信息安全风险评估与风险管理

信息安全风险评估与风险管理,一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结,目录,信息安全的定义,机密性（integrity）：确保该信息仅对已授权访问的人们才可访问只有拥有者许可，才可被其他人访问完整性（confidentiality）：保护信息及处理方法的准确性和完备性；不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：当要求时，即可使用信息和相关资产。不因系统故障或误操作使资源丢失。响应时间要求、故障下的持续运行。其他：可控性、可审查性,KeywordsI,信息安全：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。,KeywordII,威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。,风险评估的目的和意义,认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据,信息系统风险模型,风险计算依据,一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结,目录,国外相关信息安全风险评估标准简介（1）,ISO27001：信息安全管理体系规范、ISO17799信息安全管理实践指南基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施；提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全风险评估方法3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略。OCTAVE实施指南（OCTAVESMCatalogofPractices,Version2.0），该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。,AS/NZS4360：1999风险管理澳大利亚和新西兰联合开发的风险管理标准将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。ISO/IECTR13335信息技术安全管理指南提出了风险评估的方法、步骤和主要内容。主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。NISTSP800-30：信息技术系统风险管理指南提出了风险评估的方法论和一般原则，风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。,国外相关信息安全风险评估标准简介（2）,我国信息安全风险评估标准发展历程,2001年，随着GB/T18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。2004年，提出了信息安全风险评估指南标准草案，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对信息安全风险评估指南进行了修改。20052006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术信息安全风险评估规范。,信息安全风险评估规范标准操作的主要内容,引言定义与术语风险评估概述风险评估流程及模型风险评估实施资产识别脆弱性识别威胁识别已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录,标准内容：引言,提出了风险评估的作用、定位及目的。作用：过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面临的风险。定位建立信息安全保障机制中的一种科学方法。目的信息系统所有者：使用本标准为其选择安全措施，实施信息系统保护提供技术支持，依据本标准中提出的安全风险理念选择技术与管理控制措施；风险评估的实施者：依据本标准进行风险评估，依据本标准的判定准则，做出科学的判断。信息系统管理机构：依据本标准对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。,范围本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。规范性引用文件说明标准中引用到其他的标准文件或条款。术语和定义对标准中涉及的一些术语进行定义。,风险评估框架及流程,风险评估中各要素的关系,风险分析原理,（1）对资产进行识别，并对资产的价值进行赋值；（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；（6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。