安全风险评估课件

信息系统风险评估北京邮电大学信息安全中心主讲人：崔宝江博士cuibj@2006年4月信息系统风险评估一.概述二.风险评估内容和方法三.风险评估实施过程四.风险评估实践和案例五.风险评估工具六.小结风险的定义普通字典的解释风险：遭受损害或损失的可能性AS/NZS4360：澳大利亚/新西兰国家标准风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。ISO/IECTR13335-1:1996安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全领域信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。

网络中存在的安全威胁

网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫企事业单位对信息系统依赖性增强安全威胁和风险无处不在组织自身业务的需要客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求法律法规的要求计算机信息系统安全保护条例互联网安全管理办法知识产权保护信息安全等级保护风险管理必要性风险评估和管理的安全标准体系审计通信密码支持用户数据保护标识与鉴别安全管理安全功能保护资源利用评估对象访问可信信道恶意代码防范脆弱性管理安全技术安全生命周期设计阶段实施阶段运维阶段1级：用户自主保护级2级：系统审计保护级3级：安全标记保护级4级：结构化保护级5级：访问验证保护级安全级别安全评估和管理安全策略安全组织资产的分类与控制人员安全物理和环境安全通信和操作管理访问控制系统开发与维护业务连续性法律依从GB/T17859GA/T388－2002ISO/IEC15408GB/T18336BS7799SSE-CMMISO/IECTR13335GAO/AIMD-99-139NISPSP800-30OCTAVEAS/NZS4360信息安全管理标准体系BS7799和ISO17799由英国标准协会BSI制定的信息安全管理体系标准，后发布为国际ISO标准GAO/AIMD98-68和GAO/AIMD99-139：美国审计总署GAO发布的信息安全管理实施指南和信息安全风险评估指南NISTSP800-30美国国家标准和技术学会NIST的信息技术实验室ITL发布的IT系统风险管理指南OCTAVE卡耐基梅隆大学软件工程研究所CMU/SEI创建的可操作的关键威胁、资产和弱点评估方法和流程SSE-CMM美国国家安全局NSA等启动的信息安全工程能力成熟度模型AS/NZS4360澳大利亚和新西兰发布的风险管理指南COBIT美国信息系统审计和控制委员会ISACA的信息系统和技术控制目标GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则信息安全管理标准概述信息安全管理标准体现的原则制定信息安全方针为信息安全管理提供导向和支持预防控制为主的思想原则全员参与原则动态管理原则遵循管理的一般循环模式—PDCA持续改进模式控制目标和控制方式的选择建立在风险评估基础之上风险评估是风险管理的第一步安全问题（风险评估）安全需求BS7799控制措施BS7799控制目标保护措施保护措施提出/确定由…实现选择安全措施信息安全风险评估和风险管理信息安全风险评估和风险管理风险评估是信息安全管理体系和信息安全风险管理的基础信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动使得机构能够准确“定位”风险管理的策略、实践和工具能够将安全活动的重点放在重要的问题上能够选择成本效益合理的和适用的安全对策信息安全风险评估和风险管理风险评估－确定安全风险及其大小的过程风险分析系统地使用信息以识别起源并估计风险风险评价将评估的风险与给的风险原则进行比较以决定重大风险的过程风险处理修改风险手段的选择和实施的处理过程信息安全风险评估对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响风险评估解决的问题要保护的对象（或资产）是什么？它的直接和间接价值如何？资产面临那些潜在威胁？导致威胁的问题何在？威胁发生的可能性有多大？资产中存在哪些脆弱点可能被利用？利用的难易程度如何？安全事件发生，组织会遭受怎样的损失或面临怎样的负面影响？组织应采取怎样的安全措施来有效控制风险？风险评估的目的明确信息系统的安全现状，明晰安全需求确定信息系统的主要安全风险，选择风险处置措施指导组织信息系统安全技术体系与管理体系建设信息系统风险评估一.概述二.风险评估内容和方法三.风险评估实施过程四.风险评估实践和案例五.风险评估工具六.小结风险评估的历史信息基础设施的评估阶段薄弱点评估渗透性评估风险评估标准体系阶段从操作系统、网络发展到整个管理体系解决信息安全问题重点在于预防风险的要素资产及其价值威胁脆弱性现有的和计划的控制措施(对策)风险要素之间的关系资产可能意识到引起增加利用导致攻击者威胁所有者风险脆弱性对策可能被减少利用价值希望最小化希望滥用或破坏可能具有减少到到风险要素之间的关系资产拥有者威胁来源信息资产威胁脆弱性安全风险(风险值)

