计算机系统安全原理与技术课件第9章

第9章计算机系统安全风险评估导学问题为什么要进行安全风险评估？9.1.1节什么是风险？什么是安全风险评估？它与安全测评的关系是什么？9.1.2节安全风险评估有哪些途径？9.1.3节安全风险评估有哪些基本方法？9.1.4节安全风险评估有哪些工具？9.1.5节安全风险评估如何实施？9.2节2计算机系统安全原理与技术（第4版）9.1安全风险评估概述9.1.1风险和风险评估的重要性9.1.2安全风险评估的概念9.1.3安全风险评估的分类9.1.4安全风险评估的基本方法9.1.5安全风险评估的工具3计算机系统安全原理与技术（第4版）9.1.1风险和风险评估的重要性4任何系统的安全性都可以通过风险的大小来衡量。计算机信息系统安全风险评估是信息安全建设的起点和基础，是加强信息安全保障体系建设和管理的关键环节。风险评估实际上体现了适度安全的思想。计算机系统安全原理与技术（第4版）9.1.2安全风险评估的概念51.风险的概念风险（Risk）：在特定客观环境下，特定时期内，某一事件的期望结果与实际结果之间变动程度的概率分布。该定义反映了风险的客观性和时空特性，特别是反映了风险的不确定性，即风险是与特定时间和空间相关的，随着环境的变化而变化；风险也与人们的期望有关，如果没有期望的结果就没有风险，期望的结果不同，风险也会不同。计算机系统安全原理与技术（第4版）9.1.2安全风险评估的概念62.安全风险的概念安全风险评估：在风险事件发生之前或之后，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生，给组织和个人各个方面造成的影响和损失程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，将风险控制在可接受的水平，最大程度地为保障计算机网络信息系统安全提供科学依据。安全风险评估与安全测评的关系：风险评估可以看做是安全建设的起点，系统测评是安全建设的终点，或者可以理解为，系统安全测评是对实施风险管理措施后的风险再评估。计算机系统安全原理与技术（第4版）9.1.3安全风险评估的分类71.基线评估组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查，即拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓“安全基线”，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。例如，安全基线通常可以选择国际标准和国家标准、行业标准或推荐标准、其他有类似目标和规模的组织的惯例。当然，如果环境和目标较为典型，组织也可以自行建立基线。计算机系统安全原理与技术（第4版）9.1.3安全风险评估的分类81.基线评估目标：建立一套满足信息安全基本目标的最小对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上对特定系统进行更详细的评估。优点：需要的资源少，周期短，操作简单。对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。缺点：基线水平的高低难以设定。如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分的安全。计算机系统安全原理与技术（第4版）9.1.3安全风险评估的分类92.详细评估对资产进行详细识别和评估，对可能引起风险的威胁和脆弱点进行评估，根据风险评估的结果来识别和选择安全措施。体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者采用的安全控制措施是恰当的。优点：，组织可以通过详细的风险评估对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求。缺点：可能非常耗费时间、精力和资源，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。计算机系统安全原理与技术（第4版）9.1.3安全风险评估的分类103.组合评估在实践中多采用将基线评估和详细评估二者结合的组合评估方式，这样对于两种评估方式扬长避短。组织可以首先对所有的系统进行一次初步的风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产或系统。这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。计算机系统安全原理与技术（第4版）9.1.3安全风险评估的分类113.组合评估组合评估将基线和详细风险评估的优点结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。缺点：如果初步的风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。计算机系统安全原理与技术（第4版）9.1.4安全风险评估的基本方法121.基于知识和基于模型的评估方法（1）基于知识的评估方法基于知识的评估方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全组织。采用这种方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。信息采集的途径包括会议讨论、对当前的信息安全策略和相关文档进行复查、问卷调查、对相关人员访谈，以及实地考察等。计算机系统安全原理与技术（第4版）9.1.4安全风险评估的基本方法131.基于知识和基于模型的评估方法（2）基于模型的评估方法基于模型的评估方法指采用UML建模语言分析和描述被评估信息系统及其安全风险相关要素，可以运用面向对象的分析方法，采用图形化建模技术，提高系统及其相关安全要素描述的精确性，提高评估结果质量。UML在风险评估中的应用，有利于风险评估过程与系统开发过程的相互支持，有利于对安全风险相关要素进行模式抽象和总结，通过模式的复用以及开发应用基于模型方法的工具集，提高效率，降低成本。计算机系统安全原理与技术（第4版）9.1.4安全风险评估的基本方法142.定性和定量评估方法（1）定性评估方法由评估者根据自己的知识和经验，针对组织的资产价值、威胁的可能性、漏洞被利用的容易度、现有控制措施的效力等风险管理诸要素确定大小或高低等级。在定性评估中并不使用具体的数值，而是指定期望值，如设定每种风险的影响值和发生的概率值为“高”“中”“低”。有时单纯使用期望值并不能明显区别风险值之间的差别，也可以为定性数据指定数值，如“高”的值设置为3，“中”的值设置为2，“低”的值设置为1。