第05讲 信息安全风险评估

1、信息安全工程、五、信息安全风险评估、信息安全风险评估、风险评估是发掘信息保护需求的重要步骤风险评估不仅在需求发现阶段，而且在后续阶段也根据需要进行风险评估。 例如，在所定义的架构阶段的有效性评估中，需要对所定义的架构进行风险评估。 检查结构脆弱性风险评估可以评价建立的信息系统，也可以评价现有的信息系统。 现有系统的评价在PDCA的第二个周期或以后的各周期进行。 每次的PDCA循环相当于新的信息安全工序。 信息安全风险评价、风险管理概念风险评价的方法风险评价的流程风险评价工具风险评价中的难点、风险管理概念、风险管理的定义是过程。 通过这一过程，信息系统管理员可以综合测量安全措施和实施成本，为信息

2、系统提供安全防护，促进组织业务能力的提高。 (nistssp800-30)3 )三个过程风险评估风险降低(控制措施的选择)风险监视(风险监视、定期重新评估)、风险管理的概念、风险管理和信息安全管理基于风险。 PDCA的每个阶段主要是识别、评估、控制和检验信息系统的风险。 概念上，“信息安全管理”的外延很广，信息安全管理的要素也渗透到了人力资源管理、财务管理等组织管理的其他部分。 我们关心的信息安全管理是以风险为中心的信息安全管理。 在这个概念中，信息安全管理和风险管理的细节都是一致的。 风险管理概念、风险管理概念、风险管理基本概念(1)资产(Asset ) :对组织有价值的包括计算机硬件、通信

3、设施、建筑物、数据库、文件信息、软件、信息服务、人员等。 威胁：一个威胁源可能很好地利用特定的脆弱点。 脆弱性：可用于资产或资产组中存在的威胁的缺点。 脆弱点本身并不是构成伤害，它只是威胁利用实施影响的一个条件。 风险(Risk ) :特定的威胁可能利用资产的脆弱点对资产造成损害。 风险管理概念、风险管理中的基本概念(2)的可能性(Likelihood ) :关于威胁事件发生的概率(Probability )或频率(Frequency )的记述。 影响(Impact )或结果(Consequence ) :事故给组织带来的直接或间接损失或伤害。 安全措施(Safeguard)/控制措施(con

4、trol)/对策(countermeasure ) :以防止威胁、减少弱点、限制意外事件造成的影响等方式降低风险的机制、方法和措施。 剩馀风险(ResidualRisk ) :实施安全对策后也存在的风险。 风险管理概念、信息安全风险评价、风险管理概念风险评价的方法风险评价流程风险评价工具风险评价的难点、风险评价的方法， 分析对象以安全对策为主：基线评价以实际系统为主：详细评价的组合评价是按精度量化评价定性评价是按想法以知识专家的方法为模型的方法，基线评价组织是根据自己的实际情况(行业、业务环境和性质等)， 检查信息系统的安全基线：许多标准中规定的一系列安全控制措施或惯例，例如BS7799-1、

5、ISO13335-4、德国联邦安全局IT基线保护手册等。 在典型的环境和业务目标中，组织可以自己建立基线，而不是直接采用当前标准。基线检查：将现有的安全措施与安全基线规定的措施进行比较，其中的差距的适用情况组织的业务运营并不复杂，组织对信息处理和网络依赖度不太高的组织信息系统往往采用普遍标准化的模式，基线评价、 基线评价的优点是资源少、周期短、操作简单、类似环境、安全需求相当多的组织，基线评价是最经济有效的风险评价途径。 基线评价的缺点基线水平的高低很难设定。 过高可能会导致资源浪费和限制过度，过低可能难以实现充分的安全，在管理安全相关变化方面，很难评价基线。 基线评价的目标是建立满足信息安全

6、基本目标的最小对策集，进行详细评价，寻求资产的详细识别和评价，并评价可能引起风险的威胁和弱点。 详细评估的优点可对信息安全风险有正确的认识，并可正确定义组织的当前安全等级和安全要求的详细评估结果，以管理安全的变化。 详细评估的缺点可能是耗费大量资源的过程，如时间、劳力和技术。 因此，组织必须慎重设定评价信息系统的范围，明确业务环境、操作和信息资产的界限。 后述的评估过程主要针对详细的评估。 组合评价、基线风险评价资源少、周期短、操作简单，但适合一般环境的评价详细风险评价准确细致，资源多、适用于严格限定边界的狭小范围的评价组合评价：两者结合起来。 对所有系统进行初步的高级风险评估，着眼于信息系统

