信息安全管理与信息安全风险评估.ppt

1、李成峰CISSP IS027001 LA 渗透技术培训站“第八军团”创始人 出版书籍Tel:13922460735 Email:li_,什么是信息安全？ 您的组织存在那些信息安全问题? 当前采取那些信息安全防御策略? 这些安全防御策略有效吗、能解决信息安全问题吗？ 如何构建实施符合国家、行业、企业本身的安全体制？ 如何确保持续性的运行稳定？,“痛苦”的仓鼠？,信息安全保障,信息安全管理,信息安全保障体系实施,通信保密（ComSEC) 计算机安全(CompSEC) IT安全(ITSEC) 信息安全保障（IA),信息安全发展历程,信息安全发展历程,第一阶段：通信保密,上世纪40年代70年代 重点是

2、通过密码技术解决通信保密问题，保证数据的保密性与完整性 主要安全威胁是搭线窃听、密码学分析 主要保护措施是加密 重要标志 1949年Shannon发表的保密系统的通信理论 1977年美国国家标准局公布的数据加密标准（DES） 1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制,加 密,解 密,嵌 入,提取,B 嵌入钥匙,B 嵌入钥匙,B 解密钥匙,B 加密钥匙,传送方,接收方,案例分析,影像加密伪装传输,案例分析,微软护照问题,1. 資料來源：2001年11月4日，台湾的联合报5版发表。 2. 在西雅图网络安全研究

3、员史蘭科发现一种欺骗微软公司保障网络购 物的护照(Passport)主机，將他人的电子钱包資料傳給他的方法并通知微软工程部之后，自2001年10月31日起，微软公司暂时关掉该项服务，以便進行網路修复与测试。 3.护照是微软未來最重要的科技之一，至关闭时间为止，已有2,000,000人註冊使用，而几乎所有XP的用戶均无法使用到其服務。,信息安全发展历程,第二阶段：计算机安全,上世纪7080年代 重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性 主要安全威胁扩展到非法访问、恶意代码、脆弱口令等 主要保护措施是安全操作系统设计技术（TCB） 主要标志是1985年美国国防部公

4、布的可信计算机系统评估准则（TCSEC）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充红皮书TNI（1987）和TDI（1991），构成彩虹（rainbow）系列。,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,案例分析,操作系统安全,信息安全发展历程,第三阶段：IT安全,上世纪90年代以来 重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性 主要安全威胁发展到网络入侵、病毒破坏、信息

5、对抗的攻击等 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、安全管理等 主要标志是提出了新的安全评估准则CC（ISO 15408、GB/T 18336）,案例分析,入侵技术交流,. 源起：2001年4月1日美國情報偵察機誤闖中國領空與其所導致的殲八撞機失事、飛行員王偉先生失蹤事件。 . 雙方主力：.1 中方：Lion联系了我國紅客聯盟(Honker Union of China， 簡稱HUC)、第八军团、黑客聯盟與鷹派駭客組織。.2 美方：prOphet與poizonB0x駭客組織。 . 戰爭起迄時間：2001年4月30日晚上20時2001年5月8日。 . 雙方戰果：

6、.1 美方被攻破網站：約1,600個。 .2 中方被攻破網站：約1,100個。,案例分析,中美黑客大战,入侵方式說明： 1. 以 Solaris主機上 buffer overflow 漏洞，在 Solaris 主機上安裝後門程式（包括 Solaris 7）。 2. 發動 Solaris 主機上安裝後門程式，利用port 80 及 IIS unicode 漏洞，自動掃瞄攻擊Windows NT IIS主機（安裝IIS Worm後門程式，並修改網頁 ）。 3. Solaris 主機入侵 2,000 台 IIS 主機後，修改 Solaris 主機的 index.html 網頁。,中美黑客大战,前网站

7、入侵描述图,1. Solaris 主機： n 檢查是否存在以下目錄： /dev/cub - contains logs of compromised machines /dev/cuc - contains tools that the worm uses to operate and propagate n 檢查是否有下列後門程式在執行： /bin/sh /dev/cuc/sadmin.sh /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111 /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80 /bin

8、/sh /dev/cuc/uniattack.sh /bin/sh /dev/cuc/time.sh /usr/sbin/inetd -s /tmp/.f /bin/sleep 300 2.NT IIS 主機： n IIS Server Log File(Winnt/System32/Logfiles)：2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/ winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 G

