1、信息安全風險評估與風險管理,一、風險評估中的概念及模型 二、風險評估標準 三、風險評估流程與方法 四、風險評估的輸出結(jié)果 五、風險管理 六、總結(jié),目錄,信息安全的定義,機密性（integrity）： 確保該信息僅對已授權(quán)訪問的人們才可訪問 只有擁有者許可，才可被其他人訪問 完整性（confidentiality）： 保護信息及處理方法的準確性和完備性； 不因人為的因素改變原有的內(nèi)容，保證不被非法改動和銷毀 可用性（availability）： 當要求時，即可使用信息和相關(guān)資產(chǎn)。 不因系統(tǒng)故障或誤操作使資源丟失。 響應時間要求、故障下的持續(xù)運行。 其他：可控性、可審查性,Key words I,

2、信息安全：信息的保密性、完整性、可用性的保持。 風險評估：對信息和信息處理設施的威脅，影響和薄弱點以及威脅發(fā)生的可能性的評估。 風險管理：以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)安全的風險的過程。 威脅：是指某個人、物、事件或概念對某一資源的保密性、完整性、可用性或合法使用所造成的危險。,Key word II,威脅(Threat): 是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。 薄弱點(Vulnerability): 是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。 風險(Risk): 特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后

3、果的結(jié)合。,風險評估的目的和意義,認識現(xiàn)有的資產(chǎn)及其價值 對信息系統(tǒng)安全的各個方面的當前潛在威脅、弱點和影響進行全面的評估 通過安全評估，能夠清晰地了解當前所面臨的安全風險，清晰地了解信息系統(tǒng)的安全現(xiàn)狀 明確地看到當前安全現(xiàn)狀與安全目標之間的差距 為下一步控制和降低安全風險、改善安全狀況提供客觀和翔實的依據(jù),信息系統(tǒng)風險模型,風險計算依據(jù),一、風險評估中的概念及模型 二、風險評估標準 三、風險評估流程與方法 四、風險評估的輸出結(jié)果 五、風險管理 六、總結(jié),目錄,國外相關(guān)信息安全風險評估標準簡介（1）,ISO 27001：信息安全管理體系規(guī)范、ISO 17799 信息安全管理實踐指南 基于風險管

4、理的理念，提出了11個控制大類、34個控制目標和133個控制措施 ； 提出風險評估的要求，并未對適用于信息系統(tǒng)的風險評估方法和管理方法做具體的描述。 OCTAVE：Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework 卡耐基梅隆大學軟件工程研究所（CMU/SEI）開發(fā)的一種綜合的、系統(tǒng)的信息安全風險評估方法 3個階段8個過程。3個階段分別是建立企業(yè)范圍內(nèi)的安全需求、識別基礎設施脆弱性、決定安全風險管理策略。 OCTAVE 實施指南（OCTAVESM Catalog of Practices, V

5、ersion 2.0），該實施指南闡述了具體的安全策略、威脅輪廓和實施調(diào)查表。,AS/NZS 4360：1999 風險管理 澳大利亞和新西蘭聯(lián)合開發(fā)的風險管理標準 將對象定位在“信息系統(tǒng)”；在資產(chǎn)識別和評估時，采取半定量化的方法，將威脅、風險發(fā)生可能性、造成的影響劃分為不同的等級。 分為建立環(huán)境、風險識別、風險分析、風險評價、風險處置等步驟。 ISO/IEC TR 13335信息技術(shù)安全管理指南 提出了風險評估的方法、步驟和主要內(nèi)容。 主要步驟包括：資產(chǎn)識別、威脅識別、脆弱性識別、已有控制措施確認、風險計算等過程。 NIST SP800-30：信息技術(shù)系統(tǒng)風險管理指南 提出了風險評估的方法論和

6、一般原則， 風險及風險評估概念：風險就是不利事件發(fā)生的可能性。風險管理是評估風險、采取步驟將風險消減到可接受的水平并且維持這一風險級別的過程。,國外相關(guān)信息安全風險評估標準簡介（2）,我國信息安全風險評估標準發(fā)展歷程,2001年，隨著GB/T 18336的正式發(fā)布，從風險的角度來認識、理解信息安全也逐步得到了業(yè)界的認可。 2003年，國務院信息化辦公室成立了風險評估研究課題組，對風險評估相關(guān)問題進行研究。 2004年，提出了信息安全風險評估指南標準草案 ，其規(guī)定了風險評估的一些內(nèi)容和流程，基本與SP800-30中的內(nèi)容一致。 2005年，國信辦在全國4個省市和3個行業(yè)進行風險評估的試點工作，根

