信息安全风险评估与风险管理企业风险管理经典】

1、信息安全风险评估与风险管理 - 2 - All rights reserved 2006 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 目录 - 3 - All rights reserved 2006 信息安全的定义 机密性（integrity）： 确保该信息仅对已授权访问的人们才可访问 只有拥有者许可，才可被其他人访问 完整性（confidentiality）： 保护信息及处理方法的准确性和完备性； 不因人为的因素改变原有的内容，保证不被非法改动和销毁 可用性（availability）： 当要求时，即可使用信息和相关

2、资产。 不因系统故障或误操作使资源丢失。 响应时间要求、故障下的持续运行。 其他：可控性、可审查性 - 4 - All rights reserved 2006 Key words I 信息的保密性、完整性、可用性的保持。 对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性 的评估。 以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风 险的过程。 是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合 法使用所造成的危险。 - 5 - All rights reserved 2006 Key word II v威胁(Threat): 是指可能对资产或组织造成损害的

3、事故的潜在原因。 v薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。 v风险(Risk): 特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可 能性，即特定威胁事件发生的可能性与后果的结合。 - 6 - All rights reserved 2006 风险评估的目的和意义 认识现有的资产及其价值 对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估 通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全 现状 明确地看到当前安全现状与安全目标之间的差距 为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据

4、- 7 - All rights reserved 2006 信息系统风险模型 所 有 者 攻 击 者 对 策 漏 洞 风 险 威 胁 资 产 - 8 - All rights reserved 2006 风险计算依据 - 9 - All rights reserved 2006 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 目录 - 10 - All rights reserved 2006 国外相关信息安全风险评估标准简介（1） ISO 27001：信息安全管理体系规范、ISO 17799 信息安全管理实践指南 基于风

5、险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施 ； 提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体 的描述。 OCTAVE：Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework 卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全 风险评估方法 3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱 性、决定安全风险管理策略。 OCTAVE 实施指南（OCTAVESM Catalog of Practic

6、es, Version 2.0），该实施指 南阐述了具体的安全策略、威胁轮廓和实施调查表。 - 11 - All rights reserved 2006 AS/NZS 4360：1999 风险管理 澳大利亚和新西兰联合开发的风险管理标准 将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威 胁、风险发生可能性、造成的影响划分为不同的等级。 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。 ISO/IEC TR 13335信息技术安全管理指南 提出了风险评估的方法、步骤和主要内容。 主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计 算等过程。

7、 NIST SP800-30：信息技术系统风险管理指南 提出了风险评估的方法论和一般原则， 风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、 采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。 国外相关信息安全风险评估标准简介（2） - 12 - All rights reserved 2006 我国信息安全风险评估标准发展历程 2001年，随着GB/T 18336的正式发布，从风险的角度来认识、理解信息安全也逐步得 到了业界的认可。 2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行 研究。 2004年，提出了信息安全风险评估指南标

8、准草案 ，其规定了风险评估的一些内 容和流程，基本与SP800-30中的内容一致。 2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对 信息安全风险评估指南 进行了修改。 20052006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式 定名为：信息技术 信息安全风险评估规范。 - 13 - All rights reserved 2006 信息安全风险评估规范标准操作的主要内容 引言 定义与术语 风险评估概述 风险评估流程及模型 风险评估实施 资产识别 脆弱性识别 威胁识别 已有安全措施确认 风险评估在信息系统生命周期中的不同要求 风险评估的形式

9、及角色 附录 - 14 - All rights reserved 2006 标准内容：引言 提出了风险评估的作用、定位及目的。 作用： 过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分 析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面 临的风险。 定位 建立信息安全保障机制中的一种科学方法。 目的 信息系统所有者：使用本标准为其选择安全措施，实施信息系统保护提供技术支 持，依据本标准中提出的安全风险理念选择技术与管理控制措施； 风险评估的实施者：依据本标准进行风险评估，依据本标准的判定准则，做出科 学的判断。 信息系统管理机构：依据本标准对信息系统

