ch4信息安全风险评估

第四章信息安全风险评估本章学习目标了解风险评估的概念、特点和内涵；熟悉风险评估的过程及应注意的问题；了解如何选择恰当的风险评估方法；掌握典型的风险评估方法；了解风险评估实施准备4.1信息安全风险评估基础•GB/T20984-2007《信息安全技术信息安全风险评估规范》•相关概念•资产（Asset）：任何对组织有价值的事如，是安全策略保护的对象。•威胁（Threat）:指可能对资产或组织造成损害的事故的潜在原因。•脆弱点（Vulnerability）：是指资产或资产组中能被威胁利用的弱点。•风险（Risk）：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件的可能性与后果的结合。•风险评估（RiskAssessment）：对信息或信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。•残余风险（ResidualRisk）：采取了安全措施后，信息系统仍然可能存在的风险。风险要素关系风险评估的两种方式•自评估和检查评估•1自评估•“谁主管谁负责，谁运营谁负责”•信息系统拥有者依靠自身力量，依据国家风险评估的管理规范和技术标准，对自有的信息系统进行风险评估的活动。•优点•有利于保密•有利于发挥行业和部门内人员的业务特长•有利于降低风险评估的费用•有利于提高本单位的风险评估能力与信息安全知识风险评估的两种方式•1自评估•缺点：•如果没有统一的规范要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位•自评估中，可能会存在某些不利的干预，从而影响风险评估结果的客观性，降低评估结果的置信度•某些时候，即使自评估的结果比较乐观，也必须与管理层进行沟通风险评估的两种方式•2检查评估•检查评估是由信息安全主管部门或业务部门发起的一种评估活动，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。•检查评估通常都是定期的、抽样进行的评估模式•检查评估缺点：•间隔时间较长，如一年一次，通常还是抽样进行•不能贯穿一个部门信息系统生命周期的全过程，很难对信息系统的整体风险状况作出完整的评价风险评估的两种方式•2检查评估•检查评估应覆盖但不限于以下内容：•自评估方法的检查•自评估过程记录检查•自评估结果跟踪检查•现有安全措施的检查•系统输入输出控制的检查•软硬件维护制度及实施状况的检查•突发事件应对措施的检查•数据完整性保护措施的检查•审计追踪的检查风险评估的两种方式•无论是自评估，还是检查评估，都可以委托风险评估服务技术支持方实施，如国家测评认证机构或安全企业公司。风险分析原理•风险分析中要涉及资产、威胁、脆弱性三个基本要素。•风险分析原理图风险分析原理•风险分析的主要内容为：•1对资产进行识别，并对资产的价值进行赋值•2对威胁进行识别，描述威胁的属性（威胁主体，影响对象，出现频率，动机等），并对威胁出现的频率赋值•3对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值•4根据威胁及威胁利用脆弱性的难易程度判断安全时间发生的可能性•根据脆弱性的严重程度和安全事件所作用的资产的价值计算安全事件造成的损失•根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值4.2风险评估的过程•4.2.1风险评估的基本步骤•第一步：风险评估准备•第二步：风险因素识别•第三步：风险确定•第四步：风险评价•第五步：风险控制第一步风险评估准备•1确定风险评估的目标•风险评估目标要满足企业持续发展在安全方面的要求，满足相关方的要求，满足法律法规的要求•2风险评估的范围•风险评估范围可能是企业全部的信息以及与信息处理相关的各类资产、管理机构，也可能是某个独立的系统、关键业务流程、与客户知识产权相关的系统或部门等•3选择与组织机构相适应的具体风险判断方法•在选择具体的风险判断方法时，应考虑评估的目的、范围、时间、效果、人员素质等诸多因素，使之能够与组织环境和安全要求相适应•4建立风险评估团队•管理层、业务骨干、信息技术人员、技术专家等•5获得最高管理者对风险评估工作的支持•风险评估过程应得到企业最高管理者的支持、批准，并对管理层和技术人员进行传达，应在组织内部对风险评估的相关内容进行培训，以明确相关人员在风险评估中的任务。第二步风险因素评估•1资产评估•识别信息资产，包括数据、软件、硬件、设备、服务、文档等，制定《信息资产列表》•保密性、完整性、可用性是评价资产的三个安全属性•风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产分类资产赋值•资产价值应根据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最重要的一个属性的赋值等级作为资产的最终赋值结果；或三者进行加权计算得到资产的最终赋值结果。第二步风险因素评估•2威胁评估•威胁（Threat）:指可能对资产或组织造成损害的事故的潜在原因。•威胁分析包括：潜在威胁分析、威胁审计和入侵检测分析、综合分析•威胁赋值应根据威胁发生的可能性和威胁产生的影响程度综合确定威胁出现频率（发生的可能性）的赋值第二步风险因素评估•3弱点评估•脆弱点（Vulnerability）：是指资产或资产组中能被威胁利用的弱点。•脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。•脆弱性识别的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。第三步风险确定•1现有安全措施评估•评估人员应对已采取的安全措施的有效性进行确认，即是否真正降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。