1、1 1第8章信息安全风险评估8.1概述概述8.2信息安全风险评估的基本要素信息安全风险评估的基本要素8.3信息安全风险评估过程信息安全风险评估过程8.4信息安全风险要素计算方法信息安全风险要素计算方法8.5信息安全风险评估方法信息安全风险评估方法8.6风险评估工具风险评估工具2 2一个完整的信息安全体系和安全解决方案是根据信息系统的体系结构和系统安全形势的具体情况来确定的,没有一个通用的信息安全解决方案。信息安全关心的是保护信息资产免受威胁。绝对的安全是不可能的,只能通过一定的措施把风险降低到一个可接受的程度。8.1概述概述3 3因此,信息系统的安全风险评估是指用于了解信息系统的安全状况,估计
2、威胁发生的可能性,计算由于系统易受到攻击的脆弱性而引起的潜在损失。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,其最终目的是帮助选择安全防护措施,将风险降低到可接受的程度,提高信息安全保障能力。这个过程是信息安全管理体系的核心环节,是信息安全保障体系建设过程中的重要评价方法和决策机制。4 4随着信息技术的快速发展,关系国计民生关键信息的基础设施规模和信息系统的复杂程度越来越大。近年来,各个国家越来越重视以风险评估为核心的信息安全评估工作,提倡信息安全风险评估的制度与规范化,通过出台一系列相关的法律、法规和标准等来保障建立完整的信息安全管理体系。例如美国的SP 800系列、英
3、国的BS 7799信息安全管理指南、德国联邦信息安全办公室(BSI)IT基线保护手册、日本的ISMS安全管理系统评估制度等。5 5我国在2004年3月启动了信息安全风险评估指南和风险管理指南等标准的编制工作,2005年完成了信息安全评估指南和信息安全管理指南的征求意见稿,2006年完成了信息安全评估指南送审稿,并分别于2007年和2009年通过了国家标准化管理委员会的审查批准成为国家标准,即GB/T 209842007信息安全风险评估规范和GB/Z 243642009信息安全风险管理指南。6 68.1.1信息安全风险评估的目标和原则信息安全风险评估的目标和原则信息安全风险评估的目标是:信息安全
4、风险评估的目标是:(1)了解信息系统的体系结构和管理水平,以了解信息系统的体系结构和管理水平,以及可能存在的安全隐患。及可能存在的安全隐患。(2)了解信息系统所提供的服务及可能存在的了解信息系统所提供的服务及可能存在的安全问题。安全问题。(3)了解其他应用系统与此信息系统的接口及了解其他应用系统与此信息系统的接口及其相应的安全问题。其相应的安全问题。(4)网络攻击和电子欺骗的模拟检测及预防。网络攻击和电子欺骗的模拟检测及预防。7 7(5)找出目前的安全控制措施与安全需求的差距,并为其改进提供参考。信息安全风险评估的原则有:(1)可控性原则。包括人员可控(资格审查备案与工作确认)、工具可控(风险
5、评估工具的选择,以及对相关方的知会)、项目过程可控(重视项目的管理沟通,运用项目管理科学方法)。(2)可靠性原则。要求风险评估要参考有关的信息安全标准和规定,例如GB/T 209842007信息安全风险评估规范等,做到有据可查。8 8(3)完整性原则。严格按照委托单位的评估要求和指定的范围进行全面的信息安全风险评估服务。(4)最小影响原则。风险评估工作不能妨碍组织的正常业务活动,应从系统相关的管理和技术层面,力求将风险评估过程的影响降到最小。(5)时间与成本有效原则。风险评估过程花费的时间和成本应该具有合理性。9 9(6)保密原则。受委托的评估方要对评估过程进行保密,应与委托的被评估方签署相关
6、的保密和非侵害性协议,未经允许不得将数据泄露给任何其他组织和个人。10 108.1.2实施信息安全风险评估的好处实施信息安全风险评估的好处(1)风险评估是建立信息安全风险管理策略的风险评估是建立信息安全风险管理策略的基础。如果一个管理者不进行风险评估就选择了基础。如果一个管理者不进行风险评估就选择了一种安全防护措施一种安全防护措施(设备或方法设备或方法),也许或造成浪费,也许或造成浪费或已实施的安全防护无法直接减少确定存在的风或已实施的安全防护无法直接减少确定存在的风险。险。(2)风险评估有利于在员工范围内建立信息安风险评估有利于在员工范围内建立信息安全风险意识,提高工作人员对安全问题的认识和
