信息安全风险评估指南(国信办版)
国信办综[2006]9号
各省、自治区、直辖市和中央、国务院各部门信息化领导小
组办公室:
为确保信息安全风险评估工作的顺利开展,现将《信息
安全风险评估指南》(征求
意见
文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见
稿)印发你们,供参考。
二〇〇六年二月二十八日
Risk assessment guide for information security
(征求意见稿)
国务院信息化工作办公室
2006年3月
目 录
信息安全风险评估指南 ......................................................... 4 1 范围....................................................................... 4
2 规范性引用文件 ............................................................. 4
3 术语和定义 ................................................................. 4
4 风险评估框架及流程 ......................................................... 7 4.1 风险要素关系 ............................................................. 7
4.2 风险分析原理 ............................................................. 9
4.3 实施流程 ................................................................. 9
5 风险评估实施 .............................................................. 10
5.1 风险评估的准备 .......................................................... 10 5.2 资产识别 ................................................................ 12
5.3 威胁识别 ................................................................ 16
5.4 脆弱性识别 .............................................................. 18
5.5 已有安全措施确认 ........................................................ 21 5.6 风险分析 ................................................................ 21
5.7 风险评估文件记录 ........................................................ 24 6 信息系统生命周期各阶段的风险评估 .......................................... 25
6.1 信息系统生命周期概述 .................................................... 25 6.2 规划阶段的风险评估 ...................................................... 25 6.3 设计阶段的风险评估 ...................................................... 26 6.4 实施阶段的风险评估 ...................................................... 27 6.5 运行维护阶段的风险评估 .................................................. 28 6.6 废弃阶段的风险评估 ...................................................... 28 7 风险评估的工作形式 ........................................................ 29 7.1 自评估.................................................................. 29
7.2 检查评估 ................................................................ 30
附录A ...................................................................... 32
A.1 使用矩阵法计算风险 ...................................................... 32 A.2 使用相乘法计算风险 ...................................................... 37 附录B ...................................................................... 41
B.1 风险评估与管理工具 ...................................................... 41 B.2 系统基础平台风险评估工具 ................................................ 42 B.3 风险评估辅助工具 ........................................................ 43
3
信息安全风险评估指南
本指南提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周
期不同阶段的实施要点,适用于组织开展的风险评估工作。
下列文件中的条款通过本指南的引用而成为本指南的条款。凡是注明日期的引用文件,
其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本指南。然而,鼓励根据本
指南达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最
新版本适用于本指南。
GB/T 19716-2005 信息技术 信息安全管理实用规则
GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T9361-2000 计算机场地安全要求
GB/T 5271.8-2001 信息技术 词汇 第8部分:安全
asset
对组织具有价值的信息或资源,是安全策略保护的对象。
asset Value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要
内容。
4
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
business strategy
组织为实现其发展目标而制定的一组规则或要求。
confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他
实体的程度。
information security risk
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及
其对组织造成的影响。
information security risk assessment
依据有关信息安全技术与管理
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,对信息系统及由其处理、传输和存储的信息的机密
性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆
弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对
组织造成的影响。
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软
件(计算机系统软件和网络系统软件);应用软件(包括由其处理、存储的信息)。
5
inspection assessment
由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信
息系统及其管理进行的具有强制性的检查活动。
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变。
在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,
信息系统能履行其操作目的的品质。
organization
由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而
分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。
residual risk
采取了安全措施后,仍然可能存在的风险。
由组织自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
6
指系统、服务或网络的一种可识别状态的发生,它可能是对信息安全策略的违反或防护
措施的失效,或未预知的不安全状况。
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的
各种实践、规程和机制的总称。
为保证组织业务战略的正常运作而在安全措施方面提出的要求。
threat
可能导致对系统或组织危害的不希望事故潜在起因。
vulnerability
可能被威胁所利用的资产或若干资产的弱点。
本章提出了风险评估的要素关系、分析原理及实施流程。
资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪
些弱点来破坏其安全性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大
小。
风险评估中各要素的关系如图1所示:
7
业务战略
依赖
脆弱性资产资产价值暴露具有
未被满足利用成本增加
威胁风险安全需求增加导出
降低演变被满足抵御
安全事件残余风险安全措施可能诱发未控制
图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属
性。风险评估围绕着这些基本要素展开,在对这些要素的评估过程中,需要充分考虑业务战
略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险要素及属性之间存在着以下关系:
(1)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大; (3)资产价值越大,原则上则其面临的风险越大;
(4)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能导致安全事件; (5)弱点越多,威胁利用脆弱性导致安全事件的可能性越大;
(6)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产,从而形成风险; (7)风险的存在及对风险的认识导出安全需求;
(8)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本; (9)安全措施可抵御威胁,降低安全事件发生的可能性,并减少影响; (10)风险不可能也没有必要降为零,在实施了安全措施后还可能有残余风险。有些残
8
余风险的原因可能是安全措施不当或无效,需要继续控制;而有些残余风险则是在
综合考虑了安全成本与效益后未去控制的风险,是可以接受的; (11)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
风险分析原理如图2所示:
威胁识别威胁出现的频率
安全事件的可能性
脆弱性识别脆弱性的严重程度风险值
安全事件的损失
资产识别资产价值
风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属
性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性
是资产弱点的严重程度。风险分析的主要内容为:
(1)对资产进行识别,并对资产的价值进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
(3)对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
(4)根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;
(5)根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;
(6)根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织
的影响,即风险值。
图3给出风险评估的实施流程,第5章将围绕风险评估流程阐述风险评估各具体实施步
骤。
9
风险评估准备
资产识别威胁识别脆弱性识别
已有安全措施的确认
评估过程文档
风险计算
风险分析
评估过程文档保持已有的安全措施风险是否接受是......否..制定和实施风险处理...计划并评估残余风险.......
