《信息安全工程与管理(第二版)》 课件 第8章-信息安全风险评估

信息安全工程与管理第8章、信息安全风险评估本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具8.1信息安全风险评估概述信息系统的安全风险评估:用于了解信息系统的安全状况，估计威胁发生的可能性，计算由于系统易受到攻击的脆弱性而引起的潜在损失。风险评估的最终目的:帮助选择安全防护措施，将风险降低到可接受的程度，提高信息安全保障能力。风险评估是信息安全管理体系的核心环节，是信息安全保障体系建设过程中的重要评价方法和决策机制。风险评估的概念8.1信息安全风险评估概述美国的SP800系列、英国的BS7799《信息安全管理指南》、德国联邦信息安全办公室《IT基线保护手册》、日本的ISMS《安全管理系统评估制度》等。我国:在2004年3月启动信息安全风险评估指南和风险管理指南等标准的编制工作。2005年完成《信息安全评估指南》和《信息安全管理指南》的征求意见稿。2006年完成《信息安全评估指南》送审稿，并分别于2007年和2009年通过了国家标准化管理委员会的审查批准成为国家标准，即GB/T20984-2007《信息安全风险评估规范》和GB/Z24364-2009《信息安全风险管理指南》。各国重视风险评估工作风险评估的目标：了解信息系统的体系结构和管理水平，以及可能存在的安全隐患。了解信息系统所提供的服务及可能存在的安全问题。了解其他应用系统与此信息系统的接口及其相应的安全问题。网络攻击和电子欺骗的模拟检测及预防。找出目前的安全控制措施与安全需求的差距，并为其改进提供参考。8.1信息安全风险评估概述8.1.1

信息安全风险评估的目标和原则风险评估的原则：可控性原则。可靠性原则。完整性原则。最小影响原则。时间与成本有效原则。保密原则。8.1信息安全风险评估概述8.1.1

信息安全风险评估的目标和原则风险评估是建立信息安全风险管理的基础。有利于建立信息安全风险意识、重视信息安全问题。有助于管理者对系统资源和运行状况的了解。在系统设计之初考虑风险评估，明确需求并确认潜在损失，事先控制比事后控制更节省成本。8.1信息安全风险评估概述8.1.2

实施信息安全风险评估的好处本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具风险评估是组织进一步确定信息安全需求和改进信息安全策略的重要途径，属于组织ISMS策划的过程。风险评估的基本要素包括资产、威胁、脆弱性和安全措施和安全风险，并基于以上要素开展安全风险评估。8.2信息安全风险评估的基本要素信息安全风险评估的内容和要素资产:有价值的信息或资源，是策略保护的对象。8.2信息安全风险评估的基本要素8.2.1

风险评估的相关要素1——资产软件系统软件、应用软件、源程序硬件系统和外围设备、安全设备、其他技术设备等服务信息服务、网络通信服务、办公服务、其他技术服务流程包括IT和业务标准流程、IT和业务敏感流程数据在传输、处理和存储状态的各种信息资料文档纸质的各种文件、传真、财务报告、发展计划、合同等人员掌握重要信息和核心业务的人员、其他可以访问信息资产的组织外用户其他企业形象与声誉、客户关系等威胁:可能对组织或资产导致损害的潜在原因。8.2信息安全风险评估的基本要素8.2.1

风险评估的相关要素2——威胁软硬件故障设备硬件故障、存储介质故障、通讯链路中断、软件缺陷等物理环境影响对系统正常运行造成影响的物理环境问题和自然灾害物理攻击通过物理的接触造成对软件、硬件或数据的破坏恶意代码在计算机系统上能执行恶意任务的程序代码越权或滥用对信息、系统、网络和网络服务的非授权访问、滥用权限网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵泄密信息泄露给不应了解的人篡改非法修改信息，破坏信息的完整性抵赖否认收到的信息或所进行过的操作和交易等管理不到位安全管理无法落实或不到位无作为性失误应该执行而没有执行相应操作，或无意执行了错误操作等脆弱性:可能被威胁所利用的资产的薄弱环节。8.2信息安全风险评估的基本要素8.2.1