7、據(jù)試點結(jié)果對信息安全風險評估指南 進行了修改。 20052006年，通過了國家標準立項的一系列程序，目前已進入正式發(fā)布階段。正式定名為：信息技術(shù) 信息安全風險評估規(guī)范。,信息安全風險評估規(guī)范標準操作的主要內(nèi)容,引言 定義與術(shù)語 風險評估概述 風險評估流程及模型 風險評估實施 資產(chǎn)識別 脆弱性識別 威脅識別 已有安全措施確認 風險評估在信息系統(tǒng)生命周期中的不同要求 風險評估的形式及角色 附錄,標準內(nèi)容：引言,提出了風險評估的作用、定位及目的。 作用： 過對信息系統(tǒng)的資產(chǎn)、面臨威脅、存在的脆弱性、采用的安全控制措施等進行分析，確定信息系統(tǒng)面臨的安全風險，從技術(shù)和管理兩個層面綜合判斷信息系統(tǒng)面臨的風

8、險。 定位 建立信息安全保障機制中的一種科學方法。 目的 信息系統(tǒng)所有者：使用本標準為其選擇安全措施，實施信息系統(tǒng)保護提供技術(shù)支持，依據(jù)本標準中提出的安全風險理念選擇技術(shù)與管理控制措施； 風險評估的實施者：依據(jù)本標準進行風險評估，依據(jù)本標準的判定準則，做出科學的判斷。 信息系統(tǒng)管理機構(gòu)：依據(jù)本標準對信息系統(tǒng)及其管理進行安全檢查，推動行業(yè)或地區(qū)信息安全風險管理的實施。,范圍 本標準提出了風險評估的要素、實施流程、評估內(nèi)容、評估方法及其在信息系統(tǒng)生命周期不同階段的實施要點，適用于組織開展的風險評估工作。 規(guī)范性引用文件 說明標準中引用到其他的標準文件或條款。 術(shù)語和定義 對標準中涉及的一些術(shù)語進行

9、定義。,風險評估框架及流程,風險評估中各要素的關(guān)系,風險分析原理,（1）對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值； （2）對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值； （3）對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值； （4）根據(jù)威脅及威脅利用弱點的難易程度判斷安全事件發(fā)生的可能性； （5）根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失； （6）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。,風險評估實施 (1),風險評估的準備 （1）確定風險評估的目標； （2）確定風險評估的范圍； （3）組建適當?shù)脑u估管理

10、與實施團隊； （4）進行系統(tǒng)調(diào)研； （5）確定評估依據(jù)和方法； （6）獲得最高管理者對風險評估工作的支持。,資產(chǎn)識別 資產(chǎn)分類 資產(chǎn)賦值 :機密性、完整性、可用性三方面的賦值 資產(chǎn)重要性等級 威脅識別 威脅分類 威脅來源分類 威脅賦值 脆弱性識別 識別內(nèi)容 ：技術(shù)脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。 脆弱性賦值 ：等級賦值，技術(shù)脆弱性與管理脆弱性的結(jié)合。,風險評估實施 (2),已有安全措施確認 安全措施的確認應評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。 安全措施確認并不需要和脆弱性識別過程那樣具體

11、到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風險處理計劃的制定提供依據(jù)和參考。 風險分析 計算安全事件發(fā)生的可能性 計算安全事件發(fā)生后的損失 計算風險值 風險等級判定,風險評估實施 (3),風險評估文件記錄 風險評估文件記錄的要求 風險評估文件 的類型、多少 風險評估方案 資產(chǎn)識別清單 重要資產(chǎn)清單 威脅列表 脆弱性列表 風險評估報告 風險處理計劃,風險評估實施 (4),信息系統(tǒng)生命周期各階段的風險評估,規(guī)劃階段的風險評估 設計階段的風險評估 實施階段的風險評 運行維護階段的風險評估 廢棄階段的風險評估 每個階段的實施內(nèi)容稍有不同，目的和方法一致。,風險評估的工作形式,自評估 適用于對自

