CIS信息安全風險管理-v

信息安全風險管理吳金本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內容2知識體知識域知識子域信息安全風險管理信息安全風險管理主要內容信息安全風險管理的基本內容和過程信息安全風險管理概述風險相關基本概念信息系統(tǒng)生命周期與信息安全風險管理信息安全風險管理基礎信息安全風險相關政策與標準信息安全風險評估風險評估工作形式風險評估方法風險評估的實施流程風險評估工具知識域：信息安全風險管理基礎知識子域：風險相關基礎概念理解風險的概念，理解資產、威脅、脆弱性、業(yè)務戰(zhàn)略、安全事件、安全需求、安全措施等風險相關概念理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念理解風險相關要素之間的關系3風險，指事態(tài)的概率及其結果的組合

（——GB/Z24364-2009《信息安全風險管理指南》）信息安全風險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響（——GB/T20984-2007《信息安全風險評估規(guī)范》）信息安全風險會破壞組織信息資產的保密性、完整性或可用性等屬性風險、信息安全風險的概念4風險的構成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產）和后果（影響）風險的構成5風險相關術語資產（Asset）威脅（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）6業(yè)務戰(zhàn)略安全事件安全需求風險準則風險評估風險處理風險管理殘余風險（ResidentalRisk）信息安全風險評估資產資產是任何對組織有價值的東西，是要保護的對象資產以多種形式存在（多種分類方法）物理的（如計算設備、網(wǎng)絡設備和存儲介質等）和邏輯的（如體系結構、通信協(xié)議、計算程序和數(shù)據(jù)文件等）硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫管理軟件、工具軟件和應用軟件等）有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等）靜態(tài)的（如設施和規(guī)程等）和動態(tài)的（如人員和過程等）技術的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等7威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因引起風險的外因威脅源采取恰當?shù)耐{方式才可能引發(fā)風險威脅舉例操作失誤濫用授權行為抵賴身份假冒口令攻擊密鑰分析8漏洞利用拒絕服務竊取數(shù)據(jù)物理破壞社會工程脆弱性可能被威脅所利用的資產或若干資產的薄弱環(huán)節(jié)造成風險的內因脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當?shù)耐{方式對信息資產造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設備安全配置錯誤系統(tǒng)操作流程有缺陷維護人員安全意識不足9可能性某件事發(fā)生的機會威脅源利用脆弱性造成不良后果的機會舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機會很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運行，發(fā)生不良后果的機會較小互聯(lián)網(wǎng)公開漏洞且有相應的測試工具，發(fā)生不良后果的機會很大10對風險險概念念的理理解威脅源源采用用某種種威脅脅方式式利用用脆弱弱性造造成不不良后后果的的可能能性網(wǎng)站存存在SQL注入漏漏洞，普通攻攻擊者者利用自自動化化攻擊擊工具具很容容易控制網(wǎng)網(wǎng)站，，修改改網(wǎng)站站內容容，從從而損損害國國家政政府部部門聲聲譽11威脅源源威脅方方式脆弱性性風險采取利用造成對信息息安全全風險險的理理解信息安安全風風險是是指一一種特特定的的威脅脅利用用一種種或一一組脆脆弱性性造