《202X年危机管理及风险评估基础知识》由会员分享,可在线阅读,更多相关《202X年危机管理及风险评估基础知识(79页珍藏版)》请在金锄头文库上搜索。
1、风险评估与管理 风险评估与管理 与风险评估和风险管理相关的概念解析信息安全风险管理的一般过程风险评估与风险管理的其它问题 1概念解析 1 1与过程相关的概念 风险风险管理风险评估风险分析风险评价风险处理资产威胁脆弱性防护措施 1 2与要素相关的概念 概念解析1 风险 风险 risk 风险是指遭受损害或损失的可能性 是实现一个事件的不想要的负面结果的潜在因素 对信息系统而言 两种因素造成对其使命的实际影响 1 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 2 上述事件发生之后所带来的影响 概念解析1 风险 续 在ISO IECGUIDE73将事件定义为 事件的概率及其结果的组合
2、注1通常 只有至少存在产生不利结果可能性的情况下才使用 风险 术语 注2在某些情况下 风险是由偏离期望的结果或事件的可能性引起的 概念解析2 风险管理 风险管理 Riskmanagement 风险管理指标识 控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程 风险管理被认为是良好管理的一个组成部分 概念解析2 风险管理 对风险管理的过程而言 不同的方法或工具提供了不同的步骤 但是信息安全风险管理可操作的相关过程和活动一般都要包括 确定评估范围 识别评估控制措施 识别评估资产 识别评估威胁 选择安全措施 识别评估脆弱性 确定风险处理策略 风险评价 制定安全计划 实施安全计划
3、 风险分析 风险处理 概念解析3 风险评估 风险评估 riskassessment 风险评估指风险分析和风险评价的整个过程 风险评估是风险管理的基础 是组织确定信息安全要求的途径之一 属于组织信息安全管理体系策划的过程 通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级 从而对其实施有效控制 将风险控制在组织可以接受的范围之内 概念解析3 风险评估 续 区分风险评估和风险管理风险管理是把整个组织内的风险降低到可接受水平的整个过程 风险管理是一个持续的周期 通常以一定的间隔重新开始 来更新流程中各个阶段的数据 风险管理是一个持续循环 不断上升的过程 风险评估是确定组织面临的风险并确定其
4、优先级的过程 是风险管理流程中最必须 最谨慎的一个过程 当潜在的与安全相关的事件在企业内发生时 如变动业务方法 发现新的漏洞等 组织都可能会启动风险评估 概念解析4 风险分析 风险分析 riskanalysis 风险分析是标识安全风险 确定其大小和标识需要保护措施的区域的过程 其目的是分离可接受的小风险和不能接受的大风险 为风险评价和风险处理提供数据 概念解析4 风险分析 续 就风险分析的方法而言 目前应用中没有所谓的正确或错误的方法 一个组织选择一个自己感觉顺手 可以信任 且能产生可比较 可再现性的结果才是最重要的 尽管评估风险的方法有很多 但是大多数方法都是基于两种方法或两种方法的组合 定
5、性的分析方法和定量的分析方法 概念解析4 风险分析 续 定性分析方法定性分析方法是最广泛使用的风险分析方法 主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性 该方法通常只关注威胁事件所带来的损失 而忽略事件发生的概率 概念解析4 风险分析 续 定量分析方法定量分析方法在后果和可能性分析中采用数值 不是定性分行中所使用的叙述性数值范围 并采用从各种各样的来源中得到的数据 定量分析步骤主要集中在现场调查阶段 针对系统关键资产进行定量的调查 分析 为后续评估工作提供参考依据 概念解析4 风险分析 续 定性风险分析示例 此示例来源于ISO IEC13335 3 概念解析
