德勤：信息安全风险评价模型

5
©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （2-2）
步骤 2 – 威胁分析（续）
任务1.威胁 此步骤识别电子银行系统可能遭到威胁的 类型。
威胁类型 •洪水 •地震 •飓风 •泥石流 •水灾 •无意识泄漏 •供电中断 •电涌 •放射 •通讯中断 •数据篡改 •软件篡改 •炸弹威胁 •暴露行为 •破坏行为 •欺诈 示例 •沙暴 •暴风雪/冰暴 •龙卷风 •暴风 •火灾 •硬件失效 •液体泄漏 •人为错误-管理疏忽 •人为错误-数据录入 •软件错误 •暴动/混乱 •罢工 •盗窃/丢失 •故意破坏\计算机破坏 •恶意代码
©2006 德勤华永会计师事务所有限公司
中断 I£
篡改 M£
破坏 De £
移除 R£ 不遵守 Nc £
7
安全评价案例分析 – （2-4）
步骤 2 – 威胁分析（续）
任务3. 威胁发生的可能性
可能性考虑 级别 是 否 不适用 是 否 不适用 是 否 不适用
该步骤标识X银行对于威胁发生可能性的 看法。
£ 故意 £ (仅仅是人的威胁) £ （威胁自身的） 能力 £ £ £ £ £ £
11
©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （3-1）
步骤3 – 脆弱性分析（续）
任务1：确认脆弱性的类别
脆弱性 不当配置 (M) 定义 缺省的密码、默认脚本和设置、设计错误、差 劲的代码,…
非必需和非安全的业务 不需要安装或运行的服务；或服务本身就是不 安全的（如telnet) (U) 未打补丁的系统 (S) 硬件/软件限制 (H) 缺乏弹性 (R) 不合规 (N) 缺乏物理控制 (P) 缺少法律复核 (L) 对于已知的脆弱性或暴露，系统没有安装相应 的补丁. 硬件或软件固有的限制（如不支持安全加密访 问的路由器） 在流程、组织结构、过程、技术服务、技术机 制、或关键人员等方面的没有可用性，或是没 有适当的替代方案以保证服务或运作的连续性。 被第三方认定为不符合国家、地区或行业监管 的情况 缺少对于未授权物理访问的流程或步骤（如没 有保安、未陪同的在安全区的访客） 在签订合同或协议时，没有流程或步骤保证它 们经过适当的法律/合同语言的审核（如在SLA 或服务合同时，没有安全部分）
环境
意外
有意
违法犯罪 •不遵守行为(无知或故意)
6 ©2006 德勤华永会计师事务所有限公司
3
安全评价案例分析 – （2-3）
步骤 2 – 威胁分析（续）
任务2.威胁分类 根据威胁发生所造成的影响，对威胁进 行分级。
事件分类
暴露 Di £
定义
通常实现方式
•中途拦截 具有高度机密性需求的敏感信息的非授权 •黑客攻击 暴露 •工业间谍 •泄密发射 •火灾 在用户或系统需要或期望使用时，影响资 •水灾 产、数据和服务的可用性的非计划性活动。•动力故障 •恶意代码 •黑客 影响信息或交易完整性（精确性和完全性）•恶意代码 的非授权的行为。 •数据录入错误 •破坏活动 •设备丢失 导致资产、数据和服务永久丢失的非授权 •动力损失 行为。 •黑客 •破坏活动 •窃取信息 数据或资产被盗、放错位置或丢失，在用 •窃取财产 户或系统需要或期望使用时变为不可用状 •信息移除 态。 •管理疏忽 不遵守特定标准的、法律或指南的行为或 •故意不遵守 缺少特定的行为。 •管理疏忽
高
如果没有执行附加的安全控制措施将会 100%的引发安全事件。
中
如果没有执行附加的安全控制措施将会有 50%的可能性引发安全事件。
可能性模型（见右表）：
低
如果没有执行附加的安全控制措施将会有 低于50%的可能性引发安全事件。
无
如果没有执行附加的安全控制措施将没有 可能引发安全事件。
16
©2006 德勤华永会计师事务所有限公司
下表是该系统的资产评估结果的样本：
资产类别
定义: 在哪个操作环境中使用:
资产
敏感度和机密性的划分结果 •级别 (高, 中, 底). •理由.
