第05讲 信息安全风险评估.ppt

《第05讲 信息安全风险评估.ppt》由会员分享，可在线阅读，更多相关《第05讲 信息安全风险评估.ppt（79页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全工程学五、信息安全风险评估信息安全风险评估n风险评估，是发掘信息保护需要的重要步骤风险评估并非仅在发掘需要阶段进行，后续阶段根据需要也会进行风险评估例如在定义架构阶段的有效性评估中就需要对已定义的架构进行风险评估，检查结构性漏洞n风险评估可以是对待建的信息系统的评估，也可以是对已有的信息系统的评估。对已有系统的评估是PDCA的第二次循环，或以后的各次循环中进行的。每次的PDCA循环，相当于一个新的信息安全工程过程。信息安全风险评估n风险管理的概念n风险评估的方法n风险评估的过程n风险评估的工具n风险评估中的难点风险管理的概念n定义风险管理是一个过程。通过这个过程，信息系统管理者能够综合

2、衡量安全措施和实施成本，并通过为信息系统提供安全防护，促进组织的业务能力提升。（NIST SP800-30）n包括三个过程风险评估风险消减（控制措施的选用）风险监控（监视风险，定期再评估）风险管理的概念n风险管理与信息安全管理信息安全管理是以风险为驱动的。可以看到，PDCA的各个阶段，主要工作是对信息系统的风险来做识别、评估、控制、检查等动作。从概念上讲，“信息安全管理”的外延更广，人事管理、财务管理等组织管理的其它部分也有信息安全管理的因素渗透其中。我们所关心的信息安全管理，是以风险为核心的信息安全管理。从这个概念上讲，信息安全管理和风险管理二者的大部分细节都是一致的。风险管理的概念Plan

3、ActionCheckDo风险评估风险监控风险消减PDCA信息安全管理过程风险管理过程风险管理的概念n风险管理中的基本概念（1）资产（Asset）：任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等。威胁（Threat）：某威胁源成功利用特定脆弱点的潜在可能。脆弱点（Vulnerability）：资产或资产组中存在的可被威胁利用的缺点。脆弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。风险（Risk）：特定威胁利用资产的脆弱点给资产带来损害的潜在可能性。风险管理的概念n风险管理中的基本概念（2）可能性（Likelihood）：对威胁

4、事件发生的几率（Probability）或频率（Frequency）的描述。影响（Impact）或者后果（Consequence）：意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）/控制措施（control）/对策（countermeasure）：通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。剩余风险（Residual Risk）：在实施安全措施之后仍然存在的风险。风险管理的概念威胁脆弱点安全措施风险资产系统安全需求价值利用导致暴露防范采取减少提出增加具有Define System Security Requirements信息安

5、全风险评估n风险管理的概念n风险评估的方法n风险评估的过程n风险评估的工具n风险评估中的难点风险评估的方法n按照分析对象分类以安全措施为主：基线评估以实际系统为主：详细评估组合评估n按照精确程度分类量化评估定性评估n按照思路分类基于知识专家的方法基于模型的方法基线评估n组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查安全基线：在诸多标准规范中规定的一组安全控制措施或者惯例，例如BS 7799-1、ISO 13335-4，德国联邦安全局IT基线保护手册等。如果环境和商务目标较为典型，组织也可以自行建立基线，而不是直接采用现行标准。基线检查：拿现有的安全措施与安全基

6、线规定的措施进行比较，找出其中的差距n适用情况组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高组织信息系统多采用普遍且标准化的模式基线评估n基线评估的优点需要的资源少，周期短，操作简单对于环境相似且安全需求相当的诸多组织，基线评估是最经济有效的风险评估途径。n基线评估的缺点基线水平的高低难以设定。过高可能导致资源浪费和限制过度，过低则可能难以达到充分的安全，在管理安全相关的变化方面，基线评估比较困难。n基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合详细评估n要求对资产进行详细识别和评价，对可能引起风险的威胁和脆弱点进行评估。n详细评估的优点可以对信息安全风险有

