风险评估方法介绍课件.ppt

1、12风险评估与管理 。3风险评估与管理低影响高可能性高影响低可能性低影响低可能性目标目标4风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的风险基本的风险采取措施后剩余的风险采取措施后剩余的风险漏洞漏洞风险评估与管理5u 绝对的零风险是不存在的，要想实现零风险，也是不现实的；u 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。在计算机安全领域有一句格言：“真正安真正安全的计算机是拔下网线，断掉电源，放置在地全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满

2、毒气，在下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。风险评估与管理6低低高高高高安全成本安全成本/损损失失所提供的安全水平所提供的安全水平风险评估与管理7u 资产（资产（Asset）任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。u 威胁（威胁（Threat）可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。u 弱点（弱点（Vulnerability）

3、也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。u 风险（风险（Risk）特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。u 可能性（可能性（Likelihood）对威胁发生几率（Probability）或频率（Frequency）的定性描述。u 影响（影响（Impact）后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。u 安全措施（安全措施（Safeguard）控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法

4、和措施。u 残留风险（残留风险（Residual Risk）在实施安全措施之后仍然存在的风险。风险评估与管理8防范防范采取采取提出提出减少减少利用利用导致导致导致导致暴露暴露增加增加具有具有风险评估与管理9Risk=Asset ValueThreatVulnerabilityResidual Risk=Asset ValueThreatVulnerabilityControl Gap（）风险评估与管理10风险评估与管理识别并评价资产识别并评估威胁识别并评估弱点现有控制确认评估风险（测量与等级划分）接受保持现有控制选择控制目标和控制方式制定/修订适用性声明实施选定的控制YesNo确认并评估残留风

5、险定期评估风险评估风险评估风险消减风险消减风险接受风险接受风险管理风险管理11风险评估与管理定性风险分析定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析定量风险分析优点评估结果是建立在独立客观地程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点信息量大，计算量大，方法复

6、杂没有一种标准化的知识库，依赖于提供工具或实施调查的厂商投入大，费时费力定量风险评估定量风险评估：试图从数字上对安全风险进行分析评估的一种方法。定性风险评估定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或 高低程度定性分级。12风险评估与管理13u 对资产进行保护是信息安全和风险管理的首要目标。u 划入风险评估范围和边界的每项资产都应该被识别和评价。u 应该清楚识别每项资产的拥有者、保管者和使用者。u 组织应该建立资产清单，可以根据业务流程来识别信息资产。u 信息资产的存在形式有多种，物理的、逻辑的、无形的。数据信息数据信息：存在于电子媒介中的各种数据和资料

7、，包括源代码、数据库、数据文件、系统文件等 书面文件书面文件：合同，策略方针，企业文件，重要商业结果 软件资产软件资产：应用软件，系统软件，开发工具，公用程序 实物资产实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所 人员人员：承担特定职能和责任的人员 服务服务：计算和通信服务，其他技术性服务，例如供暖、照明、水电、UPS等 组织形象与声誉组织形象与声誉：企业形象，客户关系等，属于无形资产风险评估与管理14信息资产的属性信息资产的属性-CIA属性属性15CIA属性属性机密性机密性等级保密性保密性Confidentiality一般资产一般资产人员人员Very High4To

8、p Secret 绝密最高敏感性的数据文件、信息处理设施和系统资源，仅能被极少数人知道。一旦泄漏会给公司带来特别严重的损害后果可以接触/存取各个级别的信息High3Secret机密重要的信息、信息处理设施和系统资源，只能给少数必须知道者（特定的任务群体）。一旦泄漏会对公司造成严重的损害可以接触/存取最高到机密级的信息Middle2Confidential秘密一般性的公司秘密，泄漏后会给公司造成一定的损害可以接触/存取公司一般性的秘密信息和内部公开信息Low1Internal Use Only内部公开并非敏感信息，主要限于公司内部使用。一旦泄漏，并不会对公司造成显著的影响可以接触/存取内部公开的

9、信息16CIA属性属性完整性完整性等级完整性完整性Integrity一般资产一般资产人员人员Very High4未经授权的破坏或更改将会对信息系统有非常重大的影响，可能导致严重的业务中断如果该人员未正确执行其职务内容，将造成公司级业务运作效率大大降低或停顿High3未经授权的破坏或更改对信息系统有重大影响，而且（或者）对业务造成严重冲击如果该人员未正确执行其职务内容，将造成单位/部门之业务运作效率降低或停顿Middle2未经授权的破坏或更改会对信息系统造成一定的影响，而且（或者）给业务带来明显冲击如果该人员未正确执行其职务内容，将造成相关工作任务效率降低或停顿Low1未经授权的破坏或更改不会对

