1、信息安全管理 (第二版)(第二版)信息安全管理第第3 3章章 信息安全风险评估信息安全风险评估3.1 概述概述3.2 信息安全风险评估策略信息安全风险评估策略3.3 信息安全风险评估流程信息安全风险评估流程3.4 信息安全风险评估方法信息安全风险评估方法3.5 风险评估案例风险评估案例3.6 本章小结本章小结3.7 习题习题从一个故事开始认识从一个故事开始认识“风险风险”3.13.1 概述概述 故事梗概q 傻根在外地打工挣了钱,随身携带着傻根在外地打工挣了钱,随身携带着10万元钱坐上了一万元钱坐上了一辆混杂着很多小偷的长途火车回家。辆混杂着很多小偷的长途火车回家。q 傻根把钱就放在了普通的布质
2、书包里。傻根没有坐软卧傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢,而是坐在挤满了上百人的硬座车厢。有时候累了包厢,而是坐在挤满了上百人的硬座车厢。有时候累了,就坐着打个瞌睡。,就坐着打个瞌睡。q 一路上,葛优等小偷团伙频频出手,尝试着偷这一路上,葛优等小偷团伙频频出手,尝试着偷这10万元万元钱。但是在好心人刘德华和刘若英等的保护下,葛优等钱。但是在好心人刘德华和刘若英等的保护下,葛优等小偷团伙未能得逞。小偷团伙未能得逞。q 好险啊,如果这钱被偷走了,傻根就娶不上媳妇了。好险啊,如果这钱被偷走了,傻根就娶不上媳妇了。天下无贼?天下无贼?3.13.1 概述概述q 资产(asset)-对组
3、织具有价值的任何东西 ISO/IEC TR 13335-1:2004概念q 威胁(threat)-可能导致对系统或组织损害的不希望事故潜在起因 ISO/IEC TR 13335-1:2004q 脆弱性(vulnerability)(也称脆弱点、漏洞)-可能会被威胁所利用的资产或若干资产的弱点 ISO/IEC TR 13335-1:20043.13.1 概述概述q 风险管理(risk management)-在风险方面指挥或控制一个组织的协调活动,一般包括风险评估、风险处理、风险接受和风险传递 ISO Guide 73:2002q 风险(risk)-事件的概率及其结果的组合 ISO Guide
4、73:2002q 风险评价(risk evaluation)-对照风险准则比较被估计的风险,以确定风险严重性的过程 ISO Guide 73:2002概念3.13.1 概述概述信息安全风险l 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。的可能性。l 信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。l风险值风险值=资产价值资产价值威胁可能性威胁可能性脆弱性严重性(脆弱性严重性(简单理解简单理解)3.13.1 概述概述 对信息和信息处理设施的对信息和信息处理设施的威胁、影响威胁
5、、影响(Impact(Impact,指安,指安全事件所带来的直接和间接损失全事件所带来的直接和间接损失)和和脆弱性脆弱性及三者发及三者发生的生的可能性可能性的评估。的评估。3.13.1 概述概述风险评估(Risk Assessment)故事分析 在火车开动到停止这段时间内,综合资产、脆弱性、威胁在火车开动到停止这段时间内,综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是:和安全措施等各方面因素进行风险评估的结果是:因为因为10万元钱不是一笔小数目(资产),葛优等小偷能力万元钱不是一笔小数目(资产),葛优等小偷能力很强且决心坚决(威胁),且傻根对钱的保管手段(技术)和很强且决心坚
6、决(威胁),且傻根对钱的保管手段(技术)和意识(管理)都不足(脆弱性),差一点发生意识(管理)都不足(脆弱性),差一点发生“娶不上媳妇娶不上媳妇”这样的结果(风险)。这样的结果(风险)。因好心人刘德华和刘若英等的保护到位(安全措施),最因好心人刘德华和刘若英等的保护到位(安全措施),最终钱保住了(风险消减)。终钱保住了(风险消减)。3.13.1 概述概述以风险为核心的安全模型(ISO13335)风险风险安全措施安全措施信息资产信息资产威胁威胁脆弱性脆弱性安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足3.13.1 概述概述信息安全风险评估的意义和作用信息安全中的风险评估是传统
7、的风险理论和方法在信息系统中的运用,信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。做出决策的过程。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但该以风险评估为起点。信息安全建设的最终目的是服务于
8、信息化,但其直接目的是为了控制安全风险。其直接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。体系的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并位的绩效的有力手段,风险评估的结果能够供相
