信息安全风险管理与评估
——风险评估技术和方法介绍_风险分析与风险计算
江苏省信息安全测评中心
回顾一下:风险评估要素关系图
业务战略
依赖
脆弱性
暴露
资产
具有
资产价值
利用
增加 增加
未被满足
成本
威胁
风险
导出
安全需求
演变
抵御
降低
被满足
安全事件
可能诱发
残余风险
未控制
安全措施
图中方框部分的内容为风险评估的基本 要素;椭圆部分的内容是与这些要素相关的属 性。 风险评估围绕着基本要素展开,同时需 要充分考虑与基本要素相关的各类属性。
(1)业务战略的实现对资产具有依赖性,依 赖程度越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对资 产的依赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威胁 越多则风险越大,并可能演变成安全事件; (4)资产的脆弱性可以暴露资产的价值,资 产具有的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁利 用脆弱性危害资产; (6)风险的存在及对风险的认识导出安全需 求; (7)安全需求可通过安全措施得以满足,需 要结合资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险是未被安全措施控制的风险。 有些是安全措施不当或无效,需要加强才可控 制的风险;而有些则是在综合考虑了安全成本 与效益后未去控制的风险; (10)残余风险应受到密切监视,它可能会在 将来诱发新的安全事件。
2
风险分析原理
风险分析的原理: 1. 对资产进行识别,并对资产的价值进行 赋值;
威胁识别 威胁出现的频率 安全事件的可能性 脆弱性识别 脆弱性的严重程度 安全事件的损失 资产识别 资产价值 风险值
2. 对威胁进行识别,描述威胁的属性,并 对威胁出现的频率赋值; 3. 对脆弱性进行识别,并对具体资产的脆 弱性的严重程度赋值; 4. 根据威胁及威胁利用脆弱性的难易程度 判断安全事件发生的可能性; 5. 根据脆弱性的严重程度及安全事件所作 用的资产的价值计算安全事件造成的损 失; 6. 根据安全事件发生的可能性以及安全事 件出现后的损失,计算安全事件一旦发 生对组织的影响,即风险值。
3
1. 风险分析框架
为了便于实际分析工作方便,我们将风险分析由顶向下划分 为四个层次,分别是组织层、业务层、功能层和具体资产层。 总体层次关系如下例图所示:
组 织
财 务 电 子 商 务 市 场
财 务 管 理 系 统 端 终 面 桌
网 络 系 统
数 据 邮 库 系 务 服 件 子
电 户 资 料 数 据
客 桌 面 终 端
网 络 系 统
WEB
服 务 以 太 网 交 换 由 器 机
操
作 系 统
CISCO
SUN
服 务 器
机
路
。。。。。 。。。。。
PC
4
组织整体及业务风险计算说明
组织运作是由多个不同的业务所组成,孤立地分 析单个信息资产的风险对客户而言并无太大意义, 因为客户的关注点是风险是否会影响到业务的正 常运营。因此我们就考虑以业务为中心来进行风 险分析工作。组织的整体信息安全风险就是各个 业务的风险与其相应的业务重要性加权值之积的 和,每个业务的风险就是支撑其运营的信息资产 的风险之和。各个不同的业务所组成的信息资产 允许重复计算,因为有时同一个信息资产会同时 支撑多个业务的运营。
5
组织整体及业务风险计算说明(续)
客户的关注点是风险是否会影响到其业务的正常 运营 每个业务的风险就是支撑其运营的各种信息资产 的风险进行综合分析 组织的整体信息安全风险就是各个业务的风险与 其相应的业务重要性加权值之积的综合计算分析 各个不同的业务所组成的信息资产允许重复计算, 因为有时同一个信息资产会同时支撑多个业务的 运营
6
风险评估的途径
风险评估的操作范围可以是整个组织,也可以是 组织中的某一部门,或者独立的信息系统、特定 系统组件和服务。影响风险评估进展的某些因素, 包括评估时间、力度、展开幅度和深度,都应与 组织的环境和安全要求相符合。组织应该针对不 同的情况来选择恰当的风险评估途径。目前,实 际工作中经常使用的风险评估途径包括基线评估、 详细评估和组合评估三种。
7
基线评估
如果组织的业务运作不是很复杂,并且组织对信息处理和 网络的依赖程度不是很高,或者组织信息系统多采用普遍 且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平, 并且满足组织及其业务环境的所有要求。 采用基线风险评估,组织根据自己的实际情况(所在行业、 业务环境与性质等),对信息系统进行安全基线检查(用 现有的安全措施与安全基线规定的措施进行比较,找出其 中的差距),得出基本的安全需求,通过选择并实施标准 的安全措施来消减和控制风险。 安全基线,是在诸多标准规范中规定的一组安全控制措施 或者惯例,这些措施和惯例适用于特定环境下的所有系统, 可以满足基本的安全需求,能使系统达到一定的安全防护 水平。
8
详细评估
详细风险评估要求对资产进行详细识别和评价, 对可能引起风险的威胁和弱点水平进行评估,根 据风险评估的结果来识别和选择安全措施。这种 评估途径集中体现了风险管理的思想,即识别资
产的风险并将风险降低到可接受的水平,以此证 明管理者所采用的安全控制措施是恰当的。
9
组合评估
基线风险评估耗费资源少、周期短、操作简单, 但不够准确,适合一般环境的评估;详细风险评 估准确而细致,但耗费资源较多,适合严格限定 边界的较小范围内的评估。实践当中,组织多是 采用二者结合的组合评估方式。 这种评估途径将基线和详细风险评估的优势结合 起来,既节省了评估所耗费的资源,又能确保获 得一个全面系统的评估结果,而且,组织的资源 和资金能够应用到最能发挥作用的地方,具有高 风险的信息系统能够被预先关注。
10
业务与资产映射
每种业务的进行都离不开一定资产的支持,同一资产 可以分别归属于一个或多个不同的业务,而识别出来 的企业的所有信息资产及其对应的威胁、脆弱性和已 有控制措施等是一个公共的基础数据库。我们在进行 风险分析时以业务为单元,抽取其所对应的关键信息 资产来进行分析。首先要进行业务与资产的映射,映 射方法参见下表简单示例:
11
业务与资产映射例表:
12
威胁/脆弱性/资产/已有控制措施映射
13
2. 风险计算
定量计算:是通过将资产价值和风险等量化为财 务价值的方式来进行计算的一种方法。 定性计算:是根据企业本身历史事件的统计记录、 社会上同类型企业或类似安全事件的统计和专家 的经验等,并通过对企业管理、业务和技术人员 的讨论、访谈和问卷调查表等方法来确定资产的 价值权重,如将其赋值为(极低、低、中、高、 极高)或(1、2、3、4、5)等。威胁发生的可能 性以及威胁可能造成的损失和脆弱性等都可以用 这种类似方法来进行赋值。最终通过一定的计算 方法(如矩阵法和相乘法)确定某种资产所面临的 风险的近似大小。两种方法有各自的优缺点。
14
定量和定性计算方法优缺点比较
