v2-第5章--信息安全風險評估實施流程---副本

1、第5章 信息安全風險評估實施流程,5.1 風險評估的準備 5.2 資產識別 5.3 脆弱性識別 5.4 已有安全措施確認5.5 風險分析5.6 風險處理計劃5.7 風險評估文件記錄5.8 本章作業(yè),信息安全風險評估實施流程 信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，為防范和化

2、解信息安全風險，或者將風險控制在可以接受的水平，制定針對性的抵御威脅的防護對策和整改措施以最大限度地保障網絡和信息安全提供科學依據。,,在信息化建設中，各類應用系統(tǒng)及其賴以運用的基礎網絡、處理的數據和信息是業(yè)務實現的保障，由于其可能存在軟硬件設備缺陷、系統(tǒng)集成缺陷等，以及信息安全管理中潛在的薄弱環(huán)節(jié)，都將導致不同程度的安全風險。,,信息安全風險評估可以不斷地、深入地發(fā)現信息系統(tǒng)建設、運行、管理中的安全隱患，并為增強安全性提供有效建議，以

3、便采取更加經濟、更加有力的安全保障措施，提高信息安全的科學管理水平，進而全面提升網絡與信息系統(tǒng)的安全保障能力。 信息安全風險評估在具體實施中一般包括風險評估的準備活動，對信息系統(tǒng)資產安全、面臨威、存在脆弱性的識別，對已經采取安全措施的確認，對可能存在的信息安全風險的識別等環(huán)節(jié)。,,5.1 風險評估的準備 風險評估的準備是實施風險評估的前提，只有有效地進行了信息安全風險評估準備，才能更好

4、地開展信息安全風險評估。由于實施信息安全風險評估，涉及組織的業(yè)務流程、信息安全需求、信息系統(tǒng)規(guī)模、信息系統(tǒng)結構等多方面內容，因此開展信息安全風險評估的準備活動，通過確定目標、進行調研、獲得組織高層管理者對評估的支持等，對有效實施風險評估是十分必要的。,,信息安全評估的準備活動包括 1. 確定風險評估的目標 2. 確定風險評估的范圍 3. 組建風險評估管理團隊和評估實施團隊 4. 進行系統(tǒng)

5、調研 5. 確定評估依據和方法 6. 獲得最高管理者對風險評估工作的支持,,5.1.1 確定風險評估的目標 首先需要確定風險評估的目標，信息安全需求是一個組織為保證其業(yè)務正常、有效運轉而必須達到的信息安全要求，通過分析組織必須符合的相關法律法規(guī)、組織在業(yè)務流程中對信息安全等的機密性、可用性、完整性等方面的需求，來確定風險評估的目標。,,5.1.2 確定風險評估的范圍 在風

6、險評估前，需要確定風險評估的范圍。風險評估的范圍，包括組織內部與信息處理相關的各類軟硬件資產、相關的管理機構和人員、所處理的信息等各方面。 實施一次風險評估的范圍可大可小，需要根據具體評估需求確定，可以對組織全部的信息系統(tǒng)進行評估，也可以僅對關鍵業(yè)務流程進行評估，也可以對組織的關鍵部門的信息系統(tǒng)進行評估等。,,5.1.3 組建評估管理團隊和評估實施團隊 在確定風險評估的目標、范圍后，需要組建風險評估

7、實施團隊，具體執(zhí)行組織的風險評估。由于風險評估涉及組織管理、業(yè)務、信息資產等各個方面，因此風險評估團隊中除了信息安全評估人員的參與，以便更好地了解組織信息安全狀況，以利于風險評估的實施。,,5.1.4 進行系統(tǒng)調研 在確定了風險評估的目標、范圍、團隊后，要進行系統(tǒng)調研，并根據系統(tǒng)調研的結果決定評估將采用的評估方法等技術手段。系統(tǒng)調研內容包括：,,1. 組織業(yè)務戰(zhàn)略2. 組織管理制度3.

