安全技术防范管理第二章风险评估基本知识.ppt

安全技术防范管理,安防系安防管理教研室 陈志华 13301031999,第二章 风险评估基本知识,回答的主要问题（1）什么是风险？（2）风险是什么？（3）为什么会出现这些风险？（4）风险出现的可能性是多少？（5）风险后果是什么？（6）风险如何控制？,第二章 风险评估基本知识,主要内容 2.1风险评估概述 2.2风险评估方法 2.3安全解决方案,风险评估的意义,风险评估,克服安全需求确定的片面性安全需求即需要进行防护的范围、深度。,保护哪些资产？防范什么威胁？防护哪些弱点？防护范围？防范深度？,风险评估的意义,风险评估,减少系统设计的盲目性,根据风险评估确定的安全需求和风险背景信息，可以帮助设计者找准系统的设计目标，寻找最佳方案。,风险评估的意义,风险评估,有助于突出现行风险等级标准的个性,GA26-1992军工产品储存库风险等级和安全防护级别的规定GA27-1992 文物系统博物馆风险等级和安全防护级别的规定GA28-1992 货币印制企业风险等级和安全防护级别的规定GA38-1992 银行营业场所风险等级和安全防护级别的规定,不能简单地依赖标准，应该通过风险评估，找出特定单位的需求差异。,风险评估的意义,风险评估,可以促进系统建设资金运用的合理性,风险评估结果不仅可给出风险等级，还可根据风险程度给出优先防护顺序，使有限的资金投入得到最合理的配置。,风险及其构成,风险评估,风险（Risk）风险的类型按损失承担主体（谁受损失）分：个人、家庭、企业、政府、社会风险。按损失标的物（损失什么）分：人身、财产、环境风险。按风险来源分：自然、技术、社会、政治、经济、金融、文化、行动风险。按风险后果分：纯粹风险和投机风险。按风险影响范围分：基本风险和特殊风险,风险及其构成,风险评估,风险（Risk）最常见的是按风险后果分：投机风险 可能结果：有损失、没有损失、有所获利。纯粹风险 可能结果：没有损失或有损失。,风险及其构成,风险评估,风险（Risk）纯粹风险和投机风险两者统计学特点：在相同的条件下，纯粹风险重复出现的概率较大；而投机风险重复出现的概率则较小。,风险及其构成,风险评估,风险（Risk）风险的表现风险是通过不良事件现象和损失表现出来。,威胁经过一系列事件链最终引起损失/影响。,风险及其构成,风险评估,风险（Risk）风险的表现,风险的最终结果,风险发生的原因或征兆,风险？,风险评估,曾流行的风险定义：风险是损失的可能性；风险是损失的机会或概率；风险是潜在的损失；风险是潜在损失的变化范围与幅度；,概括起来，有两个基本特征，即：不确定性和损失性,风险：不确定性对目标的影响Risk：Effect of uncertainty onobjectives ISO31000：2009,风险及其构成,风险评估,风险（Risk）风险的表现,风险的最终结果,风险发生的原因或征兆,不确定性和损失性,在安全领域中，人们把这种不确定的损失的期望值叫做风险。并用函数关系式表示为：,R=f(p.c),风险及其构成,风险评估,风险（Risk）关系式 R=f(p.c)表明：风险具有概率和后果的两重性，是不良事件发生概率和损失后果的函数。安全防范风险（被防护对象风险）,在安全防范领域，将上述风险定义做了引申：风险是指由于不良事件的发生使被防护对象遭受损失的可能性及损失/影响程度（后果）。,有形的或无形的,风险及其构成,风险评估,风险构成 构成要素：损失可能性、损失/影响程度 风险因子：资产（防护对象）、威胁与弱点,风险及其构成,风险评估,风险构成 风险因子威胁（Threat）：可能对资产造成损害的潜在原因。如各种刑事犯罪、恐怖、窃取情报等等；弱点(Vulnerability)：可能被威胁利用导致资产损失 的薄弱点。如：人员疏失、实体缺损、技术失效、管理漏洞等等；资产（Asset）：单位/组织内的有形及无形资产 如：人员、信息、过程、财产等等。