信息安全风险管理课件.ppt

《信息安全风险管理课件.ppt》由会员分享，可在线阅读，更多相关《信息安全风险管理课件.ppt（111页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险管理信息安全风险管理10.1 风险管理概述v“知己知彼，百战不殆。v知己而不知彼，即便获得胜利也损失惨重。既不知已又不知彼，每仗必败。”v为了取得信息安全管理的胜利，必须知己知彼。10.1.1 知己v首先必须识别、检查和熟悉机构中当前的信息及系统，这是不言而喻的。v要想保护资产就必须熟悉它们是什么，它们对机构的价值，以及可能有哪些漏洞。v资产在这里是指信息及使用、存储和传输这些信息的系统。10.1.2 知彼v知彼，这就意味着识别、检查并熟悉机构面临的威胁。v必须确定出对机构信息资产的安全影响最直接的威胁。v然后，通过对这些威胁的理解，按照每项资产对于机构的重要程度，建立一个威胁等级

2、列表。10.1.3 利益团体的作用v机构中的每一个利益团体都有责任管理机构面临的风险，可以从以下三方面的分析中看出：v1.信息安全v因为信息安全团体的成员最了解把风险带入机构的威胁和攻击，所以他们常常在处理风险时处于领导地位。10.1.3 利益团体的作用v2.管理人员v管理人员和用户经过适当的培训，会对机构面临的威胁有着清醒的认识，在早期的检测和响应阶段起一定的作用。v3.信息技术v利益团体必须建立安全的系统，并且安全的操作这些系统。v例如，IT操作应进行合理的备份，以避免硬盘故障引起的风险。10.2 风险管理的基本概念风险管理的基本概念v10.2.1 资产相关概念资产相关概念v1资产资产v所

3、谓资产就是被组织赋予了价值、需要保护的有用资源。v在信息安全体系范围内，一项非常重要的工作就是为资产编制清单。v每项资产都应该清晰地定义，合理地估价，v在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。10.2.1 资产相关概念资产相关概念v2资产的价值资产的价值v资产价值是指经济实体所拥有的固定资产、无形资产体现出来的价值。v为了明确对资产的保护，有必要对资产进行估价，v其价值大小不仅仅要考虑其自身的价值，v还要考虑其对组织机构业务的重要性、在一定条件下的潜在价值以及与之相关的安全保护措施。10.2.1 资产相关概念资产相关概念v因此，在信息系统中资产的价值可以用v信

4、息或其他技术资产的泄漏、非法修改或被破坏等造成的影响的程度来衡量。10.2.1 资产相关概念资产相关概念v3威胁威胁v威胁是指可能对资产或组织造成损害的事故的潜在原因。v例如，网络系统可能受到来自计算机病毒和黑客攻击的威胁。v4脆弱性脆弱性v所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用，造成安全事件的发生，从而对资产造成损害。v脆弱性本身并不会引起损害，它只是为威胁提供了影响资产安全性的条件。10.2.2 风险管理的相关概念风险管理的相关概念v1安全风险安全风险v所谓安全风险就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，v即特定威胁事件发生的可能性与后

5、果的结合。v通过确定资产价值及相关威胁与脆弱性的水平，可以得出风险的度量值。10.2.2 风险管理的相关概念风险管理的相关概念v即对信息和信息处理设施的威胁、影响（指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。v作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。10.2.2 风险管理的相关概念风险管理的相关概念v风险评估的主要任务包括：v识别组织面临的各种风险；v评估风险概率和可能带来的负面影响；v确定组织承受风险的能力；v确定风险降低和控制的优先等级；v推荐风险降低对策。v风险评估也就是确认安全风险及其大小的过程，即利

6、用适当的风险评估工具，v包括定性和定量的方法，确定资产风险等级和优先控制顺序。10.2.2 风险管理的相关概念风险管理的相关概念v2风险管理风险管理v所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。v风险管理通过风险评估来识别风险大小，通过制定信息安全方针，使风险被避免、转移或降至一个可被接受的水平。v风险管理还应考虑控制费用与风险之间的平衡。风险管理过程如下图所示。风险管理风险识别风险评估风险控制图 风险管理过程 10.2.2 风险管理的相关概念风险管理的相关概念v在风险管理过程中，有几个关键的问题需要考虑。v第一，要确定保护的对象是什么？它的直接和间接

7、价值如何？v第二，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？v第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？v第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？v最后，组织应该采取怎样的安全措施才能将风险带来的损失降到最低？解决以上问题的过程，就是风险管理的过程。10.2.2 风险管理的相关概念风险管理的相关概念v这里需要注意，在谈到风险管理的时候，人们经常提到的还有风险分析这个概念。v实际上，对于信息安全风险管理来说，风险分析和风险评估基本上是同义的。v当然，如果细究起来，风险分析应该是处理风险的总体战略，v风险评估只是风险分析中

