风险分析就是利用资产、威胁、脆弱点识别与评估结果以及己有安全措施的确认与分析结果,对资产面临的风险进行分析。由于安全风险总是以威胁利用脆弱点导致一系列安全事件的形式体现出来的,风险的大小是由安全事件造成的影响以及其发生的可能性来决定的,因此风险分析的主要任务就是分析当前环境下,安全事件发生的可能性以及造成的影响,然后利用一定的方法计算风险。
1.风险计算
如前所述,风险可形式化的表示为R(A,T,V),其中R表示风险,A表示资产,T表示威胁,V表示脆弱点。相应的风险值由A、T、V的取值决定,是它们的函数,可以表示为
VR=R(A,T,V)=R(L(A,T,V),F(A,T,V)
其中,L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出。而风险则可表示为可能性L和影响F的函数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值,实际就是平均损失,即
VR=L(A,T,V)·F(A,T,V)
一种更好的方法是选取合适的效用函数μ(x),利用其逆函数,对影响计算损失效应μ-1(F),再将其值与可能性L相乘得到期望损失效应,用期望损失效应作为风险值,即VR=μ-1(F)·L,也可再对μ-1(F)·L利用效用函数求逆,得到相当的损失值,用它作为风险值,即VR=μ[μ-1(F)·L],与平均损失相比,这种方法的好处就是能够更好地区分“高损失、低可能性”及“低损失、高可能性”两种不同安全事件的风险。
我国的《信息安全风险评估指南》在风险分析方面采用了简化的处理方法,风险分析示意图如图3-5所示,相应的风险值VR=R(A,T,V)=R[L(T,V,F(Ia,Va)],其中,Ia表示安全事件所作用的资产重要程度;Va表示脆弱点严重程度;其他符号意义同上。
图3-5 风险分析示意图
2.影响分析
安全事件对组织的影响可体现在以下方面:直接经济损失,物理资产的损坏,业务影响,法律责任,人员安全危害,组织信誉、形象损失等。这些损失有些容易定量表示,有些则很难。
(1)直接经济损失
风险事件可能引发直接的经济损失,如交易密码失窃、电子合同的篡改(完整性受损)、公司账务资料的篡改等,这类损失易于计算。
(2)物理资产的损坏
物理资产损坏的经济损失也很容易计算,可用更新或修复该物理资产的花费来度量。
(3)业务影响
信息安全事件会对业务带来很大的影响,如业务中断,这方面的经济损失可通过以下方式来计算:先分析由于业务中断,单位时间内的经济损失,用“单位时间损失×修复所需时间+修复代价”可将业务影响表示为经济损失,当然单位时间内的经济损失估计有时会有一定的难度。业务影响除包括业务中断外,还有其他情况,如经营业绩影响、市场影响等,这些应根据具体情况具体分析,定量分析存在困难。
(4)法律责任
风险事件可能导致一定的法律责任,如由于安全故障导致机密信息的未授权发布、未能履行合同规定的义务或违反有关法律、规章制度的规定,这些可用由于应承担应有的法律责任可能支付赔偿金额来表示经济损失,当然其中有很多不确定因素,实际应用时可参考惯例、合同本身、有关法律法规的规定。
(5)人员安全危害
风险事件可能对人员安全构成危害,甚至危及生命,这类损失很难用货币衡量。(www.xing528.com)
(6)组织信誉、形象损失
风险事件可能导致组织信誉、形象受损,这类损失很难用直接的经济损失来估计,应通过一定的方式计算潜在的经济损失,如由于信誉受损,可能导致市场份额损失、与外部关系受损等,市场份额损失可以转化为经济损失,与外界各方关系的损失可通过分析关系重建的花费、由于关系受损给业务开展带来的额外花费等因素来估计,另外专家估计也是一种可取的方法。
由于风险事件对组织影响的多样性,以及相关的数据也比较缺乏,风险事件对组织影响的定量分析还很不成熟,更多的是采用定性分析方法,根据经验对安全事件的影响进行等级划分,如给出“极高”“高”“中”“低”“可忽略”等级。
3.可能性分析
总体来说,安全事件发生的可能性的因素有资产吸引力、威胁出现的可能性、脆弱点的属性、安全措施的效能等。
根据威胁源的分类,引起安全事件发生的原因可能是自然灾害、环境及系统威胁、人员无意行为、人员故意行为等。不同类型的安全事件,其可能性影响因素也有不同。
(1)自然灾害
威胁出现的可能指各种自然灾害出现的可能性,如地震、洪水出现可能性等。
脆弱点属性主要指能反映资产抵抗各种灾害能力的因素,如某些资产在抗打击、防水方面考虑特别成熟,即使发生这类灾害,资产也不会遭受损失。
(2)环境及系统威胁
威胁出现的可能性是指各类环境问题及系统故障出现的可能性,如空调、电力故障的可能性,网络故障的可能性,硬件(软件)故障的可能性等。
脆弱点属性主要反映资产在各类环境与系统威胁中遭受破坏的可能性,如资产的抵抗恶劣环境的能力、故障容忍能力等。
(3)人员无意行为
威胁出现的可能性是指人员无意过失出现的可能性,对外部人员及内部人员应区分开考虑,内部人员威胁大,影响深,出现可能性也高。
脆弱点属性主要反映资产在人员无意过失中遭受破坏的可能性,如系统数据完整性审查机制是否健全、操作完成是否需经多次确认等。
(4)人员故意行为
人员故意行为引发的风险事件,其发生的可能性与前述几种情况不同,其发生可能性决定于资产吸引力、脆弱点属性以及当前安全措施的效能等。
恶意人员发动攻击或其他威胁信息资产的行为的动机有获利、打击报复、恶作剧等。通过对资产发动攻击,可能获取利益或可能达到的打击报复、恶作剧效果,这可统称为资产的吸引力。
恶意人员发动攻击能否成功取决于资产是否存在可利用的脆弱性以及脆弱性利用的难易程度,脆弱点被利用的难易程度决定于技术难度、成本、公开程度等。例如,系统是否存在可被远程网络攻击利用的安全漏洞,安全漏洞利用的技术难度、实现成本、安全漏洞及对应攻击工具的公开程度都将是影响攻击能否成功的因素。当然攻击者的能力也是影响攻击能否成功的因素,但在风险分析中可采用最大原则,即假定攻击者具备当前最先进的技术与工具。
与人员无意行为一样,内部人员与外部人员应分开考虑,他们有不同的权限,对组织信息系统的了解程度也大不相同,内部人员的威胁大于外部人员威胁。
可能性分析方法可以是定量的,也可以是定性的。定量方法可将发生的可能性表示成概率形式,而定性分析对发生可能性给出诸如“极高”“高”“中”“低”等类似的等级评价。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
