信息安全風(fēng)險(xiǎn)度量和計(jì)算

1、基于積分卡的風(fēng)險(xiǎn)計(jì)算模型林明峰12風(fēng)險(xiǎn)計(jì)分卡風(fēng)險(xiǎn)計(jì)分卡從四從四個(gè)維度邏輯個(gè)維度邏輯關(guān)系表明關(guān)系表明了風(fēng)險(xiǎn)評(píng)價(jià)的過(guò)程了風(fēng)險(xiǎn)評(píng)價(jià)的過(guò)程企業(yè)風(fēng)險(xiǎn)（企業(yè)風(fēng)險(xiǎn)（ERM）企業(yè)角度企業(yè)角度目標(biāo)衡量指標(biāo)目標(biāo)值“為使股東滿意，我們應(yīng)該達(dá)到為使股東滿意，我們應(yīng)該達(dá)到什么樣什么樣的的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理目標(biāo)目標(biāo)?”戰(zhàn)略風(fēng)險(xiǎn)1戰(zhàn)略風(fēng)險(xiǎn)2戰(zhàn)略風(fēng)險(xiǎn)3安全管理風(fēng)險(xiǎn)安全管理風(fēng)險(xiǎn)(Compliance)合規(guī)角度合規(guī)角度目標(biāo)衡量指標(biāo)目標(biāo)值“為達(dá)到我們?yōu)檫_(dá)到我們的日常管理要求，我們的日常管理要求，我們是否完成所有日常安全工作是否完成所有日常安全工作?”日常管理安全運(yùn)行風(fēng)險(xiǎn)（安全運(yùn)行風(fēng)險(xiǎn)（incident Management )運(yùn)維角

2、度運(yùn)維角度目標(biāo)衡量指標(biāo)目標(biāo)值行動(dòng)方案“有哪些安全事件，影響到我們的安全運(yùn)有哪些安全事件，影響到我們的安全運(yùn)行結(jié)果行結(jié)果?”安全事件發(fā)生率解決速度嚴(yán)重程度技術(shù)與配置分析技術(shù)與配置分析(漏洞漏洞, 配置配置)技術(shù)角度技術(shù)角度目標(biāo)衡量指標(biāo)目標(biāo)值Initiatives“現(xiàn)有漏洞和安全配置是否都修復(fù)了現(xiàn)有漏洞和安全配置是否都修復(fù)了?”漏洞1漏洞2漏洞3公司風(fēng)險(xiǎn)公司風(fēng)險(xiǎn)的的整體整體目標(biāo)目標(biāo)驅(qū)動(dòng)驅(qū)動(dòng)成果成果3風(fēng)險(xiǎn)計(jì)分卡風(fēng)險(xiǎn)計(jì)分卡確保了組織戰(zhàn)略的層層傳遞確保了組織戰(zhàn)略的層層傳遞Top-down Design自上而下的規(guī)劃自上而下的規(guī)劃SBU風(fēng)險(xiǎn)計(jì)分卡風(fēng)險(xiǎn)計(jì)分卡部門(mén)與業(yè)務(wù)系統(tǒng)部門(mén)與業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)計(jì)分卡風(fēng)險(xiǎn)計(jì)分卡公

3、司公司總部風(fēng)險(xiǎn)計(jì)分卡總部風(fēng)險(xiǎn)計(jì)分卡Bottom-up execution自下而上的執(zhí)行自下而上的執(zhí)行設(shè)備風(fēng)險(xiǎn)計(jì)分卡設(shè)備風(fēng)險(xiǎn)計(jì)分卡橫向協(xié)同橫向協(xié)同橫向協(xié)同橫向協(xié)同橫向協(xié)同橫向協(xié)同風(fēng)險(xiǎn)管理組織結(jié)構(gòu)（Secure CMDB）4公司分公司業(yè)務(wù)部門(mén)應(yīng)用系統(tǒng)IT 設(shè)備軟件和數(shù)據(jù)公司總部業(yè)務(wù)單元產(chǎn)品服務(wù)1應(yīng)用系統(tǒng)1App服務(wù)器1軟件機(jī)房信息人員App服務(wù)器2產(chǎn)品服務(wù)2應(yīng)用系統(tǒng)2業(yè)務(wù)單元產(chǎn)品服務(wù)3應(yīng)用系統(tǒng)3網(wǎng)絡(luò)設(shè)備終端設(shè)備業(yè)務(wù)條線IT運(yùn)維條線安全事件系統(tǒng)漏洞企業(yè)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)值計(jì)算結(jié)構(gòu)5公司分公司業(yè)務(wù)部門(mén)應(yīng)用系統(tǒng)IT 設(shè)備軟件和數(shù)據(jù)公司總部業(yè)務(wù)單元產(chǎn)品服務(wù)1應(yīng)用系統(tǒng)1App服務(wù)器1軟件機(jī)房信息人員A

