(一)風險評估準備
風險評估準備是整個風險評估過程有效性的保證。組織實施風險評估是一種戰略性的考慮,其結果將受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。因此,在風險評估前,應該做好如下準備。
- 確定風險評估的目標。
- 確定風險評估的範圍。
- 組建適當的評估管理與實施團隊。
- 進行系統調研。
- 確定評估依據和方案。
- 制定風險評估方案。
- 獲得最高管理者對風險評估工作的支持。
(二)資產識別
機密性、完整性和可用性是評價資產的3個安全屬性。風險評估中資產的價值不是以資產的經濟價值來衡量,而是由資產在這3個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同價值,而資產面臨的威脅、存在的脆弱性以及採用的安全措施都將對資產的安全屬性的達成程度產生影響。爲此,應對組織中的資產盡行識別。
在一個組織中,資產有多種表現形式;同樣的2個資產也因爲屬於不同的信息系統而有不同重要性,而且對於提供多種業務的組織,其支持業務持續運行的系統數量可能更多。因此,首先需要將信息系統及相關資產進行恰當的分類,以此爲基礎進行下一步的風險評估。在實際工作中,具體資產分類方法可以根據具體的評估對象和要求,由評估者靈活把握。根據資產的表現形式,可將資產分爲數據、軟件、硬件、服務、人員等類型。
完成資產分類後,分別從機密性、完整性、可用性3各方面入手,根據資產在各個安全屬性上的不同要求,將資產賦值爲不同的等級,分別對應資產在機密性(完整性、可用性)上應達成的不同程度或者機密性(完整性、可用性)缺失時對組織的影響。通常將資產賦值爲5(很高)、4(高)、3(中等)、2(低)、1(很低)這5個級別。
資產價值應依據資產在機密性、完整性、可用性上賦值等級,經過綜合評定得出。綜合評定方法可以根據自身的特點,選擇對資產的機密性、完整性、可用性最爲重要的一個屬性的賦值等級作爲資產的最終賦值結果;也可以根據資產機密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。加權方法可以根據組織的業務特點確定。
(三)威脅識別
威脅可以通過威脅主體、動機、資源、途徑等多種屬性來描述,造成威脅的因素可以分爲人爲因素和環境因素。根據威脅的動機,人爲因素又可分爲惡意和非惡意兩種。環境因素包括自然界不可抗因素和其它物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊,在機密性、完整性、可用性等方面造成損害;也可能是偶發的或蓄意的事件。可以從來源、表現形式等方面對威脅進行分類。
威脅是別的重要工作是進行威脅賦值,即判斷威脅出現的頻率,評估者應根據經驗(或)有關的統計數據來進行判斷。在評估中,需要綜合考慮以下三個方面,以形成在某種評估環境中各類威脅出現的頻率。
1.以往安全事件報告中出現過的威脅及其頻率統計。
2.實際環境中通過檢測工具以及各種日誌發現的威脅及其威脅頻率的統計。
3.近一兩年來國際組織發佈的對整個社會或特定行業的威脅及其頻率統計,以及發佈的威脅預警。
可以對威脅出現的頻率進行等級化處理,不同的等級分別代表威脅出現頻率的高低。等級數值越大,威脅出現的頻率越高。在實際的評估中,威脅頻率的判斷依據應在評估準備階段根據歷史統計或行業判斷予以確定,並得到被評估方的認可。
(四)脆弱性識別
脆弱性是資產本身存在的,如果沒有被相應的威脅利用,單純的脆弱性本身不會對資產造成損害。而且如果系統足夠強健,嚴重的威脅也不會導致安全事件的發生,並造成損失。即威脅總是要利用資產的脆弱性纔可能造成危害。
資產的脆弱性具有隱蔽性,有些脆弱性只有在一定的條件和環境下才能顯現,這是脆弱性識別中最爲困難的部分。不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。
脆弱性識別是風險評估中最重要的一個環節。脆弱性識別可以以資產爲核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,並針對脆弱性的嚴重程度進行評估;也可以從物理、網絡、系統、應用等層次進行識別,然後與資產、威脅對應起來。脆弱性識別的依據可以是國際或國家安全標準,也可以是行業規範、應用流程的安全要求。對應用在不同環境中的相同的弱點,其脆弱性嚴重程度是不同的,評估者應從組織安全策略的角度考慮、判斷資產的脆弱性及其嚴重程度。信息系統所採用的協議、應用流程的完備與否、與其他網絡的互聯也應該考慮在內。
脆弱性識別主要從技術和管理兩個方面進行,技術脆弱性涉及物理層、網絡層、應用層等各個層面的安全問題。管理脆弱性又可分爲技術管理脆弱性和組織管理脆弱性兩方面,前者與具體技術活動相關,後者與管理環境相關。