12、身的信息系統(tǒng)進行安全風險的識別、評價 自評估可以委托風險評估服務技術(shù)支持方實施，也可以自行實施 檢查評估 ： 一般由主管機關(guān)發(fā)起，通常都是定期的、抽樣進行的評估模式 旨在檢查關(guān)鍵領域、或關(guān)鍵點的信息安全風險是否在可接受的范圍內(nèi) 風險評估應以自評估為主，檢查評估對自評估過程記錄與評估結(jié)果的基礎上，驗證和確認系統(tǒng)存在的技術(shù)、管理和運行風險，以及用戶實施自評估后采取風險控制措施取得的效果。,附錄,風險的計算方法 矩陣法 ：通過構(gòu)造兩兩要素計算矩陣，得到第三個要素的判斷值，是一種基于經(jīng)驗的判斷方法。 相乘法 ：直接使用兩個要素值進行相乘得到另一個要素的值。相乘法的特點是簡單明確，直接按照統(tǒng)一公式計算

13、。 風險評估的工具 風險評估與管理工具 系統(tǒng)基礎平臺風險評估工具 風險評估輔助工具,一、風險評估中的概念及模型 二、風險評估標準 三、風險評估流程與方法 四、風險評估的輸出結(jié)果 五、風險管理 六、總結(jié),目錄,現(xiàn)有風險評估方法綜述（1）,定性分析方法：針對某個被評估對象，確定其潛在的風險，描述可能引起風險的原因。 定量分析方法：在某個基準上，建立不同資產(chǎn)的等級化評價模型，定量描述某個資產(chǎn)的風險值，可以做到不同資產(chǎn)之間風險狀況的對比。 基于系統(tǒng)安全模型體系的分析方法：針對某個典型的（或固定）的系統(tǒng)，建立其安全要素的模型，以及判定某個要素的條件和內(nèi)容，有相對完善、固定的評估模型體系。,現(xiàn)有風險評估方

14、法綜述（2）,定性分析方法 定性分析方法一般適用于： a）風險識別； b）造成風險的原因分析； c）威脅發(fā)生所造成的影響分析等。 例如： 針對操作系統(tǒng)，采用掃描工具，發(fā)現(xiàn)其漏洞，指明漏洞的嚴重程度；,現(xiàn)有風險評估方法綜述（3）,定量分析方法 以獲取到或采取一定方法量化后得到的被調(diào)查對象的定量數(shù)據(jù)為基本材料，依據(jù)一定的算法進行分析、計算、綜合，然后得出結(jié)果數(shù)據(jù)。定量分析方法一般適用于： a）確立威脅發(fā)生概率； b）預測系統(tǒng)風險發(fā)生概率； c）確立系統(tǒng)總體風險評價等。 例如： 對運行在某個平臺上的不同主機、應用系統(tǒng)分別進行等價化的賦值，綜合分析每個資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風險量化值。,現(xiàn)有

15、風險評估方法綜述（4）,基于系統(tǒng)安全模型體系的分析方法 在一般風險評估原理的指導下，針對被評估信息系統(tǒng)實際情況（包括：系統(tǒng)技術(shù)特性、組織特性、資產(chǎn)情況、安全假設、脆弱點、威脅、保護措施等）建立有針對性、合理的評估安全需求； 同時建立評估指標體系、評估流程、評估模型，通過系統(tǒng)對評估要求的滿足程度進行判斷風險評估的指導作用。 例如： 網(wǎng)上政務安信息系統(tǒng)安全保障要求 HIS系統(tǒng)安全保障要求 實際固化了前期的資產(chǎn)識別、威脅分析，僅做審核、結(jié)論性判斷。,1）資產(chǎn)識別與賦值2）資產(chǎn)的安全屬性賦值及權(quán)重計算；3）威脅分析；4）薄弱點分析；5）已有控制措施分析；6）影響分析；7）可能性分析；8）風險計算；9）

16、風險控制措施制定；,評估步驟,1、資產(chǎn)的識別,資產(chǎn)識別之前必須界定范圍 識別資產(chǎn)最簡單的方法就是列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物 資產(chǎn)包括: 數(shù)據(jù)與文檔/書面文件/軟件/實物資產(chǎn)/人員/服務,資產(chǎn)識別的類型,2、資產(chǎn)的安全屬性賦值及權(quán)重計算,信息資產(chǎn)分別具有不同的安全屬性，機密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值。對信息資產(chǎn)進行賦值的目的是為了更好地反映資產(chǎn)的價值，以便于進一步考察資產(chǎn)相關(guān)的弱點、威脅和風險屬性，并進行量化。,資產(chǎn)價值與信