4、pp服務(wù)器2產(chǎn)品服務(wù)2應(yīng)用系統(tǒng)2業(yè)務(wù)單元產(chǎn)品服務(wù)3應(yīng)用系統(tǒng)3網(wǎng)絡(luò)設(shè)備終端設(shè)備152漏洞事故 運(yùn)作企業(yè)1521521521525556企業(yè)管理風(fēng)險(xiǎn)（ERM）一、風(fēng)險(xiǎn)評(píng)估的三個(gè)基本概念（一）固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn) 固有風(fēng)險(xiǎn)：管理當(dāng)局未采取任何措施的情況下所面臨的風(fēng)險(xiǎn)。 剩余風(fēng)險(xiǎn)：管理當(dāng)局采取應(yīng)對(duì)措施后所殘余的風(fēng)險(xiǎn)。（二）可能性和影響 風(fēng)險(xiǎn)評(píng)估主要對(duì)風(fēng)險(xiǎn)進(jìn)行兩方面的分析：可能性和影響 可能性：風(fēng)險(xiǎn)可能發(fā)生的程度或發(fā)生的概率 影響：風(fēng)險(xiǎn)發(fā)生后對(duì)企業(yè)造成的損失或帶來(lái)的負(fù)面影響。（三）計(jì)量尺度 順序計(jì)量、間隔計(jì)量、比例計(jì)量（四）注冊(cè)風(fēng)險(xiǎn)庫(kù) 注冊(cè)可能出現(xiàn)的風(fēng)險(xiǎn)項(xiàng)目和類型2、定性分析法 直接用文字描述風(fēng)險(xiǎn)發(fā)生的可

5、能性以及風(fēng)險(xiǎn)對(duì)目標(biāo)的影響程度，有較強(qiáng)的主觀性。步驟： （1）確定潛在事項(xiàng)發(fā)生的可能性 （2）確定風(fēng)險(xiǎn)影響等級(jí)，確定風(fēng)險(xiǎn)等級(jí) （3）根據(jù)（1）、（2）編制風(fēng)險(xiǎn)矩陣企業(yè)管理風(fēng)險(xiǎn)采用的方式公司公司對(duì)風(fēng)險(xiǎn)發(fā)生可能性和對(duì)目標(biāo)的影響程度定性評(píng)估及其相互對(duì)應(yīng)關(guān)系表對(duì)風(fēng)險(xiǎn)發(fā)生可能性和對(duì)目標(biāo)的影響程度定性評(píng)估及其相互對(duì)應(yīng)關(guān)系表風(fēng)險(xiǎn)發(fā)生風(fēng)險(xiǎn)發(fā)生的可能性的可能性文字描述文字描述1 1極不可能極不可能不太可能不太可能可能可能較大可能較大可能極有可能極有可能文字描述文字描述2 2一般情況下不一般情況下不會(huì)發(fā)生會(huì)發(fā)生極少情況下極少情況下才會(huì)發(fā)生才會(huì)發(fā)生某些情況某些情況下發(fā)生下發(fā)生較多情況較多情況下發(fā)生下發(fā)生常常發(fā)生常常發(fā)

