信息安全导论 课件 第四章 信息安全风险管理

4.1信息安全风险管理第一章揭开信息安全的神秘面纱目录4.1.1信息安全风险评估概念4.1.2信息安全风险评估组成要素4.1.3信息安全风险评估流程4.1.4信息安全风险评估方法与工具信息安全风险评估概念01信息安全风险定义风险是指一定条件下和一定时期内可能发生的不利事件发生的可能性。风险在澳大利亚/新西兰国家标准AS/NZS4360中，信息安全风险指对目标产生影响的某种事件发生的可能性，可以用后果和可能性来衡量。在ISO/IEC13335-1中，信息安全风险是指某个特定的威胁利用单个或一组资产的脆弱点造成资产受损的潜在可能性。在我国GB/T20984-2022《信息安全技术信息安全风险评估方法》中，信息安全风险是指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱点导致安全事件的发生及其对组织造成的影响。信息安全风险的表现010203威胁资产脆弱点一般而言，信息安全风险可表现为威胁、脆弱点和资产之间的相互作用，即“风险=威胁＋脆弱点＋资产”，其中风险会随着任一因素的增加而增大，减少而减少。根据GB/T20984-2022《信息安全技术信息安全风险评估方法》，信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及其处理。信息安全风险评估传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息安全风险评估定义信息安全风险评估组成要素02CC(信息技术安全评估通用标准)ISO接纳CC2.0版为ISO/IEC15408草案，并命名为信息技术-安全技术-IT安全性评估准则，并于同年正式发布国际标准ISO/IEC15408CC2.1版。美国、加拿大与欧洲四国组成六国七方，共同制定了国际通用的评估准则CC，其目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准。1993年在1996年颁布了CC1.0版，1998年颁布了CC2.0版1999年1996~1998CC标准组成CC标准主要由三部分构成∶简介和一般模型、安全功能要求和安全保障要求。在简介和一般模型中，定义了信息安全风险构成要素威胁，风险，脆弱点，资产，对策等关键风险要素的概念，同时又提出了所有者和威胁主体的概念。风险要素之间的关系风险要素之间的关系可概括为如下过程∶（1）信息资产的所有者给资产赋予了一定的价值，威胁主体希望滥用或破坏资产，因而引发威胁利用脆弱点，导致风险的产生。（2）资产所有者意识到脆弱点的存在和脆弱点被利用而导致的风险，因而希望通过对策来降低风险，使风险最小化。（3）脆弱点可能被对策减少，但是同时对策本身可能具有其他的脆弱点。ISO13335标准ISO/IEC13335是信息安全管理方面的指导性标准，其中ISO/IEC13335-1以风险为中心，确定了资产、威胁、脆弱点、影响、风险、防护措施为信息安全风险的要素，并描述了它们之间的关系GB/T20984-2022我国的GB/T20984-2022《信息安全技术信息安全风险评估方法》对该模型进行了深化。风险评估围绕着资产、威胁、脆弱点和安全措施这些基本要素展开，对在基本要素的评估过程中，充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。风险要素及属性之间的关系具体而言，风险要素及属性之间的关系如下∶（1）风险要素的核心是资产,而资产存在脆弱性。（2）安全措施的实施通过降低资产脆弱性被利用难易程度,抵御外部威胁,以实现对资产的保护。（3）威胁通过利用资产存在的脆弱性导致风险。（4）风险转化成安全事件后,会对资产的运行状态产生影响。（5）风险分析时,应综合考虑资产、脆弱性、威胁和安全措施等基本因素。信息安全风险评估流程03风险要素及属性之间的关系根据我国的GB/T20984-2022《信息安全技术信息安全风险评估方法》，详细的风险评估实施流程如下。