风险评估与管理

1、风险评估与管理,风险评估与管理,与风险评估和风险管理相关的概念解析信息安全风险管理的一般过程风险评估与风险管理的其它问题,1概念解析,1.1与过程相关的概念,风险风险管理风险评估风险分析风险评价风险处理资产威胁脆弱性防护措施,1.2与要素相关的概念,概念解析1-风险,风险（risk）风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。对信息系统而言：两种因素造成对其使命的实际影响：（1）一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率；（2）上述事件发生之后所带来的影响。,概念解析1-风险（续）,在ISO/IECGUIDE73将事件定义为：事件的概率及其结果

2、的组合。注1通常，只有至少存在产生不利结果可能性的情况下才使用“风险”术语。注2在某些情况下，风险是由偏离期望的结果或事件的可能性引起的。,概念解析2-风险管理,风险管理(Riskmanagement)风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。风险管理被认为是良好管理的一个组成部分。,概念解析2-风险管理,对风险管理的过程而言，不同的方法或工具提供了不同的步骤，但是信息安全风险管理可操作的相关过程和活动一般都要包括：,确定评估范围,识别评估控制措施,识别评估资产,识别评估威胁,选择安全措施,识别评估脆弱性,确定风险处理策略,风险评价,制定安全计划

3、,实施安全计划,风险分析,风险处理,概念解析3-风险评估,风险评估(riskassessment)风险评估指风险分析和风险评价的整个过程。风险评估是风险管理的基础，是组织确定信息安全要求的途径之一，属于组织信息安全管理体系策划的过程。通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级，从而对其实施有效控制，将风险控制在组织可以接受的范围之内。,概念解析3-风险评估（续）,区分风险评估和风险管理风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期，通常以一定的间隔重新开始，来更新流程中各个阶段的数据。风险管理是一个持续循环，不断上升的过程。风险评估是确定组织

4、面临的风险并确定其优先级的过程，是风险管理流程中最必须，最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。,概念解析4-风险分析,风险分析(riskanalysis)风险分析是标识安全风险，确定其大小和标识需要保护措施的区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处理提供数据。,概念解析4-风险分析（续）,就风险分析的方法而言，目前应用中没有所谓的正确或错误的方法。一个组织选择一个自己感觉顺手，可以信任，且能产生可比较、可再现性的结果才是最重要的。尽管评估风险的方法有很多，但是大多数方法都是基于两种

5、方法或两种方法的组合：定性的分析方法和定量的分析方法。,概念解析4-风险分析（续）,定性分析方法定性分析方法是最广泛使用的风险分析方法。主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性。该方法通常只关注威胁事件所带来的损失，而忽略事件发生的概率。,概念解析4-风险分析（续）,定量分析方法定量分析方法在后果和可能性分析中采用数值（不是定性分析中所使用的叙述性数值范围），并采用从各种各样的来源中得到的数据。定量分析步骤主要集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考依据。,概念解析4-风险分析（续）,定性风险分析示例（此示例来源于

6、ISO/IEC13335-3）,概念解析4-风险分析（续）,步骤1：结果或影响的定性量度,概念解析4-风险分析（续）,步骤2：可能性的定性量度,概念解析4-风险分析（续）,步骤3：从而得出风险分析矩阵,其中：E：要求立即采取措施H：需要高级管理部门的注意M：必须规定管理责任L：用日常程序处理,概念解析4-风险分析（续）,定量风险分析的示例:,概念解析4-风险分析（续）,计算风险的年预期损失ALE:AnnualRiskExpectancy年预期损失ARO:AnnualRateofOccurrence年发生率SLE:SingleLossExpectancy单一风险预期损失ALE=ARO*SLE,概

7、念解析4-风险分析（续）,两种方法的比较：目前风险分析方法以定性分析为主。由于定性的分析方法不是用数学或统计的工具将风险模型化，因此一次风险评估的成败与执行者的经验有很大的关系。定量方法有一些固有的难以克服的明显缺点。具体对比见下表：,概念解析4-风险分析（续）,比较：,概念解析5-风险评价,风险评价(riskevaluation)是把前些步骤识别分析出来的风险与风险判据进行比较，以判断特定的风险是否可接受或需采取其它措施处置。风险评价的结果为具有不同等级的风险列表。,概念解析5-风险评价（续）,目前在风险评价的方法上，国际上一直还在不断的研究中，也有相当多的定量或者定性的风险计算方法被提出，

