信息安全風(fēng)險(xiǎn)評估概論課件

第2講信息安全風(fēng)險(xiǎn)評估（一）北京郵電大學(xué)計(jì)算機(jī)學(xué)院副教授郭燕慧第2講信息安全風(fēng)險(xiǎn)評估（一）北京郵電大學(xué)計(jì)算機(jī)學(xué)院1概述風(fēng)險(xiǎn)評估方法詳細(xì)風(fēng)險(xiǎn)評估流程風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)評估簡例本講提綱概述本講提綱21概述1.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素1.2信息安全風(fēng)險(xiǎn)評估1.3風(fēng)險(xiǎn)要素相互間關(guān)系1概述1.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素31.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素資產(chǎn)威脅脆弱點(diǎn)風(fēng)險(xiǎn)影響安全措施安全需求1.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素資產(chǎn)4資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有價值的東西，資產(chǎn)包括：物理資產(chǎn)（如，計(jì)算機(jī)硬件，通訊設(shè)施，建筑物）；信息/數(shù)據(jù)（如，文件，數(shù)據(jù)庫）；軟件；提供產(chǎn)品和服務(wù)的能力；人員；無形資產(chǎn)（如，信譽(yù)，形象）。資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有5我國的《信息安全風(fēng)險(xiǎn)評估指南》認(rèn)為資產(chǎn)是指對組織具有價值的信息資源，是安全策略保護(hù)的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類，如表3-1所示我國的《信息安全風(fēng)險(xiǎn)評估指南》認(rèn)為6分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺式計(jì)算機(jī)、移動計(jì)算機(jī)等存儲設(shè)備：磁帶機(jī)、磁盤陣列等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗(yàn)證等其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫7兩種看法之比較：兩種定義基本上是一致的，所包含的內(nèi)容也基本是一致的，主要的區(qū)別在于后者把資產(chǎn)限定在“信息資源”范圍內(nèi)，這是基于信息安全風(fēng)險(xiǎn)評估應(yīng)的特殊性的考慮，信息安全風(fēng)險(xiǎn)評估應(yīng)重點(diǎn)分析信息資產(chǎn)面臨的風(fēng)險(xiǎn)。從具體分類明細(xì)看，后者還是包含了其他內(nèi)容，如保障設(shè)備、人員、企業(yè)形象、客戶關(guān)系等，這些未必都能視為信息資產(chǎn)。兩種看法之比較：8威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。9根據(jù)威脅源的不同，威脅可分為：自然威脅：指自然界的不可抗力導(dǎo)致的威脅環(huán)境威脅：指信息系統(tǒng)運(yùn)行環(huán)境中出現(xiàn)的重大災(zāi)害或事故所帶來的威脅系統(tǒng)威脅：指系統(tǒng)軟硬件故障所引發(fā)的威脅人員威脅：包含內(nèi)部人員與外部人員，由于內(nèi)部人員熟悉系統(tǒng)的運(yùn)行規(guī)則，內(nèi)部人員的威脅更為嚴(yán)重表2給出了需識別的威脅源以及其威脅的表現(xiàn)形式。根據(jù)威脅源的不同，威脅可分為：10威脅源常見表現(xiàn)形式自然威脅地震、颶風(fēng)、火山、洪水、海嘯、泥石流、暴風(fēng)雪、雪崩、雷電、其他環(huán)境威脅火災(zāi)、戰(zhàn)爭、重大疫情、恐怖主義、供電故障、供水故障、其他公共設(shè)施中斷、危險(xiǎn)物質(zhì)泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他系統(tǒng)威脅網(wǎng)絡(luò)故障、硬件故障、軟件故障、惡意代碼、存儲介質(zhì)的老化、其他外部人員網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息篡改、泄密、抵賴、其他。內(nèi)部人員未經(jīng)授權(quán)信息發(fā)布、未經(jīng)授權(quán)的信息讀寫、抵賴、電子攻擊（如利用系統(tǒng)漏洞提升權(quán)限）、物理破壞（系統(tǒng)或存儲介質(zhì)損壞）、盜竊、越權(quán)或?yàn)E用、誤操作威脅源常見表現(xiàn)形式自然威脅地震、颶風(fēng)、火山、洪水、海嘯11根據(jù)威脅的動機(jī)人員威脅又可分為惡意和無意兩種，但無論是無意行為還是惡意行為，都可能對信息系統(tǒng)構(gòu)成嚴(yán)重的損害，兩者都應(yīng)該予以重視根據(jù)威脅的動機(jī)12脆弱點(diǎn)脆弱點(diǎn)是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機(jī)制、系統(tǒng)機(jī)房任何人都可進(jìn)入等等。脆弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅出現(xiàn)，單純的脆弱點(diǎn)本身不會對資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。即：威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。資產(chǎn)的脆弱點(diǎn)具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個脆弱點(diǎn)。脆弱點(diǎn)脆弱點(diǎn)是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造13

脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個方面技術(shù)脆弱點(diǎn)是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行時在技術(shù)方面存在的缺陷或弱點(diǎn)。管理脆弱點(diǎn)則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時升級操作系統(tǒng)或其他應(yīng)用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護(hù)不夠完善數(shù)據(jù)庫訪問控制機(jī)制不嚴(yán)格都屬于技術(shù)脆弱點(diǎn)系統(tǒng)機(jī)房鑰匙管理不嚴(yán)、人員職責(zé)不清、未及時注銷離職人員對信息系統(tǒng)的訪問權(quán)限等脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個方面14風(fēng)險(xiǎn)風(fēng)險(xiǎn)指信息安全風(fēng)險(xiǎn)根據(jù)ISO/IEC13335-1，信息安全風(fēng)險(xiǎn)是指威脅利用一個或一組資產(chǎn)的脆弱點(diǎn)導(dǎo)致組織受損的潛在性，并以威脅利用脆弱點(diǎn)造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，是信息安全風(fēng)險(xiǎn)存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產(chǎn)很有價值，脆弱點(diǎn)很嚴(yán)重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點(diǎn)，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。風(fēng)險(xiǎn)可以形式化的表示為：R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、A表示資產(chǎn)、T表示威脅、V表示脆弱點(diǎn)。風(fēng)險(xiǎn)風(fēng)險(xiǎn)指信息安全風(fēng)險(xiǎn)15影響影響是威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、直接的資金損失等；間接的損失如公司信用、形象受損、、市場分額損失、法律責(zé)任等。在信息安全領(lǐng)域，直接的損失往往容易估計(jì)且損失較小，間接的損失難易估計(jì)且常常比直接損失更為嚴(yán)重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價值、修復(fù)所需的人力物力等；而間接損失則較為復(fù)雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。影響影響是威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。這16安全措施安全措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱點(diǎn)、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應(yīng)而采取的各種實(shí)踐、規(guī)程和機(jī)制的總稱。有效的安全通常要求不同安全措施的結(jié)合以為資產(chǎn)提供多級的安全。例如，應(yīng)用于計(jì)算機(jī)的訪問控制機(jī)制應(yīng)被審計(jì)控制、人員管理、培訓(xùn)和物理安全所支持。安全措施安全措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱點(diǎn)、限制17安全措施可能實(shí)現(xiàn)一個或多個下列功能：保護(hù)、震懾、檢測、限制、糾正、恢復(fù)、監(jiān)視、安全意識等。同功能的安全措施需要不同的成本，同時能夠?qū)崿F(xiàn)多個功能的安全措施通常具有更高的成本有效性。安全措施的實(shí)施領(lǐng)域包括：物理環(huán)境、技術(shù)領(lǐng)域、人員、管理等，可用的安全措施包括：訪問控制機(jī)制、防病毒軟件、加密機(jī)制、數(shù)字簽名、防火墻、監(jiān)視與分析工具、冗余電力供應(yīng)、信息備份等。安全措施可能實(shí)現(xiàn)一個或多個下列功能：保護(hù)、震懾、檢測、限制、18安全需求安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。安全需求可體現(xiàn)在技術(shù)、組織管理等多個方面。如關(guān)鍵數(shù)據(jù)或系統(tǒng)的的機(jī)密性、可用性、完整性需求、法律法規(guī)的符合性需求、人員安全意識培訓(xùn)需求、信息系統(tǒng)運(yùn)行實(shí)時監(jiān)控的需求等。安全需求安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施191.2信息安全風(fēng)險(xiǎn)評估信息安全風(fēng)險(xiǎn)評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識別、分析，并在此基礎(chǔ)上選取相應(yīng)的安全措施，將組織面臨的信息安全風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，以此達(dá)到保護(hù)信息系統(tǒng)安全的目的。1.2信息安全風(fēng)險(xiǎn)評估信息安全風(fēng)險(xiǎn)評估的基本思路是在信息安20信息安全風(fēng)險(xiǎn)評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱點(diǎn)導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。狹義的風(fēng)險(xiǎn)評估包括：評估前準(zhǔn)備、資產(chǎn)識別與評估、威脅識別與評估、脆弱點(diǎn)識別與評估、當(dāng)前安全措施的識別與評估、風(fēng)險(xiǎn)分析以及根據(jù)風(fēng)險(xiǎn)評估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險(xiǎn)的過程。信息安全風(fēng)險(xiǎn)評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系211.3風(fēng)險(xiǎn)要素相互間關(guān)系資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，是信息安全風(fēng)險(xiǎn)存在的基本條件，缺一不可。除此之外，與信息安全風(fēng)險(xiǎn)有關(guān)的要素還包括：安全措施、安全需求、影響等。ISO/IEC13335-1對它們之間的關(guān)系描述如圖3-1所示，主要表現(xiàn)在：威脅利用脆弱點(diǎn)將導(dǎo)致安全風(fēng)險(xiǎn)的產(chǎn)生；資產(chǎn)具有價值，并對組織業(yè)務(wù)有一定影響，資產(chǎn)價值及影響越大則其面臨的風(fēng)險(xiǎn)越大；安全措施能抵御威脅、減少脆弱點(diǎn)，因而能減小安全風(fēng)險(xiǎn)；風(fēng)險(xiǎn)的存在及對風(fēng)險(xiǎn)的認(rèn)識導(dǎo)出保護(hù)需求，保護(hù)需求通過安全措施來滿足或?qū)崿F(xiàn)。1.3風(fēng)險(xiǎn)要素相互間關(guān)系資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的22信息安全風(fēng)險(xiǎn)評估概論課件23我國的《信息安全風(fēng)險(xiǎn)評估指南》對ISO/IEC13335-1提出風(fēng)險(xiǎn)要素關(guān)系模型進(jìn)行了擴(kuò)展，擴(kuò)展后的風(fēng)險(xiǎn)要素關(guān)系模型如圖3-2所示安全措施

