风险评估方法介绍.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,风险评估与管理,风险,风险管理（Risk Management）,就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，,风险（Risk）,就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性,。,风险评估,风险管理,风险评估（Risk Assessment）,就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,1,风险评估与管理,风险评估和管理的目标,低影响,高可能性,高影响,高可能性,高影响,低可能性,低影响,低可能性,威胁带来的影响,威胁发生的可能性,目标,采取有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险消减到可接受的水平。,2,风险,RISK,RISK,RISK,RISK,风险,基本的风险,采取措施后剩余的风险,资产,威胁,漏洞,资产,威胁,漏洞,风险评估与管理,风险管理目标更形象的描述,3,绝对的零风险是不存在的，要想实现零风险，也是不现实的；,计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的！,在计算机安全领域有一句格言：“,真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。,”,显然，这样的计算机是无法使用的。,风险评估与管理,4,关键是实现成本利益的平衡,安全控制的成本,安全事件的损失,最小化的总成本,低,高,高,安全成本/损失,所提供的安全水平,风险评估与管理,5,与风险管理相关的概念,资产（,Asset,）,任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。,威胁（,Threat,）,可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（,Threat source,）或威胁代理（,Threat agent,）。,弱点（,Vulnerability,）,也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。,风险（,Risk,）,特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。,可能性（,Likelihood,）,对威胁发生几率（,Probability,）或频率（,Frequency,）的定性描述。,影响（,Impact,）,后果（,Consequence,），意外事件发生给组织带来的直接或间接的损失或伤害。,安全措施（,Safeguard,）,控制措施（,control,）或对策（,countermeasure,），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。,残留风险（,Residual Risk,）,在实施安全措施之后仍然存在的风险。,风险评估与管理,6,风险管理概念的公式化描述,Risk,=,Asset Value,Threat,Vulnerability,Residual Risk,=,Asset Value,Threat,Vulnerability,Control Gap,（,）,风险评估与管理,8,风险评估与管理,风险管理过程,识别并评价资产,识别并评估威胁,识别并评估弱点,现有控制确认,评估风险（测量与等级划分）,接受,保持现有控制,选择控制目标和控制方式,制定/修订适用性声明,实施选定的控制,Yes,No,确认并评估残留风险,定期评估,风险评估,风险消减,风险接受,风险管理,9,风险评估与管理,定量与定性风险评估方法,定性风险分析,优点,计算方式简单，易于理解和执行,不必精确算出资产价值和威胁频率,不必精确计算推荐的安全措施的成本,流程和报告形式比较有弹性,缺点,本质上是非常主观的，其结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果,对关键资产财务价值评估参考性较低,并不能为安全措施的成本效益分析提供客观依据,定量风险分析,优点,评估结果是建立在独立客观地程序或量化指标之上的,可以为成本效益审核提供精确依据，有利于预算决策,量化的资产价值和预期损失易理解,可利用自动化工具帮助分析,缺点,信息量大，计算量大，方法复杂,没有一种标准化的知识库，依赖于提供工具或实施调查的厂商,投入大，费时费力,定量风险评估,：,试图从数字上对安全风险进行分析评估的一种方法。,定性风险评估,：,凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或,高低程度定性分级。,10,信息资产是我们要保护的对象！