成成組織織的信信息相相關資資產損損失或或損害害的可可能性性信息安安全風風險是是指信信息資資產的的保密密性、、完整整性和和可用用性遭遭到破破壞的的可能能性信息安安全風風險只只考慮慮那些些對組組織有有負面面影響響的事事件12信息安安全風風險評評估13是依據(jù)有有關信信息安安全技技術與與管理理標準準，對對信息息系統(tǒng)統(tǒng)及由由其處處理、、傳輸輸和存存儲的的信息息的保保密性性、完完整性性和可可用性性等安安全屬屬性進進行評評價的的過程它要評估估資產產面臨臨的威威脅以以及威威脅利利用脆脆弱性性導致致安全全事件件的可能能性，并結結合安安全事事件所所涉及及的資資產價價值來來判斷斷安全全事件件一旦旦發(fā)生生對組組織造造成的的影響響風險處處理、、風險險管理理14風險處處理是是選擇擇并且且執(zhí)行行措施施來更更改風風險的的過程風險管理理是識別別、控制制、消除除或最小小化可能能影響系系統(tǒng)資源源不確定定因素的的過程安全措施施/控制措施施保護資產產，抵御御威脅，，減少脆脆弱性，，降低安安全事件件的影響響，以及及打擊信信息犯罪罪而實施施的各種種實踐、、規(guī)程和和機制，，它是管管理風險險的具體體手段和和方法根據(jù)安全全需求部部署，用用來防范范威脅，，降低風風險的措措施舉例部署防火火墻、入入侵檢測測、審計計系統(tǒng)測試環(huán)節(jié)節(jié)操作審批批環(huán)節(jié)應急體系系終端U盤管理制制度15殘余風險險采取了安安全措施施后，信信息系統(tǒng)統(tǒng)仍然可可能存在在的風險險有些殘余風險險是在綜合合考慮了了安全成成本與效效益后不不去控制制的風險險殘余風險險應受到到密切監(jiān)監(jiān)視，它它可能會會在將來來誘發(fā)新新的安全全事件舉例風險列表表中有10項風險，根根據(jù)風險險成本效效益分析析，只有有前8項需要控控制，則則前8項處理后后剩余的的風險加加上另2項風險為為殘余風風險，一一段時間間內系統(tǒng)統(tǒng)處于風風險可接接受水平平16風險相關關要素之之間的關關系17知識域：：信息安安全風險險管理基基礎知識子域域：信息安全全風險管管理概述述理解實施施風險管管理的主主要原則則理解風險險管理的的范圍和和對象18實施風險管理理的主要要原則風險管理創(chuàng)造造和保護護價值風險管理是所所有組織織過程不不可分割割的一個個部分，，促進組組織的持持續(xù)改進風險管理是透透明的，，參與人人員應包包含廣泛泛，同時時考慮人人員和文文化因素風險管理是定定制的，，并具有有體系化化、結構構化的特點風險管理是動動態(tài)的、、反復的的和響應應變化的19風險管理理的范圍圍和對象象信息安全的概概念涵蓋蓋了信息息、信息息載體和和信息環(huán)環(huán)境三個個方面的的安全信息載體指承承載信息息的媒介介，即用用于記錄錄、傳輸輸、積累累和保存存信息的的實體，，如紙張張、硬盤盤、網(wǎng)線線等信息環(huán)境指信信息及信信息載體體所處的的環(huán)境，，包括物物理平臺臺、系統(tǒng)統(tǒng)平臺、、網(wǎng)絡平平臺和應應用平臺臺等硬環(huán)環(huán)境和軟環(huán)境信息安全風險險管理涉及及信息安全上述述三個方面包含含的所有相相關對象對于一個個具體的的信息系系統(tǒng)，風險管理選擇擇的范圍圍和對象象重點應應有所不不同20知識域：：信息安安全風險險管理基基礎知識子域域：信息安全全風險相相關政策策與標準準了解我國有關關信息安安全風險險管理的的政策要要求了解信息息安全風風險管理理相關的的國內外外標準21我國有關關信息安安全風險險管理的的政策要要求《國家信信息化領領導小組組關于加加強信息息安全保保障工作作的意見見》（中辦發(fā)［［2003］27號）明確提提出要重視視信息安全全風險評估估工作，將將風險評估估作為提高高我國信息息安全保障障水平的一一項重要舉措《關于開展展信息安全全風險評估估工作的意意見》（國信辦[2006]5號），就信信息安全風風險評估工工作的基本本內容和原原則，以及及開展信息息安全風險險評估工作作的有關安安排等做出出規(guī)定和部署《關于加強強國家電子子政務工程程建設項目目信息安全全風險評估估工作的通通知》（發(fā)改高技技[2008]2071號），規(guī)范了國家電子政務工工程建設項項目信息安安全風險評評估工作22《關于開展信信息安全風風險評估工工作的意見見》（國信辦[2006]5號）的實施要求信息安全風險評評估工作應應當貫穿信信息系統(tǒng)全全生命周期。。