信息安全产品测评认证中心风险评估概论.ppt

风险评估风险评估 1 认识风险认识风险 2 风险管理体系风险管理体系 3 风险评估方法风险评估方法 4 风险评估的实施过程风险评估的实施过程 课程内容1 认识风险认识风险 1.1 参考资料参考资料 1.2 风险评估的需求风险评估的需求 1.3 风险的定义风险的定义 1.4 风险的要素风险的要素 课程内容2 风险管理体系风险管理体系课程内容 2.1 风险管理的概念风险管理的概念 2.2 风险管理体系介绍风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68 3 风险评估的方法风险评估的方法课程内容 3.1 风险评估方法概述风险评估方法概述 3.2 定量的风险评估定量的风险评估 3.3 定性的风险评估定性的风险评估 3.4 基于要素的风险评估基于要素的风险评估 3.5 定性风险评估与定量评估的比较定性风险评估与定量评估的比较 4 OCTAVE风险评估的实施过程风险评估的实施过程课程内容课程练习练习练习1 1 识别风险识别风险练习练习2 2 定性的风险评估定性的风险评估练习练习3 3 基于要素的风险评估基于要素的风险评估练习一练习一练习一练习一 识别风险识别风险识别风险识别风险1.1.请列举五个信息安全的风险的例子，请列举五个信息安全的风险的例子，并按下面的要求进行描述。并按下面的要求进行描述。2.2.要求：要求：按照资产按照资产 资产所面临的威胁资产所面临的威胁 可能被可能被威胁利用的脆弱点的顺序来描述每一个风威胁利用的脆弱点的顺序来描述每一个风险。险。1.1.对练习一中所识别的风险进行定性分析。对练习一中所识别的风险进行定性分析。2.2.要求：要求：1 1）列出后果和可能性的定性描述级别）列出后果和可能性的定性描述级别 2 2）依据风险分析矩阵评估风险的级别）依据风险分析矩阵评估风险的级别 3 3）给出各级别风险的处理措施）给出各级别风险的处理措施练习二练习二 定性的风险评估定性的风险评估背景：业务部门中有极机密的交易及客户资料业务部门中有极机密的交易及客户资料 这些资料放在公司共用的主机内，并且使用简单的用这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理户名和密码系统管理 业务部门的业务员外出时可利用笔记本电脑经由国际业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料互联网到公司主机中存取该资料请分组讨论请分组讨论 威胁威胁 脆弱性脆弱性 风险等级如何？风险等级如何？练习三练习三 基于要素的风险评估基于要素的风险评估注意事项 积极参与，活跃气氛积极参与，活跃气氛 守时守时 移动电话设置到静音状态移动电话设置到静音状态 紧急情况下有秩序疏散紧急情况下有秩序疏散 1.1 参考资料参考资料 1.2 风险评估的需求风险评估的需求 1.3 风险的定义风险的定义 1.4 风险的要素风险的要素 1 认识风险认识风险1.1 重要参考重要参考资料ISO 13335 17799 15408 BS 7799-2BSI PD3000AS/NZS 4360 OCTAVEGAO/AIMD 98-681.2 风险评估的目的组织为什么要进行风险评估？l 组织实现信息安全的必要的、重要的步骤组织实现信息安全的必要的、重要的步骤风险评估的目的1.2 风险评估的目的l 了解组织的安全现状了解组织的安全现状l 分析组织的安全需求分析组织的安全需求l 建立信息安全管理体系的要求建立信息安全管理体系的要求l 制订安全策略和实施安防措施的依据制订安全策略和实施安防措施的依据1.3 风险的定义普通字典的解释：风险：遭受损害或损失的可能性。AS/NZS 4360：澳大利亚/新西兰国家标准：风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。Risk:the chance of something happening that will have on impact upon objectives.It is measured in terms of consequences and likelihood.1.3 风险的定义后果后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、伤以定性或定量方式表示的一个事件的结果，可以是损害、伤害、失利或获利。