风险评估流程该阶段是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性地考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。风险评估准备在风险评估实施前，应完成的任务有∶确定风险评估的目标，确定风险评估的范围，组建合适的评估管理与实施团队，进行系统调研，确定评估依据和方法，建立风险评价准则，制定风险评估方案，获得最高管理者对风险评估工作的支持。风险评估准备风险评估流程该阶段主要完成资产分类、资产赋值两个方面的内容。资产识别资产识别资产分类是进行下一步的基础，在实际工作中，具体的资产分类方法可根据实际情况的需要，由评估值灵活把握。一般而言，根据资产的表现形式，可将资产分为物理资产、信息资产、软件资产、服务以及无形资产等方面。资产赋值是指对资产的价值或重要程度进行评估。一般地，资产的价值可由资产在安全属性上的达成程度或其他安全属性未达成时所造成的影响程度来决定，具体可分为保密性赋值、完整性赋值、可用性赋值三个方面；然后在此基础上，经过综合评定得到资产重要性等级。当前综合评定的常见方法有加权平均原则、最大化原则等。风险评估流程该阶段主要完成组织资产面临的威胁识别、威胁赋值两个方面的内容。业务识别业务识别在威胁识别方面，当前不同的手册给出了不同的威胁分类方式，如ISO/IEC13335-3，德国的《IT基线保护手册》、OCTAVE等。一般地。根据威胁来源，威胁可分为环境威胁和人为威胁，其中环境威胁包括自然界不可抗力威胁和其他物理因素威胁；人为威胁包括恶意和非恶意两种类型。在威胁赋值方面，可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低；等级数值越大，威胁出现的频率越高。业务识别在形成威胁出现频率的评估中，一般需要考虑如下因素∶（1）以往安全事件报告中出现过的威胁、威胁的频率、破坏力的统计。（2）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计。（3）近一两年来国际组织发布的对于整个社会或特定行业的威胁出现频率及其破坏力的统计。风险评估流程该阶段主要完成脆弱点识别、脆弱点赋值两个方面的内容。脆弱点识别脆弱点识别在脆弱点识别方面，主要针对每一项需要保护的资产。找出可能被威胁利用的弱点，并对脆弱点的严重程度进行评估。主要从技术和管理两个方面进行，技术脆弱点涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱点又可分为技术管理脆弱点和组织管理脆弱点两方面，前者与具体技术活动相关，后者与管理环境相关。在脆弱点赋值方面，一般是对脆弱点被利用后对资产损害程度、技术实现的难易程度、脆弱点流行程度进行评估，然后以定性等级划分形式，综合给出脆弱点的严重程度。风险评估流程本阶段通过对当前信息系统所采用的安全措施进行标识，有助于对当前信息系统面临的风险进行分析；同时分析其预期功能和有效性，能避免不必要地工作和费用，防止安全措施的重复实施。安全措施一般可分为预防性安全措施和保护性安全措施两种。已有安全措施的确认已有安全措施的确认预防性安全措施可以降低威胁利用脆弱点导致安全事件发生的可能性，如入侵检测系统保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。风险评估流程该阶段主要完成风险计算、风险处理计划、残余风险评估三个方面的内容。风险分析风险分析在风险处理计划方面，主要完成对不可接受的风险的处理工作。风险处理计划中应明确采取的弥补脆弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。残余风险是否降低到可以接受的水平。若仍然不满足风险水平的要求，则需要进一步调整风险处理计划，增加相应的安全措施。在风险计算方面，主要通过对威胁的赋值和脆弱性被利用的难易程度决定安全事件发生的可能性，脆弱性的影响程度和资产价值决定安全事件造成的损失对组织的影响，即得到安全风险值。风险分析计算安全风险值，具体过程如下图。