信息安全風險評估概論課件

第2講信息安全風險評估（一）北京郵電大學計算機學院副教授郭燕慧第2講信息安全風險評估（一）北京郵電大學計算機學院1概述風險評估方法詳細風險評估流程風險計算方法風險評估簡例本講提綱概述本講提綱21概述1.1信息安全風險評估相關(guān)要素1.2信息安全風險評估1.3風險要素相互間關(guān)系1概述1.1信息安全風險評估相關(guān)要素31.1信息安全風險評估相關(guān)要素資產(chǎn)威脅脆弱點風險影響安全措施安全需求1.1信息安全風險評估相關(guān)要素資產(chǎn)4資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有價值的東西，資產(chǎn)包括：物理資產(chǎn)（如，計算機硬件，通訊設(shè)施，建筑物）；信息/數(shù)據(jù)（如，文件，數(shù)據(jù)庫）；軟件；提供產(chǎn)品和服務(wù)的能力；人員；無形資產(chǎn)（如，信譽，形象）。資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有5我國的《信息安全風險評估指南》認為資產(chǎn)是指對組織具有價值的信息資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類，如表3-1所示我國的《信息安全風險評估指南》認為6分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔紙質(zhì)的各種文件、傳真、電報、財務(wù)報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應用項目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫7兩種看法之比較：兩種定義基本上是一致的，所包含的內(nèi)容也基本是一致的，主要的區(qū)別在于后者把資產(chǎn)限定在“信息資源”范圍內(nèi)，這是基于信息安全風險評估應的特殊性的考慮，信息安全風險評估應重點分析信息資產(chǎn)面臨的風險。從具體分類明細看，后者還是包含了其他內(nèi)容，如保障設(shè)備、人員、企業(yè)形象、客戶關(guān)系等，這些未必都能視為信息資產(chǎn)。兩種看法之比較：8威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。9根據(jù)威脅源的不同，威脅可分為：自然威脅：指自然界的不可抗力導致的威脅環(huán)境威脅：指信息系統(tǒng)運行環(huán)境中出現(xiàn)的重大災害或事故所帶來的威脅系統(tǒng)威脅：指系統(tǒng)軟硬件故障所引發(fā)的威脅人員威脅：包含內(nèi)部人員與外部人員，由于內(nèi)部人員熟悉系統(tǒng)的運行規(guī)則，內(nèi)部人員的威脅更為嚴重表2給出了需識別的威脅源以及其威脅的表現(xiàn)形式。根據(jù)威脅源的不同，威脅可分為：10威脅源常見表現(xiàn)形式自然威脅地震、颶風、火山、洪水、海嘯、泥石流、暴風雪、雪崩、雷電、其他環(huán)境威脅火災、戰(zhàn)爭、重大疫情、恐怖主義、供電故障、供水故障、其他公共設(shè)施中斷、危險物質(zhì)泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他系統(tǒng)威脅網(wǎng)絡(luò)故障、硬件故障、軟件故障、惡意代碼、存儲介質(zhì)的老化、其他外部人員網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息篡改、泄密、抵賴、其他。內(nèi)部人員未經(jīng)授權(quán)信息發(fā)布、未經(jīng)授權(quán)的信息讀寫、抵賴、電子攻擊（如利用系統(tǒng)漏洞提升權(quán)限）、物理破壞（系統(tǒng)或存儲介質(zhì)損壞）、盜竊、越權(quán)或濫用、誤操作威脅源常見表現(xiàn)形式自然威脅地震、颶風、火山、洪水、海嘯11根據(jù)威脅的動機人員威脅又可分為惡意和無意兩種，但無論是無意行為還是惡意行為，都可能對信息系統(tǒng)構(gòu)成嚴重的損害，兩者都應該予以重視根據(jù)威脅的動機12脆弱點脆弱點是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機制、系統(tǒng)機房任何人都可進入等等。脆弱點是資產(chǎn)本身存在的，如果沒有相應的威脅出現(xiàn)，單純的脆弱點本身不會對資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。即：威脅總是要利用資產(chǎn)的弱點才可能造成危害。資產(chǎn)的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱點。脆弱點脆弱點是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造13

脆弱點主要表現(xiàn)在從技術(shù)和管理兩個方面技術(shù)脆弱點是指信息系統(tǒng)在設(shè)計、實現(xiàn)、運行時在技術(shù)方面存在的缺陷或弱點。管理脆弱點則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時升級操作系統(tǒng)或其他應用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護不夠完善數(shù)據(jù)庫訪問控制機制不嚴格都屬于技術(shù)脆弱點系統(tǒng)機房鑰匙管理不嚴、人員職責不清、未及時注銷離職人員對信息系統(tǒng)的訪問權(quán)限等脆弱點主要表現(xiàn)在從技術(shù)和管理兩個方面14風險風險指信息安全風險根據(jù)ISO/IEC13335-1，信息安全風險是指威脅利用一個或一組資產(chǎn)的脆弱點導致組織受損的潛在性，并以威脅利用脆弱點造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。資產(chǎn)、威脅、脆弱點是信息安全風險的基本要素，是信息安全風險存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產(chǎn)很有價值，脆弱點很嚴重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。風險可以形式化的表示為：R=(A,T,V)，其中R表示風險、A表示資產(chǎn)、T表示威脅、V表示脆弱點。風險風險指信息安全風險15影響影響是威脅利用資產(chǎn)的脆弱點導致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、直接的資金損失等；間接的損失如公司信用、形象受損、、市場分額損失、法律責任等。在信息安全領(lǐng)域，直接的損失往往容易估計且損失較小，間接的損失難易估計且常常比直接損失更為嚴重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價值、修復所需的人力物力等；而間接損失則較為復雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。影響影響是威脅利用資產(chǎn)的脆弱點導致不期望發(fā)生事件的后果。這16安全措施安全措施是指為保護資產(chǎn)、抵御威脅、減少脆弱點、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應而采取的各種實踐、規(guī)程和機制的總稱。有效的安全通常要求不同安全措施的結(jié)合以為資產(chǎn)提供多級的安全。例如，應用于計算機的訪問控制機制應被審計控制、人員管理、培訓和物理安全所支持。安全措施安全措施是指為保護資產(chǎn)、抵御威脅、減少脆弱點、限制17安全措施可能實現(xiàn)一個或多個下列功能：保護、震懾、檢測、限制、糾正、恢復、監(jiān)視、安全意識等。同功能的安全措施需要不同的成本，同時能夠?qū)崿F(xiàn)多個功能的安全措施通常具有更高的成本有效性。安全措施的實施領(lǐng)域包括：物理環(huán)境、技術(shù)領(lǐng)域、人員、管理等，可用的安全措施包括：訪問控制機制、防病毒軟件、加密機制、數(shù)字簽名、防火墻、監(jiān)視與分析工具、冗余電力供應、信息備份等。安全措施可能實現(xiàn)一個或多個下列功能：保護、震懾、檢測、限制、18安全需求安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施方面提出的要求。安全需求可體現(xiàn)在技術(shù)、組織管理等多個方面。如關(guān)鍵數(shù)據(jù)或系統(tǒng)的的機密性、可用性、完整性需求、法律法規(guī)的符合性需求、人員安全意識培訓需求、信息系統(tǒng)運行實時監(jiān)控的需求等。安全需求安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施191.2信息安全風險評估信息安全風險評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風險進行識別、分析，并在此基礎(chǔ)上選取相應的安全措施，將組織面臨的信息安全風險控制在可接受范圍內(nèi)，以此達到保護信息系統(tǒng)安全的目的。1.2信息安全風險評估信息安全風險評估的基本思路是在信息安20信息安全風險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱點導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。狹義的風險評估包括：評估前準備、資產(chǎn)識別與評估、威脅識別與評估、脆弱點識別與評估、當前安全措施的識別與評估、風險分析以及根據(jù)風險評估的結(jié)果選取適當?shù)陌踩胧┮越档惋L險的過程。信息安全風險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系211.3風險要素相互間關(guān)系資產(chǎn)、威脅、脆弱點是信息安全風險的基本要素，是信息安全風險存在的基本條件，缺一不可。除此之外，與信息安全風險有關(guān)的要素還包括：安全措施、安全需求、影響等。ISO/IEC13335-1對它們之間的關(guān)系描述如圖3-1所示，主要表現(xiàn)在：威脅利用脆弱點將導致安全風險的產(chǎn)生；資產(chǎn)具有價值，并對組織業(yè)務(wù)有一定影響，資產(chǎn)價值及影響越大則其面臨的風險越大；安全措施能抵御威脅、減少脆弱點，因而能減小安全風險；風險的存在及對風險的認識導出保護需求，保護需求通過安全措施來滿足或?qū)崿F(xiàn)。1.3風險要素相互間關(guān)系資產(chǎn)、威脅、脆弱點是信息安全風險的22信息安全風險評估概論課件23我國的《信息安全風險評估指南》對ISO/IEC13335-1提出風險要素關(guān)系模型進行了擴展，擴展后的風險要素關(guān)系模型如圖3-2所示安全措施