6、生文字描述文字描述3 3今后今后1010年內(nèi)發(fā)年內(nèi)發(fā)生的可能少于生的可能少于1 1次次今后今后5-105-10年年內(nèi)可能發(fā)生內(nèi)可能發(fā)生1 1次次今后今后2-52-5年年內(nèi)可能發(fā)內(nèi)可能發(fā)生生1 1次次今后今后1 1年內(nèi)年內(nèi)可能發(fā)生可能發(fā)生1 1次次今后今后1 1年內(nèi)年內(nèi)至少發(fā)生至少發(fā)生1 1次次對(duì)目標(biāo)的對(duì)目標(biāo)的影響程度影響程度文字描述文字描述1 1極輕微的極輕微的輕微的輕微的中等的中等的重大的重大的災(zāi)難性的災(zāi)難性的文字描述文字描述2 2極低極低低低中等中等高高極高極高文字描文字描述述3 3安全運(yùn)安全運(yùn)營(yíng)營(yíng)基本不受影響基本不受影響輕度影響輕度影響中度影響中度影響嚴(yán)重影響嚴(yán)重影響重大影響重大影響財(cái)務(wù)

7、損財(cái)務(wù)損失失較低較低輕微的輕微的中等中等重大的重大的極大極大企業(yè)聲企業(yè)聲譽(yù)譽(yù)負(fù)面消息在企負(fù)面消息在企業(yè)內(nèi)部流傳，業(yè)內(nèi)部流傳，企業(yè)聲譽(yù)未受企業(yè)聲譽(yù)未受損損負(fù)面消息在負(fù)面消息在當(dāng)?shù)鼐植苛鳟?dāng)?shù)鼐植苛鱾鳎瑢?duì)企業(yè)傳，對(duì)企業(yè)聲譽(yù)造成輕聲譽(yù)造成輕微危害微危害負(fù)面消息負(fù)面消息在某區(qū)域在某區(qū)域流傳，對(duì)流傳，對(duì)企業(yè)聲譽(yù)企業(yè)聲譽(yù)造成中等造成中等損害損害負(fù)面消息負(fù)面消息在全國(guó)各在全國(guó)各地流傳，地流傳，對(duì)企業(yè)聲對(duì)企業(yè)聲譽(yù)在成重譽(yù)在成重大損害大損害負(fù)面消息流負(fù)面消息流傳至世界各傳至世界各地，政府或地，政府或監(jiān)管機(jī)構(gòu)進(jìn)監(jiān)管機(jī)構(gòu)進(jìn)行調(diào)查，引行調(diào)查，引起公眾廣泛起公眾廣泛關(guān)注，對(duì)企關(guān)注，對(duì)企業(yè)聲譽(yù)造成業(yè)聲譽(yù)造成無(wú)法彌補(bǔ)的無(wú)法彌

8、補(bǔ)的損害損害某公司風(fēng)險(xiǎn)定性評(píng)價(jià)結(jié)果表某公司風(fēng)險(xiǎn)定性評(píng)價(jià)結(jié)果表風(fēng)險(xiǎn)事項(xiàng)編號(hào)風(fēng)險(xiǎn)事項(xiàng)編號(hào)風(fēng)險(xiǎn)發(fā)生的可能性風(fēng)險(xiǎn)發(fā)生的可能性低低高高中等中等低低中等中等極高極高低低高高極低極低對(duì)目標(biāo)的影響對(duì)目標(biāo)的影響極低極低低低中等中等中等中等低低高高極高極高極高極高高高 對(duì)風(fēng)險(xiǎn)發(fā)生可能性的高低和風(fēng)險(xiǎn)對(duì)目標(biāo)的影響程度進(jìn)行定性評(píng)價(jià)后，依據(jù)評(píng)價(jià)結(jié)果繪制風(fēng)險(xiǎn)坐標(biāo)圖。例如某公司對(duì)9項(xiàng)風(fēng)險(xiǎn)事項(xiàng)進(jìn)行了定性評(píng)價(jià)，評(píng)價(jià)結(jié)果和風(fēng)險(xiǎn)坐標(biāo)圖如下所示：某公司風(fēng)險(xiǎn)坐標(biāo)圖某公司風(fēng)險(xiǎn)坐標(biāo)圖11說(shuō)明(以固有風(fēng)險(xiǎn)繪制):1 人力資源風(fēng)險(xiǎn)2 財(cái)務(wù)風(fēng)險(xiǎn)3 競(jìng)爭(zhēng)風(fēng)險(xiǎn)4 產(chǎn)品開(kāi)發(fā)風(fēng)險(xiǎn)5 客戶信用風(fēng)險(xiǎn)6 系統(tǒng)故障風(fēng)險(xiǎn)7 外匯風(fēng)險(xiǎn)8 欺詐風(fēng)險(xiǎn)9 政治風(fēng)險(xiǎn)10 投