8、的一项工作，即对可识别的风险进行评估，以确定其可能造成的危害。10.2.2 风险管理的相关概念风险管理的相关概念v3安全需求安全需求v在信息安全体系中，要求组织确认如下安全需求：v评估出组织所面临的安全风险，并控制这些风险的需求；v组织、贸易伙伴、签约客户等需要遵守的法律法规及合同的要求；v组织制订支持业务运作与处理的需求。10.2.2 风险管理的相关概念风险管理的相关概念v4安全控制安全控制v正如BS7799中所定义的，安全控制就是保护组织资产、防止威胁、减少脆弱性等一系列安全实践、过程和机制。v为获得有效的安全，常常需要把多种安全控制结合起来使用，实现监测、威慑、防护等多种功能。v5剩余风

9、险剩余风险v即实施安全控制后，仍然存在的安全风险。10.2.2 风险管理的相关概念风险管理的相关概念v6适用性声明适用性声明v适用性声明是一个包含组织所选择的控制目标与控制方式的文件，v相当于一个控制目标与方式清单，其中应阐述选择与不选择的理由。10.2.3 风险管理各要素间的关系风险管理各要素间的关系v风险管理中涉及的安全组成要素之间的关系v如下图所示，具体描述如下：威胁脆弱性安全控制安全风险资产安全需求资产价值与潜在影响利用防止增加增加暴露减少要求指出增加具有 10.2.3 风险管理各要素间的关系风险管理各要素间的关系v 资产具有价值，并会受到威胁的潜在影响；v脆弱性将资产暴露给威胁，威胁

10、利用脆弱性对资产造成影响；v威胁与脆弱性的增加导致安全风险的增加；v安全风险的存在对组织的信息安全提出要求；v安全控制应满足安全需求；v通过实施安全控制防范威胁，以降低安全风险。10.3 风险的识别风险的识别v风险管理策略要求信息安全专业人员将机构的信息资产进行识别、分类，并区分优先次序，来了解资产。v资产是各种威胁以及威胁代理的目标，风险管理的目标就是保护资产不受威胁。v了解了机构的资产后，就可以进入资产的识别阶段。必须对每一项资产的状况和环境进行检查，找出其漏洞。10.3 风险的识别风险的识别v之后，就要确定采用的控制措施，并根据这些控制措施对限制攻击所造成的可能损失，来评估控制。v风险识

11、别的过程从机构信息资产的识别和评估其价值开始。10.3.1 信息资产的识别信息资产的识别v风险识别过程是从资产的识别开始的，它包括机构系统的所有要素：人员、过程、数据及信息、软件、硬件和网络，v然后对资产进行分析和归类，在进行深入分析的过程中添加细节。v1人员、过程及数据资产的识别人员、过程及数据资产的识别v人力资源、文件资料及数据信息的识别比确定软、硬件资产更困难。v这个任务应由具有知识、经验及判断力的人员来完成。10.3.1 信息资产的识别信息资产的识别v在决定属于哪一个信息资产时，需要考虑下列资产属性：v（1）人员：位置名称/号码；管理人；安全检查级别；特殊能力。v（2）过程：说明；意图

12、；与软件、硬件及网络元素的关系；引用的存储位置；更新的存储位置。v（3）数据：分类；所有者、创建者及管理者；使用的数据结构；数据结构的大小；在线与否；位置；使用的备份过程。10.3.1 信息资产的识别信息资产的识别v2硬件、软件和网络资产的识别硬件、软件和网络资产的识别v应该跟踪每个信息资产，了解哪些属性取决于机构需求及其风险管理，v以及信息安全管理和信息安全技术团队的优先权和需求。v决定跟踪哪一种信息资产时，需要考虑名称、IP地址、MAC地址、序列号、制造商名称、软件版本等资产属性。10.3.2 信息资产的分类信息资产的分类v对信息资产进行分类的目的是便于在处理信息时指明保护的需求、优先级和

13、期望程度。v1分类指导原则分类指导原则v信息资产应当按照它对组织的价值、法律要求、敏感性和关键性予以分类。10.3.2 信息资产的分类信息资产的分类v信息分类的一个事例如下：中华人民共和国保守国家秘密法第九条将国家秘密的密级分为“绝密”、“机密”和“秘密”三级。v“绝密”是最重要的国家秘密，泄漏会使国家的安全和利益遭受特别严重的损害；v“机密”是重要的国家秘密，泄漏会使国家的安全和利益遭受严重的损害；v“秘密”是一般的国家秘密，泄漏会使国家的安全和利益遭受损害。10.3.2 信息资产的分类信息资产的分类v对于信息安全来说，信息资产的分类往往是按照级别进行。v保护级别可通过分析信息资产的保密性、

