1、信息安全风险评估 标准附录介绍 风险计算和评估工具,标准起草组 2006年8月7日,主要内容,附录A风险计算方法 附录B风险评估工具,附录A风险计算方法,风险计算矩阵法 矩阵法原理 计算示例 风险计算相乘法 相乘法原理 计算实例,风险计算矩阵法基本原理,矩阵法概念 矩阵法适用范围 矩阵法构造方式 矩阵法特点,矩阵法概念,Z=f(x,y)。函数f采用矩阵形式表示。以要素x和要素y的取值构建一个二维矩阵,矩阵内m*n个值即为要素Z的取值,矩阵法适用范围,矩阵法主要适用于由两个要素值确定一个要素值的情形。 在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆弱性确定安全事件发
2、生可能性值、由资产和脆弱性确定安全事件的损失值等,同时需要整体掌握风险值的确定,因此矩阵法在风险分析中得到广泛采用。,矩阵法构造方式,首先需要确定二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。 矩阵的计算需要根据实际情况确定,矩阵内值的计算不一定遵循统一的计算公式,但必须具有统一的增减趋势,即如果是递增函数,Z值应随着x与y的值递增,反之亦然。,矩阵法特点,矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良好灵活性。,矩阵法计算示例,资产: 共有三个重要资产,资产A1、资
3、产A2和资产A3;资产价值分别是:资产A1=2,资产A2=3,资产A3=5; 威胁: 资产A1面临两个主要威胁,威胁T1和威胁T2;资产A2面临一个主要威胁,威胁T3;资产A3面临两个主要威胁,威胁T4和T5; 威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁T4=5,威胁T5=4; 脆弱性: 威胁T1可以利用的资产A1存在的两个脆弱性,脆弱性V1和脆弱性V2; 威胁T2可以利用的资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7; 威胁T4可以利用的资产A3存在的一个脆弱性,脆弱性V8; 威胁T
4、5可以利用的资产A3存在的一个脆弱性,脆弱性V9。 脆弱性严重程度分别是:脆弱性V1=2,脆弱性V2=3,脆弱性V3=1,脆弱性V4=4,脆弱性V5=2,脆弱性V6=4,脆弱性V7=2,脆弱性V8=3,脆弱性V9=5。,风险分析原理,示例计算过程,风险计算过程 (1)计算安全事件发生可能性 (2)计算安全事件造成的损失 (3)计算风险值 (4)结果判定 以下以资产A1面临的威胁T1可以利用的脆弱性V1为例,计算安全风险值 。,计算安全事件发生可能性,(1)构建安全事件发生可能性矩阵; (2)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性值 ; (3)对计算得到的安
5、全风险事件发生可能性进行等级划分 。,计算安全事件发生可能性,条件,原理,计算安全事件的损失,(1)构建安全事件损失矩阵 ; (2)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值 ; (3)对计算得到的安全事件损失进行等级划分 。,计算安全事件的损失,条件,原理,计算风险值,(1)构建风险矩阵 ; (2)根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定安全事件风险 ;,计算风险值,风险结果判定,根据预设的等级划分规则判定风险结果。 依此类推,得到所有重要资产的风险值,并根据风险等级划分表,确定风险等级。,风险值等级柱状图,矩阵法风险计算过程小结,计算安全事件发生可
6、能性 (1)构建安全事件发生可能性矩阵; (2)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性值 ; (3)对计算得到的安全风险事件发生可能性进行等级划分 。 计算安全事件的损失 (1)构建安全事件损失矩阵 ; (2)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值 ; (3)对计算得到的安全事件损失进行等级划分 。 计算风险值 (1)构建风险矩阵 ; (2)根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定安全事件风险 ; 风险结果判定,风险计算相乘法基本原理,相乘法原理: ,当f为增量函数时, 可以为直接相乘,也可以为相乘后取模等 。
7、 相乘法的特点:简单明确,直接按照统一公式计算,即可得到所需结果。 相乘法适用范围:在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,因此相乘法在风险分析中得到广泛采用。,风险计算相乘法示例,资产: 共有两个重要资产,资产A1和资产A2; 资产价值分别是:资产A1=4,资产A2=5; 威胁: 资产A1面临三个主要威胁,威胁T1、威胁T2和威胁T3; 资产A2面临两个主要威胁,威胁T4和威胁T5; 威胁发生频率分别是:威胁T1=1,威胁T2=5,威胁T3=4,威胁T4=3,威胁T5=4; 脆弱性: 威胁T1可以利用的资产A1存在的一个脆弱性,脆弱性V1; 威胁T2可以利用的资产A1存
