《信息安全管理_第9讲_信息安全风险评估》由会员分享,可在线阅读,更多相关《信息安全管理_第9讲_信息安全风险评估(98页珍藏版)》请在金锄头文库上搜索。
1、第9讲 信息安全风险评估,1 概述,1.1 信息安全风险评估相关要素 1.2 信息安全风险评估 1.3 风险要素相互间关系,1.1 信息安全风险评估相关要素,资产 威胁 脆弱点 风险 影响 安全措施 安全需求,资产,根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产包括: 物理资产(如,计算机硬件,通讯设施,建筑物); 信息/数据(如,文件,数据库); 软件; 提供产品和服务的能力; 人员; 无形资产(如,信誉,形象)。,我国的信息安全风险评估指南认为 资产是指对组织具有价值的信息资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代
2、码,也有服务、形象等。 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类,如表3-1所示,两种看法之比较: 两种定义基本上是一致的,所包含的内容也基本是一致的,主要的区别在于后者把资产限定在“信息资源”范围内,这是基于信息安全风险评估应的特殊性的考虑,信息安全风险评估应重点分析信息资产面临的风险。 从具体分类明细看,后者还是包含了其他内容,如保障设备、人员、企业形象、客户关系等,这些未必都能视为信息资产。,威胁,威胁是可能对资产或组织造成损害的潜在原因。 威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理
3、信息的直接或间接攻击。也可能是偶发事件。,根据威胁源的不同,威胁可分为: 自然威胁:指自然界的不可抗力导致的威胁 环境威胁:指信息系统运行环境中出现的重大灾害或事故所带来的威胁 系统威胁:指系统软硬件故障所引发的威胁 人员威胁:包含内部人员与外部人员,由于内部人员熟悉系统的运行规则,内部人员的威胁更为严重 表2给出了需识别的威胁源以及其威胁的表现形式。,根据威胁的动机 人员威胁又可分为恶意和无意两种,但无论是无意行为还是恶意行为,都可能对信息系统构成严重的损害,两者都应该予以重视,脆弱点,脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没
4、有访问控制机制、系统机房任何人都可进入等等。 脆弱点是资产本身存在的,如果没有相应的威胁出现,单纯的脆弱点本身不会对资产造成损害。另一方面如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即:威胁总是要利用资产的弱点才可能造成危害。 资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱点。,脆弱点主要表现在从技术和管理两个方面 技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。 管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。
5、例如: 安装杀毒软件或病毒库未及时升级 操作系统或其他应用软件存在拒绝服务攻击漏洞 数据完整性保护不够完善 数据库访问控制机制不严格都属于技术脆弱点系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等,风险,风险指信息安全风险 根据ISO/IEC 13335-1,信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现。 资产、威胁、脆弱点是信息安全风险的基本要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,安全事
6、件也不会发生;系统没有脆弱点,威胁就没有可利用的环节,安全事件也不会发生。 风险可以形式化的表示为:R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。,影响,影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为: 直接形式,如物理介质或设备的破坏、人员的损伤、 直接的资金损失等; 间接的损失如公司信用、形象受损、市场分额损失、法律责任等。 在信息安全领域,直接的损失往往容易估计且损失较小,间接的损失难易估计且常常比直接损失更为严重。如某公司信息系统中一路由器因雷击而破坏,其直接的损失表现为路由器本身的价值、修复所需的人力物力等;而间接损失则较为复杂,由
7、于路由器不能正常工作,信息系统不能提供正常的服务,导致公司业务量的损失、企业形象的损失等,若该路由器为金融、电力、军事等重要部门提供服务,其间接损失更为巨大。,安全措施,安全措施是指为保护资产、抵御威胁、减少脆弱点、限制不期望发生事件的影响、加速不期望发生事件的检测及响应而采取的各种实践、规程和机制的总称。 有效的安全通常要求不同安全措施的结合以为资产提供多级的安全。例如,应用于计算机的访问控制机制应被审计控制、人员管理、培训和物理安全所支持。,安全措施可能实现一个或多个下列功能:保护、震慑、检测、限制、纠正、恢复、监视、安全意识等。 同功能的安全措施需要不同的成本,同时能够实现多个功能的安全
8、措施通常具有更高的成本有效性。 安全措施的实施领域包括:物理环境、技术领域、人员、管理等,可用的安全措施包括:访问控制机制、防病毒软件、加密机制、数字签名、防火墙、监视与分析工具、冗余电力供应、信息备份等。,安全需求,安全需求是指为保证组织业务战略的正常运作而在安全措施方面提出的要求。 安全需求可体现在技术、组织管理等多个方面。如关键数据或系统的的机密性、可用性、完整性需求、法律法规的符合性需求、人员安全意识培训需求、信息系统运行实时监控的需求等。,1.2 信息安全风险评估,信息安全风险评估的基本思路是在信息安全事件发生之前,通过有效的手段对组织面临的信息安全风险进行识别、分析,并在此基础上选
