信息安全风险管理概述

风险管理

风险管理 是信息系统管理人员用于平衡其信息和信息系统保护措施的运营和经济成本, 用有效保护程序的使用带来能力收益和对组织任务支持的提高的过程.

风险管理是信息系统安全管理方法的新模式, 保证信息系统安全的最佳方法就是对信息系统进行风险管理.

风险管理是指识别和控制机构面临的风险的过程.

风险管理是(建立语境, 评估风险, 按风险处置计划)进行风险处置以实现相关建议和决策. 为将风险降低至可接受水平, 在决定做什么和什么时候做之前, 分析可能发生什么和可能的后果是什么.

风险管理的主要组成:

1. 风险识别
2. 风险评估
3. 风险控制

风险管理核心标准

以下是传统风险管理有关的标准:

• 国内:

  • GB/T 31722-2015: 信息技术 安全技术 信息安全风险管理

    此标准是对国际标准(ISO/IEC 27005-2008)的转化.

    包含了 (风险识别(语境建立), 风险评估, 风险处置, 风险接受, 风险沟通, 风险监视评审) 等内容, 采用此标准可以替代 GB/T 20984-2007 和 GB/T 24364-2009 标准.

  • GB/T 20984-2007: 信息安全技术 信息安全风险评估规范

  • GB/T 24364-2009: 信息安全技术 信息安全风险管理指南

  • GB/T 31509-2015: 信息安全技术 信息安全风险评估实施指南

  • GB/T 33132-2016: 信息安全技术 信息安全风险处置实施指南

  • GB/T 22080-2008: 信息技术 安全技术 信息安全管理体系要求

    对 ISO/IEC 27001-2005 的本地化.

  • GB/T 22081-2008: 信息技术 安全技术 信息安全管理使用规则

    对 ISO/IEC 27002-2005 的本地化.

  • GB/T 25067-2010: 信息技术 安全技术 信息安全管理体系认证机构认可要求

    对 ISO/IEC 27006-2007 的本地化.

• 国际:
  • ISO/IEC 27005-2018: 信息技术-安全技术-信息安全风险管理
  • ISO/IEC 27001-2013: 信息技术-安全技术-信息安全管理系统-要求.
  • ISO 31000-2018: 风险管理-原则和指导
• 美国:

  • NIST SP800-161: 联邦信息系统和组织供应链风险管理实践(2015). 沿用 NIST SP800-39.

  • NIST SP800-39: 管理信息系统风险: 组织, 任务, 信息系统视角(2013).

    分为 (组织, 任务/业务, 信息系统) 三个层次, 没有信息安全风险评估/管理过程(GB/T36637-2018 有). 参考了 NIST SP800-53 里的很多内容.

  • NIST SP800-53: 联邦信息系统和组织隐私与安全控制.

ISO 13335 系列标准

包含 13335-1 到 13335-5, 信息和通信技术的安全管理.

ISO 27000 信息安全管理体系标准族

信息安全管理体系 (Information security management systems, ISMS) 标准族是国际信息安全风险管理标准体系的重要组成部分.

ISO 标准里 27xxx 的文档都是属于信息安全的标准, ISO 27000 标准族的发展很快, 随着发展, 其中的内容有时会与 NIST 标准出现不兼容, 安全原则会不同. 在构建 IT 安全系统时需要注意.

NIST(美国国家标准与技术研究院) 信息安全标准

NIST 的文档主要用来服务于美国政府, 但其中一些内容可能也对其他一些组织有帮助, 比如 ISO 13335-x (信息安全管理指导, Guidelines for the Management of Information Technology Security, GMITS).

NIST 出版的关于信息安全的标准有好几个系列:

• 联邦信息处理标准(Federal Information Processing Standards, FIPS): 安全标准.
• NIST 特别出版物(NIST Special Publications, SPs): 安全指导和建议, 有两个子系列:
  • SP 800-系列, 有关于计算机安全.
  • SP 500-系列 的有关计算机安全部分.
• NIST 机构间或因特网报告(NIST Interagency or Internal Report, NISTIRs).
• 信息技术实验室(Information Technology Laboratory, ITL)简报.

这些系列中(NIST SP, NIST IR, NIST ITL 简报)只有少量关于风险管理的内容.

风险管理新标准

随着新技术的出现(大数据, 云计算, 物联网, 移动互联), 新的安全问题也不断出现, 相关标准不足以支撑当前网络安全要求, 各国各组织继而推出新的标准.

• 国内:
  • GB/T 36637-2018: 信息安全技术 ICT 供应链安全风险管理指南
  • 个人信息安全风险评估指南(在研)
  • 大数据业务安全风险控制实施指南(在研)
  • 工业控制系统风险评估实施指南(在研)
  • 云计算安全风险评估实施指南(在研)
  • 区块链安全风险评估指南(在研)
• 国际:
  • ISO/IEC 27036: 供应商关系中的信息安全

概念术语

• 不可抵赖性(non-repudiation): 能够证明一个事件或动作来自原始实体.