,风险及其构成,风险评估,风险构成 风险因子间的关系,弱点,风险及其构成,风险评估,风险构成 风险与风险因子间的关系,威胁,威胁,威胁,威胁,风险及其构成,风险评估,风险构成 问题：,风险是否等同于弱点?风险是否等同于威胁?风险是否等同于资产的价值?风险是否可以随着人的意志而改变？,风险管理,风险评估,风险管理概念 是通过对潜在的风险的识别、分析与评价的基础上，选择适宜的处理风险措施和方法，以最少的管理成本，将风险导致的各种不利后果减低到可接受程度的管理方法和持续过程。是一个组织对风险的指挥和控制的一系列协调活动。包括了风险管理框架结构设计、风险管理实施、实施过程的监视与审查和框架的持续改进四个典型的PDCA循环。,风险管理,风险评估,沟通与咨询,监视与审查,风险识别,风险分析,风险评价,风险处置,建立环境,风险管理框架与实施过程,风险评估概念及其过程,风险评估,风险评估的概念 指在对资产及其威胁、弱点风险因素信息进行收集，识别与分析的基础上，对损失发生的可能性及损失/影响程度进行综合评判，给出风险程度的专家观点的过程。风险评估是风险管理的重要组成部分。,风险评估概念及其过程,风险评估,风险识别,风险分析,风险评价,评估范围界定,风险评估报告,沟通与咨询,监视与审查,风险评估过程,第二章 风险评估基本知识,主要内容 2.1风险评估概述 2.2风险评估方法 2.3安全解决方案,风险评估方法,风险评估,界定风险评估范围,风险评估方法,风险评估,风险识别,是风险评估过程的第一步。通过深入调查，识别出风险因素及其影响的对象、安全事件产生的原因。这项工作的目标，是建立完整的风险因素清单。,风险评估方法,风险评估,风险识别,风险 Risk,CIKR：重要基础设施及关键资源 Critical Infrastructure and Key Resources,风险评估,资产的特点,资产识别,资产是被保护对象资产是安全保卫需要顾及的因素资产特征决定了损失模式资产决定了评估内容,风险评估,资产的类型,资产识别,风险评估,资产-CIKR,突发事件如果造成对重要基础设施和关键资源的破坏，将会严重影响政府部门和经济界的正常运作，并产生一连串远远超出事件所针对部门和所发生区域的影响，甚至导致人民生命财产的巨大损失、经济衰退以及公民士气和国家信心的灾难性损失。NIPP,资产识别,风险评估,资产-CI-重要基础设施,食品与农业、国家标志与象征、金融、国防工业、化学与危险材料、水源、健康设施等。,资产识别,风险评估,资产-KR 关键资源,政府设施、水坝、商业设施、核电站 等。,资产识别,风险评估,资产 一般资产,资产识别,风险评估,资产损失模式,死亡、损毁以及直接的财务损失伤、病及持续的负面影响对社会及环境的影响损失后果被利用,资产识别,风险评估,资产 与威胁的相关性,资产,威胁,资产识别,风险评估,资产 决定风险评估内容,例：GA26 1992 军工产品储存库风险等级和安全防护级别的规定GA27 2002 文物系统博物馆风险等级和安全防护级别的规定GA38 2004 银行营业场所风险等级和安全防护级别的规定风险评估是针对特指的资产；构成风险的其他因素（威胁、弱点）同样特指某一资产；,资产识别,风险评估,威胁概念,威胁是可能对资产造成损害的潜在的原因；威胁是针对某一资产的实时状态；威胁带有指向性；威胁不仅来自系统外部。,威胁识别,风险评估,威胁分类,威胁,传统安全威胁,NTS威胁,背景性威胁,功能性威胁,威胁识别,风险评估,威胁背景性威胁,目标所处在的社会环境，构成了背景性威胁的主要特征。,威胁识别,风险评估,威胁功能性威胁,目标自身的业务特征所招致的安全威胁，称为功能性威胁。,威胁识别,风险评估,威胁威胁模式,威胁识别,风险评估,威胁 NTS IED,IED 临时爆炸装置,威胁识别,风险评估,威胁 NTS,CBR,CBR 化学、生物、放射性,威胁识别,风险评估,威胁 另一战线,威胁识别,风险评估,威胁 ETIM(东土尔其斯坦伊斯兰运动),在阿富汗境内库纳尔省（Kunar）或努尔斯坦省（Nurestan）境内的宗教学校（madrassa)接受训练的,来自中国新疆的维族少年。