信息安全風(fēng)險評估流程

信息安全風(fēng)險評估流程培訓(xùn)講師：jindaly培訓(xùn)日期：2011.6第一頁，共二十七頁。一、風(fēng)險評估概述

二、風(fēng)險評估目的

三、風(fēng)險評估范圍

四、風(fēng)險評估流程

五、風(fēng)險評估工作要點第二頁，共二十七頁。一、風(fēng)險評估概述信息安全風(fēng)險評估的概念在業(yè)內(nèi)有多種說法，從國標(biāo)《評估指南》對信息安全風(fēng)險評估的表述中看出，評估涉及資產(chǎn)、威脅、脆弱性和風(fēng)險四個主要因素。風(fēng)險管理是辨別信息系統(tǒng)潛在的風(fēng)險，對其進(jìn)行評估，并采取措施將其降低到可接受的水平的過程，而風(fēng)險評估是其中最重要的環(huán)節(jié)。第三頁，共二十七頁。一、風(fēng)險評估概述信息安全風(fēng)險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。信息安全風(fēng)險評估從管理的角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及存在的脆弱性。評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性地抵御安全威脅的防護(hù)措施，為防范和化解信息安全風(fēng)險，或?qū)L(fēng)險控制在可以接受的水平，最大限度地保障網(wǎng)絡(luò)正常運(yùn)行和信息安全提供科學(xué)依據(jù)。第四頁，共二十七頁。二、風(fēng)險評估目的信息安全風(fēng)險評估是加強(qiáng)信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)，通過開展信息安全風(fēng)險評估工作，可以發(fā)現(xiàn)信息系統(tǒng)存在的主要問題和矛盾，找到解決諸多關(guān)鍵問題的辦法。信息安全風(fēng)險評估旨在認(rèn)清信息安全環(huán)境，信息安全狀況，有助于達(dá)成共識，明確責(zé)任，采取和完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性。并為信息系統(tǒng)的建設(shè)和改造提供依據(jù)，幫助信息安全建設(shè)者正確判斷系統(tǒng)存在風(fēng)險與漏洞，并采取適當(dāng)補(bǔ)救措施。風(fēng)險評估可以科學(xué)地分析和理解信息系統(tǒng)在保密性、完整性、可用性等方面的工作，只有正確、全面地了解理解安全風(fēng)險后才能決定如何處理安全風(fēng)險，從而在信息安全的投資，信息安全措施的選擇，信息安全保障體系的建設(shè)做出合理的決策。第五頁，共二十七頁。三、風(fēng)險評估范圍信息安全風(fēng)險評估適用于在信息安全管理體系下的所有信息資產(chǎn)、網(wǎng)絡(luò)及任何管理和維護(hù)這些系統(tǒng)的流程所做的一切風(fēng)險評估。信息安全風(fēng)險評估包括信息資產(chǎn)的風(fēng)險識別、評估與管理，即信息系統(tǒng)網(wǎng)絡(luò)、管理制度、使用或管理信息系統(tǒng)的相關(guān)人員以及由信息系統(tǒng)使用時產(chǎn)生的文檔、數(shù)據(jù)等的風(fēng)險識別、評估與管理。第六頁，共二十七頁。四、風(fēng)險評估流程

信息安全風(fēng)險評估的典型過程主要分為風(fēng)險評估準(zhǔn)備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認(rèn)和風(fēng)險分析六個階段。風(fēng)險評估準(zhǔn)備資產(chǎn)識別威脅識別脆弱性識別已有安全措施確認(rèn)風(fēng)險分析第七頁，共二十七頁。四、風(fēng)險評估流程

該階段的主要任務(wù)是制訂評估工作計劃，包括評估目標(biāo)、評估范圍、制訂信息安全風(fēng)險評估工作方案，并根據(jù)評估工作需要，組建評估團(tuán)隊，明確各方職責(zé)。