,风险评估与管理,11,识别信息资产,对资产进行保护是信息安全和风险管理的首要目标。,划入风险评估范围和边界的每项资产都应该被识别和评价。,应该清楚识别每项资产的拥有者、保管者和使用者。,组织应该建立资产清单，可以根据业务流程来识别信息资产。,信息资产的存在形式有多种，物理的、逻辑的、无形的。,数据信息,：存在于电子媒介中的各种数据和资料，包括源代码、数据库、数据文件、系统文件等,书面文件,：合同，策略方针，企业文件，重要商业结果,软件资产,：应用软件，系统软件，开发工具，公用程序,实物资产,：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所,人员,：承担特定职能和责任的人员,服务,：计算和通信服务，其他技术性服务，例如供暖、照明、水电、,UPS,等,组织形象与声誉,：企业形象，客户关系等，属于无形资产,风险评估与管理,12,信息资产的属性-CIA属性,13,CIA属性机密性,等级,保密性,Confidentiality,一般资产,人员,Very High,4,Top Secret,绝密,最高敏感性的数据文件、信息处理设施和系统资源，仅能被极少数人知道。一旦泄漏会给公司带来特别严重的损害后果,可以接触/存取各个级别的信息,High,3,Secret,机密,重要的信息、信息处理设施和系统资源，只能给少数必须知道者（特定的任务群体）。一旦泄漏会对公司造成严重的损害,可以接触/存取最高到机密级的信息,Middle,2,Confidential,秘密,一般性的公司秘密，泄漏后会给公司造成一定的损害,可以接触/存取公司一般性的秘密信息和内部公开信息,Low,1,Internal Use Only,内部公开,并非敏感信息，主要限于公司内部使用。一旦泄漏，并不会对公司造成显著的影响,可以接触/存取内部公开的信息,14,CIA属性完整性,等级,完整性,Integrity,一般资产,人员,Very High,4,未经授权的破坏或更改将会对信息系统有非常重大的影响，可能导致严重的业务中断,如果该人员未正确执行其职务内容，将造成公司级业务运作效率大大降低或停顿,High,3,未经授权的破坏或更改对信息系统有重大影响，而且（或者）对业务造成严重冲击,如果该人员未正确执行其职务内容，将造成单位/部门之业务运作效率降低或停顿,Middle,2,未经授权的破坏或更改会对信息系统造成一定的影响，而且（或者）给业务带来明显冲击,如果该人员未正确执行其职务内容，将造成相关工作任务效率降低或停顿,Low,1,未经授权的破坏或更改不会对信息系统有重大影响，也不会对业务有明显冲击,如果该人员未正确执行其职务内容，不会对业务运作造成影响,15,CIA属性可用性,等级,可用性,Availability,一般资产,人员,Very High,4,合法使用者对信息系统及信息的存取可用度达到年度每天99.9%以上（7*24）,如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过1天，否则会对公司级业务造成影响,High,3,合法使用者对信息系统及信息的存取可用度达到每天95%以上（7*24）,如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过3天,Middle,2,合法使用者对信息系统及信息的存取可用度在正常上班时间达到100%（5*8）,如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过3天，但不能超过10天,Low,1,合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上（5*8）,如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过10天,16,关键活动,Owner,Input,Output,度量,改进？,资源,规范,记录,ISMS范围,生产管理,生产,仓库,物流,技术开发,销售/市场,通过业务流程的分析来识别资产,风险评估与管理,17,信息资产登记表图例,风险评估与管理,18,资产评价时应该考虑：,信息资产因为受损而对业务造成的直接损失；,信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；,信息资产受损对其他部门的业务造成的影响；,组织在公众形象和名誉上的损失；,因为业务受损导致竞争优势降级而引发的间接损失；,其他损失，例如保险费用的增加。,定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。,可以根据资产的重要性（影响或后果）来为资产划分等级。,应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。