ch信息安全風(fēng)險評估

第四章信息安全風(fēng)險評估本章學(xué)習(xí)目標(biāo)了解風(fēng)險評估的概念、特點和內(nèi)涵；熟悉風(fēng)險評估的過程及應(yīng)注意的問題；了解如何選擇恰當(dāng)?shù)娘L(fēng)險評估方法；掌握典型的風(fēng)險評估方法；了解風(fēng)險評估實施準備4.1信息安全風(fēng)險評估基礎(chǔ)GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》相關(guān)概念資產(chǎn)（Asset）：任何對組織有價值的事如，是安全策略保護的對象。威脅（Threat）:指可能對資產(chǎn)或組織造成損害的事故的潛在原因。脆弱點（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。風(fēng)險（Risk）：特定的威脅利用資產(chǎn)的一種或一組薄弱點，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結(jié)合。風(fēng)險評估（RiskAssessment）：對信息或信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性的評估。殘余風(fēng)險（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。風(fēng)險要素關(guān)系風(fēng)險評估的兩種方式自評估和檢查評估1自評估“誰主管誰負責(zé)，誰運營誰負責(zé)”信息系統(tǒng)擁有者依靠自身力量，依據(jù)國家風(fēng)險評估的管理規(guī)范和技術(shù)標(biāo)準，對自有的信息系統(tǒng)進行風(fēng)險評估的活動。優(yōu)點有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長有利于降低風(fēng)險評估的費用有利于提高本單位的風(fēng)險評估能力與信息安全知識風(fēng)險評估的兩種方式1自評估缺點：如果沒有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風(fēng)險評估專業(yè)人才的情況下，自評估的結(jié)果可能不深入、不規(guī)范、不到位自評估中，可能會存在某些不利的干預(yù)，從而影響風(fēng)險評估結(jié)果的客觀性，降低評估結(jié)果的置信度某些時候，即使自評估的結(jié)果比較樂觀，也必須與管理層進行溝通風(fēng)險評估的兩種方式2檢查評估檢查評估是由信息安全主管部門或業(yè)務(wù)部門發(fā)起的一種評估活動，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準，檢查被評估單位是否滿足了這些法規(guī)或標(biāo)準。檢查評估通常都是定期的、抽樣進行的評估模式檢查評估缺點：間隔時間較長，如一年一次，通常還是抽樣進行不能貫穿一個部門信息系統(tǒng)生命周期的全過程，很難對信息系統(tǒng)的整體風(fēng)險狀況作出完整的評價風(fēng)險評估的兩種方式2檢查評估檢查評估應(yīng)覆蓋但不限于以下內(nèi)容：自評估方法的檢查自評估過程記錄檢查自評估結(jié)果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護制度及實施狀況的檢查突發(fā)事件應(yīng)對措施的檢查數(shù)據(jù)完整性保護措施的檢查審計追蹤的檢查風(fēng)險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風(fēng)險評估服務(wù)技術(shù)支持方實施，如國家測評認證機構(gòu)或安全企業(yè)公司。風(fēng)險分分析原原理風(fēng)險分分析中中要涉涉及資資產(chǎn)、、威脅脅、脆脆弱性性三個個基本本要素素。