10、及其管理进行安全检查，推动行业或 地区信息安全风险管理的实施。 - 15 - All rights reserved 2006 范围 本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统 生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。 规范性引用文件 说明标准中引用到其他的标准文件或条款。 术语和定义 对标准中涉及的一些术语进行定义。 - 16 - All rights reserved 2006 风险评估框架及流程 风险评估中各要素的关系 - 17 - All rights reserved 2006 风险分析原理 - 18 - All rights reser

11、ved 2006 （1）对资产进行识别，并对资产的价值进行赋值； （2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； （3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； （4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性； （5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失； （6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组 织的影响，即风险值。 - 19 - All rights reserved 2006 风险评估实施 (1) 风险评估的准备 （1）确定风险评估的目标； （2）确定风险评估的范围； （3）

12、组建适当的评估管理与实施团队； （4）进行系统调研； （5）确定评估依据和方法； （6）获得最高管理者对风险评估工作的支持。 - 20 - All rights reserved 2006 资产识别 资产分类 资产赋值 :机密性、完整性、可用性三方面的赋值 资产重要性等级 威胁识别 威胁分类 威胁来源分类 威胁赋值 脆弱性识别 识别内容 ：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安 全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。 脆弱性赋值 ：等级赋值，技术脆弱性与管理脆弱性的结合。 风险评估实施 (2) - 21 - All rights reserved

13、2006 已有安全措施确认 安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威 胁。 安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而 是一类具体措施的集合，为风险处理计划的制定提供依据和参考。 风险分析 计算安全事件发生的可能性 计算安全事件发生后的损失 计算风险值 风险等级判定 风险评估实施 (3) - 22 - All rights reserved 2006 风险评估文件记录 风险评估文件记录的要求 风险评估文件 的类型、多少 风险评估方案 资产识别清单 重要资产清单 威胁列表 脆弱性列表 风险评估报告 风险处理计划 风险评估实施 (4) -

14、23 - All rights reserved 2006 信息系统生命周期各阶段的风险评估 规划阶段的风险评估 设计阶段的风险评估 实施阶段的风险评 运行维护阶段的风险评估 废弃阶段的风险评估 每个阶段的实施内容稍有不同，目的和方法一致。 - 24 - All rights reserved 2006 风险评估的工作形式 自评估 适用于对自身的信息系统进行安全风险的识别、评价 自评估可以委托风险评估服务技术支持方实施，也可以自行实施 检查评估 ： 一般由主管机关发起，通常都是定期的、抽样进行的评估模式 旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内 风险评估应以自评估为主，检查

15、评估对自评估过程记录与评估结果的基础上，验证和 确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取 得的效果。 - 25 - All rights reserved 2006 附录 风险的计算方法 矩阵法 ：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经 验的判断方法。 相乘法 ：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简 单明确，直接按照统一公式计算 。 风险评估的工具 风险评估与管理工具 系统基础平台风险评估工具 风险评估辅助工具 - 26 - All rights reserved 2006 一、风险评估中的概念及模型 二、风险

16、评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 目录 - 27 - All rights reserved 2006 现有风险评估方法综述（1） 定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因 。 定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资 产的风险值，可以做到不同资产之间风险状况的对比。 基于系统安全模型体系的分析方法：针对某个典型的（或固定）的系统，建立其安 全要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系 。 - 28 - All rights reserved 2006

17、 现有风险评估方法综述（2） 定性分析方法 定性分析方法一般适用于： a）风险识别； b）造成风险的原因分析； c）威胁发生所造成的影响分析等。 例如： 针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度； - 29 - All rights reserved 2006 现有风险评估方法综述（3） 定量分析方法 以获取到或采取一定方法量化后得到的被调查对象的定量数据为基本材料，依据 一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用 于： a）确立威胁发生概率； b）预测系统风险发生概率； c）确立系统总体风险评价等。 例如： 对运行在某个平台上的不同主机、应用系统

18、分别进行等价化的赋值，综合分析每 个资产的威胁、脆弱性，得到各资产的风险量化值。 - 30 - All rights reserved 2006 现有风险评估方法综述（4） 基于系统安全模型体系的分析方法 在一般风险评估原理的指导下，针对被评估信息系统实际情况（包括：系统技术 特性、组织特性、资产情况、安全假设、脆弱点、威胁、保护措施等）建立有针 对性、合理的评估安全需求； 同时建立评估指标体系、评估流程、评估模型，通过系统对评估要求的满足程度 进行判断风险评估的指导作用。 例如： 网上政务安信息系统安全保障要求 HIS系统安全保障要求 实际固化了前期的资产识别、威胁分析，仅做审核、结论性判断

