信息安全风险评估与风险管理课件

信息安全风险评估与风险管理信息安全风险评估与风险管理一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录信息安全的定义机密性（integrity）：确保该信息仅对已授权访问的人们才可访问只有拥有者许可，才可被其他人访问完整性（confidentiality）：保护信息及处理方法的准确性和完备性；不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：当要求时，即可使用信息和相关资产。不因系统故障或误操作使资源丢失。响应时间要求、故障下的持续运行。其他：可控性、可审查性信息安全的定义机密性（integrity）：

KeywordsI信息安全：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。KeywordsI信息安全：信息的保密性、完整性、可KeywordII威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。KeywordII威胁(Threat):风险评估的目的和意义认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据风险评估的目的和意义信息系统风险模型

所有者攻击者对策漏洞风险威胁资产信息系统风险模型所有者攻击者对策风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录国外相关信息安全风险评估标准简介（1）ISO27001：信息安全管理体系规范、ISO17799信息安全管理实践指南基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施；提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全风险评估方法3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略。OCTAVE实施指南（OCTAVESMCatalogofPractices,Version2.0），该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。国外相关信息安全风险评估标准简介（1）ISO27001：信AS/NZS4360：1999风险管理澳大利亚和新西兰联合开发的风险管理标准将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。ISO/IECTR13335信息技术安全管理指南提出了风险评估的方法、步骤和主要内容。主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。NISTSP800-30：信息技术系统风险管理指南提出了风险评估的方法论和一般原则，风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。国外相关信息安全风险评估标准简介（2）AS/NZS4360：1999风险管理国外相关信息安我国信息安全风险评估标准发展历程2001年，随着GB/T18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。2004年，提出了《信息安全风险评估指南》标准草案，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对《信息安全风险评估指南》进行了修改。2005～2006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术信息安全风险评估规范。我国信息安全风险评估标准发展历程2001年，随着GB/T1《信息安全风险评估规范》标准操作的主要内容引言定义与术语风险评估概述风险评估流程及模型风险评估实施资产识别脆弱性识别威胁识别已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录《信息安全风险评估规范》标准操作的主要内容引言标准内容：引言提出了风险评估的作用、定位及目的。作用：过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面临的风险。定位建立信息安全保障机制中的一种科学方法。目的信息系统所有者：使用本标准为其选择安全措施，实施信息系统保护提供技术支持，依据本标准中提出的安全风险理念选择技术与管理控制措施；风险评估的实施者：依据本标准进行风险评估，依据本标准的判定准则，做出科学的判断。信息系统管理机构：依据本标准对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。标准内容：引言提出了风险评估的作用、定位及目的。范围本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。规范性引用文件说明标准中引用到其他的标准文件或条款。术语和定义对标准中涉及的一些术语进行定义。范围风险评估框架及流程

风险评估中各要素的关系风险评估框架及流程风险评估中各要素的关系风险分析原理

风险分析原理（1）对资产进行识别，并对资产的价值进行赋值；（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；（6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。（1）对资产进行识别，并对资产的价值进行赋值；风险评估实施(1)风险评估的准备

（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）进行系统调研；（5）确定评估依据和方法；（6）获得最高管理者对风险评估工作的支持。风险评估实施(1)风险评估的准备资产识别

资产分类

资产赋值:机密性、完整性、可用性三方面的赋值资产重要性等级

威胁识别威胁分类

威胁来源分类威胁赋值

脆弱性识别

识别内容：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。脆弱性赋值：等级赋值，技术脆弱性与管理脆弱性的结合。 风险评估实施(2)资产识别风险评估实施(2)已有安全措施确认

安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险分析

计算安全事件发生的可能性计算安全事件发生后的损失计算风险值风险等级判定

风险评估实施(3)已有安全措施确认风险评估实施(3)风险评估文件记录风险评估文件记录的要求

风险评估文件

的类型、多少风险评估方案资产识别清单重要资产清单威胁列表脆弱性列表风险评估报告风险处理计划风险评估实施(4)风险评估文件记录风险评估实施(4)信息系统生命周期各阶段的风险评估

规划阶段的风险评估

设计阶段的风险评估

实施阶段的风险评

运行维护阶段的风险评估

废弃阶段的风险评估

每个阶段的实施内容稍有不同，目的和方法一致。信息系统生命周期各阶段的风险评估规划阶段的风险评估风险评估的工作形式

自评估

适用于对自身的信息系统进行安全风险的识别、评价自评估可以委托风险评估服务技术支持方实施，也可以自行实施检查评估：一般由主管机关发起，通常都是定期的、抽样进行的评估模式旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内风险评估应以自评估为主，检查评估对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。