4
©2006 德勤华永会计师事务所有限公司
2
安全评价案例分析 – （2-1）
步骤 2 – 威胁分析
目的：识别电子银行运行环境中的威胁和发生的可能性，并以此来进行脆弱性分析。 威胁模型：
17 ©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （6-2）
步骤 6 – 影响评估（续）
任务 1. 定性影响
级别
£ £
定性影响
业务过程完全中断 主要客户永久性丢失 主要客户从其他来源实现购买活动 重要的公共形象受损（国家级的） 巨额罚金/罚款/法律诉讼 雇员士气受到显著影响/关键员工流失 主要业务过程中断，客户受到消极影响 主要业务过程受到减缓 客户服务级别受到影响 公共形象受损 (国家或当地的) 小额罚金/罚款/警告 雇员士气受到影响/生产效率降低 支撑业务被中断 支撑业务被中断，引起不便 对客户服务级别没有或很小影响 对公共形象 (国家或当地的)没有或很小影响 无罚金或罚款 员工士气没有受到影响 不适用或未定义
（威胁产生的） 历史原因
8
©2006 德勤华永会计师事务所有限公司
4
安全评价案例分析 – （2-5）
步骤 2 – 威胁分析（续）
级别 任务4.威胁暴露的级别 在步骤3的基础上，了解X银行对于暴露级 别的看法。 高 故意行为、威胁的能力和威胁历史均 出现; 发生频率相对频繁。 定义
中
故意行为、威胁的能力和威胁历史均 出现; 发生频率相对不频繁。
高风险 中
中风险
低风险
中风险 低
低风险
低风险
1
©2006 德勤华永会计师事务所有限公司
信息安全风险评价步骤
1. 资产评估 2. 威胁分析 3. 脆弱性分析 4. 现有控制评价 5. 可能性分析 6. 影响评估 7. 综合评价
2
©2006 德勤华永会计师事务所有限公司
1
安全评价案例分析 - 以X银行的电子银行系统为例
无
X银行认为该弱点没有暴露可能。
13
©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （3-3）
步骤 3 –脆弱性分析 (继续)
脆弱性评估 对电子银行系统的每个业务资产都要执行脆弱性评估。对于每个威胁、脆弱性及其被指定威 胁利用的可能性都被鉴定。对于每个威胁，可能没有，也可能有一个或者多个脆弱性。
由如下步骤组成： 1. 威胁 – 识别出针对每个资产的风险（如火灾、人为错误、黑客等） 2. 对威胁进行分类 – 对每个威胁可能导致的影响进行分类（如披露、中断等） 3. 威胁的可能性– 分析这些威胁可能发生的概率（如目的、能力、历史等） 4. 威胁暴露的程度 – 结合1-3可得出风险的暴露情况（如高、中、低、无）
资产 •Asset 威胁 •Threats 级别 •Classification •Di•£ •I •£ •M •£ •£ •De •R •£ •Nc •£ 暴露等级 •Exposure Rating 高•£ 中£ •£ 低•£无 •£ •Di•£ •I •£ •M •£ •£ •De •R •£ •Nc •£ 暴露等级 •Exposure Rating •£ 高
威胁N
中
•£低 •£ •£
•£ 无•£
理由（如果有）
©2006 德勤华永会计师事务所有限公司
5
安全评价案例分析 – （2-7）
步骤3 – 脆弱性分析
目的: 识别以及这些脆弱性的潜在影响，这些影响适用于电子银行的运行环境。
脆弱性模型 下列步骤组成了脆弱性模型： 1. 脆弱性类别 – 标识每类资产中所发现的典型的脆弱性类型 (例如. 不当配置, 系统未打补丁等) 2. 脆弱性暴露的级别 – 根据步骤1建立所标识的脆弱性的暴露级别 (例如. 高、中、低、不适用)。
资产 威胁 威胁 1 脆弱性 脆弱性 1 脆弱性 n 脆弱性 1 脆弱性 n 暴露分级 高£ 中£ 低£ 无£ 高£ 中£ 低£ 无£ 高£ 中£ 低£ 无£ 高£ 中£ 低£ 无£
威胁 n
14
©2006 德勤华永会计师事务所有限公司
7
安全评价案例分析 – （4-1）
步骤4－当前控制评估
目的：对X银行现存的安全控制环境进行识别
8
安全评价案例分析 – （6-1）
影响评估
对每个资产进行影响评估（样表）
