信息安全风险评估与风险管理企业风险管理经典

信息平安风险评估与风险管理一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录信息平安的定义机密性〔integrity〕：确保该信息仅对已授权访问的人们才可访问只有拥有者许可，才可被其他人访问完整性〔confidentiality〕：保护信息及处理方法的准确性和完备性；不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性〔availability〕：当要求时，即可使用信息和相关资产。不因系统故障或误操作使资源丧失。响应时间要求、故障下的持续运行。其他：可控性、可审查性

KeywordsI信息平安：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统平安的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。KeywordII威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点，导致资产的丧失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估的目的和意义认识现有的资产及其价值对信息系统平安的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过平安评估，能够清晰地了解当前所面临的平安风险，清晰地了解信息系统的平安现状明确地看到当前平安现状与平安目标之间的差距为下一步控制和降低平安风险、改善平安状况提供客观和翔实的依据信息系统风险模型

所有者攻击者

对策

漏洞

风险

威胁

资产风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录国外相关信息平安风险评估标准简介〔1〕ISO27001：信息平安管理体系标准、ISO17799信息平安管理实践指南基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施；提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大学软件工程研究所〔CMU/SEI〕开发的一种综合的、系统的信息平安风险评估方法3个阶段8个过程。3个阶段分别是建立企业范围内的平安需求、识别根底设施脆弱性、决定平安风险管理策略。OCTAVE实施指南〔OCTAVESMCatalogofPractices,Version2.0〕，该实施指南阐述了具体的平安策略、威胁轮廓和实施调查表。国外相关信息平安风险评估标准简介〔2〕我国信息平安风险评估标准开展历程?信息平安风险评估标准?标准操作的主要内容标准内容：引言风险评估框架及流程风险评估中各要素的关系风险分析原理〔1〕对资产进行识别，并对资产的价值进行赋值；〔2〕对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；〔3〕对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；〔4〕根据威胁及威胁利用弱点的难易程度判断平安事件发生的可能性；〔5〕根据脆弱性的严重程度及平安事件所作用资产的价值计算平安事件的损失；〔6〕根据平安事件发生的可能性以及平安事件的损失，计算平安事件一旦发生对组织的影响，即风险值。风险评估实施(1)风险评估的准备〔1〕确定风险评估的目标；〔2〕确定风险评估的范围；〔3〕组建适当的评估管理与实施团队；〔4〕进行系统调研；〔5〕确定评估依据和方法；〔6〕获得最高管理者对风险评估工作的支持。风险评估实施(2)已有平安措施确认平安措施确实认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。平安措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理方案的制定提供依据和参考。风险分析计算平安事件发生的可能性计算平安事件发生后的损失计算风险值风险等级判定风险评估实施(3)风险评估文件记录风险评估文件记录的要求风险评估文件的类型、多少风险评估方案资产识别清单重要资产清单威胁列表脆弱性列表风险评估报告风险处理方案风险评估实施(4)信息系统生命周期各阶段的风险评估规划阶段的风险评估设计阶段的风险评估实施阶段的风险评运行维护阶段的风险评估废弃阶段的风险评估每个阶段的实施内容稍有不同，目的和方法一致。风险评估的工作形式附录风险的计算方法矩阵法：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。相乘法：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算。风险评估的工具风险评估与管理工具系统根底平台风险评估工具风险评估辅助工具

一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录现有风险评估方法综述〔1〕定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的比照。基于系统平安模型体系的分析方法：针对某个典型的〔或固定〕的系统，建立其平安要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系。现有风险评估方法综述〔2〕定性分析方法定性分析方法一般适用于：a〕风险识别；b〕造成风险的原因分析；c〕威胁发生所造成的影响分析等。例如：针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度；现有风险评估方法综述〔3〕定量分析方法以获取到或采取一定方法量化后得到的被调查对象的定量数据为根本材料，依据一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用于：a〕确立威胁发生概率；b〕预测系统风险发生概率；c〕确立系统总体风险评价等。例如：对运行在某个平台上的不同主机、应用系统分别进行等价化的赋值，综合分析每个资产的威胁、脆弱性，得到各资产的风险量化值。现有风险评估方法综述〔4〕1〕资产识别与赋值

