“没有网络安全就没有国家安全”
“国家关键信息基础设施面临较大的风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,党们当然也不例外。”
信息安全风险评估简称“风险评估”,是指依据有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于企业信息安全管理体系建设的过程。通过风险评估识别企业所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在企业可以接受的范围之内。
“信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统的分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险、将风险控制在可接受的水平、最大限度的保障信息安全提供必要的科学依据。”
----国信办[2006]5号文件
06
风险分析
风险分析是在完成了资产识别、威胁识别、脆弱性识别以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并结合资产安全属性受到破坏后给业务带来的影响来得出资产的安全风险。
风险分析过程的核心问题是如何计算风险。风险可以看成是一个函数,其参数包括资产的价值、威胁导致负面影响的可能性、脆弱性被利用的难易程度以及已有安全措施的有效性。
风险值的计算过程可以分为以下几步:
第一步:计算“安全事件发生的可能性”
安全事件发生的可能性=L(威胁出现频率,脆弱性严重程度)=L(T,V)
第二步:计算“安全事件的损失”
安全事件的损失=F(资产价值,脆弱性严重程度)=F(I,V)
第三步:计算“风险值”
风险值G=(安全事件发生的可能性,安全事件的损失)=G(L,F)
风险值的计算方法可以分为两种:矩阵法、相乘法。
矩阵法:
矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。
可以采用矩阵法。矩阵构造图如下:
矩阵法步骤:
² 计算安全事件发生可能性
² 计算安全事件发生可能性值等级
² 计算安全事件损失
² 计算安全事件损失等级
² 计算风险值
² 确定风险等级
矩阵法示例:
资产A1面临的威胁有T1和T2,T1可以利用资产A1存在的脆弱性有2个,即V1和V2,T2可以利用资产A1存在的脆弱性有3个,即V3、V4和V5,因此资产A1存在风险值有5个。
如果A1=4,V1=2,根据下图构造的矩阵图判断,安全事件损失值为12,安全事件损失等级为3。
相乘法:
相乘法提供一种定量的计算方法,直接使用两个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确,直接按照统一公式计算,即可得到所需结果。在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值,因此相乘法在风险分析中得到广泛采用。
矩阵法步骤:
² 计算安全事件发生可能性
² 计算安全事件损失
² 计算风险值
相乘法示例:
两个资产的风险值计算过程类似,下面以资产A为例使用矩阵法计算风险值。资产A1面临的主要威胁包括威胁T1、威胁T2和威胁T3,威胁T1可以利用的资产A1存在的脆弱性有一个,威胁T2可以利用的资产A1存在的脆弱性有两个,威胁T3可以利用的资产A1存在的脆弱性有一个,则资产A1存在的风险值包括4个。
下面以资产A1面临的威胁T1可以利用的脆弱性V1为例,计算安全风险值:
其中计算公式使用:
07
风险评价
在风险管理领域,风险评价被定义为“将风险分析的结果与风险准则相比较,以决定风险或其大小是否可接受或可容忍的过程”。风险评价的目的是为企业或组织有效控制各类风险,从源头控制事故和危害发生的基础条件,从而使事故频率降到最低,危害损失降到最少。
08
风险决策内容
风险评价利用风险分析过程中所获得的对风险的认识,来对未来的行动进行决策。道德、法律、资金以及包括风险偏好在内的因素都是决策的参考信息。决策内容主要包括:
按照安全工程领域的“最低合理可行”原则可将风险评价结果划分为三个区域:
09
残余风险及评价
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据提出的风险评估流程实施,也可做适当裁减。一般来说,安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估可以从脆弱性评估开始,再对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
10
风险评估文档
在对风险进行确定后,应给出风险评估文档。风险评估文档是风险评估工作的重要内容,是对整个风险评估过程和结果的总结。同时,风险评估报告可作为组织从事其他信息安全管理工作的重要参考内容,如信息安全核查、信息系统等级保护测评、信息安全建设等。风险评估文档是在整个风险评估过程中产生的评估过程文档和评估结果文档,包括(但不仅限于此):
² 风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等;
² 风险评估程序:明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据;
² 资产识别清单:根据组织在风险评估程序文档中所确定的资产分类方法进行资产识别,形成资产识别清单,明确资产的责任人/部门;
² 重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等;
² 威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等;
² 脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、类型及严重程度等;
² 已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等;
² 风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容;
² 风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性;
² 风险评估记录:根据风险评估程序,要求风险评估过程中的各种现场记录可复现评估过程,并作为产生歧义后解决问题的依据。
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总部地址:北京冠程科技有限公司
北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎扫描关注我们,及时了解更多关于网络安全相关知识