第8章 安全管理演示课件.pptVIP

8.2 风险分析(续) 可以这样来度量一个风险的影响，即把风险冲击乘以风险概率，得出风险暴露量(risk exposure)。我们能够认识、限制、规避或者转移风险，但是不可能杜绝风险。通常，减小风险有三个策略： (1) 规避(avoiding)风险：通过改变安全需求或其他系统的特征来实现。 (2) 转移(transferring)风险：通过将风险分配到其他系统、人、组织或资产来实现；或通过购买保险来弥补风险将带来的经济损失。 (3) 假定(assuming)风险：如果风险发生了，就接受这个事实，用现有资源对其进行控制，并对其造成的损失进行处理。 精选编制 8.2 风险分析(续) 风险杠杆(risk leverage) 是风险暴露量之差除以减小风险所花费用得到的结果。具体公式如下： 风险分析(risk analysis)是检查系统及其操作环境的过程，从而确定可能的暴露点以及会造成的潜在危害。 精选编制 8.2.1 风险的性质 我们不能保证系统不存在风险，所以安全计划必须讨论那些促使意外风险成为安全事件的行为。虽然我们承认有些重要问题是无法阻止的，但可以采用控制来减小威胁的严重程度。 精选编制 8.2.2 风险分析的步骤 第1步：确定资产 我们首先必须确定需要保护的对象，才能确定弱点。资产应该包括：硬件、软件、数据、人、文档、消耗品。根据实际情况对这些内容做适当的调整是很重要的。RAND公司的弱点评估和减少方法(Vulnerability Assessment and Mitigation, VAM)还包括其他资产，如： (1) 基础设施。 (2) 系统所在的建筑或交通工具。 (3) 电力、水、空气和其他对于正常运行很必要的环境因素。 (4) 人力和社会资产，如策略、规程和培训。 精选编制 8.2.2 风险分析的步骤(续) 第2步：确定弱点 对资产的弱点分析需要理解下面的问题： (1) 非故意错误的影响是什么？ (2) 那些有恶意的内部人员会产生什么样的影响？ (3) 自然和物理的灾难的影响是什么？ RAND的VAM方法有助于指出导致资产脆弱的特性。这些特性存在于三个方面：设计或架构方面、行为方面和通用特性。可以利用这些属性来创建一个矩阵，每个矩阵项表示一个或多个弱点。 精选编制 8.2.2 风险分析的步骤(续) 图 8.2 属性和对象所暗示的弱点 精选编制 8.2.2 风险分析的步骤(续) 只填矩阵是不够的。还必须考虑到一些组合情况，它们可能会导致某些弱点。 图 8.3 使特洛伊木马攻击成为可能的弱点 精选编制 8.2.2 风险分析的步骤(续) 第3步：估计利用的可能性 进行风险分析的第3步是确定每个暴露点可能被利用的概率。发生的可能性与现行控制强度有关，也与现存控制被破坏的可能性有关。计算一个可能被利用的概率的几种方法是：古典概率、频率和主观概率。 古典概率和频率依赖于这样的一个事实：系统已经存在并且已经投入使用一段时间了。在许多情况下，特别是有些系统仅仅是被建议使用而未实际使用。这时，分析员通过查看类似系统的表单来估计该系统的概率。 精选编制 8.2.2 风险分析的步骤(续) RAND发明的Delphi方法是一个主观概率技术，Delphi方法的第一步是，为小组中的每一位专家提供信息，该信息是对需处理事件的描述。第二步是，每位专家单独估计事件的可能性。估计结果会被收集起来，复制和分发给所有的专家。第三步是，询问专家们是否愿意根据同事的结果修改自己的个人估计。如果修改了的数据是一致的，那么这个过程就以这组专家的一致同意结束。如果结果不一致，则将进行另一轮修改，直到达成一致。 精选编制 8.2.2 风险分析的步骤(续) 第4步：计算预期的损失 当弱点被利用导致事件真的发生时，应当确定可能的损失。因为发生的不确定性，这个损失值是很难确定的。由于一个计算系统、一个软件或一个关键的人物不可得，而导致某个计算任务被延期，这样的后果可能非常严重。我们需要思考与安全有关的显式或隐式费用的问题，如： (1) 保护一个给定数据项的机密性和完整性的法律义务是什么？ (2) 涉及到该情况的业务需求和协议是什么？如果组织不能提供服务，它必定受到处罚吗？ (3) 对一个数据项的泄漏会对个人或组织造成损害吗？如果损害已经发生，采取法律行动的可能性有多大？ (4) 对一个数据项的未授权访问会导致未来业务机会的损失吗？它可能给竞争者不公平的优势吗？利润的损失估计是多少？ (5) 不良计算服务