信息安全风险度量和计算

1、基于积分卡的风险计算模型林明峰12风险计分卡风险计分卡从四从四个维度逻辑个维度逻辑关系表明关系表明了风险评价的过程了风险评价的过程企业风险（企业风险（ERM）企业角度企业角度目标衡量指标目标值“为使股东满意，我们应该达到为使股东满意，我们应该达到什么样什么样的的风险管理风险管理目标目标?”战略风险1战略风险2战略风险3安全管理风险安全管理风险(Compliance)合规角度合规角度目标衡量指标目标值“为达到我们为达到我们的日常管理要求，我们的日常管理要求，我们是否完成所有日常安全工作是否完成所有日常安全工作?”日常管理安全运行风险（安全运行风险（incident Management )运维角

2、度运维角度目标衡量指标目标值行动方案“有哪些安全事件，影响到我们的安全运有哪些安全事件，影响到我们的安全运行结果行结果?”安全事件发生率解决速度严重程度技术与配置分析技术与配置分析(漏洞漏洞, 配置配置)技术角度技术角度目标衡量指标目标值Initiatives“现有漏洞和安全配置是否都修复了现有漏洞和安全配置是否都修复了?”漏洞1漏洞2漏洞3公司风险公司风险的的整体整体目标目标驱动驱动成果成果3风险计分卡风险计分卡确保了组织战略的层层传递确保了组织战略的层层传递Top-down Design自上而下的规划自上而下的规划SBU风险计分卡风险计分卡部门与业务系统部门与业务系统风险计分卡风险计分卡公

3、司公司总部风险计分卡总部风险计分卡Bottom-up execution自下而上的执行自下而上的执行设备风险计分卡设备风险计分卡横向协同横向协同横向协同横向协同横向协同横向协同风险管理组织结构（Secure CMDB）4公司分公司业务部门应用系统IT 设备软件和数据公司总部业务单元产品服务1应用系统1App服务器1软件机房信息人员App服务器2产品服务2应用系统2业务单元产品服务3应用系统3网络设备终端设备业务条线IT运维条线安全事件系统漏洞企业风险管理风险风险管理风险值计算结构5公司分公司业务部门应用系统IT 设备软件和数据公司总部业务单元产品服务1应用系统1App服务器1软件机房信息人员A

4、pp服务器2产品服务2应用系统2业务单元产品服务3应用系统3网络设备终端设备152漏洞事故 运作企业1521521521525556企业管理风险（ERM）一、风险评估的三个基本概念（一）固有风险和剩余风险 固有风险：管理当局未采取任何措施的情况下所面临的风险。 剩余风险：管理当局采取应对措施后所残余的风险。（二）可能性和影响 风险评估主要对风险进行两方面的分析：可能性和影响 可能性：风险可能发生的程度或发生的概率 影响：风险发生后对企业造成的损失或带来的负面影响。（三）计量尺度 顺序计量、间隔计量、比例计量（四）注册风险库 注册可能出现的风险项目和类型2、定性分析法 直接用文字描述风险发生的可

5、能性以及风险对目标的影响程度，有较强的主观性。步骤： （1）确定潜在事项发生的可能性 （2）确定风险影响等级，确定风险等级 （3）根据（1）、（2）编制风险矩阵企业管理风险采用的方式公司公司对风险发生可能性和对目标的影响程度定性评估及其相互对应关系表对风险发生可能性和对目标的影响程度定性评估及其相互对应关系表风险发生风险发生的可能性的可能性文字描述文字描述1 1极不可能极不可能不太可能不太可能可能可能较大可能较大可能极有可能极有可能文字描述文字描述2 2一般情况下不一般情况下不会发生会发生极少情况下极少情况下才会发生才会发生某些情况某些情况下发生下发生较多情况较多情况下发生下发生常常发生常常发

6、生文字描述文字描述3 3今后今后1010年内发年内发生的可能少于生的可能少于1 1次次今后今后5-105-10年年内可能发生内可能发生1 1次次今后今后2-52-5年年内可能发内可能发生生1 1次次今后今后1 1年内年内可能发生可能发生1 1次次今后今后1 1年内年内至少发生至少发生1 1次次对目标的对目标的影响程度影响程度文字描述文字描述1 1极轻微的极轻微的轻微的轻微的中等的中等的重大的重大的灾难性的灾难性的文字描述文字描述2 2极低极低低低中等中等高高极高极高文字描文字描述述3 3安全运安全运营营基本不受影响基本不受影响轻度影响轻度影响中度影响中度影响严重影响严重影响重大影响重大影响财务

7、损财务损失失较低较低轻微的轻微的中等中等重大的重大的极大极大企业声企业声誉誉负面消息在企负面消息在企业内部流传，业内部流传，企业声誉未受企业声誉未受损损负面消息在负面消息在当地局部流当地局部流传，对企业传，对企业声誉造成轻声誉造成轻微危害微危害负面消息负面消息在某区域在某区域流传，对流传，对企业声誉企业声誉造成中等造成中等损害损害负面消息负面消息在全国各在全国各地流传，地流传，对企业声对企业声誉在成重誉在成重大损害大损害负面消息流负面消息流传至世界各传至世界各地，政府或地，政府或监管机构进监管机构进行调查，引行调查，引起公众广泛起公众广泛关注，对企关注，对企业声誉造成业声誉造成无法弥补的无法弥

