1.1 安全评估基础
安全评估也称风险评估,风险评估是确定安全需求的重要途径!
1.1.1 安全评估工作内容
| 确定保护的对象(保护资产)是什么?它们直接和间接价值? |
| 资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? |
| 资产中存在哪里弱点可能会被威胁所利用?利用的容易程序又如何? |
| 一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响? |
| 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序。 |
1.1.2 风险评估的价值
安全建设的起点和基础
信息安全建设和管理的科学方法
倡导适度安全
保护网络空间安全的核心要素和重要手段
1.1.3 风险评估标准
我国在2008年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。
1.2 安全评估实施
1.2.1 风险评估要素及关系
| 风险评估相关要素 |
|
| 资产 |
构成风险评估的资产是建立对组织具有价值的信息或资源,是安全策略保护的对象。 风险评估中资产的价值不是以资产的经济价值来衡量, 而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。 |
| 威胁 |
可能导致对系统或组织危害的不希望事故潜在起因。 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。引起风险的外因 造成威胁的因素 人为因素和环境因素。 根据威胁的动机, 人为因素又可分为恶意和非恶意两种。 环境因素包括自然界不可抗的因素和其它物理因素 |
| 脆弱性 |
可能被威胁所利用的资产或若干资产的薄弱环节。 脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。 威胁总是要利用资产的脆弱性才可能造成危害。 |
| 安全风险 |
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险只考虑那些对组织有负面影响的事件 |
| 安全措施 |
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。 |
| 残余风险 |
采取了安全措施后,信息系统仍然可能存在的风险 |
1.2.2 风险评估的常用方法
1.2.2.1 基于知识分析
1.2.2.2 定量分析
定量风险分析的一种方法就是计算年度损失预期值(ALE)。计算公式如下:
年度损失预期值(ALE) = SLE x 年度发生率(ARO)
单次损失预期值(SLE) = 暴露因素(EF)x 资产价值(AV)
1.2.2.3 定性分析
目前采用最为广泛的一种方法
带有很强的主观性,往往凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。
1.2.3 基本过程
风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。
1.2.3.1 风险评估准备:
v 风险评估准备是整个风险评估过程有效性的保证
§组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
v 风险评估准备工作
§确定风险评估的目标
§确定风险评估的范围
§组建适当的评估管理与实施团队
§进行系统调研
§确定评估依据和方法
§制定风险评估方案
§获得最高管理者对风险评估工作的支持
1.2.3.2 风险识别
1、资产识别
v 资产分类、分级、形态及资产价值评估
v 资产分类
§数据、软件、硬件、服务、人员、其他(( GB/T 20984《信息安全风险评估规范》 ) )
v 资产形态
§有形资产、无形资产
v 资产分级
§保密性分级、完整性分级、可用性分级
§资产重要性分级
v 制定资产重要性分级准则
§依据资产价值大小对资产的重要性划分不同的等级。资产价值依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
| 赋值 |
重要性等级 |
定义 |
| 5 |
很高 |
非常重要,其安全属性破坏后可能对组织造成非常严重的损失 |
| 4 |
高 |
重要,其安全属性破坏后可能对组织造成比较严重的损失 |
| 3 |
中 |
比较重要,其安全属性破坏后可能对组织造成中等程度的损失 |
| 2 |
低 |
不太重要,其安全属性破坏后可能对组织造成较低的损失 |
| 1 |
很低 |
不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计 |
2、威胁识别
v 威胁类型
§自然因素、人为因素
v 威胁频率级别
| 赋值 |
威胁出现频率级别 |
定义 |
| 5 |
很高 |
出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 |
| 4 |
高 |
出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 |
| 3 |
中 |
出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 |
| 2 |
低 |
出现的频率较小;或一般不太可能发生;或没有被证实发生过 |
| 1 |
很低 |
威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生 |
3、脆弱性识别
v 脆弱性识别与威胁识别是何关系?
§ 验证:以资产为对象,对威胁识别进行验证
v 脆弱性识别的难点是什么?
§ 三性:隐蔽性、欺骗性、复杂性
v 脆弱性识别的方法有哪些?
| 赋值 |
脆弱性严重程度级别 |
定义 |
| 5 |
很高 |
如果被威胁利用,将对资产造成完全损害 |
| 4 |
高 |
如果被威胁利用,将对资产造成重大损害 |
| 3 |
中 |
如果被威胁利用,将对资产造成一般损害 |
| 2 |
低 |
如果被威胁利用,将对资产造成较小损害 |
| 1 |
很低 |
如果被威胁利用,将对资产造成的损害可以忽略 |
4、确认已有的控制措施
v 依据三个报告
§ 《信息系统的描述报告》、《信息系统的分析报息告》和《信系统的安全要求报告》
v 确认已有的安全措施,包括:
§ 技术层面(物理平台、系统平台、网络平台和应用平台)的安全功能
§ 组织层面(组织结构、岗位和人员)的安全控制
§ 管理层面(策略、规章和制度)的安全对策
§ 形成《已有安全措施列表》。
v 控制措施类型
§ 预防性、检测性和纠正性
v 在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,对有效的安全措施继续保持,以避免不必要的工作和费用,防止重复实施。
1.2.3.3 风险分析
风险值 = R(A,T,V)= R(L(T,V),F(Ia,Va ))
• R表示安全风险计算函数
• A表示资产
• T表示威胁
• V表示脆弱性
• Ia表示安全事件所作用的资产价值
• Va表示脆弱性严重程度
• L表示威胁利用资产的脆弱性导致安全事件的可能性
• F表示安全事件发生后造成的损失
• 计算安全事件发生的可能性
• 安全事件的可能性=L(威胁出现频率,脆弱性)=L(T,V )
• 计算安全事件发生后造成的损失
• 安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va )
• 计算风险值
• 风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va ))
1.2.3.4 风险结果判定
v 评估风险的等级
§ 评估风险的等级依据《风险计算报告》,根据已经制定的风险分级准则,对所有风险计算结果进行等级处理,形成《风险程度等级列表》。
v 综合评估风险状况
§ 汇总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》
示例:
1.2.3.5
风险处理计划
v 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划
§管理措施
§技术措施
1.2.3.6 残余风险评估
v 实施安全措施后对措施有效性进行再评估
§在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
§某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施
1.2.4 风险评估文档
1.3 信息系统审计
v 信息系统审计的作用
§从审计目标看,信息系统审计主要是检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、安全性、可靠性和经济性等各类目标要素。
§审计内容看,信息系统审计中的一般控制审计包括信息安全技术控制审计和信息安全管理控制审计。
审计过程:
v 计划:确定审计的目标和范围
v 现场工作和文件:收集数据并进行访以帮助分析潜在风险
v 问题发现和验证:潜在问题清单并验证
v 开发解决方案:与客户合作制定解决每个问题的行动计划
v 报告起草和执行
v 问题跟踪