• 脆弱性(vulnerability): 对系统防护不足导致存在的潜在弱点.

• 认证性(authenticity): 表示实体和他声称的信息一致的属性.

• 可用性(availability): 表示已授权的实体对其可用和可访问的属性.

• 机密性(confidentiality)

• 完整性(integrity)

• 目标(objective): 要实现的结果.

• 组织(organization): 一个或一组要实现目标的人, 每个人有自己的职责, 权利, 联系.

• 威胁(Threat): 可能对组织或资产造成不良后果的潜在事件.

• 风险(risk): 威胁可能造成的损害和概率.

• 信息安全管理体系 (Information security management systems, ISMS): ISMS 是由(策略, 过程步骤, 指南, 相关资源)部分组成的.

  • ISMS 用来(建立, 实现, 运营, 监控, 审查, 维护, 提高)一个组织的安全性.
  • 基于风险评估和风险可接受等级有效的应对威胁和管理风险.

• 访问控制(access control): 确保进行的访问是授权的, 并由安全要求进行限制.

• 要求(requirement): 必须或期望的声明.

• 策略(policy): 组织的意图和指示. 通常由顶层管理制定.

• 顶层管理(top management): 一个或一组作为最高级别指导和控制组织的人.

• 攻击(attack): 试图进行(毁坏, 泄漏, 更改, 瘫痪, 窃取, 未授权访问)的行为.

• 审计(audit): 系统的, 独立的, 留下记录的进程. 用来获得审计证据并通过客观评估判断当前程度满足哪个审计标准.

• 进程(process): 将输入转化为输出的一组相互关联或相互作用的活动.

• 审计作用域(audit scope): 进行审计的范围和深度.

• 认证(authentication): 提供对一个实体的角色是正确的保证.

• 遵从(conformity): 完全满足要求.

• 监控(monitoring): 确定(系统 或 进程 或 活动)的状态.

• 审查(review): 确定(合适性, 满足性, 有效性)等因素是否满足已经设立的目标.

• ISMS 专家(ISMS professional): 懂得(建立, 实现, 维护, 持续改进)一个或多个 ISMS 进程的人.

• 风险等级(level of risk): 表示风险的重要性.

• 管理系统(management system): 相互关联或在组织中相互作用的部分, 建立策略, 目标 和 进程 用以实现这些目标.

• 残留风险(resiaul risk): 在风险处理后剩下的风险.

• 风险管理(risk management): 用来指导和控制组织有关风险的协调活动.

• 风险管理进程(risk management process): 管理策略的系统级应用程序, 对(通信, 查询, 建立)上下文的活动进行处理, 并(识别, 分析, 评估, 处理, 监控, 审查) 风险.

• 风险判定(risk assessment): 关于(风险识别, 风险分析, 风险评估)的所有进程.

• 风险识别(risk identification): 查找, 识别和描述风险的进程.

• 风险分析(risk analysis): 理解风险本质并决定风险等级的进程.

• 风险评估(risk evaluation): 使用风险标准比对风险分析结果判断风险的重要性是否可容忍或接受.

• 风险标准(risk criteria): 给风险做评估的参考(可以是策略, 或要求).

• 风险处理(risk treatment): 用于修复风险的进程.

• 风险接受(risk acceptance): 承认接受一个特定的风险. 被接受的风险将不受监控和审查.

• 系统开发生命周期(system development life cycle, SDLC).

国内风险管理框架

框架管理组成:

1. 语境建立
2. 风险评估
   • 风险分析
     • 风险识别
     • 风险估算
   • 风险评价
3. 风险处置
4. 风险接受
5. 风险沟通
6. 风险监视和评审
7. 两个决策点: 评价是否满意 和 处置是否满意

与 ISMS 过程对照:

ISMS 过程	信息安全风险管理过程
规划	语境建立 风险评估 风险处置计划制定 风险接受
实施	风险处置计划实施
检查	持续的风险监视与评审
处置	信息安全风险管理过程保持与改进

管理过程

• 首先建立语境, 然后进行风险评估. 如果风险评估提供了足够的信息, 能确定有效地让风险降低至可接受水平的行动. 则结束该风险评估, 进行风险处置. 如果提供的信息不够充分, 则对语境重新进行修订(决策点1 的 “否” 分支), 进行另一次迭代. 此次迭代可能是在整个范围的有限部分上进行.
• 风险处置的有效性取决于风险评估的结果. 风险处置后的残余风险可能不会立即到达一个可接受的水平, 这种情况下必要时可以对语境进行重新修订(决策点2 的 “否” 分支), 进行另一次迭代.
• 在任何阶段进行风险沟通是非常有价值的, 可以将风险和处置传达至适当的管理者和运行人员.
• 风险监视和评审是从风险管理活动中获得所有风险信息, 监视和评审风险产生风险的因素(如资产价值, 影响, 威胁, 脆弱性, 发生概率), 在早期阶段识别出组织的语境中的变化, 保持对整个风险状况的总体了解.

