信息系统安全与保密-第3章

第三章信息安全风险评估与管理1风险管理的基本概念2风险评估与管理的流程3风险评估方法和技术课程内容1风险管理的基本概念1.3要素分析1.1风险管理1.2风险评估任务①-风险识别任务②-风险控制风险管理（RiskManagement）：以可以接受的费用，识别、控制、降低或消除可能影响信息系统的安全风险的过程及活动。检查和说明组织信息系统的安全态势和面临的风险采取控制手段，减少组织信息系统和数据的风险“知己”&“知彼”；风险评估是说明风险识别的结果。1风险管理的基本概念1.3要素分析1.1风险管理1.2风险评估风险评估（RiskAssessment）：对各方面风险进行辨识和分析的过程，即确认安全风险及其大小的过程。风险评估是风险管理的基础，是风险控制的前提！！风险评估：对信息和信息处理过程设施的威胁、影响和脆弱点以及三者发生的可能性的评估，即确定R=ƒ(A,T,V)ISO/IEC27001:20051.3风险评估的要素分析风险=有害事件发生的可能性×危害的后果威胁利用资产的脆弱性对组织的信息系统造成危害通过安全措施的配置，风险可以被消除、降低和或转移残留风险：信息系统业务可以容忍的风险成本效益分析(T)(V)(A)(R)R=ƒ(A,T,V)资产及其价值脆弱点脆弱点脆弱点脆弱点威胁风险残余风险威胁安全控制安全控制残余风险威胁安全控制威胁残余风险图1风险要素及其相互关系威胁脆弱点安全措施安全风险保护需求影响资产增加增加增加减小提出增加资产价值越高，风险越大威胁越大，风险越大脆弱点越大，风险越大安全事故影响越大，风险越大适当的安全控制可以降低风险安全风险指出组织的安全要求确定评估范围资产识别与重要性评估威胁识别与发生可能性评估脆弱点检测与被利用可能性评估控制措施识别与有效性评估影响可能性风险评价风险管理方案的选择与优化风险控制2风险评估与管理的流程(T)(V)(A)(R)(C)2.1确定评估范围--基于风险评估目标确定风险评估的对象和范围是完成风险评估的前提。逻辑边界定义了分析所需的广度和深度；物理边界定义了系统起于哪里止于哪里；1）信息资产（如硬件、软件、信息）；2）人员（职员、其他外部人员）；3）环境（建筑物、基础设施）；4）活动（信息处理相关操作、业务）。2.2资产识别与重要性评估--划入风险评估范围和边界的每一项资产都应该被确认和评估（可依据业务流程进行识别）。信息资产清单对资产赋值--资产价值体现在对组织/业务的重要性或敏感度资产评价常采用定性的方法！！赋值标识定义1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害表1根据资产的敏感度分级模式资产类别名称关键程度硬件多媒体电脑高4投影仪高4控制台中3供电设备高4投影幕低2空调中3网络电缆及接口低2软件系统软件中3课件播放软件中3应用软件中3杀毒软件低2信息多媒体课件低2演示程序低2人员课室管理人员中3技术支持人员中3安全保卫人员低2附：案例分析通过分析多媒体教学系统在硬件、软件信息、有关人员等方面的资产信息，并考察这些资产的价值以及对信息系统的关键程度。经识别与分析后，有关资产及其关键程度如表所示。2.3威胁识别与重要性评估--一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。确认引发威胁的人或事物，即威胁源或威胁代理关键环节评估威胁发生的可能性（频率或概率）动机能力人员利用网络访问的威胁树系统故障威胁树等级标识定义1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生2低威胁出现的频率较小，一般不太可能发生，也没有被证实发生过3中威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过4高威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生5很高威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过表2威胁赋值表•通过对上述各类资产面临的主要安全威胁进行分析，并依据其出现的可能性大小对各类威胁进行评估，结果如下表所示。