第8章 信息安全風(fēng)險評估

第8章信息安全風(fēng)險評估8.1概述8.2信息安全風(fēng)險評估的基本要素8.3信息安全風(fēng)險評估過程8.4信息安全風(fēng)險要素計算方法8.5信息安全風(fēng)險評估方法8.6風(fēng)險評估工具本章小結(jié)

一個完整的信息安全體系和安全解決方案是根據(jù)信息系統(tǒng)的體系結(jié)構(gòu)和系統(tǒng)安全形勢的具體情況來確定的，沒有一個通用的信息安全解決方案。信息安全關(guān)心的是保護信息資產(chǎn)免受威脅。絕對的安全是不可能的，只能通過一定的措施把風(fēng)險降低到一個可接受的程度。8.1概述因此，信息系統(tǒng)的安全風(fēng)險評估是指用于了解信息系統(tǒng)的安全狀況，估計威脅發(fā)生的可能性，計算由于系統(tǒng)易受到攻擊的脆弱性而引起的潛在損失。作為風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是組織確定信息安全需求的一個重要途徑，其最終目的是幫助選擇安全防護措施，將風(fēng)險降低到可接受的程度，提高信息安全保障能力。這個過程是信息安全管理體系的核心環(huán)節(jié)，是信息安全保障體系建設(shè)過程中的重要評價方法和決策機制。隨著信息技術(shù)的快速發(fā)展，關(guān)系國計民生關(guān)鍵信息的基礎(chǔ)設(shè)施規(guī)模和信息系統(tǒng)的復(fù)雜程度越來越大。近年來，各個國家越來越重視以風(fēng)險評估為核心的信息安全評估工作，提倡信息安全風(fēng)險評估的制度與規(guī)范化，通過出臺一系列相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)等來保障建立完整的信息安全管理體系。例如美國的SP800系列、英國的BS7799《信息安全管理指南》、德國聯(lián)邦信息安全辦公室(BSI)《IT基線保護手冊》、日本的ISMS《安全管理系統(tǒng)評估制度》等。我國在2004年3月啟動了信息安全風(fēng)險評估指南和風(fēng)險管理指南等標(biāo)準(zhǔn)的編制工作，2005年完成了《信息安全評估指南》和《信息安全管理指南》的征求意見稿，2006年完成了《信息安全評估指南》送審稿，并分別于2007年和2009年通過了國家標(biāo)準(zhǔn)化管理委員會的審查批準(zhǔn)成為國家標(biāo)準(zhǔn)，即GB/T20984—2007《信息安全風(fēng)險評估規(guī)范》和GB/Z24364—2009《信息安全風(fēng)險管理指南》。8.1.1信息安全風(fēng)險評估的目標(biāo)和原則

信息安全風(fēng)險評估的目標(biāo)是：

(1)了解信息系統(tǒng)的體系結(jié)構(gòu)和管理水平，以及可能存在的安全隱患。

(2)了解信息系統(tǒng)所提供的服務(wù)及可能存在的安全問題。

(3)了解其他應(yīng)用系統(tǒng)與此信息系統(tǒng)的接口及其相應(yīng)的安全問題。

(4)網(wǎng)絡(luò)攻擊和電子欺騙的模擬檢測及預(yù)防。(5)找出目前的安全控制措施與安全需求的差距，并為其改進提供參考。

信息安全風(fēng)險評估的原則有：

(1)可控性原則。

包括人員可控(資格審查備案與工作確認(rèn))、工具可控(風(fēng)險評估工具的選擇，以及對相關(guān)方的知會)、項目過程可控(重視項目的管理溝通，運用項目管理科學(xué)方法)。

(2)可靠性原則。

要求風(fēng)險評估要參考有關(guān)的信息安全標(biāo)準(zhǔn)和規(guī)定，例如GB/T20984—2007《信息安全風(fēng)險評估規(guī)范》等，做到有據(jù)可查。(3)完整性原則。

嚴(yán)格按照委托單位的評估要求和指定的范圍進行全面的信息安全風(fēng)險評估服務(wù)。

(4)最小影響原則。

風(fēng)險評估工作不能妨礙組織的正常業(yè)務(wù)活動，應(yīng)從系統(tǒng)相關(guān)的管理和技術(shù)層面，力求將風(fēng)險評估過程的影響降到最小。

