第六讲风险评估PPT课件.ppt

2020 2 5 1 第六讲风险评估 主讲张建设2011年3月 2020 2 5 2 此前的分析成果 风险因素列表所有的因素风险因素发生概率 损失大小 损失期望绝对值存在问题因素中的主要因素 因素之间的相对重要性 对于本项目或事物来讲 主要风险是什么 主要风险有多大影响 2020 2 5 3 一 风险评估的概念 一种说法在风险识别和风险估计的基础上 将风险发生的概率 损失程度 结合其他因素进行全面考虑 评估风险的可能性及危害程度 并与公认的安全指标相比较 以衡量风险的程度 并决定是否需要采取相应措施的过程 2020 2 5 4 另一种说法 风险评估 RiskAssessment 在风险事件发生之前或之后 但还没有结束 对该事件给人们的生活 生命 财产等各个方面造成的影响和损失的可能性进行量化评估的工作 即 风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度 也有人将风险识别 估计 评估三个阶段共同称为风险评价 不再划分阶段 2020 2 5 5 二 风险评估的任务 评估风险概率和可能带来的负面影响确定组织承受风险的能力确定风险消减和控制的优先等级推荐风险消减对策 2020 2 5 6 三 风险评估注意事项 风险评估要考虑的关键问题要确定保护的对象 或者资产 是什么 它的直接和间接价值如何 资产面临哪些潜在威胁 导致威胁的问题所在 威胁发生的可能性有多大 资产中存在哪些弱点可能会被威胁所利用 利用的容易程度又如何 一旦威胁事件发生 组织会遭受怎样的损失或者面临怎样的负面影响 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度 解决以上问题的过程 就是风险评估的过程 2020 2 5 7 风险评估时 有如下对应关系必须考虑 每项资产可能面临多种威胁威胁源可能不止一个 组合 每种威胁可能利用一个或多个弱点 2020 2 5 8 四 风险评估的三种可行途径 常用的风险评估途径基线评估详细评估组合评估 2020 2 5 9 1 基线评估 BaselineRiskAssessment 基本思路 将估计的风险参数与风险基线参数对比 根据其差距判断组织或项目的风险暴漏程度 然后选择并实施标准的安全措施来消减和控制风险 行业 环境 性质等差异 所谓的风险基线 是在诸多标准规范中规定的一组风险控制措施或者惯例 这些措施和惯例适用于特定环境下的所有系统 可以满足基本的安全需求 能使系统达到一定的安全防护水平 2020 2 5 10 适用如果组织的运作不是很复杂 或者组织运作系统多采用普遍且标准化的模式 基线风险评估就可以直接而简单地实现基本的安全水平 并且满足组织及其商业环境的所有要求 例 IT 银行业等 2020 2 5 11 安全基线选择 国际标准和国家标准 例如BS7799 1 ISO13335 4 行业标准或推荐 来自其他有类似商务目标和规模的组织的惯例 当然 如果环境和商务目标较为典型 组织也可以自行建立基线 2020 2 5 12 基线评估的优缺点优点 需要的资源少 周期短 操作简单 对于环境相似且安全需求相当的诸多组织 基线评估显然是最经济有效的风险评估途径 缺点 基线水平的高低难以设定 如果过高 可能导致资源浪费和限制过度 如果过低 可能难以达到充分的安全 此外 不适宜变化较大的过程风险管理 基线评估的目标是建立一套满足基本目标的最小的对策集合 它可以在全组织范围内实行 如果有特殊需要 应该在此基础上 对特定系统进行更详细的评估 2020 2 5 13 2 详细评估详细风险评估要求对资产进行详细识别和评价 对可能引起风险的威胁和弱点水平进行评估 根据风险评估的结果来识别和选择安全措施 这种评估途径集中体现了风险管理的思想 即识别资产的风险并将风险降低到可接受的水平 以此证明管理者所采用的安全控制措施是恰当的 2020 2 5 14 优点 组织可以通过详细的风险评估而对风险有一个精确的认识 并且准确定义出组织目前的风险水平和风险应对需求 详细评估的结果可用来管理风险变化 问题 详细评估可能是非常耗费资源的过程 包括时间 精力和技术 应该仔细设定待评估的事物或项目范围 明确环境 操作和资产的边界 2020 2 5 15 3 组合评估基线风险评估耗费资源少 周期短 操作简单 但不够准确 适合一般环境的评估 详细风险评估准确而细致 但耗费资源较多 适合严格限定边界的较小范围内的评估 因此 实践当中 组织多是采用二者结合的组合评估方式 2020 2 5 16 组合评估思路首先对所有的系统进行一次初步的风险评估 识别出组织内具有高风险的或者对其商务运作极为关键的资产 或系统 这些资产或系统应该划入详细风险评估的范围 而其他系统则可以通过基线风险评估直接选择应对措施 2020 2 5 17 2020 2 5 18 优缺点优点 将基线和详细风险评估的优势结合起来 既节省了评估所耗费的资源 又能确保获得一个全面系统的评估结果 而且 组织的资源和资金能够应用到最能发挥作用的地方 具有高风险的系统能够被预先关注 缺点 如果初步的风险评估不够准确 某些本来需要详细评估的系统也许会被忽略 最终导致结果失准 2020 2 5 19 五 风险评估的常用分析方法 方法基于知识 Knowledge based 的分析方法基于模型 Model based 的分析方法定性 Qualitative 分析定量 Quantitative 分析无论何种方法 共同的目标都是找出组织资产面临的风险及其影响 以及目前风险水平与组织安全需求之间的差距 2020 2 5 20 1 基于知识的分析方法 基线的来源 知识 又称作经验方法 它牵涉到对来自类似组织的 最佳惯例 基线 