风险评估与管理ppt课件.ppt

《风险评估与管理ppt课件.ppt》由会员分享，可在线阅读，更多相关《风险评估与管理ppt课件.ppt（79页珍藏版）》请在咨信网上搜索。

风险评估与管理 风险评估与管理1.与风险评估和风险管理相关的概念解析2.信息安全风险管理的一般过程3.风险评估与风险管理的其它问题 1 概念解析1.1 与 过程相关的概念风险风险管理风险评估风险分析风险评价风险处理资产威胁脆弱性防护措施1.2 与 要素相关的概念概念解析1-风险o风险（风险（risk）n风险是指遭受损害或损失的可能性，是实现一个事件的不想要的负面结果的潜在因素。n对信息系统而言：两种因素造成对其使命的实际影响：（1）一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率；（2）上述事件发生之后所带来的影响。概念解析1-风险（续）o在ISO/IEC GUIDE73将事件定义为：n事件的概率及其结果的组合。o注1 通常，只有至少存在产生不利结果可能性的情况下才使用“风险”术语。o注2 在某些情况下，风险是由偏离期望的结果或事件的可能性引起的。概念解析2-风险管理o风险管理风险管理(Risk management)n风险管理指标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程。n风险管理被认为是良好管理的一个组成部分。概念解析2-风险管理o对风险管理的过程而言，不同的方法或工具提供了不同的步骤，但是信息安全风险管理可操作的相关过程和活动一般都要包括：确定评估范围识别评估控制措施识别评估资产识别评估威胁选择安全措施识别评估脆弱性确定风险处理策略风险评价制定安全计划实施安全计划风险分析风险处理概念解析3-风险评估o风险评估风险评估(risk assessment)n风险评估指风险分析和风险评价的整个过程。n风险评估是风险管理的基础，是组织确定信息安全要求的途径之一，属于组织信息安全管理体系策划的过程。n通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级，从而对其实施有效控制，将风险控制在组织可以接受的范围之内。概念解析3-风险评估（续）o区分风险评估和风险管理n风险管理是把整个组织内的风险降低到可接受水平的整个过程。风险管理是一个持续的周期，通常以一定的间隔重新开始，来更新流程中各个阶段的数据。风险管理是一个持续循环，不断上升的过程。n风险评估是确定组织面临的风险并确定其优先级的过程，是风险管理流程中最必须，最谨慎的一个过程。当潜在的与安全相关的事件在企业内发生时，如变动业务方法、发现新的漏洞等，组织都可能会启动风险评估。概念解析4-风险分析o风险分析风险分析(risk analysis)n风险分析是标识安全风险，确定其大小和标识需要保护措施的区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处理提供数据。概念解析4-风险分析（续）n就风险分析的方法而言，目前应用中没有所谓的正确或错误的方法。一个组织选择一个自己感觉顺手，可以信任，且能产生可比较、可再现性的结果才是最重要的。n尽管评估风险的方法有很多，但是大多数方法都是基于两种方法或两种方法的组合：定性的分析方法和定量的分析方法。概念解析4-风险分析（续）o定性分析方法n定性分析方法是最广泛使用的风险分析方法。主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性。n该方法通常只关注威胁事件所带来的损失，而忽略事件发生的概率。概念解析4-风险分析（续）o定量分析方法n定量分析方法在后果和可能性分析中采用数值（不是定性分行中所使用的叙述性数值范围），并采用从各种各样的来源中得到的数据。n定量分析步骤主要集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考依据。概念解析4-风险分析（续）o定性风险分析示例定性风险分析示例（此示例来源于ISO/IEC13335-3）概念解析4-风险分析（续）o步骤1：结果或影响的定性量度等级等级描述描述详详细描述详详细描述1可以忽略无伤害，低财物损失2较小立即受控制，中等财物损失3中等受控，高财物损失4较大大伤害，失去生产能力，较大财物损失5灾难性持续能力中断，巨大财物损失概念解析4-风险分析（续）o步骤2：可能性的定性量度等级等级描述描述详细描述详细描述A几乎肯定预期在大多数情况下发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生概念解析4-风险分析（续）o步骤3：从而得出风险分析矩阵其中：E：要求立即采取措施 H：需要高级管理部门的注意 M：必须规定管理责任 L：用日常程序处理概念解析4-风险分析（续）o定量风险分析的示例定量风险分析的示例:概念解析4-风险分析（续）n计算风险的年预期损失oALE:Annual Risk Expectancy年预期损失nARO:Annual Rate of Occurrence 年发生率nSLE:Single Loss Expectancy单一风险预期损失oALE=ARO*SLE概念解析4-风险分析（续）o两种方法的比较：n目前风险分析方法以定性分析为主。