抵御業(yè)務(wù)戰(zhàn)略脆弱點(diǎn)安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值我國的《信息安全風(fēng)險(xiǎn)評估指南》對ISO/IEC13335-24風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn)；資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大；資產(chǎn)價值越大則其面臨的風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件；弱點(diǎn)越多，威脅利用脆弱點(diǎn)導(dǎo)致安全事件的可能性越大；脆弱點(diǎn)是未被滿足的安全需求，威脅要通過利用脆弱點(diǎn)來危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；風(fēng)險(xiǎn)的存在及對風(fēng)險(xiǎn)的認(rèn)識導(dǎo)出安全需求；風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：25安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實(shí)施成本；安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還會有殘留下來的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)來自于安全措施可能不當(dāng)或無效,在以后需要繼續(xù)控制，而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的；殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。與ISO/IEC13335提供的風(fēng)險(xiǎn)要素關(guān)系模型相比，我國《信息安全風(fēng)險(xiǎn)評估指南》對安全風(fēng)險(xiǎn)描述更詳細(xì)、更具體、更透徹。安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實(shí)施成本262風(fēng)險(xiǎn)評估方法2.1概述2.2基線風(fēng)險(xiǎn)評估方法2.3詳細(xì)風(fēng)險(xiǎn)評估方法2.4綜合風(fēng)險(xiǎn)評估方法2風(fēng)險(xiǎn)評估方法2.1概述272.1概述不同的組織有不同的安全需求和安全戰(zhàn)略，風(fēng)險(xiǎn)評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險(xiǎn)評估進(jìn)展的某些因素，包括評估時間、力度、展開幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對不同的情況來選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評估方法。常見的風(fēng)險(xiǎn)評估方法有三種：基線風(fēng)險(xiǎn)評估方法詳細(xì)風(fēng)險(xiǎn)評估方法綜合風(fēng)險(xiǎn)評估方法2.1概述不同的組織有不同的安全需求和安全戰(zhàn)略，風(fēng)險(xiǎn)評估的282.2基線風(fēng)險(xiǎn)評估方法概念基線風(fēng)險(xiǎn)評估要求組織根據(jù)自己的實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對信息系統(tǒng)進(jìn)行基線安全檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距），得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險(xiǎn)。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。2.2基線風(fēng)險(xiǎn)評估方法概念29組織可以根據(jù)以下資源來選擇安全基線：國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，例如ISO17799、ISO13335；行業(yè)標(biāo)準(zhǔn)或推薦，例如德國聯(lián)邦安全局的《IT基線保護(hù)手冊》；來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。組織可以根據(jù)以下資源來選擇安全基線：30這種方法優(yōu)點(diǎn)是：風(fēng)險(xiǎn)分析和每個防護(hù)措施的實(shí)施管理只需要最少數(shù)量的資源，并且在選擇防護(hù)措施時花費(fèi)更少的時間和努力；如果組織的大量系統(tǒng)都在普通環(huán)境下運(yùn)行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護(hù)措施而不需要太多的努力。這種方法的缺點(diǎn)是：基線水平難以設(shè)置，如果基線水平設(shè)置的過高，有些IT系統(tǒng)可能會有過高的安全等級；如果基線水平設(shè)置的過低，有些IT系統(tǒng)可能會缺少安全，導(dǎo)致更高層次的暴露；風(fēng)險(xiǎn)評估不全面、不透徹，且不易處理變更。例如，如果一個系統(tǒng)升級了，就很難評估原來的基線防護(hù)措施是否充分。這種方法優(yōu)點(diǎn)是：31綜合評價雖然當(dāng)安全基線已建立的情況下，基線評估成本低、易于實(shí)施。但由于不同組織信息系統(tǒng)千差萬別，信息系統(tǒng)的威脅時刻都在變化，很難制定全面的、具有廣泛適用性的安全基線，而組織自行建立安全基線成本很高。目前世界上還沒有全面、統(tǒng)一的、能符合組織目標(biāo)的、值得信賴的安全基線，因而基線評估方法開展并不普遍。綜合評價322.3詳細(xì)風(fēng)險(xiǎn)評估方法概念詳細(xì)風(fēng)險(xiǎn)評估要求對資產(chǎn)、威脅和脆弱點(diǎn)進(jìn)行詳細(xì)識別和評價，并對可能引起風(fēng)險(xiǎn)的水平進(jìn)行評估，這通過不期望事件的潛在負(fù)面業(yè)務(wù)影響評估和他們發(fā)生的可能性來完成。不期望事件可能表現(xiàn)為直接形式，如直接的經(jīng)濟(jì)損失，如物理設(shè)備的破壞；也可能表現(xiàn)為間接的影響，如法律責(zé)任、公司信譽(yù)及形象的損失等。不期望事件發(fā)生的可能性依賴于資產(chǎn)對于潛在攻擊者的吸引力、威脅出現(xiàn)的可能性以及脆弱點(diǎn)被利用的難易程度。根據(jù)風(fēng)險(xiǎn)評估的結(jié)果來識別和選擇安全措施，將風(fēng)險(xiǎn)降低到可接受的水平。2.3詳細(xì)風(fēng)險(xiǎn)評估方法概念33這種方法的優(yōu)點(diǎn)是：有可能為所有系統(tǒng)識別出適當(dāng)?shù)陌踩胧?；詳?xì)分析的結(jié)果可用于安全變更管理。這種方法的缺點(diǎn)是需要更多的時間、努力和專業(yè)知識。目前，世界各國推出的風(fēng)險(xiǎn)評估方法多屬于這一類，如AS/NZS4360、NISTSP800-30、OCTAVE以及我國的《信息安全風(fēng)險(xiǎn)評估指南》中所提供的方法。這種方法的優(yōu)點(diǎn)是：342.4綜合風(fēng)險(xiǎn)評估方法概述基線風(fēng)險(xiǎn)評估耗費(fèi)資源少、周期短、操作簡單，但不夠準(zhǔn)確，適合一般環(huán)境的評估；詳細(xì)風(fēng)險(xiǎn)評估準(zhǔn)確而細(xì)致，但耗費(fèi)資源較多，適合嚴(yán)格限定邊界的較小范圍內(nèi)的評估。因而實(shí)踐當(dāng)中，組織多是采用二者結(jié)合的綜合評估方式。2.4綜合風(fēng)險(xiǎn)評估方法概述35ISO/IEC13335-3提出了綜合風(fēng)險(xiǎn)評估方法，其實(shí)施流程如圖3-3所示：ISO/IEC13335-3提出了綜合風(fēng)險(xiǎn)評估方法，其實(shí)施36綜合風(fēng)險(xiǎn)評估的第一步是高層風(fēng)險(xiǎn)分析，其目的是確定每個IT系統(tǒng)所采用的風(fēng)險(xiǎn)分析方法（基線或詳細(xì)風(fēng)險(xiǎn)分析）。高層風(fēng)險(xiǎn)分析考慮IT系統(tǒng)及其處理信息的業(yè)務(wù)價值，以及從組織業(yè)務(wù)角度考慮的風(fēng)險(xiǎn)。然后，依據(jù)高層風(fēng)險(xiǎn)分析的決定，對相應(yīng)的IT系統(tǒng)實(shí)施基線風(fēng)險(xiǎn)分析或詳細(xì)風(fēng)險(xiǎn)分析。接下來是依據(jù)基線風(fēng)險(xiǎn)分析與詳細(xì)風(fēng)險(xiǎn)分析的結(jié)果選取相應(yīng)的安全措施，并檢查上述安全措施實(shí)施后，信息系統(tǒng)的殘余風(fēng)險(xiǎn)是否在可接受范圍內(nèi)，對不可接受的風(fēng)險(xiǎn)需要進(jìn)一步加強(qiáng)安全措施，必要時應(yīng)采取再評估。綜合風(fēng)險(xiǎn)評估的最后兩步是IT系統(tǒng)安全策略和IT安全計(jì)劃，IT系統(tǒng)安全策略是前面各階段評估結(jié)果的結(jié)晶，包括系統(tǒng)安全目標(biāo)、系統(tǒng)邊界、系統(tǒng)資產(chǎn)、威脅、脆弱點(diǎn)、所選取的安全措施、安全措施選取的原因、費(fèi)用估計(jì)等。IT安全計(jì)劃則處理如何去實(shí)施所選取的安全措施。綜合風(fēng)險(xiǎn)評估的第一步是高層風(fēng)險(xiǎn)分析，其目的是確定每個IT系統(tǒng)37綜合評估方法將基線和詳細(xì)風(fēng)險(xiǎn)評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估所耗費(fèi)的資源，又能確保獲得一個全面系統(tǒng)的評估結(jié)果，而且，組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。當(dāng)然，綜合評估也有缺點(diǎn)：如果初步的高級風(fēng)險(xiǎn)分析不夠準(zhǔn)確，某些本來需要詳細(xì)評估的系統(tǒng)也許會被忽略，最終導(dǎo)致某些嚴(yán)重的風(fēng)險(xiǎn)未被發(fā)現(xiàn)。綜合評估方法將基線和詳細(xì)風(fēng)險(xiǎn)評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估383詳細(xì)風(fēng)險(xiǎn)評估流程3.1概述3.2風(fēng)險(xiǎn)評估準(zhǔn)備階段3.3資產(chǎn)識別與評估3.4威脅識別與評估3.5脆弱點(diǎn)識別與評估3.6已有安全措施的確認(rèn)3.7風(fēng)險(xiǎn)分析3.8安全措施的選取3.9風(fēng)險(xiǎn)評估文件和記錄3詳細(xì)風(fēng)險(xiǎn)評估流程3.1概述393.1概述AS/NZS4360、NISTSP800-30、OCTAVE以及我國的《信息安全風(fēng)險(xiǎn)評估指南》提供的風(fēng)險(xiǎn)評估方法基本都屬于詳細(xì)風(fēng)險(xiǎn)評估方法，雖然具體流程有一定的差異，都是圍繞資產(chǎn)、威脅、脆弱點(diǎn)識別與評估展開，并進(jìn)一步分析不期望事件發(fā)生的可能性及其對組織的影響，最后考慮如何選取合適的安全措施，把安全風(fēng)險(xiǎn)降低到可以接受的程度。3.1概述AS/NZS4360、NISTSP800-3040AS/NZS4360-澳大利亞/新西蘭風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)AS/NZS4360是ISO9000系列的補(bǔ)充件,可應(yīng)用于與一個組織所有活動相關(guān)的風(fēng)險(xiǎn)管理之中,具有極廣泛的適用性,為各種類型組織提供了一套通用的風(fēng)險(xiǎn)管理模式和總體框架。AS/NZS4360有一套輔助性的標(biāo)準(zhǔn)與其相輔相成,更增加了實(shí)用性和廣泛適用性。澳洲風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)把分析風(fēng)險(xiǎn)背景放在第一步,將風(fēng)險(xiǎn)管理的目標(biāo)與組織目標(biāo)以及各利益相關(guān)方的要求整合在一起;并且強(qiáng)調(diào)風(fēng)險(xiǎn)溝通,充分發(fā)揮團(tuán)隊(duì)精神,調(diào)動各方面的積極性,從而為風(fēng)險(xiǎn)管理成功創(chuàng)造了良好的環(huán)境。AS/NZS4360-澳大利亞/新西蘭風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)41NISTSP800-30SP800系列特別報(bào)告書是關(guān)于ITL（美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會NIST信息技術(shù)實(shí)驗(yàn)室）在計(jì)算機(jī)安全等領(lǐng)域所進(jìn)行的研究、指導(dǎo)和成果以及在此領(lǐng)域與業(yè)界、政府和學(xué)術(shù)組織協(xié)同工作的報(bào)告NISTSO800-30《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》中描述了風(fēng)險(xiǎn)管理方法，而且結(jié)合系統(tǒng)發(fā)展生命周期的各個階段，說明風(fēng)險(xiǎn)管理過程與系統(tǒng)授權(quán)過程的緊密聯(lián)系；提出了風(fēng)險(xiǎn)評估的方法論和一般原則，對分級的定義言簡意賅，基本采用3級定義法，比較適合初步開展風(fēng)險(xiǎn)評估的組織使用NISTSP800-3042OCTAVE-可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評估（Operational