9、ET /scripts/ winnt/system32/cmd.exe /c+dir+ 200 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/winnt/system32/cmd.exe /c+copy+winnt system32cmd.exe+root.exe 502 - 2 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/root.exe /c+echo+/./index.asp 502 -3 3. 被入侵的網頁文字如下： fuck U

10、SA Government fuck PoizonBOx contact:,中美黑客大战,前网站入侵方法,1990 European Information Technology Security Evaluation Criteria (ITSEC),1990 Canadian Trusted Computer Product Evaluation Criteria (CTCPEC),1993 US Federal Criteria (FC) CTCPEC 3.0,1985 US Trusted Computer System Evaluation Criteria (TCSEC),1996

11、 Common Criteria for Information Technology Security Evaluation (CC),1998 ISO/IEC 15408(DIS) (CC 2.0),1999 ISO/IEC 15408 (CC 2.1),信息安全发展历程,发展历程之间关系,信息安全发展历程,发展历程之间关系,问题:CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？,1. 1997年10月7日，美国公告了针对 ISO/IEC 15408(以下简称CC)通过后认证机制所需TTAP (Trust Technology Assessment Program)

12、 Laboratories,接受CC测试与评估工作，作为NIAP (National Information Assurance Partnership) CCEVS (Common Criteria Evaluation and Validation Scheme)认证建立起来的过渡方案。 2. 1997年11月8日，TTAP提出基于CC认证、检测的工作建议。 3. 1999年4月，美国、加拿大、德国、英国、法国共同簽署CCMRA (Mutual Recognition Agreement)，預期欧洲、亞太其他国家将陆续加入。 4. 1999年5月14日，美國公告了CC认证计划，同時宣布密码

13、組认证计划將并入此计划。 5. 1999年6月8日，美国宣布CC 2.1版正式成为ISO/IEC 15408。 6. 2000年5月2325日，在美国Baltimore International Convention Center举办第1次CC国际研讨会。 7. 2000年8月30日，美国公告Computer Science Corporation (CSC)， Cygna Com Solutions, Science Applications International Corporation (SAIC)與 TUV:T Incoporated 4家民間实验室已經通過NIAP的認可 CCT

14、L (Common Criteria Testing Laboratories)。,信息安全发展历程,发展历程之间关系,美国国家安全局,国家标准技术局,国家认证机构,多个授权测试实验室,认证申请者,国家实验室认可程序,管理 监督 指导,评估 结果,信息安全发展历程,美国测评认证体系模式,信息安全发展历程,国际互认情况,15408: 通用准则(CC) 15292: PP注册程序 15446: PP和ST生成指南 15443: IT安全保障框架 (FRITSA) 18045: 通用评估方法（CEM) 19790: 密码模块的安全要求 19791: 运行系统的安全评估 19792: 生物识别技术的安

15、全测评框架 (SETBIT) 21827:2002 系统安全工程 能力成熟模型 (SSE-CMM),信息安全发展历程,测评相关标准,信息安全发展历程,第四阶段：信息安全保障,“确保信息和信息系统的可用性、完整性、可 认证性、保密性和不可否认性的保护和防范活动。 它包括了以综合保护、检测、反应能力来提供信息 系统的恢复。”-美国国防部（ DoD）国防部令S-3600.1,信息保障(IA)定义,一个宗旨:保障信息化带来的利益最大化(应用服务安全)两个对象 信息信息系统三个安全保障能力来源技术管理人,信息保障,信息保障包括什么,四个层面 局域计算环境 边界和外部连接 基础设施 信息内容,信息保障,信

16、息保障包括什么,五个信息状态产生 存储 处理 传输 消亡,六个信息保障的环节预警（W）保护（P）检测（D）响应（R）恢复（R）反击（C）,信息保障,应用安全边界分析,七个安全属性 保密性 完整性 可用性 可认证性 不可否认性 可控性 可追究性,信息保障,信息保障包括什么,看不懂,进不来,改不了,跑不了,可审查,打不垮,信息保障,信息安全表现层面,信息安全保障国家信息安全体系框架,信息安全保障体系框架,安全法规,安全管理,安全标准,安 全 工 程 与 服 务,安 全 基 础 设 施,教育培训,信息安全保障国家信息安全体系框架, 信息安全管理基础标准GB/T19715.1-2005信息安全管理指南

