第八章 计算机系统安全风险评估

1、2022-5-27电子科技大学成都学院计算机系1电子科技大学成都学院计算机系22022-5-27电子科技大学成都学院计算机系32022-5-27电子科技大学成都学院计算机系42022-5-27电子科技大学成都学院计算机系52022-5-27电子科技大学成都学院计算机系62022-5-27电子科技大学成都学院计算机系72022-5-27电子科技大学成都学院计算机系82022-5-27风险评估途径是指风险评估途径是指规定风险评估应该遵循的规定风险评估应该遵循的操作过程和方式。操作过程和方式。电子科技大学成都学院计算机系92022-5-27安全基线安全基线在诸多标准规范中规定的一组安全控制在诸多标准

2、规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。一定的安全防护水平。采用基线风险评估，组织根据自己的实际情况，对信采用基线风险评估，组织根据自己的实际情况，对信息系统进行安全基线检查，即拿现有的安全措施与安息系统进行安全基线检查，即拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来基本的安全需求，通过选择并实施

3、标准的安全措施来消减和控制风险。消减和控制风险。电子科技大学成都学院计算机系102022-5-27优点优点n所需资源少、周期短、操作简单，对于环境相似且所需资源少、周期短、操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济安全需求相当的诸多组织，基线评估显然是最经济有效地风险评估途径。有效地风险评估途径。缺点缺点n基线水平的高低难以设定。如果过高，可能导致资基线水平的高低难以设定。如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分源浪费和限制过度；如果过低，可能难以达到充分的安全。的安全。n在管理安全相关的变化方面，基线评估比较困难。在管理安全相关的变化方面，基

4、线评估比较困难。电子科技大学成都学院计算机系112022-5-27要求对资产进行详细识别和评估，对可能引起风险要求对资产进行详细识别和评估，对可能引起风险的威胁和脆弱点进行评估，根据风险评估的结果来的威胁和脆弱点进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降到可险管理的思想，即识别资产的风险并将风险降到可接受的水平，以此证明管理者采用的安全控制措施接受的水平，以此证明管理者采用的安全控制措施是恰当的。是恰当的。优点：优点：通过此途径可以对信息安全风险有一个精确通过此途径可以对信息安全

5、风险有一个精确的认识，并且准确定义出组织目前的安全水平和安的认识，并且准确定义出组织目前的安全水平和安全需求。全需求。缺点：缺点：非常耗费资源，包括时间、精力、技术等。非常耗费资源，包括时间、精力、技术等。电子科技大学成都学院计算机系122022-5-27将前面二者相结合！将前面二者相结合！优点：优点： 既节省评估所耗费的资源，又能确保获得一个全面系既节省评估所耗费的资源，又能确保获得一个全面系统的评估结果。统的评估结果。 组织的资源和资金能够应用到最能发挥作用的地方，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。具有高风险的信息系统能够被预先关注。缺点：缺

6、点：如果初步的高级风险评估不够准确，某些本来如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也会被忽略，最终导致结果失准。需要详细评估的系统也会被忽略，最终导致结果失准。电子科技大学成都学院计算机系132022-5-27电子科技大学成都学院计算机系142022-5-27又称为经验法，采用这种方法，组织不需要付出很多又称为经验法，采用这种方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地

7、方，并准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。消减和控制风险的目的。信息源包括：会议讨论；对当前的信息安全策略和相信息源包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；进行实地考察。进行访谈；进行实地考察。电子科技大学成都学院计算机系152022-5-27CORAS安全危急系统的风险分析平台，安全危急系统的风险分析平台，2001年年1月，由希腊、德国、英国、挪威等国的多家商业月，由希

8、腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发。公司和研究机构共同组织开发。目的：目的：开发一个机遇面向对象建模，特别是开发一个机遇面向对象建模，特别是UML技技术的风险评估框架。术的风险评估框架。评估对象：评估对象：对安全要求很高的一般性系统，特别是对安全要求很高的一般性系统，特别是IT系统的安全。系统的安全。电子科技大学成都学院计算机系162022-5-27优点优点 提高了对安全相关特性描述的精确性，改善了分析结果提高了对安全相关特性描述的精确性，改善了分析结果的质量；的质量； 图形化的建模机制便于沟通，减少了理解上的偏差；图形化的建模机制便于沟通，减少了理解上的偏差； 加强

9、了不同评估方法互操作的效率。加强了不同评估方法互操作的效率。电子科技大学成都学院计算机系172022-5-27指运用数量指标来对风险进行评估，即对构成风险指运用数量指标来对风险进行评估，即对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素都被赋值，如资产价值、威当度量风险的所有要素都被赋值，如资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等，胁频率、弱点利用程度、安全措施的效率和成本等，风险评估的整个过程和结果就都可以被量化了。风险评估的整个过程和结果就都可以被量化了。电子科技大学成都学院计算机系182022-5-

10、27优点优点n用直观的数据来表述评估的结果，可以对安全风用直观的数据来表述评估的结果，可以对安全风险进行准确的分级，但这有个前提，即可供参考险进行准确的分级，但这有个前提，即可供参考的数据指标是准确的。的数据指标是准确的。缺点：缺点：n定量分析所依赖的数据的可靠性很难保证；定量分析所依赖的数据的可靠性很难保证；n为了量化，常常将本来比较复杂的事物简单化、为了量化，常常将本来比较复杂的事物简单化、模糊化了，有的风险因素被量化后还可能被误解模糊化了，有的风险因素被量化后还可能被误解和曲解。和曲解。电子科技大学成都学院计算机系192022-5-27n暴露因子暴露因子EF：特定威胁对特定资产造成损失的