19、。 - 31 - All rights reserved 2006 1）资产识别与赋值 2）资产的安全属性赋值及权重计算； 3）威胁分析； 4）薄弱点分析； 5）已有控制措施分析； 6）影响分析； 7）可能性分析； 8）风险计算； 9）风险控制措施制定； 评估步骤 - 32 - All rights reserved 2006 1、资产的识别 资产识别之前必须界定范围 识别资产最简单的方法就是列出对组织或组织的特定部门的业务过程有价值的任何事 物 资产包括: 数据与文档/书面文件/软件/实物资产/人员/服务 - 33 - All rights reserved 2006 资产识别的类型 - 3

20、4 - All rights reserved 2006 2、资产的安全属性赋值及权重计算 信息资产分别具有不同的安全属性，机密性、完整性和可用性分别 反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制 、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基 本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产 的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化 。 - 35 - All rights reserved 2006 资产价值与信息安全特性的关系 等级等级 机密性机密性 1 资产对防止信息非授权泄露、 破坏方面的要求可以忽略

21、。 机密性价值或潜在影响可以忽略 2 资产对防止信息非授权泄露、 破坏方面的要求有限。 机密性价值较低，潜在影响可以忍 受，较容易弥补 3 资产对防止信息非授权泄露、 破坏方面的要求一般 机密性价值中等，潜在影响重大， 但可以弥补 4 资产对防止信息非授权泄露、 破坏方面的要求较高 机密性价值较高，潜在影响严重， 企业将蒙受严重损失，难以弥补 5 资产对防止信息非授权泄露、 破坏方面的要求很高 机密性价值非常关键，具有致命性 的潜在影响 例：对应用软件，其机密性表现在配置数据失密、账号口令信息失密、关键算 法失密等。 - 36 - All rights reserved 2006 资产价值与信

22、息安全特性的关系 等级等级完整性完整性 1 资产对防止信息非授权修改、 破坏方面的要求可以忽略。 完整性价值或潜在影响可以忽略 2 资产对防止信息非授权修改、 破坏方面的要求有限。 完整性价值较低，潜在影响可以忍 受，较容易弥补 3 资产对防止信息非授权修改、 破坏方面的要求一般 完整性价值中等，潜在影响重大， 但可以弥补 4 资产对防止信息非授权修改、 破坏方面的要求较高 完整性价值较高，潜在影响严重， 企业将蒙受严重损失，难以弥补 5 资产对防止信息非授权修改、 破坏方面的要求很高 完整性价值非常关键，具有致命性 的潜在影响 例：对应用软件，其完整性表现在配置数据被修改、软件被修改、数据被

23、修改 - 37 - All rights reserved 2006 资产价值与信息安全特性的关系 等级等级可用性可用性 1 资产对防止信息不可用方面的 要求可以忽略。 可用性价值或潜在影响可以忽略 2 资产对防止信息不可用方面的 要求有限。 可用性价值较低，潜在影响可以忍 受，较容易弥补 3 资产对防止信息不可用方面的 要求一般 可用性价值中等，潜在影响重大， 但可以弥补 4 资产对防止信息不可用方面的 要求较高 可用性价值较高，潜在影响严重， 企业将蒙受严重损失，难以弥补 5 资产对防止信息不可用方面的 要求很高 可用性价值非常关键，具有致命性 的潜在影响 例：对应用软件，其完整性表现在软

24、件故障、丧失控制权。 - 38 - All rights reserved 2006 3、威胁分析与评价 对组织需要保护的每一项重要信息资产进行威胁识别应考虑: v资产所处的环境条件 v资产以前遭受威胁损害的情况来判断: v一项资产可能面临着多个威胁 v一个威胁可能对不同的资产造成影响 v威胁识别应确认威胁由谁或什么事物引发 v威胁可能来源于意外的，或有预谋的事件 - 39 - All rights reserved 2006 威胁的识别与评价 威胁列表: 空气中的悬浮颗粒/灰尘 维护错误 空调故障 恶意软件 存储媒体的老化 用户身份的伪装 电子邮件炸弹 未授权网络访问 地震 操作人员的错误

