信息安全风险度量和计算

文字描述3
文字描述1
文字描述2 安全运 营 财务损 失 对目标的 影响程度 文字描 述3 企业声 誉
极轻微的
极低 基本不受影响 较低
轻微的
低 轻度影响 轻微的
中等的
中等 中度影响 中等
重大的
高 严重影响 重大的
灾难性的
极高 重大影响 极大 负面消息流 传至世界各 地，政府或 监管机构进 行调查，引 起公众广泛 关注，对企 业声誉造成 无法弥补的 损害
某公司风险定性评价结果表 风险事项编号 风险发生的可能性 对目标的影响 ① 低 极低 ② 高 低 ③ 中等 中等 ④ 低 中等 ⑤ 中等 低 ⑥ 极高 高 ⑦ 低 极高 ⑧ 高 极高 ⑨ 极低 高
某公司风险坐标图
风险发生可能性的高低、风险发生后对目标的影响程度作 为两个维度绘制在一个平面上（即绘制成直角坐标系）。
基于积分卡的风险计算模型
林明峰
1
风险计分卡从四个维度逻辑关系表明了风险评价的过程
公司风险的整体目标
成果 企业风险（ERM）
“为使股东满意，我们应该达到 什么样的风险管理目标?”
企业角度
目标 战略风险1 战略风险2 战略风险3 衡量指标 目标值
安全管理风险(Compliance)
“为达到我们的日常管理要求，我们 是否完成所有日常安全工作?”
Compute Weakness Base Score
WeaknessBaseScore = round_to_1_decimal(((0.6*CWEImpact)+(0.4*ContextExploitability)–1.5)*f
Use CVSS equations – Temporal Score
参考《信息wk.baidu.com全风险评估指南》国家标准
将资产价值、弱点、保护等级相结合
风险等级：1
风险等级：2 风险等级：3 风险等级：4
风险低，进行提示即可 风险中，导致系统受一般影响 风险高，导致系统受到严重影响 风险很高，导致系统受到非常严重影响，需要紧急处理
资产风险值为风险等级为最高级别漏洞风险值。
漏洞风险值的计算过程
驱动
漏洞1 漏洞2 漏洞3
2
风险计分卡确保了组织战略的层层传递
公司总部风险计分卡
Top-down Design 自上而下的规划
SBU 风险计分卡
横向协同
部门与业务系统 风险计分卡
横向协同
设备风险计分卡
Bottom-up execution 自下而上的执行
横向协同
3
风险管理组织结构（Secure CMDB）
ContextExploitability = 20* AccessVector*AccessComplexity*Authentication AccessVector = case AccessVector of requires local access: 0.395, adjacent network accessible: 0.646, network accessible: 1.0 AccessComplexity = case AccessComplexity of high: 0.35, medium: 0.61, low: 0.71 Authentication = case Authentication of requires multiple instances of authentication: 0.45, requires single instance of authentication: 0.56, requires no authentication: 0.704
Can create the notion of threat based on how likely this weakness it true and likelyhood it will be exploited by attackers. Call it Likelihood Score.
合规角度
目标 日常管理 衡量指标 目标值
安全运行风险（incident Management )
“有哪些安全事件，影响到我们的安全运 行结果?”
运维角度
目标 安全事件发生率 解决速度 严重程度 衡量指标 目标值 行动方案
技术与配置分析(漏洞, 配置)
“现有漏洞和安全配置是否都修复了?”
技术角度
目标 衡量指标 目标值 Initiatives
极高 高
3 1 8 2 11 4 10 5 9 6
说明(以固有风险绘制): 1 – 人力资源风险 2 – 财务风险 3 – 竞争风险 4 – 产品开发风险 5 – 客户信用风险 6 – 系统故障风险 7 – 外汇风险 8 – 欺诈风险 9 – 政治风险 10– 投资风险 11– 采购风险
可 能 性
中等
负面消息在企 业内部流传， 企业声誉未受 损
负面消息在 当地局部流 传，对企业 声誉造成轻 微危害
负面消息 在某区域 流传，对 企业声誉 造成中等 损害
负面消息 在全国各 地流传， 对企业声 誉在成重 大损害
对风险发生可能性的高低和风险对目标的影响程度进行 定性评价后，依据评价结果绘制风险坐标图。例如某公司对 9项风险事项进行了定性评价，评价结果和风险坐标图如下 所示：
低 极低 极低 低
7
中等 高 极高
影响程度
11
风险坐标图中各项控制措施
可能性
极 高 高
B区域
C区域
承担A区域中的各项风 险且不再增加控制措施 严格控制B区域中的各 项风险且专门补充制定 各项控制措施
A区域
6
2
中 等 低
1
5
3
8
4 9
7
极 低 极低 低 中等 高
B区域
确保规避和转移C区域 中的各项风险且优先安 排实施各项防范措施
企业管理风险采用的方式
2、定性分析法
直接用文字描述风险发生的可能性以及风险对目标的影响程度，有较强 的主观性。 步骤： （1）确定潜在事项发生的可能性 （2）确定风险影响等级，确定风险等级 （3）根据（1）、（2）编制风险矩阵
公司对风险发生可能性和对目标的影响程度定性评估及其相互对应关系表 文字描述1 风险发生 的可能性 文字描述2 极不可能 一般情况下不 会发生 今后10年内发 生的可能少于1 次 不太可能 极少情况下 才会发生 今后5-10年 内可能发生 1次 可能 某些情况 下发生 今后2-5年 内可能发 生1 次 较大可能 较多情况 下发生 今后1年内 可能发生1 次 极有可能 常常发生 今后1年内至 少发生1次
21
Use CVSS equations – Base Score
Compute values at the class level, the CWE entries.
