1、第四章 信息安全風險評估本章學習目標u了解風險評估的概念、特點和內涵；u 熟悉風險評估的過程及應注意的問題；u 了解如何選擇恰當的風險評估方法；u 掌握典型的風險評估方法；u了解風險評估實施準備4.1信息安全風險評估基礎 GB/T 20984-2007信息安全技術 信息安全風險評估規范 相關概念 資產（Asset）：任何對組織有價值的事如，是安全策略保護的對象。 威脅（Threat）:指可能對資產或組織造成損害的事故的潛在原因。 脆弱點（Vulnerability）：是指資產或資產組中能被威脅利用的弱點。 風險（Risk）：特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失或損害的潛在可能性

2、，即特定威脅事件的可能性與后果的結合。 風險評估（Risk Assessment）：對信息或信息處理設施的威脅、影響和脆弱點及三者發生的可能性的評估。 殘余風險（Residual Risk）：采取了安全措施后，信息系統仍然可能存在的風險。風險要素關系風險評估的兩種方式 自評估和檢查評估 1自評估 “誰主管誰負責，誰運營誰負責” 信息系統擁有者依靠自身力量，依據國家風險評估的管理規范和技術標準，對自有的信息系統進行風險評估的活動。 優點 有利于保密 有利于發揮行業和部門內人員的業務特長 有利于降低風險評估的費用 有利于提高本單位的風險評估能力與信息安全知識風險評估的兩種方式 1自評估 缺點： 如

3、果沒有統一的規范要求，在缺乏信息系統安全風險評估專業人才的情況下，自評估的結果可能不深入、不規范、不到位 自評估中，可能會存在某些不利的干預，從而影響風險評估結果的客觀性，降低評估結果的置信度 某些時候，即使自評估的結果比較樂觀，也必須與管理層進行溝通風險評估的兩種方式 2 檢查評估 檢查評估是由信息安全主管部門或業務部門發起的一種評估活動，旨在依據已經頒布的法規或標準，檢查被評估單位是否滿足了這些法規或標準。 檢查評估通常都是定期的、抽樣進行的評估模式 檢查評估缺點： 間隔時間較長，如一年一次，通常還是抽樣進行 不能貫穿一個部門信息系統生命周期的全過程，很難對信息系統的整體風險狀況作出完整的

4、評價風險評估的兩種方式 2 檢查評估 檢查評估應覆蓋但不限于以下內容： 自評估方法的檢查 自評估過程記錄檢查 自評估結果跟蹤檢查 現有安全措施的檢查 系統輸入輸出控制的檢查 軟硬件維護制度及實施狀況的檢查 突發事件應對措施的檢查 數據完整性保護措施的檢查 審計追蹤的檢查風險評估的兩種方式 無論是自評估，還是檢查評估，都可以委托風險評估服務技術支持方實施，如國家測評認證機構或安全企業公司。風險分析原理 風險分析中要涉及資產、威脅、脆弱性三個基本要素。 風險分析原理圖風險分析原理 風險分析的主要內容為： 1對資產進行識別，并對資產的價值進行賦值 2對威脅進行識別，描述威脅的屬性（威脅主體，影響對象

5、，出現頻率，動機等），并對威脅出現的頻率賦值 3對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值 4根據威脅及威脅利用脆弱性的難易程度判斷安全時間發生的可能性 根據脆弱性的嚴重程度和安全事件所作用的資產的價值計算安全事件造成的損失 根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值4.2風險評估的過程 4.2.1風險評估的基本步驟 第一步：風險評估準備 第二步：風險因素識別 第三步：風險確定 第四步：風險評價 第五步：風險控制第一步 風險評估準備 1確定風險評估的目標 風險評估目標要滿足企業持續發展在安全方面的要求，滿足相關方的要求，滿足法律法規的