是否接受残余风险否
评估过程文档是实施风险管理
风险评估文件记录
风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的
考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
因此,在风险评估实施前,应:
(1)确定风险评估的目标;
(2)确定风险评估的范围;
(3)组建适当的评估管理与实施团队;
(4)进行系统调研;
(5)确定评估依据和方法;
(6)获得最高管理者对风险评估工作的支持。
10
风险评估的准备阶段应明确风险评估的目标,为风险评估的过程提供导向。信息系统的
机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。组
织要面对来自内、外部的安全威胁,信息系统是威胁的主要目标。由于信息化程度不断提高,
业务对信息技术的依赖程度日益增加,一个组织可能出现更多的弱点。风险评估的目标是根
据满足组织业务持续发展在安全方面的需要、相关方的要求、法律法规的规定等内容,识别
现有信息系统及管理上的脆弱性,以及可能造成的风险大小。
基于风险评估目标确定风险评估范围是完成风险评估的前提。风险评估范围可能是组
织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、
关键业务流程、与客户知识产权相关的系统或部门等。
组建适当的风险评估管理与实施团队,以支持整个过程的推进。如成立由管理层、相关
业务骨干、IT技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效
开展。
系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估
依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:
(1)主要的业务功能和要求
(2)网络结构与网络环境,包括内部连接和外部连接;
(3)系统边界;
(4)主要的硬件、软件;
(5)数据和信息;
(6)系统和数据的敏感性;
(7)支持和使用系统的人员;等。
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管
理或操作控制的问题表格,供系统技术或管理人员填写;现场面谈则是由评估人员到现场观
察并收集系统在物理、环境、和操作方面的信息。
根据系统调研结果,确定评估依据和评估方法。
11
评估依据包括(但不限于):现有国际或国家标准、行业主管机关的业务系统的要求和
制度、系统互联单位的安全要求、系统本身的实时性或性能要求等。
根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的
风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与
组织环境和安全要求相适应。
上述所有内容确定后,应形成较为完整的风险评估实施
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,并得到组织最高管理者的
支持、批准;并对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,
以明确有关人员在风险评估中的任务。
资产是具有价值的信息或资源,它能够以多种形式存在,有无形的、有形的,有硬件、
软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全
属性。风险评估中资产的价值不仅仅以资产的经济价值来衡量,而是由资产在这三个安全属
性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的
不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施
都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。
在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要
性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首
先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实
际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据
资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。表1列出了
一种资产分类方法。
12
分类 示例
保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、
数据
计划、报告、用户手册等
系统软件:操作系统、语言包、工具软件、各种库等 软件 应用软件:外部购买的应用软件,外包开发的应用软件等
源程序:各种共享源代码、自行或合作开发的各种代码等
网络设备:路由器、网关、交换机等
计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 硬件 传输线路:光纤、双绞线等
保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等
安全保障设备:防火墙、入侵检测系统、身份验证等
其他:打印机、复印机、扫描仪、传真机等
办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管
理等服务
服务
网络服务:各种网络设备、设施提供的网络连接服务
信息服务:对外依赖该系统开展的各类服务
文档 纸质的各种文件,如传真、电报、财务报告、发展计划等 人员 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
其它 企业形象,客户关系等
对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统
或组织的重要性,由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性
和准确性,组织应建立资产价值的评价尺度,以指导资产赋值。 资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基
础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示,这种影响可能
造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、组织形象的损失。
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上
13
应达成的不同程度或者机密性缺失时对整个组织的影响。表2提供了一种机密性赋值的参考。
赋值 标识 定义 5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定
性的影响,如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的
利益造成轻微损害
1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上
缺失时对
整个组织的影响。表3提供了一种完整性赋值的参考。
赋值 标识 定义 5 很高 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受
的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击
严重,较难弥补。
3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,
但可以弥补。
2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击
轻微,容易弥补。
1 很低 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业
14
务冲击可以忽略。
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上
的达成的不同程度。表4提供了一种可用性赋值的参考。
赋值 标识 定义
5 很高 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以
上,或系统不允许中断。
4 高 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,
或系统允许中断时间小于10分钟。