10、信息系统有重大影响，也不会对业务有明显冲击如果该人员未正确执行其职务内容，不会对业务运作造成影响17CIA属性属性可用性可用性等级可用性可用性Availability一般资产一般资产人员人员Very High4合法使用者对信息系统及信息的存取可用度达到年度每天99.9%以上（7*24）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过1天，否则会对公司级业务造成影响High3合法使用者对信息系统及信息的存取可用度达到每天95%以上（7*24）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过3天Middle2合法使用者对信息系统及信息的存取可用度在正常上班时间达到1

11、00%（5*8）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过3天，但不能超过10天Low1合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上（5*8）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过10天18风险评估与管理19风险评估与管理20u 资产评价时应该考虑：信息资产因为受损而对业务造成的直接损失；信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；信息资产受损对其他部门的业务造成的影响；组织在公众形象和名誉上的损失；因为业务受损导致竞争优势降级而引发的间接损失；其他损失，例如保险费用的增加。u 定性分析时，我们关心的

12、是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。u 可以根据资产的重要性（影响或后果）来为资产划分等级。u 应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。风险评估与管理21风险评估与管理22风险评估与管理23风险评估与管理资产名称资产名称价值（重要性）价值（重要性）CIA2425 拒绝服务拒绝服务逻辑炸弹逻辑炸弹黑客渗透黑客渗透内部人员威胁内部人员威胁木马后门木马后门病毒和蠕虫病毒和蠕虫社会工程社会工程系统系统BugBug硬件故障硬件故障网络通信故障网络通信故障供电中断供电中断失火失火雷雨雷雨地震地震风险评估与管理26风险评估与管理u 识别每项（类）

13、资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。u 识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。u 威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）：人员威胁人员威胁：故意破坏和无意失误 系统威胁系统威胁：系统、网络或服务出现的故障 环境威胁环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁自然威胁：洪水、地震、台风、雷电等u 威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。u 对威胁的评估，主要考虑其发生的可能性。评估威胁可能性时要考虑威胁源的动机（Motivation）和能力（Capab

14、ility）这两个因素，可以用“高”、“中”、“低”三级来衡量，但更多时候是和弱点结合起来考虑。27风险评估与管理28InternetDMZ远程办公远程办公恶意者恶意者商业伙伴商业伙伴Extranet供应商供应商HRR&DFinanceMarketing外部人员威胁外部人员威胁内部人员威胁内部人员威胁其他人员的威胁其他人员的威胁Intranet风险评估与管理29员工误操作员工误操作蓄意破坏蓄意破坏公司资源私用公司资源私用风险评估与管理30风险评估与管理31风险评估与管理等级等级可能性可能性取值取值可能性描述（威胁发生的频率）可能性描述（威胁发生的频率）Very High4每月发生一次或更多Hi

15、gh3每个季度发生一次Middle2每半年发生一次Low1每年发生一次或更少32风险评估与管理资产资产名称名称价值（重要性）价值（重要性）威胁威胁威胁值威胁值CIA33一个巴掌拍不响！一个巴掌拍不响！外因是条件外因是条件 内因才是根本！内因才是根本！风险评估与管理34风险评估与管理u 针对每一项需要保护的资产，找到可被威胁利用的弱点，包括：技术性弱点技术性弱点：系统、程序、设备中存在的漏洞或缺陷。操作性弱点操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。管理性弱点管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。u 弱点的识别途径：审计报告、事件报

16、告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试u 对弱点的评估需要结合威胁因素，主要考虑其严重程度（Severity）或暴露程度（Exposure，即被利用的容易度），也可以用“高”、“中”、“低”三级来衡量。u 如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损害。35风险评估与管理36风险评估与管理37资产资产威胁威胁A来源来源A1来源来源A2威胁威胁B来源来源B1来源来源B2弱点弱点A1弱点弱点A2弱点弱点B1弱点弱点B2弱点弱点威胁威胁影响的资产影响的资产没有逻辑访问控制蓄意破坏软件软件，信誉窃取软件数据完整性，信

17、誉没有应急计划火灾、飓风、地震、水灾、恐怖攻击设施、硬件、存储介质、数据可用性、软件、信誉窃取软件数据完整性，信誉风险评估与管理38风险评估与管理39风险评估与管理等级等级严重性取严重性取值值严重性描述（弱点一旦被利用可能对资产造成的冲击）严重性描述（弱点一旦被利用可能对资产造成的冲击）Very High4弱点一旦被威胁利用，会造成存在此弱点的信息资产：立即停止为相关业务提供服务，半天内无法恢复 或者完全被威胁源所控制，使该资产完全不可信 或者完全泄密High3弱点一旦被威胁利用，会造成存在此弱点的信息资产：立即停止为相关业务提供服务，但半天内可以恢复 或者被威胁源获得部分控制权，基本上不可信