9、資風(fēng)險(xiǎn)11 采購(gòu)風(fēng)險(xiǎn)影響程度影響程度極低極低低低中等中等高高極高極高極高極高高高中等中等低低極低極低1 81073462 115 9可可能能性性風(fēng)險(xiǎn)發(fā)生可能性的高低、風(fēng)險(xiǎn)發(fā)生后對(duì)目標(biāo)的影響程度作為兩個(gè)維度繪制在一個(gè)平面上（即繪制成直角坐標(biāo)系）。12極極高高高高中中等等低低極極低低極低極低 低低 中等中等 高高 極高極高 影響程度影響程度 可能性可能性285B B區(qū)域區(qū)域C C區(qū)域區(qū)域A A區(qū)域區(qū)域B B區(qū)域區(qū)域 承擔(dān)A A區(qū)域區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且不再增加控制措施 嚴(yán)格控制B B區(qū)域區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且專門(mén)補(bǔ)充制定各項(xiàng)控制措施 確保規(guī)避和轉(zhuǎn)移C C區(qū)域區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且優(yōu)先安排實(shí)施各項(xiàng)防范措施341

10、769風(fēng)險(xiǎn)坐標(biāo)圖中各項(xiàng)控制措施風(fēng)險(xiǎn)坐標(biāo)圖法 風(fēng)險(xiǎn)坐標(biāo)圖法是在統(tǒng)計(jì)分析和經(jīng)驗(yàn)判斷的基礎(chǔ)上把風(fēng)險(xiǎn)發(fā)生的可能性的高低、風(fēng)險(xiǎn)發(fā)生后對(duì)目標(biāo)影響程度的大小作為兩個(gè)維度繪制在同一直角坐標(biāo)系內(nèi)。1、風(fēng)險(xiǎn)發(fā)生可能性及對(duì)目標(biāo)影響的定性分析2、針對(duì)一個(gè)單一資產(chǎn)的風(fēng)險(xiǎn)值計(jì)算過(guò)程： 所有C區(qū)的高風(fēng)險(xiǎn)值 累加后的 平均值：例如： 風(fēng)險(xiǎn)1 = 4* 4 =16 風(fēng)險(xiǎn)2 = 4* 5 =20 那么單個(gè)資產(chǎn)值 (16+20)/2 =1814運(yùn)維管理模塊的風(fēng)險(xiǎn)值計(jì)算過(guò)程15安全運(yùn)維過(guò)程的風(fēng)險(xiǎn)值評(píng)估 針對(duì)每一個(gè)資產(chǎn)所有人發(fā)問(wèn)卷 問(wèn)卷為周期性發(fā)放 通過(guò)在線填寫(xiě)方式完善問(wèn)卷問(wèn)卷形式下發(fā) 每一個(gè)問(wèn)題映射具體的控制措施 根據(jù)權(quán)重方式計(jì)算總