3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到
70%以上,或系统允许中断时间小于30分钟。
2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到
25%以上,或系统允许中断时间小于60分钟。
1 很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间
低于25%。
资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。综 合评定方法可以根据自身的特点,选择对资产机密性、完整性和可用性最为重要的一个属性
的赋值等级作为资产的最终赋值结果;也可以根据资产机密性、完整性和可用性的不同等级
对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。
本指南中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越 高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表5中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定
重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
15
等级 标识 描述
5 很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失。 4 高 重要,其安全属性破坏后可能对组织造成比较严重的损失。 3 中 比较重要,其安全属性破坏后可能对组织造成中等程度的损失。 2 低 不太重要,其安全属性破坏后可能对组织造成较低的损失。 1 很低 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计。
威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。威胁可以通
过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境
因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗
的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完
整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
在对威胁进行分类前,应考虑威胁的来源。表6提供了一种威胁来源的分类方法。
来源 描述
由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、
环境因素
地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通讯线路方面的故障。
不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结
的方式盗窃机密信息或进行篡改,获取利益。 恶意人员
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性
进行破坏,以获取利益或炫耀能力。
人为因素
内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制
非恶意人员 度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不
具备岗位技能要求而导致信息系统故障或被攻击。 对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁分
16
为以下几类。
表7提供了一种基于表现形式的威胁分类方法。
种类 描述 威胁子类
设备硬件故障、传输设备故障、
由于设备硬件故障、通讯链路中断、系统本身或软件存储媒体故障、系统软件故障、软硬件故障
缺陷造成对业务实施、系统稳定运行的影响。 应用软件故障、数据库软件故障、
开发环境故障。
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干
物理环境影响
扰、洪灾、火灾、地震等环境问题或自然灾害。
由于应该执行而没有执行相应的操作,或无意地执行
无作为或操作失误
了错误的操作,对系统造成的影响。 维护错误、操作失误
安全管理无法落实,不到位,造成安全管理不规范,
管理不到位
或者管理混乱,从而破坏信息系统正常有序运行。
具有自我复制、自我传播能力,对信息系统构成破坏恶意代码、木马后门、网络病毒、恶意代码和病毒
的程序代码。 间谍软件、窃听软件
未授权访问网络资源、未授权访
通过采用一些措施,超越自己的权限访问了本来无权问系统资源、滥用权限非正常修越权或滥用 访问的资源,或者滥用自己的职权,做出破坏信息系改系统配置或数据、滥用权限泄
统的行为。 露秘密信息
网络探测和信息采集、漏洞探测、
利用工具和技术,如侦察、密码破译、安装后门、嗅嗅探(账户、口令、权限等)、用网络攻击 探、伪造和欺骗、拒绝服务等手段,对信息系统进行户身份伪造和欺骗、用户或业务
攻击和入侵。 数据的窃取和破坏、系统运行的
控制和破坏 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏。 物理接触、物理破坏、盗窃 泄密 信息泄露给不应了解的他人。 内部信息泄露、外部信息泄露 篡改 非法修改信息,破坏信息的完整性使系统的安全性降篡改网络配置信息、篡改系统配
17
低或信息不可用。 置信息、篡改安全配置信息、篡
改用户身份信息或业务数据信息
原发抵赖、接收抵赖、第三方抵
抵赖 不承认收到的信息和所作的操作和交易。
赖
判断威胁出现的频率是威胁识别的重要内容,评估者应根据经验和(或)有关的统计
数据来进行判断。在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威
胁出现的频率:
(1) 以往安全事件报告中出现过的威胁及其频率的统计;
(2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
(3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及
发布的威胁预警。
可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等
级数值越大,威胁出现的频率越高。
表8提供了威胁出现频率的一种赋值方法。在实际的评估中,威胁频率的判断依据应在
评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可。 等级 标识 定义
5 很高 出现的频率很高(或?1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。
4 高 出现的频率较高(或? 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。
3 中 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。
2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过。
1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,弱点是资产本身
存在的,如果没有被相应的威胁利用,单纯的弱点本身不会对资产造成损害。而且如果系统
18
足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即,威胁总是要利用资产的
弱点才可能造成危害。
资产的脆弱性具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱性识
别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能
是一个弱点。
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一
项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以
从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依
据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环
境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判
