信息安全与风险管理培训教材.ppt

信息安全与风险管理安全管理安全管理主要内容及概述u 安全计划是公司的安全管理的核心组成部分，目的是保护公司财产。u 风险分析是确定公司财产，发现构成威胁的风险并评估这些危险变成现实的时可能承受的危害和损失，风险分析的结果帮助管理者采取可行的安全策略，为在公司中发生的活动提供安全方面的指导，说明安全管理在公司安全计划中的价值。u 安全教育将上面的信息灌输给公司中的每个员工，这样，每一个人都受到教育，从而能够更容易的朝着同一个安全目标前进。安全管理安全管理过程安全管理安全管理职责u 安全计划 安全计划须包括目标、范围、方针、优先级、标准和策略。资源有人力资源、资本、硬件以及信息等多种形式。安全管理自顶向下的方法安全管理和支持控制管理的、技术的和物理的控制相互协作物理控制：设施保护、安全防护、锁定、监控、环境控制、入侵检测技术控制：逻辑访问控制、加密、安全设备、鉴别和认证管理控制：策略、标准、规程、方针、屏蔽人员、安全意识培训公司数据和财产安全指标安全管理和支持控制安全管理和支持控制安全的基本原则安全定义安全管理和支持控制脆弱性脆弱性（Vulnerability）是一种软件、硬件或是过程缺陷，这种缺陷也许会给攻击者提供正在寻找的方便之门，这样他就能够进入某台计算机或某个网络，并在这个系统中对资源进行未经授权的访问。威胁威胁（Threat）是威胁因素利用错若星所造成的损失的潜能或是可能性。暴露暴露（Exposure）是因威胁因素而遭受损失的一个案例。对策对策（countermeasure）或者安全措施，可以减轻潜在的风险。安全措施威胁因素威胁脆弱性风险资产暴露引起利用导致可以破坏并且引起一个不能够被预防，通过直接作用到机构安全框架在网络中评估这些概念的正确顺序为：威胁、暴露、脆弱性、对策，最后为风险。这是因为：如果具有某种威胁（新的SQL攻击），但是除非你所在公司存在对应的脆弱性（采用必要配置的SQL服务器），否则公司不会暴露在威胁之中，这也不会形成脆弱性。如果环境中确实存在脆弱性，就应该采取对应策略，以降低风险。安全管理和支持控制应用概念的顺序安全管理和支持控制安全框架总体安全机密性 完整性 可用性代价合理的解决方案安全措施对策法律责任安全意识系统可靠性策略和规程保护需求数据分级功能性评价定量和定性风险评估风险分析定义风险和威胁完整性 完整性业务对象安全规划安全管理和支持控制日常目标或操作目标都集中在工作效率和面向任务的活动和说那个，这样才能保证公司的功能能够以一种平顺而且可以预见的方式实现。中期目标或战术目标，可能是将所有的工作站和资源都整合到一个地方，这样就可以实现集中控制。长期目标，或战略目标，可能会涉及到如下活动；将所有部门从专用通信线路转移到帧中继方式，为所有的远程用户转杯IPsec虚拟专用网；（VPN）以代替拨号方式，向系统中整个带有必要安全措施是的无线技术。安全框架-Cobit安全管理和支持控制安全框架COSO安全管理和支持控制 控制活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督 不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境 营造单位气氛让公司员工建立内部控制 因素包括正直，道德价值，能力，权威和责任 是其他内部控制组成部分的基础 信息和沟通 及时地获取，确定并交流相关的信息 从内部和外部获取信息 使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流 风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1coso是一个企业治理模型，而Cobit是一个IT治理模型。coso更多面向策略层面，而Cobit则更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法，但只能从it角度来看，因为coso还处理非IT项目，如公司文化、财务会计原则、董事会责任和内部通信结构。安全框架ISO17799安全管理和支持控制ISO17799时最常用的标准，它由正式标准英国标准7799（BS7799）发展而来。这个是一个世界公认的信息安全管理标准，他为企业安全提供高级概念化建议。它由两部分构成；第一部分是一个执行指导，由如何建立一个综合性的信息安全结构体系的指导方针组成；第二部分是一个审计指导，说明一个遵守ISO17799的组织必须满足的要求。安全框架ITIL安全管理和支持控制服务设计服务战略服务转换 服务运营产生财务 投资组合需求服务目录服务级别可用性连续性供应商度量趋势分析报告改进事件(Event)事故(Incident)问题技术访问变更资产&配置发布和部署有效性变更资产&配置安全框架小结安全管理和支持控制Cobit 和COSO 提供“要实现什么”，而不是“如何实现它”，这就是ITIL 和 ISO17799 存在的原因。