1、引入引入:人体的反应人体的反应0.与风险评估有关的概念与风险评估有关的概念威胁指可能对资产或组织造成损害的事故的潜威胁指可能对资产或组织造成损害的事故的潜 在原因在原因薄弱点指资产或资产组中能被威胁利用的弱点薄弱点指资产或资产组中能被威胁利用的弱点风险特定的威胁利用资产的一种或一组薄弱风险特定的威胁利用资产的一种或一组薄弱 点,导致资产的丢失或损害的潜在可能点,导致资产的丢失或损害的潜在可能 性,即特定威胁事件发生的可能性与后果性,即特定威胁事件发生的可能性与后果 的结合的结合风险评估风险评估 对对 信信 息息 和和 信信 息息 处处 理理 设设 施施 的的 威威 胁、影响和薄弱点及三者发生的
2、胁、影响和薄弱点及三者发生的 可能性的评估可能性的评估风险风险 管管 理以可接受的费用识别、控理以可接受的费用识别、控 制、降低制、降低 或消除可能影响信息系统的安全风或消除可能影响信息系统的安全风 险的过程险的过程安全控制安全控制 降降 低低 安安 全全 风风 险险 的的 惯惯 例、程例、程 序序 或或 机制机制剩余风剩余风 险实险实 施施 安安 全全 控控 制制 后,后,剩剩 余余 的的 安安全全 风险风险适用性适用性 声声 明明 适适 用用 于于 组组 织织 需需 要要 的的 目标和目标和控控 制的评述。适用性声明是一个包制的评述。适用性声明是一个包 含组织所选择的控制目标与控制含组织所
3、选择的控制目标与控制 方式的文件,相当于一个控制目方式的文件,相当于一个控制目 标与方式清单,其中应阐述选择标与方式清单,其中应阐述选择 与不选择的理由与不选择的理由资产具有价值,并会受到威胁的潜在影响资产具有价值,并会受到威胁的潜在影响薄弱点将资产暴露给威胁,威胁利用薄弱点对资产薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成影响造成影响威胁与薄弱点的增加导致安全风险的增加威胁与薄弱点的增加导致安全风险的增加安全风险的存在对组织的信息安全提出要求安全风险的存在对组织的信息安全提出要求安全控制应满足安全要求安全控制应满足安全要求1.资产识别资产识别管理者确认机构的信息资产,将它们归入各个不同管
4、理者确认机构的信息资产,将它们归入各个不同的类,并根据它们在总体上的重要性划分优先级别的类,并根据它们在总体上的重要性划分优先级别(1)建立信息资产清单)建立信息资产清单 识别硬件、软件和网络资产识别硬件、软件和网络资产如果机构利用资产购买清单自动管理系统,如果机构利用资产购买清单自动管理系统,CISO 或或 CIO 的责任就是确定哪种软件包最适的责任就是确定哪种软件包最适 合机构的需要合机构的需要没有使用清单自动管理系统的机构就必须建立没有使用清单自动管理系统的机构就必须建立 起类似的人工操作过程起类似的人工操作过程重要的是,必须确定每一种信息资产的哪些属重要的是,必须确定每一种信息资产的哪
5、些属 性需要受到追踪性需要受到追踪v命名:一张设备或程序常用名单命名:一张设备或程序常用名单vIP 地址:该属性对网络设备和服务器很有用,地址:该属性对网络设备和服务器很有用,但很少对软件有所影响但很少对软件有所影响v媒体访问控制(媒体访问控制(MAC)地址:硬件地址)地址:硬件地址v产品序列号:一种识别特定设备的惟一序列号,产品序列号:一种识别特定设备的惟一序列号,一些软件商也给机构许可的每个程一些软件商也给机构许可的每个程 序分配一个软件序列号序分配一个软件序列号 v资产类型:用于描述每一种资产的功能或作用资产类型:用于描述每一种资产的功能或作用v制造商:当某个制造商公布其产品漏洞时,该属