风险评估的相关要素3——脆弱性技术脆弱性未安装杀病毒软件能发生系统信息被病毒侵害使用口令不当能导致系统信息的非授权访问无保护的外网连接能破坏联网系统中存储与处理信息的安全性管理脆弱性安全培训不足能造成用户缺乏足够的安全意识，或产生用户错误机房钥匙管理不严能形成资产的直接丢失或物理损害等离职人员权限未撤消能引起泄密或业务活动受到损害安全控制措施:指为保护组织资产、防止威胁、减少脆弱性、限制安全事件的影响、加速安全事件的检测及响应而采取的各种实践、过程和机制。安全控制措施的实施领域：组织政策与资产管理。物理环境。技术控制。人员管理。8.2信息安全风险评估的基本要素8.2.1

风险评估的相关要素4——安全控制措施安全风险:指使得威胁可以利用脆弱性，从而直接或间接造成资产损害的一种潜在的影响，并以威胁利用脆弱性导致一系列不期望发生的安全事件来体现。资产、威胁和脆弱性:是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。R=f(a,t,v)，其中R表示安全风险，a表示资产，t表示威胁，v表示脆弱性。8.2信息安全风险评估的基本要素8.2.1

风险评估的相关要素5——安全风险8.2信息安全风险评估的基本要素8.2.2

风险要素之间的关系本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具8.3风险评估信息安全风险评估的流程

风险评估准备,是整个风险评估过程有效性的保证。应做好以下准备工作：确定风险评估的目标。明确风险评估的范围。组建团队。确定风险评估依据和方法。获得支持。8.3风险评估8.3.1

风险评估准备资产识别,是风险识别的必要环节，其任务是对评估对象所涉及的资产进行详细的标识，并建立资产清单。识别资产的方法主要有访谈、现场调查、文档查阅等方式。识别软件和硬件。识别服务、流程、数据、文档、人员和其他。8.3风险评估8.3.2

风险识别——1资产识别名称、IP地址、MAC地址、资产类型、产品序列号、、制造商、型号或编号、版本号、物理位置、逻辑位置、控制实体等服务的描述、类型、功能、提供者、面向的对象、满足服务的附加条件流程的描述、功能、相关的软件/硬件/网络要素、参考资料的存储位置、更新数据的存储位置数据的类别、数据结构及范围、所有者/创建者/管理者、存储位置、备份流程文档的描述、名称、密级、制定时间、制定者/管理者姓名/ID/职位、入职时间、技能资产清单，必须反映每一项信息资产的敏感度和安全等级，并根据这些属性对资产制定一项分类方案，同时确定分类对组织的风险评估计划是否有意义。可参考的资产分类方案：按机密性分类。按完整性分类。按可用性分类。每一种分类方案中可按从低到高的要求进行级别标识，即对每一项分类都指明特定的信息资产的保护等级。8.3风险评估8.3.2

风险识别——1资产定级提出以下问题帮助确定资产的影响力和资产的价值：哪种信息资产对组织的成功最为重要？哪种信息资产能带来最大收益？哪种信息资产的更新花费最多？哪种信息资产的保护费用最昂贵？哪种信息资产的损失、损坏或暴露出缺陷最易造成麻烦，或导致损失？8.3风险评估8.3.2

风险识别——1评估资产的价值威胁识别的任务是对资产面临的威胁进行全面的标识。识别威胁的方法：基于威胁源分类的识别方法。基于某些标准的识别方法：ISO/IEC13335-3《IT安全管理技术》附录提供的威胁目录明细，如地震、静电干扰、软件失效等。基于某些组织提供的威胁参考目录的识别方法：德国《IT基线保护手册》将威胁分为不可抗拒力、组织缺陷、人员错误、技术错误、故意行为五大类，每类威胁又包含几十到一百多种威胁子类。8.3风险评估8.3.2

风险识别——2威胁识别提出以下问题帮助理解威胁及其对资产的潜在影响：当前哪些威胁对组织的信息资产产生了威胁？哪种威胁会对组织的信息资产带来最严重的危害？8.3风险评估8.3.2

