[精选]信息安全管理课件.ppt

信息安全管理 第二版第二版 授课内容：信息安全风险评估授课内容：信息安全风险评估授课内容：信息安全风险评估授课内容：信息安全风险评估 信息安全管理vInformation security management第第3章章 信息安全信息安全风险评风险评估估3.1 概述概述3.2 信息安全风险评估策略信息安全风险评估策略3.3 信息安全风险评估流程信息安全风险评估流程3.4 信息安全风险评估方法信息安全风险评估方法3.5 风险评估案例风险评估案例3.6 本章小结本章小结3.7 习题习题从一个故事开始认识从一个故事开始认识“风险风险3.1 概述概述 故事梗概q傻傻根根在在外外地地打打工工挣挣了了钱钱，随随身身携携带带着着10万万元元钱钱坐坐上上了了一一辆混杂着很多小偷的长途火车回家。辆混杂着很多小偷的长途火车回家。q傻傻根根把把钱钱就就放放在在了了普普通通的的布布质质书书包包里里。傻傻根根没没有有坐坐软软卧卧包包厢厢，而而是是坐坐在在挤挤满满了了上上百百人人的的硬硬座座车车厢厢。有有时时候候累累了了，就坐着打个瞌睡。就坐着打个瞌睡。q一一路路上上，葛葛优优等等小小偷偷团团伙伙频频频频出出手手，尝尝试试着着偷偷这这10万万元元钱钱。但但是是在在好好心心人人刘刘德德华华和和刘刘假假设设英英等等的的保保护护下下，葛葛优优等小偷团伙未能得逞。等小偷团伙未能得逞。q好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。天下无贼？天下无贼？3.1 概述概述q资产asset -对组织具有价值的任何东西 ISO/IEC TR 13335-1：2004概念q威胁 threat -可能导致对系统或组织损害的不希望事故潜在起因 ISO/IEC TR 13335-1：2004q脆弱性vulnerability也称脆弱点、漏洞 -可能会被威胁所利用的资产或假设干资产的弱点 ISO/IEC TR 13335-1：20043.1 概述概述q风险管理 risk management-在风险方面指挥或控制一个组织的协调活动，一般包括风险评估、风险处理、风险接受和风险传递 ISO Guide 73：2002q风险 risk -事件的概率及其结果的组合 ISO Guide 73：2002q风险评价risk evaluation -对照风险准则比较被估计的风险，以确定风险严重性的过程 ISO Guide 73：2002概念3.1 概述概述信息安全风险l 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。的可能性。l 信息安全风险只考虑那些对组织有负面影响的事件。信息安全风险只考虑那些对组织有负面影响的事件。l风险值风险值=资产价值资产价值威胁可能性威胁可能性脆弱性严重性脆弱性严重性简单理解简单理解3.1 概述概述 对信息和信息处理设施的威胁、影响对信息和信息处理设施的威胁、影响ImpactImpact，指安，指安全事件所带来的直接和间接损失全事件所带来的直接和间接损失和脆弱性及三者发和脆弱性及三者发生的可能性的评估。生的可能性的评估。3.1 概述概述风险评估Risk Assessment故事分析 在火车开动到停止这段时间内，综合资产、脆弱性、威胁在火车开动到停止这段时间内，综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是：和安全措施等各方面因素进行风险评估的结果是：因为因为10万元钱不是一笔小数目资产，葛优等小偷能力万元钱不是一笔小数目资产，葛优等小偷能力很强且决心坚决威胁，且傻根对钱的保管手段技术和很强且决心坚决威胁，且傻根对钱的保管手段技术和意识管理都缺乏脆弱性，差一点发生意识管理都缺乏脆弱性，差一点发生“娶不上媳妇娶不上媳妇这样的结果风险。这样的结果风险。因好心人刘德华和刘假设英等的保护到位安全措施，因好心人刘德华和刘假设英等的保护到位安全措施，最终钱保住了风险消减。最终钱保住了风险消减。3.1 概述概述以风险为核心的安全模型 ISO13335 风险风险安全措施安全措施信息资产信息资产威胁威胁脆弱性脆弱性安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足3.1 概述概述信息安全风险评估的意义和作用信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和躲避等风险控制方法之间做出所面临的风险，并在风险的减少、转移和躲避等风险控制方法之间做出决策的过程。决策的过程。风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是效劳于信息化，但其直以风险评估为起点。信息安全建设的最终目的是效劳于信息化，但其直接目的是为了控制安全风险。接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。息系统拥有单位加强信息安全建设。