第05讲 信息安全风险评估

信息安全工程学五、信息安全风险评估信息安全风险评估风险评估，是发掘信息保护需要的重要步骤风险评估并非仅在发掘需要阶段进行，后续阶段根据需要也会进行风险评估例如在定义架构阶段的有效性评估中就需要对已定义的架构进行风险评估，检查结构性漏洞风险评估可以是对待建的信息系统的评估，也可以是对已有的信息系统的评估。对已有系统的评估是PDCA的第二次循环，或以后的各次循环中进行的。每次的PDCA循环，相当于一个新的信息安全工程过程。信息安全风险评估风险管理的概念风险评估的方法风险评估的过程风险评估的工具风险评估中的难点风险管理的概念定义风险管理是一个过程。通过这个过程，信息系统管理者能够综合衡量安全措施和实施成本，并通过为信息系统提供安全防护，促进组织的业务能力提升。（NISTSP800-30）包括三个过程风险评估风险消减（控制措施的选用）风险监控（监视风险，定期再评估）风险管理的概念风险管理与信息安全管理信息安全管理是以风险为驱动的。可以看到，PDCA的各个阶段，主要工作是对信息系统的风险来做识别、评估、控制、检查等动作。从概念上讲，“信息安全管理”的外延更广，人事管理、财务管理等组织管理的其它部分也有信息安全管理的因素渗透其中。我们所关心的信息安全管理，是以风险为核心的信息安全管理。从这个概念上讲，信息安全管理和风险管理二者的大部分细节都是一致的。风险管理的概念PlanActionCheckDo风险评估风险监控风险消减PDCA信息安全管理过程风险管理过程风险管理的概念风险管理中的基本概念（1）资产（Asset）：任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等。威胁（Threat）：某威胁源成功利用特定脆弱点的潜在可能。脆弱点（Vulnerability）：资产或资产组中存在的可被威胁利用的缺点。脆弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。风险（Risk）：特定威胁利用资产的脆弱点给资产带来损害的潜在可能性。风险管理的概念风险管理中的基本概念（2）可能性（Likelihood）：对威胁事件发生的几率（Probability）或频率（Frequency）的描述。影响（Impact）或者后果（Consequence）：意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）/控制措施（control）/对策（countermeasure）：通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。剩余风险（ResidualRisk）：在实施安全措施之后仍然存在的风险。风险管理的概念威胁脆弱点安全措施风险资产系统安全需求价值利用导致暴露防范采取减少提出增加具有DefineSystemSecurityRequirements信息安全风险评估风险管理的概念风险评估的方法风险评估的过程风险评估的工具风险评估中的难点风险评估的方法按照分析对象分类以安全措施为主：基线评估以实际系统为主：详细评估组合评估按照精确程度分类量化评估定性评估按照思路分类基于知识专家的方法基于模型的方法基线评估组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查安全基线：在诸多标准规范中规定的一组安全控制措施或者惯例，例如BS7799-1、ISO13335-4，德国联邦安全局IT基线保护手册等。如果环境和商务目标较为典型，组织也可以自行建立基线，而不是直接采用现行标准。基线检查：拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距适用情况组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高组织信息系统多采用普遍且标准化的模式基线评估基线评估的优点需要的资源少，周期短，操作简单对于环境相似且安全需求相当的诸多组织，基线评估是最经济有效的风险评估途径。基线评估的缺点基线水平的高低难以设定。过高可能导致资源浪费和限制过度，过低则可能难以达到充分的安全，在管理安全相关的变化方面，基线评估比较困难。基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合详细评估要求对资产进行详细识别和评价，对可能引起风险的威胁和脆弱点进行评估。详细评估的优点可以对信息安全风险有一个精确的认识，从而能够准确定义出组织目前的安全水平和安全需求详细评估的结果可用来管理安全变化。详细评估的缺点可能是非常耗费资源的过程，包括时间、精力和技术。因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。稍后讲述的评估过程，主要针对的是详细评估。组合评估基线风险评估耗费资源少、周期短、操作简单，但不够准确适合一般环境的评估详细风险评估准确而细致，但耗费资源较多适合严格限定边界的较小范围内的评估组合评估：二者相结合。对所有的系统进行一次初步的高级风险评估，着眼于信息系统的价值，识别出具有高风险的或组织业务极为关键的信息资产这些资产应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。组合评估基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果。组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。组合评估的不足：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。风险评估的方法按照分析对象分类以安全措施为主：基线评估以实际系统为主：详细评估组合评估按照精确程度分类量化评估定性评估按照思路分类基于知识专家的方法基于模型的方法定量的分析方法对构成风险的各个要素和潜在损失的水平赋予数值或货币金额。