– Take CWE “Common Consequences” which are based on CIA and use CVSS base score formulas for CIA (None, Partial, Full) to compute a numerical CWE impact
15
安全事故的风险值计算方式
16
安全事故风险评价
风险值是风险评价表征量，包括事故的发生概率和事 故的危害程度。定义为：
测量单位时间为周 后果为事故的严重程度，取事件中严重程度 当事故被解决后，将从风险值计算过程中去除。
技术漏洞的评估与计算方式
18
量化的漏洞和风险评估
技术漏洞的量化风险 采用CVSS通用弱点评价体系
20
CVSS
CVSS (Common Vulnerability Security Scoring)
– Base Metrics（基本度量）
• access location, access complexity, authentication, CIA impact
– Temporal Metrics（时效性）
6
一、风险评估的三个基本概念 （一）固有风险和剩余风险 固有风险：管理当局未采取任何措施的情况下所面临的风险。 剩余风险：管理当局采取应对措施后所残余的风险。 （二）可能性和影响
风险评估主要对风险进行两方面的分析：可能性和影响
可能性：风险可能发生的程度或发生的概率 影响：风险发生后对企业造成的损失或带来的负面影响。 （三）计量尺度 顺序计量、间隔计量、比例计量 （四）注册风险库 注册可能出现的风险项目和类型
• Exploitability, Remediation Level (Patch, etc), Confidence in Available Data
– Environmental Metrics(环境因素） Collateral Damage, Target Distribution
See http://www.first.org/cvss/
风险2 = 4* 5 =20 那么单个资产值 (16+20)/2 =18
运维管理模块的风险值计算过程
14
安全运维过程的风险值评估
问卷形式下发 • 针对每一个资产所 有人发问卷 • 问卷为周期性发放 • 通过在线填写方式 完善问卷
分值计算 • 每一个问题映射具 体的控制措施 • 根据权重方式计算 总体合规率
漏洞 事故 运作 企业
5 公司总部
公司 分公司 业务部门 应用系统 IT 设备 软件和数据
1
2
5
1
2
5
5
业务单元
业务单元
1
2
5
5
产品服务1
产品服务2
产品服务3
1
2
5
应用系统 1 App服务 器1 App服务 器2
应用系统 2
应用系统 3
1
2
5
网络设备
终端设备
软件
机房
信息
人员
5
企业管理风险（ERM）
极高
影响程度
12
风险坐标图法 风险坐标图法是在统计分析和经验判断的基础上把风险发生的可能性 的高低、风险发生后对目标影响程度的大小作为两个维度绘制在同一直角 坐标系内。 1、风险发生可能性及对目标影响的定性分析 2、针对一个单一资产的风险值计算过程： 所有C区的高风险值 累加后的 平均值：
例如： 风险1 = 4* 4 =16
– Use CVSS base score formulas for Access Vector (Local, Adjacent, Network), Access Complexity (High, Medium, Low), and Authentication (Multiple, Single, None) to compute exploitability.
CWEImpact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact)) XImpact = case XImpact of none: 0.0, partial: 0.275, complete: 0.660
Compute values at the code context level
企业风险
业务条线
公司 分公司 业务部门 应用系统 IT 设备
业务单元 公司总部
业务单元
管理风险
产品服务1 产品服务2 产品服务3
应用系 统1 App服务 器1 App服务 器2
应用系 统2 网络设 备
应用系 统3 终端设 备
软件和数据
软件
机房
信息
人员
IT运维条线
系统漏洞 安全事件
4
风险管理风险值计算结构
CVSS Temporal score adds the notion of threat based on proof of exploitability, availability of fix, and report confidence.
TemporalScore = round_to_1_decimal(BaseScore*Exploitability*RemediationLevel*ReportConfidence) Exploitability = case Exploitability of unproven: 0.85, proof-of-concept: 0.9, functional: 0.95 high: 1.00, not defined: 1.00 RemediationLevel = case RemediationLevel of official-fix: 0.87, temporary-fix: 0.90, workaround: 0.95, unavailable: 1.00, not defined: 1.00 ReportConfidence = case ReportConfidence of unconfirmed: 0.90 uncorroborated: 0.95 confirmed: 1.00 not defined: 1.00