在信息时代,信息已经成为第一战略资源,信息对组织使命的完成、组织目标的实现起着至关重要的作用,因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。
一、什么是安全风险
风险定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。风险经常通过引用潜在事态和后果或这些的组合来描述。影响,是对一个预期的偏离,正面的或负面的偏离。
风险是客观存在的,与不确定性紧密相连,但又不能完全等同。风险带来的影响,通常都是负面的(正面的影响通常不被称为风险)。风险强调的是损害的潜在可能性,而不是事实上的损害。风险不能消除殆尽,包括人为因素带来的风险,也一样不能消除殆尽。衡量风险的两个基本要素就是事件的概率和影响。
威胁利用脆弱性作用于资产产生影响,威胁增加了组织资产的风险,脆弱点能够暴露资产,脆弱性本身不会构成对资产的损害,但是脆弱性被威胁利用就会增加组织资产的风险。
二、如何评估安全风险
根据《信息安全技术信息安全风险评估规范》(GB/T 20984-2007),对评估对象进行安全风险评估分析,风险分析中涉及评估对象的影响范围、威胁、脆弱性三个基本要素。
以下参考互联网新技术新业务安全风险评估可以分为确定影响范围->确定威胁->确定脆弱性->计算分险值->形成评估结论,通过定量和定性相结合的方式进行安全风险评估。
1、确定影响范围
影响范围是指评估对象涉及的传播影响,按评估对象支持的用户数计。
对于运营于互联网上的应用系统,参考下表进行赋值。
范围 | 赋值 |
---|---|
10万以内 | 1 |
10万-100万以内 | 2 |
100万-1000万以内 | 3 |
1000万-5000万以内 | 4 |
5000万及以上 | 5 |
2、确定威胁
威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险。如:下表为互联网新技术新业务安全评估涉及的威胁及发生可能性赋值。
威胁分类 | 威胁名称 | 赋值 | 威胁描述 |
---|---|---|---|
假冒 | 假冒 | 4 | 通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 |
假冒 | 诱骗欺诈 | 1 | 通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式,诱骗用户,而达到不正当目的。 |
假冒 | 恶意扣费 | 5 | 在用户不知情或非授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,造成用户经济损失。 |
篡改 | 篡改 | 3 | 通过作伪的手段对应用程序的数据、进程、交互内容、发布内容进行修改。 |
拒绝服务 | 系统破坏 | 4 | 通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行。 |
拒绝服务 | 拒绝服务 | 5 | 对信息或其他资源的合法访问被无条件地阻止。 |
拒绝服务 | 资源消耗 | 4 | 在用户不知情或非授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,造成用户资费损失。 |
暴力破解 | 暴力破解 | 2 | 一种针对于用户账号和密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。 |
抵赖 | 抵赖 | 4 | 合法用户对自己操作行为否认的可能性。 |
越权(提升权限) | 非授权访问 | 3 | 某一资源被某个非授权的人,或以非授权的方式使用。 |
越权(提升权限) | 隐私窃取 | 4 | 在用户不知情或非授权的情况下,获取涉及用户个人信息。 |
越权(提升权限) | 窃听 | 3 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 |
越权(提升权限) | 业务流分析 | 3 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 |
越权(提升权限) | 远程控制 | 4 | 在用户不知情或非授权的情况下,能够接受远程控制端指令并进行相关操作。 |
越权(提升权限) | 破坏信息的完整性/可用性 | 4 | 数据被非授权地进行增删、修改或破坏而受到损失/数据遗失。 |
越权(提升权限) | 授权侵犯(内部攻击) | 3 | 被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的。 |
非法传播 | 恶意传播 | 5 | 自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的行为。 |
非法传播 | 信息泄露 | 5 | 信息被泄露或透露给某个非授权的实体。 |
非法传播 | 三涉 | 5 | 传播的内容与应用包含了非法的信息,如涉黄、涉非、涉政,含病毒等。 |
非法传播 | 非法应用 | 2 | 传播内容与应用的方式让用户无法接受,如垃圾短信的发送、骚扰电话等。 |
溯源失效 | 溯源失效 | 4 | 无法准确追溯到传播违法有害信息或进行恶意攻击的责任主体。 |
管理失控 | 管理失控 | 4 | 用户、业务规模已超过企业最大安全监管能力范围;或企业安全保障能力无法满足针对业务实现方式或功能属性带来安全风险的管理。 |
为了便于对不同威胁发生的可能性概率数据进行类比、度量,依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-5,1为最低,5为最高。
表:威胁赋值准则
等级 | 标识 | 定义 |
---|---|---|
5 | VH(很高) | 威胁发生的可能性很高,在大多数情况下几乎不可避免或者可以证实发生过的频率较高。 |
4 | H(高) | 威胁发生的可能性较高,在大多数情况下很有可能会发生或者可以证实曾发生过。 |
3 | M(中) | 威胁发生的可能性中等,在某种情况下可能会发生但未被证实发生过。 |
2 | L(低) | 威胁发生的可能性较小,一般不太可能发生,也没有被证实发生过。 |
1 | VL(很低) | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 |
3、确定脆弱性
脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-3,1为最低,3为最高。
表:脆弱性赋值准则
类别 | 描述 | 对应等级 |
---|---|---|
技术保障 | 技术方面是否存在低等级缺陷,从技术角度是否易被利用。 | 3 |
攻击利用 | 对于攻击者来说,该漏洞目前是否能被直接或者间接利用,或者利用的难度。 | 3 |
管理控制 | 运营管理环节是否有相关的薄弱环节,被利用难易程度。 | 3 |