17、 第一部分:IT安全管理的概念和模型 GB/T19715.2-2005信息安全管理指南 第二部分:管理和规划IT安全 信息安全管理要素标准GB/T19716-2005信息技术 信息安全管理实用规则 GB/T20269-2006信息安全技术 信息系统安全管理要求,信息安全保障我国信息安全管理标准,最近正式公布的标准GB/T20984-2007信息安全技术 信息安全风险评估规范GB/Z20985-2007信息技术安全技术 信息安全事件管理指南GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南GB/T20988-2007信息安全技术 信息系统灾难恢复规范,信息安全保障我国信息安全管

18、理标准, 2007年制修订：制定 信息安全管理体系要求（27001） 信息安全管理体系认证机构的认可要求（27006） 信息安全风险管理规范修订 GB/T 19716-2005信息技术 信息安全管理实用规则预编制 灾难恢复计划 信息安全风险评估实施指南,信息安全保障我国信息安全管理标准, 信息安全等级保护办法 (公通字200743号) 电子银行业务管理办法 (银监会20065号) 国家电子政务工程建设项目管理暂行办法(发改委 200755号) 银监会、保监会、电监会、证监会17大安全工作保证要求 2008奥运安保工作要求（民航、铁路、电力、银行、新闻、气象 等部门） 国税系统安全评估检查（轮巡

19、、抽查）,信息安全保障各行业落实情况,信息安全保障我国安全体系落实架构,信息安全保障,历史发展看保障策略,物理和环境安全,自然威胁（如：地震、洪水、风暴、龙卷风等） 设施系统（如：通信中断、电力中断） 人为/政治事件（如：爆炸、蓄意破坏、盗窃、恐怖袭击、暴动）,物理和环境安全,物理和环境安全威胁,物理和环境安全,物理和环境安全威胁,墙，窗和门 入口点 门 窗 屋顶入口 服务或运输通道 火警通道 其它通道,物理和环境安全,设施和建筑物,基础设施支持系统包括电力，水/水管系统，燃气管道，及供热、通风、空调（HVAC）,和冰箱。,物理和环境安全,设施和建筑物,电力 电力扰动能造成严重的业务影响； 信

20、息系统的运行所需能源； 关键是理解停业的成本； 目标是获得“干净和稳定的电力”,物理和环境安全,基础设施支持系统,电力脆弱点： 停电：完全丧失电力供应超过1-5分钟以上； 灯火管制：商业电力持续丧失； 故障：电力突然中断,物理和环境安全,基础设施支持系统,电力脆弱点原因： 电力降低 故意的电压降低； 偶尔的电压降低； 电力供给中，突然电压升高。,这些支持系统是如何安装的？ 是否涉及计算机单元？ 是否保持了合适的温度和湿度水平，空气质量如何？,物理和环境安全,供热、通风、空调（）,周边,大楼地面,大楼大门,楼层、办公室分布,数据中心/设备、媒介,物理和环境安全,层次化安全防护,物理控制措施的目标

21、为：预防延迟监测评估对物理入侵的适当反映,物理和环境安全,物理安全控制,周边和大楼场地 大楼入口点 大楼里边-大楼地板/办公室分布 数据中心/服务器机房安全 计算机设施保护 对象保护,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,物理和环境安全,物理安全控制措施,信息安全防护结构,信息安全防护结构,安全分区图,信息安全防护结构,路径和节点分析,信息安全防护结构,子网和边界分析,信息安全防护结构,相关标准如何借鉴,信息安全防护结构,相关标准比较,信息安全防护结构,案例:安全域划分,信息安全防护结构,案例:安

22、全域划分,还存在那些风险?,1. 2001年华盛頓报引用美国联邦官员的话报道，涉嫌911案的恐怖分子使用隱藏在网络上的訊息，用以计划、伪装並互相协调他們的攻击活动。 3. 法国警方发现一本属于涉嫌911案的一名恐怖分子的笔记本，其中记载的密码或可读本拉登网络內的信息。這本笔记本已經送交美国当局处理。 4. 許多美國及海外的网络从业者，包括美国在线、微软、雅虎等，已經收到信息，要求其交出所謂的网络隐藏图文的通讯记录。 5. ISO TR 13569 1997(E)中，对于信息隐藏学之图像疊加、隐藏痕迹协议、数字浮印等技术日益普及帶來之新的信息安全风险特別要求加以补充。,信息安全保障案例分析：信息