14、完整性、可用性等安全属性及其他要求进行评估和确定。v这些方面应予以考虑，因为过多的分类会致使实施不必要的控制措施，从而导致成本的增加。10.3.2 信息资产的分类信息资产的分类v同时，在对信息资产进行分类时，对于具有类似安全要求的资产可以一起进行考虑，以便简化分类任务。v总之，对信息资产进行分类是确定如何对信息资产予以处理和保护的简便方法。10.3.2 信息资产的分类信息资产的分类v2信息标识与处置信息标识与处置v在对资产进行科学合理的分类的同时，应当根据资产的分类机制建立并实施一组相应的信息标识和处置程序。v如果系统输出中包含了被分类为敏感或关键的信息，那么该输出中就应当携带享用的分类标识，

15、以便及时进行处理。v这样的项目包括打印报告、屏幕显示、记录介质（例如磁带、磁盘、CD）、电子消息和文件传送等。10.3.2 信息资产的分类信息资产的分类v分类信息的标识和安全处理是信息共享的一个关键要求。v物理标识是常用的标识形式，然而，某些信息资产（诸如电子形式的文件等）不能进行物理标识，此时就需要使用电子标识手段。v如打印报告可采用盖章的方式进行标识，记录的媒介可采用实物标签的形式进行标识，屏幕显示则采用电子形式标识。10.3.2 信息资产的分类信息资产的分类v3资产分类方法资产分类方法v表10-1所示是标准信息系统的组成与v结合了风险管理和SecSDLC（The Security Sys

16、tems Development Life Cycle，安全系统的开发生命周期）方法的改进系统的组成。v一些机构还可以将所列的类进一步细分。例如，因特网组件再细分为服务器、网络设备（路由器、集线器、交换机）、保护设备（防火墙、代理服务器）以及电缆。传统传统的系的系统组统组成成SecSDLCSecSDLC及管理系及管理系统统的的组组成成人员员工信任的员工其他员工非员工信任机构的人员陌生人过程过程IT及商业标准构成IT及商业敏感过程数据信息传输处理存储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组件因特网或DMZ组件表10-1 信息系统的组成分类10.3.2

17、 信息资产的分类信息资产的分类v许多机构已建立了数据分类模式。这种分类的例子如机密数据、内部数据和公共数据。v非正规的机构必须组织建立一个便于使用的数据分类模型。v数据分类模型的另一个方面是人员安全调查结构，根据每个人需要了解信息的多少，来确定授予给他查看的信息等级。10.3.2 信息资产的分类信息资产的分类v分类必须全面、互斥，全面意味着所有的信息资产必须对应各部门的资产清单，互斥意味着一份信息资产应该只对应一个种类。v例如，假定机构拥有公钥基础结构认证授权，这是一个提供密钥管理服务的软件应用程序，v通过一个完全的技术标准，分析人员可以在表10-1中把认证授权归类为软件，在软件一类中再归类为

18、应用程序或安全组件。10.3.3 信息资产评估信息资产评估v在对机构的每一项资产归类时，应提出一些问题，来确定用于信息资产评估或者影响评估的权重标准。v当提出和回答每个问题时，应该准备一个工作表，记录答案，用于以后的分析。v在开始清单处理过程之前，应确定一些评估信息资产价值的最佳标准，要考虑的标准如下：10.3.3 信息资产评估信息资产评估v（1）哪一项信息资产对于成功是最关键的？当决定每一项资产的相对重要性时，应参考机构的任务陈述或者目标陈述。v根据这些陈述，确定何种要素对于实现的目标是必不可少的，哪个要素支持目标，哪个要素仅仅是附属的。10.3.3 信息资产评估信息资产评估v（2）哪一项信

19、息资产创造的收效最多？可以根据某一项资产来评估机构的收益，从而决定哪一项信息资产是重要的。v（3）哪一项资产的获利最多？应该根据某项资产来评估机构获利的多少。v（4）哪一项信息资产在替换时最昂贵？有时一项信息资产拥有特殊的价值，因为它是唯一的。v（5）哪一项信息资产的保护费用最高？在这个问题中，应该思考提供控制的成本，一些资产本身是很难保护的。10.3.3 信息资产评估信息资产评估v（6）哪一项信息资产是最麻烦的，或者泄露后麻烦最大。v完成列出和评估价值的过程后，就可以使用一个简单的过程，来计算每项资产的相对重要性，这个过程称为权重因子分析。10.3.4 威胁识别威胁识别v对机构的信息资产进行

