安全风险、安全风险评估与全风险管理.ppt

研修教程,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,安全风险、安全风险评估与安全风险管理,昆山 June 2010,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,导言 2006年,安全防范设计评估师培训教程开始编辑,时至今日已近五年。五年来，安全风险评估的理念，其与安全防范之间的关系，以及对安全风险、安全风险评估和安全风险管理的认知都发生了不同程度的改变。同时，安全风险评估的案例促进了理论的完善和经验的积累,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,目录 一.概述 二.风险评估过程 三.风险管理 四.安全解决方案,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.1 风险是什么？,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.2 我们如何定义风险？风险：不确定性对目标的影响；Risk：Effect of uncertainty on objectives ISO31000：2009,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.3 关于ISO31000：2009 Risk management Principles and guidelines 风险管理 原则和指导方针,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.4 风险管理 风险管理是一个组织对风险的指挥和控制的一系列协调活动。包括了风险管理框架结构设计、风险管理实施、框架的监控与检查和框架的持续改进四个典型的PDCA循环。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.5 风险评估流程,沟通与咨询,监视与审查,风险识别,风险分析,风险评价,风险处置,建立环境,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.6 安全解决方案,风险评估,安全解决方案,系统运行,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.7 全寿命周期管理（LCM）,初始评估,二次评估,运行评估,升级评估,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,概述1.8 安全态势的认知方式与范围 安全检查：检查项的有或无，Yes or No；安全审计：按照基准，由专业人员判断的符合与否；安全评价：满足预期目标的程度；安全评估：专业人员经过识别与分析，给出的态势 描 述和原因分析；,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.1 建立风险评估的环境 建立风险管理环境，是将内外部因素考虑在风险管理之中，另外也为风险管理流程设定了范围和风险标准。外部环境旨在确保风险标准制定过程中外部利益相关者的目标和关注点得到顾及。内部环境在于风险管理流程应该与组织的文化、流程、组织结构和战略相匹配,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2 风险识别 作为风险评估过程的第一步，是识别风险因素及其影响的对象、安全事件产生的原因及潜在的后果。这项工作的目标，是在这些事件的基础上建立完整的风险清单。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2 风险识别 构成风险的基本因素包括 资产 威胁 弱点,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2 风险识别,风险 Risk,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 特点资产是被保护对象资产是安全保卫需要顾及的因素资产特征决定了损失模式资产特征决定的威胁特征资产是制定安全防范标准的依据,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 范围 风险管理的考虑,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 CIKR,CIKR：重要基础设施及关键资源 Critical Infrastructure and Key Resources背景简述：9.11 DHS NIPP CIKR,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 CIKR,突发事件如果造成对重要基础设施和关键资源的破坏，将会严重影响政府部门和经济界的正常运作，并产生一连串远远超出事件所针对部门和所发生区域的影响，甚至导致人民生命财产的巨大损失、经济衰退以及公民士气和国家信心的灾难性损失。NIPP,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 CI 重要基础设施 食品与农业、国家标志与象征、金融、化学与危险材料、国防工业、水源、健康设施等。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 KR 关键资源 政府设施、水坝、商业设施、核电站 等。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 一般资产 安全防范设计评估师一级教程 P4所列出的资产。其中：05项 信息安全下的物理安全；06项 过程安全（奥运会、世博会）；,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 损失模式死亡、损毁以及直接的财务损失伤、病及持续的负面影响对社会及环境的影响损失后果被利用,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 与威胁的相关性,威胁,资产,NTS：非传统安全 Non Traditional Security,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 制定标准的依据,GA26 1992 军工产品储存库风险等级和安全防护级别的规定GA27 2002 文物系统博物馆风险等级和安全防护级别的规定GA38 2004 银行营业场所风险等级和安全防护级别的规定,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.1 资产 定义风险评估内容风险评估是针对特指的资产；构成风险的其他因素（威胁、弱点）同样特指某一资产；用资产定义风险评估的内容。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 定义 威胁是可能对资产造成损害的潜在的原因；威胁是针对某一资产的实时状态；威胁带有指向性；威胁不仅来自系统外部。