计算 方法 优点 按财务影响对风险定级和按财 务价值对资产进行赋值; 能够通过投资收益计算的客观 结果来说服企业管理人员来推动风 险管理; 随着组织建立数据的历史记录 并获得经验,其精确度将随时间的 推移而提高; 能够提供量化的数据支持,威 胁对资产造成的损失直接用财务价 值来衡量,易于理解; 能够对风险管理过程进行跟踪 和评估; 结果明确,易被管理层所理解 和接受 缺点 对资产的影响程度以 参与者的主观意见为基础; 计算过程非常复杂、 耗时,需要专用工具支持和 一定的专业知识基础; 计算结果用财务专业 术语来描述,非技术性人员 会比较难以理解; 分析流程对专业技术 要求比较高; 对分析数
据的搜集目 前还没有统一的标准和统一 的数据库
15
定量 计算
定量和定性计算方法优缺点比较(续)
计算 方法 优点 能够比较方便地对风险按照程 度大小进行排序; 通过与企业人员的讨论沟通, 易于理解和计算,比较容易达成一 致意见; 避免了对诸如资产价值、威胁 发生的可能性等硬性赋值而导致的 结果差异性较大的问题; 便于企业管理、业务和技术人 员更好地参与分析_工作,大大提 高分析结果的适用性和可接受性; 耗时较短 缺点 对一些重要风险的级 别区分程度不够,可能会 混淆而影响风险控制的效 果; 主观性强,分析结果 的质量取决于风险评估小 组成员的经验和素质; 缺乏客观数据支持, 无法进行客观的成本/效 益分析
定性 计算
16
风险计算原理
在完成了资产识别、威胁识别、脆弱性识别,以及已有安 全措施确认后,将采用适当的方法与工具确定威胁利用脆 弱性导致安全事件发生的可能性。综合安全事件所作用的 资产价值及脆弱性的严重程度,判断安全事件造成的损失 对组织的影响,即安全风险。 风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))。 其中,R表示安全风险计算函数;A表示资产;T表示威胁; V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表 示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安 全事件的可能性;F表示安全事件发生后造成的损失。
17
风险计算原理(续)
风险计算三个关键环节:
计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导 致安全事件发生的可能性,即: 安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V )。 计算安全事件发生后造成的损失 根据资产价值及脆弱性严重程度,计算安全事件一旦发生后 造成的损失,即: 安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia, Va )。 计算风险值 根据计算出的安全事件的可能性以及安全事件造成的损失, 计算风险值,即: 风险值=R(安全事件的可能性,安全事件造成的损失) =R(L(T,V),F(Ia,Va ))。
18
风险等级的划分
为实现对风险的控制与管理,可以对风险评估的 结果进行等级化处理。可将风险划分为五级,等 级越高,风险越高。 评估者应根据所采用的风险计算方法,计算每种 资产面临的风险值,根据风险值的分布状况,为 每个等级设定风险值范围,并对所有风险计算结 果进行等级处理。每个等级代表了相应风险的严 重程度。
19
风险等级的划分(续)
风险等级划分表
等级 5 标识 很高 描述 一旦发生将产生非常严重的经济或社会影响,如组 织
信誉严重破坏、严重影响组织的正常经营,经济 损失重大、社会影响恶劣 一旦发生将产生较大的经济或社会影响,在一定范 围内给组织的经营和组织信誉造成损害 一旦发生会造成一定的经济、社会或生产经营影响, 但影响面和影响程度不大 一旦发生造成的影响程度较低,一般仅限于组织内 部,通过一定手段很快能解决 一旦发生造成的影响几乎不存在,通过简单的措施 就能弥补
20
4 3 2 1
高 中等 低 很低
风险计算方法:
风险计算矩阵法
矩阵法原理 计算示例
风险计算相乘法
相乘法原理 计算实例
21
风险计算矩阵法基本原理
矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定 二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用 数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即 为所确定的计算结果。 即Z=f(x,y) 函数可以采用矩阵法。 以要素x和要素y的取值构建一个二维矩阵,矩阵行值为y要素的所有取 值,矩阵列值为x要素的所有取值。矩阵内m×n个值即为要素Z的取值
y x1 x2 x
…
y1 z11 z21
…
y2 z12 z22
…
… … … … … … …
yj z1j z2j
…
… … … … … … …
yn z1n z2n
…
xi
…
zi1
…
zi2
…
zij
…
zin
…
xm
zm1
zm2
zmj
zmn
22
风险计算矩阵法基本原理(原理)
对于Zij的计算,可以采取以下计算公式, Zij =xi+yj , Zij =xi×yj 或Zij =α×xi+β×yj 其中α和β为正常数。 Zij的计算需要根据实际情况确定,矩阵内值的计算不一定遵 循统一的计算公式,但必须具有统一的增减趋势,即如果是 递增函数,值应随着与的值递增,反之亦然。 矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗 列要素的变化趋势,具备良好灵活性。 在风险值计算中,通常需要对两个要素确定的另一个要素值 进行计算,例如由威胁和脆弱性确定安全事件发生可能性值、 由资产和脆弱性确定安全事件的损失值等,同时需要整体掌 握风险值的确定,因此矩阵法在风险分析中得到广泛采用。
23
矩阵法计算示例
资产: 共有三个重要资产,资产A1、资产A2和资产A3;资产价值分别是:资产 A1=2,资产A2=3,资产A3=5; 威胁: 资产A1面临两个主要威胁,威胁T1和威胁T2;资产A2面临一个主要威胁, 威胁T3;资产A3面临两个主要威胁,威胁T4和T5; 威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=5,威胁 T5=4; 脆弱性: 威胁T1可以利用的资产A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱
性V5; 威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的资产A3存在的一个脆弱性,脆弱性V8; 威胁T5可以利用的资产A3存在的一个脆弱性,脆弱性V9。 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性 V4=4,脆弱性V5=2,脆弱性V6=4,脆弱性V7=2,脆弱性V8=3,脆弱性V9=5。
