风险评估方法介绍ppt课件.ppt

《风险评估方法介绍ppt课件.ppt》由会员分享，可在线阅读，更多相关《风险评估方法介绍ppt课件.ppt（59页珍藏版）》请在三一办公上搜索。

1、风险评估过程与方法(1)-资产识别与赋值,2,风险评估与管理,风险,风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。,在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。,风险评估,风险管理,风险评估（Risk Assessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。,3,风险评估与管理,风险评估和管理的目标,采取有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险消减到可接受的水平。,4,RISK,RISK,RIS

2、K,风险,基本的风险,采取措施后剩余的风险,风险评估与管理,风险管理目标更形象的描述,5,绝对的零风险是不存在的，要想实现零风险，也是不现实的； 计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。,绝对的安全是不存在的！,在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。” 显然，这样的计算机是无法使用的。,风险评估与管理,6,关键是实现成本利益的平衡,风险评估与管理,7,与风险管理相关的概念,资产（Asset） 任何对组织具有价

3、值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat） 可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threat source）或威胁代理（Threat agent）。 弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk） 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood） 对威胁发生几率（Probability）或频率（Frequency）

4、的定性描述。 影响（Impact） 后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard） 控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（Residual Risk） 在实施安全措施之后仍然存在的风险。,风险评估与管理,8,风险要素关系模型,风险评估与管理,9,风险管理概念的公式化描述,风险评估与管理,10,风险评估与管理,风险管理过程,11,风险评估与管理,定量与定性风险评估方法,定量风险评估：试图从数字上对安全风险进行分

5、析评估的一种方法。 定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或 高低程度定性分级。,12,信息资产是我们要保护的对象！,风险评估与管理,13,识别信息资产,对资产进行保护是信息安全和风险管理的首要目标。 划入风险评估范围和边界的每项资产都应该被识别和评价。 应该清楚识别每项资产的拥有者、保管者和使用者。 组织应该建立资产清单，可以根据业务流程来识别信息资产。 信息资产的存在形式有多种，物理的、逻辑的、无形的。 数据信息：存在于电子媒介中的各种数据和资料，包括源代码、数据库、数据文件、系统文件等 书面文件：合同，策略方针，企业文件，重要商业结果 软件资产

6、：应用软件，系统软件，开发工具，公用程序 实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所 人员：承担特定职能和责任的人员 服务：计算和通信服务，其他技术性服务， 例如供暖、照明、水电、UPS等 组织形象与声誉：企业形象，客户关系等，属于无形资产,风险评估与管理,14,信息资产的属性- CIA属性,15,CIA属性机密性,16,CIA属性完整性,17,CIA属性可用性,18,通过业务流程的分析来识别资产,风险评估与管理,19,信息资产登记表图例,风险评估与管理,20,资产评价时应该考虑： 信息资产因为受损而对业务造成的直接损失； 信息资产恢复到正常状态所付出的代价，包括检

7、测、控制、修复时的人力和物力； 信息资产受损对其他部门的业务造成的影响； 组织在公众形象和名誉上的损失； 因为业务受损导致竞争优势降级而引发的间接损失； 其他损失，例如保险费用的增加。 定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。 可以根据资产的重要性（影响或后果）来为资产划分等级。 应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。,评价信息资产,风险评估与管理,21,练习1：识别并评价信息资产,以我们现在的培训环境和培训活动（业务）为风险评估的范围请举出5种信息资产的例子描述这些信息资产对你组织的价值,风险评估与管理,22,

8、高（4）：非常重要，缺了这个资产（CIA的丧失），业务活动将中断并且遭受不可挽回的损失中（3）：比较重要，缺了这个资产（CIA的丧失或受损），业务活动将被迫延缓，造成明显损失低（2）：不太重要，缺了这个资产，业务活动基本上影响不大很低(1):不重要，缺了这个资产，业务活动基本上影响很低,练习1续：资产重要性等级标准,风险评估与管理,23,风险评估与管理,风险评估过程与方法(2)-弱点和威胁查找,25,我们的信息资产面临诸多外在威胁,风险评估与管理,26,识别并评估威胁,风险评估与管理,识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。 识别威胁的关键

9、在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。 威胁可能是蓄意也可能是偶然的因素（不同的性质），通常包括（来源）： 人员威胁：故意破坏和无意失误 系统威胁：系统、网络或服务出现的故障 环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：洪水、地震、台风、雷电等 威胁对资产的侵害，表现在CIA某方面或者多个方面的受损上。 对威胁的评估，主要考虑其发生的可能性。评估威胁可能性时要考虑威胁源的动机（Motivation）和能力（Capability）这两个因素，可以用“高”、“中”、“低”三级来衡量，但更多时候是和弱点结合起来考虑。,27,威胁评估表图例,风险评估与管理

10、,28,对威胁来源的定位，其实是综合了人为因素和系统自身逻辑与物理上诸多因素在一起的，但归根结底，还是人在起着决定性的作用，无论是系统自身的缺陷，还是配置管理上的不善，都是因为人的参与（访问操作或攻击破坏），才给网络的安全带来了种种隐患和威胁。,人是最关键的威胁因素,风险评估与管理,29,威胁不仅仅来自公司外部,黑客虽然可怕，可更多时候，内部人员威胁却更易被忽略，但却更容易造成危害 据权威部门统计，内部人员犯罪（或于内部人员有关的犯罪）占到了计算机犯罪总量的70%以上,员工误操作,蓄意破坏,公司资源私用,风险评估与管理,30,练习2：识别并评价威胁,针对刚才列举的5项信息资产，分别指出各自面临

