《信息安全风险管理》PPT课件.ppt

信息安全风险管理,10.1 风险管理概述,“知己知彼，百战不殆。 知己而不知彼，即便获得胜利也损失惨重。既不知已又不知彼，每仗必败。” 为了取得信息安全管理的胜利，必须知己知彼。,10.1.1 知己,首先必须识别、检查和熟悉机构中当前的信息及系统，这是不言而喻的。 要想保护资产就必须熟悉它们是什么，它们对机构的价值，以及可能有哪些漏洞。 资产在这里是指信息及使用、存储和传输这些信息的系统。,10.1.2 知彼,知彼，这就意味着识别、检查并熟悉机构面临的威胁。 必须确定出对机构信息资产的安全影响最直接的威胁。 然后，通过对这些威胁的理解，按照每项资产对于机构的重要程度，建立一个威胁等级列表。,10.1.3 利益团体的作用,机构中的每一个利益团体都有责任管理机构面临的风险，可以从以下三方面的分析中看出： 1.信息安全 因为信息安全团体的成员最了解把风险带入机构的威胁和攻击，所以他们常常在处理风险时处于领导地位。,10.1.3 利益团体的作用,2.管理人员 管理人员和用户经过适当的培训，会对机构面临的威胁有着清醒的认识，在早期的检测和响应阶段起一定的作用。 3. 信息技术 利益团体必须建立安全的系统，并且安全的操作这些系统。 例如，IT操作应进行合理的备份，以避免硬盘故障引起的风险。,10.2 风险管理的基本概念,10.2.1 资产相关概念 1资产 所谓资产就是被组织赋予了价值、需要保护的有用资源。 在信息安全体系范围内，一项非常重要的工作就是为资产编制清单。 每项资产都应该清晰地定义，合理地估价， 在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。,10.2.1 资产相关概念,2资产的价值 资产价值是指经济实体所拥有的固定资产、无形资产体现出来的价值。 为了明确对资产的保护，有必要对资产进行估价， 其价值大小不仅仅要考虑其自身的价值， 还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。,10.2.1 资产相关概念,因此，在信息系统中资产的价值可以用 信息或其他技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。,10.2.1 资产相关概念,3威胁 威胁是指可能对资产或组织造成损害的事故的潜在原因。 例如，网络系统可能受到来自计算机病毒和黑客攻击的威胁。 4脆弱性 所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用，造成安全事件的发生，从而对资产造成损害。 脆弱性本身并不会引起损害，它只是为威胁提供了影响资产安全性的条件。,10.2.2 风险管理的相关概念,1安全风险 所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性， 即特定威胁事件发生的可能性与后果的结合。 通过确定资产价值及相关威胁与脆弱性的水平，可以得出风险的度量值。,10.2.2 风险管理的相关概念,即对信息和信息处理设施的威胁、影响（指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。,10.2.2 风险管理的相关概念,风险评估的主要任务包括： 识别组织面临的各种风险； 评估风险概率和可能带来的负面影响； 确定组织承受风险的能力； 确定风险降低和控制的优先等级； 推荐风险降低对策。 风险评估也就是确认安全风险及其大小的过程，即利用适当的风险评估工具， 包括定性和定量的方法，确定资产风险等级和优先控制顺序。,10.2.2 风险管理的相关概念,2风险管理 所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。 风险管理通过风险评估来识别风险大小，通过制定信息安全方针，使风险被避免、转移或降至一个可被接受的水平。 风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如下图所示。