要实现什么CobitCOSOISO17799ITIL如何实现它安全管理安全治理 安全治理（Security Governance）在本质上非常类似于企业的IT 治理，因为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组织结构内进行，而且都以辅助确保公司的生存和发展为目标只是侧重点不同。IT 治理学院在董事会参考之IT 治理简介第二版中对安全治理的定义。“治理是董事会和执行管理层履行的一组责任和实践，其目标在于提供策略指导，确保目标得以实现，封信啊得到适当管理，并证明切叶的资源得到合理的利用。”这个定义完全正确，但它仍然非常抽象，这更像一个策略性政策声明，然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实践。对于安全治理而言，必须有什么东西的到治理。一个组织必须执行的所有控制共同成为安全计划安全管理制定安全计划安全计划是一个永不终止的生命周期；安全管理u 实施 分配任务和责任 指定和实施安全策略、规程、标准、基线和指导。确定静态和动态敏感数据。实施以下蓝图（Blueprint）资产确定和管理 风险管理 脆弱性管理 法规遵从 身份管理和访问控制 变更控制 软件开发声明周期 业务连贯性规划 意识和培训 物理安全 事故响应 实施每个蓝图的解决方案（管理、技术、物理的）。开发每个蓝图的审计和监控解决方案 确定每个蓝图的目标、服务等级协议（SLA）和标准。计划和组织u 计划和组织 确定管理承诺 成立监督指导委员会 评估业务推动力 了解组织威胁概况 进行风险评估 在组织、应用软件、网络和组建鞥开发安全体系结构。确定每个体系结构层面的解决方案 获得管理层的批准，以继续向前u 运作和维护 遵循规程，确保所有极限在每个实施的蓝图中的到满足 执行内部和外部审计 执行每个蓝图中列出的任务 管理每个蓝图的服务等级协议u 监控和评估 每个蓝图的核查日志、审计结果、收集的标准值和SLA 评估每个蓝图的目标完成情况 每季与指导委员会举行会议 确定改进步骤，并将其整合到“计划和组织”阶段安全管理安全框架蓝图安全管理商业需求信息风险管理u 风险是指破坏发生的可能性，以及破坏发生后的衍生情况。u 信息风险管理（Information Risk Management，IRM）指识别并评估风险、将它降低到可接受的水平、执行正确的机制来维持这种水平的过程。u 关键是在于识别这些威胁，估计他们实际发生的可能性以及他们可能造成的破坏，并采取恰当的措施，将环境的总体风险降低到组织认为可以接受的水平。风险管理概述信息风险管理策略p IRM策略为企业的风险管理过程及步骤提供基础架构，应解决包括人员选拔、内部威胁、物理安全与防火墙在内的一切信息安全问题。p 同时，它还应为IRM团队如何向高级管理层通报公司风险信息，以及如何执行管理层的风险弱化策略提供指导。恰当的风险管理需要高级管理层的鉴定承诺以及一个文本化流程，这个过程为机构的使命、IRM策略和委任的IRM团队提供支持。信息风险管理风险管理团队完成目标的必要的条件获得高级管理层的支持，从而对资源进行合理的调配。这个团队也需要一个领导，在大型组织内，这名成员应用50%70%的时间来处理风险管理工作。管理层必须投入资金对此人进行必要的培训。为其提供风险工具，以确保风险管理工作的顺利进行。信息风险管理风险分析风险分析提供了一种成本/收益比，也就是用来保护公司免收威胁安全措施的费用和预料中的损失所需要的代价之间的比值。信息风险管理风险分析团队要实现最有效的风险分析，就需要建立一个团队，这个团队的成员可以是管理人员、应用程序员、IT 人员、审计员、系统及成员或者运行部经理，这个是必需的。样所有的风险才能被充分了解和量化。通过进行内部调查、访问或举办研讨会。可以收集到许多类似的信息。信息风险管理信息风险管理资产价值资产可以被赋予定量和定性的度量，不过这些度量方法应该有根有据。采取什么安全机制和应该花费多少资金来进行保护工作的第一步。确定一项资产的价值，还能够完成一个公司的其他若该需求，包括下面这些。进行有效的成本/收益分析 选择特定的对策和安全措施 决定保险责任范围 了解什么东西正在面临风险资产包括有形资产（计算机、设施、供给品）或无形资产（声誉、数据、知识产权）。由于无形资产的价值会随着时间而变化，所以很难对其进行量化。信息风险管理威胁和脆弱性的关系威胁因素 可能利用的脆弱性 导致的威胁病毒 缺少反病毒软件 病毒感染黑客 服务器上运行功能强大的服务 对保密信息的非授权访问用户 操作系统中配置错误的参数 系统故障火灾 缺少灭火器材 设施和计算机损失，可能造成生命损害雇员 松懈的访问控制；缺少审计 损坏重要的关键信息；在数据处理应用程序中更改输入输出承包人 松懈的访问控制机制 盗窃商业机密攻击者 写的很差的应用程序；缺少严格的防火墙设置造成缓冲区溢出；进行拒绝服务攻击入侵者 缺少安全警卫 打破窗户，盗窃计算机和设备识别威胁信息风险管理风险分析常见方法信息风险管理定量风险方法信息风险管理安全管理风险分析的步骤 资产的价值是多少。维护需要多少成本。资产的收益。对于竞争对手来说，他的价值是多少。重建和修复该资产需要多少费用。