7、一个精确的认识，从而能够准确定义出组织目前的安全水平和安全需求详细评估的结果可用来管理安全变化。n详细评估的缺点可能是非常耗费资源的过程，包括时间、精力和技术。因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。n稍后讲述的评估过程，主要针对的是详细评估。组合评估n基线风险评估耗费资源少、周期短、操作简单，但不够准确适合一般环境的评估n详细风险评估准确而细致，但耗费资源较多适合严格限定边界的较小范围内的评估n组合评估：二者相结合。对所有的系统进行一次初步的高级风险评估，着眼于信息系统的价值，识别出具有高风险的或组织业务极为关键的信息资产这些资产应该划入详细风险评估的

8、范围，而其他系统则可以通过基线风险评估直接选择安全措施。组合评估n基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果。n组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。n组合评估的不足：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。风险评估的方法n按照分析对象分类以安全措施为主：基线评估以实际系统为主：详细评估组合评估n按照精确程度分类量化评估定性评估n按照思路分类基于知识专家的方法基于模型的方法定量的分析方法n对构成风险的各个要素和潜在损失的水平赋予数值或货币金额。n当度

9、量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。n简单说，定量评估就是试图从数字上对安全风险进行分析评估的一种方法。定量的分析方法n定量分析方法利用两个基本的元素：威胁威胁事件发生的概率事件发生的概率和可能造成的损失可能造成的损失。n把这两个元素简单相乘的结果称为ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。定量的分析方法n定量风险评估中有几个重要的概念：暴露因子（Exposure Fac

10、tor，EF）特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（Single Loss Expectancy，SLE）或者称作SOC（Single Occurrence Costs），即特定威胁可能造成的潜在损失总量。年度发生率（Annualized Rate of Occurrence，ARO）即威胁在一年内估计会发生的频率。年度损失期望（Annualized Loss Expectancy，ALE）或者称作EAC（Estimated Annual Cost），表示特定资产在一年内遭受损失的预期值。定量的分析方法n这几个概念之间的关系：首先，识别资产并为资产赋值；通过威胁和

11、弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%100%之间；计算特定威胁发生的频率，即ARO；计算资产的SLE：SLE=Asset Value EF计算资产的ALE：ALE=SLE ARO定量的分析方法n定量风险分析看似客观、严密，有严格的数学模型可以参考，但是其瓶颈在于如何准确量化各个风险要素。准确量化风险要素是定量的风险分析的基础，直接决定了定量的风险分析的质量。n遗憾的是，因为信息安全风险因素本身的复杂性和随机性，很难找到一个合适的、能够准确描述风险因素的数学模型。到目前为止还没有一个非常有效的能够准确量化的方法。这在很大程度上限制了定量的风险分析方法的使用。定性的

12、分析方法n是信息安全风险分析方法中历史最长的方法之一带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例。n多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级在定性评估时并不使用具体的数据，而是指定期望值，例如“高”、“中”、“低”三级。n要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义。定性的分析方法n定性的风险分析方法的核心是为信息安全风险的各要素进行分级，这受主观因素影响。如何进行分级没有固定的形式，主要根据风险分析操作者的经验和直觉。不同的人员往往可能得出不同的风险分析结果风险分析结

13、果与实际情况的误差完全取决于分析的执行者n但在许多情况下定性的分析方法是不可替代的，因为定量分析找不到合适的量化标准。定性分析与定量分析结合n定性和定量的风险分析方法是目前风险评估中最常用的风险分析方法。n很少有单纯的定性或定量方法。n在风险评估中多数情况下是采用两者结合的方法进行分析。风险评估的方法n按照分析对象分类以安全措施为主：基线评估以实际系统为主：详细评估组合评估n按照精确程度分类量化评估定性评估n按照思路分类基于知识专家的方法基于模型的方法基于知识的分析方法n所谓“知识”，就是安全专家进行类似评估的经验。基于知识的风险分析方法主要就是依靠专家经验进行的。n这种方法的优越性在于能够直

14、接提供推荐的保护措施、结构框架和实施计划。2000年11月CSI ALERT Newsletter中有Parker和Donn的一篇文章：“Why the Due Care security review method is superior to Risk Assessment”。其中提出了一种基于“良好实践”的知识评估方法。该方法提出重用具有相似性组织（主要从组织的大小、范围以及市场来判断组织是否相似）的“良好实践”。为了能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库，存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的组织安全策

15、略。基于知识的分析方法n基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。n不足：组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。基于模型的分析方法n风险评估方法的一个新方向，采用面向对象的技术对进行风险要素的抽象，制作成模型，并对抽象模型进行分析。n基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析。如UML建模语言可以用来详细说明信息系统的各个方面：n不同组件之间关系的静态图用