不过，这样的设定只是考虑了风险的相对等级，并不代表风险究竟有多大。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法（DelphiMethod）。计算机系统安全原理与技术（第4版）9.1.4安全风险评估的基本方法152.定性和定量评估方法（2）定量评估方法运用数量指标来对风险进行评估，即对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、漏洞利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。计算机系统安全原理与技术（第4版）9.1.4安全风险评估的基本方法162.定性和定量评估方法定性分析和定量分析的优缺点比较定性分析方法的主观性很强，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，因此，与定量分析相比较，定性分析的精确性不够。定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力。定性分析较为主观，定量分析基于客观，定量分析依赖大量的统计数据。定量分析的结果直观，容易理解，而定性分析的结果则很难有统一的解释。计算机系统安全原理与技术（第4版）9.1.5安全风险评估的工具17根据在风险评估过程中的主要任务和作用原理的不同，风险评估的工具可以分成3类。1.管理型风险评估工具管理型风险评估工具主要从安全管理方面入手，对信息系统面临的威胁进行全面考量，评估信息资产所面临的风险。根据实现方法的不同，风险评估与管理工具可以分为3类。1）基于信息安全标准的风险评估与管理工具。2）基于知识的风险评估与管理工具。3）基于模型的风险评估与管理工具。计算机系统安全原理与技术（第4版）9.1.5安全风险评估的工具182.技术型风险评估工具技术型风险评估工具包括脆弱性扫描工具和渗透性测试工具。1）脆弱性扫描工具（通常也称为漏洞扫描器）主要用于寻找信息系统中的操作系统、数据库系统、网络设备、应用程序等的脆弱性（漏洞）。2）渗透性测试工具能够根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性。计算机系统安全原理与技术（第4版）9.1.5安全风险评估的工具193.风险评估辅助工具实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据。1）检查列表。2）入侵检测系统。3）安全审计工具。4）拓扑发现工具。5）资产信息收集系统。6）其他。计算机系统安全原理与技术（第4版）9.2安全风险评估的实施9.2.1风险评估实施的基本原则9.2.2风险评估过程20计算机系统安全原理与技术（第4版）9.2.1风险评估实施的基本原则211.标准性原则2.关键业务原则3.可控性原则4.最小影响原则5.自评估和检查评估相结合原则计算机系统安全原理与技术（第4版）9.2.2风险评估过程22计算机系统安全原理与技术（第4版）9.2.2风险评估过程231.评估准备阶段（1）确定评估目标1）规划阶段2）设计阶段3）实施阶段4）运行维护阶段5）废弃阶段计算机系统安全原理与技术（第4版）9.2.2风险评估过程241.评估准备阶段（2）确定评估范围（3）组建评估团队（4）评估工作启动会议（5）系统调研（6）确定评估依据和方法（7）确定评估工具（8）制定评估方案计算机系统安全原理与技术（第4版）9.2.2风险评估过程252.风险评估要素识别阶段计算机系统安全原理与技术（第4版）9.2.2风险评估过程262.风险要素识别阶段（1）资产识别1）资产分类。2）资产调查。3）资产赋值。（2）威胁识别1）威胁分类。2）威胁调查。3）威胁分析。4）威胁分析报告。计算机系统安全原理与技术（第4版）一般信息系统资产分类？通常面临的威胁分类？9.2.2风险评估过程272.风险要素识别阶段（3）脆弱性识别1）脆弱性识别内容。2）已有安全控制措施确认。3）脆弱性分析报告。计算机系统安全原理与技术（第4版）通常的脆弱性分类？目前已有的漏洞库可以划分为国家级漏洞库、行业和民间级、软件厂商漏洞库3类。请访问本章思考与实践题第17题提供的各漏洞库链接。9.2.2风险评估过程283.风险分析阶段（1）风险分析模型风险值的计算：1）计算安全事件发生的可能性。2）计算安全事件发生后造成的损失。3）计算风险值。计算机系统安全原理与技术（第4版）9.2.2风险评估过程293.风险分析阶段（2）风险计算方法风险计算方法一般分为定性计算方法和定量计算方法两大类。定性计算：将风险的各要素资产、威胁、脆弱性等的相关属性进行量化（或等级化）赋值，然后选用具体的计算方法（如矩阵法或相乘法）进行风险计算。矩阵法通过构造一个二维矩阵，形成安全事件的可能性与安全事件造成的损失之间的二维关系；相乘法通过构造经验函数，将安全事件的可能性与安全事件造成的损失进行运算得到风险值。具体步骤请参考《信息安全风险评估规范》（GB/T20984—2007）。定量计算：通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。由于定量计算法需要等量化财务价值，在实际操作中往往难以实现。计算机系统安全原理与技术（第4版）9.2.2风险评估过程303.风险分析阶段（3）风险分析与评价1）风险分析是基于计算出的风险值确定风险等级。2）风险评价方法是根据组织或信息系统面临的各种风险等级，通过对不同等级的安全风险进行统计、分析，并依据各等级风险所占全部风险的百分比，确定总体风险状况。（4）风险评估报告风险评估报告是风险分析阶段的输出文档，是对风险分析阶段工作的总结。在风险评估报告中需要对建立的风险分析模型进行说明，并需要阐明采用的风险计算方法及风险评价方法。计算机系统安全原理与技术（第4版）9.2.2风险评估过程314.风险处理阶段风险处理依据风险评估结果，针对风险分析阶段输出的风险评估报告进行风险处理。（1）风险处理原则适度接受风险，根据组织可接受的处置成本将残余安全风险控制在可以接受的范围内。（2）安全整改建议风险处理方式一般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法。风险评估需提出安全整改建议。安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。计算机系统安全原理与技术（第4版）9.2.2风险评估过程324.风险处理阶段（3）组织评审会评审会应由被评估组织组织，评估机构协助。评审会参与人员一般包括：被评估组织、评估机构及专家