8、 組織主要業(yè)務功能和要求4. 網絡結構、網絡環(huán)境（包括內部連接和外部連接）5. 網絡系統(tǒng)邊界6. 主要的硬、軟件7. 數據和信息8. 系統(tǒng)和數據的敏感性9. 系統(tǒng)使用人員10. 其他系統(tǒng)調研方法可以采用問卷調查、現場訪談等方法進行。,,5.1.5 確定評估依據和方法 以系統(tǒng)調研結果為依據，根據被評估信息系統(tǒng)的具體情況，確定風險評估依據和方法。 評估依據包括吸

9、納有國際或國家有關信息安全標準、組織的行業(yè)主管機關的業(yè)務系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的安全要求、組織的信息系統(tǒng)本身的實時性或性能要求等。 根據評估依據，并綜合考慮評估的目的、范圍時間效果評估人員素質等因素，選擇具體的風險計算方法，并依據組織業(yè)務實施對系統(tǒng)安全運行的需求，確定相關的評估判斷依據，使之能夠與組織環(huán)境和安全要求相適應。,,5.1.6 獲得支持 就以上內容形成較為完整的風險評估實

10、施方案，并報組織最高管理者批準，以獲得其對風險評估方案的支持，同時在組織范圍就風險評估相關內容對管理者和技術人員進行培訓，以明確有關人員在風險評估中的任務。,,5.2 資產識別5.2.1 資產分類 風險評估需要對資產的價值進行識別，因為價值不同將導致風險值不同。 而風險評估中資產的價值不是以資產的經濟價值來衡量，而是以資產的機密性、完整性、和可用性三個方面屬性為基礎進行衡量。 資

11、產在機密性、完整性和可用性三個屬性上的要求不同 ，則資產的最終價值也不同。,,在一個組織中，資產有多種表現形式，同樣的兩個資產也因屬于不同的信息系統(tǒng)而重要性不同。首先需要將信息系統(tǒng)及相關的資產進行恰當的分類，以此為基礎進行下一步的風險評估。在實際工作中，具體的資產分類方法可以根據具體的評估對象和要求，由評估者靈活把握。根據資產的表現形式，可以將資產分為數據、軟件、硬件、文檔、服務、人員等類型。表5-1列出了一種資產的分類方法。,,表5-

12、1 一種基于表現形式的資產分類方法,表5-1 一種基于表現形式的資產分類方法,5.2.2 資產賦值 對資產的賦值不僅要考慮資產的經濟價值，更重要的是要考慮資產的安全狀況，即資產的機密性、完整性和可用性，對組織信息安全性的影響程度。 資產賦值的過程也就是對資產在機密性,完整性和可用性上的要求進行分析，并在此基礎上得出綜合結果的過程。 資產對機密性、完整

13、性和可用性上的要求可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產的損害以至危及信息系統(tǒng)，還可能導致經濟效益、市場份額、組織形象的損失。,,1. 機密性賦值 根據資產在機密性上的不同要求，將其分為5個不同的等級，分別對應資產在機密性缺失時對整個組織的影響。表5-2提供了一種機密性賦值的參考。,,表5-2 資產機密性賦值表,2. 完整性賦值 根據資產在完整性上的不同要求，將其分為5

14、個不同的等級，分別對應資產在完整性商缺失時對整個組織的影響。表5-3提供了一種完整性賦值的參考。,,表5-3 資產完整性賦值表,3. 可用性賦值 根據資產在可用性上的不同要求，將其分為5個不同的等級，分別對應資產在可用性上缺失時對整個組織的影響。表1-4提供了一種可用性賦值的參考。,,表5- 4 資產可用性賦值表,4. 資產重要性等級 資產價值應依據資產在機密性、完整性和可用性

15、上的賦值等級，經過綜合評定得出。綜合評定方法可以選擇對資產機密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果；也可以根據資產機密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。加權方法可根據組織的業(yè)務特點確定。這里為與上述安全屬性的賦值相對應，根據最終賦值資產劃分為5級，級別越高表示資產越重要，也可以根據組織的實際情況確定資產識別中的賦值依據和等級。表5-5中的資產等級劃分表明了不同等級