抵御業(yè)務(wù)戰(zhàn)略脆弱點安全需求威脅風險殘余風險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值我國的《信息安全風險評估指南》對ISO/IEC13335-24風險要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實現(xiàn)；資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大；資產(chǎn)價值越大則其面臨的風險越大；風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能演變成安全事件；弱點越多，威脅利用脆弱點導致安全事件的可能性越大；脆弱點是未被滿足的安全需求，威脅要通過利用脆弱點來危害資產(chǎn)，從而形成風險；風險的存在及對風險的認識導出安全需求；風險要素及屬性之間存在著以下關(guān)系：25安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；風險不可能也沒有必要降為零，在實施了安全措施后還會有殘留下來的風險。有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續(xù)控制，而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險，是可以被接受的；殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。與ISO/IEC13335提供的風險要素關(guān)系模型相比，我國《信息安全風險評估指南》對安全風險描述更詳細、更具體、更透徹。安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本262風險評估方法2.1概述2.2基線風險評估方法2.3詳細風險評估方法2.4綜合風險評估方法2風險評估方法2.1概述272.1概述不同的組織有不同的安全需求和安全戰(zhàn)略，風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環(huán)境和安全要求相符合。組織應該針對不同的情況來選擇恰當?shù)娘L險評估方法。常見的風險評估方法有三種：基線風險評估方法詳細風險評估方法綜合風險評估方法2.1概述不同的組織有不同的安全需求和安全戰(zhàn)略，風險評估的282.2基線風險評估方法概念基線風險評估要求組織根據(jù)自己的實際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對信息系統(tǒng)進行基線安全檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。2.2基線風險評估方法概念29組織可以根據(jù)以下資源來選擇安全基線：國際標準和國家標準，例如ISO17799、ISO13335；行業(yè)標準或推薦，例如德國聯(lián)邦安全局的《IT基線保護手冊》；來自其他有類似商務(wù)目標和規(guī)模的組織的慣例。組織可以根據(jù)以下資源來選擇安全基線：30這種方法優(yōu)點是：風險分析和每個防護措施的實施管理只需要最少數(shù)量的資源，并且在選擇防護措施時花費更少的時間和努力；如果組織的大量系統(tǒng)都在普通環(huán)境下運行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護措施而不需要太多的努力。這種方法的缺點是：基線水平難以設(shè)置，如果基線水平設(shè)置的過高，有些IT系統(tǒng)可能會有過高的安全等級；如果基線水平設(shè)置的過低，有些IT系統(tǒng)可能會缺少安全，導致更高層次的暴露；風險評估不全面、不透徹，且不易處理變更。例如，如果一個系統(tǒng)升級了，就很難評估原來的基線防護措施是否充分。這種方法優(yōu)點是：31綜合評價雖然當安全基線已建立的情況下，基線評估成本低、易于實施。但由于不同組織信息系統(tǒng)千差萬別，信息系統(tǒng)的威脅時刻都在變化，很難制定全面的、具有廣泛適用性的安全基線，而組織自行建立安全基線成本很高。目前世界上還沒有全面、統(tǒng)一的、能符合組織目標的、值得信賴的安全基線，因而基線評估方法開展并不普遍。綜合評價322.3詳細風險評估方法概念詳細風險評估要求對資產(chǎn)、威脅和脆弱點進行詳細識別和評價，并對可能引起風險的水平進行評估，這通過不期望事件的潛在負面業(yè)務(wù)影響評估和他們發(fā)生的可能性來完成。不期望事件可能表現(xiàn)為直接形式，如直接的經(jīng)濟損失，如物理設(shè)備的破壞；也可能表現(xiàn)為間接的影響，如法律責任、公司信譽及形象的損失等。不期望事件發(fā)生的可能性依賴于資產(chǎn)對于潛在攻擊者的吸引力、威脅出現(xiàn)的可能性以及脆弱點被利用的難易程度。根據(jù)風險評估的結(jié)果來識別和選擇安全措施，將風險降低到可接受的水平。2.3詳細風險評估方法概念33這種方法的優(yōu)點是：有可能為所有系統(tǒng)識別出適當?shù)陌踩胧?；詳細分析的結(jié)果可用于安全變更管理。這種方法的缺點是需要更多的時間、努力和專業(yè)知識。目前，世界各國推出的風險評估方法多屬于這一類，如AS/NZS4360、NISTSP800-30、OCTAVE以及我國的《信息安全風險評估指南》中所提供的方法。這種方法的優(yōu)點是：342.4綜合風險評估方法概述基線風險評估耗費資源少、周期短、操作簡單，但不夠準確，適合一般環(huán)境的評估；詳細風險評估準確而細致，但耗費資源較多，適合嚴格限定邊界的較小范圍內(nèi)的評估。因而實踐當中，組織多是采用二者結(jié)合的綜合評估方式。2.4綜合風險評估方法概述35ISO/IEC13335-3提出了綜合風險評估方法，其實施流程如圖3-3所示：ISO/IEC13335-3提出了綜合風險評估方法，其實施36綜合風險評估的第一步是高層風險分析，其目的是確定每個IT系統(tǒng)所采用的風險分析方法（基線或詳細風險分析）。高層風險分析考慮IT系統(tǒng)及其處理信息的業(yè)務(wù)價值，以及從組織業(yè)務(wù)角度考慮的風險。然后，依據(jù)高層風險分析的決定，對相應的IT系統(tǒng)實施基線風險分析或詳細風險分析。接下來是依據(jù)基線風險分析與詳細風險分析的結(jié)果選取相應的安全措施，并檢查上述安全措施實施后，信息系統(tǒng)的殘余風險是否在可接受范圍內(nèi)，對不可接受的風險需要進一步加強安全措施，必要時應采取再評估。綜合風險評估的最后兩步是IT系統(tǒng)安全策略和IT安全計劃，IT系統(tǒng)安全策略是前面各階段評估結(jié)果的結(jié)晶，包括系統(tǒng)安全目標、系統(tǒng)邊界、系統(tǒng)資產(chǎn)、威脅、脆弱點、所選取的安全措施、安全措施選取的原因、費用估計等。IT安全計劃則處理如何去實施所選取的安全措施。綜合風險評估的第一步是高層風險分析，其目的是確定每個IT系統(tǒng)37綜合評估方法將基線和詳細風險評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結(jié)果，而且，組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關(guān)注。當然，綜合評估也有缺點：如果初步的高級風險分析不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導致某些嚴重的風險未被發(fā)現(xiàn)。綜合評估方法將基線和詳細風險評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估383詳細風險評估流程3.1概述3.2風險評估準備階段3.3資產(chǎn)識別與評估3.4威脅識別與評估3.5脆弱點識別與評估3.6已有安全措施的確認3.7風險分析3.8安全措施的選取3.9風險評估文件和記錄3詳細風險評估流程3.1概述393.1概述AS/NZS4360、NISTSP800-30、OCTAVE以及我國的《信息安全風險評估指南》提供的風險評估方法基本都屬于詳細風險評估方法，雖然具體流程有一定的差異，都是圍繞資產(chǎn)、威脅、脆弱點識別與評估展開，并進一步分析不期望事件發(fā)生的可能性及其對組織的影響，最后考慮如何選取合適的安全措施，把安全風險降低到可以接受的程度。3.1概述AS/NZS4360、NISTSP800-3040AS/NZS4360-澳大利亞/新西蘭風險管理標準AS/NZS4360是ISO9000系列的補充件,可應用于與一個組織所有活動相關(guān)的風險管理之中,具有極廣泛的適用性,為各種類型組織提供了一套通用的風險管理模式和總體框架。AS/NZS4360有一套輔助性的標準與其相輔相成,更增加了實用性和廣泛適用性。澳洲風險管理標準把分析風險背景放在第一步,將風險管理的目標與組織目標以及各利益相關(guān)方的要求整合在一起;并且強調(diào)風險溝通,充分發(fā)揮團隊精神,調(diào)動各方面的積極性,從而為風險管理成功創(chuàng)造了良好的環(huán)境。AS/NZS4360-澳大利亞/新西蘭風險管理標準41NISTSP800-30SP800系列特別報告書是關(guān)于ITL（美國國家標準和技術(shù)學會NIST信息技術(shù)實驗室）在計算機安全等領(lǐng)域所進行的研究、指導和成果以及在此領(lǐng)域與業(yè)界、政府和學術(shù)組織協(xié)同工作的報告NISTSO800-30《IT系統(tǒng)風險管理指南》中描述了風險管理方法，而且結(jié)合系統(tǒng)發(fā)展生命周期的各個階段，說明風險管理過程與系統(tǒng)授權(quán)過程的緊密聯(lián)系；提出了風險評估的方法論和一般原則，對分級的定義言簡意賅，基本采用3級定義法，比較適合初步開展風險評估的組織使用NISTSP800-3042OCTAVE-可操作的關(guān)鍵威脅、資產(chǎn)和弱點評估（Operational