,评价信息资产,风险评估与管理,19,练习1：识别并评价信息资产,以我们现在的培训环境和培训活动（业务）为风险评估的范围,请举出5种信息资产的例子,描述这些信息资产对你组织的价值,风险评估与管理,20,高（4）：非常重要，缺了这个资产（CIA的丧失），业务活动将中断并且遭受不可挽回的损失,中（3）：比较重要，缺了这个资产（CIA的丧失或受损），业务活动将被迫延缓，造成明显损失,低（2）：不太重要，缺了这个资产，业务活动基本上影响不大,很低(1):不重要，缺了这个资产，业务活动基本上影响很低,练习1续：资产重要性等级标准,风险评估与管理,21,风险评估与管理,资产名称,价值（重要性）,C,I,A,22,风险评估过程与方法(2)-弱点和威胁查找,23,我们的信息资产面临诸多外在威胁,信息资产,拒绝服务,逻辑炸弹,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统Bug,硬件故障,网络通信故障,供电中断,失火,雷雨,地震,风险评估与管理,24,识别并评估威胁,风险评估与管理,识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。,识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，,Threat Agent,）。,威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）：,人员威胁,：故意破坏和无意失误,系统威胁,：系统、网络或服务出现的故障,环境威胁,：电源故障、污染、液体泄漏、火灾等,自然威胁,：洪水、地震、台风、雷电等,威胁对资产的侵害，表现在,CIA,某方面或者多个方面的受损上。,对威胁的评估，主要考虑其发生的可能性。评估威胁可能性时要考虑威胁源的动机（,Motivation,）和能力（,Capability,）这两个因素，可以用“高”、“中”、“低”三级来衡量，但更多时候是和弱点结合起来考虑。,25,威胁评估表图例,风险评估与管理,26,对威胁来源的定位，其实是综合了人为因素和系统自身逻辑与物理上诸多因素在一起的，但归根结底，还是人在起着决定性的作用，无论是系统自身的缺陷，还是配置管理上的不善，都是因为人的参与（访问操作或攻击破坏），才给网络的安全带来了种种隐患和威胁。,Internet,DMZ,远程办公,恶意者,商业伙伴,Extranet,供应商,HR,R&D,Finance,Marketing,外部人员威胁,内部人员威胁,其他人员的威胁,Intranet,人是最关键的威胁因素,风险评估与管理,27,威胁不仅仅来自公司外部,黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害,据权威部门统计，内部人员犯罪（或于内部人员有关的犯罪）占到了计算机犯罪总量的,70%,以上,员工误操作,蓄意破坏,公司资源私用,风险评估与管理,28,练习2：识别并评价威胁,针对刚才列举的5项信息资产，分别指出各自面临的最突出的威胁？,单就威胁本身来说，其存在的可能性有多大(先不考虑现有的控制措施，也不考虑资产的弱点）？,风险评估与管理,29,练习2续：威胁可能性等级标准,风险评估与管理,等级,可能性取值,可能性描述（威胁发生的频率）,Very High,4,每月发生一次或更多,High,3,每个季度发生一次,Middle,2,每半年发生一次,Low,1,每年发生一次或更少,30,风险评估与管理,资产名称,价值（重要性）,威胁,威胁值,C,I,A,31,一个巴掌拍不响！,外因是条件,内因才是根本！,风险评估与管理,32,识别并评估弱点,风险评估与管理,针对每一项需要保护的资产，找到可被威胁利用的弱点，包括：,技术性弱点,：系统、程序、设备中存在的漏洞或缺陷。,操作性弱点,：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。,管理性弱点,：策略、程序、规章制度、人员意识、组织结构等方面的不足。,弱点的识别途径：,审计报告、事件报告、安全检查报告、系统测试和评估报告,专业机构发布的漏洞信息,自动化的漏洞扫描工具和渗透测试,对弱点的评估需要结合威胁因素，主要考虑其严重程度（,Severity,）或暴露程度（,Exposure,，即被利用的容易度），也可以用“高”、“中”、“低”三级来衡量。,如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损害。,33,信息系统存在诸多危及安全的漏洞,风险评估与管理,摘自CERT/CC的统计报告 2003年12月,34,人最常犯的一些错误,将口令写在便签上，贴在电脑监视器旁,开着电脑离开，就像离开家却忘记关灯那样,轻易相信来自陌生人的邮件，好奇打开邮件附件,使用容易猜测的口令，或者根本不设口令,丢失笔记本电脑,不能保守秘密，口无遮拦，泄漏敏感信息,随便在服务器上接,Modem,，或者随意将服务器连入网络,事不关己，高高挂起，不报告安全事件,在系统更新和安装补丁上总是行动迟缓,只关注外来的威胁，忽视企业内部人员的问题,风险评估与管理,35,资产,威胁A,来源A1,来源A2,威胁B,来源B1,来源B2,弱点A1,弱点A2,弱点B1,弱点B2,资产、威胁和弱点的关系,弱点,威胁,影响的资产,没有逻辑访问控制,蓄意破坏软件,软件，信誉,窃取软件,数据完整性，信誉,没有应急计划,火灾、飓风、地震、水灾、恐怖攻击,设施、硬件、存储介质、数据可用性、软件、信誉,窃取软件,数据完整性，信誉,风险评估与管理,36,练习3(1)：识别并评价弱点,考虑到面临的威胁，找到每一项资产可能存在并被威胁利用的弱点？