規(guī)劃設計計階段、驗驗收時均應應實施風險險評估；運運行后應定定期實施應通過信息息安全風險險評估為信信息系統(tǒng)確確定安全等等級提供依依據(jù)，根據(jù)據(jù)風險評估估的結果檢檢驗網(wǎng)絡與與信息系統(tǒng)統(tǒng)的防護水水平是否符符合等級保保護的要求求23《關于開展信信息安全風風險評估工工作的意見見》（國信辦[2006]5號）的管理要求為規(guī)避由于于風險評估估工作而引引入新的安安全風險，，必須高度重視信信息安全風風險評估的的組織管理理工作。要求求：參與信息安全風風險評估工工作的單位位及其有關關人員必須須遵守國家家有關信息息安全的法法律法規(guī)，，并承擔相相應的責任任和義務風險評估工作的的發(fā)起方必必須采取相相應保密措措施，并與與參與評估估的有關單單位或人員員簽訂具有有法律約束束力的保密密協(xié)議對關系國計民民生和社會會穩(wěn)定的基基礎信息網(wǎng)網(wǎng)絡和重要要信息系統(tǒng)統(tǒng)的信息安安全風險評評估工作必必須遵循國國家的有關關規(guī)定進行24《關于加強國國家電子政政務工程建建設項目信信息安全風風險評估工工作的通知知》（發(fā)改高技【2008】】2071號）電子政務工工程建設項項目應開展展信息安全全風險評估估工作項目建設單位應應在試運行行期間開展展風險評估估工作，作作為項目驗驗收的重要要依據(jù)項目驗收申申請時，應應提交信息息安全風險險評估報告告系統(tǒng)投入運運行后，應應定期開展展信息安全全風險評估估25信息安全風險管管理相關的的國內外標標準GB/T20984-2007《信息安全全風險評估估規(guī)范》GB/Z24364-2009《信息安全全風險管理理指南》ISO/IEC27005:2011《信息安全全風險管理理》ISOGUIDE73:2009《風險管理理－術語》》ISO31000:2009《風險管理理－主要原原則和指南南》IEC/ISO31010:2009《風險管理理－風險評評估技術》》NISTSP800-30(2012)《實施風險險評估指南南》NISTSP800-39(2011)《管理信息息安全風險險：組織、、使命和信信息系統(tǒng)梗梗概》NISTSP800-37(2010)《聯(lián)邦信息息系統(tǒng)應用用風險管理理框架指南南：安全生生命周期方方法》NISTSP800-53(2010)《為聯(lián)邦信信息系統(tǒng)和和組織推薦薦的安全控控制措施》》NISTSP800-53A(2010)《聯(lián)邦信息息系統(tǒng)和組組織安全控控制措施評評估指南：：建立有效效的安全評評估計劃》》26知識域：信信息安全風風險管理主主要內容知識子域：：信息息安安全全風風險險管管理理的的基基本本內內容容和和過過程程理解解背景景建建立立的的主主要要工工作作內內容容理解風風險評評估的的主要要工作作內容容理解風風險處處理的的主要要工作作內容容理解批批準監(jiān)監(jiān)督的的主要要工作作內容容理解監(jiān)監(jiān)控審審查的的主要要工作作內容容理解溝溝通咨咨詢的的主要要工作作內容容27信息安安全風風險管管理工工作內內容背景建立風險評評估風險處處理批準監(jiān)監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《《信息安安全風風險管管理指指南》：四個個階段段，兩兩個貫貫穿28背景建建立背景建建立是是信息息安全全風險險管理理的第第一步步驟，，確定定風險險管理理的對對象和和范圍圍，確確立實實施風風險管管理的的準備備，進進行相相關信信息的的調查查和分分析風險管管理準準備：：確定定對象象、組組建團團隊、、制定定計劃劃、獲獲得支支持信息系系統(tǒng)調調查：：信息息系統(tǒng)統(tǒng)的業(yè)業(yè)務目目標、、技術術和管管理上上的特特點信息系系統(tǒng)分分析：：信息息系統(tǒng)統(tǒng)的體體系結結構、、關鍵鍵要素素信息安安全分分析：：分析析安全全要求求、分分析安安全環(huán)環(huán)境29背景建建立過過程30風險評評估信息安安全風風險管管理要要依靠靠風險險評估估的結結果來來確定定隨后后的風風險處處理和和批準準監(jiān)督督活動動風險評估準備：：制定定風險險評估估方案案、選選擇評評估方方法風險要要素識識別：：發(fā)現(xiàn)現(xiàn)系統(tǒng)統(tǒng)存在在的威威脅、、脆弱弱性和和控制制措施施風險分分析：：判斷斷風險險發(fā)生生的可可能性性和影影響的的程度度風險結結果判判定：：綜合合分析析結果果判定定風險險等級級31風險評評估過過程32風險處處理風險處處理是是為了了將風風險始始終控控制在在可接接受的的范圍圍內。?