信息安全风险评估的基本过程概要.ppt

1、第七章,信息安全风险评估的基本过程,信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价，是组织确定信息安全需求的过程。,7.1信息安全风险评估的过程,依据GB/T209842007信息安全技术信息安全风险评估规范，同时参照ISO/IECTR13335-3、NISTSP800-30等标准，风险评估过程都会涉及到以下阶段：识别要评估的资产，确定资产的威胁、脆弱点及相关问题，评价风险，推荐对策。,信息安全风险评估完整的过程如图7-1所示,7.2评估准备,信息安全风险评估的准备，是实施风险评估的前提。为了保证评估过程的可控性以及评

2、估结果的客观性，在信息安全风险评估实施前应进行充分的准备和计划，信息安全风险评估的准备活动包括：确定信息安全风险评估的目标；确定信息安全风险评估的范围；组建适当的评估管理与实施团队；进行系统调研；确定信息安全风险评估依据和方法；制定信息安全风险评估方案；获得最高管理者对信息安全风险评估工作的支持。,7.2.1确定信息安全风险评估的目标在信息安全风险评估准备阶段应明确风险评估的目标，为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求，来确定

3、信息安全风险评估的目标。,7.2.2确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。,7.2.3组建适当的评估管理与实施团队在评估的准备阶段，评估组织应成立专门的评估团队，具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家，还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。,7.2.4进行系统调研系统调研是确定被评估对象的过程。风险评估团队应进行

4、充分的系统调研，为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：业务战略及管理制度；主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接；系统边界；主要的硬件、软件；数据和信息；系统和数据的敏感性；支持和使用系统的人员。,7.2.5确定信息安全风险评估依据和方法信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据，并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素，选择具体的风险计算方法，

5、并依据组织业务实施对系统安全运行的需求，确定相关的评估判断依据，使之能够与组织环境和安全要求相适应。,7.2.6制定信息安全风险评估方案信息安全风险评估方案的内容一般包括：团队组织：包括评估团队成员、组织结构、角色、责任等内容。工作计划：信息安全风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容。时间进度安排：项目实施的时间进度安排。,7.2.7获得最高管理者对信息安全风险评估工作的支持信息安全风险评估需要相关的财力和人力的支持，管理层必须以明示的方式表明对评估活动的支持，对资源调配作出承诺，并对信息安全风险评估小组赋予足够的权利，信息安全风险评估活动才能顺利进行。,7.3识别并

6、评价资产,7.3.1识别资产在信息安全风险评估的过程中，应清晰地识别其所有的资产，不能遗漏，划入风险评估范围和边界内的每一项资产都应该被确认和评估。,资产识别活动中，可能会用到工具有以下几种。1资产管理工具2主动探测工具3手工记录表格,7.3.2资产分类资产的分类并没有严格的标准，在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握，表7-2列出了一种根据资产的表现形式的资产分类方法。,表7-2一种基于表现形式的资产分类方法,7.3.3.1定性分析定性风险评估一般将资产按其对于业务的重要性进行赋值，结果是资产的重要度列表。资产的重要度一般定义为“高”、“中”、“低”等

7、级别，或直接用数字13表示。组织可以按照自己的实际情况选择3个级别、5个级别等，表7-3给出了5级分法的资产重要性等级划分表。,表7-3资产等级及含义描述,信息安全风险评估中资产的价值不是以资产的经济价值来衡量，而是以资产的保密性、完整性和可用性三个安全属性为基础进行衡量。资产在保密性、完整性和可用性三个属性上的要求不同，则资产的最终价值也不同，表7-4、表7-5、表7-6分别给出了资产的保密性、完整性和可用性的赋值表。,表7-4资产保密性赋值表,表7-5资产完整性赋值表,表7-6资产可用性赋值表,7.3.3.2定量分析定量风险评估对资产进行赋值，应该确定资产的货币价值，但这个价值并不是资产的