防范控制 | 是否有规定,是否严格审核、是否有记录校验等。 | 2 |
脆弱性等级
等级 | 标识 | 定义 |
---|---|---|
3 | H(高) | 如果被威胁利用,将造成完全损害。 |
2 | M(中) | 如果被威胁利用,将造成一般损害。 |
1 | L(低) | 如果被威胁利用,造成的损害可以忽略。 |
4、计算风险值
风险计算公式:
风险值=影响范围 威胁可能性 脆弱严重性
根据风险计算公式得出风险值后可以对应其风险等级,如风险值在55-75分,表示风险极高
5、评估结论
评估报告以风险计算得分形式呈现,即:不仅呈现脆弱性问题,并且对于不符合评估标准的项,根据面临威胁赋值和脆弱性赋值,结合评估对象的影响范围计算出风险得分,依据得分给出风险等级(极高、高、中、低、极低)。 任一评估要点匹配对应的企业安全保障能力的脆弱性测算值>0时,须及时记录并反馈至本级信息安全部门进行报备。任一评估要点的风险值的对应等级为中及其以上程度时,必须纳入整改事项严格贯彻执行,并密切跟踪把握风险变化、持续健全更新与之匹配对应的信息安全管理措施和技术保障手段,根据业务上线后的经营发展情况适时开展安全评估,以确保将信息安全风险控制在中级以下范围内。评估管理部门应组织评估专家审查小组,对“评估结论”进行审核,通过后出具评审结论。
三、为什么要管理安全风险
风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化,然后协调和经济地应用资源,以最小化监测和控制不良事件的可能性及影响,最大限度地实现业务。
风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡,并最终通过对支持其使命的信息系统及数据进行保护而提高其实现使命的能力。
一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的,因此对信息安全的成本必须像其他管理决策一样进行全面检查。一套合理的风险管理方法,可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力,以有效实现其使命。
四、如何管理安全风险
信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤中,如下图所示。
1、背景建立
背景建立是信息安全风险管理的第一个步骤,是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,对信息安全风险管理项目进行规划和准备,保障后续的风险管理活动顺利进行。背景是建立在业务需求的基础上,通过有效的风险评估和国家、地区、行业相关法律法规及标准的约束下获得背景依据。
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过程中,对象确立过程是一次信息安全风险管理主循环的起始,为风险评估提供输人。
2、风险评估
风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴中设定的风险评价准则进行排名。
风险评估的目的是通过风险评估的结果,来获得信息安全需求,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择有合理成本效益的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被广泛应用于各个领域。
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。在信息安全风险管理过程中,风险评估活动接受背景建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输人。
3、风险处理
风险处理是依据风险评估的结果,选择和实施合适的安全措施。风险处理的目的是为了将风险始终控制在可接受的范围内。风险处理的方式主要有降低、规避、转移和接受4种方式。
降低方式:
组织首先应该选择降低风险,通常通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面( 即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如,采用法律的手段制裁计算机犯罪(包括窃取机密信息,攻击关键的信息系统基础设施,传播病毒、不健康信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏制威胁源的动机;采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。规避方式:
当风险不能被降低时,通过不使用面临风险的资产来避免风险。比如,在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。再如,对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害人侵和不良攻击。转移方式:
只有在风险既不能被降低,又不能被规避时,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如,在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。再如,通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。接受方式:
是选择对风险不采取进一步的处理措施,接受风险可能带来的结果。接受风险的前提是确定了风险的等级,评估了风险发生的可能性以及带来的潜在破坏,分析了使用每种处理措施的可行性,并进行了较全面的成本效益分析,认定某些功能、服务、信息或资产不需要进一 步保护。
风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。
4、批准监督
批准监督包括批准和持续监督两部分。
批准,是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。批准应由机构内部或更高层的主管机构的决策层来执行。
持续监督,是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。监督通常由机构内部管理层和执行层完成,必要时也可以委托支持层的外部专业机构提供支持,这主要取决于信息系统的性质和机构自身的专业能力。
对风险评估和风险处理的结果的批准和持续监督,不能仅依据相关标准进行僵化的对比,而是需要紧紧围绕信息系统所承载的业务,通过对业务的重要性和业务遭受损失后所带来的影响来开展相关工作。批准通过的依据( 原则)有两个:一是信息系统的残余风险是可接受的;二是安全措施能够满足信息系统当前业务的安全需求。
参考资料:
《CISP培训教材》
《信息安全工程师教程(第2版)》
《信息安全技术信息安全风险评估规范》