计算机网络安全风险管理

计算机网络安全风险管理,一、概述,风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预报有雨时带伞或将事情记录下来以免遗忘，这些日常活动都可以归入风险管理的范畴。人们会意识到针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。风险管理是安全性的一个重要方面，但风险管理不只是包含恐惧、不确定性和怀疑（FUD）。在评判一个安全计划时，应重点考虑直接在资产负债表上导致美元收入的安全收益，它是相对于风险管理的重要对应物。,一、概述,本课程为各种类型的客户计划、建立和维护一个成功的安全风险管理计划。说明如何在四阶段流程中实施风险管理计划中的各个阶段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。,二、安全风险管理介绍,（一）风险管理的核心作用所谓风险管理就是识别风险、选择对策、实施对策以消减风险.最终保证信息资产的保密性、完整性、可用性能够满足目标要求的这样一个过程。简单的说风险管理就是识别风险、评估风险，采取措施将风险减到可接受水平，并维持这个风险水平的过程。,二、安全风险管理介绍,个人隐私,经营状况,资产,知识产权,资产识别,商务联系,管理制度,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,二、安全风险管理介绍,风险管理周期模型,二、安全风险管理介绍,（二）风险管理的基本概念资产（Asset）任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。对资产的评估要从价值、重要性或敏感度等方面来考虑。威胁（Threat）就是可能对资产或组织造成损害的意外事件的潜在原因，即某种威胁源（threatsource）或威胁代理（threatagent）成功利用特定弱点对资产造成负面影响的潜在可能。威胁类型包括人为威胁（故意和无意）和非人为威胁（自然和环境）。识别并评估威胁时需要考虑威胁源的动机和能力。风险管理关心的是威胁发生的可能性。,二、安全风险管理介绍,弱点（Vulnerability）也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。风险管理过程中要识别弱点，并评估弱点的严重性和可被利用的容易程度。风险（Risk）特定威胁利用资产的弱点给资产或资产组带来损害的潜在可能性.单个或者多个威胁可以利用单个或者多个弱点。风险是威胁事件发生的可能性与影响综合作用的结果。可能性（Likelihood）对威胁事件发生的几率（Probability）或频率（Frequency）的定性描述。,二、安全风险管理介绍,影响（Impact）或者是后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）也称作控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidualRisk）在实施安全措施之后仍然存在的风险。,二、安全风险管理介绍,风险管理各要素之间的关系,弱点暴露了具有价值的资产,威胁对弱点加以利用，从而造成负面影响，由此导致风险.正是因为风险的存在，我们才提出了安全需求，为了实现需求，必须采取安全措施，以便防范威胁并减少风险。风险管理的整个过程就是在这些要素间相互制约相互作用的关系中得以进展的。,三、风险管理的前期准备,（一）确定信息安全目标和战略安全目标决定了组织能够接受的风险水平和所满足的安全程度。,应该考虑的问题,组织承担着哪些重点活动,哪些任务只能在IT的帮助下完成,必须依赖信息的保密性、完整性和可用性,哪些机密信息需要保护,意外发生后对组织的影响,三、风险管理的前期准备,目标,信心,产品,信誉,服务,信息资料,雇员,消费者,客户,受益人,保护数据,保密性,恶意使用,误用,欺诈,法规,主题,风险评估战略和方法,信息安全策略的需求,系统安全操作程序的需求,信息敏感性分类方案,连接时需要满足的条件和检查方法,事件处理方案,只有事先确定了风险评估的途径，风险评估和风险分析才能有据而行,三、风险管理的前期准备,（二）建立信息安全策略（InformationSecurityPolicy）,总体方针,特定问题策略（Issue-SpecificPolicy）,特定系统策略（System-SpecificPolicy）,组织对信息安全的基本认识,组织的安全目标和战略，包括对法律法规遵守的考虑,组织信息安全所涉及的范围,信息安全的组织构架和责任认定,信息资产的分类模式,风险管理的途径,信息资产分类方案,关于信息安全管理的其他全局约定,四、评估风险,（一）风险评估的概念1、概念风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。2、作用风险评估（RiskAssessment）是组织确定信息安全需求的一个重要途径，属于组织安全管理策划的过程。,四、评估风险,风险评估的任务,识别组织面临的各种风险,评估风险概率和可能带来的负面影响,确定组织承受风险的能力,确定风险消减和控制的优先等级,推荐风险消减对策,首先、要确定保护的对象（保护资产）是什么？它们直接和间接价值？其次、资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？第三、资产中存在哪里弱点可能会被威胁所利用？利用的容易程序又如何？第四、一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？最后、组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序,四、评估风险,3、风险评估的几个对应关系（1）每项资产可能面临多种威胁（2）威胁源（威胁代理）可能不止一个（3）每种威胁可能利用一个或多个弱点,四、评估风险,（二）风险评估的可行途径1、基线评估（BaselineRiskAssessment）：（1）适用范围：组织的商业运作不是很复杂，对信息处理和网络的依赖性不是很高，或者组织信息系统多采用普遍且标准化的模式。