风险评估与管理培训PPT

1风险评估与管理.谷安天下版权所有与过程相关的概念①风险②风险管理③风险评估④风险分析⑤风险评价⑥风险处理⑦资产⑧威胁⑨脆弱性⑩防护措施1.2与要素相关的概念谷安天下版权所有风险风险（risk）风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：（1）一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率；（2）上述事件发生之后所带来的影响。3谷安天下版权所有风险（续）在ISO/IECGUIDE73将事件定义为：事件的概率及其结果的组合。注1通常，只有至少存在产生不利结果可能性的情况下才使用“风险”术语。注2在某些情况下，风险是由偏离期望的结果或事件的可能性引起的。谷安天下版权所有风险管理风险管理(Riskmanagement)风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。4谷安天下版权所有风险管理对风险管理的过程而言，不同的方法或工具提供了不同的步骤，但是信息安全风险管理可操作的相关过程和活动一般都要包括：确定评估范围识别评估控制措施识别评估资产识别评估威胁选择安全措施识别评估脆弱性确定风险处理策略风险评价制定安全计划实施安全计划风险分析风险处理谷安天下版权所有风险评估风险评估(riskassessment)风险评估指风险分析和风险评价的整个过程。风险评估是风险管理的基础，是组织确定信息安全要求的途径之一，属于组织信息安全管理体系策划的过程。通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级，从而对其实施有效控制，将风险控制在组织可以接受的范围之内。5谷安天下版权所有风险评估（续）区分风险评估和风险管理风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期，通常以一定的间隔重新开始，来更新流程中各个阶段的数据。风险管理是一个持续循环，不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须，最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。谷安天下版权所有风险分析风险分析(riskanalysis)风险分析是标识安全风险，确定其大小和标识需要保护措施的区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处理提供数据。6谷安天下版权所有风险分析（续）就风险分析的方法而言，目前应用中没有所谓的正确或错误的方法。一个组织选择一个自己感觉顺手，可以信任，且能产生可比较、可再现性的结果才是最重要的。尽管评估风险的方法有很多，但是大多数方法都是基于两种方法或两种方法的组合：定性的分析方法和定量的分析方法。谷安天下版权所有风险分析（续）定性分析方法定性分析方法是最广泛使用的风险分析方法。主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性。该方法通常只关注威胁事件所带来的损失，而忽略事件发生的概率。7谷安天下版权所有风险分析（续）定量分析方法定量分析方法在后果和可能性分析中采用数值（不是定性分行中所使用的叙述性数值范围），并采用从各种各样的来源中得到的数据。定量分析步骤主要集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考依据。谷安天下版权所有风险分析（续）定性风险分析示例（此示例来源于ISO/IEC13335-3）8谷安天下版权所有风险分析（续）步骤1：结果或影响的定性量度等级描述详详细描述1可以忽略无伤害，低财物损失2较小立即受控制，中等财物损失3中等受控，高财物损失4较大大伤害，失去生产能力，较大财物损失5灾难性持续能力中断，巨大财物损失谷安天下版权所有风险分析（续）步骤2：可能性的定性量度等级描述详细描述A几乎肯定预期在大多数情况下发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生9谷安天下版权所有风险分析（续）步骤3：从而得出风险分析矩阵其中：E：要求立即采取措施H：需要高级管理部门的注意M：必须规定管理责任L：用日常程序处理谷安天下版权所有风险分析（续）定量风险分析的示例:10谷安天下版权所有风险分析（续）计算风险的年预期损失ALE:AnnualRiskExpectancy年预期损失ARO:AnnualRateofOccurrence年发生率SLE:SingleLossExpectancy单一风险预期损失ALE=ARO*SLE谷安天下版权所有风险分析（续）两种方法的比较：目前风险分析方法以定性分析为主。由于定性的分析方法不是用数学或统计的工具将风险模型化，因此一次风险评估的成败与执行者的经验有很大的关系。定量方法有一些固有的难以克服的明显缺点。