害、失利或获利。可能性可能性 Likelihood 用作对几率或频率的定性描述。用作对几率或频率的定性描述。几率几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字或结果的可能性。用数字0或者或者1来表达。来表达。频率频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。以规定时间内所发生的次数来表达的事件发生率的度量。1.3 风险的定义与风险有关的名词：ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。性造成组织的资产损失或损害的可能性。Risk:the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets.1.3 风险的定义在信息安全领域，什么是风险？1.3 风险的定义信息安全的定义（信息安全的定义（ISO17799）：）：Information security is characterized here as the preservation of:a)Confidentialityb)Integrityc)Availability信息安全的三个特征：保密性：确保只有被授权的人才可以访问信息；保密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关可用性：确保在需要时，被授权的用户可以访问信息和相关 的资产。的资产。1.3 风险的定义信息安全风险l 信息安全风险是指信息资产的保密性、完整性和可用信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。性遭到破坏的可能性。l 信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。1.3 风险的定义风险的四个要素：l 资产及其价值l 威胁l 脆弱性l 现有的和计划的控制措施1.4 风险的要素资产是任何对组织有价值资产是任何对组织有价值的东西的东西信息也是一种资产，对组织具有价值信息也是一种资产，对组织具有价值1.4 风险的要素资产1.4 风险的要素资产的分类 电子信息资产电子信息资产 纸介资产纸介资产 软件资产软件资产 物理资产物理资产 人员人员 服务性资产服务性资产 公司形象和名誉公司形象和名誉威胁威胁是可能导致信息安全事故和组织信息资产损失的威胁是可能导致信息安全事故和组织信息资产损失的活动活动威胁是利用脆弱性来造成后果威胁是利用脆弱性来造成后果1.4 风险的要素威胁举例：黑客入侵和攻击黑客入侵和攻击病毒和其他恶意程序病毒和其他恶意程序软硬件故障软硬件故障人为误操作人为误操作自然灾害如：地震、火灾、爆自然灾害如：地震、火灾、爆炸等炸等盗窃盗窃网络监听网络监听供电故障供电故障后门后门未授权访问未授权访问1.4 风险的要素脆弱性是与信息资产有关的弱点或安全隐患。是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。造成危害。1.4 风险的要素脆弱性举例：系统漏洞系统漏洞程序程序Bug专业人员缺乏专业人员缺乏不良习惯不良习惯系统没有进行安全配置系统没有进行安全配置物理环境不安全物理环境不安全缺少审计缺少审计缺乏安全意识缺乏安全意识后门后门1.4 风险的要素风险要素之间的相互关系：风险要素之间的相互关系：1.4 风险的要素威胁视图：威胁视图：1.4 风险的要素脆弱性视图：脆弱性视图：1.4 风险的要素影响视图：影响视图：1.4 风险的要素练习一 识别风险1.1.请列举五个信息安全的风险的例子，请列举五个信息安全的风险的例子，并按下面的要求进行描述。并按下面的要求进行描述。2.2.要求：要求：按照资产按照资产 资产所面临的威胁资产所面临的威胁 可能被可能被威胁利用的脆弱点的顺序来描述每一个风威胁利用的脆弱点的顺序来描述每一个风险。险。2 风险管理体系风险管理体系 2.1 风险管理的概念风险管理的概念 2.2 风险管理体系介绍风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.1 GAO/AIMD 98-68 是指对潜在的机会和不利影响进行有效管理的是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。