11、體合規(guī)率分值計(jì)算16安全事故的風(fēng)險(xiǎn)值計(jì)算方式安全事故風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)值是風(fēng)險(xiǎn)評(píng)價(jià)表征量，包括事故的發(fā)生概率和事風(fēng)險(xiǎn)值是風(fēng)險(xiǎn)評(píng)價(jià)表征量，包括事故的發(fā)生概率和事故的危害程度。定義為：故的危害程度。定義為： 測(cè)量單位時(shí)間為周測(cè)量單位時(shí)間為周后果為事故的嚴(yán)重程度，取事件中嚴(yán)重程度后果為事故的嚴(yán)重程度，取事件中嚴(yán)重程度當(dāng)事故被解決后，將從風(fēng)險(xiǎn)值計(jì)算過(guò)程中去除。當(dāng)事故被解決后，將從風(fēng)險(xiǎn)值計(jì)算過(guò)程中去除。18技術(shù)漏洞的評(píng)估與計(jì)算方式量化的漏洞和風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)等級(jí)：1風(fēng)險(xiǎn)等級(jí)：2風(fēng)險(xiǎn)等級(jí)：3風(fēng)險(xiǎn)等級(jí)：4風(fēng)險(xiǎn)很高，導(dǎo)致系統(tǒng)受到非常嚴(yán)重非常嚴(yán)重影響，需要緊急處理風(fēng)險(xiǎn)高，導(dǎo)致系統(tǒng)受到嚴(yán)重嚴(yán)重影響風(fēng)險(xiǎn)中，導(dǎo)致系統(tǒng)受一般一般

12、影響風(fēng)險(xiǎn)低，進(jìn)行提示提示即可技術(shù)漏洞技術(shù)漏洞的量化風(fēng)險(xiǎn)的量化風(fēng)險(xiǎn)n 采用CVSS通用弱點(diǎn)評(píng)價(jià)體系n 參考信息安全風(fēng)險(xiǎn)評(píng)估指南國(guó)家標(biāo)準(zhǔn)n 將資產(chǎn)價(jià)值、弱點(diǎn)、保護(hù)等級(jí)相結(jié)合資產(chǎn)風(fēng)險(xiǎn)值為風(fēng)險(xiǎn)等級(jí)為最高級(jí)別漏洞風(fēng)險(xiǎn)值。漏洞風(fēng)險(xiǎn)值的計(jì)算過(guò)程2021CVSSCVSS (Common Vulnerability Security Scoring) Base Metrics（基本度量） access location, access complexity, authentication, CIA impact Temporal Metrics（時(shí)效性） Exploitability, Remediation

13、Level (Patch, etc), Confidence in Available Data Environmental Metrics(環(huán)境因素）Collateral Damage, Target DistributionSee /cvss/ Use CVSS equations Base ScoreCompute values at the class level, the CWE entries. Take CWE “Common Consequences” which are based on CIA and use CVSS base sco

14、re formulas for CIA (None, Partial, Full) to compute a numerical CWE impact CWEImpact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact)XImpact = case XImpact of none: 0.0, partial: 0.275, complete: 0.660 Compute values at the code context level Use CVSS base score formulas for Access Vector

15、(Local, Adjacent, Network), Access Complexity (High, Medium, Low), and Authentication (Multiple, Single, None) to compute exploitability.ContextExploitability = 20* AccessVector*AccessComplexity*AuthenticationAccessVector = case AccessVector of requires local access: 0.395, adjacent network accessib

16、le: 0.646, network accessible: 1.0 AccessComplexity = case AccessComplexity of high: 0.35, medium: 0.61, low: 0.71Authentication = case Authentication of requires multiple instances of authentication: 0.45, requires single instance of authentication: 0.56, requires no authentication: 0.704 Compute W

17、eakness Base ScoreWeaknessBaseScore = round_to_1_decimal(0.6*CWEImpact)+(0.4*ContextExploitability)1.5)*f Use CVSS equations Temporal ScoreCVSS Temporal score adds the notion of threat based on proof of exploitability, availability of fix, and report confidence.TemporalScore = round_to_1_decimal(Bas

18、eScore*Exploitability*RemediationLevel*ReportConfidence) Exploitability = case Exploitability of unproven: 0.85, proof-of-concept: 0.9, functional: 0.95 high: 1.00, not defined: 1.00RemediationLevel = case RemediationLevel of official-fix: 0.87, temporary-fix: 0.90, workaround: 0.95, unavailable: 1.00, not defined: 1.00 ReportConfidence = case ReportConfidence of un