Critical

Threat,Asset,VulnerabilityEvaluation)是由美國卡耐基.梅隆大學軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的一種信息安全風險評估的方法.OCTAVE的基本原則:自主、適應度量、已定義的過程、連續(xù)過程的基礎(chǔ)，它由一系列循序漸進的討論會組成，每個討論會都需要其參與者之間的交流和溝通。OCTAVE使組織能夠理清復雜的組織問題和技術(shù)問題，了解安全問題，改善組織的安全狀況并解決信息安全風險，而無需過分依賴外部專家和廠商。OCTAVE包括兩種具體方法：面向大型組織的OCTAVE

Method和面向小型組織的OCTAVE-SOCTAVE-可操作的關(guān)鍵威脅、資產(chǎn)和弱點評估（Operat43風險評估可分為四個階段:第一階段為風險評估準備；第二階段為風險識別，包括資產(chǎn)識別、威脅識別、脆弱點識別等工作；第三階段為風險評價，包括風險的影響分析、可能性分析以及風險的計算等，具體涉及到資產(chǎn)、威脅、脆弱點、當前安全措施的評價等；第四階段為風險處理，主要工作是依據(jù)風險評估的結(jié)果選取適當?shù)陌踩胧?，將風險降低到可接受的程度。風險評估可分為四個階段:44我國的《信息安全風險評估指南》提出的風險評估流程如圖3-4所示否是否圖3-4風險評估實施流程圖是風險評估準備已有安全措施的確認風險計算風險是否接受保持已有的安全措施施施施選擇適當?shù)陌踩胧┎⒃u估殘余風險實施風險管理脆弱點識別與評價威脅識別與評價資產(chǎn)識別與評價是否接受殘余風險

風險分析評估過程文檔評估過程文檔風險評估文件記錄評估結(jié)果文檔…我國的《信息安全風險評估指南》提出的風險評估流程如圖3-4所453.2風險評估準備階段風險評估的準備是整個風險評估過程有效性的保證。其工作主要包括:確定風險評估目標:風險評估的準備階段應明確風險評估的目標，為風險評估的過程提供導向。信息系統(tǒng)是重要的資產(chǎn)，其機密性、完整性和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和組織形象是必要的。組織要面對來自內(nèi)、外部日益增長的安全威脅，信息系統(tǒng)是威脅的主要目標。由于業(yè)務(wù)信息化程度不斷提高，對信息技術(shù)的依賴日益增加，一個組織可能出現(xiàn)更多的脆弱點。風險評估的目標是滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要，或符合相關(guān)方的要求，或遵守法律法規(guī)的規(guī)定等。確定風險評估的對象和范圍：基于風險評估目標確定風險評估的對象和范圍是完成風險評估的前提。風險評估的對象可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的系統(tǒng)，關(guān)鍵業(yè)務(wù)流程，與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。3.2風險評估準備階段風險評估的準備是整個風險評估過程有效46組建團隊：組建適當?shù)娘L險評估管理與實施團隊，以支持整個過程的推進，如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風險評估小組。評估團隊應能夠保證風險評估工作的有效開展。選擇方法：應考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風險判斷方法，使之能夠與組織環(huán)境和安全要求相適應。獲得支持：上述所有內(nèi)容確定后應得到組織的最高管理者的支持、批準，并對管理層和技術(shù)人員進行傳達，應在組織范圍就風險評估相關(guān)內(nèi)容進行培訓，以明確各有關(guān)人員在風險評估中的任務(wù)。組建團隊：組建適當?shù)娘L險評估管理與實施團隊，以支持整個過程的47準備相關(guān)的評估工具：為保證風險評估的順利進行，需要相應的評估工具支持，如信息收集工具、數(shù)據(jù)及文檔管理工具。信息收集工具主要是漏洞掃描工具、滲透性測試工具等，常用的漏洞掃描工具有

Nessus、GFILANguard、Retina、CoreImpact、ISSInternetScanner、X-scan、Sara、QualysGuard、SAINT、MBSANessus、ISS

