风险评估课程内容分享.ppt

《风险评估课程内容分享.ppt》由会员分享，可在线阅读，更多相关《风险评估课程内容分享.ppt（103页珍藏版）》请在三一办公上搜索。

1、风险评估,1 认识风险 2 风险管理体系 3 风险评估方法 4 风险评估的实施过程,课程内容,1 认识风险,1.1 参考资料 1.2 风险评估的需求 1.3 风险的定义 1.4 风险的要素,课程内容,2 风险管理体系,课程内容,2.1 风险管理的概念 2.2 风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.3 GAO/AIMD 98-68,3 风险评估的方法,课程内容,3.1 风险评估方法概述 3.2 定量的风险评估 3.3 定性的风险评估 3.4 基于要素的风险评估 3.5 定性风险评估与定量评估的比较,4 OCTAVE风险评估的实施过程,课程内

2、容,课程练习,练习1 识别风险,练习2 定性的风险评估,练习3 基于要素的风险评估,练习一 识别风险,请列举五个信息安全的风险的例子，并按下面的要求进行描述。要求：按照资产资产所面临的威胁可能被威胁利用的脆弱点的顺序来描述每一个风险。,1.对练习一中所识别的风险进行定性分析。2.要求：1）列出后果和可能性的定性描述级别 2）依据风险分析矩阵评估风险的级别 3）给出各级别风险的处理措施,练习二 定性的风险评估,背景：业务部门中有极机密的交易及客户资料这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料请分组讨论

3、威胁脆弱性风险等级如何？,练习三 基于要素的风险评估,注意事项,积极参与，活跃气氛 守时 移动电话设置到静音状态 紧急情况下有秩序疏散,1.1 参考资料 1.2 风险评估的需求 1.3 风险的定义 1.4 风险的要素,1 认识风险,1.1 重要参考资料,ISO 13335 17799 15408 BS 7799-2BSI PD3000AS/NZS 4360 OCTAVEGAO/AIMD 98-68,1.2 风险评估的目的,组织为什么要进行风险评估？,组织实现信息安全的必要的、重要的步骤,风险评估的目的,1.2 风险评估的目的,了解组织的安全现状,分析组织的安全需求,建立信息安全管理体系的要求,

4、制订安全策略和实施安防措施的依据,1.3 风险的定义,普通字典的解释：,风险：遭受损害或损失的可能性。,AS/NZS 4360：澳大利亚/新西兰国家标准：,风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。,Risk:the chance of something happening that will have on impact upon objectives.It is measured in terms of consequences and likelihood.,1.3 风险的定义,后果 Consequence 以定性或定量方式表示的一个事件的结果，可以是损害、

5、伤害、失利或获利。可能性 Likelihood 用作对几率或频率的定性描述。几率 Probability 以事件或结果与可能发生事件或结果的总数之比来度量事件或结果的可能性。用数字0或者1来表达。频率 Frequency 以规定时间内所发生的次数来表达的事件发生率的度量。,1.3 风险的定义,与风险有关的名词：,ISO/IEC TR 13335-1:1996,安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。,Risk:the potential that a given threat will exploit vulnerabilities of an ass

6、et or group of assets to cause loss or damage to the assets.,1.3 风险的定义,在信息安全领域，什么是风险？,1.3 风险的定义,信息安全的定义（ISO17799）：,Information security is characterized here as the preservation of:ConfidentialityIntegrityAvailability,信息安全的三个特征：保密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关

7、的资产。,1.3 风险的定义,信息安全风险,信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。,1.3 风险的定义,风险的四个要素：,资产及其价值 威胁 脆弱性 现有的和计划的控制措施,1.4 风险的要素,资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值,1.4 风险的要素,资产,1.4 风险的要素,资产的分类,电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉,威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动威胁是利用脆弱性来造成后果,1.4 风险的要素,威胁举例：,黑客入侵和攻击病毒

8、和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等,盗窃网络监听供电故障后门未授权访问,1.4 风险的要素,脆弱性,是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。,1.4 风险的要素,脆弱性举例：,系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置,物理环境不安全缺少审计缺乏安全意识后门,1.4 风险的要素,风险要素之间的相互关系：,1.4 风险的要素,威胁视图：,1.4 风险的要素,脆弱性视图：,1.4 风险的要素,影响视图：,1.4 风险的要素,练习一 识别风险,请列举五个信息安全

