信息安全风险评估实践和探索.ppt

信息安全风险评估实践与探索 国家信息中心信息安全研究与服务中心 安全评估事业部 禄 凯 Tel: (010)Fax: (010)Email: lukai@ Information Security Research Service Institution Of State Information Center 汇报内容 一、网络空间安全与风险评估 二、评估实践的一些体会 三、案例分析 四、安全服务中心业务开展情况 一、网络空间安全与风险评估 一、网络空间安全与风险评估 安全威胁日益严重 一、网络空间安全与风险评估 面对层出不穷的安全漏洞和各式各样的威胁，简单的产品堆叠无法保证您的信息安全！ 一、网络空间安全与风险评估 2005年2月，美国总统信息技术顾问委员会（PITAC）向美国总统提交了一份必威体育精装版报告－－《网络空间安全：迫在眉睫的危机》。提出美国目前网络空间安全所面对的重大问题包括： 1、IT基础设施在恐怖和敌对攻击面前非常脆弱； 2、网络漏洞和网络攻击增长速度非常快；（20％－40％） 3、无所不在的互联意味着处处可能存在安全漏洞； 4、软件是主要漏洞所在； 5、无穷无尽的打补丁并不是好的解决办法； 6、需要新的基础性安全模型和方法； 7、联邦政府在研发工作中的核心地位； 8、网络空间安全的非技术因素。 一、网络空间安全与风险评估 为了应对这些威胁，在《网络空间安全：迫在眉睫的危机》报告中，PITAC提出了10大优先研究项目，其中信息安全风险评估位列其中。其主要研究内容包括： （1）开发网络空间安全测试方法、评估标准； （2）风险分析方法和基于不同领域的评估方法（政治、军事、经济等）； （3）安全风险以及一致性检查的自动评估工具的研发； （4）对易受到攻击对象的评估研究工作，如源代码扫描工具； （5）通过研究过程管理、配置管理和补丁管理的最佳策略方案，来发现并提供有效的安全管理实施方案。 二、评估实践的一些体会 二、评估实践的一些体会 （二）评估实施的五个关键阶段 二、评估实践的一些体会 （三）两种常用评估计算方法 二、评估实践的一些体会 2、二元法则：Risk（风险）＝Impact（影响）× Possibility（可能性） 二、评估实践的一些体会 （四）《信息安全风险评估指南》对实践的指导作用： 以国标的形式描述了有关风险评估所涉及到的概念以及外延边界； 定义了评估所必须的诸元素的等级划分，并易于在工作中引用； 评估指南标准是一个广泛普适的方法论，对各行业的评估工作具有很好的指导作用。在此基础上结合各行业的特殊性，便于形成行业规范或行业标准； 对等级保护的实施具有很好的技术支撑作用。 二、评估实践的一些体会 （五）如何规避评估自身带来的风险 信息泄密问题 评估结果的效力问题 评估过程难于控制问题 把握好定性与定量程度问题 三、案例分析 案例1：某部委门户网站系统项目 案例2：某部委内部信息系统网络项目 案例3：国家电子政务外网项目 三、案例分析（1） 项目：某部委门户网站无损测试评估 信息系统说明：主站WWW系统、Email系统、VOD系统，子站60个 评估内容：黑盒渗透测试、风险分析、加固建议 三、案例分析（2） 项目：某部委内部业务网络安全风险评估 系统说明：系统比较复杂，系统包括windows，AIX，Linux，网络包括以太网＆ATM网络，并多达7个安全域。 评估内容：策略评估、安全技术措施确认、风险评估 三、案例分析（3） 项目：国家电子政务外网建设方案安全评估 信息系统说明：广域网络、城域网络、32个省级节点….. 评估内容：方案评估，资产识别，威胁分析，脆弱性识别，风险分析； 案例分析： 安全体系咨询； 各安全域防护需求； 安全域等级划分； 容灾分析； 潜在威胁类别分析； 潜在脆弱性分析 …… 三、案例分析 共性问题 （1）已有安全保护措施没有起到应有的作用 （2）缺乏安全管理制度，或是不落实 （3）缺乏安全监管措施，基本没有考核办法 （4）对国家、行业有关标准不清楚 （5）非技术性问题占很大程度 四、安全服务中心业务开展情况 国家信息中心信息安全研究与服务中心开展信息安全工作已有20年的经验，从事信息安全风险评估研究与服务近3年时间，目前已经形成了一定技术能力和评估方法体系，我们开展这项业务的理念是： 1、基于标准 2、针对关键业务 3、风险规避 4、最小投入 四、安全服务中心业务开展情况 四、安全服务中心业务开展情况 结束语 国家信息中心安全研究与服务中心愿与各行业主管单位密切合作，