23、隐蔽,信息安全对策必须以风险管理为基础：安全不必是完美无缺、面面俱到的。但风险必须是能够管理的。 最适宜的信息安全策略就是最优的风险管理对策。这是一个在有限资源前提下的最优选择问题： 防范不足会造成直接的损失；防范过多又会造成间接的损失。必须根据安全目标审查安全手段。 信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。,信息安全防护结构,信息风险对策：风险管理,信息安全保障,信息安全管理,信息安全保障体系实施, 英国模式 BS 7799认证 美国模式 认证与认可(C&A)模式 认证是指由认证机构证明产品、服务、管理体系符合相

24、关技术规范、相关技术规范的强制性要求或 者标准的合格评定活动。认可是指由认可机构对认证机构、检查机构、实验室，以及从事评审、审 核等认证活动人员的能力和执业资格，予以承认的合格评定活动。 ISO SC27 WG1 正在构建ISMS标准体系,信息安全管理,几种管理模式, “9.11”事件后，新出现的对美国政府的威胁表明了需要新的安全措施。为应对这些初现的威胁，2002年 电子政府法形成为法律。 这个立法也包含了联邦信息 安全管理法 (FISMA) ，它代替了2001年国防授权法 包括的政府信息安全改革法GISRA)。 FISMA 引起了一个连锁反应，它要求 DoD 和其他的 联邦政府部门更新他们

25、现在的关于信息保障的指南和 标准。,信息安全管理,风险管理重要转折点, 美国是国际上信息化技术和应用最发达的国家。随着信息化应用需求的牵引，安全事件的驱动和信息安全 技术、信息安全管理概念的发展深化，他们对信息安 全风险评估管理的认识也逐步加深。以计算机为对象的信息保密阶段 以计算机和网络为对象的信息安全保护阶段 以信息系统关键基础设施为对象的信息保障阶段,信息安全管理,美国信息系统安全认证认可,NIST提出的观点:系统安全不同于产品安全,保护轮廓,IT 产品,NIAP CCEVS,CC 评价,经认可的 测试实验室,NIST CMVP,密码模块,FIPS140-2 测试,产品,保护轮廓,证据,

26、 安全目标 评估报告 认证报告, 标准 指南,运营环境,认可机构,实际的威胁和脆弱性,系统级的保护轮廓,具体的IT系统,通用子系统,产品, 风险管理 安全策略 系统安全规划, 人员安全 过程安全 物理安全, 认证 认可,技 术 安 全,SP 800-18 IT系统安全计划开发指南 （1998年12月 ） SP 800-26 IT系统安全自评估指南（2001年11月） SP 800-30 IT系统风险管理指南（2002年1月发布，2004年1月21日 修订 ） SP 800-37 联邦IT系统认证认可指南（2002年9月，2003年7月，2004年5月最后文本） FIPS 199联邦信息和信息系

27、统的安全分类标准（草案第一版）（2003年12月） SP 800-53联邦信息系统安全控制（2003年8月31日发布草案） SP 800-53A联邦信息系统安全控制有效性检验技术和流程（2005年7月发布草案） SP 800-60 信息和信息类型与安全目标及风险级别对应指南（2004年3月草案2.0版),信息安全管理,美国配套文件,SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

28、IC,8 监控, 分类, 选择, 补充, 计划, 实现, 评估, 批准,信息安全管理,NIST 800-53安全控制,信息安全管理,NIST 800-53安全控制,基准控制总数: 低:96 中:157 高:188,信息安全管理,NIST 800-53安全控制, 为了支持FISMA，DoD 于2003年发布了信息保障 的实现 DoDI 8500.2。DoDI 8500.2 定义了保证一 个信息系统的保密性、完整性和可用性必需的安 全控制，监控和管理。 美国 DoD 已经开发了一个新的 C&A过程，称为国防信息安全保障认证和认可过程(DIACAP)（DoDI 8510. bb）。它将替代DITSC

29、AP，而不是对DITSCAP的升级。,信息安全管理,美国国防部动态,信息安全管理,DIACAP过程,信息安全管理,英国模式,参照质量管理体系BSI提出了信息安全管理标 准BS 7799系列 uInformation security anagement Part 1: Code of practice for information security management Part 2: Specification for information security management systems.,信息安全管理,英国模式, BS 7799中提出了若干重要概念风险评估:评估信息安全漏洞对信

