信息安全風險評估與風險管理企業(yè)風險管理經(jīng)典

信息平安風險評估與風險管理一、風險評估中的概念及模型二、風險評估標準三、風險評估流程與方法四、風險評估的輸出結果五、風險管理六、總結目錄信息平安的定義機密性〔integrity〕：確保該信息僅對已授權訪問的人們才可訪問只有擁有者許可，才可被其他人訪問完整性〔confidentiality〕：保護信息及處理方法的準確性和完備性；不因人為的因素改變原有的內(nèi)容，保證不被非法改動和銷毀可用性〔availability〕：當要求時，即可使用信息和相關資產(chǎn)。不因系統(tǒng)故障或誤操作使資源喪失。響應時間要求、故障下的持續(xù)運行。其他：可控性、可審查性

KeywordsI信息平安：信息的保密性、完整性、可用性的保持。風險評估：對信息和信息處理設施的威脅，影響和薄弱點以及威脅發(fā)生的可能性的評估。風險管理：以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)平安的風險的過程。威脅：是指某個人、物、事件或概念對某一資源的保密性、完整性、可用性或合法使用所造成的危險。KeywordII威脅(Threat):是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。薄弱點(Vulnerability):是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。風險(Risk):特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的喪失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結合。風險評估的目的和意義認識現(xiàn)有的資產(chǎn)及其價值對信息系統(tǒng)平安的各個方面的當前潛在威脅、弱點和影響進行全面的評估通過平安評估，能夠清晰地了解當前所面臨的平安風險，清晰地了解信息系統(tǒng)的平安現(xiàn)狀明確地看到當前平安現(xiàn)狀與平安目標之間的差距為下一步控制和降低平安風險、改善平安狀況提供客觀和翔實的依據(jù)信息系統(tǒng)風險模型

所有者攻擊者

對策

漏洞

風險

威脅

資產(chǎn)風險計算依據(jù)價值資產(chǎn)擁有者信息資產(chǎn)威脅來源風險后果可能性難易程度嚴重性弱點可能性威脅影響一、風險評估中的概念及模型二、風險評估標準三、風險評估流程與方法四、風險評估的輸出結果五、風險管理六、總結目錄國外相關信息平安風險評估標準簡介〔1〕ISO27001：信息平安管理體系標準、ISO17799信息平安管理實踐指南基于風險管理的理念，提出了11個控制大類、34個控制目標和133個控制措施；提出風險評估的要求，并未對適用于信息系統(tǒng)的風險評估方法和管理方法做具體的描述。OCTAVE：OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationFramework卡耐基梅隆大學軟件工程研究所〔CMU/SEI〕開發(fā)的一種綜合的、系統(tǒng)的信息平安風險評估方法3個階段8個過程。3個階段分別是建立企業(yè)范圍內(nèi)的平安需求、識別根底設施脆弱性、決定平安風險管理策略。OCTAVE實施指南〔OCTAVESMCatalogofPractices,Version2.0〕，該實施指南闡述了具體的平安策略、威脅輪廓和實施調(diào)查表。國外相關信息平安風險評估標準簡介〔2〕我國信息平安風險評估標準開展歷程?信息平安風險評估標準?標準操作的主要內(nèi)容標準內(nèi)容：引言風險評估框架及流程風險評估中各要素的關系風險分析原理〔1〕對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；〔2〕對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；〔3〕對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；〔4〕根據(jù)威脅及威脅利用弱點的難易程度判斷平安事件發(fā)生的可能性；〔5〕根據(jù)脆弱性的嚴重程度及平安事件所作用資產(chǎn)的價值計算平安事件的損失；〔6〕根據(jù)平安事件發(fā)生的可能性以及平安事件的損失，計算平安事件一旦發(fā)生對組織的影響，即風險值。風險評估實施(1)風險評估的準備〔1〕確定風險評估的目標；〔2〕確定風險評估的范圍；〔3〕組建適當?shù)脑u估管理與實施團隊；〔4〕進行系統(tǒng)調(diào)研；〔5〕確定評估依據(jù)和方法；〔6〕獲得最高管理者對風險評估工作的支持。風險評估實施(2)已有平安措施確認平安措施確實認應評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。平安措施確認并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風險處理方案的制定提供依據(jù)和參考。風險分析計算平安事件發(fā)生的可能性計算平安事件發(fā)生后的損失計算風險值風險等級判定風險評估實施(3)風險評估文件記錄風險評估文件記錄的要求風險評估文件的類型、多少風險評估方案資產(chǎn)識別清單重要資產(chǎn)清單威脅列表脆弱性列表風險評估報告風險處理方案風險評估實施(4)信息系統(tǒng)生命周期各階段的風險評估規(guī)劃階段的風險評估設計階段的風險評估實施階段的風險評運行維護階段的風險評估廢棄階段的風險評估每個階段的實施內(nèi)容稍有不同，目的和方法一致。風險評估的工作形式附錄風險的計算方法矩陣法：通過構造兩兩要素計算矩陣，得到第三個要素的判斷值，是一種基于經(jīng)驗的判斷方法。相乘法：直接使用兩個要素值進行相乘得到另一個要素的值。相乘法的特點是簡單明確，直接按照統(tǒng)一公式計算。風險評估的工具風險評估與管理工具系統(tǒng)根底平臺風險評估工具風險評估輔助工具

