搜索
风险评估过程与方法(1)---资产识别与赋值2风险评估与管理风险风险管理(RiskManagement)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险评估风险管理风险评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。3风险评估与管理风险评估和管理的目标低影响高可能性高影响高可能性高影响低可能性低影响低可能性威胁带来的影响威胁发生的可能性采取有效措施,降低威胁事件发生的可能性,或者减小威胁事件造成的影响,从而将风险消减到可接受的水平。4风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞风险评估与管理风险管理目标更形象的描述5绝对的零风险是不存在的,要想实现零风险,也是不现实的;计算机系统的安全性越高,其可用性越低,需要付出的成本也就越大,一般来说,需要在安全性和可用性,以及安全性和成本投入之间做一种平衡。绝对的安全是不存在的!在计算机安全领域有一句格言:“真正安全的计算机是拔下网线,断掉电源,放置在地下掩体的保险柜中,并在掩体内充满毒气,在掩体外安排士兵守卫。”显然,这样的计算机是无法使用的。风险评估与管理6关键是实现成本利益的平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平风险评估与管理7与风险管理相关的概念资产(Asset)——任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。威胁(Threat)——可能对资产或组织造成损害的某种安全事件发生的潜在原因,通常需要识别出威胁源(Threatsource)或威胁代理(Threatagent)。弱点(Vulnerability)——也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。风险(Risk)——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性(Likelihood)——对威胁发生几率(Probability)或频率(Frequency)的定性描述。影响(Impact)——后果(Consequence),意外事件发生给组织带来的直接或间接的损失或伤害。安全措施(Safeguard)——控制措施(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险(ResidualRisk)——在实施安全措施之后仍然存在的风险。风险评估与管理8安全措施安全需求防范采取提出减少威胁弱点资产资产价值利用导致导致暴露增加具有风险风险要素关系模型风险评估与管理9风险管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap()风险评估与管理10风险评估与管理风险管理过程识别并评价资产识别并评估威胁识别并评估弱点现有控制确认评估风险(测量与等级划分)接受保持现有控制选择控制目标和控制方式制定/修订适用性声明实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受风险管理11风险评估与管理定量与定性风险评估方法定性风险分析优点计算方式简单,易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的,其结果高度依赖于评估者的经验和能力,很难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析优点评估结果是建立在独立客观地程序或量化指标之上的可以为成本效益审核提供精确依据,有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点信息量大,计算量大,方法复杂没有一种标准化的知识库,依赖于提供工具或实施调查的厂商投入大,费时费力定量风险评估:试图从数字上对安全风险进行分析评估的一种方法。定性风险评估:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。12信息资产是我们要保护的对象!风险评估与管理13识别信息资产对资产进行保护是信息安全和风险管理的首要目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。组织应该建立资产清单,可以根据业务流程来识别信息资产。信息资产的存在形式有多种,物理的、逻辑的、无形的。•数据信息:存在于电子媒介中的各种数据和资料,包括源代码、数据库、数据文件、系统文件等•书面文件:合同,策略方针,企业文件,重要商业结果•软件资产:应用软件,系统软件,开发工具,公用程序•实物资产:计算机和通信设备,磁介质,电源和空调等技术性设备,家具,场所•人员:承担特定职能和责任的人员•服务:计算和通信服务,其他技术性服务,例如供暖、照明、水电、UPS等•组织形象与声誉:企业形象,客户关系等,属于无形资产风险评估与管理14信息资产的属性-CIA属性15CIA属性—机密性等级保密性Confidentiality一般资产人员VeryHigh4TopSecret绝密最高敏感性的数据文件、信息处理设施和系统资源,仅能被极少数人知道。一旦泄漏会给公司带来特别严重的损害后果可以接触/存取各个级别的信息High3Secret机密重要的信息、信息处理设施和系统资源,只能给少数必须知道者(特定的任务群体)。一旦泄漏会对公司造成严重的损害可以接触/存取最高到机密级的信息Middle2Confidential秘密一般性的公司秘密,泄漏后会给公司造成一定的损害可以接触/存取公司一般性的秘密信息和内部公开信息Low1InternalUseOnly内部公开并非敏感信息,主要限于公司内部使用。