11、的最突出的威胁？单就威胁本身来说，其存在的可能性有多大(先不考虑现有的控制措施，也不考虑资产的弱点）？,风险评估与管理,31,练习2续：威胁可能性等级标准,风险评估与管理,32,风险评估与管理,33,一个巴掌拍不响！,外因是条件 内因才是根本！,风险评估与管理,34,识别并评估弱点,风险评估与管理,针对每一项需要保护的资产，找到可被威胁利用的弱点，包括： 技术性弱点：系统、程序、设备中存在的漏洞或缺陷。 操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。 管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。 弱点的识别途径： 审计报告、事件报告、安全检

12、查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试 对弱点的评估需要结合威胁因素，主要考虑其严重程度（Severity）或暴露程度（Exposure，即被利用的容易度），也可以用“高”、“中”、“低”三级来衡量。 如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损害。,35,信息系统存在诸多危及安全的漏洞,风险评估与管理, 摘自CERT/CC的统计报告 2019年12月,36,人最常犯的一些错误,将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或

13、者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，泄漏敏感信息 随便在服务器上接Modem，或者随意将服务器连入网络 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题,风险评估与管理,37,资产、威胁和弱点的关系,风险评估与管理,38,练习3(1)：识别并评价弱点,考虑到面临的威胁，找到每一项资产可能存在并被威胁利用的弱点？只选择最明显并最严重的。评价该弱点的严重性,风险评估与管理,39,练习3（2）：弱点严重性等级标准,风险评估与管理,40,风险评估与管理,风险评估过程与方法(3)-风险评价和控制措施制定,42,风险评价,

14、风险评估与管理,确定风险的等级，有两个关键因素要考虑（定性风险评估）： 威胁对信息资产造成的影响（后果） 威胁发生的可能性 影响可以通过资产的价值（重要性）评估来确定。 可能性可以根据对威胁因素和弱点因素的综合考虑来确定。 最终通过风险评估矩阵或者直接的简单运算得出风险水平。,43,风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。 确定风险因子：资产为2，弱点值为3，威胁值为3 评估风险：套用风险分析矩阵，该风险被定为高风险（18） 应对风险：根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予

15、以消减。,风险评价示例,风险评估与管理,44,练习4：进行风险评估,资产、威胁、弱点，构成一个风险场景从资产价值去考虑影响因素从威胁和弱点去考虑可能性因素用风险评估矩阵评估风险,风险评估与管理,45,练习4续：风险评估矩阵,风险评估与管理,46,风险评估与管理,47,风险评估与管理,从针对性和实施方式来看，控制措施包括三类： 管理性（Administrative）：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操

16、作、物理和环境安全等。 技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。 从功能来看，控制措施类型包括： 威慑性（Deterrent） 预防性（Preventive） 检测性（Detective） 纠正性（Corrective） 对于现有的控制措施，可以 取消、替换或保持。,识别现有的控制措施,48,练习5：识别现有的控制措施,之前我们识别并评价的风险，是否存在相关的控制措施？各属于什么类型？,风险评估与管理,49,确定风险消减策略,降低风险（Reduce Risk） 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括：

17、减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。 减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。 降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。 规避风险（Avoid Risk） 或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 转嫁风险（Transfer Risk） 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk） 在实施

18、了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。,风险评估与管理,50,风险评估与管理,选择控制措施,依据风险评估的结果来选择安全控制措施。 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）： 基本原则：实施安全措施的代价不应该大于所要保护资产的价值 控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等 控制价值 没有实施控制前的损失 控制的成本 实施安全控制之后的损失 除了成本效益，还应该考虑： 控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正） 可以从BS 7799规定

19、的控制目标范围中选择控制。 确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。,51,评价残留风险,绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了确保信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr 原有的风险R0 控制R 残留风险Rr 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。,风险评估与管理,52,风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能

20、窃取这些信息并卖给公司的竞争对手。 实施控制之前：后果为2，威胁值是3，弱点值为3，风险为18。 实施控制之后：后果为2，威胁值降为2，弱点值降为1，残留风险为4（低风险）。 应对残留风险：残留风险在可接受范围内，说明控制措施的应用是成功的。,风险评估与管理,残留风险示例,53,练习6：选择控制，评价残留风险,首先，要确定一个风险接受的标准针对之前识别出来的风险，选择最合适的控制措施评价实施控制措施之后的残留风险,风险评估与管理,54,练习6续：风险评估矩阵,风险评估与管理,55,风险评估与管理,风险接受水平：_,56,风险评估与管理,接下来。,制定风险处理计划：控制实施人员、时间、实施效果复查计划 编写配套的指导文件：信息安全策略和程序文件、作业指导书和记录等 按照计划实施Review和内部审核，检查控制实施效果 如果发生重大变化，或者按照既定计划，重新再做一次风险评估，找到新的风险点,57,58,Q&A,?,谢谢！,供娄浪颓蓝辣袄驹靴锯澜互慌仲写绎衰斡染圾明将呆则孰盆瘸砒腥悉漠堑脊髓灰质炎(讲课2019)脊髓灰质炎(讲课2019),