Internet

Scanner、NetRecon等。數(shù)據(jù)及文檔管理工具主要用來收集和管理評估所需要的數(shù)據(jù)和資料，并根據(jù)需要的格式生成各種報表，幫助決策。這類工具可由用戶根據(jù)評估的需要自行或委托第三方開發(fā)對應的管理系統(tǒng)，協(xié)助評估數(shù)據(jù)的管理。準備相關(guān)的評估工具：為保證風險評估的順利進行，需要相應的評估483.3資產(chǎn)識別與評估資產(chǎn)識別資產(chǎn)識別是風險識別的必要環(huán)節(jié)。資產(chǎn)識別的任務(wù)就是對確定的評估對象所涉及或包含的資產(chǎn)進行詳細的標識，由于它以多種形式存在，有無形的、有形的。資產(chǎn)識別過程中要特別注意無形資產(chǎn)的遺漏，同時還應注意不同資產(chǎn)間的相互依賴關(guān)系，關(guān)系緊密的資產(chǎn)可作為一個整體來考慮，同一中類型的資產(chǎn)也應放在一起考慮。資產(chǎn)識別的方法主要有訪談、現(xiàn)場調(diào)查、問卷、文檔查閱等。3.3資產(chǎn)識別與評估資產(chǎn)識別49資產(chǎn)評估資產(chǎn)的評價是對資產(chǎn)的價值或重要程度進行評估，資產(chǎn)本身的貨幣價值是資產(chǎn)價值的體現(xiàn)，但更重要的是資產(chǎn)對組織關(guān)鍵業(yè)務(wù)的順利開展乃至組織目標實現(xiàn)的重要程度。由于多數(shù)資產(chǎn)不能以貨幣形式的價值來衡量，資產(chǎn)評價很難以定量的方式來進行，多數(shù)情況下只能以定性的形式，依據(jù)重要程度的不同劃分等級，具體劃分為多少級應根據(jù)具體問題具體分析，如5級劃分方法為：非常重要、重要、比較重要、不太重要、不重要等，對這些定性值也可賦以相應的定量值，如：5、4、3、2、1。資產(chǎn)評估50通常信息資產(chǎn)的機密性、完整性、可用性、可審計性和不可抵賴性等是評價資產(chǎn)的安全屬性。信息安全風險評估中資產(chǎn)的價值可由資產(chǎn)在這些安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的?？梢韵确謩e對資產(chǎn)在以上各方面的重要程度進行評估，然后通過一定的方法進行綜合,可得資產(chǎn)的綜合價值。通常信息資產(chǎn)的機密性、完整性、可用性、可審計性和不可抵賴性等51若資產(chǎn)在機密性、完整性、可用性、可審計性和不可抵賴性的賦值分別記為VAc、VAi、VAa、VAac、VAn,綜合價值記為VA，綜合的方法可以是：最大原則：資產(chǎn)價值在機密性、完整性、可用性、可審計性和不可抵賴性方面不是均衡的，在某個方面可能大，某個方面可能小，最大原則是取最大的那個方面的賦值作為綜合評價值,即VA=max{VAc,VAi,VAaVAac、VAn}。加權(quán)原則，根據(jù)機密性、完整性、可用性、可審計性和不可抵賴性保護對組織業(yè)務(wù)開展影響的大小，分別為機密性、完整性、可用性、可審計性和不可抵賴性賦予一非負的權(quán)值Wc、Wi、WaWac、Wn（Wc+Wi+Wa+Wac+Wn=1），綜合機制由加權(quán)求得，即VA=VAc*Wc+VAi*Wi+VAa*Wa+VAacC*Wac+VAn*Wn。若資產(chǎn)在機密性、完整性、可用性、可審計性和不可抵賴性的賦值分52在資產(chǎn)評價方面，我國的《信息安全風險評估指南》推薦了一種方法，就是先對資產(chǎn)在機密性、完整性、可用性三個方面分別進行定性賦值，然后通過一定的方法進行綜合，所使用的綜合方法基本屬于最大原則。以下是所給出的機密性、完整性、可用性賦值表。在資產(chǎn)評價方面，我國的《信息安全風險評估指南》推薦了一種方法53賦值標識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等賦值標識定義5極高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命543.4威脅識別與評估威脅識別威脅是構(gòu)成風險的必要組成部分，因而威脅識別是風險識別的必要環(huán)節(jié)，威脅識別的任務(wù)是對組織資產(chǎn)面臨的威脅進行全面的標識。威脅識別可從威脅源進行分析，也可根據(jù)有關(guān)標準、組織所提供的威脅參考目錄進行分析。3.4威脅識別與評估威脅識別55德國的《IT基線保護手冊》將威脅分為五大類，分別是：不可抗力、組織缺陷、人員錯誤、技術(shù)錯誤、故意行為。每種類型威脅具體包含幾十到一百多種威脅，手冊分別對每類威脅進行了詳細列舉和說明，因而是威脅識別的重要參考德國的《IT基線保護手冊》將威脅分為五大類，分別是：不可抗力56OCTAVE-則通過建立威脅配置文件來進行威脅識別與分析，威脅配置文件包括5個屬性，分別是：資產(chǎn)（assert）、訪問(access)、主體(actor)、動機(motive)、后果(outcome)，如人類利用網(wǎng)絡(luò)訪問對資產(chǎn)的威脅及系統(tǒng)故障對資產(chǎn)的威脅的配置文件分別對應圖3-4和圖3-5所示的威脅樹：OCTAVE-則通過建立威脅配置文件來進行威脅識別與分析，威57圖3-4人類利用網(wǎng)絡(luò)訪問的威脅樹圖3-4人類利用網(wǎng)絡(luò)訪問的威脅樹58圖3-5系統(tǒng)故障威脅樹圖3-5系統(tǒng)故障威脅樹59威脅評估以下三個方面的內(nèi)容，對威脅評估很有幫助。（1)以往安全事件報告中出現(xiàn)過的威脅、威脅出現(xiàn)頻率、破壞力的統(tǒng)計；（2)實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；（3)近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅出現(xiàn)頻率及其破壞力的統(tǒng)計。威脅評估60威脅評估的結(jié)果一般都是定性的，我國的《信息安全風險評估指南》將威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。如表4－4所示。威脅評估的結(jié)果一般都是定性的，我國的《信息安全風險評估指南》61等級標識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生等級標識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可623.5脆弱點識別與評估脆弱點識別脆弱點識別也稱為弱點識別，弱點是資產(chǎn)本身存在的，如果沒有相應的威脅發(fā)生，單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點才可能造成危害。脆弱點識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱點涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱點又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。3.5脆弱點識別與評估脆弱點識別63對不同的對象，其脆弱點識別的具體要求應參照相應的技術(shù)或管理標準實施。例如：對物理環(huán)境的脆弱點識別可以參照《GB/T