,风险管理,风险识别,风险评估,风险控制,图 风险管理过程,10.2.2 风险管理的相关概念,在风险管理过程中，有几个关键的问题需要考虑。 第一，要确定保护的对象是什么？它的直接和间接价值如何？ 第二，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？ 第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？ 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？ 最后，组织应该采取怎样的安全措施才能将风险带来的损失降到最低？解决以上问题的过程，就是风险管理的过程。,10.2.2 风险管理的相关概念,这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析这个概念。 实际上，对于信息安全风险管理来说，风险分析和风险评估基本上是同义的。 当然，如果细究起来，风险分析应该是处理风险的总体战略， 风险评估只是风险分析中的一项工作，即对可识别的风险进行评估，以确定其可能造成的危害。,10.2.2 风险管理的相关概念,3安全需求 在信息安全体系中，要求组织确认如下安全需求： 评估出组织所面临的安全风险，并控制这些风险的需求； 组织、贸易伙伴、签约客户等需要遵守的法律法规及合同的要求； 组织制订支持业务运作与处理的需求。,10.2.2 风险管理的相关概念,4安全控制 正如BS7799中所定义的，安全控制就是保护组织资产、防止威胁、减少脆弱性等一系列安全实践、过程和机制。 为获得有效的安全，常常需要把多种安全控制结合起来使用，实现监测、威慑、防护等多种功能。 5剩余风险 即实施安全控制后，仍然存在的安全风险。,10.2.2 风险管理的相关概念,6适用性声明 适用性声明是一个包含组织所选择的控制目标与控制方式的文件， 相当于一个控制目标与方式清单，其中应阐述选择与不选择的理由。,10.2.3 风险管理各要素间的关系,风险管理中涉及的安全组成要素之间的关系 如下图所示，具体描述如下：,威胁,脆弱性,安全控制,安全风险,资产,安全需求,资产价值与潜在影响,利用,防止,增加,增加,暴露,减少,要求,指出,增加,具有,10.2.3 风险管理各要素间的关系,资产具有价值，并会受到威胁的潜在影响； 脆弱性将资产暴露给威胁，威胁利用脆弱性对资产造成影响； 威胁与脆弱性的增加导致安全风险的增加； 安全风险的存在对组织的信息安全提出要求； 安全控制应满足安全需求； 通过实施安全控制防范威胁，以降低安全风险。,10.3 风险的识别,风险管理策略要求信息安全专业人员将机构的信息资产进行识别、分类，并区分优先次序，来了解资产。 资产是各种威胁以及威胁代理的目标，风险管理的目标就是保护资产不受威胁。 了解了机构的资产后，就可以进入资产的识别阶段。必须对每一项资产的状况和环境进行检查，找出其漏洞。,10.3 风险的识别,之后，就要确定采用的控制措施，并根据这些控制措施对限制攻击所造成的可能损失，来评估控制。 风险识别的过程从机构信息资产的识别和评估其价值开始。,10.3.1 信息资产的识别,风险识别过程是从资产的识别开始的，它包括机构系统的所有要素：人员、过程、数据及信息、软件、硬件和网络， 然后对资产进行分析和归类，在进行深入分析的过程中添加细节。 1人员、过程及数据资产的识别 人力资源、文件资料及数据信息的识别比确定软、硬件资产更困难。 这个任务应由具有知识、经验及判断力的人员来完成。,10.3.1 信息资产的识别,在决定属于哪一个信息资产时，需要考虑下列资产属性： （1）人员：位置名称/号码；管理人；安全检查级别；特殊能力。 （2）过程：说明；意图；与软件、硬件及网络元素的关系；引用的存储位置；更新的存储位置。 （3）数据：分类；所有者、创建者及管理者；使用的数据结构；数据结构的大小；在线与否；位置；使用的备份过程。,10.3.1 信息资产的识别,2硬件、软件和网络资产的识别 应该跟踪每个信息资产，了解哪些属性取决于机构需求及其风险管理， 以及信息安全管理和信息安全技术团队的优先权和需求。 