信息安全導論 課件 第四章 信息安全風險管理

4.1信息安全風險管理第一章揭開信息安全的神秘面紗目錄4.1.1信息安全風險評估概念4.1.2信息安全風險評估組成要素4.1.3信息安全風險評估流程4.1.4信息安全風險評估方法與工具信息安全風險評估概念01信息安全風險定義風險是指一定條件下和一定時期內(nèi)可能發(fā)生的不利事件發(fā)生的可能性。風險在澳大利亞/新西蘭國家標準AS/NZS4360中，信息安全風險指對目標產(chǎn)生影響的某種事件發(fā)生的可能性，可以用后果和可能性來衡量。在ISO/IEC13335-1中，信息安全風險是指某個特定的威脅利用單個或一組資產(chǎn)的脆弱點造成資產(chǎn)受損的潛在可能性。在我國GB/T20984-2022《信息安全技術(shù)信息安全風險評估方法》中，信息安全風險是指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱點導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險的表現(xiàn)010203威脅資產(chǎn)脆弱點一般而言，信息安全風險可表現(xiàn)為威脅、脆弱點和資產(chǎn)之間的相互作用，即“風險=威脅＋脆弱點＋資產(chǎn)”，其中風險會隨著任一因素的增加而增大，減少而減少。根據(jù)GB/T20984-2022《信息安全技術(shù)信息安全風險評估方法》，信息安全風險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及其處理。信息安全風險評估傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。評估資產(chǎn)面臨的威脅以及威脅利用脆弱點導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。信息安全風險評估定義信息安全風險評估組成要素02CC(信息技術(shù)安全評估通用標準)ISO接納CC2.0版為ISO/IEC15408草案，并命名為信息技術(shù)-安全技術(shù)-IT安全性評估準則，并于同年正式發(fā)布國際標準ISO/IEC15408CC2.1版。美國、加拿大與歐洲四國組成六國七方，共同制定了國際通用的評估準則CC，其目的是建立一個各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價標準。1993年在1996年頒布了CC1.0版，1998年頒布了CC2.0版1999年1996~1998CC標準組成CC標準主要由三部分構(gòu)成∶簡介和一般模型、安全功能要求和安全保障要求。在簡介和一般模型中，定義了信息安全風險構(gòu)成要素威脅，風險，脆弱點，資產(chǎn)，對策等關(guān)鍵風險要素的概念，同時又提出了所有者和威脅主體的概念。風險要素之間的關(guān)系風險要素之間的關(guān)系可概括為如下過程∶（1）信息資產(chǎn)的所有者給資產(chǎn)賦予了一定的價值，威脅主體希望濫用或破壞資產(chǎn)，因而引發(fā)威脅利用脆弱點，導致風險的產(chǎn)生。（2）資產(chǎn)所有者意識到脆弱點的存在和脆弱點被利用而導致的風險，因而希望通過對策來降低風險，使風險最小化。（3）脆弱點可能被對策減少，但是同時對策本身可能具有其他的脆弱點。ISO13335標準ISO/IEC13335是信息安全管理方面的指導性標準，其中ISO/IEC13335-1以風險為中心，確定了資產(chǎn)、威脅、脆弱點、影響、風險、防護措施為信息安全風險的要素，并描述了它們之間的關(guān)系GB/T20984-2022我國的GB/T20984-2022《信息安全技術(shù)信息安全風險評估方法》對該模型進行了深化。風險評估圍繞著資產(chǎn)、威脅、脆弱點和安全措施這些基本要素展開，對在基本要素的評估過程中，充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關(guān)的各類屬性。風險要素及屬性之間的關(guān)系具體而言，風險要素及屬性之間的關(guān)系如下∶（1）風險要素的核心是資產(chǎn),而資產(chǎn)存在脆弱性。（2）安全措施的實施通過降低資產(chǎn)脆弱性被利用難易程度,抵御外部威脅,以實現(xiàn)對資產(chǎn)的保護。（3）威脅通過利用資產(chǎn)存在的脆弱性導致風險。（4）風險轉(zhuǎn)化成安全事件后,會對資產(chǎn)的運行狀態(tài)產(chǎn)生影響。（5）風險分析時,應綜合考慮資產(chǎn)、脆弱性、威脅和安全措施等基本因素。信息安全風險評估流程03風險要素及屬性之間的關(guān)系根據(jù)我國的GB/T20984-2022《信息安全技術(shù)信息安全風險評估方法》，詳細的風險評估實施流程如下。風險評估流程該階段是整個風險評估過程有效性的保證。