其中R为风险函数;A，T，V分别表示资产、威胁和脆弱点;I表示安全事件所作用的资产价值；V表示脆弱点等级大小；L表示威胁利用资产的脆弱点而导致安全事件的可能性；F表示安全事件发生后造成的损失。一般地，安全风险可形式化表达为∶风险评估流程该阶段主要记录在整个风险评估过程中产生的评估过程文档和评估结果文档，包括：风险评价计划、风险评估程序、资产识别清单、重要资产清单、威胁列表、脆弱点列表、已有安全措施确认表、风险评估报告、风险处理计划和风险评估记录。风险评估文档记录信息安全风险评估方法与工具04信息安全风险评估方法02定量的评估方法定量分析方法是基于定性分析方法的，用数学的方法分析处理已经量化的各项指标，得出系统安全风险的量化评估结果。01定性的评估方法定性的评估分析方法是一种采用比较广泛的模糊分析方法。定性分析方法的优点操作简单易行并且容易理解和实施；不易产生不同的意见，并且能够较方便地对风险程度大小进行排序；定性分析方法的缺点对有些重要风险级别区分度欠缺，分析结果容易偏向主观性。0102定性的评估方法定性分析方法定性分析方法很多包括小组过论、调查、人员访谈、问卷和检查列表等。主观评分法是凭借专家的经验等，根据评价标准，让专家判断可能产生的每个风险并赋予其权重值，这里我们用“0”表示没有风险，“10”代表风险很大，“0～10之间的数字”表示风险程度依次加大；然后把全部风险的权重加起来计算出整体风险水平，最后与风险评估标准进行比较。主观评分法定性分析方法故障树分析法主要应用遵循从结果找到原因的原则，将风险形成的原因由总体到部分按树枝形状逐级细化，分析项目风险及其产生原因之间的因果关系，即在前期预测和识别各种潜在风险因素的基础上，运用逻辑推理的方法，沿着风险产生的路径，求出风险发生的概率，并能提供各种控制风险因素的方案。故障树分析法定量分析方法010203决策树法层次分析法模糊综合评价法定量分析方法是基于定性分析方法的，用数学的方法分析处理已经量化的各项指标，得出系统安全风险的量化评估结果。其思想是对构成风险的各个要素和潜在损失的水平赋以数值，进而来量化风险评估的整个过程和结果。定量分析方法决策树法是一种直观运用概率分析的图解法。如果已知各种情况的发生概率，就可以通过构成决策树求取净现值的期望值的概率，以此评价项目风险并判断其可行性的决策分析方法。决策树方法因其形象化、清晰有效和特有的结构模型的特点非常利于项目执行人员进行集体分析和探讨。决策树法定量分析方法模糊评价法是对模糊系统进行分析的基本方法之一，多用于目标决策。对在评估过程中所带有主观性的问题以及客观遇到的模糊现象；模糊评价都可以进行有效地处理。模糊评价是在模糊条件下，考虑多种因素影响，为了某一目的而对事物作出决策的一种综合决策方法。模糊综合评价法是利用模糊数学中的模糊变换原理和最大隶属度原则对被评价事物相关的各个因素作出的综合评价。该评价方法着眼于各个相关因素。模糊评价法定量分析方法层次分析法是一种有效简便灵活处理不易定量化而又实用的一种定向与定量相结合的、层次化的多准则决策方法。层次分析法的核心是将负责的问题进行层次化，将原问题简单化并在层次基础上进行分析；它把决策者的主观判断量化，以数量形式进行表达和处理，通过定量形式的数据将定性和定量分析相结合从而帮助决策者进行决策。层次分析法信息安全风险评估工具风险评估工具是随着人们在对信息安全风险评估不断认识以及对评估过程不断完善的过程中逐渐发展的。目前风险评估过程常用的是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。信息安全风险评估工具的比较这五种著名的自动化评估工具从发布的体系结构、评估所采用的方法、风险分析计算的方法等几个方面来看，具有共同点也有其自身的特点。（1）从体系结构来看，这些工具具有一定的共同点，大都是单机版，只有COBRA采用了C/S模式，采用这种模式可以将数据库和客户端进行分离，保证了系统的可维护性，实践中只要不断丰富完善数据库就可以对工具进行更新。（2）评估方法和数据采集方式的使用是具有相关性的，RA和CRAMM是使用传统的过程式算