风险评估的工作形式自评估附录风险的计算方法矩阵法：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。相乘法：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算。风险评估的工具风险评估与管理工具

系统基础平台风险评估工具

风险评估辅助工具

附录风险的计算方法一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录现有风险评估方法综述（1）定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的对比。基于系统安全模型体系的分析方法：针对某个典型的（或固定）的系统，建立其安全要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系。现有风险评估方法综述（1）定性分析方法：针对某个被评估对象，现有风险评估方法综述（2）定性分析方法定性分析方法一般适用于：a）风险识别；b）造成风险的原因分析；c）威胁发生所造成的影响分析等。例如：针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度；现有风险评估方法综述（2）定性分析方法现有风险评估方法综述（3）

定量分析方法以获取到或采取一定方法量化后得到的被调查对象的定量数据为基本材料，依据一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用于：a）确立威胁发生概率；b）预测系统风险发生概率；c）确立系统总体风险评价等。例如：对运行在某个平台上的不同主机、应用系统分别进行等价化的赋值，综合分析每个资产的威胁、脆弱性，得到各资产的风险量化值。现有风险评估方法综述（3）定量分析方法现有风险评估方法综述（4）

基于系统安全模型体系的分析方法在一般风险评估原理的指导下，针对被评估信息系统实际情况（包括：系统技术特性、组织特性、资产情况、安全假设、脆弱点、威胁、保护措施等）建立有针对性、合理的评估安全需求；同时建立评估指标体系、评估流程、评估模型，通过系统对评估要求的满足程度进行判断风险评估的指导作用。例如：网上政务安信息系统安全保障要求HIS系统安全保障要求实际固化了前期的资产识别、威胁分析，仅做审核、结论性判断。现有风险评估方法综述（4）基于系统安全模型体系的分析方法1）资产识别与赋值

2）资产的安全属性赋值及权重计算；

3）威胁分析；

4）薄弱点分析；

5）已有控制措施分析；

6）影响分析；

7）可能性分析；

8）风险计算；

9）风险控制措施制定；

评估步骤1）资产识别与赋值

2）资产的安全属性赋值及权重计算；

3）1、资产的识别资产识别之前必须界定范围识别资产最简单的方法就是列出对组织或组织的特定部门的业务过程有价值的任何事物资产包括:数据与文档/书面文件/软件/实物资产/人员/服务1、资产的识别资产识别之前必须界定范围资产识别的类型资产识别的类型2、资产的安全属性赋值及权重计算

信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。2、资产的安全属性赋值及权重计算信息资资产价值与信息安全特性的关系等级机密性1资产对防止信息非授权泄露、破坏方面的要求可以忽略。机密性价值或潜在影响可以忽略2资产对防止信息非授权泄露、破坏方面的要求有限。机密性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息非授权泄露、破坏方面的要求一般机密性价值中等，潜在影响重大，但可以弥补4资产对防止信息非授权泄露、破坏方面的要求较高机密性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息非授权泄露、破坏方面的要求很高机密性价值非常关键，具有致命性的潜在影响例：对应用软件，其机密性表现在配置数据失密、账号口令信息失密、关键算法失密等。资产价值与信息安全特性的关系等级机密性1资产对防止信息非授权资产价值与信息安全特性的关系等级完整性1资产对防止信息非授权修改、破坏方面的要求可以忽略。完整性价值或潜在影响可以忽略2资产对防止信息非授权修改、破坏方面的要求有限。完整性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息非授权修改、破坏方面的要求一般完整性价值中等，潜在影响重大，但可以弥补4资产对防止信息非授权修改、破坏方面的要求较高完整性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息非授权修改、破坏方面的要求很高完整性价值非常关键，具有致命性的潜在影响例：对应用软件，其完整性表现在配置数据被修改、软件被修改、数据被修改资产价值与信息安全特性的关系等级完整性1资产对防止信息非授权资产价值与信息安全特性的关系等级可用性1资产对防止信息不可用方面的要求可以忽略。可用性价值或潜在影响可以忽略2资产对防止信息不可用方面的要求有限。可用性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息不可用方面的要求一般可用性价值中等，潜在影响重大，但可以弥补4资产对防止信息不可用方面的要求较高可用性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息不可用方面的要求很高可用性价值非常关键，具有致命性的潜在影响例：对应用软件，其完整性表现在软件故障、丧失控制权。资产价值与信息安全特性的关系等级可用性1资产对防止信息不可用3、威胁分析与评价对组织需要保护的每一项重要信息资产进行威胁识别应考虑:资产所处的环境条件资产以前遭受威胁损害的情况来判断:一项资产可能面临着多个威胁一个威胁可能对不同的资产造成影响威胁识别应确认威胁由谁或什么事物引发威胁可能来源于意外的，或有预谋的事件3、威胁分析与评价对组织需要保护的每一项重要信息资产进威胁的识别与评价 威胁列表:空气中的悬浮颗粒/灰尘维护错误空调故障 恶意软件存储媒体的老化 用户身份的伪装电子邮件炸弹 未授权网络访问地震 操作人员的错误窃听 供电波动环境污染 否定或抵赖极端的温度和湿度 软件故障通信服务故障 员工短缺威胁的识别与评价 威胁列表:

威胁的识别与评价

威胁列表(续):火灾传输错误洪水软件未授权使用硬件故障存储媒体未授权使用软件的非法进/出口软件被未授权用户使用软件的非法使用软件以未经许可的方法使用工业活动用户错误闪电故意破坏通信电缆损坏资源滥用网络组件的故障盗窃电力供应故障飓风供应故障通信量超载威胁的识别与评价 威胁列表(续):分析威胁与C,I,A之间的关系例如:电脑遭遇黒客入侵资产是电脑威胁是黒客攻击薄弱点是口令强度不够等

在考虑此威胁发生时,对此资产而言,最先遭破坏的是完整性,其次才是保密性或可用性。分析威胁与C,I,A之间的关系例如:电脑遭遇黒客入侵4、薄弱点分析与评价由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点。来自组织结构/人员/管理/程序/资产本身的缺陷应针对每一项信息资产，找出每一种威胁所能利用的薄弱点4、薄弱点分析与评价由于组织缺乏充分的安全控制，组织需要保护有关实物和环境安全方面的薄弱点列表薄弱点利用薄弱点的威胁对建筑、房屋和办公室实物访问控制的不充分或疏忽故意破坏对于建筑、门和窗缺乏物理保护盗窃位于易受洪水影响的区域洪水未保护的储藏库盗窃缺乏维护程序或维护作业指导维护人员操作失误缺乏定期的设备更新计划存储媒体老化设备缺乏必要防护措施空气中的颗粒/灰尘设备对温度变化敏感或缺乏空调设备极端温度(高温或低温)设备易受电压变化的影响、不稳定的高压输电网、确保供电保护设施电压波动有关实物和环境安全方面的薄弱点列表薄弱点利用薄弱点的威胁对建例：常见系统薄弱点及其对应威胁

例：常见系统薄弱点及其对应威胁

5、已有安全控制分析与确认 识别已经存在和策划了的安全控制 对现有的和已计划好的控制加以确定，可以避免不必要的工作和费用应核查控制是否有效。移除？替换？增加？保留？现有的或已计划好的控制是否和将要采取的安全控制相一致？5、已有安全控制分析与确认 识别已经存在和策划了的6、威胁影响分析

评价威胁发生所造成的后果或潜在影响不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值(或重要度)为限。对影响的评估，应在脆弱性严重程度的基础上考虑。脆弱性越严重，表明被威胁利用后产生的后果越严重；被某个威胁利用的脆弱性越多，其造成的影响也越大。采用5个等级来描述影响程度，对不同的资产有不同评价原则。参考《威胁影响程度判断准则》6、威胁影响分析评价威胁发生所造成的后果或潜在影响威胁影响程度判断准则

威胁影响保密性（C）客户对业务/服务的影响

CI/AI/A1公开信息几乎无影响几乎不影响2内部公开信息对单次合同产生负面影响影响单项业务，且可立即恢复3敏感信息可能导致一次中小合同流失影响单项业务，可部分恢复4属于组织秘密，泄漏会引起经济赔偿可能导致数次中小合同或一次大合同失败，引起经济赔偿导致系统资源故障，影响大部分业务5属于组织机密，泄漏会引起法律诉讼及经济赔偿可能导致客户或合作伙伴的丢失，引起法律诉讼及经济赔偿2天以上业务内无法恢复威胁影响程度判断准则威胁影响保密性（C）客户对业7、威胁的可能性分析组织应根据专家意见或有关的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下列因素的影响:资产的吸引力资产转化成报酬的容易程度威胁的技术含量薄弱点被利用的难易程度7、威胁的可能性分析组织应根据专家意见或有关的统计数赋值描述说明5很高预期在大多数情况下发生，不可避免（>90%）（或≥1次/周）4高（很可能）在大多数情况下，很有可能会发生（50%~90%）（或≥1次/月）3中等（可能）在某种情况下或某个时间，可能会发生（20%~50%）（或>1次/半年）2低（不太可能）发生的可能性很小，不太可能（<20%）1极低仅在非常例外的情况下发生，非常罕见，几乎不可能（0%~1%）赋值描述说明5很高预期在大多数情况下发生，不可避免（>90%8、风险值的计算威胁的风险值（RT）＝威胁的影响值(I)×威胁发生的可能性(P)8、风险值的计算威胁的风险值（RT）＝威胁的影响值(I)×威9、风险控制措施确定

