信息安全 - 风险管理
风险管理是一个识别可能破坏安全三原则的因素,并根据价值和成本来评估因素,最终将风险降低至组织可接受水平的过程。
风险管理中的主要术语:
威胁(Threat):任何可能发生的,对组织或资产能造成不良后果的潜在事件都是威胁;
风险(risk): 威胁事件造成损害的后果及概率
脆弱性(vulnerability):系统防护措施缺乏或不够的弱点
管理风险是维持安全的一个核心方式,它包含了风险评估与风险应对两部分。
一、风险评估
目的:识别脆弱性和威胁,并评估可能造成的损失,从而确定如何实现安全防护措施。
图1-风险评估方法与步骤
二、风险响应
风险响应策略
根据组织可以成熟的风险情况,以及每个威胁的成本效益分析结果,风险响应可以从四种策略进行选取
风险缓解 - mitigation: 消除脆弱性或阻止威胁,进而降低风险的影响或概率
风险转移 -transferring:将风险转嫁给其他组织,比如购买保险或外包
风险规避 - avoidance:不再进行产生风险的活动,使用其他活动替代
风险接收 - acceptance:同意接受风险发生所造成的结果和损失
所有的风险都需录入组织的风险登记册,用于记录和跟踪风险管理活动
选择与实施控制措施
1. 选择控制措施的考虑因素
1)控制措施成本应该低于资产价值;
2)控制措施成本应该低于控制措施的收益
3)应用控制措施的结果是使攻击者的成本高于攻击的收益
4)控制措施应该为真实和明确的问题提供解决方案
5)控制措施都能经得起公开披露和审查,避免通过隐匿实现安全
6)控制措施的收益应当是可检验和可验证的
7)控制措施应在所有用户、系统、协议之间提供一致的保护
2. 控制措施分类
从手段分类: 技术控制措施,管理控制措施,物理控制措施
从目的分类:
1)威慑控制 - 通过心理影响上阻止个人违反安全策略。 例如:安全意识培训,安全标识,保安
2)预防控制 - 从实际行动上组织非预期或非授权的活动。例如:栅栏,数据分类,访问控制,IPS等
3)检测控制 - 部署安全控制措施检测和发现未经授权活动的已经发生。 例如:保安,移动探测器,IDS,审计踪迹,事件调查。
4)补偿控制 - 为已有的安全措施提供扩展或替换。例如:门禁长时间未关闭的警告声
5)纠正控制 - 修改环境从已发生的未授权活动中恢复到正常状态。 例如: 自动删除病毒的杀毒软件方案。
6)恢复控制 - 纠正控制的一个分支,有更复杂的恢复能力。例如:备份和恢复系统,服务器集群等。
7)指示控制 - 用于指导主体的行为。例如: 逃生出口标记,通知,安全策略要求。
评估与监测
1. 安全控制评估-SCA
安全控制评估-Security Control Assessment 是指基于基线和可靠性期望对安全设施的各个机制进行正式评估。
目的是 1-确保安全机制的有效性, 2-评估组织风险管理过程的质量和彻底性, 3-生成已部署的安全基础设施优劣势的报告。
它是一个政府过程,商业组织可以参考。
2. 监视和测量
要测量控制措施的成败,需要在执行前后进行监视和记录
三、风险管理框架
1. NIST Risk Management Framework
RMF实施步骤 -
1)分类 - 确定信息系统的安全类别(高/中/低)
2) 选择 - 选择安全控制措施
3)实施 - 在系统中实现安全控制措施
4)评估 - 评估安全控制系统的实施的正确程度,以及是否符合系统安全要求
5)授权 - 确定系统的风险,以及认定该风险是可接受的
6)监控 - 持续监视,是系统能适应不断变化的威胁
2. 其他风险框架
OCTAVE(关键威胁、资产和脆弱性评估), FAIR(信息风险因素分析), TARA(威胁代理风险评估)
其中FAIR是一种风险定量分析方法
图2 - FAIR示意图
3. RMM - 风险成熟度模型
1)特定级
2)起步级 - 对风险管理有松散的尝试
3)可定义级 - 在整个组织内采用通用的风险框架
4)可整合级 - 风险操作管理已集成到业务流程中,有收集指标
5)可优化级 - 经验教训被重新纳入风险管理流程
参考资料:
CISSP Official Study Guide - 第九版英文版 及 第八版中文版
