信息安全风险评估方法论(下篇)

信息安全方案 南瓜一族 654℃ 0评论

5.5 综合风险分析

风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的损害,从而直接地或间接地引起企业或机构的损害。因此,风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。
从上述的定义可以看出,风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。
安全风险分析包括风险的计算、风险的处置和风险的安全控制措施选择。
根据计算出的风险值,对风险进行排序,并与客户公共选择风险的处置方式和风险的安全控制措施。

5.5.1 风险的计算

在完成了资产识别、威胁识别、脆弱性识别后,将采用适当的方法确定威胁利用脆弱性导致安全事件发生的可能性,综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失,最终得到风险值。
风险计算原理如图3所示:

图3 风险计算原理示意图
对风险计算原理可以采用下面的范式形式化加以说明:
风险值 = R(A,T,V)= R(L(Ta,Vb),F(Ia,Va))
其中,R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性,Ta表示威胁出现的频率,Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,Vb表示存在的脆弱性,L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。有以下三个关键计算环节:
– 1. 计算安全事件发生的可能性
根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性 = L(威胁出现频率,脆弱性)= L(Ta,Vb)
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
– 2. 计算安全事件的损失
根据资产价值及脆弱性严重程度,计算安全事件一旦发生造成的损失,即:
安全事件的损失 = F(资产价值,脆弱性严重程度)= F(Ia,Va)
部分安全事件发生造成的损失不仅仅是针对该资产本身,还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的,在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
– 3. 计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值 = R(安全事件发生的可能性,安全事件的损失)= R(L(Ta,Vb),F(Ia,Va))
附录B中列举的几种风险计算方法可做参考。评估者可根据具体情况选择合适的风险计算方法,也可以采用其它计算方法。

5.5.2 风险结果的判定

5.5.2.1 风险等级的划分

确定风险数值的大小不是组织风险评估的最终目的,重要的是明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护。
风险等级建议从1到5划分为五级。等级越大,风险越高。评估者也可以根据被评估系统的实际情况自定义风险的等级。下表提供了一种风险等级划分方法。

5.5.2.2 控制措施的选择

总部和各省管理信息系统部门在对风险等级进行划分后,应考虑业务发展要求、风险评估的结果确定安全水平,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。
选择处置措施的原则是权衡利弊:权衡每种选择的成本与其得到的利益。例如,如果以相对较低的花费可以大大减小风险的程度,则应选择实施这样的处置方法。建议的风险处置措施一般如下所示:
– 1. 避免风险:在某些情况下,可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法,但是在某些情况下可能会因此而丧失机会。
– 2. 降低风险可能性:在某些情况下,可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性,来达到减小风险的目的。
– 3. 减小风险的后果或影响:在某些情况下,可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果/影响。这和“降低风险可能性”一起,可以达到减小风险的目的,也成为“风险控制”。
– 4. 转移风险:这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。
– 5. 接受风险:不管如何处置,一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下,决策者可以选择接受/承受风险。

4.5.2.3 残余风险的评价

对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应通过管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的有效性,必要时可进行再评估,以判断实施控制措施后的残余风险是否是可被接受的。

5.5.3 风险处置

对于不可接受的风险,应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和社会文化等多方面的可能限制因素,从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。安全措施的选择与实施应参照国家和行业的相关标准。
在对不可接受风险选择新的安全措施后,为确保安全措施的有效性,应进行再评估,以判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准的风险评估流程实施,也可做适当裁减。
某些风险可能在选择了新的安全措施后,残余风险的风险评估结果仍处于不可接受范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
在选择和实施风险控制措施时,中国移动管理信息系统部的选择应兼顾管理与技术,具体针对各类风险应根据组织的实际情况考虑以下十个方面的控制:安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通讯与运作管理、访问控制、系统的开发与维护、业务持续性管理、符合性。在风险处理方式及控制措施的选择上,中国移动管理信息系统部应考虑发展战略、企业文化、人员素质,并特别关注成本与风险的平衡,以处理安全风险以满足法律法规及相关方的要求,管理性与技术性的措施均可以降低风险。

5.6 风险评估报告

5.6.1 风险评估文件记录的要求

在对信息系统进行风险分析过程中,应记录风险评估过程,作为评估文档保存下来。应该符合(但不仅限于)以下要求:
1. 确保文件发布前是得到批准的;
2. 确保文件的更改和现行修订状态是可识别的;
3. 确保文件的分发得到适当的控制,并确保在使用时可获得有关版本的适用文件;
4. 防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文件进行适当的标识。
5. 对于风险评估过程中形成的相关文件,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。