3.1 概述概述3.1 概述概述3.1.1 信息安全风险评估相关要素信息安全风险评估相关要素信息安全风险评估的对象是信息系统，信息系统的资产、信信息安全风险评估的对象是信息系统，信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点脆弱性、系息系统可能面对的威胁、系统中存在的弱点脆弱性、系统中已有的安全措施等是影响信息安全风险的基本要素，它统中已有的安全措施等是影响信息安全风险的基本要素，它们和安全风险、安全风险对业务的影响以及系统安全需求等们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。构成信息安全风险评估的要素。1.资产资产根据根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西，资资产是指任何对组织有价值的东西，资产包括：物理资产、信息产包括：物理资产、信息/数据数据、软件、提供产品和效劳的能、软件、提供产品和效劳的能力、人员、无形资产。力、人员、无形资产。信息安全风险评估标准信息安全风险评估标准资产是指对组织具有价值的资产是指对组织具有价值的信息资源，是安全策略保护的对象。以多种形式存在，有无信息资源，是安全策略保护的对象。以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有效劳、形的、有形的，有硬件、软件，有文档、代码，也有效劳、形象等。根据资产的表现形式，可将资产分为数据、软件、形象等。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、效劳、人员等类。硬件、文档、效劳、人员等类。3.1 概述概述2.威胁威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生，该事件可能对系统或组织及其资产致不期望发生的事件发生，该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和效劳所处理信造成损害。这些损害可能是蓄意的对信息系统和效劳所处理信息的直接或间接攻击。也可能是偶发事件。息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同，威胁可分为：自然威胁、环境威胁、系统根据威胁源的不同，威胁可分为：自然威胁、环境威胁、系统威胁、人员威胁威胁、人员威胁3.脆弱性脆弱性脆弱性是一个或一组资产所具有的，可能被威胁利用对资产造脆弱性是一个或一组资产所具有的，可能被威胁利用对资产造成损害的薄弱环节。成损害的薄弱环节。4.风险风险根据根据ISO/IEC 13335-1，信息安全风险是指威胁利用利用一个，信息安全风险是指威胁利用利用一个或一组资产的脆弱性导致组织受损的潜在，并以威胁利用脆弱或一组资产的脆弱性导致组织受损的潜在，并以威胁利用脆弱性造成的一系列不期望发生的事件或称为安全事件表达性造成的一系列不期望发生的事件或称为安全事件表达3.1 概述概述5.影响影响影响是威胁利用资产的脆弱性导致不期望发生事件的后果。这影响是威胁利用资产的脆弱性导致不期望发生事件的后果。这些后果可能表现为直接形式，如物理介质或设备的破坏、人员些后果可能表现为直接形式，如物理介质或设备的破坏、人员的损伤、的损伤、直接的资金损失等；也可能表现为间接的损失如公直接的资金损失等；也可能表现为间接的损失如公司信用、形象受损、市场分额损失、法律责任等。司信用、形象受损、市场分额损失、法律责任等。6.安全措施安全措施安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不期安全措施是指为保护资产、抵御威胁、减少脆弱性、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。的各种实践、规程和机制的总称。7.安全需求安全需求安全需求是指为保证组织业务战略的正常运作而在安全措施方安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。面提出的要求。3.1 概述概述3.1.2 信息安全风险评估信息安全风险评估信息安全风险评估是指依据有关信息安全技术与管理标准，对信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。可用性等安全属性进行评价的过程。3.1.3 风险要素相互间的关系风险要素相互间的关系资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风资产、威胁、脆弱性是信息安全风险的基本要素与信息安全风险有关的要素还包括：安全措施、安全需求、影响等。险有关的要素还包括：安全措施、安全需求、影响等。