(5)時間與成本有效原則。

風(fēng)險評估過程花費的時間和成本應(yīng)該具有合理性。(6)保密原則。

受委托的評估方要對評估過程進行保密，應(yīng)與委托的被評估方簽署相關(guān)的保密和非侵害性協(xié)議，未經(jīng)允許不得將數(shù)據(jù)泄露給任何其他組織和個人。8.1.2實施信息安全風(fēng)險評估的好處

(1)風(fēng)險評估是建立信息安全風(fēng)險管理策略的基礎(chǔ)。如果一個管理者不進行風(fēng)險評估就選擇了一種安全防護措施(設(shè)備或方法)，也許或造成浪費或已實施的安全防護無法直接減少確定存在的風(fēng)險。

(2)風(fēng)險評估有利于在員工范圍內(nèi)建立信息安全風(fēng)險意識，提高工作人員對安全問題的認(rèn)識和興趣，以及他們對信息安全問題的重視程度。(3)風(fēng)險評估能使系統(tǒng)的管理者明確他們的信息系統(tǒng)資源所存在的弱點，讓管理者對系統(tǒng)資源和系統(tǒng)的運行狀況有更進一步的了解。

(4)風(fēng)險評估在信息系統(tǒng)的設(shè)計階段最為有用，可以確認(rèn)潛在損失，并從一開始就明確安全需求，這遠(yuǎn)比在信息系統(tǒng)運行之后更換相關(guān)控制節(jié)省成本得多。

從信息安全的角度來講，風(fēng)險評估是對信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者的綜合作用在當(dāng)前安全措施控制下所帶來與安全需求不符合的風(fēng)險可能性評估。作為風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是組織進一步確定信息安全需求和改進信息安全策略的重要途徑，屬于組織信息安全管理體系策劃的過程。8.2信息安全風(fēng)險評估的基本要素信息系統(tǒng)是信息安全風(fēng)險評估的對象，信息系統(tǒng)中的資產(chǎn)、信息系統(tǒng)面臨的可能威脅、系統(tǒng)中存在的脆弱性、安全風(fēng)險、安全風(fēng)險對業(yè)務(wù)的影響，以及系統(tǒng)中已有的安全控制措施和系統(tǒng)的安全需求等構(gòu)成了信息安全風(fēng)險評估的基本要素。8.2.1風(fēng)險評估的相關(guān)要素

1.資產(chǎn)

資產(chǎn)(Asset)是指對組織具有價值的信息或資源，是安全策略保護的對象。

資產(chǎn)能夠以多種形式存在，包括有形的或無形的、硬件或軟件、文檔或代碼，以及服務(wù)或形象等諸多表現(xiàn)形式。

在信息安全體系范圍內(nèi)為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應(yīng)該清晰地定義、合理地估價，并明確資產(chǎn)所有權(quán)關(guān)系，進行安全分類，記錄在案。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為軟件、硬件、服務(wù)、流程、數(shù)據(jù)、文檔、人員等，如表8-1所示。

表8-1信息系統(tǒng)中的資產(chǎn)分類2.威脅

威脅(Threat)是指可能對組織或資產(chǎn)導(dǎo)致?lián)p害的潛在原因。

威脅有潛力導(dǎo)致不期望發(fā)生的安全事件發(fā)生，從而對系統(tǒng)、組織、資產(chǎn)造成損害。這種損害可能是偶然性事件，但更多的可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接的攻擊行為，例如非授權(quán)的泄露、修改、停機等。

威脅主要來源于環(huán)境因素和人為因素，其中人為因素包括惡意的和非惡意人員。(1)環(huán)境因素：指地震、火災(zāi)、水災(zāi)、電磁干擾、靜電、灰尖、潮濕、溫度等環(huán)境危害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

(2)惡意人員：對組織不滿的或有目的的人員對信息系統(tǒng)進行惡意破壞，會對信息的機密性、完整性和可用性等造成損害。

(3)非惡意人員：由于缺乏責(zé)任心、安全意識，或?qū)I(yè)技能不足等原因而導(dǎo)致信息系統(tǒng)故障、被破壞或被攻擊，本身無惡意企圖。

根據(jù)威脅來源，表8-2給出了威脅的分類方法。

表8-2信息系統(tǒng)面臨的威脅分類3.脆弱性

脆弱性(Vulnerability)是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。例如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機制、系統(tǒng)機房沒有門禁系統(tǒng)等。

脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅，單純的脆弱性本身不會對資產(chǎn)造成損害，而且如果系統(tǒng)足夠強健，則再嚴(yán)重的威脅也不會導(dǎo)致安全事件造成損失。這說明，威脅總是要利用資產(chǎn)的脆弱性來產(chǎn)生危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只在一定條件和環(huán)境下才能顯現(xiàn)，這也是脆弱性識別中最為困難的部分。要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全控制措施本身就可能是一種脆弱性。

脆弱性主要表現(xiàn)在從技術(shù)和管理兩個方面，其中技術(shù)脆弱性是指信息系統(tǒng)在設(shè)計、實現(xiàn)和運行時，涉及的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面在技術(shù)上存在的缺陷或弱點，管理脆弱性則是指組織管理制度、流程等方面存在的缺陷或不足。

表8-3信息系統(tǒng)常見的脆弱性4.安全風(fēng)險

安全風(fēng)險(SecurityRisk)是指使得威脅可以利用脆弱性，從而直接或間接造成資產(chǎn)損害的一種潛在的影響，并以威脅利用脆弱性導(dǎo)致一系列不期望發(fā)生的安全事件來體現(xiàn)。

資產(chǎn)、威脅和脆弱性是信息安全風(fēng)險的基本要素，是信息安全風(fēng)險存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，如果資產(chǎn)很有價值，脆弱性很嚴(yán)重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱性，威脅就沒有可利用的切入點，安全事件也不會發(fā)生。通過確定資產(chǎn)價值，以及相關(guān)的威脅和脆弱性水平，就可以得出最初的信息安全風(fēng)險的量度值。

根據(jù)以上分析，安全風(fēng)險是關(guān)于資產(chǎn)、威脅和脆弱性的函數(shù)，即信息安全風(fēng)險可以形式化表示為：R=f(a,t,v)，其中R表示安全風(fēng)險，a表示資產(chǎn)，t表示威脅，v表示脆弱性。5.影響

影響(Influence)主要是指安全風(fēng)險對業(yè)務(wù)的影響，即威脅利用資產(chǎn)的脆弱性導(dǎo)致資產(chǎn)價值損失等不期望發(fā)生事件的后果。

這些后果可能表現(xiàn)為直接形式，例如物理介質(zhì)或設(shè)備的損壞、人員的損傷、資金的損失等，也可能表現(xiàn)為間接形式，如公司信用和名譽受損、市場份額減少、承擔(dān)法律責(zé)任等。

在信息安全領(lǐng)域，直接的損失常常容易計算且程度較小，而間接的損失往往難于估計且程度嚴(yán)重。例如某IT服務(wù)公司的服務(wù)器遭受DDoS等攻擊，造成不能提供正常的信息服務(wù)，其直接的損失表現(xiàn)為服務(wù)器本身的價值損失和修復(fù)所需的人力、物力等，而間接損失較為復(fù)雜，由于服務(wù)器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象受損等，這些損失往往數(shù)量巨大也難予統(tǒng)計，甚至決定了企業(yè)的生存。6.安全控制措施

安全控制措施(SecurityControlMeasure)是指為保護組織資產(chǎn)、防止威脅、減少脆弱性、限制安全事件的影響、加速安全事件的檢測及響應(yīng)而采取的各種實踐、過程和機制。

有效的安全通常是為了提供給資產(chǎn)多級的安全，而應(yīng)用不同安全控制措施的綜合，以實現(xiàn)檢測、威懾、防止、限制、修正、恢復(fù)、監(jiān)測和提高安全意識的功能。例如，一個信息系統(tǒng)的安全訪問控制，往往是人員管理、角色權(quán)限管理、審計管理、數(shù)據(jù)庫安全、物理安全，以及安全培訓(xùn)等共同支持的結(jié)合。有些安全控制措施已作為環(huán)境或資產(chǎn)固有的一部分而存在，或已存在于系統(tǒng)或組織之中。

安全控制措施的實施領(lǐng)域包括：組織政策與資產(chǎn)管理、物理環(huán)境、技術(shù)控制、人員管理等方面。更詳細(xì)的可用安全控制措施實施內(nèi)容參見第6章。7.安全需求

安全需求(SecurityRequirement)是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全控制措施方面提出的要求。