16、class diagrams来表示；n详细说明系统的行动和功能的动态图用use case diagrams和sequence diagrams来表示；n完整的系统使用UML diagrams来说明信息安全风险评估n风险管理的概念n风险评估的方法n风险评估的过程n风险评估的工具n风险评估中的难点风险评估的过程n1、系统特性分析n2、识别威胁n3、识别脆弱点n4、分析现有控制措施n5、确定（损害发生的）可能性n6、分析影响n7、确定风险n8、提出控制措施建议n9、评估结果文档化管理 系统特性分析n确定风险评估的范围评估可能只针对组织全部资产的一个子集。n例如，只是确定某项特定资产的风险，或者与一种

17、新型攻击或威胁源相关的风险。定义风险评估的物理边界和逻辑边界。n逻辑边界定义了分析所需的广度和深度n物理系统边界则定义了一个系统起于哪里止于何处，比如一个与外部系统相连的系统，必须对其所有的接口特性进行描述。系统特性分析n收集系统信息硬件、软件系统接口（内部和外部接口）支持和使用IT系统的人员系统业务流程系统重要数据系统敏感数据n对于设计中的信息系统，上述信息可以从设计和需求文档中获取。对于处在操作阶段的信息系统，信息主要从运行环境获得。系统特性分析n收集系统信息用到的技术（1）问卷调查n为了获取相关信息，信息安全风险评估人员可以设计一个调查问卷，进行系统管理、系统采用的或者是计划采用的操作控

18、制信息的获取。问卷应该被分发到设计和支持系统的技术和非技术人员。问卷同样可以备用于现场调查和交流中。系统特性分析n收集系统信息用到的技术（2）现场交流n同信息系统的支持和管理人员交流，搜集相关信息（如怎样管理和操作系统）。n为评估人员观察和搜集关于系统的物理的、环境的和操作的安全信息。n对于正在开发的系统，现场调查可以让风险评估人员和系统设计人员面对面的进行交流沟通，为风险评估人员提供了一个了解信息系统将要运行的环境提供了一个机会。系统特性分析n收集系统信息用到的技术（3）文档检查。要检查的文档包括：n策略文档（对与已有的，已经建立安全策略的系统而言）n系统文档（系统用户指南，系统管理手册，系

19、统设计和需求文档，系统获取文档）n安全相关的文档（如前期的系统审计报告，风险评估报告，系统测试结果，系统安全计划和系统安全策略等）。这些文档为风险评估提供了关于信息系统的安全控制信息。组织业务影响分析或者组织重要资产评估为确定系统和数据的重要性和敏感性提供了信息。系统特性分析n收集系统信息用到的技术（4）自动化扫描工具n主动的信息系统检测工具可以用于有效地搜集系统信息。例如，一个网路映照工具能够标识在多个主机群上运行的服务，并提供了一个构建目标系统的信息文件的一个快速的方法。识别威胁n威胁：某威胁源成功利用特定脆弱点的潜在可能。例如：威胁来源：冲击波（Blaster）病毒；脆弱点：Window

20、s的RPC DCOM漏洞。n威胁只有利用脆弱点才能发生作用，如果没有相应的脆弱点，则威胁也不存在。例如：打了DCOM漏洞补丁的Windows不会再被冲击波感染。识别威胁n威胁源确定所有可能给系统带来危害的环境和事件。自然威胁n地震、洪水、飓风等；人为威胁：人员进行的有意和无意的活动n不经意的数据输入、恶意代码植入、有意识的攻击等；环境威胁n长期电力故障、污染、化学物质或液体泄漏等。识别威胁n威胁动机确定对于人为的威胁，还要确定其动机，作为判断威胁的严重程度的依据之一。识别威胁威胁源威胁源动机动机威胁行动威胁行动黑客个人挑战、私利目的、不满反抗黑客攻击，社会工程，系统入侵、未授权的访问计算机犯罪