ISO/IEC 13335-1对它们之间的关系描述如图对它们之间的关系描述如图2-1所示所示3.1 概述概述信息安全风险信息安全风险评估标准评估标准GB/T20984 对对ISO/IEC 13335-1提出风险要素关提出风险要素关系模型进行了扩系模型进行了扩展展我国提出的信息我国提出的信息风险要素关系图风险要素关系图3.2 信息安全信息安全风险评风险评估策略估策略 3.2.1 基线风险评估基线风险评估要求组织根据自己的实际情况所在行业、业务环境与性要求组织根据自己的实际情况所在行业、业务环境与性质等，对信息系统进行基线安全检查将现有的安全措质等，对信息系统进行基线安全检查将现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。消减和控制风险。可以根据以下资源来选择安全基线：可以根据以下资源来选择安全基线：1 国际标准和国家标准国际标准和国家标准2 行业标准或推荐行业标准或推荐3来自其他有类似商务目标和规模的组织的惯例来自其他有类似商务目标和规模的组织的惯例3.2 信息安全信息安全风险评风险评估策略估策略基线评估的优点是：基线评估的优点是：1风险分析和每个防护措施的实施管理只需要最少数量风险分析和每个防护措施的实施管理只需要最少数量的资源，并且在选择防护措施时花费更少的时间和努力的资源，并且在选择防护措施时花费更少的时间和努力2 如果组织的大量系统都在普通环境下运行并且如果安如果组织的大量系统都在普通环境下运行并且如果安全需要类似，那么很多系统都可以采用相同或相似的基线防全需要类似，那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力护措施而不需要太多的努力 基线评估的的缺点是：基线评估的的缺点是：1基线水平难以设置基线水平难以设置 2风险评估不全面、不透彻，且不易处理变更风险评估不全面、不透彻，且不易处理变更3.2 信息安全信息安全风险评风险评估策略估策略3.2.2 详细风险评估详细风险评估详细风险评估要求对资产、威胁和脆弱性进行详细识别和详细风险评估要求对资产、威胁和脆弱性进行详细识别和评价，并对可能引起风险的水平进行评估评价，并对可能引起风险的水平进行评估通过不期望事件的潜在负面业务影响评估和他们发生的可通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成。能性来完成。根据风险评估的结果来识别和选择安全措施，将风险降低根据风险评估的结果来识别和选择安全措施，将风险降低到可接受的水平到可接受的水平详细评估的优点是：详细评估的优点是：1 有可能为所有系统识别出适当的安全措施有可能为所有系统识别出适当的安全措施2 详细分析的结果可用于安全变更管理。详细分析的结果可用于安全变更管理。详细评估的缺点：详细评估的缺点：需要更多的时间、努力和专业知识需要更多的时间、努力和专业知识3.2 信息安全信息安全风险评风险评估策略估策略3.2.3 综合风险评估综合风险评估基线风险评估消耗资源少、周期短、操作简单，但不基线风险评估消耗资源少、周期短、操作简单，但不够准确，适合一般环境的评估够准确，适合一般环境的评估详细风险评估准确而细致，但消耗资源较多，适合严详细风险评估准确而细致，但消耗资源较多，适合严格限定边界的较小范围内的评估格限定边界的较小范围内的评估实践中，多采用二者结合的综合评估方式实践中，多采用二者结合的综合评估方式3.3 信息安全信息安全风险评风险评估流程估流程3.3.1 风险评估流程概述风险评估流程概述风险评估四个阶段风险评估四个阶段:阶段阶段1:评估准备评估准备阶段阶段2:风险识别风险识别阶段阶段3:风险评价风险评价阶段阶段4:风险处理风险处理3.3 信息安全信息安全风险评风险评估流程估流程3.3.2 风险评估的准备风险评估的准备风险评估的准备是整个风险评估过程有效性的保证风险评估的准备是整个风险评估过程有效性的保证包括：包括：1确定风险评估目标确定风险评估目标2确定风险评估的对象和范围确定风险评估的对象和范围3组建团队。组建团队。组建适当的风险评估管理与实施团队，以支持整个过程的推进组建适当的风险评估管理与实施团队，以支持整个过程的推进4选择方法选择方法 应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体 的风险判断方法，使之能够与组织环境和安全要求相适应。的风险判断方法，使之能够与组织环境和安全要求相适应。5获得支持获得支持6准备相关的评估工具准备相关的评估工具3.3 信息安全信息安全风险评风险评估流程估流程3.3.3 资产识别与评估资产识别与评估1资产识别资产识别是风险识别的必要环节。资产识别的任务就是对资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识确定的评估对象所涉及或包含的资产进行详细的标识资产识别过程中要特别注意无形资产的遗漏，同时还应注资产识别过程中要特别注意无形资产的遗漏，同时还应注意不同资产间的相互依赖关系，关系紧密的资产可作为一意不同资产间的相互依赖关系，关系紧密的资产可作为一个整体来考虑，同一中类型的资产也应放在一起考虑。