软考教材重点内容 信息安全工程师 第16章 网络安全风险评枯技术原理与应用

16.1 网络安全风险评估概述
网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。
16.1.1 网络安全风险评估概念
网络安全风险，是指由于网络系统所存在的脆弱性，因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认网络安全风险等级。
16.1.2 网络安全风险评估要素
网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素，各要素之间相互作用。资产因为其价值而受到威胁，威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护，修补资产的脆弱性，从而降低资产的风险。

16.1.3 网络安全风险评估模式
根据评估方与被评估方的关系以及网络资产的所属关系，风险评估模式有自评估、检查评估与委托
评估三种类型。
1.自评估
自评估是网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动。
2.检查评估
检查评估由网络安全主管机关或业务主管机关发起，旨在依据己经颁布的安全法规、安全标准或安全管理规定等进行检查评估。
3.委托评估
委托评估是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

16.2 网络安全风险评估过程
网络安全风险评估工作涉及多个环节，主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等。
16.2.2 资产识别
资产识别包含“网络资产鉴定”和“网络资产价值估算”两个步骤。前者给出评估所考虑的具体对象，确认网络资产种类和清单，是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。
16.2.3 威胁识别
威胁识别是对网络资产有可能受到的安全危害进行分析，一般从威胁来源、威胁途径、威胁意图等几个方面来分析。
16.2.4 脆弱性识别
脆弱性识别是指通过各种测试方法，获得网络资产中所存在的缺陷清单，这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过己有的安全机制，缺陷的存在将会危及网络资产的安全。一般来说，脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。

16.2.6 网络安全风险分析
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上，综合利用定性和定量的分析方法，选择适当的风险计算方法或工具确定风险的大小与风险等级，即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据，进行风险值计算。

网络安全风险分析的主要步骤如下:
步骤一，对资产进行识别，并对资产的价值进行赋值。
步骤二，对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值。
步骤三，对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值。
步骤四，根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
步骤五，根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。
步骤六，根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即网络安全风险值。

第 16 章补充
1)定性计算方法
定性计算方法是将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估，然后再给出风险计算结果。
例如，资产的保密性赋值评估为:很高、高、中等、低、很低;
威胁的出现频率赋值评估为:很高、高、中等、低、很低;
脆弱性的严重程度赋值评估为:很高、高、中等、低、很低;
定性计算方法给出的风险分析结果是:无关紧要、可接受、待观察、不可接受。

2)定量计算方法
定量计算方法是将资产、威肋、、脆弱性等量化为数据，然后再进行风险的量化计算，通常以经济损失、影响范围大小等进行呈现。但是实际上资产、威胁、脆弱性、安全事件损失难以用数据准确地量化，因而完全的定量计算方法不可行。定量计算方法的输出结果是一个风险数值。

3)综合计算方法
综合计算方法结合定性和定量方法，将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化赋值，然后选用合适的计算方法进行风险计算。例如，脆弱性的严重程度。

3.网络安全风险计算方法
风险计算一般有相乘法或矩阵法。

相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值。参照《信息安全
技术信息安全风险评估规范》，以资产 A1 为例使用相乘法来计算出网络安全风险值。约定使用计算公式 z=F(x,y)=(xy)^0.5，并对 z 的计算值进行四舍五入取整得到最终值。基于相乘法计算
风险值的过程描述如下。

(1)假设资产 A1 的风险值计算输入信息，具体如下:
资产价值:A1=4.
威胁发生频率:T1=1。
脆弱性严重程度:脆弱性 V1=3.
(2)使用相乘法计算的过程，具体如下:
步骤一，计算安全事件发生的可能性。
输入:威胁发生频率:T1=1，脆弱性严重程度:脆弱性 V1=3.
输出:安全事件发生的可能性 z=F(x,y)=(1*3)^0.5。
步骤二，计算安全事件的损失。

输入:资产价值:A1=4，脆弱性严重程度:脆弱性 V1=3.
输出:安全事件的损失:z=f(x,y)=(4*3)^0.5。
步骤三，计算安全风险值。
输入:安全事件发生的可能性(1*3)^0.5，安全事件的损失(12)^0.5。
输出:安全事件风险值(3)^0.5*(12)^0.5=(36)^0.5=6。

2)矩阵法
矩阵法是指通过构造一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系。参照《信息安全技术信息安全风险评估规范》，以资产 A1 为例使用矩阵法来计算出网络安全风险值。基于矩阵法计算风险值的过程描述如下。

(1)假设资产 A1 的风险值计算输入信息，具体如下:

资产价值:A1=2.
威胁发生频率:T1=2.
脆弱性严重程度:脆弱性 V1=2.
(2)使用矩阵法计算的过程，具体如下:
步骤一，计算安全事件发生的可能性。

频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生的可能险值于 6.
步骤二，安全事件发生可能性等级划分。

建立安全事件发生可能性等级划分表，对计算得到的安全事件发生可能性进行等级划分，如表
16-11 所示，对照确定安全事件发生可能性等级值=2。
步骤三，计算安全事件的损失。
构建安全事件损失矩阵，如表 16-12 所示。

根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值=5.
步骤四，划分安全事件损失等级。
建立安全事件损失等级划分表，对计算得到的安全事件损失值进行等级划分，如表 16-13 所示，对
照确定安全事件损失等级值=1.

步骤五，计算风险值。
首先构建风险矩阵，如表 16-14 所示。然后，根据上面己经计算出的结果，即安全事件发生可能性
等级值=2，安全事件损失等级值=1，对照风险矩阵表查询，确定安全事件风险值=6.

步骤六，结果判定。
首先建立风险等级划分表，如表 16-15 所示。然后，对照风险等级划分表查询，确定风险等级为
2.

步骤七，输出。
根据计算得出资产 A1 的风险值=6，风险等级为 2。

16.5.2 OWASP 风险评估方法参考
OWASP 是一个针对 Web 应用安全方面的研究组织，其推荐的 OWASP 风险评估方法分成以下步骤:
步骤一，确定风险类别(Identifying a Risk)。

收集攻击者、攻击方法、利用漏洞和业务影响方面的信息，确定评级对象的潜在风险。
步骤二，评估可能性的因素(Factors for Estimating Likelihood)。
从攻击者因素、漏洞因素分析安全事件出现的可能性。攻击者因素主要包括技术水平、动机、机
会和成本;漏洞因素则包括漏洞的发现难易程度、漏洞的利用难易程度、漏洞的公开程度、漏洞利用后入侵检测。
步骤三，评估影响的因素(Factors for Estimating Impact)。
评估影响的因素主要有技术影响因素、业务影响因素。技术影响因素包括保密性、完整性、可用
性、问责性等方面的损失;业务影响因素包括金融财务损失、声誉损失、不合规损失、侵犯隐私损失等。
步骤四，确定风险的严重程度(Determining the Severity of the Risk)。
把可能性评估和影响评估放在一起，计算风险的总体严重程度。可能性评估和影响评估分成 0-9
的级别，如表 16-18 所示。

结合上述的可能性评估和影响评估的结果，OWASP 风险整体评估如表 16-21 所示，风险等级分为
注意、低、中、高、关键。