9361－2000計算機場地安全要求》中的技術(shù)指標實施；對操作系統(tǒng)、數(shù)據(jù)庫可以參照《GB

17859－1999計算機信息系統(tǒng)安全保護等級劃分準則》中的技術(shù)指標實施。管理脆弱點識別方面可以參照《ISO/IEC17799-2005Codeofpracticeforinformationsecuritymanagement》的要求對安全管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)管理漏洞和不足。對不同的對象，其脆弱點識別的具體要求應參照相應的技術(shù)或管理標64我國的《信息安全風險評估指南》列舉了不同對象的脆弱點識別內(nèi)容參考，如表3-7所示我國的《信息安全風險評估指南》列舉了不同對象的脆弱點識別內(nèi)容65類型識別對象識別內(nèi)容技術(shù)脆弱點物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。服務(wù)器（含操作系統(tǒng)）從物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復機制、審計機制等方面進行識別。應用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱點技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性類型識別對象識別內(nèi)容技術(shù)脆弱點物理環(huán)境從機房場地、機房防火66資產(chǎn)的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個弱點。脆弱點識別將針對每一項需要保護的資產(chǎn)，找出可能被威脅利用的弱點，并對脆弱點的嚴重程度進行評估。脆弱點識別時的數(shù)據(jù)應來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱點識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。資產(chǎn)的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯67脆弱點評估脆弱點評估就是是對脆弱點被利用后對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度進行評估，評估的結(jié)果一般都是定性等級劃分形式，綜合的標識脆弱點的嚴重程度。也可以對脆弱點被利用后對資產(chǎn)的損害程度以及被利用的可能性分別評估，然后以一定方式綜合。若很多弱點反映的是同一方面的問題，應綜合考慮這些脆弱點，最終確定這一方面的脆弱點嚴重程度。脆弱點評估68我國的《信息安全風險評估指南》依據(jù)脆弱點被利用后，對資產(chǎn)造成的危害程度，將脆弱點嚴重程度的等級劃分為五級，分別代表資產(chǎn)脆弱點嚴重程度的高低。等級數(shù)值越大，脆弱點嚴重程度越高。如表3-8所示。等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害

2低如果被威脅利用，將對資產(chǎn)造成較小損害

1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略

我國的《信息安全風險評估指南》依據(jù)脆弱點被利用后，對資產(chǎn)造成693.6已有安全措施的確認安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱點導致安全事件發(fā)生的可能性。這可以通過兩個方面的作用來實現(xiàn)，一方面是減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓可以減少無意行為導致安全事件出現(xiàn)的頻率；另一方面是減少脆弱點，如及時為系統(tǒng)打補丁、對硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱點等。保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。3.6已有安全措施的確認安全措施可以分為預防性安全措施和保70對已采取的安全措施進行確認，至少有兩個方面的意義。一方面，這有助于對當前信息系統(tǒng)面臨的風險進行分析，由于安全措施能夠減少安全事件發(fā)生的可能性及影響，對當前安全措施進行分析與確認，是資產(chǎn)評估、威脅評估、脆弱點評估的有益補充，其結(jié)果可用于后面的風險分析；另一方面，通過對當前安全措施的確認，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。對于確認為不適當?shù)陌踩胧藢嵤欠駪蝗∠蛘哂酶线m的安全措施替代，這有足于隨后進行的安全措施的選取。該步驟的主要任務(wù)是，對當前信息系統(tǒng)所采用的安全措施進行標識，并對其預期功能、有效性進行分析。對已采取的安全措施進行確認，至少有兩個方面的意義。713.7風險分析風險分析就是利用資產(chǎn)、威脅、脆弱點識別與評估結(jié)果以及已有安全措施的確認與分析結(jié)果，對資產(chǎn)面臨的風險進行分析。由于安全風險總是以威脅利用脆弱點導致一系列安全事件的形式體現(xiàn)出來，風險的大小是由安全事件造成的影響以及其發(fā)生的可能性來決定，風險分析的主要任務(wù)就是分析當前環(huán)境下，安全事件發(fā)生的可能性以及造成的影響，然后利用一定的方法計算風險。3.7風險分析風險分析就是利用資產(chǎn)、威脅、脆弱點識別與評估72風險計算風險可形式化的表示為R=(A,T,V)，其中R表示風險、A表示資產(chǎn)、T表示威脅、V表示脆弱點。相應的風險值由A、T、V的取值決定，是它們的函數(shù)，可以表示為：VR=R(A,T,V)=R(L(A,T,V)，F(xiàn)(A,T,V))其中，L(A,T,V)、F(A,T,V)分別表示對應安全事件發(fā)生的可能性及影響，它們也都是資產(chǎn)、威脅、脆弱點的函數(shù)，但其表達式很難給出。而風險則可表示為可能性L和影響F的函數(shù)，簡單的處理就是將安全事件發(fā)生的可能性L與安全事件的影響F相乘得到風險值，實際就是平均損失，即VR=L(A,T,V)×F(A,T,V)。風險計算73我國的《信息安全風險評估指南》在風險分析方面采用了簡化的處理方法，其風險分析流程如圖3-6所示，相應的，風險值VR=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴重程度資產(chǎn)的重要性安全事件的損失風險值資產(chǎn)識別安全事件的可能性我國的《信息安全風險評估指南》在風險分析方面采用了簡化的處理74影響分析，安全事件對組織的影響可體現(xiàn)在以下方面：直接經(jīng)濟損失：風險事件可能引發(fā)直接的經(jīng)濟損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務(wù)資料的篡改等，這類損失本易于計算。物理資產(chǎn)的損壞：物理資產(chǎn)損壞的經(jīng)濟損失也很容易計算，可用更新或修復該物理資產(chǎn)的花費來度量業(yè)務(wù)影響：信息安全事件會對業(yè)務(wù)帶來很大的影響，如業(yè)務(wù)中斷，這方面的經(jīng)濟損失可通過以下方式來計算，先分析由于業(yè)務(wù)中斷，單位時間內(nèi)的經(jīng)濟損失，用“單位時間損失×修復所需時間＋修復代價”可將業(yè)務(wù)影響表示為經(jīng)濟損失，當然單位時間內(nèi)的經(jīng)濟損失估計有時會有一定的難度。業(yè)務(wù)影響除包括業(yè)務(wù)中斷外，還有其他情況，如經(jīng)營業(yè)績影響、市場影響等，這些應根據(jù)具體情況具體分析，定量分析存在困難。影響分析，安全事件對組織的影響可體現(xiàn)在以下方面：75法律責任：風險事件可能導致一定的法律責任，如由于安全故障導致機密信息的未授權(quán)發(fā)布、未能履行合同規(guī)定的義務(wù)或違反有關(guān)法律、規(guī)章制度的規(guī)定，這些可用由于應承擔應有的法律責任可能支付賠償金額來表示經(jīng)濟損失，當然其中有很多不確定因素，實際應用時可參考慣例、合同本身、有關(guān)法律法規(guī)的規(guī)定。人員安全危害：風險事件可能對人員安全構(gòu)成危害，甚至危及到生命，這類損失很難用貨幣衡量組織信譽、形象損失：風險事件可能導致組織信譽、形象受損，這類損失很難用直接的經(jīng)濟損失來估計，應通過一定的方式計算潛在的經(jīng)濟損失，如由于信譽受損，可能導致市場份額損失、與外部關(guān)系受損等，市場份額損失可以轉(zhuǎn)化為經(jīng)濟損失，與外界各方關(guān)系的損失可通過分析關(guān)系重建的花費、由于關(guān)系受損給業(yè)務(wù)開展帶來的額外花費等因素來估計，另外專家估計也是一種可取的方法。法律責任：風險事件可能導致一定的法律責任，如由于安全故障導致76可能性分析安全事件發(fā)生的可能性的因素有：資產(chǎn)吸引力、威脅出現(xiàn)的可能性、脆弱點的屬性、安全措施的效能等。根據(jù)威脅源的分類，引起安全事件發(fā)生的原因可能是自然災害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員故意行為等。不同類型的安全事件，其可能性影響因素也有點不同。可能性分析773.8安全措施的選取風險評估的目的不僅是獲取組織面臨的有關(guān)風險信息，更重要的是采取適當?shù)拇胧踩L險控制在可接受的范圍內(nèi)。如前所述，安全措施可以降低安全事件造成的影響，也可以降低安全事件發(fā)生的可能性，在對組織面臨的安全風險有全面認識后，應根據(jù)風險的性質(zhì)選取合適的安全措施，并對對可能的殘余風險進行分析，直到殘余風險為可接受風險為止。3.8安全措施的選取風險評估的目的不僅是獲取組織面臨的有關(guān)783.9風險評估文件和記錄風險評估文件包括在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，這些文檔包括：風險評估計劃：闡述風險評估的目標、范圍、團隊、評估方法、評估結(jié)果的形式和實施進度等；風險評估程序：明確評估的目的、職責、過程、相關(guān)的文件要求，并且準備實施評估需要的文檔；資產(chǎn)識別清單：根據(jù)組織在風險評估程序文件中所確定的資產(chǎn)分類方法進行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應明確各資產(chǎn)的責任人/部門；重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責任人/部門等；3.9風險評估文件和記錄風險評估文件包括在整個風險評估過程79威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等；脆弱點列表：根據(jù)脆弱點識別和賦值的結(jié)果，形成脆弱點列表，包括脆弱點名稱、描述、類型及嚴重程度等；已有安全措施確認表：根據(jù)已采取的安全措施確認的結(jié)果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；風險評估報告：對整個風險評估過程和結(jié)果進行總結(jié)，詳細說明被評估對象，風險評估方法，資產(chǎn)、威脅、脆弱點的識別結(jié)果，風險分析、風險統(tǒng)計和結(jié)論等內(nèi)容；風險處理計劃：對評估結(jié)果中不可接受的風險制定風險處理計劃，選擇適當?shù)目刂颇繕思鞍踩胧?，明確責任、進度、資源，并通過對殘余風險的評價確保所選擇安全措施的有效性；風險評估記錄：根據(jù)組織的風險評估程序文件，記錄對重要資產(chǎn)的風險評估過程。威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名804風險計算方法4.1風險矩陣測量法4.2威脅分級計算法4.3風險綜合評價法4風險計算方法4.1風險矩陣測量法814.1風險矩陣測量法這種方法的特點是事先建立資產(chǎn)價值、威脅等級和脆弱點等級的一個對應矩陣，預先將風險等級進行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風險。資產(chǎn)風險判別矩陣如表3-9所示。對于每一資產(chǎn)的風險，都將考慮資產(chǎn)價值、威脅等級和脆弱點等級。例如:如果資產(chǎn)值為3，威脅等級為“高”，脆弱點為“低”。查表可知風險值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱點為“高”，則風險值為4。由上表可以推知，風險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱點等級的增加而擴大。4.1風險矩陣測量法這種方法的特點是事先建立資產(chǎn)價值、威82威脅級別低中高脆弱點級別低中高低中高低中高00121232341123234345資產(chǎn)值223434545633454565674456567678威脅級別低中高脆弱點級別低中高低中高低中高001212323834.2威脅分級計算法這種方法是直接考慮威脅、威脅導致的安全事件對資產(chǎn)產(chǎn)生的影響以及威脅導致安全事件發(fā)生的可能性來確定風險。其過程如下:(1)確定威脅對資產(chǎn)的影響識別威脅的過程可以通過兩種方法完成。i.準備威脅列表，讓系統(tǒng)所有者去選擇相應資產(chǎn)的威脅;

