信息安全管理課件

信息安全管理

（第二版）

授課內(nèi)容：信息安全風(fēng)險(xiǎn)評(píng)估

信息安全管理Informationsecuritymanagement第3章信息安全風(fēng)險(xiǎn)評(píng)估3.1概述3.2信息安全風(fēng)險(xiǎn)評(píng)估策略3.3信息安全風(fēng)險(xiǎn)評(píng)估流程3.4信息安全風(fēng)險(xiǎn)評(píng)估方法3.5風(fēng)險(xiǎn)評(píng)估案例3.6本章小結(jié)3.7習(xí)題從一個(gè)故事開(kāi)始認(rèn)識(shí)“風(fēng)險(xiǎn)”3.1 概述

故事梗概傻根在外地打工掙了錢(qián)，隨身攜帶著10萬(wàn)元錢(qián)坐上了一輛混雜著很多小偷的長(zhǎng)途火車(chē)回家。傻根把錢(qián)就放在了普通的布質(zhì)書(shū)包里。傻根沒(méi)有坐軟臥包廂，而是坐在擠滿了上百人的硬座車(chē)廂。有時(shí)候累了，就坐著打個(gè)瞌睡。一路上，葛優(yōu)等小偷團(tuán)伙頻頻出手，嘗試著偷這10萬(wàn)元錢(qián)。但是在好心人劉德華和劉若英等的保護(hù)下，葛優(yōu)等小偷團(tuán)伙未能得逞。好險(xiǎn)啊，如果這錢(qián)被偷走了，傻根就娶不上媳婦了。天下無(wú)賊？3.1 概述資產(chǎn)（asset）

------對(duì)組織具有價(jià)值的任何東西

[ISO/IECTR13335-1：2004]概念威脅（

threat）

------可能導(dǎo)致對(duì)系統(tǒng)或組織損害的不希望事故潛在起因

[ISO/IECTR13335-1：2004]脆弱性（vulnerability）（也稱脆弱點(diǎn)、漏洞）

------可能會(huì)被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)

[ISO/IECTR13335-1：2004]3.1 概述風(fēng)險(xiǎn)管理（

riskmanagement）------在風(fēng)險(xiǎn)方面指揮或控制一個(gè)組織的協(xié)調(diào)活動(dòng)，一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)傳遞

[ISOGuide73：2002]風(fēng)險(xiǎn)（

risk）

------事件的概率及其結(jié)果的組合

[ISOGuide73：2002]風(fēng)險(xiǎn)評(píng)價(jià)（riskevaluation）------對(duì)照風(fēng)險(xiǎn)準(zhǔn)則比較被估計(jì)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程

[ISOGuide73：2002]概念3.1 概述信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×脆弱性嚴(yán)重性（簡(jiǎn)單理解）3.1 概述對(duì)信息和信息處理設(shè)施的威脅、影響(Impact，指安全事件所帶來(lái)的直接和間接損失)和脆弱性及三者發(fā)生的可能性的評(píng)估。3.1 概述風(fēng)險(xiǎn)評(píng)估（RiskAssessment）故事分析

