ch信息安全风险评估

第四章信息安全风险评估本章学习目标了解风险评估的概念、特点和内涵；熟悉风险评估的过程及应注意的问题；了解如何选择恰当的风险评估方法；掌握典型的风险评估方法；了解风险评估实施准备4.1信息安全风险评估基础GB/T20984-2007《信息安全技术信息安全风险评估规范》相关概念资产（Asset）：任何对组织有价值的事如，是安全策略保护的对象。威胁（Threat）:指可能对资产或组织造成损害的事故的潜在原因。脆弱点（Vulnerability）：是指资产或资产组中能被威胁利用的弱点。风险（Risk）：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件的可能性与后果的结合。风险评估（RiskAssessment）：对信息或信息处理设施的威胁、影响和脆弱点及三者发生的可能性的评估。残余风险（ResidualRisk）：采取了安全措施后，信息系统仍然可能存在的风险。风险要素关系风险评估的两种方式自评估和检查评估1自评估“谁主管谁负责，谁运营谁负责”信息系统拥有者依靠自身力量，依据国家风险评估的管理规范和技术标准，对自有的信息系统进行风险评估的活动。优点有利于保密有利于发挥行业和部门内人员的业务特长有利于降低风险评估的费用有利于提高本单位的风险评估能力与信息安全知识风险评估的两种方式1自评估缺点：如果没有统一的规范要求，在缺乏信息系统安全风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位自评估中，可能会存在某些不利的干预，从而影响风险评估结果的客观性，降低评估结果的置信度某些时候，即使自评估的结果比较乐观，也必须与管理层进行沟通风险评估的两种方式2检查评估检查评估是由信息安全主管部门或业务部门发起的一种评估活动，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。检查评估通常都是定期的、抽样进行的评估模式检查评估缺点：间隔时间较长，如一年一次，通常还是抽样进行不能贯穿一个部门信息系统生命周期的全过程，很难对信息系统的整体风险状况作出完整的评价风险评估的两种方式2检查评估检查评估应覆盖但不限于以下内容：自评估方法的检查自评估过程记录检查自评估结果跟踪检查现有安全措施的检查系统输入输出控制的检查软硬件维护制度及实施状况的检查突发事件应对措施的检查数据完整性保护措施的检查审计追踪的检查风险评估的两种方式无论是自评估，还是检查评估，都可以委托风险评估服务技术支持方实施，如国家测评认证机构或安全企业公司。风险分分析原原理风险分分析中中要涉涉及资资产、、威胁胁、脆脆弱性性三个个基本本要素素。风险分分析原原理图图风险分分析原原理风险分分析的的主要要内容容为：：1对资产产进行行识别别，并并对资资产的的价值值进行行赋值值2对威胁胁进行行识别别，描描述威威胁的的属性性（威威胁主主体，，影响响对象象，出出现频频率，，动机机等）），并并对威威胁出出现的的频率率赋值值3对脆弱弱性进进行识识别，，并对对具体体资产产的脆脆弱性性的严严重程程度赋赋值4根据威威胁及及威胁胁利用用脆弱弱性的的难易易程度度判断断安全全时间间发生生的可可能性性根据脆脆弱性性的严严重程程度和和安全全事件件所作作用的的资产产的价价值计计算安安全事事件造造成的的损失失根据安安全事事件发发生的的可能能性以以及安安全事事件出出现后后的损损失，，计算算安全全事件件一旦旦发生生对组组织的的影响响，即即风险险值4.2风险评评估的的过程程4.2.1风险评评估的的基本本步骤骤第一步步：风风险评评估准准备第二步步：风风险因因素识识别第三步步：风风险确确定第四步步：风风险评评价第五步步：风风险控控制第一步步风风险评评估准准备1确定风风险评评估的的目标标风险评评估目目标要要满足足企业业持续续发展展在安安全方方面的的要求求，满满足相相关方方的要要求，，满足足法律律法规规的要要求2风险评评估的的范围围风险评评估范范围可可能是是企业业全部部的信信息以以及与与信息息处理理相关关的各各类资资产、、管理理机构构，也也可能能是某某个独独立的的系统统、关关键业业务流流程、、与客客户知知识产产权相相关的的系统统或部部门等等3选择与与组织织机构构相适适应的的具体体风险险判断断方法法在选择择具体体的风风险判判断方方法时时，应应考虑虑评估估的目目的、、范围围、时时间、、效果果、人人员素素质等等诸多多因素素，使使之能能够与与组织织环境境和安安全要要求相相适应应4建立风风险评评估团团队管理层层、业业务骨骨干、、信息息技术术人员员、技技术专专家等等5获得最最高管管理者者对风风险评评估工工作的的支持持风险评评估过过程应应得到到企业业最高高管理理者的的支持持、批批准，，并对对管理理层和和技术术人员员进行行传达达，应应在组组织内内部对对风险险评估估的相相关内内容进进行培培训，，以明明确相相关人人员在在风险险评估估中的的任务务。