風(fēng)險分分析原原理圖圖風(fēng)險分分析原原理風(fēng)險分分析的的主要要內(nèi)容容為：：1對資產(chǎn)產(chǎn)進行行識別別，并并對資資產(chǎn)的的價值值進行行賦值值2對威脅脅進行行識別別，描描述威威脅的的屬性性（威威脅主主體，，影響響對象象，出出現(xiàn)頻頻率，，動機機等）），并并對威威脅出出現(xiàn)的的頻率率賦值值3對脆弱弱性進進行識識別，，并對對具體體資產(chǎn)產(chǎn)的脆脆弱性性的嚴嚴重程程度賦賦值4根據(jù)威威脅及及威脅脅利用用脆弱弱性的的難易易程度度判斷斷安全全時間間發(fā)生生的可可能性性根據(jù)脆脆弱性性的嚴嚴重程程度和和安全全事件件所作作用的的資產(chǎn)產(chǎn)的價價值計計算安安全事事件造造成的的損失失根據(jù)安安全事事件發(fā)發(fā)生的的可能能性以以及安安全事事件出出現(xiàn)后后的損損失，，計算算安全全事件件一旦旦發(fā)生生對組組織的的影響響，即即風(fēng)險險值4.2風(fēng)險評評估的的過程程4.2.1風(fēng)險評評估的的基本本步驟驟第一步步：風(fēng)風(fēng)險評評估準準備第二步步：風(fēng)風(fēng)險因因素識識別第三步步：風(fēng)風(fēng)險確確定第四步步：風(fēng)風(fēng)險評評價第五步步：風(fēng)風(fēng)險控控制第一步步風(fēng)風(fēng)險評評估準準備1確定風(fēng)風(fēng)險評評估的的目標(biāo)標(biāo)風(fēng)險評評估目目標(biāo)要要滿足足企業(yè)業(yè)持續(xù)續(xù)發(fā)展展在安安全方方面的的要求求，滿滿足相相關(guān)方方的要要求，，滿足足法律律法規(guī)規(guī)的要要求2風(fēng)險評評估的的范圍圍風(fēng)險評評估范范圍可可能是是企業(yè)業(yè)全部部的信信息以以及與與信息息處理理相關(guān)關(guān)的各各類資資產(chǎn)、、管理理機構(gòu)構(gòu)，也也可能能是某某個獨獨立的的系統(tǒng)統(tǒng)、關(guān)關(guān)鍵業(yè)業(yè)務(wù)流流程、、與客客戶知知識產(chǎn)產(chǎn)權(quán)相相關(guān)的的系統(tǒng)統(tǒng)或部部門等等3選擇與與組織織機構(gòu)構(gòu)相適適應(yīng)的的具體體風(fēng)險險判斷斷方法法在選擇擇具體體的風(fēng)風(fēng)險判判斷方方法時時，應(yīng)應(yīng)考慮慮評估估的目目的、、范圍圍、時時間、、效果果、人人員素素質(zhì)等等諸多多因素素，使使之能能夠與與組織織環(huán)境境和安安全要要求相相適應(yīng)應(yīng)4建立風(fēng)風(fēng)險評評估團團隊管理層層、業(yè)業(yè)務(wù)骨骨干、、信息息技術(shù)術(shù)人員員、技技術(shù)專專家等等5獲得最最高管管理者者對風(fēng)風(fēng)險評評估工工作的的支持持風(fēng)險評評估過過程應(yīng)應(yīng)得到到企業(yè)業(yè)最高高管理理者的的支持持、批批準，，并對對管理理層和和技術(shù)術(shù)人員員進行行傳達達，應(yīng)應(yīng)在組組織內(nèi)內(nèi)部對對風(fēng)險險評估估的相相關(guān)內(nèi)內(nèi)容進進行培培訓(xùn)，，以明明確相相關(guān)人人員在在風(fēng)險險評估估中的的任務(wù)務(wù)。第二步步風(fēng)風(fēng)險因因素評評估1資產(chǎn)評評估識別信信息資資產(chǎn)，，包括括數(shù)據(jù)據(jù)、軟軟件、、硬件件、設(shè)設(shè)備、、服務(wù)務(wù)、文文檔等等，制制定《信息資資產(chǎn)列列表》保密性性、完完整性性、可可用性性是評評價資資產(chǎn)的的三個個安全全屬性性風(fēng)險評評估中中資產(chǎn)產(chǎn)的價價值不不是以以資產(chǎn)產(chǎn)的經(jīng)經(jīng)濟價價值來來衡量量，而而是由由資產(chǎn)產(chǎn)在這這三個個屬性性上的的達成成程度度或者者其安安全屬屬性未未達成成時所所造成成的影影響程程度來來決定定的。。