9、关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。促进信息系统拥有单位加强信息安全建设。3.13.1 概述概述3.13.1 概述概述3.1.1 信息安全风险评估相关要素信息安全风险评估相关要素信息安全风险评估的对象是信息系统,信息系统的资产、信信息安全风险评估的对象是信息系统,信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点(脆弱性)、系息系统可能面对的威胁、系统中存在的弱点(脆弱性)、系统中已有的安全措施等是影响信息安全风险的基本要素,它统中已有的安全措施等是
10、影响信息安全风险的基本要素,它们和安全风险、安全风险对业务的影响以及系统安全需求等们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。构成信息安全风险评估的要素。1.资产资产根据根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产是指任何对组织有价值的东西,资产包括:物理资产、信息资产包括:物理资产、信息/数据数据、软件、提供产品和服务的、软件、提供产品和服务的能力、人员、无形资产。能力、人员、无形资产。信息安全风险评估规范信息安全风险评估规范资产是指对组织具有价值的资产是指对组织具有价值的信息资源,是安全策略保护的对象。以多种形式存在,有无信息
11、资源,是安全策略保护的对象。以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。硬件、文档、服务、人员等类。3.13.1 概述概述2.威胁威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系
12、统和服务所处理信造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同,威胁可分为:根据威胁源的不同,威胁可分为:自然威胁、环境威胁、系统自然威胁、环境威胁、系统威胁、人员威胁威胁、人员威胁3.脆弱性脆弱性脆弱性是一个或一组资产所具有的,可能被威胁利用对资产造脆弱性是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。成损害的薄弱环节。4.风险风险根据根据ISO/IEC 13335-1,信息安全风险是指威胁利用利用一个,信息安全风险是指威胁利用利用一个或一组资产的脆弱性导致组织受损的潜在,并
13、以威胁利用脆弱或一组资产的脆弱性导致组织受损的潜在,并以威胁利用脆弱性造成的一系列不期望发生的事件(或称为安全事件)体现性造成的一系列不期望发生的事件(或称为安全事件)体现3.13.1 概述概述5.影响影响影响是威胁利用资产的脆弱性导致不期望发生事件的后果。影响是威胁利用资产的脆弱性导致不期望发生事件的后果。这些后果可能表现为直接形式,如物理介质或设备的破坏、这些后果可能表现为直接形式,如物理介质或设备的破坏、人员的损伤、人员的损伤、直接的资金损失等;也可能表现为间接的损失直接的资金损失等;也可能表现为间接的损失如公司信用、形象受损、市场分额损失、法律责任等。如公司信用、形象受损、市场分额损失
14、、法律责任等。6.安全措施安全措施安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。采取的各种实践、规程和机制的总称。7.安全需求安全需求安全需求是指为保证组织业务战略的正常运作而在安全措施安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。方面提出的要求。3.13.1 概述概述3.1.2 信息安全风险评估信息安全风险评估信息安全风险评估是指依据有关信息安全技术与管理标准,对信息安全风险评
15、估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。可用性等安全属性进行评价的过程。3.1.3 风险要素相互间的关系风险要素相互间的关系资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风险有关的要素还包括:安全措施、安全需求、影响等。险有关的要素还包括:安全措施、安全需求、影响等。ISO/IEC 13335-1对它们之间的关系描述如图对它们之间的关系描述如图2-1所示所示3.13.1 概述概述信息安全风险信息安
16、全风险评估规范评估规范GB/T20984 对对ISO/IEC 13335-1提出风险要素关提出风险要素关系模型进行了扩系模型进行了扩展展我国提出的信息我国提出的信息风险要素关系图风险要素关系图3.23.2 信息安全风险评估策略信息安全风险评估策略 3.2.1 基线风险评估基线风险评估要求组织根据自己的实际情况(所在行业、业务环境与性要求组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行基线安全检查(质等),对信息系统进行基线安全检查(将现有的安全措将现有的安全措施与安全基线规定的措施进行比较,找出其中的差距施与安全基线规定的措施进行比较,找出其中的差距),),得出基本的安全需