8、但是由于安全风险要素的各个环节存在太多的不确定因素和无法定量的特性，因此并没有被公认接受的风险评价方法。,概念解析6-风险处理,风险处理(riskmitigation)风险处理是风险管理的第二个过程。它包括对风险评估过程中建议的安全控制进行优先级排序、评估和实现。,概念解析6-风险处理（续）,风险评估只为组织的信息安全活动提供一个方向，并没有必要导致重大的信息安全改进。不管评估方法有多专业和多详细，都不能改进组织的安全状态，除非组织通过实现评估结果将改进活动坚持到底。所以评估结束后，组织必须开发详细的行动计划，计划如何根据评估实现保护策略和风险处理计划。,概念解析6-风险处理（续）,风险处理是

9、一种系统化方法，高级管理人员可用它来降低使命风险。风险处理可以通过下列措施实现：风险承受：接受潜在的风险并继续运行信息系统，或实现安全防护措施，以把风险降低到一个可接受的级别。风险规避：通过消除风险的原因和/或后果（如在识别出风险后放弃系统某项功能或关闭系统）来规避风险。风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。,概念解析与过程相关概念小结,其关系可以简明表示如下：,风险管理,风险评估,风险处理,风险评价,风险分析,概念解析7-资产,资产(asset)所谓资产就是被组织赋予了价值，组织需要保护的有用资源。ISO13335-1定义资产为所有对组织有用的东西。为了对资产进行有

10、效的保护，组织需要在各个管理层对资产落实责任，进行适当的管理。,概念解析7-资产（续）,以下是资产示例及分类：信息资产：数据库和数据文件、系统文件、用户手册、培训资料、操作与维护程序、知识产权、业务持续性计划、应急安排等。书面文件：合同、公司文件、人事记录、财务记录、采购文件、发票等。软件资产：应用软件、系统软件、开发工具和实用程序等。,概念解析7-资产（续）,物理资产：计算机、服务器、路由器、集线器、防火墙、通讯设备、其它技术设备（供电设备、空调设备）、家具、办公场所等。人员：员工、客户、合同工、警卫。服务：计算和通讯服务及其它技术服务（供暖、照明、电力、空调）等。公司形象和声誉：如正面和负

11、面的宣传、品牌附加值等。,威胁(threat)威胁是一个单位的信息资产的安全可能受到的侵害。ISO17799将威胁定义为对组织造成潜在影响的原因。NISTSP800-30将威胁定义为可能对系统造成损害的事件或实体。,概念解析8-威胁,概念解析8-威胁（续）,威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。,概念解析8-威胁（续）,以下几种都是常见的威胁：对信息、信息系统、网络和网络服务的非授权访问这些一般都是有意图、有目的的行为，会对信息的保密性、完整性和可用性造成损害，损害的程度决定于非授权用户的目的和拥有的权限。信息的非授权修改这是一种有预谋的威胁，可能会

12、损害资产的保密性与可用性。,概念解析8-威胁（续）,恶意软件恶意软件的引入可以是有意的（具有一定的目的和企图）和无意的（运行了来历不明的软件），恶意软件威胁资产的保密性、完整性和可用性。软件失效由于有预谋的事件或意外事件发生，从而导致软件的完整性与可用性的损失。,概念解析8-威胁（续）,火灾这是一种意外事故，也可能是一种有预谋的事件，会影响资产的完整性与可用性。偷窃这是一种有预谋的威胁，可能会损害资产的保密性与可用性。人员错误可能是有意的或无意的行为，有时此类事件的发生仅仅是员工缺乏安全意识，并不是有什么恶意企图。,概念解析9-脆弱性,脆弱性(Vulnerability)脆弱性是信息资产及其防