组织根据风险评估的结果，确定不可接受风险的范围，制定风险处理计划，增加控制措施，从而降低风险。安全控制的识别和选择：依据---风险评估的结果原则---费用与风险平衡构成---技术控制措施或管理控制措施确定风险的等级和组织的可接受水平：9、风险控制措施确定组织根据风险评估的结果，确实施风险控制风险确认与接受

为确保组织的信息安全，残余风险应在可接受范围内残余风险R(r)=原有风险R(0)-控制R残余风险R（r）<=可接受风险R(t)安全控制实施风险确认接受不接受增加控制实施风险控制风险确认与接受残余风险R(r)=原有风险R(0)风险控制曲线图风险R资产序列原有风险曲线可接受风险曲线残余风险曲线风险控制曲线图风险R资产序列原有风险曲线可接受风险曲线残余风信息安全风险评估与风险管理信息安全风险评估与风险管理风险控制要点风险是一个变数!要定期进行风险评估在以下情况进行临时评估当组织新增信息资产时当系统发生重大变更时发生严重信息安全事故时风险控制要点风险是一个变数!一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录风险评估的输出结果资产识别4.1资产识别表资产赋值威胁分析4.3资产威胁表4.2重要资产赋值表

脆弱性分析4.6不可接受风险处理计划表

影响、可能性分析4.5信息资产综合风险值表

风险计算及评估结果4.4脆弱性汇总表风险评估报告风险评估的输出结果资产识别4.1资产识别表资产赋值威胁分反映了：资产名称描述范围重要性程度部门所属业务流程4.1资产识别表

风险评估的输出结果——资产识别表反映了：4.1资产识别表风险评估的输出结果——资产识别反映了：资产名称描述范围机密性、可用性、完整性评分等级资产与信息安全系数关系所属业务流程4.2重要资产赋值表

风险评估的输出结果——重要资产列表反映了：4.2重要资产赋值表风险评估的输出结果——重要反映了：资产名称面临的威胁类具体可能的威胁4.3资产威胁表

风险评估的输出结果——威胁列表反映了：4.3资产威胁表风险评估的输出结果——威胁列表反映了：脆弱性分类（网络、操作系统、管理、数据库等）脆弱性的详细描述脆弱性的严重程度与威胁的对应关系可能影响的资产4.4脆弱性汇总表风险评估的输出结果——脆弱性识别表反映了：4.4脆弱性汇总表风险评估的输出结果——脆弱性识别反映了：资产名称资产面临的威胁可能被威胁利用的脆弱电威胁发生的可能性威胁的影响程度4.5信息资产综合风险值表风险评估的输出结果——资产风险表反映了：4.5信息资产综合风险值表风险评估的输出结果——资反映了：资产名称威胁/薄弱点风险系数风险处理措施优先处理等级，等。4.6不可接受风险处理计划表

风险评估的输出结果——风险处理计划反映了：4.6不可接受风险处理计划表风险评估的输出结果——风险评估报告评估方法信息系统分析与描述业务信息流分析资产识别与划分威胁分析安全风险分析与统计信息系统脆弱性评估报告：以资产为主线，描述各资产存在的脆弱性，包括：主要服务器操作系统、数据库系统应用系统网络与交换设备安全管理体系物理环境4.7风险评估报告

风险评估的输出结果——风险评估报告风险评估报告4.7风险评估报告风险评估的输出结果——风一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一项基础性工作。1、信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面2、信息安全风险管理贯穿信息系统生命周期的全部过程。3、信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一风险管理的对象与范围信息自身：各类以电子形式或纸面文档方式表示的数据材料。信息载体：支持信息处理的网络平台、通信平台、系统平台、应用软件等。信息环境：支持系统运行的环境。包括环境设施、运行与维护、管理体系等内容。风险管理的对象与范围信息自身：各类以电子形式或纸面文档方式表风险控制措施确定

组织根据风险评估的结果，确定不可接受风险的范围，制定风险处理计划，增加控制措施，从而降低风险。安全控制的识别和选择：依据---风险评估的结果原则---费用与风险平衡构成---技术控制措施或管理控制措施确定风险的等级和组织的可接受水平：风险控制措施确定组织根据风险评估的结果，确定不实施风险控制风险降低示意图