17、求,通过选择并实施标准的安全措施来得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。消减和控制风险。可以根据以下资源来选择安全基线:可以根据以下资源来选择安全基线:(1)国际标准和国家标准国际标准和国家标准(2)行业标准或推荐行业标准或推荐(3)来自其他有类似商务目标和规模的组织的惯例来自其他有类似商务目标和规模的组织的惯例3.23.2 信息安全风险评估策略信息安全风险评估策略基线评估的优点是:基线评估的优点是:(1)风险分析和每个防护措施的实施管理只需要最少数量的风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力资源,并且在选择防护
18、措施时花费更少的时间和努力(2)如果组织的大量系统都在普通环境下运行并且如果安全如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可以采用相同或相似的基线防护需要类似,那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力措施而不需要太多的努力 基线评估的的缺点是:基线评估的的缺点是:(1)基线水平难以设置基线水平难以设置(2)风险评估不全面、不透彻,且不易处理变更风险评估不全面、不透彻,且不易处理变更3.23.2 信息安全风险评估策略信息安全风险评估策略3.2.2 详细风险评估详细风险评估详细风险评估要求对资产、威胁和脆弱性进行详细识别和详细风险评估要求对资产
19、、威胁和脆弱性进行详细识别和评价,并对可能引起风险的水平进行评估评价,并对可能引起风险的水平进行评估通过不期望事件的潜在负面业务影响评估和他们发生的可通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成。能性来完成。根据风险评估的结果来识别和选择安全措施,将风险降低根据风险评估的结果来识别和选择安全措施,将风险降低到可接受的水平到可接受的水平详细评估的优点是:详细评估的优点是:(1)有可能为所有系统识别出适当的安全措施有可能为所有系统识别出适当的安全措施(2)详细分析的结果可用于安全变更管理。详细分析的结果可用于安全变更管理。详细评估的缺点:详细评估的缺点:需要更多的时间、努力和专业知
20、识需要更多的时间、努力和专业知识3.23.2 信息安全风险评估策略信息安全风险评估策略3.2.3 综合风险评估综合风险评估基线风险评估耗费资源少、周期短、操作简单,但不基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估够准确,适合一般环境的评估详细风险评估准确而细致,但耗费资源较多,适合严详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估格限定边界的较小范围内的评估实践中,多采用二者结合的综合评估方式实践中,多采用二者结合的综合评估方式3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.1 风险评估流程概述风险评估流程概述风险评估四个阶段
21、风险评估四个阶段:阶段阶段1:评估准备评估准备阶段阶段2:风险识别风险识别阶段阶段3:风险评价风险评价阶段阶段4:风险处理风险处理3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.2 风险评估的准备风险评估的准备风险评估的准备是整个风险评估过程有效性的保证风险评估的准备是整个风险评估过程有效性的保证包括:包括:1确定风险评估目标确定风险评估目标2确定风险评估的对象和范围确定风险评估的对象和范围3组建团队。组建团队。组建适当的风险评估管理与实施团队,以支持整个过程的推进组建适当的风险评估管理与实施团队,以支持整个过程的推进4选择方法选择方法 应考虑评估的目的、范围、时间、效果、人员素
22、质等因素来选择具体应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体 的风险判断方法,使之能够与组织环境和安全要求相适应。的风险判断方法,使之能够与组织环境和安全要求相适应。5获得支持获得支持6准备相关的评估工具准备相关的评估工具3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.3 资产识别与评估资产识别与评估1资产识别资产识别是风险识别的必要环节。资产识别的任务就是资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识对确定的评估对象所涉及或包含的资产进行详细的标识资产识别过程中要特别注意无形资产的遗漏,同时还应资产识别过程中要