Critical

Threat,Asset,VulnerabilityEvaluation)是由美國卡耐基.梅隆大學(xué)軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的一種信息安全風(fēng)險(xiǎn)評估的方法.OCTAVE的基本原則:自主、適應(yīng)度量、已定義的過程、連續(xù)過程的基礎(chǔ)，它由一系列循序漸進(jìn)的討論會組成，每個討論會都需要其參與者之間的交流和溝通。OCTAVE使組織能夠理清復(fù)雜的組織問題和技術(shù)問題，了解安全問題，改善組織的安全狀況并解決信息安全風(fēng)險(xiǎn)，而無需過分依賴外部專家和廠商。OCTAVE包括兩種具體方法：面向大型組織的OCTAVE

Method和面向小型組織的OCTAVE-SOCTAVE-可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評估（Operat43風(fēng)險(xiǎn)評估可分為四個階段:第一階段為風(fēng)險(xiǎn)評估準(zhǔn)備；第二階段為風(fēng)險(xiǎn)識別，包括資產(chǎn)識別、威脅識別、脆弱點(diǎn)識別等工作；第三階段為風(fēng)險(xiǎn)評價，包括風(fēng)險(xiǎn)的影響分析、可能性分析以及風(fēng)險(xiǎn)的計(jì)算等，具體涉及到資產(chǎn)、威脅、脆弱點(diǎn)、當(dāng)前安全措施的評價等；第四階段為風(fēng)險(xiǎn)處理，主要工作是依據(jù)風(fēng)險(xiǎn)評估的結(jié)果選取適當(dāng)?shù)陌踩胧?，將風(fēng)險(xiǎn)降低到可接受的程度。風(fēng)險(xiǎn)評估可分為四個階段:44我國的《信息安全風(fēng)險(xiǎn)評估指南》提出的風(fēng)險(xiǎn)評估流程如圖3-4所示否是否圖3-4風(fēng)險(xiǎn)評估實(shí)施流程圖是風(fēng)險(xiǎn)評估準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的安全措施施施施選擇適當(dāng)?shù)陌踩胧┎⒃u估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱點(diǎn)識別與評價威脅識別與評價資產(chǎn)識別與評價是否接受殘余風(fēng)險(xiǎn)

風(fēng)險(xiǎn)分析評估過程文檔評估過程文檔風(fēng)險(xiǎn)評估文件記錄評估結(jié)果文檔…我國的《信息安全風(fēng)險(xiǎn)評估指南》提出的風(fēng)險(xiǎn)評估流程如圖3-4所453.2風(fēng)險(xiǎn)評估準(zhǔn)備階段風(fēng)險(xiǎn)評估的準(zhǔn)備是整個風(fēng)險(xiǎn)評估過程有效性的保證。其工作主要包括:確定風(fēng)險(xiǎn)評估目標(biāo):風(fēng)險(xiǎn)評估的準(zhǔn)備階段應(yīng)明確風(fēng)險(xiǎn)評估的目標(biāo)，為風(fēng)險(xiǎn)評估的過程提供導(dǎo)向。信息系統(tǒng)是重要的資產(chǎn)，其機(jī)密性、完整性和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和組織形象是必要的。組織要面對來自內(nèi)、外部日益增長的安全威脅，信息系統(tǒng)是威脅的主要目標(biāo)。由于業(yè)務(wù)信息化程度不斷提高，對信息技術(shù)的依賴日益增加，一個組織可能出現(xiàn)更多的脆弱點(diǎn)。風(fēng)險(xiǎn)評估的目標(biāo)是滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要，或符合相關(guān)方的要求，或遵守法律法規(guī)的規(guī)定等。確定風(fēng)險(xiǎn)評估的對象和范圍：基于風(fēng)險(xiǎn)評估目標(biāo)確定風(fēng)險(xiǎn)評估的對象和范圍是完成風(fēng)險(xiǎn)評估的前提。風(fēng)險(xiǎn)評估的對象可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個獨(dú)立的系統(tǒng)，關(guān)鍵業(yè)務(wù)流程，與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。3.2風(fēng)險(xiǎn)評估準(zhǔn)備階段風(fēng)險(xiǎn)評估的準(zhǔn)備是整個風(fēng)險(xiǎn)評估過程有效46組建團(tuán)隊(duì)：組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評估管理與實(shí)施團(tuán)隊(duì)，以支持整個過程的推進(jìn)，如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評估小組。評估團(tuán)隊(duì)?wèi)?yīng)能夠保證風(fēng)險(xiǎn)評估工作的有效開展。選擇方法：應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)。獲得支持：上述所有內(nèi)容確定后應(yīng)得到組織的最高管理者的支持、批準(zhǔn)，并對管理層和技術(shù)人員進(jìn)行傳達(dá)，應(yīng)在組織范圍就風(fēng)險(xiǎn)評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確各有關(guān)人員在風(fēng)險(xiǎn)評估中的任務(wù)。組建團(tuán)隊(duì)：組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評估管理與實(shí)施團(tuán)隊(duì)，以支持整個過程的47準(zhǔn)備相關(guān)的評估工具：為保證風(fēng)險(xiǎn)評估的順利進(jìn)行，需要相應(yīng)的評估工具支持，如信息收集工具、數(shù)據(jù)及文檔管理工具。信息收集工具主要是漏洞掃描工具、滲透性測試工具等，常用的漏洞掃描工具有