n由于定性的分析方法不是用数学或统计的工具将风险模型化，因此一次风险评估的成败与执行者的经验有很大的关系。n定量方法有一些固有的难以克服的明显缺点。n具体对比见下表：概念解析4-风险分析（续）优点优点缺点缺点定性分析定性分析它可以对风险进行排序并能够对那些需要立即改善的环节进行标识没有对影响大小给出具体的定量度量，因此使得对控制进行成本效益分析变得很困难。定量分析定量分析对影响大小给出了度量，使得可以使用成本效益分析来控制成本依赖于用来表示度量的数字范围，定量影响分析的结果的含义可能因而会比较模糊，还要以定性的方式对结果做解释o比较：概念解析5-风险评价o风险评价风险评价(risk evaluation)n是把前些步骤识别分析出来的风险与风险判据进行比较，以判断特定的风险是否可接受或需采取其它措施处置。n风险评价的结果为具有不同等级的风险列表。概念解析5-风险评价（续）n目前在风险评价的方法上，国际上一直还在不断的研究中，也有相当多的定量或者定性的风险计算方法被提出，但是由于安全风险要素的各个环节存在太多的不确定因素和无法定量的特性，因此并没有被公认接受的风险评价方法。概念解析6-风险处理o风险处理风险处理(risk mitigation)n风险处理是风险管理的第二个过程。n它包括对风险评估过程中建议的安全控制进行优先级排序、评估和实现。概念解析6-风险处理（续）n风险评估只为组织的信息安全活动提供一个方向，并没有必要导致重大的信息安全改进。n不管评估方法有多专业和多详细，都不能改进组织的安全状态，除非组织通过实现评估结果将改进活动坚持到底。n所以评估结束后，组织必须开发详细的行动计划，计划如何根据评估实现保护策略和风险处理计划。概念解析6-风险处理（续）n风险处理是一种系统化方法，高级管理人员可用它来降低使命风险。风险处理可以通过下列措施实现：o风险承受：接受潜在的风险并继续运行信息系统，或实现安全防护措施，以把风险降低到一个可接受的级别。o风险规避：通过消除风险的原因和/或后果（如在识别出风险后放弃系统某项功能或关闭系统）来规避风险。o风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。概念解析 与过程相关概念小结o其关系可以简明表示如下：风险管理风险评估风险处理风险评价风险分析概念解析7-资产o资产(asset)n所谓资产就是被组织赋予了价值，组织需要保护的有用资源。nISO13335-1定义资产为所有对组织有用的东西。n为了对资产进行有效的保护，组织需要在各个管理层对资产落实责任，进行适当的管理。概念解析7-资产（续）o以下是资产示例及分类：n信息资产：数据库和数据文件、系统文件、用户手册、培训资料、操作与维护程序、知识产权、业务持续性计划、应急安排等。n书面文件：合同、公司文件、人事记录、财务记录、采购文件、发票等。n软件资产：应用软件、系统软件、开发工具和实用程序等。概念解析7-资产（续）n物理资产：计算机、服务器、路由器、集线器、防火墙、通讯设备、其它技术设备（供电设备、空调设备）、家具、办公场所等。n人员：员工、客户、合同工、警卫。n服务：计算和通讯服务及其它技术服务（供暖、照明、电力、空调）等。n公司形象和声誉：如正面和负面的宣传、品牌附加值等。o威胁威胁(threat)n威胁是一个单位的信息资产的安全可能受到的侵害。nISO 17799 将威胁定义为对组织造成潜在影响的原因。nNIST SP800-30将威胁定义为可能对系统造成损害的事件或实体。概念解析8-威胁概念解析8-威胁（续）n威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。概念解析8-威胁（续）o以下几种都是常见的威胁：n对信息、信息系统、网络和网络服务的非授权访问o这些一般都是有意图、有目的的行为，会对信息的保密性、完整性和可用性造成损害，损害的程度决定于非授权用户的目的和拥有的权限。n信息的非授权修改o这是一种有预谋的威胁，可能会损害资产的保密性与可用性。概念解析8-威胁（续）n恶意软件o恶意软件的引入可以是有意的（具有一定的目的和企图）和无意的（运行了来历不明的软件），恶意软件威胁资产的保密性、完整性和可用性。n软件失效o由于有预谋的事件或意外事件发生，从而导致软件的完整性与可用性的损失。