具体对比见下表：11谷安天下版权所有风险分析（续）优点缺点定性分析它可以对风险进行排序并能够对那些需要立即改善的环节进行标识没有对影响大小给出具体的定量度量，因此使得对控制进行成本效益分析变得很困难。定量分析对影响大小给出了度量，使得可以使用成本效益分析来控制成本依赖于用来表示度量的数字范围，定量影响分析的结果的含义可能因而会比较模糊，还要以定性的方式对结果做解释比较：谷安天下版权所有风险评价风险评价(riskevaluation)是把前些步骤识别分析出来的风险与风险判据进行比较，以判断特定的风险是否可接受或需采取其它措施处置。风险评价的结果为具有不同等级的风险列表。12谷安天下版权所有风险评价（续）目前在风险评价的方法上，国际上一直还在不断的研究中，也有相当多的定量或者定性的风险计算方法被提出，但是由于安全风险要素的各个环节存在太多的不确定因素和无法定量的特性，因此并没有被公认接受的风险评价方法。谷安天下版权所有风险处理风险处理(riskmitigation)风险处理是风险管理的第二个过程。它包括对风险评估过程中建议的安全控制进行优先级排序、评估和实现。13谷安天下版权所有风险处理（续）风险评估只为组织的信息安全活动提供一个方向，并没有必要导致重大的信息安全改进。不管评估方法有多专业和多详细，都不能改进组织的安全状态，除非组织通过实现评估结果将改进活动坚持到底。所以评估结束后，组织必须开发详细的行动计划，计划如何根据评估实现保护策略和风险处理计划。谷安天下版权所有风险处理（续）风险处理是一种系统化方法，高级管理人员可用它来降低使命风险。风险处理可以通过下列措施实现：风险承受：接受潜在的风险并继续运行信息系统，或实现安全防护措施，以把风险降低到一个可接受的级别。风险规避：通过消除风险的原因和/或后果（如在识别出风险后放弃系统某项功能或关闭系统）来规避风险。风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。14谷安天下版权所有概念解析–与过程相关概念小结其关系可以简明表示如下：风险管理风险评估风险处理风险评价风险分析谷安天下版权所有资产资产(asset)所谓资产就是被组织赋予了价值，组织需要保护的有用资源。ISO13335-1定义资产为所有对组织有用的东西。为了对资产进行有效的保护，组织需要在各个管理层对资产落实责任，进行适当的管理。15谷安天下版权所有资产（续）以下是资产示例及分类：信息资产：数据库和数据文件、系统文件、用户手册、培训资料、操作与维护程序、知识产权、业务持续性计划、应急安排等。书面文件：合同、公司文件、人事记录、财务记录、采购文件、发票等。软件资产：应用软件、系统软件、开发工具和实用程序等。谷安天下版权所有资产（续）物理资产：计算机、服务器、路由器、集线器、防火墙、通讯设备、其它技术设备（供电设备、空调设备）、家具、办公场所等。人员：员工、客户、合同工、警卫。服务：计算和通讯服务及其它技术服务（供暖、照明、电力、空调）等。公司形象和声誉：如正面和负面的宣传、品牌附加值等。16谷安天下版权所有威胁(threat)威胁是一个单位的信息资产的安全可能受到的侵害。ISO17799将威胁定义为对组织造成潜在影响的原因。NISTSP800-30将威胁定义为可能对系统造成损害的事件或实体。概念解析8-威胁谷安天下版权所有威胁（续）威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。17谷安天下版权所有威胁（续）以下几种都是常见的威胁：对信息、信息系统、网络和网络服务的非授权访问这些一般都是有意图、有目的的行为，会对信息的保密性、完整性和可用性造成损害，损害的程度决定于非授权用户的目的和拥有的权限。信息的非授权修改这是一种有预谋的威胁，可能会损害资产的保密性与可用性。谷安天下版权所有威胁（续）恶意软件恶意软件的引入可以是有意的（具有一定的目的和企图）和无意的（运行了来历不明的软件），恶意软件威胁资产的保密性、完整性和可用性。软件失效由于有预谋的事件或意外事件发生，从而导致软件的完整性与可用性的损失。18谷安天下版权所有威胁（续）火灾这是一种意外事故，也可能是一种有预谋的事件，会影响资产的完整性与可用性。偷窃这是一种有预谋的威胁，可能会损害资产的保密性与可用性。人员错误可能是有意的或无意的行为，有时此类事件的发生仅仅是员工缺乏安全意识，并不是有什么恶意企图。谷安天下版权所有脆弱性脆弱性(Vulnerability)脆弱性是信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。NISTSP800-30将漏洞定义为安全程序、技术控制措施、物理控制措施或其他控制措施中可能被威胁利用的条件或弱点，或缺乏控制措施。19谷安天下版权所有脆弱性（续）经验表明：大多数重大的漏洞通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术漏洞。谷安天下版权所有脆弱性（续）以下都是常见的脆弱性：缺乏物理保护或保护不适当