Nessus、GFILANguard、Retina、CoreImpact、ISSInternetScanner、X-scan、Sara、QualysGuard、SAINT、MBSANessus、ISS

Internet

Scanner、NetRecon等。數(shù)據(jù)及文檔管理工具主要用來收集和管理評估所需要的數(shù)據(jù)和資料，并根據(jù)需要的格式生成各種報(bào)表，幫助決策。這類工具可由用戶根據(jù)評估的需要自行或委托第三方開發(fā)對應(yīng)的管理系統(tǒng)，協(xié)助評估數(shù)據(jù)的管理。準(zhǔn)備相關(guān)的評估工具：為保證風(fēng)險(xiǎn)評估的順利進(jìn)行，需要相應(yīng)的評估483.3資產(chǎn)識別與評估資產(chǎn)識別資產(chǎn)識別是風(fēng)險(xiǎn)識別的必要環(huán)節(jié)。資產(chǎn)識別的任務(wù)就是對確定的評估對象所涉及或包含的資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識，由于它以多種形式存在，有無形的、有形的。資產(chǎn)識別過程中要特別注意無形資產(chǎn)的遺漏，同時還應(yīng)注意不同資產(chǎn)間的相互依賴關(guān)系，關(guān)系緊密的資產(chǎn)可作為一個整體來考慮，同一中類型的資產(chǎn)也應(yīng)放在一起考慮。資產(chǎn)識別的方法主要有訪談、現(xiàn)場調(diào)查、問卷、文檔查閱等。3.3資產(chǎn)識別與評估資產(chǎn)識別49資產(chǎn)評估資產(chǎn)的評價是對資產(chǎn)的價值或重要程度進(jìn)行評估，資產(chǎn)本身的貨幣價值是資產(chǎn)價值的體現(xiàn)，但更重要的是資產(chǎn)對組織關(guān)鍵業(yè)務(wù)的順利開展乃至組織目標(biāo)實(shí)現(xiàn)的重要程度。由于多數(shù)資產(chǎn)不能以貨幣形式的價值來衡量，資產(chǎn)評價很難以定量的方式來進(jìn)行，多數(shù)情況下只能以定性的形式，依據(jù)重要程度的不同劃分等級，具體劃分為多少級應(yīng)根據(jù)具體問題具體分析，如5級劃分方法為：非常重要、重要、比較重要、不太重要、不重要等，對這些定性值也可賦以相應(yīng)的定量值，如：5、4、3、2、1。資產(chǎn)評估50通常信息資產(chǎn)的機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性等是評價資產(chǎn)的安全屬性。信息安全風(fēng)險(xiǎn)評估中資產(chǎn)的價值可由資產(chǎn)在這些安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的?？梢韵确謩e對資產(chǎn)在以上各方面的重要程度進(jìn)行評估，然后通過一定的方法進(jìn)行綜合,可得資產(chǎn)的綜合價值。通常信息資產(chǎn)的機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性等51若資產(chǎn)在機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性的賦值分別記為VAc、VAi、VAa、VAac、VAn,綜合價值記為VA，綜合的方法可以是：最大原則：資產(chǎn)價值在機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性方面不是均衡的，在某個方面可能大，某個方面可能小，最大原則是取最大的那個方面的賦值作為綜合評價值,即VA=max{VAc,VAi,VAaVAac、VAn}。加權(quán)原則，根據(jù)機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性保護(hù)對組織業(yè)務(wù)開展影響的大小，分別為機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性賦予一非負(fù)的權(quán)值Wc、Wi、WaWac、Wn（Wc+Wi+Wa+Wac+Wn=1），綜合機(jī)制由加權(quán)求得，即VA=VAc*Wc+VAi*Wi+VAa*Wa+VAacC*Wac+VAn*Wn。若資產(chǎn)在機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性的賦值分52在資產(chǎn)評價方面，我國的《信息安全風(fēng)險(xiǎn)評估指南》推薦了一種方法，就是先對資產(chǎn)在機(jī)密性、完整性、可用性三個方面分別進(jìn)行定性賦值，然后通過一定的方法進(jìn)行綜合，所使用的綜合方法基本屬于最大原則。以下是所給出的機(jī)密性、完整性、可用性賦值表。在資產(chǎn)評價方面，我國的《信息安全風(fēng)險(xiǎn)評估指南》推薦了一種方法53賦值標(biāo)識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等賦值標(biāo)識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命543.4威脅識別與評估威脅識別威脅是構(gòu)成風(fēng)險(xiǎn)的必要組成部分，因而威脅識別是風(fēng)險(xiǎn)識別的必要環(huán)節(jié)，威脅識別的任務(wù)是對組織資產(chǎn)面臨的威脅進(jìn)行全面的標(biāo)識。威脅識別可從威脅源進(jìn)行分析，也可根據(jù)有關(guān)標(biāo)準(zhǔn)、組織所提供的威脅參考目錄進(jìn)行分析。3.4威脅識別與評估威脅識別55德國的《IT基線保護(hù)手冊》將威脅分為五大類，分別是：不可抗力、組織缺陷、人員錯誤、技術(shù)錯誤、故意行為。每種類型威脅具體包含幾十到一百多種威脅，手冊分別對每類威脅進(jìn)行了詳細(xì)列舉和說明，因而是威脅識別的重要參考德國的《IT基線保護(hù)手冊》將威脅分為五大類，分別是：不可抗力56OCTAVE-則通過建立威脅配置文件來進(jìn)行威脅識別與分析，威脅配置文件包括5個屬性，分別是：資產(chǎn)（assert）、訪問(access)、主體(actor)、動機(jī)(motive)、后果(outcome)，如人類利用網(wǎng)絡(luò)訪問對資產(chǎn)的威脅及系統(tǒng)故障對資產(chǎn)的威脅的配置文件分別對應(yīng)圖3-4和圖3-5所示的威脅樹：OCTAVE-則通過建立威脅配置文件來進(jìn)行威脅識別與分析，威57圖3-4人類利用網(wǎng)絡(luò)訪問的威脅樹圖3-4人類利用網(wǎng)絡(luò)訪問的威脅樹58圖3-5系統(tǒng)故障威脅樹圖3-5系統(tǒng)故障威脅樹59威脅評估以下三個方面的內(nèi)容，對威脅評估很有幫助。（1)以往安全事件報(bào)告中出現(xiàn)過的威脅、威脅出現(xiàn)頻率、破壞力的統(tǒng)計(jì)；（2)實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；（3)近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅出現(xiàn)頻率及其破壞力的統(tǒng)計(jì)。威脅評估60威脅評估的結(jié)果一般都是定性的，我國的《信息安全風(fēng)險(xiǎn)評估指南》將威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。如表4－4所示。威脅評估的結(jié)果一般都是定性的，我國的《信息安全風(fēng)險(xiǎn)評估指南》61等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實(shí)多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實(shí)曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可623.5脆弱點(diǎn)識別與評估脆弱點(diǎn)識別脆弱點(diǎn)識別也稱為弱點(diǎn)識別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。脆弱點(diǎn)識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱點(diǎn)涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱點(diǎn)又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。3.5脆弱點(diǎn)識別與評估脆弱點(diǎn)識別63對不同的對象，其脆弱點(diǎn)識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。例如：對物理環(huán)境的脆弱點(diǎn)識別可以參照《GB/T

9361－2000計(jì)算機(jī)場地安全要求》中的技術(shù)指標(biāo)實(shí)施；對操作系統(tǒng)、數(shù)據(jù)庫可以參照《GB

