及的资产价值来判断安全事件一旦发生对组织造成的影响。
? 风险管理
确定、控制、消除可缩减影响系统资源的不定事件的总过程,它包括风险分析、费效分析、选择、实现与测试、安全防护评估及所有的安全检查等。
? 残余风险
采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
? 风险分析与风险评估 在信息安全领域,风险分析与风险评估是两个等同的概念,经常可以互换使用。前者更学术化一些,后者更工程化一些。 风险分析与前四步各种识别的关系:
风险分析将在前面的识别工作基础上进行风险计算,对风险进行定级,提出相应的风险控制措施(即安全解决方案),最后再次评估残余风险,从而使得人们对信息系统所面临的风险从模糊的感觉上升到更为科学、理性的认识。 风险分析包括内容:
? 风险计算; ? 风险定级; ? 风险控制; ? 残余风险。 (1)风险计算
在完成资产识别、威胁识别和脆弱性识别之后,将采用适当的计算方法来确定威胁利用脆弱性导致安全事件发生的可能性,并且根据资产价值及脆弱性的严重程度,最终判断安全事件一旦发生之后对组织造成的影响。
这个影响值称为“风险值”。 风险值计算关系图:
风险值计算的形式化表示方法: 风险值= R(A,T,V)= R(L(T,V),F(Ia,Va))
R——风险计算函数,A(Asset)——资产; T(Threat)——威胁出现频率;V(Vulnerability)——脆弱性;
L——威胁利用资产的脆弱性导致安全事件发生的可能性;
F——安全事件发生后产生的损失; Ia——安全事件所施加的资产的价值; Va——这个资产的脆弱性严重程度。 风险值= R(A,T,V)= R(L(T,V),F(Ia,Va))
? 这个等式表明风险值是由资产值、
威胁值和脆弱性值这3个基本值综合确定。 ? 为了计算R,在实际工作中采用的是
风险值的第二个计算公式。 ? 风险值的计算需要经过三步。 第一步:计算安全事件发生的可能性 L(T,V)=L(威胁出现频率,脆弱性)
? 从理论上来中,应综合攻击者技术
能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
第二步:计算安全事件发生后的损失 F(Ia,Va)=F(资产价值,脆弱性严重程度)
? 部分安全事件的发生造成的损失不
仅是针对资产本身,还可能影响业务的连续性;不同安全事件对组织造成的影响也是不一样的;在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
第三步:计算风险值R
R = R(L(T,V),F(Ia,Va))
? 指出两点:
——计算结果的相对性,即计算出来的风险值R是一个相对的概念;
——计算方法的相对性,即不同的计算方法对同一对象风险值的计算应该是相对一致的。
? 评估者可根据自身情况选择择相应
的风险计算方法计算风险值,如矩
阵法或相乘法;
? 矩阵法通过构造一个二维矩阵,形
成安全事件发生的可能性与安全事
件的损失之间的二维关系;
? 相乘法通过构造经验函数,将安全
事件发生的可能性与安全事件的损失进行运算得到风险值。
相乘法——常用的风险值算法
使用相乘法来分别计算安全事件发生的可能性L(T,V)、安全事件造成的损失F(Ia,Va)和综合两者之后的风险值R;
相乘法适用于由两个或两个以上要素值确定一个要素值的情形;采用一种定量的计算方法,直接利用两个(或两个以上)要素值进行相乘得到另一个要素值。 相乘法原理:
? 设二元函数
z?f(x,y)?x?y
式中,算子(即运算方式)可以事先
加以定义;如对安全事件发生可能性最自然的理解为:
安全事件可能性=威胁发生频率×脆弱性严重程度
所以直接定义为:
z?f(x,y)?x?y?x?y
但在实际工作中,如果上述直接相乘的
值“跳跃性”较大,所有安全事件可能性值计算完之后,其值域从1-10000;
所以,常常对这些值进行“柔化”处理,使其符合我们的常识,也有利于最后进行风险等级的划分。
常见的柔化处理方式包括:
z?f(x,y)?x?y??x?y?
z?f(x,y)?x?y???x?y??x?y??
式中,和分别表示取整下界和上界。 风险值计算示例:
设某资产的重要性赋值是A1=5,它面临两个威胁,其威胁发生频率值分别为T1=25和T2=17;T1可以利用A1存在的两个脆弱性,其赋值分别是V1=2和V2=3;T2可以利用A1存在的另外三个脆弱性,其赋值分别为V3=1、V4=4和V5=2;下面以A1面临的威胁
发生频率值T1及T1可以利用的脆弱性赋值V1为例,来计算A1面临的风险值。
? 这里采用公式:
z?f(x,y)?x?y??x?y?
