信息安全風險度量和計算

1、基于積分卡的風險計算模型林明峰12風險計分卡風險計分卡從四從四個維度邏輯個維度邏輯關(guān)系表明關(guān)系表明了風險評價的過程了風險評價的過程企業(yè)風險（企業(yè)風險（ERM）企業(yè)角度企業(yè)角度目標衡量指標目標值“為使股東滿意，我們應該達到為使股東滿意，我們應該達到什么樣什么樣的的風險管理風險管理目標目標?”戰(zhàn)略風險1戰(zhàn)略風險2戰(zhàn)略風險3安全管理風險安全管理風險(Compliance)合規(guī)角度合規(guī)角度目標衡量指標目標值“為達到我們?yōu)檫_到我們的日常管理要求，我們的日常管理要求，我們是否完成所有日常安全工作是否完成所有日常安全工作?”日常管理安全運行風險（安全運行風險（incident Management )運維角

2、度運維角度目標衡量指標目標值行動方案“有哪些安全事件，影響到我們的安全運有哪些安全事件，影響到我們的安全運行結(jié)果行結(jié)果?”安全事件發(fā)生率解決速度嚴重程度技術(shù)與配置分析技術(shù)與配置分析(漏洞漏洞, 配置配置)技術(shù)角度技術(shù)角度目標衡量指標目標值Initiatives“現(xiàn)有漏洞和安全配置是否都修復了現(xiàn)有漏洞和安全配置是否都修復了?”漏洞1漏洞2漏洞3公司風險公司風險的的整體整體目標目標驅(qū)動驅(qū)動成果成果3風險計分卡風險計分卡確保了組織戰(zhàn)略的層層傳遞確保了組織戰(zhàn)略的層層傳遞Top-down Design自上而下的規(guī)劃自上而下的規(guī)劃SBU風險計分卡風險計分卡部門與業(yè)務系統(tǒng)部門與業(yè)務系統(tǒng)風險計分卡風險計分卡公

3、司公司總部風險計分卡總部風險計分卡Bottom-up execution自下而上的執(zhí)行自下而上的執(zhí)行設(shè)備風險計分卡設(shè)備風險計分卡橫向協(xié)同橫向協(xié)同橫向協(xié)同橫向協(xié)同橫向協(xié)同橫向協(xié)同風險管理組織結(jié)構(gòu)（Secure CMDB）4公司分公司業(yè)務部門應用系統(tǒng)IT 設(shè)備軟件和數(shù)據(jù)公司總部業(yè)務單元產(chǎn)品服務1應用系統(tǒng)1App服務器1軟件機房信息人員App服務器2產(chǎn)品服務2應用系統(tǒng)2業(yè)務單元產(chǎn)品服務3應用系統(tǒng)3網(wǎng)絡設(shè)備終端設(shè)備業(yè)務條線IT運維條線安全事件系統(tǒng)漏洞企業(yè)風險管理風險風險管理風險值計算結(jié)構(gòu)5公司分公司業(yè)務部門應用系統(tǒng)IT 設(shè)備軟件和數(shù)據(jù)公司總部業(yè)務單元產(chǎn)品服務1應用系統(tǒng)1App服務器1軟件機房信息人員A

4、pp服務器2產(chǎn)品服務2應用系統(tǒng)2業(yè)務單元產(chǎn)品服務3應用系統(tǒng)3網(wǎng)絡設(shè)備終端設(shè)備152漏洞事故 運作企業(yè)1521521521525556企業(yè)管理風險（ERM）一、風險評估的三個基本概念（一）固有風險和剩余風險 固有風險：管理當局未采取任何措施的情況下所面臨的風險。 剩余風險：管理當局采取應對措施后所殘余的風險。（二）可能性和影響 風險評估主要對風險進行兩方面的分析：可能性和影響 可能性：風險可能發(fā)生的程度或發(fā)生的概率 影響：風險發(fā)生后對企業(yè)造成的損失或帶來的負面影響。（三）計量尺度 順序計量、間隔計量、比例計量（四）注冊風險庫 注冊可能出現(xiàn)的風險項目和類型2、定性分析法 直接用文字描述風險發(fā)生的可

