《第八讲-信息安全风险评估ppt课件.ppt》由会员分享,可在线阅读,更多相关《第八讲-信息安全风险评估ppt课件.ppt(116页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、风险评估风险评估信息安全风险评估概述信息安全风险评估概述信息安全风险评估策略信息安全风险评估策略信息安全风险评估流程信息安全风险评估流程信息安全风险评估方法信息安全风险评估方法风险评估案例风险评估案例风险评估概述风险评估概述信息安全风险评估概述信息安全风险评估概述风险评估概述风险评估概述风险评估概述风险评估概述风险评估概述风险评估概述企业风险管理框架一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会风险评估概述风险评估概述一个基础:公司治理结构 建立一个健全的、以董事会为首的公司治理结构 订立企业的目标和战略,包括企业的风险政策和极
2、限 贯彻一套重视风险管理的企业文化和价值观风险评估概述风险评估概述第一道防线:业务单位防线( (风险宇宙风险宇宙TM TM ) )资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲
3、融资股东资本债务商品利率外汇税务会计合规风险评估概述风险评估概述企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新第一道防线:总结第一道防线:总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会风险评估概述风险评估概述第二道防线:风险管理单位防线第二道防线:风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审
4、批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析,为各业务单位分配经济资本金风险评估概述风险评估概述“内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。” 美国内部审计师协会第三道防线:内审单位防线第三道防线:内审单位防线 第三道防线涉及一个独立于业务单位的部门,监控企
5、业内控和其他企业关心的问题 内部审计的定义:风险评估概述风险评估概述内部审计的内部审计的三大功能三大功能 财务监督财务帐的可用性内部管理和制度的执行典型例子:检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况 经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子:企业对某业务单位或某部门执行效益审计(一个输入与产出的关系) 风险评估概述风险评估概述咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子: 兼并收购时调查被投资公司的内部管理和流程操作,了解薄弱环节或其他影响并购交易的重大事项,从而确定管理方法和并购策略风险
6、评估概述风险评估概述风险管理过程风险管理是对项目风险进行识别、分析、和应对的系统的过程。规划风险管理识别风险实施定性风险分析实施定量风险分析监控风险规划风险应对计划过程监控过程风险评估概述风险评估概述1 1、规划风险管理流程、规划风险管理流程项目范围说明书成本管理计划进度管理计划沟通管理计划事业环境因素风险态度风险承受度既定的风险管理方法规划会议、分析风险管理计划依据工具、技术结果风险评估概述风险评估概述2 2、识别风险流程、识别风险流程工具、技术项目范围说明书事业环境因素组织过程资产风险管理计划集成管理计划框架分析法头脑风暴法要素分析法情景分析法流程分析法潜在风险风险征兆风险来源风险清单风险
7、评估概述风险评估概述3 3、实施定性风险分析流程、实施定性风险分析流程风险登记册风险数据质量评估概率影响矩阵风险概率和影响评估7、定性分析结果的趋势6、低优先观察清单5、进一步分析的风险4、需近期处理的风险3、风险成因及需关注领域2、按类别分类的风险1、优先级清单风险登记册(更新)组织过程资产风险管理计划项目范围说明书风险分类风险紧迫性评估专家判断风险评估概述风险评估概述4 4、实施定量风险分析流程、实施定量风险分析流程风险登记册风险管理计划成本管理计划进度管理计划专家判断定量风险分析和建模数据收集与表现技术*定量风险分析结果中反应的趋势*实现成本和时间目标的概率*项目的概率分析*量化风险优先
8、级清单风险登记册(更新)组织过程资产风险评估概述风险评估概述5 5、规划风险应对流程、规划风险应对流程风险登记册风险管理计划消极风险或威胁的应对策略积极风险或机会的应对策略应急应对策略专家判断风险登记册(更新)与风险相关的合同决策项目管理计划(更新)项目文件(更新)风险评估概述风险评估概述6 6、监控风险流程、监控风险流程依据工具或技术结果风险登记册储备分析技术绩效测量偏差和趋势分析风险审计风险再评估项目文件(更新)项目管理计划(更新)变更请求组织过程资产风险登记册(更新)项目管理计划工作绩效信息绩效报告状态审查会风险评估概述风险评估概述信息安全风险评估信息安全风险评估 信信息安全风险评估,是
9、从风险管理角度,运息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据最大限度地保障网络和信息安全提供科学依据(国(国信信办办20065
10、20065号文件号文件)。风险评估概述风险评估概述信息安全风险评估信息安全风险评估 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 狭义的风险评估包括:评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。 风险评估概述风险评估概述信息安全风险评估信息安全风险评估 信息安全
