第四章-风险识别和评估-引入-人体的反应课件

第四章风险识别和评估引入:人体的反应第四章风险识别和评估引入:人体的反应10.与风险评估有关的概念威胁－－指可能对资产或组织造成损害的事故的潜在原因薄弱点－－指资产或资产组中能被威胁利用的弱点风险－－特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合0.与风险评估有关的概念2风险评估－－对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估风险管理－－以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程安全控制－－降低安全风险的惯例、程序或机制剩余风险－－实施安全控制后，剩余的安全风险风险评估－－对信息和信息处理设施的3适用性声明－－适用于组织需要的目标和控制的评述。适用性声明是一个包含组织所选择的控制目标与控制方式的文件，相当于一个控制目标与方式清单，其中应阐述选择与不选择的理由适用性声明－－适用于组织需要的目标和控4资产具有价值，并会受到威胁的潜在影响薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成影响威胁与薄弱点的增加导致安全风险的增加安全风险的存在对组织的信息安全提出要求安全控制应满足安全要求资产具有价值，并会受到威胁的潜在影响51.资产识别管理者确认机构的信息资产，将它们归入各个不同的类，并根据它们在总体上的重要性划分优先级别（1）建立信息资产清单

1.资产识别6第四章--风险识别和评估-引入-人体的反应课件7①识别硬件、软件和网络资产－－如果机构利用资产购买清单自动管理系统，CISO或CIO的责任就是确定哪种软件包最适合机构的需要－－没有使用清单自动管理系统的机构就必须建立起类似的人工操作过程－－重要的是，必须确定每一种信息资产的哪些属性需要受到追踪①识别硬件、软件和网络资产8命名：一张设备或程序常用名单IP地址：该属性对网络设备和服务器很有用，但很少对软件有所影响媒体访问控制（MAC）地址：硬件地址产品序列号：一种识别特定设备的惟一序列号，一些软件商也给机构许可的每个程序分配一个软件序列号

命名：一张设备或程序常用名单9资产类型：用于描述每一种资产的功能或作用制造商：当某个制造商公布其产品漏洞时，该属性有助于分析潜在威胁制造型号或部件编号：该编号能正确识别资产，在漏洞分析中很有用软件版本号、更新修订版号或域变更通知号资产类型：用于描述每一种资产的功能或作用10物理位置：该属性并不属于软件要素。但一些机构可能指出在何处可以使用软件的许可条款逻辑位置：用以指定资产在机构内部网络中的位置控制实体：控制资产的机构部门物理位置：该属性并不属于软件要素。但一些机11②识别人员、流程和数据资产－－人力资源、文档和数据信息资产不易识别和引证。应该把识别、描述和评估这些信息资产的职责分配给拥有必要知识、经验和判断能力的管理者②识别人员、流程和数据资产12人员职位名称/编号/ID：不使用始名；使用职称、角色或功能来描述主管名称/编号/ID：不使用始名；使用职称、角色或功能来描述安全检查层特殊技能人员13流程

描述目的相关的软件/硬件/网络要素参考资料存储位置更新数据存储位置流程14数据

分类所有者/创建者/管理者数据结构范围所用的数据结构：比如，连续的或相关的在线或脱机位置备份流程数据15（2）资产分级和分类－－确定资产分类是否对机构风险管理计划有意义－－细分或者新的分类

－－应当制定一项分类方案（若已完成，应对其进行审查），以根据信息资产的敏感度和安全需要对其进行分级－－资产的分级和分类必须既全面而又相互独立

（2）资产分级和分类16（3）评估信息资产价值－－赋给信息资产一个相对价值－－相对价值是一种比较性的价值判定，其可确保在风险管理中，最有价值的信息资产被赋予最高优先级（3）评估信息资产价值17哪种信息资产对机构的成功最为重要？哪种信息资产能带来最大收入？哪种信息资产能使利润最大化？哪种信息资产的更新花费最多？哪种信息资产的保护费用最为昂贵？哪种信息资产的损失或损坏会最易造成麻烦或产生负债？哪种信息资产对机构的成功最为重要？18（4）按重要性顺序列出资产（4）按重要性顺序列出资产192.威胁识别