資產(chǎn)分分類資產(chǎn)賦賦值資產(chǎn)價價值應(yīng)應(yīng)根據(jù)據(jù)資產(chǎn)產(chǎn)在保保密性性、完完整性性和可可用性性上的的賦值值等級級，經(jīng)經(jīng)過綜綜合評評定得得出。。綜合合評定定方法法可以以根據(jù)據(jù)自身身的特特點，，選擇擇對資資產(chǎn)保保密性性、完完整性性和可可用性性最重重要的的一個個屬性性的賦賦值等等級作作為資資產(chǎn)的的最終終賦值值結(jié)果果；或或三者者進行行加權(quán)權(quán)計算算得到到資產(chǎn)產(chǎn)的最最終賦賦值結(jié)結(jié)果。。第二步步風(fēng)風(fēng)險因因素評評估2威脅評評估威脅（（Threat）:指可能能對資資產(chǎn)或或組織織造成成損害害的事事故的的潛在在原因因。威脅分分析包包括：：潛在在威脅脅分析析、威威脅審審計和和入侵侵檢測測分析析、綜綜合分分析威脅賦賦值應(yīng)應(yīng)根據(jù)據(jù)威脅脅發(fā)生生的可可能性性和威威脅產(chǎn)產(chǎn)生的的影響響程度度綜合合確定定威脅出出現(xiàn)頻頻率（（發(fā)生生的可可能性性）的的賦值值第二步步風(fēng)風(fēng)險因因素評評估3弱點評評估脆弱點點（Vulnerability）：是是指資資產(chǎn)或或資產(chǎn)產(chǎn)組中中能被被威脅脅利用用的弱弱點。。脆弱性性識別別可以以以資資產(chǎn)為為核心心，針針對每每一項項需要要保護護的資資產(chǎn)，，識別別可能能被威威脅利利用的的弱點點；也也可以以從物物理、、網(wǎng)絡(luò)絡(luò)、系系統(tǒng)、、應(yīng)用用等層層次進進行識識別，，然后后與資資產(chǎn)、、威脅脅對應(yīng)應(yīng)起來來。脆弱性性識別別的方方法主主要有有：問問卷調(diào)調(diào)查、、工具具檢測測、人人工核核查、、文檔檔查閱閱、滲滲透性性測試試等。。第三步步風(fēng)風(fēng)險確確定1現(xiàn)有安安全措措施評評估評估人人員應(yīng)應(yīng)對已已采取取的安安全措措施的的有效效性進進行確確認，，即是是否真真正降降低了了系統(tǒng)統(tǒng)的脆脆弱性性，抵抵御了了威脅脅。對對有效效的安安全措措施繼繼續(xù)保保持，，對確確認為為不適適當(dāng)?shù)牡陌踩胧┦?yīng)核核實是是否應(yīng)應(yīng)被取取消或或?qū)ζ淦溥M行行修正正，或或用更更合適適的安安全措措施替替代。。2風(fēng)險計計算根據(jù)以以上評評估產(chǎn)產(chǎn)生的的結(jié)果果，計計算出出每項項信息息資產(chǎn)產(chǎn)的風(fēng)風(fēng)險值值風(fēng)險計計算原原理風(fēng)險值值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全全風(fēng)險險計算算函數(shù)數(shù)A：資產(chǎn)產(chǎn)T：威脅脅V：脆弱性Ia：安全事件件所作用的的資產(chǎn)價值值Va：脆弱性嚴嚴重程度L：威脅利用用資產(chǎn)的脆脆弱性導(dǎo)致致安全事件件的可能性性F：安全事件件發(fā)生后造造成的損失失評估者可根根據(jù)自身情情況選擇相相應(yīng)的風(fēng)險險計算方法法來計算風(fēng)風(fēng)險值，如如矩陣法或或相乘法。。第四步風(fēng)風(fēng)險判定對所有風(fēng)險險計算結(jié)果果進行等級級化處理，，每個等級級代表了相相應(yīng)風(fēng)險的的嚴重程度度。第五步風(fēng)風(fēng)險控制對不可接受受的風(fēng)險應(yīng)應(yīng)根據(jù)導(dǎo)致致該風(fēng)險的的脆弱性制制定風(fēng)險處處理計劃。。風(fēng)險處理計計劃中應(yīng)明明確采取的的彌補脆弱弱性的安全全措施、預(yù)預(yù)期效果、、實施條件件、進度安安排、責(zé)任任部門等。。