11、特定威胁对特定资产造成损失的百分比，即损失的程度。百分比，即损失的程度。n单一损失期望单一损失期望SLE：即特定威胁可能造成的潜在：即特定威胁可能造成的潜在损失总量。损失总量。n年度发生率年度发生率ARO：在一年内估计会发生威胁的在一年内估计会发生威胁的频率。频率。n年度损失期望年度损失期望ALE：表示特定资产在一年内遭受表示特定资产在一年内遭受损失的预期值。损失的预期值。电子科技大学成都学院计算机系202022-5-27定量分析的过程定量分析的过程n识别资产并为资产赋值；识别资产并为资产赋值；n通过威胁和弱点评估，评估特定威胁作用于特定通过威胁和弱点评估，评估特定威胁作用于特定资产所造成的影

12、响，即资产所造成的影响，即EF（0%100%）；）；n计算特定威胁发生的频率计算特定威胁发生的频率ARO；n计算资产的计算资产的SLE：SLE=总资产总资产*EFn计算资产的计算资产的ALE：ALE=SLE*AROn对定量分析来说，有两个指标最为关键：对定量分析来说，有两个指标最为关键：EF和和ARO电子科技大学成都学院计算机系212022-5-27主要依据评估者的知识、经验、历史教训、政策走向主要依据评估者的知识、经验、历史教训、政策走向及特殊情况等非量化资料，对系统风险状况作出判断及特殊情况等非量化资料，对系统风险状况作出判断的过程。的过程。操作方法操作方法有：小组讨论、检查列表、问卷、有

13、：小组讨论、检查列表、问卷、人员访谈、调查等。在此基础上，通过一个理论推导人员访谈、调查等。在此基础上，通过一个理论推导演绎的分析框架作出调查结论。演绎的分析框架作出调查结论。优点：优点：避免了定量方法的缺点，可挖掘出一些蕴藏很避免了定量方法的缺点，可挖掘出一些蕴藏很深的思想，使评估的结论更全面、深刻。深的思想，使评估的结论更全面、深刻。缺点：缺点：主观性很强，往往需要凭借分析者的经验和直主观性很强，往往需要凭借分析者的经验和直觉，或是业界的标准和惯例，为风险管理主要素的大觉，或是业界的标准和惯例，为风险管理主要素的大小或高低程度定性分级。小或高低程度定性分级。电子科技大学成都学院计算机系22

14、2022-5-27n定量分析与定性分析比较：定量分析与定性分析比较：定性分析的精确度不够，定量分析则比价精确，但前定性分析的精确度不够，定量分析则比价精确，但前期建立风险模型较困难；期建立风险模型较困难；定性分析没有定量分析那么繁多的计算负担，但要求定性分析没有定量分析那么繁多的计算负担，但要求分析者有一定的经验和能力；分析者有一定的经验和能力；定性分析不依赖于大量的统计数据，而定量分析则不定性分析不依赖于大量的统计数据，而定量分析则不同；同；定性分析较为主观，定量分析基于客观；定性分析较为主观，定量分析基于客观；定性分析的结果很难有统一的解释，但是定量分析的定性分析的结果很难有统一的解释，但

15、是定量分析的结果很直观，任意理解。结果很直观，任意理解。电子科技大学成都学院计算机系232022-5-27定量分析是定性分析的基础和前提，定性分定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观析应建立在定量分析的基础上才能揭示客观事物的内在规律。所以在复杂的信息系统风事物的内在规律。所以在复杂的信息系统风险评估过程中，应该将这两种方法融合起来。险评估过程中，应该将这两种方法融合起来。电子科技大学成都学院计算机系242022-5-27电子科技大学成都学院计算机系252022-5-27电子科技大学成都学院计算机系262022-5-27电子科技大学成都学院计算机系2720

16、22-5-27电子科技大学成都学院计算机系282022-5-27电子科技大学成都学院计算机系292022-5-27电子科技大学成都学院计算机系302022-5-27电子科技大学成都学院计算机系312022-5-27电子科技大学成都学院计算机系322022-5-27电子科技大学成都学院计算机系332022-5-27电子科技大学成都学院计算机系342022-5-27电子科技大学成都学院计算机系352022-5-27电子科技大学成都学院计算机系362022-5-27电子科技大学成都学院计算机系372022-5-27电子科技大学成都学院计算机系382022-5-27电子科技大学成都学院计算机系3920

17、22-5-27电子科技大学成都学院计算机系402022-5-27电子科技大学成都学院计算机系412022-5-27电子科技大学成都学院计算机系422022-5-27电子科技大学成都学院计算机系432022-5-27电子科技大学成都学院计算机系442022-5-27电子科技大学成都学院计算机系452022-5-27电子科技大学成都学院计算机系462022-5-27电子科技大学成都学院计算机系472022-5-27风险等级风险等级等级标识描述1很低很低一旦发生造成的影响几乎不存在，通过简单的措施一旦发生造成的影响几乎不存在，通过简单的措施就能弥补就能弥补2低低一旦发生造成的影响程度较低，一般仅限于组织内一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快就能解决部，通过一定手段很快就能解决3中中一旦发生会造成一定经济、社