文化、程序和结构。风险管理是由多个定义明确的步骤所组成的一风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。其影响为更好的决策提供支持。风险管理：风险管理：2.1 风险管理的概念风险管理的概念 风险管理可应用于一个组织或机构的多个层次。它风险管理可应用于一个组织或机构的多个层次。它既可用于策略层次又可用于运作层次。它可用于具既可用于策略层次又可用于运作层次。它可用于具体项目，以便协助做出具体决定，或对特定认可的体项目，以便协助做出具体决定，或对特定认可的风险领域加以管理。风险领域加以管理。可接受的风险水准可以随着每次循环得到提高，从可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。而使风险管理逐步达到更高要求。风险管理的应用时机风险管理的应用时机2.1 风险管理的概念风险管理的概念2.2 风险管理体系介绍风险管理体系介绍 2.2.1 ISO17799：信息安全管理体系：信息安全管理体系 2.2.2 AS/NZS4360：风险管理标准：风险管理标准 2.2.1 GAO/AIMD 98-68：信息安全管理实施指南：信息安全管理实施指南 ISO17799ISO17799信息安全管理体系信息安全管理体系2.2.1 ISO17799是协助组织以是协助组织以“风险管理风险管理”为基础建立为基础建立“信息安全信息安全管理体系管理体系”的国际标准。的国际标准。信息安全管理体系建立步骤信息安全管理体系建立步骤（BS7799-2）制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件2.2.1 ISO177991 1、建立环境、建立环境2 2、识别风险、识别风险3 3、分析风险、分析风险4 4、评估和评价风险、评估和评价风险5 5、处理风险、处理风险AS/NZS4360:建立风险管理系统的步骤建立风险管理系统的步骤2.2.2 AS/NZS 4360监控和审查监控和审查信息交流和咨询信息交流和咨询Australian/New Zealand Standard for Risk Management AS/NZS4360：风险管理流程：风险管理流程2.2.2 AS/NZS 43601 1、建立环境、建立环境 建立在风险过程中将出现的策略、组织和风险管建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规理的背景。应建立对风险进行评价的准则，并规定分析的结构。定分析的结构。2.2.2 AS/NZS 43602 2、鉴别风险、鉴别风险 鉴定出会出现什么风险，为什么会出现和如何出现，鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。作为进一步分析的基础。2.2.2 AS/NZS 43603 3、风险分析、风险分析 确定现有的控制，并根据在这些控制的环境中的后果确定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。和可能性结合起来得到一个估计的风险程度。2.2.2 AS/NZS 43604 4、评价风险、评价风险 将估计的风险程度与预先建立的标准进行比较。这样将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。受的范畴，而不需作处理。2.2.2 AS/NZS 43605 5、处理风险、处理风险 接受并监控低优先顺序的风险。对于其他风接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。包括考虑到资金的提供。2.2.2 AS/NZS 43606 6、监控和检查、监控和检查 对于风险管理系统的运作情形以及可能影响其运行的对于风险管理系统的运作情形以及可能影响其运行的那那 些变化进行监控和检查。些变化进行监控和检查。2.2.2 AS/NZS 43607 7、信息交流和咨询、信息交流和咨询 在风险管理过程的每个阶段以及整个过程中，适时在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者与内部和外部的风险承担者StakeholderStakeholder进行信息进行信息交流和咨询。