威胁发生可能性威胁的潜在影响(后果)R—风险

R1R3R2高中低低中高实施风险控制风险降低示意图威威胁的潜在影响(后果)R—风险风险确认与接受

为确保组织的信息安全，残余风险应在可接受范围内残余风险R(r)=原有风险R(0)-控制R残余风险R（r）<=可接受风险R(t)安全控制实施风险确认接受不接受增加控制风险确认与接受残余风险R(r)=原有风险R(0)-控制R安一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录识别本单位信息安全的风险状况重要的资产面临的威胁现有的安全措施和薄弱点可能的风险制定适合于本单位的风险评估程序评估流程评估管理制度，角色和责任资产重要性、后果与影响、威胁可能性的判据薄弱点的识别方法建立风险控制措施或安全需求根据评估结果，制定风险处理计划根据实际要求，制定本单位的安全需求或安全规划 此次各试点单位风险评估的成果识别本单位信息安全的风险状况此次各试点单位风险评估的成果谢谢Question？谢谢信息安全风险评估与风险管理信息安全风险评估与风险管理一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录信息安全的定义机密性（integrity）：确保该信息仅对已授权访问的人们才可访问只有拥有者许可，才可被其他人访问完整性（confidentiality）：保护信息及处理方法的准确性和完备性；不因人为的因素改变原有的内容，保证不被非法改动和销毁可用性（availability）：当要求时，即可使用信息和相关资产。不因系统故障或误操作使资源丢失。响应时间要求、故障下的持续运行。其他：可控性、可审查性信息安全的定义机密性（integrity）：

KeywordsI信息安全：信息的保密性、完整性、可用性的保持。风险评估：对信息和信息处理设施的威胁，影响和薄弱点以及威胁发生的可能性的评估。风险管理：以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。威胁：是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。KeywordsI信息安全：信息的保密性、完整性、可KeywordII威胁(Threat):是指可能对资产或组织造成损害的事故的潜在原因。薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。风险(Risk):特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。KeywordII威胁(Threat):风险评估的目的和意义认识现有的资产及其价值对信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估通过安全评估，能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据风险评估的目的和意义信息系统风险模型

所有者攻击者对策漏洞风险威胁资产信息系统风险模型所有者攻击者对策风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响风险计算依据价值资产拥有者信息资产威胁来源风险后果可能性难易一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录国外相关信息安全风险评估标准简介（1）ISO27001：信息安全管理体系规范、ISO17799信息安全管理实践指南基于风险管理的理念，提出了11个控制大类、34个控制目标和133个控制措施；提出风险评估的要求，并未对适用于信息系统的风险评估方法和管理方法做具体的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大学软件工程研究所（CMU/SEI）开发的一种综合的、系统的信息安全风险评估方法3个阶段8个过程。3个阶段分别是建立企业范围内的安全需求、识别基础设施脆弱性、决定安全风险管理策略。OCTAVE实施指南（OCTAVESMCatalogofPractices,Version2.0），该实施指南阐述了具体的安全策略、威胁轮廓和实施调查表。国外相关信息安全风险评估标准简介（1）ISO27001：信AS/NZS4360：1999风险管理澳大利亚和新西兰联合开发的风险管理标准将对象定位在“信息系统”；在资产识别和评估时，采取半定量化的方法，将威胁、风险发生可能性、造成的影响划分为不同的等级。分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。ISO/IECTR13335信息技术安全管理指南提出了风险评估的方法、步骤和主要内容。主要步骤包括：资产识别、威胁识别、脆弱性识别、已有控制措施确认、风险计算等过程。NISTSP800-30：信息技术系统风险管理指南提出了风险评估的方法论和一般原则，风险及风险评估概念：风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。国外相关信息安全风险评估标准简介（2）AS/NZS4360：1999风险管理国外相关信息安我国信息安全风险评估标准发展历程2001年，随着GB/T18336的正式发布，从风险的角度来认识、理解信息安全也逐步得到了业界的认可。2003年，国务院信息化办公室成立了风险评估研究课题组，对风险评估相关问题进行研究。2004年，提出了《信息安全风险评估指南》标准草案，其规定了风险评估的一些内容和流程，基本与SP800-30中的内容一致。2005年，国信办在全国4个省市和3个行业进行风险评估的试点工作，根据试点结果对《信息安全风险评估指南》进行了修改。2005～2006年，通过了国家标准立项的一系列程序，目前已进入正式发布阶段。正式定名为：信息技术信息安全风险评估规范。我国信息安全风险评估标准发展历程2001年，随着GB/T1《信息安全风险评估规范》标准操作的主要内容引言定义与术语风险评估概述风险评估流程及模型风险评估实施资产识别脆弱性识别威胁识别已有安全措施确认风险评估在信息系统生命周期中的不同要求风险评估的形式及角色附录《信息安全风险评估规范》标准操作的主要内容引言标准内容：引言提出了风险评估的作用、定位及目的。作用：过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析，确定信息系统面临的安全风险，从技术和管理两个层面综合判断信息系统面临的风险。定位建立信息安全保障机制中的一种科学方法。目的信息系统所有者：使用本标准为其选择安全措施，实施信息系统保护提供技术支持，依据本标准中提出的安全风险理念选择技术与管理控制措施；风险评估的实施者：依据本标准进行风险评估，依据本标准的判定准则，做出科学的判断。信息系统管理机构：依据本标准对信息系统及其管理进行安全检查，推动行业或地区信息安全风险管理的实施。标准内容：引言提出了风险评估的作用、定位及目的。范围本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点，适用于组织开展的风险评估工作。规范性引用文件说明标准中引用到其他的标准文件或条款。术语和定义对标准中涉及的一些术语进行定义。范围风险评估框架及流程