24
矩阵法计算示例(续)
资产、脆弱性、威胁映射表 资产 威胁 威胁T1(2) 威胁T1(2) 威胁T2(1) 威胁T2(1) 威胁T2(1) 威胁T3(2) 威胁T3(2) 威胁T4(5) 威胁T5(4) 脆弱性 脆弱性V1(2) 脆弱性V2(3) 脆弱性V3(1) 脆弱性V4(4) 脆弱性V5(2) 脆弱性V6(4) 脆弱性V7(2) 脆弱性V8(3) 脆弱性V9(5)
25
资产A1(2)
资产A2(3) 资产A3(5)
示例计算过程
风险计算过程 (1)计算安全事件发生可能性 (2)计算安全事件造成的损失 (3)计算风险值 (4)结果判定 以下以资产A1面临的威胁T1可以利用的脆弱性V1 为例,计算安全风险值
26
计算安全事件发生可能性
(1)构建安全事件发生可能性矩阵;
(2)根据威胁发生频率值和脆弱性严重程度值在 矩阵中进行对照,确定安全事件发生可能性值 ; (3)对计算得到的安全风险事件发生可能性进行 等级划分 。
27
安全事件发生可能性矩阵及等级划分
28
安全事件发生可能性结果
威胁发生频率:威胁T1=2 脆弱性严重程度:脆弱性V1=2 根据威胁发生频率值和脆弱性严重程度值在矩阵 中进行对照,确定安全事件发生可能性值等于6 安全事件发生可能性将参与风险事件值的计算, 为了构建风险矩阵,对上述计算得到的安全风险 事件发生可能性进行等级划分,得到安全事件发 生可能性等级等于2
29
计算安全事件的损失
(1)构建安全事件损失矩阵 ; (2)根据资产价值和脆弱性严重程度值在 矩阵中进行对照,确定安全事件损失值 ; (3)对计算得到的安全事件损失进行等级 划分 。
30
安全事件损失矩阵及等级划分
31
安全事件损失结果
资产价值:资产A1=2; 脆弱性严重程度:脆弱性V1=2。 根据资产价值和脆弱性严重程度值在矩阵 中进行对照,确定安全事件损失值等于5。 安全事件损失将参与风险事件值的计算, 为了构建风险矩阵,对上述计算得到的安 全事件损失进行等级划分,安全事件造成 的损失值等于1。
32
计算风险值
(1)构建风险矩阵 (2)根据安全事件发生可能性和安全事件 损失在矩阵中进行对照,确定安全事件风 险
33
计算风险值
可能性 1 2 3 4 5 1 3 5 6 7 9 2 6 8 9 11 14 3 9 11
13 16 20 4 12 15 17 20 23 5 16 18 21 23 25
损失
安全事件发生可能性等于2,安全事件损失等于1,在 矩阵中进行对照,确定安全事件风险等于6。
34
风险结果判定
风险值 风险等级 1-6 1 7-12 2 13-18 19-23 24-25 3 4 5
根据预设的等级划分规则,其风险值为6, 判定风险等级为1。
35
风险结果
根据上述计算方法,以此类推,得到三个重要资产的风险值, 并根据风险等级划分表,确定风险等级
资产 威胁 威胁T1(2) 资产A1(2) 威胁T1(2) 威胁T2(1) 威胁T2(1) 威胁T2(1) 资产A2(3) 威胁T3(2) 威胁T3(2) 资产A3(5) 威胁T4(5) 威胁T5(4) 脆弱性 脆弱性V1(2) 脆弱性V2(3) 脆弱性V3(1) 脆弱性V4(4) 脆弱性V5(2) 脆弱性V6(4) 脆弱性V7(2) 脆弱性V8(3) 脆弱性V9(5) 风险值 6 8 3 9 3 11 8 20 25 风险等级 1 2 1 2 1 2 2 4 5
36
风险值等级柱状图
5 4 3 2 1 0
资产A1
资产 A2
资产 A3
37
矩阵法风险计算过程小结
计算安全事件发生可能性
(1)构建安全事件发生可能性矩阵; (2)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照, 确定安全事件发生可能性值 ; (3)对计算得到的安全风险事件发生可能性进行等级划分 。 (1)构建安全事件损失矩阵 ; (2)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定 安全事件损失值 ; (3)对计算得到的安全事件损失进行等级划分 。 (1)构建风险矩阵 ; (2)根据安全事件发生可能性和安全事件损失在矩阵中进行对照, 确定安全事件风险 ;
计算安全事件的损失
计算风险值
风险结果判定
38
(2)风险计算相乘法
相乘法原理:z = f ( x, y ) = x ⊗ y ,当f为增量 函数时, ⊗ 可以为直接相乘,也可以为相 乘后取模等 。 相乘法的特点:简单明确,直接按照统一 公式计算,即可得到所需结果。 相乘法适用范围:在风险值计算中,通常 需要对两个要素确定的另一个要素值进行 计算,因此相乘法在风险分析中得到广泛 采用。
39
相乘法计算示例
共有两个重要资产,资产A1和资产A2; 资产A1面临三个主要威胁,威胁T1、威胁T2和威胁T3; 资产A2面临两个主要威胁,威胁T4和威胁T5; 威胁T1可以利用的资产A1存在的一个脆弱性,脆弱性V1; 威胁T2可以利用的资产A1存在的两个脆弱性,脆弱性V2、 脆弱性V3; 威胁T3可以利用的资产A1存在的一个脆弱性,脆弱性V4; 威胁T4可以利用的资产A2存在的一个脆弱性,脆弱性V5; 威胁T5可以利用的资产A2存在的一个脆弱性,脆弱性V6。 资产价值分别是:资产A1=4,资产A2=5; 威胁
发生频率分别是:威胁T1=1,威胁T2=5,威胁T3=4, 威胁T4=3,威胁T5=4; 脆弱性严重程度分别是:脆弱性V1=3,脆弱性V2=1,脆弱 性V3=5,脆弱性V4=4,脆弱性V5=4,脆弱性V6=3。
40
相乘法计算示例(续)
资产、威胁、脆弱性映射表
资产 资产A1(4) 威胁 威胁T1(1) 威胁T2(5) 威胁T2(5) 威胁T3(4) 资产A2(5) 威胁T4(3) 威胁T5(4) 脆弱性 脆弱性V1(3) 脆弱性V2(1) 脆弱性V3(5) 脆弱性V4(4) 脆弱性V5(4) 脆弱性V6(3)
41
示例计算过程(续)
以资产A1面临的威胁T1可以利用的脆弱性 V1为例,计算安全风险值 。 计算公式使用:z = f ( x, y ) = x × y 对z的计算值四舍五入取整得到最终结果 风险计算过程:
(1)计算安全事件发生可能性 (2)计算安全事件的损失 (3)计算风险值 (4)结果判定
42
示例计算过程(续)
(1)计算安全事件发生可能性 威胁发生频率:威胁T1=1; 脆弱性严重程度:脆弱性V1=3。 安全事件发生可能性= 1× 3 = 3 (2)计算安全事件的损失 资产价值:资产A1=4; 脆弱性严重程度:脆弱性V1=3。 计算安全事件的损失,安全事件损失=
4 × 3 = 12
43
示例计算过程(续)
(3)计算风险值 安全事件风险值= (4)确定风险等级 风险等级为2
风险值 风险等级 1-5 1 6-10 2
3 × 12 = 6
11-15 16-20 21-25 3 4 5
44
风险结果