9、的风险的例子，并按下面的要求进行描述。要求：按照资产资产所面临的威胁可能被威胁利用的脆弱点的顺序来描述每一个风险。,2 风险管理体系,2.1 风险管理的概念 2.2 风险管理体系介绍 2.2.1 ISO 17799 2.2.2 AS/NZS 4360 2.2.1 GAO/AIMD 98-68,是指对潜在的机会和不利影响进行有效管理的文化、程序和结构。风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持。,风险管理：,2.1 风险管理的概念,风险管理可应用于一个组织或机构的多个层次。它既可用于策略层次又可用于运作层次。它可用于具体项目，以便协

10、助做出具体决定，或对特定认可的风险领域加以管理。可接受的风险水准可以随着每次循环得到提高，从而使风险管理逐步达到更高要求。,风险管理的应用时机,2.1 风险管理的概念,2.2 风险管理体系介绍,2.2.1 ISO17799：信息安全管理体系 2.2.2 AS/NZS4360：风险管理标准 2.2.1 GAO/AIMD 98-68：信息安全管理实施指南,ISO17799信息安全管理体系,2.2.1 ISO17799,是协助组织以“风险管理”为基础建立“信息安全管理体系”的国际标准。,信息安全管理体系建立步骤（BS7799-2）,2.2.1 ISO17799,1、建立环境2、识别风险3、分析风险4

11、、评估和评价风险5、处理风险,AS/NZS4360:建立风险管理系统的步骤,2.2.2 AS/NZS 4360,监控和审查信息交流和咨询,Australian/New Zealand Standard for Risk Management,AS/NZS4360：风险管理流程,2.2.2 AS/NZS 4360,1、建立环境 建立在风险过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的准则，并规定分析的结构。,2.2.2 AS/NZS 4360,2、鉴别风险 鉴定出会出现什么风险，为什么会出现和如何出现，作为进一步分析的基础。,2.2.2 AS/NZS 4360,3、风险分析 确

12、定现有的控制，并根据在这些控制的环境中的后果和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。,2.2.2 AS/NZS 4360,4、评价风险 将估计的风险程度与预先建立的标准进行比较。这样可将风险安等级排列，以便鉴别管理的优先顺序。如果所建立的风险程度很低，此时的风险可以列入可接受的范畴，而不需作处理。,2.2.2 AS/NZS 4360,5、处理风险 接受并监控低优先顺序的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。,2.2.2 AS/NZS 4360,6、监控和检查 对于风

13、险管理系统的运作情形以及可能影响其运行的那 些变化进行监控和检查。,2.2.2 AS/NZS 4360,7、信息交流和咨询 在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者Stakeholder进行信息交流和咨询。,2.2.2 AS/NZS 4360,Learning From Leading Organizations based on the best practices of of organizations noted for superior information security.,2.2.3 GAO/AIMD 98-68,EXECUTIVE GUIDE:In

14、formation Security Management,Risk Management Cycle风险管理循环,建立核心管理焦点,识别风险和确定安全需求,安全意识和知识培训,实施适合的安全策略和控制措施,监督并审查安全策略和措施三的有效性,2.2.3 GAO/AIMD 98-68,GAO/AIMD 98-68识别风险和确定安全需求建立核心管理焦点实施适合的安全策略和控制措施安全意识和知识培训监督并审查安全策略和措施的有效性,2.2.3 GAO/AIMD 98-68,1、评估风险和确定需求识别信息资产按业务需求制订评估流程获得管理者和业务经理的支持基于持续改进的方式进行风险管理,2.2.3

15、GAO/AIMD 98-68,2、建立核心管理焦点建立核心小组执行关键活动建立核心小组和高级管理者直接联络的渠道设立专项资金并配备相关人力资源培养员工的职业素质和技术能力,2.2.3 GAO/AIMD 98-68,3、实施适合的策略和相关措施将策略与业务需求相对应区分策略和指南通过核心组支持策略的实现,2.2.3 GAO/AIMD 98-68,4、增强安全意识持续培训用户的安全意识和相关策略采取集中培训和友好界面技术,2.2.3 GAO/AIMD 98-68,5、监控和评估策略、措施的有效性监控影响风险的因素和措施的有效性运用实施结果来制订后续措施的制订及管理者的支持关注新的监控工具和技术,2

16、.2.3 GAO/AIMD 98-68,3 风险评估方法,3.1 风险评估方法概述 3.2 定量的风险评估 3.3 定性的风险评估 3.4 基于要素的风险评估 3.5 定性风险评估与定量评估的比较,定义：组织确认自己所拥有的资产，分析资产所面对的威胁、所具有的脆弱性、损害发生的可能性、损害的程度等，并最终得出资产所面临的风险等级的过程。,3.1 风险评估方法概述,资产识别确定威胁（Threat)识别脆弱性（Vulnerability)实施控制方法,原则：不管使用哪一种风险评估的方法或工具，其内容 都应包括以下四个要素：,3.1 风险评估方法概述,资产价值可能胁迫资产的威胁和其发生的可能性因脆弱