組織實施風險評估是一種戰(zhàn)略性地考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。風險評估準備在風險評估實施前，應完成的任務(wù)有∶確定風險評估的目標，確定風險評估的范圍，組建合適的評估管理與實施團隊，進行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，建立風險評價準則，制定風險評估方案，獲得最高管理者對風險評估工作的支持。風險評估準備風險評估流程該階段主要完成資產(chǎn)分類、資產(chǎn)賦值兩個方面的內(nèi)容。資產(chǎn)識別資產(chǎn)識別資產(chǎn)分類是進行下一步的基礎(chǔ)，在實際工作中，具體的資產(chǎn)分類方法可根據(jù)實際情況的需要，由評估值靈活把握。一般而言，根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)以及無形資產(chǎn)等方面。資產(chǎn)賦值是指對資產(chǎn)的價值或重要程度進行評估。一般地，資產(chǎn)的價值可由資產(chǎn)在安全屬性上的達成程度或其他安全屬性未達成時所造成的影響程度來決定，具體可分為保密性賦值、完整性賦值、可用性賦值三個方面；然后在此基礎(chǔ)上，經(jīng)過綜合評定得到資產(chǎn)重要性等級。當前綜合評定的常見方法有加權(quán)平均原則、最大化原則等。風險評估流程該階段主要完成組織資產(chǎn)面臨的威脅識別、威脅賦值兩個方面的內(nèi)容。業(yè)務(wù)識別業(yè)務(wù)識別在威脅識別方面，當前不同的手冊給出了不同的威脅分類方式，如ISO/IEC13335-3，德國的《IT基線保護手冊》、OCTAVE等。一般地。根據(jù)威脅來源，威脅可分為環(huán)境威脅和人為威脅，其中環(huán)境威脅包括自然界不可抗力威脅和其他物理因素威脅；人為威脅包括惡意和非惡意兩種類型。在威脅賦值方面，可以對威脅出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低；等級數(shù)值越大，威脅出現(xiàn)的頻率越高。業(yè)務(wù)識別在形成威脅出現(xiàn)頻率的評估中，一般需要考慮如下因素∶（1）以往安全事件報告中出現(xiàn)過的威脅、威脅的頻率、破壞力的統(tǒng)計。（2）實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計。（3）近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅出現(xiàn)頻率及其破壞力的統(tǒng)計。風險評估流程該階段主要完成脆弱點識別、脆弱點賦值兩個方面的內(nèi)容。脆弱點識別脆弱點識別在脆弱點識別方面，主要針對每一項需要保護的資產(chǎn)。找出可能被威脅利用的弱點，并對脆弱點的嚴重程度進行評估。主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱點涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱點又可分為技術(shù)管理脆弱點和組織管理脆弱點兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。在脆弱點賦值方面，一般是對脆弱點被利用后對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、脆弱點流行程度進行評估，然后以定性等級劃分形式，綜合給出脆弱點的嚴重程度。風險評估流程本階段通過對當前信息系統(tǒng)所采用的安全措施進行標識，有助于對當前信息系統(tǒng)面臨的風險進行分析；同時分析其預期功能和有效性，能避免不必要地工作和費用，防止安全措施的重復實施。安全措施一般可分為預防性安全措施和保護性安全措施兩種。已有安全措施的確認已有安全措施的確認預防性安全措施可以降低威脅利用脆弱點導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)保護性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。風險評估流程該階段主要完成風險計算、風險處理計劃、殘余風險評估三個方面的內(nèi)容。風險分析風險分析在風險處理計劃方面，主要完成對不可接受的風險的處理工作。風險處理計劃中應明確采取的彌補脆弱點的安全措施、預期效果、實施條件、進度安排、責任部門等。殘余風險是否降低到可以接受的水平。若仍然不滿足風險水平的要求，則需要進一步調(diào)整風險處理計劃，增加相應的安全措施。在風險計算方面，主要通過對威脅的賦值和脆弱性被利用的難易程度決定安全事件發(fā)生的可能性，脆弱性的影響程度和資產(chǎn)價值決定安全事件造成的損失對組織的影響，即得到安全風險值。風險分析計算安全風險值，具體過程如下圖。