20、识别和初步分类后，就要分析机构所面临的威胁。v如果假定每种威胁能够并且即将攻击每项信息资产，方案就会变得非常复杂。v常见的信息安全威胁如表10-2所示。威威胁胁实实例例1人为过失或失败行为 意外事故、员工过失2侵害知识产权 盗版、版权侵害 3间谍或蓄意入侵行为 未授权访问和收集数据 4蓄意信息敲诈行为 以泄露信息为要挟进行勒索 5蓄意破坏行为 破坏系统或信息 6蓄意窃取行为 非法使用硬设备或信息表10-2 信息安全的威胁 7蓄意软件攻击 病毒、蠕虫、宏、拒绝服务 8自然灾害 火灾、水灾、地震、闪电 9服务提供商的服务质量差 电源及WAN服务问题 10技术硬件故障或错误 设备故障 11技术软件故

21、障或错误 漏洞、代码问题、未知漏洞 12技术淘汰 陈旧或过时的技术 10.3.4 威胁识别威胁识别v必须检查上表中的每一种威胁，评估它对机构的潜在危害，这种检查称为威胁评估。v可以针对每种威胁提出几个基本问题，例如：v（1）在给定的环境下，那一种威胁对机构的资产而言是最危险的？v（2）那一种威胁对机构的信息而言是最危险的？v（3）从成功的攻击中恢复需要多少费用？v（4）防范哪一种威胁的花费最大？10.3.4 威胁识别威胁识别v通过提问并回答上面的问题，可为威胁评估建立一个框架。v如果机构有明确的方针或政策，它们会影响整个过程，并提出额外的问题。v上述问题列表容易扩展，以包含其他问题。10.3.

22、5 安全调查安全调查v数据分类方案的另一个方面指的是个人安全调查机构。v在需要安全调查的机构中，必须给每个数据用户分配一个单一的授权等级。v说明他们授权访问的分类等级。这通常给每个员工分配一个指定的角色，v比如数据记录员，程序员、信息安全分析员等。10.3.6 分类数据的管理分类数据的管理v分类数据的管理v分类数据的管理包括这些数据的存储、分布移植及销毁。v另外每个分类的文件应该在每页的顶部和底部v包含适当的标记存储已分类的数据，只有授权的人才能访问它。10.3.7 漏洞识别漏洞识别v识别了机构的信息资产，为评估它们所面对的威胁制定了一些标准后，v要检查每项信息资产所面对的威胁，并建立一个漏洞

23、列表。v什么是漏洞？它们是威胁代理能够用来攻击信息资产的特定途径。10.4 风险评估风险评估v识别了机构的信息资产及其威胁和漏洞后，就可以评估每个漏洞的相关风险了。v这是通过风险评估过程来完成的。风险评估给每项信息资产分配一个风险等级或者分数。v此数字在绝对术语中没有任何意义，但可用于评估每项易受攻击的信息资产的相关风险。10.4.1风险评估概述风险评估概述v风险=出现漏洞的可能性信息资产的价值-当前控制减轻的风险几率+对漏洞了解的不确定性。v其中，出现漏洞的可能性是指成功攻击机构内某个漏洞的概率。v在风险评估中，要给成功攻击漏洞的可能性指定一个数值。v可以选择1-100的数值，但不能是0，因

24、为如果是0，就已经从资产漏洞列表中删除了。10.4.2 风险评估原则风险评估原则v信息安全风险评估原则包括如下四个方面。v1.自主自主v指由机构内部的人员来管理和指导信息安全风险评估。v这些人负责指导风险管理活动，并对安全工作做出决策。v自主要求：v（1）通过领导信息安全风险评估并对评估过程进行管理，负责信息的安全。v（2）最终对安全工作做出决策，包括实现哪些改进和采取哪些行动。10.4.2 风险评估原则风险评估原则v2适应度量适应度量v一个灵活的评估过程可以适应不断变化的技术和进展。v因为信息安全和信息技术领域变革非常迅速，所以需要一个适应性强的度量集，并据此进行评估。适应度量要求：v（1）

25、定义公认的安全实践、已知的威胁源和技术缺陷目录。v（2）能适应信息目录变化的评估过程。10.4.2 风险评估原则风险评估原则v3已定义过程已定义过程v已定义的过程描述了信息安全评估程序依赖于已定义的标准化评估规程的需要。v一个已定义的过程要求：v（1）为执行评估分配责任。v（2）定义所有的评估活动。v（3）规定评估过程所需的所有工具、工作表和信息目录。v（4）为记录评估结果创建通用的格式。10.4.2 风险评估原则风险评估原则v4连续过程的基础连续过程的基础v机构必须实施基于实践的安全策略和计划，以逐渐改进自身的安全状态。v通过实施这些基于实践的解决方案，机构就能够开始将最佳的安全实践制度化，