6、4 风险分析 续 步骤1 结果或影响的定性量度 概念解析4 风险分析 续 步骤2 可能性的定性量度 概念解析4 风险分析 续 步骤3 从而得出风险分析矩阵 其中 E 要求立即采取措施H 需要高级管理部门的注意M 必须规定管理责任L 用日常程序处理 概念解析4 风险分析 续 定量风险分析的示例 概念解析4 风险分析 续 计算风险的年预期损失ALE AnnualRiskExpectancy年预期损失ARO AnnualRateofOccurrence年发生率SLE SingleLossExpectancy单一风险预期损失ALE ARO SLE 概念解析4 风险分析 续 两种方法的比较 目前风险分析
7、方法以定性分析为主 由于定性的分析方法不是用数学或统计的工具将风险模型化 因此一次风险评估的成败与执行者的经验有很大的关系 定量方法有一些固有的难以克服的明显缺点 具体对比见下表 概念解析4 风险分析 续 比较 概念解析5 风险评价 风险评价 riskevaluation 是把前些步骤识别分析出来的风险与风险判据进行比较 以判断特定的风险是否可接受或需采取其它措施处置 风险评价的结果为具有不同等级的风险列表 概念解析5 风险评价 续 目前在风险评价的方法上 国际上一直还在不断的研究中 也有相当多的定量或者定性的风险计算方法被提出 但是由于安全风险要素的各个环节存在太多的不确定因素和无法定量的特
8、性 因此并没有被公认接受的风险评价方法 概念解析6 风险处理 风险处理 riskmitigation 风险处理是风险管理的第二个过程 它包括对风险评估过程中建议的安全控制进行优先级排序 评估和实现 概念解析6 风险处理 续 风险评估只为组织的信息安全活动提供一个方向 并没有必要导致重大的信息安全改进 不管评估方法有多专业和多详细 都不能改进组织的安全状态 除非组织通过实现评估结果将改进活动坚持到底 所以评估结束后 组织必须开发详细的行动计划 计划如何根据评估实现保护策略和风险处理计划 概念解析6 风险处理 续 风险处理是一种系统化方法 高级管理人员可用它来降低使命风险 风险处理可以通过下列措施
9、实现 风险承受 接受潜在的风险并继续运行信息系统 或实现安全防护措施 以把风险降低到一个可接受的级别 风险规避 通过消除风险的原因和 或后果 如在识别出风险后放弃系统某项功能或关闭系统 来规避风险 风险转移 通过使用其它措施来补偿损失 从而转移风险 如购买保险 概念解析 与过程相关概念小结 其关系可以简明表示如下 风险管理 风险评估 风险处理 风险评价 风险分析 概念解析7 资产 资产 asset 所谓资产就是被组织赋予了价值 组织需要保护的有用资源 ISO13335 1定义资产为所有对组织有用的东西 为了对资产进行有效的保护 组织需要在各个管理层对资产落实责任 进行适当的管理 概念解析7 资
10、产 续 以下是资产示例及分类 信息资产 数据库和数据文件 系统文件 用户手册 培训资料 操作与维护程序 知识产权 业务持续性计划 应急安排等 书面文件 合同 公司文件 人事记录 财务记录 采购文件 发票等 软件资产 应用软件 系统软件 开发工具和实用程序等 概念解析7 资产 续 物理资产 计算机 服务器 路由器 集线器 防火墙 通讯设备 其它技术设备 供电设备 空调设备 家具 办公场所等 人员 员工 客户 合同工 警卫 服务 计算和通讯服务及其它技术服务 供暖 照明 电力 空调 等 公司形象和声誉 如正面和负面的宣传 品牌附加值等 威胁 threat 威胁是一个单位的信息资产的安全可能受到的侵
11、害 ISO17799将威胁定义为对组织造成潜在影响的原因 NISTSP800 30将威胁定义为可能对系统造成损害的事件或实体 概念解析8 威胁 概念解析8 威胁 续 威胁由多种属性来刻画 威胁的主体 威胁源 能力 资源 动机 途径 可能性和后果 概念解析8 威胁 续 以下几种都是常见的威胁 对信息 信息系统 网络和网络服务的非授权访问这些一般都是有意图 有目的的行为 会对信息的保密性 完整性和可用性造成损害 损害的程度决定于非授权用户的目的和拥有的权限 信息的非授权修改这是一种有预谋的威胁 可能会损害资产的保密性与可用性 概念解析8 威胁 续 恶意软件恶意软件的引入可以是有意的 具有一定的目的
