安全技術(shù)防范管理- 風(fēng)險(xiǎn)評(píng)估基本知識(shí)

1、平安技術(shù)防范管理安防系安防管理教研室 陳志華 第二章 風(fēng)險(xiǎn)評(píng)估根本知識(shí)答復(fù)的主要問(wèn)題 1什么是風(fēng)險(xiǎn)？ 2風(fēng)險(xiǎn)是什么？ 3為什么會(huì)出現(xiàn)這些風(fēng)險(xiǎn)？ 4風(fēng)險(xiǎn)出現(xiàn)的可能性是多少？ 5風(fēng)險(xiǎn)后果是什么？ 6風(fēng)險(xiǎn)如何控制？第二章 風(fēng)險(xiǎn)評(píng)估根本知識(shí)主要內(nèi)容 2.1風(fēng)險(xiǎn)評(píng)估概述 2.2風(fēng)險(xiǎn)評(píng)估方法 2.3平安解決方案風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估克服平安需求確定的片面性平安需求即需要進(jìn)行防護(hù)的范圍、深度。安全需求用戶安全要求相關(guān)法律法規(guī)風(fēng)險(xiǎn)評(píng)估結(jié)果保護(hù)哪些資產(chǎn)？防范什么威脅？防護(hù)哪些弱點(diǎn)？防護(hù)范圍？防范深度？ 相關(guān) 標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估減少系統(tǒng)設(shè)計(jì)的盲目性 根據(jù)風(fēng)險(xiǎn)評(píng)估確定的平安需求和風(fēng)險(xiǎn)背景信息，可以幫助設(shè)計(jì)者

2、找準(zhǔn)系統(tǒng)的設(shè)計(jì)目標(biāo)，尋找最正確方案。風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估有助于突出現(xiàn)行風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)的個(gè)性 GA26-1992軍工產(chǎn)品儲(chǔ)存庫(kù)風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定GA27-1992 文物系統(tǒng)博物館風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定GA28-1992 貨幣印制企業(yè)風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定GA38-1992 銀行營(yíng)業(yè)場(chǎng)所風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定 不能簡(jiǎn)單地依賴標(biāo)準(zhǔn)，應(yīng)該通過(guò)風(fēng)險(xiǎn)評(píng)估，找出特定單位的需求差異。風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估可以促進(jìn)系統(tǒng)建設(shè)資金運(yùn)用的合理性 風(fēng)險(xiǎn)評(píng)估結(jié)果不僅可給出風(fēng)險(xiǎn)等級(jí)，還可根據(jù)風(fēng)險(xiǎn)程度給出優(yōu)先防護(hù)順序，使有限的資金投入得到最合理的配置。風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk風(fēng)險(xiǎn)的類型按

3、損失承擔(dān)主體誰(shuí)受損失分：個(gè)人、家庭、企業(yè)、政府、社會(huì)風(fēng)險(xiǎn)。按損失標(biāo)的物損失什么分：人身、財(cái)產(chǎn)、環(huán)境風(fēng)險(xiǎn)。按風(fēng)險(xiǎn)來(lái)源分：自然、技術(shù)、社會(huì)、政治、經(jīng)濟(jì)、金融、文化、行動(dòng)風(fēng)險(xiǎn)。按風(fēng)險(xiǎn)后果分：純粹風(fēng)險(xiǎn)和投機(jī)風(fēng)險(xiǎn)。按風(fēng)險(xiǎn)影響范圍分：根本風(fēng)險(xiǎn)和特殊風(fēng)險(xiǎn)風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk最常見(jiàn)的是按風(fēng)險(xiǎn)后果分： 投機(jī)風(fēng)險(xiǎn) 可能結(jié)果：有損失、沒(méi)有損失、有所獲利。純粹風(fēng)險(xiǎn) 可能結(jié)果：沒(méi)有損失或有損失。 風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk純粹風(fēng)險(xiǎn)和投機(jī)風(fēng)險(xiǎn)兩者統(tǒng)計(jì)學(xué)特點(diǎn)：在相同的條件下，純粹風(fēng)險(xiǎn)重復(fù)出現(xiàn)的概率較大；而投機(jī)風(fēng)險(xiǎn)重復(fù)出現(xiàn)的概率那么較小。風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk風(fēng)險(xiǎn)的表現(xiàn)風(fēng)險(xiǎn)是通過(guò)不良事件現(xiàn)象