，F(xiàn)存風風險判判斷：：判斷斷信息息系統(tǒng)統(tǒng)中哪哪些風風險可可以接接受，，哪些些不可可以處理目目標確確認：：不可可接受受的風風險需需要控控制到到怎樣樣的程程度處理措措施選選擇：：選擇擇風險險處理理方式式，確確定風風險控控制措措施處理措措施實實施：：制定定具體體安全全方案案，部部署控控制措措施33風險處處理過過程34減低風風險轉移風風險規(guī)避風風險接受風風險常用的的四類類風險險處置置方法法35減低風風險通過對對面臨臨風險險的資資產采采取保保護措措施來來降低低風險險首先應應當考考慮的的風險險處置置措施施，通通常在在安全全投入入小于于負面面影響響價值值的情情況下下采用用保護措措施可可以從從構成成風險險的五五個方方面（（即威威脅源源、威威脅行行為、、脆弱弱性、、資產產和影影響））來降降低風風險36減低風風險的的具體體辦法法減少威脅源源采用法律的的手段制裁裁計算機犯犯罪，發(fā)揮揮法律的威威懾作用，，從而有效效遏制威脅脅源的動機機減低威脅能能力采取身份認認證措施，，從而抵制制身份假冒冒這種威脅脅行為的能能力減少脆弱性性及時給系統(tǒng)統(tǒng)打補丁，，關閉無用用的網(wǎng)絡服服務端口，，從而減少少系統(tǒng)的脆脆弱性，降降低被利用用的可能性防護資產采用各種防防護措施，，建立資產產的安全域域，從而保保證資產不不受侵犯，，其價值得得到保持降低負面影響采取容災備備份、應急急響應和業(yè)業(yè)務連續(xù)計計劃等措施施，從而減減少安全事事件造成的的影響程度37轉移風險通過將面臨臨風險的資資產或其價價值轉移到到更安全的的地方來避避免或降低低風險通常只有當當風險不能能被降低或或避免、且且被第三方方（被轉嫁嫁方）接受受時才被采采用。一般般用于那些些低概率、、但一旦風風險發(fā)生時時會對組織織產生重大大影響的風風險38購買保險服務外包規(guī)避風險通過不使用用面臨風險險的資產來來避免風險險。比如：：在沒有足夠夠安全保障障的信息系系統(tǒng)中，不不處理特別別敏感的信信息，從而而防止敏感感信息的泄泄漏對于只處理理內部業(yè)務務的信息系系統(tǒng)，不使使用互聯(lián)網(wǎng)網(wǎng)，從而避避免外部的的有害入侵侵和不良攻攻擊通常在風險險的損失無無法接受，，又難以通通過控制措措施減低風風險的情況況下39接受風險接受風險是是選擇對風風險不采取取進一步的的處理措施施，接受風風險可能帶帶來的結果果用于那些在在采取了降降低風險和和避免風險險措施后，，出于實際際和經(jīng)濟方方面的原因因，只要組組織進行運運營，就必必然存在并并必須接受受的風險接受風險不不意味著不不聞不問，，需要對風風險態(tài)勢變變化進行持持續(xù)的監(jiān)控控，一旦發(fā)發(fā)展為無法法接受的風風險就要進進一步采取取措施40批準監(jiān)督批準：是指指機構的決決策層依據(jù)據(jù)風險評估估和風險處處理的結果果是否滿足足信息系統(tǒng)統(tǒng)的安全要要求，做出出是否認可可風險管理理活動的決決定監(jiān)督：是指指檢查機構構及其信息息系統(tǒng)以及及信息安全全相關的環(huán)環(huán)境有無變變化，監(jiān)督督變化因素素是否有可可能引入新新風險41批準監(jiān)督過過程42監(jiān)控審查的的意義監(jiān)控與審查查可以及時時發(fā)現(xiàn)已經(jīng)經(jīng)出現(xiàn)或即即將出現(xiàn)的的變化、偏偏差和延誤誤等問題，，并采取適適當?shù)拇胧┦┻M行控制制和糾正，，從而減少少因此造成成的損失，，保證信息息安全風險險管理主循循環(huán)的有效效性43類似信息系系統(tǒng)工程中中的監(jiān)理監(jiān)控審查過過程44溝通咨詢通過暢通的的交流和充充分的溝通通，保持行行動的協(xié)調調和一致；；通過有效效的培訓和和方便的咨咨詢，保證證行動者具具有足夠的的知識和技技能，就是是溝通咨詢詢的意義所所在溝通咨詢與領導溝通，以得到理解和批準單位內部各有關部門相互溝通，以得到理解和協(xié)作與支持單位和系統(tǒng)用戶溝通，以得到了解和支持