16、的重要性的綜合描述。評估者可根據資產賦值結果，確定重要資產的范圍，并圍繞重要資產進行下一步的風險評估。,,表5- 5 資產等級及含義描述,5.3 威脅識別5.3.1 威脅分類 信息安全威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。 造成威脅的因素可分為人為因素和環(huán)境因素。 根據威脅的動機，人為因素又可分為惡意和非惡意兩種。 環(huán)境因素包括自然界不可抗力的因

17、素和其他物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，也可能是偶發(fā)的或蓄意的安全事件，都會在信息的機密性、完整性或可用性等方面造成損害。在對威脅進行分類前，應考慮威脅的來源。表1-6提供了一種威脅來源的分類方法。,,表5- 6 威脅來源列表,5.3 威脅識別對威脅進行分類的方式有多種，針對表5-6的威脅來源，可以根據其表現形式進行威脅分類。表5-7提供了一種基于表現形式的威脅分類方法。,,表5- 7

18、 一種基于表現形式的威脅分類表,表5- 7 一種基于表現形式的威脅分類表,表5- 7 一種基于表現形式的威脅分類表,5.3 威脅識別5.3.2 威脅賦值 威脅出現的頻率是衡量威脅嚴重程度的重要要素，因此威脅識別后需要對威脅頻率進行賦值，已帶入最后的風險計算中。 評估者應根據經驗和（或）有關的統(tǒng)計數據來對威脅頻率進行賦值，威脅賦值中需要綜合考慮以下三個方面因素。,,5.3

19、 威脅識別5.3.2 威脅賦值1） 以往安全事件報告中出現過的威脅及其頻率的統(tǒng)計2） 實際環(huán)境中通過檢測工具以及各種日志發(fā)現的威脅及其頻率的統(tǒng)計；3） 近年來國際組織發(fā)布的對與整個社會或特定的行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。 可以對威脅出現的頻率進行等級化處理，不同等級分別代表威脅出現的頻率的高低。等級數值越大，威脅出現的頻率越高。,,表5- 8 威脅賦值表,表5-8 提供了威脅出

20、現頻率的一種賦值方法。在實際的評估中，威脅頻率的判斷應根據歷史統(tǒng)計或行業(yè)判斷，在評估準備階段確定，并得到被評估方的認可。,,5.4 脆弱性識別 脆弱性是資產本身存在的， 如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。而且如果系統(tǒng)足夠強健，嚴重的威脅也不會導致安全事件發(fā)生進而帶來損失。即，威脅總是要利用資產的脆弱性才可能造成危害。,,資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件下和環(huán)境下才能顯現，這

21、是脆弱性識別中最為困難的部分。不正確的，起不到應有作用的或沒有正確實施安全措施本身就可能存在脆弱性。,,脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，并對脆弱的嚴重程度進行評估，也可以從物理、網絡、系統(tǒng)、應用等層次進行識別，然后與資產、威脅對應起來。 脆弱識別的依據可以是國際國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。,,對應用在不同的環(huán)境中的相

22、同弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷資產的脆弱性及其嚴重程度。,,信息系統(tǒng)所采用的協(xié)議、應用流程的完備與否、與其他網絡的互聯等也應考慮在內。 脆弱性識別時的數據應來自于資產的所有者、使用者，以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。,,脆弱性識別主要從技術和管理兩個方面進行， 技術脆弱性涉及物理層、網

23、絡層、系統(tǒng)層、應用層等各個層面的安全問題。 管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面，前者與具體技術活動相關，后者與管理環(huán)境相關。,,對不同的識別對象，其脆弱性識別的具體要求應參照相應的技術或管理標準實施 例如，對物理環(huán)境的脆弱性識別可以參照GB/T 9361-2000《計算機場地安全要求》中的技術指標實施； 對操作系統(tǒng)、數據庫可以參照GB 17859-1999《計算機信息系統(tǒng)安全保護