风险评估中各要素的关系风险评估框架及流程风险评估中各要素的关系风险分析原理

风险分析原理（1）对资产进行识别，并对资产的价值进行赋值；（2）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；（3）对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；（6）根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。（1）对资产进行识别，并对资产的价值进行赋值；风险评估实施(1)风险评估的准备

（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）进行系统调研；（5）确定评估依据和方法；（6）获得最高管理者对风险评估工作的支持。风险评估实施(1)风险评估的准备资产识别

资产分类

资产赋值:机密性、完整性、可用性三方面的赋值资产重要性等级

威胁识别威胁分类

威胁来源分类威胁赋值

脆弱性识别

识别内容：技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。脆弱性赋值：等级赋值，技术脆弱性与管理脆弱性的结合。 风险评估实施(2)资产识别风险评估实施(2)已有安全措施确认

安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险分析

计算安全事件发生的可能性计算安全事件发生后的损失计算风险值风险等级判定

风险评估实施(3)已有安全措施确认风险评估实施(3)风险评估文件记录风险评估文件记录的要求

风险评估文件

的类型、多少风险评估方案资产识别清单重要资产清单威胁列表脆弱性列表风险评估报告风险处理计划风险评估实施(4)风险评估文件记录风险评估实施(4)信息系统生命周期各阶段的风险评估

规划阶段的风险评估

设计阶段的风险评估

实施阶段的风险评

运行维护阶段的风险评估

废弃阶段的风险评估

每个阶段的实施内容稍有不同，目的和方法一致。信息系统生命周期各阶段的风险评估规划阶段的风险评估风险评估的工作形式

自评估

适用于对自身的信息系统进行安全风险的识别、评价自评估可以委托风险评估服务技术支持方实施，也可以自行实施检查评估：一般由主管机关发起，通常都是定期的、抽样进行的评估模式旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内风险评估应以自评估为主，检查评估对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及用户实施自评估后采取风险控制措施取得的效果。

风险评估的工作形式自评估附录风险的计算方法矩阵法：通过构造两两要素计算矩阵，得到第三个要素的判断值，是一种基于经验的判断方法。相乘法：直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确，直接按照统一公式计算。风险评估的工具风险评估与管理工具

系统基础平台风险评估工具

风险评估辅助工具

附录风险的计算方法一、风险评估中的概念及模型二、风险评估标准三、风险评估流程与方法四、风险评估的输出结果五、风险管理六、总结目录一、风险评估中的概念及模型目录现有风险评估方法综述（1）定性分析方法：针对某个被评估对象，确定其潜在的风险，描述可能引起风险的原因。定量分析方法：在某个基准上，建立不同资产的等级化评价模型，定量描述某个资产的风险值，可以做到不同资产之间风险状况的对比。基于系统安全模型体系的分析方法：针对某个典型的（或固定）的系统，建立其安全要素的模型，以及判定某个要素的条件和内容，有相对完善、固定的评估模型体系。现有风险评估方法综述（1）定性分析方法：针对某个被评估对象，现有风险评估方法综述（2）定性分析方法定性分析方法一般适用于：a）风险识别；b）造成风险的原因分析；c）威胁发生所造成的影响分析等。例如：针对操作系统，采用扫描工具，发现其漏洞，指明漏洞的严重程度；现有风险评估方法综述（2）定性分析方法现有风险评估方法综述（3）

定量分析方法以获取到或采取一定方法量化后得到的被调查对象的定量数据为基本材料，依据一定的算法进行分析、计算、综合，然后得出结果数据。定量分析方法一般适用于：a）确立威胁发生概率；b）预测系统风险发生概率；c）确立系统总体风险评价等。例如：对运行在某个平台上的不同主机、应用系统分别进行等价化的赋值，综合分析每个资产的威胁、脆弱性，得到各资产的风险量化值。现有风险评估方法综述（3）定量分析方法现有风险评估方法综述（4）