11、风险评估的基本思路是在信息安全事件发生之前,通过有效的手段对组织面临的信息安全风险进行识别、分析,并在此基础上选取相应的安全措施,将组织面临的信息安全风险控制在可接受范围内,以此达到保护信息系统安全的目的。风险评估概述风险评估概述信息安全风险评估相关要素信息安全风险评估相关要素 信息安全风险评估的对象是信息系统,信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点(脆弱点)、系统中已有的安全措施等是影响信息安全风险的基本要素,它们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。1. 资产2. 威胁3. 脆弱点4. 安全措施5. 安全风险6. 影响7. 需求风险
12、评估概述风险评估概述1.资产资产 根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据 、软件、提供产品和服务的能力、人员、无形资产。 我国的信息安全风险评估指南则认为,资产是指对组织具有价值的信息资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。风险评估要素风险评估要素风险评估概述风险评估概述分类示例数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软
13、件:操作系统、语言包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、可执行程序、自行或合作开发的各种程序等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管
14、理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等其它企业形象,客户关系等风险评估概述风险评估概述风险评估要素风险评估要素2.威胁威胁 威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。 根据威胁源的不同,威胁可分为:自然威胁、环境威胁
15、、系统威胁、人员威胁。风险评估概述风险评估概述威胁源常见表现形式自然威胁地震 、飓风 、火山 、洪水、海啸 、泥石流、暴风雪 、雪崩 、雷电、其他环境威胁火灾 、战争、重大疫情 、恐怖主义、供电故障、供水故障 、其他公共设施中断 、危险物质泄漏、重大事故(如交通工具碰撞等)、污染、温度或湿度、其他系统威胁网络故障、硬件故障 、软件故障 、恶意代码、存储介质的老化 、其他外部人员网络窃听、拒绝服务攻击、用户身份仿冒、系统入侵、盗窃、物理破坏、信息篡改、泄密、抵赖、其他。内部人员未经授权信息发布、未经授权的信息读写、抵赖、电子攻击(如利用系统漏洞提升权限)、物理破坏(系统或存储介质损坏)、盗窃、越
16、权或滥用、误操作风险评估概述风险评估概述风险评估要素风险评估要素3.脆弱点脆弱点 脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没有访问控制机制、系统机房任何人都可进入等等。 脆弱点是资产本身存在的,如果没有相应的威胁出现,单纯的脆弱点本身不会对资产造成损害。另一方面如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即:威胁总是要利用资产的弱点才可能造成危害。 资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就
17、可能是一个脆弱点。 风险评估概述风险评估概述脆弱点主要表现在从技术和管理两个方面 技术脆弱点技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。 管理脆弱点管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如:安装杀毒软件或病毒库未及时升级操作系统或其他应用软件存在拒绝服务攻击漏洞数据完整性保护不够完善数据库访问控制机制不严格都属于技术脆弱点系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等风险评估概述风险评估概述风险评估要素风险评估要素4.信息安全风险信息安全风险 根据ISO/IEC 13335-1,信息安全风险是指威胁利用一个或一组资产
18、的脆弱点导致组织受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现。 资产、威胁、脆弱点是信息安全风险的基本要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,安全事件也不会发生;系统没有脆弱点,威胁就没有可利用的环节,安全事件也不会发生。 风险可以形式化的表示为:R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。 风险评估概述风险评估概述风险评估要素风险评估要素5. 影响影响影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为:直接形式,如物理