26、v使其成为日常开展业务的方法的一部分。10.4.2 风险评估原则风险评估原则v安全改进是一个连续的过程，信息安全风险评估的结果为连续的改进奠定了基础，这需要：v（1）使用已定义的评估过程标识出信息安全风险。v（2）实施信息安全风险评估后的结果。v（3）逐步培养管理信息安全风险的能力。v（4）实施安全策略和计划，使安全改进结合基于实践的方法。10.4.3 风险评估的步骤风险评估的步骤v风险评估的任务是识别组织所面临的安全风险并确定风险控制的优先等级，v从而对其实施有效控制，将风险控制在组织可以接受的范围之内。v1风险评估应考虑的因素风险评估应考虑的因素v（1）信息资产及其价值；v（2）对这些资产

27、的威胁，以及它们发生的可能性；v（3）脆弱性；v（4）已有的安全控制措施。10.4.3 风险评估的步骤风险评估的步骤v2风险评估的基本步骤风险评估的基本步骤v（1）按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价；v（2）根据资产所处的环境进行威胁评估；v（3）对应每一威胁，对资产或组织存在的脆弱性进行评估；v（4）对已采取的安全机制进行识别和确认；v（5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。v3风险评估时应考虑的问题风险评估时应考虑的问题v在进行风险评估时，要充分考虑和正确区分资产、威胁与脆弱性之间的对应关系，如图10-3所示。资产威胁A来源A1来源A2

28、威胁B来源B1来源B2脆弱性A1脆 弱 性A2脆弱性B1脆弱性B2图10-3 资产、威胁与脆弱性的对应关系 10.4.3 风险评估的步骤风险评估的步骤v可以看出，资产、威胁与脆弱性之间的对应关系包括：v（1）一项资产可能存在多个威胁；v（2）威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑；v（3）每一个威胁可能利用一个或数个脆弱性。10.4.4 风险评估的过程风险评估的过程v1信息资产评估信息资产评估v使用信息资产的识别过程中得到的信息，就可以为机构中每项信息资产的价值指定权重分数。v根据机构的需要，使用的数字可以不同。v有的团体使

29、用110的权重分数，或者用1、3和5代表低、中和高价值的资产。10.4.4 风险评估的过程风险评估的过程v在信息系统中，采用精确的财务方式来给资产确定价值比较困难，v一般采用定性分级的方式来建立资产的相对价值或重要度，v这种定性分级可以参考如表10-3所示的方式进行。分分级类级类型型定性分定性分级级程度程度相对较粗的分级低、中、高详细分级可忽略、低、中、高、非常高更详细的分级（低）0、1、2、10（高）10.4.4 风险评估的过程风险评估的过程v 2威胁评估威胁评估v除了识别资产面临的威胁后，还应该评估威胁发生的可能性，确定威胁发生的可能性是风险评估的重要环节。v组织应根据经验和（或）有关的统

30、计数据来判断威胁发生的频率或者威胁发生的概率。v威胁发生的可能性受到下列因素的影响：v资产的吸引力；v资产转化成报酬的容易程度；v威胁的技术含量；v脆弱性被利用的难易程度。10.4.4 风险评估的过程风险评估的过程v威胁发生的可能性的大小可以采取分级赋值的方法予以确定。例如，将可能性分为三个等级：非常可能=3，大概可能=2，不太可能=1。v威胁发生的可能性的大小与威胁发生的条件是密切相关的。v例如，消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。10.4.4 风险评估的过程风险评估的过程v因此，上述根据经验或统计获得的威胁发生的可能性，v可以是一个组织、相同行业或者社会

31、的均值，v对于具体环境中威胁发生的可能性，应考虑具体资产的脆弱性予以修正。10.4.4 风险评估的过程风险评估的过程v3脆弱性评估脆弱性评估v接下来就要检查每项信息资产所面临的威胁，并且建立一个脆弱性列表。v什么是脆弱性？它们是威胁代理能够用来攻击信息资产的特定途径。v它们是信息资产铁甲中的裂缝信息资产、安全程序、设计或控制中的瑕疵或缺点，可以无意或故意破坏安全。10.4.4 风险评估的过程风险评估的过程v仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。v这些弱点可能来自组织结构、人员、管理、程序和资产本身的缺陷等，大体可以分

