【正文】 美國 NIST提出的信息系統(tǒng)安全框架 風險評估的過程 安全措施 業(yè)務戰(zhàn)略 脆弱性 安全需求 威脅 風險 殘余風險 安全事件 依賴 具有 被滿足 利用 暴露 增加 導出 演變 未控制 可能誘發(fā) 殘留 成本 資產(chǎn) 資產(chǎn)價值 風險要素關系示意圖 信息系統(tǒng)安全評估體系的構(gòu)成 風險分析的基本要素 ?風險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。 資產(chǎn)識別 ? 資產(chǎn)是具有價值的信息或資源，是安全策略保護的對象。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。 資產(chǎn)識別 ? 資產(chǎn)定義 ? 資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西。 ? 通常信息資產(chǎn)的機密性、完整性和可用性是公認的能夠反映資產(chǎn)安全特性的三個要素。 ? 資產(chǎn)分類 ? 在一般的評估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如 OA系統(tǒng)，網(wǎng)管系統(tǒng)，業(yè)務生產(chǎn)系統(tǒng)等。 ? 資產(chǎn)賦值 ? 資產(chǎn)賦值是對資產(chǎn)安全價值的估價 資產(chǎn)分類 ? 風險評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務的組織，其支持業(yè)務持續(xù)運行的系統(tǒng)數(shù)量可能更多。在實際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者來靈活把握。 威脅識別 ? 威脅定義 ?安全威脅是對機構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。 ? 威脅分類 ? 威脅賦值： ?評估確定威脅發(fā)生的可能性是威脅評估階段的重要工作，評估者應根據(jù)經(jīng)驗和（或）有關的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。 脆弱性識別 ? 脆弱性定義 ? 脆弱性評估也稱為弱點評估，是風險評估中重要的內(nèi)容。弱點包括物理環(huán)境、機構(gòu)、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性識別所采用的方法主要為：問卷調(diào)查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。 ? 脆弱性賦值 風險識別 ? 風險計算 ?風險計算原理形式化描述為： ?R= f(A,V,T)=f(Ia,L(Va,T)) ?注： R表示風險； A表示資產(chǎn)； V表示脆弱性； T表示威脅； Ia表示資產(chǎn)發(fā)生安全事件后對機構(gòu)業(yè)務的影響 (也稱為資產(chǎn)的重要程度 )； Va表示某一資產(chǎn)本身的脆弱性， L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。在風險評估實施前，應： ? 確定風險評估的目標； ? 確定風險評估的范圍； ? 組建適當?shù)脑u估管理與實施團隊； ? 選擇與組織相適應的具體的風險判斷方法； ? 獲得最高管理者對風險評估工作的支持。 ?確定風險評估的目標 ?確定風險評估的范圍 ?建立適當?shù)慕M織結(jié)構(gòu) ?建立系統(tǒng)性的風險評估方法 ?獲得最高管理者對風險評估策劃的批準 風險評估依據(jù) ? 政策法規(guī)：中辦發(fā)［ 2022］ 27號文件和國信辦文件 ? 國際標準：如 BS77991 《 信息安全管理實施細則 》 、 BS77992 《 信息安全管理體系規(guī)范 》 等 ? 國家標準或正在審批的討論稿，如 GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準則 》 和 《 信息安全風險評估指南 》 等 ? 行業(yè)通用標準等其它標準 風險評估原則 ? 可控性原則 ?（ 1）人員可控性 ?（ 2）工具可控性 ?（ 3）項目過程可控性 ? 完整性原則 ?嚴格按照委托單位的評估要求和指定的范圍進行全面的評估服務。 ? 