一旦泄漏,并不会对公司造成显著的影响可以接触/存取内部公开的信息16CIA属性—完整性等级完整性Integrity一般资产人员VeryHigh4未经授权的破坏或更改将会对信息系统有非常重大的影响,可能导致严重的业务中断如果该人员未正确执行其职务内容,将造成公司级业务运作效率大大降低或停顿High3未经授权的破坏或更改对信息系统有重大影响,而且(或者)对业务造成严重冲击如果该人员未正确执行其职务内容,将造成单位/部门之业务运作效率降低或停顿Middle2未经授权的破坏或更改会对信息系统造成一定的影响,而且(或者)给业务带来明显冲击如果该人员未正确执行其职务内容,将造成相关工作任务效率降低或停顿Low1未经授权的破坏或更改不会对信息系统有重大影响,也不会对业务有明显冲击如果该人员未正确执行其职务内容,不会对业务运作造成影响17CIA属性—可用性等级可用性Availability一般资产人员VeryHigh4合法使用者对信息系统及信息的存取可用度达到年度每天99.9%以上(7*24)如果要维持业务正常运作,可以容忍该人员所承担职务突然缺席不得超过1天,否则会对公司级业务造成影响High3合法使用者对信息系统及信息的存取可用度达到每天95%以上(7*24)如果要维持业务正常运作,可以容忍该人员所承担职务突然缺席不得超过3天Middle2合法使用者对信息系统及信息的存取可用度在正常上班时间达到100%(5*8)如果要维持业务正常运作,可以容忍该人员所承担职务突然缺席超过3天,但不能超过10天Low1合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上(5*8)如果要维持业务正常运作,可以容忍该人员所承担职务突然缺席超过10天18关键活动OwnerInputOutput度量改进?资源规范记录ISMS范围生产管理生产仓库物流技术开发销售/市场通过业务流程的分析来识别资产风险评估与管理19信息资产登记表图例风险评估与管理20资产评价时应该考虑:•信息资产因为受损而对业务造成的直接损失;•信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力;•信息资产受损对其他部门的业务造成的影响;•组织在公众形象和名誉上的损失;•因为业务受损导致竞争优势降级而引发的间接损失;•其他损失,例如保险费用的增加。定性分析时,我们关心的是资产对组织的重要性或其敏感程度,即由于资产受损而引发的潜在的业务影响或后果。可以根据资产的重要性(影响或后果)来为资产划分等级。应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。评价信息资产风险评估与管理21练习1:识别并评价信息资产以我们现在的培训环境和培训活动(业务)为风险评估的范围请举出5种信息资产的例子描述这些信息资产对你组织的价值风险评估与管理22高(4):非常重要,缺了这个资产(CIA的丧失),业务活动将中断并且遭受不可挽回的损失中(3):比较重要,缺了这个资产(CIA的丧失或受损),业务活动将被迫延缓,造成明显损失低(2):不太重要,缺了这个资产,业务活动基本上影响不大很低(1):不重要,缺了这个资产,业务活动基本上影响很低练习1续:资产重要性等级标准风险评估与管理23风险评估与管理资产名称价值(重要性)CIA风险评估过程与方法(2)--弱点和威胁查找25我们的信息资产面临诸多外在威胁信息资产拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震风险评估与管理26识别并评估威胁风险评估与管理识别每项(类)资产可能面临的威胁。一项资产可能面临多个威胁,一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物,即威胁源(威胁代理,ThreatAgent)。威胁可能是蓄意也可能是偶然的因素(不同的性质),通常包括(来源):•人员威胁:故意破坏和无意失误•系统威胁:系统、网络或服务出现的故障•环境威胁:电源故障、污染、液体泄漏、火灾等•自然威胁:洪水、地震、台风、雷电等威胁对资产的侵害,表现在CIA某方面或者多个方面的受损上。对威胁的评估,主要考虑其发生的可能性。评估威胁可能性时要考虑威胁源的动机(Motivation)和能力(Capability)这两个因素,可以用“高”、“中”、“低”三级来衡量,但更多时候是和弱点结合起来考虑。27威胁评估表图例风险评估与管理28对威胁来源的定位,其实是综合了人为因素和系统自身逻辑与物理上诸多因素在一起的,但归根结底,还是人在起着决定性的作用,无论是系统自身的缺陷,还是配置管理上的不善,都是因为人的参与(访问操作或攻击破坏),才给网络的安全带来了种种隐患和威胁。InternetDMZ远程办公恶意者商业伙伴Extranet供应商HRR&DFinanceMarketing外部人员威胁内部人员威胁其他人员的威胁Intranet人是最关键的威胁因素风险评估与管理29威胁不仅仅来自公司外部黑客虽然可怕,可更多时候,内部人员威胁却更易被忽略,但却更容易造成危害据权威部门统计,内部人员犯罪(或于内部人员有关的犯罪)占到了计算机犯罪总量的70%以上员工误操作蓄意破坏公司资源私用风险评估与管理30练习2:识别并评价威胁针对刚才列举的5项信息资产,分别指出各自面临的最突出的威胁?单就威胁本身来说,其存在的可能性有多大(先不考虑现有的控制措施,也不考虑资产的弱点)?风险评估与管理31练习2续:威胁可能性等级标准风险评估与管理等级可能性取值可能性描述(威胁发生的频率)VeryHigh4每月发生一次或更多High3每个季度发生一次Middle2每半年发生一次Low1每年发生一次或更少32风险评估与管理资产名称价值(重要性)威胁威胁值CIA33一个巴掌拍不响!外因是条件内因才是根本!风险评估与管理34识别并评估弱点风险评估与管理针对每一项需要保护的资产,找到