应用正确的资产分类保护，能够评估每一信息资产的潜在弱点

在威胁识别和漏洞识别过程中的每一步骤都采用独立管理，最终再做协调

2.威胁识别20（1）威胁清单（1）威胁清单21（2）威胁分级①可能性－－威胁发生的可能性受下列因素的影响资产的吸引力资产转化成报酬的容易程度威胁的技术含量漏洞被利用的难易程度（2）威胁分级22PTV－－考虑资产薄弱点因素的威胁发生可能性PT－－未考虑资产薄弱点因素的威胁发生可能性PV－－资产薄弱点被威胁利用的可能性PTV=PT*PVPTV－－考虑资产薄弱点因素的威胁发生可能性PTV=PT*23②威胁的潜在影响潜在影响I＝资产相对价值V*价值损失程度CL价值损失的程度CL是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即CL＝1）但不可能对资产价值没有任何影响（即CL≠0②威胁的潜在影响243.漏洞评估识别了机构的信息资产并建立了关于一些威胁的评估标准的文档，就可以开始检查每一项信息资产以找出其面对的每一种威胁

3.漏洞评估254.风险评估

风险评估对每一具体的漏洞赋给一个风险评价等级或评分，虽然这个数字不能表示任何绝对的意义，但却使你能够衡量与每一信息资产相关的相对风险，而且方便了在以后风险控制过程中建立相对评价等级

4.风险评估26（1）风险测量方法－－风险大小和等级评价原则－－根据风险定义所知，风险是资产所受到的威胁、存在的薄弱点及威胁利用薄弱点所造成的潜在影响三方面共同作用的结果。－－风险是威胁发生的可能性、薄弱点被威胁利用的可能性和威胁的潜在影响的函数，记为（1）风险测量方法－－风险大小和等级评价原则27第四章--风险识别和评估-引入-人体的反应课件28－－无论二元还是三元风险函数，均为增函数，即风险随威胁的可能性、薄弱点的被利用的程度、资产的相对价值的增加（减少）而增加（减少）－－风险大小可以利用二元或三元的方法来测量，风险计算公式可以采用简单的乘法、矩阵风险表等方式表示－－风险评估有很多现成的工具可用，无论采用哪一种，无论是定性的还是定量的，是简单的还是复杂的，重要的是如何将威胁发生所造成的损失和威胁发生的可能性进行量化－－无论二元还是三元风险函数，均为增函数，即29（2）风险测量方法

使用风险矩阵表进行测量－－利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小（2）风险测量方法30例：－－威胁发生的可能性划分为三级：低、中、高－－薄弱点被利用的可能性也划分为三级：低、中、高－－受到威胁的资产相对价值划分为五级（0～4）这样资产共有,3*3*5＝45种风险情况，依据风险函数特性将这45种风险情况按照某种规律赋值，形成事先确定的风险价值表（即确定风险函数R的矩阵表达式）例：31第四章--风险识别和评估-引入-人体的反应课件32－－只要按照前面所述的威胁、薄弱点及资产价值的识别与评价方法确定每一项资产的每一威胁发生的可能性PT，薄弱点被该威胁利用的可能性PV及该资产的相对价值V就可以从事先确定的价值矩阵表中查出对应的风险值R＝R（PT，PV，V）－－只要按照前面所述的威胁、薄弱33二元乘法风险测量R=R（PTV，I）=PTVХ

I二元乘法风险测量34例：例：35网络系统的风险测量－－根据网络系统的重要性（系统的相对价值）V、威胁发生的可能性PTV、威胁发生后的性能降低的可能性PD三个因素来评价风险的大小网络系统的风险测量36第四章--风险识别和评估-引入-人体的反应课件37例：某组织有三个网络系统：管理、工程与电子商务系统的保密性、完整性、可用性均划分为低（1）、中（2）、高（3）三个等级：POPD均划分为5级，并赋予数值例：某组织有三个网络系统：管理、工程与电子商38第四章--风险识别和评估-引入-人体的反应课件39可接受的和不可接受的风险区分方法－－