17、息安全特性的關(guān)系,例：對應用軟件，其機密性表現(xiàn)在配置數(shù)據(jù)失密、賬號口令信息失密、關(guān)鍵算法失密等。,資產(chǎn)價值與信息安全特性的關(guān)系,例：對應用軟件，其完整性表現(xiàn)在配置數(shù)據(jù)被修改、軟件被修改、數(shù)據(jù)被修改,資產(chǎn)價值與信息安全特性的關(guān)系,例：對應用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權(quán)。,3、威脅分析與評價,對組織需要保護的每一項重要信息資產(chǎn)進行威脅識別應考慮: 資產(chǎn)所處的環(huán)境條件 資產(chǎn)以前遭受威脅損害的情況來判斷: 一項資產(chǎn)可能面臨著多個威脅 一個威脅可能對不同的資產(chǎn)造成影響 威脅識別應確認威脅由誰或什么事物引發(fā) 威脅可能來源于意外的，或有預謀的事件,威脅的識別與評價,威脅列表: 空氣中的懸浮顆粒/

18、灰塵 維護錯誤 空調(diào)故障 惡意軟件 存儲媒體的老化 用戶身份的偽裝 電子郵件炸彈 未授權(quán)網(wǎng)絡訪問 地震 操作人員的錯誤 竊聽 供電波動 環(huán)境污染 否定或抵賴 極端的溫度和濕度 軟件故障 通信服務故障 員工短缺,威脅的識別與評價,威脅列表(續(xù)): 火災 傳輸錯誤 洪水 軟件未授權(quán)使用 硬件故障 存儲媒體未授權(quán)使用 軟件的非法進/出口 軟件被未授權(quán)用戶使用 軟件的非法使用 軟件以未經(jīng)許可的方法使用 工業(yè)活動 用戶錯誤 閃電 故意破壞 通信電纜損壞 資源濫用 網(wǎng)絡組件的故障 盜竊 電力供應故障 颶風 供應故障 通信量超載,分析威脅與C,I,A之間的關(guān)系,例如:電腦遭遇黒客入侵 資產(chǎn)是電腦 威脅是黒客

19、攻擊 薄弱點是口令強度不夠等 在考慮此威脅發(fā)生時,對此資產(chǎn)而言,最先遭破壞的是完整性,其次才是保密性或可用性。,4、薄弱點分析與評價,由于組織缺乏充分的安全控制，組織需要保護的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點。 來自組織結(jié)構(gòu)/人員/管理/程序/資產(chǎn)本身的缺陷 應針對每一項信息資產(chǎn)，找出每一種威脅所能利用的薄弱點,有關(guān)實物和環(huán)境安全方面的薄弱點列表,例：常見系統(tǒng)薄弱點及其對應威脅,5、已有安全控制分析與確認,識別已經(jīng)存在和策劃了的安全控制 對現(xiàn)有的和已計劃好的控制加以確定，可以避免不必要的工作和費用 應核查控制是否有效。移除？替換？增加？保留？ 現(xiàn)有的或已計劃好的控制是否和將要采取的安

20、全控制相一致？,6、威脅影響分析,評價威脅發(fā)生所造成的后果或潛在影響 不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導致的價值損失也不同，但損失的程度應以資產(chǎn)的相對價值(或重要度)為限。 對影響的評估，應在脆弱性嚴重程度的基礎上考慮。脆弱性越嚴重，表明被威脅利用后產(chǎn)生的后果越嚴重；被某個威脅利用的脆弱性越多，其造成的影響也越大。 采用5個等級來描述影響程度，對不同的資產(chǎn)有不同評價原則。 參考威脅影響程度判斷準則,威脅影響程度判斷準則,7、威脅的可能性分析,組織應根據(jù)專家意見或有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。,威脅發(fā)生的可能性受下列因素的影響: 資產(chǎn)的吸引力 資產(chǎn)轉(zhuǎn)化成報酬

