第05讲 信息安全风险评估

信息安全工程学

信息安全工程学五、信息安全风险评估

信息安全工程学

信息安全风险评估

风险评估，是发掘信息保护需要的重要步骤 风险评估并非仅在发掘需要阶段进行，后续阶段

根据需要也会进行风险评估 例如在定义架构阶段的有效性评估中就需要对已 定义的架构进行风险评估，检查结构性漏洞

风险评估可以是对待建的信息系统的评估， 也可以是对已有的信息系统的评估。 对已有系统的评估是PDCA的第二次循环，或以

后的各次循环中进行的。 每次的PDCA循环，相当于一个新的信息安全工 程过程。

信息安全工程学

信息安全风险评估风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点

信息安全工程学

风险管理的概念

定义 风险管理是一个过程。通过这个过程，信息系

统管理者能够综合衡量安全措施和实施成本， 并通过为信息系统提供安全防护，促进组织的 业务能力提升。(NIST SP800-30)

包括三个过程 风险评估

风险消减(控制措施的选用) 风险监控(监视风险，定期再评估)

信息安全工程学

风险管理的概念

风险管理与信息安全管理 信息安全管理是以风险为驱动的。可以看到，PDCA的

各个阶段，主要工作是对信息系统的风险来做识别、 评估、控制、检查等动作。 从概念上讲，“信息安全管理”的外延更广，人事管 理、财务管理等组织管理的其它部分也有信息安全管 理的因素渗透其中。 我们所关心的信息安全管理，是以风险为核心的信息 安全管理。从这个概念上讲，信息安全管理和风险管 理二者的大部分细节都是一致的。

信息安全工程学

风险管理的概念Plan风险评估 风险监控 风险消减

Action风险管 理过程

Do

Check

PDCA信 息安全 管理过 程

信息安全工程学

风险管理的概念

风险管理中的基本概念(1) 资产(Asset):任何对组织具有价值的东西，包括计

算机硬件、通信设施、建筑物、数据库、文档信息、 软件、信息服务和人员等。 威胁(Threat):某威胁源成功利用特定脆弱点的潜 在可能。 脆弱点(Vulnerability):资产或资产组中存在的可 被威胁利用的缺点。脆弱点本身并不能构成伤害，它 只是威胁利用来实施影响的一个条件。 风险(Risk):特定威胁利用资产的脆弱点给资产带 来损害的潜在可能性。

信息安全工程学

风险管理的概念

风险管理中的基本概念(2) 可能性(Likelihood):对威胁事件发生的几率

(Probability)或频率(Frequency)的描述。 影响(Impact)或者后果(Consequence):意外事 件发生给组织带来的直接或间接的损失或伤害。 安全措施(Safeguard)/控制措施(control)/对策 (countermeasure):通

过防范威胁、减少弱点、限 制意外事件带来影响等途径来消减风险的机制、方法 和措施。 剩余风险(Residual Risk):在实施安全措施之后仍 然存在的风险。

信息安全工程学

风险管理的概念威胁防范

利用导致

脆弱点暴露

安全措施采取

减少

风险提出 增加

资产具有

系统安 全需求Define System Security Requirements

价值

信息安全工程学

信息安全风险评估风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点

信息安全工程学

风险评估的方法

按照分析对象分类 以安全措施为主：基线评估 以实际系统为主：详细评估 组合评估

按照精确程度分类 量化评估 定性评估

按照思路分类 基于知识专家的方法 基于模型的方法

信息安全工程学

基线评估

组织根据自己的实际情况(所在行业、业务环 境与性质等),对信息系统进行安全基线检查 安全基线：在诸多标准规范中规定的一组安全控制

措施或者惯例，例如BS 7799-1、ISO 13335-4,德 国联邦安全局IT基线保护手册等。 如果环境和商务目标较为典型，组织也可以自行建 立基线，而不是直接采用现行标准。 基线检查：拿现有的安全措施与安全基线规定的措 施进行比较，找出其中的差距

