信息安全风险评估的介绍

2024-05-13

1. 信息安全风险评估的介绍

本书主要面向国家和地方政府部门、大型企事业单位的信息安全管理人员，以及信息安全专业人员，可作为培训教材和参考书使用。本书对进行信息安全风险评估、风险管理、ISMS（ISO/IEC27001）认证等具有较高的实用参考价值。

信息安全风险评估的介绍

2. 什么是信息安全风险评估？

一、定义

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、风险评估对企业的重要性
企业对信息系统依赖性不断增强，而且存在无处不在的安全威胁和风险，从组织自身业务的需要和法律法规的要求的角度考虑，更加需要增强对信息风险的管理。风险评估是风险管理的基础，风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动，使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上，选择成本效益合理的、适用的安全对策。
风险评估可以明确信息系统的安全现状，确定信息系统的主要安全风险，是信息系统安全技术体系与管理体系建设的基础。
三、风险评估的个步骤：
步骤1：描述系统特征
步骤2：识别威胁（威胁评估）
步骤3：识别脆弱性（脆弱性评估）
步骤4：分析安全控制
步骤5：确定可能性
步骤6：分析影响
步骤7：确定风险
步骤8：对安全控制提出建议
步骤9：记录评估结果
四、风险评估的作用
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。

3. 什么是信息安全风险评估？

什么是信息安全风险评估？
一、定义
信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、风险评估对企业的重要性
企业对信息系统依赖性不断增强，而且存在无处不在的安全威胁和风险，从组织自身业务的需要和法律法规的要求的角度考虑，更加需要增强对信息风险的管理。风险评估是风险管理的基础，风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动，使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上，选择成本效益合理的、适用的安全对策。
风险评估可以明确信息系统的安全现状，确定信息系统的主要安全风险，是信息系统安全技术体系与管理体系建设的基础。
三、风险评估的个步骤：
步骤1：描述系统特征
步骤2：识别威胁（威胁评估）
步骤3：识别脆弱性（脆弱性评估）
步骤4：分析安全控制
步骤5：确定可能性
步骤6：分析影响
步骤7：确定风险
步骤8：对安全控制提出建议
步骤9：记录评估结果
四、风险评估的作用
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。
万方安全从事信息安全事业十多年，有多行业的安全服务成功案例，是一家提供一站式专业安全服务的信息安全服务厂商，在信息安全行业资历深厚。

什么是信息安全风险评估？

4. 信息安全风险评估的目录

第一部分　基本知识第1章　引论1.1　信息与信息安全1.2　信息安全技术与信息安全管理1.3　信息安全风险评估1.4　开展信息安全风险评估工作的意义1.5　我国信息安全风险评估推进过程第2章　主要内容2.1　信息安全风险评估的内涵2.2　信息安全风险评估的两种方式2.3　信息安全风险评估的五个环节2.4　信息安全风险评估的组织管理工作第二部分　技术与方法第3章　评估工作概述3.1　工作原则3.2　参考流程3.3　质量管理3.4　质量控制规范要求第4章　评估准备4.1　评估目的4.2　评估范围及描述4.3　建立评估团队4.4　前期系统调研4.5　确定评估标准4.6　条件准备4.7　项目启动及培训第5章　资产识别5.1　工作内容5.2　参与人员5.3　工作方式5.4　工具及资料5.5　输出结果第6章　威胁识别6.1　工作内容6.2　参与人员6.3　工作方式6.4　工具及资料6.5　输出结果第7章　脆弱性识别7.1　工作内容7.2　参与人员7.3　工作方式7.4　工具及资料7.5　输出结果第8章　安全措施识别与确认8.1　工作内容8.2　参与人员8.3　工作方式8.4　工具及资料8.5　输出结果第9章　风险分析阶段9.1　风险分析模型9.2　风险分析9.3　工具及资料9.4　输出结果第10章　有关技术标准10.1　BS 7799/ISO 1779910.2　ISO/IEC TR 1333510.3　OCTAVE 2.010.4　ISO 15408/GB 18336/CC10.5　等级保护10.6　涉秘信息系统分级保护技术要求第三部分　产品与工具第11章　风险评估管理工具11.1　天融信信息安全管理系统11.2　启明星辰风险评估管理系统11.3　联想网御风险评估辅助工具第12章　漏洞扫描分析工具12.1　极光远程安全评估系统12.2　天镜脆弱性扫描与管理系统12.3　ISS安全漏洞扫描系统第13章　入侵检测工具13.1　概述13.2　冰之眼网络入侵检测系统13.3　天阗入侵检测系统第14章　案例一：某国税安全评估项目14.1　项目概述14.2　项目阶段14.3　交付的文档及报告14.4　项目时间表14.5　安全评估具体实施内容14.6　附录第15章　案例二：某电信公司信息安全风险评估项目15.1　项目概述15.2　风险评估方案实施15.3　安全信息库的建设15.4　项目验收15.5　评估工具第16章　案例三：某公司网络风险评估项目16.1　项目概述16.2　项目指导策略16.3　风险评估方法16.4　项目实施

