diff --git a/06_第六章 信息安全评估/6.2 安全评估实施.md b/06_第六章 信息安全评估/6.2 安全评估实施.md index be2fe89..fc63fe4 100644 --- a/06_第六章 信息安全评估/6.2 安全评估实施.md +++ b/06_第六章 信息安全评估/6.2 安全评估实施.md @@ -1,20 +1,89 @@ # 安全评估实施 -> +> **一、风险评估相关要素**<br> +> <span style="color:blue;">理解</span>资产、威胁、脆弱性、安全风险、安全措施、残余风险等风险评估相关要素及相互关系。 +> +> **二、风险评估途径与方法**<br> +> <span style="color:green;">了解</span>基线评估等风险评估途径及自评估、检查评估等风险评估方法;<br> +> <span style="color:green;">了解</span>基于知识的评估,理解定性评估、定量评估的概念及区别并掌握定量分析中量化风险的方法。 ### 一、风险评估相关要素 +#### 1、资产 +- 构成<span style="color:red;">风险评估的资产</span>是建立对组织具有价值的信息或资源,是安全策略保护的对象 +- <span style="color:red;">风险评估中资产的价值</span>不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。 +#### 2、威胁 +- 可能导致对系统或组织危害的不希望事故潜在起因。 +- <span style="color:red;">威胁</span>可以通过威胁主体、资源、动机、途径等多种属性来描述。<span style="color:red;">引起风险的外因</span>。 +- 造成威胁的<span style="color:red;">因素</span> + - 人为因素和环境因素。 +- 根据威胁的动机 + - <span style="color:red;">人为因素</span>又可分为<span style="color:blue;">恶意</span>和<span style="color:blue;">非恶意</span>两种; + - <span style="color:red;">环境因素</span>包括<span style="color:blue;">自然界不可抗的因素</span>和<span style="color:blue;">其它物理因素</span>。 +#### 3、脆弱性 +- 可能被威胁所利用的资产或若干资产的<span style="color:red;">薄弱环节</span>; +- 脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害; +- 威胁总是要利用资产的脆弱性才可能造成危害。 +#### 4、信息安全风险、安全措施 +- 信息安全风险 + - 人为或自然的<span style="color:red;">威胁</span>利用信息系统及其管理体系中存在的<span style="color:red;">脆弱性</span>导致安全事件的发生及其对组织造成的影响。 + - 信息安全风险只考虑那些对组织有负面影响的事件。 +- 安全措施 + - 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。 +- 残余风险 + - 采取了安全措施后,信息系统仍然可能存在的风险。 + +#### 5、风险评估要素之间关系 + + ### 二、风险评估途径与方式方法 +#### 1、风险评估途径 +- 基线评估 +- 详细评估 +- 组合评估 + +#### 2、风险评估方式 + +- <span style="color:red;">自评估</span>:由组织自身发起,组织自己实施或委托第三方实施; +- <span style="color:red;">检查评估</span>:由被评估组织的<span style="color:red;">上级主管机关</span>或<span style="color:red;">业务主管机关</span>发起。 + +> <span style="background-color:yellow;">信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。</span> + +#### 3、风险评估的常用方法 + +- 基于知识分析 +- 定量分析 + - 基本概念 + - <span style="color:red;">暴露因子</span>(Exposure Factor,<span style="color:red;">EF</span>):特定威胁对特定资产造成损失的百分比,或者说损失的程度; + - <span style="color:red;">单一预期损失</span>(Single Loss Expectancy,<span style="color:red;">SLE</span>):也称作Soc(Single Occurrence Costs),即特定威胁可能造成的潜在损失总量; + - <span style="color:red;">年度预期损失</span>(Annualized Loss Expectancy,<span style="color:red;">ALE</span>):或者称作EACC(Estimated Annual Cost)表示特定资产在一年内遭受损失的预期值。 + - 概念的关系 + - 首先,识别资产并为资产赋值; + - 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间); + - 计算特定威胁发生的频率,即ARO; + - 计算资产的SLE; + - 计算资产的ALE; + - 定量风险分析的一种方法就是计算年度损失预期值(ALE)。<span style="color:red;">计算公式如下</span>: + - 年度损失预期值(ALE)= SLE × 年度发生率(ARO) + - 单次损失预期值(SLE)= 二暴露因素(EF)× 资产价值(AV) + - 定量评估计算案例 + - 计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。 + - 假设:<br> + ① 组织在3年前计算机机房资产价值100万,当年曾经发生过一次火灾导致损失10万;<br> + ② 组织目前计算机机房资产价值为1000万;<br> + ③ 经过和当地消防部门沟通以及组织历史安全事件记录发现,组织所在地及周边在5年来发生过3次火灾该组织额定的财务投资收益比是30%。 + - 由上述条件可计算风险组织的年度预期损失及ROSI为组织提供一个良好的风险管理财务清单。 +- 定性分析