19、介质或设备的破坏、人员的损伤、 直接的资金损失等;间接的损失如公司信用、形象受损、市场分额损失、法律责任等。在信息安全领域,直接的损失往往容易估计且损失较小,间接的损失难易估计且常常比直接损失更为严重。如某公司信息系统中一路由器因雷击而破坏,其直接的损失表现为路由器本身的价值、修复所需的人力物力等;而间接损失则较为复杂,由于路由器不能正常工作,信息系统不能提供正常的服务,导致公司业务量的损失、企业形象的损失等,若该路由器为金融、电力、军事等重要部门提供服务,其间接损失更为巨大。 风险评估概述风险评估概述风险评估要素风险评估要素 6.安全措施安全措施 安全措施是指为保护资产、抵御威胁、减少脆弱点
20、、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。 有效的安全通常要求不同安全措施的结合以为资产提供多级的安全。例如,应用于计算机的访问控制机制应被审计控制、人员管理、培训和物理安全所支持。风险评估概述风险评估概述风险评估要素风险评估要素 6.安全措施安全措施 安全措施可能实现一个或多个下列功能:保护、震慑、检测、限制、纠正、恢复、监视、安全意识等。 同功能的安全措施需要不同的成本,同时能够实现多个功能的安全措施通常具有更高的成本有效性。 安全措施的实施领域包括:物理环境、技术领域、人员、管理等,可用的安全措施包括:访问控制机制、防病毒软件、加密机制
21、、数字签名、防火墙、监视与分析工具、冗余电力供应、信息备份等。 风险评估概述风险评估概述风险评估要素风险评估要素 7.安全需求安全需求 安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。 安全需求可体现在技术、组织管理等多个方面。如关键数据或系统的的机密性、可用性、完整性需求、法律法规的符合性需求、人员安全意识培训需求、信息系统运行实时监控的需求等。 风险评估概述风险评估概述风险评估要素相互关系风险评估要素相互关系 资产、威胁、脆弱点是信息安全风险的基本要素,与信资产、威胁、脆弱点是信息安全风险的基本要素,与信息安全风险有关的要素还包括:安全措施、安全需求、影响息安全风险有关
22、的要素还包括:安全措施、安全需求、影响等。等。ISO/IEC 13335-1对它们之间的关系描述如图所示对它们之间的关系描述如图所示风险评估概述风险评估概述 我国的我国的信息信息安全风险评估指安全风险评估指南南对对ISO/IEC 13335-1提出风险提出风险要素关系模型进要素关系模型进行了扩展。行了扩展。风险评估概述风险评估概述 图中方框部分的内容为风险评估的基本要素图中方框部分的内容为风险评估的基本要素; ;风险评估概述风险评估概述椭圆部分的内容是与基本要素相关的属性。椭圆部分的内容是与基本要素相关的属性。风险评估概述风险评估概述风险要素及属性之间存在着以下关系:风险要素及属性之间存在着以
23、下关系: 业务战略依赖资产去实现;资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;资产价值越大则其面临的风险越大;风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;弱点越多,威胁利用脆弱点导致安全事件的可能性越大;脆弱点是未被满足的安全需求,威胁要通过利用脆弱点来危害资产,从而形成风险;风险的存在及对风险的认识导出安全需求;风险评估概述风险评估概述安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安
24、全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的;残余风险应受到密切监视,它可能会在将来诱发新的安全事件。风险评估概述风险评估概述为什么要做风险评估为什么要做风险评估 安安全源于风险全源于风险。 在信息化建设中,建设与运营的网络与信息在信息化建设中,建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息能存在的某些管理薄弱环节,尤其当网络与信息系统中拥
25、有极为重要的信息资产时,都将使得面系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。度的安全风险。 风险评估概述风险评估概述 风险评估可以不断深入地发现系统建设中风险评估可以不断深入地发现系统建设中的安全隐患,的安全隐患,采取或完善更加经济有效的安全采取或完善更加经济有效的安全保障措施,来保障措施,来消除安全建设中的盲目乐观或盲消除安全建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解决方目恐惧,提出有针对性的从实际出发的解决方法,提高系统安全的科学管理水平,进而全面法,提高系统安全的科学管理水平,
26、进而全面提升网络与信息系统的安全保障能力。提升网络与信息系统的安全保障能力。风险评估策略风险评估策略信息安全风险评估策略信息安全风险评估策略风险评估策略风险评估策略 不同的组织有不同的安全需求和安全战略,风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。 影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。风险评估策略风险评估策略1.基线风险评估基线风险评估2.详细风险评估详细风险评估3.综合风险评估综合风险评估风险评估策略风险评估策略1. 基线风险评估基线风险评估 基线风险评估要求组织根据自己的实
27、际情况(所在行业、业务环境与性质等),对信息系统进行基线安全检查(将现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。 风险评估策略风险评估策略1. 基线风险评估基线风险评估 可以根据以下资源来选择安全基线可以根据以下资源来选择安全基线: (1) 国际标准和国家标准; (2)行业标准或推荐; (3)来自其他有类似商务目标和规模的组织的惯例。 风险评估策略风险评估策略基线评估的优点是基线评估的优点是: (1)风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力; (2)如果组织