信息安全體系的安全需求來源于以下3個方面：

(1)風(fēng)險評估的要求。

評估組織面臨的風(fēng)險，以及該風(fēng)險的出現(xiàn)將會帶來怎樣的業(yè)務(wù)損失，為了降低風(fēng)險，需要采取相應(yīng)的安全措施。例如關(guān)鍵數(shù)據(jù)或系統(tǒng)的機密性、可用性、完整性需求、信息系統(tǒng)運行時的實時監(jiān)控需求、安全事件帶來的應(yīng)急響應(yīng)需求等。(2)法律、法規(guī)和合同的要求。

在信息安全體系文件中應(yīng)詳細(xì)規(guī)定組織、貿(mào)易伙伴、服務(wù)提供商和簽約客戶需要遵守的有關(guān)法律、法規(guī)與合同的要求。例如數(shù)據(jù)版權(quán)保護、文件保密管理、組織記錄的保護等，要保證任何安全控制措施不得違反或損害任何法律法規(guī)、商業(yè)合同的要求。

(3)業(yè)務(wù)規(guī)則、業(yè)務(wù)目標(biāo)和業(yè)務(wù)信息處理的要求。

在信息安全體系文件中應(yīng)詳細(xì)規(guī)定與組織的業(yè)務(wù)規(guī)則、業(yè)務(wù)目標(biāo)和業(yè)務(wù)信息處理的相關(guān)安全需求，信息安全體系應(yīng)支持組織獲得競爭優(yōu)勢、現(xiàn)金流和贏利能力的要求，并保證實施安全控制措施不得妨礙業(yè)務(wù)的正常運營。8.2.2風(fēng)險要素的相互關(guān)系

圖8-1描述了風(fēng)險要素之間的關(guān)系。圖8-1風(fēng)險要素及其相互關(guān)系風(fēng)險評估圍繞著資產(chǎn)、威脅、脆弱性和安全控制措施等基本要素展開。風(fēng)險要素之間存在著以下關(guān)系：

(1)威脅利用脆弱性產(chǎn)生安全風(fēng)險，資產(chǎn)面臨的威脅越多則風(fēng)險越大。

(2)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大。

(3)資產(chǎn)具有價值，并對組織業(yè)務(wù)有一定的影響，資產(chǎn)價值及影響越大則其面臨的風(fēng)險越大。

(4)安全控制措施能抵御威脅，減少脆弱性，因而能降低安全風(fēng)險。(5)安全風(fēng)險的存在及對風(fēng)險的認(rèn)識提出了安全需求，安全需求通過安全控制措施來滿足或?qū)崿F(xiàn)。

詳細(xì)的風(fēng)險評估方法在流程上可能有一些差異，但基本上都是圍繞資產(chǎn)、威脅、脆弱性的識別與評價展開，進一步分析不期望事件發(fā)生的可能性及對組織的影響，并考慮如何選擇合適的安全控制措施，將安全風(fēng)險降低到可接受的程度。8.3信息安全風(fēng)險評估過程從總體上看，風(fēng)險評估過分為四個階段，第一階段為風(fēng)險評估準(zhǔn)備；第二階段是風(fēng)險識別，包括資產(chǎn)的識別與估價、威脅的識別與評估和脆弱性的識別與評估等工作；第三階段是風(fēng)險分析，包括計算風(fēng)險、風(fēng)險的影響分析等，并在此過程建立相關(guān)評估文檔；第四階段為根據(jù)風(fēng)險計算結(jié)果進行相應(yīng)的風(fēng)險管理過程，并提交風(fēng)險評估報告。

信息安全風(fēng)險評估的流程如圖8-2所示。

圖8-2信息安全風(fēng)險評估流程8.3.1風(fēng)險評估準(zhǔn)備

風(fēng)險評估準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。組織實施風(fēng)險評估是一種戰(zhàn)略性考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模與結(jié)構(gòu)等方面的影響，因此，在風(fēng)險評估實施前，應(yīng)做好以下準(zhǔn)備工作：

(1)確定風(fēng)險評估的目標(biāo)。根據(jù)組織在業(yè)務(wù)持續(xù)性發(fā)展的安全性需要、法律法規(guī)的規(guī)定等內(nèi)容，識別出現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險大小。(2)明確風(fēng)險評估的范圍。風(fēng)險評估的范圍可能是組織全部的信息及信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。

