3信息安全风险评估

信息安全管理（第二版）授课内容：信息安全风险评估信息安全管理Informationsecuritymanagement第3章信息安全风险评估3.1概述3.2信息安全风险评估策略3.3信息安全风险评估流程3.4信息安全风险评估方法3.5风险评估案例3.6本章小结3.7习题从一个故事开始认识“风险”3.1概述故事梗概傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下，葛优等小偷团伙未能得逞。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。3.1概述资产（asset）------对组织具有价值的任何东西[ISO/IECTR13335-1：2004]概念威胁（threat）------可能导致对系统或组织损害的不希望事故潜在起因[ISO/IECTR13335-1：2004]脆弱性（vulnerability）（也称脆弱点、漏洞）------可能会被威胁所利用的资产或若干资产的弱点[ISO/IECTR13335-1：2004]3.1概述风险管理（riskmanagement）------在风险方面指挥或控制一个组织的协调活动，一般包括风险评估、风险处理、风险接受和风险传递[ISOGuide73：2002]风险（risk）------事件的概率及其结果的组合[ISOGuide73：2002]风险评价（riskevaluation）------对照风险准则比较被估计的风险，以确定风险严重性的过程[ISOGuide73：2002]概念3.1概述信息安全风险信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。风险值=资产价值×威胁可能性×脆弱性严重性（简单理解）3.1概述对信息和信息处理设施的威胁、影响(Impact，指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。3.1概述风险评估（RiskAssessment）故事分析在火车开动到停止这段时间内，综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是：因为10万元钱不是一笔小数目（资产），葛优等小偷能力很强且决心坚决（威胁），且傻根对钱的保管手段（技术）和意识（管理）都不足（脆弱性），差一点发生“娶不上媳妇”这样的结果（风险）。因好心人刘德华和刘若英等的保护到位（安全措施），最终钱保住了（风险消减）。3.1概述以风险为核心的安全模型（ISO13335）风险安全措施信息资产威胁脆弱性安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足3.1概述信息安全风险评估的意义和作用•信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。•风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险。•只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。•持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。3.1概述3.1概述3.1.1信息安全风险评估相关要素信息安全风险评估的对象是信息系统，信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点（脆弱性）、系统中已有的安全措施等是影响信息安全风险的基本要素，它们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。1.资产根据ISO/IEC13335-1,资产是指任何对组织有价值的东西，资产包括：物理资产、信息/数据、软件、提供产品和服务的能力、人员、无形资产。《信息安全风险评估规范》——资产是指对组织具有价值的信息资源，是安全策略保护的对象。以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。3.1概述2.威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生，该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同，威胁可分为：自然威胁、环境威胁、系统威胁、人员威胁3.脆弱性脆弱性是一个或一组资产所具有的，可能被威胁利用对资产造成损害的薄弱环节。4.风险根据ISO/IEC13335-1，信息安全风险是指威胁利用利用一个或一组资产的脆弱性导致组织受损的潜在，并以威胁利用脆弱性造成的一系列不期望发生的事件（或称为安全事件）体现3.1概述5.影响影响是威胁利用资产的脆弱性导致不期望发生事件的后果。这些后果可能表现为直接形式，如物理介质或设备的破坏、人员的损伤、直接的资金损失等；也可能表现为间接的损失如公司信用、形象受损、市场分额损失、法律责任等。6.安全措施安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。7.安全需求安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。3.1概述3.1.2信息安全风险评估信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。3.1.3风险要素相互间的关系资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风险有关的要素还包括：安全措施、安全需求、影响等。ISO/IEC13335-1对它们之间的关系描述如图2-1所示3.1概述《信息安全风险评估规范》GB/T20984对ISO/IEC13335-1提出风险要素关系模型进行了扩展我国提出的信息风险要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足3.2信息安全风险评估策略3.2.1基线风险评估要求组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行基线安全检查（将现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。可以根据以下资源来选择安全基线：(1)国际标准和国家标准(2)行业标准或推荐(3)来自其他有类似商务目标和规模的组织的惯例3.2信息安全风险评估策略基线评估的优点是：(1)风险分析和每个防护措施的实施管理只需要最少数量的资源，并且在选择防护措施时花费更少的时间和努力(2)如果组织的大量系统都在普通环境下运行并且如果安全需要类似，那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力基线评估的的缺点是：(1)基线水平难以设置(2)风险评估不全面、不透彻，且不易处理变更3.2信息安全风险评估策略3.2.2详细风险评估详细风险评估要求对资产、威胁和脆弱性进行详细识别和评价，并对可能引起风险的水平进行评估通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成。根据风险评估的结果来识别和选择安全措施，将风险降低到可接受的水平详细评估的优点是：(1)有可能为所有系统识别出适当的安全措施(2)详细分析的结果可用于安全变更管理。详细评估的缺点：需要更多的时间、努力和专业知识3.2信息安全风险评估策略3.2.3综合风险评估基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估实践中，多采用二者结合的综合评估方式3.3信息安全风险评估流程3.3.1风险评估流程概述风险评估四个阶段:•阶段1:评估准备•阶段2:风险识别•阶段3:风险评价•阶段4:风险处理风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档..................否否是是风险分析风险评估文档记录3.3信息安全风险评估流程3.3.2风险评估的准备风险评估的准备是整个风险评估过程有效性的保证包括：1．确定风险评估目标2．确定风险评估的对象和范围3．组建团队。组建适当的风险评估管理与实施团队，以支持整个过程的推进4．选择方法应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和安全要求相适应。5．获得支持6．准备相关的评估工具3.3信息安全风险评估流程3.3.3资产识别与评估1．资产识别资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识资产识别过程中要特别注意无形资产的遗漏，同时还应注意不同资产间的相互依赖关系，关系紧密的资产可作为一个整体来考虑，同一中类型的资产也应放在一起考虑。资产识别方法:访谈、现场调查、问卷、文档查阅3.3信息安全风险评估流程2．资产评估资产的评价是对资产的价值或重要程度进行评估，资产本身的货币价值是资产价值的体现，但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。由于多数资产不能以货币形式的价值来衡量，资产评价很难以定量的方式来进行，多数情况下只能以定性的形式，依据重要程度的不同划分等级定性：非常重要→重要→比较重要→不太重要→不重要（5级划分）定量：54321信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的安全属性可以先分别对资产在以上各方面的重要程度进行评估，然后通过一定的方法进行综合,可得资产的综合价值2.资产评估资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉3.3信息安全风险评估流程2.资产评估资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出最大原则：取5个属性中最大的那个属性赋值作为综合评价值VA=Max(VAc,VAi,VAa,VAac,VAn)加权原则：根据属性保护对业务开展影响赋权重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3信息安全风险评估流程2.资产评估《信息安全风险评估规范》GB/T20984推荐方法：首先，对资产的机密性、完整性、可用性定性赋值其次，用一定方法进行综合，基本属于最大原则机密性赋值表2-3（P28）完整性赋值表2-4（P29）资产可用性赋值表2-5（P29）对关键资产进行风险评估是重点3.3信息安全风险评估流程2.资产评估3.3信息安全风险评估流程赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等资产机密性赋值表《信息安全风险评估规范》GB/T209842.资产评估3.3信息安全风险评估流程资产完整性赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织