28、的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。 基线评估的的缺点是:基线评估的的缺点是: (1)基线水平难以设置,如果基线水平设置的过高,有些IT系统可能会有过高的安全等级;如果基线水平设置的过低,有些IT系统可能会缺少安全,导致更高层次的暴露; (2)风险评估不全面、不透彻,且不易处理变更。风险评估策略风险评估策略综合评价 虽然当安全基线已建立的情况下,基线评估成本低、易于实施。但由于不同组织信息系统千差万别,信息系统的威胁时刻都在变化,很难制定全面的、具有广泛适用性的安全基线,而组织自行建立安全基线成本很高。 目前世界上
29、还没有全面、统一的、能符合组织目标的、值得信赖的安全基线,因而基线评估方法开展并不普遍。 风险评估策略风险评估策略2 详细风险评估详细风险评估 详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进行评估,这通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成。根据风险评估的结果来识别和选择安全措施,将风险降低到可接受的水平。 风险评估策略风险评估策略详细风险评估方法的优点是: 有可能为所有系统识别出适当的安全措施; 详细分析的结果可用于安全变更管理。 这种方法的缺点是需要更多的时间、努力和专业知识。目前,世界各国推出的风险评估方法多属于这一类,如AS/NZS
30、 4360、NISTSP800-30、OCTAVE以及我国的信息安全风险评估指南中所提供的方法。风险评估策略风险评估策略3 综合风险评估综合风险评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。因而实践当中,组织多是采用二者结合的综合评估方式。风险评估策略风险评估策略ISO/IEC 13335-3提出了综合风险评估方法,其实施流程如图所示:风险评估策略风险评估策略 综合评估方法将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源
31、和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,综合评估也有缺点:如果初步的高级风险分析不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致某些严重的风险未被发现。 风险评估流程风险评估流程信息安全风险评估流程信息安全风险评估流程风险评估流程风险评估流程 总体上看,风险总体上看,风险评估可分为四个阶段,评估可分为四个阶段,第一阶段为风险评估第一阶段为风险评估准备;第二阶段为风准备;第二阶段为风险识别,第三阶段为险识别,第三阶段为风险评价,第四阶段风险评价,第四阶段为风险处理。为风险处理。风险评估流程风险评估流程1. 风险评估的准备风险评估的准备风险评估的准备
32、是整个风险评估过程有效性的保证。其工作主要包括:1确定风险评估目标(满足业务持续性需要)2确定风险评估的对象和范围3组建团队。 组建适当的风险评估管理与实施团队,以支持整个过程的推进4选择方法 应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体 的风险判断方法,使之能够与组织环境和安全要求相适应。5获得支持6准备相关的评估工具(扫描、测试、收集工具)风险评估流程风险评估流程2. 资产识别与评价资产识别与评价 (1) 资产识别 资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识。资产识别过程中要特别注意无形资产的遗漏,同时还应注意不同资产间
33、的相互依赖关系,关系紧密的资产可作为一个整体来考虑,同一中类型的资产也应放在一起考虑。 资产识别的方法主要有访谈、现场调查、问卷、文档查阅等。风险评估流程风险评估流程(2) 资产评价资产评价 资产的评价是对资产的价值或重要程度进行评估,资产本身的货币价值是资产价值的体现,但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。由于多数资产不能以货币形式的价值来衡量,资产评价很难以定量的方式来进行,多数情况下只能以定性的形式,依据重要程度的不同划分等级。 通常信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的安全属性。可以先分别对资产在以上各方面的重要程度进行评估,
34、然后通过一定的方法进行综合,可得资产的综合价值(加权评估)风险评估流程风险评估流程赋值标识定义5极高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害 4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等资产机密性赋值表资产机密性赋值表风险评估流程风险评估流程3. 威胁识别与评估威胁识别与评估(1)威胁识别 威胁是构成风险的
