信息安全风险度量和计算

基于积分卡的风险计算模型,林明峰,1,2,风险计分卡从四个维度逻辑关系表明了风险评价的过程,公司风险的整体目标,驱动,成果,3,风险计分卡确保了组织战略的层层传递,Top-downDesign自上而下的规划,SBU风险计分卡,部门与业务系统风险计分卡,公司总部风险计分卡,Bottom-upexecution自下而上的执行,设备风险计分卡,横向协同,横向协同,横向协同,风险管理组织结构（SecureCMDB）,4,业务条线,IT运维条线,安全事件,系统漏洞,企业风险,管理风险,风险管理风险值计算结构,5,1,5,2,漏洞,事故,运作,企业,1,5,2,1,5,2,1,5,2,1,5,2,5,5,5,6,企业管理风险（ERM）,一、风险评估的三个基本概念（一）固有风险和剩余风险固有风险：管理当局未采取任何措施的情况下所面临的风险。剩余风险：管理当局采取应对措施后所残余的风险。（二）可能性和影响风险评估主要对风险进行两方面的分析：可能性和影响可能性：风险可能发生的程度或发生的概率影响：风险发生后对企业造成的损失或带来的负面影响。（三）计量尺度顺序计量、间隔计量、比例计量（四）注册风险库注册可能出现的风险项目和类型,2、定性分析法直接用文字描述风险发生的可能性以及风险对目标的影响程度，有较强的主观性。步骤：（1）确定潜在事项发生的可能性（2）确定风险影响等级，确定风险等级（3）根据（1）、（2）编制风险矩阵,企业管理风险采用的方式,对风险发生可能性的高低和风险对目标的影响程度进行定性评价后，依据评价结果绘制风险坐标图。例如某公司对9项风险事项进行了定性评价，评价结果和风险坐标图如下所示：,某公司风险坐标图,11,说明(以固有风险绘制):1人力资源风险2财务风险3竞争风险4产品开发风险5客户信用风险6系统故障风险7外汇风险8欺诈风险9政治风险10投资风险11采购风险,影响程度,极低,低,中等,高,极高,极高,高,中等,低,极低,1,8,10,7,3,4,6,2,11,5,9,可能性,风险发生可能性的高低、风险发生后对目标的影响程度作为两个维度绘制在一个平面上（即绘制成直角坐标系）。,12,极低低中等高极高影响程度,可能性,2,8,5,承担A区域中的各项风险且不再增加控制措施严格控制B区域中的各项风险且专门补充制定各项控制措施确保规避和转移C区域中的各项风险且优先安排实施各项防范措施,3,4,1,7,6,9,风险坐标图中各项控制措施,风险坐标图法风险坐标图法是在统计分析和经验判断的基础上把风险发生的可能性的高低、风险发生后对目标影响程度的大小作为两个维度绘制在同一直角坐标系内。1、风险发生可能性及对目标影响的定性分析2、针对一个单一资产的风险值计算过程：所有C区的高风险值累加后的平均值：例如：风险1=4*4=16风险2=4*5=20那么单个资产值(16+20)/2=18,14,运维管理模块的风险值计算过程,15,安全运维过程的风险值评估,16,安全事故的风险值计算方式,安全事故风险评价,风险值是风险评价表征量，包括事故的发生概率和事故的危害程度。定义为：,测量单位时间为周后果为事故的严重程度，取事件中严重程度当事故被解决后，将从风险值计算过程中去除。,18,技术漏洞的评估与计算方式,量化的漏洞和风险评估,风险等级：1,风险等级：2,风险等级：3,风险等级：4,风险很高，导致系统受到非常严重影响，需要紧急处理,风险高，导致系统受到严重影响,风险中，导致系统受一般影响,风险低，进行提示即可,技术漏洞的量化风险采用CVSS通用弱点评价体系参考信息安全风险评估指南国家标准将资产价值、弱点、保护等级相结合,资产风险值为风险等级为最高级别漏洞风险值。,漏洞风险值的计算过程,20,21,CVSS,CVSS(CommonVulnerabilitySecurityScoring)BaseMetrics（基本度量）accesslocation,accesscomplexity,authentication,CIAimpactTemporalMetrics（时效性）Exploitability,RemediationLevel(Patch,etc),ConfidenceinAvailableDataEnvironmentalMetrics(环境因素）CollateralDamage,TargetDistributionSee/cvss/,UseCVSSequationsBaseScore,Computevaluesattheclasslevel,theCWEentries.TakeCWE“CommonConsequences”whicharebasedonCIAanduseCVSSbasescoreformulasforCIA(None,Partial,Full)tocomputeanumericalCWEimpactCWEImpact=10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact)XImpact=caseXImpactofnone:0.0,partial:0.275,complete:0.660ComputevaluesatthecodecontextlevelUseCVSSbasescoreformulasforAccessVector(Local,Adjacent,Network),AccessComplexity(High,Medium,Low),andAuthentication(Multiple,Single,None)tocomputeexploitability.ContextExploitability=20*AccessVector*AccessComplexity*AuthenticationAccessVector=caseAccessVectorofrequireslocalaccess:0.395,adjacentnetworkaccessible:0.646,networkaccessible:1.0AccessComplexity=caseAccessComplexityofhigh:0.35,medium:0.61,low:0.71Authentication=caseAuthenticationofrequiresmultipleinstancesofauthentication:0.45,requiressingleinstanceofauthentication:0.56,requiresnoauthentication:0.704ComputeWeaknessBaseScoreWeaknessBaseScore=round_to_1_decimal(0.6*CWEImpact)+(0.4*ContextExploitability)1.5)*f,UseCVSSequationsTemporalScore,CVSSTemporalscoreaddsthenotionofthreatbasedonproofofexploitability,availabilityoffix,andreportconfidence.TemporalScore=round_to_1_decimal(BaseScore*Exploitability*RemediationLevel*ReportConfidence)Exploitability=caseExploitabilityofunproven:0.85,proof-of-concept:0.9,functional:0.95high:1.00,notdefined:1.00RemediationLevel=caseRemediationLevelofofficial-fix:0.87,temporary-fix:0.90,workaround:0.95,unavailable:1.00,notdefined:1.00ReportConfidence=caseReportConfidenceofunconfirmed:0.90uncorroborated:0.95confirmed:1.00notdefined:1.00Cancreatethenotionofthreatbasedonhowlikelythisweaknessittrueandlikelyhooditwillbeexploitedbyattackers.CallitLikelihoodScore.LiklyhoodScore=round_to_1_decimal(WeaknessBaseScore*CWELikelyhoodOfExploit*ReportConfidence)CWELikelyhoodOfExploit=caseCWELikelyhoodOfExploitofverylo