8、购置价值或帐面价值，而是相对价值。在定义相对价值时，需要考虑：1信息资产因为受损而对商务造成的直接损失；2信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；3信息资产受损对其他部门的业务造成的影响；4组织在公众形象和名誉上的损失；5因为商务受损导致竞争优势降级而引发的间接损失；6其他损失，例如保险费用的增加。,7.3.4输出结果在资产划分的基础上，再进行资产的统计、汇总，形成完备的资产及评价报告。,7.4识别并评估威胁,7.4.1威胁识别识别并评价资产后，组织应该识别每项（类）资产可能面临的威胁，识别威胁时，应该根据资产目前所处的环境条件和以前的记录情况来判断。一项资产可

9、能面临多个威胁，一个威胁也可能对不同的资产造成影响。,威胁识别活动中，可能会用到工具有以下几种：1IDS采样分析2日志分析3人员访谈,7.4.2威胁分类在对威胁进行分类前，首先要考虑威胁的来源。,表7-8威胁来源列表,对威胁进行分类的方式有多种多样，针对上表威胁来源，可以根据其表现形式将威胁分为以下种类。1.软硬件故障2.物理环境影响3.无作为或操作失误4.管理不到位5.恶意代码6.越权或滥用7.网络攻击8.物理攻击9.泄密10.篡改11.抵赖,7.4.3威胁赋值识别资产面临的威胁后，还应该评估威胁出现的频率。威胁出现的频率是衡量威胁严重程度的重要因素。,表7-10威胁赋值表,7.4.4输出结

10、果表7-11威胁列表示例1,表7-12威胁列表示例2,7.5识别并评估脆弱性,7.5.1脆弱性识别1漏洞扫描工具绝大部分的评估项目中，都会使用到漏洞扫描工具。利用脆弱性扫描工具对评估范围内的系统和网络进行扫描，从内部和外部两个角度查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对象目标存在的安全风险、漏洞、威胁。2渗透测试渗透测试可以非常有效地发现安全隐患。利用6.2节描述的渗透测试工具对重要资产进行全面检查，发现漏洞。3各类检查列表检查表用于手工识别信息系统中常见的组件中存在的安全漏洞。,7.5.2脆弱性分类脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、

11、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关，表7-14提供了一种脆弱性分类方法。,表7-14脆弱性分类表,7.5.3脆弱性赋值可以根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响，因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。,7.5.4输出结果评估脆弱性后的输出结果有原始漏洞检测、识别报告文件，漏洞分析报告，表7-16提供了一种脆弱性列表的示例。,表7-16脆弱性列表示例,7.6识

12、别安全措施,7.6.1识别安全措施要得到威胁利用脆弱性的可能性大小和产生的影响，必须先识别目前的安全措施和评价安全措施的有效性。识别已有的安全措施，分析安全措施的效力，确定威胁利用脆弱性的实际可能性，一方面可以指出当前安全措施的不足，另一方面也可以避免重复投资。安全措施大致可以分为技术控制措施、管理和操作控制措施两大类。识别出来的控制措施，一般不必做直接的评价，在分析影响和可能性的过程中作为其中一个重要因素一起评价。,安全措施识别活动中，可能会用到工具有以下几种。1技术控制措施调查表用于调查和记录被评估组织已经部署的安全控制措施。2管理和操作控制措施调查表对照安全管理标准，调查和记录组织已经采

13、取的安全管理和操作控制措施。3符合性检查工具用于检查被评估组织当前对安全标准或策略的符合程度。,7.6.2输出结果安全控制措施识别与确认过程后，应提交以下输出结果：1技术控制措施识别与确认结果；2管理与操作措施识别与确认结果。,构成风险的要素有4个：资产、威胁、脆弱性和安全措施，在识别了这4个要素之后，存在什么风险就可以显现了。评价风险有2个关键因素：一个是威胁对信息资产造成的影响，另一个是威胁发生的可能性。定性的分析产生影响和可能性的级别，定量的分析产生相应的损失大小和发生概率。,7.7分析可能性和影响,7.7.1分析可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可

