第十一章資訊安全風(fēng)險(xiǎn)評估與管理

1、第十一章 資訊安全風(fēng)險(xiǎn)評估與管理,11-1 風(fēng)險(xiǎn)評估與管理基本概念11-2 風(fēng)險(xiǎn)評估過程11-3 風(fēng)險(xiǎn)控制過程11-4 風(fēng)險(xiǎn)評估與管理方法,11-1 風(fēng)險(xiǎn)評估與管理基本概念,什麼時(shí)候才能阻止網(wǎng)路駭客入侵？人類文明已有四千年歷史，何時(shí)才能讓犯罪成為絕響？答案是：永遠(yuǎn)不會(huì)。網(wǎng)路世界也是一樣的道理，我們最多能做的就是儘可能管理風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)降到最低，一如在實(shí)體世界的做法。,11-1-1 與風(fēng)險(xiǎn)評估有關(guān)的概念,1.威脅（Threat），是指

2、可能對資產(chǎn)或組織造成損害事故的潛在原因。 2.薄弱點(diǎn)（Vulnerability），是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。 3.風(fēng)險(xiǎn)（Risk）是特定威脅事件發(fā)生的可能性與後果的結(jié)合。 4.風(fēng)險(xiǎn)評估（Risk Assessment），對資訊和資訊處理設(shè)施的威脅、影響和薄弱點(diǎn)及三者發(fā)生可能性的評估。,11-1-2 與風(fēng)險(xiǎn)管理有關(guān)的概念,1.風(fēng)險(xiǎn)管理（Risk Management），以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響資訊

3、系統(tǒng)的安全風(fēng)險(xiǎn)的過程。 2.安全控制（Security Control），降低安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。3.剩餘風(fēng)險(xiǎn)（Residual Risk），實(shí)施安全控制後，剩下的安全風(fēng)險(xiǎn)。4.適用性聲明（Applicability Statement），適用於組織需要的目標(biāo)和控制的評述。,11-1-3 術(shù)語概念之間的關(guān)係,資產(chǎn)具有價(jià)值，並會(huì)受到威脅的潛在影響。薄弱點(diǎn)將資產(chǎn)暴露給威脅，威脅利用薄弱點(diǎn)對資產(chǎn)造成影響。威脅與薄弱點(diǎn)的增加導(dǎo)

4、致安全風(fēng)險(xiǎn)的增加。安全風(fēng)險(xiǎn)的存在對組織的資訊安全提出要求。安全控制應(yīng)滿足安全要求。組織通過實(shí)施安全控制防範(fàn)威脅，以降低安全風(fēng)險(xiǎn)。,11-2 風(fēng)險(xiǎn)評估過程,風(fēng)險(xiǎn)評估（也稱風(fēng)險(xiǎn)分析）是風(fēng)險(xiǎn)管理的基礎(chǔ)，是組織確認(rèn)資訊安全要求的途徑之一，屬於組織資訊安全管理體系策劃的過程。透過風(fēng)險(xiǎn)評估識(shí)別組織所面臨的安全風(fēng)險(xiǎn)並確認(rèn)風(fēng)險(xiǎn)控制的優(yōu)先等級，進(jìn)而對其實(shí)施有效控制，將風(fēng)險(xiǎn)控制在組織可以接受的範(fàn)圍之內(nèi)。,11-2-1 風(fēng)險(xiǎn)評估的基本步驟,1．風(fēng)險(xiǎn)評

5、估應(yīng)考慮的因素 2．風(fēng)險(xiǎn)評估的基本步驟 3．進(jìn)行風(fēng)險(xiǎn)評估時(shí)，應(yīng)考慮的對應(yīng)關(guān)係,風(fēng)險(xiǎn)評估過程圖,11-2-2 資產(chǎn)識(shí)別與估價(jià),為了明確被保護(hù)的資訊資產(chǎn)，組織應(yīng)列出與資訊安全有關(guān)的資產(chǎn)清單，對每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u估。為了防止資產(chǎn)被忽視或遺忘，在識(shí)別資產(chǎn)之前應(yīng)確定風(fēng)險(xiǎn)評估範(fàn)圍。列出對組織或組織的特定部門的業(yè)務(wù)過程有價(jià)值的任何事物，以便根據(jù)組織的商務(wù)流程來識(shí)別資訊資產(chǎn)。,11-2-3 威脅識(shí)別與評價(jià),對組織需要保護(hù)的每一項(xiàng)關(guān)鍵