17859－1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》中的技術(shù)指標(biāo)實(shí)施。管理脆弱點(diǎn)識別方面可以參照《ISO/IEC17799-2005Codeofpracticeforinformationsecuritymanagement》的要求對安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。對不同的對象，其脆弱點(diǎn)識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)64我國的《信息安全風(fēng)險(xiǎn)評估指南》列舉了不同對象的脆弱點(diǎn)識別內(nèi)容參考，如表3-7所示我國的《信息安全風(fēng)險(xiǎn)評估指南》列舉了不同對象的脆弱點(diǎn)識別內(nèi)容65類型識別對象識別內(nèi)容技術(shù)脆弱點(diǎn)物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。服務(wù)器（含操作系統(tǒng)）從物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。數(shù)據(jù)庫從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識別。應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別。管理脆弱點(diǎn)技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性類型識別對象識別內(nèi)容技術(shù)脆弱點(diǎn)物理環(huán)境從機(jī)房場地、機(jī)房防火66資產(chǎn)的脆弱點(diǎn)具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個弱點(diǎn)。脆弱點(diǎn)識別將針對每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點(diǎn)，并對脆弱點(diǎn)的嚴(yán)重程度進(jìn)行評估。脆弱點(diǎn)識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱點(diǎn)識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。資產(chǎn)的脆弱點(diǎn)具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯67脆弱點(diǎn)評估脆弱點(diǎn)評估就是是對脆弱點(diǎn)被利用后對資產(chǎn)損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)流行程度進(jìn)行評估，評估的結(jié)果一般都是定性等級劃分形式，綜合的標(biāo)識脆弱點(diǎn)的嚴(yán)重程度。也可以對脆弱點(diǎn)被利用后對資產(chǎn)的損害程度以及被利用的可能性分別評估，然后以一定方式綜合。若很多弱點(diǎn)反映的是同一方面的問題，應(yīng)綜合考慮這些脆弱點(diǎn)，最終確定這一方面的脆弱點(diǎn)嚴(yán)重程度。脆弱點(diǎn)評估68我國的《信息安全風(fēng)險(xiǎn)評估指南》依據(jù)脆弱點(diǎn)被利用后，對資產(chǎn)造成的危害程度，將脆弱點(diǎn)嚴(yán)重程度的等級劃分為五級，分別代表資產(chǎn)脆弱點(diǎn)嚴(yán)重程度的高低。等級數(shù)值越大，脆弱點(diǎn)嚴(yán)重程度越高。如表3-8所示。等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害

2低如果被威脅利用，將對資產(chǎn)造成較小損害

1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略

我國的《信息安全風(fēng)險(xiǎn)評估指南》依據(jù)脆弱點(diǎn)被利用后，對資產(chǎn)造成693.6已有安全措施的確認(rèn)安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性。這可以通過兩個方面的作用來實(shí)現(xiàn)，一方面是減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓(xùn)可以減少無意行為導(dǎo)致安全事件出現(xiàn)的頻率；另一方面是減少脆弱點(diǎn)，如及時為系統(tǒng)打補(bǔ)丁、對硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱點(diǎn)等。保護(hù)性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。3.6已有安全措施的確認(rèn)安全措施可以分為預(yù)防性安全措施和保70對已采取的安全措施進(jìn)行確認(rèn)，至少有兩個方面的意義。一方面，這有助于對當(dāng)前信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析，由于安全措施能夠減少安全事件發(fā)生的可能性及影響，對當(dāng)前安全措施進(jìn)行分析與確認(rèn)，是資產(chǎn)評估、威脅評估、脆弱點(diǎn)評估的有益補(bǔ)充，其結(jié)果可用于后面的風(fēng)險(xiǎn)分析；另一方面，通過對當(dāng)前安全措施的確認(rèn)，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消，或者用更合適的安全措施替代，這有足于隨后進(jìn)行的安全措施的選取。該步驟的主要任務(wù)是，對當(dāng)前信息系統(tǒng)所采用的安全措施進(jìn)行標(biāo)識，并對其預(yù)期功能、有效性進(jìn)行分析。對已采取的安全措施進(jìn)行確認(rèn)，至少有兩個方面的意義。713.7風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就是利用資產(chǎn)、威脅、脆弱點(diǎn)識別與評估結(jié)果以及已有安全措施的確認(rèn)與分析結(jié)果，對資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析。由于安全風(fēng)險(xiǎn)總是以威脅利用脆弱點(diǎn)導(dǎo)致一系列安全事件的形式體現(xiàn)出來，風(fēng)險(xiǎn)的大小是由安全事件造成的影響以及其發(fā)生的可能性來決定，風(fēng)險(xiǎn)分析的主要任務(wù)就是分析當(dāng)前環(huán)境下，安全事件發(fā)生的可能性以及造成的影響，然后利用一定的方法計(jì)算風(fēng)險(xiǎn)。3.7風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就是利用資產(chǎn)、威脅、脆弱點(diǎn)識別與評估72風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)可形式化的表示為R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、A表示資產(chǎn)、T表示威脅、V表示脆弱點(diǎn)。相應(yīng)的風(fēng)險(xiǎn)值由A、T、V的取值決定，是它們的函數(shù)，可以表示為：VR=R(A,T,V)=R(L(A,T,V)，F(xiàn)(A,T,V))其中，L(A,T,V)、F(A,T,V)分別表示對應(yīng)安全事件發(fā)生的可能性及影響，它們也都是資產(chǎn)、威脅、脆弱點(diǎn)的函數(shù)，但其表達(dá)式很難給出。而風(fēng)險(xiǎn)則可表示為可能性L和影響F的函數(shù)，簡單的處理就是將安全事件發(fā)生的可能性L與安全事件的影響F相乘得到風(fēng)險(xiǎn)值，實(shí)際就是平均損失，即VR=L(A,T,V)×F(A,T,V)。風(fēng)險(xiǎn)計(jì)算73我國的《信息安全風(fēng)險(xiǎn)評估指南》在風(fēng)險(xiǎn)分析方面采用了簡化的處理方法，其風(fēng)險(xiǎn)分析流程如圖3-6所示，相應(yīng)的，風(fēng)險(xiǎn)值VR=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險(xiǎn)值資產(chǎn)識別安全事件的可能性我國的《信息安全風(fēng)險(xiǎn)評估指南》在風(fēng)險(xiǎn)分析方面采用了簡化的處理74影響分析，安全事件對組織的影響可體現(xiàn)在以下方面：直接經(jīng)濟(jì)損失：風(fēng)險(xiǎn)事件可能引發(fā)直接的經(jīng)濟(jì)損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務(wù)資料的篡改等，這類損失本易于計(jì)算。物理資產(chǎn)的損壞：物理資產(chǎn)損壞的經(jīng)濟(jì)損失也很容易計(jì)算，可用更新或修復(fù)該物理資產(chǎn)的花費(fèi)來度量業(yè)務(wù)影響：信息安全事件會對業(yè)務(wù)帶來很大的影響，如業(yè)務(wù)中斷，這方面的經(jīng)濟(jì)損失可通過以下方式來計(jì)算，先分析由于業(yè)務(wù)中斷，單位時間內(nèi)的經(jīng)濟(jì)損失，用“單位時間損失×修復(fù)所需時間＋修復(fù)代價”可將業(yè)務(wù)影響表示為經(jīng)濟(jì)損失，當(dāng)然單位時間內(nèi)的經(jīng)濟(jì)損失估計(jì)有時會有一定的難度。業(yè)務(wù)影響除包括業(yè)務(wù)中斷外，還有其他情況，如經(jīng)營業(yè)績影響、市場影響等，這些應(yīng)根據(jù)具體情況具體分析，定量分析存在困難。影響分析，安全事件對組織的影響可體現(xiàn)在以下方面：75法律責(zé)任：風(fēng)險(xiǎn)事件可能導(dǎo)致一定的法律責(zé)任，如由于安全故障導(dǎo)致機(jī)密信息的未授權(quán)發(fā)布、未能履行合同規(guī)定的義務(wù)或違反有關(guān)法律、規(guī)章制度的規(guī)定，這些可用由于應(yīng)承擔(dān)應(yīng)有的法律責(zé)任可能支付賠償金額來表示經(jīng)濟(jì)損失，當(dāng)然其中有很多不確定因素，實(shí)際應(yīng)用時可參考慣例、合同本身、有關(guān)法律法規(guī)的規(guī)定。人員安全危害：風(fēng)險(xiǎn)事件可能對人員安全構(gòu)成危害，甚至危及到生命，這類損失很難用貨幣衡量組織信譽(yù)、形象損失：風(fēng)險(xiǎn)事件可能導(dǎo)致組織信譽(yù)、形象受損，這類損失很難用直接的經(jīng)濟(jì)損失來估計(jì)，應(yīng)通過一定的方式計(jì)算潛在的經(jīng)濟(jì)損失，如由于信譽(yù)受損，可能導(dǎo)致市場份額損失、與外部關(guān)系受損等，市場份額損失可以轉(zhuǎn)化為經(jīng)濟(jì)損失，與外界各方關(guān)系的損失可通過分析關(guān)系重建的花費(fèi)、由于關(guān)系受損給業(yè)務(wù)開展帶來的額外花費(fèi)等因素來估計(jì)，另外專家估計(jì)也是一種可取的方法。法律責(zé)任：風(fēng)險(xiǎn)事件可能導(dǎo)致一定的法律責(zé)任，如由于安全故障導(dǎo)致76可能性分析安全事件發(fā)生的可能性的因素有：資產(chǎn)吸引力、威脅出現(xiàn)的可能性、脆弱點(diǎn)的屬性、安全措施的效能等。根據(jù)威脅源的分類，引起安全事件發(fā)生的原因可能是自然災(zāi)害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員故意行為等。不同類型的安全事件，其可能性影響因素也有點(diǎn)不同?？赡苄苑治?73.8安全措施的選取風(fēng)險(xiǎn)評估的目的不僅是獲取組織面臨的有關(guān)風(fēng)險(xiǎn)信息，更重要的是采取適當(dāng)?shù)拇胧踩L(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。如前所述，安全措施可以降低安全事件造成的影響，也可以降低安全事件發(fā)生的可能性，在對組織面臨的安全風(fēng)險(xiǎn)有全面認(rèn)識后，應(yīng)根據(jù)風(fēng)險(xiǎn)的性質(zhì)選取合適的安全措施，并對對可能的殘余風(fēng)險(xiǎn)進(jìn)行分析，直到殘余風(fēng)險(xiǎn)為可接受風(fēng)險(xiǎn)為止。3.8安全措施的選取風(fēng)險(xiǎn)評估的目的不僅是獲取組織面臨的有關(guān)783.9風(fēng)險(xiǎn)評估文件和記錄風(fēng)險(xiǎn)評估文件包括在整個風(fēng)險(xiǎn)評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，這些文檔包括：風(fēng)險(xiǎn)評估計(jì)劃：闡述風(fēng)險(xiǎn)評估的目標(biāo)、范圍、團(tuán)隊(duì)、評估方法、評估結(jié)果的形式和實(shí)施進(jìn)度等；風(fēng)險(xiǎn)評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實(shí)施評估需要的文檔；資產(chǎn)識別清單：根據(jù)組織在風(fēng)險(xiǎn)評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等；3.9風(fēng)險(xiǎn)評估文件和記錄風(fēng)險(xiǎn)評估文件包括在整個風(fēng)險(xiǎn)評估過程79威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出現(xiàn)的頻率等；脆弱點(diǎn)列表：根據(jù)脆弱點(diǎn)識別和賦值的結(jié)果，形成脆弱點(diǎn)列表，包括脆弱點(diǎn)名稱、描述、類型及嚴(yán)重程度等；已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等；風(fēng)險(xiǎn)評估報(bào)告：對整個風(fēng)險(xiǎn)評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象，風(fēng)險(xiǎn)評估方法，資產(chǎn)、威脅、脆弱點(diǎn)的識別結(jié)果，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；風(fēng)險(xiǎn)處理計(jì)劃：對評估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險(xiǎn)的評價確保所選擇安全措施的有效性；風(fēng)險(xiǎn)評估記錄：根據(jù)組織的風(fēng)險(xiǎn)評估程序文件，記錄對重要資產(chǎn)的風(fēng)險(xiǎn)評估過程。威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名804風(fēng)險(xiǎn)計(jì)算方法4.1風(fēng)險(xiǎn)矩陣測量法4.2威脅分級計(jì)算法4.3風(fēng)險(xiǎn)綜合評價法4風(fēng)險(xiǎn)計(jì)算方法4.1風(fēng)險(xiǎn)矩陣測量法814.1風(fēng)險(xiǎn)矩陣測量法這種方法的特點(diǎn)是事先建立資產(chǎn)價值、威脅等級和脆弱點(diǎn)等級的一個對應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級進(jìn)行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險(xiǎn)。資產(chǎn)風(fēng)險(xiǎn)判別矩陣如表3-9所示。對于每一資產(chǎn)的風(fēng)險(xiǎn)，都將考慮資產(chǎn)價值、威脅等級和脆弱點(diǎn)等級。例如:如果資產(chǎn)值為3，威脅等級為“高”，脆弱點(diǎn)為“低”。查表可知風(fēng)險(xiǎn)值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱點(diǎn)為“高”，則風(fēng)險(xiǎn)值為4。由上表可以推知，風(fēng)險(xiǎn)矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱點(diǎn)等級的增加而擴(kuò)大。4.1風(fēng)險(xiǎn)矩陣測量法這種方法的特點(diǎn)是事先建立資產(chǎn)價值、威82威脅級別低中高脆弱點(diǎn)級別低中高低中高低中高00121232341123234345資產(chǎn)值223434545633454565674456567678威脅級別低中高脆弱點(diǎn)級別低中高低中高低中高001212323834.2威脅分級計(jì)算法這種方法是直接考慮威脅、威脅導(dǎo)致的安全事件對資產(chǎn)產(chǎn)生的影響以及威脅導(dǎo)致安全事件發(fā)生的可能性來確定風(fēng)險(xiǎn)。其過程如下:(1)確定威脅對資產(chǎn)的影響識別威脅的過程可以通過兩種方法完成。i.準(zhǔn)備威脅列表，讓系統(tǒng)所有者去選擇相應(yīng)資產(chǎn)的威脅;

