信息安全风险评估(20090219)

中 山 大 学 信 息 与 网 络 中 心李 磊 博 士2009年 2月信息安全技术风险管理Information Security Risk Management 什么是风险脆弱性威胁资产风险是一个指定的威胁利用一项资产或多项资产的脆弱性，并由此造成损害或破坏的可能性。 理解风险(1)风险分析 risk analysis系统地使用信息来识别风险来源和估计风险。风险评价 risk evaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。风险评估 risk assessment风险分析和风险评价的整个过程。风险处理 risk treatment选择并且执行措施来更改风险的过程。残余风险 residual risk经过风险处理后遗留的风险。 风险接受 risk acceptance接受风险的决定。风险管理 risk management指导和控制一个组织相关风险的协调活动。 理解风险(2)风险是客观存在的。风险和不确定性紧密相连，但不能完全等同。风险强调的是损害的潜在可能性，而不是事实上的损害。风险不能消除至尽，包括人为因素带来的风险，也一样不能消除至尽。衡量风险的两个基本要素就是事件的概率和其（产生的）后果。对信息安全而言，导致风险的事件是威胁利用了资产（或系统）的脆弱点。 风险管理过程风险管理是指导和控制一个组织相关风险的协调活动。风险管理风险评估风险分析风险评价风险处理 风险的定量分析SLE(Single Loss Expectancy，单一风险预期损失)ARO(Annual Rate of Occurrence，年发生次数)ALE(Annual Loss Expectancy，年预期损失)SLE * AROROSI(Return On Security Investment，确定安全投资收益)ROSI = 实施前的ALE 实施控制后的ALE 年控制成本一个组织的网络设备资产价值为100万元，一次意外火灾使其损失了25%，则SLE=10025%25万元。按照经验统计，这样的火灾每5年发生一次，则ARO=1/5=0.2。ALE=25*0.2=5万元。 购买灭火器和火灾告警器可以降低火灾发生概率和损害程度，成本为3万元，寿命3年，则年控制成本3/31万元。实施后，火灾损害率降为5，发生次数为10年1次，则ALE=100*5%*0.1=5000元。所以，ROSI=5-0.5-1=3.5万元。 风险的定性描述风险的可能性风险的影响等级描述1可以忽略2较小3中等4较大5灾难性等级描述A几乎肯定B很可能C可能D不太可能E罕见 风险的分析矩阵可能性影响可以忽略1较小2中等3较大4灾难性5A 几乎肯定H E E E EB 很可能M H E E EC 可能L M H E ED 不太可能L L M H EE 罕见L L M H HE要求立即采取措施H需要高级管理部门的注意 M必须规定管理责任L用日常程序处理 定性与定量目前没有严格的定量分析的计算公式。定量分析的数字来源往往并不精确。目前信息安全事件管理的水平还比较低，难以做定量分析。在积累了足够多的样本后，才能比较精确地估算事件发生的概率和发生后的后果。在实践中，定量与定性的风险分析方法要综合使用。 风险管理是一个持续改进的过程分析估算评价处理信息安全风险管理是一个持续的过程。该过程应该建立范畴，评估风险，并利用风险处置计划来实施建议和决策以处置风险。风险管理分析，是在决定应该做什么和什么时候做之前分析可能发生什么以及可能的后果是什么，以将风险降低到可以接受的级别。 风险评估的基本要素组 织 使 命暴 露增 加 未 被 满 足资 产脆 弱 性 资 产 价 值拥 有威 胁利 用 安 全 事 件演 变 依 赖风 险增 加 资 产 价 值成 本残 余 风 险 安 全 措 施被 满 足 抗 击 增 加导 出可 能 诱 发 未 控 制残 留 降 低 风险评估工具包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞漏洞扫描工具用于收集与统计威胁数据和分析主机系统配置的安全性入侵检测系统（IDS）和主机安全性审计工具黑客工具，用于人工渗透，评估系统的深层次漏洞渗透性测试工具 针对风险评估流程而设计的辅助工具，例如评估指标库、知识库、漏洞库、算法库、模型库。在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOP N查询以及报表输出功能风险评估工具调查问卷和检查表 信息安全风险管理的内容识别风险依据风险造成的业务后果和发生的可能性进行风险评估就风险的后果和可能性进行沟通并达成理解建立风险处置的优先次序对降低风险的活动进行排序在做出风险管理决策时，让利益相关方参与，并及时告知风险管理的状态有效监视风险处置监视风险和风险管理过程，并定期评审收集信息以改进风险管理方法应该对管理者和员工进行有关风险和减轻风险所应采取行动的培训 风险评估实施流程 否是否是 风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施 选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档 信息安全风险管理过程信息安全风险管理过程可能应用于整个组织，组织的任何部分（如部门、物理区域或某个服务），任何信息系统，现有、计划或特定部分的控制措施（如业务连续性计划）。