4、和損失表現(xiàn)出來(lái)。 威脅經(jīng)過(guò)一系列事件鏈最終引起損失/影響。風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk風(fēng)險(xiǎn)的表現(xiàn) 風(fēng)險(xiǎn)的最終結(jié)果風(fēng)險(xiǎn)發(fā)生的原因或征兆風(fēng)險(xiǎn)？風(fēng)險(xiǎn)評(píng)估 曾流行的風(fēng)險(xiǎn)定義： 風(fēng)險(xiǎn)是損失的可能性； 風(fēng)險(xiǎn)是損失的時(shí)機(jī)或概率； 風(fēng)險(xiǎn)是潛在的損失； 風(fēng)險(xiǎn)是潛在損失的變化范圍與幅度； 概括起來(lái)，有兩個(gè)根本特征，即： 不確定性和損失性風(fēng)險(xiǎn)：不確定性對(duì)目標(biāo)的影響Risk：Effect of uncertainty onobjectives ISO31000：2021風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk風(fēng)險(xiǎn)的表現(xiàn) 風(fēng)險(xiǎn)的最終結(jié)果風(fēng)險(xiǎn)發(fā)生的原因或征兆不確定性和損失性在平安領(lǐng)域中，人們把這種不確定的損失的期望值叫做

5、風(fēng)險(xiǎn)。并用函數(shù)關(guān)系式表示為： R=f(p.c)風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn) Risk 關(guān)系式 R=f(p.c) 說(shuō)明： 風(fēng)險(xiǎn)具有概率和后果的兩重性，是不良事件發(fā)生概率和損失后果的函數(shù)。平安防范風(fēng)險(xiǎn)被防護(hù)對(duì)象風(fēng)險(xiǎn) 在平安防范領(lǐng)域，將上述風(fēng)險(xiǎn)定義做了引申： 風(fēng)險(xiǎn)是指由于不良事件的發(fā)生使被防護(hù)對(duì)象遭受損失的可能性及損失/影響程度后果。 有形的或無(wú)形的風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)構(gòu)成 構(gòu)成要素：損失可能性、損失/影響程度 風(fēng)險(xiǎn)因子：資產(chǎn)防護(hù)對(duì)象、威脅與弱點(diǎn)風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)構(gòu)成 風(fēng)險(xiǎn)因子威脅Threat：可能對(duì)資產(chǎn)造成損害的潛在原因。 如各種刑事犯罪、恐怖、竊取情報(bào)等等；弱點(diǎn) (Vulnerabilit

6、y) ：可能被威脅利用導(dǎo)致資產(chǎn)損失 的薄弱點(diǎn)。 如：人員疏失、實(shí)體缺損、技術(shù)失效、管理漏洞等等；資產(chǎn) Asset：?jiǎn)挝?組織內(nèi)的有形及無(wú)形資產(chǎn) 如：人員、信息、過(guò)程、財(cái)產(chǎn)等等。 風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)構(gòu)成 風(fēng)險(xiǎn)因子間的關(guān)系 威脅資產(chǎn)ABCD弱點(diǎn)風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)構(gòu)成 風(fēng)險(xiǎn)與風(fēng)險(xiǎn)因子間的關(guān)系 弱點(diǎn)弱點(diǎn) 資產(chǎn)弱點(diǎn)資產(chǎn) 資產(chǎn)弱點(diǎn) 資產(chǎn) 風(fēng)險(xiǎn)威脅威脅威脅 威脅風(fēng)險(xiǎn)及其構(gòu)成風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)構(gòu)成 問(wèn)題： 風(fēng)險(xiǎn)是否等同于弱點(diǎn)? 風(fēng)險(xiǎn)是否等同于威脅?風(fēng)險(xiǎn)是否等同于資產(chǎn)的價(jià)值? 風(fēng)險(xiǎn)是否可以隨著人的意志而改變？ 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理概念 是通過(guò)對(duì)潛在的風(fēng)險(xiǎn)的識(shí)別、分析與評(píng)價(jià)的根底上，選擇適宜的處理風(fēng)險(xiǎn)措