6、制造商:当某个制造商公布其产品漏洞时,该属 性有助于分析潜在威胁性有助于分析潜在威胁v制造型号或部件编号:该编号能正确识别资产,制造型号或部件编号:该编号能正确识别资产,在漏洞分析中很有用在漏洞分析中很有用v软件版本号、更新修订版号或域变更通知号软件版本号、更新修订版号或域变更通知号v物理位置:该属性并不属于软件要素。但一些机物理位置:该属性并不属于软件要素。但一些机 构可能指出在何处可以使用软件的构可能指出在何处可以使用软件的许许 可条款可条款v逻辑位置:用以指定资产在机构内部网络中的位逻辑位置:用以指定资产在机构内部网络中的位 置置v控制实体:控制资产的机构部门控制实体:控制资产的机构部门
7、识别人员、流程和数据资产识别人员、流程和数据资产人力资源、文档和数据信息资产不易识别和引人力资源、文档和数据信息资产不易识别和引 证。应该把识别、描述和评估这些信息资产的证。应该把识别、描述和评估这些信息资产的 职责分配给拥有必要知识、经验和判断能力的职责分配给拥有必要知识、经验和判断能力的 管理者管理者 v人员人员 职位名称职位名称/编号编号/ID:不使用始名;使用职称、:不使用始名;使用职称、角色或功能来描述角色或功能来描述 主管名称主管名称/编号编号/ID:不使用始名;使用职称、:不使用始名;使用职称、角色或功能来描述角色或功能来描述 安全检查层安全检查层 特殊技能特殊技能v流程流程 描
8、述描述 目的目的 相关的软件相关的软件/硬件硬件/网络要素网络要素 参考资料存储位置参考资料存储位置 更新数据存储位置更新数据存储位置v数据数据 分类分类 所有者所有者/创建者创建者/管理者管理者 数据结构范围数据结构范围 所用的数据结构:比如,连续的或相关的所用的数据结构:比如,连续的或相关的 在线或脱机在线或脱机 位置位置 备份流程备份流程(2)资产分级和分类)资产分级和分类确定资产分类是否对机构风险管理计划有意义确定资产分类是否对机构风险管理计划有意义细分或者新的分类细分或者新的分类 应当制定一项分类方案(若已完成,应对其进应当制定一项分类方案(若已完成,应对其进 行审查),以根据信息资
9、产的敏感度和安全需行审查),以根据信息资产的敏感度和安全需 要对其进行分级要对其进行分级资产的分级和分类必须既全面而又相互独立资产的分级和分类必须既全面而又相互独立 (3)评估信息资产价值)评估信息资产价值赋给信息资产一个相对价值赋给信息资产一个相对价值相对价值是一种比较性的价值判定,其可确保相对价值是一种比较性的价值判定,其可确保 在风险管理中,最有价值的信息资产被赋予最在风险管理中,最有价值的信息资产被赋予最 高优先级高优先级v哪种信息资产对机构的成功最为重要?哪种信息资产对机构的成功最为重要?v哪种信息资产能带来最大收入?哪种信息资产能带来最大收入?v哪种信息资产能使利润最大化?哪种信息
10、资产能使利润最大化?v哪种信息资产的更新花费最多?哪种信息资产的更新花费最多?v哪种信息资产的保护费用最为昂贵?哪种信息资产的保护费用最为昂贵?v哪种信息资产的损失或损坏会最易造成麻烦或产哪种信息资产的损失或损坏会最易造成麻烦或产生负债?生负债?(4)按重要性顺序列出资产)按重要性顺序列出资产 2.威胁识别威胁识别 应用正确的资产分类保护,能够评估每一信息资产应用正确的资产分类保护,能够评估每一信息资产的潜在弱点的潜在弱点 在威胁识别和漏洞识别过程中的每一步骤都采用独在威胁识别和漏洞识别过程中的每一步骤都采用独立管理,最终再做协调立管理,最终再做协调(1)威胁清单)威胁清单(2)威胁分级)威胁
11、分级可能性可能性威胁发生的可能性受下列因素的影响威胁发生的可能性受下列因素的影响资产的吸引力资产的吸引力资产转化成报酬的容易程度资产转化成报酬的容易程度威胁的技术含量威胁的技术含量漏洞被利用的难易程度漏洞被利用的难易程度PTVTV考虑资产薄弱点因素的威胁发生可能性考虑资产薄弱点因素的威胁发生可能性PT未考虑资产薄弱点因素的威胁发生可能性未考虑资产薄弱点因素的威胁发生可能性PV资产薄弱点被威胁利用的可能性资产薄弱点被威胁利用的可能性P PTVTV=P=PT T*P PV V威胁的潜在影响威胁的潜在影响潜在影响潜在影响I I资产相对价值资产相对价值V V*价值损失程度价值损失程度C CL L价值损