,风险评估实施(1),风险评估的准备（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）进行系统调研；（5）确定评估依据和方法；（6）获得最高管理者对风险评估工作的支持。,资产识别资产分类资产赋值:机密性、完整性、可用性三方面的赋值资产重要性等级威胁识别威胁分类威胁来源分类威胁赋值脆弱性识别识别内容：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。脆弱性赋值：等级赋值，技术脆弱性与管理脆弱性的结合。,风险评估实施(2),已有安全措施确认安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险分析计算安全事件发生的可能性计算安全事件发生后的损失计算风险值风险等级判定,风险评估实施(3),风险评估文件记录风险评估文件记录的要求风险评估文件的类型、多少风险评估方案资产识别清单重要资产清单威胁列表脆弱性列表风险评估报告风险处理计划,风险评估实施(4),信息系统生命周期各阶段的风险评估,规划阶段的风险评估设计阶段的风险评估实施阶段的风险评运行维护阶段的风险评估废弃阶段的风险评估每个阶段的实施内容稍有不同，目的和方法一致。,风险评估的工作形式,自评估适用于对自身的信息系统进行安全风险的识别、评价自评估可以委托风险评估服务技术支持方实施，也可以自行实施检查评估：一般由主管机关发起，通常都是定期的、抽样进行的评估模式旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内风险评估应以自评估为主，检查评估对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。,附录,风险的计算方法矩阵法：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。相乘法：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算。风险评估的工具风险评估与管理工具系统基础平台风险评估工具风险评估辅助工具,一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结,目录,现有风险评估方法综述（1）,定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的对比。基于系统安全模型体系的分析方法：针对某个典型的（或固定）的系统，建立其安全要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系。,现有风险评估方法综述（2）,定性分析方法定性分析方法一般适用于：a）风险识别；b）造成风险的原因分析；c）威胁发生所造成的影响分析等。例如：针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度；,现有风险评估方法综述（3）,定量分析方法以获取到或采取一定方法量化后得到的被调查对象的定量数据为基本材料，依据一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用于：a）确立威胁发生概率；b）预测系统风险发生概率；c）确立系统总体风险评价等。例如：对运行在某个平台上的不同主机、应用系统分别进行等价化的赋值，综合分析每个资产的威胁、脆弱性，得到各资产的风险量化值。,现有风险评估方法综述（4）,基于系统安全模型体系的分析方法在一般风险评估原理的指导下，针对被评估信息系统实际情况（包括：系统技术特性、组织特性、资产情况、安全假设、脆弱点、威胁、保护措施等）建立有针对性、合理的评估安全需求；同时建立评估指标体系、评估流程、评估模型，通过系统对评估要求的满足程度进行判断风险评估的指导作用。例如：网上政务安信息系统安全保障要求HIS系统安全保障要求实际固化了前期的资产识别、威胁分析，仅做审核、结论性判断。,1）资产识别与赋值2）资产的安全属性赋值及权重计算；3）威胁分析；4）薄弱点分析；5）已有控制措施分析；6）影响分析；7）可能性分析；8）风险计算；9）风险控制措施制定；,评估步骤,1、资产的识别,资产识别之前必须界定范围识别资产最简单的方法就是列出对组织或组织的特定部门的业务过程有价值的任何事物资产包括:数据与文档/书面文件/软件/实物资产/人员/服务,资产识别的类型,2、资产的安全属性赋值及权重计算,信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。,资产价值与信息安全特性的关系,例：对应用软件，其机密性表现在配置数据失密、账号口令信息失密、关键算法失密等。,资产价值与信息安全特性的关系,例：对应用软件，其完整性表现在配置数据被修改、软件被修改、数据被修改,资产价值与信息安全特性的关系,例：对应用软件，其完整性表现在软件故障、丧失控制权。