25、窃听 供电波动 环境污染 否定或抵赖 极端的温度和湿度 软件故障 通信服务故障 员工短缺 - 40 - All rights reserved 2006 威胁的识别与评价 威胁列表(续): 火灾 传输错误 洪水 软件未授权使用 硬件故障 存储媒体未授权使用 软件的非法进/出口 软件被未授权用户使用 软件的非法使用 软件以未经许可的方法使用 工业活动 用户错误 闪电 故意破坏 通信电缆损坏 资源滥用 网络组件的故障 盗窃 电力供应故障 飓风 供应故障 通信量超载 - 41 - All rights reserved 2006 分析威胁与C,I,A之间的关系 例如:电脑遭遇黒客入侵 资产是电脑 威

26、胁是黒客攻击 薄弱点是口令强度不够等 在考虑此威胁发生时,对此资产而言,最先遭破坏的是完整性,其次才是 保密性或可用性。 - 42 - All rights reserved 2006 4、薄弱点分析与评价 v由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所 利用的弱点。 v来自组织结构/人员/管理/程序/资产本身的缺陷 v应针对每一项信息资产，找出每一种威胁所能利用的薄弱点 - 43 - All rights reserved 2006 有关实物和环境安全方面的薄弱点列表 薄弱点利用薄弱点的威胁 对建筑、房屋和办公室实物访问控 制的不充分或疏忽 故意破坏 对于建筑、

27、门和窗缺乏物理保护盗窃 位于易受洪水影响的区域洪水 未保护的储藏库盗窃 缺乏维护程序或维护作业指导维护人员操作失误 缺乏定期的设备更新计划存储媒体老化 设备缺乏必要防护措施 空气中的颗粒/灰 尘 设备对温度变化敏感或缺乏空调设 备 极端温度(高温或低 温) 设备易受电压变化的影响、不稳定 的高压输电网、确保供电保护设施 电压波动 - 44 - All rights reserved 2006 例：常见系统薄弱点及其对应威胁 - 45 - All rights reserved 2006 5、已有安全控制分析与确认 v识别已经存在和策划了的安全控制 v对现有的和已计划好的控制加以确定，可以避免不

28、必要的工作和费用 v应核查控制是否有效。移除？替换？增加？保留？ v现有的或已计划好的控制是否和将要采取的安全控制相一致？ - 46 - All rights reserved 2006 6、威胁影响分析 n 评价威胁发生所造成的后果或潜在影响 n不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同， 但损失的程度应以资产的相对价值(或重要度)为限。 n对影响的评估，应在脆弱性严重程度的基础上考虑。脆弱性越严重，表明被威 胁利用后产生的后果越严重；被某个威胁利用的脆弱性越多，其造成的影响也越 大。 n采用5个等级来描述影响程度，对不同的资产有不同评价原则。 n参考威胁影响程度判断

29、准则 - 47 - All rights reserved 2006 威胁影响程度判断准则 威胁影响保密性（C）客户对业务/服务的影响 C I/AI/A 1 公开信息几乎无影响几乎不影响 2内部公开信息 对单次合同产生负面 影响 影响单项业务，且 可立即恢复 3敏感信息 可能导致一次中小合 同流失 影响单项业务，可 部分恢复 4 属于组织秘密， 泄漏会引起经济 赔偿 可能导致数次中小合 同或一次大合同失败， 引起经济赔偿 导致系统资源故障， 影响大部分业务 5 属于组织机密， 泄漏会引起法律 诉讼及经济赔偿 可能导致客户或合作 伙伴的丢失，引起法 律诉讼及经济赔偿 2天以上业务内无法 恢复 -

30、 48 - All rights reserved 2006 7、威胁的可能性分析 组织应根据专家意见或有关的统计数据来判断威胁发生的频率或者威胁发生 的概率。 威胁发生的可能性受下列因素的影响: v资产的吸引力 v资产转化成报酬的容易程度 v威胁的技术含量 v薄弱点被利用的难易程度 - 49 - All rights reserved 2006 赋值描述说明 5很高预期在大多数情况下发生，不可避免（90%） （或1 次/周） 4高 （很可能） 在大多数情况下，很有可能会发生（50% 90%） （或 1 次/月） 3中等 （可能） 在某种情况下或某个时间，可能会发生（20% 50%） （或 1

