信息安全风险评估的基本过程.pptVIP

第七章;信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价,是组织确定信息安全需求的过程。;7.1 信息安全风险评估的过程;信息安全风险评估完整的过程如图7-1所示;7.2 评估准备;7.2.1 确定信息安全风险评估的目标;7.2.2 确定信息安全风险评估的范围;7.2.3 组建适当的评估管理与实施团队;7.2.4 进行系统调研

系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研，为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:

⑴业务战略及管理制度；

⑵主要的业务功能和要求；

⑶网络结构与网络环境，包括内部连接和外部连接；

⑷系统边界；

⑸主要的硬件、软件；

⑹数据和信息；

⑺系统和数据的敏感性；

⑻支持和使用系统的人员。;7.2.5 确定信息安全风险评估依据和方法;7.2.6 制定信息安全风险评估方案;7.2.7 获得最高管理者对信息安全风险评估工作的支持

信息安全风险评估需要相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,对资源调配作出承诺,并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺利进行。;7.3 识别并评价资产;资产识别活动中,可能会用到工具有以下几种。;7.3.2 资产分类

资产的分类并没有严格的标准,在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求由评估者灵活把握,表7-2列出了一种根据资产的表现形式的资产分类方法。;;7.3.3.1 定性分析

定性风险评估一般将资产按其对于业务的重要性进行赋值,结果是资产的重要度列表。资产的重要度一般定义为“高”、“中”、“低”等级别,或直接用数字1～3表示。组织可以按照自己的实际情况选择3个级别、5个级别等,表7-3给出了5级分法的资产重要性等级划分表。;;信息安全风险评估中资产的价值不是以资产的经济价值来衡量，而是以资产的必威体育官网网址性、完整性和可用性三个安全属性为基础进行衡量。资产在必威体育官网网址性、完整性和可用性三个属性上的要求不同，则资产的最终价值也不同，表7-4、表7-5.表7-6分别给出了资产的必威体育官网网址性、完整性和可用性的赋值表。;;;;定量分析

定量风险评估对资产进行赋值，应该确定资产的货币价值，但这个价值并不是资产的购置价值或帐面价值，而是相对价值。在定义相对价值时，需要考虑:

信息资产因为受损而对商务造成的直接损失；

信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；

信息资产受损对其他部门的业务造成的影响；

组织在公众形象和名誉上的损失；

因为商务受损导致竞争优势降级而引发的间接损失；

其他损失，例如保险费用的增加。;7.3.4 输出结果

在资产划分的基础上,再进行资产的统计、汇总,形成完备的《资产及评价报告》。;7.4 识别并评估威胁;威胁识别活动中，可能会用到工具有以下几种:

IDS采样分析

日志分析

人员访谈;7.4.2 威胁分类;

表7;对威胁进行分类的方式有多种多样,针对上表威胁来源,可以根据其表现形式将威胁分为以下种类。

软硬件故障

物理环境影响

无作为或操作失误

管理不到位

恶意代码

越权或滥用

网络攻击

物理攻击

泄密

篡改

抵赖;7.4.3 威胁赋值;;77..44..44;7.5 识别并评估脆弱性;7.5.2 脆弱性分类;表7-14脆弱性分类表;7.5.3 脆弱性赋值;7.5.4 输出结果;;7.6 识别安全措施;安全措施识别活动中，可能会用到工具有以下几种。

1.《技术控制措施调查表》

用于调查和记录被评估组织已经部署的安全控制措施。2.《管理和操作控制措施调查表》

对照安全管理标准，调查和记录组织已经采取的安全管理和操作控制措施。

3.符合性检查工具

用于检查被评估组织当前对安全标准或策略的符合程度。;输出结果

安全控制措施识别与确认过程后，应提交以下输出结果:

技术控制措施识别与确认结果；

管理与操作措施识别与确认结果。;构成风险的要素有4个:资产、威胁、脆弱性和安全措施，在识别了这4个要素之后，存在什么风险就可以显现了。

评价风险有2个关键因素:一个是威胁对信息资产造成的影响，另一个是威胁发生的可能性。

定性的分析产生影响和可能性的级别，定量的分析产生相应的损失大小和发生概率。;7.7.1 分析可能性

根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即:安全事件发生的可能性=L(威胁出现频率，脆弱性)＝L(T，V)

目前，定量分析可能性要用到的数据贫乏，很难实现，多采用定性分析的方法。;;7.7.2 分析影