第八期 风险评估基本流程和技术方法

第八期风险评估基本流程和技术方法一、风险评估的基本实施流程是什么？风险评估的实施流程主要包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析和风险评估文档记录七个阶段（如图所示）。二、开展风险评估需要做哪些准备？风险评估准备是整个风险评估过程有效性的保证。因此，在风险评估实施前，应：（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）进行系统调研；（5）确定评估依据和方法；（6）制定风险评估方案；（7）获得最高管理者对风险评估工作的支持。三、如何进行资产识别？保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产识别过程主要包括以下具体活动：（1）回顾评估范围内的业务。回顾这些信息的主要目的是让资产识别人员对所评估的业务和应用系统有一个大致的了解，为后续的资产识别活动做准备。（2）识别信息资产，进行合理分类。资产分类的目的是降低后续分析和赋值活动的工作量。（3）确定每类信息资产的安全需求。可以从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析。（4）为每类信息资产的重要性赋值。在上述安全需求分析的基础上，按照一定的方法确定资产的价值或重要程度等级。四、如何进行威胁识别？威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。在对威胁进行分类前，应考虑威胁的来源。威胁识别主要包括以下具体活动：（1）威胁识别。威胁识别包括实际威胁识别和潜在威胁识别。（2）威胁分类。对上述实际发生过的和潜在的威胁进行分类。（3）构建威胁的场景。在上述工作基础上，为每个或每类关键资源构建威胁场景图。（4）威胁赋值。对具体威胁或威胁类别进行赋值。五、如何进行脆弱性识别？脆弱性识别是风险评估中最重要的一个环节，包括物理、系统、网络、应用和管理五个方面。脆弱性识别主要包括以下具体活动：（1）脆弱性识别。通过扫描工具或手工等不同方式，识别当前系统中存在的脆弱性。（2）识别结果整理与展示。在脆弱性识别阶段，应将脆弱性识别结果以合理的方式展现给被评估的组织。（3）脆弱性赋值。某些具体的风险分析、计算方法，需要对脆弱性赋值，方能完成后续的风险计算活动，因此，若有此需要，应根据一定的赋值准则，对被识别的脆弱性进行赋值。六、如何识别与确认已有安全措施？在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全控制措施大致可以分为技术控制措施、管理和操作控制措施两大类。（1）技术控制措施的识别与确认识别已有的技术控制措施，并对其有效性进行分析和确认。（2）管理和操作控制措施的识别与确认识别已有的管理和操作控制措施，并对其有效性进行分析和确认。七、如何进行风险分析？在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。风险计算的原理是：风险值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产价值；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事件发生后造成的损失。为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理，等级越高，风险越高。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。安全措施的选择应从管理与技术两个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。在对不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施，也可做适当裁减。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。八、风险评估的技术方法主要包括哪些？在风险评估的实施过程中，主要包括工具检测、人工检查、渗透性测试三大技术方法。1、工具检测工具检测是风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素，在一定程度上解决了手动评估的局限性。脆弱性扫描工具是目前应用最广泛的风险评估工具，主要完成操作系统、数据库系统、网络协议、网络服务等的安全脆弱性检测功能，目前常见的脆弱性扫描工具有以下几种类型：a）基于网络的扫描器：在网络中运行，能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。b）基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节，发现潜在的用户行为风险，如密码强度不够，也可实施对文件系统的检查。c）分布式网络扫描器：由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成，用于企业级网络的脆弱性评估，分布和位于不同的位置、城市甚至不同的国家。d）数据库脆弱性扫描器：对数据库的授权、认证和完整性进行详细的分析，也可以识别数据库系统中潜在的脆弱性。2、人工检查考虑到风险评估工具本身具有一定的风险，同时还存在漏报和误报的问题，对于可用性要求较高的重要系统进行风险评估时，一般会采用人工检查的方式。在进行具体的人工检查活动前，应准备风险评估所需的各种检查列表，并将检查结果按要求进行详细记录。3、渗透性测试渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断并验证被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件。渗透测试分为现场渗透测试和远程渗透测试两种方法。渗透性测试的目的是检测已发现的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用，并可能会对被评估系统的运行带来一定影响。