一、風險評估中的概念及模型二、風險評估標準三、風險評估流程與方法四、風險評估的輸出結果五、風險管理六、總結目錄現(xiàn)有風險評估方法綜述〔1〕定性分析方法：針對某個被評估對象，確定其潛在的風險，描述可能引起風險的原因。定量分析方法：在某個基準上，建立不同資產(chǎn)的等級化評價模型，定量描述某個資產(chǎn)的風險值，可以做到不同資產(chǎn)之間風險狀況的比照?；谙到y(tǒng)平安模型體系的分析方法：針對某個典型的〔或固定〕的系統(tǒng)，建立其平安要素的模型，以及判定某個要素的條件和內(nèi)容，有相對完善、固定的評估模型體系?，F(xiàn)有風險評估方法綜述〔2〕定性分析方法定性分析方法一般適用于：a〕風險識別；b〕造成風險的原因分析；c〕威脅發(fā)生所造成的影響分析等。例如：針對操作系統(tǒng)，采用掃描工具，發(fā)現(xiàn)其漏洞，指明漏洞的嚴重程度；現(xiàn)有風險評估方法綜述〔3〕定量分析方法以獲取到或采取一定方法量化后得到的被調(diào)查對象的定量數(shù)據(jù)為根本材料，依據(jù)一定的算法進行分析、計算、綜合，然后得出結果數(shù)據(jù)。定量分析方法一般適用于：a〕確立威脅發(fā)生概率；b〕預測系統(tǒng)風險發(fā)生概率；c〕確立系統(tǒng)總體風險評價等。例如：對運行在某個平臺上的不同主機、應用系統(tǒng)分別進行等價化的賦值，綜合分析每個資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風險量化值。現(xiàn)有風險評估方法綜述〔4〕1〕資產(chǎn)識別與賦值

2〕資產(chǎn)的平安屬性賦值及權重計算；

3〕威脅分析；

4〕薄弱點分析；

5〕已有控制措施分析；

6〕影響分析；

7〕可能性分析；

8〕風險計算；

9〕風險控制措施制定；

評估步驟1、資產(chǎn)的識別資產(chǎn)識別之前必須界定范圍識別資產(chǎn)最簡單的方法就是列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物資產(chǎn)包括:數(shù)據(jù)與文檔/書面文件/軟件/實物資產(chǎn)/人員/效勞資產(chǎn)識別的類型2、資產(chǎn)的平安屬性賦值及權重計算信息資產(chǎn)分別具有不同的平安屬性，機密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。平安屬性的不同通常也意味著平安控制、保護功能需求的不同。通過考察三種不同平安屬性，可以得出一個能夠根本反映資產(chǎn)價值的數(shù)值。對信息資產(chǎn)進行賦值的目的是為了更好地反映資產(chǎn)的價值，以便于進一步考察資產(chǎn)相關的弱點、威脅和風險屬性，并進行量化。資產(chǎn)價值與信息平安特性的關系等級機密性1資產(chǎn)對防止信息非授權泄露、破壞方面的要求可以忽略。機密性價值或潛在影響可以忽略2資產(chǎn)對防止信息非授權泄露、破壞方面的要求有限。機密性價值較低，潛在影響可以忍受，較容易彌補3資產(chǎn)對防止信息非授權泄露、破壞方面的要求一般機密性價值中等，潛在影響重大，但可以彌補4資產(chǎn)對防止信息非授權泄露、破壞方面的要求較高機密性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補5資產(chǎn)對防止信息非授權泄露、破壞方面的要求很高機密性價值非常關鍵，具有致命性的潛在影響例：對應用軟件，其機密性表現(xiàn)在配置數(shù)據(jù)失密、賬號口令信息失密、關鍵算法失密等。資產(chǎn)價值與信息平安特性的關系等級完整性1資產(chǎn)對防止信息非授權修改、破壞方面的要求可以忽略。完整性價值或潛在影響可以忽略2資產(chǎn)對防止信息非授權修改、破壞方面的要求有限。完整性價值較低，潛在影響可以忍受，較容易彌補3資產(chǎn)對防止信息非授權修改、破壞方面的要求一般完整性價值中等，潛在影響重大，但可以彌補4資產(chǎn)對防止信息非授權修改、破壞方面的要求較高完整性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補5資產(chǎn)對防止信息非授權修改、破壞方面的要求很高完整性價值非常關鍵，具有致命性的潛在影響例：對應用軟件，其完整性表現(xiàn)在配置數(shù)據(jù)被修改、軟件被修改、數(shù)據(jù)被修改資產(chǎn)價值與信息平安特性的關系等級可用性1資產(chǎn)對防止信息不可用方面的要求可以忽略?？捎眯詢r值或潛在影響可以忽略2資產(chǎn)對防止信息不可用方面的要求有限。可用性價值較低，潛在影響可以忍受，較容易彌補3資產(chǎn)對防止信息不可用方面的要求一般可用性價值中等，潛在影響重大，但可以彌補4資產(chǎn)對防止信息不可用方面的要求較高可用性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補5資產(chǎn)對防止信息不可用方面的要求很高可用性價值非常關鍵，具有致命性的潛在影響例：對應用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權。3、威脅分析與評價