31、 次/半年） 2低 （不太可能） 发生的可能性很小，不太可能（20%） 1极低仅在非常例外的情况下发生，非常罕见，几乎不可能 （0%1%） - 50 - All rights reserved 2006 8、风险值的计算 威胁的风险值（RT）威胁的影响值(I)威胁发生的可能性(P) - 51 - All rights reserved 2006 9、风险控制措施确定 组织根据风险评估的结果，确定不可接受风险的范围，制定风险处 理计划，增加控制措施，从而降低风险。 安全控制的识别和选择： 依据-风险评估的结果 原则-费用与风险平衡 构成-技术控制措施或管理控制措施 确定风险的等级和组织的可接受水

32、平： - 52 - All rights reserved 2006 实施风险控制 风险确认与接受 为确保组织的信息安全，残余风险应在可接受范围内 残余风险R(r)=原有风险R(0)-控制R 残余风险R（r）=可接受风险R(t) 安全控制 实施 风险确认 接受 不接受 增加控制 - 53 - All rights reserved 2006 风险控制曲线图 风险R 资产序列 原有风险曲线 可接受风险曲线 残余风险曲线 - 54 - All rights reserved 2006 - 55 - All rights reserved 2006 - 56 - All rights reserve

33、d 2006 风险控制要点 风险是一个变数! v要定期进行风险评估 v在以下情况进行临时评估 当组织新增信息资产时 当系统发生重大变更时 发生严重信息安全事故时 - 57 - All rights reserved 2006 一、风险评估中的概念及模型 二、风险评估标准 三、风险评估流程与方法 四、风险评估的输出结果 五、风险管理 六、总结 目录 - 58 - All rights reserved 2006 风险评估的输出结果 资产识别4.1 资产识别表 资产赋值 威胁分析 4.3 资产威胁表 4.2 重要资产赋值表 脆弱性分析 4.6不可接受风险处理 计划表 影响、可能性 分析 4.5信息

34、资产综合风险 值表 风险计算及评 估结果 4.4 脆弱性汇总表 风 险 评 估 报 告 - 59 - All rights reserved 2006 反映了： 资产名称 描述范围 重要性程度 部门 所属业务流程 4. 1 资产识别表 风险评估的输出结果资产识别表 - 60 - All rights reserved 2006 反映了： 资产名称 描述范围 机密性、可用性、完整性评分等级 资产与信息安全系数关系 所属业务流程 4.2 重要资产赋值表 风险评估的输出结果重要资产列表 - 61 - All rights reserved 2006 反映了： 资产名称 面临的威胁类 具体可能的威胁

35、4.3 资产威胁表 风险评估的输出结果威胁列表 - 62 - All rights reserved 2006 反映了： 脆弱性分类（网络、操作系统、管理、数据库等） 脆弱性的详细描述 脆弱性的严重程度 与威胁的对应关系 可能影响的资产 4.4 脆弱性汇总表 风险评估的输出结果脆弱性识别表 - 63 - All rights reserved 2006 反映了： 资产名称 资产面临的威胁 可能被威胁利用的脆弱电 威胁发生的可能性 威胁的影响程度 4.5信息资产综合风险值表 风险评估的输出结果资产风险表 - 64 - All rights reserved 2006 反映了： 资产名称 威胁/薄弱点 风险系数 风险处理措施 优先处理等级，等。 4.6不可接受风险处理计划表 风险评估的输出结果风险处理计划 - 65 - All rights reserved 2006 风险评估报告 评估方法 信息系统分析与描述 业务信息流分析 资产识别与划分 威胁分析 安全风险分析与统计 信息系统脆弱性评估报告：以资产为主线，描述各资产存在的脆弱性，包括 ： 主要服务器操作系统、数据库系统 应用系统 网络与交换设备 安全管理体系 物理环境 4.7 风险评估报告 风险评估的输出结果风险评估报告 - 66 - All