6、資訊資產(chǎn)進(jìn)行威脅識(shí)別。在威脅識(shí)別過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷，一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對不同的資產(chǎn)造成影響。威脅識(shí)別應(yīng)確認(rèn)威脅由誰或什麼事物引發(fā)以及威脅影響的資產(chǎn)。,環(huán)境威脅發(fā)生的可能性,PTV= PT × PV,PTV—考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生的可能性PT—未考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生可能性Pv—資產(chǎn)的薄弱點(diǎn)被威脅利用的可能性,11-2-4 薄弱點(diǎn)評價(jià)

7、與已有控制措施的確認(rèn),1．薄弱點(diǎn)的識(shí)別與評價(jià) 組織應(yīng)針對每一項(xiàng)需要保護(hù)的資訊資產(chǎn)，找出每一種威脅所能利用的薄弱點(diǎn)，並對薄弱點(diǎn)的嚴(yán)重性進(jìn)行評價(jià)。 2．對己有的安全控制進(jìn)行確認(rèn) 組織應(yīng)將已採取的控制措施進(jìn)行識(shí)別並對控制措施的有效性進(jìn)行確認(rèn)。,11-2-5 風(fēng)險(xiǎn)評估,組織在經(jīng)過資產(chǎn)識(shí)別與估價(jià)、威脅與薄弱點(diǎn)的識(shí)別與評價(jià)、已有控制措施的確認(rèn)後，應(yīng)利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測量方法或工具確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級，即對組織資訊安全管理範(fàn)圍內(nèi)的

8、每一資訊資產(chǎn)因遭受洩露、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測量的列表，以便識(shí)別與選擇適當(dāng)和正確的安全控制方式。,風(fēng)險(xiǎn)測量方法,風(fēng)險(xiǎn)是資產(chǎn)所受到的威脅、存在的薄弱點(diǎn)及威脅利用薄弱點(diǎn)所造成的潛在影響三方面共同作用的結(jié)果。風(fēng)險(xiǎn)是威脅發(fā)生的可能性、薄弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù)，記為：,R= R（PT，PV，I）,風(fēng)險(xiǎn)區(qū)域示意圖,風(fēng)險(xiǎn)優(yōu)先順序別確定,確定風(fēng)險(xiǎn)數(shù)值的大小不是我們評估的最終目的，重要的是明確不同威脅對資產(chǎn)

9、所產(chǎn)生的風(fēng)險(xiǎn)的相對值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級，對於風(fēng)險(xiǎn)等級高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。,風(fēng)險(xiǎn)評估一風(fēng)險(xiǎn)管理工具的選擇,一旦風(fēng)險(xiǎn)評估被完成，評估的結(jié)果（資產(chǎn)和它們的價(jià)值，威脅—薄弱點(diǎn)和風(fēng)險(xiǎn)等級，以及被確認(rèn)的控制）應(yīng)該被保存和檔案化，例如，儲(chǔ)存在資料庫裡。企業(yè)組織或政府單位可以利用軟體支援工具進(jìn)行風(fēng)險(xiǎn)評估活動(dòng)，這可以使再評估活動(dòng)更容易。,11-3 風(fēng)險(xiǎn)控制過程,11-3-1 安全控制的識(shí)別和選擇,為了降低或消除資訊安全管理

10、體系範(fàn)圍所涉及到的被評估的風(fēng)險(xiǎn)，組織應(yīng)識(shí)別和選擇適宜且合理的安全控制。透過實(shí)施安全控制使風(fēng)險(xiǎn)降低到組織可接受的程度。安全控制的選擇應(yīng)以風(fēng)險(xiǎn)評估的結(jié)果作為依據(jù)，判斷與威脅相關(guān)聯(lián)的薄弱點(diǎn)，決定什麼地方需要保護(hù)，以及應(yīng)該採取何種形式的控制。,11-3-2 風(fēng)險(xiǎn)控制,根據(jù)控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則，組織對所選擇的安全控制應(yīng)嚴(yán)格實(shí)施並保持，即透過以下途徑達(dá)到風(fēng)險(xiǎn)降低的目的：,（1）避免風(fēng)險(xiǎn) （2）轉(zhuǎn)移風(fēng)險(xiǎn) （3）減少威脅 （4）減少