17、点被威胁利用而造成冲击的容易度目前或计划中可能降低脆弱点、威胁和冲击严重性的保护措施,换句话说，风险是以下事项的作用：,3.1 风险评估方法概述,要考虑影响和可能性在决定所需控制方法时，对既有控制方法的评估是必须的控制方法只能将风险降低到可接受的程度百分之百的安全，并不是安全管理的目的。,3.1 风险评估方法概述,注意,定量分析定性分析综合方法,3.1 风险评估方法概述,风险评估的途径：,定量分析：对后果和可能性进行分析采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）分析的有效性取决于所用的数值精确度和完整性。,3.1 风险评估方法概述,定性分析适用于：初始的筛选活动，以鉴

18、定出需要更仔细分析的风险风险程度和经济上的考虑数据不足以进行定量分析的情况,定性分析：对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）分析的有效性取决于所用的数值精确度和完整性。,3.1 风险评估方法概述,半定量分析：在半定量分析中，上述的那些定性数值范围均为已知值。每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系。半定量分析的目的是为了得到比通常在定性分析中所得到的更为详细的风险程度，但并非要提出任何在定量分析中所得到的风险实际值。,3.1 风险评估方法概述,风险分析方法许多方法都会使用表格并结合主观和经验判断目前并没

19、有使用所谓正确或错误的方法重要的是选择使用一个适合本组织的方法同一组织内，也可以根据不同等级的风险，运用不同的风险分析方法对信息安全的评估很难量化,3.1 风险评估方法概述,当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级,定量的风险分析,3.2 定量的风险分析,SLA（single-time loss Algorithm)当一个风险发生时会对资产价值造成多大的财务损失ALE（Annualized loss Exposure)年度风险损失,后果定量分析,3.2 定量的风险分析,年度化损失运算表（频率）,3.2 定量的风险分析,3.2 定量的风险分

20、析,年度化损失运算表（频率）续,简易的定量计算公式：资产价值（v)乘以可能性（L）可以得出 ALE（年度风险损失），即：ALE=V L,3.2 定量的风险分析,定性的风险分析从风险发生可能性及造成的后果来考虑风险的等级对于后果和可能性采用定性度量并在最后阶段归纳出不同等级风险的方法,3.3 定性的风险分析,后果或影响的定性量度（示例）,3.3 定性的风险分析,可能性的定性量度（示例）,3.3 定性的风险分析,风险分析矩阵风险程度,E：极度风险 H：高风险 M：中等风险 L:低风险,3.3 定性的风险分析,E：极度风险-要求立即采取措施H：高风险-需要高级管理部门的注意M：中等风险-必须规定管理

21、责任L:低风险-用日常程序处理,风险的处理措施（示例）,3.3 定性的风险分析,1.对练习一中所识别的风险进行定性分析。2.要求：1）列出后果和可能性的定性描述级别 2）依据风险分析矩阵评估风险的级别 3）给出各级别风险的处理措施,练习二 定性的风险评估,风险的函数表达：,R=f（a,v,t）R：风险 a：资产的价值 v：资产本身的脆弱性 t：资产所面临的威胁,3.4 基于要素的风险分析,1.资产的价值 运用ISO17799中对信息安全的定义来衡量资产价值：ConfidentialityIntegrityAvailability,3.4 基于要素的风险分析,1.资产的价值,3.4 基于要素的风

22、险分析,1.资产的价值,3.4 基于要素的风险分析,1.资产的价值,3.4 基于要素的风险分析,资产的价值资产的保护是信息安全和风险管理的首要目标。每个资产都应该被识别与评价以提供适当保护。资产的拥有者与使用者须清楚识别。应盘点资产并建立资产清单,3.4 基于要素的风险分析,识别资产的脆弱性 资产本身的安全问题是什么？这个资产缺少什么安全措施？分析脆弱程度 这个脆弱性被利用的程度有多高？相对的防护措施有效性？定义脆弱性的计量 可利用“低”，“中”，“高”来表示。,2.脆弱性分析,3.4 基于要素的风险分析,识别资产的威胁鉴别威胁的目标（什么资产会被威胁？）为什么会造成这威胁？找出威胁的相关性它