根据上述计算方法,以此类推,得到二个重要资产的 风险值,并根据风险等级划分表,确定风险等级
资产 威胁 威胁T1(1) 资产A1(4) 威胁T2(5) 威胁T2(5) 威胁T3(4) 资产A2(5) 威胁T4(3) 威胁T5(4) 脆弱性 脆弱性V1(3) 脆弱性V2(1) 脆弱性V3(5) 脆弱性V4(4) 脆弱性V5(4) 脆弱性V6(3) 风险值 6 4 22 16 15 13 风险等级 2 1 5 4 3 3
45
风险结果等级柱状图
5 4 3 2 1 0
资产 A1
资 产 A2
46
相乘法风险计算过程小结
计算安全事件发生可能性
安全事件发生可能性=威胁发生频率值
⊗ 脆弱性严重程度值
计算安全事件的损失
安全事件损失=资产价值
⊗ 脆弱性严重程度值
计算风险值
安全事件风险值=安全事件发生可能性
⊗ 安全事件损失
风险结果判定
47
3. 选择新的控制措施
根据风险计算的结果对业务所面临的各种风险按 照风险大小进行排序,便于企业有效的调度资源 进行有针对性和重点性的风险规避、消减或转移 工作,以期将企业面临的信息安全风险降低到一 个可以接受的水平。根据这一目标对已有控制措 施及其有效性进行识别和分析,找出不足或缺乏 之处,选择能够进一步有效降低风险的新的控制 措施。下面给出一部分ISO27001里的控制措施示 例:
48
控制措施例表:
49
确定和选择控制措施的主要步骤
为各目标漏洞选择适当的控制措施 确定各控制措施的相关成本,例如开发、实施和 维护成本 将控制措施、漏洞组合与所有安全威胁配对,即 在控制措施与威胁之间建立关系 尽可能量化控制措施的影响,即采取选定的控制 措施后得以减低的风险幅度 控制措施可能渉及物理、管理、程序、操作和技 术等的不同组合,进行分析能够为不同的情况选 定最适当的组合。
50
其他需要考虑因素
除安全风险评估找出的因素外,选择控制 措施时还需要考虑以下一些因素:
组织因素,例如部门的工作目标和目的 政府法律和规程 质量要求,例如安全程度、可靠程度、系统性
能 时间限制 市面上现有的技术
51
4. 输出结果
在所有的风险接受与否判断工作完成以后,就可 以对整个风险评估过程和结果进行总结,生成以 下评估文件:
风险评估报告
对整个风险评估过程和结果进行总结, 详细说明被评估对象、风险评估方法、资产和威胁及 脆弱性的识别结果、风险分析、风险统计和结论等内 容; 风险处理计划 对评估结果中不可接受的风险处理计划, 选择适当的控制目标及安全措施,明确责任、进度、 资源,并通过对残余风险的评价确定所选择安全措施 的有效性; 风险评估记录 根据风险评估程序,要求风险评估过程 中的各种现场记录可复现评估过程,并作为产生歧义 后解决问题的依据。
52
风险处理计划
53
5. 风险消减
风险消减(Risk Mitigation)是风险管理过程的 第二个阶段,牵涉到确定风险消减策略、风险和 安全控制措施的优先级选定、制定安全计划并实 施控制措施等活动。组织的决策者根据组织的实 际情况来选择最恰当的安全措施,将组织面临的 风险减少到可接受的水平,使组织资源和业务可 能受到的负面影响降低到最低程度。
54
风险消减—风险消减策略
在组织选择并实施风险评估结果中推荐的安全措 施之前,首先要明确自己的风险消减策略,也就 是应对各种风险的途径和决策方式。就应对风险 的途径来说,有以下几种选择:
降低风险(Reduce
Risk)— 实施有效控制,将风险 降低到可接受的程度,实际上就是力图减小威胁发生 的可能性和带来的影响 规避风险(Avoid Risk)— 有时候,组织可以选择放 弃某些可能引来风险的业务或资产,以此规避风险。 转嫁风险(Transfer Risk)— 将风险全部或者部分 地转移到其他责任方,例如购买商业保险。 接受风险(Accept Risk)— 在实施了其他风险应对 措施之后,对
于残留的风险,组织可以选择接受,即 所谓的无作为。
55
风险消减—选择安全措施
如果组织决定采用降低风险的策略(针对某种风 险),选择必要的安全措施就是重要的一步。基 于风险评估的结果,选择安全措施时除了关注基 本功能外,还要考虑经济约束、时间约束、技术 约束、社会约束、环境约束和法律约束等相关的 约束条件(constraint)。
56
风险消减—制定安全计划
选定消减风险的安全措施之后,组织应该制定一 个详细的安全计划,用来指导安全计划的实施。 安全计划应该包含对前阶段工作结果的回顾,规 定短期、中期、远期获取并维护一定安全水平的 行动,还应该确定实施成本、责任人、实施方案 等事项。
57
风险消减—实施安全计划
实施安全措施得力与否取决于安全计划制定的好 坏,此外,安全计划的某些跟进活动也应该一并 施行,比如安全意识培训。为了实施安全措施, 安全计划中罗列的所有必要步骤都应该被贯彻执 行,这需要相关责任人真正理解并执行计划安排 的行动。
58
6. 风险控制
经过风险消减阶段的行动,组织的预期安全目标 应该已经达到了,即将安全风险可能造成的影响 降低到可接受的水平,但只是达到这一效果还不 够,组织还应该力求维持这样的安全状态,使新 的安全措施保持其效力,这就需要继续进行风险 控制(Risk Control)。在风险控制阶段,通过 维护、监视、事件响应、安全意识培训与教育, 组织力求控制风险并维持现有的安全状态。
59
风险控制—维护
绝大多数安全措施都需要持续维护和管理性支持,
例如防病毒系统,如果不及时更新病毒库,新出 现的病毒就无法检测到,防病毒系统的效力就会 很快减弱。为了确保安全措施在其生命期内(包 括安全措施的生命期和整个系统的生命周期)发 挥应有的效力,组织应该制定合理的计划,有规 律地进行维护操作。在系统正常操作过程中,应 该定期进行检查,确保安全措施一直有效,为此, 组织可以进行以下维护活动:检查日志文件、修 改调整必要的参数以反映变化需求、更新版本和 安装补丁等
60
风险控制—监视
监视是检查系统、用户、环境是否能够维持计划
中要求的安全水平的持续的活动。组织应该制定 一个监视计划和程序,确保用户、操作人员、系 统设计者能够清楚所有的安全问题,保持操作上 的安全。监视的目标就应该放在构成风险的几个 要素上,包括资产、威胁、弱点和安全措施。
61
风险控制—事件响应
事件响应也称作应急响应,就是对计算机系统中
出现的突发事件作出的响应
。所谓突发事件,就 是突然干扰或打断系统的正常运行,使其陷入某 种级别危机的事件,比如黑客入侵、拒绝服务攻 击、未经授权的网络通信和系统操作等。 事件响应是短暂的、小范围的、现场的,这和以 业务连续性和灾难恢复为代表的其他应急计划有 很大区别,后者更关注面临大的灾难时组织如何 恢复并维持系统操作和业务,以免中断造成的严 重后果。
62
风险控制—安全意识培训和教育
除了针对全体员工的一般性的安全意识教育,组 织还应该为担负安全任务和责任的人员(例如信 息系统管理员)制定专门的安全培训程序,培训 的目的是传授技能,使受训者能够有效地完成任 务并承担责任。安全培训的深度有赖于组织整体 信息安全的重要程度,也和来自不同角色的需求 有关。
63
谢
谢!