為所有層面的相關人員提供咨詢和培訓等，以提高人員的安全意識、知識和技能45溝通咨詢過過程46知識域：信信息安全風風險管理主主要內容知識子域：：信息系統(tǒng)使使命周期與與信息安全全風險管理理理解信息系統(tǒng)生生命周期與與信息安全全風險管理理的關系理解系統(tǒng)規(guī)規(guī)劃階段的的風險管理理工作內容容理解系統(tǒng)設設計階段的的風險管理理工作內容容理解系統(tǒng)實實施階段的的風險管理理工作內容容理解系統(tǒng)運運行維護階階段的風險險管理工作作內容理解系統(tǒng)廢廢棄階段的的風險管理理工作內容容47信息系統(tǒng)生生命周期與與信息安全全風險管理理的關系信息系統(tǒng)生生命周期的的每個階段段，有不同的信信息安全目目標為了達到其安全全目標，每一階段都需要相應的的風險管理理手段作為為支持信息安全目目標就是要要實現(xiàn)信息息系統(tǒng)的基基本安全特特性（即信信息安全基基本屬性）），并達到到所需的保保障級別48規(guī)劃設計實施運維廢棄系統(tǒng)規(guī)劃階階段的安全全目標49明確信息系系統(tǒng)安全建建設的目的的,對信息系統(tǒng)統(tǒng)安全建設設實現(xiàn)的可可能性進行行分析論證證并設計出出總體安全全規(guī)劃方案案為了保證安安全目標的的實現(xiàn)，需需要對信息息系統(tǒng)規(guī)劃劃階段中可可能引入安安全風險的的環(huán)節(jié)進行行風險管理理，從而降降低在項目目后期處理理相同安全全風險所帶帶來的高額額成本序號風險管理活動風險管理工作內容1明確安全總體方針背景建立2安全需求分析背景建立4風險評估準則達成一致風險評估5安全實現(xiàn)論證分析風險處理、批準監(jiān)督系統(tǒng)規(guī)劃階階段的信息息安全風險險管理50系統(tǒng)設計階階段的安全全目標51規(guī)劃設計實施運維廢棄依據(jù)規(guī)劃階階段輸出的的總體安全全規(guī)劃方案案來設計信息系系統(tǒng)安全的的實現(xiàn)結構構（包括功能能劃分、接接口協(xié)議和和性能指標標等）和實施方案案（包括實現(xiàn)現(xiàn)技術、設設備選型和和系統(tǒng)集成成等）在設計信息息系統(tǒng)的實實現(xiàn)結構和和實施方案案時，在技技術的選擇擇、配合、、管理等眾眾多的環(huán)節(jié)節(jié)均容易引引入安全風風險，因此此對關鍵的的環(huán)節(jié)應提提出必要的的安全要求求并有針對對性地進行行安全風險險管理系統(tǒng)設計階階段的信息息安全風險險管理序號風險管理活動風險管理工作內容1設計方案分析論證背景建立、風險評估2安全技術選擇風險處理3安全產品選擇風險處理4自開發(fā)軟件設計風險處理風險處理52系統(tǒng)實施階階段的安全全目標53規(guī)劃設計實施運維廢棄按照規(guī)劃和設設計階段所定定義的信息系系統(tǒng)安全實施施方案采購設備和軟件，，開發(fā)定制功能集成、部署、、配置和測試試信息系統(tǒng)的安安全機制培訓人員對是否允許系統(tǒng)統(tǒng)投入運行進行批準監(jiān)督督系統(tǒng)實施階段段的信息安全全風險管理序號風險管理活動風險管理工作內容1安全測試風險評估2檢查與配置風險處理3人員培訓風險處理4授權系統(tǒng)運行批準監(jiān)督54在信息系統(tǒng)經(jīng)經(jīng)過授權投入入運行之后，，確保在運行行過程中，以以及信息系統(tǒng)統(tǒng)或其運行環(huán)環(huán)境發(fā)生變化化時維持系統(tǒng)統(tǒng)的正常運行行和安全性系統(tǒng)運維階段段的安全目標標55規(guī)劃設計實施運維廢棄系統(tǒng)運維階段段的信息安全全風險管理序號風險管理活動風險管理工作內容1安全運行和管理風險評估、風險處理2變更管理風險評估、風險處理3風險再評估風險評估、風險處理4定期重新審批批準監(jiān)督56確保對信息系系統(tǒng)的過時或或無用部分進進行安全報廢廢處理，防止止信息系統(tǒng)的的