在火車(chē)開(kāi)動(dòng)到停止這段時(shí)間內(nèi)，綜合資產(chǎn)、脆弱性、威脅和安全措施等各方面因素進(jìn)行風(fēng)險(xiǎn)評(píng)估的結(jié)果是：因?yàn)?0萬(wàn)元錢(qián)不是一筆小數(shù)目（資產(chǎn)），葛優(yōu)等小偷能力很強(qiáng)且決心堅(jiān)決（威脅），且傻根對(duì)錢(qián)的保管手段（技術(shù)）和意識(shí)（管理）都不足（脆弱性），差一點(diǎn)發(fā)生“娶不上媳婦”這樣的結(jié)果（風(fēng)險(xiǎn)）。因好心人劉德華和劉若英等的保護(hù)到位（安全措施），最終錢(qián)保住了（風(fēng)險(xiǎn)消減）。3.1 概述以風(fēng)風(fēng)險(xiǎn)險(xiǎn)為為核核心心的的安安全全模模型型（（ISO13335）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅脆弱性安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足3.1概述述信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的意意義義和和作作用用信息息安安全全中中的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估是是傳傳統(tǒng)統(tǒng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)理理論論和和方方法法在在信信息息系系統(tǒng)統(tǒng)中中的的運(yùn)運(yùn)用用，，是是科科學(xué)學(xué)地地分分析析和和理理解解信信息息與與信信息息系系統(tǒng)統(tǒng)在在保保密密性性、、完完整整性性、、可可用用性性等等方方面面所所面面臨臨的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，并并在在風(fēng)風(fēng)險(xiǎn)險(xiǎn)的的減減少少、、轉(zhuǎn)轉(zhuǎn)移移和和規(guī)規(guī)避避等等風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制方方法法之之間間做做出出決決策策的的過(guò)過(guò)程程。。風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估將將導(dǎo)導(dǎo)出出信信息息系系統(tǒng)統(tǒng)的的安安全全需需求求，，因因此此，，所所有有信信息息安安全全建建設(shè)設(shè)都都應(yīng)應(yīng)該該以以風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估為為起起點(diǎn)點(diǎn)。。信信息息安安全全建建設(shè)設(shè)的的最最終終目目的的是是服服務(wù)務(wù)于于信信息息化化，，但但其其直直接接目目的的是是為為了了控控制制安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。只有有在在正正確確、、全全面面地地了了解解和和理理解解安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)后后，，才才能能決決定定如如何何處處理理安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，從從而而在在信信息息安安全全的的投投資資、、信信息息安安全全措措施施的的選選擇擇、、信信息息安安全全保保障障體體系系的的建建設(shè)設(shè)等等問(wèn)問(wèn)題題中中做做出出合合理理的的決決策策。。持續(xù)的風(fēng)險(xiǎn)評(píng)評(píng)估工作可以以成為檢查信信息系統(tǒng)本身身乃至信息系系統(tǒng)擁有單位位的績(jī)效的有有力手段，風(fēng)風(fēng)險(xiǎn)評(píng)估的結(jié)結(jié)果能夠供相相關(guān)主管單位位參考，并使使主管單位通通過(guò)行政手段段對(duì)信息系統(tǒng)統(tǒng)的立項(xiàng)、投投資、運(yùn)行產(chǎn)產(chǎn)生影響，促促進(jìn)信息系統(tǒng)統(tǒng)擁有單位加加強(qiáng)信息安全全建設(shè)。3.1概述3.1 概述述3.1.1信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估相關(guān)要要素信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估的對(duì)象象是信息系統(tǒng)統(tǒng)，信息系統(tǒng)統(tǒng)的資產(chǎn)、信信息系統(tǒng)可能能面對(duì)的威脅脅、系統(tǒng)中存存在的弱點(diǎn)（（脆弱性）、、系統(tǒng)中已有有的安全措施施等是影響信信息安全風(fēng)險(xiǎn)險(xiǎn)的基本要素素，它們和安安全風(fēng)險(xiǎn)、安安全風(fēng)險(xiǎn)對(duì)業(yè)業(yè)務(wù)的影響以以及系統(tǒng)安全全需求等構(gòu)成成信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的要要素。1.資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何何對(duì)組織有價(jià)價(jià)值的東西，，資產(chǎn)包括：：物理資產(chǎn)、、信息/數(shù)據(jù)、軟件件、提供產(chǎn)品品和服務(wù)的能能力、人員、、無(wú)形資產(chǎn)。?！缎畔踩L(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)范》——資產(chǎn)是指對(duì)組組織具有價(jià)值值的信息資源源，是安全策策略保護(hù)的對(duì)對(duì)象。以多種種形式存在，，有無(wú)形的、、有形的，有有硬件、軟件件，有文檔、、代碼，也有有服務(wù)、形象象等。根據(jù)資資產(chǎn)的表現(xiàn)形形式，可將資資產(chǎn)分為數(shù)據(jù)據(jù)、軟件、硬硬件、文檔、、服務(wù)、人員員等類(lèi)。3.1 概述述2.威脅威脅是可能對(duì)對(duì)資產(chǎn)或組織織造成損害的的潛在原因。。威脅有潛力力導(dǎo)致不期望望發(fā)生的事件件發(fā)生，該事事件可能對(duì)系系統(tǒng)或組織及及其資產(chǎn)造成成損害。這些些損害可能是是蓄意的對(duì)信信息系統(tǒng)和服服務(wù)所處理信信息的直接或或間接攻擊。。也可能是偶偶發(fā)事件。根據(jù)威脅源的的不同，威脅脅可分為：自然威脅、環(huán)環(huán)境威脅、系系統(tǒng)威脅、人人員威脅3.脆弱性脆弱性是一個(gè)個(gè)或一組資產(chǎn)產(chǎn)所具有的，，可能被威脅脅利用對(duì)資產(chǎn)產(chǎn)造成損害的的薄弱環(huán)節(jié)。。4.風(fēng)險(xiǎn)根據(jù)ISO/IEC13335-1，信息安全風(fēng)風(fēng)險(xiǎn)是指威脅脅利用利用一一個(gè)或一組資資產(chǎn)的脆弱性性導(dǎo)致組織受受損的潛在，，并以威脅利利用脆弱性造造成的一系列列不期望發(fā)生生的事件（或或稱為安全事事件）體現(xiàn)3.1 概述述5.影響影響是威脅利利用資產(chǎn)的脆脆弱性導(dǎo)致不不期望發(fā)生事事件的后果。。這些后果可可能表現(xiàn)為直直接形式，如如物理介質(zhì)或或設(shè)備的破壞壞、人員的損損傷、直接接的資金損失失等；也可能能表現(xiàn)為間接接的損失如公公司信用、形形象受損、市市場(chǎng)分額損失失、法律責(zé)任任等。6.安全措施安全措施是指指為保護(hù)資產(chǎn)產(chǎn)、抵御威脅脅、減少脆弱弱性、限制不不期望發(fā)生事事件的影響、、加速不期望望發(fā)生事件的的檢測(cè)及響應(yīng)應(yīng)而采取的各各種實(shí)踐、規(guī)規(guī)程和機(jī)制的的總稱。7.安全需求安全需求是指指為保證組織織業(yè)務(wù)戰(zhàn)略的的正常運(yùn)作而而在安全措施施方面提出的的要求。3.1 概述述3.1.2信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估是指依依據(jù)有關(guān)信息息安全技術(shù)與與管理標(biāo)準(zhǔn)，，對(duì)信息系統(tǒng)統(tǒng)及由其處理理、傳輸和存存儲(chǔ)的信息的的機(jī)密性、完完整性和可用用性等安全屬屬性進(jìn)行評(píng)價(jià)價(jià)的過(guò)程。