1、风险评估算法简析风险评估算法简析参考文献:信息安全风险评估规范,基于属性分解的信息安全风险分析与计算模型主要内容主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析2主要内容主要内容1.风险评估基础风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析3风险评估基础风险评估基础(1/4)风险评估要素关系图v 概念:概念:信息安全信息安全风险评估风险评估就是从风险管理角度,运用科学就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存的方法和手段,系统地分析信息系统所面临的威胁及其存在的
2、脆弱性,评估安全事件一旦发生可能造成的危害程度,在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。限度地保障信息安全提供科学依据。信息安全技术信息安全技术 信息安全风险评估规范信息安全风险评估规范 信息系统信息系统 整改对策整改对策 保障信息安全保障信息安全 威胁脆弱性资产风险管理角度+方法4风险评估基础风险评估基础(2/4)v 资产资产(A)asset(A)as
3、set概念概念:对组织具有价值的信息或资源,是安全策略保护的对象。资产值资产值:风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产属性资产属性:保密性、完整性、可用性。保密保密性性完整性完整性可用性可用性保密性保密性赋值赋值赋值加权计算得到资产加权计算得到资产最终赋值结果最终赋值结果风险评估中最重要的三个要素依次为资产资产、威胁威胁、脆弱性脆弱性。5风险评估基础风险评估基础(3/4)v 威胁威胁(T)threat(T)threat概念概念:可能导致对系统或组织危害的不希望事故潜在起因。威胁赋值威胁赋值:威胁
4、出现的频率是威胁赋值的主要内容。示例示例:以往安全事件报告中出现过的以往安全事件报告中出现过的威胁及其频率的统计威胁及其频率的统计实际环境中通过检测工具以及各种实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计日志发现的威胁及其频率的统计威胁赋值威胁赋值近一两年来国际组织发布的对于整个近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计社会或特定行业的威胁及其频率统计6风险评估基础风险评估基础(4/4)v 脆弱性脆弱性(V)vulnerability(V)vulnerability概念概念:可能被威胁所利用的资产或若干资产的薄弱环节。脆弱性赋值脆弱性赋值:对资产的损害程度、
5、技术实现的难易程度、弱点的流行程度对已识别的脆弱性严重程度赋值。技技术术管管理理问卷调查问卷调查渗透性渗透性 测试测试文档查阅文档查阅人工检测人工检测工具检测工具检测示例示例脆弱性严重程度赋值表脆弱性严重程度赋值表脆弱性识别脆弱性识别7主要内容主要内容1.风险评估基础2.风险评估计算方法风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析8风险评估算法风险评估算法(1/8)v 风险分析原理风险分析原理 风险值风险值=R(A,T,V)=R(L(T,V),F(la=R(A,T,V)=R(L(T,V),F(la,Va)Va),根据风险值的分布状况,为每个等级设定风险,根据风险值
6、的分布状况,为每个等级设定风险值范围。示例如下值范围。示例如下:9风险评估算法风险评估算法(2/8)v 风险分析计算风险分析计算风险分析计算原理 风险值风险值=R(A,T,V)=R(L(T,V),F(la=R(A,T,V)=R(L(T,V),F(la,Va)Va)R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。三个关键计算环节 a.计算安全事件发生的可能性 安全事件发生的可能性安全事件发生的可能性=L(=L(威胁出现频率,脆弱性威胁出现频率