基于系统安全模型体系的分析方法在一般风险评估原理的指导下，针对被评估信息系统实际情况（包括：系统技术特性、组织特性、资产情况、安全假设、脆弱点、威胁、保护措施等）建立有针对性、合理的评估安全需求；同时建立评估指标体系、评估流程、评估模型，通过系统对评估要求的满足程度进行判断风险评估的指导作用。例如：网上政务安信息系统安全保障要求HIS系统安全保障要求实际固化了前期的资产识别、威胁分析，仅做审核、结论性判断。现有风险评估方法综述（4）基于系统安全模型体系的分析方法1）资产识别与赋值

2）资产的安全属性赋值及权重计算；

3）威胁分析；

4）薄弱点分析；

5）已有控制措施分析；

6）影响分析；

7）可能性分析；

8）风险计算；

9）风险控制措施制定；

评估步骤1）资产识别与赋值

2）资产的安全属性赋值及权重计算；

3）1、资产的识别资产识别之前必须界定范围识别资产最简单的方法就是列出对组织或组织的特定部门的业务过程有价值的任何事物资产包括:数据与文档/书面文件/软件/实物资产/人员/服务1、资产的识别资产识别之前必须界定范围资产识别的类型资产识别的类型2、资产的安全属性赋值及权重计算

信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。2、资产的安全属性赋值及权重计算信息资资产价值与信息安全特性的关系等级机密性1资产对防止信息非授权泄露、破坏方面的要求可以忽略。机密性价值或潜在影响可以忽略2资产对防止信息非授权泄露、破坏方面的要求有限。机密性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息非授权泄露、破坏方面的要求一般机密性价值中等，潜在影响重大，但可以弥补4资产对防止信息非授权泄露、破坏方面的要求较高机密性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息非授权泄露、破坏方面的要求很高机密性价值非常关键，具有致命性的潜在影响例：对应用软件，其机密性表现在配置数据失密、账号口令信息失密、关键算法失密等。资产价值与信息安全特性的关系等级机密性1资产对防止信息非授权资产价值与信息安全特性的关系等级完整性1资产对防止信息非授权修改、破坏方面的要求可以忽略。完整性价值或潜在影响可以忽略2资产对防止信息非授权修改、破坏方面的要求有限。完整性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息非授权修改、破坏方面的要求一般完整性价值中等，潜在影响重大，但可以弥补4资产对防止信息非授权修改、破坏方面的要求较高完整性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息非授权修改、破坏方面的要求很高完整性价值非常关键，具有致命性的潜在影响例：对应用软件，其完整性表现在配置数据被修改、软件被修改、数据被修改资产价值与信息安全特性的关系等级完整性1资产对防止信息非授权资产价值与信息安全特性的关系等级可用性1资产对防止信息不可用方面的要求可以忽略。可用性价值或潜在影响可以忽略2资产对防止信息不可用方面的要求有限。可用性价值较低，潜在影响可以忍受，较容易弥补3资产对防止信息不可用方面的要求一般可用性价值中等，潜在影响重大，但可以弥补4资产对防止信息不可用方面的要求较高可用性价值较高，潜在影响严重，企业将蒙受严重损失，难以弥补5资产对防止信息不可用方面的要求很高可用性价值非常关键，具有致命性的潜在影响例：对应用软件，其完整性表现在软件故障、丧失控制权。资产价值与信息安全特性的关系等级可用性1资产对防止信息不可用3、威胁分析与评价对组织需要保护的每一项重要信息资产进行威胁识别应考虑:资产所处的环境条件资产以前遭受威胁损害的情况来判断:一项资产可能面临着多个威胁一个威胁可能对不同的资产造成影响威胁识别应确认威胁由谁或什么事物引发威胁可能来源于意外的，或有预谋的事件3、威胁分析与评价对组织需要保护的每一项重要信息资产进威胁的识别与评价 威胁列表:空气中的悬浮颗粒/灰尘维护错误空调故障 恶意软件存储媒体的老化 用户身份的伪装电子邮件炸弹 未授权网络访问地震 操作人员的错误窃听 供电波动环境污染 否定或抵赖极端的温度和湿度 软件故障通信服务故障 员工短缺威胁的识别与评价 威胁列表:

威胁的识别与评价

威胁列表(续):火灾传输错误洪水软件未授权使用硬件故障存储媒体未授权使用软件的非法进/出口软件被未授权用户使用软件的非法使用软件以未经许可的方法使用工业活动用户错误闪电故意破坏通信电缆损坏资源滥用网络组件的故障盗窃电力供应故障飓风供应故障通信量超载威胁的识别与评价 威胁列表(续):分析威胁与C,I,A之间的关系例如:电脑遭遇黒客入侵资产是电脑威胁是黒客攻击薄弱点是口令强度不够等