ii.是由評估團(tuán)隊(duì)的人員識別相關(guān)的威脅，進(jìn)行分析和歸類。4.2威脅分級計(jì)算法這種方法是直接考慮威脅、威脅導(dǎo)致的安全84(2)評價威脅發(fā)生的可能性(3)計(jì)算風(fēng)險(xiǎn)值然后評價威脅導(dǎo)致安全事件發(fā)生的可能性。風(fēng)險(xiǎn)的計(jì)算方法，可以是影響值與可能性之積，也可以是之和，或利用前面所述的效用函數(shù)來計(jì)算，具體算法由用戶來定。(2)評價威脅發(fā)生的可能性85在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風(fēng)險(xiǎn)”的對應(yīng)關(guān)系。例:某資產(chǎn)所面臨的威脅有A~F,通過判斷其影響值和發(fā)生可能性(威脅的影響值確定為5個等級，威脅發(fā)生的可能性也確定為5個等級)。而風(fēng)險(xiǎn)的測量采用以上兩值的乘積。具體計(jì)算如表3-10所示。在具體評估中，可以根據(jù)這種方法明確表示“86資產(chǎn)威脅描述影響（資產(chǎn)）值威脅發(fā)生可能性(c)風(fēng)險(xiǎn)測度風(fēng)險(xiǎn)等級劃分某個資產(chǎn)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483資產(chǎn)威脅描述影響（資產(chǎn)）值威脅發(fā)生可能性(c)風(fēng)險(xiǎn)測度風(fēng)險(xiǎn)等874.3風(fēng)險(xiǎn)綜合評價法這種方法中風(fēng)險(xiǎn)由威脅導(dǎo)致的安全事件發(fā)生的可能性、對資產(chǎn)的影響程度以及已經(jīng)存在的控制措施三個方面來確定。與風(fēng)險(xiǎn)矩陣法和威脅分級法不同，本方法將控制措施的采用引入風(fēng)險(xiǎn)的評價之中。在這種方法中，識別威脅的類型是很重要的。從資產(chǎn)的識別開始，接著識別威脅以及對應(yīng)安全事件發(fā)生的可能性。然后對威脅造成的影響進(jìn)行分析。在這里對威脅的影響進(jìn)行了分類型的考慮。比如對人員的影響、對財(cái)產(chǎn)的影響、對業(yè)務(wù)的影響。在考慮這些影響時，是在假定不存在控制措施的情況下的影響。將以上各值相加添入數(shù)值表中。比如，本例中將可能性分為5級：1—5；影響也分為5級：1—5。在可能性和影響確定后，計(jì)算總的影響值。本例中采用加法。方法也可由用戶在使用過程中確定。4.3風(fēng)險(xiǎn)綜合評價法這種方法中風(fēng)險(xiǎn)由威脅導(dǎo)致的安全事件發(fā)88最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從內(nèi)部建立的和從外部保障的，并確定它們的有效性，對其賦值。本例中將控制措施的有效性有小到大分為5個等級，1~5。在此基礎(chǔ)上再求出總值，即“風(fēng)險(xiǎn)值=影響值－控制措施賦值”，如表3-11所示。最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從89威脅類型可能性對人的影響對財(cái)產(chǎn)的影響對業(yè)務(wù)的影響影響值已采用的控制措施風(fēng)險(xiǎn)度量內(nèi)部外部威脅A41128224威脅B41229324威脅C321410226威脅類型可能性對人的影響對財(cái)產(chǎn)的影響對業(yè)務(wù)的影響影響值已采用905風(fēng)險(xiǎn)評估案例5.1案例介紹5.2資產(chǎn)識別與評估5.3威脅識別與評估5.4脆弱點(diǎn)識別與評估5.5風(fēng)險(xiǎn)分析與等級劃分5.6安全措施的選取5風(fēng)險(xiǎn)評估案例5.1案例介紹915.1案例介紹多媒體教學(xué)系統(tǒng)是學(xué)校常用的信息系統(tǒng)，它為課堂教學(xué)提供信息化平臺。本節(jié)以多媒體教學(xué)系統(tǒng)這一簡單信息系統(tǒng)為例講述詳細(xì)風(fēng)險(xiǎn)評估的實(shí)施過程。對多媒體教學(xué)系統(tǒng)，其安全需求主要表現(xiàn)為系統(tǒng)的可用性，而完整性、機(jī)密性安全需求很低，通常不會涉及到，因而風(fēng)險(xiǎn)評估主要圍繞系統(tǒng)的可用性展開，風(fēng)險(xiǎn)評估的目的是通過分析系統(tǒng)面臨的影響系統(tǒng)可用性的安全風(fēng)險(xiǎn)，并選取相應(yīng)的安全措施降低風(fēng)險(xiǎn)。5.1案例介紹多媒體教學(xué)系統(tǒng)是學(xué)校常用的信息系統(tǒng)，它為課925.2資產(chǎn)識別與評估通過分析多媒體教學(xué)系統(tǒng)在硬件、軟件、信息、有關(guān)人員等方面的資產(chǎn)信息，并考察這些資產(chǎn)的價值以及對信息系統(tǒng)的關(guān)鍵程度。經(jīng)識別與分析后，有關(guān)資產(chǎn)及其關(guān)鍵程度如下表。資產(chǎn)類別名稱關(guān)鍵程度硬件多媒體電腦高4投影儀高4控制臺中3供電設(shè)備高4投影幕低2空調(diào)中3網(wǎng)絡(luò)電纜及接口低2軟件系統(tǒng)軟件中3課件播放軟件中3應(yīng)用軟件中3殺毒軟件低2信息多媒體課件低2演示程序低2人員課室管理人員中3技術(shù)支持人員中3安全保衛(wèi)人員低25.2資產(chǎn)識別與評估通過分析多媒體教學(xué)系統(tǒng)在硬件、軟件、935.3威脅識別與評估通過對上述各類資產(chǎn)面臨的主要安全威脅進(jìn)行分析，并依據(jù)其出現(xiàn)的可能性大小對各類威脅進(jìn)行評估，結(jié)果如下表所示。威脅類型威脅表現(xiàn)形式評估等級自然威脅地震、颶風(fēng)、火山、洪水、海嘯、泥石流、暴風(fēng)雪、雪崩、雷電等很低1環(huán)境威脅供電中斷中3火災(zāi)、供水故障、污染、極端溫度或濕度低2系統(tǒng)威脅電腦、投影儀硬件故障低2網(wǎng)絡(luò)故障中3系統(tǒng)軟件、應(yīng)用軟件故障、課件播放軟件故障高4惡意代碼很高5人員威脅盜竊高4物理硬件故意破壞中3誤操作很高5疾病或其他原因?qū)е虏荒芗皶r到崗中35.3威脅識別與評估通過對上述各類資產(chǎn)面臨的主要安全威脅945.4脆弱點(diǎn)識別與評估脆弱點(diǎn)識別應(yīng)對針對已識別的每一類資產(chǎn)，考慮可能存在的脆弱點(diǎn)，它包括技術(shù)脆弱點(diǎn)與管理脆弱點(diǎn)，本例中由于技術(shù)問題簡單，因而主要表現(xiàn)為管理方面的脆弱性。為提高效率，脆弱點(diǎn)識別還應(yīng)結(jié)合威脅識別的結(jié)果，重點(diǎn)考察可能導(dǎo)致安全事件的威脅-脆弱點(diǎn)對，在脆弱點(diǎn)識別后，再依據(jù)脆弱點(diǎn)的嚴(yán)重程度對脆弱點(diǎn)進(jìn)行評估。評估結(jié)果如下表所示?？赡芡{脆弱點(diǎn)評估等級供電中斷沒有備用電源高4盜竊、物理破壞安全保衛(wèi)機(jī)制不健全很高5疾病或其他原因?qū)е虏荒芗皶r到崗課室鑰匙管理人員無“備份”高4多媒體技術(shù)支持人員無“備份”高4誤操作老師對多媒體課室使用注意事項(xiàng)不熟悉很高5火災(zāi)未部署防火設(shè)施很高5極端溫度及濕度未安裝空調(diào)及除濕設(shè)備高4軟件故障軟件的安裝與卸載權(quán)限管理機(jī)制不嚴(yán)高4惡意代碼殺毒軟件不能及時升級低2自然威脅硬件物理保護(hù)不夠很高5硬件故障硬件使用壽命有限或其他原因高45.4脆弱點(diǎn)識別與評估脆弱點(diǎn)識別應(yīng)對針對已識別的每一類資955.5風(fēng)險(xiǎn)分析與等級劃分根據(jù)資產(chǎn)識別、威脅識別、脆弱點(diǎn)識別的結(jié)果，通過考察可能出現(xiàn)的資產(chǎn)-威脅-脆弱點(diǎn)三元組，就可獲取系統(tǒng)面臨的安全風(fēng)險(xiǎn)。而隨后進(jìn)行的風(fēng)險(xiǎn)分析主要考察風(fēng)險(xiǎn)導(dǎo)致的影響及出現(xiàn)的可能性的大小，風(fēng)險(xiǎn)的影響及可能性方法如3.3所述。此處為簡單起見影響風(fēng)險(xiǎn)主要依據(jù)脆弱點(diǎn)評估的結(jié)果。若風(fēng)險(xiǎn)事件發(fā)生后，造成關(guān)鍵硬件毀壞，風(fēng)險(xiǎn)影響級別為“很高”；若未損壞硬件，但系統(tǒng)不能使用，課堂教學(xué)無法進(jìn)行，風(fēng)險(xiǎn)影響級別為“高”，若未損壞硬件，但造成系統(tǒng)使用不方便，課堂教學(xué)效果受影響，風(fēng)險(xiǎn)影響級別為“中”，若對課堂教學(xué)基本無影響，則風(fēng)險(xiǎn)影響級別為“低”。風(fēng)險(xiǎn)影響分析的結(jié)果如表3-15所示。5.5風(fēng)險(xiǎn)分析與等級劃分根據(jù)資產(chǎn)識別、威脅識別、脆弱點(diǎn)識96風(fēng)險(xiǎn)標(biāo)識資產(chǎn)威脅脆弱點(diǎn)影響分析影響等級R1多媒體系統(tǒng)供電中斷沒有備用電源系統(tǒng)無法使用高4R2誤操作老師對多媒體課室使用注意事項(xiàng)不熟悉硬件損害或軟件誤刪除很高5R3自然威脅硬件物理保護(hù)不夠設(shè)備物理破壞很高5R4硬件盜竊、物理破壞安全保衛(wèi)機(jī)制不健全硬件被破壞或被盜很高5R5火災(zāi)未部署防火設(shè)施系統(tǒng)被燒毀很高5R6極端溫度及濕度未安裝空調(diào)及除濕設(shè)備系統(tǒng)使用不正常中3R7硬件故障硬件使用壽命有限或其他原因硬件不能正常使用高4R8軟件軟件故障軟件的安裝與卸載權(quán)限管理機(jī)制不嚴(yán)所需軟件被卸載，不能正常使用高4R9惡意代碼殺毒軟件不能及時升級系統(tǒng)運(yùn)行很慢低2R10人員疾病或其他原因?qū)е虏荒芗皶r到崗鑰匙管理人員不可達(dá)，無“備份”多媒體課室門不能及時打開高4R11多媒體技術(shù)支持人員無“備份”技術(shù)支持不能及時到位中3風(fēng)險(xiǎn)標(biāo)識資產(chǎn)威脅脆弱點(diǎn)影響分析影響等級R1多媒體供電中斷沒有97可能性分析主要依據(jù)威脅評估等級。最后根據(jù)影響分析及可能性分析的結(jié)果來進(jìn)行風(fēng)險(xiǎn)評估，此處采用“風(fēng)險(xiǎn)=可能性×影響”的方法來計(jì)算風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估的結(jié)果如表3-16所示。