安全要求和和安全功能遭遭到破壞系統(tǒng)廢棄階段段的安全目標標57規(guī)劃設計實施運維廢棄信息系統(tǒng)廢棄棄階段的風險險管理序號風險管理活動風險管理工作內容1確定廢棄對象背景建立2廢棄對象的風險評估風險評估3廢棄過程的風險處理風險處理4廢棄后的評審批準監(jiān)督58知識域：信息息安全風險評評估知識子域：風險評估工作作形式理解自評估和檢查查評估的風險險評估工作形形式理解自評估和和檢查評估的的區(qū)別及優(yōu)缺缺點理解風險評估估、檢查評估估和等級保護護測評之間的的關系59風險評估工作作形式信息安全風險評估估分為自評估估、檢查評估估兩種形式自評估為主，自自評估和檢查查評估相互結結合、互為補充自評估和檢查查評估可依依托自身技技術力量進進行，也可可委托第三三方機構提提供技術支持60自評估信息系統(tǒng)擁有、運營營或使用單單位發(fā)起的的對本單位位信息系統(tǒng)統(tǒng)進行的風風險評估61由發(fā)起方實實施優(yōu)點有利于降低實施的的費用有利于保密密有利于發(fā)揮揮行業(yè)和部部門內人員員的業(yè)務特特長有利于提高相關人人員的安全全意識和評估能力力缺點可能結果不不夠深入準準確客觀性易受受影響由受委托方實施施優(yōu)點過程比較規(guī)規(guī)范客觀性比較較好缺點對業(yè)務了解解存在局限限性不利于保密密檢查評估信息系統(tǒng)上上級管理部部門組織的的或國家有有關職能部部門依法開開展的風險險評估62優(yōu)點具權威性通過行政手手段加強信信息安全，具強制性缺點間隔時間較較長，難以貫穿穿信息系統(tǒng)的的生命周期一般是以抽抽樣的方式式進行，難難以覆蓋全全部評估對對象風險評估、、檢查評估估和等級保保護測評之之間的關系系等保測評、、安全檢查查都是在既既定安全基基線的基礎礎上開展的的符合性測測評，其中中等保測評評是符合國國家安全要要求的測評評，安全檢檢查是符合合行業(yè)主管管安全要求求的符合性性測評而風險評估估是在國家家、行業(yè)安安全要求的的基礎上，，以被評估估系統(tǒng)特定定安全要求求為目標而而開展的風風險識別、、風險分析析、風險評評價活動63知識域：信信息安全風風險評估知識子域：：風險評估方方法理解定性風險分析方法理解定量風風險分析方方法，掌握握年度預期期損失（ALE）的計算方方法理解半定量量風險分析析方法理解定性和和定量風險險分析方法法的優(yōu)缺點點64定性風險分分析定性風險分分析在風險險評價時，，往往需要要憑借分析析者的經(jīng)驗驗和直覺，，或者業(yè)界界的標準和和慣例，為為風險諸要素的大小或高低低程度定性性分級定性風險分析更更具主觀性后果或影響響的定性量量度（示例例）65等級描述

詳細情形1可以忽略無傷害，低財務損失2

較小立即受控制，中等財務損失3

中等

受控，高財務損失4

較大大傷害，失去生產能力有較大財務損失5災難性持續(xù)能力中斷，巨大財務損失可能性的定定性量度（（示例）等級描述

詳細情形A幾乎肯定預期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會發(fā)生C可能在某個時間可能會發(fā)生D不太可能在某個時間能夠發(fā)生E罕見僅在例外的情況下可能發(fā)生定性風險分分析66根據(jù)預設的的等級劃分分規(guī)則判定定風險結果果依此類推，，得到所有有重要資產產的風險值值，并根據(jù)據(jù)風險等級級劃分表，，確定風險險等級

可能性

影響可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見）LLMHHE：極度風險險H：高風險M：中等風險險L:低風險定性風險分分析——矩陣法67定量風險分分析定量風險分分析試圖是是在風險評評估與成本本效益分析析期間收集集的各個組組成部分計計算客觀數(shù)數(shù)字值，定定量風險分分析更具客觀性例如，用替換成成本、生產產率損失成成本、品牌牌名譽成本本以及其他他直接和間間接商業(yè)價價值來估計計各項資產產的真實價值定量分析主要試圖從從財務數(shù)字字上對安全全風險進行行評估，得得出可以量量化的風險險分析結果果，準確度度量風險的的可能性和和損失量因為定量分分析處理數(shù)數(shù)字和金額額價值，它它必須有公式68定量風險分分析——年度預期損損失法步驟1-評估資產：：根據(jù)資產產價值（AV）清單,計算資產總總價值及資資產損失對對財務的直直接和間接接影響步驟2-確定單一預預期損失SLESLE是指發(fā)生一一次風險引引起的收入入損失總額額SLE是分配給單單個事件的的金額，代代表一個具具體威脅利利用漏洞時時將面臨的的潛在損失失（SLE類似于定定性風險險分析的的影響））將資產價價值與暴暴露系數(shù)數(shù)相乘(EF)計算出SLE。