5、能性以及風險對目標的影響程度，有較強的主觀性。步驟： （1）確定潛在事項發(fā)生的可能性 （2）確定風險影響等級，確定風險等級 （3）根據(jù)（1）、（2）編制風險矩陣企業(yè)管理風險采用的方式公司公司對風險發(fā)生可能性和對目標的影響程度定性評估及其相互對應關(guān)系表對風險發(fā)生可能性和對目標的影響程度定性評估及其相互對應關(guān)系表風險發(fā)生風險發(fā)生的可能性的可能性文字描述文字描述1 1極不可能極不可能不太可能不太可能可能可能較大可能較大可能極有可能極有可能文字描述文字描述2 2一般情況下不一般情況下不會發(fā)生會發(fā)生極少情況下極少情況下才會發(fā)生才會發(fā)生某些情況某些情況下發(fā)生下發(fā)生較多情況較多情況下發(fā)生下發(fā)生常常發(fā)生常常發(fā)

6、生文字描述文字描述3 3今后今后1010年內(nèi)發(fā)年內(nèi)發(fā)生的可能少于生的可能少于1 1次次今后今后5-105-10年年內(nèi)可能發(fā)生內(nèi)可能發(fā)生1 1次次今后今后2-52-5年年內(nèi)可能發(fā)內(nèi)可能發(fā)生生1 1次次今后今后1 1年內(nèi)年內(nèi)可能發(fā)生可能發(fā)生1 1次次今后今后1 1年內(nèi)年內(nèi)至少發(fā)生至少發(fā)生1 1次次對目標的對目標的影響程度影響程度文字描述文字描述1 1極輕微的極輕微的輕微的輕微的中等的中等的重大的重大的災難性的災難性的文字描述文字描述2 2極低極低低低中等中等高高極高極高文字描文字描述述3 3安全運安全運營營基本不受影響基本不受影響輕度影響輕度影響中度影響中度影響嚴重影響嚴重影響重大影響重大影響財務

7、損財務損失失較低較低輕微的輕微的中等中等重大的重大的極大極大企業(yè)聲企業(yè)聲譽譽負面消息在企負面消息在企業(yè)內(nèi)部流傳，業(yè)內(nèi)部流傳，企業(yè)聲譽未受企業(yè)聲譽未受損損負面消息在負面消息在當?shù)鼐植苛鳟數(shù)鼐植苛鱾?，對企業(yè)傳，對企業(yè)聲譽造成輕聲譽造成輕微危害微危害負面消息負面消息在某區(qū)域在某區(qū)域流傳，對流傳，對企業(yè)聲譽企業(yè)聲譽造成中等造成中等損害損害負面消息負面消息在全國各在全國各地流傳，地流傳，對企業(yè)聲對企業(yè)聲譽在成重譽在成重大損害大損害負面消息流負面消息流傳至世界各傳至世界各地，政府或地，政府或監(jiān)管機構(gòu)進監(jiān)管機構(gòu)進行調(diào)查，引行調(diào)查，引起公眾廣泛起公眾廣泛關(guān)注，對企關(guān)注，對企業(yè)聲譽造成業(yè)聲譽造成無法彌補的無法彌

8、補的損害損害某公司風險定性評價結(jié)果表某公司風險定性評價結(jié)果表風險事項編號風險事項編號風險發(fā)生的可能性風險發(fā)生的可能性低低高高中等中等低低中等中等極高極高低低高高極低極低對目標的影響對目標的影響極低極低低低中等中等中等中等低低高高極高極高極高極高高高 對風險發(fā)生可能性的高低和風險對目標的影響程度進行定性評價后，依據(jù)評價結(jié)果繪制風險坐標圖。例如某公司對9項風險事項進行了定性評價，評價結(jié)果和風險坐標圖如下所示：某公司風險坐標圖某公司風險坐標圖11說明(以固有風險繪制):1 人力資源風險2 財務風險3 競爭風險4 產(chǎn)品開發(fā)風險5 客戶信用風險6 系統(tǒng)故障風險7 外匯風險8 欺詐風險9 政治風險10 投

9、資風險11 采購風險影響程度影響程度極低極低低低中等中等高高極高極高極高極高高高中等中等低低極低極低1 81073462 115 9可可能能性性風險發(fā)生可能性的高低、風險發(fā)生后對目標的影響程度作為兩個維度繪制在一個平面上（即繪制成直角坐標系）。12極極高高高高中中等等低低極極低低極低極低 低低 中等中等 高高 極高極高 影響程度影響程度 可能性可能性285B B區(qū)域區(qū)域C C區(qū)域區(qū)域A A區(qū)域區(qū)域B B區(qū)域區(qū)域 承擔A A區(qū)域區(qū)域中的各項風險且不再增加控制措施 嚴格控制B B區(qū)域區(qū)域中的各項風險且專門補充制定各項控制措施 確保規(guī)避和轉(zhuǎn)移C C區(qū)域區(qū)域中的各項風險且優(yōu)先安排實施各項防范措施341