35、必要组成部分,因而威胁识别是风险识别的必要环节,威胁识别的任务是对组织资产面临的威胁进行全面的标识。威胁识别可从威胁源进行分析,也可根据有关标准、组织所提供的威胁参考目录进行分析。风险评估流程风险评估流程人人类类利利用用网网络络访访问问的的威威胁胁树树5个属性风险评估流程风险评估流程系系统统故故障障威威胁胁树树风险评估流程风险评估流程3. 威胁识别与评估威胁识别与评估(2) 威胁评估 安全风险的大小是由安全事件发生的可能性以及它造成的影响决定,安全事件发生的可能性与威胁出现的频率有关,而安全事件的影响则与威胁的强度或破坏能力有关,如地震的等级或破坏力等。威胁评估就是对威胁出现的频率及强度进行评
36、估,这是风险评估的重要环节。评估者应根据经验和(或)有关的统计数据来分析威胁出现的频率及其强度或破坏能力。 三个依据:以往发生的威胁、现实检测出来的威胁、行业三个依据:以往发生的威胁、现实检测出来的威胁、行业威胁威胁风险评估流程风险评估流程威胁赋值表威胁赋值表等级标识定义5很高威胁出现的频率很高,在大多数情况下几乎不可避免或者可以证实经常发生过4高威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生过3中威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过2低威胁出现的频率较小,一般不太可能发生,也没有被证实发生过1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下
37、发生风险评估流程风险评估流程4. 脆弱点识别与评估脆弱点识别与评估 (1)脆弱点识别 脆弱点识别也称为弱点识别,弱点是资产本身存在的,如果没有相应的威胁发生,单纯的弱点本身不会对资产造成损害。而且如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。 脆弱点识别主要从技术和管理两个方面进行,技术脆弱点涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱点又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。风险评估流程风险评估流程脆弱点识别脆弱点识别 类型识别对象识别内容技术脆弱点物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、
38、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器(含操作系统)从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理脆弱点技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续
39、性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性风险评估流程风险评估流程脆弱点识别脆弱点识别 资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。 脆弱点识别将针对每一项需要保护的资产,找出可能被威胁利用的弱点,并对脆弱点的严重程度进行评估。脆弱点识别时的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面的专业等人员 脆弱点识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 风险评估流程风险评估流程(2)
40、脆弱点评估)脆弱点评估 脆弱点评估就是是对脆弱点被利用后对资产损害程度、技术实现的难易程度、弱点流行程度进行评估,评估的结果一般都是定性等级划分形式,综合的标识脆弱点的严重程度。也可以对脆弱点被利用后对资产的损害程度以及被利用的可能性分别评估,然后以一定方式综合。风险评估流程风险评估流程(2)脆弱点严重程度赋值)脆弱点严重程度赋值 等级标识定义5很高如果被威胁利用,将对资产造成完全损害4高如果被威胁利用,将对资产造成重大损害3中如果被威胁利用,将对资产造成一般损害 2低如果被威胁利用,将对资产造成较小损害 1很低如果被威胁利用,将对资产造成的损害可以忽略 风险评估流程风险评估流程5. 已有安全
41、措施的确认已有安全措施的确认 安全措施可以分为预防性安全措施和保护性安全措施两种。 预防性安全措施可以降低威胁利用脆弱点导致安全事件发生的可能性。这可以通过两个方面的作用来实现, (1)减少威胁出现的频率,如通过立法或健全制度加大对员工恶意行为的惩罚,可以减少员工故意行为威胁出现的频率,通过安全培训可以减少无意行为导致安全事件出现的频率; (2)减少脆弱点,如及时为系统打补丁、对硬件设备定期检查能够减少系统的技术脆弱点等。 风险评估流程风险评估流程5. 已有安全措施的确认已有安全措施的确认 对已采取的安全措施进行确认,至少有两个方面的意义。一方面,这有助于对当前信息系统面临的风险进行分析;另一
42、方面,通过对当前安全措施的确认,分析其有效性,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。风险评估流程风险评估流程6. 风险分析风险分析 风险分析就是利用资产、威胁、脆弱点识别与评估结果以及已有安全措施的确认与分析结果,对资产面临的风险进行分析。1 1)风险计算)风险计算2 2)风险等级)风险等级3 3)风险处理计划)风险处理计划风险评估流程风险评估流程(1)风险计算)风险计算 在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安