测量风险的另一个方法就是只区别可接受的和不可接受的风险，这样能以较少的精力完成－－利用此方法，风险测量的结果仅是可接受的或不接受的可接受的和不可接受的风险区分方法40例：－－威胁发生的可能性划分为三级：低、中、高－－薄弱点被利用可能性也分为三级：低、中、高－－受到威胁的资产相对价值划分为五级（0～4）例：41第四章--风险识别和评估-引入-人体的反应课件42（3）风险优先级别确定－－重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护－－组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险的划分（3）风险优先级别确定43第四章--风险识别和评估-引入-人体的反应课件44（4）风险管理工具的选择－－组织可以利用软件支持工具进行风险评估活动，这可以使再评估活动更容易－－选择与使用风险评估管理软件工具时应考虑最起码应该包括数据搜集、分析和结果输出模块所依据的方法应该反映组织的方针和风险评估及管理的全部方法（4）风险管理工具的选择45对风险评估和风险管理的结果能够方便的形成可靠的报告能够保持在数据搜集和分析阶段所采集信息的历史记录，以供将来的调查与评估必须有描述工具的文件与组织中的硬件和软件协调并兼容考虑有关工具的使用培训有关工具的安装与使用指南对风险评估和风险管理的结果能够方便的形成可靠的报告46（5）风险评估结果归档

（5）风险评估结果归档47讨论:风险评估的意义何在？第四章--风险识别和评估-引入-人体的反应课件48第四章风险识别和评估引入:人体的反应第四章风险识别和评估引入:人体的反应490.与风险评估有关的概念威胁－－指可能对资产或组织造成损害的事故的潜在原因薄弱点－－指资产或资产组中能被威胁利用的弱点风险－－特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合0.与风险评估有关的概念50风险评估－－对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估风险管理－－以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程安全控制－－降低安全风险的惯例、程序或机制剩余风险－－实施安全控制后，剩余的安全风险风险评估－－对信息和信息处理设施的51适用性声明－－适用于组织需要的目标和控制的评述。适用性声明是一个包含组织所选择的控制目标与控制方式的文件，相当于一个控制目标与方式清单，其中应阐述选择与不选择的理由适用性声明－－适用于组织需要的目标和控52资产具有价值，并会受到威胁的潜在影响薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成影响威胁与薄弱点的增加导致安全风险的增加安全风险的存在对组织的信息安全提出要求安全控制应满足安全要求资产具有价值，并会受到威胁的潜在影响531.资产识别管理者确认机构的信息资产，将它们归入各个不同的类，并根据它们在总体上的重要性划分优先级别（1）建立信息资产清单

1.资产识别54第四章--风险识别和评估-引入-人体的反应课件55①识别硬件、软件和网络资产－－如果机构利用资产购买清单自动管理系统，CISO或CIO的责任就是确定哪种软件包最适合机构的需要－－没有使用清单自动管理系统的机构就必须建立起类似的人工操作过程－－重要的是，必须确定每一种信息资产的哪些属性需要受到追踪①识别硬件、软件和网络资产56命名：一张设备或程序常用名单IP地址：该属性对网络设备和服务器很有用，但很少对软件有所影响媒体访问控制（MAC）地址：硬件地址产品序列号：一种识别特定设备的惟一序列号，一些软件商也给机构许可的每个程序分配一个软件序列号

命名：一张设备或程序常用名单57资产类型：用于描述每一种资产的功能或作用制造商：当某个制造商公布其产品漏洞时，该属性有助于分析潜在威胁制造型号或部件编号：该编号能正确识别资产，在漏洞分析中很有用软件版本号、更新修订版号或域变更通知号资产类型：用于描述每一种资产的功能或作用58物理位置：该属性并不属于软件要素。但一些机构可能指出在何处可以使用软件的许可条款逻辑位置：用以指定资产在机构内部网络中的位置控制实体：控制资产的机构部门物理位置：该属性并不属于软件要素。但一些机59②识别人员、流程和数据资产－－人力资源、文档和数据信息资产不易识别和引证。应该把识别、描述和评估这些信息资产的职责分配给拥有必要知识、经验和判断能力的管理者②识别人员、流程和数据资产60人员职位名称/编号/ID：不使用始名；使用职称、角色或功能来描述主管名称/编号/ID：不使用始名；使用职称、角色或功能来描述安全检查层特殊技能人员61流程

描述目的相关的软件/硬件/网络要素参考资料存储位置更新数据存储位置流程62数据

分类所有者/创建者/管理者数据结构范围所用的数据结构：比如，连续的或相关的在线或脱机位置备份流程数据63（2）资产分级和分类－－确定资产分类是否对机构风险管理计划有意义－－细分或者新的分类