21、信息破坏，非法信息泄漏，盈利，非授权的数据更改计算机犯罪，欺诈行为，信息贿赂，嗅探侦听，系统入侵恐怖份子敲诈勒索，破坏，利用，复仇恐怖炸弹，信息战，系统攻击，系统渗透，系统篡改工业间谍（公司间，外国政府间等）竞争利益，经济间谍经济侵略，信息偷盗，个人隐私侵犯，社会工程，系统渗透，非授权的系统访问内部攻击（安全培训不足的员工，不诚实的员工，到期解聘的员工等）好奇，私利，显示才华，获取金钱利益，报复，不经意的错误或纰漏攻击员工，勒索，浏览特权信息，计算机滥用，欺诈和盗窃，信息贿赂，输入错误的和腐败的数据，解释，恶意代码，出卖个人信息，系统漏洞，系统入侵，系统间谍，非法系统访问。识别威胁n一些常见的

22、威胁已经被政府和一些私人组织明确标识形成威胁源的列表。一些威胁信息的来源（如下但不限于）：智能代理（例如联邦调查局的基础设施保护中心）联邦计算机故障反映中心（FedCIRC）公 众 媒 体，尤 其 是 基 于 网 络 的 资 源 例 如：SecurityF,SecurityW上面的资料都是针对于美国的情况而言，在别的国家各种机构可能有所不同识别脆弱点n脆弱点：资产或资产组中存在的可被威胁利用的缺点。n脆弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。n没有脆弱点，相应的威胁就不再存在。因为它没有了赖以造成破坏的条件。识别脆弱点脆弱点系统威胁源威胁活动合同到期的雇员身份未从系统删除

23、合同到期的雇员 拨号进入系统网络内部，访问系统机密信息 公司防火墙允许入站登录并且客户ID在XYZ服务器上可用 未授权的用户（黑客，合同到期雇员，计算机犯罪，恐怖份子）登录到XYZ服务器，以Guest ID浏览系统文件 销售商已经确定了系统存在漏洞但是新的补丁还没有打 未授权的用户（黑客，鲁莽的雇员，计算机犯罪，恐怖份子）利用未知的系统漏洞，获得对系统敏感信息的未授权访问 数据中心利用消防喷头灭火而硬件设施的放水设施没有准备好 火灾，粗心的工作人员 数据中心消防喷头打开 识别脆弱点n系统脆弱点源的确定（1）技术的和非技术脆弱点可以通过在“系统特性分析”中描述的信息获取方法确定。n问卷调查n现场

24、交流n文档检查n扫描工具n系统主主动动的的安安全全测测试试是获取系统安全漏洞的一个重要有效手段。识别脆弱点n系统脆弱点源的确定（2）系统安全测试包括：n自动化脆弱点扫描工具。扫描网络上的一组主机，确定存在脆弱点的服务（例如系统允许匿名的FTP等）。自动扫描工具扫描出来的系统脆弱点并不能真是反应系统的真是脆弱点。因为他没有考虑系统的具体应用环境。例如有些自动扫描工具确定的系统脆弱点在特定的系统中不会被威胁源中的威胁利用，相反系统因为特殊的需求必须被配置成这样识别脆弱点n系统脆弱点源的确定（3）系统安全测试包括：n安全测试和评估。包括制定和执行安全测试计划包括（测试脚本，测试程序和预期的测试结果）

25、。n渗透性测试。发起模拟攻击。渗透性测试可以测试系统承受故意入侵的能力从系统威胁源的观点出发，确定系统被攻击时存在的潜在的安全失效识别脆弱点n系统脆弱点源的确定（4）对于已存在信息系统脆弱点文档应该考虑以下几个方面（但不限于）：n以前的信息安全风险评估文档（如果有）n信息系统审计报告，系统异常报告，安全回顾报告和系统测试评估报告；n一些组织发布的脆弱点列表，如NIST I-CAT数据库；n一些组织发布的安全建议。如FedCIRC和美国能源部的Computer Incident Advisory Capability bulletins。n提供商的一些安全建议；n商用计算机事故/紧急情况应急处理

26、小组和一些安全网站的信息列表如 SecurityF forum mailings。分析现有控制措施n分析系统已经采用的或计划采用的一些安全控制措施，如果有的话n这些措施可能会减少前面确定的某些脆弱点被威胁利用的可能性n分析技术主要是检查列表检查列表（checklist）将已有安全控制措施用表格列出，然后对照它们检查是否有效应对了已知的脆弱点应该保证安全检查列表和系统的运行环境变化相一致。确定（损害发生的）可能性n可能性：对威胁事件发生的几率的描述。n为了确定系统威胁源利用系统脆弱点进行系统危害行为发生的可能性，必须考虑以下几个方面的因素：威胁源的动机和能力系统脆弱点当前系统存在的安全控制措施确