5. 信息安全测评与风险评估的介绍

《信息安全测评与风险评估》是由向宏、 傅鹂 、詹榜华编写，电子工业出版社出版的一本书籍。

信息安全测评与风险评估的介绍

6. 信息安全测评与风险评估的目录

第1章 信息安全测评思想序幕：何危最险？要点：本章结束之后，读者应当了解和掌握1.1 信息安全测评的科学精神1.2 信息安全测评的科学方法1.3 信息安全测评的贯标思想1.4 信息安全标准化组织1.4.1 国际标准化组织1.4.2 国外标准化组织1.4.3 国内标准化组织1.5 本章小结尾声：三位旅行者观感第2章 信息安全测评方法序幕：培根的《新工具》要点：本章结束之后，读者应当了解和掌握2.1 为何测评2.1.1 信息系统安全等级保护标准与TCSEC2.1.2 中国的计算机安全等级保护标准2.1.3 安全域2.2 何时测评2.3 测评什么2.3.1 外网测评特点2.3.2 内网测评特点2.4 谁来测评2.5 如何准备测评2.6 怎样测评2.6.1 测评案例——“天网”工程2.6.2 启动“天网”测评2.7 本章小结尾声：比《新工具》更新的是什么？观感第3章 数据安全测评技术序幕：谜已解，史可鉴要点：本章结束之后，读者应当了解和掌握3.1 数据安全测评的诸方面3.2 数据安全测评的实施3.2.1 数据安全访谈调研3.2.2 数据安全现场检查3.2.3 数据安全测试3.3 本章小结尾声：窃之犹在！观感第4章 主机安全测评技术序幕：第一代黑客要点：本章结束之后，读者应当了解和掌握4.1 主机安全测评的诸方面4.2 主机安全测评的实施4.2.1 主机安全访谈调研4.2.2 主机安全现场检查4.2.3 主机安全测试4.3 本章小结尾声：可信赖的主体观感第5章 网络安全测评技术序幕：围棋的智慧要点：本章结束之后，读者应当了解和掌握5.1 网络安全测评的诸方面5.2 网络安全测评的实施5.2.1 网络安全访谈调研5.2.2 网络安全现场检查5.2.3 网络安全测试5.3 本章小结尾声：墙、门、界观感第6章 应用安全测评技术序幕：“机器会思考吗？”要点：本章结束之后，读者应当了解和掌握6.1 应用安全测评的诸方面6.2 应用安全测评的实施6.2.1 应用安全访谈调研6.2.2 应用安全现场检查6.2.3 应用安全测试6.3 本章小结尾声：史上最“万能”的机器观感第7章 资产识别序幕：伦敦大火启示录要点：本章结束之后，读者应当了解和掌握7.1 风险概述7.2 资产识别的诸方面7.2.1 资产分类7.2.2 资产赋值7.3 资产识别案例分析7.3.1 模拟案例背景简介7.3.2 资产分类7.3.3 资产赋值7.3.4 资产识别输出报告7.4 本章小结尾声：我们究竟拥有什么？观感第8章 威胁识别序幕：威胁在哪里？要点：本章结束之后，读者应当了解和掌握8.1 威胁概述8.2 威胁识别的诸方面8.2.1 威胁分类——植树和剪枝8.2.2 威胁赋值——统计8.3 威胁识别案例分析8.3.1 “数字兰曦”威胁识别8.3.2 威胁识别输出报告8.4 本章小结尾声：在鹰隼盘旋的天空下观感第9章 脆弱性识别序幕：永恒的阿基里斯之踵要点：本章结束之后，读者应当了解和掌握9.1 脆弱性概述9.2 脆弱性识别的诸方面9.2.1 脆弱性发现9.2.2 脆弱性分类9.2.3 脆弱性验证9.2.4 脆弱性赋值9.3 脆弱性识别案例分析9.3.1 信息环境脆弱性识别9.3.2 公用信息载体脆弱性识别9.3.3 脆弱性仿真验证9.3.4 脆弱性识别输出报告9.4 本章小结尾声：木马歌观感第10章 风险分析序幕：烽火的演变要点：本章结束之后，读者应当了解和掌握10.1 风险分析概述10.2 风险计算10.2.1 相乘法原理10.2.2 风险值计算示例10.3 风险定级10.4 风险控制10.5 残余风险10.6 风险评估案例分析10.6.1 信息环境风险计算10.6.2 人员资产风险计算10.6.3 管理制度风险计算10.6.4 机房风险计算10.6.5 信息环境风险统计10.6.6 公用信息载体风险计算10.6.7 专用信息及信息载体的风险计算10.6.8 风险计算报告10.6.9 风险控制示例10.6.10 风险控制计划10.7 本章小结尾声：“勇敢”的反面是什么观感第11章 应急响应序幕：虚拟社会的消防队要点：本章结束之后，读者应当了解和掌握11.1 应急响应概述11.2 应急响应计划11.2.1 应急响应计划的准备11.2.2 应急响应计划制定中应注意的问题11.2.3 应急响应计划的制定11.2.4 应急响应计划的培训、演练和更新11.2.5 文档的保存、分发与维护11.3 应急响应计划案例分析11.3.1 南海大学信息安全应急响应计划示例11.3.2 “南洋烽火计划”11.4 本章小结尾声：如何变“惊慌失措”为“从容不迫”观感第12章 法律和法规序幕：神话世界中需要秩序吗要点：本章结束之后，读者应当了解和掌握12.1 计算机犯罪概述12.2 信息安全法律和法规简介12.2.1 美国有关法律12.2.2 中国信息安全法律和法规的历史沿革12.3 本章小结尾声：从囚徒困境说起观感第13章 信息安全管理体系序幕：武学的最高境界要点：本章结束之后，读者应当了解和掌握13.1 ISMS概述13.2 ISMS主要内容13.2.1 计划（Plan）13.2.2 实施（Do）13.2.3 检查（Check）13.2.4 处置（Act）13.3 本章小结尾声：实力源于何处观感参考文献