6、要求 2 風險評估的范圍 風險評估范圍可能是企業全部的信息以及與信息處理相關的各類資產、管理機構，也可能是某個獨立的系統、關鍵業務流程、與客戶知識產權相關的系統或部門等 3選擇與組織機構相適應的具體風險判斷方法 在選擇具體的風險判斷方法時，應考慮評估的目的、范圍、時間、效果、人員素質等諸多因素，使之能夠與組織環境和安全要求相適應 4建立風險評估團隊 管理層、業務骨干、信息技術人員、技術專家等 5獲得最高管理者對風險評估工作的支持 風險評估過程應得到企業最高管理者的支持、批準，并對管理層和技術人員進行傳達，應在組織內部對風險評估的相關內容進行培訓，以明確相關人員在風險評估中的任務。第二步 風險因

7、素評估 1資產評估 識別信息資產，包括數據、軟件、硬件、設備、服務、文檔等，制定信息資產列表 保密性、完整性、可用性是評價資產的三個安全屬性 風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。資產分類資產賦值 資產價值應根據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最重要的一個屬性的賦值等級作為資產的最終賦值結果；或三者進行加權計算得到資產的最終賦值結果。第二步 風險因素評估 2 威脅評估 威脅（Threat）:指可能對資產或組織造成

8、損害的事故的潛在原因。 威脅分析包括：潛在威脅分析、威脅審計和入侵檢測分析、綜合分析 威脅賦值應根據威脅發生的可能性和威脅產生的影響程度綜合確定威脅出現頻率（發生的可能性）的賦值第二步 風險因素評估 3弱點評估 脆弱點（Vulnerability）：是指資產或資產組中能被威脅利用的弱點。 脆弱性識別可以以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點；也可以從物理、網絡、系統、應用等層次進行識別，然后與資產、威脅對應起來。 脆弱性識別的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。第三步 風險確定 1 現有安全措施評估 評估人員應對已采取的安全措施的有效性進

9、行確認，即是否真正降低了系統的脆弱性，抵御了威脅。對有效的安全措施繼續保持，對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。 2風險計算 根據以上評估產生的結果，計算出每項信息資產的風險值風險計算原理 風險值=R(A,T,V)=R(L(T,V),F(Ia，Va) R：安全風險計算函數 A：資產 T：威脅 V：脆弱性 Ia：安全事件所作用的資產價值 Va：脆弱性嚴重程度 L：威脅利用資產的脆弱性導致安全事件的可能性 F：安全事件發生后造成的損失 評估者可根據自身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。第四步 風險判定 對所有風險計算結果進行等

10、級化處理，每個等級代表了相應風險的嚴重程度。第五步 風險控制 對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。 風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。 安全措施的選擇應從管理和技術兩個方面考慮殘余風險評估 在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可再進行評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。風險評估文檔記錄風險的計算方法 計算原理 風險值=R(A,T,V)=R(L(T,V),F(Ia，Va) R：安全風險計算函數 A：資產 T：威脅 V：脆弱性 Ia：安全事件所作用的資產價值 Va：

11、脆弱性嚴重程度 L：威脅利用資產的脆弱性導致安全事件的可能性 F：安全事件發生后造成的損失 評估者可根據自身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。風險的計算方法 風險值計算涉及的風險要素：資產、威脅、脆弱性 由威脅和脆弱性確定安全事件發生的可能性 由資產和脆弱性確定安全事件的損失 由安全事件發生的可能性和安全事件的損失確定風險值 目前，常用的計算方法是矩陣法和相乘法使用矩陣法計算風險值 矩陣法主要適用于由兩個要素值確定一個要素值的情形 Z=f(x,y)，函數f采用矩陣法 x=(x1,x2,x3,xi,xm) 1i m xi為正整數 y=(y1,y2,y3,yj,yn) 1i

12、 n yj為正整數 以要素x和要素y的取值構造一個二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內mxn個值即為要素z的取值。使用矩陣法計算風險值 對于z值的計算，可以采取以下計算公式 Zij=xi+yj 或 Zij=xiXyj 或 Zij=aXxi+bXyj， a，b為正常數 Zij的計算需要根據實際情況確定，矩陣內zij的值不一定遵循統一的計算公式，但必須具有統一的增減趨勢，即如果f是遞增函數，zij的值應隨著xi和yj的值遞增，反之亦然。使用矩陣法計算風險值示例資產資產值威脅威脅發生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V