第二步步风风险因因素评评估1资产评评估识别信信息资资产，，包括括数据据、软软件、、硬件件、设设备、、服务务、文文档等等，制制定《信息资资产列列表》保密性性、完完整性性、可可用性性是评评价资资产的的三个个安全全属性性风险评评估中中资产产的价价值不不是以以资产产的经经济价价值来来衡量量，而而是由由资产产在这这三个个属性性上的的达成成程度度或者者其安安全属属性未未达成成时所所造成成的影影响程程度来来决定定的。。资产分分类资产赋赋值资产价价值应应根据据资产产在保保密性性、完完整性性和可可用性性上的的赋值值等级级，经经过综综合评评定得得出。。综合合评定定方法法可以以根据据自身身的特特点，，选择择对资资产保保密性性、完完整性性和可可用性性最重重要的的一个个属性性的赋赋值等等级作作为资资产的的最终终赋值值结果果；或或三者者进行行加权权计算算得到到资产产的最最终赋赋值结结果。。第二步步风风险因因素评评估2威胁评评估威胁（（Threat）:指可能能对资资产或或组织织造成成损害害的事事故的的潜在在原因因。威胁分分析包包括：：潜在在威胁胁分析析、威威胁审审计和和入侵侵检测测分析析、综综合分分析威胁赋赋值应应根据据威胁胁发生生的可可能性性和威威胁产产生的的影响响程度度综合合确定定威胁出出现频频率（（发生生的可可能性性）的的赋值值第二步步风风险因因素评评估3弱点评评估脆弱点点（Vulnerability）：是是指资资产或或资产产组中中能被被威胁胁利用用的弱弱点。。脆弱性性识别别可以以以资资产为为核心心，针针对每每一项项需要要保护护的资资产，，识别别可能能被威威胁利利用的的弱点点；也也可以以从物物理、、网络络、系系统、、应用用等层层次进进行识识别，，然后后与资资产、、威胁胁对应应起来来。脆弱性性识别别的方方法主主要有有：问问卷调调查、、工具具检测测、人人工核核查、、文档档查阅阅、渗渗透性性测试试等。。第三步步风风险确确定1现有安安全措措施评评估评估人人员应应对已已采取取的安安全措措施的的有效效性进进行确确认，，即是是否真真正降降低了了系统统的脆脆弱性性，抵抵御了了威胁胁。对对有效效的安安全措措施继继续保保持，，对确确认为为不适适当的的安全全措施施应核核实是是否应应被取取消或或对其其进行行修正正，或或用更更合适适的安安全措措施替替代。。2风险计计算根据以以上评评估产产生的的结果果，计计算出出每项项信息息资产产的风风险值值风险计计算原原理风险值值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全全风险险计算算函数数A：资产产T：威胁胁V：脆弱性Ia：安全事件件所作用的的资产价值值Va：脆弱性严严重程度L：威胁利用用资产的脆脆弱性导致致安全事件件的可能性性F：安全事件件发生后造造成的损失失评估者可根根据自身情情况选择相相应的风险险计算方法法来计算风风险值，如如矩阵法或或相乘法。。第四步风风险判定对所有风险险计算结果果进行等级级化处理，，每个等级级代表了相相应风险的的严重程度度。第五步风风险控制对不可接受受的风险应应根据导致致该风险的的脆弱性制制定风险处处理计划。。风险处理计计划中应明明确采取的的弥补脆弱弱性的安全全措施、预预期效果、、实施条件件、进度安安排、责任任部门等。。安全措施的的选择应从从管理和技技术两个方方面考虑残余风险评评估在对于不可可接受的风风险选择适适当安全措措施后，为为确保安全全措施的有有效性，可可再进行评评估，以判判断实施安安全措施后后的残余风风险是否已已经降低到到可接受的的水平。风险评估文文档记录风险的计算算方法计算原理风险值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全风险险计算函数数A：资产T：威胁V：脆弱性Ia：安全事件件所作用的的资产价值值Va：脆弱性严严重程度L：威胁利用用资产的脆脆弱性导致致安全事件件的可能性性F：安全事件件发生后造造成的损失失评估者可根根据自身情情况选择相相应的风险险计算方法法来计算风风险值，如如矩阵法或或相乘法。。风险的计算算方法风险值计算算涉及的风风险要素：：资产、威威胁、脆弱弱性由威胁和脆脆弱性确定定安全事件件发生的可可能性由资产和脆脆弱性确定定安全事件件的损失由安全事件件发生的可可能性和安安全事件的的损失确定定风险值目前，常用用的计算方方法是矩阵阵法和相乘乘法使用矩阵法法计算风险险值矩阵法主要要适用于由由两个要素素值确定一一个要素值值的情形Z=f(x,y)，函数f采用矩阵法法x=(x1,x2,x3,……,xi,…,xm)1≤i≤mxi为正整数y=(y1,y2,y3,……,yj,…,yn)1≤i≤nyj为正整数以要素x和要素y的取值构造造一个二维维矩阵，矩矩阵行值为为要素y的所有取值值，矩阵列列值为要素素x的所有取值值，矩阵内内mxn个值即为要要素z的取值。