可以根據脆弱性對資產的暴露程度、技術實現的難易程度、流行程度等,採用等級方式對已識別的脆弱性的嚴重程度進行賦值。由於很多脆弱性反映的是同一方面的問題,或可能造成相似的後果,賦值時應綜合考慮這些脆弱性,以確定這一方面脆弱性的嚴重程度。對某個資產,其技術脆弱性的嚴重程度還受到組織管理脆弱性的影響。因此,資產的脆弱性賦值還應該參考技術管理和組織管理脆弱性的嚴重程度。
脆弱性嚴重程度可以進行等級化處理,不同等級分別代表資產脆弱性嚴重程度的高低。等級數值越大,脆弱性嚴重程度越高。
(五)已有安全措施的確認
在識別脆弱性的同時,評估人員應對已採取安全措施的有效性進行確認。安全措施的確認應評估其有效性,即是否真正降低了系統的脆弱性,抵禦了威脅。對有效的安全措施繼續保持,以避免不必要的工作和費用,防止安全措施的重複實施。對確認爲不適當的安全措施應覈實是否應被取消或對其進行修正,或用更合適的安全措施替代。
安全措施可以分爲預防性安全和保護性安全措施2種。預防性安全措施可以降低威脅利用脆弱性造成安全事件的可能性,如入侵檢測系統;保護安全措施可以減少因安全事件發生後對組織或系統造成的影響。
已有安全措施確認與脆弱性識別存在一定的聯繫。一般來說,安全措施的使用的將減少系統技術或管理上的脆弱性,但安全措施並不需要和脆弱性識別過程那樣具體到每個資產、組件的脆弱性,而是一類具體措施的集合,爲風險處理計劃制定提供依據和參考。
(六)風險分析
風險估算是對風險發生的可能性、風險的性質、風險發生後可能造成的後果和影響進行計算和判定,並確定風險處理計劃和評估殘餘風險。通過對風險涉及的各個要素(資產、脆弱性、威脅、已有安全措施等)的度量進行計算,通過一定的方法得到風險發生的可能性及其後果,風險計算明確了風險的大小。風險計算方法定量、定性和半定量3種方法。
- 定量風險分析
定量風險分析方法是使用數值來描述風險發生的可能性及其影響。定量風險分析會嘗試爲風險分析過程的所有元素都賦予具體的和有意義的數字,這些元素可能包括防護措施的成本、資產價值、業務影響、威脅頻率、防護措施的有效性、漏洞利用可能性等,在上述所有元素被量化時,整個過程就可以被稱爲是被定量的。
《評估規範》給出了風險的計算範式:
其中,R表示安全風險計算函數,a表示資產,T表示威脅,V表示脆弱性,la表示安全事件所作用的資產價值,Va表示脆弱性嚴重程度,L表示威脅利用資產的脆弱性導致安全事件發生的可能性,F表示安全事件發生後產生的損失。
由此,《評估規範》指出了3個關鍵計算環節。
(1)計算安全事件發生的可能性
安全事件發生的可能性=L(威脅出現頻率,脆弱性)=L(T,V)
(2)計算安全事件發生後的損失
安全事件的損失=F(資產價值,脆弱性嚴重程度)=F(Ia, Va)
(3)計算風險值
風險值=R(安全事件發生的可能性,安全事件的損失)=R(L(T, V), F(Ia, Va))
風險的計算範式表明,風險估算涉及的風險要素一般爲資產、威脅和脆弱性。組合這些要素來度量風險的方式有多種。目前,常用的計算方法是矩陣法和相乘法。
矩陣法主要適用於由2個要素值確定一個要素值的情形。首先需要確定二維計算矩陣,矩陣內各個要素值根據具體情況和函數遞增情況採用數學方法確定,然後將2個要素的值在矩陣中進行比對,行列交叉處即爲所確定的計算結果。
矩陣法的特點在於通過構造兩兩要素計算矩陣,可以清晰羅列要素的變化趨勢,具備良好的靈活性。而相乘法提供一種定量的計算方法,直接使用2個要素值進行相乘得到另一個要素的值。相乘法的特點是簡單明確,直接按照統一公式計算,即可得到所需結果。這2種常用計算方法在風險分析中都得到了廣泛採用。
2、定性風險分析
定性風險分析方法使用文字或文字分級來描述風險的影響及發生可能性,是最簡單也是最常用的分析方法,通常使用檢查表及主觀的風險分級,如高、中、低。具體的定性分析技術包括判斷、最佳實踐、直覺和經驗。
3、半定量風險分析
目前,沒有嚴格的定量分析的計算公式,定量分析的數字往往並不精確,且在積累了足夠多的樣本後,才能比較精確地估算事件發生的概率和發生後的損失。因此,在實踐中,定量和定性的風險分析方法要綜合使用,即採取半定量風險分析方法,將文字分級與量化分級相結合。半定量風險分析方法常常用在不能定量分析方法或爲了降低定性分析方法的主觀因素時使用。
完成風險計算和判定後,對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確採取彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理和技術2個方面考慮。
對於不可接受的風險選擇適當安全措施後,爲確保安全措施的有效性,可進行再評估,以判斷實施安全措施後的殘餘風險是否已經降低到可接受的水平。安全措施的實施是以減少脆弱性或降低安全事件發生可能性爲目標的,因此,殘餘風險評估可以從脆弱性評估開始,在對照安全措施實施前後的脆弱性狀況後,再次計算風險值的大小。
某些風險可能在選擇適當的安全措施後,殘餘風險的結果仍然處於不可接受的範圍內,應考慮是否接受此風險或進一步增加相應的安全措施。