32、为以下几类。v（1）技术脆弱性v系统、程序和设备中存在的漏洞或缺陷，如结构设计问题和变成漏洞等。v（2）操作脆弱性v软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等。10.4.4 风险评估的过程风险评估的过程v（3）管理脆弱性v策略、程序和规章制度等方面的弱点。v识别脆弱性的途径有很多，包括各种审计报告、事件报告、安全复查报告、系统测试及评估报告等，还可以利用专业机构发布的信息。10.4.4 风险评估的过程风险评估的过程v评估弱点时需要考虑两个因素，一个是脆弱性的严重程度，v另一个是脆弱性的暴露程度，即被威胁利用的可能性，v这两个因素也可以采用分级赋值的方

33、法。v例如对于脆弱性被威胁利用的可能性可以分级为：v非常可能=4，很可能=3，可能=2，不太可能=1，不可能=0。10.4.4 风险评估的过程风险评估的过程v4现有安全控制的确认现有安全控制的确认v在影响威胁事件发生的外部条件中，除了资产的弱点，就是组织现有的安全控制措施。v在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力，v有效的安全控制继续保持，而对于那些不适当的控制应当核查是否应被取消，或者用更合适的控制代替。10.4.4 风险评估的过程风险评估的过程v安全控制的分类方式有多种，按照目标和针对性可以分为：v管理性安全控制对系统开发、维护和使用实施管理的措

34、施，包括安全策略、程序管理、风险管理等。v操作性安全控制用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理，安全意识培训等。10.4.4 风险评估的过程风险评估的过程v技术性安全控制身份识别与认证、逻辑访问控制、日志审计和加密等。v按照功能安全控制又可以分为以下几类：v威慑性安全控制此类控制可以降低蓄意攻击的可能性，实际上针对的是威胁源的动机。v预防性安全控制此类控制可以保护脆弱性，使攻击难以成功，或者降低攻击造成的影响。10.4.4 风险评估的过程风险评估的过程v检测性安全控制此类控制可以检测并及时发现攻击活动，还可以激活纠正性或预防性安全控制。v纠正性安全控制此类控制可以

35、降低攻击造成的影响。v不同功能的安全控制应对风险的情况如图10-4所示。v另外应该注意，在风险评估之后选择的安全控制与现有的和计划的安全控制应保持兼容和一致，以避免在实施过程中出现冲突。威慑性安全控制预防性安全控制检测性安全控制纠正性安全控制防止保护发现威胁脆弱性安 全 事件风险利用引发降低图10-4 安全控制应对风险各要素的情况10.4.4 风险评估的过程风险评估的过程v5风险的评价风险的评价v所谓风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级，v对组织信息安全管理范围内的每一信息资产因遭受泄漏、修改、不可用和破坏所带来的任何影响v做出一个风险测量的列表，以便识别与选择适当和正

36、确的安全控制方式。10.4.4 风险评估的过程风险评估的过程v在风险评价过程中，可以采用多种操作方法，包括基于知识的分析方法，基于模型的分析方法，定量分析和定性分析方法等。v无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。v下面通过简单的例子介绍风险评估结果的确定。10.4.4 风险评估的过程风险评估的过程v（1）风险的确定v某组织机构通过分析，得到：风险=出现漏洞的可能性资产价值（或威胁造成的影响）-已控制风险的比例+不确定因素。v如：信息资产A的价值是50，有1个漏洞，出现的可能性是1.0，当前没有控制风险，估计该假设和数据的准确率

37、为90%。v则：资产A由于一个漏洞引起的风险等级=（50*1.0）-0%+10%=50.1 10.4.4 风险评估的过程风险评估的过程v信息资产B的价值是100，有2个漏洞，其中一个出现的可能性是0.5，当前已控制的风险比例是50%；另一个出现的可能性是0.1，当前没有控制风险。估计该假设和数据的准确率为80%。v则资产B由于两个漏洞引起的风险等级分别是：v（100*0.5）-50%+20%=49v（100*0.1）-0%+20%=10.2 10.4.4 风险评估的过程风险评估的过程v（2）记录风险评估的结果v在风险评估过程结束时，将得到一份很长的信息资产列表，其中包含这些信息资产的各种数据。

38、v到目前为止，这个过程的目标是识别机构中存在脆弱性并面临威胁的信息资产，并将它们列出来，依照最需要保护的顺序划出等级。v最后的总结文件是风险等级表，如表10-4所示。资产资产资产资产影影响或响或相关相关价价值值漏洞（脆弱性）漏洞（脆弱性）漏洞出漏洞出现现（脆弱（脆弱性暴露）性暴露）的可能的可能性性风险风险等等级级因因子子通过电子的客户服务请求（输入）55由于硬件故障而导致电子邮件中断0.211通过SSL客户订单（输入）100由于Web服务器硬件故障而导致订单丢失0.110表10-4 风险等级通过SSL客户订单（输入）100由于Web服务器或ISP服务故障而导致订单丢失0.110通过电子的客户服