8、补的损害损害某公司风险定性评价结果表某公司风险定性评价结果表风险事项编号风险事项编号风险发生的可能性风险发生的可能性低低高高中等中等低低中等中等极高极高低低高高极低极低对目标的影响对目标的影响极低极低低低中等中等中等中等低低高高极高极高极高极高高高 对风险发生可能性的高低和风险对目标的影响程度进行定性评价后，依据评价结果绘制风险坐标图。例如某公司对9项风险事项进行了定性评价，评价结果和风险坐标图如下所示：某公司风险坐标图某公司风险坐标图11说明(以固有风险绘制):1 人力资源风险2 财务风险3 竞争风险4 产品开发风险5 客户信用风险6 系统故障风险7 外汇风险8 欺诈风险9 政治风险10 投

9、资风险11 采购风险影响程度影响程度极低极低低低中等中等高高极高极高极高极高高高中等中等低低极低极低1 81073462 115 9可可能能性性风险发生可能性的高低、风险发生后对目标的影响程度作为两个维度绘制在一个平面上（即绘制成直角坐标系）。12极极高高高高中中等等低低极极低低极低极低 低低 中等中等 高高 极高极高 影响程度影响程度 可能性可能性285B B区域区域C C区域区域A A区域区域B B区域区域 承担A A区域区域中的各项风险且不再增加控制措施 严格控制B B区域区域中的各项风险且专门补充制定各项控制措施 确保规避和转移C C区域区域中的各项风险且优先安排实施各项防范措施341

10、769风险坐标图中各项控制措施风险坐标图法 风险坐标图法是在统计分析和经验判断的基础上把风险发生的可能性的高低、风险发生后对目标影响程度的大小作为两个维度绘制在同一直角坐标系内。1、风险发生可能性及对目标影响的定性分析2、针对一个单一资产的风险值计算过程： 所有C区的高风险值 累加后的 平均值：例如： 风险1 = 4* 4 =16 风险2 = 4* 5 =20 那么单个资产值 (16+20)/2 =1814运维管理模块的风险值计算过程15安全运维过程的风险值评估 针对每一个资产所有人发问卷 问卷为周期性发放 通过在线填写方式完善问卷问卷形式下发 每一个问题映射具体的控制措施 根据权重方式计算总

11、体合规率分值计算16安全事故的风险值计算方式安全事故风险评价风险值是风险评价表征量，包括事故的发生概率和事风险值是风险评价表征量，包括事故的发生概率和事故的危害程度。定义为：故的危害程度。定义为： 测量单位时间为周测量单位时间为周后果为事故的严重程度，取事件中严重程度后果为事故的严重程度，取事件中严重程度当事故被解决后，将从风险值计算过程中去除。当事故被解决后，将从风险值计算过程中去除。18技术漏洞的评估与计算方式量化的漏洞和风险评估风险等级：1风险等级：2风险等级：3风险等级：4风险很高，导致系统受到非常严重非常严重影响，需要紧急处理风险高，导致系统受到严重严重影响风险中，导致系统受一般一般

12、影响风险低，进行提示提示即可技术漏洞技术漏洞的量化风险的量化风险n 采用CVSS通用弱点评价体系n 参考信息安全风险评估指南国家标准n 将资产价值、弱点、保护等级相结合资产风险值为风险等级为最高级别漏洞风险值。漏洞风险值的计算过程2021CVSSCVSS (Common Vulnerability Security Scoring) Base Metrics（基本度量） access location, access complexity, authentication, CIA impact Temporal Metrics（时效性） Exploitability, Remediation

13、Level (Patch, etc), Confidence in Available Data Environmental Metrics(环境因素）Collateral Damage, Target DistributionSee /cvss/ Use CVSS equations Base ScoreCompute values at the class level, the CWE entries. Take CWE “Common Consequences” which are based on CIA and use CVSS base sco

14、re formulas for CIA (None, Partial, Full) to compute a numerical CWE impact CWEImpact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact)XImpact = case XImpact of none: 0.0, partial: 0.275, complete: 0.660 Compute values at the code context level Use CVSS base score formulas for Access Vector

15、(Local, Adjacent, Network), Access Complexity (High, Medium, Low), and Authentication (Multiple, Single, None) to compute exploitability.ContextExploitability = 20* AccessVector*AccessComplexity*AuthenticationAccessVector = case AccessVector of requires local access: 0.395, adjacent network accessib

16、le: 0.646, network accessible: 1.0 AccessComplexity = case AccessComplexity of high: 0.35, medium: 0.61, low: 0.71Authentication = case Authentication of requires multiple instances of authentication: 0.45, requires single instance of authentication: 0.56, requires no authentication: 0.704 Compute W

17、eakness Base ScoreWeaknessBaseScore = round_to_1_decimal(0.6*CWEImpact)+(0.4*ContextExploitability)1.5)*f Use CVSS equations Temporal ScoreCVSS Temporal score adds the notion of threat based on proof of exploitability, availability of fix, and report confidence.TemporalScore = round_to_1_decimal(Bas

18、eScore*Exploitability*RemediationLevel*ReportConfidence) Exploitability = case Exploitability of unproven: 0.85, proof-of-concept: 0.9, functional: 0.95 high: 1.00, not defined: 1.00RemediationLevel = case RemediationLevel of official-fix: 0.87, temporary-fix: 0.90, workaround: 0.95, unavailable: 1.00, not defined: 1.00 ReportConfidence = case ReportConfidence of un