風(fēng)險(xiǎn)標(biāo)識資產(chǎn)威脅影響評估可能性評估風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級R1多媒體系統(tǒng)供電中斷4312中R2誤操作5525很高R3自然威脅515低R4硬件盜竊、物理破壞5420很高R5火災(zāi)5210中R6極端溫度及濕度326低R7硬件故障428中R8軟件軟件故障4416高R9惡意代碼2510中R10人員疾病或其他原因?qū)е虏荒芗皶r到崗4312中R11339中可能性分析主要依據(jù)威脅評估等級。最后根據(jù)影響分析及可能性分析98表3-17風(fēng)險(xiǎn)等級劃分方法風(fēng)險(xiǎn)可能性可忽略:1低：2中：3高：4極高：5影響程度極高5510152025高448121620中33691215低2246810可忽略112345表3-17風(fēng)險(xiǎn)等級劃分方法風(fēng)險(xiǎn)可能性可忽略:1低：2中：3995.6安全措施的選取風(fēng)險(xiǎn)評估的結(jié)果表明，用戶誤操作、盜竊及硬件物理破壞導(dǎo)致的風(fēng)險(xiǎn)等級為“很高”，由于軟件安裝、卸載權(quán)限管理不嚴(yán)導(dǎo)致的軟件故障對應(yīng)的安全風(fēng)險(xiǎn)為“高”，自然威脅及極端溫度和適度導(dǎo)致的風(fēng)險(xiǎn)級別為“低”，其余風(fēng)險(xiǎn)級別為“中”。對風(fēng)險(xiǎn)級別為“高”以上的，應(yīng)重點(diǎn)考慮采取相應(yīng)的安全措施，而對風(fēng)險(xiǎn)級別為低的可以不用處理，而對風(fēng)險(xiǎn)級別為“中”的可有選擇的處理。以上安全風(fēng)險(xiǎn)對應(yīng)的安全措施如表3-18所示。5.6安全措施的選取風(fēng)險(xiǎn)評估的結(jié)果表明，用戶誤操作、盜竊100風(fēng)險(xiǎn)標(biāo)識資產(chǎn)威脅風(fēng)險(xiǎn)等級安全措施R1多媒體系統(tǒng)供電中斷中配置備用電源R2誤操作很高多媒體系統(tǒng)操作培訓(xùn)R4硬件盜竊、物理破壞很高加強(qiáng)安全保衛(wèi)工作R5火災(zāi)中配備滅火設(shè)備R7硬件故障中技術(shù)支持R8軟件軟件故障高加強(qiáng)權(quán)限管理，采用系統(tǒng)“一鍵還原”機(jī)制。R9惡意代碼中定期升級病毒庫R10人員疾病或其他原因?qū)е虏荒芗皶r到崗中配備多個人員備用R11中配備多個人員備用風(fēng)險(xiǎn)標(biāo)識資產(chǎn)威脅風(fēng)險(xiǎn)等級安全措施R1多媒體供電中斷中配置備用101由于無論采用什么安全措施，多媒體教學(xué)系統(tǒng)都會因某種原因而不能正常工作，為保證課堂教學(xué)能夠正常進(jìn)行，在多媒體課室，應(yīng)同時提供進(jìn)行傳統(tǒng)教學(xué)所需的條件，但多媒體教學(xué)系統(tǒng)不能正常工作時，可用傳統(tǒng)教學(xué)方式替代。當(dāng)然，有條件的單位可以考慮在一課室同時配備多套多媒體教學(xué)系統(tǒng)。由于無論采用什么安全措施，多媒體教學(xué)系統(tǒng)都會因某種原因而不能1026小結(jié)風(fēng)險(xiǎn)評估概念風(fēng)險(xiǎn)評估方法風(fēng)險(xiǎn)評估流程6小結(jié)風(fēng)險(xiǎn)評估概念103課后問題什么是信息安全風(fēng)險(xiǎn)評估？它由哪些基本步驟組成？信息資產(chǎn)可以分為哪幾類？請分別舉出一兩個例子說明。威脅源有哪些？其常見表現(xiàn)形式分別是什么？請解釋以下名詞：資產(chǎn)；威脅；脆弱點(diǎn)；風(fēng)險(xiǎn)；影響。風(fēng)險(xiǎn)評估方法分為哪幾種？其優(yōu)缺點(diǎn)分別是什么？請寫出風(fēng)險(xiǎn)計(jì)算公式，并解釋其中各項(xiàng)所代表的含義。風(fēng)險(xiǎn)評估文件由哪些主要文檔組成？課后問題104ThankYou!ThankYou!105演講完畢，謝謝觀看！演講完畢，謝謝觀看！106第2講信息安全風(fēng)險(xiǎn)評估（一）北京郵電大學(xué)計(jì)算機(jī)學(xué)院副教授郭燕慧第2講信息安全風(fēng)險(xiǎn)評估（一）北京郵電大學(xué)計(jì)算機(jī)學(xué)院107概述風(fēng)險(xiǎn)評估方法詳細(xì)風(fēng)險(xiǎn)評估流程風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)評估簡例本講提綱概述本講提綱1081概述1.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素1.2信息安全風(fēng)險(xiǎn)評估1.3風(fēng)險(xiǎn)要素相互間關(guān)系1概述1.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素1091.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素資產(chǎn)威脅脆弱點(diǎn)風(fēng)險(xiǎn)影響安全措施安全需求1.1信息安全風(fēng)險(xiǎn)評估相關(guān)要素資產(chǎn)110資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有價值的東西，資產(chǎn)包括：物理資產(chǎn)（如，計(jì)算機(jī)硬件，通訊設(shè)施，建筑物）；信息/數(shù)據(jù)（如，文件，數(shù)據(jù)庫）；軟件；提供產(chǎn)品和服務(wù)的能力；人員；無形資產(chǎn)（如，信譽(yù)，形象）。資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有111我國的《信息安全風(fēng)險(xiǎn)評估指南》認(rèn)為資產(chǎn)是指對組織具有價值的信息資源，是安全策略保護(hù)的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類，如表3-1所示我國的《信息安全風(fēng)險(xiǎn)評估指南》認(rèn)為112分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺式計(jì)算機(jī)、移動計(jì)算機(jī)等存儲設(shè)備：磁帶機(jī)、磁盤陣列等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗(yàn)證等其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫113兩種看法之比較：兩種定義基本上是一致的，所包含的內(nèi)容也基本是一致的，主要的區(qū)別在于后者把資產(chǎn)限定在“信息資源”范圍內(nèi)，這是基于信息安全風(fēng)險(xiǎn)評估應(yīng)的特殊性的考慮，信息安全風(fēng)險(xiǎn)評估應(yīng)重點(diǎn)分析信息資產(chǎn)面臨的風(fēng)險(xiǎn)。從具體分類明細(xì)看，后者還是包含了其他內(nèi)容，如保障設(shè)備、人員、企業(yè)形象、客戶關(guān)系等，這些未必都能視為信息資產(chǎn)。兩種看法之比較：114威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。115根據(jù)威脅源的不同，威脅可分為：自然威脅：指自然界的不可抗力導(dǎo)致的威脅環(huán)境威脅：指信息系統(tǒng)運(yùn)行環(huán)境中出現(xiàn)的重大災(zāi)害或事故所帶來的威脅系統(tǒng)威脅：指系統(tǒng)軟硬件故障所引發(fā)的威脅人員威脅：包含內(nèi)部人員與外部人員，由于內(nèi)部人員熟悉系統(tǒng)的運(yùn)行規(guī)則，內(nèi)部人員的威脅更為嚴(yán)重表2給出了需識別的威脅源以及其威脅的表現(xiàn)形式。根據(jù)威脅源的不同，威脅可分為：116威脅源常見表現(xiàn)形式自然威脅地震、颶風(fēng)、火山、洪水、海嘯、泥石流、暴風(fēng)雪、雪崩、雷電、其他環(huán)境威脅火災(zāi)、戰(zhàn)爭、重大疫情、恐怖主義、供電故障、供水故障、其他公共設(shè)施中斷、危險(xiǎn)物質(zhì)泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他系統(tǒng)威脅網(wǎng)絡(luò)故障、硬件故障、軟件故障、惡意代碼、存儲介質(zhì)的老化、其他外部人員網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息篡改、泄密、抵賴、其他。內(nèi)部人員未經(jīng)授權(quán)信息發(fā)布、未經(jīng)授權(quán)的信息讀寫、抵賴、電子攻擊（如利用系統(tǒng)漏洞提升權(quán)限）、物理破壞（系統(tǒng)或存儲介質(zhì)損壞）、盜竊、越權(quán)或?yàn)E用、誤操作威脅源常見表現(xiàn)形式自然威脅地震、颶風(fēng)、火山、洪水、海嘯117根據(jù)威脅的動機(jī)人員威脅又可分為惡意和無意兩種，但無論是無意行為還是惡意行為，都可能對信息系統(tǒng)構(gòu)成嚴(yán)重的損害，兩者都應(yīng)該予以重視根據(jù)威脅的動機(jī)118脆弱點(diǎn)脆弱點(diǎn)是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機(jī)制、系統(tǒng)機(jī)房任何人都可進(jìn)入等等。脆弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅出現(xiàn)，單純的脆弱點(diǎn)本身不會對資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。即：威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。資產(chǎn)的脆弱點(diǎn)具有隱蔽性，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個脆弱點(diǎn)。脆弱點(diǎn)脆弱點(diǎn)是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造119

脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個方面技術(shù)脆弱點(diǎn)是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行時在技術(shù)方面存在的缺陷或弱點(diǎn)。管理脆弱點(diǎn)則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時升級操作系統(tǒng)或其他應(yīng)用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護(hù)不夠完善數(shù)據(jù)庫訪問控制機(jī)制不嚴(yán)格都屬于技術(shù)脆弱點(diǎn)系統(tǒng)機(jī)房鑰匙管理不嚴(yán)、人員職責(zé)不清、未及時注銷離職人員對信息系統(tǒng)的訪問權(quán)限等脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個方面120風(fēng)險(xiǎn)風(fēng)險(xiǎn)指信息安全風(fēng)險(xiǎn)根據(jù)ISO/IEC13335-1，信息安全風(fēng)險(xiǎn)是指威脅利用一個或一組資產(chǎn)的脆弱點(diǎn)導(dǎo)致組織受損的潛在性，并以威脅利用脆弱點(diǎn)造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，是信息安全風(fēng)險(xiǎn)存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產(chǎn)很有價值，脆弱點(diǎn)很嚴(yán)重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點(diǎn)，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。風(fēng)險(xiǎn)可以形式化的表示為：R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、A表示資產(chǎn)、T表示威脅、V表示脆弱點(diǎn)。風(fēng)險(xiǎn)風(fēng)險(xiǎn)指信息安全風(fēng)險(xiǎn)121影響影響是威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、直接的資金損失等；間接的損失如公司信用、形象受損、、市場分額損失、法律責(zé)任等。在信息安全領(lǐng)域，直接的損失往往容易估計(jì)且損失較小，間接的損失難易估計(jì)且常常比直接損失更為嚴(yán)重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價值、修復(fù)所需的人力物力等；而間接損失則較為復(fù)雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。影響影響是威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。這122安全措施安全措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱點(diǎn)、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應(yīng)而采取的各種實(shí)踐、規(guī)程和機(jī)制的總稱。有效的安全通常要求不同安全措施的結(jié)合以為資產(chǎn)提供多級的安全。例如，應(yīng)用于計(jì)算機(jī)的訪問控制機(jī)制應(yīng)被審計(jì)控制、人員管理、培訓(xùn)和物理安全所支持。安全措施安全措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱點(diǎn)、限制123安全措施可能實(shí)現(xiàn)一個或多個下列功能：保護(hù)、震