24、等級劃分準則》中的技術指標 實施管理脆弱性識別方面可以參照GB/T 19716-2005《信息技術　信息安全管理實用規(guī)則》的要求對安全管理制度及及執(zhí)行情況進行檢查，發(fā)現管理漏洞和不足。表5－９提供一種脆弱性識別內容的參考。,,表5- 9 脆弱性識別內容表,5.4.2脆弱性賦值 可以根據對資產的損害程度、技術實現的難易程度、弱點的程度，采用等級方式對已識別的脆弱性的嚴重進行賦值。由于很多弱點反映的是一

25、方面的問題，或可能造成相似的后果，賦值時應綜合考慮這些弱點，以確定這一方面脆弱性的嚴重程度。 對某個資產，其技術脆弱性的嚴重程度還受到組織管理脆弱性的影響。因此，資產的脆弱賦值還應參考技術管理和組織管理脆弱性的嚴重程度。,,脆弱性嚴重程度可以進行等級化管理，不同的等級分別代表資產脆弱性的嚴重程度高低。等級數值越大，脆弱性嚴重程度越高。表5-10提供了脆弱性嚴重程度的一種賦值方法。,,表5- 10 脆弱性嚴重程度賦

26、值表,5.5 已有安全措施確認 安全措施可以分為預防性安全措施和保護性安全措施兩種。 預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如:入侵檢測系統(tǒng)； 保護性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。,,在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行檢查，檢查安全措施是否有效發(fā)揮了作用，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅

27、。 對于已經有效地發(fā)揮了其作用的安全措施，應繼續(xù)保持，而不用重復建設安全措施； 對于不適當的安全措施，用對其進行改進，或采用更合適的安全措施替代。,,已有安全措施確認與脆弱性識別存在一定的聯系。一般來說，安全措施的使用將減少系統(tǒng)技術或管理上的弱點，但安全措施確認并不需要 和脆弱性識別過程那樣具體到每個資產、組件的弱點，而是一類具體措施的集合，為風險處理計劃的制定提供依據和參考。,,5.6 風險分析5.6

28、.1 風險計算原理風險定義為威脅利用脆弱性導致安全事件發(fā)生的可能性。在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當的方法與工具進行安全風險分析和計算，下面使用的范式形式化說明風險計算原理：,,風險值=R=（A,T,V） =R(L(T,V),F(Ia,Va)) 其中：R表示安全風險計算函數，A表示資產(Asset)，T表示威脅出現頻率(Threat

29、)，V表示脆弱性(Vulnerability)， Ia表示安全事件所作用的資產價值，Va表示脆弱性嚴重程度， L表示威脅利用資產的脆弱性導致安全事件發(fā)生的可能性，F表示安全事件發(fā)生后產生的損失。,,在風險計算中有以下三個關鍵計算環(huán)節(jié)：1. 計算安全事件發(fā)生的可能性 根據威脅出現頻率及弱點的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L（威脅出現頻率，脆

30、弱性） =(L,V) 在具體評估中，應綜合攻擊者技術能力（專業(yè)技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）、資產吸引力等因素來判斷安全事件發(fā)生的可能性。,,2. 計算安全事件發(fā)生后的損失 根據資產價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后的損失，即：安全事件的損失=F（資產價值，脆弱性嚴重程度）

31、= F(Ia,Va) 部分安全事件的發(fā)生造成的損失不僅僅是針對該資產本身，還可能影響業(yè)務的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失，應將對組織的影響也考慮在內。,,部分安全事件損失的判斷還應參照安全事件發(fā)生的可能性的結果，對發(fā)生可能性極少的安全事件，如:處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計算其損失。,,3. 計算風險值 根據

32、計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風險值，即：風險值=R（安全事件發(fā)生的可能性，安全事件的損失） =R(L(T,V),F(Ia,Va)),,評估者可根據自身情況選擇相應的風險計算方法計算出風險值，如矩陣法或相乘法。 矩陣法通過構造一個二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關系； 相乘法通過構造經驗函數，將安全事件發(fā)生的可能性與安全事件的損

33、失進行運算得到風險值。,,5.6.2 風險結果判定 為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理。可以將風險劃分為一定的級別，如劃分為5級或3級。等級越高，風險越高。 評估者應根據采用的風險計算方法，計算每種資產面臨的危險值，根據風險值的分布狀況，為每個等級設定風險值范圍，并對所有風險計算結果進行等級處理。每個等級代表了相應風險的嚴重程度。,,表5-11 提供了一種風險等級劃分方法。,