12、失的程度价值损失的程度C CL L是一个小于等于是一个小于等于1 1大于大于0 0的系数,的系数,资产遭受安全事故后,其价值可能完全丧失(即资产遭受安全事故后,其价值可能完全丧失(即C CL L1 1)但不可能对资产价值没有任何影响(即)但不可能对资产价值没有任何影响(即C CL L003.3.漏洞评估漏洞评估识别了机构的信息资产并建立了关于一些威胁的评识别了机构的信息资产并建立了关于一些威胁的评估标准的文档,就可以开始检查每一项信息资产以估标准的文档,就可以开始检查每一项信息资产以找出其面对的每一种威胁找出其面对的每一种威胁 4.4.风险评估风险评估 风险评估对每一具体的漏洞赋给一个风险评价
13、等级风险评估对每一具体的漏洞赋给一个风险评价等级或评分,虽然这个数字不能表示任何绝对的意义,或评分,虽然这个数字不能表示任何绝对的意义,但却使你能够衡量与每一信息资产相关的相对风但却使你能够衡量与每一信息资产相关的相对风险,而且方便了在以后风险控制过程中建立相对评险,而且方便了在以后风险控制过程中建立相对评价等级价等级(1 1)风险测量方法风险大小和等级评价原则)风险测量方法风险大小和等级评价原则根据风险定义所知,风险是资产所受到的威胁、根据风险定义所知,风险是资产所受到的威胁、存在的薄弱点及威胁利用薄弱点所造成的潜在影响存在的薄弱点及威胁利用薄弱点所造成的潜在影响三方面共同作用的结果。三方面
14、共同作用的结果。风险是威胁发生的可能性、薄弱点被威胁利用风险是威胁发生的可能性、薄弱点被威胁利用的可能性和威胁的潜在影响的函数的可能性和威胁的潜在影响的函数,记为,记为无论二元还是三元风险函数,均为增函数,即无论二元还是三元风险函数,均为增函数,即风险随威胁的可能性、薄弱点的被利用的程度、资风险随威胁的可能性、薄弱点的被利用的程度、资产的相对价值的增加(减少)而增加(减少)产的相对价值的增加(减少)而增加(减少)风险大小可以利用二元或三元的方法来测量,风险大小可以利用二元或三元的方法来测量,风险计算公式可以采用简单的乘法、矩阵风险表等风险计算公式可以采用简单的乘法、矩阵风险表等方式表示方式表示
15、风险评估有很多现成的工具可用,无论采用哪风险评估有很多现成的工具可用,无论采用哪一种,无论是定性的还是定量的,是简单的还是复一种,无论是定性的还是定量的,是简单的还是复杂的,重要的是如何将威胁发生所造成的损失和威杂的,重要的是如何将威胁发生所造成的损失和威胁发生的可能性进行量化胁发生的可能性进行量化(2 2)风险测量方法)风险测量方法v 使使 用用 风风 险险 矩矩 阵阵 表表 进进 行行 测测 量量利用威胁发生的可能性、薄弱点被威胁利用的利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的可能性及资产的相对价值的三维矩阵来确定风险的大小大小例:例:威胁发生的可
16、能性划分为三级:低、中、高威胁发生的可能性划分为三级:低、中、高薄弱点被利用的可能性也划分为三级:低、中、薄弱点被利用的可能性也划分为三级:低、中、高高受到威胁的资产相对价值划分为五级(受到威胁的资产相对价值划分为五级(0 04 4)这样资产共有这样资产共有,3,3*3 3*5 54545种风险情况,依据风险函种风险情况,依据风险函数特性将这数特性将这4545种风险情况按照某种规律赋值,形成种风险情况按照某种规律赋值,形成事先确定的风险价值表(即确定风险事先确定的风险价值表(即确定风险 函函 数数 R R的的 矩矩 阵阵 表表 达达 式)式)只只 要要 按按 照照 前前 面面 所所 述述 的的