－－应当制定一项分类方案（若已完成，应对其进行审查），以根据信息资产的敏感度和安全需要对其进行分级－－资产的分级和分类必须既全面而又相互独立

（2）资产分级和分类64（3）评估信息资产价值－－赋给信息资产一个相对价值－－相对价值是一种比较性的价值判定，其可确保在风险管理中，最有价值的信息资产被赋予最高优先级（3）评估信息资产价值65哪种信息资产对机构的成功最为重要？哪种信息资产能带来最大收入？哪种信息资产能使利润最大化？哪种信息资产的更新花费最多？哪种信息资产的保护费用最为昂贵？哪种信息资产的损失或损坏会最易造成麻烦或产生负债？哪种信息资产对机构的成功最为重要？66（4）按重要性顺序列出资产（4）按重要性顺序列出资产672.威胁识别

应用正确的资产分类保护，能够评估每一信息资产的潜在弱点

在威胁识别和漏洞识别过程中的每一步骤都采用独立管理，最终再做协调

2.威胁识别68（1）威胁清单（1）威胁清单69（2）威胁分级①可能性－－威胁发生的可能性受下列因素的影响资产的吸引力资产转化成报酬的容易程度威胁的技术含量漏洞被利用的难易程度（2）威胁分级70PTV－－考虑资产薄弱点因素的威胁发生可能性PT－－未考虑资产薄弱点因素的威胁发生可能性PV－－资产薄弱点被威胁利用的可能性PTV=PT*PVPTV－－考虑资产薄弱点因素的威胁发生可能性PTV=PT*71②威胁的潜在影响潜在影响I＝资产相对价值V*价值损失程度CL价值损失的程度CL是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即CL＝1）但不可能对资产价值没有任何影响（即CL≠0②威胁的潜在影响723.漏洞评估识别了机构的信息资产并建立了关于一些威胁的评估标准的文档，就可以开始检查每一项信息资产以找出其面对的每一种威胁

3.漏洞评估734.风险评估

风险评估对每一具体的漏洞赋给一个风险评价等级或评分，虽然这个数字不能表示任何绝对的意义，但却使你能够衡量与每一信息资产相关的相对风险，而且方便了在以后风险控制过程中建立相对评价等级

4.风险评估74（1）风险测量方法－－风险大小和等级评价原则－－根据风险定义所知，风险是资产所受到的威胁、存在的薄弱点及威胁利用薄弱点所造成的潜在影响三方面共同作用的结果。－－风险是威胁发生的可能性、薄弱点被威胁利用的可能性和威胁的潜在影响的函数，记为（1）风险测量方法－－风险大小和等级评价原则75第四章--风险识别和评估-引入-人体的反应课件76－－无论二元还是三元风险函数，均为增函数，即风险随威胁的可能性、薄弱点的被利用的程度、资产的相对价值的增加（减少）而增加（减少）－－风险大小可以利用二元或三元的方法来测量，风险计算公式可以采用简单的乘法、矩阵风险表等方式表示－－风险评估有很多现成的工具可用，无论采用哪一种，无论是定性的还是定量的，是简单的还是复杂的，重要的是如何将威胁发生所造成的损失和威胁发生的可能性进行量化－－无论二元还是三元风险函数，均为增函数，即77（2）风险测量方法

使用风险矩阵表进行测量－－利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小（2）风险测量方法78例：－－威胁发生的可能性划分为三级：低、中、高－－薄弱点被利用的可能性也划分为三级：低、中、高－－受到威胁的资产相对价值划分为五级（0～4）这样资产共有,3*3*5＝45种风险情况，依据风险函数特性将这45种风险情况按照某种规律赋值，形成事先确定的风险价值表（即确定风险函数R的矩阵表达式）例：79第四章--风险识别和评估-引入-人体的反应课件80－－只要按照前面所述的威胁、薄弱点及资产价值的识别与评价方法确定每一项资产的每一威胁发生的可能性PT，薄弱点被该威胁利用的可能性PV及该资产的相对价值V就可以从事先确定的价值矩阵表中查出对应的风险值R＝R（PT，PV，V）－－只要按照前面所述的威胁、薄弱81二元乘法风险测量R=R（PTV，I）=PTVХ