7、全风险意识,提高工作人员对安全问题的认识和兴趣,以及他们对信息安全问题的重视程度。兴趣,以及他们对信息安全问题的重视程度。11 11(3)风险评估能使系统的管理者明确他们的信息系统资源所存在的弱点,让管理者对系统资源和系统的运行状况有更进一步的了解。(4)风险评估在信息系统的设计阶段最为有用,可以确认潜在损失,并从一开始就明确安全需求,这远比在信息系统运行之后更换相关控制节省成本得多。12 12从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者的综合作用在当前安全措施控制下所带来与安全需求不符合的风险可能性评估。作为风险管理的基础,风险评估是组织进一步确定
8、信息安全需求和改进信息安全策略的重要途径,属于组织信息安全管理体系策划的过程。8.2信息安全风险评估的基本要素信息安全风险评估的基本要素13 13信息系统是信息安全风险评估的对象,信息系统中的资产、信息系统面临的可能威胁、系统中存在的脆弱性、安全风险、安全风险对业务的影响,以及系统中已有的安全控制措施和系统的安全需求等构成了信息安全风险评估的基本要素。14 148.2.1风险评估的相关要素风险评估的相关要素1.资产资产资产资产(Asset)是指对组织具有价值的信息或资是指对组织具有价值的信息或资源,是安全策略保护的对象。源,是安全策略保护的对象。资产能够以多种形式存在,包括有形的或无资产能够以
9、多种形式存在,包括有形的或无形的、硬件或软件、文档或代码,以及服务或形形的、硬件或软件、文档或代码,以及服务或形象等诸多表现形式。象等诸多表现形式。在信息安全体系范围内为资产编制清单是一在信息安全体系范围内为资产编制清单是一项重要工作,每项资产都应该清晰地定义、合理项重要工作,每项资产都应该清晰地定义、合理地估价,并明确资产所有权关系,进行安全分类,地估价,并明确资产所有权关系,进行安全分类,记录在案。根据资产的表现形式,可将资产分为记录在案。根据资产的表现形式,可将资产分为软件、硬件、服务、流程、数据、文档、人员等,软件、硬件、服务、流程、数据、文档、人员等,如表如表8-1所示。所示。15
10、15表8-1信息系统中的资产分类16 162.威胁威胁威胁威胁(Threat)是指可能对组织或资产导致损害是指可能对组织或资产导致损害的潜在原因。的潜在原因。威胁有潜力导致不期望发生的安全事件发生,威胁有潜力导致不期望发生的安全事件发生,从而对系统、组织、资产造成损害。这种损害可从而对系统、组织、资产造成损害。这种损害可能是偶然性事件,但更多的可能是蓄意的对信息能是偶然性事件,但更多的可能是蓄意的对信息系统和服务所处理信息的直接或间接的攻击行为,系统和服务所处理信息的直接或间接的攻击行为,例如非授权的泄露、修改、停机等。例如非授权的泄露、修改、停机等。威胁主要来源于环境因素和人为因素,其中威胁
11、主要来源于环境因素和人为因素,其中人为因素包括恶意的和非恶意人员。人为因素包括恶意的和非恶意人员。17 17(1)环境因素:指地震、火灾、水灾、电磁干扰、静电、灰尖、潮湿、温度等环境危害,以及软件、硬件、数据、通讯线路等方面的故障。(2)恶意人员:对组织不满的或有目的的人员对信息系统进行恶意破坏,会对信息的机密性、完整性和可用性等造成损害。(3)非恶意人员:由于缺乏责任心、安全意识,或专业技能不足等原因而导致信息系统故障、被破坏或被攻击,本身无恶意企图。根据威胁来源,表8-2给出了威胁的分类方法。18 18表8-2信息系统面临的威胁分类19 193.脆弱性脆弱性脆弱性脆弱性(Vulnerabi
12、lity)是指可能被威胁所利用是指可能被威胁所利用的资产或若干资产的薄弱环节。例如操作系统存的资产或若干资产的薄弱环节。例如操作系统存在漏洞、数据库的访问没有访问控制机制、系统在漏洞、数据库的访问没有访问控制机制、系统机房没有门禁系统等。机房没有门禁系统等。脆弱性是资产本身存在的,如果没有相应的脆弱性是资产本身存在的,如果没有相应的威胁,单纯的脆弱性本身不会对资产造成损害,威胁,单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,则再严重的威胁也不会而且如果系统足够强健,则再严重的威胁也不会导致安全事件造成损失。这说明,威胁总是要利导致安全事件造成损失。这说明,威胁总是要利用资产的脆弱性