个整体来考虑，同一中类型的资产也应放在一起考虑。资产识别方法资产识别方法:访谈、现场调查、问卷、文档查阅访谈、现场调查、问卷、文档查阅3.3 信息安全信息安全风险评风险评估流程估流程2资产评估v资产的评价是对资产的价值或重要程度进行评估，资产本身资产的评价是对资产的价值或重要程度进行评估，资产本身的货币价值是资产价值的表达，但更重要的是资产对组织关键的货币价值是资产价值的表达，但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。由于多数资产业务的顺利开展乃至组织目标实现的重要程度。由于多数资产不能以货币形式的价值来衡量，资产评价很难以定量的方式来不能以货币形式的价值来衡量，资产评价很难以定量的方式来进行，多数情况下只能以定性的形式，依据重要程度的不同划进行，多数情况下只能以定性的形式，依据重要程度的不同划分等级分等级v定性：定性：非常重要非常重要重要重要比较重要比较重要不太重要不太重要不重要不重要 5级划分级划分v定量：定量：5 4 3 2 1v信息资产的机密性、完整性、可用性、可审计性和不可抵赖信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的安全属性性等是评价资产的安全属性v可以先分别对资产在以上各方面的重要程度进行评估，然后可以先分别对资产在以上各方面的重要程度进行评估，然后通过一定的方法进行综合通过一定的方法进行综合,可得资产的综合价值可得资产的综合价值2.资产评估资产价值应依据资产在保密性、完整性和可用性上的赋值资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出等级，经过综合评定得出 电子信息资产电子信息资产 纸介资产纸介资产 软件资产软件资产 物理资产物理资产 人员人员 效劳性资产效劳性资产 公司形象和名誉公司形象和名誉3.3 信息安全信息安全风险评估流程估流程2.资产评估资产价值应依据资产在保密性、完整性和可用性上的赋值等资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出级，经过综合评定得出q最大原则：取最大原则：取5个属性中最大的那个属性赋值作为综合评价个属性中最大的那个属性赋值作为综合评价值值 VA=MaxVAc,VAi,VAa,VAac,VAnq加权原则：根据属性保护对业务开展影响赋权重加权原则：根据属性保护对业务开展影响赋权重 Wc+Wi+Wa+Wac+Wn=1，VA=VAcWc+VAiWi+VAaWa+VAacWac+VAnWn3.3 信息安全信息安全风险评估流程估流程2.资产评估信息安全风险评估标准信息安全风险评估标准GB/T20984推荐方法：推荐方法：q首先，对资产的机密性、完整性、可用性定性赋值首先，对资产的机密性、完整性、可用性定性赋值q其次，用一定方法进行综合，基本属于最大原则其次，用一定方法进行综合，基本属于最大原则 机密性赋值表机密性赋值表2-3P28 完整性赋值表完整性赋值表2-4 P29 资产可用性赋值表资产可用性赋值表2-5P29对关键资产进行风险评估是重点对关键资产进行风险评估是重点3.3 信息安全信息安全风险评估流程估流程2.资产评估3.3 信息安全信息安全风险评估流程估流程赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来开展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 资产机密性赋值表资产机密性赋值表信息安全风险评估标准信息安全风险评估标准GB/T209842.资产评估3.3 信息安全信息安全风险评估流程估流程资产完整性赋值表资产完整性赋值表赋值 标识 定义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补 1 很低 完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略 信息安全风险评估标准信息安全风险评估标准GB/T209842.资产评估3.3 信息安全信息安全风险评估流程估流程资产可用性赋值表资产可用性赋值表赋值 标识 定义 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度到达年度99.9%以上，或系统不允许中断 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度到达每天90%以上，或系统允许中断时间小于10 min 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间到达70%以上，或系统允许中断时间小于30 min 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间到达25%以上，或系统允许中断时间小于60 min 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度到达年度99.9%以上，或系统不允许中断 信息安全风险评估标准信息安全风险评估标准GB/T209842.