交流和咨询。2.2.2 AS/NZS 4360 Learning From Leading OrganizationsLearning From Leading Organizations based on the best practices of of based on the best practices of of organizations noted for superior information organizations noted for superior information security.security.2.2.3 GAO/AIMD 98-68EXECUTIVE GUIDE:Information Security ManagementRisk Management CycleRisk Management Cycle风险管理循环风险管理循环建立核心管理焦点识别风险和确定安全需求安全意识和知识培训实施适合的安全策略和控制措施监督并审查安全策略和措施三的有效性2.2.3 GAO/AIMD 98-68GAO/AIMD 98-68GAO/AIMD 98-68 识别风险和确定安全需求识别风险和确定安全需求 建立核心管理焦点建立核心管理焦点 实施适合的安全策略和控制措施实施适合的安全策略和控制措施 安全意识和知识培训安全意识和知识培训 监督并审查安全策略和措施的有效性监督并审查安全策略和措施的有效性2.2.3 GAO/AIMD 98-681 1、评估风险和确定需求、评估风险和确定需求 识别信息资产识别信息资产 按业务需求制订评估流程按业务需求制订评估流程 获得管理者和业务经理的支持获得管理者和业务经理的支持 基于持续改进的方式进行风险管理基于持续改进的方式进行风险管理2.2.3 GAO/AIMD 98-682 2、建立核心管理焦点、建立核心管理焦点 建立核心小组执行关键活动建立核心小组执行关键活动 建立核心小组和高级管理者直接联络的渠道建立核心小组和高级管理者直接联络的渠道 设立专项资金并配备相关人力资源设立专项资金并配备相关人力资源 培养员工的职业素质和技术能力培养员工的职业素质和技术能力2.2.3 GAO/AIMD 98-683 3、实施适合的策略和相关措施、实施适合的策略和相关措施 将策略与业务需求相对应将策略与业务需求相对应 区分策略和指南区分策略和指南 通过核心组支持策略的实现通过核心组支持策略的实现2.2.3 GAO/AIMD 98-684 4、增强安全意识、增强安全意识 持续培训用户的安全意识和相关策略持续培训用户的安全意识和相关策略 采取集中培训和友好界面技术采取集中培训和友好界面技术2.2.3 GAO/AIMD 98-685 5、监控和评估策略、措施的有效性、监控和评估策略、措施的有效性 监控影响风险的因素和措施的有效性监控影响风险的因素和措施的有效性 运用实施结果来制订后续措施的制订及管理者的支持运用实施结果来制订后续措施的制订及管理者的支持 关注新的监控工具和技术关注新的监控工具和技术2.2.3 GAO/AIMD 98-683 风险评估方法风险评估方法 3.1 风险评估方法概述风险评估方法概述 3.2 定量的风险评估定量的风险评估 3.3 定性的风险评估定性的风险评估 3.4 基于要素的风险评估基于要素的风险评估 3.5 定性风险评估与定量评估的比较定性风险评估与定量评估的比较 定义：组织确认自己所拥有的资产，分析资产所面对的威胁、组织确认自己所拥有的资产，分析资产所面对的威胁、所具有的脆弱性、损害发生的可能性、损害的程度等，并最所具有的脆弱性、损害发生的可能性、损害的程度等，并最终得出资产所面临的风险等级的过程。终得出资产所面临的风险等级的过程。