17、 威威 胁、薄弱胁、薄弱点及资产价值的识别与评价方法确定每一项资产的点及资产价值的识别与评价方法确定每一项资产的每一威胁发生的可能性每一威胁发生的可能性 P PT T,薄弱点被该威胁利用,薄弱点被该威胁利用的可能性的可能性 P PV V及及 该该 资资 产产 的的 相对价值相对价值V V就可以就可以 从从 事事 先先 确定的价值矩阵表确定的价值矩阵表 中中 查查 出出 对对 应应 的的 风风 险险 值值R RR R(P PT T,P PV V,V V)v二元乘法风险测量二元乘法风险测量R=RR=R(P PTVTV,I I)=P=PTVTV I I例:例:v网络系统的风险测量网络系统的风险测量根
18、据网络系统的重要性(系统的相对价值)根据网络系统的重要性(系统的相对价值)V V、威胁发生的可能性威胁发生的可能性 P PTVTV、威胁发生后的性能降低的、威胁发生后的性能降低的可能性可能性P PD D三个因素来评价风险的大小三个因素来评价风险的大小例:某组织有三个网络系统:管理、工程与电子商例:某组织有三个网络系统:管理、工程与电子商 务务系统的保密性、完整性、可用性均划分为低(系统的保密性、完整性、可用性均划分为低(1 1)、)、中(中(2 2)、高()、高(3 3)三个等级:)三个等级:P PO OP PD D均划分为均划分为5 5级,并赋予数值级,并赋予数值v可接受的和不可接受的风险区
19、分方法可接受的和不可接受的风险区分方法 测量风险的另一个方法就是只区别可接受的测量风险的另一个方法就是只区别可接受的和不可接受的风险,这样能以较少的精力完成和不可接受的风险,这样能以较少的精力完成利用此方法,风险测量的结果仅是可接受的或利用此方法,风险测量的结果仅是可接受的或不接受的不接受的例:例:威胁发生的可能性划分为三级:低、中、高威胁发生的可能性划分为三级:低、中、高薄弱点被利用可能性也分为三级:低、中、高薄弱点被利用可能性也分为三级:低、中、高受到威胁的资产相对价值划分为五级(受到威胁的资产相对价值划分为五级(0 04 4)(3 3)风险优先级别确定)风险优先级别确定重要的是明确不同威
20、胁对资产所产生的风险的重要的是明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护于风险级别高的资产应被优先分配资源进行保护组织可以采用按照风险数值排序的方法,也可组织可以采用按照风险数值排序的方法,也可以采用区间划分的方法将风险划分为不同的优先等以采用区间划分的方法将风险划分为不同的优先等级,这包括将可接受风险与不可接受风险的划分级,这包括将可接受风险与不可接受风险的划分(4 4)风险管理工具的选择)风险管理工具的选择组织可以利用软件支持工具进行风险评估活组织可以利用软件支持工具进行
21、风险评估活动,这可以使再评估活动更容易动,这可以使再评估活动更容易选择与使用风险评估管理软件工具时应考虑选择与使用风险评估管理软件工具时应考虑v最起码应该包括数据搜集、分析和结果输出模块最起码应该包括数据搜集、分析和结果输出模块v所依据的方法应该反映组织的方针和风险评估及所依据的方法应该反映组织的方针和风险评估及管理的全部方法管理的全部方法v对风险评估和风险管理的结果能够方便的形成可对风险评估和风险管理的结果能够方便的形成可靠的报告靠的报告v能够保持在数据搜集和分析阶段所采集信息的历能够保持在数据搜集和分析阶段所采集信息的历史记录,以供将来的调查与评估史记录,以供将来的调查与评估v必须有描述工具的文件必须有描述工具的文件v与组织中的硬件和软件协调并兼容与组织中的硬件和软件协调并兼容v考虑有关工具的使用培训考虑有关工具的使用培训v有关工具的安装与使用指南有关工具的安装与使用指南(5 5)风险评估结果归档)风险评估结果归档 讨论讨论:l风险评估的意义何在?风险评估的意义何在?
