第4章-信息安全风险评估

信息安全管理风险评估的主要历程风险概述风险评估流程常用风险计算方法常用风险评估工具风险管理概述风险概述风险处理常用风险计算方法常用风险评估工具概述信息安全风险评估相关要素信息安全风险评估风险要素相互间的关系信息安全风险评估相关要素资产－对组织具有价值的信息资源，是安全策略保护的对象。威胁－可能对资产或组织造成损害的潜在原因。脆弱点－可能被威胁利用对资产造成损害的薄弱环节。风险－人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。影响－威胁利用资产的脆弱点导致不期望发生事件的后果。安全措施－保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。安全需求－为保证组织业务战略的正常运作而在安全措施方面提出的要求。信息安全风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险要素关系图安全措施业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露增加导出演变未控制可能诱发残留成本资产资产价值风险评估的主要历程风险概述风险评估流程常用风险计算方法常用风险评估工具风险评估流程风险评估流程图资产识别与评估威胁识别与评估脆弱点识别与评估已有安全措施的确认风险分析安全措施的选取风险评估流程图否是否图9-3风险评估实施流程图是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档…………………资产识别与评估资产识别资产识别内容表。资产识别的方法主要有访谈、现场调查、问卷、文档查阅等。资产评估对资产的赋值不仅要考虑资产本身的价值，更重要的是要考虑资产的安全状况对于组织的重要性，即由资产在其三个安全属性上的达成程度决定。资产重要性等级划分表。威胁识别与评估威胁识别威胁源及表现形式不同的威胁源能造成不同形式危害，应对相关资产，考虑上述威胁源可能构成的威胁。威胁评估威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。威胁等级表脆弱点识别与评估脆弱点识别威胁总是要利用资产的弱点才可能造成危害。脆弱性识别主要从技术和管理两个方面进行。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。脆弱点评估根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响。已有安全措施的确认对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，或者用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。如入侵检测系统；如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。风险分析风险计算影响分析可能性分析风险值=R(安全事件发生的可能性，安全事件的损失)＝R(L(T，V)，F(Ia，Va))其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产重要程度；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失。风险等级划分风险分析示意图威胁识别脆弱性识别威胁出现的频率脆弱性的严重程度资产的重要性安全事件的损失风险值资产识别安全事件的可能性安全措施的选取安全措施可以降低、控制风险。安全措施的选择应兼顾管理与技术两个方面。在对于不可接受风险选择适当的安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。风险评估文件记录（一）（1）风险评估计划：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等；（2）风险评估程序：明确评估的目的、职责、过程、相关的文件要求，并且准备实施评估需要的文档；（3）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，清单中应明确各资产的责任人/部门；（4）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；（5）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；风险评估文件记录（二）（6）脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括脆弱性名称、描述、类型及严重程度等；（7）已有安全措施确认表：根据已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；（8）风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；（9）风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价确保所选择安全措施的有效性；（10）风险评估记录：根据组织的风险评估程序文件，记录对重要资产的风险评估过程。风险处理风险处理是一种系统化方法，可通过多种方式实现：风险承受风险降低风险规避风险转移风险处理风险处理的针对性针对威胁源针对威胁者的能力针对威胁者的资源针对威胁者的途径风险处理来自风险评估报告的风险级别由高到底的行动优先级风险评估报告可能的安全措施清单成本效益分析所选择的安全措施责任和任务人员清单步骤2：评估所建议的安全措施可用性有效性步骤3：实施成本效益分析步骤4：选择安全措施步骤5：分配责任和任务步骤6：制定安全措施的实现计划风险及相关风险的级别优先级排序后的行动所建议的安全措施所选择的预期安全措施责任和任务人员开始日期目标完成日期维护要求安全措施实现计划步骤7：实现所选择的安全措施残余风险步骤1：对优先级进行排序风险管理概述风险评估风险处理常用风险计算方法常用风险评估工具常用风险计算方法风险矩阵测量法这种方法的特点是事先建立资产价值、威胁等级和脆弱性等级的一个对应矩阵，预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。使用本方法需要首先确定资产、威胁和脆弱性的赋值，要完成这些赋值，需要组织内部的管理人员、技术人员、后勤人员等方面的配合常用风险计算方法表9-14资产风险判别矩阵威胁级别低中高脆弱性级别低中高低中高低中高00121232341123234345资产值223434545633454565674456567678常用风险计算方法威胁分级计算法这种方法是直接考虑威胁、威胁对资产产生的影响以及威胁发生的可能性来确定风险。表9-15威胁分级计算法资产威胁描述影响（资产）值威胁发生可能性(c)风险测度风险等级划分威胁A52102威胁B2483威胁C35151威胁D1335威胁E4144某个资产威胁F2483常用风险计算方法风险综合评价法这种方法中风险由威胁产生的可能性、威胁对资产的影响程度以及已经存在的控制措施三个方面来确定。与风险矩阵法和威胁分级法不同，本方法将控制措施的采用引入风险的评价之中。已采用的控制措施威胁类型可能性（1）对人的影响（2）对财产的影响（3）对业务的影响（4）影响值（5）=1+2+3+4内部（6）外部（7）风险度量（8）=5-6-7威胁A41128224表9-16风险评估表常用风险计算方法安全属性矩阵法这种方法将资产的三个安全属性（完整性、机密性、可用性）与两个安全风险（意外事件、故意行为）联系到一起形成一个风险矩阵风险管理概述风险评估风险处理常用风险计算方法常用风险评估工具常用风险评估工具风险评估辅助工具风险评估辅助工具主要用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵监测系统，帮助检测各种攻击试探和误操作；同时也可以作为一个警报器，提醒管理员发生的安全状况。安全审计工具主要是用来记录网络行为，分析系统或网络安全现状，其所提供的审计记录为风险评估提供安全现状数据。系统软件评估工具主要用于对一些信息系统的部件（如操作系统、数据库系统、网络设备等）的漏洞进行分析，或实施基于漏洞的攻击；常用的系统软件评估工具有：ISSInternetScanner、Nessus、SAINT等。安全管理评价系统根据一定的安全管理模型，基于专家经验，对输入输出进行模型分析。常用的评估工具包括：CRAMM(CCTARiskAnalysisaridManagementMethod)、COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）、ASSET、@RISK等风险评估案例案例介绍资产识别与评估威胁识别与评估脆弱点识别与评估风险分析与等级划分安全措施的选取案例介绍对于多媒体教学系统，其安全需求主要表现为系统的可用性，而完整性、机密性安全需求很低，通常不会涉及到。风险评估的目的是通过分析系统面临的影响系统可用性的安全风险，并选取相应的安全措施降低风险。资产识别与评估