暴露系系數(shù)表示示為現(xiàn)實實威脅對對某個資資產造成成的損失失百分比比步驟3-確定年發(fā)發(fā)生率AROARO是一年中中風險發(fā)發(fā)生的次次數(shù)69步驟4-確定年預預期損失失ALEALE是不采取取任何減減輕風險險的措施施在一年年中可能能損失的的總金額額。SLE乘以ARO即可計算算出該值值（ALE類似于定定性風險險分析的的相對級級別）步驟5-確定控制制成本控制成本本就是為為了規(guī)避避企業(yè)所所存在風風險的發(fā)發(fā)生而應應投入的的費用步驟6-安全投資資收益ROSIROSI=(實施控制制前的ALE）–（實施控控制后的的ALE）–（年控制制成本））70定量風險險分析——年度預期期損失法法（續(xù)））定性分析析與定量量分析71

定量定性優(yōu)點結果可用貨幣值和具體數(shù)據(jù)（如百分比）來表達按財務影響確定風險優(yōu)先級；按財務價值確定資產優(yōu)先級通過安全投資收益分析推動風險管理隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗，其精確度將隨時間的推移而提高可以對風險的處置排定優(yōu)先順序更容易達成一致意見無需量化威脅頻率無需確定資產的財務價值更便于非安全或計算機專業(yè)人員的參與缺點分配給風險的影響值以參與者的主觀意見為基礎達成可靠結果和一致意見的流程非常耗時計算可能會非常復雜且耗時流程專業(yè)技術性強，參與者若未獲指導則無法輕松執(zhí)行流程在重要的風險之間沒有足夠的區(qū)別沒有為成本效益分析，難以證明投資控制措施是否正確結果取決于風險管理團隊的素質、經(jīng)驗和知識技能在風險分析析過程中中綜合使使用定性性和定量量風險分分析技術術對風險險要素賦值值的方式，實現(xiàn)對對風險各各要素的的度量數(shù)數(shù)值化在實際的風風險分析析活動中中，經(jīng)常常采用半半定量的的風險分分析方法72半定量風風險分析析半定量風風險分析析——相乘法73

可能性影響可以忽略1較小2中等3較大4災難性55（幾乎肯定）5101520254（很可能）481216203(可能）36912152（不太可能）2468101（罕見）12345知識域：：信息安安全風險險評估知識子域域：風險評估估的實施施流程掌握風險評估估準備階階段的工工作內容容掌握風險險要素識識別階段段的工作作內容掌握風險險分析階階段的工工作內容容和工作作步驟掌握風險險結果判判定階段段的工作作內容74風險評估估準備風險要素素識別風險分析析風險結果果判定75風險評估估實施流流程76風險評估估準備77風險要要素識識別78資產識別別資產識識別在在整個個風險險評估估中起起什么么作用用？兩點：：是整整個風風險評評估工工作的的起點點和終終點資產識識別的的重點點和難難點是是什么么？一線：：業(yè)務務戰(zhàn)略略→信信息息化戰(zhàn)戰(zhàn)略→→系系統(tǒng)特特征（（管理理/技術））資產識識別的的方法法有哪哪些？？資產分分類：：樹狀狀法。。自然然形態(tài)態(tài)分類類（勾勾畫資資產樹樹：管管理、、技術術…逐步往往下細細化））；信信息形形態(tài)分分類（（信息息環(huán)境境、信信息載載體、、信息息）79按信息形態(tài)態(tài)分類資產識別8081威脅識別威脅識別與與資產識別別是何關系系？點和面：重重點識別和和全面識別別威脅識別的的重點和難難點是什么么？三問：“敵敵人”在哪哪兒？效果果如何？如如何取證？？威脅識別的的方法有哪哪些？日志分析歷史安全事事件專家經(jīng)驗互聯(lián)網(wǎng)信息息檢索威脅分類分為：人為故意威威脅威脅意圖評評估、威脅脅能力評估估、操作限限制評估、、威脅源特特點評估人為非故意意威脅判定威脅源源、評估威威脅源特點點、評估威威脅源環(huán)境境、評估事事故發(fā)生時時間自然威脅地震、海嘯嘯、洪水8283脆弱性識別脆弱性識別的的難點是什么么？