只选择最明显并最严重的。,评价该弱点的严重性,风险评估与管理,37,练习3（2）：弱点严重性等级标准,风险评估与管理,等级,严重性取值,严重性描述（弱点一旦被利用可能对资产造成的冲击）,Very High,4,弱点一旦被威胁利用，会造成存在此弱点的信息资产：立即停止为相关业务提供服务，半天内无法恢复 或者完全被威胁源所控制，使该资产完全不可信 或者完全泄密,High,3,弱点一旦被威胁利用，会造成存在此弱点的信息资产：立即停止为相关业务提供服务，但半天内可以恢复 或者被威胁源获得部分控制权，基本上不可信 或者大部分泄密,Middle,2,弱点一旦被威胁利用，会造成存在此弱点的信息资产：降低为相关业务提供服务的效率，但服务仍可继续 或者基本上还可信，只是在控制上不大便利 或者小部分泄密,Low,1,弱点一旦被威胁利用，会造成存在此弱点的信息资产：对继续为相关业务提供服务没有影响 仍然可信 不会泄密,38,风险评估与管理,资产名称,价值（重要性）,威胁,威胁值,弱点,弱点值,C,I,A,39,风险评估过程与方法(3)-风险评价和控制措施制定,40,风险评价,风险评估与管理,确定风险的等级，有两个关键因素要考虑（定性风险评估）：,威胁对信息资产造成的,影响,（后果）,威胁发生的,可能性,影响可以通过资产的价值（重要性）评估来确定。,可能性可以根据对威胁因素和弱点因素的综合考虑来确定。,最终通过风险评估矩阵或者直接的简单运算得出风险水平。,威胁可能性,1,2,3,4,弱点严重性,1,2,3,4,1,2,3,4,1,2,3,4,1,2,3,4,资产价值,1,1,2,3,4,2,4,6,8,3,6,9,12,4,8,12,16,2,2,4,6,8,4,8,12,16,6,12,18,24,8,16,24,32,3,3,6,9,12,6,12,18,24,9,18,27,36,12,24,36,48,4,4,8,12,16,8,16,24,32,12,24,36,48,16,32,48,64,Risk Level,Risk Value,Very High,48，64,High,24，27，32，36,Medium,9,12，16，18,Low,1，2，3，4，6，8,41,风险场景：,一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。,确定风险因子：,资产为,2,，弱点值为,3,，威胁值为,3,评估风险：,套用风险分析矩阵，该风险被定为高风险（,18,）,应对风险：,根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。,风险评价示例,风险评估与管理,威胁可能性,1,2,3,4,弱点严重性,1,2,3,4,1,2,3,4,1,2,3,4,1,2,3,4,资产价值,1,1,2,3,4,2,4,6,8,3,6,9,12,4,8,12,16,2,2,4,6,8,4,8,12,16,6,12,18,24,8,16,24,32,3,3,6,9,12,6,12,18,24,9,18,27,36,12,24,36,48,4,4,8,12,16,8,16,24,32,12,24,36,48,16,32,48,64,42,练习4：进行风险评估,资产、威胁、弱点，构成一个风险场景,从资产价值去考虑影响因素,从威胁和弱点去考虑可能性因素,用风险评估矩阵评估风险,风险评估与管理,43,练习4续：风险评估矩阵,风险评估与管理,威胁可能性,1,2,3,4,弱点严重性,1,2,3,4,1,2,3,4,1,2,3,4,1,2,3,4,资产价值,1,1,2,3,4,2,4,6,8,3,6,9,12,4,8,12,16,2,2,4,6,8,4,8,12,16,6,12,18,24,8,16,24,32,3,3,6,9,12,6,12,18,24,9,18,27,36,12,24,36,48,4,4,8,12,16,8,16,24,32,12,24,36,48,16,32,48,64,44,风险评估与管理,资产名称,价值（重要性）,威胁,威胁值,弱点,弱点值,风险值,C,I,A,45,风险评估与管理,从针对性和实施方式来看，控制措施包括三类：,管理性（,Administrative,）,：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。,操作性（,Operational,）,：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。