2〕资产的平安属性赋值及权重计算；

3〕威胁分析；

4〕薄弱点分析；

5〕已有控制措施分析；

6〕影响分析；

7〕可能性分析；

8〕风险计算；

9〕风险控制措施制定；

评估步骤1、资产的识别资产识别之前必须界定范围识别资产最简单的方法就是列出对组织或组织的特定部门的业务过程有价值的任何事物资产包括:数据与文档/书面文件/软件/实物资产/人员/效劳资产识别的类型2、资产的平安属性赋值及权重计算信息资产分别具有不同的平安属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。平安属性的不同通常也意味着平安控制、保护功能需求的不同。通过考察三种不同平安属性，可以得出一个能够根本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。资产价值与信息平安特性的关系等级机密性1资产对防止信息非授权泄露、破坏方面的要求可以忽略。机密性价值或潜在影响可以忽略2资产对防止信息非授权泄露、破坏方面的要求有限。机密性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息非授权泄露、破坏方面的要求一般机密性价值中等，潜在影响重大，但可以弥补4资产对防止信息非授权泄露、破坏方面的要求较高机密性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息非授权泄露、破坏方面的要求很高机密性价值非常关键，具有致命性的潜在影响例：对应用软件，其机密性表现在配置数据失密、账号口令信息失密、关键算法失密等。资产价值与信息平安特性的关系等级完整性1资产对防止信息非授权修改、破坏方面的要求可以忽略。完整性价值或潜在影响可以忽略2资产对防止信息非授权修改、破坏方面的要求有限。完整性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息非授权修改、破坏方面的要求一般完整性价值中等，潜在影响重大，但可以弥补4资产对防止信息非授权修改、破坏方面的要求较高完整性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息非授权修改、破坏方面的要求很高完整性价值非常关键，具有致命性的潜在影响例：对应用软件，其完整性表现在配置数据被修改、软件被修改、数据被修改资产价值与信息平安特性的关系等级可用性1资产对防止信息不可用方面的要求可以忽略。可用性价值或潜在影响可以忽略2资产对防止信息不可用方面的要求有限。可用性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息不可用方面的要求一般可用性价值中等，潜在影响重大，但可以弥补4资产对防止信息不可用方面的要求较高可用性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息不可用方面的要求很高可用性价值非常关键，具有致命性的潜在影响例：对应用软件，其完整性表现在软件故障、丧失控制权。3、威胁分析与评价

对组织需要保护的每一项重要信息资产进行威胁识别应考虑:资产所处的环境条件资产以前遭受威胁损害的情况来判断:一项资产可能面临着多个威胁一个威胁可能对不同的资产造成影响威胁识别应确认威胁由谁或什么事物引发威胁可能来源于意外的，或有预谋的事件威胁的识别与评价 威胁列表:空气中的悬浮颗粒/灰尘维护错误空调故障 恶意软件存储媒体的老化 用户身份的伪装电子邮件炸弹 未授权网络访问地震 操作人员的错误窃听 供电波动环境污染 否认或抵赖极端的温度和湿度 软件故障通信效劳故障 员工短缺

威胁的识别与评价 分析威胁与C,I,A之间的关系

例如:电脑遭遇黒客入侵资产是电脑威胁是黒客攻击薄弱点是口令强度不够等

在考虑此威胁发生时,对此资产而言,最先遭破坏的是完整性,其次才是保密性或可用性。4、薄弱点分析与评价由于组织缺乏充分的平安控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点。来自组织结构/人员/管理/程序/资产本身的缺陷应针对每一项信息资产，找出每一种威胁所能利用的薄弱点有关实物和环境平安方面的薄弱点列表薄弱点利用薄弱点的威胁对建筑、房屋和办公室实物访问控制的不充分或疏忽故意破坏对于建筑、门和窗缺乏物理保护盗窃位于易受洪水影响的区域洪水未保护的储藏库盗窃缺乏维护程序或维护作业指导维护人员操作失误缺乏定期的设备更新计划存储媒体老化设备缺乏必要防护措施空气中的颗粒/灰尘设备对温度变化敏感或缺乏空调设备极端温度(高温或低温)设备易受电压变化的影响、不稳定的高压输电网、确保供电保护设施电压波动例：常见系统薄弱点及其对应威胁