13、来产生危害。用资产的脆弱性来产生危害。2020资产的脆弱性具有隐蔽性,有些脆弱性只在一定条件和环境下才能显现,这也是脆弱性识别中最为困难的部分。要注意的是,不正确的、起不到应有作用的或没有正确实施的安全控制措施本身就可能是一种脆弱性。脆弱性主要表现在从技术和管理两个方面,其中技术脆弱性是指信息系统在设计、实现和运行时,涉及的物理层、网络层、系统层、应用层等各个层面在技术上存在的缺陷或弱点,管理脆弱性则是指组织管理制度、流程等方面存在的缺陷或不足。21 21表8-3信息系统常见的脆弱性22224.安全风险安全风险安全风险安全风险(Security Risk)是指使得威胁可以利是指使得威胁可以利用
14、脆弱性,从而直接或间接造成资产损害的一种用脆弱性,从而直接或间接造成资产损害的一种潜在的影响,并以威胁利用脆弱性导致一系列不潜在的影响,并以威胁利用脆弱性导致一系列不期望发生的安全事件来体现。期望发生的安全事件来体现。资产、威胁和脆弱性是信息安全风险的基本资产、威胁和脆弱性是信息安全风险的基本要素,是信息安全风险存在的基本条件,缺一不要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;可。没有资产,威胁就没有攻击或损害的对象;没有威胁,如果资产很有价值,脆弱性很严重,没有威胁,如果资产很有价值,脆弱性很严重,安全事件也不会发生;系统没有脆弱性,威胁就安全事件也不
15、会发生;系统没有脆弱性,威胁就没有可利用的切入点,安全事件也不会发生。没有可利用的切入点,安全事件也不会发生。2323通过确定资产价值,以及相关的威胁和脆弱性水平,就可以得出最初的信息安全风险的量度值。根据以上分析,安全风险是关于资产、威胁和脆弱性的函数,即信息安全风险可以形式化表示为:R=f(a,t,v),其中R表示安全风险,a表示资产,t表示威胁,v表示脆弱性。24245.影响影响影响影响(Influence)主要是指安全风险对业务的影主要是指安全风险对业务的影响,即威胁利用资产的脆弱性导致资产价值损失响,即威胁利用资产的脆弱性导致资产价值损失等不期望发生事件的后果。等不期望发生事件的后果
16、。这些后果可能表现为直接形式,例如物理介这些后果可能表现为直接形式,例如物理介质或设备的损坏、人员的损伤、资金的损失等,质或设备的损坏、人员的损伤、资金的损失等,也可能表现为间接形式,如公司信用和名誉受损、也可能表现为间接形式,如公司信用和名誉受损、市场份额减少、承担法律责任等。市场份额减少、承担法律责任等。在信息安全领域,直接的损失常常容易计算在信息安全领域,直接的损失常常容易计算且程度较小,而间接的损失往往难于估计且程度且程度较小,而间接的损失往往难于估计且程度严重。严重。2525例如某IT服务公司的服务器遭受DDoS等攻击,造成不能提供正常的信息服务,其直接的损失表现为服务器本身的价值损
17、失和修复所需的人力、物力等,而间接损失较为复杂,由于服务器不能正常工作,信息系统不能提供正常的服务,导致公司业务量的损失、企业形象受损等,这些损失往往数量巨大也难予统计,甚至决定了企业的生存。26266.安全控制措施安全控制措施安全控制措施安全控制措施(Security Control Measure)是指是指为保护组织资产、防止威胁、减少脆弱性、限制为保护组织资产、防止威胁、减少脆弱性、限制安全事件的影响、加速安全事件的检测及响应而安全事件的影响、加速安全事件的检测及响应而采取的各种实践、过程和机制。采取的各种实践、过程和机制。有效的安全通常是为了提供给资产多级的安有效的安全通常是为了提供给
18、资产多级的安全,而应用不同安全控制措施的综合,以实现检全,而应用不同安全控制措施的综合,以实现检测、威慑、防止、限制、修正、恢复、监测和提测、威慑、防止、限制、修正、恢复、监测和提高安全意识的功能。例如,一个信息系统的安全高安全意识的功能。例如,一个信息系统的安全访问控制,往往是人员管理、角色权限管理、审访问控制,往往是人员管理、角色权限管理、审计管理、数据库安全、物理安全,计管理、数据库安全、物理安全,2727以及安全培训等共同支持的结合。有些安全控制措施已作为环境或资产固有的一部分而存在,或已存在于系统或组织之中。安全控制措施的实施领域包括:组织政策与资产管理、物理环境、技术控制、人员管理
19、等方面。更详细的可用安全控制措施实施内容参见第6章。28287.安全需求安全需求安全需求安全需求(Security Requirement)是指为保证是指为保证组织业务战略的正常运作而在安全控制措施方面组织业务战略的正常运作而在安全控制措施方面提出的要求。提出的要求。信息安全体系的安全需求来源于以下信息安全体系的安全需求来源于以下3个方面:个方面:(1)风险评估的要求。风险评估的要求。评估组织面临的风险,以及该风险的出现将评估组织面临的风险,以及该风险的出现将会带来怎样的业务损失,为了降低风险,需要采会带来怎样的业务损失,为了降低风险,需要采取相应的安全措施。例如关键数据或系统的机密取相应的安