34、風險等級劃分是為了在風險管理過程中對不同風險進行直觀的比較，以確定組織安全策略。 組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。 對某些資產的風險，如果風險計算值在可接受的范圍內，則該風險是可接受的風險，應保持已有的安全措施； 如果風險評估值在可接受的范圍外，即風險計算值高于可接受范圍的上限值，是可接受的風險，需要采取安全措施以降低、控制風險。,,5.6.3 風

35、險處理計劃 對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。 風險處理計劃中應明確指出采取的彌補弱點的安全措施、預期效果、實施條件、進度安排、責任部門等。 安全措施的選擇應從管理與技術兩個方面考慮，管理措施可以作為技術措施的補充。安全措施的選擇與實施應參照信息安全的相關標準進行。,,在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可進行再評估，以判斷實施安全措施后的

36、殘余風險是否已經降低到可接受的水平。 殘余風險的評估可以依據本標準提出的風險評估流程實施，也可以適當裁減。一般來說，安全措施的實施是以減少脆弱性或降低安全事件發(fā)生可能性為目標的，因此，殘余風險的評估可以從脆弱性評估開始，在對照安全措施實施前后的脆弱性狀況后，再次計算風險值的大小。 某些風險可能在選擇了適當的安全措施后，殘余風險的結果仍處于不可接受的風險范圍內，應考慮是否接受此風險或進一步增加相應的安全措

37、施。,,5.7 風險評估文件記錄5.7.1 風險評估文件記錄的要求記錄風險評估過程中的相關文件，應符合以下要求（但不僅限于此）：1. 確保文件發(fā)布前是得到批準的；2. 確保文件的更改和現行修訂狀態(tài)是可識別的；3. 確保文件的分發(fā)得到適當的控制，并確保在使用時可獲得有關版本的使用文件；4. 防止作廢文件的非預期使用，若因某種目的需保留作廢文件時，應對這些文件進行適當的標識。,對于風險評估過程中形成的相關文件，還應規(guī)

38、定其標識、儲存、保護、檢索、保存期限以及處置所需的控制。 相關文件是否需要以及文件的詳略程度與組織的管理者來決定。,,5.7.2 風險評估文件 是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔，包括（但不僅限于此）；（1）風險評估方案 闡述風險評估的目標、范圍、人員、評估方法、評估結果的形式和實施進度等。（2）風險評估程序 明確評估的目的、職責、過程、相關的文件要求，以及實施本次評估所需

39、的各種資產、威脅、脆弱性識別和判斷依據。 (3) 資產識別清單 根據組織在風險評估程序文件中所確定的資產分類方法進行資產識別，形成資產識別清單，明確資產是責任人/部門。,,（4）重要資產清單 根據資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重要程度、責任人/部門等。（5）威脅列表 根據威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現的頻率等（6）脆弱性列表

40、根據脆弱性識別和賦值的結果，形成脆弱性列表，包括具體弱點的名稱、描述、類型及嚴重程度等。（7）已有安全措施的確認表 根據對已采取的安全措施確認的結果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等。,,（8）風險評估報告 對整個風險評估過程和結果進行總結，詳細說明被評估對象、風險評估方法、資產、威脅、脆弱性的識別結果、風險計劃、風險統(tǒng)計和結論等內容。（9）風險處理計劃 對評估結果中不可接受的

41、風險制定風險處理計劃，選擇適當的控制目標及安全措施，明確責任、進度、資源，并通過對殘余風險的評估以確定所選擇安全措施的有效性。（10）風險評估記錄 根據風險評估程序，要求風險評估過程中的各種現場記錄可復現評估過程，并作為產生歧義后解決問題的依據。,,作業(yè)6: 信息安全風險評估 調查表1.作業(yè)完成日期:3/23-4/6日 2.作業(yè)分值:15分3.要求:所調查的企業(yè)信息真實可靠,會打電話核對,