7、,脆弱性)L(TL(T,V)V)b.计算安全事件发生后的损失 安全事件的损失安全事件的损失=F(=F(资产价值,脆弱性严重程度资产价值,脆弱性严重程度)F(IaF(Ia,Va)Va)c.计算风险值 风险值风险值=R(=R(安全事件发生的可能性,安全事件造成的损失安全事件发生的可能性,安全事件造成的损失)R(L(TR(L(T,V)V),F(IaF(Ia,Va)Va)10风险评估算法风险评估算法(3/8)v 矩阵法矩阵法 特点:主要适用于由两个要素值确定一个要素值的情形。于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良好灵活性。原理:构造z=f(x,y),函数f可以采用矩阵法,其中,
8、矩阵构造如下所示,m*n个值即为要素z的取值v z的计算需要根据实际情况确定,不一定遵循统一的计算公式,但必须具有统一的增减趋势,即如果f 是递增函数,z值应随着 x 与 y 的值递增,反之亦然。11风险评估算法风险评估算法(4/8)v 相乘法相乘法 适用:相乘法主要用于两个或多个要素值确定一个要素值的情形。原理:z=f(x,y)=xy;计算方式:可以为直接乘,也可以为相乘后取模HOW?12风险评估算法风险评估算法(5/8)v 矩阵法示例矩阵法示例 条件三个要素三个要素资产价值资产价值A1=2A2=3A3=5T1=2T2=1T3=2T4=5T5=4威胁发生频率威胁发生频率V1=2V2=3V3=
9、1V4=4V5=2脆弱性严重程度脆弱性严重程度V6=4V7=2V8=3V9=513风险评估算法风险评估算法(6/8)v 矩阵法示例计算过程矩阵法示例计算过程计算安全事件发生的可能性计算安全事件发生的可能性 威胁发生频率:威胁T1=2 脆弱性严重程度:脆弱性V1=21231安全事件发生可能性值安全事件发生可能性值=214风险评估算法风险评估算法(7/8)计算安全事件的损失计算安全事件的损失 资产价值:资产A1=2;脆弱性严重程度:脆弱性V1=22安全事件损失值安全事件损失值=115风险评估算法风险评估算法(8/8)计算安全事件的损失计算安全事件的损失 安全事件发生可能性=2;安全事件损失=1;3
10、依次类推得到风险结果依次类推得到风险结果16主要内容主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法基于属性分解的信息安全风险评估算法4.模型实例对比分析17基于属性分解的信息安全风险评估算法基于属性分解的信息安全风险评估算法(1/5)v 现有风险评估模型缺陷现有风险评估模型缺陷风险值风险值R=R(A,T,V)=R=R(A,T,V)=R(L(T,V),F(laR(L(T,V),F(la,Va)Va)威胁威胁资产价资产价值值脆弱性脆弱性脆弱性严重脆弱性严重程度程度V和 Va如何赋值以及两者之间的区别没有述及,在评估时容易混淆。而在附录的计算示例中,实际取Va为脆
11、弱性值V 有何区有何区别?别?18基于属性分解的信息安全风险评估算法基于属性分解的信息安全风险评估算法(2/5)v 信息安全风险属性分解信息安全风险属性分解 风险的属性包括威胁、脆弱性和资产,对组织造成的影响实际就是对于资产属性的破坏。a.评价资产的三个属性:保密性,完整性,可用性;b.威胁属性可划分为:威胁发生频率(该威胁已经发生的统计结果)和威胁发生概率(威胁发生的可能性);c.脆弱性严重程度即通过利用该脆弱性能够对资产造成的危害或破坏程度,可以参考相关组织的等级评判标准;脆弱性被利用的难易程度,主要通过评估人员的经验推断,也可辅以检测工具、漏洞利用工具等进行验证。保密性可用性完整性发生概
12、率发生频率可利用的难易程度严重程度资产资产威胁威胁脆弱性脆弱性信息安全风险信息安全风险19基于属性分解的信息安全风险评估算法基于属性分解的信息安全风险评估算法(3/5)v 风险分析模型风险分析模型资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别保密性保密性严重程度严重程度可利用的可利用的难易程度难易程度发生频率发生频率发生概率发生概率安全事件安全事件造成的损失造成的损失安全事件安全事件的可能性的可能性风险值风险值完整性完整性可用性可用性资产值资产值威胁值威胁值不需要对脆不需要对脆弱性进行总弱性进行总体赋值体赋值基于属性分解的风险分析模型有两个显著优点:基于属性分解的风险分析模型有两个显著优