7、施和方法，以最少的管理本錢(qián)，將風(fēng)險(xiǎn)導(dǎo)致的各種不利后果減低到可接受程度的管理方法和持續(xù)過(guò)程。 是一個(gè)組織對(duì)風(fēng)險(xiǎn)的指揮和控制的一系列協(xié)調(diào)活動(dòng)。 包括了風(fēng)險(xiǎn)管理框架結(jié)構(gòu)設(shè)計(jì)、風(fēng)險(xiǎn)管理實(shí)施、實(shí)施過(guò)程的監(jiān)視與審查和框架的持續(xù)改進(jìn)四個(gè)典型的PDCA循環(huán)。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估溝通與咨詢 監(jiān)視與審查 風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)處置 建立環(huán)境 風(fēng)險(xiǎn)管理框架與實(shí)施過(guò)程風(fēng)險(xiǎn)評(píng)估概念及其過(guò)程風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的概念 指在對(duì)資產(chǎn)及其威脅、弱點(diǎn)風(fēng)險(xiǎn)因素信息進(jìn)行收集，識(shí)別與分析的根底上，對(duì)損失發(fā)生的可能性及損失/影響程度進(jìn)行綜合評(píng)判，給出風(fēng)險(xiǎn)程度的專家觀點(diǎn)的過(guò)程。 風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的重要組成局部。風(fēng)險(xiǎn)評(píng)估概念及其過(guò)程風(fēng)

8、險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)評(píng)價(jià) 評(píng)估范圍界定風(fēng)險(xiǎn)評(píng)估報(bào)告溝通與咨詢 監(jiān)視與審查 風(fēng)險(xiǎn)評(píng)估過(guò)程第二章 風(fēng)險(xiǎn)評(píng)估根本知識(shí)主要內(nèi)容 2.1風(fēng)險(xiǎn)評(píng)估概述 2.2風(fēng)險(xiǎn)評(píng)估方法 2.3平安解決方案風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估界定風(fēng)險(xiǎn)評(píng)估范圍用戶單位（組織）資產(chǎn)被防護(hù)對(duì)象（關(guān)鍵資產(chǎn)） 威脅弱點(diǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別 是風(fēng)險(xiǎn)評(píng)估過(guò)程的第一步。 通過(guò)深入調(diào)查，識(shí)別出風(fēng)險(xiǎn)因素及其影響的對(duì)象、平安事件產(chǎn)生的原因。 這項(xiàng)工作的目標(biāo)，是建立完整的風(fēng)險(xiǎn)因素清單。風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別威脅 Threat傳統(tǒng)安全威脅NTS資產(chǎn) AssetCIKR一般資產(chǎn)弱點(diǎn) Vulnerability人、物、技、環(huán)境管理風(fēng)險(xiǎn) R

9、iskCIKR：重要根底設(shè)施及關(guān)鍵資源 Critical Infrastructure and Key Resources風(fēng)險(xiǎn)評(píng)估資產(chǎn)的特點(diǎn)資產(chǎn)識(shí)別資產(chǎn)是被保護(hù)對(duì)象資產(chǎn)是平安保衛(wèi)需要顧及的因素資產(chǎn)特征決定了損失模式資產(chǎn)決定了評(píng)估內(nèi)容風(fēng)險(xiǎn)評(píng)估資產(chǎn)的類型資產(chǎn)CIKR一般資產(chǎn)資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估資產(chǎn)-CIKR 突發(fā)事件如果造成對(duì)重要根底設(shè)施和關(guān)鍵資源的破壞，將會(huì)嚴(yán)重影響政府部門(mén)和經(jīng)濟(jì)界的正常運(yùn)作，并產(chǎn)生一連串遠(yuǎn)遠(yuǎn)超出事件所針對(duì)部門(mén)和所發(fā)生區(qū)域的影響，甚至導(dǎo)致人民生命財(cái)產(chǎn)的巨大損失、經(jīng)濟(jì)衰退以及公民士氣和國(guó)家信心的災(zāi)難性損失。 NIPP資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估資產(chǎn)-CI-重要根底設(shè)施 食品與農(nóng)業(yè)、國(guó)家標(biāo)志與象征、