7、的价值，确定风险高的或组织业务的极其重要的信息资产，应该进入详细的风险评估的范围，其他系统通过基线的风险评估直接进行安全对策组合评价、基线和详细风险评价的优点相结合，可以节省评价资源，确保获得综合系统的评价结果。 组织资源和资金能适用于最有效的地方，高风险的信息系统预先受到关注。 组合评价不足：初始的高级风险评价不正确的话，会忽略本来需要详细评价的系统，结果可能会不正确。 风险评估的方法，以分析对象的安全措施为主：基线评估以实际系统为主：详细评估的组合评估是按精度等级量化评估定性评估是按想法基于知识专家的方法模型的方法，定量分析方法是按构成风险的各要素和潜在损失的水平数量分配了测量风险的所有因

8、素(资产价值、威胁频率、弱点的利用度、安全措施的效率和成本等)后，风险评估的流程和结果就被量化了。 简单来说，定量评价是试图对安全风险进行数值分析评价的方法。 定量分析方法、定量分析方法利用两个基本因素，确定威胁事件发生的概率和可能发生的损失。 将这两个要素单纯相乘的结果称为ALE(AnnualLossExpectancy )或EAC(EstimatedAnnualCost )。 理论上可以根据ALE计算威胁事件的风险级别，做出适当的决定。 定量分析方法和定量风险评估有几个重要的概念：暴露因子(ExposureFactor，EF )特定威胁对特定资产的损失比例，或损失程度。 被称为单损失预期(

9、SLE )或单损失估计(SOC )的特定威胁可能造成的损失的总量。 年发生率(AnnualizedRateofOccurrence，ARO )是预计在一年内发生的频率。 年度损失预期(AnnualizedLossExpectancy，ALE )或EAC(EstimatedAnnualCost )表示特定资产在一年内损失的预期值。定量分析方法，这些概念之间的关系：首先，通过识别资产，并评估分配给资产的威胁和弱点，来计算特定威胁对特定资产的影响，即评估EF的特定威胁发生的频率。 计算ARO资产的SLE :计算SLE=assetvalueef资产的ALE:ALE=SLEARO、定量分析方法、定量风险

10、分析看起来客观、严格，可以参考严格的数学模型，但瓶颈是如何正确地量化各风险要素。 正确量化风险因素是定量风险分析的基础，直接决定了定量风险分析的质量。 遗憾的是，由于信息安全风险因素本身的复杂性和随机性，很难找到适合且正确地描述风险因素的数学模型。 迄今为止，没有能正确量化的非常有效的方法。 这大大限制了定量风险分析方法的使用。 定性分析方法是信息安全风险分析方法中最长的方法之一，具有强烈的主观意识，多依赖分析人员的经验和直觉，或者行业标准和惯例。 很多定性风险分析方法根据组织面临的威胁、脆弱点和控制措施等因素，在定性评估时不使用特定数据而指定期望值。 应该注意的是，这里考虑的只是风险的相对等

11、级，不能说明那个风险有多少。 所以，不要给相对等级赋予太大的意义。 定性分析方法、定性风险分析方法的核心是对信息安全风险的各要素进行排序，从而受到主观因素的影响。 如何进行排名不是一定的形式，主要根据风险来分析操作者的经验和直觉。 不同人员对不同风险分析结果的风险分析结果和实际情况的误差完全依赖于分析执行者，但通常不能替代定性分析方法。 因为定量分析找不到合适的量化标准。 定性分析和定量分析相结合，定性和定量风险分析方法是目前风险评估最常用的风险分析方法。 单纯的定性和定量的方法很少。 在风险评估中，多数情况下，用两者结合的方法进行分析。 风险评价的方法，以分析对象的安全对策为主：基线评价以实