27、定（损害发生的）可能性n常见的，系统潜在的脆弱点被威胁源利用形成危害系统的事件的概率可以描述为：高、中、低。可能性级别 可能性级别定义 高威胁源有较强的动机和充分的能力，已有的安全控制不是很有效 中威胁源动机和能力一般，但是已有的安全控制的能力不是很有效 低威胁源动机和能力较低，或者已有的安全控制能力较强 分析影响n为了确认威胁利用脆弱点给信息系统带来的负面影响，一些基本的信息必须要得到：系统业务流程n信息系统执行某项业务的流程系统数据关键性n信息系统对于组织业务的重要程度系统数据敏感性这些信息可以从组织存在的一些资料中获取，如业务影响分析报告（Business Impact Analysis

28、,BIA）或者重要资产评估报告。n业务影响分析报告结合组织重要信息资产的情况确定影响的级别。组织信息资产情况通过定量的和定性的分析方法确定资产的敏感性和重要性。分析影响n影响可以用完整性、可用性和保密性三个安全目标的受损程度来描述。完整性缺失。n完整性指保证系统和数据不会被进行故意的或无意的未授权改动。n如果完整性被破坏，且没有得到及时改正的话，继续使用这些被破坏的系统和破坏的数据可能会造成不准确的、甚至错误的决策。分析影响可用性缺失。n如果组织信息系统的重要功能对最终用户不可用时，组织的业务目标也会因此受到影响。系统功能的破坏和操作效率的降低会影响到系统用户对信息系统的使用，妨碍系统用户工作

29、的开展。保密性缺失。n保密性是指保护系统信息不会被未授权的泄漏。n未授权的泄漏系统信息的范围包括从破坏国家安全到泄漏个人隐私信息。n故意和无意泄漏机密信息可以导致失去公众的信任，引起恐慌甚至给组织带来法律上的麻烦。分析影响n一些影响可以用定量的方法进行度量。例如通过估算一个破坏事件发生时损失的收入、恢复系统的代价或者改正问题所需的努力的大小等来估算影响的大小。n另外的一些影响如公共信任的损失、信誉的损失以及对组织利益的破坏是很难进行定量分析的，但是可以以定性的方法对其标注为高、中和低级别的影响。分析影响一种定性的影响度量定义影响 级别定义高成功利用系统脆弱点后威胁将会1、将会给系统有形资产和资

30、源带来重大损失2、严重侵犯系统利益，破坏声誉，阻碍系统功能使用3、将会导致人员伤亡等。中成功利用系统脆弱点后威胁将会1、给系统有形资产和资源带来损失2、侵犯系统利益，破坏系统声誉，阻碍系统功能使用3、导致人员受伤 低成功利用系统脆弱点后威胁将会1、将会给系统带来一定的有形资产损失2、将会明显影响到系统任务和声誉和利益 确定风险n风险：特定威胁利用资产的脆弱点给资产带来损害的潜在可能性。n风险的三个要素：威胁、脆弱点、影响。缺少一个要素则不构成风险。存在一个脆弱点，但没有威胁源，则无风险；n例如windows存在DCOM漏洞，但是机器没有连接网络，则来自网络上的Blaster蠕虫不会对机器构成威

31、胁。没有脆弱点，则威胁没有可乘之机，无风险；有威胁和脆弱点，但成功的攻击却造不成损失，也无风险。n例如Honey pot，拥有很多漏洞，也面临很多来自网络的攻击，但是被攻击成功后造不成任何损失。确定风险n可以用风险水平矩阵来度量风险为了便于度量，风险矩阵对前面定义的可能性级别（高、中、低）分别赋值，影响的级别（高、中、低）也分别赋值。风险值则依据此二者的级别而定。可能性影响低（10）中（50）高（100）高（1.0）低（10*1.0=10）中（50*1.0=50）高（100*1.0=100）中（0.5）低（10*0.5=5）中（50*0.5=25）中（100*0.5=50）低（0.1）低（10

