,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,风险评估,风险评估的整体理论、流程和评估方法,葛小亮,风险评估风险评估的整体理论、流程和评估方法葛小亮,目录：,基本概念,实施原则,分析原理,实施流程,评估方法,风险评估举例,目录：,风险评估的基本概念,依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。,风险评估概念,可用性,availability,数据或资源的特性，被授权实体按要求能访问和使用数据或资源。,机密性,confidentiality,数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。,完整性,integrity,保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。,安全的三个属性,风险评估的基本概念依据有关信息安全技术与管理标准，对信息系统,风险评估的实施原则,标准性原则,关键业务原则,可控性原则,最小影响原则,信息系统的安全风险评估，应按照,GB/T 20984-2007,中规定的评估流程进行实施，包括各阶段性的评估工作。,信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。,a,）服务可控性,b,）人员与信息可控性,c,）过程可控性,d,）工具可控性,对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，而对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。,风险评估的实施原则标准性原则关键业务原则可控性原则最小影响原,风险评估的原理,风险分析中要涉及资产、威胁、脆弱性三个基本要素：,资产的属性是资产 价值；,威胁的属性可以是威胁主体、影响对象、出现频率、动机等；,脆弱性的属性是资产弱点的严重程 度。,风险分析的主要内容为：,a,）对资产进行识别，并对资产的价值进行赋值；,b,）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；,c,）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；,d,）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；,e,）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；,f,）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。,风险评估的原理风险分析中要涉及资产、威胁、脆弱性三个基本要素,风险评估的框架,风险评估的框架,方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属 性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估 过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要 素相关的各类属性。图,1,中的风险要素及属性之间存在着以下关系：,a,）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；,b,）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；,c,）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；,d,）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；,e,）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；,f,）风险的存在及对风险的认识导出安全需求；,g,）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；,h,）安全措施可抵御威胁，降低风险；,i,）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全 成本与效益后不去控制的风险；,j,）残余风险应受到密切监视，它可能会在将来诱发新的安全事件,风险评估的要素的关系,方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要,风险评估的流程,风险评估的流程,风险评估的流程详细说明,-,评估准备,确定目标,确定范围,组建团队,系统调研,确定依据,确定方案,获得支持,风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结 果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施 前，应考虑如下活动：,根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理 上的不足，以及可能造成的风险大小。,活动,风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独 立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。,风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要时，可 组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和 技术骨干组成专家小组。评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保 密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人 保密协议。,系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法 的选择、评估内容的实施奠定基础。调研内容至少应包括：,a,）业务战略及管理制度,b,）主要的业务功能和要求,c,）网络结构与网络环境，包括内部连接和外部连接；,d,）系统边界；,e,）主要的硬件、软件；,f,）数据和信息；,g,）系统和数据的敏感性；,h,）支持和使用系统的人员；,i,）其他。,根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）：,a,）现行国际标准、国家标准、行业标准；,b,）行业主管机关的业务系统的要求和制度；,c,）系统安全保护等级要求；,d,）系统互联单位的安全要求；,e,）系统本身的实时性或性能要求等。,根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）：,a,）现行国际标准、国家标准、行业标准；,b,）行业主管机关的业务系统的要求和制度；,c,）系统安全保护等级要求；,d,）系统互联单位的安全要求；,e,）系统本身的实时性或性能要求等。,上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。,风险评估的流程详细说明-评估准备确定目标确定范围组建团队系统,风险评估的流程详细说明,-,资产识别（,1,）,资产分类：,机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价 值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决 定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已 采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。,数据,举例,保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等,软件,举例,系统软件：操作系统、数据库管理系统、语句包、开发系统等,应用软件：办公软件、数据库软件、各类工具软件等,源程序：各种共享源代码、自行或合作开发的各种代码等,硬件,举例,网络设备：路由器、网关、交换机等,计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等,存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等,传输线路：光纤、双绞线等,保障设备：,UPS,、变电设备等、空调、保险柜、文件柜、门禁、消防设施等,安全保障设备：防火墙、入侵检测系统、身份鉴别等,其他：打印机、复印机、扫描仪、传真机等,服务和人员,风险评估的流程详细说明-资产识别（1）资产分类：数据举例保存,风险评估的流程详细说明,-,资产识别（,2,）,资产赋值,单一赋值,单一赋值,风险评估的流程详细说明-资产识别（2）资产赋值单一赋值单一赋,风险评估的流程详细说明,-,资产识别（,3,）,资产赋值,资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法 可以根据自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的 最终赋值结果；,综合赋值,单一赋值,风险评估的流程详细说明-资产识别（3）资产赋值资产价值应依据,风险评估的流程详细说明,-,威胁识别（,4,）,表,7,威胁赋值,风险评估的流程详细说明-威胁识别（4）表7 威胁赋值,威,胁,分,类,表,威,风险评估的流程详细说明,-,脆弱性识别,脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产 的脆弱性才可能造成危害。,主要形式,问卷调查、工具检测、人工核查、文档查阅、渗透性测试,主要内容,类型,识别对象,识别内容,技术脆弱性,物理环境,从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别,网络结构,从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别,系统软件,从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别,应用中间件,件 从协议安全、交易完整性、数据完整性等方面进行识别。,应用系统,从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别,管理脆弱性,技术管理,从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识,组织管理,从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别,风险评估的流程详细说明-脆弱性识别脆弱性是资产本身存在的，如,风险评估的流程详细说明,-,脆弱性识别,可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的 脆弱性的严重程度进行赋值。,由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时 应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。,已有安全措施确认,在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估 其有效性，即是