13、护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。NISTSP800-30将漏洞定义为安全程序、技术控制措施、物理控制措施或其他控制措施中可能被威胁利用的条件或弱点，或缺乏控制措施。,概念解析9-脆弱性（续）,经验表明：大多数重大的漏洞通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术漏洞。,概念解析9-脆弱性（续）,以下都是常见的脆弱性：缺乏物理保护或保护不适当可能被威胁利用，损害资产的保密性、完整性和可用性口令选择或使用不当可能导致对系统信息的非授权访问，从而损害资产的保密性、完整性和可用性。,概念解析9-脆弱性（续）,与外部网络的连接没有

14、保护能导致在联网系统中存储与处理信息的保密性、完整性和可用性的损害。没有保护的存档文件有可能被偷窃，从而损害资产的保密性、完整性和可用性。不足够的安全培训可能造成用户缺乏足够的安全意识，破坏信息的保密性，或者产生用户错误，从而造成对资产的完整性和可用性的损害。,概念解析10-防护措施,防护措施(safeguard)防护措施是对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。防护措施本质上都是减少脆弱性的。,概念解析-与要素相关概念小结,风险评估与管理,与风险评估和风险管理相关的概念解析信息安全风险管理的一般过程

15、风险评估与风险管理的其它问题,2信息安全风险管理的一般过程,2.1信息安全风险评估的过程,2.2信息安全风险处理的过程,2.1信息安全风险评估的过程,风险评估流程图,2.1信息安全风险评估的过程(续),步骤1：描述系统特征在对信息系统的风险进行评估中，第一步是定义工作范围。在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统进行授权运行（或认可）的边界，并为风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。,2.1信息安全风险评估的过程(续),步骤1.1系统相关信息步骤1.2信息收集技术可以使用下列一

16、项或多项技术在其运行边界内获取相关的系统信息：调查问卷现场面谈文档审查使用自动扫描工具,2.1信息安全风险评估的过程(续),步骤2：识别威胁如果没有脆弱性，威胁源无法造成风险；在确定威胁的可能性时，应该考虑威胁源、潜在的脆弱性和现有的安全防护措施。步骤2.1识别威胁源步骤2.2动机和行为,2.1信息安全风险评估的过程(续),步骤3：识别脆弱性本步的目标是制定系统中可能会被威胁源利用的脆弱性（缺陷或薄弱环节）的列表。步骤3.1脆弱性源步骤3.2系统安全测试,2.1信息安全风险评估的过程(续),步骤4：分析安全控制本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个

17、威胁源利用系统脆弱性的可能性（或概率）。步骤4.1安全防护措施步骤4.2安全防护措施的分析技术,2.1信息安全风险评估的过程(续),步骤5：分析可能性本步要说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性，下列支配因素应该在本步中考虑：威胁源的动机和能力。脆弱性的性质。安全防护措施的有效性。,2.1信息安全风险评估的过程(续),一个潜在的脆弱性被一个给定威胁源攻击的可能性可以用高、中、低来表示。下表描述了这三个可能性级别。,2.1信息安全风险评估的过程(续),步骤6：分析影响度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。对安全事件的负面影响可以用完整性、可用性和保

18、密性三个安全属性的损失或降低来描述。,2.1信息安全风险评估的过程(续),可以通过定性手段进行度量，例如用高、中、低影响等术语来描述。,2.1信息安全风险评估的过程(续),步骤7：确定风险确定一个特定的威胁/脆弱性对带来的风险时，可以将其表示为以下参数构成的函数：给定的威胁源试图攻击一个给定的系统脆弱性的可能性；一个威胁源成功攻击了这个系统的脆弱性后所造成的影响的程度；规划中或现有的安全防护措施对于降低或消除风险的充分性。,2.1信息安全风险评估的过程(续),步骤7.1风险级别矩阵将威胁的可能性（例如概率）及威胁影响的级别相乘后便得出了最终的使命风险。下面是一个关于威胁的可能性（高、中、低）和

