信息安全風(fēng)險(xiǎn)評估的基本過程概要.ppt

1、第七章,信息安全風(fēng)險(xiǎn)評估的基本過程,信息安全風(fēng)險(xiǎn)評估是對信息在產(chǎn)生、存儲(chǔ)、傳輸?shù)冗^程中其機(jī)密性、完整性、可用性遭到破壞的可能性及由此產(chǎn)生的后果所做的估計(jì)或估價(jià)，是組織確定信息安全需求的過程。,7.1 信息安全風(fēng)險(xiǎn)評估的過程,依據(jù)GB/T 209842007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范，同時(shí)參照ISO/IEC TR 13335-3、NIST SP800-30等標(biāo)準(zhǔn)，風(fēng)險(xiǎn)評估過程都會(huì)涉及到以下階段：識(shí)別要評估的資產(chǎn)，確定資產(chǎn)的威脅、脆弱點(diǎn)及相關(guān)問題，評價(jià)風(fēng)險(xiǎn)，推薦對策。,信息安全風(fēng)險(xiǎn)評估完整的過程如圖7-1所示,7.2 評估準(zhǔn)備,信息安全風(fēng)險(xiǎn)評估的準(zhǔn)備，是實(shí)施風(fēng)險(xiǎn)評估的前提。為了保證評估過程

2、的可控性以及評估結(jié)果的客觀性，在信息安全風(fēng)險(xiǎn)評估實(shí)施前應(yīng)進(jìn)行充分的準(zhǔn)備和計(jì)劃，信息安全風(fēng)險(xiǎn)評估的準(zhǔn)備活動(dòng)包括： 確定信息安全風(fēng)險(xiǎn)評估的目標(biāo)； 確定信息安全風(fēng)險(xiǎn)評估的范圍； 組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)； 進(jìn)行系統(tǒng)調(diào)研； 確定信息安全風(fēng)險(xiǎn)評估依據(jù)和方法； 制定信息安全風(fēng)險(xiǎn)評估方案； 獲得最高管理者對信息安全風(fēng)險(xiǎn)評估工作的支持。,7.2.1 確定信息安全風(fēng)險(xiǎn)評估的目標(biāo) 在信息安全風(fēng)險(xiǎn)評估準(zhǔn)備階段應(yīng)明確風(fēng)險(xiǎn)評估的目標(biāo)，為信息安全風(fēng)險(xiǎn)評估的過程提供導(dǎo)向。信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求，通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對信息安全等的保密性、完

3、整性、可用性等方面的需求，來確定信息安全風(fēng)險(xiǎn)評估的目標(biāo)。,7.2.2 確定信息安全風(fēng)險(xiǎn)評估的范圍 既定的信息安全風(fēng)險(xiǎn)評估可能只針對組織全部資產(chǎn)的一個(gè)子集，評估范圍必須明確。 描述范圍最重要的是對于評估邊界的描述。評估的范圍可能是單個(gè)系統(tǒng)或者是多個(gè)關(guān)聯(lián)的系統(tǒng)。 比較好的方法是按照物理邊界和邏輯邊界來描述某次風(fēng)險(xiǎn)評估的范圍。,7.2.3 組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì) 在評估的準(zhǔn)備階段，評估組織應(yīng)成立專門的評估團(tuán)隊(duì)，具體執(zhí)行組織的信息安全風(fēng)險(xiǎn)評估。團(tuán)隊(duì)成員應(yīng)包括評估單位領(lǐng)導(dǎo)、信息安全風(fēng)險(xiǎn)評估專家、技術(shù)專家，還應(yīng)該包括管理層、業(yè)務(wù)部門、人力資源、IT系統(tǒng)和來自用戶的代表。,7.2.4 進(jìn)行系統(tǒng)調(diào)研 系

4、統(tǒng)調(diào)研是確定被評估對象的過程。風(fēng)險(xiǎn)評估團(tuán)隊(duì)?wèi)?yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為信息安全風(fēng)險(xiǎn)評估依據(jù)和方法的選擇、評估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括： 業(yè)務(wù)戰(zhàn)略及管理制度； 主要的業(yè)務(wù)功能和要求； 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接； 系統(tǒng)邊界； 主要的硬件、軟件； 數(shù)據(jù)和信息； 系統(tǒng)和數(shù)據(jù)的敏感性； 支持和使用系統(tǒng)的人員。,7.2.5 確定信息安全風(fēng)險(xiǎn)評估依據(jù)和方法 信息安全風(fēng)險(xiǎn)評估依據(jù)包括現(xiàn)有國際或國家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互聯(lián)單位的安全要求、組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求等。 根據(jù)信息安全評估風(fēng)險(xiǎn)依據(jù)，并綜合考慮信息安全風(fēng)險(xiǎn)評估