保密原則 Remendations 評估 現(xiàn)狀 確定 范圍 Org Charts Polices ITSM Overview 報告 評審 Structured interviews Process definitions Interview schedule Process records 評估報告 改進 項目 SIP Customer survey 評估流程 Internal Integration 著重流程內(nèi)部的集成性 2 Process Capability 重視流程執(zhí)行 Other Process Management Mgnt intent 制定管理規(guī)范 Quality Control 流程質(zhì)量監(jiān)控 4 Mgnt information 提供充分的管理信息 Customer 1 Prerequisites/ 基本條件 External Integration 與其它流程的緊密集成 5 Customer Interface 流程優(yōu)化和服務客戶 3 Products 流程的可交付物 風險計算模型 ? 風險計算模型包含信息資產(chǎn)、弱點 /脆弱性、威脅等關鍵要素。 ? 風險計算的過程是： ?對信息資產(chǎn)進行識別，并對資產(chǎn)賦值； ?對威脅進行分析，并對威脅發(fā)生的可能性賦值； ?識別信息資產(chǎn)的脆弱性，并對弱點的嚴重程度賦值； ?根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性； ?結(jié)合信息資產(chǎn)的重要性和在此資產(chǎn)上發(fā)生安全事件的可能性計算信息資產(chǎn)的風險值。 ? 風險等級建議從 1到 5劃分為五級。風險的等級應得到機構(gòu)管理層的評審并批準。殘余風險的評價可以依據(jù)機構(gòu)風險評估的準則進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。 ? 評估報告是風險評估結(jié)果的記錄文件，是實施風險管理的主要依據(jù)，是對風險評估活動進行評審和認可的基礎資料，必須做到有據(jù)可查 ? 報告主要包括風險評估范圍、風險計算方法、安全問題歸納及描述、風險級數(shù)、安全建議、風險控制措施建議、殘余風險描述等。 信息安全風險評估基本方法 ? 手動評估：在風險評估工具出現(xiàn)前，安全評估工作都只能手工進行。 ? 工具輔助評估 ?工具的出現(xiàn)在一定程度上解決了手動評估的局限性。遵循 BS 7799規(guī)范。A System Security公司推出了COBRA工具，用來進行信息安全風險評估。 ? 技術(shù)評估和整體評估 技術(shù)評估和整體評估 ? 技術(shù)評估是指對機構(gòu)的技術(shù)基礎結(jié)構(gòu)和程序進行系統(tǒng)的、及時的檢查，包括對機構(gòu)內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊。（ 2）使用軟件工具分析基礎結(jié)構(gòu)及其全部組件。 ? 關注的焦點主要集中在以下 4個方面： ? （ 1）檢查與安全相關的實踐，標識當前安全實踐的優(yōu)點和弱點。 ? （ 3）檢查 IT的基礎結(jié)構(gòu)，以確定技術(shù)上的弱點。 ? （ 4）幫助決策制訂者綜合平衡風險以選擇成本效益對策 定性評估和定量評估 ? 定性分析方法是最廣泛使用的風險分析方法。 ? 多數(shù)定性風險分析方法依據(jù)機構(gòu)面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。 ? 有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別。例如，設 “ 高 ” 的值為 3， “ 中 ” 的值為 2， “ 低 ” 的值為 1。 ? 定量分析方法利用兩個基本的元素： ? 威脅事件發(fā)生的概率和可能造成的損失。理論上可以依據(jù) ALE計算風險等級，并且做出相應的決策。因為對于每一個風險，并不是所有的資產(chǎn)所遭受的危害程度都是一樣的，程度的范圍可能從無危害到徹底危害。 ? 定量風險分析方法要求特別關注資產(chǎn)的價值和威脅的量化數(shù)據(jù)，但是這種方法存在一個問題，就是數(shù)據(jù)的不可靠和不精確。這種方法的優(yōu)越性在于能夠直接提供推薦的保護措施、結(jié)構(gòu)框架和實施計劃。 ? 基于知識的風險評估方法充分利用多年來開發(fā)的保護措施和安全實踐，依照機構(gòu)的相似性程度進行快速的安全實施和包裝，以減少機構(gòu)的安全風險。安全風險評估是一個非常復雜的任務，這要求存在一個方法既能描述系統(tǒng)的細節(jié)又能描述系統(tǒng)的整體。 系統(tǒng)安全風險動態(tài)分析與評估方法 ? 信息安全管理是指導和控制機構(gòu)的關于信息安全風險的相互協(xié)調(diào)的活動，關于信息安全風險的指導和控制活動通常包括制定信息安全方針、風險評估、控制目標與方式選擇、風險控制、安全保證