断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络
的互联等也应考虑在内。
脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面
的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查
阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、
应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方
面,前者与具体技术活动相关,后者与管理环境相关。
对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如,
对物理环境的脆弱性识别可以参照《GB/T 9361-2000 计算机场地安全要求》中的技术指标实施;对操作系统、数据库可以参照《GB 17859-1999 计算机信息系统安全保护等级划分准则》中的技术指标实施。管理脆弱性识别方面可以参照《GB/T 19716-2005 信息技术 信
息安全管理实用规则》的要求对安全管理制度及其执行情况进行检查,发现管理漏洞和不足。
表9提供了一种脆弱性识别内容的参考。
19
类型 识别对象 识别内容
从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、
物理环境 电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行
识别。
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、
网络结构
网络设备安全配置等方面进行识别。
从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、
系统软件(含操作系
访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等技术脆弱性 统及系统服务)
方面进行识别。
从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份
数据库软件
恢复机制、审计机制等方面进行识别。
应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别。
从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、
应用系统
密码保护等方面进行识别。
从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业
技术管理
务连续性等方面进行识别。
管理脆弱性
从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进
组织管理
行识别。
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对
已识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题,或可能造成
相似的后果,赋值时应综合考虑这些弱点,以确定这一方面脆弱性的严重程度。
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,资产的脆
弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高
低。等级数值越大,脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。
此外,CVE提供的漏洞分级也可以作为脆弱性严重程度赋值的参考。
20
等级 标识 定义
5 很高 如果被威胁利用,将对资产造成完全损害。
4 高 如果被威胁利用,将对资产造成重大损害。
3 中 如果被威胁利用,将对资产造成一般损害 。
2 低 如果被威胁利用,将对资产造成较小损害。
1 很低 如果被威胁利用,将对资产造成的损害可以忽略。
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的
确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施
继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全
措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威
胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安
全事件发生后对组织或系统造成的影响,如业务持续性计划。
已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系
统技术或管理上的弱点,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、
组件的弱点,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当
的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产
价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。本指南给
出了风险计算原理,以下面的范式形式化加以说明:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算
函数
excel方差函数excelsd函数已知函数 2 f x m x mx m 2 1 4 2拉格朗日函数pdf函数公式下载
;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全
事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节:
21
1、计算安全事件发生的可能性
根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用
的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事
件发生的可能性。
2、计算安全事件发生后的损失
根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失,即:
安全事件的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va )
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;
不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将
对组织的影响也考虑在内。
部分安全事件损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安
全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以
不计算其损失。
3、计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵
法通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系;
相乘法通过构造经验函数,将安全事件发生的可能性与安全事件的损失进行运算得到风险
值。附录A中列举了矩阵法和相乘法的风险计算示例,可做参考。
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可以将风险划分
为一定的级别,如划分为五级或三级,等级越高,风险越高。
评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布
状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了
相应风险的严重程度。
表11提供了一种风险等级划分方法。
22
等级 标识 描述
一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的
5 很高
正常经营,经济损失重大、社会影响恶劣。
一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成
4 高
损害。
3 中 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。
2 低 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。