23、特别注意无形资产的遗漏,同时还应注意不同资产间的相互依赖关系,关系紧密的资产可作为注意不同资产间的相互依赖关系,关系紧密的资产可作为一个整体来考虑,同一中类型的资产也应放在一起考虑。一个整体来考虑,同一中类型的资产也应放在一起考虑。资产识别方法资产识别方法:访谈、现场调查、问卷、文档查阅访谈、现场调查、问卷、文档查阅3.33.3 信息安全风险评估流程信息安全风险评估流程2资产评估v资产的评价是对资产的价值或重要程度进行评估,资产本身资产的评价是对资产的价值或重要程度进行评估,资产本身的货币价值是资产价值的体现,但更重要的是的货币价值是资产价值的体现,但更重要的是资产对组织关资产对组织关键业务的
24、顺利开展乃至组织目标实现的重要程度键业务的顺利开展乃至组织目标实现的重要程度。由于多数。由于多数资产不能以货币形式的价值来衡量,资产评价很难以定量的资产不能以货币形式的价值来衡量,资产评价很难以定量的方式来进行,方式来进行,多数情况下只能以定性的形式,依据重要程度多数情况下只能以定性的形式,依据重要程度的不同划分等级的不同划分等级v定性:定性:非常重要非常重要重要重要比较重要比较重要不太重要不太重要不重要(不重要(5级划分级划分)v定量:定量:5 4 3 2 1v信息资产的信息资产的机密性、完整性、可用性、可审计性和不可抵赖机密性、完整性、可用性、可审计性和不可抵赖性性等是评价资产的安全属性等
25、是评价资产的安全属性v可以可以先分别对资产在以上各方面的重要程度进行评估先分别对资产在以上各方面的重要程度进行评估,然后,然后通过一定的方法通过一定的方法进行综合进行综合,可得资产的可得资产的综合价值综合价值2.资产评估资产价值应依据资产资产价值应依据资产在保密性、完整性和可用性上的赋值在保密性、完整性和可用性上的赋值等级等级,经过综合评定得出,经过综合评定得出 电子信息资产电子信息资产 纸介资产纸介资产 软件资产软件资产 物理资产物理资产 人员人员 服务性资产服务性资产 公司形象和名誉公司形象和名誉3.33.3 信息安全风险评估流程信息安全风险评估流程2.资产评估资产价值应依据资产资产价值应
26、依据资产在保密性、完整性和可用性上的赋值等在保密性、完整性和可用性上的赋值等级级,经过综合评定得出,经过综合评定得出q最大原则:取最大原则:取5个属性中最大的那个属性赋值作为综合评价个属性中最大的那个属性赋值作为综合评价值值 VA=Max(VAc,VAi,VAa,VAac,VAn)q加权原则:根据属性保护对业务开展影响赋权重加权原则:根据属性保护对业务开展影响赋权重 Wc+Wi+Wa+Wac+Wn=1,VA=VAcWc+VAiWi+VAaWa+VAacWac+VAnWn3.33.3 信息安全风险评估流程信息安全风险评估流程2.资产评估信息安全风险评估规范信息安全风险评估规范GB/T20984推
27、荐方法:推荐方法:q首先,对资产的机密性、完整性、可用性定性赋值首先,对资产的机密性、完整性、可用性定性赋值q其次,用一定方法进行综合,基本属于最大原则其次,用一定方法进行综合,基本属于最大原则 机密性赋值表机密性赋值表2-3(P28)完整性赋值表完整性赋值表2-4(P29)资产可用性赋值表资产可用性赋值表2-5(P29)对关键资产进行风险评估是重点对关键资产进行风险评估是重点3.33.3 信息安全风险评估流程信息安全风险评估流程2.资产评估3.33.3 信息安全风险评估流程信息安全风险评估流程赋值 标识 定义 5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的
28、影响,如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等 资产机密性赋值表资产机密性赋值表信息安全风险评估规范信息安全风险评估规范GB/T209842.资产评估3.33.3 信息安全风险评估流程信息安全风险评估流程资产完整性赋值表资产完整性赋值表赋值 标识 定义 5 很高 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无
29、法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补 4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补 3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补 2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补 1 很低 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略 信息安全风险评估规范信息安全风险评估规范GB/T209842.资产评估3.33.3 信息安全风险评估流程信息安全风险评估流程资产可用性赋值表资产可用性赋值表赋值 标