對組織需要保護的每一項重要信息資產(chǎn)進行威脅識別應考慮:資產(chǎn)所處的環(huán)境條件資產(chǎn)以前遭受威脅損害的情況來判斷:一項資產(chǎn)可能面臨著多個威脅一個威脅可能對不同的資產(chǎn)造成影響威脅識別應確認威脅由誰或什么事物引發(fā)威脅可能來源于意外的，或有預謀的事件威脅的識別與評價 威脅列表:空氣中的懸浮顆粒/灰塵維護錯誤空調(diào)故障 惡意軟件存儲媒體的老化 用戶身份的偽裝電子郵件炸彈 未授權網(wǎng)絡訪問地震 操作人員的錯誤竊聽 供電波動環(huán)境污染 否認或抵賴極端的溫度和濕度 軟件故障通信效勞故障 員工短缺

威脅的識別與評價 分析威脅與C,I,A之間的關系

例如:電腦遭遇黒客入侵資產(chǎn)是電腦威脅是黒客攻擊薄弱點是口令強度不夠等

在考慮此威脅發(fā)生時,對此資產(chǎn)而言,最先遭破壞的是完整性,其次才是保密性或可用性。4、薄弱點分析與評價由于組織缺乏充分的平安控制，組織需要保護的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點。來自組織結構/人員/管理/程序/資產(chǎn)本身的缺陷應針對每一項信息資產(chǎn)，找出每一種威脅所能利用的薄弱點有關實物和環(huán)境平安方面的薄弱點列表薄弱點利用薄弱點的威脅對建筑、房屋和辦公室實物訪問控制的不充分或疏忽故意破壞對于建筑、門和窗缺乏物理保護盜竊位于易受洪水影響的區(qū)域洪水未保護的儲藏庫盜竊缺乏維護程序或維護作業(yè)指導維護人員操作失誤缺乏定期的設備更新計劃存儲媒體老化設備缺乏必要防護措施空氣中的顆粒/灰塵設備對溫度變化敏感或缺乏空調(diào)設備極端溫度(高溫或低溫)設備易受電壓變化的影響、不穩(wěn)定的高壓輸電網(wǎng)、確保供電保護設施電壓波動例：常見系統(tǒng)薄弱點及其對應威脅

5、已有平安控制分析與確認 識別已經(jīng)存在和籌劃了的平安控制 對現(xiàn)有的和已方案好的控制加以確定，可以防止不必要的工作和費用應核查控制是否有效。移除？替換？增加？保存？現(xiàn)有的或已方案好的控制是否和將要采取的平安控制相一致？6、威脅影響分析評價威脅發(fā)生所造成的后果或潛在影響不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導致的價值損失也不同，但損失的程度應以資產(chǎn)的相對價值(或重要度)為限。對影響的評估，應在脆弱性嚴重程度的根底上考慮。脆弱性越嚴重，說明被威脅利用后產(chǎn)生的后果越嚴重；被某個威脅利用的脆弱性越多，其造成的影響也越大。采用5個等級來描述影響程度，對不同的資產(chǎn)有不同評價原那么。參考?威脅影響程度判斷準那么?威脅影響程度判斷準那么