5、的目的、范圍、時(shí)間、效果、評估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)組織業(yè)務(wù)實(shí)施對系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的評估判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。,7.2.6 制定信息安全風(fēng)險(xiǎn)評估方案 信息安全風(fēng)險(xiǎn)評估方案的內(nèi)容一般包括： 團(tuán)隊(duì)組織：包括評估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、 責(zé)任等內(nèi)容。 工作計(jì)劃：信息安全風(fēng)險(xiǎn)評估各階段的工作計(jì) 劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容。 時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。,7.2.7 獲得最高管理者對信息安全風(fēng)險(xiǎn)評估工作的支持 信息安全風(fēng)險(xiǎn)評估需要相關(guān)的財(cái)力和人力的支持，管理層必須以明示的方式表明對評估活動(dòng)的支持，對資源調(diào)配作出承諾，

6、并對信息安全風(fēng)險(xiǎn)評估小組賦予足夠的權(quán)利，信息安全風(fēng)險(xiǎn)評估活動(dòng)才能順利進(jìn)行。,7.3 識(shí)別并評價(jià)資產(chǎn),7.3.1 識(shí)別資產(chǎn) 在信息安全風(fēng)險(xiǎn)評估的過程中，應(yīng)清晰地識(shí)別其所有的資產(chǎn)，不能遺漏，劃入風(fēng)險(xiǎn)評估范圍和邊界內(nèi)的每一項(xiàng)資產(chǎn)都應(yīng)該被確認(rèn)和評估。,資產(chǎn)識(shí)別活動(dòng)中，可能會(huì)用到工具有以下幾種。 1資產(chǎn)管理工具 2主動(dòng)探測工具 3手工記錄表格,7.3.2 資產(chǎn)分類 資產(chǎn)的分類并沒有嚴(yán)格的標(biāo)準(zhǔn)，在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者靈活把握，表7-2列出了一種根據(jù)資產(chǎn)的表現(xiàn)形式的資產(chǎn)分類方法。,表7-2 一種基于表現(xiàn)形式的資產(chǎn)分類方法,7.3.3.1 定性分析 定性風(fēng)險(xiǎn)評估

7、一般將資產(chǎn)按其對于業(yè)務(wù)的重要性進(jìn)行賦值，結(jié)果是資產(chǎn)的重要度列表。資產(chǎn)的重要度一般定義為“高”、“中”、“低”等級別，或直接用數(shù)字13表示。組織可以按照自己的實(shí)際情況選擇3個(gè)級別、5個(gè)級別等，表7-3給出了5級分法的資產(chǎn)重要性等級劃分表。,表7-3 資產(chǎn)等級及含義描述,信息安全風(fēng)險(xiǎn)評估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是以資產(chǎn)的保密性、完整性和可用性三個(gè)安全屬性為基礎(chǔ)進(jìn)行衡量。資產(chǎn)在保密性、完整性和可用性三個(gè)屬性上的要求不同，則資產(chǎn)的最終價(jià)值也不同，表7-4、表7-5、表7-6分別給出了資產(chǎn)的保密性、完整性和可用性的賦值表。,表7-4 資產(chǎn)保密性賦值表,表7-5 資產(chǎn)完整性賦值表,表7-

8、6 資產(chǎn)可用性賦值表,7.3.3.2 定量分析 定量風(fēng)險(xiǎn)評估對資產(chǎn)進(jìn)行賦值，應(yīng)該確定資產(chǎn)的貨幣價(jià)值，但這個(gè)價(jià)值并不是資產(chǎn)的購置價(jià)值或帳面價(jià)值，而是相對價(jià)值。在定義相對價(jià)值時(shí)，需要考慮： 1信息資產(chǎn)因?yàn)槭軗p而對商務(wù)造成的直接損失； 2信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測、控制、修復(fù)時(shí)的人力和物力； 3信息資產(chǎn)受損對其他部門的業(yè)務(wù)造成的影響； 4組織在公眾形象和名譽(yù)上的損失； 5因?yàn)樯虅?wù)受損導(dǎo)致競爭優(yōu)勢降級而引發(fā)的間接損失； 6其他損失，例如保險(xiǎn)費(fèi)用的增加。,7.3.4 輸出結(jié)果 在資產(chǎn)劃分的基礎(chǔ)上，再進(jìn)行資產(chǎn)的統(tǒng)計(jì)、匯總，形成完備的資產(chǎn)及評價(jià)報(bào)告。,7.4 識(shí)別并評估威脅,7.4.1 威