,威胁识别,风险评估,威胁 信息获取,获取威胁信息的渠道：公开的非公开的商业的,威胁识别,风险评估,威胁 信息获取,获取威胁信息的渠道：同域同业自身,威胁识别,风险评估,威胁,威胁,指向性,与资产特征相关 举例,威胁识别,风险评估,威胁 可能性-效果要件,威胁识别,风险评估,威胁 可能性-攻击数据库（威胁清单）分析历史威胁攻击事件，建立攻击数据库,关注所有的攻击事件，通过真实记录和规范分析，获得可能攻击特征的信息，将这些信息记入攻击数据库。,威胁识别,风险评估,威胁 可能性-信息验证,威胁识别,风险评估,威胁 可能性-描述,可能性（Likelihood）可以分级描述；概率（Probability）需要一个数值；不确定性意味着难以给出概率。资产不同，或安全防范态势不同，威胁会有多种可能性。,威胁识别,风险评估,弱点 概念,弱点是指可能被威胁所利用，导致资产损失的薄弱点 弱点可能源于建筑特点、设备状态、人的行为和业务流程薄弱是相对的，它取决于与其相邻环节的状态弱点来自某一特指的资产弱点是动态的,弱点识别,风险评估,弱点 发现弱点,弱点识别,风险评估,弱点 模型,ISO31010:2009 Risk Management Risk Assessment Techniques 风险管理 风险评估技术 罗列15种用于风险识别（Risk Identification）的方法,弱点识别,风险评估,弱点 模型 FTA 洛克比空难调查,1988年12月21日，泛美航空103号班机执行法兰克福伦敦纽约底特律航线。它成为恐怖袭击目标，飞机在苏格兰边境小镇洛克比（Lockerbie）上空爆炸，270人罹难。,弱点识别,风险评估,弱点 模型 FTA 洛克比空难调查,1-2,弱点识别,FTA法是从历史或同业的安全事件中寻找相似环节，从中分析类似的问题和薄弱环节在现实的关键资产中是否存在，以及发现事件的致因与关注因素之间的关系。,风险评估,弱点 模型 ATA（Attack Tree Analysis）,Bruce Scheiner 创建于1999 通过根目标 叶目标 节点，揭示攻击路径 用于发现和分析防范弱点和安全威胁,弱点识别,风险评估,弱点 模型 ATA例一,弱点识别,风险评估,弱点 模型 ATA-例二,弱点识别,风险评估,弱点 模型 ATA-应用,思考：如果我是攻击者 所攻击目标的价值有多大？我的机会？我的能力（资金、技能）？失手的损失？风险评估 决策（确定攻击路径）,弱点识别,风险评估,弱点 攻击路径,威胁Threat,资产Asset,A,B,C,D,弱点识别,资产易受侵害的弱点数目。利用弱点的难度。现有对策的有效性。,风险评估,弱点 模型 ATA-应用,思考：如果我是攻击者 所攻击目标的价值有多大？我的机会？我的能力（资金、技能）？失手的损失？风险评估 决策（确定攻击路径）,弱点识别,可能攻击路径：时间快捷；技能低；可视风险小；成本低。,风险评估,弱点 攻击路径,威胁Threat,资产Asset,A,B,C,D,弱点识别,资产易受侵害的弱点数目。利用弱点的难度。现有对策的有效性。,风险评估,弱点 模型 ATA-应用,思考：如果你是防范者 被防护对象的价值会引来什么样的攻击者？所有可能的攻击路径？当前最有可能的攻击路径？你们切断了这些路径吗？切断位置和次数？风险评估 决策。,弱点识别,风险评估,弱点 模型 ATA结果梳理,ATA结果梳理 1.路径描述 2.路径标识 3.投影分析,物理环境 业务流程 组织架构,弱点识别,风险评估,弱点 ATA结果梳理分析举例,弱点识别,风险评估,弱点 ATA结果梳理分析,弱点识别,风险评估,弱点 ATA结果梳理分析报告,弱点识别,风险评估方法,风险评估,风险分析,是风险评估过程的第二步。,风险分析的任务通过风险因子相关关系，确定：资产损失可能性损失后果,损失可能性 Likelihood Likelihood=(Vulnerabilities，Threat）,相对威胁而言，弱点属于既存的、状态相对稳定的因素，因此，在考虑损失可能性时，对威胁可能性的关注度要高于弱点变化。