威胁类型威胁表现形式评估等级自然威胁地震、飓风、火山、洪水、海啸、泥石流、暴风雪、雪崩、雷电等很低1环境威胁供电中断中3火灾、供水故障、污染、极端温度或湿度低2系统威胁电脑、投影仪硬件故障低2网络故障中3系统软件、应用软件故障、课件播放软件故障高4恶意代码很高5人员威胁盗窃高4物理硬件故意破坏中3误操作很高5疾病或其他原因导致不能及时到岗中32.4脆弱性检测与被利用可能性评估--脆弱性是指信息系统中的缺陷或弱点。技术性弱点--如系统漏洞操作性弱点--配置中的缺陷管理性弱点--规章制度不足可借助漏洞扫描工具等方法进行识别与评估！！脆弱点识别内容表•脆弱点识别，应对针对已识别人每一类资产，考虑可能存在的脆弱点，它包括技术脆弱点与管理脆弱点•本例中由于技术问题简单，因而主要表现为管理方面的脆弱性。为提高效率•脆弱点识别还应结合威胁识别的结果，重点考察可能导致安全事件的威胁-脆弱点对，在脆弱点识别后，再依据脆弱点的严重程度对脆弱点进行评估。评估结果如下表所示。可能威胁脆弱点评估等级供电中断没有备用电源高4盗窃、物理破坏安全保卫机制不健全很高5疾病或其他原因导致不能及时到岗课室钥匙管理人员无“备份”高4多媒体技术支持人员无“备份”高4误操作老师对多媒体课室使用注意事项不熟悉很高5火灾未部署防火设施很高5极端温度及湿度未安装空调及除湿设备高4软件故障软件的安装与卸载权限管理机制不严高4恶意代码杀毒软件不能及时升级低2自然威胁硬件物理保护不够很高5硬件故障硬件使用寿命有限或其他原因高42.5控制措施识别与效力评估--识别现有安全控制措施，分析安全措施的效力，确定威胁利用弱点的实际可能性。(1)威慑性：可降低蓄意攻击的可能性；(2)预防性：可保护弱点，使攻击难成功；(3)检测性：可检测并及时发现攻击活动；(4)纠正性：使攻击造成的影响减至最小2.6风险评价--评价风险有两个关键因素：威胁发生对信息资产造成的影响以及威胁发生的可能性。可能性评估--结合威胁源的内因（动机和能力），以及外因（脆弱点和控制）来综合评价！对影响定级等级威胁发生可能性定义高威胁源具有强烈的动机和足够的能力，防止脆弱性被利用的控制是无效的中威胁源具有一定的动机和能力，安全控制可阻止对脆弱性成功利用低威胁源缺少动力和能力，现有安全措施可有效阻止对脆弱性的利用等级影响定义高对脆弱性利用可能严重危害组织资产、声誉、人员安全等利益中对脆弱性利用可能损害组织资产、声誉、人员安全等利益低对脆弱性利用可能导致某些组织资产、声誉、人员安全等利益受损表3威胁发生可能性定级模式表4一种影响定级模式风险标识资产威胁脆弱点影响分析影响等级R1多媒体系统供电中断没有备用电源系统无法使用高4R2误操作老师对多媒体课室使用注意事项不熟悉硬件损害或软件误删除很高5R3自然威胁硬件物理保护不够设备物理破坏很高5R4硬件盗窃、物理破坏安全保卫机制不健全硬件被破坏或被盗很高5R5火灾未部署防火设施系统被烧毁很高5R6极端温度及湿度未安装空调及除湿设备系统使用不正常中3R7硬件故障硬件使用寿命有限或其他原因硬件不能正常使用高4R8软件软件故障软件的安装与卸载权限管理机制不严所需软件被卸载，不能正常使用高4R9恶意代码杀毒软件不能及时升级系统运行很慢低2R10人员疾病或其他原因导致不能及时到岗钥匙管理人员不可达，无“备份”多媒体课室门不能及时打开高4R11多媒体技术支持人员无“备份”技术支持不能及时到位中3•可能性分析主要依据威胁评估等级。最后根据影响分析及可能性分析的结果来进行风险评估，此处采用“风险=可能性×影响”的方法来计算风险。风险评估的结果如表所示。