获取和开发该资产需要多少费用。资产损失，你要负多大的责任。会造成什么物理损失，这样带来多大的成本。生产力损失多少，这会带来多大的成本？如果保密信息被泄露，损失多少。恢复过来的成本是多少。关键的设备出故障，会带来损失。对每项风险和设施的事故计算单次损失期望值（SLE）。p 从每个部门的人员那里手机有关每种风险发生可能性的信息。检查过去的记录以及提供数据的官方安全资源。p 计算年发生概率（ARO），也就是每种威胁在一年中可能发生的次数n 将潜在损失和可能性综合起来n 使用前3部中计算得到的信息，对每种威胁计算年损失期望值（ALE）n 为抵消每项风险选择补救措施n 为每项措施计算成本/收益值l 减小风险l 分担风险：买保险从而将部分或全部风险转移l 接受风险：让分线存在，不花钱采取保护措施l 避免风险：终端危险的操作定量风险计算的相关概念信息风险管理定量风险计算的相关概念 风险分析方法是定性分析，这种方法不对各个要素和损失赋予数值和货币价值。定性分析技术包括判断、直觉和经验。定性分析技术的例子有Delphi、头脑风暴、情节串联、焦点群体、调查、问卷、检查表、一对一会谈以及采访。风险分析团队撰写了一页概况，说明黑客攻击公司内部5太文件服务器访问呢保密信息的情况，并将它发给了预先选定的一个五人小组（IT经理、数据库管理员、应用程序员、系统操作员和运行部经理）。这个预先选定的团队对威胁的严重程度、潜在损失和每种安全措施的有效性，用15的等级进行排序，1代表最不严重、最不有效或最不可能。威胁=黑客访问保密信息威胁的严重性威胁发生的可能性给公司造成的潜在损失防火墙的有效性入侵检测系统的有效性蜜罐的有效性IT经理 4 2 4 4 3 2数据库管理员4 4 4 3 4 1应用程序员 2 3 3 4 2 1系统操作员 3 4 3 4 2 1运行部经理 5 4 4 4 4 2结果 3.6 3.4 3.6 3.8 3 1.4信息风险管理属性 定量的 定性的不需要计算 需要更多的复杂计算 设计大量猜想工作 提供一般风险领域和指标 更容易自动化评估 用于风险管理性能追踪 提供可信的成本/收益分析 使用可验证而客观的标准 提供了那些非常清楚这个过程的职员的意见 指出了可能在一年之内招致的明确损失 定量VS.定性定量方法缺点 评估方法及结果相对主观 无法为成本/收益分析建立货币价值 用主观方法很难追踪风险管理目标 没有相应的标准。每个供应商解释器评估过程和结果的方式各不相同定性方法缺点 计算更加复杂。管理层能够理解这些结果是怎么计算出来的吗？没有自动化的工具可供利用，这个过程完全需要手动完成 需要做大量的基础性工作，手机与环境有关的详细信息 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。信息风险管理保护机制信息风险管理 确定风险分析的计算后，下一步是确定现行的安全机制并评估他们的效果。安全措施使用的成本/收益计算公式为：（实行安全措施之前的ALE）-（实行安全措施之后的ALE）-（安全措施每年的费用）=安全措施对公司的价值 基础模块 提供统一的保护 提供否决功能 默认为最小优先级 安全措施及其保护的资产相互独立 适应性和功能 用户交互 用户和管理员之间的清楚界限 最少的人为干预 资产保护 容易升级 审计功能 最小化对其他组件的依赖性 容易被职员使用和接受，并能容忍错误 必须产生可用和可以理解的输出 必须能够重启安全措施 可检测 不引入其他危害 系统和用户效能 普遍应用 恰当的警告 不影响资产安全措施采购考虑因素信息风险管理第1 步 第2 步 第3 部指派资产和信息价值风险分析和评估选择和实施防护措施 要进行一项风险分析，公司就因该决定应该保护那些财产以及保护的程度如何。还应该说明保护具体的财产所需的钱数。应该评估依稀可用安全措施的功能，确定那些安全措施对环境最有力。然后评估一下安全差距、成本，并作出比较。这些步骤和结果信息能够保证管理人员的选择和购买防护措施最初最明智和最有远见的决定。综合考虑信息风险管理信息风险管理总风险VS.剩余风险安全管理1.成立团队2.确定范围3.确定方法4.确定工具5.了解可接受的风险等级1.确定资产2.分配资产的价值3.确定脆弱性和威胁4.计算风险5.成本/收益分析6.不确定性分析计划 收集信息 定义建议1.减轻风险2.转移风险3.接受风险4.规避风险管理减轻风险选择控制方法实施监控转移风险购买保险接受风险什么也不做规避风险停止活动风险管理计划风险处理方法策略、规程、标准、基线和方针概述 一个安全计划包含为公司提供全面保护和长远安全策略必需的所有条款。一个安全计划应该具有安全策略、规程、标准、方针、基线和安全意识培训、意外处理以及遵守程序。人力资源部和法律部门应该加入到开发和加强这些问题的活动中来。策略、规程、标准、基线和方针概述策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针策略、规程、标准、基线和方针安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理安全管理