30、息处理设备带来的威胁和影响及其发生的可能性。风险管理 :以可以接受的成为、确认、控制、排除 可能影响信息系统的安全风险或将其带来的危害最 小化的过程。,信息安全管理,英国模式,信息安全管理,风险管理组织 方针,风险评估风险处理,风险评价,风险分析,信息安全管理,信息安全管理, 2005年正式推出27000系列 初步考虑制定将近10个标准全面规范信息安全管理体系(ISMS),信息安全管理,ISO SC27 WG1的ISMS系列,27000 标准 族,27000,ISMS,原则和术语,信息安全管理体系 要求,2005,27001,信息安全管理实用 规则,17799：2005,（现已改为27002）

31、,27002,27003,27004,27005,27006,27007 27009,ISMS,实施指南,信息安全,管理度量,信息安全,风险管理,信息安全管理 体系认证机构 的 认可要求,信息安全管理,ISMS安全管理体系,27000,名称:IS 27000 Information security managementsystem fundamentals and vocabulary (NP) 来源:整合改写13335内容:阐述ISMS的基本原理和词汇,27001,名称:ISO/IEC 27001 Information security management systems Requir

32、ements(信息安全管理体系要求) 来源:源于BS7799-2 内容:提出ISMS的基本要求 状况:2005年正式发布, 1 范围 2 规范性引用文件 3 术语和定义 4 信息安全管理体系（ISMS） 5 管理职责 6 内部ISMS审核 7 ISMS的管理评审 8 ISMS改进,本标准之间的对照,信息安全管理,结构,组织 受控的 信息安全,P l an,建立ISMS,建立，维,护,改进循环,保持与改进ISMS,实施与运行ISMS,Do,组织,信息安全,需求与期望,Act,监控与评审ISMS,Check,信息安全管理,模型,信息安全管理,控制目标与控制措施,个域、个控制目标、个控制措施,DO,

33、CHECK,ACT,PLAN,公司治理,风险管理处理,系统控制,内部审计功能,ISO/IEC 17799,信息安全管理,与其他体系如何结合,信息安全管理,ISMS 规划阶段的工作,信息安全管理,ISMS实施阶段的工作,信息安全管理,ISMS检查阶段的工作,信息安全管理,ISMS处置阶段的工作,1.制定信息安全目标和实现目标的途径； 2.建设信息安全组织机构，设置岗位、配置人员并分配职责； 3.实施信息安全风险评估和管理； 4.制定并实施信息安全策略； 5.为实现信息安全目标提供资源并实施管理； 6.信息安全的教育与培训； 7.信息安全事故管理； 8.信息安全的持续改进。,信息安全管理,信息安全

34、管理主要活动,“物无美恶,过则为灾” -沁园春将止酒,信息安全风险管理与风险评估, 信息安全目标错误定位: 系统永不停机 数据永不丢失网络永不瘫痪信息永不泄密,信息安全风险评估,面对风险存在不同认识,索引内容：特殊字符,页面篡改 数据失密 数据丢失 .,政治影响,经济影响,风险,威胁,漏洞,资产,信息安全风险评估,案例：安全威胁无所不在,黑色期: 初学, 样样都有趣, 样样都测试, 样样都不顾 黃色期: 小有成就, 区域霸主, 东躲西藏 花色期: 样样都知, 样样都會, 来无影去无踪 白色期 信息安全证件挂满脸, 安全术语挂满嘴, 机器被黑绝对不是我干的,常常被抓,偷看人家电脑,密码多到用不完

35、,转型成功叫专家, 转型失敗蹲监狱,信息安全风险评估,历程：一黑 二黄 三花 四白,依据国家有关的政策法规及信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行科学、公正的综合评估的活动 过程。它要评估信息系统的脆弱性、信息系统面临的威 胁以及脆弱性被威胁源利用后所产生的实际负面影响， 并根据安全事件发生的可能性和负面影响的程度来识别 信息系统的安全风险。,信息安全风险评估,风险评估定义,任何信息系统都会有安全风险，所以，人们要追求 安全的信息系统，实际是指信息系统在实施了风险评 估并做出风险控制后，仍然存在的残余风险可被接受 的信息系统。（1）方法：要