39、务请求（输入）55由于SMTP邮件转发攻击而导致电子邮件中断0.15.5通过电子的客户服务请求（输入）55由于ISP服务失败而导致电子邮件中断0.15.5通过SSL客户订单（输入）100由于Web服务器拒绝服务攻击而导致订单丢失0.0252.5通过SSL客户订单（输入）100由于Web服务器软件故障而导致订单丢失0.011 10.4.4 风险评估的过程风险评估的过程v上表中列出了每项易受攻击的资产，显示了权重因子分析表中此项资产的价值。v在这个例子中，数字从1至100，并列出了每个不可控的漏洞及出现的可能性，且计算出风险等级因子。v从表中可以看出，最大的风险来自易受攻击的邮件服务器。v尽管由客

40、户服务电子邮件所代表的信息资产的影响等级仅为5.5，但是硬件相对较高的故障率使它成为最紧迫的问题。10.5 风险控制风险控制v通过风险识别和风险评估后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。v10.5.1 风险控制策略风险控制策略v机构信息安全管理人员在进行风险控制时，可以根据机构的实际情况选择如下4项基本策略，来控制风险。v（1）避免采取安全措施，消除或者减少漏洞的不可控制的残留风险。v（2）转移将风险转移到其他区域，或者转移到外部。10.5.1 风险控制策略风险控制策略v（3）缓解减少漏洞产生的影响。v（4）接受对残留风险进行确认和评价的过程。v1避免避免v避

41、免是试图防止脆弱性被利用的风险控制策略。v这是一种首选方法，通过对抗威胁，排除资产中的漏洞，限制对资产的访问，加强安全保护措施来实现。10.5.1 风险控制策略风险控制策略v风险避免有3种常用的方法。v（1）通过应用政策来避免。这种方法允许管理人员颁布特定的后续步骤。v例如，如果机构需要更严格的控制密码的使用，就应该执行一项政策，要求所有的IT系统都使用密码。10.5.1 风险控制策略风险控制策略v（2）教育培训。v必须使员工了解政策。另外，新技术通常需要培训。v如果希望员工的行为比较安全、有控制，认识、培训以及教育就是必不可少的。10.5.1 风险控制策略风险控制策略v（3）应用技术。v在信

42、息安全中，通常需要技术解决方案来确保减少风险。v如密码可用于大多数现代的操作系统，但一些系统管理员可能没有使用密码。v如果政策要求使用密码，管理员也意识到它的必要性，并参加了培训，这个技术控制就会得到成功的使用。10.5.1 风险控制策略风险控制策略v风险可以通过对抗资产面临的威胁或者禁止暴露资产来避免。v消除威胁是非常困难的，但有可能实现。v避免威胁的另一个风险管理办法是实现安全控制和防护，v使针对系统的攻击发生偏离，因此将攻击成功的概率降到最小。10.5.1 风险控制策略风险控制策略v2转移转移v转移是将风险转移到其他资产、其他过程或其他机构的控制方法。v它可以通过重新考虑如何提供服务、修

43、改部署模式、外包给其他机构、购买保险或与提供商签署服务合同来实现。10.5.1 风险控制策略风险控制策略v优秀机构有8个特征，其中一个特征是“只管自己的事情”，对于了解的业务保持合理的关注度。v它意味着，机构并不把精力浪费在开发网站的技术上，而是将精力和资源集中于其优势业务上，v而其他的专业技术则依靠顾问或者承包商来完成。10.5.1 风险控制策略风险控制策略v精明的机构一般不管理自己的服务器，而是雇佣Web管理员、Web系统管理员和专业的安全专家，v雇佣ISP或咨询机构，为他们提供这些产品和服务。10.5.1 风险控制策略风险控制策略v这样，机构就可以将管理复杂系统的风险转嫁给对处理这些风险

44、有经验的另一个机构。v但是外包并非不存在风险。v信息资产的所有者、IT管理人员和信息安全组要保证外包合同中的灾难恢复要求足够多，并在进行恢复工作前得到满足。10.5.1 风险控制策略风险控制策略v3缓解缓解v缓解是一种控制方法，它试图通过规划和预先的准备工作，来减少漏洞造成的影响。v这种方法包括3类计划，事件响应计划（IRP）、灾难恢复计划（DRP）和业务持续性计划（BCP）。v每种计划都取决于尽快检测和响应攻击的能力，依赖于其他计划的建立和质量。v缓解起源于早期发现的攻击和机构快速、高效的响应能力。缓解策略如表10-5所示。计计划划描述描述实实例例何何时时使用使用时间时间范范围围事件响应计划