5、已有平安控制分析与确认 识别已经存在和筹划了的平安控制 对现有的和已方案好的控制加以确定，可以防止不必要的工作和费用应核查控制是否有效。移除？替换？增加？保存？现有的或已方案好的控制是否和将要采取的平安控制相一致？6、威胁影响分析评价威胁发生所造成的后果或潜在影响不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值(或重要度)为限。对影响的评估，应在脆弱性严重程度的根底上考虑。脆弱性越严重，说明被威胁利用后产生的后果越严重；被某个威胁利用的脆弱性越多，其造成的影响也越大。采用5个等级来描述影响程度，对不同的资产有不同评价原那么。参考?威胁影响程度判断准那么?威胁影响程度判断准那么

威胁影响保密性（C）客户对业务/服务的影响

CI/AI/A1公开信息几乎无影响几乎不影响2内部公开信息对单次合同产生负面影响影响单项业务，且可立即恢复3敏感信息可能导致一次中小合同流失影响单项业务，可部分恢复4属于组织秘密，泄漏会引起经济赔偿可能导致数次中小合同或一次大合同失败，引起经济赔偿导致系统资源故障，影响大部分业务5属于组织机密，泄漏会引起法律诉讼及经济赔偿可能导致客户或合作伙伴的丢失，引起法律诉讼及经济赔偿2天以上业务内无法恢复7、威胁的可能性分析

组织应根据专家意见或有关的统计数据来判断威胁发生的频率或者威胁发生的概率。赋值描述说明5很高预期在大多数情况下发生，不可避免（>90%）（或≥1次/周）4高（很可能）在大多数情况下，很有可能会发生（50%~90%）（或≥1次/月）3中等（可能）在某种情况下或某个时间，可能会发生（20%~50%）（或>1次/半年）2低（不太可能）发生的可能性很小，不太可能（<20%）1极低仅在非常例外的情况下发生，非常罕见，几乎不可能（0%~1%）8、风险值的计算威胁的风险值〔RT〕＝威胁的影响值(I)×威胁发生的可能性(P)9、风险控制措施确定组织根据风险评估的结果，确定不可接受风险的范围，制定风险处理方案，增加控制措施，从而降低风险。确定风险的等级和组织的可接受水平：实施风险控制风险确认与接受为确保组织的信息平安，剩余风险应在可接受范围内剩余风险R(r)=原有风险R(0)-控制R剩余风险R〔r〕<=可接受风险R(t)平安控制实施风险确认接受不接受增加控制风险控制曲线图风险R资产序列原有风险曲线可接受风险曲线剩余风险曲线风险控制要点风险是一个变数!要定期进行风险评估在以下情况进行临时评估当组织新增信息资产时当系统发生重大变更时发生严重信息平安事故时一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录

风险评估的输出结果资产识别4.1资产识别表资产赋值威胁分析4.3资产威胁表4.2重要资产赋值表

脆弱性分析4.6不可接受风险处理方案表影响、可能性分析4.5信息资产综合风险值表

风险计算及评估结果4.4脆弱性汇总表风险评估报告反映了：资产名称描述范围重要性程度部门所属业务流程4.1资产识别表

风险评估的输出结果——资产识别表反映了：资产名称描述范围机密性、可用性、完整性评分等级资产与信息平安系数关系所属业务流程4.2重要资产赋值表

风险评估的输出结果——重要资产列表反映了：资产名称面临的威胁类具体可能的威胁4.3资产威胁表

风险评估的输出结果——威胁列表反映了：脆弱性分类〔网络、操作系统、管理、数据库等〕脆弱性的详细描述脆弱性的严重程度与威胁的对应关系可能影响的资产4.4脆弱性汇总表风险评估的输出结果——脆弱性识别表反映了：资产名称资产面临的威胁可能被威胁利用的脆弱电威胁发生的可能性威胁的影响程度4.5信息资产综合风险值表

风险评估的输出结果——资产风险表反映了：资产名称威胁/薄弱点风险系数风险处理措施优先处理等级，等。4.6不可接受风险处理方案表风险评估的输出结果——风险处理方案风险评估报告评估方法信息系统分析与描述业务信息流分析资产识别与划分威胁分析平安风险分析与统计信息系统脆弱性评估报告：以资产为主线，描述各资产存