决定跟踪哪一种信息资产时，需要考虑名称、IP地址、MAC地址、序列号、制造商名称、软件版本等资产属性。,10.3.2 信息资产的分类,对信息资产进行分类的目的是便于在处理信息时指明保护的需求、优先级和期望程度。 1分类指导原则 信息资产应当按照它对组织的价值、法律要求、敏感性和关键性予以分类。,10.3.2 信息资产的分类,信息分类的一个事例如下：中华人民共和国保守国家秘密法第九条将国家秘密的密级分为“绝密”、“机密”和“秘密”三级。 “绝密”是最重要的国家秘密，泄漏会使国家的安全和利益遭受特别严重的损害； “机密”是重要的国家秘密，泄漏会使国家的安全和利益遭受严重的损害； “秘密”是一般的国家秘密，泄漏会使国家的安全和利益遭受损害。,10.3.2 信息资产的分类,对于信息安全来说，信息资产的分类往往是按照级别进行。 保护级别可通过分析信息资产的保密性、完整性、可用性等安全属性及其他要求进行评估和确定。 这些方面应予以考虑，因为过多的分类会致使实施不必要的控制措施，从而导致成本的增加。,10.3.2 信息资产的分类,同时，在对信息资产进行分类时，对于具有类似安全要求的资产可以一起进行考虑，以便简化分类任务。 总之，对信息资产进行分类是确定如何对信息资产予以处理和保护的简便方法。,10.3.2 信息资产的分类,2信息标识与处置 在对资产进行科学合理的分类的同时，应当根据资产的分类机制建立并实施一组相应的信息标识和处置程序。 如果系统输出中包含了被分类为敏感或关键的信息，那么该输出中就应当携带享用的分类标识，以便及时进行处理。 这样的项目包括打印报告、屏幕显示、记录介质（例如磁带、磁盘、CD）、电子消息和文件传送等。,10.3.2 信息资产的分类,分类信息的标识和安全处理是信息共享的一个关键要求。 物理标识是常用的标识形式，然而，某些信息资产（诸如电子形式的文件等）不能进行物理标识，此时就需要使用电子标识手段。 如打印报告可采用盖章的方式进行标识，记录的媒介可采用实物标签的形式进行标识，屏幕显示则采用电子形式标识。,10.3.2 信息资产的分类,3资产分类方法 表10-1所示是标准信息系统的组成与 结合了风险管理和SecSDLC（The Security Systems Development Life Cycle，安全系统的开发生命周期）方法的改进系统的组成。 一些机构还可以将所列的类进一步细分。例如，因特网组件再细分为服务器、网络设备（路由器、集线器、交换机）、保护设备（防火墙、代理服务器）以及电缆。,表10-1 信息系统的组成分类,10.3.2 信息资产的分类,许多机构已建立了数据分类模式。这种分类的例子如机密数据、内部数据和公共数据。 非正规的机构必须组织建立一个便于使用的数据分类模型。 数据分类模型的另一个方面是人员安全调查结构，根据每个人需要了解信息的多少，来确定授予给他查看的信息等级。,10.3.2 信息资产的分类,分类必须全面、互斥，全面意味着所有的信息资产必须对应各部门的资产清单，互斥意味着一份信息资产应该只对应一个种类。 例如，假定机构拥有公钥基础结构认证授权，这是一个提供密钥管理服务的软件应用程序， 通过一个完全的技术标准，分析人员可以在表10-1中把认证授权归类为软件，在软件一类中再归类为应用程序或安全组件。,10.3.3 信息资产评估,在对机构的每一项资产归类时，应提出一些问题，来确定用于信息资产评估或者影响评估的权重标准。 当提出和回答每个问题时，应该准备一个工作表，记录答案，用于以后的分析。 在开始清单处理过程之前，应确定一些评估信息资产价值的最佳标准，要考虑的标准如下：,10.3.3 信息资产评估,（1）哪一项信息资产对于成功是最关键的？当决定每一项资产的相对重要性时，应参考机构的任务陈述或者目标陈述。 根据这些陈述，确定何种要素对于实现的目标是必不可少的，哪个要素支持目标，哪个要素仅仅是附属的。,10.3.3 信息资产评估,（2）哪一项信息资产创造的收效最多？可以根据某一项资产来评估机构的收益，从而决定哪一项信息资产是重要的。 （3）哪一项资产的获利最多？应该根据某项资产来评估机构获利的多少。 （4）哪一项信息资产在替换时最昂贵？有时一项信息资产拥有特殊的价值，因为它是唯一的。 （5）哪一项信息资产的保护费用最高？在这个问题中，应该思考提供控制的成本，一些资产本身是很难保护的。,10.3.3 信息资产评估,（6）哪一项信息资产是最麻烦的，或者泄露后麻烦最大。 完成列出和评估价值的过程后，就可以使用一个简单的过程，来计算每项资产的相对重要性，这个过程称为权重因子分析。,10.3.4 威胁识别,对机构的信息资产进行识别和初步分类后，就要分析机构所面临的威胁。 如果假定每种威胁能够并且即将攻击每项信息资产，方案就会变得非常复杂。 常见的信息安全威胁如表10-2所示。,表10-2 信息安全的威胁,10.3.4 威胁识别,必须检查上表中的每一种威胁，评估它对机构的潜在危害，这种检查称为威胁评估。 可以针对每种威胁提出几个基本问题，例如： （1）在给定的环境下，那一种威胁对机构的资产而言是最危险的？ （2）那一种威胁对机构的信息而言是最危险的？ （3）从成功的攻击中恢复需要多少费用？ （4）防范哪一种威胁的花费最大？,10.3.4 威胁识别,通过提问并回答上面的问题，可为威胁评估建立一个框架。 如果机构有明确的方针或政策，它们会影响整个过程，并提出额外的问题。 上述问题列表容易扩展，以包含其他问题。,10.3.5 安全调查,数据分类方案的另一个方面指的是个人安全调查机构。 在需要安全调查的机构中，必须给每个数据用户分配一个单一的授权等级。 说明他们授权访问的分类等级。这通常给每个员工分配一个指定的角色， 比如数据记录员，程序员、信息安全分析员等。,10.3.6 分类数据的管理,分类数据的管理 分类数据的管理包括这些数据的存储、分布移植及销毁。 另外每个分类的文件应该在每页的顶部和底部 包含适当的标记存储已分类的数据，只有授权的人才能访问它。,10.3.7 漏洞识别,识别了机构的信息资产，为评估它们所面对的威胁制定了一些标准后， 要检查每项信息资产所面对的威胁，并建立一个漏洞列表。 什么是漏洞？它们是威胁代理能够用来攻击信息资产的特定途径。,10.4 风险评估,识别了机构的信息资产及其威胁和漏洞后，就可以评估每个漏洞的相关风险了。 这是通过风险评估过程来完成的。风险评估给每项信息资产分配一个风险等级或者分数。 此数字在绝对术语中没有任何意义，但可用于评估每项易受攻击的信息资产的相关风险。,10.4.1风险评估概述,风险=出现漏洞的可能性信息资产的价值-当前控制减轻的风险几率+对漏洞了解的不确定性。 其中，出现漏洞的可能性是指成功攻击机构内某个漏洞的概率。 在风险评估中，要给成功攻击漏洞的可能性指定一个数值。 可以选择1-100的数值，但不能是0，因为如果是0，就已经从资产漏洞列表中删除了。,10.4.2 风险评估原则,信息安全风险评估原则包括如下四个方面。 1.自主 指由机构内部的人员来管理和指导信息安全风险评估。 这些人负责指导风险管理活动，并对安全工作做出决策。 自主要求： （1）通过领导信息安全风险评估并对评估过程进行管理，负责信息的安全。 （2）最终对安全工作做出决策，包括实现哪些改进和采取哪些行动。,10.4.2 风险评估原则,2适应度量 一个灵活的评估过程可以适应不断变化的技术和进展。 因为信息安全和信息技术领域变革非常迅速，所以需要一个适应性强的度量集，并据此进行评估。适应度量要求： （1）定义公认的安全实践、已知的威胁源和技术缺陷目录。 （2）能适应信息目录变化的评估过程。,10.4.2 风险评估原则,3已定义过程 已定义的过程描述了信息安全评估程序依赖于已定义的标准化评估规程的需要。 一个已定义的过程要求： （1）为执行评估分配责任。 （2）定义所有的评估活动。 （3）规定评估过程所需的所有工具、工作表和信息目录。 （4）为记录评估结果创建通用的格式。,10.4.2 风险评估原则,4连续过程的基础 机构必须实施基于实践的安全策略和计划，以逐渐改进自身的安全状态。 通过实施这些基于实践的解决方案，机构就能够开始将最佳的安全实践制度化， 使其成为日常开展业务的方法的一部分。,10.4.2 风险评估原则,安全改进是一个连续的过程，信息安全风险评估的结果为连续的改进奠定了基础，这需要： （1）使用已定义的评估过程标识出信息安全风险。 （2）实施信息安全风险评估后的结果。 （3）逐步培养管理信息安全风险的能力。 （4）实施安全策略和计划，使安全改进结合基于实践的方法。,10.4.3 风险评估的步骤,风险评估的任务是识别组织所面临的安全风险并确定风险控制的优先等级， 从而对其实施有效控制，将风险控制在组织可以接受的范围之内。 1风险评估应考虑的因素 （1）信息资产及其价值； （2）对这些资产的威胁，以及它们发生的可能性； （3）脆弱性； （4）已有的安全控制措施。,10.4.3 风险评估的步骤,2风险评估的基本步骤 （1）按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价； （2）根据资产所处的环境进行威胁评估； （3）对应每一威胁，对资产或组织存在的脆弱性进行评估； （4）对已采取的安全机制进行识别和确认； （5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。 3风险评估时应考虑的问题 在进行风险评估时，要充分考虑和正确区分资产、威胁与脆弱性之间的对应关系，如图10-3所示。,资产,威胁A,来源A1,来源A2,威胁B,来源B1,来源B2,脆弱性A1,脆弱性A2,脆弱性B1,脆弱性B2,图10-3 资产、威胁与脆弱性的对应关系,10.4.3 风险评估的步骤,可以看出，资产、威胁与脆弱性之间的对应关系包括： （1）一项资产可能存在多个威胁； （2）威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑； （3）每一个威胁可能利用一个或数个脆弱性。,10.4.4 风险评估的过程,1信息资产评估 使用信息资产的识别过程中得到的信息，就可以为机构中每项信息资产的价值指定权重分数。 根据机构的需要，使用的数字可以不同。 有的团体使用110的权重分数，或者用1、3和5代表低、中和高价值的资产。,10.4.4 风险评估的过程,在信息系统中，采用精确的财务方式来给资产确定价值比较困难， 一般采用定性分级的方式来建立资产的相对价值或重要度， 这种定性分级可以参考如表10-3所示的方式进行。,10.4.4 风险评估的过程,2威胁评估 除了识别资产面临的威胁后，还应该评估威胁发生的可能性，确定威胁发生的可能性是风险评估的重要环节。 组织应根据经验和（或）有关的统计数据来判断威胁发生的频率或者威胁发生的概率。 威胁发生的可能性受到下列因素的影响： 资产的吸引力； 资产转化成报酬的容易程度； 威胁的技术含量； 脆弱性被利用的难易程度。,10.4.4 风险评估的过程,威胁发生的可能性的大小可以采取分级赋值的方法予以确定。例如，将可能性分为三个等级：非常可能=3，大概可能=2，不太可能=1。 威胁发生的可能性的大小与威胁发生的条件是密切相关的。 例如，消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。,10.4.4 风险评估的过程,因此，上述根据经验或统计获得的威胁发生的可能性， 可以是一个组织、相同行业或者社会的均值， 对于具体环境中威胁发生的可能性，应考虑具体资产的脆弱性予以修正。,10.4.4 风险评估的过程,3脆弱性评估 接下来就要检查每项信息资产所面临的威胁，并且建立一个脆弱性列表。 什么是脆弱性？它们是威胁代理能够用来攻击信息资产的特定途径。 它们是信息资产铁甲中的裂缝信息资产、安全程序、设计或控制中的瑕疵或缺点，可以无意或故意破坏安全。,10.4.4 风险评估的过程,仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。 这些弱点可能来自组织结构、人员、管理、程序和资产本身的缺陷等，大体可以分为以下几类。 （1）技术脆弱性 系统、程序和设备中存在的漏洞或缺陷，如结构设计问题和变成漏洞等。 （2）操作脆弱性 软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等。,10.4.4 风险评估的过程,（3）管理脆弱性 策略、程序和规章制度等方面的弱点。 