20、全措施。例如关键数据或系统的机密性、可用性、完整性需求、信息系统运行时的实性、可用性、完整性需求、信息系统运行时的实时监控需求、安全事件带来的应急响应需求等。时监控需求、安全事件带来的应急响应需求等。2929(2)法律、法规和合同的要求。在信息安全体系文件中应详细规定组织、贸易伙伴、服务提供商和签约客户需要遵守的有关法律、法规与合同的要求。例如数据版权保护、文件保密管理、组织记录的保护等,要保证任何安全控制措施不得违反或损害任何法律法规、商业合同的要求。(3)业务规则、业务目标和业务信息处理的要求。在信息安全体系文件中应详细规定与组织的业务规则、业务目标和业务信息处理的相关安全需求,3030信
21、息安全体系应支持组织获得竞争优势、现金流和赢利能力的要求,并保证实施安全控制措施不得妨碍业务的正常运营。31 318.2.2风险要素的相互关系风险要素的相互关系图图8-1描述了风险要素之间的关系。描述了风险要素之间的关系。3232图8-1风险要素及其相互关系3333风险评估围绕着资产、威胁、脆弱性和安全控制措施等基本要素展开。风险要素之间存在着以下关系:(1)威胁利用脆弱性产生安全风险,资产面临的威胁越多则风险越大。(2)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大。(3)资产具有价值,并对组织业务有一定的影响,资产价值及影响越大则其面临的风险越大。(4)安全控制措施能抵御威
22、胁,减少脆弱性,因而能降低安全风险。3434(5)安全风险的存在及对风险的认识提出了安全需求,安全需求通过安全控制措施来满足或实现。3535详细的风险评估方法在流程上可能有一些差异,但基本上都是围绕资产、威胁、脆弱性的识别与评价展开,进一步分析不期望事件发生的可能性及对组织的影响,并考虑如何选择合适的安全控制措施,将安全风险降低到可接受的程度。8.3信息安全风险评估过程信息安全风险评估过程3636从总体上看,风险评估过分为四个阶段,第一阶段为风险评估准备;第二阶段是风险识别,包括资产的识别与估价、威胁的识别与评估和脆弱性的识别与评估等工作;第三阶段是风险分析,包括计算风险、风险的影响分析等,并
23、在此过程建立相关评估文档;第四阶段为根据风险计算结果进行相应的风险管理过程,并提交风险评估报告。信息安全风险评估的流程如图8-2所示。3737图8-2信息安全风险评估流程38388.3.1风险评估准备风险评估准备风险评估准备是整个风险评估过程有效性的风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性考虑,其保证。组织实施风险评估是一种战略性考虑,其结果将受到组织的业务战略、业务流程、安全需结果将受到组织的业务战略、业务流程、安全需求、系统规模与结构等方面的影响,因此,在风求、系统规模与结构等方面的影响,因此,在风险评估实施前,应做好以下准备工作:险评估实施前,应做好以下准
24、备工作:(1)确定风险评估的目标。根据组织在业务持确定风险评估的目标。根据组织在业务持续性发展的安全性需要、法律法规的规定等内容,续性发展的安全性需要、法律法规的规定等内容,识别出现有信息系统及管理上的不足,以及可能识别出现有信息系统及管理上的不足,以及可能造成的风险大小。造成的风险大小。3939(2)明确风险评估的范围。风险评估的范围可能是组织全部的信息及信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。(3)组建团队。由管理层、相关业务骨干、信息技术人员等组织风险评估小组,必要时,还要组建由评估方、被评估方领导和相关部门负责人参加
25、的风险评估领导小组,并聘请相关专业技术专家和技术骨干组成专家小组。4040(4)确定风险评估的依据和方法。利用问卷调查、现场面谈等形式进行系统调研,确定风险评估的依据,并考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法和风险评估工具,并使之能与组织环境和安全要求相适应。(5)获得支持。上述所有内容确定之后,应形成较为完整的风险评估实施方案,并得到组织最高管理者的支持和批准,传达给管理层和技术人员,在组织范围内就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务和责任。41 418.3.2资产识别与估价资产识别与估价风险识别始于信息资产的识别,根据资产的风险识别始