3.1.3風(fēng)險(xiǎn)要素相互互間的關(guān)系資產(chǎn)、威脅、、脆弱性是信信息安全風(fēng)險(xiǎn)險(xiǎn)的基本要素素與信息安全全風(fēng)險(xiǎn)有關(guān)的的要素還包括括：安全措施施、安全需求求、影響等。。ISO/IEC13335-1對(duì)它們之間的的關(guān)系描述如如圖2-1所示3.1 概述述《信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)范》GB/T20984對(duì)ISO/IEC13335-1提出風(fēng)險(xiǎn)要素素關(guān)系模型進(jìn)進(jìn)行了擴(kuò)展我國(guó)提出的信信息風(fēng)險(xiǎn)要素素關(guān)系圖3.2 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估策略3.2.1基線風(fēng)險(xiǎn)評(píng)估估要求組織根據(jù)據(jù)自己的實(shí)際際情況（所在在行業(yè)、業(yè)務(wù)務(wù)環(huán)境與性質(zhì)質(zhì)等），對(duì)信信息系統(tǒng)進(jìn)行行基線安全檢檢查（將現(xiàn)有的安全全措施與安全全基線規(guī)定的的措施進(jìn)行比比較，找出其其中的差距），得出基本本的安全需求求，通過(guò)選擇擇并實(shí)施標(biāo)準(zhǔn)準(zhǔn)的安全措施施來(lái)消減和控控制風(fēng)險(xiǎn)?？梢愿鶕?jù)以下下資源來(lái)選擇擇安全基線：：(1)國(guó)際標(biāo)準(zhǔn)和國(guó)國(guó)家標(biāo)準(zhǔn)(2)行業(yè)標(biāo)準(zhǔn)或推推薦(3)來(lái)自其他有類(lèi)類(lèi)似商務(wù)目標(biāo)標(biāo)和規(guī)模的組組織的慣例3.2 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估策略基線評(píng)估的優(yōu)優(yōu)點(diǎn)是：(1)風(fēng)險(xiǎn)分析和每每個(gè)防護(hù)措施施的實(shí)施管理理只需要最少少數(shù)量的資源源，并且在選選擇防護(hù)措施施時(shí)花費(fèi)更少少的時(shí)間和努努力(2)如果組織的大大量系統(tǒng)都在在普通環(huán)境下下運(yùn)行并且如如果安全需要要類(lèi)似，那么么很多系統(tǒng)都都可以采用相相同或相似的的基線防護(hù)措措施而不需要要太多的努力力基線評(píng)估的的的缺點(diǎn)是：(1)基線水平難以以設(shè)置(2)風(fēng)險(xiǎn)評(píng)估不全全面、不透徹徹，且不易處處理變更3.2 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估策略3.2.2詳細(xì)風(fēng)險(xiǎn)評(píng)估估詳細(xì)風(fēng)險(xiǎn)評(píng)估估要求對(duì)資產(chǎn)產(chǎn)、威脅和脆脆弱性進(jìn)行詳詳細(xì)識(shí)別和評(píng)評(píng)價(jià)，并對(duì)可可能引起風(fēng)險(xiǎn)險(xiǎn)的水平進(jìn)行行評(píng)估通過(guò)不期望事事件的潛在負(fù)負(fù)面業(yè)務(wù)影響響評(píng)估和他們們發(fā)生的可能能性來(lái)完成。。根據(jù)風(fēng)險(xiǎn)評(píng)估估的結(jié)果來(lái)識(shí)識(shí)別和選擇安安全措施，將將風(fēng)險(xiǎn)降低到到可接受的水水平詳細(xì)評(píng)估的優(yōu)優(yōu)點(diǎn)是：(1)有可能為所有有系統(tǒng)識(shí)別出出適當(dāng)?shù)陌踩胧?2)詳細(xì)分析的結(jié)結(jié)果可用于安安全變更管理理。詳細(xì)評(píng)估的缺缺點(diǎn)：需要更多的時(shí)時(shí)間、努力和和專(zhuān)業(yè)知識(shí)3.2 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估策略3.2.3綜合風(fēng)險(xiǎn)評(píng)估估基線風(fēng)險(xiǎn)評(píng)估估耗費(fèi)資源少少、周期短、、操作簡(jiǎn)單，，但不夠準(zhǔn)確確，適合一般般環(huán)境的評(píng)估估詳細(xì)風(fēng)險(xiǎn)評(píng)估估準(zhǔn)確而細(xì)致致，但耗費(fèi)資資源較多，適適合嚴(yán)格限定定邊界的較小小范圍內(nèi)的評(píng)評(píng)估實(shí)踐中，多采采用二者結(jié)合合的綜合評(píng)估估方式3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.1風(fēng)險(xiǎn)評(píng)估流程程概述風(fēng)險(xiǎn)評(píng)估四個(gè)個(gè)階段:階段1:評(píng)估準(zhǔn)備階段2:風(fēng)險(xiǎn)識(shí)別階段3:風(fēng)險(xiǎn)評(píng)價(jià)階段4:風(fēng)險(xiǎn)處理3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.2風(fēng)險(xiǎn)評(píng)估的準(zhǔn)準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)準(zhǔn)備是整個(gè)風(fēng)風(fēng)險(xiǎn)評(píng)估過(guò)程程有效性的保保證包括：1．確定風(fēng)險(xiǎn)評(píng)評(píng)估目標(biāo)2．確定風(fēng)險(xiǎn)評(píng)評(píng)估的對(duì)象和和范圍3．組建建團(tuán)隊(duì)隊(duì)。組建適適當(dāng)?shù)牡娘L(fēng)險(xiǎn)險(xiǎn)評(píng)估估管理理與實(shí)實(shí)施團(tuán)團(tuán)隊(duì)，，以支支持整整個(gè)過(guò)過(guò)程的的推進(jìn)進(jìn)4．選擇擇方法法應(yīng)考慮慮評(píng)估估的目目的、、范圍圍、時(shí)時(shí)間、、效果果、人人員素素質(zhì)等等因素素來(lái)選選擇具具體的風(fēng)險(xiǎn)險(xiǎn)判斷斷方法法，使使之能能夠與與組織織環(huán)境境和安安全要要求相相適應(yīng)應(yīng)。5．獲得得支持持6．準(zhǔn)備備相關(guān)關(guān)的評(píng)評(píng)估工工具3.3信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估流流程3.3.3資產(chǎn)識(shí)識(shí)別與與評(píng)估估1．資產(chǎn)產(chǎn)識(shí)別別資產(chǎn)識(shí)識(shí)別是是風(fēng)險(xiǎn)險(xiǎn)識(shí)別別的必必要環(huán)環(huán)節(jié)。。資產(chǎn)產(chǎn)識(shí)別別的任任務(wù)就就是對(duì)對(duì)確定定的評(píng)評(píng)估對(duì)對(duì)象所所涉及及或包包含的的資產(chǎn)產(chǎn)進(jìn)行行詳細(xì)細(xì)的標(biāo)標(biāo)識(shí)資產(chǎn)識(shí)識(shí)別過(guò)過(guò)程中中要特特別注注意無(wú)無(wú)形資資產(chǎn)的的遺漏漏，同同時(shí)還還應(yīng)注注意不不同資資產(chǎn)間間的相相互依依賴關(guān)關(guān)系，，關(guān)系系緊密密的資資產(chǎn)可可作為為一個(gè)個(gè)整體體來(lái)考考慮，，同一一中類(lèi)類(lèi)型的的資產(chǎn)產(chǎn)也應(yīng)應(yīng)放在在一起起考慮慮。資產(chǎn)識(shí)識(shí)別方方法:訪談、、現(xiàn)場(chǎng)場(chǎng)調(diào)查查、問(wèn)問(wèn)卷、、文檔檔查閱閱3.3信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估流流程2．資產(chǎn)產(chǎn)評(píng)估估資產(chǎn)的的評(píng)價(jià)價(jià)是對(duì)對(duì)資產(chǎn)產(chǎn)的價(jià)價(jià)值或或重要要程度度進(jìn)行行評(píng)估估，資資產(chǎn)本本身的的貨幣幣價(jià)值值是資資產(chǎn)價(jià)價(jià)值的的體現(xiàn)現(xiàn)，但但更重重要的的是資產(chǎn)對(duì)對(duì)組織織關(guān)鍵鍵業(yè)務(wù)務(wù)的順順利開(kāi)開(kāi)展乃乃至組組織目目標(biāo)實(shí)實(shí)現(xiàn)的的重要要程度度。