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 分类,威胁,传统安全,NTS,背景性威胁,功能性威胁,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 背景性威胁 目标所处在的社会环境，构成了背景性威胁的主要特征。,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 功能性威胁 目标自身的业务特征所招致的安全威胁，成为功能性威胁。,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 威胁模式,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 NTS IED IED 临时爆炸装置,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 NTS CBR CBR 化学、生物、放射性,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 另一战线,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 ETIM(东土尔其斯坦伊斯兰运动),在阿富汗境内库纳尔省（Kunar）或努尔斯坦省（Nurestan）境内的宗教学校（madrassa)接受训练的,来自中国新疆的维族少年。,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 指向性 与资产相关性,威胁,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 信息获取 可能性 获取威胁信息的渠道：公开的非公开的商业的,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 信息获取 可能性 获取威胁信息的路径：同域同业同一清单,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 信息获取 攻击清单,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 信息获取 攻击数据库,中国安全防范产品行业协会,关注所有的攻击事件，通过真实记录和规范分析，获得有关攻击特征的信息。将这些信息记入攻击数据库。,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 攻击数据库 案例提取1,中国安全防范产品行业协会,分析针对营业所攻击事件，导致成功的原因显示：1.安保流程设计与执行缺陷占25%；2.安保控制区以及其管制规则缺陷 占32%3.人员控制策划和执行缺陷18%4.设备及人员素质缺陷为25%。,设备25%,流程25%,控制区32%,人员18%,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 攻击数据库 案例提取2,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 信息验证,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.2 威胁 概率可能性（Likelihood）可以分级描述；概率（Probability）需要一个数值；不确定性意味着难以给出概率。资产不同、威胁不同，以及不同的安全防范态势会有多种可能性。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 定义弱点是指可能被攻击者所利用，导致资产损失的薄弱点 弱点可能源于建筑特点、设备状态、人的行为和组织活动薄弱是相对的，它取决于与其相邻环节的状态弱点来自某一特指的资产弱点是动态的,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 发现弱点,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ISO31010:2009 Risk Management Risk Assessment Techniques 风险管理 风险评估技术 罗列15种用于风险识别（Risk Identification）的方法,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 FTA 洛克比空难调查 1988年12月21日。泛美航空103号班机执行法兰克福伦敦纽约底特律航线。它成为恐怖袭击目标，飞机在苏格兰边境小镇洛克比（Lockerbie）上空爆炸，270人罹难。,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 FTA 洛克比空难调查,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA 攻击树（Attack Tree Analysis）,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA Bruce Scheiner 创建于1999 是一种半形式化方法 通过根目标 叶目标 节点，揭示攻击路径 犯罪特征、成本、技能等因素的试探 用于发现和分析防范弱点和安全威胁 不是很有名，然而很实用,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA经典例子,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA,思考：如果我是攻击者 保险柜的价值有多大？我们的机会？我们的能力（资金、技能）？环境容忍度？失手的损失？风险评估 决策（确定攻击路径）。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA,思考：如果我是防范者 保险柜的价值会引来什么样的攻击者？所有可能的攻击路径？当前最有可能的攻击路径？我们切断了这些路径吗？切断位置和次数？风险评估 决策。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA 应用,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 ATA 结果梳理,ATA结果梳理 1.路径描述 2.路径标识 3.投影分析,物理环境 业务流程 组织架构,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 攻击-损失模式,威胁Threat,资产Asset,A,B,C,D,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 模型 SCM,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 瑞士奶酪模型,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.2.3 弱点 瑞士奶酪分析报告,中国安全防范产品行业协会,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.3 风险分析 风险评估过程的第二步，是根据对风险清单所罗列的各项因素进行相关分析，确定资产损失后果、可能性以及风险的其他属性，建立反映风险的表达方式，根据已经设定的风险标准确认各个因素组合所产生的风险的等级。