5.6.2 风险评估文件

风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档,风险评估文件包括(但不仅限于):
1. 风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等;
2. 风险评估程序:明确风险评估的目的、职责、过程、相关的文件要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据等;
3. 资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成资产识别清单,明确资产的责任人/部门;
4. 重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等;
5. 威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等;
6. 脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、类型及严重程度等;
7. 已有安全措施确认表:根据已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等;
8. 风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象,风险评估方法,资产、威胁、脆弱性的识别结果,风险分析、风险统计和结论等内容;
9. 风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性;
10. 风险评估记录:要求风险评估过程中的各种现场记录可复现评估过程,并作为产生歧义后解决问题的依据。

0x06 风险评估在系统生命周期中的不同要求

6.1 系统生命周期概述

风险评估应贯穿于系统生命周期的各阶段中,系统生命周期各阶段中涉及的风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得风险评估的对象、目的、安全要求等各方面也有所不同,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。
系统生命周期包含启动、设计、实施、运维和废弃等五个阶段。图3列出了生命周期各阶段中的主要安全活动。

图3系统生命周期各阶段的主要安全活动

6.2 启动阶段的风险评估

启动阶段风险评估的目的是确定系统的安全使命,用以支撑系统的安全需求。启动阶段的风险评估应能够描述系统建成后的作用,包括技术、管理等方面,并确定系统建设应达到的安全目标。
本阶段的风险评估着重以下几方面:
– 1. 整体规划中是否制定总体的安全方针;
– 2. 整体规划中是否描述系统的设备、数据、应用等资产的重要性和潜在的价值、可能的使用限制等;
– 3. 整体规划中是否考虑来自资产的应用对象、应用环境、业务状况、操作要求等方面的威胁;
– 4. 整体规划中是否描述系统安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全政策、专门技术和知识等。
启动阶段的评估结果应体现在系统整体规划或项目建议书中。

6.3 设计阶段的风险评估

设计阶段的风险评估需要根据启动阶段所明确的运行环境、资产重要程度等,在建设方案中提出安全功能需求,并对安全功能符合性进行判断,作为采购过程风险控制的依据。
本阶段的评估对象是建设方案,应详细评估其中对威胁的描述、将使用的具体设备、软件等资产的列表,以及这些资产的安全功能需求。
本阶段的评估包括以下内容:
– 1. 是否对系统建设后面临的物理和自然环境,内外部入侵等威胁进行了分析,制定系统建设的总体安全策略;
– 2. 是否采取了一定的手段应对系统可能的故障,是否考虑可能随着其它网络接入而产生的风险;
– 3. 是否根据开发的规模、时间及网络的特点选择开发方法,并根据设计开发计划及用户需求,对涉及的软件、硬件与网络进行分析和选型;
– 4. 对设计或者原型中的技术实现以及人员、组织管理等各方面的脆弱性进行评估,包括设计过程中的管理脆弱性和技术平台固有的脆弱性;
– 5. 设计活动中所采用的安全控制措施、安全技术保障手段对风险结果的影响,在安全需求变更和设计变更后,也需要重复这项评估。
设计阶段的风险评估应判定建设方案所提供的安全功能与系统安全防护要求的符合性。评估结果最终应体现在系统的设计报告或建设实施方案中。

6.4 实施阶段的风险评估

实施阶段风险评估的目的是根据系统的安全需求和运行环境对系统的开发实施过程进行风险识别,并根据设计阶段分析的威胁和建立的安全控制措施,对系统实施及验收时进行安全检测和质量控制。
本阶段的评估对象是安全措施的实现程度,确定安全措施能否抵御现有威胁、脆弱性的影响。
实施阶段风险评估包括开发阶段、实施交付阶段两部分评估。
开发阶段的具体评估内容包括:
– 1. 评估通信行业风险评估相关标准对安全需求的影响;
– 2. 评估安全需求是否有效地支持系统的功能;
– 3. 评估系统的资产、威胁和脆弱性,分析成本与效益的关系,以确定在符合相关法律、政策、标准和功能需要下最合适的防范措施;
– 4. 评估开发阶段的安全活动,包括安全开发的内容、开发过程的监视、安全问题的防范、需求更改的响应以及监视外来的威胁。
实施交付阶段的具体评估内容包括:
– 1. 根据实际建成的系统,详细分析其面临的威胁;
– 2. 根据建设目标和安全需求,对系统的安全功能进行验收测试;评价安全功能能否抵御安全威胁;
– 3. 评估是否建立了与整体安全策略一致的组织管理制度;
– 4. 对实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行安全策略的设计与调整。
本阶段风险评估可以采取对照建设实施方案和标准要求的方式对实际建设结果进行检测。