信息安全风险管理与评估
——风险评估技术和方法介绍_风险分析与风险计算
江苏省信息安全测评中心
回顾一下:风险评估要素关系图
业务战略
依赖
脆弱性
暴露
资产
具有
资产价值
利用
增加 增加
未被满足
成本
威胁
风险
导出
安全需求
演变
抵御
降低
被满足
安全事件
可能诱发
残余风险
未控制
安全措施
图中方框部分的内容为风险评估的基本 要素;椭圆部分的内容是与这些要素相关的属 性。 风险评估围绕着基本要素展开,同时需 要充分考虑与基本要素相关的各类属性。
(1)业务战略的实现对资产具有依赖性,依 赖程度越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对资 产的依赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威胁 越多则风险越大,并可能演变成安全事件; (4)资产的脆弱性可以暴露资产的价值,资 产具有的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁利 用脆弱性危害资产; (6)风险的存在及对风险的认识导出安全需 求; (7)安全需求可通过安全措施得以满足,需 要结合资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险是未被安全措施控制的风险。 有些是安全措施不当或无效,需要加强才可控 制的风险;而有些则是在综合考虑了安全成本 与效益后未去控制的风险; (10)残余风险应受到密切监视,它可能会在 将来诱发新的安全事件。
2
风险分析原理
风险分析的原理: 1. 对资产进行识别,并对资产的价值进行 赋值;
威胁识别 威胁出现的频率 安全事件的可能性 脆弱性识别 脆弱性的严重程度 安全事件的损失 资产识别 资产价值 风险值
2. 对威胁进行识别,描述威胁的属性,并 对威胁出现的频率赋值; 3. 对脆弱性进行识别,并对具体资产的脆 弱性的严重程度赋值; 4. 根据威胁及威胁利用脆弱性的难易程度 判断安全事件发生的可能性; 5. 根据脆弱性的严重程度及安全事件所作 用的资产的价值计算安全事件造成的损 失; 6. 根据安全事件发生的可能性以及安全事 件出现后的损失,计算安全事件一旦发 生对组织的影响,即风险值。
3
1. 风险分析框架
为了便于实际分析工作方便,我们将风险分析由顶向下划分 为四个层次,分别是组织层、业务层、功能层和具体资产层。 总体层次关系如下例图所示:
组 织
财 务 电 子 商 务 市 场
财 务 管 理 系 统 端 终 面 桌
网 络 系 统
数 据 邮 库 系 务 服 件 子
电 户 资 料 数 据
客 桌 面 终 端
网 络 系 统
WEB
服 务 以 太 网 交 换 由 器 机
操
作 系 统
CISCO
SUN
服 务 器
机
路
。。。。。 。。。。。
PC
4
组织整体及业务风险计算说明
组织运作是由多个不同的业务所组成,孤立地分 析单个信息资产的风险对客户而言并无太大意义, 因为客户的关注点是风险是否会影响到业务的正 常运营。因此我们就考虑以业务为中心来进行风 险分析工作。组织的整体信息安全风险就是各个 业务的风险与其相应的业务重要性加权值之积的 和,每个业务的风险就是支撑其运营的信息资产 的风险之和。各个不同的业务所组成的信息资产 允许重复计算,因为有时同一个信息资产会同时 支撑多个业务的运营。
5
组织整体及业务风险计算说明(续)
客户的关注点是风险是否会影响到其业务的正常 运营 每个业务的风险就是支撑其运营的各种信息资产 的风险进行综合分析 组织的整体信息安全风险就是各个业务的风险与 其相应的业务重要性加权值之积的综合计算分析 各个不同的业务所组成的信息资产允许重复计算, 因为有时同一个信息资产会同时支撑多个业务的 运营
6
风险评估的途径
风险评估的操作范围可以是整个组织,也可以是 组织中的某一部门,或者独立的信息系统、特定 系统组件和服务。影响风险评估进展的某些因素, 包括评估时间、力度、展开幅度和深度,都应与 组织的环境和安全要求相符合。组织应该针对不 同的情况来选择恰当的风险评估途径。目前,实 际工作中经常使用的风险评估途径包括基线评估、 详细评估和组合评估三种。
7
基线评估
如果组织的业务运作不是很复杂,并且组织对信息处理和 网络的依赖程度不是很高,或者组织信息系统多采用普遍 且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平, 并且满足组织及其业务环境的所有要求。 采用基线风险评估,组织根据自己的实际情况(所在行业、 业务环境与性质等),对信息系统进行安全基线检查(用 现有的安全措施与安全基线规定的措施进行比较,找出其 中的差距),得出基本的安全需求,通过选择并实施标准 的安全措施来消减和控制风险。 安全基线,是在诸多标准规范中规定的一组安全控制措施 或者惯例,这些措施和惯例适用于特定环境下的所有系统, 可以满足基本的安全需求,能使系统达到一定的安全防护 水平。
8
详细评估
详细风险评估要求对资产进行详细识别和评价, 对可能引起风险的威胁和弱点水平进行评估,根 据风险评估的结果来识别和选择安全措施。这种 评估途径集中体现了风险管理的思想,即识别资
产的风险并将风险降低到可接受的水平,以此证 明管理者所采用的安全控制措施是恰当的。
9
组合评估
基线风险评估耗费资源少、周期短、操作简单, 但不够准确,适合一般环境的评估;详细风险评 估准确而细致,但耗费资源较多,适合严格限定 边界的较小范围内的评估。实践当中,组织多是 采用二者结合的组合评估方式。 这种评估途径将基线和详细风险评估的优势结合 起来,既节省了评估所耗费的资源,又能确保获 得一个全面系统的评估结果,而且,组织的资源 和资金能够应用到最能发挥作用的地方,具有高 风险的信息系统能够被预先关注。
10
业务与资产映射
每种业务的进行都离不开一定资产的支持,同一资产 可以分别归属于一个或多个不同的业务,而识别出来 的企业的所有信息资产及其对应的威胁、脆弱性和已 有控制措施等是一个公共的基础数据库。我们在进行 风险分析时以业务为单元,抽取其所对应的关键信息 资产来进行分析。首先要进行业务与资产的映射,映 射方法参见下表简单示例:
11
业务与资产映射例表:
12
威胁/脆弱性/资产/已有控制措施映射
13
2. 风险计算
定量计算:是通过将资产价值和风险等量化为财 务价值的方式来进行计算的一种方法。 定性计算:是根据企业本身历史事件的统计记录、 社会上同类型企业或类似安全事件的统计和专家 的经验等,并通过对企业管理、业务和技术人员 的讨论、访谈和问卷调查表等方法来确定资产的 价值权重,如将其赋值为(极低、低、中、高、 极高)或(1、2、3、4、5)等。威胁发生的可能 性以及威胁可能造成的损失和脆弱性等都可以用 这种类似方法来进行赋值。最终通过一定的计算 方法(如矩阵法和相乘法)确定某种资产所面临的 风险的近似大小。两种方法有各自的优缺点。
14
定量和定性计算方法优缺点比较