9、取相应的安全措施,将组织面临的信息安全风险控制在可接受范围内,以此达到保护信息系统安全的目的。,信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 狭义的风险评估包括:评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。,1.3 风险要素相互间关系,资产、威胁、脆弱点是信息安
10、全风险的基本要素,是信息安全风险存在的基本条件,缺一不可。除此之外,与信息安全风险有关的要素还包括:安全措施、安全需求、影响等。ISO/IEC 13335-1对它们之间的关系描述如图3-1所示,主要表现在: 威胁利用脆弱点将导致安全风险的产生; 资产具有价值,并对组织业务有一定影响,资产价值及影响越大则其面临的风险越大; 安全措施能抵御威胁、减少脆弱点,因而能减小安全风险; 风险的存在及对风险的认识导出保护需求,保护需求通过安全措施来满足或实现。,我国的信息安全风险评估指南对ISO/IEC 13335-1提出风险要素关系模型进行了扩展,扩展后的风险要素关系模型如图3-2所示,风险要素及属性之间
11、存在着以下关系: 业务战略依赖资产去实现; 资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大; 资产价值越大则其面临的风险越大; 风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件; 弱点越多,威胁利用脆弱点导致安全事件的可能性越大; 脆弱点是未被满足的安全需求,威胁要通过利用脆弱点来危害资产,从而形成风险; 风险的存在及对风险的认识导出安全需求;,安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; 安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响; 风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险。有些残余风险来自于
12、安全措施可能不当或无效,在以后需要继续控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的; 残余风险应受到密切监视,它可能会在将来诱发新的安全事件。 与ISO/IEC 13335提供的风险要素关系模型相比,我国信息安全风险评估指南对安全风险描述更详细、更具体、更透彻。,2 风险评估方法,2.1 概述 2.2 基线风险评估方法 2.3 详细风险评估方法 2.4 综合风险评估方法,2.1 概述,不同的组织有不同的安全需求和安全战略,风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。 影响风险评估进展的某些因素,包括评估
13、时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。 组织应该针对不同的情况来选择恰当的风险评估方法。常见的风险评估方法有三种: 基线风险评估方法 详细风险评估方法 综合风险评估方法,2.2 基线风险评估方法,概念 基线风险评估要求组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行基线安全检查(将现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一
14、定的安全防护水平。,组织可以根据以下资源来选择安全基线: 国际标准和国家标准,例如ISO 17799、ISO 13335; 行业标准或推荐,例如德国联邦安全局的IT 基线保护手册; 来自其他有类似商务目标和规模的组织的惯例。,这种方法优点是: 风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力; 如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。 这种方法的缺点是: 基线水平难以设置,如果基线水平设置的过高,有些IT系统可能会有过高的安全等级;如果基线水平设置的过低,有些IT系
15、统可能会缺少安全,导致更高层次的暴露; 风险评估不全面、不透彻,且不易处理变更。例如,如果一个系统升级了,就很难评估原来的基线防护措施是否充分。,综合评价 虽然当安全基线已建立的情况下,基线评估成本低、易于实施。但由于不同组织信息系统千差万别,信息系统的威胁时刻都在变化,很难制定全面的、具有广泛适用性的安全基线,而组织自行建立安全基线成本很高。 目前世界上还没有全面、统一的、能符合组织目标的、值得信赖的安全基线,因而基线评估方法开展并不普遍。,2.3 详细风险评估方法,概念 详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进行评估,这通过不期望事件的潜在负面业务影
16、响评估和他们发生的可能性来完成。 不期望事件可能表现为直接形式,如直接的经济损失,如物理设备的破坏;也可能表现为间接的影响,如法律责任、公司信誉及形象的损失等。 不期望事件发生的可能性依赖于资产对于潜在攻击者的吸引力、威胁出现的可能性以及脆弱点被利用的难易程度。根据风险评估的结果来识别和选择安全措施,将风险降低到可接受的水平。,这种方法的优点是: 有可能为所有系统识别出适当的安全措施; 详细分析的结果可用于安全变更管理。 这种方法的缺点是需要更多的时间、努力和专业知识。 目前,世界各国推出的风险评估方法多属于这一类,如AS/NZS 4360、NISTSP800-30、OCTAVE以及我国的信息安全风险评估指南中所提供的方法。,2.4 综合风险评估方法,概述 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。因而实践当中,组织多是采用二者结合的综合评估方式。,ISO/IEC 13335-3提出了综合风险评估方法,其实施流程如图3
