信息安全導(dǎo)論 課件 第四章 信息安全風(fēng)險(xiǎn)管理

4.1信息安全風(fēng)險(xiǎn)管理第一章揭開信息安全的神秘面紗目錄4.1.1信息安全風(fēng)險(xiǎn)評(píng)估概念4.1.2信息安全風(fēng)險(xiǎn)評(píng)估組成要素4.1.3信息安全風(fēng)險(xiǎn)評(píng)估流程4.1.4信息安全風(fēng)險(xiǎn)評(píng)估方法與工具信息安全風(fēng)險(xiǎn)評(píng)估概念01信息安全風(fēng)險(xiǎn)定義風(fēng)險(xiǎn)是指一定條件下和一定時(shí)期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性。風(fēng)險(xiǎn)在澳大利亞/新西蘭國家標(biāo)準(zhǔn)AS/NZS4360中，信息安全風(fēng)險(xiǎn)指對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的可能性，可以用后果和可能性來衡量。在ISO/IEC13335-1中，信息安全風(fēng)險(xiǎn)是指某個(gè)特定的威脅利用單個(gè)或一組資產(chǎn)的脆弱點(diǎn)造成資產(chǎn)受損的潛在可能性。在我國GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》中，信息安全風(fēng)險(xiǎn)是指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱點(diǎn)導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)的表現(xiàn)010203威脅資產(chǎn)脆弱點(diǎn)一般而言，信息安全風(fēng)險(xiǎn)可表現(xiàn)為威脅、脆弱點(diǎn)和資產(chǎn)之間的相互作用，即“風(fēng)險(xiǎn)=威脅＋脆弱點(diǎn)＋資產(chǎn)”，其中風(fēng)險(xiǎn)會(huì)隨著任一因素的增加而增大，減少而減少。根據(jù)GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》，信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及其處理。信息安全風(fēng)險(xiǎn)評(píng)估傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱點(diǎn)導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估定義信息安全風(fēng)險(xiǎn)評(píng)估組成要素02CC(信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn))ISO接納CC2.0版為ISO/IEC15408草案，并命名為信息技術(shù)-安全技術(shù)-IT安全性評(píng)估準(zhǔn)則，并于同年正式發(fā)布國際標(biāo)準(zhǔn)ISO/IEC15408CC2.1版。美國、加拿大與歐洲四國組成六國七方，共同制定了國際通用的評(píng)估準(zhǔn)則CC，其目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)價(jià)標(biāo)準(zhǔn)。1993年在1996年頒布了CC1.0版，1998年頒布了CC2.0版1999年1996~1998CC標(biāo)準(zhǔn)組成CC標(biāo)準(zhǔn)主要由三部分構(gòu)成∶簡(jiǎn)介和一般模型、安全功能要求和安全保障要求。在簡(jiǎn)介和一般模型中，定義了信息安全風(fēng)險(xiǎn)構(gòu)成要素威脅，風(fēng)險(xiǎn)，脆弱點(diǎn)，資產(chǎn)，對(duì)策等關(guān)鍵風(fēng)險(xiǎn)要素的概念，同時(shí)又提出了所有者和威脅主體的概念。風(fēng)險(xiǎn)要素之間的關(guān)系風(fēng)險(xiǎn)要素之間的關(guān)系可概括為如下過程∶（1）信息資產(chǎn)的所有者給資產(chǎn)賦予了一定的價(jià)值，威脅主體希望濫用或破壞資產(chǎn)，因而引發(fā)威脅利用脆弱點(diǎn)，導(dǎo)致風(fēng)險(xiǎn)的產(chǎn)生。（2）資產(chǎn)所有者意識(shí)到脆弱點(diǎn)的存在和脆弱點(diǎn)被利用而導(dǎo)致的風(fēng)險(xiǎn)，因而希望通過對(duì)策來降低風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)最小化。（3）脆弱點(diǎn)可能被對(duì)策減少，但是同時(shí)對(duì)策本身可能具有其他的脆弱點(diǎn)。ISO13335標(biāo)準(zhǔn)ISO/IEC13335是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其中ISO/IEC13335-1以風(fēng)險(xiǎn)為中心，確定了資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)、防護(hù)措施為信息安全風(fēng)險(xiǎn)的要素，并描述了它們之間的關(guān)系GB/T20984-2022我國的GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》對(duì)該模型進(jìn)行了深化。