12、和企图 和无意的 运行了来历不明的软件 恶意软件威胁资产的保密性 完整性和可用性 软件失效由于有预谋的事件或意外事件发生 从而导致软件的完整性与可用性的损失 概念解析8 威胁 续 火灾这是一种意外事故 也可能是一种有预谋的事件 会影响资产的完整性与可用性 偷窃这是一种有预谋的威胁 可能会损害资产的保密性与可用性 人员错误可能是有意的或无意的行为 有时此类事件的发生仅仅是员工缺乏安全意识 并不是有什么恶意企图 概念解析9 脆弱性 脆弱性 Vulnerability 脆弱性是信息资产及其防护措施在安全方面的不足和弱点 脆弱性也常常被称为漏洞 NISTSP800 30将漏洞定义为安全程序 技术控制措
13、施 物理控制措施或其他控制措施中可能被威胁利用的条件或弱点 或缺乏控制措施 概念解析9 脆弱性 续 经验表明 大多数重大的漏洞通常是由于缺乏良好的流程或指定了不适当的信息安全责任才出现的 但是进行风险评估时往往过分注重技术漏洞 概念解析9 脆弱性 续 以下都是常见的脆弱性 缺乏物理保护或保护不适当可能被威胁利用 损害资产的保密性 完整性和可用性口令选择或使用不当可能导致对系统信息的非授权访问 从而损害资产的保密性 完整性和可用性 概念解析9 脆弱性 续 与外部网络的连接没有保护能导致在联网系统中存储与处理信息的保密性 完整性和可用性的损害 没有保护的存档文件有可能被偷窃 从而损害资产的保密性
14、完整性和可用性 不足够的安全培训可能造成用户缺乏足够的安全意识 破坏信息的保密性 或者产生用户错误 从而造成对资产的完整性和可用性的损害 概念解析10 防护措施 防护措施 safeguard 防护措施是对付威胁 减少脆弱性 保护资产 限制意外事件的影响 检测 响应意外事件 促进灾难恢复和打击信息犯罪而实施的各种实践 规程和机制的总称 防护措施本质上都是减少脆弱性的 概念解析 与要素相关概念小结 风险评估与管理 与风险评估和风险管理相关的概念解析信息安全风险管理的一般过程风险评估与风险管理的其它问题 2信息安全风险管理的一般过程 2 1信息安全风险评估的过程 2 2信息安全风险处理的过程 2 1
15、信息安全风险评估的过程 风险评估流程图 2 1信息安全风险评估的过程 续 步骤1 描述系统特征在对信息系统的风险进行评估中 第一步是定义工作范围 在该步中 要确定信息系统的边界以及组成系统的资源和信息 对信息系统的特征进行描述后便确立了风险评估工作的范围 刻画了对系统进行授权运行 或认可 的边界 并为风险定义提供了必要的信息 如硬件 软件 系统连通性 负责部门或支持人员 2 1信息安全风险评估的过程 续 步骤1 1系统相关信息步骤1 2信息收集技术可以使用下列一项或多项技术在其运行边界内获取相关的系统信息 调查问卷现场面谈文档审查使用自动扫描工具 2 1信息安全风险评估的过程 续 步骤2 识别
16、威胁如果没有脆弱性 威胁源无法造成风险 在确定威胁的可能性时 应该考虑威胁源 潜在的脆弱性和现有的安全防护措施 步骤2 1识别威胁源步骤2 2动机和行为 2 1信息安全风险评估的过程 续 步骤3 识别脆弱性本步的目标是制定系统中可能会被威胁源利用的脆弱性 缺陷或薄弱环节 的列表 步骤3 1脆弱性源步骤3 2系统安全测试 2 1信息安全风险评估的过程 续 步骤4 分析安全控制本步的目标是对已经实现或规划中的安全防护措施进行分析 单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性 或概率 步骤4 1安全防护措施步骤4 2安全防护措施的分析技术 2 1信息安全风险评估的过程 续 步骤5 分析可能性本步要说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性 下列支配因素应该在本步中考虑 威胁源的动机和能力 脆弱性的性质 安全防护措施的有效性 2 1信息安全风险评估的过程 续 一个潜在的脆弱性被一个给定威胁源攻击的可能性可以用高 中 低来表示 下表描述了这三个可能性级别 2 1信息安全风险评估的过程 续 步骤6 分析影响度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面