风险识别——2威胁评估识别出威胁的原因、目标后，要根据经验和有关统计数据来分析威胁出现的频率、强度和破坏力，考虑：根据经验和统计规律，估计出威胁多长时间发生一次，即威胁发生的频度。研究攻击者的动机、需具备的能力、所需的资源、资产的吸引力的大小和脆弱性程度，是否有预谋的威胁。近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。研究地理因素，如是否靠近化工厂、是否处于极端天气高发区等。8.3风险评估8.3.2

风险识别——2威胁评估威胁评估的结果一般都是定性的。GB/T20984-2007《信息安全风险评估规范》将威胁频度等级划分为五个等级，用来代表威胁出现的频率的高低。8.3风险评估8.3.2

风险识别——2威胁评估等级标识定义5很高出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可证实经常发生过4高出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可证实多次发生过3中出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过2低出现的频率较小;或一般不太可能发生;或没有被证实发生过1很低威胁几乎不可能发生;或可能在非常罕见和例外的情况下发生脆弱性识别主要按脆弱性类型，从技术和管理方面进行。识别脆弱性的方法主要有问卷调查、工具检测、工人核查、渗透性测试和文档查阅等。8.3风险评估8.3.2

风险识别——3脆弱性识别类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面识别应用中间件从协议安全、交易完整性、数据完整性等方面识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务持续性等方面识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面识别根据脆弱性对信息资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式评估脆弱性的严重程度。脆弱性评估的结果一般也是定性的。GB/T20984-2007《信息安全风险评估规范》将脆弱性严重程度划分为五个等级，用来代表资产脆弱性严重程度的高低。8.3风险评估8.3.2

风险识别——3脆弱性评估等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略安全措施：预防性安全控制措施。保护性安全控制措施。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。有效的安全控制措施。不适当的安全控制措施。8.3风险评估8.3.2

风险识别——4已有安全措施识别R=R(A,T,V)-Rc=R(P(T,V),I(Ve,Sz))–Rc

R——安全风险A——资产T——威胁V——脆弱性Rc——已有控制所所减少的风险Ve——安全事件所作用的资产价值Sz——脆弱性严重程度P——威胁利用资产的脆弱性导致安全事件的可能性I——安全事件发生后造成的影响

R=R(P(T,V),I(Ve,Sz))

8.3风险评估8.3.3

风险分析8.3风险评估8.3.4

风险评价——系统资产风险等级与系统资产风险值计算函数图8.3风险评估8.3.5

沟通与协商风险评估实施团队应在风险评估过程中，与内部相关方和外部相关方保持沟通并对沟通内容予以记录，沟通的内容应包括：（1）为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见。

（2）相关方已表达的对风险事件的关注、意见和相应的反应。风险评估方案。风险评估程序。资产识别清单。重要资产清单。威胁列表。脆弱性列表。已有安全控制措施确认表。风险评估报告。风险处理计划。风险评估记录。8.3风险评估8.3.6

风险评估记录文档文档档发布前是得到批准的文档的更改和修订状态是可识别的文档的分发得到适当的控制

防止作废文档的非预期使用

规定文档的标识、存储、保护、检索、保存期限以及处置所需的控制本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具当选择安全控制措施时，要考虑以下因素：控制的成本费用。控制的可用性。已存在的控制。控制功能的范围和强度。总之，无论选择什么样的控制措施，其最终结果只能是降低风险到可接受的水平，或做出正式的管理决策接受风险，其目的是为了控制风险。控制风险的方法：避免风险、转移风险、降低风险和接受风险。8.4风险管理8.4.1

选择安全控制措施避免风险,是一种风险控制战略，即防止信息资产的脆弱性受到威胁的利用，是一种可以优先选择的方案。政策的应用。培训和教育的应用。打击威胁。实施安全技术。8.4风险管理8.4.2

避免风险转移风险,是一种风险控制方法，它是组织在无法避免风险时，或者减少风险很困难，成本也很高时，将风险转向其他的资产、过程或组织。可通过修改配置模型、执行项目外包并完善合同、购买保险等方式实现。组织应该只关注自己最擅长的方面，并依靠专家顾问或承包商来提供其他的专业建议。8.4风险管理8.4.3