1 很低 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。
风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策
略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某
些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的风险,应保持已有
的安全措施;如果风险评估值在可接受的范围外,即风险计算值高于可接受范围的上限值,
是不可接受的风险,需要采取安全措施以降低、控制风险。另一种确定不可接受的风险的办
法是根据等级化处理的结果,不设定可接受风险值的基准,达到相应等级的风险都进行处理。
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确
应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的
选择应从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。安全措施的选择与
实施应参照信息安全的相关标准进行。
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,
以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据
本指南提出的风险评估流程实施,也可做适当裁减。一般来说,安全措施的实施是以减少脆
弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估可以从脆弱性评估开始,
在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围
内,应考虑是否接受此风险或进一步增加相应的安全措施。
23
记录风险评估过程的相关文件,应符合以下要求(但不仅限于此): (1)确保文件发布前是得到批准的;
(2)确保文件的更改和现行修订状态是可识别的; (3)确保文件的分发得到适当的控制,并确保在使用时可获得有关版本的适用文件;
(4)防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文件进
行适当的标识。
对于风险评估过程中形成的相关文件,还应规定其标识、储存、保护、检索、保存期限
以及处置所需的控制。
相关文件是否需要以及详略程度由组织的管理者来决定。
风险评估文件是指在整个风险评估过程中产生的评估过程文档和评估结果文档,包括
(但不仅限于此):
(1) 风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式
和实施进度等;
(2) 风险评估程序:明确评估的目的、职责、过程、相关的文件要求,以及实施本次
评估所需要的各种资产、威胁、脆弱性识别和判断依据; (3) 资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产
识别,形成 资产识别清单,明确资产的责任人/部门; (4)重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产
名称、描述、类型、重要程度、责任人/部门等; (5) 威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、
来源、动机及出现的频率等;
(6) 脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体弱点的
名称、描述、类型及严重程度等;
(7) 已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施
确认表,包括已有安全措施名称、类型、功能描述及实施效果等; (8) 风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风
险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内
24
容;
(9) 风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控
制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所
选择安全措施的有效性;
(10) 风险评估记录:根据风险评估程序,要求风险评估过程中的各种现场记录可复现
评估过程,并作为产生歧义后解决问题的依据。
风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风
险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得风险
评估的对象、目的、要求等各方面也有所不同。具体而言,在规划设计阶段,通过风险评估
以确定系统的安全目标;在建设验收阶段,通过风险评估以确定系统的安全目标达成与否;
在运行维护阶段,要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性,从而
确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根
据该阶段的特点有所侧重地进行。
信息系统生命周期包含规划、设计、实施、运行维护和废弃等五个阶段。图4列出了生
命周期各阶段中的安全活动。
规划设计实施运行维护废弃
安全运行确定系统安装/开启确定系统使命确定安全需求和管理使命终结安全控制
将安全需求安全测试运作保证纳入规格说明审批(包括认证)(监督/审计)
获得系统审批管理更改(构建/购买)和相关安全活动
25
规划阶段风险评估的目的是识别系统的使命,以支撑系统安全需求及安全战略等。规划
阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并
根据其作用确定系统建设应达到的安全目标。
本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来系统的应用对象、应用环境、
业务状况、操作要求等方面进行分析。评估着重在以下几方面:
(1) 是否依据相关规则,建立了与业务战略相一致的信息系统安全规划,并得到最高
管理者的认可;
(2) 系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级;
(3) 系统规划中是否考虑信息系统的威胁、环境,并制定总体的安全方针;
(4) 系统规划中是否描述信息系统预期使用的信息,包括预期的应用、信息资产的重
要性、潜在的价值、可能的使用限制、对业务的支持程度等;
(5) 系统规划中是否描述所有与信息系统安全相关的运行环境,包括物理和人员的安
全配置,以及明确相关的法规、组织安全策略、习惯、专门技术和知识等。
规划阶段的评估结果应体现在信息系统整体规划或项目建议书中。
设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全
功能需求。设计阶段的风险评估结果应对
设计方案
关于薪酬设计方案通用技术作品设计方案停车场设计方案多媒体教室设计方案农贸市场设计方案
中所提供的安全功能符合性进行判断,作
为采购过程风险控制的依据。
本阶段评估中,应详细评估设计方案中对系统面临威胁的描述,将使用的具体设备、软
件等资产列表,以及这些资产的安全功能需求。对设计方案的评估着重在以下几方面:
(1) 设计方案是否符合系统建设规划,并得到最高管理者的认可;
(2) 设计方案是否对系统建设后面临的威胁进行了分析,重点分析来自物理环境和自然
的威胁,以及由于内、外部入侵等造成的威胁;
(3) 设计方案中的安全需求是否符合规划阶段的安全目标,并基于威胁的分析,制定信
息系统的总体安全策略;
(4) 设计方案是否采取了一定的手段来应对系统可能的故障;
(5) 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评
估,包括设计过程中的管理脆弱性和技术平台固有的脆弱性。
(6) 设计方案是否考虑可能随着其他系统接入而产生的风险;
26
(7) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统
性能要求的方法;
(8) 应用系统(含数据库)是否根据业务需要进行了安全设计;
(9) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发
计划及用户需求,对系统涉及的软件、硬件与网络进行分析和选型;
(10) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求