概念解析8-威胁（续）n火灾o这是一种意外事故，也可能是一种有预谋的事件，会影响资产的完整性与可用性。n偷窃o这是一种有预谋的威胁，可能会损害资产的保密性与可用性。n人员错误o可能是有意的或无意的行为，有时此类事件的发生仅仅是员工缺乏安全意识，并不是有什么恶意企图。概念解析9-脆弱性o脆弱性(Vulnerability)n脆弱性是信息资产及其防护措施在安全方面的不足和弱点。n脆弱性也常常被称为漏洞。nNIST SP800-30将漏洞定义为安全程序、技术控制措施、物理控制措施或其他控制措施中可能被威胁利用的条件或弱点，或缺乏控制措施。概念解析9-脆弱性（续）n经验表明：大多数重大的漏洞通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的，但是进行风险评估时往往过分注重技术漏洞。概念解析9-脆弱性（续）o以下都是常见的脆弱性：n缺乏物理保护或保护不适当o可能被威胁利用，损害资产的保密性、完整性和可用性n口令选择或使用不当o可能导致对系统信息的非授权访问，从而损害资产的保密性、完整性和可用性。概念解析9-脆弱性（续）n与外部网络的连接没有保护 o能导致在联网系统中存储与处理信息的保密性、完整性和可用性的损害。n没有保护的存档文件o有可能被偷窃，从而损害资产的保密性、完整性和可用性。n不足够的安全培训o可能造成用户缺乏足够的安全意识，破坏信息的保密性，或者产生用户错误，从而造成对资产的完整性和可用性的损害。概念解析10-防护措施o防护措施(safeguard)n防护措施是对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。n防护措施 本质上都是减少脆弱性的。概念解析-与要素相关概念小结风险评估与管理1.与风险评估和风险管理相关的概念解析2.信息安全风险管理的一般过程3.风险评估与风险管理的其它问题 2 信息安全风险管理的一般过程2.1 信息安全风险评估的过程2.2 信息安全风险处理的过程2.1 信息安全风险评估的过程输入输入输出输出风险评估活动风险评估活动 硬件 软件 系统接口 数据和信息 人员 系统使命步骤1：体系特征描述 系统边界 系统功能 系统和数据的关键性系统和数据的敏感性 系统遭受攻击的历史 来自信息咨询机构、大众媒体的数据 以前的风险评报告 安全检查工作中提出的意见 安全要求 安全测试结果 当前的以及规划中的安全措施 威胁的属性（威胁源、动机、能力等）脆弱性的性质当前的以及规划中的安全措施 分析对使命的影响 评估资产的关键性 数据关键性数据敏感性 威胁声明 可能的脆弱性列表 当前的以及规划中的安全措施 可能性级别 影响级别步骤2：识别威胁步骤3：识别脆弱性步骤4：分析安全措施步骤5：确定可能性步骤6：分析影响完整性损失可用性损失保密性损失步骤7：确定风险 威胁破坏的可能性 影响的程度 当前的以及规划中的安全措施的足够性 风险及相关风险的级别步骤8：建议安全措施步骤9：记录结果 建议的安全措施 风险评估报告风险评估流程图2.1 信息安全风险评估的过程(续)o步骤1：描述系统特征n在对信息系统的风险进行评估中，第一步是定义工作范围。n在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统进行授权运行（或认可）的边界，并为风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。2.1 信息安全风险评估的过程(续)n步骤1.1 系统相关信息n步骤1.2 信息收集技术o可以使用下列一项或多项技术在其运行边界内获取相关的系统信息：n调查问卷 n现场面谈 n文档审查 n使用自动扫描工具 2.1 信息安全风险评估的过程(续)o步骤2：识别威胁o如果没有脆弱性，威胁源无法造成风险；在确定威胁的可能性时，应该考虑威胁源、潜在的脆弱性和现有的安全防护措施。n步骤2.1 识别威胁源n步骤2.2 动机和行为2.1 信息安全风险评估的过程(续)o步骤3：识别脆弱性o本步的目标是制定系统中可能会被威胁源利用的脆弱性（缺陷或薄弱环节）的列表。n步骤3.1 脆弱性源n步骤3.2 系统安全测试2.1 信息安全风险评估的过程(续)o步骤4：分析安全控制o本步的目标是对已经实现或规划中的安全防护措施进行分析单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）。n步骤4.1 安全防护措施n步骤4.2 安全防护措施的分析技术2.1 信息安全风险评估的过程(续)o步骤5：分析可能性o本步要说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性，下列支配因素应该在本步中考虑：威胁源的动机和能力。脆弱性的性质。安全防护措施的有效性。