26、于信息资产的识别,根据资产的类型类型(见表见表8-1),管理者确认组织的信息资产,将,管理者确认组织的信息资产,将它们归于不同的类,并根据它们在总体上的重要它们归于不同的类,并根据它们在总体上的重要性划分优先等级,评估其价值。性划分优先等级,评估其价值。1.资产识别资产识别资产识别是风险识别的必要环节,其任务是资产识别是风险识别的必要环节,其任务是对确定的评估对象所涉及的资产进行详细的标识,对确定的评估对象所涉及的资产进行详细的标识,并建立资产清单。并建立资产清单。识别资产的方法主要有访谈、现场调查、文识别资产的方法主要有访谈、现场调查、文档查阅等方式。在识别的过程中要注意不能遗漏档查阅等方式
27、。在识别的过程中要注意不能遗漏无形资产,同时要注意不同资产之间的相互依赖无形资产,同时要注意不同资产之间的相互依赖关系。关系。4242(1)识别软件和硬件。组织可查阅资产购买清单和固定资产清单来帮助了解其现有的软件和硬件情况。目前市场上可以购买到大量的软件包和各种信息安全硬件设备,选择哪些最适合组织安全需要的软件和硬件正是首席信息官CIO(Chief Information Officer)或首席信息安全官CISO(Chief Information Security Officer)的职责之一。因此,可通过咨询他们的方式来了解关于软件和硬件资产及其属性要求。4343按计划识别软件和硬件,通过
28、数据处理过程以建立相关的信息资产清单,并明确每一种信息资产的哪些属性需要在使用过程中受到追踪,而这需要根据组织及其风险管理工作的需要,以及信息安全技术团体的需要和偏好来作出决定。当确定每一种信息资产需要追踪的属性时,应考虑以下潜在的属性。名称:程序或设备的名单。IP地址:对网络硬件设备很有用。4444MAC地址:电子序列号或硬件地址,具有唯一性。资产类型:描述每一种资产的功能或作用。产品序列号:识别特定设备的唯一序列号。制造商:有助于与生产厂家建立联系并寻求帮助。型号或编号:能正确识别资产。版本号:在资产升级或变更时,需要这些版本值。物理位置:指明何处可使用该资产。逻辑位置:指定资产在组织内部
29、网络中的位置。控制实体:控制资产的组织部门。4545(2)识别服务、流程、数据、文档、人员和其他。与软件和硬件不同,服务、流程、数据、文档和人力资源等信息资产不易被识别和引证,因此,应该将这些信息资产的识别、描述和评估任务分配给拥有必要知识、经验和判断能力的人员。一旦这些资产得到识别,就要运用一个可靠的数据处理过程来记录和标识它们,如同在软件和硬件中使用一样。对这些信息资产的维护记录应当较为灵活,在识别资产的过程中,要将资产与被追踪的信息资产的属性特征联系起来,仔细考虑特定资产中哪些属性需要跟踪。以下列出这些资产的一些基本属性:4646 服务。包括服务的描述、类型、功能、提供者、服务面向的对象
30、、满足服务的附加条件等。流程。包括流程的描述、功能、相关的软件/硬件/网络要素、参考资料的存储位置、更新数据的存储位置等。数据。包括数据的类别、数据结构及范围、所有者/创建者/管理者、存储位置、备份流程等。文档。包括文档的描述、名称、密级、制定时间、制定者/管理者,及纸质的各种文件、传真、财务报告、发展计划、合同等。人员。包括姓名/ID/职位、入职时间、技能等。47472.资产定级一旦识别好所有的信息资产,建立的资产清单必须反映每一项信息资产的敏感度和安全等级,并根据这些属性对资产制定一项分类方案,同时确定分类对组织的风险评估计划是否有意义。可考虑以下资产分类方案:按机密性分类、按完整性分类和
31、按可用性分类,每一种分类方案中可按从低到高的要求进行级别标识,即对每一项分类都指明特定的信息资产的保护等级。某些资产类型,例如人员,4848可能需要更具体的不同分类方案,如果基于按需要知密和按权更新的机制,某位员工可能会被赋予一定等级的安全检查权限,该权限用于确认员工获权使用的信息的等级。49493.评估资产的价值完成资产的识别和定级之后,就必须赋予它一个相对价值。在信息安全管理中,并不是直接采用资产的账面价值,一般的做法是以定性分析的方式建立资产的相对价值,以相对价值作为确定重要资产的依据和为该资产投入多少保护资源的依据。相对价值是一种比较性的价值判定,能确保在信息安全管理中,最有价值的信息