资产 级别 £ £ £ 高 中 低 (或无) 划分理由 讨论在给定威胁和脆弱性利用率及当前和计划安全控制的条件下可能性级别确 定的原则。
步骤6 – 影响评估
目的：识别由于非期望事件的发生而造成的业务影响。
此步骤用于从定性分析和财务分析两方面了解特定的脆弱性如被利用后对X银行所产生的影响。 影响模型：由以下几部分组成： 1. 定性影响 － 识别定性影响的类型（如经营失败，犯罪起诉等） 2. 财务影响 － 识别财务影响的级别（如多于10000$，多于100$等） 3. 影响等级 － 基于步骤1和2的结论建立总体影响等级（如高，中，低或无）
10
意图 •Intent •Y •£ •£ •N •NA •£
可能性 •Likelihood •Capability •History 能力 历史 •Y •£ •£ •N •NA •£ •F •£ •I•£ •None •£
威胁 1
理由（如果有） •Y •£ •£ •N •NA •£ •Y •£ •£ •N •NA •£ •F •£ •I•£ •None •£
©2006 德勤华永会计师事务所有限公司
12
6
安全评价案例分析 – （3-2）
步骤 3 –脆弱性分析 (继续)
任务2. 脆弱性暴露评级 本步骤识别X银行对于步骤1中识别的脆弱性的观点。
评级 定义
高
X银行认为该弱点有100%的暴露可能。
中
X银行认为该弱点有50%的暴露可能。
低
X银行认为该弱点有低于50%的暴露可能。
对X银行安全状况报告中现有的和计划中的安全控制措施进行识别，安全差距分析文档中的安 全需求在X银行的的安全状况报告中已经被识别，此文档可用于将来的整体安全评估。
15
©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （5-1）
步骤5 – 可能性评估
级别 定义
目的： 识别安全事件（如一个特定的威 胁在当前控制环境中利用脆弱性）发生 的可能性。威胁和脆弱性的级别在步骤 2和3中被识别，结合当前环境中的步骤 4将被定义总体可能性
步骤 1 – 资产评估
目的：确认X银行电子银行系统相关的资产和对应的价值。 资产的价值可以确定资产的敏感度和重要程度来确认。 信息资产价值模型 价值 高 敏感度（举例） 重要程度（举例）
X银行的客户资料对其非常重要，需要严格保护 此类资产的丢失、汇露或受到未授权修改会 其机密性、完整性和可用性。此类资产的破坏可 对X银行本身、下属单位、合作伙伴和客户 能对企业造成严重影响 造成重大损失，或对企业声誉造成很坏影响。 系统的月度分析报表对X银行较为重要，需要保 护其避免受到恶意的毁坏。此类数据通常是收集 来用于分析的目的，其破坏可能对银行造成一定 影响。 系统、应用和相关数据也比较重要，但不是 非常关键。如果系统超过一定时间不能够正 常提供服务，不会对相关客户或内部机构产 生重要的影响。
中
低
3
数据受到威胁的可能性很小，只需要采取简单的 有些系统、应用需要很少的保护。在系统损 保护。通常的关注点是避免其受到无意的修改和 坏后，仅需要很小的人力或费用即可替代。 损坏。 包括具有很低（或没有）敏感度的数据在内。
©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （1-2）
步骤 1 – 资产评估（续）
低
故意行为发生，但威胁的能力和威胁 历史均未体现;
9
©2006 德勤华永会计师事务所有限公司
安全评价案例分析 – （2-6）
步骤 2 – 威胁分析（续）
威胁评估 此步骤针对每一个X银行电子银行系统的业务资产进行评估。针对每一项资产均应或存在1个或多个威胁。
信息安全风险评价模型
目前业界通用的风险的评估模型是：
高
影响程度
高 高风险 中 高风险 低 中风险
风险 = 资产 × 威胁 × 脆弱性 × 可能性 × 影响
可能性 •风险 – 一个非预期事件发生的可能性 •资产 – 企业拥有的重要/关键资源 (如信息、核心人员、 系统、设施等） 件 •脆弱性 – 任何的由威胁发现并导致企业利益受损的弱点 •可能性 –一个特定的威胁发现了一个脆弱性并导致企业 发生了非预期事件的概率 •影响 – 由于某个企业的资产在某种程度上丢失或受损而 造成的可能后果 •威胁 –对企业会造成损害（或潜在的危害）的人物或事