎng)的廣泛應(yīng)用引發(fā)的信息安全風(fēng)險1995年蘭德公司1995年6月3日和1996年3月23日，美國國防部DARPA與RAND公司在美軍國防大學(xué)等地采用“TheDayAfter…inCyberspace”方法組織了兩次信息戰(zhàn)戰(zhàn)略大演習(xí)。飛行控制軟件出現(xiàn)故障，AB-340航班墜毀…2000年5月22日…英格蘭銀行轉(zhuǎn)賬系統(tǒng)出現(xiàn)故障2000年5月14日沙特阿拉伯公共電話網(wǎng)中斷，肇事者不詳2000年5月11日預(yù)想事件預(yù)想時間網(wǎng)際風(fēng)暴I演習(xí)2006（國家層面）網(wǎng)際風(fēng)暴II演習(xí)2008（洲際層面）網(wǎng)際風(fēng)暴III演習(xí)2010（?層面）主要標(biāo)準(zhǔn)對比

NISTSP800-30

RA的定位：系統(tǒng)開發(fā)生命周期（SDLC）過程中，RA如何介入

RA方法論：風(fēng)險評估的方法和9個步驟

RA的效果：風(fēng)險減緩策略、風(fēng)險控制種類、效費(fèi)比…

RA的實踐：最佳實踐、RA取得成功的關(guān)鍵要素NISTSP800-30是我國《信息安全風(fēng)險評估規(guī)范》（GB/T20984—2007）的主要參考標(biāo)準(zhǔn)之一（NISTSP800—26已在FY2007/FISMA報告中被撤銷）NIST800-30：三風(fēng)風(fēng)險評估報告第九步：結(jié)果記錄推薦的控制措施第八步：控制建議風(fēng)險及相關(guān)風(fēng)險水平第七步：風(fēng)險計算威脅利用可能性、影響級別、已有和計劃控制的充分性影響賦值第六步：影響分析（CIA）任務(wù)影響分析、資產(chǎn)關(guān)鍵性評估，數(shù)據(jù)關(guān)鍵性、敏感性可能性賦值第五步：可能性計算威脅源動機(jī)、能力，脆弱性特點(diǎn)、目前的控制措施已有的和計劃中的控制清單第四步：安全控制分析目前的控制、計劃中的控制潛在脆弱性的清單第三步：脆弱性識別以往的風(fēng)評報告、審計結(jié)論、安全需求、安全測試結(jié)果威脅報告第二步：威脅識別系統(tǒng)受攻擊的歷史，來自于情報機(jī)關(guān)及其它部門的數(shù)據(jù)系統(tǒng)邊界、功能、系統(tǒng)和數(shù)據(jù)的關(guān)鍵性、系統(tǒng)和數(shù)據(jù)的敏感性第一步：系統(tǒng)分析軟硬件、系統(tǒng)界面、數(shù)據(jù)、信息、人員、系統(tǒng)任務(wù)輸出風(fēng)評步驟輸入風(fēng)險識別風(fēng)險分析風(fēng)險報告NIST800-30與GB/T20984-2007

評估準(zhǔn)備

風(fēng)險計算

接受接受

保持現(xiàn)狀

是

殘余風(fēng)險控制

否否

風(fēng)險管理

是

資產(chǎn)識別

威脅識別

脆弱性識別

已有安全措施確認(rèn)

過程文檔過程文檔過程文檔GB/T20984-2007風(fēng)險評估流程原理化繁為簡準(zhǔn)備識別計算

報告一個簡化的風(fēng)險評估流程：準(zhǔn)備（Readiness）、識別（Realization）、計算（Calculation）、報告（Report）識別資產(chǎn)威脅漏洞