32、资产被赋予最高优先级。或者说,资产受到威胁时所带来的损失是不可预知的,但评估值却有助于确保价值较高的资产首先得到保护。5050资产的价值应当由资产的所有者和相关用户来确定,因为只有他们最清楚资产对组织业务的重要性,从而能较准确地评估出资产的实际价值。在评估资产的价值时,要考虑资产的购买成本和维护成本,同时也要考虑资产的机密性、完整性和可用性等受到损害时,对业务运营的负面影响程度。评估的过程,需要进行广泛的调查研究,并提出以下问题帮助确定信息资产的影响力和评估信息资产的价值:51 51(1)哪种信息资产对组织的成功最为重要?在确定信息资产的相对重要性时,要参考组织的任务或目标的说明,并以此为指导
33、来确定哪种资产对实现组织的目标是不可缺少的、哪种资产支持组织的发展目标、哪种资产与目标关联较少。例如,对于电子商务在线系统来说,那些登载广告和24小时接受订单的组织,其Web服务器就是不可缺少的,而用于负责回复用户邮件的客户端系统就显得不那么重要了。5252(2)哪种信息资产能带来最大收益?信息资产的相对价值取决于它能带来多大的收益,或者是它所提供的服务有多么的重要。有时候针对每条业务线或提供的服务会使用不同的系统,这时就要考虑哪种资产能在产生收益或者提供服务方面能起到最重要的作用。例如,对于经营B2C商务网站服务而言,一些服务器支持对商家的商品管理与销售操作,另一些服务器支持客户浏览与下订单
34、操作,还有一些服务器支持与银行电子货币接口的操作,5353当然还有一些服务器支持拍卖、广告等功能。在评估这些服务器的时候,就要考查这些服务器对组织业务收益的贡献。(3)哪种信息资产的更新花费最多?对于一些生产、制造或者购买运输时间较长的专业设备,应该控制好这些独一无二的信息资产可能因为损失或损坏而造成的风险,例如,系统在物理进入或执行环境中,需要一种专门用于身份验证的虹膜识别系统,此时或许可以另外购进一套作为备用设备。5454(4)哪种信息资产的保护费用最昂贵?一些资产本身就很难进行维护,除非在风险识别阶段结束之后,否则不可能完全解决该问题,因为只有在控制方案确定之后才能计算出成本,但仍然可以
35、初步估计每一项资产实施保护控制的花费的相对高低。(5)哪种信息资产的损失、损坏或暴露出缺陷最易造成麻烦,或导致损失?5555一些资产的损失、损坏或缺陷会给组织带来很大的麻烦。例如,微软2007年推出的Vista最低硬件配置要求太高,并出现驱动和安全软件兼容性问题,这些都成为影响企业采用这种操作系统的严重障碍,这使得微软Vista操作系统存在一个形象问题,这一问题正在影响它的销售,而且这种阴影也波及2009年10月Windows 7操作系统发布后的初期阶段。总之,组织要通过广泛地和仔细地调查研究,按要求制定出符合自己需要的信息资产评估价值级别,5656如“可忽略、低、中、高、极高”等。价值级别应
36、与组织在实际生活中选择的价值标准一致,例如,对于可能的资金损失,可能给出具体的价值数量,但对于人员的安全,价值数量就不适用了,因此需要使用一个能综合满足定量与定性要求的方式。在资产的价值确定之后,应该按重要性列出资产,并按照NIST SP 800-30的建议,使用0.11.0间的数值对其进行打分,即赋予一个权重因子,用来表示资产在组织中的相对重要性。57578.3.3威胁识别与评估威胁识别与评估1.威胁识别威胁识别任何信息资产都会面临各种各样的威胁。与任何信息资产都会面临各种各样的威胁。与威胁有关的信息可能从信息安全管理体系的参与威胁有关的信息可能从信息安全管理体系的参与人员和相关业务流程处收
37、集获得。一项资产可能人员和相关业务流程处收集获得。一项资产可能面临多个威胁,同样一个威胁可能对不同的资产面临多个威胁,同样一个威胁可能对不同的资产造成影响。造成影响。威胁识别的任务是对信息资产面临的威胁进威胁识别的任务是对信息资产面临的威胁进行全面的标识。行全面的标识。识别威胁的方法主要有基于威胁源分类的识识别威胁的方法主要有基于威胁源分类的识别方法、基于某些标准或组织提供的威胁参考目别方法、基于某些标准或组织提供的威胁参考目录的识别方法等。录的识别方法等。5858威胁源主要是一些环境因素和人为因素,根据表8-2威胁分类方法,不同的威胁能造成不同形式的危害,在威胁的识别过程中应针对相关资产考虑