当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量评估就是试图从数字上对安全风险进行分析评估的一种方法。定量的分析方法定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（AnnualLossExpectancy）或EAC（EstimatedAnnualCost）。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。定量的分析方法定量风险评估中有几个重要的概念：暴露因子（ExposureFactor，EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（SingleLossExpectancy，SLE）——或者称作SOC（SingleOccurrenceCosts），即特定威胁可能造成的潜在损失总量。年度发生率（AnnualizedRateofOccurrence，ARO）——即威胁在一年内估计会发生的频率。年度损失期望（AnnualizedLossExpectancy，ALE）——或者称作EAC（EstimatedAnnualCost），表示特定资产在一年内遭受损失的预期值。定量的分析方法这几个概念之间的关系：首先，识别资产并为资产赋值；通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%~100%之间；计算特定威胁发生的频率，即ARO；计算资产的SLE：SLE=AssetValue×EF计算资产的ALE：ALE=SLE×ARO定量的分析方法定量风险分析看似客观、严密，有严格的数学模型可以参考，但是其瓶颈在于如何准确量化各个风险要素。准确量化风险要素是定量的风险分析的基础，直接决定了定量的风险分析的质量。遗憾的是，因为信息安全风险因素本身的复杂性和随机性，很难找到一个合适的、能够准确描述风险因素的数学模型。到目前为止还没有一个非常有效的能够准确量化的方法。这在很大程度上限制了定量的风险分析方法的使用。定性的分析方法是信息安全风险分析方法中历史最长的方法之一带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级在定性评估时并不使用具体的数据，而是指定期望值，例如“高”、“中”、“低”三级。要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义。定性的分析方法定性的风险分析方法的核心是为信息安全风险的各要素进行分级，这受主观因素影响。如何进行分级没有固定的形式，主要根据风险分析操作者的经验和直觉。不同的人员往往可能得出不同的风险分析结果风险分析结果与实际情况的误差完全取决于分析的执行者但在许多情况下定性的分析方法是不可替代的，因为定量分析找不到合适的量化标准。定性分析与定量分析结合定性和定量的风险分析方法是目前风险评估中最常用的风险分析方法。很少有单纯的定性或定量方法。在风险评估中多数情况下是采用两者结合的方法进行分析。风险评估的方法按照分析对象分类以安全措施为主：基线评估以实际系统为主：详细评估组合评估按照精确程度分类量化评估定性评估按照思路分类基于知识专家的方法基于模型的方法基于知识的分析方法所谓“知识”，就是安全专家进行类似评估的经验。基于知识的风险分析方法主要就是依靠专家经验进行的。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。2000年11月CSIALERTNewsletter中有Parker和Donn的一篇文章：“WhytheDueCaresecurityreviewmethodissuperiortoRiskAssessment”。其中提出了一种基于“良好实践”的知识评估方法。该方法提出重用具有相似性组织（主要从组织的大小、范围以及市场来判断组织是否相似）的“良好实践”。为了能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库，存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的组织安全策略。基于知识的分析方法基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。不足：组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。基于模型的分析方法风险评估方法的一个新方向，采用面向对象的技术对进行风险要素的抽象，制作成模型，并对抽象模型进行分析。基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析。如UML建模语言可以用来详细说明信息系统的各个方面：不同组件之间关系的静态图用classdiagrams来表示；详细说明系统的行动和功能的动态图用usecasediagrams和sequencediagrams来表示；完整的系统使用UMLdiagrams来说明信息安全风险评估风险管理的概念风险评估的方法风险评估的过程风险评估的工具风险评估中的难点风险评估的过程1、系统特性分析2、识别威胁3、识别脆弱点4、分析现有控制措施5、确定（损害发生的）可能性6、分析影响7、确定风险8、提出控制措施建议9、评估结果文档化管理系统特性分析确定风险评估的范围评估可能只针对组织全部资产的一个子集。例如，只是确定某项特定资产的风险，或者与一种新型攻击或威胁源相关的风险。定义风险评估的物理边界和逻辑边界。逻辑边界定义了分析所需的广度和深度物理系统边界则定义了一个系统起于哪里止于何处，比如一个与外部系统相连的系统，必须对其所有的接口特性进行描述。系统特性分析收集系统信息硬件、软件系统接口（内部和外部接口）支持和使用IT系统的人员系统业务流程系统重要数据系统敏感数据……