可控性
不可抵赖性
不可抵赖曾经完成的操作和承诺
进不来
拿不走
改不了
看不懂
跑不了
可审查
威胁来源列表
来源
环境因素
描述
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干 扰、洪灾、火灾、地震、意外 事故等环境危害或自然 灾害,以及软件、硬件、数据、通讯线路等方面的故障 不满的或有预谋的内部人员对信息系统进行恶意破坏; 采用自主或内外勾结的方式 盗窃机密信息或进行篡改, 获取利益 外部人员利用信息系统的脆弱性,对网络或系统的机密 性、完整性和可用性进行破 坏,以获取利益或炫耀能 力 内部人员由于缺乏责任心,或者由于不关心和不专注, 或者没有遵循规章制度和操 作流程而导致故障或信息 损坏;内部人员由于缺乏培训、专业技能不足、不具备 岗 位技能要求而导致信息系统故障或被攻击。
例1：AV=MAX(AC,AI,AA) 例2：AV=AC+AI+AA 例3：AV=AC×AI×AA
资产价值赋值
信息安全属性
保密性 完整性
可用性 可审计性
确保只有获得授权的人才能访问信息 保护信息和处理方法的准确和完整 确保获得授权的用户可访问信息并使用相关信息资产
确保硬件、软件、环境各方面的运行可以审计 可控制网络信息传播及内容
– 确保信息只能由那些被授权使 用的人获取
• 完整性INTEGRITY
– 保护信息及其处理方法的准确 性和完整性
• 可用性AVAILABILITY
– 确保被授权使用人在需要时可 以获取信息和使用相关的资产
资产保密性赋值
资产完整性赋值
资产可用性赋值
资产等级计算公式
AV=F(AC,AI,AA) Asset Value 资产价值 Asset Confidentiality 资产保密性赋值 Asset Integrity 资产完整性赋值 Asset Availability 资产可用性赋值
信息安全风险评估
程晓峰
广东计安信息网络培训中心
——从深夜一个回家的女孩开始讲起……
什么是风险评估？
风险评估的基本概念
风险评估通俗类比
资产 威胁
100块 小偷
服务器 黑客 被入侵 数据失密
钱被偷 业务影响 没饭吃
脆弱性 风险
打瞌睡 软件漏洞
风险
在信息安全领域，风险（Risk）就是指 各种威胁导致安全事件发生的可能性及 其对组织所造成的负面影响。
资产识别模型
管理层 业务层
人员、文档、制度
OA
EAI/EIP 工程管理 物资管理 生产管理 营销系统 人力资源 综合管理
数据层 应用层 主机层
数据 软件
数据
数据 软件
数据
数据 软件
数据
数据 软件
数据
操作系统、主机设备
操作系统、主机设备
网络层
物理层
网络设备1
机房、通信链路
网络设备2
信息安全属性
• 保密性CONFIDENTIALATY
风险评估（Risk Assessment）就 是对各方面风险进行辨识和分析的过程， 它包括风险分析和风险评价，是确认安 全风险及其大小的过程。
风险评估
风险管理
风险管理（Risk Management）就是以 可接受的代价，识别、控制、减少或消除可 能影响信息系统的安全风险的过程。
5
风险管理的目标
影响
人为因 素
恶意人 员
非恶意 人员
威 胁 分 类 表
威胁赋值
脆弱性识别内容表
脆弱性赋值
风险分析原理
F R
L
风险计算方法
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R 表示安全风险计算函数; A 表示资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作用的资产价值;Va 表示脆弱性 严重程度;
影响
风险
威胁 脆弱性 威胁
风险 RISK
RISK
RISK
脆弱性
险评估和风险管理的关系
风险评估是风险管理的关键环节，在风险管理循 环中，必须依靠风险评估来确定随后的风险控制 与改进活动。
资产分类方法
分 类 示例 数 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统 据 文档、运行管理规程、 计划、报告、用户手册、各类纸质的文档等 系统软件:操作系统、数据库管理系统、语句包、开发系统等 软 应用软件:办公软件、数据库软件、各类工具软件等 件 源程序:各种共享源代码、自行或合作开发的各种代码等 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携 计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 硬 传输线路:光纤、双绞线等 件 保障设备: UPS、变电设备等、空调、保险柜、文件柜、门禁、消防 设施等 安全保障：防火墙、入侵检测系统、身份鉴别等 其他:打印机、复印机、扫描仪、传真机等
风险评价示例
完整性风险 机密性风险 可用性风险
风险处置策略
降低风险（Reduce Risk）—— 采取适当的控制措施来降 低风险，包括技术手段和管理手段，如安装防火墙，杀毒软件， 或是改善不规范的工作流程、制定业务连续性计划，等等。 避免风险（Avoid Risk）—— 通过消除可能导致风险发生 的条件来避免风险的发生，如将公司内外网隔离以避免来自互 联网的攻击，或是将机房安置在不可能造成水患的位置，等等。 转移风险（Transfer Risk）—— 将风险全部或者部分地转 移到其他责任方，例如购买商业保险。
L 表示威胁利用资产的脆弱性导致安全事件发生的可 能性;
F 表示安全事件发生后产生的损失。 一般风险计算方法：矩阵法和相乘法
矩阵法风险计算
矩阵法
风险等级表
1000
2000
3000
4000
5000
6000
7000
0
边界人员，攻击 混合病毒 好奇员工，攻击 内部外部人员误操作 普通员工，滥用 网络病毒 内部外部人员恶意 基础服务失效 交换机硬件失效 灾难 服务器硬件失效 雷击 漏水 服务器软件失效 电源失效 交换机软件失效 温度、湿度、灰尘、静电等 邮件病毒 链路失效 介质病毒
资产分类方法
分 类 示例 信息服务:对外依赖该系统开展的各类服务 网络服务:各种 网络设备、设施提供的网络连接服务 办公服务:为提高效 率而开发的管理信息系统,包括各种内部配置管理、文件 流转管理等服务 掌握重要信息和核心业务的人员,如主机维护主管、网络 维护主管及应用项目经理等
服 务
人 员
其 企业形象、客户关系等 它