38、这些威胁源可能构成的威胁。很多标准也对信息系统可能面临的威胁进行了列举,例如,ISO/IEC 13335-3IT安全管理技术在附录中提供了可能的威胁目录明细,如地震、洪水、飓风、火灾、闪电、工业活动、炸弹攻击、使用武力、恶意破坏、断电、水供应故障、5959空调故障、硬件失效、电力波动、极端温度和湿度、灰尘、电磁辐射、静电干扰、偷窃、存储介质的未授权使用、存储介质的老化、操作人员失误、维修错误、软件失效、软件被未授权用户使用、软件的非法使用、恶意软件、软件的非法进/出口、用户身份冒充、未授权用户访问网络、用未授权方式使用网络设备、网络组件的技术性失效、传输错误、线路损坏、流量过载、窃听、通信渗透
39、、流量分析、信息的错误路径、信息重选路由、抵赖、通信服务失效、资源的滥用等等。这些参考目录可以作为进行威胁识别的重要依据。6060德国IT基线保护手册中的“资产威胁控制措施”模型将威胁分为五大类,即不可抗拒力、组织缺陷、人员错误、技术错误、故意行为。每种类型威胁又包含几十到一百多种威胁子类。该手册对每类威胁进行了详细列举和描述,因而可作为威胁识别的重要参考。61 612.威胁评估威胁评估威胁评估是对威胁出现的频率和强度进行评威胁评估是对威胁出现的频率和强度进行评估,这是风险评估的重要环节。估,这是风险评估的重要环节。每一种威胁都对信息资产的安全提出了挑战,每一种威胁都对信息资产的安全提出了挑战
40、,在威胁识别之后,威胁评估的首要任务就是检查在威胁识别之后,威胁评估的首要任务就是检查每一威胁对目标信息资产的潜在影响,提出下面每一威胁对目标信息资产的潜在影响,提出下面的问题帮助理解威胁和威胁对信息资产的潜在影的问题帮助理解威胁和威胁对信息资产的潜在影响:响:(1)当前哪些威胁对组织的信息资产产生了威当前哪些威胁对组织的信息资产产生了威胁?胁?6262这是因为并不是所有的威胁都会危及信息资产。此时可以检查表8-2中的每种分类,并排除那些不适用于本组织的威胁。这样做可以减少风险评估的时间。一旦确定好组织面临的威胁种类,还要识别每一类威胁中的特例,并排除那些不相干的威胁。例如,若公司的办公地点位
41、于高层建筑的顶层,则不太可能遭受到洪水的威胁。(2)哪种威胁会对组织的信息资产带来最严重的危害?6363在威胁评估的初期阶段,可以大概地由威胁攻击的频率,以及检查现有的准备等级和应改进的信息安全策略来确定威胁可能产生的危害程度。这样进行初步的信息收集,有助于按危险次序来划分威胁等级。组织识别出威胁的原因、威胁的目标后,有必要根据经验和有关的统计数据来分析威胁出现的频率、强度和破坏能力,考虑以下因素:(1)根据经验和统计规律,估计出威胁多长时间发生一次,即威胁发生的频度。6464(2)研究攻击者的动机、需要具备的能力、所需的资源、资产的吸引力大小和脆弱性程度,了解是否存在有预谋的威胁。(3)近一
42、两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。(4)研究地理因素,如是否靠近石油化工厂、是否处于极端天气高发区等,这些环境条件会导致意外事故的威胁。威胁评估的结果一般都是定性的。GB/T 209842007信息安全风险评估规范将威胁频度等级划分为五个等级,用来代表威胁出现的频率高低。6565等级数值越大,威胁出现的频率越高,如表8-4所示。在实际的评估中,威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可。6666表8-4威胁的赋值67678.3.4脆弱性识别与评估脆弱性识别与评估1.脆弱性识别脆弱性识别脆弱性是信息资产固
43、有的属性,表现为存在脆弱性是信息资产固有的属性,表现为存在一系列的脆弱点或漏洞。脆弱性的识别主要按脆一系列的脆弱点或漏洞。脆弱性的识别主要按脆弱性的类型,即从技术和管理两个方面进行。其弱性的类型,即从技术和管理两个方面进行。其中技术方面主要是指软件、硬件和通信设施等方中技术方面主要是指软件、硬件和通信设施等方面存在的脆弱性,管理方面主要是指在人员管理、面存在的脆弱性,管理方面主要是指在人员管理、业务管理和行政管理中的过程与控制等方面存在业务管理和行政管理中的过程与控制等方面存在的脆弱性。的脆弱性。6868识别脆弱性的方法主要有问卷调查、工具检测、工人核查、渗透性测试和文档查阅等。在识别的过程中