3.1 风险评估方法概述风险评估方法概述 资产识别资产识别 确定威胁（确定威胁（Threat)Threat)识别脆弱性（识别脆弱性（Vulnerability)Vulnerability)实施控制方法实施控制方法原则：不管使用哪一种风险评估的方法或工具，其内容原则：不管使用哪一种风险评估的方法或工具，其内容 都应包括以下四个要素：都应包括以下四个要素：3.1 风险评估方法概述风险评估方法概述资产价值资产价值可能胁迫资产的威胁和其发生的可能性可能胁迫资产的威胁和其发生的可能性因脆弱点被威胁利用而造成冲击的容易度因脆弱点被威胁利用而造成冲击的容易度目前或计划中可能降低脆弱点、威胁和冲击严重性的目前或计划中可能降低脆弱点、威胁和冲击严重性的保护措施保护措施换句话说，风险是以下事项的作用：换句话说，风险是以下事项的作用：3.1 风险评估方法概述风险评估方法概述要考虑影响和可能性要考虑影响和可能性在决定所需控制方法时，对既有控制方法的评估是必须的在决定所需控制方法时，对既有控制方法的评估是必须的控制方法只能将风险降低到可接受的程度控制方法只能将风险降低到可接受的程度百分之百的安全，并不是安全管理的目的。百分之百的安全，并不是安全管理的目的。3.1 风险评估方法概述风险评估方法概述注意注意定量分析定量分析定性分析定性分析综合方法综合方法3.1 风险评估方法概述风险评估方法概述风险评估的途径：风险评估的途径：定量分析：定量分析：对后果和可能性进行分析对后果和可能性进行分析采用量化的数值描述后果（估计出可能损失的金额）采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）和可能性（概率或频率）分析的有效性取决于所用的数值精确度和完整性分析的有效性取决于所用的数值精确度和完整性。3.1 风险评估方法概述风险评估方法概述定性分析适用于：定性分析适用于：初始的筛选活动，以鉴定出需要更仔细分析的风险初始的筛选活动，以鉴定出需要更仔细分析的风险风险程度和经济上的考虑风险程度和经济上的考虑数据不足以进行定量分析的情况数据不足以进行定量分析的情况定性分析：定性分析：对后果和可能性进行分析对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）程度和可能性的大小（如高、中、低等）分析的有效性取决于所用的数值精确度和完整性分析的有效性取决于所用的数值精确度和完整性。3.1 风险评估方法概述风险评估方法概述半定量分析：半定量分析：在半定量分析中，上述的那些定性数值范围均为已知值。在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。程度具有精确的关系。半定量分析的目的是为了得到比通常在定性分析中所得到半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度，但并非要提出任何在定量分析中的更为详细的风险程度，但并非要提出任何在定量分析中所得到的风险实际值。所得到的风险实际值。3.1 风险评估方法概述风险评估方法概述风险分析方法风险分析方法l许多方法都会使用表格并结合主观和经验判断许多方法都会使用表格并结合主观和经验判断l目前并没有使用所谓正确或错误的方法目前并没有使用所谓正确或错误的方法l重要的是选择使用一个适合本组织的方法重要的是选择使用一个适合本组织的方法l同一组织内，也可以根据不同等级的风险，运用同一组织内，也可以根据不同等级的风险，运用不同的风险分析方法不同的风险分析方法l对信息安全的评估很难量化对信息安全的评估很难量化3.1 风险评估方法概述风险评估方法概述当部分的公司资产已具有量化的价值当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级再根据损失的大小决定风险等级定量的风险分析定量的风险分析3.2 定量的风险分析定量的风险分析SLASLA（single-time loss Algorithm)single-time loss Algorithm)当一个风险发生时会对资产价值造成多大的财务损失当一个风险发生时会对资产价值造成多大的财务损失ALE ALE（Annualized loss Exposure)Annualized loss Exposure)年度风险损失年度风险损失后果定量分析后果定量分析3.2 定量的风险分析定量的风险分析年度化损失运算表（频率）年度化损失运算表（频率）不可能不可能 0.00.0300300年一次年一次 1/3001/300 0.003330.00333200200年一次年一次 1/2001/200 0.0030.003100100年一次年一次 1/1001/100 0.010.015050年一次年一次 1/501/50 0.020.022525年一次年一次 1/251/25 