使用矩阵法法计算风险险值对于z值的计算，，可以采取取以下计算算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b为正常数Zij的计算需要要根据实际际情况确定定，矩阵内内zij的值不一定定遵循统一一的计算公公式，但必必须具有统统一的增减减趋势，即即如果f是递增函数数，zij的值应随着着xi和yj的值递增，，反之亦然然。使用矩阵法法计算风险险值示例资产资产值威胁威胁发生频率弱点弱点严重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩阵法法计算风险险值示例以资产A1面临的威胁胁T1可以利用的的弱点V1为例，计算算安全风险险值，其他他风险值计计算过程类类似1计算安全事事件发生的的可能性首先由威胁胁发生的频频率和弱点点的严重程程度值构建建安全事件件可能性矩矩阵然后根据T1发生的频率率值和V1严重程度值值在矩阵中中进行对照照，确定安安全事件发发生可能性性值威胁发生的的频率T1=2弱点严重性性程度V1=2安全事件发发生可能性性值=6由于安全事事件发生可可能性将参参与风险事事件值的计计算，为了了构建风险险矩阵，需需对安全事事件发生可可能可能性性进行等级级划分该安全事件件发生可能能性等级为为2使用矩阵法法计算风险险值示例2计算安全事事件的损失失首先由资产产价值和弱弱点严重程程度值构建建安全事件件损失矩阵阵然后对照表表，确定安安全事件损损失值资产A1的价值=2弱点严重性性程度V1=2安全事件损损失值=5由于安全事事件损失值值将参与风风险事件值值的计算，，为了构建建风险矩阵阵，需对安安全事件损损失进行等等级划分该安全事件件损失等级级为1使用矩阵法法计算风险险值示例3计算风险值值首先由安全全事件发生生可能性和和安全事件件损失构建建安全风险险矩阵然后对照表表，确定安安全风险值值安全事件发发生可能性性等级为2安全事件损损失等级为为1安全风险值值=6结果判定，，确定风险险等级划分分根据上述计计算方法，，计算资产产的其他风风险值，并并根据风险险等级划分分表，确定定风险等级级使用相乘法法计算风险险值相乘法主要要用于两个个或多个要要素值确定定一个要素素值的情形形相乘法的原原理z=f(x,y)=xXy也可以相乘乘后开平方方或取模运运算等。使用相乘法法计算风险险值示例以资产A1面临的威胁胁T1可以利用的的弱点V1为例，计算算安全风险险值计算公式x和y的积的平方方根的四舍舍五入结果果设资产A1价值为4，面临的威威胁T1发生的频率率为1，可利用的的弱点V1严重程度为为31计算算安安全全事事件件发发生生的的可可能能性性威胁胁发发生生的的频频率率T1=1弱点点严严重重性性程程度度V1=3安全全事事件件发发生生可可能能性性值值=使用用相相乘乘法法计计算算风风险险值值示示例例2计算算安安全全事事件件的的损损失失资产产价价值值A1=4脆弱弱性性严严重重程程度度V1=3安全全事事件件的的损损失失=3计算算风风险险值值安全全事事件件发发生生可可能能性性=安全全事事件件损损失失=安全全事事件件风风险险值值==6根据据风风险险等等级级划划分分表表，，风风险险等等级级确确定定为为24.6风险险评评估估实实施施4.6.1风险险评评估估实实施施原原则则目标标一一致致关注注重重点点资资产产用户户参参与与重视视质质量量管管理理和和过过程程4.6.2风险险评评估估流流程程1前期期准准备备阶阶段段2现场场调调查查阶阶段段3风险险分分析析阶阶段段4策略略制制定定阶阶段段前期期准准备备阶阶段段背景景资资料料准准备备技术术资资料料准准备备调查查提提纲纲准准备备调查查提提纲纲确确认认签署署保保密密协协议议现场场调调查查阶阶段段人员员调调查查了解解组组织织最最重重视视的的信信息息资资产产、、最最担担心心发发生生的的事事件件以以及及组组织织对对信信息息系系统统安安全全的的期期望望调查查了了解解组组织织中中曾曾经经发发生生过过的的信信息息安安全全相相关关事事件件采用用问问询询、、会会议议、、资资料料审审计计的的形形式式获获取取相相关关的的数数据据，，包包括括目目前前信信息息管管理理的的规规章章制制度度以以及及具具体体实实施施情情况况技术调调查网络架架构调调查绘绘制制被评评估单单位的的网络络拓扑扑结构构；目目前网网络上上的虚虚拟网网划分分与使使用情情况；；明确确网络络边界界；对对业务务系统统的安安全等等级建建议，，确认认目前前达到到的安安全等等级等