10、金融、國(guó)防工業(yè)、化學(xué)與危險(xiǎn)材料、水源、健康設(shè)施等。資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估資產(chǎn)- KR 關(guān)鍵資源政府設(shè)施、水壩、商業(yè)設(shè)施、核電站 等。資產(chǎn)識(shí)別 本單位員工(含管理者) 合同方(服務(wù)供應(yīng))人員 商業(yè)敏感物品 文物及藝術(shù)品 設(shè)備 傳遞中的信息序號(hào)資產(chǎn)資產(chǎn)名細(xì)描述文件01人員 來(lái)訪者設(shè)施 其他 研發(fā)、生產(chǎn)過(guò)程 存儲(chǔ)中的信息 顯露中的信息 建筑與設(shè)施 技術(shù)敏感物品03信息 現(xiàn)鈔及貴金屬02過(guò)程 顧客財(cái)產(chǎn) 敏感物品 網(wǎng)絡(luò)與系統(tǒng)財(cái)產(chǎn) 貴重物品 物資0405財(cái)產(chǎn) 設(shè)備與物資 安全敏感物品 商務(wù)洽談 有價(jià)證券06無(wú)形資產(chǎn)05 信譽(yù) 競(jìng)爭(zhēng)優(yōu)勢(shì)風(fēng)險(xiǎn)評(píng)估資產(chǎn) 一般資產(chǎn)資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估資產(chǎn)損失模式死亡、損毀以及直接的財(cái)務(wù)損失

11、傷、病及持續(xù)的負(fù)面影響對(duì)社會(huì)及環(huán)境的影響損失后果被利用資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估資產(chǎn) 與威脅的相關(guān)性CIKR一般資產(chǎn)NTS傳統(tǒng)安全資產(chǎn)威脅資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估資產(chǎn) 決定風(fēng)險(xiǎn)評(píng)估內(nèi)容例：GA26 1992 ?軍工產(chǎn)品儲(chǔ)存庫(kù)風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定?GA27 2002 ?文物系統(tǒng)博物館風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定?GA38 2004 ?銀行營(yíng)業(yè)場(chǎng)所風(fēng)險(xiǎn)等級(jí)和平安防護(hù)級(jí)別的規(guī)定?風(fēng)險(xiǎn)評(píng)估是針對(duì)特指的資產(chǎn)；構(gòu)成風(fēng)險(xiǎn)的其他因素威脅、弱點(diǎn)同樣特指某一資產(chǎn)；資產(chǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估威脅概念威脅是可能對(duì)資產(chǎn)造成損害的潛在的原因；威脅是針對(duì)某一資產(chǎn)的實(shí)時(shí)狀態(tài)；威脅帶有指向性；威脅不僅來(lái)自系統(tǒng)外部。威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅分類威脅傳統(tǒng)

12、平安威脅NTS威脅背景性威脅功能性威脅威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅背景性威脅目標(biāo)所處在的社會(huì)環(huán)境，構(gòu)成了背景性威脅的主要特征。威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅功能性威脅目標(biāo)自身的業(yè)務(wù)特征所招致的平安威脅，稱為功能性威脅。威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅威脅模式威脅模式傳統(tǒng)安全威脅模式聚眾入侵搶劫盜竊破壞NTS威脅模式CBR信息安全恐怖襲擊綁架與暗殺IED威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 NTS IED IED 臨時(shí)爆炸裝置威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 NTS CBRCBR 化學(xué)、生物、放射性威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 另一戰(zhàn)線威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 ETIM (東土爾其斯坦伊斯蘭運(yùn)動(dòng)) 在阿富汗境內(nèi)庫(kù)納爾省Kunar或努爾斯坦省Nurestan境內(nèi)的宗

13、教學(xué)校madrassa )接受訓(xùn)練的,來(lái)自中國(guó)新疆的維族少年。威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 信息獲取 獲取威脅信息的渠道：公開(kāi)的非公開(kāi)的商業(yè)的威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 信息獲取 獲取威脅信息的渠道：同域同業(yè)自身威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 01入侵02搶劫、傷害03盜竊04破壞05聚眾06信息安全07威脅與恐嚇08綁架與暗殺09IED10CBR業(yè)務(wù)連續(xù)性建筑及設(shè)施其他資產(chǎn)資產(chǎn)特征威脅指向性與資產(chǎn)特征相關(guān) 舉例威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 可能性 -效果要件 威脅攻擊效果要件最深刻的印象最適宜的機(jī)會(huì)最容易的成功更深遠(yuǎn)的影響適合的對(duì)象觸發(fā)連鎖反應(yīng)更多的受害者更觸目的損失防范的弱點(diǎn)事先的準(zhǔn)備適合的時(shí)機(jī)適合的場(chǎng)合威脅識(shí)別風(fēng)險(xiǎn)評(píng)估