信息安全风险管理过程由确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审组成。 ISO 27005的风险管理模型建立环境风险识别风险处理 风险接受风险沟通风险监视和评审风险评估是否满足要求？noyesyes no风险处置是否满足要求？风险估算风险评价风险分析风险评估 ISMS过程与风险管理活动ISMS过程风险管理活动PLAN规划建立环境，确定范畴 ；风险评估；风险处理计划；风险接受DO实施实施风险处理计划（减缓风险的措施可参考ISO 27002或其他相关的指南）CHECK检查持续的监视与评审风险（环境、资产、威胁和脆弱性等发生变化时都需要密切监视）ACT检查保持与提高信息安全管理过程 ISO 27001对风险评估的要求(1)章条内容引 言0.2 过程方法b) 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；引 言0.2 过程方法本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。引 言0.2 过程方法建立ISMS建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果。1范围1.1总则本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。 1范围1.2应用为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。 ISO 27001对风险评估的要求(2)章条内容4.2.1建立ISMS组织要做以下方面的工作：b) 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。3) 在组织的战略性风险管理环境下，建立和保持ISMS；4) 建立风险评价的准则见4.2.1 c；4.2.1建立ISMS组织要做以下方面的工作：c) 确定组织的风险评估方法1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。2）制定接受风险的准则，识别可接受的风险级别（见5.1f）。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。注：风险评估具有不同的方法。在 ISO/IEC TR 13335-3信息技术 IT安全管理指南：IT安全管理技术中描述了风险评估方法的例子。 ISO 27001对风险评估的要求(3)章条内容4.2.1建立ISMS组织要做以下方面的工作：d) 识别风险1) 识别ISMS范围内的资产及其责任人 ；2) 识别资产所面临的威胁；3) 识别可能被威胁利用的脆弱点；4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。4.2.1建立ISMS组织要做以下方面的工作：e) 分析和评价风险1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。 3) 估计风险的级别。4) 确定风险是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处理。 ISO 27001对风险评估的要求(4)章条内容4.2.1建立ISMS组织要做以下方面的工作：f) 识别和评价风险处理的可选措施可能的措施包括：1) 采用适当的控制措施；2) 在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险见4.2.1 c)2)；3) 避免风险；4) 将相关业务风险转移到其他方，如：保险，供应商等。4.2.1建立ISMS组织要做以下方面的工作：g) 为处理风险选择控制目标和控制措施控制目标和控制措施应加以选择和实施，以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的 准则（见4.2.1c）2）以及法律法规和合同要求。h) 获得管理者对建议的残余风险的批准 ISO 27001对风险评估的要求(6)章条内容4.3文件要求4.3.1总则文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。4.3文件要求4.3.1总则ISMS文件应包括：d) 风险评估方法的描述见4.2.1c）；e) 风险评估报告 见4.2.1c）到4.2.1g）；f) 风险处理计划见4.2.2b）； 5管理职责5.1管理承诺f) 决定接受风险的准则和风险的可接受级别； ISO 27001对风险评估的要求(7)章条内容7ISMS的管理评审7.2评审输入管理评审的输入应包括：e) 以往风险评估没有充分强调的脆弱点或威胁；7ISMS的管理评审7.3评审输出管理评审的输出应包括与以下方面有关的任何决定和措施：b) 风险评估和风险处理计划的更新；7ISMS的管理评审7.3评审输出管理评审的输出应包括与以下方面有关 的任何决定和措施：c) 必要时修改影响信息安全的程序和控制措施，以响应内部或外部可能影响ISMS的事态，包括以下的变更：6) 风险级别和/或接受风险的准则。 