变更和设计变更后,也需要重复这项评估。
设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信
息技术安全技术标准的符合性。评估结果应体现在信息系统需求分析报告或建设实施方案
中。
实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风
险识别,并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,
在实施及验收时进行质量控制。
基于设计阶段的资产列表、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细
分,同时评估安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。
实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估,
开发与技术/产品获取过程的评估要点包括:
(1) 法律、政策、适用标准和指导方针:直接或间接影响信息系统安全需求的特定法律;
影响信息系统安全需求、产品选择的政府政策、国际或国家标准;
(2) 信息系统的功能需要:安全需求是否有效地支持系统的功能;
(3) 成本效益风险 :是否根据信息系统的资产、威胁和脆弱性的分析结果,确定在符
合相关法律、政策、标准和功能需要的前提下选择最合适的安全措施。
(4) 评估保证级别:是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足
项目建设、实施规范的要求。
系统交付实施过程的评估要点包括:
(1) 根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
(2) 根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能
否抵御安全威胁;
(3) 评估是否建立了与整体安全策略一致的组织管理制度;
27
(4) 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,
应重新进行信息系统安全策略的设计与调整。
本阶段风险评估可以采取对照实施方案和标准要求的方式,对实际建设结果进行测试、
分析。
运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的
风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。
(1) 资产评估:在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统
运行过程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识
别的补充与增加;
(2) 威胁评估:应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的
评估可以参照安全事件的发生频率;对故意威胁导致安全事件的评估主要就威胁的
各个影响因素做出专业判断; (3) 脆弱性评估:是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安
全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例
验证、渗透性测试的方式实施;安全保障设备的脆弱性评估,应考虑安全功能的实
现情况和安全保障设备本身的脆弱性;管理脆弱性评估可以采取文档、记录核查等
方式进行验证;
(4) 风险计算:根据本指南的相关方法,对重要资产的风险进行定性或定量的风险分析,
描述不同资产的风险高低状况。
运行维护阶段的风险评估应定期执行;当组织的业务流程、系统状况发生重大变更时,
也应进行风险评估。重大变更包括以下情况(但不限于):
(1) 增加新的应用或应用发生较大变更; (2) 网络结构和连接状况发生较大变更; (3) 技术平台大规模的更新;
(4) 系统扩容或改造;
(5) 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件;
(6) 组织结构发生重大变动对系统产生了影响。
当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废弃的程度,又分为部
28
分废弃和全部废弃两种。
废弃阶段风险评估着重在以下几方面:
(1) 确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件被合理地丢
弃或更换;
(2) 如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,
还应考虑系统废弃后与其他系统的连接是否被关闭;
(3) 如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估,以确定是
否会增加风险或引入新的风险;
(4) 是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。
本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方
式。对由于系统废弃可能带来的新的威胁进行分析,并改进新系统或管理模式。对废弃资产
的处理过程应在有效的监督之下实施,同时对废弃的执行人员进行安全教育。
信息系统的维护技术人员和管理人员均应该参与此阶段的评估。
根据评估发起者的不同,可以将风险评估的工作形式分为自评估和检查评估两类。自评
估是由组织自身发起的,以发现系统现有弱点,实施安全管理为目的;检查评估是被评估组
织的上级主管机关或业务主管机关发起,通过行政手段加强信息安全的重要措施。
风险评估应以自评估为主,检查评估对自评估过程记录与评估结果的基础上,验证和确
认系统存在的技术、管理和运行风险,以及用户实施自评估后采取风险控制措施取得的效果。
自评估和检查评估相互结合、互为补充。
自评估和检查评估可依托自身技术力量进行,也可委托具有相应资质的风险评估服务技
术支持方实施。风险评估服务技术支持方是指具有风险评估的专业人才,对外提供风险评估
服务的机构、组织或团体。
自评估适用于对自身的信息系统进行安全风险的识别、评价,从而进一步选择合适的控
制措施,降低被评估信息系统的安全风险。定期的风险自评估要求可以纳入整个组织安全管
理体系中。
自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以
29
降低实施的费用、提高信息的保密性,加强信息系统相关人员的安全意识,但可能由于缺乏
风险评估的专业技能,其缺结果不够深入准确;同时,受到组织内部各种因素的影响,结果
缺乏一定的客观性,从而降低评估结果的可信程度。委托风险评估服务技术支持方实施的评
估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及
业务了解的限制,对被评估系统的了解,尤其是在业务方面的特殊要求存在一定的局限。但
由于引入第三方本身就是一个风险因素,因此,对其背景与资质、评估过程与结果的保密要
求协商等方面应进行控制。
此外,为保证风险评估的实施,与系统相连的相关方也应配合,以防止给其他方的使用
带来困难或引入新的风险。
检查评估的实施可以多样化,既可以依据本指南的要求,实施完整的风险评估过程,也
可以在对自评估的实施过程、风险计算方法、评估结果等重要环节的科学合理性进行分析的
基础上,对关键环节或重点内容实施抽样评估。
检查评估应覆盖以下内容(但不限于):
(1) 自评估方法的检查;
(2) 自评估过程记录检查;
(3) 自评估结果跟踪检查;
(4) 现有安全措施的检查;
(5) 系统输入输出控制的检查;
(6) 软硬件维护制度及实施状况的检查;
(7) 突发事件应对措施的检查;
(8) 数据完整性保护措施的检查;
(9) 审计追踪的检查。
检查评估一般由主管机关发起,通常都是定期的、抽样进行的评估模式,旨在检查关键
领域、或关键点的信息安全风险是否在可接受的范围内。鉴于检查评估的性质,在检查评估
实施之前,一般应确定适用于整个评估工作的评估要求或规范,以适用于所有被评估单位。
由于检查评估是由被评估方的主管机关实施的,因此,其评估结果具有一定的权威性;
但单次评估的检查时间比较短,两次评估的间隔时间比较长,很难对信息系统的整体风险状
况做出完整的评价,只能就特定的关键点检查被评估系统是否达到要求。此外,检查评估符
合要求并不表明系统的整体安全状况已经完全达到要求。
30
检查评估也可以委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单
位负责。由于检查评估代表了主管机关,涉及评估对象也往往较多,因此,要对实施检查评
估机构的资质进行严格管理。
