第2讲第二章信息安全风险评估(上)

LOGO第2讲信息安全风险评估（一）北京邮电大学计算机学院副教授郭燕慧LOGO概述风险评估方法详细风险评估流程风险计算方法风险评估简例本讲提纲LOGO1概述1.1信息安全风险评估相关要素1.2信息安全风险评估1.3风险要素相互间关系LOGO1.1信息安全风险评估相关要素资产威胁脆弱点风险影响安全措施安全需求LOGO资产根据ISO/IEC13335-1,资产是指任何对组织有价值的东西，资产包括：物理资产（如，计算机硬件，通讯设施，建筑物）；信息/数据（如，文件，数据库）；软件；提供产品和服务的能力；人员；无形资产（如，信誉，形象）。LOGO我国的《信息安全风险评估指南》认为资产是指对组织具有价值的信息资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类，如表3-1所示LOGO分类示例数据存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语言包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享源代码、可执行程序、自行或合作开发的各种程序等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列等移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他电子设备：打印机、复印机、扫描仪、传真机等服务办公服务：为提高效率而开发的管理信息系统（MIS），它包括各种内部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理及网络研发人员等其它企业形象，客户关系等LOGO两种看法之比较：两种定义基本上是一致的，所包含的内容也基本是一致的，主要的区别在于后者把资产限定在“信息资源”范围内，这是基于信息安全风险评估应的特殊性的考虑，信息安全风险评估应重点分析信息资产面临的风险。从具体分类明细看，后者还是包含了其他内容，如保障设备、人员、企业形象、客户关系等，这些未必都能视为信息资产。LOGO威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生，该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。LOGO根据威胁源的不同，威胁可分为：自然威胁：指自然界的不可抗力导致的威胁环境威胁：指信息系统运行环境中出现的重大灾害或事故所带来的威胁系统威胁：指系统软硬件故障所引发的威胁人员威胁：包含内部人员与外部人员，由于内部人员熟悉系统的运行规则，内部人员的威胁更为严重表2给出了需识别的威胁源以及其威胁的表现形式。LOGO威胁源常见表现形式自然威胁地震、飓风、火山、洪水、海啸、泥石流、暴风雪、雪崩、雷电、其他环境威胁火灾、战争、重大疫情、恐怖主义、供电故障、供水故障、其他公共设施中断、危险物质泄漏、重大事故（如交通工具碰撞等）、污染、温度或湿度、其他系统威胁网络故障、硬件故障、软件故障、恶意代码、存储介质的老化、其他外部人员网络窃听、拒绝服务攻击、用户身份仿冒、系统入侵、盗窃、物理破坏、信息篡改、泄密、抵赖、其他。内部人员未经授权信息发布、未经授权的信息读写、抵赖、电子攻击（如利用系统漏洞提升权限）、物理破坏（系统或存储介质损坏）、盗窃、越权或滥用、误操作LOGO根据威胁的动机人员威胁又可分为恶意和无意两种，但无论是无意行为还是恶意行为，都可能对信息系统构成严重的损害，两者都应该予以重视LOGO脆弱点脆弱点是一个或一组资产所具有的，可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没有访问控制机制、系统机房任何人都可进入等等。脆弱点是资产本身存在的，如果没有相应的威胁出现，单纯的脆弱点本身不会对资产造成损害。另一方面如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即：威胁总是要利用资产的弱点才可能造成危害。资产的脆弱点具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱点识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱点。LOGO脆弱点主要表现在从技术和管理两个方面技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如：•安装杀毒软件或病毒库未及时升级•操作系统或其他应用软件存在拒绝服务攻击漏洞•数据完整性保护不够完善•数据库访问控制机制不严格都属于技术脆弱点系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等LOGO风险风险指信息安全风险根据ISO/IEC13335-1，信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性，并以威胁利用脆弱点造成的一系列不期望发生的事件（或称为安全事件）来体现。资产、威胁、脆弱点是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。没有资产，威胁就没有攻击或损害的对象；没有威胁，尽管资产很有价值，脆弱点很严重，安全事件也不会发生；系统没有脆弱点，威胁就没有可利用的环节，安全事件也不会发生。