,3、威胁分析与评价,对组织需要保护的每一项重要信息资产进行威胁识别应考虑:资产所处的环境条件资产以前遭受威胁损害的情况来判断:一项资产可能面临着多个威胁一个威胁可能对不同的资产造成影响威胁识别应确认威胁由谁或什么事物引发威胁可能来源于意外的，或有预谋的事件,威胁的识别与评价,威胁列表:空气中的悬浮颗粒/灰尘维护错误空调故障恶意软件存储媒体的老化用户身份的伪装电子邮件炸弹未授权网络访问地震操作人员的错误窃听供电波动环境污染否定或抵赖极端的温度和湿度软件故障通信服务故障员工短缺,威胁的识别与评价,威胁列表(续):火灾传输错误洪水软件未授权使用硬件故障存储媒体未授权使用软件的非法进/出口软件被未授权用户使用软件的非法使用软件以未经许可的方法使用工业活动用户错误闪电故意破坏通信电缆损坏资源滥用网络组件的故障盗窃电力供应故障飓风供应故障通信量超载,分析威胁与C,I,A之间的关系,例如:电脑遭遇黒客入侵资产是电脑威胁是黒客攻击薄弱点是口令强度不够等在考虑此威胁发生时,对此资产而言,最先遭破坏的是完整性,其次才是保密性或可用性。,4、薄弱点分析与评价,由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点。来自组织结构/人员/管理/程序/资产本身的缺陷应针对每一项信息资产，找出每一种威胁所能利用的薄弱点,有关实物和环境安全方面的薄弱点列表,例：常见系统薄弱点及其对应威胁,5、已有安全控制分析与确认,识别已经存在和策划了的安全控制对现有的和已计划好的控制加以确定，可以避免不必要的工作和费用应核查控制是否有效。移除？替换？增加？保留？现有的或已计划好的控制是否和将要采取的安全控制相一致？,6、威胁影响分析,评价威胁发生所造成的后果或潜在影响不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值(或重要度)为限。对影响的评估，应在脆弱性严重程度的基础上考虑。脆弱性越严重，表明被威胁利用后产生的后果越严重；被某个威胁利用的脆弱性越多，其造成的影响也越大。采用5个等级来描述影响程度，对不同的资产有不同评价原则。参考威胁影响程度判断准则,威胁影响程度判断准则,7、威胁的可能性分析,组织应根据专家意见或有关的统计数据来判断威胁发生的频率或者威胁发生的概率。,威胁发生的可能性受下列因素的影响:资产的吸引力资产转化成报酬的容易程度威胁的技术含量薄弱点被利用的难易程度,8、风险值的计算,威胁的风险值（RT）威胁的影响值(I)威胁发生的可能性(P),9、风险控制措施确定,组织根据风险评估的结果，确定不可接受风险的范围，制定风险处理计划，增加控制措施，从而降低风险。,安全控制的识别和选择：依据-风险评估的结果原则-费用与风险平衡构成-技术控制措施或管理控制措施,确定风险的等级和组织的可接受水平：,实施风险控制,风险确认与接受为确保组织的信息安全，残余风险应在可接受范围内,残余风险R(r)=原有风险R(0)-控制R残余风险R（r）=可接受风险R(t),安全控制实施,风险确认,接受,不接受,增加控制,风险控制曲线图,风险R,资产序列,原有风险曲线,可接受风险曲线,残余风险曲线,风险控制要点,风险是一个变数!要定期进行风险评估在以下情况进行临时评估当组织新增信息资产时当系统发生重大变更时发生严重信息安全事故时,一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结,目录,风险评估的输出结果,资产识别,4.1资产识别表,资产赋值,威胁分析,4.3资产威胁表,4.2重要资产赋值表,脆弱性分析,4.6不可接受风险处理计划表,影响、可能性分析,4.5信息资产综合风险值表,风险计算及评估结果,4.4脆弱性汇总表,风险评估报告,反映了：资产名称描述范围重要性程度部门所属业务流程,4.1资产识别表,风险评估的输出结果资产识别表,反映了：资产名称描述范围机密性、可用性、完整性评分等级资产与信息安全系数关系所属业务流程,4.2重要资产赋值表,风险评估的输出结果重要资产列表,反映了：资产名称面临的威胁类具体可能的威胁,4.3资产威胁表,风险评估的输出结果威胁列表,反映了：脆弱性分类（网络、操作系统、管理、数据库等）脆弱性的详细描述脆弱性的严重程度与威胁的对应关系可能影响的资产,4.4脆弱性汇总表,风险评估的输出结果脆弱性识别表,反映了：资产名称资产面临的威胁可能被威胁利用的脆弱电威胁发生的可能性威胁的影响程度,4.5信息资产综合风险值表,风险评估的输出结果资产风险表,反映了：资产名称威胁/薄弱点风险系数风险处理措施优先处理等级，等。,4.6不可接受风险处理计划表,风险评估的输出结果风险处理计划,风险评估报告评估方法信息系统分析与描述业务信息流分析资产识别与划分威胁分析安全风险分析与统计信息系统脆弱性评估报告：以资产为主线，描述各资产存在的脆弱性，包括：主要服务器操作系统、数据库系统应用系统网络与交换设备安全管理体系物理环境,4.7风险评估报告,风险评估的输出结果风险评估报告,一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结,目录,风险管理的目的和意义,信息安全风险管理是信息安全保障工作中的一项基础性工作。1、信息安全风险管理体现