在考虑此威胁发生时,对此资产而言,最先遭破坏的是完整性,其次才是保密性或可用性。分析威胁与C,I,A之间的关系例如:电脑遭遇黒客入侵4、薄弱点分析与评价由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点。来自组织结构/人员/管理/程序/资产本身的缺陷应针对每一项信息资产，找出每一种威胁所能利用的薄弱点4、薄弱点分析与评价由于组织缺乏充分的安全控制，组织需要保护有关实物和环境安全方面的薄弱点列表薄弱点利用薄弱点的威胁对建筑、房屋和办公室实物访问控制的不充分或疏忽故意破坏对于建筑、门和窗缺乏物理保护盗窃位于易受洪水影响的区域洪水未保护的储藏库盗窃缺乏维护程序或维护作业指导维护人员操作失误缺乏定期的设备更新计划存储媒体老化设备缺乏必要防护措施空气中的颗粒/灰尘设备对温度变化敏感或缺乏空调设备极端温度(高温或低温)设备易受电压变化的影响、不稳定的高压输电网、确保供电保护设施电压波动有关实物和环境安全方面的薄弱点列表薄弱点利用薄弱点的威胁对建例：常见系统薄弱点及其对应威胁

例：常见系统薄弱点及其对应威胁

5、已有安全控制分析与确认 识别已经存在和策划了的安全控制 对现有的和已计划好的控制加以确定，可以避免不必要的工作和费用应核查控制是否有效。移除？替换？增加？保留？现有的或已计划好的控制是否和将要采取的安全控制相一致？5、已有安全控制分析与确认 识别已经存在和策划了的6、威胁影响分析

评价威胁发生所造成的后果或潜在影响不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值(或重要度)为限。对影响的评估，应在脆弱性严重程度的基础上考虑。脆弱性越严重，表明被威胁利用后产生的后果越严重；被某个威胁利用的脆弱性越多，其造成的影响也越大。采用5个等级来描述影响程度，对不同的资产有不同评价原则。参考《威胁影响程度判断准则》6、威胁影响分析评价威胁发生所造成的后果或潜在影响威胁影响程度判断准则

威胁影响保密性（C）客户对业务/服务的影响

CI/AI/A1公开信息几乎无影响几乎不影响2内部公开信息对单次合同产生负面影响影响单项业务，且可立即恢复3敏感信息可能导致一次中小合同流失影响单项业务，可部分恢复4属于组织秘密，泄漏会引起经济赔偿可能导致数次中小合同或一次大合同失败，引起经济赔偿导致系统资源故障，影响大部分业务5属于组织机密，泄漏会引起法律诉讼及经济赔偿可能导致客户或合作伙伴的丢失，引起法律诉讼及经济赔偿2天以上业务内无法恢复威胁影响程度判断准则威胁影响保密性（C）客户对业7、威胁的可能性分析组织应根据专家意见或有关的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下列因素的影响:资产的吸引力资产转化成报酬的容易程度威胁的技术含量薄弱点被利用的难易程度7、威胁的可能性分析组织应根据专家意见或有关的统计数赋值描述说明5很高预期在大多数情况下发生，不可避免（>90%）（或≥1次/周）4高（很可能）在大多数情况下，很有可能会发生（50%~90%）（或≥1次/月）3中等（可能）在某种情况下或某个时间，可能会发生（20%~50%）（或>1次/半年）2低（不太可能）发生的可能性很小，不太可能（<20%）1极低仅在非常例外的情况下发生，非常罕见，几乎不可能（0%~1%）赋值描述说明5很高预期在大多数情况下发生，不可避免（>90%8、风险值的计算威胁的风险值（RT）＝威胁的影响值(I)×威胁发生的可能性(P)8、风险值的计算威胁的风险值（RT）＝威胁的影响值(I)×威9、风险控制措施确定

组织根据风险评估的结果，确定不可接受风险的范围，制定风险处理计划，增加控制措施，从而降低风险。安全控制的识别和选择：依据---风险评估的结果原则---费用与风险平衡构成---技术控制措施或管理控制措施确定风险的等级和组织的可接受水平：9、风险控制措施确定组织根据风险评估的结果，确实施风险控制风险确认与接受

为确保组织的信息安全，残余风险应在可接受范围内残余风险R(r)=原有风险R(0)-控制R残余风险R（r）<=可接受风险R(t)安全控制实施风险确认接受不接受增加控制实施风险控制风险确认与接受残