由于于多數(shù)數(shù)資產(chǎn)產(chǎn)不能能以貨貨幣形形式的的價(jià)值值來(lái)衡衡量，，資產(chǎn)產(chǎn)評(píng)價(jià)價(jià)很難難以定定量的的方式式來(lái)進(jìn)進(jìn)行，，多數(shù)情情況下下只能能以定定性的的形式式，依依據(jù)重重要程程度的的不同同劃分分等級(jí)級(jí)定性：：非常重重要→→重要要→比比較重重要→→不太太重要要→不不重要要（5級(jí)劃分分）定量：：54321信息資資產(chǎn)的的機(jī)密性性、完完整性性、可可用性性、可可審計(jì)計(jì)性和和不可可抵賴賴性等是評(píng)評(píng)價(jià)資資產(chǎn)的的安全全屬性性可以先分別別對(duì)資資產(chǎn)在在以上上各方方面的的重要要程度度進(jìn)行行評(píng)估估，然后后通過(guò)過(guò)一定定的方方法進(jìn)行綜綜合,可得資資產(chǎn)的的綜合價(jià)價(jià)值2.資產(chǎn)評(píng)評(píng)估資產(chǎn)價(jià)價(jià)值應(yīng)應(yīng)依據(jù)據(jù)資產(chǎn)產(chǎn)在保密密性、、完整整性和和可用用性上上的賦賦值等等級(jí)，經(jīng)過(guò)過(guò)綜合合評(píng)定定得出出電子信信息資資產(chǎn)紙介資資產(chǎn)軟件資資產(chǎn)物理資資產(chǎn)人員服務(wù)性性資產(chǎn)產(chǎn)公司形形象和和名譽(yù)譽(yù)3.3信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估流流程2.資產(chǎn)評(píng)評(píng)估資產(chǎn)價(jià)價(jià)值應(yīng)應(yīng)依據(jù)據(jù)資產(chǎn)產(chǎn)在保密密性、、完整整性和和可用用性上上的賦賦值等等級(jí)，經(jīng)過(guò)過(guò)綜合合評(píng)定定得出出最大原原則：：取5個(gè)屬性性中最最大的的那個(gè)個(gè)屬性性賦值值作為為綜合合評(píng)價(jià)價(jià)值VA=Max(VAc,VAi,VAa,VAac,VAn)加權(quán)原原則：：根據(jù)據(jù)屬性性保護(hù)護(hù)對(duì)業(yè)業(yè)務(wù)開(kāi)開(kāi)展影影響賦賦權(quán)重重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估流流程2.資產(chǎn)評(píng)評(píng)估《信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)規(guī)范》GB/T20984推薦方法：：首先，對(duì)資資產(chǎn)的機(jī)密密性、完整整性、可用用性定性賦賦值其次，用一一定方法進(jìn)進(jìn)行綜合，，基本屬于于最大原則則機(jī)密性賦值值表2-3（P28）完整性賦值值表2-4（P29）資產(chǎn)可用性性賦值表2-5（P29）對(duì)關(guān)鍵資產(chǎn)產(chǎn)進(jìn)行風(fēng)險(xiǎn)險(xiǎn)評(píng)估是重重點(diǎn)3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程2.資產(chǎn)評(píng)估3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1很低可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等資產(chǎn)機(jī)密性性賦值表《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》GB/T209842.資產(chǎn)評(píng)估3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程資產(chǎn)完整性性賦值表賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》GB/T209842.資產(chǎn)評(píng)估3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程資產(chǎn)可用性性賦值表賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10min3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》GB/T209842.資產(chǎn)評(píng)估3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程資產(chǎn)等級(jí)及及含義描述述等級(jí)標(biāo)識(shí)描述5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》GB/T209843.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.4威脅識(shí)別與與評(píng)估1．威脅識(shí)別別威脅識(shí)別的的任務(wù)是對(duì)對(duì)組織資產(chǎn)產(chǎn)面臨的威威脅進(jìn)行全全面的標(biāo)識(shí)識(shí)威脅識(shí)別可可從威脅源源進(jìn)行分析析，也可根根據(jù)有關(guān)標(biāo)標(biāo)準(zhǔn)、組織織所提供的的威脅參考考目錄進(jìn)行行分析。如威脅樹(shù)（（P30）系統(tǒng)故障障威脅樹(shù)（（P31）2．威脅評(píng)估估安全風(fēng)險(xiǎn)的的大小是由由安全事件件發(fā)生的可可能性以及及它造成的的影響決定定，安全事事件發(fā)生的的可能性與與威脅出現(xiàn)現(xiàn)的頻率有有關(guān)，而安安全事件的的影響則與與威脅的強(qiáng)強(qiáng)度或破壞壞能力有關(guān)關(guān)威脅評(píng)估就就是對(duì)威脅脅出現(xiàn)的頻頻率及強(qiáng)度度進(jìn)行評(píng)估估，這是風(fēng)風(fēng)險(xiǎn)評(píng)估的的重要環(huán)節(jié)節(jié)評(píng)估者應(yīng)根根據(jù)經(jīng)驗(yàn)和和（或）有有關(guān)的統(tǒng)計(jì)計(jì)數(shù)據(jù)來(lái)分分析威脅出出現(xiàn)的頻率率及其強(qiáng)度度或破壞能能力威脅評(píng)估的的通用方法法為威脅列表表中的全部部可賦值威威脅類(lèi)進(jìn)行行賦值3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生威脅賦值表表《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》GB/T20984威脅評(píng)估的的通用方法法判斷威脅出出現(xiàn)的頻率率是威脅賦賦值的重要要內(nèi)容，應(yīng)應(yīng)根據(jù)經(jīng)驗(yàn)驗(yàn)和（或））有關(guān)的統(tǒng)統(tǒng)計(jì)數(shù)據(jù)來(lái)來(lái)進(jìn)行判斷斷。需要綜綜合考慮以以下三個(gè)方方面，以形形成在某種種評(píng)估環(huán)境境中各種威威脅出現(xiàn)的的頻率：--以往安全事事件報(bào)告中中出現(xiàn)過(guò)的的威脅及其其頻率的統(tǒng)統(tǒng)計(jì)；--實(shí)際環(huán)境中中通過(guò)檢測(cè)測(cè)工具以及及各種日志志發(fā)現(xiàn)的威威脅及其頻頻率的統(tǒng)計(jì)計(jì)；--近一兩年來(lái)來(lái)國(guó)際組織織發(fā)布的對(duì)對(duì)于整個(gè)社社會(huì)或特定定行業(yè)的威威脅及其頻頻率統(tǒng)計(jì)，，以及發(fā)布布的威脅預(yù)預(yù)警。為簡(jiǎn)化后續(xù)續(xù)的風(fēng)險(xiǎn)計(jì)計(jì)算過(guò)程，，避免不必必要的計(jì)算算工作，僅僅采用TOP5或者TOP10威脅參與風(fēng)風(fēng)險(xiǎn)計(jì)算3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程威脅舉例3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程外部威脅發(fā)發(fā)展網(wǎng)絡(luò)欺騙或或訛詐感染惡意代代碼泄露重要信信息手機(jī)攻擊網(wǎng)絡(luò)仿冒網(wǎng)頁(yè)篡改網(wǎng)頁(yè)惡意代碼垃圾郵件拒絕服務(wù)攻擊病毒蠕蟲(chóng)木馬3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.5脆弱性識(shí)別別與評(píng)估1．