0.040.045 5年一次年一次 1/51/5 0.200.203.2 定量的风险分析定量的风险分析2 2年一次年一次 1/21/2 0.50.51 1年一次年一次 1/11/1 1.01.01 1年二次年二次 1/0.51/0.5 2.02.01 1个月一次个月一次 12/112/1 12.012.01 1星期一次星期一次 52/152/1 52.052.01 1天一次天一次 365/1365/1 365.0365.03.2 定量的风险分析定量的风险分析年度化损失运算表（频率）续年度化损失运算表（频率）续简易的定量计算公式：简易的定量计算公式：资产价值（资产价值（v)v)乘以可能性（乘以可能性（L L）可以得出可以得出 ALE ALE（年度风险损失），即：年度风险损失），即：ALE=V L3.2 定量的风险分析定量的风险分析定性的风险分析定性的风险分析从风险发生可能性及造成的后果来考虑风险的从风险发生可能性及造成的后果来考虑风险的等级等级对于后果和可能性采用定性度量对于后果和可能性采用定性度量并在最后阶段归纳出不同等级风险的方法并在最后阶段归纳出不同等级风险的方法3.3 定性的风险分析定性的风险分析后果或影响的定性量度（示例）后果或影响的定性量度（示例）等级等级描述描述 详细情形详细情形 1 1可以忽略可以忽略无伤害，低财务损失无伤害，低财务损失 2 2 较小较小立即受控制，中等财务损失立即受控制，中等财务损失 3 3 中等中等 受控，高财务损失受控，高财务损失 4 4 较大较大大伤害，失去生产能力有较大财务损失大伤害，失去生产能力有较大财务损失 5 5灾难性灾难性持续能力中断，巨大财务损失持续能力中断，巨大财务损失3.3 定性的风险分析定性的风险分析可能性的定性量度（示例）可能性的定性量度（示例）等级等级描述描述 详细情形详细情形 A A几乎肯定几乎肯定预期在大多数情况发生预期在大多数情况发生 B B很可能很可能在大多数情况下很可能会发生在大多数情况下很可能会发生 C C可能可能在某个时间可能会发生在某个时间可能会发生 D D不太可能不太可能在某个时间能够发生在某个时间能够发生 E E罕见罕见仅在例外的情况下可能发生仅在例外的情况下可能发生3.3 定性的风险分析定性的风险分析风险分析矩阵风险分析矩阵风险程度风险程度 可能性可能性可能性可能性 后果后果后果后果可以忽略可以忽略可以忽略可以忽略1 1较小较小较小较小2 2中等中等中等中等3 3较大较大较大较大4 4灾难性灾难性灾难性灾难性5 5A A（几乎肯定）（几乎肯定）（几乎肯定）（几乎肯定）H HH HE EE EE EB B（很可能）（很可能）（很可能）（很可能）MMH HH H E EE EC (C (可能）可能）可能）可能）L LMMH HE EE ED D（不太可能）（不太可能）（不太可能）（不太可能）L LL LMMH HE EE E（罕见）（罕见）（罕见）（罕见）L LL LMMH HH H E E：极度风险：极度风险 H H：高风险：高风险 M M：中等风险：中等风险 L:L:低风险低风险3.3 定性的风险分析定性的风险分析E E：极度风险：极度风险-要求立即采取措施要求立即采取措施H H：高风险：高风险-需要高级管理部门的注意需要高级管理部门的注意M M：中等风险：中等风险-必须规定管理责任必须规定管理责任L:L:低风险低风险-用日常程序处理用日常程序处理风险的处理措施（示例）风险的处理措施（示例）3.3 定性的风险分析定性的风险分析 1.1.对练习一中所识别的风险进行定性分析。对练习一中所识别的风险进行定性分析。2.2.要求：要求：1 1）列出后果和可能性的定性描述级别）列出后果和可能性的定性描述级别 2 2）依据风险分析矩阵评估风险的级别）依据风险分析矩阵评估风险的级别 3 3）给出各级别风险的处理措施）给出各级别风险的处理措施练习二练习二 定性的风险评估定性的风险评估风险的函数表达：R=f（a,v,t）R：风险 a：资产的价值 v：资产本身的脆弱性 t：资产所面临的威胁3.4 基于要素的风险分析基于要素的风险分析1.1.资产的价值资产的价值 运用运用ISO17799ISO17799中对信息安全的定义来衡量资产价值：中对信息安全的定义来衡量资产价值：ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailability3.4 基于要素的风险分析基于要素的风险分析1.1.