11、薄弱點(diǎn) （5）減少威脅可能的影響程度 （6）探測有害事故,11-3-3 風(fēng)險(xiǎn)接受,組織在實(shí)施選擇的控制後，總是有殘留的風(fēng)險(xiǎn)，稱之為殘留風(fēng)險(xiǎn)或殘餘風(fēng)險(xiǎn)。殘餘風(fēng)險(xiǎn)也可能是某些資產(chǎn)未被有意保護(hù)所致，例如，假設(shè)的低風(fēng)險(xiǎn)或者被提及的控制需要高費(fèi)用而未採取應(yīng)有的控制。為確保組織的資訊安全，殘餘風(fēng)險(xiǎn)應(yīng)在可接受的範(fàn)圍內(nèi)。,動(dòng)態(tài)風(fēng)險(xiǎn)評估的時(shí)機(jī),（1）當(dāng)組織新增資訊資產(chǎn)時(shí)（2）當(dāng)系統(tǒng)發(fā)生重大變更時(shí)（3）發(fā)生嚴(yán)重資訊安全事故時(shí)（4）組織認(rèn)為有必要

12、時(shí),11-4 風(fēng)險(xiǎn)評估與管理方法,為了達(dá)到自我安全的要求，定期的反省檢討安全措施是必要的步驟。 為了確認(rèn)定期檢討的內(nèi)容，也因此需要一套系統(tǒng)的分析方法，才能發(fā)現(xiàn)問題的所在。這樣一套有系統(tǒng)的方法即為風(fēng)險(xiǎn)評估方法。在風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理方法被應(yīng)用的過程中，評估時(shí)間、強(qiáng)度，以及具體開展的深度應(yīng)與組織的環(huán)境和安全要求相稱。,11-4-1 基本的風(fēng)險(xiǎn)評估,基本的風(fēng)險(xiǎn)評估是一種直接和簡單的方法，包括對組織所考慮的資訊和財(cái)產(chǎn)安全要求的一個(gè)系統(tǒng)的評估，

13、識(shí)別那些令人滿意的控制目標(biāo)和對滿足這些目標(biāo)的一系列控制進(jìn)行選擇。 這種方法適用於商業(yè)運(yùn)作不是非常複雜，並且組織對資訊處理和網(wǎng)路的依賴程度不高的組織。,11-4-2 詳細(xì)的風(fēng)險(xiǎn)評估,這個(gè)方法包括對資產(chǎn)的詳細(xì)識(shí)別和估價(jià)，以及那些對資產(chǎn)形成威脅和相關(guān)薄弱點(diǎn)水平的評估，上述結(jié)果被用於評估風(fēng)險(xiǎn)並隨後被用於安全控制的識(shí)別和選擇。詳細(xì)的風(fēng)險(xiǎn)評估可能是非常耗費(fèi)財(cái)力的過程，因此需要非常仔細(xì)制定被評估的資訊系統(tǒng)範(fàn)圍內(nèi)的商務(wù)環(huán)境、運(yùn)作、資訊和資產(chǎn)的界限。

14、,11-4-3 聯(lián)合評估方法,這種方法首先使用基本的風(fēng)險(xiǎn)評估方法，識(shí)別資訊安全管理範(fàn)圍內(nèi)具有潛在的高風(fēng)險(xiǎn)或?qū)ι虡I(yè)運(yùn)作來說極為關(guān)鍵的資產(chǎn)，然後根據(jù)基本的風(fēng)險(xiǎn)評估的結(jié)果，將資訊安全管理範(fàn)圍內(nèi)的資產(chǎn)分成兩類，一類需要應(yīng)用一個(gè)詳細(xì)的風(fēng)險(xiǎn)評估方法以達(dá)到適當(dāng)保護(hù)，另一類透過基本評估方法選擇的控制。,11-4-4 風(fēng)險(xiǎn)評估和管理方法的選擇應(yīng)考慮的因素,組織可採取不同的風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理方法，一個(gè)方法是否適合於特定組織有很多影響因素，包括：,（1）商務(wù)