风险标识资产威胁影响评估可能性评估风险值风险等级R1多媒体系统供电中断4312中R2误操作5525很高R3自然威胁515低R4硬件盗窃、物理破坏5420很高R5火灾5210中R6极端温度及湿度326低R7硬件故障428中R8软件软件故障4416高R9恶意代码2510中R10人员疾病或其他原因导致不能及时到岗4312中R11339中威胁可能性影响低（10）中（50）高（100）高（1.0）低10×1.0＝10中50×1.0＝50高100×1.0＝100中（0.5）低10×0.5＝5中50×0.5＝25中100×0.5＝50低（0.1）低10×0.1＝1低50×0.1＝5低100×0.1＝10表5“可能性-影响”矩阵模式示例•风险等级划分方法风险可能性忽略:1低：2中：3高：4极高：5影响程度极高5510152025高448121620中33691215低2246810可忽略1123452.7风险管理方案的选择与优化--针对识别且确认了等级的风险，按照其严重程度提出相应的对策，是风险评估的结果。决策者应权衡成本效益等多种因素，综合决策！2.8风险控制策略--风险控制是依据决策后的风险管理方案而实施控制措施，是一个持续、循环的递进过程。2.8风险控制策略(1)避免-试图防止漏洞被利用的风险控制策略，例如对抗威胁，排除资产中的漏洞，限制对资产的访问。(a)通过加强应用政策来避免风险；(b)教育培训：政策了解&新技术培训；(c)通过建立技术解决方案确保减少风险；(2)转移-将风险移植到其他资产、过程或组织的控制方法；可通过签署服务合同实现。(3)缓解-通过规划和预先的准备工作，减少漏洞造成的影响。(a)事件响应计划（IRP）；(b)灾难恢复计划（DRP）；(c)业务持续性计划（BCP）；风险标识资产威胁风险等级安全措施R1多媒体系统供电中断中配置备用电源R2误操作很高多媒体系统操作培训R4硬件盗窃、物理破坏很高加强安全保卫工作R5火灾中配备灭火设备R7硬件故障中技术支持R8软件软件故障高加强权限管理，采用系统“一键还原”机制。R9恶意代码中定期升级病毒库R10人员疾病或其他原因导致不能及时到岗中配备多个人员备用R11中配备多个人员备用3风险评估方法和技术3.3定性分析3.1基础理论3.2定量分析(1)概率风险分析：利用“概率论”方法来识别和分析风险，如故障树法、危害及可操作性研究分析法等。故障树分析--top-dowm法故障模式影响和危害性分析危害及可操作性研究分析马尔科夫(Markov)分析统计推断与判决理论无线局域网被破坏客户端故障服务中心故障PC系统无线网卡被破坏AP系统服务器瘫痪软件故障软件故障硬件故障硬件故障操作系统应用程序计算机磁盘阵列操作系统应用程序--故障树分析法基本事件潜在问题人设备工艺环境材料结果--故障模式影响和危害性分析3风险评估方法和技术3.3定性分析3.1基础理论3.2定量分析基于期望损失的风险评估方法：以期望损失作为风险大小的度量标准，对风险risk的期望损失定义为：niiiLFalueR1V风险事件E造成的相对损失为loss，发生可能性为L，二者均∈[0,1]将loss×L值大小划分等级，根据等级划分方法结果判定风险级别！171089543260.10.20.30.40.50.60.70.80.91.0可能性（L）0.20.30.40.50.60.70.80.91.0相对损失loss3风险评估方法和技术3.3定性分析3.1基础理论3.2定量分析威胁级别低中高脆弱点级别低中高低中高低中高0012123234资1123234345产2234345456值33454565674456567678（1）风险矩阵测量资产威胁描述影响值（资产）威胁发生可能性(c)风险测度风险等级划分某个资产威胁A52102威胁B2483威胁C35151威胁D1335威胁E4144威胁F2483（2）威胁分级法具体评估中，可根据该方法明确表示“资产-威胁-风险”的对应关系！威胁类型可能性对人的影响