6.5 运维阶段的风险评估

运维阶段风险评估的目的是了解和控制运行过程中的系统的安全风险,是一种较为全面的风险评估。
本阶段的评估对象是真实运行的系统资产、威胁、脆弱性等各方面。
本阶段的具体评估内容包括:
– 1. 资产评估:对真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中的人员与服务等。本阶段资产识别是前期资产识别的补充与增加;
– 2. 威胁评估:真实环境中的威胁分析,应全面地评估威胁的可能性。对非故意威胁产生安全事件的评估可以参照事故发生率;对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断;同时考虑已有控制措施;
– 3. 脆弱性评估:是全面的脆弱性评估,包括运行环境下物理、网络、系统、应用、安全保障设备、管理等方面的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性;对于管理脆弱性采取文档、记录核查进行验证;
– 4. 风险分析:根据本标准的相关方法,对主要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。
运维阶段的风险评估应定期执行,当组织的业务流程、系统状况发生重大变化时,也应进行风险评估。重大变更包括以下变更(但不限于):
– 1. 增加新的业务/应用或业务/应用发生较大变更;
– 2. 网络结构和连接状况发生较大变更;
– 3. 技术平台大规模的更新;
– 4. 系统扩容或改造后进行;
– 5. 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件;
– 6. 组织结构发生重大变动对系统产生影响。

6.6 废弃阶段的风险评估

废弃阶段风险评估的目的是确保硬件和软件等资产及残留信息得到了适当的废弃处置,并确保系统的更新过程在一个安全的状态下完成。
本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。对由于废弃可能带来的新的威胁进行分析,并改进新的技术或管理模式。对废弃资产的处理过程应在有效的监督之下实施,同时对废弃的执行人员进行安全教育。维护工作的技术人员和管理人员均应该参与此阶段的评估。

附 录 A 资产价值的计算方法

本附录介绍了几种资产价值的计算方法,评估者可根据实际情况灵活选择相应的计算方法,也可以采用其它计算方法。

A.1 对数法

通常,根据系统的实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。因此可以使用下面的公式计算资产价值:
Asset Value = Round1{Log2[(α×2I+β×2V+γ×2A]}
其中,I代表影响力赋值;V代表业务价值赋值;K代表可用性赋值;Round1{}表示四舍五入处理,保留1位小数;Log2[]表示取以2为底的对数;α、β和γ分别表示影响力、业务价值和可用性所占的权重,网络和业务运营商可根据具体网络的情况确定α、β和γ的取值,α≥0,β≥0,γ≥0,且α+β+γ=1。
对计算所得的资产价值采用向上进位的方法确定资产价值的等级。

A.2 矩阵法

矩阵法的特点是建立资产的影响力、业务价值和可用性的对应矩阵,并且预先根据一定的方法确定了资产价值。使用本方法需要首先确定资产的影响力、业务价值和可用性的赋值,再查矩阵获得资产价值。
例如,采用对数法提前确定矩阵中的资产价值,并设α=β=γ=1/3,则可得表A.1所示的资产价值判别矩阵。

表 A.1 资产价值判别矩阵

附 录 B 风险值的计算方法

本附录介绍了几种资产风险值的计算方法。评估者可以根据具体情况选择合适的风险值计算方法,也可以采用其它计算方法。当一个资产是由若干个子资产构成时,可以先分别计算各子资产的风险值,然后通过一定的计算方法(如相加法)计算总的风险值。

B.1 相乘法

考虑到影响系统的资产风险值的因素有资产价值、威胁值以及脆弱性值等,这些因素与风险值都是正相关的。因此,可将这些因素值相乘得到资产对应某项脆弱性的风险值。计算公式如下:
风险值 = 资产价值 × 威胁值 × 脆弱性值
根据影响风险值的各个因素的取值范围可以知道,采用相乘法计算风险值的取值范围为1-125。为实现对风险的控制与管理,本标准对风险值进行等级化处理,将风险等级划分为五级,如表12所示,每个等级代表了相应风险的严重程度,等级越高,风险越高。表B.1提供了一种风险等级划分方法,根据表B.1可确定风险值对应的风险等级。

表B.1 风险等级判定表

B.2 矩阵法

矩阵法的特点是建立资产价值等级、威胁等级和脆弱性等级的对应矩阵,并且预先根据一定的方法确定了风险等级。使用本方法对于每一资产的风险,都需要首先确定资产价值等级、威胁等级和脆弱性等级的赋值,再查矩阵获得风险等级。
例如,采用相乘法提前确定矩阵中的风险等级,则可得表B.2所示的资产风险判别矩阵。
表 B.2 资产风险判别矩阵

转载请注明:猫头鹰工作室 » 信息安全风险评估方法论(下篇)

喜欢 (1)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址