14、能性，即：安全事件发生的可能性=L(威胁出现频率，脆弱性)L(T，V)目前，定量分析可能性要用到的数据贫乏，很难实现，多采用定性分析的方法。,表7-17可能性级别定义,7.7.2分析影响根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，即：安全事件的影响=F(资产重要程度，脆弱性严重程度)F(Ia，Va)影响级别是威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级。,表7-18影响级别定义,7.8风险计算,根据威胁利用资产的脆弱性导致安全事件发生的可能性、安全事件发生后造成的损失，计算风险值，即：风险值=R(A,T,V)=R(安全事件发生的可能性,安全事件的损失)

15、R(L(T,V),F(Ia,Va)其中，R表示风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性、F表示安全事件发生后造成的损失。,7.8风险计算,根据威胁利用资产的脆弱性导致安全事件发生的可能性、安全事件发生后造成的损失，计算风险值，即：风险值=R(A,T,V)=R(安全事件发生的可能性,安全事件的损失)R(L(T,V),F(Ia,Va)其中，R表示风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性

16、导致安全事件发生的可能性、F表示安全事件发生后造成的损失。,常用的风险评估方法有矩阵法和相乘法。注：实际上，L不仅与威胁和脆弱性有关部门，还与采取的控制措施Ct有关；F亦与Ct有关。有效的控制措施可以减少或降低L和F的值或等级，为简单起见，这里不考虑控制措施的影响。,7.8.1使用矩阵法计算风险矩阵法主要适用于由两个要素值确定一个要素值的情形，假设：x=x1,x2,xi,xm,1im,xi为正整数y=y1,y2,yj,yn,1jn,yj为正整数函数z=f(x,y)可以使用矩阵法计算，即以x和y的取值构造一个二维矩阵，如表7-19所示，矩阵行值为y的所有取值，矩阵列值为x的所有取值，矩阵内mn个

17、值即为函数z的值。,表7-19矩阵构造,对于zij的计算，可以采用zij=xi+yj、zij=xiyj或zij=xi+yj，其中和为正常数。zij的计算可根据实际情况确定，不一定要遵循统一的计算公式，但必须具有统一的增减趋势。,7.8.2使用相乘法计算风险相乘法主要适用于由两个要素值确定一个要素值的情形，即函数z=f(x,y)，函数f可以使用相乘法计算，z=f(x,y)=xy，如z=xy，或z=等。,7.9风险处理,7.9.1现存风险判断依据信息安全风险评估结果，确定系统可接受的风险等级，把信息安全风险评估得出的风险等级划分为可接受和不可接受两种，形成风险接受等级划分表，表7-31是一种风险接

18、受等级划分表的示例。,表7-31风险接受等级划分表示例,7.9.2控制目标确定7.9.2.1风险控制需求分析按照系统的风险等级接受程度，通过对信息系统技术层面的安全功能、组织层面的安全控制和管理层面的安全对策进行分析描述，形成已有安全措施的需求分析结果，表7-32是一种风险控制需求分析表的示例。,表7-32风险控制需求分析表示例,7.9.2.2风险控制目标依据风险接受等级划分表、风险控制需求分析表，确定风险控制目标，表7-33是一种控制目标表的示例。,表7-33控制目标表示例,7.9.3控制措施选择依据风险控制需求分析表、控制目标表，制定控制措施的优先级别，控制措施的优先级别定义参见表7-34。,表7-34控制措施优先级定义,针对控制目标，综合考虑控制成本和实际的风险控制需求，建议采取适当的控制措施，表7-35是一种安全控制措施选择表的示例。,表7-35安全控制措施选择表示例,7.10编写信息安全风险评估报告,通过信息安全风险评估，风险评估小组对组织的风险状况有一个非常清晰的理解，有关风险状况的信息必须以清晰有效的方式传达给组织，因此，需要编写记录评估过程所