36、追求信息系统的安全，就不能脱离 全面、完整的信息系统的安全评估，就必须运用信息 系统安全风险评估的思想和规范，对信息系统开展安 全风险评估,（2）投资：信息安全建设的宗旨之一，就是在综合考 虑成本与效益的前提下，通过安全措施来控制风险， 使残余风险降低到可接受的程度。（3）方向：依据风险评估结果制定的信息安全解决方 案，最大限度的避免了盲目和浪费。可以使组织在信 息安全方面的投资获得最大的收益。,信息安全风险评估,风险评估意义,风险三角形,威 胁,资 产,脆 弱 性, 风险关键要素资产威胁脆弱性,信息安全风险评估,风险评估基本要素,信息安全风险评估,ISO TR 13335的观点,影响,使命,

37、保障,资产价值,成本,安全需求,被满足,安全措施,未控制,残余风险,事件,威胁,脆弱性,资产,风险,导致,增加,导出,导出,风险关键要素关系图,防 护 措施,脆 弱性,资产,威胁,威胁,威胁,脆 弱性,脆 弱性,脆 弱性,脆 弱性,威胁,风 险,残 余 风 险,风 险,风 险,脆 弱性,防 护 措施,防 护 措施,风险的计算R=F（A，T，V）,信息安全风险评估,风险评估风险计算方法,系统边界系统功能系统和数据的关键性系统和数据的敏感性,硬件软件系统接口数据和信息人员系统使命,系统攻击历史来自情报机构的数据,以前的风险评估报告任何审计意见安全要求安全测试结果,当前的控制规划的控制,威胁源的动机

38、威胁的能力脆弱性的性质当前的控制,分析对使命的影响评估资产的关键性数据关键性数据敏感性,威胁破坏的可能性影响的程度规划中或当前控制的足够性,威胁声明,可能的脆弱性列表,当前控制及规划控制清单,可能性级别,影响级别,风险及相关风险的级别,建议的控制,风险评估报告,识别威胁,识别脆弱性,分析安全控制,确定可能性,分析影响 完整性损失 可用性损失 保密性损失,确定风险,对安全控制提出建议,记录评估结果,描述系统特征,系统 目标分析,资产收集调查,IT设备 审计,主机系统 审计,网络设备 审计,安全设备 审计,网络架构 安全评估,安全风险评估报告 安全解决方案,应用系统 安全评估,渗透测试,安全扫描,

39、安全管理审计,业务连续性审计,信息安全风险评估,风险评估工作内容,1. 80年代後期，美國國家安全局國家電腦安全中心(NationalComputer Security Center)開始推廣穿透測試。 2. 1995年，美國國會正式使用IBM ACF/2 (B1等級)，為證明安全，由George Kurtz先生主持穿透測試。 3. 3天後，George Kurtz先生領導的穿透測試小組證實他們已能簽入IBM ACF/2主機並取得遍覽甚至修改檔案的權利，並出示美國國會的機密文件。 4. 教訓：渗透測試能協助擬定資訊系統安全計畫。,信息安全风险评估,渗透测试为安全评估直观反映,1. 1996年冬

40、季，Wheel Group Corp組成5人小組，參加FORTUNE安排之穿透測試。 2. 財星雜誌徵得排名全球500大之內的XYZ跨國企業再由著名的五大會計師事務所協防下參加測試。 3. Wheel Group Corp 5人小組於D日凌晨1:10時開始作業。 4. D日晚上21時13分，Wheel Group Corp 5人小組攻進XYZ公司內部網路，獲得突破性進展。 5. D+1日凌晨0時1分，Wheel Group Corp 5人小組攻佔XYZ公司稅務(TAX) 部門電腦。 6. D+1日凌晨2時2分，Wheel Group Corp 5人小組佔領XYZ公司技術(Technology)

41、部門電腦。,信息安全风险评估,渗透测试为安全评估直观反映,7. Wheel Group Corp 5人小組使用偽造的XYZ公司員工帳號發出一封致批准此次實驗計畫的主管，請求核准獎勵參加此次財星試驗(FORTUNEs experiment)計畫的員工，U.S.$5,000之耶誕節獎金。8. XYZ公司批准此次實驗計畫的主管裁示：Okey,fine，穿透測試結束。9. FORTUNEs出資進行財星試驗計畫，取得報導權利。 10. 資料來源：Behar, R.(1997)Whos reading your e-mail? FORTUNE,Feb. 1997,pp 3646。,信息安全风险评估,渗透测