在風(fēng)險評估準(zhǔn)備階段，需要多次與被評估方磋商，了解被評估方關(guān)注的重點，明確風(fēng)險評估的目標(biāo)和范圍，為整個風(fēng)險評估工作提供向?qū)?。在確定評估范圍和目標(biāo)之后，根據(jù)被評估對象的網(wǎng)絡(luò)規(guī)模、復(fù)雜度、特殊性，成立評估工作小組，明確各方人員組成及職責(zé)分工。建立評估團(tuán)隊后，由評估工作人員進(jìn)行現(xiàn)場調(diào)研，由被評估方介紹網(wǎng)絡(luò)構(gòu)建情況，安全管理制度和采取的安全防護(hù)措施以及業(yè)務(wù)運(yùn)行情況。評估工作小組根據(jù)調(diào)研情況撰寫信息安全風(fēng)險評估工作方案。1.風(fēng)險評估準(zhǔn)備第八頁，共二十七頁。四、風(fēng)險評估流程確定目標(biāo)確定范圍組建團(tuán)隊系統(tǒng)調(diào)研確定依據(jù)制定方案1.風(fēng)險評估準(zhǔn)備第九頁，共二十七頁。四、風(fēng)險評估流程

做好風(fēng)險評估準(zhǔn)備階段的相關(guān)工作之后，需要通過多種途徑采集評估對象的資產(chǎn)信息，為風(fēng)險評估后續(xù)各階段的工作提供基本素材。

機(jī)密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中的資產(chǎn)價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或其安全屬性未達(dá)成時所造成的影響程度來決定的。資產(chǎn)識別主要通過向被評估方發(fā)放資產(chǎn)調(diào)查表來完成。在識別資產(chǎn)時，以被評估方提供的資產(chǎn)清單為依據(jù)，對重要和關(guān)鍵資產(chǎn)進(jìn)行標(biāo)注，對評估范圍內(nèi)的資產(chǎn)詳細(xì)分類，防止遺漏，劃入風(fēng)險評估范圍和邊界內(nèi)的每一項資產(chǎn)都應(yīng)經(jīng)過仔細(xì)確認(rèn)。2.資產(chǎn)識別第十頁，共二十七頁。四、風(fēng)險評估流程資產(chǎn)分類

資產(chǎn)分類方法：根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。在實際工作中，具體的資產(chǎn)分類方法可根據(jù)具體的評估對象和要求，由評估者靈活把握。資產(chǎn)賦值

根據(jù)資產(chǎn)在保密性、完整性、可用性上的不同要求，對資產(chǎn)進(jìn)行保密性賦值、完整性賦值、可用性賦值。

資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性、可用性上的賦值等級，經(jīng)過綜合評定得出。2.資產(chǎn)識別第十一頁，共二十七頁。四、風(fēng)險評估流程在識別威脅時，應(yīng)根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷，威脅識別主要通過采集入侵檢測系統(tǒng)（IDS）的報警信息、威脅問卷調(diào)查和對技術(shù)人員做顧問訪談的方式。為了確保收集到的威脅信息客觀準(zhǔn)確，威脅問卷調(diào)查的對象要覆蓋被評估對象的領(lǐng)導(dǎo)層、技術(shù)主管、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、安全管理人員和普通員工等。顧問訪談要針對不同的訪談對象制訂不同的訪談提綱。

威脅識別的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，威脅源可能是蓄意也可能是偶然的因素，通常包括人、系統(tǒng)和自然環(huán)境等。一項資產(chǎn)可能面臨多個威脅，而一個威脅也可能對不同的資產(chǎn)造成影響。威脅識別完成后還應(yīng)該對威脅發(fā)生的可能性進(jìn)行評估，列出威脅清單，描述威脅屬性，并對威脅出現(xiàn)的頻率賦值。3.威脅識別第十二頁，共二十七頁。四、風(fēng)險評估流程威脅分類

威脅可以通過威脅主體、資源、動機(jī)、途徑等多種屬性來描述，造成威脅的因素可分為人為因素和環(huán)境因素。在對威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。威脅賦值