44、要注意其数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业人员等。对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如,对物理环境的脆弱性识别应按GB/T 93611988计算机场地安全要求中的技术指标实施;6969对操作系统、数据库应按GB 178591999计算机信息系统安全保护等级划分准则中的技术指标实施;对网络、系统、应用等信息技术安全性的脆弱性识别应按GB/T 183362001信息技术安全性评估准则中的技术指标实施;对管理脆弱性识别方面应按GB/T 197162005信息安全管理实用规则的要求对安全管理制度及其执行情况进行检查,发现管
45、理脆弱性和不足。7070表8-5脆弱性识别内容71 712.脆弱性评估脆弱性评估与每一种威胁相关的脆弱性都应当评估出来,与每一种威胁相关的脆弱性都应当评估出来,因为在一定条件下,威胁会利用这些脆弱性导致因为在一定条件下,威胁会利用这些脆弱性导致安全事件的发生。安全事件的发生。可以根据脆弱性对信息资产的暴露程度、技可以根据脆弱性对信息资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行评估。由于很对已识别的脆弱性的严重程度进行评估。由于很多脆弱性反映的是某一方面的问题,或可能造成多脆弱性反映的是某一方面的问题,或可能
46、造成相似的后果,评估时应综合考虑这些脆弱性,以相似的后果,评估时应综合考虑这些脆弱性,以确定这一方面脆弱性的严重程度。确定这一方面脆弱性的严重程度。7272对于某个资产,其技术脆弱性的严重程度同时受到组织管理脆弱性的影响。因此,衡量资产的脆弱性还应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。脆弱性评估的结果一般也是定性的。GB/T 209842007信息安全风险评估规范将脆弱性严重程度划分为五个等级,如表8-6所示。7373表8-6威胁的赋值7474在风险评估过程中,将会发现许多系统的脆
47、弱点或漏洞,威胁也会以多种方式显露出来。为每一项信息资产建立脆弱性评估列表,并确定哪个脆弱性会对受保护的资产产生最大的威胁,这是风险识别人员每天都要面临的挑战。在风险识别的最后,我们完成了资产、威胁及脆弱性的列表清单。该清单将作为风险分析过程的支持文档。75758.3.5现有安全控制措施的确认现有安全控制措施的确认安全控制措施可以分为预防性安全控制措施安全控制措施可以分为预防性安全控制措施和保护性安全控制措施两种。预防性安全控制措和保护性安全控制措施两种。预防性安全控制措施可以降低威胁利用脆弱性导致安全事件发生的施可以降低威胁利用脆弱性导致安全事件发生的可能性,例如可能性,例如IDS;而保护性
48、安全控制措施可以减;而保护性安全控制措施可以减少因安全事件发生后对组织或系统造成的影响,少因安全事件发生后对组织或系统造成的影响,例如业务持续性计划。在识别脆弱性的同时,评例如业务持续性计划。在识别脆弱性的同时,评估人员应对这些已采取的安全控制措施的有效性估人员应对这些已采取的安全控制措施的有效性进行确认。该步骤的主要任务是,对当前信息系进行确认。该步骤的主要任务是,对当前信息系统所采取的安全控制措施进行标识,并对其预期统所采取的安全控制措施进行标识,并对其预期功能、有效性进行分析,再根据检查的结果来决功能、有效性进行分析,再根据检查的结果来决定是否保留、去除或替换现有的控制措施。定是否保留、
49、去除或替换现有的控制措施。7676安全控制措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全控制措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全控制措施应核实其是否应被取消或对其进行修正,或用更合适的安全控制措施替代。已有安全控制措施的确认与脆弱性的识别存在一定的联系。一般来说,安全控制措施的使用将减少系统技术或管理上的脆弱性,但确认安全控制措施并不需要像脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体控制措施的集合,为风险处理计划的制定提供依据和参考。77778.3.6风险计算与分析风险计算与分析在完成了资产识别
50、、威胁识别、脆弱性识别,在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。影响,即安全风险。如前所述,风险可以表示为威胁发生的可能如前所述,风险可以表示为威胁发生的可能性、脆弱性被威胁利用的可能性、威胁的潜在影性、脆弱性被威胁利用的可能性、威胁的潜在影响三