计算 方法 优点 按财务影响对风险定级和按财 务价值对资产进行赋值; 能够通过投资收益计算的客观 结果来说服企业管理人员来推动风 险管理; 随着组织建立数据的历史记录 并获得经验,其精确度将随时间的 推移而提高; 能够提供量化的数据支持,威 胁对资产造成的损失直接用财务价 值来衡量,易于理解; 能够对风险管理过程进行跟踪 和评估; 结果明确,易被管理层所理解 和接受 缺点 对资产的影响程度以 参与者的主观意见为基础; 计算过程非常复杂、 耗时,需要专用工具支持和 一定的专业知识基础; 计算结果用财务专业 术语来描述,非技术性人员 会比较难以理解; 分析流程对专业技术 要求比较高; 对分析数
据的搜集目 前还没有统一的标准和统一 的数据库
15
定量 计算
定量和定性计算方法优缺点比较(续)
计算 方法 优点 能够比较方便地对风险按照程 度大小进行排序; 通过与企业人员的讨论沟通, 易于理解和计算,比较容易达成一 致意见; 避免了对诸如资产价值、威胁 发生的可能性等硬性赋值而导致的 结果差异性较大的问题; 便于企业管理、业务和技术人 员更好地参与分析_工作,大大提 高分析结果的适用性和可接受性; 耗时较短 缺点 对一些重要风险的级 别区分程度不够,可能会 混淆而影响风险控制的效 果; 主观性强,分析结果 的质量取决于风险评估小 组成员的经验和素质; 缺乏客观数据支持, 无法进行客观的成本/效 益分析
定性 计算
16
风险计算原理
在完成了资产识别、威胁识别、脆弱性识别,以及已有安 全措施确认后,将采用适当的方法与工具确定威胁利用脆 弱性导致安全事件发生的可能性。综合安全事件所作用的 资产价值及脆弱性的严重程度,判断安全事件造成的损失 对组织的影响,即安全风险。 风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))。 其中,R表示安全风险计算函数;A表示资产;T表示威胁; V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表 示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安 全事件的可能性;F表示安全事件发生后造成的损失。
17
风险计算原理(续)
风险计算三个关键环节:
计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导 致安全事件发生的可能性,即: 安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V )。 计算安全事件发生后造成的损失 根据资产价值及脆弱性严重程度,计算安全事件一旦发生后 造成的损失,即: 安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia, Va )。 计算风险值 根据计算出的安全事件的可能性以及安全事件造成的损失, 计算风险值,即: 风险值=R(安全事件的可能性,安全事件造成的损失) =R(L(T,V),F(Ia,Va ))。
18
风险等级的划分
为实现对风险的控制与管理,可以对风险评估的 结果进行等级化处理。可将风险划分为五级,等 级越高,风险越高。 评估者应根据所采用的风险计算方法,计算每种 资产面临的风险值,根据风险值的分布状况,为 每个等级设定风险值范围,并对所有风险计算结 果进行等级处理。每个等级代表了相应风险的严 重程度。
19
风险等级的划分(续)
风险等级划分表
等级 5 标识 很高 描述 一旦发生将产生非常严重的经济或社会影响,如组 织
信誉严重破坏、严重影响组织的正常经营,经济 损失重大、社会影响恶劣 一旦发生将产生较大的经济或社会影响,在一定范 围内给组织的经营和组织信誉造成损害 一旦发生会造成一定的经济、社会或生产经营影响, 但影响面和影响程度不大 一旦发生造成的影响程度较低,一般仅限于组织内 部,通过一定手段很快能解决 一旦发生造成的影响几乎不存在,通过简单的措施 就能弥补
20
4 3 2 1
高 中等 低 很低
风险计算方法:
风险计算矩阵法
矩阵法原理 计算示例
风险计算相乘法
相乘法原理 计算实例
21
风险计算矩阵法基本原理
矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定 二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用 数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即 为所确定的计算结果。 即Z=f(x,y) 函数可以采用矩阵法。 以要素x和要素y的取值构建一个二维矩阵,矩阵行值为y要素的所有取 值,矩阵列值为x要素的所有取值。矩阵内m×n个值即为要素Z的取值
y x1 x2 x
…
y1 z11 z21
…
y2 z12 z22
…
… … … … … … …
yj z1j z2j
…
… … … … … … …
yn z1n z2n
…
xi
…
zi1
…
zi2
…
zij
…
zin
…
xm
zm1
zm2
zmj
zmn
22
风险计算矩阵法基本原理(原理)
对于Zij的计算,可以采取以下计算公式, Zij =xi+yj , Zij =xi×yj 或Zij =α×xi+β×yj 其中α和β为正常数。 Zij的计算需要根据实际情况确定,矩阵内值的计算不一定遵 循统一的计算公式,但必须具有统一的增减趋势,即如果是 递增函数,值应随着与的值递增,反之亦然。 矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗 列要素的变化趋势,具备良好灵活性。 在风险值计算中,通常需要对两个要素确定的另一个要素值 进行计算,例如由威胁和脆弱性确定安全事件发生可能性值、 由资产和脆弱性确定安全事件的损失值等,同时需要整体掌 握风险值的确定,因此矩阵法在风险分析中得到广泛采用。
23
矩阵法计算示例
资产: 共有三个重要资产,资产A1、资产A2和资产A3;资产价值分别是:资产 A1=2,资产A2=3,资产A3=5; 威胁: 资产A1面临两个主要威胁,威胁T1和威胁T2;资产A2面临一个主要威胁, 威胁T3;资产A3面临两个主要威胁,威胁T4和T5; 威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=5,威胁 T5=4; 脆弱性: 威胁T1可以利用的资产A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱
性V5; 威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的资产A3存在的一个脆弱性,脆弱性V8; 威胁T5可以利用的资产A3存在的一个脆弱性,脆弱性V9。 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性 V4=4,脆弱性V5=2,脆弱性V6=4,脆弱性V7=2,脆弱性V8=3,脆弱性V9=5。