準(zhǔn)備資料審核

SLA

工作計劃組隊計算威脅概率事件影響風(fēng)險定級

報告整改建議各類文檔

工程藝術(shù)方法風(fēng)險評估準(zhǔn)備工作準(zhǔn)備工作中要注意的問題

相親：前期交流（成功案例簡介、測評機(jī)構(gòu)資質(zhì)簡介、被測系統(tǒng)大致規(guī)模、測評服務(wù)費(fèi)用測算…）

訂婚：服務(wù)水平協(xié)議SLA（獲取詳細(xì)資料的前提，對方的授權(quán)、雙方的義務(wù)，可和保密協(xié)議整合…）

甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場測評制訂問卷清單…）

乙方禮單：工作計劃（案例分析綜合組、管理組、網(wǎng)絡(luò)組…）

迎親：進(jìn)場準(zhǔn)備（進(jìn)場通知，如對方或第三方人員；設(shè)備準(zhǔn)備，如工具等，標(biāo)識佩戴…）現(xiàn)場測評現(xiàn)場測評工作要注意的問題首次會議（如有必要），聽取對方高管的情況簡介，向被測單位有關(guān)人員說明此次任務(wù)、測評計劃介紹、雙方測評人員的相互認(rèn)識…問詢技巧（直接提問，如業(yè)務(wù)重要性；間接提問，如安全事件；反向提問，適合于所有方面）資料核對（拓?fù)浜藢Γ芾眢w系文檔，設(shè)計文檔，設(shè)備臺賬…）現(xiàn)場檢測（測試過程記錄、抓屏、數(shù)據(jù)提取…）末次會議（如有必要），向?qū)Ψ礁吖芎喴偨Y(jié)現(xiàn)場測評的初步結(jié)論，指出優(yōu)缺點(diǎn)，但暫不做最終結(jié)論

資產(chǎn)識別

資產(chǎn)識別在整個風(fēng)險評估中起什么作用？兩點(diǎn)：是整個風(fēng)險評估工作的起點(diǎn)和終點(diǎn)

資產(chǎn)識別的重點(diǎn)和難點(diǎn)是什么？資產(chǎn)識別的方法有哪些？資產(chǎn)安全性賦值：CIA（5級）資產(chǎn)重要性分級：5級（很高、高、中等、低、很低）模糊定性→半定性半定量→精確定性金字塔法：按信息形態(tài)分類

資產(chǎn)識別效果圖：禮花模型機(jī)構(gòu)業(yè)務(wù)戰(zhàn)略信息化戰(zhàn)略信息系統(tǒng)資產(chǎn)識別資產(chǎn)分類資產(chǎn)A：1級資產(chǎn)B：4級資產(chǎn)E：5級資產(chǎn)D：3級

案例分析威脅識別

威脅識別與資產(chǎn)識別是何關(guān)系？點(diǎn)和面：重點(diǎn)識別和全面識別威脅識別的重點(diǎn)和難點(diǎn)是什么？三問：“敵人”在哪兒？效果如何？如何取證？威脅識別的方法有哪些？威脅分類：植樹與剪枝。威脅源、攻擊樹（查閱主要的數(shù)據(jù)庫，如CERT/CNCERT/CVE…）；金字塔法。根據(jù)信息形態(tài)分類（信息環(huán)境、信息載體、信息）來分析威脅源。威脅嚴(yán)重性賦值：威脅出現(xiàn)的頻率是賦值的重要依據(jù)，但不是唯一依據(jù)。例如隕石撞地球。威脅嚴(yán)重性分級：5級（很高、高、中等、低、很低）濃霧→半定性半定量→薄霧信息環(huán)境信息載體

信息

環(huán)境威脅

載體威脅

信息威脅

環(huán)境威脅

載體威脅

信息威脅

威脅識別效果圖：群山模型

案例分析脆弱性識別

脆弱性識別的難點(diǎn)是什么？三性：隱蔽性、欺騙性、復(fù)雜性脆弱性識別的方法有哪些？脆弱性分級：5級（很高、高、中等、低、很低）模糊定性→半定性半定量→精確定性脆弱性識別與威脅識別是何關(guān)系？驗證：以資產(chǎn)為對象，對威脅識別進(jìn)行驗證脆弱性識別效果圖：雙星模型

離線測試在線測試

案例分析風(fēng)險計算

安全事件發(fā)生的可能性

安全事件發(fā)生造成的損失

風(fēng)險值資產(chǎn)識別威脅識別脆弱性識別資產(chǎn)價值脆弱性嚴(yán)重程度威脅頻率安全事件造成的損失安全事件可能性風(fēng)險分析示意圖風(fēng)險值

GB/T20984-2007風(fēng)險分析原理圖從柔到剛再到柔

風(fēng)險評估報告評估報告要注意的問題安全措施確認(rèn)與剩余風(fēng)險分析的關(guān)系（新三年舊三年縫縫補(bǔ)補(bǔ)又三年）專家評審與報告簽署授權(quán)的關(guān)系統(tǒng)一的格式（有利于今后進(jìn)行基線、基準(zhǔn)統(tǒng)計）全方位的效果展示（圖例、表例、動畫演示…）未來展望FISMA/NIST風(fēng)險管理框架安全生命周期SP800—39

信息系統(tǒng)分類SP800—60

安全控制選擇SP800—53

安全控制實施SP800—70

安全控制評估SP800—53A

信息系統(tǒng)授權(quán)SP800—37

安全控制監(jiān)控SP800—37/53A

風(fēng)險評