（2）评估策略：根据组织实际的情况，对信息系统进行基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出差距），得出基本的安全需求。通过选择并实施标准的安全措施来消减风险和控制风险。,四、评估风险,（3）什么是安全基线：在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，使系统能达到一定的安全防护水平。（4）可选择标准：国际标准和国家标准，例如BS7799-1、ISO13335-4行业标准或推荐，例如德国联邦安全局IT基线保护手册来自其他有类似商务目标和规模的组织的惯例。,四、评估风险,（5）优点：需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估是最经济有效的风险评估途径。（6）缺点：基线的高低水平难以设定，过高可能导致资源浪费限制过度；过低又会造成难以达到充分的安全。在管理安全相关的变化方面，基线评估比较困难。,四、评估风险,2、详细评估：（1）概念：对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。即识别资产的风险并将风险降到可接受的水平，以此证明管理者所采用的安全措施是恰当的。（2）优点：组织对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求。详细评估的结果可以用来管理安全变化。,四、评估风险,（3）缺点：可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。,四、评估风险,3、组合评估：（1）方式：采用基于基线评估与详细评估两者之间的评估方式。（2）方法：组织应先对所有系统进行一次初步的高级风险评估。着眼与信息系统的商务价值和可能面临的风险，识别出组织内具有高风险或对其商务运作极为关键的信息资产（或系统），这些资产或系统应划分在详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。,四、评估风险,（3）优点：节省详细评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。（4）缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。,四、评估风险,（三）风险评估的常用方法1、基于知识（Knowledge-based）的分析方法基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关的信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比例，从中找出不符合的地方，并按照标准或最佳惯例的推荐安全措施，最终达到消减和控制风险的目的。,四、评估风险,基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：会议讨论对当前的信息安全策略和相关文档进行复查制作问卷，进行调查对相关人员进行访谈进行实地考察,四、评估风险,2、基于模型（Model-based）的分析方法2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发CORAS项目。CORAS沿用了识别风险、分析风险、评价并处理风险这样的过程，但其试题风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。优点：提高对安全相关我描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加了不同评估方法互操作的效率。,四、评估风险,3、定量（Quantitative）分析对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当试题风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被值，风险评估的整个过程和结果都可以被量化。,四、评估风险,定量分析的几个概念1、暴露因子（ExposureFactor,EF）:特定威胁对特定资产靠损失的百分比，或者说损失的程度。2、单一损失期望（singleLossExpectancy,SLE）:也称作SOC（SingleOccurrenceCosts）,即特定威胁可能造成的潜在损失总量。3、年度损失期望（AnnualizedLossExpectancy,ALE）：或者称作EAC（EstimatedAnnualCost），表示特定资产在一年内遭受损失的预期值。,四、评估风险,几个概念的关系（1）首先，识别资产并为资产赋值（2）通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%100%之间）（3）计算特定威胁发生的频率，即ARO（4）计算资产的SLE：（5）计算资产的ALE：,四、评估风险,4、定性（Qualitative）分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级。,四、评估风险,（四）风险评估工具1、调查问卷2、检查列表3、人员访谈4、漏洞扫描器5、渗透测试,四、评估风险,（五）风险评估的基本过程风险评估是组织确定信息安全需求的过程，包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。,四、评估风险,（五）风险评估的基本过程,四、评估风险,1、计划和准备（1）目标：开展风险评估活动的目有，期望得到的输出结果，关键的约束条件（时间、成本、技术、策略、资源等）（2）范围和边界：既寂的风险评估可能只针对组织全部资产（包括其弱点、威胁事件和威胁源等）的一个子集，评估范围必须首先明确。此外，必须定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深度，而物理系统边界则定义了一个系统起于哪里止于何处。,四、评估风险,（3）系统描述：进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识，必须识别评估边界内所有的系统。（4）角色和责任：组织应该成产一个专门的风险评估小组。