?计算安全事件发生的可能性L(T,V):
z?f(x,y)?L(T,V)??T1?V1???25?2??7 ?计算安全事件造成的损失F(Ia,Va):
z?f(x,y)?F(Ia,Va)??A1?V1???5?2??3
?计算风险值R:
R?R(A,T,V)?R(L(T,V),F(Ia,Va))??7?3??4
(2)风险定级
为实现对风险的有效控制,可以像前面对资产、威胁和脆弱性那样,对风险评估的结果进行等级化处理。
评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据自身工程经验、被评估单位的实际情况和风险值的分布状况,为每个风险等级设定风险值范围,并对所有风险结果进行等级化处理。
风险可划分为5个等级,每个等级代表了风险的严重程度;等级越高,风险越高。
前面风险值示例中,已经得到了A1的一个风险值,设现在需要确定威胁发生频率值T1及T1可以利用的脆弱性赋值V1给A1带来的风险等级。
需要根据自身的工程经验和被评估单位的实际情况先制定一个风险值与风险等级的对照表:
风险等级划分是为了在风险管理过程中对不同风险进行直观的比较,以确定组织安全策略;
对某些资产的风险,如果风险计算值在可接受范围内,则该风险是可接受的,应保
持已有安全措施;
对某些资产的风险,如果风险计算值在可接受范围外,是不可接受的风险,需要采取安全措施以降低、控制风险。 (3)风险控制
风险控制是为完成风险状况评估之后,如何转嫁、减缓直至承担风险的过程。
风险控制本质上就是在获得了信息系统所面临的风险分布情况之后,应该提出相应的解决办法,即安全解决方案,以规避、降低、转嫁直至承担相应的风险。 风险控制(安全解决方案)四原则:
? 论证充分
要避免“围绕产品说方案”的落后思维方式;安全解决方案不是安全产品推销方案;应严格遵循国家标准,获得基础数据。
? 循序渐进
在充分论证的基础上坚持“有所为,有所不为”的指导思想,循序渐进地控制风险;要让用户明确“没有绝对的安全和零风险”。
? 结合国情
评估人员应当将“风险评估”与“等级保护”结合起来;要围绕提高信息系统安全等级保护水平来思考风险控制方案。
? 应急联动
风险控制的制定要与组织的信息安全应急响应方案结合起来,不要出现风险控制方案与应急响应方案“两张皮”的现象。 (4)残余风险
对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,即确认残余的风险状况。
残余风险的评估可以依据国家标准提出的风险评估流程实施,也可以做适当裁剪,即直接利用前面资产识别和威胁识别的结论,从脆弱性评估这个环节开始分析残余风险。
7、风险评估文件记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。
评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险
评估活动进行评审和认可的基础资料。
报告内容一般包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。 (1)文件类型
风险评估文件是指在整个风险评估过程中产生的评估过程文档和评估结果文档;
风险评估过程应形成的文件有:
?风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进程等;
?风险评估程序:明确评估的目的、职责、过程、相关的文件要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据;
?资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成资产识别清单,明确资产的责任人/部门;
?重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等; ?威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机出现的频率等; ⑥脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体弱点的名称、描述、类型及严重程度等; ⑦已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等; ⑧风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容; ⑨风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性;
⑩风险评估记录:根据风险评估程度,要求风险评估过程中的各种现场记录可复现评估过程,并作为产生歧义后解决问题的依
据。
(2)文件要求
①评估文件一致性要求:评估项目执行过程中,项目组应设置项目文档输出的基准线; ②评估文件保管要求:评估工作过程中,评估工作组形成的书面文字材料和数据应安全妥善存放,其安全要求应符合机密协议规定;
③评估文件使用要求:评估所形成的文档和数据是风险管理的依据,属于最高安全等级的信息资产,使用人员经过主管人员授权许可。
(3)文件控制
①文件发布前得到批准,以确保文件充分; ②必要时对文件进行评审、更新并再次批准;
③确保文件的更改和现行修订状态得到识别;
④确保在使用时,可获得有关版本适用文件;
⑤确保文件保持清晰、易于识别; ⑥确保外来文件得到识别;
⑦确保文件的分发得到适当的控制; ⑧防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文进行适当标识。 本节小结
2.2 评估实施流程(实例分析一) 某OA系统信息安全风险评估方案 目标: 某OA系统风险评估的目的是评估办公自动化系统的风险状况,提出风险控制建议,同时为下一步要制定的OA系统安全管理规范以及今后OA系统的安全建设和风险管理提供依据和建议。 范围:
包括OA网络、管理制度、使用或管理OA系统的相关人员以及由其办公所产生的文档、数据。 评估方式:
评估依据国际标准、国家标准和地方标准,从识别信息系统的资产入手,着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。
资产识别依据资产机密性、完整性和可用性三个安全属性,综合判定资产重要性程度并将其划分为核心、关键、中等、普通和次要5个等级;其中核心、关键和中等等级的资产都被列为重要资产,并分析其面临的安全威胁。
脆弱性识别从技术和管理两个层面,采取人工访谈、现场核查、扫描检测、渗透性测试等方法。
对重要资产已识别的威胁、脆弱性,判断威胁发生的可能性和严重性,综合评估重要信息资产的安全风险。 OA系统概况调研:
OA系统背景办公自动化正在成为信息化建设的一个重要组成组分,通过建设规范化和程序化来改变传统的工作模式,建立一种以高效为特征的新型业务模式。在此背景下决定建设该OA系统,建立规范化、程序化工作模式,最终提高工作效率。
应用系统和业务流程分析该OA系统使用电子邮件系统作为信息传递与共享的工具和手段,以电子邮件信箱作为统一入口的设计思想。
电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。每一个工作人员通过关注自己的电子邮件
信箱了解需要处理的工作;各个业务系统通过电子邮件信箱来实现信息的交互和流转。 网络结构图与拓扑图该OA系统网络是一个专用网络,与Internet隔离。该网络包含OA服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。
相关推荐:
loading