7. 信息安全风险的评估需求

济南市劳动和社会保障信息系统存储了济南市100万人的社会保障信息，其中大部分是企业职工的资料。虽然劳动保险并不像银行那样拥有巨大的现金流，但直接关系到养老、现代医疗支付等百姓的切身利益，所以对信息安全的要求非常高。目前，济南市劳动和社会保障信息系统包括劳动保障、社会保险等5个险种的收缴、支付等全过程的管理，拥有劳动就业系统的职业介绍、再就业优惠等方面的信息和上千个网点，这些网点包括各个业务的经办机构，劳动局内部业务的经办机构，以及医院、药店、定点医疗机构和社区服务机构。劳动保障信息系统是最为关键的核心建设，也是面铺得最广、信息量最大的一个系统，巨大的信息流和资金流迫切要求劳动保障系统高效、安全地运行。李寒梅告诉记者，济南市劳动和社会保障工作基本上依赖于信息系统，系统要是出现问题，日常业务就处于停滞状态。“尤其是系统加入了医疗保险的信息之后，整个系统需要7×24小时不间断地运行，而且每天都要24小时有人值班。因为病人看病不分时间，晚上也会有急诊，治病就医是与百姓密切相关的大事，一旦系统出现问题，医院和劳动部门的压力都很大。”“到目前为止，虽然系统的核心网没出现过安全方面的问题，但是外部网受到的安全威胁较多，像医院端就感染过病毒，部分医院因为病毒侵袭出现了网络堵塞，所以说网络是很脆弱的。” 李寒梅说。正因为系统面临的安全威胁，济南市劳动局将风险评估提上了日程，希望相关专业机构提供具有权威性和专业性的评估，指出客观存在的风险、漏洞，然后根据评估结果和评估方案，有针对性地加强信息安全建设。“当我们有这个想法的时候，国家正好也出台了《信息安全风险评估指南》，济南市更是将劳动局定为风险评估的两个试点单位之一。在整个运作过程中采用了招标、投标的方式，最后项目落到山东省安全测评中心。”李寒梅介绍说，“安全测评中心把系统的每一项都分为不同的资产进行认定; 然后进行资产的重要性分级，认定各项资产的风险系数; 并在业务进行期得到了隐性的监测数据，对从内部制度建设到具体业务系统之间的环节和流程都进行了详细调研; 测评中心再模拟数据，最终得出结论。”由于IT资产自身的脆弱性，使得威胁的发生成为可能，从而形成了不同的风险。在风险评估中，资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度等都是风险评估的关键因素。风险评估的价值就在于对风险的认识，认识到了风险的存在才能采取相应的解决措施。对于风险的处理可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低成本。

信息安全风险的评估需求

8. 信息安全风险评估的基本要素有哪些

信息安全风险评估的基本过程主要分为：
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。