24
矩阵法计算示例(续)
资产、脆弱性、威胁映射表 资产 威胁 威胁T1(2) 威胁T1(2) 威胁T2(1) 威胁T2(1) 威胁T2(1) 威胁T3(2) 威胁T3(2) 威胁T4(5) 威胁T5(4) 脆弱性 脆弱性V1(2) 脆弱性V2(3) 脆弱性V3(1) 脆弱性V4(4) 脆弱性V5(2) 脆弱性V6(4) 脆弱性V7(2) 脆弱性V8(3) 脆弱性V9(5)
25
资产A1(2)
资产A2(3) 资产A3(5)
示例计算过程
风险计算过程 (1)计算安全事件发生可能性 (2)计算安全事件造成的损失 (3)计算风险值 (4)结果判定 以下以资产A1面临的威胁T1可以利用的脆弱性V1 为例,计算安全风险值
26
计算安全事件发生可能性
(1)构建安全事件发生可能性矩阵;
(2)根据威胁发生频率值和脆弱性严重程度值在 矩阵中进行对照,确定安全事件发生可能性值 ; (3)对计算得到的安全风险事件发生可能性进行 等级划分 。
27
安全事件发生可能性矩阵及等级划分
28
安全事件发生可能性结果
威胁发生频率:威胁T1=2 脆弱性严重程度:脆弱性V1=2 根据威胁发生频率值和脆弱性严重程度值在矩阵 中进行对照,确定安全事件发生可能性值等于6 安全事件发生可能性将参与风险事件值的计算, 为了构建风险矩阵,对上述计算得到的安全风险 事件发生可能性进行等级划分,得到安全事件发 生可能性等级等于2
29
计算安全事件的损失
(1)构建安全事件损失矩阵 ; (2)根据资产价值和脆弱性严重程度值在 矩阵中进行对照,确定安全事件损失值 ; (3)对计算得到的安全事件损失进行等级 划分 。
30
安全事件损失矩阵及等级划分
31
安全事件损失结果
资产价值:资产A1=2; 脆弱性严重程度:脆弱性V1=2。 根据资产价值和脆弱性严重程度值在矩阵 中进行对照,确定安全事件损失值等于5。 安全事件损失将参与风险事件值的计算, 为了构建风险矩阵,对上述计算得到的安 全事件损失进行等级划分,安全事件造成 的损失值等于1。
32
计算风险值
(1)构建风险矩阵 (2)根据安全事件发生可能性和安全事件 损失在矩阵中进行对照,确定安全事件风 险
33
计算风险值
可能性 1 2 3 4 5 1 3 5 6 7 9 2 6 8 9 11 14 3 9 11
13 16 20 4 12 15 17 20 23 5 16 18 21 23 25
损失
安全事件发生可能性等于2,安全事件损失等于1,在 矩阵中进行对照,确定安全事件风险等于6。
34
风险结果判定
风险值 风险等级 1-6 1 7-12 2 13-18 19-23 24-25 3 4 5
根据预设的等级划分规则,其风险值为6, 判定风险等级为1。
35
风险结果
根据上述计算方法,以此类推,得到三个重要资产的风险值, 并根据风险等级划分表,确定风险等级
资产 威胁 威胁T1(2) 资产A1(2) 威胁T1(2) 威胁T2(1) 威胁T2(1) 威胁T2(1) 资产A2(3) 威胁T3(2) 威胁T3(2) 资产A3(5) 威胁T4(5) 威胁T5(4) 脆弱性 脆弱性V1(2) 脆弱性V2(3) 脆弱性V3(1) 脆弱性V4(4) 脆弱性V5(2) 脆弱性V6(4) 脆弱性V7(2) 脆弱性V8(3) 脆弱性V9(5) 风险值 6 8 3 9 3 11 8 20 25 风险等级 1 2 1 2 1 2 2 4 5
36
风险值等级柱状图
5 4 3 2 1 0
资产A1
资产 A2
资产 A3
37
矩阵法风险计算过程小结
计算安全事件发生可能性
(1)构建安全事件发生可能性矩阵; (2)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照, 确定安全事件发生可能性值 ; (3)对计算得到的安全风险事件发生可能性进行等级划分 。 (1)构建安全事件损失矩阵 ; (2)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定 安全事件损失值 ; (3)对计算得到的安全事件损失进行等级划分 。 (1)构建风险矩阵 ; (2)根据安全事件发生可能性和安全事件损失在矩阵中进行对照, 确定安全事件风险 ;
计算安全事件的损失
计算风险值
风险结果判定
38
(2)风险计算相乘法
相乘法原理:z = f ( x, y ) = x ⊗ y ,当f为增量 函数时, ⊗ 可以为直接相乘,也可以为相 乘后取模等 。 相乘法的特点:简单明确,直接按照统一 公式计算,即可得到所需结果。 相乘法适用范围:在风险值计算中,通常 需要对两个要素确定的另一个要素值进行 计算,因此相乘法在风险分析中得到广泛 采用。
39
相乘法计算示例
共有两个重要资产,资产A1和资产A2; 资产A1面临三个主要威胁,威胁T1、威胁T2和威胁T3; 资产A2面临两个主要威胁,威胁T4和威胁T5; 威胁T1可以利用的资产A1存在的一个脆弱性,脆弱性V1; 威胁T2可以利用的资产A1存在的两个脆弱性,脆弱性V2、 脆弱性V3; 威胁T3可以利用的资产A1存在的一个脆弱性,脆弱性V4; 威胁T4可以利用的资产A2存在的一个脆弱性,脆弱性V5; 威胁T5可以利用的资产A2存在的一个脆弱性,脆弱性V6。 资产价值分别是:资产A1=4,资产A2=5; 威胁
发生频率分别是:威胁T1=1,威胁T2=5,威胁T3=4, 威胁T4=3,威胁T5=4; 脆弱性严重程度分别是:脆弱性V1=3,脆弱性V2=1,脆弱 性V3=5,脆弱性V4=4,脆弱性V5=4,脆弱性V6=3。
40
相乘法计算示例(续)
资产、威胁、脆弱性映射表
资产 资产A1(4) 威胁 威胁T1(1) 威胁T2(5) 威胁T2(5) 威胁T3(4) 资产A2(5) 威胁T4(3) 威胁T5(4) 脆弱性 脆弱性V1(3) 脆弱性V2(1) 脆弱性V3(5) 脆弱性V4(4) 脆弱性V5(4) 脆弱性V6(3)
41
示例计算过程(续)
以资产A1面临的威胁T1可以利用的脆弱性 V1为例,计算安全风险值 。 计算公式使用:z = f ( x, y ) = x × y 对z的计算值四舍五入取整得到最终结果 风险计算过程:
(1)计算安全事件发生可能性 (2)计算安全事件的损失 (3)计算风险值 (4)结果判定
42
示例计算过程(续)
(1)计算安全事件发生可能性 威胁发生频率:威胁T1=1; 脆弱性严重程度:脆弱性V1=3。 安全事件发生可能性= 1× 3 = 3 (2)计算安全事件的损失 资产价值:资产A1=4; 脆弱性严重程度:脆弱性V1=3。 计算安全事件的损失,安全事件损失=
4 × 3 = 12
43
示例计算过程(续)
(3)计算风险值 安全事件风险值= (4)确定风险等级 风险等级为2
风险值 风险等级 1-5 1 6-10 2
3 × 12 = 6
11-15 16-20 21-25 3 4 5
44
风险结果