转移风险降低风险,是一种风险控制方法，主要是通过实施各种预防和应急响应计划来减少因脆弱性而带来的攻击对资产的损害。事件响应计划。灾难恢复计划。业务持续性计划。8.4风险管理8.4.4

降低风险接受风险,是一个对残余风险进行确认和评价的过程。接受风险不一定明智。一般来说，只有当完成了以下工作，接受风险才是一项正确的战略：确定影响信息资产的风险等级。评估发生威胁和产生脆弱性的可能性。近似地计算了该类攻击每年发生的几率。估计攻击所造成的潜在损失。进行了全面的成本-效益分析。评估使用的每一项安全控制措施。8.4风险管理8.4.5

接受风险本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具将风险要素按照组合方式使用具体的计算方法进行计算，即可得到风险值。目前通用的风险评估中风险值计算涉及的要素一般为资产、威胁和脆弱性，即由威胁和脆弱性确定安全事件发生的可能性，由资产和脆弱性确定安全事件的影响，以及由安全事件发生的可能性和安全事件的影响来确定风险值。常用的计算方法为矩阵法和相乘法。在实际应用中，可以将这二种方法结合使用。8.5信息安全风险要素计算方法风险计算方法有以下信息系统中资产面临威胁利用脆弱性的情况：共有二项重要资产：资产A1和资产A2；资产A1面临二个主要威胁T1和T2；资产A2面临一个主要威胁T3；威胁T1可以利用资产A1存在的两个脆弱性：V1和V2；威胁T2可以利用资产A1存在的一个脆弱性：V3；威胁T3可以利用资产A2存在的两个脆弱性：V4和V5；资产的赋值分别是：资产A1=2，资产A2=4；

威胁的赋值分别是：威胁T1=2，威胁T2=4，威胁T3=3；脆弱性V1~V5的利用度的赋值分别是：Vu1=3，Vu2=5，Vu3=4，Vu4=4，Vu5=5；脆弱性V1~V5的影响度的赋值分别是：Vi1=2，Vi2=4，Vi3=3，Vi4=4，Vi5=4。8.5信息安全风险要素计算方法假设环境矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果，即z=f(x,y)，函数f可以采用矩阵法计算。8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险1——矩阵法原理x={x1,x2,…,xi,…,xm}，1≤i≤m，xi为正整数;y={y1,y2,…,yj,…,yn}，1≤j≤n，yj为正整数;以x和y构建一个二维矩阵，其行值为y的所有取值，列值为x的所有报值。矩阵内m×n个值为z的取值，即z={z11,z12,…,zij,…,zmn}，1≤i≤m，1≤j≤n，zij为正整数。8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险1——矩阵法原理计算资产的风险值。1、计算安全事件发生的可能性。2、计算安全事件的影响。3、计算风险值。结果判定。4、确定风险等级结果。8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例1、计算安全事件发生的可能性。T1威胁的赋值：威胁T1=2。V1脆弱性利用度的赋值：Vu1=3。根据矩阵法原理，构建安全事件发生可能性的矩阵。可确定安全事件发生的可能性值为10。

以资产A1面临的威胁T1可以利用资产A1的脆弱性V1为例8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例1、计算安全事件发生的可能性。因为安全事件发生的可能性是风险计算函数的一个参数，所以在构建风险矩阵前，先对安全事件发生的可能性进行等级划分。可知安全事件发生可能性等级为2。以资产A1面临的威胁T1可以利用资产A1的脆弱性V1为例8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例2、计算安全事件的影响。A1资产的赋值：资产A1=2。V1脆弱性影响度的赋值：Vi1=2。根据矩阵法原理，构建安全事件影响的矩阵。可确定安全事件的影响值为6。以资产A1面临的威胁T1可以利用资产A1的脆弱性V1为例8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例2、计算安全事件的影响。因为安全事件的影响是风险计算函数的一个参数，所以在构建风险矩阵前，还要对安全事件的影响进行等级划分。可知安全事件影响等级为2。以资产A1面临的威胁T1可以利用资产A1的脆弱性V1为例8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例3、计算风险值。此时，已计算出，安全事件发生可能性=2，安全事件的影响=2。同样根据矩阵法原理，构建风险矩阵。可知风险值为7。同理，可计算出A1的其他风险值，以及A2的风险。以资产A1面临的威胁T1可以利用资产A1的脆弱性V1为例以资产A1面临的威胁T1可以利用资产A1的脆弱性V1为例8.5信息安全风险要素计算方法8.5.1