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。3.威脅識別第十三頁，共二十七頁。四、風(fēng)險評估流程脆弱性識別是風(fēng)險評估工作過程中最為復(fù)雜、較難把握的環(huán)節(jié)，同時也是非常重要的環(huán)節(jié)，對評估工作小組成員的專業(yè)技術(shù)水平要求較高。脆弱性分為管理脆弱性和技術(shù)脆弱性。管理脆弱性調(diào)查主要通過發(fā)放管理脆弱性調(diào)查問卷、顧問訪談以及收集分析現(xiàn)有的管理制度來完成；技術(shù)脆弱性檢測主要借助專業(yè)的脆弱性檢測工具和對評估范圍內(nèi)的各種軟硬件安全配置進(jìn)行檢查來識別。在工作過程中，應(yīng)注意脆弱性識別的全面性，包括物理、網(wǎng)絡(luò)、應(yīng)用和管理等方面。為了分析脆弱性影響的嚴(yán)重程度，最好對關(guān)鍵資產(chǎn)的脆弱性進(jìn)行深度檢測和驗證，比如關(guān)鍵服務(wù)的身份認(rèn)證等。識別完成之后，還要對具體資產(chǎn)的脆弱性嚴(yán)重程度進(jìn)行賦值。脆弱性嚴(yán)重程度可以等級化處理，不同等級分別表示資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。4.脆弱性識別第十四頁，共二十七頁。四、風(fēng)險評估流程脆弱性識別

脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護(hù)的資產(chǎn),識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對應(yīng)用在不同環(huán)境中的相同的弱點，其脆弱性嚴(yán)重程度是不同的，評估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。

脆弱性識別包括兩個方面，即技術(shù)脆弱性和管理脆弱性。

脆弱性識別所采用的方法：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性賦值

根據(jù)對資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度、弱點的流行程度，采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。4.脆弱性識別第十五頁，共二十七頁。四、風(fēng)險評估流程安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。有效的安全控制措施，可以降低安全事件發(fā)生的可能性，也可以減輕安全事件造成的不良影響。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實施。對確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)該核實是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或采用更合適的安全措施予以替代。

因此，在進(jìn)行安全風(fēng)險分析計算之前，有必要識別目前已有的安全控制措施，包括安全控制措施的識別與確認(rèn)、管理和操作控制措施的識別與確認(rèn)。并對措施的有效性進(jìn)行分析，為后續(xù)的風(fēng)險分析提供參考依據(jù)。安全措施識別與確認(rèn)，應(yīng)由評估小組的安全控制措施識別小組、安全設(shè)備管理人員及安全設(shè)備廠家技術(shù)人員共同參與。5.已有安全措施確認(rèn)第十六頁，共二十七頁。四、風(fēng)險評估流程安全措施可分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。5.已有安全措施確認(rèn)第十七頁，共二十七頁。四、風(fēng)險評估流程6.風(fēng)險分析

脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險值資產(chǎn)識別安全事件的可能性威脅識別風(fēng)險分析原理圖第十八頁，共二十七頁。四、風(fēng)險評估流程6.風(fēng)險分析構(gòu)成風(fēng)險的要素主要有資產(chǎn)、威脅和脆弱性，在識別了這些要素之后，就可以確定存在什么風(fēng)險。風(fēng)險分析階段需要完成的工作主要有3項：風(fēng)險計算、形成風(fēng)險評估報告和給出風(fēng)險控制建議。風(fēng)險計算是針對每一項信息資產(chǎn)、根據(jù)其自身存在的脆弱性列表、所面臨的威脅列表，考慮資產(chǎn)自身在信息系統(tǒng)中的重要程度（資產(chǎn)賦值），依據(jù)風(fēng)險計算公式，計算出該信息資產(chǎn)的風(fēng)險值，最終形成風(fēng)險列表。風(fēng)險評估報告主要結(jié)合風(fēng)險評估工作過程中采集到的中間數(shù)據(jù)，對信息系統(tǒng)中的安全風(fēng)險進(jìn)行定性和定量分析。風(fēng)險控制建議主要由評估工作小組在對被評估對象的安全現(xiàn)狀進(jìn)行綜合分析的基礎(chǔ)上，有針對性地給出。風(fēng)險只能被預(yù)防、避免、降低、轉(zhuǎn)移或接受，而不可能完全消除。高風(fēng)險和嚴(yán)重風(fēng)險是不可接受的，必須選擇實施相應(yīng)的對策來消減。對于中等風(fēng)險和低風(fēng)險，可以選擇接受，一般評估工作小組應(yīng)針對被評估對象的中低風(fēng)險給出風(fēng)險控制建議。第十九頁，共二十七頁。四、風(fēng)險評估流程6.風(fēng)險分析風(fēng)險計算原理風(fēng)險值=R(A,T,V)=R(L(T,V),F(La，Va))