8、在的两个脆弱性,脆弱性V2、脆弱性V3; 威胁T3可以利用的资产A1存在的一个脆弱性,脆弱性V4; 威胁T4可以利用的资产A2存在的一个脆弱性,脆弱性V5; 威胁T5可以利用的资产A2存在的一个脆弱性,脆弱性V6。 脆弱性严重程度分别是:脆弱性V1=3,脆弱性V2=1,脆弱性V3=5,脆弱性V4=4,脆弱性V5=4,脆弱性V6=3。,示例计算过程,以资产A1面临的威胁T1可以利用的脆弱性V1为例,计算安全风险值 。 计算公式使用:风险计算过程: (1)计算安全事件发生可能性 (2)计算安全事件的损失 (3)计算风险值 (4)结果判定,示例计算过程,(1)计算安全事件发生可能性威胁发生频率:威胁
9、T1=1;脆弱性严重程度:脆弱性V1=3。安全事件发生可能性= (2)计算安全事件的损失资产价值:资产A1=4;脆弱性严重程度:脆弱性V1=3。计算安全事件的损失,安全事件损失= (3)计算风险值安全事件发生可能性=2;安全事件损失=3。安全事件风险值= (4)确定风险等级,风险结果等级柱状图,相乘法风险计算过程小结,计算安全事件发生可能性 (1)安全事件发生可能性=威胁发生频率值 脆弱性严重程度值; (2)对计算得到的安全风险事件发生可能性进行等级划分 。 计算安全事件的损失 (1)安全事件损失值=资产价值 脆弱性严重程度值 ; (2)对计算得到的安全事件损失进行等级划分 。 计算风险值 (
10、1)安全事件风险值=安全事件发生可能性 安全事件损失; 风险结果判定,附录B风险评估工具,根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成 : 风险评估与管理工具 :集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析 。 系统基础平台风险评估工具 :主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。 风险评估辅助工具 :实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。,风险评估与
11、管理工具,基于信息安全标准的风险评估与管理工具 依据标准或指南的内容为基础,开发相应的评估工具,完成遵循标准或指南的风险评估过程。如ASSET、CC Toolbox等。 基于知识的风险评估与管理工具 并不仅仅遵循某个单一的标准或指南,而是将各种风险分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。如COBRA 、MSAT、 RISK 等。 基于模型的风险评估与管理工具 对系统各组成部分、安全要素充分研究的基础上,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评价的结果。 如RA、CORA等。,常用风险评估与管理工具对比,评估工具举例:
12、COBRA,COBRA:Consultative Objective Bi-Functional Risk Analysis 由C&A Systems Security Ltd推出的自动化风险管理工具 。 COBRA采用调查表的形式,在PC机上使用,基于知识库,类似专家系统的模式。 COBRA不仅具有风险管理功能,还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。,COBRA的风险定性分析方法,COBRA风险评估过程,1、问题表构建:通过知识库模块构建问题表,采用手动或自动方式从各个模块中选择所需的问题,构建针对具体组织进行评估的问题表。 2、风险评估:通过完成问题表实现
13、整个风险评估过程。问题表的不同模块由系统不同人完成,各个模块可以不同时完成,但是评估结果是在全部问题表答案的基础上形成的。 3、报告生成:通过问题表的回答生成报告,报告包括建议采取的安全措施、解决方案建议、对于系统相关的每类风险进行分析排序、对于风险给系统带来的影响分析、风险与系统潜在影响的联系分析。,系统基础平台风险评估工具,脆弱性扫描工具 基于网络的扫描器 基于主机的扫描器 分布式网络扫描器 数据库脆弱性扫描器 渗透性测试工具 根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件 等。 一个好的漏洞扫描工具应包括以下几个特性: 最新
14、的漏洞检测库 扫描工具必须准确并使误报率减少到最小 扫描器有某种可升级的后端,能够存储多个扫描结果并提供趋势分析的手段。 应包括清晰的且准确地提供弥补发现问题的信息。,常用脆弱性检测工具对比,风险评估辅助工具,检查列表:基于特定标准或基线建立的,对特定系统进行审查的项目条款。 入侵检测网络或主机造成危害的入侵攻击事件;帮助检测各种攻击试探和误操作;同时也可以作为一个警报器,提醒管理员发生的安全状况。 安全审计工具:用于记录网络行为,分析系统或网络安全现状;它的审计记录可以作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。 拓扑发现工具:主要是自动完成网络硬件设备的识别、发现功能。 资产信息收集系统:通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的收集功能 。 其他:评估指标库、知识库、漏洞库、算法库、模型库等。,中国信息安全风险评估论坛,http:/,Q/A,谢谢!,