ii.是由評估團隊的人員識別相關(guān)的威脅，進行分析和歸類。4.2威脅分級計算法這種方法是直接考慮威脅、威脅導致的安全84(2)評價威脅發(fā)生的可能性(3)計算風險值然后評價威脅導致安全事件發(fā)生的可能性。風險的計算方法，可以是影響值與可能性之積，也可以是之和，或利用前面所述的效用函數(shù)來計算，具體算法由用戶來定。(2)評價威脅發(fā)生的可能性85在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風險”的對應關(guān)系。例:某資產(chǎn)所面臨的威脅有A~F,通過判斷其影響值和發(fā)生可能性(威脅的影響值確定為5個等級，威脅發(fā)生的可能性也確定為5個等級)。而風險的測量采用以上兩值的乘積。具體計算如表3-10所示。在具體評估中，可以根據(jù)這種方法明確表示“86資產(chǎn)威脅描述影響（資產(chǎn)）值威脅發(fā)生可能性(c)風險測度風險等級劃分某個資產(chǎn)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483資產(chǎn)威脅描述影響（資產(chǎn)）值威脅發(fā)生可能性(c)風險測度風險等874.3風險綜合評價法這種方法中風險由威脅導致的安全事件發(fā)生的可能性、對資產(chǎn)的影響程度以及已經(jīng)存在的控制措施三個方面來確定。與風險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風險的評價之中。在這種方法中，識別威脅的類型是很重要的。從資產(chǎn)的識別開始，接著識別威脅以及對應安全事件發(fā)生的可能性。然后對威脅造成的影響進行分析。在這里對威脅的影響進行了分類型的考慮。比如對人員的影響、對財產(chǎn)的影響、對業(yè)務(wù)的影響。在考慮這些影響時，是在假定不存在控制措施的情況下的影響。將以上各值相加添入數(shù)值表中。比如，本例中將可能性分為5級：1—5；影響也分為5級：1—5。在可能性和影響確定后，計算總的影響值。本例中采用加法。方法也可由用戶在使用過程中確定。4.3風險綜合評價法這種方法中風險由威脅導致的安全事件發(fā)88最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從內(nèi)部建立的和從外部保障的，并確定它們的有效性，對其賦值。本例中將控制措施的有效性有小到大分為5個等級，1~5。在此基礎(chǔ)上再求出總值，即“風險值=影響值－控制措施賦值”，如表3-11所示。最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從89威脅類型可能性對人的影響對財產(chǎn)的影響對業(yè)務(wù)的影響影響值已采用的控制措施風險度量內(nèi)部外部威脅A41128224威脅B41229324威脅C321410226威脅類型可能性對人的影響對財產(chǎn)的影響對業(yè)務(wù)的影響影響值已采用905風險評估案例5.1案例介紹5.2資產(chǎn)識別與評估5.3威脅識別與評估5.4脆弱點識別與評估5.5風險分析與等級劃分5.6安全措施的選取5風險評估案例5.1案例介紹915.1案例介紹多媒體教學系統(tǒng)是學校常用的信息系統(tǒng)，它為課堂教學提供信息化平臺。本節(jié)以多媒體教學系統(tǒng)這一簡單信息系統(tǒng)為例講述詳細風險評估的實施過程。對多媒體教學系統(tǒng)，其安全需求主要表現(xiàn)為系統(tǒng)的可用性，而完整性、機密性安全需求很低，通常不會涉及到，因而風險評估主要圍繞系統(tǒng)的可用性展開，風險評估的目的是通過分析系統(tǒng)面臨的影響系統(tǒng)可用性的安全風險，并選取相應的安全措施降低風險。5.1案例介紹多媒體教學系統(tǒng)是學校常用的信息系統(tǒng)，它為課925.2資產(chǎn)識別與評估通過分析多媒體教學系統(tǒng)在硬件、軟件、信息、有關(guān)人員等方面的資產(chǎn)信息，并考察這些資產(chǎn)的價值以及對信息系統(tǒng)的關(guān)鍵程度。經(jīng)識別與分析后，有關(guān)資產(chǎn)及其關(guān)鍵程度如下表。資產(chǎn)類別名稱關(guān)鍵程度硬件多媒體電腦高4投影儀高4控制臺中3供電設(shè)備高4投影幕低2空調(diào)中3網(wǎng)絡(luò)電纜及接口低2軟件系統(tǒng)軟件中3課件播放軟件中3應用軟件中3殺毒軟件低2信息多媒體課件低2演示程序低2人員課室管理人員中3技術(shù)支持人員中3安全保衛(wèi)人員低25.2資產(chǎn)識別與評估通過分析多媒體教學系統(tǒng)在硬件、軟件、935.3威脅識別與評估通過對上述各類資產(chǎn)面臨的主要安全威脅進行分析，并依據(jù)其出現(xiàn)的可能性大小對各類威脅進行評估，結(jié)果如下表所示。威脅類型威脅表現(xiàn)形式評估等級自然威脅地震、颶風、火山、洪水、海嘯、泥石流、暴風雪、雪崩、雷電等很低1環(huán)境威脅供電中斷中3火災、供水故障、污染、極端溫度或濕度低2系統(tǒng)威脅電腦、投影儀硬件故障低2網(wǎng)絡(luò)故障中3系統(tǒng)軟件、應用軟件故障、課件播放軟件故障高4惡意代碼很高5人員威脅盜竊高4物理硬件故意破壞中3誤操作很高5疾病或其他原因?qū)е虏荒芗皶r到崗中35.3威脅識別與評估通過對上述各類資產(chǎn)面臨的主要安全威脅945.4脆弱點識別與評估脆弱點識別應對針對已識別的每一類資產(chǎn)，考慮可能存在的脆弱點，它包括技術(shù)脆弱點與管理脆弱點，本例中由于技術(shù)問題簡單，因而主要表現(xiàn)為管理方面的脆弱性。為提高效率，脆弱點識別還應結(jié)合威脅識別的結(jié)果，重點考察可能導致安全事件的威脅-脆弱點對，在脆弱點識別后，再依據(jù)脆弱點的嚴重程度對脆弱點進行評估。評估結(jié)果如下表所示?？赡芡{脆弱點評估等級供電中斷沒有備用電源高4盜竊、物理破壞安全保衛(wèi)機制不健全很高5疾病或其他原因?qū)е虏荒芗皶r到崗課室鑰匙管理人員無“備份”高4多媒體技術(shù)支持人員無“備份”高4誤操作老師對多媒體課室使用注意事項不熟悉很高5火災未部署防火設(shè)施很高5極端溫度及濕度未安裝空調(diào)及除濕設(shè)備高4軟件故障軟件的安裝與卸載權(quán)限管理機制不嚴高4惡意代碼殺毒軟件不能及時升級低2自然威脅硬件物理保護不夠很高5硬件故障硬件使用壽命有限或其他原因高45.4脆弱點識別與評估脆弱點識別應對針對已識別的每一類資955.5風險分析與等級劃分根據(jù)資產(chǎn)識別、威脅識別、脆弱點識別的結(jié)果，通過考察可能出現(xiàn)的資產(chǎn)-威脅-脆弱點三元組，就可獲取系統(tǒng)面臨的安全風險。而隨后進行的風險分析主要考察風險導致的影響及出現(xiàn)的可能性的大小，風險的影響及可能性方法如3.3所述。此處為簡單起見影響風險主要依據(jù)脆弱點評估的結(jié)果。若風險事件發(fā)生后，造成關(guān)鍵硬件毀壞，風險影響級別為“很高”；若未損壞硬件，但系統(tǒng)不能使用，課堂教學無法進行，風險影響級別為“高”，若未損壞硬件，但造成系統(tǒng)使用不方便，課堂教學效果受影響，風險影響級別為“中”，若對課堂教學基本無影響，則風險影響級別為“低”。風險影響分析的結(jié)果如表3-15所示。5.5風險分析與等級劃分根據(jù)資產(chǎn)識別、威脅識別、脆弱點識96風險標識資產(chǎn)威脅脆弱點影響分析影響等級R1多媒體系統(tǒng)供電中斷沒有備用電源系統(tǒng)無法使用高4R2誤操作老師對多媒體課室使用注意事項不熟悉硬件損害或軟件誤刪除很高5R3自然威脅硬件物理保護不夠設(shè)備物理破壞很高5R4硬件盜竊、物理破壞安全保衛(wèi)機制不健全硬件被破壞或被盜很高5R5火災未部署防火設(shè)施系統(tǒng)被燒毀很高5R6極端溫度及濕度未安裝空調(diào)及除濕設(shè)備系統(tǒng)使用不正常中3R7硬件故障硬件使用壽命有限或其他原因硬件不能正常使用高4R8軟件軟件故障軟件的安裝與卸載權(quán)限管理機制不嚴所需軟件被卸載，不能正常使用高4R9惡意代碼殺毒軟件不能及時升級系統(tǒng)運行很慢低2R10人員疾病或其他原因?qū)е虏荒芗皶r到崗鑰匙管理人員不可達，無“備份”多媒體課室門不能及時打開高4R11多媒體技術(shù)支持人員無“備份”技術(shù)支持不能及時到位中3風險標識資產(chǎn)威脅脆弱點影響分析影響等級R1多媒體供電中斷沒有97可能性分析主要依據(jù)威脅評估等級。