或者至少保证对威胁与弱点的同步关注。,风险分析,风险评估,损失可能性 等级 理论,风险分析,风险评估,损失可能性 等级 统计趋势,风险分析,风险评估,损失可能性 等级 薄弱点分布,风险分析,风险评估,损失可能性 原则,分析可能性时，需要把握的原则包括：威胁与弱点构成了攻击组合；威胁与弱点同与一项资产相关；可能存在多种组合，需要分别描述。,风险分析,风险评估,风险后果 Consequence Consequence=(Threat、Asset）,相对威胁而言，资产属于状态相对稳定的因素，因此，在考虑后果时，对威胁可能性的关注度要高于资产变化。同时要考虑NTS因素对资产的威胁。,风险分析,风险评估,损失后果 等级-理论,风险分析,风险评估,损失后果 等级,风险分析,风险评估,损失后果 分析原则,分析后果时,需要把握的原则包括:威胁与资产共同决定了后果/影响;资产特征和威胁能力影响后果。,风险分析,风险评估,是风险评估过程的第三步。包括：建立评价风险的表达方式；根据风险分析获得的风险要素，综合评定风险的等级。,风险评价,风险评估,风险表达形式 Risk=(Likelihood、Consequence）,风险Risk,后果Consequence,可能性Likelihood,威胁Threat,资产Asset,弱点Vulnerabilities,风险评价,风险评估,风险平面,任何一个风险，总能够在坐标平面上找到相对应的位置。风险若发生变化，无论是损失的后果变大（小），还是损失可能性增加（减少），都能够在风险平面上显示出来。,风险评价,风险评估,风险轮廓线 Risk=Likelihood Consequence=K,风险评价,风险评估,风险可接受区域,决定因素：价值观与安全文化 安全策略 安保资源 内部与外部环境,风险评价,风险评估,风险矩阵 Risk Matrix RM,RM是风险轮廓线的数字化；区域数量的确定，应考虑政策法 规标准的要求；顾及目标及其所在社区公共安全 预警和应急预案的要求。,风险评价,风险评估,风险等级 导入,风险评价,风险评估,风险处置对策，是风险管理的另一重要组成部分。其目的，是在前面进行的风险评价的基础上确定那些风险需要进行处理和风险处理的策略及优先顺位。,风险处置对策,风险评估,风险处置策略,风险评估,风险处理策略,现有的风险较低，在可接受的风险水平范围内；注意维持现状，不追加投入，或采取少量措施，巩固现有安全状况。,风险评估,风险处理策略,损失可能性高，但后果严重性不太高；开展犯罪预防与损失预防，降低损失可能性,风险评估,风险处理策略,损失发生的可能性不大，但后果非常严重投入安全资源有限，不能实行风险控制策略，转移到其它责任方，如保险等,风险评估,风险处理策略,损失发生的可能性大，后果也严重；以风险较低的解决方案，降低损失可能性和后果严重性；如关、停、限、监、控、隔,风险评估,风险的可接受标准,风险程度较低，即损失可能性、后果严重性均较低。最优成本：当再加入一点成本时，减少风险的花费就会大于收益。,风险评估的关键技术研究,如何确定各类关键资产的风险可接收标准；对于确定的高风险，采取什么措施进行风险控制，控制到什么程度；对于人们可以忍受的风险是否需要采取风险控制措施；可以忍受的风险在什么时候或在什么条件下会突然变成不能忍受的风险。,风险评估不是一劳永逸的工作。每当任务、设施和设备发生变化，都要重新做。,风险评估报告是风险评估结果的表现形式；风险评估报告针对特指的某一资产；报告中所描述的是该项资产在特指时间下的风险；风险评估报告将作为系统设计的依据；风险评估报告是一份安全敏感文件。,风险评估报告,风险评估报告 基本内容,风险评估报告,风险评估报告 解读 系统设计师,风险评估报告,风险评估报告 解读 风险识别 设计师应从风险评估报告中分辨：需要了解的风险；需要关注的风险；需要考虑的风险；需要处置的风险。,风险评估报告,。,本章思考题,1.2.3.4.5.,。,谢 谢！,