风险评估服务
1、风险评估准备
���� 风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应:
- 确定风险评估的目标;
- 确定风险评估的范围;
- 组建适当的评估管理与实施团队;
- 进行系统调研;
- 确定评估依据和方法;
- 制定风险评估方案;
- 获得最高管理者对风险评估工作的支持。
2、资产识别
���� 资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。
3、威胁识别与分析
����� 威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和无意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
������� 结合信息系统实际情况,对采集到的威胁数据进行分类,形成威胁分类表。具体分为操作失误、滥用授权、行为抵赖等。
4、脆弱性识别与分析
������ 脆弱性的识别可以以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可以分物理、网络、系统、应用等层次进行识别,然后与资产、威胁结合起来。
������� 脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。脆弱性识别内容包括:
- 物理脆弱性检测
- 网络脆弱性检测
- 系统脆弱性检测
- 应用脆弱性检测
- 管理脆弱性检测
- 木马病毒专项检测
- 渗透与攻击性专项检测
- 安全防护效果综合验证
5、风险分析阶段
(1)资产赋值
����� 对被评估对象信息系统信息资产进行赋值,形成资产赋值表。按保密性、完整性和可用性分别对资产进行赋值,通过综合评定,将资产分为1-5五个级别,级别越高说明资产越重要,被评估对象信息系统管理人员共同制定资产赋值标准,以保证资产赋值的有效性和一致性。
(2)威胁赋值
������ 对威胁进行赋值,形成威胁赋值表。威胁是一种对资产构成潜在破坏的可能性因素,是客观存在的。根据威胁的类型及威胁出现的概率将威胁的权值分为1-5五个级别,等级越高威胁可能性越大,被评估对象信息系统管理人员共同制定威胁赋值标准,以保证威胁等级赋值的有效性和一致性。
(3)脆弱性赋值
�������� 脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害。也可以从物理环境、设备和系统、网络、业务/应用等层次进行识别,然后与资产、威胁结合起来。
������� 对脆弱性被威胁利用的可能性进行评估。最终脆弱性的赋值采用定性定量结合的相对等级的方式。根据对资产损害程度、技术实现的难易程度、脆弱性流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性的等级建议划分为五级,从1到5分别代表5个级别的某种资产脆弱程度。等级越大,脆弱程度越高。
(4)已有的安全措施确认
����� 对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。
�������� 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生对信息系统造成的影响,如业务持续性计划。
�������� 已有安全措施的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略,不必要描述具体的端口控制策略、用户控制策略,只需要表明采用的访问控制措施。
(5)风险计算
计算安全事件发生的可能性
������ 在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)以及资产吸引力等因素来判断安全事件发生的可能性。
计算安全事件发生后的损失
计算风险值
6、综合风险分析
������� 在完成以上各项分析工作后,进一步分析威胁源采用何种威胁方法,利用了系统的何种脆弱性,对哪一类资产产生了什么样的影响,并描述采取防范威胁,减少脆弱性的对策,同时将风险量化,并形成综合风险评估报告。
����� 风险等级划分为五级,等级越高,风险越高。安全专家将根据所采用的风险计算方法为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。
表:风险等级划分表
| 等级 |
标识 |
描述 |
| 5 |
很高 |
一旦发生将使系统遭受非常严重破坏,组织利益受到非常严重损失 |
| 4 |
高 |
如果发生将使系统遭受严重破坏,组织利益受到严重损失 |
| 3 |
中 |
发生后将使系统受到较重的破坏,组织利益受到损失 |
| 2 |
低 |
发生后将使系统受到的破坏程度和利益损失一般 |
| 1 |
很低 |
即使发生只会使系统受到较小的破坏 |