風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱點(diǎn)和安全措施這些基本要素展開，對(duì)在基本要素的評(píng)估過程中，充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。風(fēng)險(xiǎn)要素及屬性之間的關(guān)系具體而言，風(fēng)險(xiǎn)要素及屬性之間的關(guān)系如下∶（1）風(fēng)險(xiǎn)要素的核心是資產(chǎn),而資產(chǎn)存在脆弱性。（2）安全措施的實(shí)施通過降低資產(chǎn)脆弱性被利用難易程度,抵御外部威脅,以實(shí)現(xiàn)對(duì)資產(chǎn)的保護(hù)。（3）威脅通過利用資產(chǎn)存在的脆弱性導(dǎo)致風(fēng)險(xiǎn)。（4）風(fēng)險(xiǎn)轉(zhuǎn)化成安全事件后,會(huì)對(duì)資產(chǎn)的運(yùn)行狀態(tài)產(chǎn)生影響。（5）風(fēng)險(xiǎn)分析時(shí),應(yīng)綜合考慮資產(chǎn)、脆弱性、威脅和安全措施等基本因素。信息安全風(fēng)險(xiǎn)評(píng)估流程03風(fēng)險(xiǎn)要素及屬性之間的關(guān)系根據(jù)我國的GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》，詳細(xì)的風(fēng)險(xiǎn)評(píng)估實(shí)施流程如下。風(fēng)險(xiǎn)評(píng)估流程該階段是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性地考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)完成的任務(wù)有∶確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)，確定風(fēng)險(xiǎn)評(píng)估的范圍，組建合適的評(píng)估管理與實(shí)施團(tuán)隊(duì)，進(jìn)行系統(tǒng)調(diào)研，確定評(píng)估依據(jù)和方法，建立風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，制定風(fēng)險(xiǎn)評(píng)估方案，獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估流程該階段主要完成資產(chǎn)分類、資產(chǎn)賦值兩個(gè)方面的內(nèi)容。資產(chǎn)識(shí)別資產(chǎn)識(shí)別資產(chǎn)分類是進(jìn)行下一步的基礎(chǔ)，在實(shí)際工作中，具體的資產(chǎn)分類方法可根據(jù)實(shí)際情況的需要，由評(píng)估值靈活把握。一般而言，根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)以及無形資產(chǎn)等方面。資產(chǎn)賦值是指對(duì)資產(chǎn)的價(jià)值或重要程度進(jìn)行評(píng)估。一般地，資產(chǎn)的價(jià)值可由資產(chǎn)在安全屬性上的達(dá)成程度或其他安全屬性未達(dá)成時(shí)所造成的影響程度來決定，具體可分為保密性賦值、完整性賦值、可用性賦值三個(gè)方面；然后在此基礎(chǔ)上，經(jīng)過綜合評(píng)定得到資產(chǎn)重要性等級(jí)。當(dāng)前綜合評(píng)定的常見方法有加權(quán)平均原則、最大化原則等。風(fēng)險(xiǎn)評(píng)估流程該階段主要完成組織資產(chǎn)面臨的威脅識(shí)別、威脅賦值兩個(gè)方面的內(nèi)容。業(yè)務(wù)識(shí)別業(yè)務(wù)識(shí)別在威脅識(shí)別方面，當(dāng)前不同的手冊(cè)給出了不同的威脅分類方式，如ISO/IEC13335-3，德國的《IT基線保護(hù)手冊(cè)》、OCTAVE等。一般地。根據(jù)威脅來源，威脅可分為環(huán)境威脅和人為威脅，其中環(huán)境威脅包括自然界不可抗力威脅和其他物理因素威脅；人為威脅包括惡意和非惡意兩種類型。在威脅賦值方面，可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低；等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。業(yè)務(wù)識(shí)別在形成威脅出現(xiàn)頻率的評(píng)估中，一般需要考慮如下因素∶（1）以往安全事件報(bào)告中出現(xiàn)過的威脅、威脅的頻率、破壞力的統(tǒng)計(jì)。（2）實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)。（3）近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅出現(xiàn)頻率及其破壞力的統(tǒng)計(jì)。風(fēng)險(xiǎn)評(píng)估流程該階段主要完成脆弱點(diǎn)識(shí)別、脆弱點(diǎn)賦值兩個(gè)方面的內(nèi)容。脆弱點(diǎn)識(shí)別脆弱點(diǎn)識(shí)別在脆弱點(diǎn)識(shí)別方面，主要針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)。