9、脅識(shí)別 識(shí)別并評價(jià)資產(chǎn)后，組織應(yīng)該識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅，識(shí)別威脅時(shí)，應(yīng)該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對不同的資產(chǎn)造成影響。,威脅識(shí)別活動(dòng)中，可能會(huì)用到工具有以下幾種： 1IDS采樣分析 2日志分析 3人員訪談,7.4.2 威脅分類 在對威脅進(jìn)行分類前，首先要考慮威脅的來源。,表7-8 威脅來源列表,對威脅進(jìn)行分類的方式有多種多樣，針對上表威脅來源，可以根據(jù)其表現(xiàn)形式將威脅分為以下種類。 1.軟硬件故障 2.物理環(huán)境影響 3.無作為或操作失誤 4.管理不到位 5.惡意代碼 6.越權(quán)或?yàn)E用 7.網(wǎng)絡(luò)攻擊 8.物理攻擊 9.泄

10、密 10.篡改 11.抵賴,7.4.3 威脅賦值 識(shí)別資產(chǎn)面臨的威脅后，還應(yīng)該評估威脅出現(xiàn)的頻率。威脅出現(xiàn)的頻率是衡量威脅嚴(yán)重程度的重要因素。,表7-10 威脅賦值表,7.4.4 輸出結(jié)果 表7-11 威脅列表示例1,表7-12 威脅列表示例2,7.5 識(shí)別并評估脆弱性,7.5.1 脆弱性識(shí)別 1漏洞掃描工具 絕大部分的評估項(xiàng)目中，都會(huì)使用到漏洞掃描工具。利用脆弱性掃描工具對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行掃描，從內(nèi)部和外部兩個(gè)角度查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶帳號/口令等安全對象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞、威脅。 2滲透測試 滲透測試可以非常有效地發(fā)現(xiàn)安全隱患。利用6.2節(jié)描述的滲透

11、測試工具對重要資產(chǎn)進(jìn)行全面檢查，發(fā)現(xiàn)漏洞。 3各類檢查列表 檢查表用于手工識(shí)別信息系統(tǒng)中常見的組件中存在的安全漏洞。,7.5.2 脆弱性分類 脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)，表7-14提供了一種脆弱性分類方法。,表7-14 脆弱性分類表,7.5.3 脆弱性賦值 可以根據(jù)對資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度，采用等級方式對已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。 對某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響，因此，

12、資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。,7.5.4 輸出結(jié)果 評估脆弱性后的輸出結(jié)果有原始漏洞檢測、識(shí)別報(bào)告文件，漏洞分析報(bào)告，表7-16提供了一種脆弱性列表的示例。,表7-16 脆弱性列表示例,7.6 識(shí)別安全措施,7.6.1 識(shí)別安全措施 要得到威脅利用脆弱性的可能性大小和產(chǎn)生的影響，必須先識(shí)別目前的安全措施和評價(jià)安全措施的有效性。 識(shí)別已有的安全措施，分析安全措施的效力，確定威脅利用脆弱性的實(shí)際可能性，一方面可以指出當(dāng)前安全措施的不足，另一方面也可以避免重復(fù)投資。 安全措施大致可以分為技術(shù)控制措施、管理和操作控制措施兩大類。 識(shí)別出來的控制措施，一般不必做直接的評價(jià)

13、，在分析影響和可能性的過程中作為其中一個(gè)重要因素一起評價(jià)。,安全措施識(shí)別活動(dòng)中，可能會(huì)用到工具有以下幾種。 1技術(shù)控制措施調(diào)查表 用于調(diào)查和記錄被評估組織已經(jīng)部署的安全控制措施。 2管理和操作控制措施調(diào)查表 對照安全管理標(biāo)準(zhǔn)，調(diào)查和記錄組織已經(jīng)采取的安全管理和操作控制措施。 3符合性檢查工具 用于檢查被評估組織當(dāng)前對安全標(biāo)準(zhǔn)或策略的符合程度。,7.6.2 輸出結(jié)果 安全控制措施識(shí)別與確認(rèn)過程后，應(yīng)提交以下輸出結(jié)果： 1技術(shù)控制措施識(shí)別與確認(rèn)結(jié)果； 2管理與操作措施識(shí)別與確認(rèn)結(jié)果。,構(gòu)成風(fēng)險(xiǎn)的要素有4個(gè)：資產(chǎn)、威脅、脆弱性和安全措施，在識(shí)別了這4個(gè)要素之后，存在什么風(fēng)險(xiǎn)就可以顯現(xiàn)了。 評價(jià)風(fēng)險(xiǎn)有