资产评估3.3 信息安全信息安全风险评估流程估流程资产等级及含义描述资产等级及含义描述等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失 4高重要，其安全属性破坏后可能对组织造成比较严重的损失 3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失 2低不太重要，其安全属性破坏后可能对组织造成较低的损失 1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计 信息安全风险评估标准信息安全风险评估标准GB/T209843.3 信息安全信息安全风险评风险评估流程估流程3.3.4 威胁识别与评估威胁识别与评估1威胁识别威胁识别威胁识别的任务是对组织资产面临的威胁进行全面的标识威胁识别的任务是对组织资产面临的威胁进行全面的标识威胁识别可从威胁源进行分析，也可根据有关标准、组织所提威胁识别可从威胁源进行分析，也可根据有关标准、组织所提供的威胁参考目录进行分析。供的威胁参考目录进行分析。如威胁树如威胁树P30系统故障威胁树系统故障威胁树P312威胁评估威胁评估安全风险的大小是由安全事件发生的可能性以及它造成的影响安全风险的大小是由安全事件发生的可能性以及它造成的影响决定，安全事件发生的可能性与威胁出现的频率有关，而安全决定，安全事件发生的可能性与威胁出现的频率有关，而安全事件的影响则与威胁的强度或破坏能力有关事件的影响则与威胁的强度或破坏能力有关威胁评估就是对威胁出现的频率及强度进行评估，这是风险评威胁评估就是对威胁出现的频率及强度进行评估，这是风险评估的重要环节估的重要环节评估者应根据经验和或有关的统计数据来分析威胁出现的评估者应根据经验和或有关的统计数据来分析威胁出现的频率及其强度或破坏能力频率及其强度或破坏能力威胁评估的通用方法q为威胁列表中的全部可赋值威胁类进行赋值为威胁列表中的全部可赋值威胁类进行赋值 3.3 信息安全信息安全风险评估流程估流程等级标识定义5很高出现的频率很高或1 次/周；或在大多数情况下几乎不可防止；或可以证实经常发生过 4高出现的频率较高或 1 次/月；或在大多数情况下很有可能会发生；或可以证实屡次发生过 3中出现的频率中等或 1 次/半年；或在某种情况下可能会发生；或被证实曾经发生过 2低出现的频率较小；或一般不太可能发生；或没有被证实发生过 1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生 威胁赋值表威胁赋值表信息安全风险评估标准信息安全风险评估标准GB/T20984威胁评估的通用方法q判断威胁出现的频率是威胁赋值的重要内容，应根据经验和判断威胁出现的频率是威胁赋值的重要内容，应根据经验和或有关的统计数据来进行判断。需要综合考虑以下三个或有关的统计数据来进行判断。需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：方面，以形成在某种评估环境中各种威胁出现的频率：-以往安全事件报告中出现过的威胁及其频率的统计；以往安全事件报告中出现过的威胁及其频率的统计；-实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；-近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。计，以及发布的威胁预警。q为为简简化化后后续续的的风风险险计计算算过过程程，防防止止不不必必要要的的计计算算工工作作，仅仅采采用用TOP5或者或者TOP10威胁参与风险计算威胁参与风险计算3.3 信息安全信息安全风险评估流程估流程威胁举例 3.3 信息安全信息安全风险评估流程估流程外部威胁开展网络欺骗或讹诈感染恶意代码泄露重要信息手机攻击网络仿冒网页篡改网页恶意代码垃圾邮件拒绝服务攻击病毒蠕虫木马3.3 信息安全信息安全风险评估流程估流程3.3 信息安全信息安全风险评风险评估流程估流程3.3.5 脆弱性识别与评估脆弱性识别与评估 1脆弱性识别脆弱性识别也称为弱点识别。弱点是资产本身存在的，如果没有相应的威胁也称为弱点识别。弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。强健，再严重的威胁也不会导致安全事件，并造成损失。