30、识 定义 5 很高 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 4 高 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10 min 3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30 min 2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60 min 5 很高 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断 信息安全风险评估规
31、范信息安全风险评估规范GB/T209842.资产评估3.33.3 信息安全风险评估流程信息安全风险评估流程资产等级及含义描述资产等级及含义描述等级标识描述5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失 4高重要,其安全属性破坏后可能对组织造成比较严重的损失 3中比较重要,其安全属性破坏后可能对组织造成中等程度的损失 2低不太重要,其安全属性破坏后可能对组织造成较低的损失 1很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计 信息安全风险评估规范信息安全风险评估规范GB/T209843.33.3 信息安全风险评估流程信息安全风险评估流程3.3.4 威胁识别与评估威胁识
32、别与评估1威胁识别威胁识别威胁识别的任务是对组织资产面临的威胁进行全面的标识威胁识别的任务是对组织资产面临的威胁进行全面的标识威胁识别可从威胁源进行分析,也可根据有关标准、组织所提威胁识别可从威胁源进行分析,也可根据有关标准、组织所提供的威胁参考目录进行分析。供的威胁参考目录进行分析。如威胁树(如威胁树(P30)系统故障威胁树()系统故障威胁树(P31)2威胁评估威胁评估安全风险的大小是由安全事件发生的可能性以及它造成的影响安全风险的大小是由安全事件发生的可能性以及它造成的影响决定,安全事件发生的可能性与威胁出现的频率有关,而安全决定,安全事件发生的可能性与威胁出现的频率有关,而安全事件的影响
33、则与威胁的强度或破坏能力有关事件的影响则与威胁的强度或破坏能力有关威胁评估就是对威胁出现的频率及强度进行评估,这是风险评威胁评估就是对威胁出现的频率及强度进行评估,这是风险评估的重要环节估的重要环节评估者应根据经验和(或)有关的统计数据来分析威胁出现的评估者应根据经验和(或)有关的统计数据来分析威胁出现的频率及其强度或破坏能力频率及其强度或破坏能力威胁评估的通用方法q 为威胁列表中的全部可赋值威胁类进行赋值为威胁列表中的全部可赋值威胁类进行赋值 3.33.3 信息安全风险评估流程信息安全风险评估流程等级标识定义5很高出现的频率很高(或1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发
34、生过 4高出现的频率较高(或 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 3中出现的频率中等(或 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过 2低出现的频率较小;或一般不太可能发生;或没有被证实发生过 1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生 威胁赋值表威胁赋值表信息安全风险评估规范信息安全风险评估规范GB/T20984威胁评估的通用方法q 判断威胁出现的频率是威胁赋值的重要内容,应根据经验和判断威胁出现的频率是威胁赋值的重要内容,应根据经验和(或)有关的统计数据来进行判断。需要综合考虑以下三个(或)有关的统计数据来进行判断。需要综
35、合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:方面,以形成在某种评估环境中各种威胁出现的频率:-以往安全事件报告中出现过的威胁及其频率的统计;以往安全事件报告中出现过的威胁及其频率的统计;-实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;-近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。计,以及发布的威胁预警。q 为简化后续的风险计算过程,避免不必要的计算工作,仅采为简化后续的风险计算过程,避免不必要的计算工
36、作,仅采用用TOP5或者或者TOP10威胁参与风险计算威胁参与风险计算3.33.3 信息安全风险评估流程信息安全风险评估流程威胁举例 3.33.3 信息安全风险评估流程信息安全风险评估流程外部威胁发展网络欺骗或讹诈感染恶意代码泄露重要信息手机攻击网络仿冒网页篡改网页恶意代码垃圾邮件拒绝服务攻击病毒蠕虫木马3.33.3 信息安全风险评估流程信息安全风险评估流程3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.5 脆弱性识别与评估脆弱性识别与评估 1脆弱性识别脆弱性识别也称为弱点识别。弱点是资产本身存在的,如果没有相应的威胁也称为弱点识别。弱点是资产本身存在的,如果没有相应的威胁发生,