31
对风险进行计算,需要确定影响风险要素、要素之间的组合方式、以及具体的计算方法,
将风险要素按照组合方式使用具体的计算方法进行计算,得到风险值。
目前通用的风险评估中风险值计算涉及的风险要素一般为资产、威胁、和脆弱性(其关
系如正文图1所示);这些要素的组合方式如正文5.6.1节风险计算原理中指出,由威胁和脆弱性确定安全事件发生可能性,由资产和脆弱性确定安全事件的损失,以及由安全事件发
生的可能性和安全事件的损失确定风险值。目前,常用的计算方法是矩阵法和相乘法。
附录A首先说明矩阵法和相乘法的原理,然后基于5.6.1风险计算原理中指出的风险要素和要素组合方式,以示例的形式说明采用矩阵法和相乘法计算风险值的过程。
在实际应用中,可以将矩阵法和相乘法结合使用。
矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定二维计算矩阵,
矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值
在矩阵中进行比对,行列交叉处即为所确定的计算结果。
即
z,f(x,y)f,函数可以采用矩阵法。
矩阵法的原理是:
,x为正整数, x,{x,x?,,x?,,x},1,i,m12imi
y,{y,y,?,y,?,y},1,y,n,为正整数, y12jnj
以要素yy和要素的取值构建一个二维矩阵,如表A.1所示。矩阵行值为要素的所有x
取值,矩阵列值为要素的所有取值。矩阵内个值即为要素z的取值,m,nx
,为正整数。 z,{z,z,?,z,?,z},1,i,m,1,j,nz1112ijmnij
32
y yyy… … yn12j
zzz xz 11121n11j
zzz xz21222n22j
x
zzz xzi2ini1iij
zzz xzm1m1mnmmj
对于的计算,可以采取以下计算公式, zij
, z,x,yijij
或, z,x,yijij
或,,其中和为正常数。 z,,,x,,,y,ijij
的计算需要根据实际情况确定,矩阵内值的计算不一定遵循统一的计算公式,但zzijij
必须具有统一的增减趋势,即如果f是递增函数,值应随着x与的值递增,反之亦然。 zyiijj
矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良
好灵活性。
在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆
弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等,同时需要整体
掌握风险值的确定,因此矩阵法在风险分析中得到广泛采用。
本节中,基于本指南5.6.1节风险计算原理,具体说明使用矩阵法计算风险的过程。
1、条件
共有三个重要资产,资产A1、资产A2和资产A3;
资产A1面临两个主要威胁,威胁T1和威胁T2;
33
资产A2面临一个主要威胁,威胁T3;
资产A3面临两个主要威胁,威胁T4和T5;
威胁T1可以利用的资产A1存在的两个脆弱性,脆弱性V1和脆弱性V2;
威胁T2可以利用的资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7;
威胁T4可以利用的资产A3存在的一个脆弱性,脆弱性V8;
威胁T5可以利用的资产A3存在的一个脆弱性,脆弱性V9。
资产价值分别是:资产A1=2,资产A2=3,资产A3=4;
威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=3,威胁T5=3; 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性V4=4,脆弱性V5=2,脆弱性V6=1,脆弱性V7=1,脆弱性V8=2,脆弱性V9=3。
2、计算重要资产的风险值
三个资产的风险值计算过程类似,下面以资产A为例使用矩阵法计算风险值。 资产A1面临的主要威胁包括威胁T1和威胁T2,威胁T1可以利用的资产A1存在的脆
弱性包括两个,威胁T2可以利用的资产A1存在的脆弱性包括三个,则资产A1存在的风险
值包括五个。五个风险值的计算过程类似,下面以资产A1面临的威胁T1可以利用的脆弱性
V1为例,计算安全风险值。
(1)计算安全事件发生可能性
威胁发生频率:威胁T1=2;
脆弱性严重程度:脆弱性V1=2。
首先构建安全事件发生可能性矩阵,如表A.2所示。
脆弱性严重程度 1 2 3 4 5
1 1 2 4 6 7 威胁发生 2 3 4 6 8 9 频率 3 4 5 7 9 10
4 5 7 8 10 11
5 6 8 9 12 13
34
然后根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可
能性=4。
(2)计算安全事件的损失
资产价值:资产A1=2;
脆弱性严重程度:脆弱性V1=2。
首先构建安全事件损失矩阵,如表A.3所示。
脆弱性严重程度 1 2 3 4 5
1 1 2 3 4 5 资产价值 2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
5 5 6 7 8 9 然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失=3。
(3)计算风险值
安全事件发生可能性=4;安全事件损失=3。
首先构建风险矩阵,如表A.4所示。
可能性 1 2 3 4 5
1 1 2 3 5 7
2 3 4 6 7 9 损失 3 4 5 7 8 10
4 5 6 8 10 11
5 7 8 10 11 13
35
然后根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定安全事件风险值
=8。
按照上述方法进行计算,得到资产A的其它的风险值,以及资产A2和资产A3的风险值。然后再进行风险结果等级判定。
3、结果判定
确定风险等级划分 如表A.5所示。
风险值 1-6 7-12 13-18 19-23 24-25
风险等级 1 2 3 4 5
根据上述计算方法,以此类推,得到三个重要资产的风险值,并根据风险等级划分表,
确定风险等级,结果如表A.6所示。
资产 威胁 脆弱性 风险值 风险等级
资产A1 威胁T1 脆弱性V1 8 2
威胁T1 脆弱性V2 10 2
威胁T2 脆弱性V3 6 1
威胁T2 脆弱性V4 19 4
威胁T2 脆弱性V5 9 2
资产A2 威胁T3 脆弱性V6 13 3
威胁T3 脆弱性V7 15 3
资产A3 威胁T4 脆弱性V8 19 4
威胁T5 脆弱性V922 4
重要资产的风险值等级柱状图如图A.1所示。
36
5
4
3
2
1
0
资产A1资产A2资产A3
z,f(x,y)f相乘法主要用于两个或多个要素值确定一个要素值的情形。即,函数可
以采用相乘法。
相乘法的原理是:
z,f(x,y),x,y。
当,f为增量函数时,可以为直接相乘,也可以为相乘后取模等,例如:
z,f(x,y),x,y,
或z,f(x,y),x,y,
,,或z,f(x,y),x,y,
,,x,y
z,f(x,y),,,或等。 x,y,,,,
相乘法提供一种定量的计算方法,直接使用两个要素值进行相乘得到另一个要素的值。
相乘法的特点是简单明确,直接按照统一公式计算,即可得到所需结果。
在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆
弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值,因此相乘法在风
37
险分析中得到广泛采用。
本节中,基于本指南5.6.1节风险计算原理,具体说明使用相乘法计算风险的过程。
1、条件
共有两个重要资产,资产A1和资产A2;
资产A1面临三个主要威胁,威胁T1、威胁T2和威胁T3;
资产A2面临两个主要威胁,威胁T4和威胁T5;
威胁T1可以利用的资产A1存在的一个脆弱性,脆弱性V1;
威胁T2可以利用的资产A1存在的两个脆弱性,脆弱性V2、脆弱性V3;
威胁T3可以利用的资产A1存在的一个脆弱性,脆弱性V4;
威胁T4可以利用的资产A2存在的一个脆弱性,脆弱性V5;
威胁T5可以利用的资产A2存在的一个脆弱性,脆弱性V6。
资产价值分别是:资产A1=4,资产A2=5;
威胁发生频率分别是:威胁V1=1,威胁V2=5,威胁V3=4,威胁V4=3,威胁V5=4;
脆弱性严重程度分别是:脆弱性V1=3,脆弱性V2=1,脆弱性V3=5,脆弱性V4=4,脆弱性V5=4,脆弱性V6=3。
2、计算重要资产的风险值
两个资产的风险值计算过程类似,下面以资产A为例使用矩阵法计算风险值。
资产A1面临的主要威胁包括威胁T1、威胁T2和威胁T3,威胁T1可以利用的资产A1存在的脆弱性有一个,威胁T2可以利用的资产A1存在的脆弱性有两个,威胁T3可以利用的资产A1存在的脆弱性有一个,则资产A1存在的风险值包括四个。四个风险值的计算过程