14、威脅 可能性 -攻擊數(shù)據(jù)庫(kù)威脅清單 分析歷史威脅攻擊事件，建立攻擊數(shù)據(jù)庫(kù)關(guān)注所有的攻擊事件，通過(guò)真實(shí)記錄和標(biāo)準(zhǔn)分析，獲得可能攻擊特征的信息，將這些信息記入攻擊數(shù)據(jù)庫(kù)。威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 可能性-信息驗(yàn)證驗(yàn)證方法執(zhí)行概要縱向驗(yàn)證以時(shí)間作為驗(yàn)證工具，以防范對(duì)象的過(guò)去事件 / 態(tài)勢(shì)對(duì)現(xiàn)在進(jìn)行驗(yàn)證橫向驗(yàn)證以不同渠道獲得的信息進(jìn)行比對(duì)；以不同路徑獲得信息進(jìn)行比對(duì)相似驗(yàn)證利用同業(yè)、相似單位的案例作為工具，對(duì)本目標(biāo)的威脅進(jìn)行驗(yàn)證威脅識(shí)別風(fēng)險(xiǎn)評(píng)估威脅 可能性-描述可能性Likelihood可以分級(jí)描述；概率Probability需要一個(gè)數(shù)值；不確定性意味著難以給出概率。資產(chǎn)不同，或平安防范態(tài)勢(shì)不同，威脅會(huì)有

15、多種可能性。威脅識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 概念弱點(diǎn)是指可能被威脅所利用，導(dǎo)致資產(chǎn)損失的薄弱點(diǎn) 弱點(diǎn)可能源于建筑特點(diǎn)、設(shè)備狀態(tài)、人的行為和業(yè)務(wù)流程薄弱是相對(duì)的，它取決于與其相鄰環(huán)節(jié)的狀態(tài)弱點(diǎn)來(lái)自某一特指的資產(chǎn)弱點(diǎn)是動(dòng)態(tài)的弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 發(fā)現(xiàn)弱點(diǎn)01安全檢查02安全評(píng)價(jià)03安全審計(jì)04安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) / 規(guī)范經(jīng)驗(yàn)?zāi)繕?biāo)發(fā)現(xiàn)弱點(diǎn)的方法模型形式弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型ISO31010 : 2021 Risk Management Risk Assessment Techniques 風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估技術(shù) 羅列15種用于風(fēng)險(xiǎn)識(shí)別 Risk Identification的方法弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型

16、FTA 洛克比空難調(diào)查1988年12月21日，泛美航空103號(hào)班機(jī)執(zhí)行法蘭克福倫敦紐約底特律航線。它成為恐怖襲擊目標(biāo)，飛機(jī)在蘇格蘭邊境小鎮(zhèn)洛克比Lockerbie上空爆炸，270人罹難。弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 FTA 洛克比空難調(diào)查1-2機(jī)場(chǎng)當(dāng)局未做出反應(yīng)+機(jī)場(chǎng)安檢人員未檢出行李箱中的炸彈機(jī)場(chǎng)當(dāng)局未對(duì)評(píng)估報(bào)告做出反應(yīng)機(jī)場(chǎng)當(dāng)局未對(duì)預(yù)警做出反應(yīng)X光探測(cè)設(shè)備操作人員是實(shí)習(xí)生現(xiàn)有X光探測(cè)設(shè)備很難發(fā)現(xiàn)行李炸彈忽視聯(lián)邦航空管理局轉(zhuǎn)發(fā)的匿名警告保安主管扣押帶有警告信息的備忘錄航空公司拒絕采納核對(duì)行李的安全措施無(wú)視警方不明身份人員刺探機(jī)場(chǎng)安保的情報(bào)弱點(diǎn)識(shí)別FTA法是從歷史或同業(yè)的平安事件中尋找相似環(huán)節(jié)，從

17、中分析類似的問(wèn)題和薄弱環(huán)節(jié)在現(xiàn)實(shí)的關(guān)鍵資產(chǎn)中是否存在，以及發(fā)現(xiàn)事件的致因與關(guān)注因素之間的關(guān)系。風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA Attack Tree Analysis Bruce Scheiner 創(chuàng)立于1999 通過(guò)根目標(biāo) 葉目標(biāo) 節(jié)點(diǎn)，揭示攻擊路徑 用于發(fā)現(xiàn)和分析防范弱點(diǎn)和平安威脅弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA例一非法進(jìn)入港口保安限制區(qū)潛入 / 闖入+取得直接放行威脅+利誘欺騙+越過(guò)護(hù)欄強(qiáng)闖+攀爬鉆入持非法證件混入+冒用偽造+偽造訪客證偽造識(shí)別卡變?cè)鞀A帶+集裝箱車輛弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA -例二密碼切割內(nèi)應(yīng)記錄獲取威脅綁架竊聽(tīng)賄賂打開(kāi)保險(xiǎn)柜撬鎖弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA

18、-應(yīng)用思考： 如果我是攻擊者 所攻擊目標(biāo)的價(jià)值有多大？ 我的時(shí)機(jī)？ 我的能力資金、技能？ 失手的損失？ 風(fēng)險(xiǎn)評(píng)估 決策 確定攻擊路徑弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 攻擊路徑威脅Threat資產(chǎn)AssetABCD弱點(diǎn)識(shí)別 資產(chǎn)易受侵害的弱點(diǎn)數(shù)目。 利用弱點(diǎn)的難度。 現(xiàn)有對(duì)策的有效性。 風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA-應(yīng)用思考： 如果我是攻擊者 所攻擊目標(biāo)的價(jià)值有多大？ 我的時(shí)機(jī)？ 我的能力資金、技能？ 失手的損失？ 風(fēng)險(xiǎn)評(píng)估 決策 確定攻擊路徑弱點(diǎn)識(shí)別可能攻擊路徑： 時(shí)間快捷； 技能低； 可視風(fēng)險(xiǎn)??； 本錢(qián)低。風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 攻擊路徑威脅Threat資產(chǎn)AssetABCD弱點(diǎn)識(shí)別 資產(chǎn)易受侵害的弱點(diǎn)數(shù)目。 利用

19、弱點(diǎn)的難度。 現(xiàn)有對(duì)策的有效性。 風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA-應(yīng)用思考： 如果你是防范者 被防護(hù)對(duì)象的價(jià)值會(huì)引來(lái)什么樣的攻擊者？ 所有可能的攻擊路徑？ 當(dāng)前最有可能的攻擊路徑？ 你們切斷了這些路徑嗎？ 切斷位置和次數(shù)？ 風(fēng)險(xiǎn)評(píng)估 決策。弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) 模型 ATA結(jié)果梳理 ATA結(jié)果梳理 1. 路徑描述 2. 路徑標(biāo)識(shí) 3. 投影分析 物理環(huán)境 業(yè)務(wù)流程 組織架構(gòu)弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) ATA結(jié)果梳理分析舉例一層防范二層防范三層防范ABCA: Site SecurityB: Building SecurityC: Facilities Security弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) ATA結(jié)果梳理分

20、析周界物理防范門(mén)衛(wèi)人力防范安檢技術(shù)防范監(jiān)視技術(shù)防范弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估弱點(diǎn) ATA結(jié)果梳理分析報(bào)告周界物理防范門(mén)衛(wèi)人力防范安檢技術(shù)防范監(jiān)視技術(shù)防范SCA報(bào)告弱點(diǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析 是風(fēng)險(xiǎn)評(píng)估過(guò)程的第二步。 風(fēng)險(xiǎn)分析的任務(wù)通過(guò)風(fēng)險(xiǎn)因子相關(guān)關(guān)系，確定：資產(chǎn)損失可能性損失后果 風(fēng)險(xiǎn)Risk后果Consequence可能性Likelihood威脅Threat資產(chǎn)Asset弱點(diǎn)Vulnerabilities損失可能性 Likelihood Likelihood = (Vulnerabilities，ThreatThreat Vulnerabilitiesvt 相對(duì)威脅而言，弱點(diǎn)屬于既存的、狀態(tài)

21、相對(duì)穩(wěn)定的因素，因此，在考慮損失可能性時(shí)，對(duì)威脅可能性的關(guān)注度要高于弱點(diǎn)變化。 或者至少保證對(duì)威脅與弱點(diǎn)的同步關(guān)注。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估損失可能性 等級(jí) 理論幾乎可以肯定 （Almost Certain）很可能 （Likely）（具）可能性 （Possible）不大可能 （Unlikely）罕見(jiàn) （Rare）風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估損失可能性 等級(jí) 統(tǒng)計(jì)趨勢(shì)CBR恐嚇與威脅綁架與暗殺IED非傳統(tǒng)安全領(lǐng)域聚眾入侵盜竊縱火傷害傳統(tǒng)安全領(lǐng)域風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估聚眾入侵盜竊縱火傷害傳統(tǒng)安全領(lǐng)域物理防范技術(shù)防范人力防范社會(huì)治安綜合治理?yè)p失可能性 等級(jí) 薄弱點(diǎn)分布風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估損失可能性 原那么 分析可能性時(shí)，需要把握