42、试为安全评估直观反映,1. 1997年夏季，美國參謀首長聯席會議下令舉行之Eligible Receiver 穿透測試演習開始。 2. Eligible Receiver演習證實恐佈分子有能力發動電子珍珠港事件。 3. 1999年，美國國防部舉行第2次全國性之穿透測試演習。,信息安全风险评估,渗透测试为安全评估直观反映,physical,people,information systems,Risk threshold,processes,products/services,applications,ICT,信息安全风险评估,风险处置,-98,712,773,775,physical,peop

43、le,Continual,Improvement,information systems,processes,products/services,applications,ICT,Jan-02,Jun-02,Jan-03,信息安全风险评估,风险处置,信息安全风险评估,规避风险评估产生的新风险,政府开展信息安全风险评估工作, 国家电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系，应开展信息安全风险评估工作； 电子政务项目信息安全风险评估的主要内容：分析信 息系统资产的重要程度，评估信息系统面临的安全威 胁、存在的脆弱性、已有的安全措施和残余风险的影 响等；,信息安全保障,信息安全管理,

44、信息安全保障体系实施,简介,保证论据,风险信息,产品或服务,工程过程 Engineering,保证过程 Assurance,风险过程 Risk,信息安全工程,过程,安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。 SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。,PA10 指定安全要求,需求、策略等,配置信息,解决方案、指导等,风险信息,PA08 监视安全态势,PA07 协调安全,PA01 管理安全控制,PA09 提供安全输入,信息安全工程,安全工程过程,PA04：评估威胁,威胁信息 threat,脆弱性

45、信息 vulnerability,影响信息 impact,风险信息,PA05：评估脆弱性,PA02：评估影响,PA03：评估安全风险,风险就是有害事件发生的可能性 一个有害事件有三个部分组成：威胁、脆弱性和影响。,信息安全工程,安全风险过程,证据,证据,保证论据,PA11 验证和证实安全,指定安全要求,其他多个PA,PA06 建立保证论据,保证是指安全需要得到满足的信任程度 SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。,信息安全工程,安全保证过程,信息安全工程周期,计划执行 规范化执行 跟踪执行 验证执行,定义标准过程 协调安全实施 执行已定义的过程,建立可测量的质量目标 客

46、观地管理过程的执行,1,非正式 执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执行 基本 实施,改进组织能力 改进过程的有效性,公共特性,信息安全工程能力成熟度,信息安全工程信息安全工程能力成熟度,信息安全工程过程,安全保障体系实施,信息安全工程安全体系实践,评估审查内容： 安全管理健康状况 安全技术健康状况 评估审查方式： 问卷调研现场访谈+ 文档复审工具人工检查模拟测试,IT安全策略、安全组织、个人安全、资产分类和控制、网络通信安全、系统访问安全、灾难恢复计划、系统开发和维护、物理和环境安全、一致性,数据备份与信息存储保护 计算机访问控制机制 网络访问控制机制 计算机场地

47、、环境、设备、物理安全 入侵检测和攻击保护 事件响应规划和灾难恢复规划 信息输入控制 信息保密机制 远程访问安全控制 病毒防护系统 通信协议使用和设置 UNIX系统配置和使用 NT服务器配置和使用 个人PC配置和使用 数据库配置和使用 WEB访问安全 防火墙配置和使用,信息安全工程风险评估与审计,管理体系文档 安全组织与责任分工 安全内部评审及考核办法 工作人员安全守则 机房安全管理规定 信息系统设备安全管理规定 用户名、口令安全管理规定 电子邮件使用安全管理规定 第三方安全须知,日常运维文档 系统管理员安全操作手册 网络设备安全操作和管理 操作系统安全操作和管理 用户设置和口令管理 信息资产

48、分类与安全责任表 信息分类标准与方法 应用开发安全管理注意事项 新系统上线检查列表 预防病毒防范策略 外部访问安全策略 内部访问安全策略 WEB安全保护策略,信息安全工程安全策略审计,安全管理流程 安全基础和系统配置流程 访问设置流程 安全预防和监视流程 安全事件汇报/处理流程 安全日志维护流程 安全补丁管理流程 安全变更管理流程 安全风险评估流程 业务连续性管理基础流程,技术产品规范 预防病毒防范策略（管理员及最终用户） 网络设备配置策略； 安全产品使用原则（需要根据风险评估和安全策略的具体实际要求确定的安全子项目来确定安全产品范围）； 动态口令 集中用户管理和单点登录 防火墙 代理服务器 扫描器 网络入侵检测 防病毒,