即即,威威胁总是要利用资产的脆弱性才可能造成危害胁总是要利用资产的脆弱性才可能造成危害脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等脆弱性识别所采用的方法主要有：脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等3.3 信息安全信息安全风险评风险评估流程估流程3.3.5 脆弱性识别与评估脆弱性识别与评估 1脆弱性识别脆弱性识别脆弱性识别主要从技术和管理两个方面进行脆弱性识别主要从技术和管理两个方面进行 技术脆弱性涉及物理层、网络层、系统层、应用层等各个技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题层面的安全问题 管理脆弱性又可分为技术管理和组织管理两方面，前者与管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关具体技术活动相关，后者与管理环境相关1脆弱性识别脆弱性识别类型类型识别对象识别对象识别内容识别内容技术脆弱性技术脆弱性网络结构网络结构从网络结构设计、边界保护、外部访问控制策略、内部访从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别问控制策略、网络设备安全配置等方面进行识别系统软件系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别全、系统管理等方面进行识别应用中间件应用中间件从协议安全、交易完整性、数据完整性等方面进行识别从协议安全、交易完整性、数据完整性等方面进行识别应用系统应用系统从审计机制、审计存储、访问控制策略、数据完整性、通从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别信、鉴别机制、密码保护等方面进行识别管理脆弱性管理脆弱性技术管理技术管理从物理和环境安全、通信与操作管理、访问控制、系统开从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别发与维护、业务连续性等方面进行识别组织管理组织管理从安全策略、组织安全、资产分类与控制、人员安全、符从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别合性等方面进行识别3.3 信息安全信息安全风险评估流程估流程脆弱性识别内容表脆弱性识别内容表 3.3 信息安全信息安全风险评风险评估流程估流程2.脆弱性评估脆弱性评估对脆弱性被利用后对资产损害程度对脆弱性被利用后对资产损害程度、技、技术实现术实现的的难难易易程度、弱点流行程度程度、弱点流行程度进进行行评评估，估，评评估的估的结结果一般都是果一般都是定性等定性等级级划分形式，划分形式，综综合的合的标识标识脆弱性的脆弱性的严严重程度。重程度。也可也可对对脆弱性被利用后脆弱性被利用后对资产对资产的的损损害程度以及被利用害程度以及被利用的可能性分的可能性分别评别评估，然后以一定方式估，然后以一定方式综综合。合。假设多个脆弱性反映同一个问题，应综合考虑这些脆假设多个脆弱性反映同一个问题，应综合考虑这些脆弱性，确定该类脆弱性严重程度弱性，确定该类脆弱性严重程度脆弱性评估3.3 信息安全信息安全风险评估流程估流程等级标识定义5很高如果被威胁利用，将对资产造成完全损害。4高如果被威胁利用，将对资产造成重大损害。3中等如果被威胁利用，将对资产造成一般损害。2低如果被威胁利用，将对资产造成较小损害。1很低如果被威胁利用，将对资产造成的损害可以忽略。脆弱性严重程度赋值表脆弱性严重程度赋值表 脆弱性严重程度可以进行等级化处理，不同的等级分别代表资脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的上下。等级数值越大，脆弱性严重程度越产脆弱性严重程度的上下。等级数值越大，脆弱性严重程度越高高信息安全风险评估标准信息安全风险评估标准GB/T209843.3 信息安全信息安全风险评风险评估流程估流程3.3.6 已有安全措施确实认已有安全措施确实认安全措施可以分为预防性安全措施和保护性安全措施两种安全措施可以分为预防性安全措施和保护性安全措施两种预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统可能性，如入侵检测系统通过两个方面的作用来实现通过两个方面的作用来实现 1减少威胁出现的频率，如通过立法或健全制度加大对员工恶意减少威胁出现的频率，如通过立法或健全制度加大对员工恶意行为的惩罚，可以减少员工成心行为威胁出现的频率，通过安全培行为的惩罚，可以减少员工成心行为威胁出现的频率，通过安全培训可以减少无意行为导致安全事件出现的频率；训可以减少无意行为导致安全事件出现的频率；2减少脆弱性，如及时为系统打补丁、对硬件设备定期检查能够减少脆弱性，如及时为系统打补丁、对硬件设备定期检查能够减少系统的技术脆弱性等。减少系统的技术脆弱性等。保护性安全措施可以减少因安全事件发生后对组织或系统造成保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。的影响。