13、点:该模型中不存该模型中不存在属性被重复在属性被重复利用的情况利用的情况20基于属性分解的信息安全风险评估算法基于属性分解的信息安全风险评估算法(4/5)v 风险计算方法风险计算方法 风险值风险值R=R(AR=R(A,T T,V)=R(L(VTV)=R(L(VT,VVe)VVe),F(VAF(VA,VVs)VVs)R R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;L表示威胁利用资产的脆弱性,导致安全事件的可能性;F表示安全事件发生后造成的损失 新赋值新赋值含义含义VTp表示某威胁的发生可能性表示某威胁的发生可能性VA表示某资产的总体赋值表示某资产的总体赋值VVs表示某脆弱性的严
14、重程度表示某脆弱性的严重程度VT表示该威胁的总体赋值表示该威胁的总体赋值VTf表示某威胁的发生频率表示某威胁的发生频率VVe表示某脆弱性被利用的难易程度表示某脆弱性被利用的难易程度21基于属性分解的信息安全风险评估算法基于属性分解的信息安全风险评估算法(5/5)v 风险计算公式风险计算公式 风险值风险值R=R(AR=R(A,T T,V)=R(L(VTV)=R(L(VT,VVe)VVe),F(VAF(VA,VVs)VVs)VA=23avg(VAc,VAi,VAa)+13max(VAc,VAi,VAa)VT=35 VTf+25VTp参见参见风险评估中威胁发生可能性的定量分析方法风险评估中威胁发生可
15、能性的定量分析方法主要通过评估人员的技术主要通过评估人员的技术能力和评估经验推断,也能力和评估经验推断,也可辅以检测工具、漏洞利可辅以检测工具、漏洞利用工具等进行验证用工具等进行验证其中,VAc、VAi、VAa分别为资产的保密性、完整性和可用性的赋值等级参见风险评估规范参见风险评估规范参见风险评估规范参见风险评估规范注:安全事件造成的损失F(VA,VVs)、安全事件发生的可能性,J(VT,VVe)和风险R(L,F)的计算公式参考矩阵法22主要内容主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析模型实例对比分析23模型实例对比分析模型实例对比
16、分析(1/2)v 模型实例模型实例 对一个典型环境,分别采用原有模型和属性分解模型进行风险计算,然后对于计算结果进行比较分析对一个典型环境,分别采用原有模型和属性分解模型进行风险计算,然后对于计算结果进行比较分析条件条件属性赋值属性赋值31233224R 1R 2R 3R 4原有模型原有模型属性分解模型属性分解模型风险值风险值43R 5原有模型R1=3,R2=1,R3=2,R4=3,R5=4属性分解模型R1=3,R2=2,R3=2,R4=4,R5=324模型实例对比分析模型实例对比分析(2/2)v 结果比较分析结果比较分析 利用相关系数计算比较利用相关系数计算比较风险对各属性的相关程度。风险对
17、各属性的相关程度。属性分解模型属性分解模型原有模型原有模型 资产值:0.661 威胁值:-0.413 脆弱性严重程度:0.920 资产值:0.758 威胁值:-0.579 脆弱性严重程度:0.110原有模型中风险值严重地相关于脆弱性严重程度。因此,脆弱性严重程度赋值的稍许偏差将导致最终风险值的偏差。结论:结论:通过对信息安全风险进行属性分通过对信息安全风险进行属性分解,获得了一个新的易操作的风解,获得了一个新的易操作的风险分析与计算模型。该模型更加险分析与计算模型。该模型更加细致,风险对脆弱性严重程度的细致,风险对脆弱性严重程度的相关性减弱,而且结构清晰、计相关性减弱,而且结构清晰、计算简便,可广泛应用于实际的风算简便,可广泛应用于实际的风险评估工作。险评估工作。2526