对策风险的要素－资产资产是任何对组织有价值的东西资产的分类软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等其他：公司形象、公司信誉和客户关系风险的要素－威胁威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果威胁举例自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问）环境威胁：长时间电力故障、污染、化学、液体泄漏等。风险的要素－脆弱性与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞配置不当程序Bug专业人员缺乏弱口令缺乏安全意识后门资产、威胁和脆弱性对应关系资产威胁A威胁B来源A1来源A2来源B1来源B2脆弱点A1脆弱点A2。。。。。。。。。。。。。。。。。。脆弱点B1脆弱点B2。。。。。。每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点风险分析方法目前并没有使用所谓正确或错误的方法重要的是选择使用一个适合本组织的方法许多方法都会使用表格并结合主观和经验判断同一组织内，也可以根据不同等级的风险，运用不同的风险分析方法对信息安全的评估很难量化风险评估方法概述定性分析定量分析综合方法风险评估方法概述定性分析适用于：初始的筛选活动，以鉴定出需要更仔细分析的风险风险程度和经济上的考虑数据不足以进行定量分析的情况定性分析：对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）分析的有效性取决于所用的数值精确度和完整性。定性的风险分析风险分析矩阵—风险程度

可能性

后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险H：高风险M：中等风险L:低风险定性的风险分析E：极度风险---要求立即采取措施H：高风险-----需要高级管理部门的注意M：中等风险---必须规定管理责任L:低风险-----用日常程序处理风险的处理措施（示例）定性的风险分析

定量分析：对后果和可能性进行分析采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）分析的有效性取决于所用的数值精确度和完整性。定量分析适用于：当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级定量的风险分析年度化损失运算表（频率）不可能0.0300年一次1/3000.00333200年一次1/2000.003100年一次1/1000.0150年一次1/500.0225年一次1/250.045年一次1/50.20定量的风险分析简易的定量计算公式：资产价值（v)乘以可能性（L）可以得出ALE（年度风险损失），即：

ALE=VL定量的风险分析半定量分析：在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度，但并非要提出任何在定量分析中所得到的风险实际值。半定量分析定性风险分析的优点

1.简易的计算方式

2.不必精确算出资产价值

3.不需得到量化的威胁发生率

4.非技术或非安全背景的员工也能轻易参与

5.流程和报告形式比较有弹性定性风险分析的缺点

1.本质上是非常主观的

2.对关键资产的财务价值评估参考性较低

3.缺乏对风险降低的成本分析定性分析与定量分析的比较定量风险分析的优点

1.大体来说其结果都是建立在独立客观的程序或量化指标上

2.大部分的工作集中在制定资产价值和减缓可能风险

3.主要目的是做成本效益的审核定量风险分析的缺点

1.风险计算方法复杂

2.需要自动化工具及相当的基础知识

3.投入大

4.个人难以执行

5.很难中途改变方向

6.不会有范围之外的结果定性分析与定量分析的比较风险的函数表达：R=f（a,v,t）

R：风险

a：资产的价值

v：资产本身的脆弱性

t：资产所面临的威胁基于要素的风险分析1.资产的价值运用ISO17799中对信息安全的定义来衡量资产价值：ConfidentialityIntegrityAvailability基于要素的风险分析1.资产的价值保密性（C）价值分类详细说明1公开资讯非敏感的资讯，公用的资讯处理设施和系统资源2内部使用非敏感但仅限公司内部使用的资讯（非公开）3限定使用受控的资讯，需有业务需求方得以授权使用4秘密敏感的资讯，资讯处理设施和系统资源只给必知者5极机密敏感资讯，资讯处理设施和系统资源仅适用及少数必知者。基于要素的风险分析完整性（I）价值分类详细说明1非常低未经授权的破坏或修改不会对资讯系统造成重大影响且或对业务冲击可忽略2