37、单纯的弱点本身不会对资产造成损害。而且如果系统足够发生,单纯的弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。强健,再严重的威胁也不会导致安全事件,并造成损失。即即,威威胁总是要利用资产的脆弱性才可能造成危害胁总是要利用资产的脆弱性才可能造成危害脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等脆弱性识别所采用的方法主要有:脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.5 脆弱性识别与评估脆弱性识别与评估 1脆弱性
38、识别脆弱性识别脆弱性识别主要从技术和管理两个方面进行脆弱性识别主要从技术和管理两个方面进行 技术脆弱性涉及物理层、网络层、系统层、应用层等各个技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题层面的安全问题 管理脆弱性又可分为技术管理和组织管理两方面,前者与管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关具体技术活动相关,后者与管理环境相关1脆弱性识别脆弱性识别类型类型识别对象识别对象识别内容识别内容技术脆弱性技术脆弱性网络结构网络结构从网络结构设计、边界保护、外部访问控制策略、内部访从网络结构设计、边界保护、外部访问控制策略、内部访问控制策
39、略、网络设备安全配置等方面进行识别问控制策略、网络设备安全配置等方面进行识别系统软件系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别安全、系统管理等方面进行识别应用中间件应用中间件从协议安全、交易完整性、数据完整性等方面进行识别从协议安全、交易完整性、数据完整性等方面进行识别应用系统应用系统从审计机制、审计存储、访问控制策略、数据完整性、通从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保
40、护等方面进行识别信、鉴别机制、密码保护等方面进行识别管理脆弱性管理脆弱性技术管理技术管理从物理和环境安全、通信与操作管理、访问控制、系统开从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别发与维护、业务连续性等方面进行识别组织管理组织管理从安全策略、组织安全、资产分类与控制、人员安全、符从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别合性等方面进行识别3.33.3 信息安全风险评估流程信息安全风险评估流程脆弱性识别内容表脆弱性识别内容表 3.33.3 信息安全风险评估流程信息安全风险评估流程2.脆弱性评估脆弱性评估对脆弱性被利用后对资产损害
41、程度对脆弱性被利用后对资产损害程度、技术实现的难易技术实现的难易程度、弱点流行程度进行评估,评估的结果一般都是程度、弱点流行程度进行评估,评估的结果一般都是定性等级划分形式,综合的标识脆弱性的严重程度定性等级划分形式,综合的标识脆弱性的严重程度。也可对脆弱性被利用后对资产的损害程度以及被利用也可对脆弱性被利用后对资产的损害程度以及被利用的可能性分别评估,然后以一定方式综合的可能性分别评估,然后以一定方式综合。若多个脆弱性反映同一个问题,应综合考虑这些脆弱若多个脆弱性反映同一个问题,应综合考虑这些脆弱性,确定该类脆弱性严重程度性,确定该类脆弱性严重程度脆弱性评估3.33.3 信息安全风险评估流程
42、信息安全风险评估流程等级标识定义5很高如果被威胁利用,将对资产造成完全损害。4高如果被威胁利用,将对资产造成重大损害。3中等如果被威胁利用,将对资产造成一般损害。2低如果被威胁利用,将对资产造成较小损害。1很低如果被威胁利用,将对资产造成的损害可以忽略。脆弱性严重程度赋值表脆弱性严重程度赋值表 脆弱性严重程度可以进行等级化处理,不同的等级分别代表资脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高高信息安全风险评估规范信息安全风险评估规范GB/T209843.33.3 信息安全风险
43、评估流程信息安全风险评估流程3.3.6 已有安全措施的确认已有安全措施的确认安全措施可以分为安全措施可以分为预防性安全措施预防性安全措施和和保护性安全措施保护性安全措施两种两种预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统可能性,如入侵检测系统通过两个方面的作用来实现通过两个方面的作用来实现(1)减少威胁出现的频率,如通过立法或健全制度加大对员工恶)减少威胁出现的频率,如通过立法或健全制度加大对员工恶意行为的惩罚,可以减少员工故意行为威胁出现的频率,通过安全意行为的惩罚,可以减少员工故意行为威胁出现的频率,通过
