风险评估的基本要素.doc

内容为风险评估的基本要素，与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。风险因素识别阶段的工作流程和内容如下：1）识别需要保护的资产。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，识别对机构使命具有关键和重要作用的需要保护的资产，形成需要保护的资产清单。2）识别面临的威胁。依据对象确立输出的三个报告，参照威胁库，识别机构的信息资产面临的威胁，形成面临的威胁列表。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。3）识别存在的脆弱性。依据对象确立输出的三个报告，参照漏洞库，识别机构的信息资产存在的脆弱性，形成存在的脆弱性列表。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。风险程度分析阶段的工作流程和内容如下：1）确认已有的安全措施。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策，形成已有安全措施分析报告。2）分析威胁源的动机。依据对象确立输出的三个报告和面临的威胁列表，从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱，形成威胁源分析报告。3）分析威胁行为的能力。依据对象确立输出的三个报告和面临的威胁列表，从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低，形成威胁行为分析报告。4）分析脆弱性的被利用性。依据对象确立输出的三个报告、面临的威胁列表和存在的脆弱性列表，按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度，形成脆弱性分析报告。5）分析资产的价值。依据对象确立输出的三个报告和需要保护的资产清单，从敏感性、关键性和昂贵性等方面，分析资产价值的大小，形成资产价值分析报告。6）分析影响的程度。依据对象确立输出的三个报告和需要保护的资产清单，从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅，形成影响程度分析报告。风险等级评价阶段的工作流程和内容如下：1）评价威胁源动机的等级。依据威胁源分析报告，给出威胁源动机的等级，形成威胁源等级列表。2）评价威胁行为能力的等级。依据威胁行为分析报告，给出威胁行为能力的等级，形成威胁行为等级列表。3）评价脆弱性被利用的等级。依据脆弱性分析报告，给出脆弱性被利用的等级，形成脆弱性等级列表。4）评价资产价值的等级。依据资产价值分析报告，给出资产价值的等级，形成资产价值等级列表。5）评价影响程度的等级。依据影响程度分析报告，给出影响程度的等级，形成影响程度等级列表。6）综合评价风险的等级。汇总上述分析报告和等级列表，从风险评估算法库中选择合适的风险评估算法，综合评价风险的等级，形成风险评估报告。风险评估算法库是各种风险评估算法的汇集，包括公认算法和自创算法。评价等级级数可以根据评价对象的特性和实际评估的需要而定，如高、中、低三级，很高、较高、中等、较低、很低五级等。在风险评估的识别、分析和评价过程中，需要利用适当且有效的评估方法和评估工具。定性评估方法和定量评估方法。专家系统和过程式算法。基本评估方法、非常评估方法、详细评估方法和综合评估方法。等。风险识别方法识别风险的途径包括核对表基于经验和记录的判断、流程图、集体讨论、系统分析、情况分析和系统工程方法。所使用的方法将取决于所评审的活动的性质和风险的类型。风险分析方法风险分析根据对各要素的指标量化以及计算方法不同分为定性分析、半定量分析和定量分析的风险分析方法，或者是这些分析的组合。定性分析方法定性分析方法是被广泛使用的一种风险分析方法，也是出现在大部分标准中的一种方法。它对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则将会导致错误的决策。定性分析常用于：初始的筛选活动，以鉴定出需要更详细分析的风险。风险的程度不能证明要进行更充分的分析所需的时间和努力是合算的场合数据不足以进行定量分析的场合半定量分析在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指定的数字并不一定与后果或可能性的实际大小程度具有精确的关系。假如用来进行优先化系统与选择用来对数字赋值和组合的系统是相匹配的，则可将这些数字采用一系列公式中的任何一个公式加以组合。目的是为了得到比通常在定性分析中所得到的更为详细的优先化，但并非要提出任何在定量分析中所试图的到的风险的实际值。使用半定量分析时必须小心，因为所选择的数字未必能正确地反映会导致不一致结果的相关性。半定量分析可能不能恰当地区分各种风险，尤其是当结果或可能性处于极端状态时。有时，将可能性考虑成是由两个要素组成的较为恰当，通常称为暴露频率和概率。暴露频率是风险来源存在的程度，而概率是随着该风险源的存在而产生的后果的机会。在这两个要素之间的关系并非完全独立的情况下，即暴露频率与概率之间的关系密切时，就必须谨慎。定量分析定量风险分析方法关注的是资产的价值和威胁的量化数据。定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）2。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。文献1提出了一种定量风险评估方法。该方法首先评估特定资产的价值V，把信息系统分解成各个组件可能更加有利于整个系统的定价，一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；最后计算威胁影响系数，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害（即完全破坏）。根据上述三个参数，计算ALE：ALE V P 但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形，可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素，称为主观概率3。应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手段和机会等。因此，真正使用此类方法来评估是很有难度的。实践中常用方法在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估方法。目前，实际工作中经常使用的风险评估方法包括基线评估、详细评估和组合评估三种。基线评估如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline Risk Assessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：国际标准和国家标准，例如BS 7799-1、ISO 13335-4；行业标准或推荐，例如德国联邦安全局IT 基线保护手册；来自其他有类似商务目标和规模的组织的惯例。当然，如果环境和商务目标较为典型，组织也可以自行建立基线。基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。详细评估详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。详细评估的优点在于：组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。组合评估基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于此，实践当中，组织多是采用二者结合的组合评估方式。为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估