23、有影响吗？重要或严重吗？有没有被它利用的脆弱点？鉴别威胁的可能性利用“不可能”，“可能”，“非常可能”来表示,3.威胁分析,3.4 基于要素的风险分析,风险计算：,3.4 基于要素的风险分析,背景：业务部门中有极机密的交易及客户资料这些资料放在公司共用的主机内，并且使用简单的用户名和密码系统管理业务部门的业务员外出时可利用笔记本电脑经由国际互联网到公司主机中存取该资料请分组讨论威胁脆弱性风险等级如何？,练习三 基于要素的风险分析,定性风险分析的优点 1.简易的计算方式 2.不必精确算出资产价值 3.不需得到量化的威胁发生率 4.非技术或非安全背景的员工也能轻易参与 5.流程和报告形式比较有弹性

24、定性风险分析的缺点 1.本质上是非常主观的 2.对关键资产的财务价值评估参考性较低 3.缺乏对风险降低的成本分析,3.5 定性分析与定量分析的比较,定量风险分析的优点 1.大体来说其结果都是建立在独立客观的程序或量化指标上 2.大部分的工作集中在制定资产价值和减缓可能风险 3.主要目的是做成本效益的审核定量风险分析的缺点 1.风险计算方法复杂 2.需要自动化工具及相当的基础知识 3.投入大 4.个人难以执行 5.很难中途改变方向 6.不会有范围之外的结果,3.5 定性分析与定量分析的比较,定性风险分析是所有风险分析的方法中，最容易也是最常被运用的方法。可是也是最主观的。其结果高度依存于RMT（

25、风险管理小组）的专业能力。需要一套系统化的执行步骤，来帮助RMT的执行成果更接近预期的效果。,定性风险分析,3.5 定性分析与定量分析的比较,4 OCTAVE风险评估实施过程,OCTAVE（The Operationally Critical Threat,Asset,and Vulnerability Evaluation）,美国Carnegie Mellon大学软件工程研究所开发 用于信息安全的评估 采用定性的评估方法,4 OCTAVE风险评估实施过程,OCTAVE的三个阶段,阶段一：建立基于资产的威胁概要文件对组织层面进行评估识别出重要的信息资产、这些资产所受的威胁、它们的安全需求、组织

26、目前的资产保护措施、以及组织的脆弱性。阶段二：识别基础设施的脆弱性评估信息基础设施检查IT基础设施关键组件，识别技术脆弱性阶段三：制定安全策略与计划进行风险分析制订出针对最高优先级风险的保护策略和风险缓解计划。,4 OCTAVE风险评估实施过程,OCTAVE的特点,自主性 分析组 基于讨论会 标杆方法,4 OCTAVE风险评估实施过程,阶段一：建立基于资产的威胁概要文件过程1：识别高级管理者的认识过程2：识别运营领域的认识过程3：识别员工的认识过程4：创建威胁概要文件阶段二：识别基础设施的脆弱性过程5：识别关键部件过程6：评估所选部件阶段三：制定安全策略与计划过程7：执行风险分析过程8：制订保

27、护策略,实施过程,4 OCTAVE风险评估实施过程,过程1：识别高层管理者的认识-该过程的参与者是该组 织的高层管理者；过程2：识别运营领域管理者的认识-参与者是该组织的 运营管理者（中层管理者）；过程3：识别员工的认识-参与者是该组织的普通员工。IT人员通常要与普通员工分开讨论。,阶段一：建立基于资产的威胁概要文件,4 OCTAVE风险评估实施过程,识别资产及其优先级。识别需关注的领域。识别重要资产的安全需求。获取对保护策略实施条例和组织脆弱性的认识。,过程13的活动,4 OCTAVE风险评估实施过程,将资产、安全需求和关注领域，按组织的层次进行分类 选择出关键资产 识别关键资产的安全需求

28、识别关键资产面临的威胁,过程4：创建威胁概要文件,4 OCTAVE风险评估实施过程,识别关键部件的种类。识别需要检查的基础设施的部件。分析组和IT员工从关键的部件类型中选择特定的部件进行脆弱性评估，并确定评估方法。,过程5：识别关键部件,4 OCTAVE风险评估实施过程,在选定的基础部件上运行脆弱性评估工具，执行 软件工具支持的技术脆弱性评估。评审技术脆弱性并汇总结果。,过程6：评估所选部件,4 OCTAVE风险评估实施过程,识别威胁对关键资产的影响。对每个重要资产创建一 个风险概要文件，说明风险概要文件中的每一结果（泄露、更改、损失或损坏、中断）造成的影响。创建风险评估标准。评估关键资产所受威胁的影响。分析组使用该评估标 准作为基准，为每项影响描述指派一个影响值。,过程7：执行风险分析,4 OCTAVE风险评估实施过程,归纳保护策略信息。制定保护策略 制定风险缓解计划 建立行动表,过程8：制定保护策略,问题？,