矩阵法计算风险2——矩阵法计算示例4、结果判定。首先确定风险等级划分的标准。可知资产A1面临的威胁T1可以利用资产A1的脆弱性V1的风险等级为2。以此类推，可计算出全部资产的其他风险值和等级。相乘法主要适用于由两个或多个要素值确定一个要素值的情形。相乘法提供了一种定量的计算方法，直接使用两个要素值进行相乘得到另外一个要素值，它简单明确，直接按统一的公式计算，便可得到所需的结果。8.5信息安全风险要素计算方法8.5.2

相乘法计算风险1——相乘法原理8.5信息安全风险要素计算方法8.5.2

相乘法计算风险2——相乘法计算示例（略）学生自学。本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具8.6风险评估的工作方式根据发起者的不同，风险评估的工作方式可分为自评估、检查评估。自评估是风险评估的主要形式，是指评估对象的拥有、运营或使用单位发起的对本单位进行的风险评估，以发现评估对象现有弱点。检查评估是指评估对象上级管理部门组织的或国家有关职能部门开展的风险评估，是通过行政手段加强信息安全的重要措施。风险评估应以自评估为主，检查评估在自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理和运行风险，以及实施自评估后采取风险控制措施取得的效果。自评估和检查评估应相互结合、互为补充，二者都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。8.6风险评估的工作方式8.6.1

自评估自评估是风险评估的基础，应落实“谁主管谁负责，谁运营谁负责”的原则，按照风险评估的相关管理规范和技术标准，结合评估对象特定的安全需求实施风险评估。自评估有以下优点：有利于保密。有利于发挥行业和部门内的人员的业务特长。有利于降低风险评估的费用。有利于提高本单位的风险评估能力、信息安全知识及相关安全政策的落实。8.6风险评估的工作方式8.6.1

自评估自评估有以下缺点：如果没有统一的规范和要求，在缺乏风险评估专业人才的情况下，自评估的结果可能不深入、不规范、不到位。也可能会存在某些不利的干预，影响评估结果的客观性，降低评估结果的置信度。某些时候，即使自评估的结果比较客观，也必须与管理层进行沟通。8.6风险评估的工作方式8.6.2

检查评估检查评估是由信息安全主管部门或业务主管部门发起，旨在依据相关法规和标准，检查被评估单位是否满足了这些法规或标准。在形式上，检查评估有安全保密检查、生产安全检查、专项检查等。检查评估的实施可以多样化，涉及：（1）自评估队伍及技术人员的审查。（2）自评估方法的检查。（3）自评估过程控制与文档记录的检查。（4）自评估资产列表、威胁列表、脆弱性列表的审查。（5）已有安全措施有效性检查。（6）自评估结果审查与采取相应措施的跟踪检查。（7）自评估技术技能限制未完成项目的检查评估。（8）上级关注或要求的关键环节和重点内容的检查评估。（9）软硬件维护制度及实施状况的检查。（10）突发事件应对措施的检查。本章目录8.1信息安全风险评估概述8.2信息安全风险评估的基本要素8.3风险评估8.4风险管理8.5信息安全风险要素计算方法8.6风险评估的工作方式8.7风险评估工具8.7

风险评估工具风险评估工具是风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。根据在评估过程中的主要任务和作用原理的不同，分为：风险评估与管理工具。信息基础设施风险评估工具。风险评估辅助工具。8.7风险评估工具8.7.1

风险评估与管理工具风险评估与管理工具，是集成风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法，或用于收集评估所需的数据和资料，基于专家经验，对I/O进行模型分析，并有针对性地提出风险控制措施。基于相关标准或指南的风险评估与管理工具：CRAMM、CCToolbox、ASSET等。基于知识的风险评估与管理工具：MSAT、COBRA等。基于定性或定量的模型算