类似,下面以资产A1面临的威胁T1可以利用的脆弱性V1为例,计算安全风险值。其中计
算公式使用:
,并对的计算值四舍五入取整得到最终结果。 zz,f(x,y),x,y
(1)计算安全事件发生可能性
威胁发生频率:威胁A1=1;
脆弱性严重程度:脆弱性T1=3。
计算安全事件发生可能性,安全事件发生可能性=。 1,3,3
(2)计算安全事件的损失
38
资产价值:资产A1=4;
脆弱性严重程度:脆弱性V1=3。
计算安全事件的损失,安全事件损失=。 4,3,12
(3)计算风险值
安全事件发生可能性=2;
安全事件损失=3。
安全事件风险值=。 3,12,6
按照上述方法进行计算,得到资产A1的其它的风险值,以及资产A2和资产A3风险值。然后再进行风险结果等级判定。
3、结果判定
确定风险等级划分如表A.7所示。
风险值 1-5 6-10 11-15 16-20 21-25
风险等级 1 2 3 4 5
根据上述计算方法,以此类推,得到两个重要资产的风险值,并根据风险等级划分表,
确定风险等级,结果如表A.8所示。
资产 威胁 脆弱性 风险值 风险等级
资产A1 威胁T1 脆弱性V1 6 2
威胁T2 脆弱性V2 4 1
威胁T2 脆弱性V3 22 5
威胁T3 脆弱性V4 16 4
资产A2 威胁T4 脆弱性V5 15 3
威胁T5 脆弱性V6 13 3
39
重要资产的风险值等级柱状图如图A.2所示。 5
4
3
2
1
0
资产A1资产A2
40
风险评估工具是风险评估的辅助手段,是保证风险评估结果可信度的一个重要因素。风
险评估工具的使用不但在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知
识进行集中,使专家的经验知识被广泛的应用。
根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成风险评
估与管理工具、系统基础平台风险评估工具、风险评估辅助工具三类。风险评估与管理工具
是一套集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方
法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。
系统基础平台风险评估工具主要用于对信息系统的主要部件(如操作系统、数据库系统、网
络设备等)的弱点进行分析,或实施基于弱点的攻击。风险评估辅助工具则实现对数据的采
集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。
风险评估与管理工具大部分是基于某种标准方法或某组织自行开发的评估方法,可以有
效地通过输入数据来分析风险,给出对风险的评价并推荐控制风险的安全措施。
风险评估与管理工具通常建立在一定的模型或算法之上,风险由重要资产、所面临的威
胁以及威胁所利用的弱点三者来确定;也有的通过建立专家系统,利用专家经验进行分析,
给出专家结论。这种评估工具需要不断进行知识库的扩充。
此类工具实现了对风险评估全过程的实施和管理,包括:被评估信息系统基本信息获取、
资产信息获取、脆弱性识别与管理、威胁识别、风险计算、评估过程与评估结果管理等功能。
评估的方式可以通过问卷的方式,也可以通过结构化的推理过程,建立模型、输入相关信息,
得出评估结论。通常这类工具在对风险进行评估后都会有针对性地提出风险控制措施。
根据实现方法的不同,风险评估与管理工具可以分为三类:
(1) 基于信息安全标准的风险评估与管理工具
目前,国际上存在多种不同的风险分析标准或指南,不同的风险分析方法侧重点不同,
例如NIST SP 800-30 、BS7799、ISO/IEC 13335 等。以这些标准或指南的内容为基础,分
41
别开发相应的评估工具,完成遵循标准或指南的风险评估过程。
(2) 基于知识的风险评估与管理工具
基于知识的风险评估与管理工具并不仅仅遵循某个单一的标准或指南,而是将各种风险
分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。它
还涉及来自类似组织(包括规模、商务目标和市场等)的最佳实践,主要通过多种途径采集
相关信息,识别组织的风险和当前的安全措施;与特定的标准或最佳实践进行比较,从中找
出不符合的地方;按照标准或最佳实践的推荐选择安全措施以控制风险。
(3) 基于模型的风险评估与管理工具
基于标准或基于知识的风险评估与管理工具,都使用了定性分析方法或定量分析方法,
或者将定性与定量相结合。定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、
经验和直觉,或者业界的标准和实践,为风险的各个要素定级。定性分析法操作相对容易,
但也可能因为评估者经验和直觉的偏差而使分析结果失准。定量分析则对构成风险的各个要
素和潜在损失水平赋予数值或货币金额,通过对度量风险的所有要素进行赋值,建立综合评
价的数学模型,从而完成风险的量化计算。定量分析方法准确,但前期建立系统风险模型较
困难。定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定
量的方法完成。
基于模型的风险评估与管理工具是在对系统各组成部分、安全要素充分研究的基础上,
对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评
价的结果。
系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。脆弱性扫描工具又
称为安全扫描器、漏洞扫描仪等,主要用于识别网络、操作系统、数据库系统的脆弱性。通
常情况下,这些工具能够发现软件和硬件中已知的弱点,以决定系统是否易受已知攻击的影
响。
脆弱性扫描工具是目前应用最广泛的风险评估工具,主要完成操作系统、数据库系统、
网络协议、网络服务等的安全脆弱性检测功能,目前常见的脆弱性扫描工具有以下几种类型:
(1) 基于网络的扫描器:在网络中运行,能够检测如防火墙错误配置或连接到网络上的
易受攻击的网络服务器的关键漏洞。
(2) 基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用
42
户行为风险,如密码强度不够,也可实施对文件系统的检查。
(3) 分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理
点三部分构成,用于企业级网络的脆弱性评估,分布和位于不同的位置、城市甚至
不同的国家。
(4) 数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识
别数据库系统中潜在的弱点。 渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问
者利用的可能性。这类工具通常包括黑客工具、脚本文件。渗透性测试的目的是检测已发现
的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,
并可能会对被评估系统的运行带来一定影响。 科学的风险评估需要大量的实践和经验数据的支持,这些数据的积累是风险评估科学性
的基础。风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,帮助完成现状分
析和趋势判断,如:
(1) 检查列表:检查列表是基于特定标准或基线建立的,对特定系统进行审查的项目条
款。通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差
距。
(2) 入侵监测系统:入侵监测系统通过部署检测引擎,收集、处理整个网络中的通信信
息,以获取可能对网络或主机造成危害的入侵攻击事件;帮助检测各种攻击试探和
误操作;同时也可以作为一个警报器,提醒管理员发生的安全状况。
(3) 安全审计工具:用于记录网络行为,分析系统或网络安全现状;它的审计记录可以
作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。
(4) 拓扑发现工具:通过接入点接入被评估网络,完成被评估网络中的资产发现功能,
并提供网络资产的相关信息,包括操作系统版本、型号等。拓扑发现工具主要是自
动完成网络硬件设备的识别、发现功能。 (5) 资产信息收集系统:通过提供调查表形式,完成被评估信息系统数据、管理、人员
等资产信息的收集功能,了解到组织的主要业务、重要资产、威胁、管理上的缺陷、
采用的控制措施和安全策略的执行情况。此类系统主要采取电子调查表形式,需要
被评估系统管理人员参与填写,并自动完成资产信息获取。
43
(6) 其他:如用于评估过程参考的评估指标库、知识库、漏洞库、算法库、模型库等。
44
国务院信息化工作办公室综合组 2006年2月28日印
45
浙公网安备 33021202002483