,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.3 风险分析 任务相关关系表达形式风险等级,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 Likelihood Likelihood=(Vulnerabilities、Threat）,相对威胁而言，弱点属于既存的、状态相对稳定的因素，因此，在考虑损失可能性时，对威胁可能性的关注度要高于弱点变化。或者至少保证对威胁与弱点的同步关注。,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 局限,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 置信度保障科学的方法专业的视点专注的精神有效的沟通对资产的认知,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 等级 理论,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 等级 统计趋势,中国安全防范产品行业协会,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 等级 薄弱点分布,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 可能性 原则,分析可能性时,需要把握的原则包括:威胁与弱点构成了攻击组合;威胁与弱点同与一项资产相关 可能存在多种组合;需要分别描述。,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 后果 Consequence Consequence=(Threat、Asset）,相对威胁而言，资产属于状态相对稳定的因素，因此，在考虑后果时，对威胁可能性的关注度要高于资产变化。同时要考虑NTS因素对资产的威胁。,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 后果 等级-理论,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 后果 等级,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 后果 原则,分析后果时,需要把握的原则包括:威胁与资产共同决定了后果/影响;后果是指同一资产在威胁下的损失；不同的资产招致不同的威胁;资产特征影响可能性。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 表达形式 Risk=(Likelihood、Consequence）,风险Risk,后果Consequence,可能性Likelihood,威胁Threat,资产Asset,弱点Vulnerabilities,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 表达形式 风险平面,任何一个风险，总能够在坐标平面上找到相对应的位置。风险若发生变化，无论是损失的后果变大（小），还是损失可能性增加（减少），都能够在风险平面上显示出来。,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 表达形式 风险轮廓线 Risk=Likelihood Consequence=K,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 表达形式 可接受区域,决定因素：价值观与安全文化 安全策略 安保资源 内部与外部环境,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 表达形式 RM 风险矩阵 Risk Matrix,RM是风险轮廓线的数字化；区域数量的确定，应考虑政策法 规标准的要求；顾及目标及其所在社区公共安全 预警和应急预案的要求。,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 风险等级 导入,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险分析 风险等级 原则特指资产的风险及风险等级；特指某一风险的等级；依据内部环境所制定的等级；适应外部环境所制定的等级。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险评价 风险评估过程的第三步，是进行风险评价。风险评价的目的，是在前面进行的风险分析的基础上确定那些风险需要进行处理和风险处理的优先顺位。确定的依据包括外部环境对风险的容忍性，以及内部环境所建立的风险标准。前者反映了政策、法律法规以及社会环境要求；后者体现了被保护对象自身的价值观、安全文化和安全策略的诉求。,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险评价 处置选择,Likelihood,R1/IED,Consequence,R3/领地入侵,R2/恶意伤害,R1,R2,R3,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程 风险评价 基本原则运用已建立的标准建立风险等级，并考虑风险处理的可能与需要；应顾及组织以外的其他团体对风险的容忍性，应符合法律法规要求；评价结果可能导致对风险的进一步分析，也可能导致对风险不采取任何处理措施。,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程2.4 风险评估报告风险评估报告是风险评估结果的表现形式；风险评估报告针对特指的某一资产；报告中所描述的是该项资产在特指时间下的风险；风险评估报告将作为系统设计的依据；风险评估报告是一份安全敏感文件。,安全防范系统设计与评估高级研修班教程,二.风险评估过程风险评估报告 基本内容,安全防范系统设计与评估高级研修班教程,二.风险评估过程风险评估报告 解读 系统设计师,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程风险评估报告 解读 风险识别,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,二.风险评估过程风险评估报告 解读 风险识别 设计师应从风险评估报告中分辨：需要了解的风险；需要关注的风险；需要考虑的风险；需要处置的风险。,中国安全防范产品行业协会,中国安全防范产品行业协会,安全防范系统设计与评估高级研修班教程,The end OF PART 1,