13、64V72A35T45V83T54V95使用矩陣法計算風險值示例 以資產A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值，其他風險值計算過程類似 1 計算安全事件發生的可能性 首先由威脅發生的頻率和弱點的嚴重程度值構建安全事件可能性矩陣 然后根據T1發生的頻率值和V1嚴重程度值在矩陣中進行對照，確定安全事件發生可能性值 威脅發生的頻率T1=2 弱點嚴重性程度V1=2 安全事件發生可能性值=6 由于安全事件發生可能性將參與風險事件值的計算，為了構建風險矩陣，需對安全事件發生可能可能性進行等級劃分 該安全事件發生可能性等級為2使用矩陣法計算風險值示例 2計算安全事件的損失 首先由資產價值和

14、弱點嚴重程度值構建安全事件損失矩陣 然后對照表，確定安全事件損失值 資產A1的價值=2 弱點嚴重性程度V1=2 安全事件損失值=5 由于安全事件損失值將參與風險事件值的計算，為了構建風險矩陣，需對安全事件損失進行等級劃分 該安全事件損失等級為1使用矩陣法計算風險值示例 3計算風險值 首先由安全事件發生可能性和安全事件損失構建安全風險矩陣 然后對照表，確定安全風險值 安全事件發生可能性等級為2 安全事件損失等級為1 安全風險值=6 結果判定，確定風險等級劃分 根據上述計算方法，計算資產的其他風險值，并根據風險等級劃分表，確定風險等級使用相乘法計算風險值 相乘法主要用于兩個或多個要素值確定一個要素

15、值的情形 相乘法的原理z=f(x,y)=xXy 也可以相乘后開平方或取模運算等。使用相乘法計算風險值示例 以資產A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值 計算公式x和y的積的平方根的四舍五入結果 設資產A1價值為4，面臨的威脅T1發生的頻率為1，可利用的弱點V1嚴重程度為3 1計算安全事件發生的可能性 威脅發生的頻率T1=1 弱點嚴重性程度V1=3 安全事件發生可能性值=3使用相乘法計算風險值示例 2計算安全事件的損失 資產價值A1=4 脆弱性嚴重程度V1=3 安全事件的損失= 3計算風險值 安全事件發生可能性= 安全事件損失= 安全事件風險值= =6 根據風險等級劃分表，風險

16、等級確定為212312364.6風險評估實施 4.6.1風險評估實施原則 目標一致 關注重點資產 用戶參與 重視質量管理和過程 4.6.2風險評估流程 1前期準備階段 2現場調查階段 3風險分析階段 4策略制定階段前期準備階段 背景資料準備 技術資料準備 調查提綱準備 調查提綱確認 簽署保密協議現場調查階段 人員調查 了解組織最重視的信息資產、最擔心發生的事件以及組織對信息系統安全的期望 調查了解組織中曾經發生過的信息安全相關事件 采用問詢、會議、資料審計的形式獲取相關的數據，包括目前信息管理的規章制度以及具體實施情況 技術調查 網絡架構調查 繪制被評估單位的網絡拓撲結構；目前網絡上的虛擬網劃分與使用情況；明確網絡邊界；對業務系統的安全等級建議，確認目前達到的安全等級等現場調查階段 技術調查 業務流程調查 主要業務系統之間的邏輯關系；業務的安全要求；系統業務功能；形成業務流程現狀圖；初步分析業務流程現狀中存在的問題等 主機系統調查 主機系統固有的漏洞和配置問題；系統提供的服務；賬號的安全情況；采用的訪問控制策略；日志審計等情況 數據庫系統調查 賬號、密碼設置情況；數據庫使用情況，存儲、備份方法；數據庫