(一)风险评估准备
风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估前,应该做好如下准备。
- 确定风险评估的目标。
- 确定风险评估的范围。
- 组建适当的评估管理与实施团队。
- 进行系统调研。
- 确定评估依据和方案。
- 制定风险评估方案。
- 获得最高管理者对风险评估工作的支持。
(二)资产识别
机密性、完整性和可用性是评价资产的3个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这3个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同价值,而资产面临的威胁、存在的脆弱性以及采用的安全措施都将对资产的安全属性的达成程度产生影响。为此,应对组织中的资产尽行识别。
在一个组织中,资产有多种表现形式;同样的2个资产也因为属于不同的信息系统而有不同重要性,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。因此,首先需要将信息系统及相关资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
完成资产分类后,分别从机密性、完整性、可用性3各方面入手,根据资产在各个安全属性上的不同要求,将资产赋值为不同的等级,分别对应资产在机密性(完整性、可用性)上应达成的不同程度或者机密性(完整性、可用性)缺失时对组织的影响。通常将资产赋值为5(很高)、4(高)、3(中等)、2(低)、1(很低)这5个级别。
资产价值应依据资产在机密性、完整性、可用性上赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产的机密性、完整性、可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可以根据组织的业务特点确定。
(三)威胁识别
威胁可以通过威胁主体、动机、资源、途径等多种属性来描述,造成威胁的因素可以分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性、可用性等方面造成损害;也可能是偶发的或蓄意的事件。可以从来源、表现形式等方面对威胁进行分类。
威胁是别的重要工作是进行威胁赋值,即判断威胁出现的频率,评估者应根据经验(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各类威胁出现的频率。
1.以往安全事件报告中出现过的威胁及其频率统计。
2.实际环境中通过检测工具以及各种日志发现的威胁及其威胁频率的统计。
3.近一两年来国际组织发布的对整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
可以对威胁出现的频率进行等级化处理,不同的等级分别代表威胁出现频率的高低。等级数值越大,威胁出现的频率越高。在实际的评估中,威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可。
(四)脆弱性识别
脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件的发生,并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定的条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并针对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联也应该考虑在内。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些脆弱性,以确定这一方面脆弱性的严重程度。对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,资产的脆弱性赋值还应该参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度可以进行等级化处理,不同等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
(五)已有安全措施的确认
在识别脆弱性的同时,评估人员应对已采取安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全和保护性安全措施2种。预防性安全措施可以降低威胁利用脆弱性造成安全事件的可能性,如入侵检测系统;保护安全措施可以减少因安全事件发生后对组织或系统造成的影响。
已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用的将减少系统技术或管理上的脆弱性,但安全措施并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合,为风险处理计划制定提供依据和参考。
(六)风险分析
风险估算是对风险发生的可能性、风险的性质、风险发生后可能造成的后果和影响进行计算和判定,并确定风险处理计划和评估残余风险。通过对风险涉及的各个要素(资产、脆弱性、威胁、已有安全措施等)的度量进行计算,通过一定的方法得到风险发生的可能性及其后果,风险计算明确了风险的大小。风险计算方法定量、定性和半定量3种方法。
- 定量风险分析
定量风险分析方法是使用数值来描述风险发生的可能性及其影响。定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字,这些元素可能包括防护措施的成本、资产价值、业务影响、威胁频率、防护措施的有效性、漏洞利用可能性等,在上述所有元素被量化时,整个过程就可以被称为是被定量的。
《评估规范》给出了风险的计算范式:
风险值=R(a,T,V)=R(L(T,V),F(la,Va))
其中,R表示安全风险计算函数,a表示资产,T表示威胁,V表示脆弱性,la表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后产生的损失。
由此,《评估规范》指出了3个关键计算环节。
(1)计算安全事件发生的可能性
安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V)
(2)计算安全事件发生后的损失
安全事件的损失=F(资产价值,脆弱性严重程度)=F(Ia, Va)
(3)计算风险值
风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T, V), F(Ia, Va))
风险的计算范式表明,风险估算涉及的风险要素一般为资产、威胁和脆弱性。组合这些要素来度量风险的方式有多种。目前,常用的计算方法是矩阵法和相乘法。
矩阵法主要适用于由2个要素值确定一个要素值的情形。首先需要确定二维计算矩阵,矩阵内各个要素值根据具体情况和函数递增情况采用数学方法确定,然后将2个要素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。
矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良好的灵活性。而相乘法提供一种定量的计算方法,直接使用2个要素值进行相乘得到另一个要素的值。相乘法的特点是简单明确,直接按照统一公式计算,即可得到所需结果。这2种常用计算方法在风险分析中都得到了广泛采用。
2、定性风险分析
定性风险分析方法使用文字或文字分级来描述风险的影响及发生可能性,是最简单也是最常用的分析方法,通常使用检查表及主观的风险分级,如高、中、低。具体的定性分析技术包括判断、最佳实践、直觉和经验。
3、半定量风险分析
目前,没有严格的定量分析的计算公式,定量分析的数字往往并不精确,且在积累了足够多的样本后,才能比较精确地估算事件发生的概率和发生后的损失。因此,在实践中,定量和定性的风险分析方法要综合使用,即采取半定量风险分析方法,将文字分级与量化分级相结合。半定量风险分析方法常常用在不能定量分析方法或为了降低定性分析方法的主观因素时使用。
完成风险计算和判定后,对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理和技术2个方面考虑。
对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险可能在选择适当的安全措施后,残余风险的结果仍然处于不可接受的范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