•2风险计算•根据以上评估产生的结果，计算出每项信息资产的风险值风险计算原理•风险值=R(A,T,V)=R(L(T,V),F(Ia，Va))•R：安全风险计算函数•A：资产•T：威胁•V：脆弱性•Ia：安全事件所作用的资产价值•Va：脆弱性严重程度•L：威胁利用资产的脆弱性导致安全事件的可能性•F：安全事件发生后造成的损失•评估者可根据自身情况选择相应的风险计算方法来计算风险值，如矩阵法或相乘法。第四步风险判定•对所有风险计算结果进行等级化处理，每个等级代表了相应风险的严重程度。第五步风险控制•对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。•风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。•安全措施的选择应从管理和技术两个方面考虑残余风险评估•在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可再进行评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。风险评估文档记录风险的计算方法•计算原理•风险值=R(A,T,V)=R(L(T,V),F(Ia，Va))•R：安全风险计算函数•A：资产•T：威胁•V：脆弱性•Ia：安全事件所作用的资产价值•Va：脆弱性严重程度•L：威胁利用资产的脆弱性导致安全事件的可能性•F：安全事件发生后造成的损失•评估者可根据自身情况选择相应的风险计算方法来计算风险值，如矩阵法或相乘法。风险的计算方法•风险值计算涉及的风险要素：资产、威胁、脆弱性•由威胁和脆弱性确定安全事件发生的可能性•由资产和脆弱性确定安全事件的损失•由安全事件发生的可能性和安全事件的损失确定风险值•目前，常用的计算方法是矩阵法和相乘法使用矩阵法计算风险值•矩阵法主要适用于由两个要素值确定一个要素值的情形•Z=f(x,y)，函数f采用矩阵法•x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi为正整数•y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj为正整数•以要素x和要素y的取值构造一个二维矩阵，矩阵行值为要素y的所有取值，矩阵列值为要素x的所有取值，矩阵内mxn个值即为要素z的取值。使用矩阵法计算风险值•对于z值的计算，可以采取以下计算公式•Zij=xi+yj或•Zij=xiXyj或•Zij=aXxi+bXyj，a，b为正常数•Zij的计算需要根据实际情况确定，矩阵内zij的值不一定遵循统一的计算公式，但必须具有统一的增减趋势，即如果f是递增函数，zij的值应随着xi和yj的值递增，反之亦然。使用矩阵法计算风险值示例资产资产值威胁威胁发生频率弱点弱点严重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩阵法计算风险值示例•以资产A1面临的威胁T1可以利用的弱点V1为例，计算安全风险值，其他风险值计算过程类似•1计算安全事件发生的可能性•首先由威胁发生的频率和弱点的严重程度值构建安全事件可能性矩阵•然后根据T1发生的频率值和V1严重程度值在矩阵中进行对照，确定安全事件发生可能性值•威胁发生的频率T1=2•弱点严重性程度V1=2•安全事件发生可能性值=6•由于安全事件发生可能性将参与风险事件值的计算，为了构建风险矩阵，需对安全事件发生可能可能性进行等级划分•该安全事件发生可能性等级为2使用矩阵法计算风险值示例•2计算安全事件的损失•首先由资产价值和弱点严重程度值构建安全事件损失矩阵•然后对照表，确定安全事件损失值•资产A1的价值=2•弱点严重性程度V1=2•安全事件损失值=5•由于安全事件损失值将参与风险事件值的计算，为了构建风险矩阵，需对安全事件损失进行等级划分•该安全事件损失等级为1使用矩阵法计算风险值示例•3计算风险值•首先由安全事件发生可能性和安全事件损失构建安全风险矩阵•然后对照表，确定安全风险值•安全事件发生可能性等级为2•安全事件损失等级为1•安全风险值=6•结果判定，确定风险等级划分•根据上述计算方法，计算资产的其他风险值，并根据风险等级划分表，确定风险等级使用相乘法计算风险值•相乘法主要用于两个或多个要素值确定一个要素值的情形•相乘法的原理z=f(x,y)=xXy•也可以相乘后开平方或取模运算等。使用相乘法计算风险值示例•以资产A1面临的威胁T1可以利用的弱点V1为例，计算安全风险值•计算公式x和y的积的平方根的四舍五入结果•设资产A1价值为4，面临的威胁T1发生的频率为1，可利用的弱点V1严重程度为3•1计算安全事件发生的可能性•威胁发生的频率T1=1•弱点严重性程度V1=3•安全事件发生可能性值=3使用相乘法计算风险值示例•2计算安全事件的损失•资产价值A1=4•脆弱性严重程度V1=3•安全事件的损失=•3计算风险值•安全事件发生可能性=•安全事件损失=•安全事件风险值==6•根据风险等级划分表，风险等级确定为212312364.6风险评估实施•4.6.1风险评估实施原则•目标一致•关注重点资产•用户参与•重视质量管理和过程•4.6.2风险评估流程•1前期准备阶段•2现场调查阶段•3风险分析阶段•4策略制定阶段前期准备阶段•背景资料准备•技术资料准备•调查提纲准备•调查提纲确认•签署保密协议现场调查阶段•人员调查•了解组织最重视的信息资产、最担心发生的事件以及组织对信息系统安全的期望•调查了解组织中曾经发生过的信息安全相关事件•采用问询、会议、资料审计的形式获取相关的数据，包括目前信息管理的规章制度以及具体实施情况•技术调查•网络架构调查绘制被评估单位的网络拓扑结构；目前网络上的虚拟网划分与使用情况；明确网络边界；对业务系统的安全等级建议，确认目前达到的安全等级等现场调查阶段•技术调查•业务流程调查主要业务系统之间的逻辑关系；业务的安全要求；系统业务功能；形成业务流程现状图；初步分析业务流程现状中存在的问题等•主机系统调查主机系统固有的漏洞和配置问题；系统提供的服务；账号的安全情况；采用的访问控制策略；日志审计等情况•数据库系统调查账号、密码设置情况；数据库使用情况，存储、备份方法；数据库系统固有的漏洞；日