2.1 信息安全风险评估的过程(续)n一个潜在的脆弱性被一个给定威胁源攻击的可能性可以用高、中、低来表示。下表描述了这三个可能性级别。可能性级别可能性级别可能性描述可能性描述高高威胁源具有强烈的动机和足够的能力，防止脆弱性被利用的防护措施是无效的。中中威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用。低低威胁源缺少动机和能力，或者已经部署的安全防护措施能够防止至少能大大地阻止对脆弱性的利用。2.1 信息安全风险评估的过程(续)o步骤6：分析影响o度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。o对安全事件的负面影响可以用完整性、可用性和保密性三个安全属性的损失或降低来描述。2.1 信息安全风险评估的过程(续)n可以通过定性手段进行度量，例如用高、中、低影响等术语来描述。影响级别影响级别影响定义影响定义高高对脆弱性的利用（1）可能导致有形资产或资源的高成本损失；（2）可能严重违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员死亡或严重伤害。中中对脆弱性的利用（1）可能导致有形资产或资源的损失；（2）可能违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员伤害。低低对脆弱性的利用（1）可能导致某些有形资产或资源的损失；或者（2）可能对单位的使命、声誉或利益造成值得注意的影响。2.1 信息安全风险评估的过程(续)o步骤7：确定风险o确定一个特定的威胁/脆弱性对带来的风险时，可以将其表示为以下参数构成的函数：给定的威胁源试图攻击一个给定的系统脆弱性的可能性；一个威胁源成功攻击了这个系统的脆弱性后所造成的影响的程度；规划中或现有的安全防护措施对于降低或消除风险的充分性。2.1 信息安全风险评估的过程(续)n步骤7.1 风险级别矩阵o将威胁的可能性（例如概率）及威胁影响的级别相乘后便得出了最终的使命风险。下面是一个关于威胁的可能性（高、中、低）和威胁影响（高、中、低）的33矩阵。o根据现场要求和风险评估要求的粒度，有些情况下也可能使用44或55的矩阵。2.1 信息安全风险评估的过程(续)n下表的矩阵范例描述了高、中或低的总体风险级别是如何得出的。这种风险级别或等级的确定可能是主观性的。这种判断的基本原理可以用每个可能性级别上分配的概率值和每个影响级别上分配的影响值来解释。例如：o赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低；o赋给每个影响级上的值为100时表示高，50表示中，10表示低。2.1 信息安全风险评估的过程(续)威胁可能性威胁可能性影响影响低（10）中（50）高（100）高（1.0）低101.0=10中501.0=50高1001.0=100中（0.5）低100.5=5中500.5=25中1000.5=50低（0.1）低100.1=1低500.1=5低1000.1=10风险尺度：高（50100）；中（1050）；低（110）2.1 信息安全风险评估的过程(续)o步骤7.2 风险级别描述o下表描述了上述矩阵中的风险级别。这种表示为高、中、低的风险尺度代表了如果给定的脆弱性被利用来攻击时，信息系统、设施或流程可能暴露出的风险程度或级别。风险尺度也表示了高级管理人员和系统拥有者对每种风险级别必须采取的行动。2.1 信息安全风险评估的过程(续)风险级别风险级别风险描述和必要行动风险描述和必要行动高高如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划。中中如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动。低低如果被评估为低风险，那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。2.1 信息安全风险评估的过程(续)o步骤8：建议安全防护措施o在这一步里，将针对单位的运行提出可用来控制已识别出的风险的安全防护措施。2.1 信息安全风险评估的过程(续)o步骤9：记录评估结果 o一旦风险评估全部结束（威胁源和系统脆弱性已经被识别出来，风险也得到了评估，安全防护措施建议也已经提出），该过程的结果应该被记录到正式的报告或简报里。风险评估过程结束！