脆弱性識(shí)識(shí)別也稱為弱點(diǎn)點(diǎn)識(shí)別。弱弱點(diǎn)是資產(chǎn)產(chǎn)本身存在在的，如果果沒(méi)有相應(yīng)應(yīng)的威脅發(fā)發(fā)生，單純純的弱點(diǎn)本本身不會(huì)對(duì)對(duì)資產(chǎn)造成成損害。而而且如果系系統(tǒng)足夠強(qiáng)強(qiáng)健，再嚴(yán)嚴(yán)重的威脅脅也不會(huì)導(dǎo)導(dǎo)致安全事事件，并造造成損失。。即,威脅總是要要利用資產(chǎn)產(chǎn)的脆弱性性才可能造造成危害脆弱性識(shí)別別時(shí)的數(shù)據(jù)據(jù)應(yīng)來(lái)自于于資產(chǎn)的所所有者、使使用者，以以及相關(guān)業(yè)業(yè)務(wù)領(lǐng)域和和軟硬件方方面的專(zhuān)業(yè)業(yè)人員等脆弱性識(shí)別別所采用的的方法主要要有：?jiǎn)柧碚{(diào)查、、工具檢測(cè)測(cè)、人工核核查、文檔檔查閱、滲滲透性測(cè)試試等3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.5脆弱性識(shí)別別與評(píng)估1．脆弱性識(shí)識(shí)別脆弱性識(shí)別別主要從技技術(shù)和管理理兩個(gè)方面面進(jìn)行技術(shù)脆弱性性涉及物理理層、網(wǎng)絡(luò)絡(luò)層、系統(tǒng)統(tǒng)層、應(yīng)用用層等各個(gè)個(gè)層面的安安全問(wèn)題管理脆弱性性又可分為為技術(shù)管理理和組織管管理兩方面面，前者與與具體技術(shù)術(shù)活動(dòng)相關(guān)關(guān)，后者與與管理環(huán)境境相關(guān)1．脆弱性識(shí)識(shí)別類(lèi)型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類(lèi)與控制、人員安全、符合性等方面進(jìn)行識(shí)別3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程脆弱性識(shí)別別內(nèi)容表3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程2.脆弱性評(píng)估估對(duì)脆弱性被被利用后對(duì)對(duì)資產(chǎn)損害害程度、技術(shù)實(shí)現(xiàn)現(xiàn)的難易程程度、弱點(diǎn)點(diǎn)流行程度度進(jìn)行評(píng)估估，評(píng)估的的結(jié)果一般般都是定性性等級(jí)劃分分形式，綜綜合的標(biāo)識(shí)識(shí)脆弱性的的嚴(yán)重程度度。也可對(duì)脆弱弱性被利用用后對(duì)資產(chǎn)產(chǎn)的損害程程度以及被被利用的可可能性分別別評(píng)估，然然后以一定定方式綜合合。若多個(gè)脆弱弱性反映同同一個(gè)問(wèn)題題，應(yīng)綜合合考慮這些些脆弱性，，確定該類(lèi)類(lèi)脆弱性嚴(yán)嚴(yán)重程度脆弱性評(píng)估估3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害。4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害。2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略。脆弱性嚴(yán)重重程度賦值值表脆弱性嚴(yán)重重程度可以以進(jìn)行等級(jí)級(jí)化處理，，不同的等等級(jí)分別代代表資產(chǎn)脆脆弱性嚴(yán)重重程度的高高低。等級(jí)級(jí)數(shù)值越大大，脆弱性性嚴(yán)重程度度越高《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》GB/T209843.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.6已有安全措措施的確認(rèn)認(rèn)安全措施可可以分為預(yù)防性安全全措施和保護(hù)性安全全措施兩種預(yù)防性安全全措施可以以降低威脅脅利用脆弱弱性導(dǎo)致安安全事件發(fā)發(fā)生的可能能性，如入入侵檢測(cè)系系統(tǒng)通過(guò)兩個(gè)方方面的作用用來(lái)實(shí)現(xiàn)（1）減少威脅脅出現(xiàn)的頻頻率，如通通過(guò)立法或或健全制度度加大對(duì)員員工惡意行行為的懲罰罰，可以減減少員工故故意行為威威脅出現(xiàn)的的頻率，通通過(guò)安全培培訓(xùn)可以減減少無(wú)意行行為導(dǎo)致安安全事件出出現(xiàn)的頻率率；（2）減少脆弱弱性，如及及時(shí)為系統(tǒng)統(tǒng)打補(bǔ)丁、、對(duì)硬件設(shè)設(shè)備定期檢檢查能夠減減少系統(tǒng)的的技術(shù)脆弱弱性等。保護(hù)性安全全措施可以以減少因安安全事件發(fā)發(fā)生后對(duì)組組織或系統(tǒng)統(tǒng)造成的影影響。3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.6已有安全措措施的確認(rèn)認(rèn)對(duì)已采取的的安全措施施進(jìn)行確認(rèn)認(rèn)，至少有有兩個(gè)方面面的意義（1）有助于對(duì)對(duì)當(dāng)前信息息系統(tǒng)面臨臨的風(fēng)險(xiǎn)進(jìn)進(jìn)行分析（2）通過(guò)對(duì)當(dāng)當(dāng)前安全措措施的確認(rèn)認(rèn)，分析其其有效性，，對(duì)有效的的安全措施施繼續(xù)保持持，以避免免不必要的的工作和費(fèi)費(fèi)用，防止止安全措施施的重復(fù)實(shí)實(shí)施3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.7風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就就是利用資資產(chǎn)、威脅脅、脆弱性性識(shí)別與評(píng)評(píng)估結(jié)果以以及對(duì)已有有安全措施施確認(rèn)后，，采用適當(dāng)當(dāng)?shù)姆椒ㄅc與工具確定威脅利利用脆弱性性導(dǎo)致安全全事件發(fā)生生的可能性性。綜合安全全事件所作作用的資產(chǎn)產(chǎn)價(jià)值及脆脆弱性的嚴(yán)嚴(yán)重程度，，判斷安全事事件造成的的損失對(duì)組組織的影響響，即安全全風(fēng)險(xiǎn)3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算如前所述，，風(fēng)險(xiǎn)可形形式化的表表示為R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、、A表示資產(chǎn)、、T表示威脅、、V表示脆弱性性。相應(yīng)的的風(fēng)險(xiǎn)值由由A、T、V的取值決定定，是它們們的函數(shù)，，可以表示示為：風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))Va表示脆脆弱性嚴(yán)重重程度；L表示威脅脅利用資產(chǎn)產(chǎn)的脆弱性性導(dǎo)致安全全事件發(fā)生生的可能性性；F表示安全全事件發(fā)生生后產(chǎn)生的的損失3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算三個(gè)關(guān)鍵計(jì)計(jì)算環(huán)節(jié)：：a）計(jì)算安全全事件發(fā)生生的可能性性根據(jù)威脅出出現(xiàn)頻率及及弱點(diǎn)的狀狀況，計(jì)算算威脅利用用脆弱性導(dǎo)導(dǎo)致安全事事件發(fā)生的的可能性，，即：安全事件發(fā)發(fā)生的可能能性=L(威脅出現(xiàn)頻頻率，脆弱弱性)=L(T，V)在具體評(píng)估估中，應(yīng)綜綜合攻擊者者技術(shù)能力力（專(zhuān)業(yè)技技術(shù)程度、、攻擊設(shè)備備等）、脆脆弱性被利利用的難易易程度（可可訪問(wèn)時(shí)間間、設(shè)計(jì)和和操作知識(shí)識(shí)公開(kāi)程度度等）、資資產(chǎn)吸引力力等因素來(lái)來(lái)判斷安全全事件發(fā)生生的可能性性。