44、安全培训可以减少无意行为导致安全事件出现的频率;培训可以减少无意行为导致安全事件出现的频率;(2)减少脆弱性,如及时为系统打补丁、对硬件设备定期检查能)减少脆弱性,如及时为系统打补丁、对硬件设备定期检查能够减少系统的技术脆弱性等。够减少系统的技术脆弱性等。保护性安全措施可以减少因安全事件发生后对组织或系统造成保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。的影响。3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.6 已有安全措施的确认已有安全措施的确认对已采取的安全措施进行确认,至少有两个方面的意义对已采取的安全措施进行确认,至少有两个方面的意义(1)有助于对当前信息
45、系统面临的风险进行分析)有助于对当前信息系统面临的风险进行分析(2)通过对当前安全措施的确认,分析其有效性,对)通过对当前安全措施的确认,分析其有效性,对有效的安全措施继续保持,以避免不必要的工作和费用有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施,防止安全措施的重复实施3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析风险分析就是利用资产、威胁、脆弱性识别与评估结果以风险分析就是利用资产、威胁、脆弱性识别与评估结果以及对已有安全措施确认后,采用适当的方法与工具及对已有安全措施确认后,采用适当的方法与工具确定威确定威胁利用脆弱性导致安全
46、事件发生的可能性胁利用脆弱性导致安全事件发生的可能性。综合安全事件。综合安全事件所作用的资产价值及脆弱性的严重程度,所作用的资产价值及脆弱性的严重程度,判断安全事件造判断安全事件造成的损失对组织的影响,即安全风险成的损失对组织的影响,即安全风险3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算如前所述,风险可形式化的表示为如前所述,风险可形式化的表示为R=(A,T,V),其中,其中R表示风表示风险、险、A表示资产、表示资产、T表示威胁、表示威胁、V表示脆弱性。相应的风险值表示脆弱性。相应的风险值由由A、T、V的取值决定,是它们的函数,可以表示为
47、:的取值决定,是它们的函数,可以表示为:风险值风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)Va表示脆弱性严重程度表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失表示安全事件发生后产生的损失3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算三个关键计算环节:三个关键计算环节:a)计算安全事件发生的可能性)计算安全事件发生的可能性根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导
48、致安全事件发生的可能性,即:安全事件发生的可能性,即:安全事件发生的可能性安全事件发生的可能性=L(威胁出现频率,脆弱性威胁出现频率,脆弱性)=L(T,V)在具体评估中,应综合攻击者技术能力(专业技术程度、攻在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。件发生的可能性。3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算
49、三个关键计算环节:三个关键计算环节:b)计算安全事件发生后的损失)计算安全事件发生后的损失 根据资产价值及脆弱性严重程度,计算安全事件一旦发生后根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失,即的损失,即:安全事件的损失安全事件的损失=F(资产价值,脆弱性严重程度资产价值,脆弱性严重程度)=F(Ia,Va)部分安全事件的发生造成的损失不仅仅是针对该资产本身,还部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织响也是不一
50、样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内的影响也考虑在内。对发生可能性极小的安全事件,可以不计算其损失对发生可能性极小的安全事件,可以不计算其损失3.33.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算三个关键计算环节:三个关键计算环节:c)计算风险值计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失,计算风根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:险值,即:风险值风险值=R(安全事件发生的可能性,安全事件造成的损失安全事件发生的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va)