21、的容易程度 威脅的技術(shù)含量 薄弱點被利用的難易程度,8、風險值的計算,威脅的風險值（RT）威脅的影響值(I)威脅發(fā)生的可能性(P),9、風險控制措施確定,組織根據(jù)風險評估的結(jié)果，確定不可接受風險的范圍，制定風險處理計劃，增加控制措施，從而降低風險。,安全控制的識別和選擇： 依據(jù)-風險評估的結(jié)果 原則-費用與風險平衡 構(gòu)成-技術(shù)控制措施或管理控制措施,確定風險的等級和組織的可接受水平：,實施風險控制,風險確認與接受 為確保組織的信息安全，殘余風險應在可接受范圍內(nèi),殘余風險R(r)=原有風險R(0)-控制R 殘余風險R（r）=可接受風險R(t),安全控制 實施,風險確認,接受,不接受,增加控制,風

22、險控制曲線圖,風險R,資產(chǎn)序列,原有風險曲線,可接受風險曲線,殘余風險曲線,風險控制要點,風險是一個變數(shù)! 要定期進行風險評估 在以下情況進行臨時評估 當組織新增信息資產(chǎn)時 當系統(tǒng)發(fā)生重大變更時 發(fā)生嚴重信息安全事故時,一、風險評估中的概念及模型 二、風險評估標準 三、風險評估流程與方法 四、風險評估的輸出結(jié)果 五、風險管理 六、總結(jié),目錄,風險評估的輸出結(jié)果,資產(chǎn)識別,4.1 資產(chǎn)識別表,資產(chǎn)賦值,威脅分析,4.3 資產(chǎn)威脅表,4.2 重要資產(chǎn)賦值表,脆弱性分析,4.6不可接受風險處理計劃表,影響、可能性分析,4.5信息資產(chǎn)綜合風險值表,風險計算及評估結(jié)果,4.4 脆弱性匯總表,風險評估報告

23、,反映了： 資產(chǎn)名稱 描述范圍 重要性程度 部門 所屬業(yè)務流程,4. 1 資產(chǎn)識別表,風險評估的輸出結(jié)果資產(chǎn)識別表,反映了： 資產(chǎn)名稱 描述范圍 機密性、可用性、完整性評分等級 資產(chǎn)與信息安全系數(shù)關(guān)系 所屬業(yè)務流程,4.2 重要資產(chǎn)賦值表,風險評估的輸出結(jié)果重要資產(chǎn)列表,反映了： 資產(chǎn)名稱 面臨的威脅類 具體可能的威脅,4.3 資產(chǎn)威脅表,風險評估的輸出結(jié)果威脅列表,反映了： 脆弱性分類（網(wǎng)絡、操作系統(tǒng)、管理、數(shù)據(jù)庫等） 脆弱性的詳細描述 脆弱性的嚴重程度 與威脅的對應關(guān)系 可能影響的資產(chǎn),4.4 脆弱性匯總表,風險評估的輸出結(jié)果脆弱性識別表,反映了： 資產(chǎn)名稱 資產(chǎn)面臨的威脅 可能被威脅利用

24、的脆弱電 威脅發(fā)生的可能性 威脅的影響程度,4.5信息資產(chǎn)綜合風險值表,風險評估的輸出結(jié)果資產(chǎn)風險表,反映了： 資產(chǎn)名稱 威脅/薄弱點 風險系數(shù) 風險處理措施 優(yōu)先處理等級，等。,4.6不可接受風險處理計劃表,風險評估的輸出結(jié)果風險處理計劃,風險評估報告 評估方法 信息系統(tǒng)分析與描述 業(yè)務信息流分析 資產(chǎn)識別與劃分 威脅分析 安全風險分析與統(tǒng)計 信息系統(tǒng)脆弱性評估報告：以資產(chǎn)為主線，描述各資產(chǎn)存在的脆弱性，包括： 主要服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng) 應用系統(tǒng) 網(wǎng)絡與交換設備 安全管理體系 物理環(huán)境,4.7 風險評估報告,風險評估的輸出結(jié)果風險評估報告,一、風險評估中的概念及模型 二、風險評估標準 三、風險評估流程與方法 四、風險評估的輸出結(jié)果 五、風險管理 六、總結(jié),目錄,風險管理的目的和意義,信息安全風險管理是信息安全保障工作中的一項基礎性工作。 1、信息安全風險管