32、*0.1=1）中（50*0.1=5）低（100*0.1=10）风险级别：高（50100）；中（1050）；低（110）确定风险n由此可以得到风险的级别：风险级别 风险描述高如果被评定为高风险，则强烈建议进行必要的改正措施，系统可能继续运行但是纠正措施必须尽快计划并付诸实施中如果被评定为中等风险，则必须在给定的时间段内制定纠正计划，并将其付诸实施低如果被评定为低风险，则组织信息系统管理人员必须确定是进行风险处理还是接受风险提出控制措施建议n信息安全控制措施的目的是提供消减或消除系统风险的安全控制措施的建议。n安全控制措施目标是降低系统风险至可以接受的水平以下。n信息安全控制必须要考虑的因素（1）

33、：建议的措施的可用性（如系统兼容性）n系统不兼容：狼狗不会使用对讲机通信（与已有系统不兼容），所以不能当门卫法律法规的遵守n不能建议“无工作证而进入厂房的人，一律击毙”提出控制措施建议n信息安全控制必须要考虑的因素（2）组织的相关政策的遵守n如果企业规定了“公司网站必须随时对外开放”，则不能建议“关闭网站”这样的控制措施。对系统其它操作的影响n架设了电话监控，导致老总的电话可以被IT部门的员工听到，则不合适安全性和可靠性n聘用的门卫不能嗜睡，因为可靠性太差（一旦睡着，控制就失效了）提出控制措施建议n这里的只是建议选用某些控制措施，是否真的要使用，还要经过一系列分析，如性价比分析、对系统操作的影

34、响等。n关于控制措施的分析会在以后详细介绍。评估结果文档化管理n一旦信息安全风险评估完成后，应该形成一个正式的评估结果报告或者简报。n风险评估结果报告是一个管理性质的报告，帮助高层管理人员，系统拥有者制定相应的应对策略、处理程序、预算计划和系统操作和管理变更等。n信息安全风险评估结果不像审计调查报告那样专门寻找错误所在，所以风险评估报告措辞应避免指责的口气。应以分析的、系统的口气描述系统风险，使组织高层管理人员了解风险并分配相应的资金和资源应对这些风险。正是基于这样的原因，一些人总是喜欢以威胁/脆弱点对列表来替代风险评估结果报告。信息安全风险评估结果报告的内容1 1 总体介绍（评估目的、评估范

35、围）总体介绍（评估目的、评估范围）描述系统组件、要素、用户、位置分布和其它一些信息安全风险评估描述系统组件、要素、用户、位置分布和其它一些信息安全风险评估必须考虑的细节。必须考虑的细节。2 2 风险评估方法风险评估方法 简要描述信息安全风险评估采用的方法如：参加人员（如信息安全风险简要描述信息安全风险评估采用的方法如：参加人员（如信息安全风险评估小组成员），评估小组成员），制定和描述风险度量标准（如制定和描述风险度量标准（如3 33 3、4 44 4 和和5 55 5的的风险水平矩阵等）风险水平矩阵等）3 3 系统特性描述系统特性描述 描述系统特性信息包括硬件（服务器、路由、网关），软件（应用

36、程描述系统特性信息包括硬件（服务器、路由、网关），软件（应用程序、操作系统和协议），系统接口（通信连接）、数据、用户。系统描序、操作系统和协议），系统接口（通信连接）、数据、用户。系统描述通过一个系统连接结构图或系统输入、输出流程图来描述系统信息安述通过一个系统连接结构图或系统输入、输出流程图来描述系统信息安全风险评估范围。全风险评估范围。4 4 威胁描述威胁描述 编辑和罗列系统潜在的威胁源和被评估系统可能遭受的威胁活动。编辑和罗列系统潜在的威胁源和被评估系统可能遭受的威胁活动。信息安全风险评估结果报告的内容5 5 风险评估结果风险评估结果 列出每一个风险点（威胁列出每一个风险点（威胁/脆弱点

37、对）及其描述。描述包括：脆弱点对）及其描述。描述包括：风险点序号及其简要描述（如风险点风险点序号及其简要描述（如风险点1 1、系统用户口令可能被猜测或者、系统用户口令可能被猜测或者是盗用）；是盗用）；关于威胁源和系统脆弱点对的讨论；关于威胁源和系统脆弱点对的讨论；标识系统现有的风险控制措施；标识系统现有的风险控制措施；可能性讨论和评估；可能性讨论和评估；影响讨论和评估；影响讨论和评估；基于风险水平矩阵度量系统风险；基于风险水平矩阵度量系统风险；建议系统安全控制措施消减系统风险；建议系统安全控制措施消减系统风险；6 6 总结总结 系统风险点统计；总结和系统风险水平相关的系统风险点；建议风险系统风