ISO 27001对风险评估的要求(8)章条内容8ISMS改进8.3预防措施组织应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。预防措施的优先级要根据风险评估的结果确定。注：预防不符合的措施通常比纠正措施更节约成本。 风险评估过程1.准备工作2.识别评价资产3.识别威胁和脆弱性4.识别评价控制措施5.识别可能性和影响6.计算风险7.总结 风险评估准备1.得到高层管理部门对评估活动的支持2.确定本次风险评估的范围3.组建风险评估核心小组4.制定详细可行的工作计划表 准备工作（实施指南）1.支持ISMS2.符合法律和尽职的证据3.准备业务连续性计划4.准备事件响应计划5.描述某个产品、服务或机制对信息安全的要求 准备工作（基本准则）1.进行风险评附和确定风险处置计划2.定义和实施方针和程序，包括实施已选择的控制措施3.监视控制措施4.监视信息安全风险管理过程 准备工作（风险评价准则）1.业务信息过程的战略价值2.相关信息资产的危急程度3.法律法规的要求和合同的义务4.运营和业务的可用性、保密性、完整性的重要程度5.利益相关方的期望和认知，以及对信誉和名声的负面影响 准备工作（影响准则）1.受影响资产的分类级别2.信息安全的违背（如保密性、完整性和可用性的丧失）3.运行的受损（内部或第三方的）4.损失的业务或财务价值5.对计划和最后期限的破坏6.声誉的损失7.对法律法规或合同要求的违背 准备工作（风险接受准则）1.风险接受准则可以包括带有风险期望目标级别的多道门槛，但在确定的情形下，提交给高层管理者接受的风险可能超出该级别2.风险可接受准则可以用估算收益（或业务收益）与估算风险的比值来描述3.对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险4.风险接受准则可以包括下一步的补充处置要求，例如，如果认可或承诺在确定的时间内将采取行动以将风险降到可接受级别，则风险可以被接受 准备工作（范围和边界）在定义范围和边界时，组织应该考虑以下信息： 组织的业务战略目标、策略和方针 业务过程 组织的职能和结构 适用于组织的法律法规和合同义务的要求 组织的信息安全方针 组织风险管理的整体方法 信息资产 组织的位置及其地理特性 影响组织的约束条件 利益相关方的期望 社会文化环境 界面（与环境的数据交换）另外，组织对任何排除在范围之外的，都应该提供正当的理由。 准备工作（组织架构）下面是信息安全风险管理过程组织架构的主要角色和职责：开发适合组织的信息安全风险管理过程识别和分析利益相关方定义组织内、外部各方的角色和职责在组织和相关利益方之间建立必要的联系，如组织高风险管理职能的接口（如运营风险管理），以及与其它项目或活动之间的接口定义决策升级路径说明需要保存的记录组织架构应该得到组织的合适的管理者的批准。 识别资产并评价资产的重要性资产是指对组织有价值的任何东西。信息资产主要包括三个部分：信息本身、信息处理设施和信息处理人。ISO/IEC 27002:2005给出了一个资产的示例，对信息分类标准应该满足以下两个基本条件：1.所有的资产都能找到相对应的类；2.任何资产只能有唯一的类相对 应，而且必须保证这种对应是无歧义的。基本资产业务过程或活动 信息支持性资产（基本资产所依赖的范围） 硬件软件网络人员场所组织架构 基本资产业务过程和活动一旦丧失或降格将导致不能执行组织使命的过程包括保密处理或专有技术的过程如果被修改，可能极大影响组织使命的完成组织满足合同、法律法规要求所需要的过程信息组织使命和业务运行的关键信息个人信息，特别是作为国家法律所定义的个人隐私完成战略方向所确定目标的所需战略性信息高成本信息，收集、存储、处理、传输需要很长时间和/或导致很高的采购成本 支持性资产（硬件）类型示例数据处理设备（主动）自动的信息处理设备 可移动设备笔记本电脑、个人数字助理（PDA） 固定设备服务器、作为工作站的微型计算机 周边处理设备打印机、可拆除磁盘驱动器 数据介质（被动）用于存储数据或功能的介质电子介质软盘、光盘、备份磁带、可拆卸硬盘、内存棒、磁带 其他介质包含数据的静态的、非电子介质。纸张、幻灯片、透明胶片、文件、传真 支持性资产（软件）类型示例操作系统 Windows, Linux, Unix服务、维护和管理软件 补丁软件、系统监控软件软件包或标准软件 数据库管理软件、电子消息软件、群组软件、目录软件、web 服务器软件标准业务应用 财务软件、机床控制软件、客户管理软件、个人能力管理软件，行政管理软件特定的业务应用 电信运营商的客户发票管理、火箭发射的实时监控应用程序 支持性资产（网络）类型示例介质和支持设施 PSTN、以太网、ADSL、蓝牙、火线主动或被动中继 网桥、路由器、集线器、交换机、自动交换设备通讯接口 以太网接头、V.35 支持性资产（人员）类型示例决策者 最高管理层、项目主管 用户 人力资源管理人员、财务管理人员、风险经理 运行/维护人员 系统管理员、数据管理员、备份、服务台、应用部署操作人员、安全官开发人员 业务应用开发人员 支持性资产（场所）类型示例外部环境 个人家庭，另一组织的场所、场所外的环境（市区、危险区） 房屋 宅院、大楼区域 办公室、限制进入区、安全区基本服务 组织设备运行所必需的所有服务。 