适用情况 组织的商业运作不是很复杂，并且组织对信息处理

和网络的依赖程度不是很高 组织信息系统多采用普遍且标准化的模式

信息安全工程学

基线评估

基线评估的优点 需要的资源少，周期短，操作简单 对于环境相似且安全需求相当的诸多组织，基线评

估是最经济有效的风险评估途径。

基线评估的缺点 基线水平的高低难以设定。过高可能导致资源浪费

和限制过度，过低则可能难以达到充分的安全， 在管理安全相关的变化方面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本 目标的最小的对策集合

信息安全工程学

详细评估

要求对资产进行详细识别和评价，对可能引起 风险的威胁和脆弱点进行评估。 详细评估的优点 可以对信息安全风险有一个精确的认识，从而能够

准确定义出组织目前的安全水平和安全需求 详细评估的结果可用来管理安全变化。

详细评估的缺点 可能是非常耗费资源的过程，包括时间、精力和技

术。因此，组织应该仔细设定待评估的信息系统范 围，明确商务环境、操作和信息资产的边界。

稍后讲述的评估过程，主要针对的是详细评估。

信息安全工程学

组合评估

基线风险评估耗费资源少、周期短、操作简单， 但不够准确 适合一般环境的评估

详细风险评估准确而细致，但耗费资源较多 适合严格限定

边界的较小范围内的评估

组合评估：二者相结合。 对所有的系统进行一次初步的高级风险评估，着眼

于信息系统的价值，识别出具有高风险的或组织业 务极为关键的信息资产 这些资产应该划入详细风险评估的范围，而其他系 统则可以通过基线风险评估直接选择安全措施。

信息安全工程学

组合评估

基线和详细风险评估的优势结合起来，既节省 了评估所耗费的资源，又能确保获得一个全面 系统的评估结果。 组织的资源和资金能够应用到最能发挥作用的 地方，具有高风险的信息系统能够被预先关注。 组合评估的不足： 如果初步的高级风险评估不够准确，某些本来需要

详细评估的系统也许会被忽略，最终导致结果失准。

信息安全工程学

风险评估的方法

按照分析对象分类 以安全措施为主：基线评估 以实际系统为主：详细评估 组合评估

按照精确程度分类 量化评估 定性评估

按照思路分类 基于知识专家的方法 基于模型的方法

信息安全工程学

定量的分析方法对构成风险的各个要素和潜在损失的水平 赋予数值或货币金额。 当度量风险的所有要素(资产价值、威胁 频率、弱点利用程度、安全措施的效率和 成本等)都被赋值，风险评估的整个过程 和结果就都可以被量化了。 简单说，定量评估就是试图从数字上对安 全风险进行分析评估的一种方法。

信息安全工程学

定量的分析方法定量分析方法利用两个基本的元素：威胁 事件发生的概率和可能造成的损失。 把这两个元素简单相乘的结果称为ALE (Annual Loss Expectancy)或EAC (Estimated Annual Cost)。理论上可以 依据ALE计算威胁事件的风险等级，并且做 出相应的决策。

信息安全工程学

定量的分析方法

定量风险评估中有几个重要的概念： 暴露因子(Exposure

Factor,EF)—— 特定威胁对 特定资产造成损失的百分比，或者说损失的程度。 单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single Occurrence Costs),即特定 威胁可能造成的潜在损失总量。 年度发生率(Annualized Rate of Occurrence, ARO)—— 即威胁在一年内估计会发生的频率。 年度损失期望(Annualized Loss Expectancy, ALE)—— 或者称作EAC(Estimated Annual Cost), 表示特定资产在一年内遭受损失的预期值。

信息安全工程学

定量的分析方法

这几个概念之间的关系： 首先，识别资产并为资产赋值； 通过威胁和弱点评估，评价特定威胁作用于特

定资产所造成的影响，即EF(取值在0%~100%之 间； 计算特定威胁发生的频率，即ARO; 计算资产的SLE:SLE = Asset Value × EF 计算资产的ALE:ALE = SLE × ARO

本文来源：https://www.bwwdw.com/article/frx1.html