18、 或者大部分泄密Middle2弱点一旦被威胁利用，会造成存在此弱点的信息资产：降低为相关业务提供服务的效率，但服务仍可继续 或者基本上还可信，只是在控制上不大便利 或者小部分泄密Low1弱点一旦被威胁利用，会造成存在此弱点的信息资产：对继续为相关业务提供服务没有影响 仍然可信 不会泄密40风险评估与管理资产资产名称名称价值（重要性）价值（重要性）威胁威胁威胁威胁值值弱点弱点弱点弱点值值CIA4142风险评估与管理u 确定风险的等级，有两个关键因素要考虑（定性风险评估）：威胁对信息资产造成的影响影响（后果）威胁发生的可能性可能性u 影响可以通过资产的价值（重要性）评估来确定。u 可能性可以根据对

19、威胁因素和弱点因素的综合考虑来确定。u 最终通过风险评估矩阵或者直接的简单运算得出风险水平。威胁可能性1234弱点严重性1234123412341234资产价值1123424683691248121622468481216612182481624323369126121824918273612243648Risk LevelRisk LevelRisk ValueRisk ValueVery HighVery High48，64HighHigh24，27，32，36MediumMedium9,12，16，18LowLow1，2，3，4，6，843u 风险场景：一个个人经济上存在问题的公司职员（

20、公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。u 确定风险因子：资产为2，弱点值为3，威胁值为3u 评估风险：套用风险分析矩阵，该风险被定为高风险（18）u 应对风险：根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。风险评估与管理威胁可能性1234弱点严重性1234123412341234资产价值112342468369124812162246848121661218248162432336912612182491827361224364844812168162432122436481632486444风险评估与管理45风险

21、评估与管理威胁可能性1234弱点严重性1234123412341234资产价值112342468369124812162246848121661218248162432336912612182491827361224364844812168162432122436481632486446风险评估与管理资产名称资产名称价值（重要性）价值（重要性）威胁威胁威胁值威胁值弱点弱点弱点值弱点值风险风险值值CIA47风险评估与管理u 从针对性和实施方式来看，控制措施包括三类：管理性（管理性（Administrative）：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、

22、系统生命周期管理等。操作性（操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性（技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。u 从功能来看，控制措施类型包括：威慑性（威慑性（Deterrent）预防性（预防性（Preventive）检测性（检测性（Detective）纠正性（纠正性（Corrective）u 对于现有的控制措施，可以 取消、替换或保持。威胁威胁弱点弱点威胁事件威胁事件防止威慑性控制威慑性控制影响影响利用引发造成保护发现减小预防性控制预防性控制

23、检测性控制检测性控制纠正性控制纠正性控制48风险评估与管理49u 降低风险（降低风险（Reduce Risk）实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：减少威胁：减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。减少弱点：减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。降低影响：降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。u 规避风险（规避风险（Avoid Risk）或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，

24、将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。u 转嫁风险（转嫁风险（Transfer Risk）也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。u 接受风险（接受风险（Accept Risk）在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。风险评估与管理50风险评估与管理u 依据风险评估的结果来选择安全控制措施。u 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）：基本原则：实施安全措施的代价不应该大于所要保护资产的价值 控制成本：购买费用，对业务效率的影响，额

25、外人力物力，培训费用，维护费用等 控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失 u 除了成本效益，还应该考虑：控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正）u 可以从BS 7799规定的控制目标范围中选择控制。u 确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。51u 绝对安全（即零风险）是不可能的。u 实施安全控制后会有残留风险或残存风险（Residual Risk）。u 为了确保信息安全，应该确保残留风险在可接受的范围内：残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rtu 对残留风险进行确认和评

26、价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。风险评估与管理52u 风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。u 实施控制之前：后果为2，威胁值是3，弱点值为3，风险为18。u 实施控制之后：后果为2，威胁值降为2，弱点值降为1，残留风险为4（低风险）。u 应对残留风险：残留风险在可接受范围内，说明控制措施的应用是成功的。风险评估与管理风险可能性风险可能性威胁值威胁值123弱点值弱点值123123123风险影响风险影响/资产价值资产价值

27、112324636922464812612183369612189182753风险评估与管理54风险评估与管理风险可能性风险可能性威胁威胁值值123弱点弱点值值123123123风险风险影响影响/资产资产价值价值112324636922464812612183369612189182755风险评估与管理资产名资产名称称价值价值威胁威胁弱点弱点风险处理前风险处理前控制措控制措施施风险处理后风险处理后CIA威胁值威胁值弱点弱点值值风险风险值值威胁威胁值值弱点弱点值值风险风险值值风险接受水平：风险接受水平：_56风险评估与管理u 制定风险处理计划：控制实施人员、时间、实施效果复查计划u 编写配套的指导文件：信息安全策略和程序文件、作业指导书和记录等u 按照计划实施Review和内部审核，检查控制实施效果u 如果发生重大变化，或者按照既定计划，重新再做一次风险评估，找到新的风险点5758Q&A?