14、2個(gè)關(guān)鍵因素：一個(gè)是威脅對信息資產(chǎn)造成的影響，另一個(gè)是威脅發(fā)生的可能性。 定性的分析產(chǎn)生影響和可能性的級別，定量的分析產(chǎn)生相應(yīng)的損失大小和發(fā)生概率。,7.7 分析可能性和影響,7.7.1 分析可能性 根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)L(T，V ) 目前，定量分析可能性要用到的數(shù)據(jù)貧乏，很難實(shí)現(xiàn)，多采用定性分析的方法 。,表7-17 可能性級別定義,7.7.2 分析影響 根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失，即：安全事件的影響=F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度)F(Ia，Va

15、) 影響級別是威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級。,表7-18 影響級別定義,7.8 風(fēng)險(xiǎn)計(jì)算,根據(jù)威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性、安全事件發(fā)生后造成的損失，計(jì)算風(fēng)險(xiǎn)值，即： 風(fēng)險(xiǎn)值=R(A,T,V) =R(安全事件發(fā)生的可能性,安全事件的損失)R(L(T,V),F(Ia,Va) 其中，R表示風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性，Ia表示安全事件所作用的資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度，L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性、F表示安全事件發(fā)生后造成的損失。,7.8 風(fēng)險(xiǎn)計(jì)算,根據(jù)威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能

16、性、安全事件發(fā)生后造成的損失，計(jì)算風(fēng)險(xiǎn)值，即： 風(fēng)險(xiǎn)值=R(A,T,V) =R(安全事件發(fā)生的可能性,安全事件的損失)R(L(T,V),F(Ia,Va) 其中，R表示風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性，Ia表示安全事件所作用的資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度，L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性、F表示安全事件發(fā)生后造成的損失。,常用的風(fēng)險(xiǎn)評估方法有矩陣法和相乘法。 注：實(shí)際上，L不僅與威脅和脆弱性有關(guān)部門，還與采取的控制措施Ct有關(guān)；F亦與Ct有關(guān)。有效的控制措施可以減少或降低L和F的值或等級，為簡單起見，這里不考慮控制措施的影響。,7.8.1 使用矩陣法計(jì)算風(fēng)

17、險(xiǎn) 矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形，假設(shè)： x=x1,x2,xi,xm,1im,xi為正整數(shù) y=y1,y2,yj,yn,1jn,yj為正整數(shù) 函數(shù)z=f(x,y)可以使用矩陣法計(jì)算，即以x和y的取值構(gòu)造一個(gè)二維矩陣，如表7-19所示，矩陣行值為y的所有取值，矩陣列值為x的所有取值，矩陣內(nèi)mn個(gè)值即為函數(shù)z的值。,表7-19 矩陣構(gòu)造,對于zij的計(jì)算，可以采用zij=xi+yj、zij=xiyj或zij=xi +yj，其中和為正常數(shù)。zij的計(jì)算可根據(jù)實(shí)際情況確定，不一定要遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢。,7.8.2 使用相乘法計(jì)算風(fēng)險(xiǎn) 相乘法主要適用于由兩個(gè)

18、要素值確定一個(gè)要素值的情形，即函數(shù)z=f(x,y)，函數(shù)f可以使用相乘法計(jì)算，z=f(x,y)=xy，如z=xy，或z=等。,7.9 風(fēng)險(xiǎn)處理,7.9.1 現(xiàn)存風(fēng)險(xiǎn)判斷 依據(jù)信息安全風(fēng)險(xiǎn)評估結(jié)果，確定系統(tǒng)可接受的風(fēng)險(xiǎn)等級，把信息安全風(fēng)險(xiǎn)評估得出的風(fēng)險(xiǎn)等級劃分為可接受和不可接受兩種，形成風(fēng)險(xiǎn)接受等級劃分表，表7-31是一種風(fēng)險(xiǎn)接受等級劃分表的示例。,表7-31 風(fēng)險(xiǎn)接受等級劃分表示例,7.9.2 控制目標(biāo)確定 7.9.2.1 風(fēng)險(xiǎn)控制需求分析 按照系統(tǒng)的風(fēng)險(xiǎn)等級接受程度，通過對信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對策進(jìn)行分析描述，形成已有安全措施的需求分析結(jié)果，表7-32是一種風(fēng)險(xiǎn)控制需求分析表的示例。,表7-32 風(fēng)險(xiǎn)控制需求分析表示例,7.9.2.2 風(fēng)險(xiǎn)控制目標(biāo) 依據(jù)風(fēng)險(xiǎn)接受等級劃分表