3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算三個(gè)關(guān)鍵計(jì)計(jì)算環(huán)節(jié)：：b）計(jì)算安安全事件發(fā)發(fā)生后的損損失根據(jù)資產(chǎn)價(jià)價(jià)值及脆弱弱性嚴(yán)重程程度，計(jì)算算安全事件件一旦發(fā)生生后的損失失，即：安全事件的的損失=F(資產(chǎn)價(jià)價(jià)值，脆弱弱性嚴(yán)重程程度)=F(Ia，，Va)部分安全事事件的發(fā)生生造成的損損失不僅僅僅是針對(duì)該該資產(chǎn)本身身，還可能能影響業(yè)務(wù)務(wù)的連續(xù)性性；不同安安全事件的的發(fā)生對(duì)組組織造成的的影響也是是不一樣的的。在計(jì)算算某個(gè)安全全事件的損損失時(shí)，應(yīng)應(yīng)將對(duì)組織織的影響也也考慮在內(nèi)內(nèi)。對(duì)發(fā)生可能能性極小的的安全事件件，可以不不計(jì)算其損損失3.3信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算三個(gè)關(guān)鍵計(jì)計(jì)算環(huán)節(jié)：：c）計(jì)算風(fēng)險(xiǎn)值值根據(jù)計(jì)算出出的安全事事件發(fā)生的的可能性以以及安全事事件的損失失，計(jì)算風(fēng)風(fēng)險(xiǎn)值，即即：風(fēng)險(xiǎn)值=R(安全事件發(fā)發(fā)生的可能能性，安全全事件造成成的損失)=R(L(T，V)，F(xiàn)(Ia，Va))可根據(jù)自身身情況選擇擇相應(yīng)的風(fēng)風(fēng)險(xiǎn)計(jì)算方方法計(jì)算風(fēng)風(fēng)險(xiǎn)值，如如矩陣法或或相乘法。。矩陣法通過(guò)過(guò)構(gòu)造一個(gè)個(gè)二維矩陣陣，形成安安全事件發(fā)發(fā)生的可能能性與安全全事件的損損失之間的的二維關(guān)系系相乘法通過(guò)過(guò)構(gòu)造經(jīng)驗(yàn)驗(yàn)函數(shù)，將將安全事件件發(fā)生的可可能性與安安全事件的的損失進(jìn)行行運(yùn)算得到到風(fēng)險(xiǎn)值。。3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程2．影響分析析安全事件對(duì)對(duì)組織的影影響可體現(xiàn)現(xiàn)在以下方方面：直接經(jīng)濟(jì)損損失、物理理資產(chǎn)的損損壞、業(yè)務(wù)務(wù)影響、法律責(zé)任、、人員安全全危害、信信譽(yù)（形象象）損失上述損失有有些容易定定量表示，，有些則很很難3．可能性分分析安全事件發(fā)發(fā)生的可能能性的因素素有：資產(chǎn)吸引力力、威脅出出現(xiàn)的可能能性、脆弱性的屬屬性、安全全措施的效效能等。根據(jù)威脅源源的分類(lèi)，，引起安全全事件發(fā)生生的原因可可能自然災(zāi)害、、環(huán)境及系系統(tǒng)威脅、、人員無(wú)意行行為、人員員故意行為為等不同類(lèi)型的的安全事件件，其可能能性影響因因素也有點(diǎn)點(diǎn)不同3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程4.風(fēng)險(xiǎn)結(jié)果判判定為實(shí)現(xiàn)對(duì)風(fēng)風(fēng)險(xiǎn)的控制制與管理，，可以對(duì)風(fēng)風(fēng)險(xiǎn)評(píng)估的的結(jié)果進(jìn)行行等級(jí)化處處理。可以以將風(fēng)險(xiǎn)劃劃分為五級(jí)級(jí)，等級(jí)越越高，風(fēng)險(xiǎn)險(xiǎn)越高根據(jù)所采用用的風(fēng)險(xiǎn)計(jì)計(jì)算方法，，計(jì)算每種種資產(chǎn)面臨臨的風(fēng)險(xiǎn)值值根據(jù)風(fēng)險(xiǎn)值值的分布狀狀況，為每每個(gè)等級(jí)設(shè)設(shè)定風(fēng)險(xiǎn)值值范圍，并并對(duì)所有風(fēng)風(fēng)險(xiǎn)計(jì)算結(jié)結(jié)果進(jìn)行等等級(jí)處理。。每個(gè)等級(jí)代代表了相應(yīng)應(yīng)風(fēng)險(xiǎn)的嚴(yán)嚴(yán)重程度等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害3中等一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過(guò)一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過(guò)簡(jiǎn)單的措施就能彌補(bǔ)風(fēng)險(xiǎn)等級(jí)劃劃分表3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.8安全措施的的選取風(fēng)險(xiǎn)評(píng)估的的目的不僅僅是獲取組組織面臨的的有關(guān)風(fēng)險(xiǎn)險(xiǎn)信息，更更重要的是是采取適當(dāng)當(dāng)?shù)拇胧踩L(fēng)險(xiǎn)險(xiǎn)控制在可可接受的范范圍內(nèi)。安全措施可可以降低安安全事件造造成的影響響，也可以以降低安全全事件發(fā)生生的可能性性，在對(duì)組組織面臨的的安全風(fēng)險(xiǎn)險(xiǎn)有全面認(rèn)認(rèn)識(shí)后，應(yīng)應(yīng)根據(jù)風(fēng)險(xiǎn)險(xiǎn)的性質(zhì)選選取合適的的安全措施施，并對(duì)對(duì)對(duì)可能的殘殘余風(fēng)險(xiǎn)進(jìn)進(jìn)行分析，，直到殘余余風(fēng)險(xiǎn)為可可接受風(fēng)險(xiǎn)險(xiǎn)為止。3.3信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估流流程3.3.9風(fēng)險(xiǎn)評(píng)估文文件記錄風(fēng)險(xiǎn)評(píng)估文文件包括在在整個(gè)風(fēng)險(xiǎn)險(xiǎn)評(píng)估過(guò)程程中產(chǎn)生的的評(píng)估過(guò)程程文檔和評(píng)評(píng)估結(jié)果文文檔，這些些文檔包括括：(1)風(fēng)險(xiǎn)評(píng)估估方案(2)風(fēng)險(xiǎn)評(píng)估估程序(3)資產(chǎn)識(shí)別別清單(4)重要資產(chǎn)產(chǎn)清單(5)威脅列表表(6)脆弱性列列表(7)已有安全全措施確確認(rèn)表(8)風(fēng)險(xiǎn)評(píng)估估報(bào)告(9)風(fēng)險(xiǎn)處理計(jì)劃劃(10)風(fēng)險(xiǎn)評(píng)估記錄錄3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.10信息系統(tǒng)生命命周期各階段段評(píng)估風(fēng)險(xiǎn)評(píng)估應(yīng)貫貫穿于信息系系統(tǒng)生命周期期的各階段中中信息系統(tǒng)生命命周期各階段段中涉及的風(fēng)風(fēng)險(xiǎn)評(píng)估的原原則和方法是是一致的，但但由于各階段段實(shí)施的內(nèi)容容、對(duì)象、安安全需求不同同，使得風(fēng)險(xiǎn)險(xiǎn)評(píng)估的對(duì)象象、目的、要要求等各方面面也有所不同同。規(guī)劃設(shè)計(jì)階段段，通過(guò)風(fēng)險(xiǎn)險(xiǎn)評(píng)估以確定定系統(tǒng)的安全全目標(biāo)；建設(shè)驗(yàn)收階段段，通過(guò)風(fēng)險(xiǎn)險(xiǎn)評(píng)估以確定定系統(tǒng)的安全全目標(biāo)達(dá)成與與否；運(yùn)行維護(hù)階段段，要不斷地地實(shí)施風(fēng)險(xiǎn)評(píng)評(píng)估以識(shí)別系系統(tǒng)面臨的不不斷變化的風(fēng)風(fēng)險(xiǎn)和脆弱性性，從而確定定安全措施的的有效性，確確保安全目標(biāo)標(biāo)得以實(shí)現(xiàn)。。