安全措施的的選擇應(yīng)從從管理和技技術(shù)兩個方方面考慮殘余風(fēng)險評評估在對于不可可接受的風(fēng)風(fēng)險選擇適適當(dāng)安全措措施后，為為確保安全全措施的有有效性，可可再進行評評估，以判判斷實施安安全措施后后的殘余風(fēng)風(fēng)險是否已已經(jīng)降低到到可接受的的水平。風(fēng)險評估文文檔記錄風(fēng)險的計算算方法計算原理風(fēng)險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風(fēng)險險計算函數(shù)數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件件所作用的的資產(chǎn)價值值Va：脆弱性嚴嚴重程度L：威脅利用用資產(chǎn)的脆脆弱性導(dǎo)致致安全事件件的可能性性F：安全事件件發(fā)生后造造成的損失失評估者可根根據(jù)自身情情況選擇相相應(yīng)的風(fēng)險險計算方法法來計算風(fēng)風(fēng)險值，如如矩陣法或或相乘法。。風(fēng)險的計算算方法風(fēng)險值計算算涉及的風(fēng)風(fēng)險要素：：資產(chǎn)、威威脅、脆弱弱性由威脅和脆脆弱性確定定安全事件件發(fā)生的可可能性由資產(chǎn)和脆脆弱性確定定安全事件件的損失由安全事件件發(fā)生的可可能性和安安全事件的的損失確定定風(fēng)險值目前，常用用的計算方方法是矩陣陣法和相乘乘法使用矩陣法法計算風(fēng)險險值矩陣法主要要適用于由由兩個要素素值確定一一個要素值值的情形Z=f(x,y)，函數(shù)f采用矩陣法法x=(x1,x2,x3,……,xi,…,xm)1≤i≤mxi為正整數(shù)y=(y1,y2,y3,……,yj,…,yn)1≤i≤nyj為正整數(shù)以要素x和要素y的取值構(gòu)造造一個二維維矩陣，矩矩陣行值為為要素y的所有取值值，矩陣列列值為要素素x的所有取值值，矩陣內(nèi)內(nèi)mxn個值即為要要素z的取值。使用矩陣法法計算風(fēng)險險值對于z值的計算，，可以采取取以下計算算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數(shù)Zij的計算需要要根據(jù)實際際情況確定定，矩陣內(nèi)內(nèi)zij的值不一定定遵循統(tǒng)一一的計算公公式，但必必須具有統(tǒng)統(tǒng)一的增減減趨勢，即即如果f是遞增函數(shù)數(shù)，zij的值應(yīng)隨著著xi和yj的值遞增，，反之亦然然。使用矩陣法法計算風(fēng)險險值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法法計算風(fēng)險險值示例以資產(chǎn)A1面臨的威脅脅T1可以利用的的弱點V1為例，計算算安全風(fēng)險險值，其他他風(fēng)險值計計算過程類類似1計算安全事事件發(fā)生的的可能性首先由威脅脅發(fā)生的頻頻率和弱點點的嚴重程程度值構(gòu)建建安全事件件可能性矩矩陣然后根據(jù)T1發(fā)生的頻率率值和V1嚴重程度值值在矩陣中中進行對照照，確定安安全事件發(fā)發(fā)生可能性性值威脅發(fā)生的的頻率T1=2弱點嚴重性性程度V1=2安全事件發(fā)發(fā)生可能性性值=6由于安全事事件發(fā)生可可能性將參參與風(fēng)險事事件值的計計算，為了了構(gòu)建風(fēng)險險矩陣，需需對安全事事件發(fā)生可可能可能性性進行等級級劃分該安全事件件發(fā)生可能能性等級為為2使用矩陣法法計算風(fēng)險險值示例2計算安全事事件的損失失首先由資產(chǎn)產(chǎn)價值和弱弱點嚴重程程度值構(gòu)建建安全事件件損失矩陣陣然后對照表表，確定安安全事件損損失值資產(chǎn)A1的價值=2弱點嚴重性性程度V1=2安全事件損損失值=5由于安全事事件損失值值將參與風(fēng)風(fēng)險事件值值的計算，，為了構(gòu)建建風(fēng)險矩陣陣，需對安安全事件損損失進行等等級劃分該安全事件件損失等級級為1使