19、威胁影响（高、中、低）的33矩阵。根据现场要求和风险评估要求的粒度，有些情况下也可能使用44或55的矩阵。,2.1信息安全风险评估的过程(续),下表的矩阵范例描述了高、中或低的总体风险级别是如何得出的。这种风险级别或等级的确定可能是主观性的。这种判断的基本原理可以用每个可能性级别上分配的概率值和每个影响级别上分配的影响值来解释。例如：赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低；赋给每个影响级上的值为100时表示高，50表示中，10表示低。,2.1信息安全风险评估的过程(续),风险尺度：高（50100）；中（1050）；低（110）,2.1信息安全风险评估的过程(续

20、),步骤7.2风险级别描述下表描述了上述矩阵中的风险级别。这种表示为高、中、低的风险尺度代表了如果给定的脆弱性被利用来攻击时，信息系统、设施或流程可能暴露出的风险程度或级别。风险尺度也表示了高级管理人员和系统拥有者对每种风险级别必须采取的行动。,2.1信息安全风险评估的过程(续),2.1信息安全风险评估的过程(续),步骤8：建议安全防护措施在这一步里，将针对单位的运行提出可用来控制已识别出的风险的安全防护措施。,2.1信息安全风险评估的过程(续),步骤9：记录评估结果一旦风险评估全部结束（威胁源和系统脆弱性已经被识别出来，风险也得到了评估，安全防护措施建议也已经提出），该过程的结果应该被记录到

21、正式的报告或简报里。,风险评估过程结束！,2.2信息安全风险处理的过程,2.2信息安全风险处理的过程（续）,步骤1:对行动优先级进行排序基于在风险评估报告中提出的风险级别，对风险处理的实现行动进行优先级排序。在分配资源时，标有不可接受的高等级（例如被定义为“非常高”或“高”风险级的风险）的风险项应该最优先。这些脆弱性/威胁对需要采取立即纠正行动以保护单位的利益和使命。,2.2信息安全风险处理的过程（续）,步骤2:评估所建议的安全选项风险评估过程中建议的安全防护措施对于具体的单位及其信息系统可能不是最适合和最可行的。在这一步中，要对所建议的安全防护措施的可行性（如兼容性、用户接受程度）和有效性（

22、如保护程度和风险控制的级别）进行分析。目的是选择出最适当的安全防护措施，使风险降至最低。,2.2信息安全风险处理的过程（续）,步骤3:实施成本效益分析为了帮助管理层做出决策并找出成本有效性最好的安全控制，要实施成本效益分析。,2.2信息安全风险处理的过程（续）,步骤4:选择安全防护措施在成本效益分析的基础上，管理人员应确定成本有效性最好的安全防护措施来降低单位的风险。,2.2信息安全风险处理的过程（续）,步骤5:责任分配遴选出那些拥有合适的专长和技能，可实现所选安全防护措施的人员（内部人员或外部合同商），并赋以相应责任。,2.2信息安全风险处理的过程（续）,步骤6:制定安全防护措施的实现计划在

23、本步中将制定安全防护措施的实现计划。,2.2信息安全风险处理的过程（续）,步骤7:实现所选择的安全防护措施根据各自情况的不同，所实现的安全控制可以降低风险级但不会根除风险。实现安全防护措施后仍然存在的风险为残余风险。,风险处理过程结束！,风险评估与管理,与风险评估和风险管理相关的概念解析信息安全风险管理的一般过程风险评估与风险管理的其它问题,3风险评估与风险管理的其它问题,3.1风险评估的角色和责任3.2风险评估方法3.3风险评估工具3.4风险评估模式分析3.5风险评估与等级保护、认证认可的关系,3.1风险评估的角色和责任,信息系统风险评估的参与角色一般有主管机关、信息系统拥有者、信息系统承建者、信息系统安全评估服务机构、信息系统的关联者（即因信息系统互联、信息交换和共享、系统采购等行为与该系统发生关联的机构）。,基本风险评估方法基本的风险评估是只利用直接和简单的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。详细风险评估方法详细的风险评估就是对资产、威胁和脆弱性进行详细的识别与评价，详细的风险评估结果被用于风险评估和安全控制措施的识别和选择。,3.2风险评估方法,3.2风险评估方法(续),联