最后根據(jù)影響分析及可能性分析的結(jié)果來進行風險評估，此處采用“風險=可能性×影響”的方法來計算風險。風險評估的結(jié)果如表3-16所示。風險標識資產(chǎn)威脅影響評估可能性評估風險值風險等級R1多媒體系統(tǒng)供電中斷4312中R2誤操作5525很高R3自然威脅515低R4硬件盜竊、物理破壞5420很高R5火災5210中R6極端溫度及濕度326低R7硬件故障428中R8軟件軟件故障4416高R9惡意代碼2510中R10人員疾病或其他原因?qū)е虏荒芗皶r到崗4312中R11339中可能性分析主要依據(jù)威脅評估等級。最后根據(jù)影響分析及可能性分析98表3-17風險等級劃分方法風險可能性可忽略:1低：2中：3高：4極高：5影響程度極高5510152025高448121620中33691215低2246810可忽略112345表3-17風險等級劃分方法風險可能性可忽略:1低：2中：3995.6安全措施的選取風險評估的結(jié)果表明，用戶誤操作、盜竊及硬件物理破壞導致的風險等級為“很高”，由于軟件安裝、卸載權(quán)限管理不嚴導致的軟件故障對應的安全風險為“高”，自然威脅及極端溫度和適度導致的風險級別為“低”，其余風險級別為“中”。對風險級別為“高”以上的，應重點考慮采取相應的安全措施，而對風險級別為低的可以不用處理，而對風險級別為“中”的可有選擇的處理。以上安全風險對應的安全措施如表3-18所示。5.6安全措施的選取風險評估的結(jié)果表明，用戶誤操作、盜竊100風險標識資產(chǎn)威脅風險等級安全措施R1多媒體系統(tǒng)供電中斷中配置備用電源R2誤操作很高多媒體系統(tǒng)操作培訓R4硬件盜竊、物理破壞很高加強安全保衛(wèi)工作R5火災中配備滅火設(shè)備R7硬件故障中技術(shù)支持R8軟件軟件故障高加強權(quán)限管理，采用系統(tǒng)“一鍵還原”機制。R9惡意代碼中定期升級病毒庫R10人員疾病或其他原因?qū)е虏荒芗皶r到崗中配備多個人員備用R11中配備多個人員備用風險標識資產(chǎn)威脅風險等級安全措施R1多媒體供電中斷中配置備用101由于無論采用什么安全措施，多媒體教學系統(tǒng)都會因某種原因而不能正常工作，為保證課堂教學能夠正常進行，在多媒體課室，應同時提供進行傳統(tǒng)教學所需的條件，但多媒體教學系統(tǒng)不能正常工作時，可用傳統(tǒng)教學方式替代。當然，有條件的單位可以考慮在一課室同時配備多套多媒體教學系統(tǒng)。由于無論采用什么安全措施，多媒體教學系統(tǒng)都會因某種原因而不能1026小結(jié)風險評估概念風險評估方法風險評估流程6小結(jié)風險評估概念103課后問題什么是信息安全風險評估？它由哪些基本步驟組成？信息資產(chǎn)可以分為哪幾類？請分別舉出一兩個例子說明。威脅源有哪些？其常見表現(xiàn)形式分別是什么？請解釋以下名詞：資產(chǎn)；威脅；脆弱點；風險；影響。風險評估方法分為哪幾種？其優(yōu)缺點分別是什么？請寫出風險計算公式，并解釋其中各項所代表的含義。風險評估文件由哪些主要文檔組成？課后問題104ThankYou!ThankYou!105演講完畢，謝謝觀看！演講完畢，謝謝觀看！106第2講信息安全風險評估（一）北京郵電大學計算機學院副教授郭燕慧第2講信息安全風險評估（一）北京郵電大學計算機學院107概述風險評估方法詳細風險評估流程風險計算方法風險評估簡例本講提綱概述本講提綱1081概述1.1信息安全風險評估相關(guān)要素1.2信息安全風險評估1.3風險要素相互間關(guān)系1概述1.1信息安全風險評估相關(guān)要素1091.1信息安全風險評估相關(guān)要素資產(chǎn)威脅脆弱點風險影響安全措施安全需求1.1信息安全風險評估相關(guān)要素資產(chǎn)110資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有價值的東西，資產(chǎn)包括：物理資產(chǎn)（如，計算機硬件，通訊設(shè)施，建筑物）；信息/數(shù)據(jù)（如，文件，數(shù)據(jù)庫）；軟件；提供產(chǎn)品和服務(wù)的能力；人員；無形資產(chǎn)（如，信譽，形象）。資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有111我國的《信息安全風險評估指南》認為資產(chǎn)是指對組織具有價值的信息資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類，如表3-1所示我國的《信息安全風險評估指南》認為112分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔紙質(zhì)的各種文件、傳真、電報、財務(wù)報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應用項目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫113兩種看法之比較：兩種定義基本上是一致的，所包含的內(nèi)容也基本是一致的，主要的區(qū)別在于后者把資產(chǎn)限定在“信息資源”范圍內(nèi)，這是基于信息安全風險評估應的特殊性的考慮，信息安全風險評估應重點分析信息資產(chǎn)面臨的風險。從具體分類明細看，后者還是包含了其他內(nèi)容，如保障設(shè)備、人員、企業(yè)形象、客戶關(guān)系等，這些未必都能視為信息資產(chǎn)。兩種看法之比較：114威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。115根據(jù)威脅源的不同，威脅可分為：自然威脅：指自然界的不可抗力導致的威脅環(huán)境威脅：指信息系統(tǒng)運行環(huán)境中出現(xiàn)的重大災害或事故所帶來的威脅系統(tǒng)威脅：指系統(tǒng)軟硬件故障所引發(fā)的威脅人員威脅：包含內(nèi)部人員與外部人員，由于內(nèi)部人員熟悉系統(tǒng)的運行規(guī)則，內(nèi)部人員的威脅更為嚴重表2給出了需識別的威脅源以及其威脅的表現(xiàn)形式。根據(jù)威脅源的不同，威脅可分為：116威脅源常見表現(xiàn)形式自然威脅地震、颶風、火山、洪水、海嘯、泥石流、暴風雪、雪崩、雷電、其他環(huán)境威脅火災、戰(zhàn)爭、重大疫情、恐怖主義、供電故障、供水故障、其他公共設(shè)施中斷、危險物質(zhì)泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他系統(tǒng)威脅網(wǎng)絡(luò)故障、硬件故障、軟件故障、惡意代碼、存儲介質(zhì)的老化、其他外部人員網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息篡改、泄密、抵賴、其他。內(nèi)部人員未經(jīng)授權(quán)信息發(fā)布、未經(jīng)授權(quán)的信息讀寫、抵賴、電子攻擊（如利用系統(tǒng)漏洞提升權(quán)限）、物理破壞（系統(tǒng)或存儲介質(zhì)損壞）、盜竊、越權(quán)或濫用、誤操作威脅源常見表現(xiàn)形式自然威脅地震、颶風、火山、洪水、海嘯117根據(jù)威脅的動機人員威脅又可分為惡意和無意兩種，但無論是無意行為還是惡意行為，都可能對信息系統(tǒng)構(gòu)成嚴重的損害，兩者都應該予以重視根據(jù)威脅的動機118脆弱點脆弱點是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機制、系統(tǒng)機房任何人都可進入等等。脆弱點是資產(chǎn)本身存在的，如果沒有相應的威脅出現(xiàn)，單純的脆弱點本身不會對資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。即：威脅總是要利用資產(chǎn)的弱點才可能造成危害。資產(chǎn)的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱點。脆弱點脆弱點是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造119