2.2 信息安全风险处理的过程来自风险评估报告的风险级别l由高到底的行动优先级风险评估报告l可能的控制清单l成本效益分析l所选择的安全防护措施l责任人员清单步骤2：评估所建议的安全选项可用性有效性步骤3：实施成本效益分析步骤4：选择安全防护措施步骤5：分配责任步骤6：制定安全措施的实现计划l风险及相关风险的级别l优先级排序后的行动l所建议的安全防护措施l所选择的预期安全措施l责任人员l开始日期l目标完成日期l维护要求l安全措施实现计划步骤7：实现所选择的安全措施l残余风险步骤1：对行动优先级进行排序2.2 信息安全风险处理的过程（续）o步骤1:对行动优先级进行排序o基于在风险评估报告中提出的风险级别，对风险处理的实现行动进行优先级排序。在分配资源时，标有不可接受的高等级（例如被定义为“非常高”或“高”风险级的风险）的风险项应该最优先。这些脆弱性/威胁对需要采取立即纠正行动以保护单位的利益和使命。2.2 信息安全风险处理的过程（续）o步骤2:评估所建议的安全选项o风险评估过程中建议的安全防护措施对于具体的单位及其信息系统可能不是最适合和最可行的。在这一步中，要对所建议的安全防护措施的可行性（如兼容性、用户接受程度）和有效性（如保护程度和风险控制的级别）进行分析。目的是选择出最适当的安全防护措施，使风险降至最低。2.2 信息安全风险处理的过程（续）o步骤3:实施成本效益分析o为了帮助管理层做出决策并找出成本有效性最好的安全控制，要实施成本效益分析。2.2 信息安全风险处理的过程（续）o步骤4:选择安全防护措施o在成本效益分析的基础上，管理人员应确定成本有效性最好的安全防护措施来降低单位的风险。2.2 信息安全风险处理的过程（续）o步骤5:责任分配o遴选出那些拥有合适的专长和技能，可实现所选安全防护措施的人员（内部人员或外部合同商），并赋以相应责任。2.2 信息安全风险处理的过程（续）o步骤6:制定安全防护措施的实现计划o在本步中将制定安全防护措施的实现计划。2.2 信息安全风险处理的过程（续）o步骤7:实现所选择的安全防护措施o根据各自情况的不同，所实现的安全控制可以降低风险级但不会根除风险。实现安全防护措施后仍然存在的风险为残余风险。风险处理过程结束！风险评估与管理1.与风险评估和风险管理相关的概念解析2.信息安全风险管理的一般过程3.风险评估与风险管理的其它问题 3 风险评估与风险管理的其它问题3.1 风险评估的角色和责任3.2 风险评估方法3.3 风险评估工具3.4 风险评估模式分析3.5 风险评估与等级保护、认证认可的关系3.1 风险评估的脚色和责任o信息系统风险评估的参与角色一般有主管机关、信息系统拥有者、信息系统承建者、信息系统安全评估服务机构、信息系统的关联者（即因信息系统互联、信息交换和共享、系统采购等行为与该系统发生关联的机构）。o基本风险评估方法o基本的风险评估是只利用直接和简单的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。o详细风险评估方法o详细的风险评估就是对资产、威胁和脆弱性进行详细的识别与评价，详细的风险评估结果被用于风险评估和安全控制措施的识别和选择。3.2 风险评估方法3.2 风险评估方法(续)o联合风险评估方法o这种方法首先使用基本的风险评估方法，识别信息安全管理体系范围内具有潜在高风险或对业务运作极为关键的资产，然后根据基本的风险评估的结果，将信息安全管理体系范围内的资产分为两类，一类需要应用详细的风险评估方法以达到适当保护，另一类通过基本的风险评估方法就可以满足组织的需要了。3.3 风险评估工具o目前对风险评估工具的分类还没有一个统一的理解。通常情况下技术人员会把漏洞扫描工具称为风险评估工具，很多文献中提到的风险评估工具也就是指漏洞评估扫描器。o但是随着人们对信息资产的深入理解，发现信息资产不只包括存在于计算机环境中的数据、文档，信息在组织中的各种载体中传播，包括纸质载体、人员等，因此信息安全包括更广泛的范围。3.3 风险评估工具（续）o在此基础上，许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法，开发出了一些工具，如CRAMM、CORBA等，这些工具统称为风险评估工具。o北京知识安全工程中心推出的Crisk方法与Crisk评估工具。o根据评估方与被评估方的关系，他们和信息资产的关系分为：n自评估是信息系统拥有者依靠自身力量，对自有的信息系统进行的风险评估活动。n检查评估由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准，检查被评估单位是否满足了这些法规或标准。n委托评估指信息系统使用单位委托具有风险评估能力的专业评估机构（国家建立的测评认证机构或安全企业）实施的评估活动。3.4 风险评估的模式分析3.4 风险评估与等级保护、认证认可关系o右图表示了信息系统安全建设中的主要工作，可从中看到等级保护、认证认可、风险评估在信息系统安全建设中的位置。o一次成功的风险管理计划取决于：n高层管理部门的支持；n信息团队的全力支持与参与；n风险评估团队的能力；n用户的意识和合作；n对与信息相关的使命风险进行持续的评价和评估。总结总结