10、769風險坐標圖中各項控制措施風險坐標圖法 風險坐標圖法是在統(tǒng)計分析和經(jīng)驗判斷的基礎(chǔ)上把風險發(fā)生的可能性的高低、風險發(fā)生后對目標影響程度的大小作為兩個維度繪制在同一直角坐標系內(nèi)。1、風險發(fā)生可能性及對目標影響的定性分析2、針對一個單一資產(chǎn)的風險值計算過程： 所有C區(qū)的高風險值 累加后的 平均值：例如： 風險1 = 4* 4 =16 風險2 = 4* 5 =20 那么單個資產(chǎn)值 (16+20)/2 =1814運維管理模塊的風險值計算過程15安全運維過程的風險值評估 針對每一個資產(chǎn)所有人發(fā)問卷 問卷為周期性發(fā)放 通過在線填寫方式完善問卷問卷形式下發(fā) 每一個問題映射具體的控制措施 根據(jù)權(quán)重方式計算總

11、體合規(guī)率分值計算16安全事故的風險值計算方式安全事故風險評價風險值是風險評價表征量，包括事故的發(fā)生概率和事風險值是風險評價表征量，包括事故的發(fā)生概率和事故的危害程度。定義為：故的危害程度。定義為： 測量單位時間為周測量單位時間為周后果為事故的嚴重程度，取事件中嚴重程度后果為事故的嚴重程度，取事件中嚴重程度當事故被解決后，將從風險值計算過程中去除。當事故被解決后，將從風險值計算過程中去除。18技術(shù)漏洞的評估與計算方式量化的漏洞和風險評估風險等級：1風險等級：2風險等級：3風險等級：4風險很高，導致系統(tǒng)受到非常嚴重非常嚴重影響，需要緊急處理風險高，導致系統(tǒng)受到嚴重嚴重影響風險中，導致系統(tǒng)受一般一般

12、影響風險低，進行提示提示即可技術(shù)漏洞技術(shù)漏洞的量化風險的量化風險n 采用CVSS通用弱點評價體系n 參考信息安全風險評估指南國家標準n 將資產(chǎn)價值、弱點、保護等級相結(jié)合資產(chǎn)風險值為風險等級為最高級別漏洞風險值。漏洞風險值的計算過程2021CVSSCVSS (Common Vulnerability Security Scoring) Base Metrics（基本度量） access location, access complexity, authentication, CIA impact Temporal Metrics（時效性） Exploitability, Remediation

13、Level (Patch, etc), Confidence in Available Data Environmental Metrics(環(huán)境因素）Collateral Damage, Target DistributionSee /cvss/ Use CVSS equations Base ScoreCompute values at the class level, the CWE entries. Take CWE “Common Consequences” which are based on CIA and use CVSS base sco

14、re formulas for CIA (None, Partial, Full) to compute a numerical CWE impact CWEImpact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact)XImpact = case XImpact of none: 0.0, partial: 0.275, complete: 0.660 Compute values at the code context level Use CVSS base score formulas for Access Vector

15、(Local, Adjacent, Network), Access Complexity (High, Medium, Low), and Authentication (Multiple, Single, None) to compute exploitability.ContextExploitability = 20* AccessVector*AccessComplexity*AuthenticationAccessVector = case AccessVector of requires local access: 0.395, adjacent network accessib

16、le: 0.646, network accessible: 1.0 AccessComplexity = case AccessComplexity of high: 0.35, medium: 0.61, low: 0.71Authentication = case Authentication of requires multiple instances of authentication: 0.45, requires single instance of authentication: 0.56, requires no authentication: 0.704 Compute W

17、eakness Base ScoreWeaknessBaseScore = round_to_1_decimal(0.6*CWEImpact)+(0.4*ContextExploitability)1.5)*f Use CVSS equations Temporal ScoreCVSS Temporal score adds the notion of threat based on proof of exploitability, availability of fix, and report confidence.TemporalScore = round_to_1_decimal(Bas

18、eScore*Exploitability*RemediationLevel*ReportConfidence) Exploitability = case Exploitability of unproven: 0.85, proof-of-concept: 0.9, functional: 0.95 high: 1.00, not defined: 1.00RemediationLevel = case RemediationLevel of official-fix: 0.87, temporary-fix: 0.90, workaround: 0.95, unavailable: 1.00, not defined: 1.00 ReportConfidence = case ReportConfidence of un