脆弱點主要表現(xiàn)在從技術(shù)和管理兩個方面技術(shù)脆弱點是指信息系統(tǒng)在設(shè)計、實現(xiàn)、運行時在技術(shù)方面存在的缺陷或弱點。管理脆弱點則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時升級操作系統(tǒng)或其他應用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護不夠完善數(shù)據(jù)庫訪問控制機制不嚴格都屬于技術(shù)脆弱點系統(tǒng)機房鑰匙管理不嚴、人員職責不清、未及時注銷離職人員對信息系統(tǒng)的訪問權(quán)限等脆弱點主要表現(xiàn)在從技術(shù)和管理兩個方面120風險風險指信息安全風險根據(jù)ISO/IEC13335-1，信息安全風險是指威脅利用一個或一組資產(chǎn)的脆弱點導致組織受損的潛在性，并以威脅利用脆弱點造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。資產(chǎn)、威脅、脆弱點是信息安全風險的基本要素，是信息安全風險存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產(chǎn)很有價值，脆弱點很嚴重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。風險可以形式化的表示為：R=(A,T,V)，其中R表示風險、A表示資產(chǎn)、T表示威脅、V表示脆弱點。風險風險指信息安全風險121影響影響是威脅利用資產(chǎn)的脆弱點導致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、直接的資金損失等；間接的損失如公司信用、形象受損、、市場分額損失、法律責任等。在信息安全領(lǐng)域，直接的損失往往容易估計且損失較小，間接的損失難易估計且常常比直接損失更為嚴重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價值、修復所需的人力物力等；而間接損失則較為復雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。影響影響是威脅利用資產(chǎn)的脆弱點導致不期望發(fā)生事件的后果。這122安全措施安全措施是指為保護資產(chǎn)、抵御威脅、減少脆弱點、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應而采取的各種實踐、規(guī)程和機制的總稱。有效的安全通常要求不同安全措施的結(jié)合以為資產(chǎn)提供多級的安全。例如，應用于計算機的訪問控制機制應被審計控制、人員管理、培訓和物理安全所支持。安全措施安全措施是指為保護資產(chǎn)、抵御威脅、減少脆弱點、限制123安全措施可能實現(xiàn)一個或多個下列功能：保護、震