风险可以形式化的表示为：R=(A,T,V)，其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。LOGO影响影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为：直接形式，如物理介质或设备的破坏、人员的损伤、直接的资金损失等；间接的损失如公司信用、形象受损、、市场分额损失、法律责任等。在信息安全领域，直接的损失往往容易估计且损失较小，间接的损失难易估计且常常比直接损失更为严重。如某公司信息系统中一路由器因雷击而破坏，其直接的损失表现为路由器本身的价值、修复所需的人力物力等；而间接损失则较为复杂，由于路由器不能正常工作，信息系统不能提供正常的服务，导致公司业务量的损失、企业形象的损失等，若该路由器为金融、电力、军事等重要部门提供服务，其间接损失更为巨大。LOGO安全措施安全措施是指为保护资产、抵御威胁、减少脆弱点、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。有效的安全通常要求不同安全措施的结合以为资产提供多级的安全。例如，应用于计算机的访问控制机制应被审计控制、人员管理、培训和物理安全所支持。LOGO安全措施可能实现一个或多个下列功能：保护、震慑、检测、限制、纠正、恢复、监视、安全意识等。同功能的安全措施需要不同的成本，同时能够实现多个功能的安全措施通常具有更高的成本有效性。安全措施的实施领域包括：物理环境、技术领域、人员、管理等，可用的安全措施包括：访问控制机制、防病毒软件、加密机制、数字签名、防火墙、监视与分析工具、冗余电力供应、信息备份等。LOGO安全需求安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。安全需求可体现在技术、组织管理等多个方面。如关键数据或系统的的机密性、可用性、完整性需求、法律法规的符合性需求、人员安全意识培训需求、信息系统运行实时监控的需求等。LOGO1.2信息安全风险评估信息安全风险评估的基本思路是在信息安全事件发生之前，通过有效的手段对组织面临的信息安全风险进行识别、分析，并在此基础上选取相应的安全措施，将组织面临的信息安全风险控制在可接受范围内，以此达到保护信息系统安全的目的。LOGO信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。狭义的风险评估包括：评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。LOGO1.3风险要素相互间关系资产、威胁、脆弱点是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。除此之外，与信息安全风险有关的要素还包括：安全措施、安全需求、影响等。ISO/IEC13335-1对它们之间的关系描述如图3-1所示，主要表现在：威胁利用脆弱点将导致安全风险的产生；资产具有价值，并对组织业务有一定影响，资产价值及影响越大则其面临的风险越大；安全措施能抵御威胁、减少脆弱点，因而能减小安全风险；风险的存在及对风险的认识导出保护需求，保护需求通过安全措施来满足或实现。LOGO威胁脆弱点安全措施安全风险保护需求影响资产增加增加增加减小提出增加LOGO我国的《信息安全风险评估指南》对ISO/IEC13335-1提出风险要素关系模型进行了扩展，扩展后的风险要素关系模型如图3-2所示安全措施业务战略脆弱点安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露增加导出演变未控制可能诱发残留成本资产资产价值LOGO风险要素及属性之间存在着以下关系：业务战略依赖资产去实现；资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；资产价值越大则其面临的风险越大；风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；弱点越多，威胁利用脆弱点导致安全事件的可能性越大；脆弱点是未被满足的安全需求，威胁要通过利用脆弱点来危害资产，从而形成风险；风险的存在及对风险的认识导出安全需求；LOGO安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；残余风险应受到密切监视，它可能会在将来诱发新的安全事件。与ISO/IEC13335提供的风险要素关系模型相比，我国《信息安全风险评估指南》对安全风险描述更详细、更具体、更透彻。LOGO2风险评估方法2.1概述2.2基线风险评估方法2.3详细风险评估方法2.4综合风险评估方法LOGO2.1概述不同的组织有不同的安全需求和安全战略，风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估方法。常见的风险评估方法有三种：基线风险评估方法详细风险评估方法综合风险评估方法LOGO2.2基线风险评估方法概念基线风险评估要求组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行基线安全检查（将现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。LOGO组织可以根据以下资源来选择安全基线：国际标准和国家标准，例如ISO17799、ISO13335；行业标准或推荐，例如德国联邦安全局的《I