其中R為風險函數(shù);A，T，V分別表示資產(chǎn)、威脅和脆弱點;I表示安全事件所作用的資產(chǎn)價值；V表示脆弱點等級大??；L表示威脅利用資產(chǎn)的脆弱點而導致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。一般地，安全風險可形式化表達為∶風險評估流程該階段主要記錄在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括：風險評價計劃、風險評估程序、資產(chǎn)識別清單、重要資產(chǎn)清單、威脅列表、脆弱點列表、已有安全措施確認表、風險評估報告、風險處理計劃和風險評估記錄。風險評估文檔記錄信息安全風險評估方法與工具04信息安全風險評估方法02定量的評估方法定量分析方法是基于定性分析方法的，用數(shù)學的方法分析處理已經(jīng)量化的各項指標，得出系統(tǒng)安全風險的量化評估結(jié)果。01定性的評估方法定性的評估分析方法是一種采用比較廣泛的模糊分析方法。定性分析方法的優(yōu)點操作簡單易行并且容易理解和實施；不易產(chǎn)生不同的意見，并且能夠較方便地對風險程度大小進行排序；定性分析方法的缺點對有些重要風險級別區(qū)分度欠缺，分析結(jié)果容易偏向主觀性。0102定性的評估方法定性分析方法定性分析方法很多包括小組過論、調(diào)查、人員訪談、問卷和檢查列表等。主觀評分法是憑借專家的經(jīng)驗等，根據(jù)評價標準，讓專家判斷可能產(chǎn)生的每個風險并賦予其權(quán)重值，這里我們用“0”表示沒有風險，“10”代表風險很大，“0～10之間的數(shù)字”表示風險程度依次加大；然后把全部風險的權(quán)重加起來計算出整體風險水平，最后與風險評估標準進行比較。主觀評分法定性分析方法故障樹分析法主要應用遵循從結(jié)果找到原因的原則，將風險形成的原因由總體到部分按樹枝形狀逐級細化，分析項目風險及其產(chǎn)生原因之間的因果關(guān)系，即在前期預測和識別各種潛在風險因素的基礎(chǔ)上，運用邏輯推理的方法，沿著風險產(chǎn)生的路徑，求出風險發(fā)生的概率，并能提供各種控制風險因素的方案。故障樹分析法定量分析方法010203決策樹法層次分析法模糊綜合評價法定量分析方法是基于定性分析方法的，用數(shù)學的方法分析處理已經(jīng)量化的各項指標，得出系統(tǒng)安全風險的量化評估結(jié)果。其思想是對構(gòu)成風險的各個要素和潛在損失的水平賦以數(shù)值，進而來量化風險評估的整個過程和結(jié)果。定量分析方法決策樹法是一種直觀運用概率分析的圖解法。如果已知各種情況的發(fā)生概率，就可以通過構(gòu)成決策樹求取凈現(xiàn)值的期望值的概率，以此評價項目風險并判斷其可行性的決策分析方法。決策樹方法因其形象化、清晰有效和特有的結(jié)構(gòu)模型的特點非常利于項目執(zhí)行人員進行集體分析和探討。決策樹法定量分析方法模糊評價法是對模糊系統(tǒng)進行分析的基本方法之一，多用于目標決策。對在評估過程中所帶有主觀性的問題以及客觀遇到的模糊現(xiàn)象；模糊評價都可以進行有效地處理。模糊評價是在模糊條件下，考慮多種因素影響，為了某一目的而對事物作出決策的一種綜合決策方法。模糊綜合評價法是利用模糊數(shù)學中的模糊變換原理和最大隸屬度原則對被評價事物相關(guān)的各個因素作出的綜合評價。該評價方法著眼于各個相關(guān)因素。模糊評價法定量分析方法層次分析法是一種有效簡便靈活處理不易定量化而又實用的一種定向與定量相結(jié)合的、層次化的多準則決策方法。層次分析法的核心是將負責的問題進行層次化，將原問題簡單化并在層次基礎(chǔ)上進行分析；它把決策者的主觀判斷量化，以數(shù)量形式進行表達和處理，通過定量形式的數(shù)據(jù)將定性和定量分析相結(jié)合從而幫助決策者進行決策。層次分析法信息安全風險評估工具風險評估工具是隨著人們在對信息安全風險評估不斷認識以及對評估過程不斷完善的過程中逐漸發(fā)展的。目前風險評估過程常用的是一些專用的自動化的風險評估工具，無論是商用的還是免費的，此類工具都可以有效地通過輸入數(shù)據(jù)來分析風險，最終給出對風險的評價并推薦相應的安全措施。信息安全風險評估工具的比較這五種著名的自動化評估工具從發(fā)布的體系結(jié)構(gòu)、評估所采用的方法、風險分析計算的方法等幾個方面來看，具有共同點也有其自身的特點。（1）從體系結(jié)構(gòu)來看，這些工具具有一定的共同點，大都是單機版，只有COBRA采用了C/S模式，采用這種模式可以將數(shù)據(jù)庫和客戶端進行分離，保證了系統(tǒng)的可維護性，實踐中只要不斷豐富完善數(shù)據(jù)庫就可以對工具進行更新。（2）評估方法和數(shù)據(jù)采集方式的使用是具有相關(guān)性的，RA和CRAMM是使用傳統(tǒng)的過程式算