每個(gè)階段風(fēng)險(xiǎn)險(xiǎn)評(píng)估的具體體實(shí)施應(yīng)根據(jù)據(jù)該階段的特特點(diǎn)有所側(cè)重重有條件時(shí)，應(yīng)應(yīng)采用風(fēng)險(xiǎn)評(píng)評(píng)估工具開(kāi)展展風(fēng)險(xiǎn)評(píng)估活活動(dòng)3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.10信息系統(tǒng)生命命周期各階段段評(píng)估規(guī)劃階段的風(fēng)風(fēng)險(xiǎn)評(píng)估（詳詳見(jiàn)GB/T20984——2007）設(shè)計(jì)階段的風(fēng)風(fēng)險(xiǎn)評(píng)估（詳詳見(jiàn)GB/T20984——2007）實(shí)施階段的風(fēng)風(fēng)險(xiǎn)評(píng)估（詳詳見(jiàn)GB/T20984——2007）運(yùn)行維護(hù)階段段的風(fēng)險(xiǎn)評(píng)估估（詳見(jiàn)GB/T20984——2007）廢棄階段的風(fēng)風(fēng)險(xiǎn)評(píng)估（詳詳見(jiàn)GB/T20984——2007）3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.11風(fēng)險(xiǎn)評(píng)估的工工作形式分為自評(píng)估和和檢查評(píng)估兩兩種形式。信信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估應(yīng)以自自評(píng)估為主，，自評(píng)估和檢檢查評(píng)估相結(jié)結(jié)合、互為補(bǔ)補(bǔ)充自評(píng)估是指信息系統(tǒng)統(tǒng)擁有、運(yùn)營(yíng)營(yíng)或使用單位位發(fā)起的對(duì)本本單位信息系系統(tǒng)進(jìn)行的風(fēng)風(fēng)險(xiǎn)評(píng)估自評(píng)估應(yīng)在本本標(biāo)準(zhǔn)的指導(dǎo)導(dǎo)下，結(jié)合系系統(tǒng)特定的安安全要求進(jìn)行行實(shí)施周期性進(jìn)行的的自評(píng)估可以以在評(píng)估流程程上適當(dāng)簡(jiǎn)化化，重點(diǎn)考察察自上次評(píng)估估后系統(tǒng)發(fā)生生變化后引入入的新威脅，，以及系統(tǒng)脆脆弱性的完整整識(shí)別，以便便于兩次評(píng)估估結(jié)果的對(duì)比比但系統(tǒng)發(fā)生重重大變更時(shí)，，應(yīng)依據(jù)本標(biāo)標(biāo)準(zhǔn)進(jìn)行完整整的評(píng)估3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.11風(fēng)險(xiǎn)評(píng)估的工工作形式分為自評(píng)估和和檢查評(píng)估兩兩種形式。信信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估應(yīng)以自自評(píng)估為主，，自評(píng)估和檢檢查評(píng)估相結(jié)結(jié)合、互為補(bǔ)補(bǔ)充檢查評(píng)估是指信息系統(tǒng)統(tǒng)上級(jí)管理部部門(mén)組織或國(guó)國(guó)家有關(guān)職能能部門(mén)依法開(kāi)開(kāi)展的風(fēng)險(xiǎn)評(píng)評(píng)估。檢查評(píng)估可依依據(jù)本標(biāo)準(zhǔn)的的要求，實(shí)施施完整的風(fēng)險(xiǎn)險(xiǎn)評(píng)估過(guò)程。。檢查評(píng)估也可可在自評(píng)估實(shí)實(shí)施的基礎(chǔ)上上，對(duì)關(guān)鍵環(huán)環(huán)節(jié)或重點(diǎn)內(nèi)內(nèi)容實(shí)施抽樣樣評(píng)估3.3 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估流程3.3.11風(fēng)險(xiǎn)評(píng)估的工工作形式檢查評(píng)估包括以下內(nèi)容容a）自評(píng)估隊(duì)伍伍及技術(shù)人員員審查；b）自評(píng)估方法法的檢查；c）自評(píng)估過(guò)程程控制與文檔檔記錄檢查；；d）自評(píng)估資產(chǎn)產(chǎn)列表審查；；e）自評(píng)估威脅脅列表審查；；f）自評(píng)估脆弱弱性列表審查查；g）現(xiàn)有安全措措施有效性檢檢查；h）自評(píng)估結(jié)果果審查與采取取相應(yīng)措施的的跟蹤檢查；；i）自評(píng)估技術(shù)術(shù)技能限制未未完成項(xiàng)目的的檢查評(píng)估；；j）上級(jí)關(guān)注或或要求的關(guān)鍵鍵環(huán)節(jié)和重點(diǎn)點(diǎn)內(nèi)容的檢查查評(píng)估；k）軟硬件維護(hù)護(hù)制度及實(shí)施施管理的檢查查；l）突發(fā)事件應(yīng)應(yīng)對(duì)措施的檢檢查；3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法3.4.1概述信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估是通過(guò)過(guò)采用一定的的方法對(duì)組織織面臨的風(fēng)險(xiǎn)險(xiǎn)進(jìn)行識(shí)別，，并分析風(fēng)險(xiǎn)險(xiǎn)對(duì)組織帶來(lái)來(lái)的影響以及及其發(fā)生的可可能性大小，，然后通過(guò)一一定的綜合評(píng)評(píng)價(jià)方法來(lái)評(píng)評(píng)估組織面臨臨的風(fēng)險(xiǎn)，并并選取適當(dāng)?shù)牡拇胧﹣?lái)控制制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)險(xiǎn)評(píng)估的復(fù)雜雜性決定了風(fēng)風(fēng)險(xiǎn)評(píng)估方法法的多樣性。。從理論上看，，風(fēng)險(xiǎn)評(píng)估方方法的理論基基礎(chǔ)包括：概概率風(fēng)險(xiǎn)分析析方法、模糊糊決策方法、、人工智能、、定性推理方方法、灰色決決策理論、綜綜合評(píng)價(jià)方法法等。從風(fēng)險(xiǎn)評(píng)估過(guò)過(guò)程整體上看看，風(fēng)險(xiǎn)評(píng)估估方法有：基基于資產(chǎn)驅(qū)動(dòng)動(dòng)的風(fēng)險(xiǎn)評(píng)估估方法、威脅脅驅(qū)動(dòng)的風(fēng)險(xiǎn)險(xiǎn)評(píng)估方法、、脆弱性驅(qū)動(dòng)動(dòng)的風(fēng)險(xiǎn)評(píng)估估方法、基于于案例的風(fēng)險(xiǎn)險(xiǎn)評(píng)估方法等等。從風(fēng)險(xiǎn)分析方方法來(lái)看，風(fēng)風(fēng)險(xiǎn)評(píng)估方法法可分為兩大大類(lèi)：定量方方法與定性方方法。3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法3.4.2信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估理論基基礎(chǔ)1.概率風(fēng)險(xiǎn)分析析概率風(fēng)險(xiǎn)分析析方法的思想想是利用概率率論方法來(lái)識(shí)識(shí)別和分析風(fēng)風(fēng)險(xiǎn)，這類(lèi)方方法主要包括括：故障樹(shù)分分析法（FTA），故障模式式影響和危害害程度分析方方法（FMECA），危害及可可操作性研究究分析方法（（HazOp）和Markov分析法。2.模糊決策方法法風(fēng)險(xiǎn)評(píng)估的對(duì)對(duì)象以及信息息系統(tǒng)的狀態(tài)態(tài)具有不確定定性，經(jīng)典的的數(shù)學(xué)模型由由于其精確性性特點(diǎn)使得它它很難很好的的把握問(wèn)題的的實(shí)質(zhì)，模糊糊決策方法填填補(bǔ)了這方面面的不足。模糊決策理論論不是把問(wèn)題題變成模糊不不清的東西，，相反，它具具有數(shù)學(xué)的共共性：條理分分明、一絲不不茍，它是通通過(guò)規(guī)范化的的理論體系來(lái)來(lái)描述模糊的的對(duì)象，使模模糊對(duì)象能清清晰的呈現(xiàn)在在決策者面前前，這是經(jīng)典典的數(shù)學(xué)理論論所不能做到到的。3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法3.人工智能人工智能是20世紀(jì)中期產(chǎn)生生的并正在迅迅速發(fā)展的新新興邊緣學(xué)科科,它是探索和模模擬人的智能能和思維過(guò)程程的規(guī)律,并進(jìn)而設(shè)計(jì)出出類(lèi)似人的某某些智能化的的科學(xué)。