3.3 信息安全信息安全风险评风险评估流程估流程3.3.6 已有安全措施确实认已有安全措施确实认对已采取的安全措施进行确认，至少有两个方面的意义对已采取的安全措施进行确认，至少有两个方面的意义 1有助于对当前信息系统面临的风险进行分析有助于对当前信息系统面临的风险进行分析 2通过对当前安全措施确实认，分析其有效性，对通过对当前安全措施确实认，分析其有效性，对有效的安全措施继续保持，以防止不必要的工作和费用，有效的安全措施继续保持，以防止不必要的工作和费用，防止安全措施的重复实施防止安全措施的重复实施3.3 信息安全信息安全风险评风险评估流程估流程3.3.7 风险分析风险分析风险分析就是利用资产、威胁、脆弱性识别与评估结果以风险分析就是利用资产、威胁、脆弱性识别与评估结果以及对已有安全措施确认后，采用适当的方法与工具确定威及对已有安全措施确认后，采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险成的损失对组织的影响，即安全风险3.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算如前所述，风险可形式化的表示为如前所述，风险可形式化的表示为R=A,T,V，其中，其中R表示表示风险、风险、A表示资产、表示资产、T表示威胁、表示威胁、V表示脆弱性。相应的风险值表示脆弱性。相应的风险值由由A、T、V的取值决定，是它们的函数，可以表示为：的取值决定，是它们的函数，可以表示为：风险值风险值=R A，T，V=R L T，V，F Ia，Va Va表示脆弱性严重程度；表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失表示安全事件发生后产生的损失3.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算三个关键计算环节：三个关键计算环节：a计算安全事件发生的可能性计算安全事件发生的可能性根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性，即：安全事件发生的可能性安全事件发生的可能性=L威胁出现频率，脆弱性威胁出现频率，脆弱性 =LT，V 在具体评估中，应综合攻击者技术能力专业技术程度、攻在具体评估中，应综合攻击者技术能力专业技术程度、攻击设备等、脆弱性被利用的难易程度可访问时间、设计击设备等、脆弱性被利用的难易程度可访问时间、设计和操作知识公开程度等、资产吸引力等因素来判断安全事和操作知识公开程度等、资产吸引力等因素来判断安全事件发生的可能性。件发生的可能性。3.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算三个关键计算环节：三个关键计算环节：b计算安全事件发生后的损失计算安全事件发生后的损失 根据资产价值及脆弱性严重程度，计算安全事件一旦发生后根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失，即：的损失，即：安全事件的损失安全事件的损失=F资产价值，脆弱性严重程度资产价值，脆弱性严重程度 =FIa，Va 局部安全事件的发生造成的损失不仅仅是针对该资产本身，还局部安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事件的发生对组织造成的影可能影响业务的连续性；不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时，应将对组织响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在内。的影响也考虑在内。对发生可能性极小的安全事件，可以不计算其损失对发生可能性极小的安全事件，可以不计算其损失3.3 信息安全风险评估流程信息安全风险评估流程3.3.7 风险分析风险分析1风险计算风险计算三个关键计算环节：三个关键计算环节：c计算风险值计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，计算风根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：险值，即：风险值风险值=R安全事件发生的可能性，安全事件造成的损失安全事件发生的可能性，安全事件造成的损失 =RLT，V，FIa，Va 可根据自身情况选择相应的风险计算方法计算风险值，如矩阵可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。法或相乘法。矩阵法通过构造一个二维矩阵，形成安全事件发生的可能性与安全矩阵法通过构造一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系事件的损失之间的二维关系相乘法通过构造经验函数，将安全事件发生的可能性与安全事件的相乘法通过构造经验函数，将安全事件发生的可能性与安全事件的损失进行运算得到风险值。损失进行运算得到风险值。3.3 信息安全信息安全风险评风险