资产的价值资产的价值保密性（保密性（C C）价值价值分类分类详细说明详细说明 1 1公开资讯公开资讯非敏感的资讯，公用的资讯处理设施和系统非敏感的资讯，公用的资讯处理设施和系统资源资源 2 2内部使用内部使用非敏感但仅限公司内部使用的资讯（非公开）非敏感但仅限公司内部使用的资讯（非公开）3 3限定使用限定使用受控的资讯，需有业务需求方得以授权使用受控的资讯，需有业务需求方得以授权使用 4 4秘密秘密敏感的资讯，资讯处理设施和系统资源只给敏感的资讯，资讯处理设施和系统资源只给必知者必知者 5 5极机密极机密敏感资讯，资讯处理设施和系统资源仅适用敏感资讯，资讯处理设施和系统资源仅适用及少数必知者。及少数必知者。3.4 基于要素的风险分析基于要素的风险分析完整性（完整性（I I）价价值值分类分类详细说明详细说明 1 1非常低非常低未经授权的破坏或修改不会对资讯系统造成重大影响未经授权的破坏或修改不会对资讯系统造成重大影响且或对业务冲击可忽略且或对业务冲击可忽略 2 2 低低未经授权的破坏或修改不会对资讯系统造成重大影响未经授权的破坏或修改不会对资讯系统造成重大影响且或对业务冲击轻微且或对业务冲击轻微 3 3 中等中等未经授权的破坏或修改已对资讯系统造成影响且或对未经授权的破坏或修改已对资讯系统造成影响且或对业务有明显冲击业务有明显冲击 4 4 高高未经授权的破坏或修改对资讯系统有重大影响且未经授权的破坏或修改对资讯系统有重大影响且或对业务严重或对业务严重 5 5非常非常高高未经授权的破坏或修改对资讯系统有重大影响且未经授权的破坏或修改对资讯系统有重大影响且可能导致严重的业务中断。可能导致严重的业务中断。1.1.资产的价值资产的价值3.4 基于要素的风险分析基于要素的风险分析可用性（可用性（A A）价值价值分类分类详细说明详细说明1 1非常低非常低合法使用者对信息系统及资源的存取可用度在正常合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到上班时间至少达到25%25%以上。以上。2 2低低合法使用者对信息系统及资源的存取可用度在正常合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到上班时间至少达到50%50%以上。以上。3 3中等中等合法使用者对信息系统及资源的存取可用度在正常合法使用者对信息系统及资源的存取可用度在正常上班时间至少达到上班时间至少达到100%100%以上。以上。4 4高高合法使用者对信息系统及资源的存取可用度达到每合法使用者对信息系统及资源的存取可用度达到每天天95%95%以上。以上。5 5非常高非常高合法使用者对信息系统及资源的存取可用度达到每合法使用者对信息系统及资源的存取可用度达到每天天99.9%99.9%以上。以上。1.1.资产的价值资产的价值3.4 基于要素的风险分析基于要素的风险分析资产的价值n n资产的保护是信息安全和风险管理的首要目标。资产的保护是信息安全和风险管理的首要目标。n n每个资产都应该每个资产都应该 被识别与评价以提供适当保护。被识别与评价以提供适当保护。资产的拥有者与使用者须清楚识别。资产的拥有者与使用者须清楚识别。n n应盘点资产并建立资产清单应盘点资产并建立资产清单3.4 基于要素的风险分析基于要素的风险分析 识别资产的脆弱性识别资产的脆弱性 资产本身的安全问题是什么？资产本身的安全问题是什么？这个资产缺少什么安全措施？这个资产缺少什么安全措施？分析脆弱程度分析脆弱程度 这个脆弱性被利用的程度有多高？这个脆弱性被利用的程度有多高？相对的防护措施有效性相对的防护措施有效性？定义脆弱性的计量定义脆弱性的计量 可利用可利用“低低”，“中中”，“高高”来表示。来表示。2.脆弱性分析脆弱性分析3.4 基于要素的风险分析基于要素的风险分析 识别资产的威胁识别资产的威胁 鉴别威胁的目标（什么资产会被威胁？）鉴别威胁的目标（什么资产会被威胁？）为什么会造成这威胁？为什么会造成这威胁？找出威胁的相关性找出威胁的相关性 它有影响吗？重要或严重吗？它有影响吗？重要或严重吗？有没有被它利用的脆弱点？有没有被它利用的脆弱点？鉴别威胁的可能性鉴别威胁的可能性 利用利用“不可能不可能”，“可能可能”，“非常可能非常可能”来表示来表示3.