找出可能被威脅利用的弱點(diǎn)，并對(duì)脆弱點(diǎn)的嚴(yán)重程度進(jìn)行評(píng)估。主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱點(diǎn)涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱點(diǎn)又可分為技術(shù)管理脆弱點(diǎn)和組織管理脆弱點(diǎn)兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。在脆弱點(diǎn)賦值方面，一般是對(duì)脆弱點(diǎn)被利用后對(duì)資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、脆弱點(diǎn)流行程度進(jìn)行評(píng)估，然后以定性等級(jí)劃分形式，綜合給出脆弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)評(píng)估流程本階段通過對(duì)當(dāng)前信息系統(tǒng)所采用的安全措施進(jìn)行標(biāo)識(shí)，有助于對(duì)當(dāng)前信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析；同時(shí)分析其預(yù)期功能和有效性，能避免不必要地工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。安全措施一般可分為預(yù)防性安全措施和保護(hù)性安全措施兩種。已有安全措施的確認(rèn)已有安全措施的確認(rèn)預(yù)防性安全措施可以降低威脅利用脆弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。風(fēng)險(xiǎn)評(píng)估流程該階段主要完成風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)處理計(jì)劃、殘余風(fēng)險(xiǎn)評(píng)估三個(gè)方面的內(nèi)容。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析在風(fēng)險(xiǎn)處理計(jì)劃方面，主要完成對(duì)不可接受的風(fēng)險(xiǎn)的處理工作。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。殘余風(fēng)險(xiǎn)是否降低到可以接受的水平。若仍然不滿足風(fēng)險(xiǎn)水平的要求，則需要進(jìn)一步調(diào)整風(fēng)險(xiǎn)處理計(jì)劃，增加相應(yīng)的安全措施。在風(fēng)險(xiǎn)計(jì)算方面，主要通過對(duì)威脅的賦值和脆弱性被利用的難易程度決定安全事件發(fā)生的可能性，脆弱性的影響程度和資產(chǎn)價(jià)值決定安全事件造成的損失對(duì)組織的影響，即得到安全風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)分析計(jì)算安全風(fēng)險(xiǎn)值，具體過程如下圖。其中R為風(fēng)險(xiǎn)函數(shù);A，T，V分別表示資產(chǎn)、威脅和脆弱點(diǎn);I表示安全事件所作用的資產(chǎn)價(jià)值；V表示脆弱點(diǎn)等級(jí)大小；L表示威脅利用資產(chǎn)的脆弱點(diǎn)而導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。一般地，安全風(fēng)險(xiǎn)可形式化表達(dá)為∶風(fēng)險(xiǎn)評(píng)估流程該階段主要記錄在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔，包括：風(fēng)險(xiǎn)評(píng)價(jià)計(jì)劃、風(fēng)險(xiǎn)評(píng)估程序、資產(chǎn)識(shí)別清單、重要資產(chǎn)清單、威脅列表、脆弱點(diǎn)列表、已有安全措施確認(rèn)表、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃和風(fēng)險(xiǎn)評(píng)估記錄。風(fēng)險(xiǎn)評(píng)估文檔記錄信息安全風(fēng)險(xiǎn)評(píng)估方法與工具04信息安全風(fēng)險(xiǎn)評(píng)估方法02定量的評(píng)估方法定量分析方法是基于定性分析方法的，用數(shù)學(xué)的方法分析處理已經(jīng)量化的各項(xiàng)指標(biāo)，得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評(píng)估結(jié)果。01定性的評(píng)估方法定性的評(píng)估分析方法是一種采用比較廣泛的模糊分析方法。定性分析方法的優(yōu)點(diǎn)操作簡(jiǎn)單易行并且容易理解和實(shí)施；不易產(chǎn)生不同的意見，并且能夠較方便地對(duì)風(fēng)險(xiǎn)程度大小進(jìn)行排序；定性分析方法的缺點(diǎn)對(duì)有些重要風(fēng)險(xiǎn)級(jí)別區(qū)分度欠缺，分析結(jié)果容易偏向主觀性。0102定性的評(píng)估方法定性分析方法定性分析方法很多包括小組過論、調(diào)查、人員訪談、問卷和檢查列表等。