12、际系统为主：详细评价的组合评价按精度程度量化评价定性评价按想法基于知识专家的方法基于模型的方法，基于知识的分析方法，所谓“知识”是安全专家进行类似评价的方法。 基于知识的风险分析方法主要依靠专家经验进行。 该方法的优势在于可以直接提供推荐的保护措施、结构框架和实施计划。 2000年11月，CSIALERTNewsletter上有Parker和Donn的文章“whytheduecaresecurityreviewmethodissuetrortoriskassessment”。 其中提出了基于“良好实践”的知识评价方法。 该方法提出了重用相似组织的“好实践”。 为了成功处理威胁和脆弱性分析，该方

13、法开发了滥用和误用报告数据库，保存了30年来的数千个事例。 我们还开发了扩展的信息安全框架，以帮助用户制定全面、准确的组织安全战略。 基于知识的分析方法、基于知识的风险评价方法，运用多年开发的保护措施和安全实践，根据组织相似性的程度进行迅速的安全实施和包装，降低组织的安全风险。 短缺：组织相似性的判定、评估组织的安全需求分析和重要资产确实是此方法的制约因素。 使用基于模型的分析方法、风险评估方法的新方向、面向对象技术将风险要素抽象化，建立模型，分析抽象模型。基于模型的评估可以分析系统自身内部机制中存在的危险因素，同时发现系统与外部环境相互作用中异常有害的行为，从而完成系统脆弱点和安全威胁的定性

14、分析。 UML建模语言可以用于详细说明信息系统的各个方面。 不同组件间关系的静态图用classdiagrams表示，详细说明系统的行为和功能的动态图用usecasediagrams和sequencediagrams表示，完整的系统用UMLdiagrams表示，信息安全风险管理概念风险评估流程风险评估工具风险评估流程、1、系统特性分析2、威胁识别3、脆弱点识别4、现有控制措施分析5、影响分析7、风险识别8、控制措施建议9、评价结果记录管理、系统例如，只需要确定特定资产的风险，或确定与新攻击或威胁源相关的风险。 定义风险评估的物理和逻辑边界。 逻辑边界定义了分析所需的宽度和深度的物理系统边界，定义

15、了系统从哪里开始，例如，连接到外部系统的系统必须描述其所有的接口特性。 系统特性分析、系统信息硬件、软件系统接口(内部和外部接口)支持和使用IT系统的人力资源系统业务流程系统在收集重要数据系统机密数据设计中的信息系统来自设计和要求书在运用阶段的信息系统中，信息主要来自运用环境。 系统特性分析、系统信息收集技术(1)问卷可以设计问卷，信息安全风险评估者可以获得系统管理、系统采用或预定采用的操作控制信息。 必须向系统设计和支持的技术人员和技术人员以外的人分发问卷。 问卷也可以准备现场调查和交流。 系统特性分析、系统信息采集技术(2)现场交流、信息系统支持和管理人员交流、相关信息采集(系统管理和运用

16、方法等)。 为评估者观察和收集系统的物理、环境和操作安全信息。 对于正在开发的系统，现场调查使风险评价者和系统设计者能够进行面对面的交流，为风险评价者提供了知道信息系统实行环境的机会。 用于系统特性分析、系统信息收集的技术(3)文件检查。 要检查的文档有策略文档(现有的、建立了安全策略的系统)系统文档(系统用户指南、系统管理手册、系统设计和要求文档、系统获取文档)安全相关文档(上一期的系统审计报告、风险评价这些文档为风险评估提供了有关信息系统的安全控制信息. 组织的业务影响分析或组织的重要资产评估为确定系统和数据的重要性和机密性提供了信息。 系统特性分析、系统信息收集技术(4)自动扫描工具的主

17、动信息系统检查工具可用于有效地收集系统信息。 例如，网络映射工具可以识别在多个主机组上运行的服务，并提供一种快速构建目标系统的信息文件的方法。 确定威胁、威胁：一个威胁源有可能很好地利用特定的脆弱点。 例如，威胁源：冲击波(Blaster )病毒脆弱性： windows RPC DCOM脆弱性。 威胁只有利用脆弱点才能发挥作用，没有对应的脆弱点就不存在威胁。 例如，应用了DCOM脆弱性补丁的Windows不再感染冲击波。 确定威胁，威胁源确定所有可能危害系统的环境和事件。自然是威胁地震、洪水、飓风等的人为威胁：人员有意识地、无意识地活动的数据输入、恶意代码嵌入、有意识的攻击等环境会威胁长期的电力