威胁分析威胁分析3.4 基于要素的风险分析基于要素的风险分析风险计算：项项 目目威胁等级威胁等级低低中中高高脆弱性等级脆弱性等级低低中中高高低低中中高高低低中中高高资产价值资产价值001212323311232343452234345456334545656744565676783.4 基于要素的风险分析基于要素的风险分析背景：业务部门中有极机密的交易及客户资料业务部门中有极机密的交易及客户资料 这些资料放在公司共用的主机内，并且使用简单的用这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理户名和密码系统管理 业务部门的业务员外出时可利用笔记本电脑经由国际业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料互联网到公司主机中存取该资料请分组讨论请分组讨论 威胁威胁 脆弱性脆弱性 风险等级如何？风险等级如何？练习三练习三 基于要素的风险分析基于要素的风险分析定性风险分析的优点定性风险分析的优点 1.1.简易的计算方式简易的计算方式 2.2.不必精确算出资产价值不必精确算出资产价值 3.3.不需得到量化的威胁发生率不需得到量化的威胁发生率 4.4.非技术或非安全背景的员工也能轻易参与非技术或非安全背景的员工也能轻易参与 5.5.流程和报告形式比较有弹性流程和报告形式比较有弹性定性风险分析的缺点定性风险分析的缺点 1.1.本质上是非常主观的本质上是非常主观的 2.2.对关键资产的财务价值评估参考性较低对关键资产的财务价值评估参考性较低 3.3.缺乏对风险降低的成本分析缺乏对风险降低的成本分析3.5 定性分析与定量分析的比较定性分析与定量分析的比较定量风险分析的优点定量风险分析的优点 1.1.大体来说其结果都是建立在独立客观的程序或量化指大体来说其结果都是建立在独立客观的程序或量化指标上标上 2.2.大部分的工作集中在制定资产价值和减缓可能风险大部分的工作集中在制定资产价值和减缓可能风险 3.3.主要目的是做成本效益的审核主要目的是做成本效益的审核定量风险分析的缺点定量风险分析的缺点 1.1.风险计算方法复杂风险计算方法复杂 2.2.需要自动化工具及相当的基础知识需要自动化工具及相当的基础知识 3.3.投入大投入大 4.4.个人难以执行个人难以执行 5.5.很难中途改变方向很难中途改变方向 6.6.不会有范围之外的结果不会有范围之外的结果3.5 定性分析与定量分析的比较定性分析与定量分析的比较 定性风险分析是所有风险分析的方法中，定性风险分析是所有风险分析的方法中，最容易也是最常被运用的方法。可是也是最容易也是最常被运用的方法。可是也是最主观的。最主观的。其结果高度依存于其结果高度依存于RMTRMT（风险管理小组）风险管理小组）的专业能力。的专业能力。需要一套系统化的执行步骤，来帮助需要一套系统化的执行步骤，来帮助RMTRMT的执行成果更接近预期的效果。的执行成果更接近预期的效果。定性风险分析定性风险分析3.5 定性分析与定量分析的比较定性分析与定量分析的比较4 OCTAVE风险评估实施过程风险评估实施过程OCTAVEOCTAVEOCTAVEOCTAVE（The Operationally Critical Threat,Asset,The Operationally Critical Threat,Asset,and Vulnerability Evaluationand Vulnerability Evaluation）美国美国Carnegie Mellon大学软件工程研究所开发大学软件工程研究所开发 用于信息安全的评估用于信息安全的评估 采用定性的评估方法采用定性的评估方法4 OCTAVE风险评估实施过程风险评估实施过程OCTAVE的三个阶段的三个阶段 阶段一：建立基于资产的威胁概要文件阶段一：建立基于资产的威胁概要文件对组织层面进行评估对组织层面进行评估识别出重要的信息资产、这些资产所受的威胁、它识别出重要的信息资产、这些资产所受的威胁、它们的安全需求、组织目前的资产保护措施、以及组们的安全需求、组织目前的资产保护措施、以及组织的脆弱性。织的脆弱性。阶段二：识别基础设施的脆弱性阶段二：识别基础设施的脆弱性评估信息基础设施评估信息基础设施检查检查ITIT基础设施关键组件，识别技术脆弱性基础设施关键组件，识别技术脆弱性阶段三：制定安全策略与计划阶段三：制定安