影响语境的因素

• 风险评价准则
• 风险接受准则
• 风险影响准则

关于风险接受

风险接受活动要保证残余风险被组织管理者明确地接受, 在受其他因素如成本而省略或推迟实施措施的情况下, 这点尤为重要.

其他重点

• 风险管理过期中, 要将风险及其处置传达到适当的管理和运行人员.
• 即使是风险处置前已识别的风险信息, 也可能对管理事件非常有价值.
• 管理者和员工的(风险意识, 现有的缓解风险的控制措施的性质)和组织关注的领域, 均有助于以最有效的方式处理事件和意外情况.
• 风险管理过程的美国活动以及两个风险决策点的详细结果最好记录在案.

美国 NIST RMF 框架 (NIST SP800-37r2)

RMF 通过在信息系统中推广安全开发和隐私功能凸显出风险管理, 推广贯穿整个系统开发的生命周期.

RMF 步骤

预备阶段: 为组织管理安全和隐私风险做准备的基础活动.

• 分类(Categorize): 对系统, (处理的, 储存的, 传输的)信息进行分类, 分类基于影响分析.
• 选择(Select): 在 NISP SP 800-53 里选择一组基于风险评估的要用来保护系统的控制权.
• 实现(Implement): 实现控制权系统并记录是如何部署的.
• 评估(Assess): 对控制权是否适当, 运行是否按预期, 结果是否如愿等进行评估.
• 授权(Authorize): 管理者基于风险做出的对系统授权的决定.
• 监视(Monitor): 持续地对系统监视控制权的执行和风险.

风险评估细节

风险评估是运用科学的分析方法和手段, 系统地分析信息化业务和信息系统所面临的人为和自然的威胁以及脆弱性.

过程

1. 资产识别: 资产是对组织有价值的信息资源, 是安全策略保护的对象.

   资产可分为: 数据, 软件, 硬件, 文档, 服务, 人员 等.

   根据资产的重要性可赋予不同等级, 并可指定资产(机密性, 完整性, 可用性)等属性. 对这些属性的赋值过程也就是分析过程.

2. 威胁识别: 威胁总是通过某种具体的途径作用到特定的信息资产之上, 并破坏资产的一个或多个安全属性.

   主要是识别被评估组织的关键资产的直接或间接威胁, 并进行分类和赋值.

3. 脆弱性识别: 脆弱性是对一个或多个资产弱点的总称.

   脆弱性识别方法一: 根据每个资产分别识别其弱点, 然后综合评价该资产的脆弱性.

   脆弱性识别方法二: 按(物理, 网络, 系统, 应用)等层次进行识别, 然后与资产和威胁结合起来. 比如识别(物理环境, 服务器, 网络结构, 数据库, 应用系统, 技术管理, 组织管理)等的脆弱性.

4. 已有安全措施的确认: 对已有的安全措施的有效性进行确认, 为后续的风险分析提供参考.

5. 风险分析: 完成了前面的工作后, 进行风险分析, 主要工作是完成风险的分析和计算.

风险分析原始信息获取手段

• 问卷调查表
• 实地收集
• 使用辅助工具: 如网络和系统检测, 扫描, 监控工具.
• 文档审查

风险分析方法

1. 基于知识的风险分析方法: 依据经验行事, 通常在管理层用的较多, 对技术涉及较少.
2. 基于技术的风险分析方法: 对组织的技术基础结构和程序进行系统和及时的检查, 对组织内部计算环境的安全性和对内外攻击的脆弱性进行估计.
3. 定量分析方法: 将资产价值和风险等量化为财务值进行计算.
4. 定性分析方法: 根据企业本身历史事件, 社会同类型企业的类似安全事件的统计和专家经验, 并通过内部讨论确定资产的价值权重, 再通过计算得到某资产风险的近似大小.

风险计算方式

• 结构化风险计算方式:

  • 线性相乘法

    $R=A\cdot T\cdot V$

    R 是风险, A 是资产, T 是威胁, V 是脆弱性. 首先对资产, 威胁, 脆弱性赋值, 然后线性相乘得到风险值, 最后量化为风险等级.

    优点是简单. 缺点是不全面, 缺乏客观性.

  • 风险矩阵测量

  • 威胁分级法

• 非结构化风险计算方式:
  • 威胁分析法
  • 调查问卷法

参考

• NIST RMF 框架
• NIST ITL 2009.07, 风险管理框架(RMM): 帮助组织实现高效的信息安全程序
• Information Security Risk Management (ISRM)
• 高亚楠, 刘丰, 陈永刚. “信息安全风险管理标准体系研究”. 北京: 国家信息中心信息与网络安全部.
• ISO/IEC 27000:2018