其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；La表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。風(fēng)險結(jié)果判斷

為實現(xiàn)對風(fēng)險的控制與管理，可以對風(fēng)險評估的結(jié)果進(jìn)行等級化處理。風(fēng)險處理計劃

對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。殘余風(fēng)險評估

在對于不可接受的風(fēng)險選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。第二十頁，共二十七頁。四、風(fēng)險評估流程風(fēng)險評估文件記錄（1）風(fēng)險評估方案：闡述風(fēng)險評估的目標(biāo)、范圍、團(tuán)隊、評估方法、評估結(jié)果的形式和實施進(jìn)度等；（2）風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等；（5）威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出現(xiàn)的頻率等；（6）脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴(yán)重程度等；（7）已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實施效果等；（8）風(fēng)險評估報告：對整個風(fēng)險評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象，風(fēng)險評估方法，資產(chǎn)、威脅、脆弱性的識別結(jié)果，風(fēng)險分析、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容；（9）風(fēng)險處理計劃：對評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險的評價確保所選擇安全措施的有效性；（10）風(fēng)險評估記錄：根據(jù)組織的風(fēng)險評估程序文件，記錄對重要資產(chǎn)的風(fēng)險評估過程。

第二十一頁，共二十七頁。五、風(fēng)險評估工作的要點第一，各級領(lǐng)導(dǎo)對評估工作的重視。風(fēng)險評估工作只有得到各級領(lǐng)導(dǎo)的廣泛認(rèn)同和支持，才能順利地開展并卓有成效地進(jìn)行，獲得客觀、真實和有效的評估結(jié)果，作為今后信息安全建設(shè)的重要參考依據(jù)。第二，加強(qiáng)評估工作的組織和管理。信息安全風(fēng)險評估工作啟動后，應(yīng)及時組建評估項目組，加強(qiáng)對整個評估工作的組織和管理。項目組主要包括項目領(lǐng)導(dǎo)小組、項目負(fù)責(zé)人和項目工作小組。做好風(fēng)險評估工作，特別要注意以下五方面的工作：第二十二頁，共二十七頁。五、風(fēng)險評估工作的要點第三，注意評估過程中的風(fēng)險控制。評估工作過程中所面臨的風(fēng)險，主要是敏感信息泄露和評估過程中的各種技術(shù)性評估帶來的。規(guī)避敏感信息泄露風(fēng)險，主要應(yīng)該注意幾點：參與評估的人員必須遵守國家有關(guān)信息安全的法律法規(guī)以及總行關(guān)于信息安全的相關(guān)管理規(guī)定，承擔(dān)相應(yīng)的義務(wù)和責(zé)任；被評估方應(yīng)與參與評估的所有人員簽訂具有法律約束力的保密協(xié)議；評估過程中做好審核確認(rèn)工作。對于規(guī)避技術(shù)性評估所帶來的風(fēng)險，例如進(jìn)行漏洞掃描有時引起掃描對象宕機(jī)等，在制訂各種技術(shù)性評估方案時，應(yīng)當(dāng)由被評估方和評估方共同審核確認(rèn)，盡量避免采取可能造成不良影響的操作，最好事先經(jīng)過測試。第二十三頁，共二十七頁。五、風(fēng)險評估工作的要點第四，做好各方的協(xié)調(diào)配合工作。信息安全風(fēng)險評估工作涉及信息系統(tǒng)的主管部門、建設(shè)單位或上級機(jī)關(guān)、運(yùn)行維護(hù)部門、使用部門、安全管理部門和保密