38、险点统计；总结和系统风险水平相关的系统风险点；建议风险控制措施；并以表格的形式对建议的分析控制措施在系统中实施要注意控制措施；并以表格的形式对建议的分析控制措施在系统中实施要注意的事项进行描述。的事项进行描述。信息安全风险评估n风险管理的概念n风险评估的途径n风险评估的过程n风险评估的工具n风险评估中的难点风险评估的工具n随着风险评估的发展，风险评估的过程逐渐转向自动化和标准化。n自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。风险评估的工具n风险评估工具的分类：风险评估辅助工具信息基础设施风险评估工具综合风险

39、评估与管理工具风险评估辅助工具 n这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵检测系统（IDS）就可以视作风险评估的辅助工具，它帮助检测各种攻击试探和误造作，可以作为一个警报器，提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风险评估不可或缺的支持手段。信息基础设施风险评估工具n包括脆弱点评估工具和渗透性测试工具。n脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆弱点。扫描网络、服务器、防火墙、路由器和应用程序发现其中的漏洞通常情况下，这些工具能够发现软件和硬件中已知的安全漏洞n渗透性测试工具是根据

40、漏洞扫描工具提供的漏洞，进行模拟攻击测试，判断是否这些漏洞能够被他人利用。通常包括一些黑客工具，也可以是一些脚本文件。综合风险评估与管理工具n根据信息所面临的威胁的不同分布进行全面考虑，在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。n这种风险评估工具通常建立在一定的算法之上，也有通过建立专家系统，利用专家经验进行风险分析，给出专家结论，这种评估工具需要不断进行知识库的扩充，以适应不同的需要，这是我们通常意义上所指的信息安全风险评估工具，如COBRA。COBRA简介n“Consultative,Objective and Bi-functional Risk Analysis”nC

41、&A System Security公司推出n由一系列风险分析、咨询和安全评价工具组成，兼容许多风险评估方法学（如定性分析和定量分析等）。COBRA简介nCOBRA 风险评估方法在形式上是一个基于PC的问卷系统n运用了专家系统的原则，以一个广泛的专家知识库为评估基础。n根据问卷的回答情况，对系统威胁和脆弱性进行评估，并生成恰当的建议和解决方案。nCOBRA还能够列出系统风险列表，给出相应的风险值和风险等级。风险的这种标识方法综合考虑了各种潜在的关系，如各个业务或部门的财务情况、客户损失等等。COBRA简介nCOBRA有多种评估过程可供选择。默认的COBRA风险评估过程应包括三个阶段：问卷生成问

42、卷生成：针对环境和具体要求，通过模块选择和生成，产生出COBRA评估的基本问卷；问卷调查问卷调查：问卷被分发到相关人员的手中，相关人员在评估人员的指导下对问卷进行回答；报告生成报告生成：风险目录中的各个风险项的评估结果和风险值由COBRA生成。相应的修改建议和问题解决方案也被提出。并且COBRA还提供各种风险之间的相互潜在的联系的解释。信息安全风险评估n风险管理的概念n风险评估的途径n风险评估的过程n风险评估的分析方法n风险评估的工具n风险评估中的难点风险评估中的难点n一些风险因素的信息很难准确获取。黑客攻破系统的可能性，就很难准确获得。n一些损失很难准确量化。机密或敏感数据的泄漏可能引起的损

43、失是很难准确量化的。n尽管安全控制措施本身的代价（如软硬件的成本等）是比较容易确定的，但是它们给系统带来的间接影响却很难估量。架设了防火墙后，防火墙的处理能力可能会限制网络通信的速度。风险评估中的难点n即使评估过程获取的信息是精确的，但是往往因为实际情况的变化使获取的信息失去其价值。已经知道系统存在漏洞，也知道应该打补丁；但是黑客已经抢先一步攻破了系统并且种植了木马，于是即便打上了补丁，对黑客的入侵也造不成任何障碍了。思考题n什么是风险，风险有哪三个要素？n为什么说，风险的三个要素缺一不可？n风险评估的过程。n风险评估中的方法？试解释每种方法的含义。n在现实生活中寻找一个“风险”的例子，说明其中的威胁、脆弱点、影响分别是什么。本讲结束！