43、全事件造成的损失对组织的影响,即安全风险。风险评估流程风险评估流程(1)风险计算)风险计算 如前所述,风险可形式化的表示为R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。相应的风险值由A、T、V的取值决定,是它们的函数,可以表示为: VR=R(A,T,V)=R(L(A,T,V),F(A,T,V) 其中,L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出。而风险则可表示为可能性L和影响F的函数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值,实际就是平均损失,即VR=
44、L(A,T,V)F(A,T,V)。风险评估流程风险评估流程(1)风险计算)风险计算威胁识别脆弱性识别威 胁 出现的频率脆弱性的严重程度资产的重要性安全事件的损失风险值资产识别安全事件的可能性风险评估流程风险评估流程影响分析影响分析 影响分析,安全事件对组织的影响可体现在以下方面: p直接经济损失直接经济损失:风险事件可能引发直接的经济损失,如交易密码失窃、电子合同的篡改(完整性受损)、公司帐务资料的篡改等,这类损失本易于计算。 p物理资产的损坏物理资产的损坏:物理资产损坏的经济损失也很容易计算,可用更新或修复该物理资产的花费来度量 p业务影响业务影响:信息安全事件会对业务带来很大的影响,如业务
45、中断,这方面的经济损失可通过以下方式来计算,先分析由于业务中断,单位时间内的经济损失,用“单位时间损失修复所需时间修复代价”可将业务影响表示为经济损失,当然单位时间内的经济损失估计有时会有一定的难度。业务影响除包括业务中断外,还有其他情况,如经营业绩影响、市场影响等,这些应根据具体情况具体分析,定量分析存在困难。 风险评估流程风险评估流程影响分析影响分析 p法律责任法律责任;风险事件可能导致一定的法律责任,如由于安全故障导致机密信息的未授权发布、未能履行合同规定的义务或违反有关法律、规章制度的规定,这些可用由于应承担应有的法律责任可能支付赔偿金额来表示经济损失,当然其中有很多不确定因素,实际应
46、用时可参考惯例、合同本身、有关法律法规的规定。 p人员安全危害人员安全危害:风险事件可能对人员安全构成危害,甚至危及到生命,这类损失很难用货币衡量 p组织信誉、形象损失组织信誉、形象损失:风险事件可能导致组织信誉、形象受损,这类损失很难用直接的经济损失来估计,应通过一定的方式计算潜在的经济损失,如由于信誉受损,可能导致市场份额损失、与外部关系受损等,市场份额损失可以转化为经济损失,与外界各方关系的损失可通过分析关系重建的花费、由于关系受损给业务开展带来的额外花费等因素来估计,另外专家估计也是一种可取的方法。 风险评估流程风险评估流程可能性分析可能性分析 总体说来,安全事件发生的可能性的因素有:
47、资产吸引力、威胁出现的可能性、脆弱点的属性、安全措施的效能等。 根据威胁源的分类,引起安全事件发生的原因可能是自然灾害、环境及系统威胁、人员无意行为、人员故意行为等。不同类型的安全事件,其可能性影响因素也有点不同。风险评估流程风险评估流程 一是计算安全事件发生的可能性一是计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:全事件发生的可能性,即: 安全事件发生的可能性安全事件发生的可能性L(L(威胁出现频率,脆弱性威胁出现频率,脆弱性) ) L(TL(T,V )V ) 二是计算安全事件发生
48、后的损失二是计算安全事件发生后的损失 根据资产重要程度及脆弱性严重程度,计算安全事件发生后的根据资产重要程度及脆弱性严重程度,计算安全事件发生后的损失,即:损失,即: 安全事件的损失安全事件的损失F(F(资产重要程度,脆弱性严重程度资产重要程度,脆弱性严重程度) ) F(IaF(Ia,Va )Va ) 三是计算风险值三是计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失,计根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:算风险值,即: 风险值风险值R(R(安全事件发生的可能性,安全事件的损失安全事件发生的可能性,安全事件的损失) ) R(L(TR(L(T,V)V
49、),F(IaF(Ia,Va )Va )风险评估流程风险评估流程风险等级风险等级等级等级标识标识描述描述5 5极高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣4 4高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害3 3中一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大2 2低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决1 1很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补风险评估流程风险评估流程 风险处理计划风险处理计划风险评估流程风险评估流程7
50、. 安全措施的选取安全措施的选取 风险评估的目的不仅是获取组织面临的有关风险信息,更重要的是采取适当的措施将安全风险控制在可接受的范围内。 如前所述,安全措施可以降低安全事件造成的影响,也可以降低安全事件发生的可能性,在对组织面临的安全风险有全面认识后,应根据风险的性质选取合适的安全措施,并对对可能的残余风险进行分析,直到残余风险为可接受风险为止。风险评估流程风险评估流程8 风险评估文件记录风险评估文件记录 风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档,这些文档包括: (1)风险评估计划 (2)风险评估程序 (3)资产识别清单 (4)重要资产清单 (5)威胁列表 (6)