信息系統(tǒng)狀態(tài)態(tài)變化規(guī)律的的復(fù)雜性決定定了很難用一一確定的數(shù)學(xué)學(xué)模型來(lái)描述述，應(yīng)綜合神神經(jīng)網(wǎng)絡(luò)、智智能推理，知知識(shí)庫(kù)等多方方面知識(shí)，建建立一個(gè)具有有自學(xué)習(xí)能力力的專(zhuān)家系統(tǒng)統(tǒng)，目前基于于案例的風(fēng)險(xiǎn)險(xiǎn)評(píng)估方法就就是這一理論論的具體應(yīng)用用。6.灰色系統(tǒng)理論論部分信息已知知、部分信息息未知的系統(tǒng)統(tǒng)稱為灰色系系統(tǒng)?；疑迪到y(tǒng)理論是研研究和解決灰灰色系統(tǒng)分析析、建模、預(yù)預(yù)測(cè)和控制的的理論。在信信息世界，由由于數(shù)據(jù)的短短缺或事物本本身的特性，，很多現(xiàn)象是是“灰色”的的，其意義是是指其中含有有已知的、未未知的與非確確定的種種信信息。3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法7.綜合評(píng)價(jià)方法法信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估對(duì)象是是多指標(biāo)的復(fù)復(fù)雜系統(tǒng)，對(duì)對(duì)于多指標(biāo)系系統(tǒng)，評(píng)價(jià)指指標(biāo)有多個(gè)，，不同指標(biāo)有有不同的量綱綱，多指標(biāo)系系統(tǒng)的評(píng)價(jià)過(guò)過(guò)程中必須解解決以下兩個(gè)個(gè)問(wèn)題：其一一是采用什么么方法將不同同量綱指標(biāo)無(wú)無(wú)量綱化，其其二是采用何何種方式確定定不同指標(biāo)的的相對(duì)重要性性，通常是引引入權(quán)向量來(lái)來(lái)描述。不同同綜合評(píng)價(jià)方方法有不同的的處理方法，，常用的綜合合評(píng)價(jià)方法有有綜合指數(shù)法法、功效評(píng)分分法、TOPSIS法、層次分析析法、主成份份分析法、聚聚類(lèi)分析法等等(1)綜合指數(shù)法是是多指標(biāo)系統(tǒng)統(tǒng)的一種評(píng)價(jià)價(jià)方法。綜合合指數(shù)法通過(guò)過(guò)計(jì)算各評(píng)價(jià)價(jià)對(duì)象對(duì)每個(gè)個(gè)指標(biāo)折算指指數(shù)值來(lái)實(shí)現(xiàn)現(xiàn)不同指標(biāo)值值的無(wú)量綱化化，并通過(guò)加加權(quán)平均方法法計(jì)算綜合指指數(shù)值3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法(2)功效評(píng)分法通通過(guò)功效系數(shù)數(shù)來(lái)實(shí)現(xiàn)不同同指標(biāo)的無(wú)量量綱化，然后后在利用其他他方法來(lái)確定定功效權(quán)值，，如均權(quán)法、、層次分析法法、離差權(quán)法法等。(3)TOPSIS法3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法(4)層次分析法是是將決策問(wèn)題題的有關(guān)元素素分解成目標(biāo)標(biāo)、準(zhǔn)則、方方案等層次，，在此基礎(chǔ)上上進(jìn)行定量和和定性分析的的一種決策方方法。層次分分析法的決策策過(guò)程如下：：a)分析各影響因因素間的關(guān)系系，建立層次次模型b)構(gòu)建兩兩比較較判斷矩陣c)計(jì)算單個(gè)判斷斷矩陣對(duì)應(yīng)的的權(quán)重向量d)計(jì)算各層元素素對(duì)目標(biāo)層的的合成權(quán)重向向量(5)主成分分析是是一種多元統(tǒng)統(tǒng)計(jì)分析方法法，對(duì)于多指指標(biāo)的復(fù)雜評(píng)評(píng)價(jià)系統(tǒng)，由由于指標(biāo)多，，數(shù)據(jù)處理相相當(dāng)復(fù)雜，由由于指標(biāo)之間間存在一定的的關(guān)系，可以以適當(dāng)簡(jiǎn)化。。主成分分析析的思想是通通過(guò)一定的變變換，用較少少的指標(biāo)來(lái)代代替原先較多多的指標(biāo)，從從而達(dá)到簡(jiǎn)化化問(wèn)題的處理理與分析的目目的。(6)聚類(lèi)分析法是是解決“物以以類(lèi)聚”，解解決事務(wù)分類(lèi)類(lèi)的一種數(shù)學(xué)學(xué)方法。它是是在沒(méi)有或不不用樣品所述述類(lèi)別信息的的情況下，依依據(jù)對(duì)樣品采采集的數(shù)據(jù)的的內(nèi)在結(jié)構(gòu)以以及相互間的的關(guān)系，在樣樣品間相似性性度量的基礎(chǔ)礎(chǔ)上，對(duì)樣品品進(jìn)行分類(lèi)的的一種方法3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法3.4.3定量方法定量方法試圖圖用具體的貨貨幣表示形式式的損失值來(lái)來(lái)分析和度量量風(fēng)險(xiǎn)，定量量方法主要有有基于期望損損失的風(fēng)險(xiǎn)評(píng)評(píng)估方法與基基于期望損失失效用的風(fēng)險(xiǎn)險(xiǎn)評(píng)估方法等等。1．基于期望損損失的風(fēng)險(xiǎn)評(píng)評(píng)估方法類(lèi)似的定義還還有期望年損損失ALE（AnnualLossExpectancy），它是以組織在目前安安全狀態(tài)下平平均年損失作作為風(fēng)險(xiǎn)度量的標(biāo)準(zhǔn)準(zhǔn)。若風(fēng)險(xiǎn)事事件E造成的相對(duì)損失為loss，其發(fā)生的可可能性為L(zhǎng)，loss和L均為取值在[0,1]區(qū)間定量值。。若依據(jù)期望損失理論論，將根據(jù)loss×L值大小劃分等級(jí)，等級(jí)級(jí)劃分方法結(jié)結(jié)果如圖2-9所示3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法2．基于期望損損失效用的風(fēng)風(fēng)險(xiǎn)評(píng)估方法法若經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)評(píng)估，風(fēng)險(xiǎn)事事件E造成的相對(duì)損失為loss，其發(fā)生的可可能性為L(zhǎng)，loss和L均為取值在[0,1]區(qū)間定量值。建立立風(fēng)險(xiǎn)等級(jí)劃劃分方法，結(jié)果見(jiàn)圖所示示這種方法的好好處就是能夠夠更好的區(qū)分“高損損失、低可能能性”及“低損失、高可可能性”兩種種不同安全事件的風(fēng)險(xiǎn)。。3.4 信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估方法3.4.4定性方法定性方法不是是給出具體的的貨幣形式的的損失，而是是用諸如“極極為嚴(yán)重、嚴(yán)嚴(yán)重、一般、、可忽略”等等定性方法來(lái)來(lái)度量風(fēng)險(xiǎn)。。定性方法一一般基于一定定的定量方法法，在定量方方法的基礎(chǔ)上上進(jìn)行裁剪和和簡(jiǎn)化。典型型的定性風(fēng)險(xiǎn)險(xiǎn)分析與評(píng)價(jià)價(jià)方法有風(fēng)險(xiǎn)險(xiǎn)矩陣測(cè)量、、威脅分級(jí)法法、風(fēng)險(xiǎn)綜合合評(píng)價(jià)等。1．風(fēng)險(xiǎn)矩陣測(cè)測(cè)量這種方法的特特點(diǎn)是事先建建立資產(chǎn)價(jià)值值、威脅等級(jí)級(jí)和脆弱性等等級(jí)的一個(gè)對(duì)對(duì)應(yīng)矩陣，預(yù)預(yù)先將風(fēng)險(xiǎn)等等級(jí)進(jìn)行了確確定。然后根根據(jù)不同資產(chǎn)產(chǎn)的賦值從矩矩陣中確定不不同的風(fēng)險(xiǎn)。。2．威脅分級(jí)法法這種方法是直直接考慮威脅脅、威脅導(dǎo)致致的安全事件件對(duì)資產(chǎn)產(chǎn)生生的影響以及及威脅導(dǎo)致安安全事件發(fā)生生的可能性來(lái)來(lái)確定風(fēng)險(xiǎn)。。3．風(fēng)險(xiǎn)綜合評(píng)評(píng)價(jià)這種方法中風(fēng)風(fēng)險(xiǎn)由威脅導(dǎo)導(dǎo)致的安全事事件發(fā)生的可可能性、對(duì)資資產(chǎn)的影響程程度以及已經(jīng)經(jīng)存在的控制制措施三個(gè)方方面來(lái)確定。。與風(fēng)險(xiǎn)矩陣陣法和威脅分分級(jí)法不同，，本方法將控控制措施的采