威脅影響保密性（C）客戶對業(yè)務/服務的影響

CI/AI/A1公開信息幾乎無影響幾乎不影響2內(nèi)部公開信息對單次合同產(chǎn)生負面影響影響單項業(yè)務，且可立即恢復3敏感信息可能導致一次中小合同流失影響單項業(yè)務，可部分恢復4屬于組織秘密，泄漏會引起經(jīng)濟賠償可能導致數(shù)次中小合同或一次大合同失敗，引起經(jīng)濟賠償導致系統(tǒng)資源故障，影響大部分業(yè)務5屬于組織機密，泄漏會引起法律訴訟及經(jīng)濟賠償可能導致客戶或合作伙伴的丟失，引起法律訴訟及經(jīng)濟賠償2天以上業(yè)務內(nèi)無法恢復7、威脅的可能性分析

組織應根據(jù)專家意見或有關的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。賦值描述說明5很高預期在大多數(shù)情況下發(fā)生，不可避免（>90%）（或≥1次/周）4高（很可能）在大多數(shù)情況下，很有可能會發(fā)生（50%~90%）（或≥1次/月）3中等（可能）在某種情況下或某個時間，可能會發(fā)生（20%~50%）（或>1次/半年）2低（不太可能）發(fā)生的可能性很小，不太可能（<20%）1極低僅在非常例外的情況下發(fā)生，非常罕見，幾乎不可能（0%~1%）8、風險值的計算威脅的風險值〔RT〕＝威脅的影響值(I)×威脅發(fā)生的可能性(P)9、風險控制措施確定組織根據(jù)風險評估的結果，確定不可接受風險的范圍，制定風險處理方案，增加控制措施，從而降低風險。確定風險的等級和組織的可接受水平：實施風險控制風險確認與接受為確保組織的信息平安，剩余風險應在可接受范圍內(nèi)剩余風險R(r)=原有風險R(0)-控制R剩余風險R〔r〕<=可接受風險R(t)平安控制實施風險確認接受不接受增加控制風險控制曲線圖風險R資產(chǎn)序列原有風險曲線可接受風險曲線剩余風險曲線風險控制要點風險是一個變數(shù)!要定期進行風險評估在以下情況進行臨時評估當組織新增信息資產(chǎn)時當系統(tǒng)發(fā)生重大變更時發(fā)生嚴重信息平安事故時一、風險評估中的概念及模型二、風險評估標準三、風險評估流程與方法四、風險評估的輸出結果五、風險管理六、總結目錄

風險評估的輸出結果資產(chǎn)識別4.1資產(chǎn)識別表資產(chǎn)賦值威脅分析4.3資產(chǎn)威脅表4.2重要資產(chǎn)賦值表

脆弱性分析4.6不可接受風險處理方案表影響、可能性分析4.5信息資產(chǎn)綜合風險值表

風險計算及評估結果4.4脆弱性匯總表風險評估報告反映了：資產(chǎn)名稱描述范圍重要性程度部門所屬業(yè)務流程4.1資產(chǎn)識別表

風險評估的輸出結果——資產(chǎn)識別表反映了：資產(chǎn)名稱描述范圍機密性、可用性、完整性評分等級資產(chǎn)與信息平安系數(shù)關系所屬業(yè)務流程4.2重要資產(chǎn)賦值表

風險評估的輸出結果——重要資產(chǎn)列表反映了：資產(chǎn)名稱面臨的威脅類具體可能的威脅4.3資產(chǎn)威脅表

風險評估的輸出結果——威脅列表反映了：脆弱性分類〔網(wǎng)絡、操作系統(tǒng)、管理、數(shù)據(jù)庫等〕脆弱性的詳細描述脆弱性的嚴重程度與威脅的對應關系可能影響的資產(chǎn)4.4脆弱性匯總表風險評估的輸出結果——脆弱性識別表反映了：資產(chǎn)名稱資產(chǎn)面臨的威脅可能被威脅利用的脆弱電威脅發(fā)生的可能性威脅的影響程度4.5信息資產(chǎn)綜合風險值表

風險評估的輸出結果——資產(chǎn)風險表反映了：資產(chǎn)名稱威脅/薄弱點風險系數(shù)風險處理措施優(yōu)先處理等級，等。4.6不可接受風險處理方案表風險評估的輸出結果——風險處理方案風險評估報告評估方法信息系統(tǒng)分析與描述業(yè)務信息流分析資產(chǎn)識別與劃分威脅分析平安風險分析與統(tǒng)計信息系統(tǒng)脆弱性評估報告：以資產(chǎn)為主線，描述各資產(chǎn)存