（5）风险评估行动计划：确定风险评估的途径和方法，计划评估步骤。（6）风险接受标准：事先明确组织能够接受的风险的水平或者等级,四、评估风险,（7）风险评估适用表格：为风险评估过程拟订标准化的表格、模板、问卷等材料。风险评估计划应该包括以下内容：（1）目标：开展风险评估活动的目的，期望得到的输出结果，关键的约束条件（时间、成本、技术、策略、资源等）（2）范围和边界：（3）系统描述：（4）角色和责任：（5）风险评估行动计划：（6）风险接受标准（7）风险评估适用表格：,四、评估风险,信息采集途径：（1）专家经验（2）集体讨论或小组讨论（3）人员访谈（4）调查问卷（5）文件审核（包括政策法规、安全策略、设计文档、操作指南、审计记录等）（6）以前的审计和评估结果（7）对外部案例和场景的分析（8）现场戡查,四、评估风险,2、识别并评价资产资产识别考虑的问题（1）数据与文档：数据库和数据文件、系统文件、用户手册、培训资料、运作和支持程序、应急计划等。（2）书面文件：合同、策略方针、企业文件、保持重要商业结果的文件。（3）软件资产：应用软件、系统软件、企业文件、保持重要商业结果的文件。（4）实物资产：计算机和通信设备，磁介质（磁带和磁盘），其他的技术型设备（电源、空调），家具，场所。,四、评估风险,（5）人员：承但特定职能责任的人员。（6）服务：计算和通信服务，其他技术型服务（供热、照明、动力等）。（7）组织形象与声誉：这是一种无形资产列入评估清单的信息资产，一定要是在评估范围内且与商务过程相关的资产，否则，一方面清单过于庞大不便分析，另一方面，分析结果也会失去准确性和本应有的意义。,四、评估风险,按照定量分析的思想，应该确定资产的货币价值，在定义相对价值时，需要考虑。（1）信息资产因为受损而对商务造成的直接损失。（2）信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力。（3）信息资产受损对其他部门的业务造成的损失。（4）组织在公众形象和名誉上的损失。（5）因为商务受损导致优势降级而引发的间接损失。（6）其他损失，例如保险费用的增加。,四、评估风险,3、识别并评估威胁（1）人员威胁：包括故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（比如误操作、维护错误）（2）系统威胁：系统、网络或服务的故障（软件故障、硬件故障、介质老化）（3）环境威胁：电源故障、污染、液体泄漏、火灾等。（4）自然威胁：洪水、地震、台风、滑坡、雷电,四、评估风险,4、识别并评估弱点（1）技术性弱点：系统、程序设备中存在的漏洞或缺陷，比如结构设计问题和编程漏洞；（2）操作性弱点：软件和系统在配置、操作、使用中的缺陷。包括人员日常工作中的不良习惯，审计或备份的缺乏。（3）管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。,四、评估风险,5、识别并评估现有的安全措施目标和针对性（1）管理性：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期（2）操作性：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。（3）技术性：身份识别与认证、逻辑访问控制、日志审计、加密等。,四、评估风险,从控制功能分类：（1）威慑性：可以降低蓄意攻击的可能性，实际上针对的是威胁源的动机。（2）预防性：保护弱点，使攻击难以成功，或者降低攻击造成的影响。（3）检测性：可以检测并及时发现攻击活动，还可以激活纠正性或预防性控制（4）纠正性：可以使攻击造成的影响减到最小,四、评估风险,安全措施（控制）应对风险各要素的情况,四、评估风险,6、评估风险威胁的可能性：,四、评估风险,风险等级,四、评估风险,风险分析矩阵,四、评估风险,7、推荐控制措施风险评估结束后，应该提供详细的评估报告，内容包括：（1）概述，包括评估目的、方法、过程等（2）评估结果，包括资产、威胁、弱点和现有控制措施的评估等级，以及最终的风险评价等级。（3）推荐安全控制措施，提出建议性的解决方案,五、风险消减,（一）确定风险消减策略1、降低风险（ReduceRisk）减少威胁减少弱点降低影响2、规避风险（AvoidRisk）3、转嫁风险（TransferRisk）4、接受风险（AcceptRisk）,五、风险消减,五、风险消减,（二）选择安全措施1、约束条件（1）经济约束（2）时间约束（3）技术约束（4）社会约束（5）环境约束（6）法律约束,五、风险消减,2、安全措施选择列表,五、风险消减,（三）制定安全计划1、包含内容：安全目标风险管理战略和风险评估途径已识别的风险和风险等级（包括对威胁和弱点的叙述）推荐的安全措施（包括现有的措施）风险消减策略和残留风险的接受标准选定的安全措施，确定措施的优先级预期实施成本（包括人力、所需资源等）列举责任人员确定时间期限（按优先级可分为短期、中期、长期）和里程碑报告程序的定义跟进活动，例如相关的培训、维护建议等。对可能困难的考虑,五、风险消减,2、安全措施选择列表,五、风险消减,（四）实施安全计划（五）检查和测试,六、风险控制,（一）维护（Maintenance）1、检查日志文件2、修改调整必要的参数，以反应变化需求3、更新版本4、安装补丁,六、风险控制,（二）监视（Monitoring）1、监视资产引起资产变化的原因：组织商务目标的变动系统中运行的应用程序的变化受处理的信息变化设备的变化2、监视威胁3、监视弱点4、监视安全措施,六、风险控制,（三）事件响应（IncidentResponse）也称作应急响应，就是对计算机系统中出现的突发事件作出响应。所谓突发事件，就是突然干扰或打断系统的正常运行，使其陷入某种级别危机的事件，比如黑客入侵、拒绝服务攻击、未经授权的网络通信和系统操作等。,六、风险控制,目标：鉴别突发事件的发生和性质，确定响应战略采集准确的信息进行分析对信息获取和证据管理加以控制保护法律和政策中规定的相关内容，比如隐私权使系统、网络和业务操作过程客观存在到的影响最小必要时对事件发起者提起诉讼提供准确的报告和合理建议,六、风险控制,事件响应过程经历的几个阶段准备检测初始响应通知评估处理恢复报告后续行动,六、风险控制,（四）安全意识、培训和教育1、三个层次安全意识（Sec