低未经授权的破坏或修改不会对资讯系统造成重大影响且或对业务冲击轻微3

中等未经授权的破坏或修改已对资讯系统造成影响且或对业务有明显冲击4

高未经授权的破坏或修改对资讯系统有重大影响且或对业务严重5非常高未经授权的破坏或修改对资讯系统有重大影响且可能导致严重的业务中断。1.资产的价值基于要素的风险分析可用性（A）价值分类详细说明1非常低合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到25%以上。2低合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到50%以上。3中等合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到90%以上。4高合法使用者对信息系统及资源的存取可用度达到每天95%以上。5非常高合法使用者对信息系统及资源的存取可用度达到每天99.9%以上。1.资产的价值基于要素的风险分析资产的价值资产的保护是信息安全和风险管理的首要目标。每个资产都应该被识别与评价以提供适当保护。资产的拥有者与使用者须清楚识别。应盘点资产并建立资产清单基于要素的风险分析识别资产的脆弱性－资产本身的安全问题是什么？－这个资产缺少什么安全措施？分析脆弱程度－这个脆弱性被利用的程度有多高？－相对的防护措施有效性？定义脆弱性的计量－可利用“低”，“中”，“高”来表示。2.脆弱性分析基于要素的风险分析识别资产的威胁鉴别威胁的目标（什么资产会被威胁？）为什么会造成这威胁？找出威胁的相关性它有影响吗？重要或严重吗？有没有被它利用的脆弱点？鉴别威胁的可能性利用“不可能”，“可能”，“非常可能”来表示3.威胁分析基于要素的风险分析风险计算：项

目威胁等级低中高脆弱性等级低中高低中高低中高资产价值00121232341123234345223434545633454565674456567678基于要素的风险分析信息系统风险评估一.概述二.风险评估内容和方法三.风险评估实施过程四.风险评估实践和案例五.风险评估工具六.小结风险评估过程前期准备阶段主要任务是：明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。中期现场阶段编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究工作。人员调查技术调查后期评估阶段撰写系统测试报告，进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。风险信息评估风险控制策略风险评估过程否否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择控制措施并评估残余风险实施风险管理是脆弱性识别威胁识别资产识别是否接受残余风险

风险识别与评价风险评估记录风险评估报告风险评估结果记录风险处置报告…..资产清单风险处置措施风险评估过程建立风险评估小组确定风险评估的范围建立资产列表对资产进行赋值建立漏洞列表建立威胁列表建立与威胁相关的控件列表提供风险评估报告进行风险处置（风险管理）由管理委员会建立风险评估小组风险评估小组主要由组长：设计内部审核计划同时管理副组长和各部门协调人员副组长：负责协调具体的风险评估工作成员：配合副组长完成风险评估工作风险评估过程因为对于一个大型的企业或行业客户来讲，公司的整个信息系统的规模非常大，而且有很多类似的地方，所以如果对整个范围做评估，成本较高、周期较长，对于企业不合适，所有需要划定范围。通过认证范围制定风险评估的范围一般规则为：公司总部的信息系统评估某个分公司整体的信息系统评估某个分公司机房的信息系统评估某个分公司用户使用信息系统评估风险评估过程建立资产列表和资产分类资产分为7个组软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等其他：公司形象、公司信誉和客户关系风险评估过程对资产进行赋值根据资产在公司中使用的人数及本身的价值、重要性，对资产进行赋值。信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行半量化。风险评估过程建立弱点列表弱点列表，包含所有信息系统中存在的漏洞，该漏洞列表需要根据系统资源和信息资源的变化，不断的修改和增加。典型的弱点为：建立威胁列表列出每个资产可能存在的威胁。威胁是潜在存在着的，在某种时机或场合下利用漏洞而对信息系统造成危害。建立与威胁相关的控件列表当得到所有资产威胁后，根据资产威胁归纳出与该资产威胁相关的控件列表把相应的控件对象和控件复制到资产列表中。得到一个总结性的文档“风险评估中使用的控件列表”风险评估过程一份总结性的报告提供给管理委员会。这份报告概述整个信息安全管理体系，是符合此单位的信息安全方针和长期发展目标的。从这份报告中，能够非常清楚的知道资产的值,组织可以能够重视资产值高的资产同时使用相应的控件对象，控件和对策。风险评估过程监控和回顾信息安全小组做完评估工作以后，应该对资产的评估报告与资产情况进行有规则的监控和审核每半年重新进行一次风险评估资产发生重大变化时公司业务发生重大变化时出现重大信息安全漏洞或发生重大信息安全事件时出现其它需要重新进行风险评估的情形时风险评估过程风险处置风险处置方法拒绝风险（下策）转移风险（中策）减少风险（上策）接受风险（上、中、下策）风险处置计划风险处置实施，形成风险处置报告风险处置监督、检查