根据上述计算方法,以此类推,得到二个重要资产的 风险值,并根据风险等级划分表,确定风险等级
资产 威胁 威胁T1(1) 资产A1(4) 威胁T2(5) 威胁T2(5) 威胁T3(4) 资产A2(5) 威胁T4(3) 威胁T5(4) 脆弱性 脆弱性V1(3) 脆弱性V2(1) 脆弱性V3(5) 脆弱性V4(4) 脆弱性V5(4) 脆弱性V6(3) 风险值 6 4 22 16 15 13 风险等级 2 1 5 4 3 3
45
风险结果等级柱状图
5 4 3 2 1 0
资产 A1
资 产 A2
46
相乘法风险计算过程小结
计算安全事件发生可能性
安全事件发生可能性=威胁发生频率值
⊗ 脆弱性严重程度值
计算安全事件的损失
安全事件损失=资产价值
⊗ 脆弱性严重程度值
计算风险值
安全事件风险值=安全事件发生可能性
⊗ 安全事件损失
风险结果判定
47
3. 选择新的控制措施
根据风险计算的结果对业务所面临的各种风险按 照风险大小进行排序,便于企业有效的调度资源 进行有针对性和重点性的风险规避、消减或转移 工作,以期将企业面临的信息安全风险降低到一 个可以接受的水平。根据这一目标对已有控制措 施及其有效性进行识别和分析,找出不足或缺乏 之处,选择能够进一步有效降低风险的新的控制 措施。下面给出一部分ISO27001里的控制措施示 例:
48
控制措施例表:
49
确定和选择控制措施的主要步骤
为各目标漏洞选择适当的控制措施 确定各控制措施的相关成本,例如开发、实施和 维护成本 将控制措施、漏洞组合与所有安全威胁配对,即 在控制措施与威胁之间建立关系 尽可能量化控制措施的影响,即采取选定的控制 措施后得以减低的风险幅度 控制措施可能渉及物理、管理、程序、操作和技 术等的不同组合,进行分析能够为不同的情况选 定最适当的组合。
50
其他需要考虑因素
除安全风险评估找出的因素外,选择控制 措施时还需要考虑以下一些因素:
组织因素,例如部门的工作目标和目的 政府法律和规程 质量要求,例如安全程度、可靠程度、系统性
能 时间限制 市面上现有的技术
51
4. 输出结果
在所有的风险接受与否判断工作完成以后,就可 以对整个风险评估过程和结果进行总结,生成以 下评估文件:
风险评估报告
对整个风险评估过程和结果进行总结, 详细说明被评估对象、风险评估方法、资产和威胁及 脆弱性的识别结果、风险分析、风险统计和结论等内 容; 风险处理计划 对评估结果中不可接受的风险处理计划, 选择适当的控制目标及安全措施,明确责任、进度、 资源,并通过对残余风险的评价确定所选择安全措施 的有效性; 风险评估记录 根据风险评估程序,要求风险评估过程 中的各种现场记录可复现评估过程,并作为产生歧义 后解决问题的依据。
52
风险处理计划
53
5. 风险消减
风险消减(Risk Mitigation)是风险管理过程的 第二个阶段,牵涉到确定风险消减策略、风险和 安全控制措施的优先级选定、制定安全计划并实 施控制措施等活动。组织的决策者根据组织的实 际情况来选择最恰当的安全措施,将组织面临的 风险减少到可接受的水平,使组织资源和业务可 能受到的负面影响降低到最低程度。
54
风险消减—风险消减策略
在组织选择并实施风险评估结果中推荐的安全措 施之前,首先要明确自己的风险消减策略,也就 是应对各种风险的途径和决策方式。就应对风险 的途径来说,有以下几种选择:
降低风险(Reduce
Risk)— 实施有效控制,将风险 降低到可接受的程度,实际上就是力图减小威胁发生 的可能性和带来的影响 规避风险(Avoid Risk)— 有时候,组织可以选择放 弃某些可能引来风险的业务或资产,以此规避风险。 转嫁风险(Transfer Risk)— 将风险全部或者部分 地转移到其他责任方,例如购买商业保险。 接受风险(Accept Risk)— 在实施了其他风险应对 措施之后,对
于残留的风险,组织可以选择接受,即 所谓的无作为。
55
风险消减—选择安全措施
如果组织决定采用降低风险的策略(针对某种风 险),选择必要的安全措施就是重要的一步。基 于风险评估的结果,选择安全措施时除了关注基 本功能外,还要考虑经济约束、时间约束、技术 约束、社会约束、环境约束和法律约束等相关的 约束条件(constraint)。
56
风险消减—制定安全计划
选定消减风险的安全措施之后,组织应该制定一 个详细的安全计划,用来指导安全计划的实施。 安全计划应该包含对前阶段工作结果的回顾,规 定短期、中期、远期获取并维护一定安全水平的 行动,还应该确定实施成本、责任人、实施方案 等事项。
57
风险消减—实施安全计划
实施安全措施得力与否取决于安全计划制定的好 坏,此外,安全计划的某些跟进活动也应该一并 施行,比如安全意识培训。为了实施安全措施, 安全计划中罗列的所有必要步骤都应该被贯彻执 行,这需要相关责任人真正理解并执行计划安排 的行动。
58
6. 风险控制
经过风险消减阶段的行动,组织的预期安全目标 应该已经达到了,即将安全风险可能造成的影响 降低到可接受的水平,但只是达到这一效果还不 够,组织还应该力求维持这样的安全状态,使新 的安全措施保持其效力,这就需要继续进行风险 控制(Risk Control)。在风险控制阶段,通过 维护、监视、事件响应、安全意识培训与教育, 组织力求控制风险并维持现有的安全状态。
59
风险控制—维护
绝大多数安全措施都需要持续维护和管理性支持,
例如防病毒系统,如果不及时更新病毒库,新出 现的病毒就无法检测到,防病毒系统的效力就会 很快减弱。为了确保安全措施在其生命期内(包 括安全措施的生命期和整个系统的生命周期)发 挥应有的效力,组织应该制定合理的计划,有规 律地进行维护操作。在系统正常操作过程中,应 该定期进行检查,确保安全措施一直有效,为此, 组织可以进行以下维护活动:检查日志文件、修 改调整必要的参数以反映变化需求、更新版本和 安装补丁等
60
风险控制—监视
监视是检查系统、用户、环境是否能够维持计划
中要求的安全水平的持续的活动。组织应该制定 一个监视计划和程序,确保用户、操作人员、系 统设计者能够清楚所有的安全问题,保持操作上 的安全。监视的目标就应该放在构成风险的几个 要素上,包括资产、威胁、弱点和安全措施。
61
风险控制—事件响应
事件响应也称作应急响应,就是对计算机系统中
出现的突发事件作出的响应
。所谓突发事件,就 是突然干扰或打断系统的正常运行,使其陷入某 种级别危机的事件,比如黑客入侵、拒绝服务攻 击、未经授权的网络通信和系统操作等。 事件响应是短暂的、小范围的、现场的,这和以 业务连续性和灾难恢复为代表的其他应急计划有 很大区别,后者更关注面临大的灾难时组织如何 恢复并维持系统操作和业务,以免中断造成的严 重后果。
62
风险控制—安全意识培训和教育
除了针对全体员工的一般性的安全意识教育,组 织还应该为担负安全任务和责任的人员(例如信 息系统管理员)制定专门的安全培训程序,培训 的目的是传授技能,使受训者能够有效地完成任 务并承担责任。安全培训的深度有赖于组织整体 信息安全的重要程度,也和来自不同角色的需求 有关。
63
谢
谢!