识别脆弱性的途径有很多，包括各种审计报告、事件报告、安全复查报告、系统测试及评估报告等，还可以利用专业机构发布的信息。,10.4.4 风险评估的过程,评估弱点时需要考虑两个因素，一个是脆弱性的严重程度， 另一个是脆弱性的暴露程度，即被威胁利用的可能性， 这两个因素也可以采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为： 非常可能=4，很可能=3，可能=2，不太可能=1，不可能=0。,10.4.4 风险评估的过程,4现有安全控制的确认 在影响威胁事件发生的外部条件中，除了资产的弱点，就是组织现有的安全控制措施。 在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力， 有效的安全控制继续保持，而对于那些不适当的控制应当核查是否应被取消，或者用更合适的控制代替。,10.4.4 风险评估的过程,安全控制的分类方式有多种，按照目标和针对性可以分为： 管理性安全控制对系统开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理等。 操作性安全控制用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理，安全意识培训等。,10.4.4 风险评估的过程,技术性安全控制身份识别与认证、逻辑访问控制、日志审计和加密等。 按照功能安全控制又可以分为以下几类： 威慑性安全控制此类控制可以降低蓄意攻击的可能性，实际上针对的是威胁源的动机。 预防性安全控制此类控制可以保护脆弱性，使攻击难以成功，或者降低攻击造成的影响。,10.4.4 风险评估的过程,检测性安全控制此类控制可以检测并及时发现攻击活动，还可以激活纠正性或预防性安全控制。 纠正性安全控制此类控制可以降低攻击造成的影响。 不同功能的安全控制应对风险的情况如图10-4所示。 另外应该注意，在风险评估之后选择的安全控制与现有的和计划的安全控制应保持兼容和一致，以避免在实施过程中出现冲突。,威慑性安全控制,预防性安全控制,检测性安全控制,纠正性安全控制,防止,保护,发现,威胁,脆弱性,安全事件,风险,利用,引发,降低,图10-4 安全控制应对风险各要素的情况,10.4.4 风险评估的过程,5风险的评价 所谓风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级， 对组织信息安全管理范围内的每一信息资产因遭受泄漏、修改、不可用和破坏所带来的任何影响 做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。,10.4.4 风险评估的过程,在风险评价过程中，可以采用多种操作方法，包括基于知识的分析方法，基于模型的分析方法，定量分析和定性分析方法等。 无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。 下面通过简单的例子介绍风险评估结果的确定。,10.4.4 风险评估的过程,（1）风险的确定 某组织机构通过分析，得到：风险=出现漏洞的可能性资产价值（或威胁造成的影响）-已控制风险的比例+不确定因素。 如：信息资产A的价值是50，有1个漏洞，出现的可能性是1.0，当前没有控制风险，估计该假设和数据的准确率为90%。 则：资产A由于一个漏洞引起的风险等级=（50*1.0）-0%+10%=50.1,10.4.4 风险评估的过程,信息资产B的价值是100，有2个漏洞，其中一个出现的可能性是0.5，当前已控制的风险比例是50%；另一个出现的可能性是0.1，当前没有控制风险。估计该假设和数据的准确率为80%。 则资产B由于两个漏洞引起的风险等级分别是： （100*0.5）-50%+20%=49 （100*0.1）-0%+20%=10.2,10.4.4 风险评估的过程,（2）记录风险评估的结果 在风险评估过程结束时，将得到一份很长的信息资产列表，其中包含这些信息资产的各种数据。 到目前为止，这个过程的目标是识别机构中存在脆弱性并面临威胁的信息资产，并将它们列出来，依照最需要保护的顺序划出等级。 最后的总结文件是风险等级表，如表10-4所示。