主觀評(píng)分法是憑借專家的經(jīng)驗(yàn)等，根據(jù)評(píng)價(jià)標(biāo)準(zhǔn)，讓專家判斷可能產(chǎn)生的每個(gè)風(fēng)險(xiǎn)并賦予其權(quán)重值，這里我們用“0”表示沒有風(fēng)險(xiǎn)，“10”代表風(fēng)險(xiǎn)很大，“0～10之間的數(shù)字”表示風(fēng)險(xiǎn)程度依次加大；然后把全部風(fēng)險(xiǎn)的權(quán)重加起來計(jì)算出整體風(fēng)險(xiǎn)水平，最后與風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)進(jìn)行比較。主觀評(píng)分法定性分析方法故障樹分析法主要應(yīng)用遵循從結(jié)果找到原因的原則，將風(fēng)險(xiǎn)形成的原因由總體到部分按樹枝形狀逐級(jí)細(xì)化，分析項(xiàng)目風(fēng)險(xiǎn)及其產(chǎn)生原因之間的因果關(guān)系，即在前期預(yù)測(cè)和識(shí)別各種潛在風(fēng)險(xiǎn)因素的基礎(chǔ)上，運(yùn)用邏輯推理的方法，沿著風(fēng)險(xiǎn)產(chǎn)生的路徑，求出風(fēng)險(xiǎn)發(fā)生的概率，并能提供各種控制風(fēng)險(xiǎn)因素的方案。故障樹分析法定量分析方法010203決策樹法層次分析法模糊綜合評(píng)價(jià)法定量分析方法是基于定性分析方法的，用數(shù)學(xué)的方法分析處理已經(jīng)量化的各項(xiàng)指標(biāo)，得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評(píng)估結(jié)果。其思想是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦以數(shù)值，進(jìn)而來量化風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果。定量分析方法決策樹法是一種直觀運(yùn)用概率分析的圖解法。如果已知各種情況的發(fā)生概率，就可以通過構(gòu)成決策樹求取凈現(xiàn)值的期望值的概率，以此評(píng)價(jià)項(xiàng)目風(fēng)險(xiǎn)并判斷其可行性的決策分析方法。決策樹方法因其形象化、清晰有效和特有的結(jié)構(gòu)模型的特點(diǎn)非常利于項(xiàng)目執(zhí)行人員進(jìn)行集體分析和探討。決策樹法定量分析方法模糊評(píng)價(jià)法是對(duì)模糊系統(tǒng)進(jìn)行分析的基本方法之一，多用于目標(biāo)決策。對(duì)在評(píng)估過程中所帶有主觀性的問題以及客觀遇到的模糊現(xiàn)象；模糊評(píng)價(jià)都可以進(jìn)行有效地處理。模糊評(píng)價(jià)是在模糊條件下，考慮多種因素影響，為了某一目的而對(duì)事物作出決策的一種綜合決策方法。模糊綜合評(píng)價(jià)法是利用模糊數(shù)學(xué)中的模糊變換原理和最大隸屬度原則對(duì)被評(píng)價(jià)事物相關(guān)的各個(gè)因素作出的綜合評(píng)價(jià)。該評(píng)價(jià)方法著眼于各個(gè)相關(guān)因素。模糊評(píng)價(jià)法定量分析方法層次分析法是一種有效簡(jiǎn)便靈活處理不易定量化而又實(shí)用的一種定向與定量相結(jié)合的、層次化的多準(zhǔn)則決策方法。層次分析法的核心是將負(fù)責(zé)的問題進(jìn)行層次化，將原問題簡(jiǎn)單化并在層次基礎(chǔ)上進(jìn)行分析；它把決策者的主觀判斷量化，以數(shù)量形式進(jìn)行表達(dá)和處理，通過定量形式的數(shù)據(jù)將定性和定量分析相結(jié)合從而幫助決策者進(jìn)行決策。層次分析法信息安全風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估工具是隨著人們?cè)趯?duì)信息安全風(fēng)險(xiǎn)評(píng)估不斷認(rèn)識(shí)以及對(duì)評(píng)估過程不斷完善的過程中逐漸發(fā)展的。目前風(fēng)險(xiǎn)評(píng)估過程常用的是一些專用的自動(dòng)化的風(fēng)險(xiǎn)評(píng)估工具，無論是商用的還是免費(fèi)的，此類工具都可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險(xiǎn)，最終給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并推薦相應(yīng)的安全措施。信息安全風(fēng)險(xiǎn)評(píng)估工具的比較這五種著名的自動(dòng)化評(píng)估工具從發(fā)布的體系結(jié)構(gòu)、評(píng)估所采用的方法、風(fēng)險(xiǎn)分析計(jì)算的方法等幾個(gè)方面來看，具有共同點(diǎn)也有其自身的特點(diǎn)。（1）從體系結(jié)構(gòu)來看，這些工具具有一定的共同點(diǎn)，大都是單機(jī)版，只有COBRA采用了C/S模式，采用這種模式可以將數(shù)據(jù)庫和客戶端進(jìn)行分離，保證了系統(tǒng)的可維護(hù)性，實(shí)踐中只要不斷豐富完善數(shù)據(jù)庫就可以對(duì)工具進(jìn)行更新。（2）評(píng)估方法和數(shù)據(jù)采集方式的使用是具有相關(guān)性的，RA和CRAMM是使用傳統(tǒng)的過程式算