用矩陣法法計算風(fēng)險險值示例3計算風(fēng)險值值首先由安全全事件發(fā)生生可能性和和安全事件件損失構(gòu)建建安全風(fēng)險險矩陣然后對照表表，確定安安全風(fēng)險值值安全事件發(fā)發(fā)生可能性性等級為2安全事件損損失等級為為1安全風(fēng)險值值=6結(jié)果判定，，確定風(fēng)險險等級劃分分根據(jù)上述計計算方法，，計算資產(chǎn)產(chǎn)的其他風(fēng)風(fēng)險值，并并根據(jù)風(fēng)險險等級劃分分表，確定定風(fēng)險等級級使用相乘法法計算風(fēng)險險值相乘法主要要用于兩個個或多個要要素值確定定一個要素素值的情形形相乘法的原原理z=f(x,y)=xXy也可以相乘乘后開平方方或取模運運算等。使用相乘法法計算風(fēng)險險值示例以資產(chǎn)A1面臨的威脅脅T1可以利用的的弱點V1為例，計算算安全風(fēng)險險值計算公式x和y的積的平方方根的四舍舍五入結(jié)果果設(shè)資產(chǎn)A1價值為4，面臨的威威脅T1發(fā)生的頻率率為1，可利用的的弱點V1嚴重程度為為31計算算安安全全事事件件發(fā)發(fā)生生的的可可能能性性威脅脅發(fā)發(fā)生生的的頻頻率率T1=1弱點點嚴嚴重重性性程程度度V1=3安全全事事件件發(fā)發(fā)生生可可能能性性值值=使用用相相乘乘法法計計算算風(fēng)風(fēng)險險值值示示例例2計算算安安全全事事件件的的損損失失資產(chǎn)產(chǎn)價價值值A(chǔ)1=4脆弱弱性性嚴嚴重重程程度度V1=3安全全事事件件的的損損失失=3計算算風(fēng)風(fēng)險險值值安全全事事件件發(fā)發(fā)生生可可能能性性=安全全事事件件損損失失=安全全事事件件風(fēng)風(fēng)險險值值==6根據(jù)據(jù)風(fēng)風(fēng)險險等等級級劃劃分分表表，，風(fēng)風(fēng)險險等等級級確確定定為為24.6風(fēng)險險評評估估實實施施4.6.1風(fēng)險險評評估估實實施施原原則則目標(biāo)標(biāo)一一致致關(guān)注注重重點點資資產(chǎn)產(chǎn)用戶戶參參與與重視視質(zhì)質(zhì)量量管管理理和和過過程程4.6.2風(fēng)險險評評估估流流程程1前期期準準備備階階段段2現(xiàn)場場調(diào)調(diào)查查階階段段3風(fēng)險險分分析析階階段段4策略略制制定定階階段段前期期準準備備階階段段背景景資資料料準準備備技術(shù)術(shù)資資料料準準備備調(diào)查查提提綱綱準準備備調(diào)查查提提綱綱確確認認簽署署保保密密協(xié)協(xié)議議現(xiàn)場場調(diào)調(diào)查查階階段段人員員調(diào)調(diào)查查了解解組組織織最最重重視視的的信信息息資資產(chǎn)產(chǎn)、、最最擔(dān)擔(dān)心心發(fā)發(fā)生生的的事事件件以以及及組組織織對對信信息息系系統(tǒng)統(tǒng)安安全全的的期期望望調(diào)查查了了解解組組織織中中曾曾經(jīng)經(jīng)發(fā)發(fā)生生過過的的信信息息安安全全相相關(guān)關(guān)事事件件采用用問問詢詢、、會會議議、、資資料料審審計計的的形形式式獲獲取取相相關(guān)關(guān)的的數(shù)數(shù)據(jù)據(jù)，，包包括括目目前前信信息息管管理理的的規(guī)規(guī)章章制制度度以以及及具具體體實實施施情情況況技術(shù)調(diào)調(diào)查網(wǎng)絡(luò)架架構(gòu)調(diào)調(diào)查繪繪制制被評評估單單位的的網(wǎng)絡(luò)絡(luò)拓撲撲結(jié)構(gòu)構(gòu)；目目前網(wǎng)網(wǎng)絡(luò)上上的虛虛擬網(wǎng)網(wǎng)劃分分與使使用情情況；；明確確網(wǎng)絡(luò)絡(luò)邊界界；對對業(yè)務(wù)務(wù)系統(tǒng)統(tǒng)的安安全等等級建建議，，確認認目前前達到到的安安全等等級等