通讯 电话线、内部电话网 工具 低电压电源、变压器、电路前端、空调 支持性资产（组织架构）类型示例权力机构 行政机构、组织的总部 组织的结构 人力资源管理、IT管理、采购管理、业务部门管理、大楼安保服务、消防服务、审计管理项目或系统的组织 新应用开发项目、信息系统迁移项目分包方/供应商/生产商 设备管理公司、外包公司、咨询公司 识别资产目前对于资产的识别和评估并没有很成熟的方法，在识别时应细致到什么程度也没有统一 的标准。组织应该按照实践中的经验，摸索出自己的方法。 评价资产评价资产可以用定量的方法或者定性的方法，一般倾向于用定性的方法。定性方法的结果是资产的重要度列表。重要度的确定往往来自于资产的安全属性（保密性、完整性和可用性）。级别定义重要度赋值高资产的保密性、完整性和可用性被破坏，会导致组织的毁灭性损失3中资产的保密性、完整性和可用性被破坏，会导致组织的 重大损失2低资产的保密性、完整性和可用性被破坏，会导致组织的一定损失1 保密性要求资产价值分级描述1 低可公开非敏感信息和信息处理设施及系统资源，可以公开。2 中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3 高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要或严格依据工作需要来使用。 完整性要求资产价值分级描述1 低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2 中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3 高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。 可用性要求资产价值分级描述1 - 低低可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍多于一天的不能使用。2 中中可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍半天到一天的不能使用。3 高高可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍几个小时的不能使用。4 非常高非常高的可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 必须保证每年每周24x7 工作。 威胁的定义威胁是指可能导致对系统或组织的损害的不期望事件的潜在原因。人为故意的人为意外的环境的窃听疏忽和差错地震信息修改文件删除雷击 系统攻击不正确的路由选择水灾恶意代码物理事故火灾 脆弱性的定义脆弱性一般可分为两类：资产本身的脆弱性和安全控制措施的不足引起的脆弱性。以下是脆弱性的示例：脆弱性威胁行为已知的软件漏洞未授权用户使用软件弱口令管理冒充的合法用户身份 错误的权限分配以未授权的方式使用软件测试不充分未授权用户使用软件不经控制的下载和使用软件软件的恶意使用 估算威胁可能性可能性的级别是要说明一个脆弱性在相关环境下被威胁所利用的可能性大小等级。分多少级别并不重要，重要的是级别的定义必须表示出相对的等级。例如：可能性级别可能性描述等级赋值高威胁源具有强烈的动机和足够的能力；脆弱性被广为所知且攻击容易自动化或者远程进行；防止脆弱性被利用的防护措施是无效的。3 中威胁源具有一定的动机和能力；脆弱性被广为所知，但是攻击不容易自动化或者远程进行；已经部署的安全防护措施可以阻止对脆弱性的成功利用。2低威胁源缺乏动机和能力；脆弱性尚未公布，攻击不容易自动化或者远程进行；已经部署的安全防护措施可以阻止对脆弱性的成功利用。1 估算威胁的影响级别影响级别是威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级。等级的定义方式和可能性等级定义方式类似。例如：影响级别影响定义影响赋值高可能导致有形资产或资源的高成本损失；可能严重违犯、危害或阻碍单位的使命、声誉或利益可能导致人员死亡或严重伤害3中可能导致有形资产或资源的损失；可能违犯、危害或阻碍单位的使命、声誉或利益 可能导致人员伤害2低可能导致某些有形资产或资源的损失；可能对单位的使命、声誉或利益造成值得注意的影响1 风险处置risk avoidance 风险回避 决定不卷入风险处境或从风险处境中撤出risk reduction 风险降低 采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生的可能性和减轻负面后果risk retention 风险保持 接受特定风险带来的损失或收益。在信息安全风险范畴内，风险保持只考虑负面后果（损失）。risk transfer风险转移 与其它组织分担风险的损失或收益。注：在信息安全风险范畴内，转移 风险只考虑负面后果（损失）。 风险矩阵风险级别范围风险描述高79要立即采取措施进行处理中46要在合理的时间段内进行处理低13可以决定是否需要采取措施进行处理1 2 31 1 2 32 2 4 63 3 6 9影响可能性 风险评估的难点资产识别的细致程度资产关联的识别或评价威胁的识别脆弱性的描述风险计算方法的确定 谢 谢 ！