的使用 适合一般性的组织 基线评估时 组织可以采用基于知识的分析方法 方法 采用基于知识的分析方法 只要通过多种途径采集相关信息 识别组织的风险所在和当前的安全措施 与特定的标准或最佳惯例进行比较 从中找出不符合的地方 并按照标准或最佳惯例的推荐选择安全措施 最终达到消减和控制风险的目的 2020 2 5 21 基于知识的分析方法 最重要的在于评估信息的采集 信息源包括 会议讨论 对当前的信息安全策略和相关文档进行复查 制作问卷 进行调查 对相关人员进行访谈 进行实地考察 为了简化评估工作 组织可以采用一些辅助性的自动化工具 这些工具可以帮助组织拟订符合特定标准要求的问卷 然后对解答结果进行综合分析 在与特定标准比较之后给出最终的推荐报告 2020 2 5 22 2 基于模型的分析方法2001年1月 由希腊 德国 英国 挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目 即PlatformforRiskAnalysisofSecurityCriticalSystems IT CORAS是一个基于面向对象建模的风险评估框架 它的评估对象是对安全要求很高的一般性的系统 特别是IT系统的安全 CORAS考虑到技术 人员以及所有与组织安全相关的方面 通过CORAS风险评估 组织可以定义 获取并维护IT系统的保密性 完整性 可用性 抗抵赖性 可追溯性 真实性和可靠性 2020 2 5 23 CORAS风险评估沿用了识别风险 分析风险 评价并处理风险这样的过程 但其度量风险的方法则完全不同 所有的分析过程都是基于面向对象的模型来进行的 CORAS的优点提高了对安全相关特性描述的精确性 改善了分析结果的质量 图形化的建模机制便于沟通 减少了理解上的偏差 加强了不同评估方法互操作的效率 等等 2020 2 5 24 3 定量分析进行详细风险分析时 除了可以使用基于知识的评估方法外 最传统的还是定量和定性分析的方法 定量分析方法的思想对构成风险的各个要素和潜在损失的水平赋予数值或货币金额 当度量风险的所有要素 资产价值 威胁频率 弱点利用程度 安全措施的效率和成本等 都被赋值 风险评估的整个过程和结果就都可以被量化了 简单说 定量分析就是试图从数字上对安全风险进行分析评估的一种方法 2020 2 5 25 定量风险分析中有几个重要的概念 暴露因子 ExposureFactor EF 特定威胁对特定资产造成损失的百分比 或者说损失的程度 单一损失期望 SingleLossExpectancy SLE 或者称作SOC SingleOccuranceCosts 即特定威胁可能造成的潜在损失总量 年度发生率 AnnualizedRateofOccurrence ARO 即威胁在一年内估计会发生的频率 年度损失期望 AnnualizedLossExpectancy ALE 或者称作EAC EstimatedAnnualCost 表示特定资产在一年内遭受损失的预期值 2020 2 5 26 考察定量分析的过程 从中就能看到这几个概念之间的关系 1 首先 识别资产并为资产赋值 2 通过威胁和弱点评估 评价特定威胁作用于特定资产所造成的影响 即EF 取值在0 100 之间 3 计算特定威胁发生的频率 即ARO 4 计算资产的SLE SLE AssetValue EF 5 计算资产的ALE ALE SLE ARO 2020 2 5 27 举例假定某公司投资500 000美元建了一个网络运营中心 其最大的威胁是火灾 一旦火灾发生 网络运营中心的估计损失程度是45 根据消防部门推断 该网络运营中心所在的地区每5年会发生一次火灾 于是我们得出了ARO为0 20的结果 基于以上数据 该公司网络运营中心的ALE将是45 000美元 500000 45 0 2 45000 2020 2 5 28 定量分析两个关键指标一个是事件发生的可能性 可以用ARO表示 另一个就是威胁事件可能引起的损失 用EF来表示 问题定量分析可以对风险进行准确的分级 但这有个前提 那就是可供参考的数据指标是准确的 事实上 定量分析所依据的数据的可靠性是很难保证的 再加上数据统计缺乏长期性 计算过程又极易出错 这就给分析的细化带来了很大困难 所以 目前采用定量分析或者纯定量分析方法的已经比较少了 2020 2 5 29 4 定性分析定性分析方法是目前采用最为广泛的一种方法它带有很强的主观性 往往需要凭借分析者的经验和直觉 或者业界的标准和惯例 为风险管理诸要素 资产价值 威胁的可能性 弱点被利用的容易度 现有控制措施的效力等 的大小或高低程度定性分级 例如 高 中 低 三级 收集 定性分析的操作方法多种多样包括小组讨论 例如Delphi方法 检查列表 Checklist 问卷 Questionnaire 人员访谈 Interview 调查 Survey 等 定性分析操作起来相对容易 但也可能因为操作者经验和直觉的偏差而使分析结果失准 2020 2 5 30 定量与定性方法的对比与定量分析相比较 定性分析的准确性稍好但精确性不够 定量分析则相反 定性分析没有定量分析那样繁多的计算负担 但却要求分析者具备一定的经验和能力 定量分析依赖大量的统计数据 而定性分析没有这方面的要求 定性分析较为主观 定量分析基于客观 定量分析的结果很直观 容易理解 而定性分析的结果则很难有统一的解释 组织可以根据具体的情况来选择定性或定量的分析方法 2020 2 5 31 常用行业风险评价方法 道化学火灾爆炸指数评价法美国道化学公司于1964年首次使用的一种安全评价方法 它是对化工工艺过程和生产装置的火灾 爆炸危险性进行评价及采取相应安全措施的一种方法 目前已成为石油化工厂安全评价中广泛应用的一种方法 矩阵风险评价