,技术性（,Technical,）,：身份识别与认证、逻辑访问控制、日志审计、加密等。,从功能来看，控制措施类型包括：,威慑性（,Deterrent,）,预防性（,Preventive,）,检测性（,Detective,）,纠正性（,Corrective,）,对于现有的控制措施，可以,取消、替换或保持。,威胁,弱点,威胁事件,防止,威慑性控制,影响,利用,引发,造成,保护,发现,减小,预防性控制,检测性控制,纠正性控制,识别现有的控制措施,46,练习5：识别现有的控制措施,之前我们识别并评价的风险，是否存在相关的控制措施？各属于什么类型？,风险评估与管理,47,确定风险消减策略,降低风险（,Reduce Risk,）,实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：,减少威胁：,例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。,减少弱点：,例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。,降低影响：,例如，制定灾难恢复计划和业务连续性计划，做好备份。,规避风险（,Avoid Risk,）,或者,Rejecting Risk,。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。,转嫁风险（,Transfer Risk,）,也称作,Risk Assignment,。将风险全部或者部分地转移到其他责任方，例如购买商业保险。,接受风险（,Accept Risk,）,在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。,风险评估与管理,48,风险评估与管理,选择控制措施,依据风险评估的结果来选择安全控制措施。,选择安全措施（对策）时需要进行成本效益分析（,cost/benefit analysis,）：,基本原则：实施安全措施的代价不应该大于所要保护资产的价值,控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等,控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失,除了成本效益，还应该考虑：,控制的易用性,对用户的透明度,控制自身的强度,控制的功能类型（预防、威慑、检测、纠正）,可以从,BS 7799,规定的控制目标范围中选择控制。,确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。,49,评价残留风险,绝对安全（即零风险）是不可能的。,实施安全控制后会有残留风险或残存风险（,Residual Risk,）。,为了确保信息安全，应该确保残留风险在可接受的范围内：,残留风险,Rr,原有的风险,R0,控制,R,残留风险,Rr,可接受的风险,Rt,对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,风险评估与管理,50,风险场景：,一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。,实施控制之前：,后果为,2,，威胁值是,3,，弱点值为,3,，风险为,18,。,实施控制之后：,后果为,2,，威胁值降为,2,，弱点值降为,1,，残留风险为,4,（低风险）。,应对残留风险：,残留风险在可接受范围内，说明控制措施的应用是成功的。,风险评估与管理,残留风险示例,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响/资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,51,练习6：选择控制，评价残留风险,首先，要确定一个风险接受的标准,针对之前识别出来的风险，选择最合适的控制措施,评价实施控制措施之后的残留风险,风险评估与管理,52,练习6续：风险评估矩阵,风险评估与管理,风险可能性,威胁值,1,2,3,弱点值,1,2,3,1,2,3,1,2,3,风险影响/资产价值,1,1,2,3,2,4,6,3,6,9,2,2,4,6,4,8,12,6,12,18,3,3,6,9,6,12,18,9,18,27,53,风险评估与管理,资产名称,价值,威胁,弱点,风险处理前,控制措施,风险处理后,C,I,A,威胁值,弱点值,风险值,威胁值,弱点值,风险值,风险接受水平：_,54,风险评估与管理,接下来。,制定风险处理计划：控制实施人员、时间、实施效果复查计划,编写配套的指导文件：信息安全策略和程序文件、作业指导书和记录等,按照计划实施,Review,和内部审核，检查控制实施效果,如果发生重大变化，或者按照既定计划，重新再做一次风险评估，找到新的风险点,55,56,Q&A,?,57,