,表10-4 风险等级,10.4.4 风险评估的过程,上表中列出了每项易受攻击的资产，显示了权重因子分析表中此项资产的价值。 在这个例子中，数字从1至100，并列出了每个不可控的漏洞及出现的可能性，且计算出风险等级因子。 从表中可以看出，最大的风险来自易受攻击的邮件服务器。 尽管由客户服务电子邮件所代表的信息资产的影响等级仅为5.5，但是硬件相对较高的故障率使它成为最紧迫的问题。,10.5 风险控制,通过风险识别和风险评估后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。 10.5.1 风险控制策略 机构信息安全管理人员在进行风险控制时，可以根据机构的实际情况选择如下4项基本策略，来控制风险。 （1）避免采取安全措施，消除或者减少漏洞的不可控制的残留风险。 （2）转移将风险转移到其他区域，或者转移到外部。,10.5.1 风险控制策略,（3）缓解减少漏洞产生的影响。 （4）接受对残留风险进行确认和评价的过程。 1避免 避免是试图防止脆弱性被利用的风险控制策略。 这是一种首选方法，通过对抗威胁，排除资产中的漏洞，限制对资产的访问，加强安全保护措施来实现。,10.5.1 风险控制策略,风险避免有3种常用的方法。 （1）通过应用政策来避免。这种方法允许管理人员颁布特定的后续步骤。 例如，如果机构需要更严格的控制密码的使用，就应该执行一项政策，要求所有的IT系统都使用密码。,10.5.1 风险控制策略,（2）教育培训。 必须使员工了解政策。另外，新技术通常需要培训。 如果希望员工的行为比较安全、有控制，认识、培训以及教育就是必不可少的。,10.5.1 风险控制策略,（3）应用技术。 在信息安全中，通常需要技术解决方案来确保减少风险。 如密码可用于大多数现代的操作系统，但一些系统管理员可能没有使用密码。 如果政策要求使用密码，管理员也意识到它的必要性，并参加了培训，这个技术控制就会得到成功的使用。,10.5.1 风险控制策略,风险可以通过对抗资产面临的威胁或者禁止暴露资产来避免。 消除威胁是非常困难的，但有可能实现。 避免威胁的另一个风险管理办法是实现安全控制和防护， 使针对系统的攻击发生偏离，因此将攻击成功的概率降到最小。,10.5.1 风险控制策略,2转移 转移是将风险转移到其他资产、其他过程或其他机构的控制方法。 它可以通过重新考虑如何提供服务、修改部署模式、外包给其他机构、购买保险或与提供商签署服务合同来实现。,10.5.1 风险控制策略,优秀机构有8个特征，其中一个特征是“只管自己的事情”，对于了解的业务保持合理的关注度。 它意味着，机构并不把精力浪费在开发网站的技术上，而是将精力和资源集中于其优势业务上， 而其他的专业技术则依靠顾问或者承包商来完成。,10.5.1 风险控制策略,精明的机构一般不管理自己的服务器，而是雇佣Web管理员、Web系统管理员和专业的安全专家， 雇佣ISP或咨询机构，为他们提供这些产品和服务。,10.5.1 风险控制策略,这样，机构就可以将管理复杂系统的风险转嫁给对处理这些风险有经验的另一个机构。 但是外包并非不存在风险。 信息资产的所有者、IT管理人员和信息安全组要保证外包合同中的灾难恢复要求足够多，并在进行恢复工作前得到满足。,10.5.1 风险控制策略,3缓解 缓解是一种控制方法，它试图通过规划和预先的准备工作，来减少漏洞造成的影响。 这种方法包括3类计划，事件响应计划（IRP）、灾难恢复计划（DRP）和业务持续性计划（BCP）。 每种计划都取决于尽快检测和响应攻击的能力，依赖于其他计划的建立和质量。 缓解起源于早期发现的攻击和机构快速、高效的响应能力。缓解策略如表10-5所示。,表10-5 缓解策略,10.5.1 风险控制策略,4接受 要使组织机构的信息系统达到绝对安全（即零风险）是不可能的。 组织在实施选择的控制后，仍然会存在风险，称之为残留风险或剩余风险。 甚至有些剩余风险是组织有意对某些资产没有进行保护而造成的。,10.5.1 风险控制策略,当然，为确保组织信息系统的安全，剩余风险应当在可接受的范围之内。 即： 剩余风险=原有风险-降低（控制）的风险 剩余风险可接受风险