45、（IRP）在事件（攻击）进行过程中机构采取的行动灾难发生期间采取的措施情报收集信息分析当事件或者灾难发生时立即并实时做出响应表10-5 缓解策略灾难恢复计划（DRP）发生灾难时的恢复准备工作；灾难发生之前及过程中减少损失的策略；逐步恢复常态的具体指导丢失数据的恢复过程丢失服务的重建过程结束过程来保护系统和数据在事件刚刚被确定为灾难后短期恢复业务持续性计划（BCP）当灾难的等级超过DRP的恢复能力时，确保全部业务继续动作的步骤启动下级数据中心的准备步骤在远程服务位置建立热站点在确定灾难影响了机构的持续运转之后长期恢复 10.5.1 风险控制策略风险控制策略v4接受接受v要使组织机构的信息系统达到

46、绝对安全（即零风险）是不可能的。v组织在实施选择的控制后，仍然会存在风险，称之为残留风险或剩余风险。v甚至有些剩余风险是组织有意对某些资产没有进行保护而造成的。10.5.1 风险控制策略风险控制策略v当然，为确保组织信息系统的安全，剩余风险应当在可接受的范围之内。v即：v剩余风险=原有风险-降低（控制）的风险v剩余风险可接受风险v风险接受是一个对残留风险进行确认和评价的过程。v在安全控制实施后，机构应对所选择的安全控制的实施情况进行评审。10.5.1 风险控制策略风险控制策略v换句话来说，就是对实施安全控制后的资产风险进行计算，以获得残留风险的大小，v并将残留风险分为“可接受”和“不可接受”的

47、风险。10.5.2 风险控制的识别与选择风险控制的识别与选择v风险控制的选择应以风险评估的结果作为依据，判断与威胁相关联的脆弱性，v决定什么地方需要保护，以及应该采取何种形式的控制。10.5.2 风险控制的识别与选择风险控制的识别与选择v风险控制选择的另一个重要方面就是费用因素。v如果实施和维护所选控制的费用比资产遭受威胁所造成损失的预期值还要高，那么所选择的控制就是不合适的；v同样，如果控制费用超出了机构计划的安全预算，也是不适当的。10.5.2 风险控制的识别与选择风险控制的识别与选择v安全控制预算应作为一个限制性因素予以考虑，v通过费用比较（控制费用与损失成本）对现有的和计划的控制进行再

48、检查，v如果它们不够充分有效，就要考虑取消或者改进。10.5.2 风险控制的识别与选择风险控制的识别与选择v当选择风险控制措施进行实施时应当考虑以下因素：v控制的易用性；v用户透明度；v为用户提供帮助，以发挥控制的功能；v控制的相对强度；v实现的功能类型预防、威慑、探测、恢复、纠正、监控和安全意识教育。v通常，一个控制可以实现多个功能，实现的越多则越好。10.5.3 验证结果验证结果v风险评估的结果可以用许多方式来提交：执行控制风险的系统方法、风险评估项目和特定主题的风险评估。v机构在开始制定全面的风险管理计划时，需要准备一个系统的报告，列举控制风险的各种方法。10.5.3 验证结果验证结果v

49、系统报告的另一个方法是在行动计划中，证明每对信息资产/威胁的控制策略达到了预期的结果。v这个行动计划包括具体的任务，每项任务分配给一个机构单位或个人。v它可能包括硬件和软件的需求，预算估计以及具体要求的时间表，来启动实时控制所需的项目管理工作。10.5.3 验证结果验证结果v 在一些情况下，要为特定的IT项目进行风险评估，有时这是在IT项目经理的要求下完成的。v项目的风险评估应在完成的IT系统中找出风险的来源，并为控制风险提出建议，因为这些风险可能会阻止项目的完成。10.5.3 验证结果验证结果v最后，当管理人员需要某个信息系统主题的详细信息和机构面临的风险信息时，就可以在特定主题报告中进行风

50、险评估，v这些通常是向高级管理人员汇报时必须准备的报告，主要探讨信息系统操作风险的狭窄领域。小结小结v风险管理就是以可接受的费用识别、评估、控制风险，以降低或消除可能影响信息系统的安全风险的过程。v风险管理通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。小结小结v本章首先介绍了风险管理中涉及到的一些基本概念，然后介绍如何识别和评估风险，最后介绍风险控制的策略以及如何进行风险控制措施的识别与选择。v通过本章的学习读者应该知道风险管理是信息安全管理的重要步骤，而风险管理过程包括风险识别、风险评估及风险控制，机