三性：隱蔽性性、欺騙性、、復雜性脆弱性識別的的方法有哪些些？脆弱性分類管理脆弱性（（如缺少管理理制度）結構脆弱性（如安安全域劃分不當）操作脆弱性（如安安全審計員業(yè)業(yè)務生疏）技術脆弱性（（如系統(tǒng)有bug）物理脆弱性（（如一層的窗窗子沒有防護護欄）脆弱性識別與與威脅識別是是何關系？驗證：以資產產為對象，對對威脅識別進進行驗證脆弱性識別內內容84常見脆弱性識識別工作方式式85脆弱性識別方式工作對象安全配置核查服務器、網(wǎng)絡設備、終端、中間件、應用軟件漏洞掃描主機、應用程序滲透測試系統(tǒng)各個層面安全架構分析系統(tǒng)各個層面數(shù)據(jù)流分析網(wǎng)絡中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開發(fā)、運維技術人員......確認已有的安安全控制考慮：預防性措施檢測性措施糾正性措施威懾性措施8687風險分析風險分析GB/T20984-2007《《信息安全風險險評估規(guī)范》給出信息安全全風險分析思思路88風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））R表示安全風險險計算函數(shù)A表示資產T表示威脅V表示脆弱性Ia表示安全事件件所作用的資資產價值Va表示脆弱性嚴嚴重程度L表示威脅利用用資產的脆弱弱性導致安全全事件的可能性F表示安全事件件發(fā)生后造成成的損失89風險結果判定定知識域：信息息安全風險評評估知識子域：風險評估工具了解風險評估工具具的分類了解常用風險險評估工具90風險評估工具具風險評估與管管理工具一套集成了風風險評估各類類知識和判據(jù)據(jù)的管理信息息系統(tǒng)，以規(guī)規(guī)范風險評估估的過程和操操作方法；或或者是用于收收集評估所需需要的數(shù)據(jù)和和資料，基于于專家經(jīng)驗，，對輸入輸出出進行模型分分析系統(tǒng)基礎平臺臺風險評估工工具主要用于對信信息系統(tǒng)的主主要部件（如如操作系統(tǒng)、、數(shù)據(jù)庫系統(tǒng)統(tǒng)、網(wǎng)絡設備備等）的脆弱弱性進行分析析，或實施基基于脆弱性的的攻擊風險評估輔助助工具實現(xiàn)對數(shù)據(jù)的的采集、現(xiàn)狀狀分析和趨勢勢分析等單項項功能，為風風險評估各要要素的賦值、、定級提供依依據(jù)9192風險評估工具具風險評估與管管理工具基于標準的工工具，如基于NISTSP800-30或ISO27005開發(fā)的工具基于知識的工具，綜合各種風險分析方法，形成知知識庫，以此為基礎礎完成綜合評評估基于模型的工具，對典型系統(tǒng)的資資產、威脅、、脆弱性建立立量化或半量量化的模型系統(tǒng)基礎平臺臺風險評估工具脆弱性掃描工具：基于網(wǎng)絡的掃掃描器、基于于主機的掃描描器、分布式式網(wǎng)絡掃描器、數(shù)據(jù)庫脆弱性掃描器器滲透性測試工具：黑客工具、腳腳本文件風險評估輔助助工具檢查列表、入入侵檢測系統(tǒng)統(tǒng)、安全審計計工具、拓撲撲發(fā)現(xiàn)工具和和資產信息收收集系統(tǒng)，用于評估過程參考考的評估指標標庫、知識庫庫、漏洞庫、、算法庫和模模型庫謝謝，請?zhí)釂枂栴}！9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Tuesday,December20,202210、雨中黃葉樹樹，燈下白頭頭人。。17:28:4517:28:4517:2812/20/20225:28:45PM11、以我獨沈久久，愧君相見見頻。。12月-2217:28:4517:28Dec-2220-Dec-2212、故人江海海別，幾度度隔山川。。。17:28:4517:28:4517:28Tuesday,December20,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2217:28:4517:28:45December20,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。20十十二二月20225:28:45下下午17:28:4512月月-2215、比不了了得就不不比，得得不到的的就不要要。。。。十二月225:28下