22、的原那么包括： 威脅與弱點(diǎn)構(gòu)成了攻擊組合； 威脅與弱點(diǎn)同與一項(xiàng)資產(chǎn)相關(guān)； 可能存在多種組合，需要分別描述。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)后果 Consequence Consequence = ( Threat、Asset 相對(duì)威脅而言，資產(chǎn)屬于狀態(tài)相對(duì)穩(wěn)定的因素，因此，在考慮后果時(shí)，對(duì)威脅可能性的關(guān)注度要高于資產(chǎn)變化。同時(shí)要考慮NTS因素對(duì)資產(chǎn)的威脅。Asset ThreatTANTS風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估損失后果 等級(jí)- 理論 災(zāi)難Disaster嚴(yán)重事態(tài)Critical Situation巨大損失Serious Loss嚴(yán)重?fù)p失Major Loss損失 Loss風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估損失后果 等級(jí)恐怖襲擊人道

23、主義災(zāi)難設(shè)施遭受嚴(yán)重結(jié)構(gòu)性破壞業(yè)務(wù)較長(zhǎng)時(shí)間中斷設(shè)施遭受有限破壞業(yè)務(wù)被迫臨時(shí)中斷、群體事件局部安全事件負(fù)面消息傳播領(lǐng)地入侵公共或個(gè)體財(cái)物損失個(gè)體侵害消防安全事件工作秩序受到干擾社會(huì)動(dòng)蕩公眾心理不良影響風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估損失后果 分析原那么 分析后果時(shí),需要把握的原那么包括: 威脅與資產(chǎn)共同決定了后果 / 影響; 資產(chǎn)特征和威脅能力影響后果。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估 是風(fēng)險(xiǎn)評(píng)估過(guò)程的第三步。包括：建立評(píng)價(jià)風(fēng)險(xiǎn)的表達(dá)方式；根據(jù)風(fēng)險(xiǎn)分析獲得的風(fēng)險(xiǎn)要素，綜合評(píng)定風(fēng)險(xiǎn)的等級(jí)。 風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)表達(dá)形式 Risk= ( Likelihood、Consequence 風(fēng)險(xiǎn)Risk后果Consequence可能性Li

24、kelihood威脅Threat資產(chǎn)Asset弱點(diǎn)Vulnerabilities風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)平面可能性（ Likelihood）后果（ Consequence ）R1R2 任何一個(gè)風(fēng)險(xiǎn)，總能夠在坐標(biāo)平面上找到相對(duì)應(yīng)的位置。風(fēng)險(xiǎn)假設(shè)發(fā)生變化，無(wú)論是損失的后果變大小，還是損失可能性增加減少，都能夠在風(fēng)險(xiǎn)平面上顯示出來(lái)。風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)輪廓線 Risk = Likelihood Consequence = K可能性（ Likelihood）后果（ Consequence ）災(zāi)難 ( Disaster） R =K3 K2R =K2 K1R = LC = K1Never 絕無(wú)風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估

25、風(fēng)險(xiǎn)可接受區(qū)域不可接受可暫時(shí)接受可接受K0可能性（Likelihood）后果 ( Consequence )R = L C K0決定因素： 價(jià)值觀與平安文化 平安策略 安保資源 內(nèi)部與外部環(huán)境風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)矩陣 Risk Matrix RM 可能性（Likelihood）后果 ( Consequence )Not AcceptableProvisionally AcceptableAcceptable RM是風(fēng)險(xiǎn)輪廓線的數(shù)字化； 區(qū)域數(shù)量確實(shí)定，應(yīng)考慮政策法 規(guī)標(biāo)準(zhǔn)的要求； 顧及目標(biāo)及其所在社區(qū)公共平安 預(yù)警和應(yīng)急預(yù)案的要求。風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)等級(jí) 導(dǎo)入可能性（Likelihood）后果 ( Consequence )Not AcceptableProvisionally AcceptableAcceptable低度風(fēng)險(xiǎn)Risk L中度風(fēng)險(xiǎn)Risk M高度風(fēng)險(xiǎn)Risk H可能性（Likelihood）后果 ( Consequence )風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)處置