(3)組建團隊。由管理層、相關(guān)業(yè)務(wù)骨干、信息技術(shù)人員等組織風(fēng)險評估小組，必要時，還要組建由評估方、被評估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險評估領(lǐng)導(dǎo)小組，并聘請相關(guān)專業(yè)技術(shù)專家和技術(shù)骨干組成專家小組。(4)確定風(fēng)險評估的依據(jù)和方法。利用問卷調(diào)查、現(xiàn)場面談等形式進行系統(tǒng)調(diào)研，確定風(fēng)險評估的依據(jù)，并考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險計算方法和風(fēng)險評估工具，并使之能與組織環(huán)境和安全要求相適應(yīng)。

(5)獲得支持。上述所有內(nèi)容確定之后，應(yīng)形成較為完整的風(fēng)險評估實施方案，并得到組織最高管理者的支持和批準(zhǔn)，傳達(dá)給管理層和技術(shù)人員，在組織范圍內(nèi)就風(fēng)險評估相關(guān)內(nèi)容進行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)和責(zé)任。8.3.2資產(chǎn)識別與估價

風(fēng)險識別始于信息資產(chǎn)的識別，根據(jù)資產(chǎn)的類型(見表8-1)，管理者確認(rèn)組織的信息資產(chǎn)，將它們歸于不同的類，并根據(jù)它們在總體上的重要性劃分優(yōu)先等級，評估其價值。

1.資產(chǎn)識別

資產(chǎn)識別是風(fēng)險識別的必要環(huán)節(jié)，其任務(wù)是對確定的評估對象所涉及的資產(chǎn)進行詳細(xì)的標(biāo)識，并建立資產(chǎn)清單。

識別資產(chǎn)的方法主要有訪談、現(xiàn)場調(diào)查、文檔查閱等方式。在識別的過程中要注意不能遺漏無形資產(chǎn)，同時要注意不同資產(chǎn)之間的相互依賴關(guān)系。(1)識別軟件和硬件。

組織可查閱資產(chǎn)購買清單和固定資產(chǎn)清單來幫助了解其現(xiàn)有的軟件和硬件情況。目前市場上可以購買到大量的軟件包和各種信息安全硬件設(shè)備，選擇哪些最適合組織安全需要的軟件和硬件正是首席信息官CIO(ChiefInformationOfficer)或首席信息安全官CISO(ChiefInformationSecurityOfficer)的職責(zé)之一。因此，可通過咨詢他們的方式來了解關(guān)于軟件和硬件資產(chǎn)及其屬性要求。按計劃識別軟件和硬件，通過數(shù)據(jù)處理過程以建立相關(guān)的信息資產(chǎn)清單，并明確每一種信息資產(chǎn)的哪些屬性需要在使用過程中受到追蹤，而這需要根據(jù)組織及其風(fēng)險管理工作的需要，以及信息安全技術(shù)團體的需要和偏好來作出決定。當(dāng)確定每一種信息資產(chǎn)需要追蹤的屬性時，應(yīng)考慮以下潛在的屬性。

·名稱：程序或設(shè)備的名單。

·IP地址：對網(wǎng)絡(luò)硬件設(shè)備很有用?！AC地址：電子序列號或硬件地址，具有唯一性。

·資產(chǎn)類型：描述每一種資產(chǎn)的功能或作用。

·產(chǎn)品序列號：識別特定設(shè)備的唯一序列號。

·制造商：有助于與生產(chǎn)廠家建立聯(lián)系并尋求幫助。

·型號或編號：能正確識別資產(chǎn)。

·版本號：在資產(chǎn)升級或變更時，需要這些版本值。

·物理位置：指明何處可使用該資產(chǎn)。

·邏輯位置：指定資產(chǎn)在組織內(nèi)部網(wǎng)絡(luò)中的位置。

·控制實體：控制資產(chǎn)的組織部門。(2)識別服務(wù)、流程、數(shù)據(jù)、文檔、人員和其他。

與軟件和硬件不同，服務(wù)、流程、數(shù)據(jù)、文檔和人力資源等信息資產(chǎn)不易被識別和引證，因此，應(yīng)該將這些信息資產(chǎn)的識別、描述和評估任務(wù)分配給擁有必要知識、經(jīng)驗和判斷能力的人員。一旦這些資產(chǎn)得到識別，就要運用一個可靠的數(shù)據(jù)處理過程來記錄和標(biāo)識它們，如同在軟件和硬件中使用一樣。

對這些信息資產(chǎn)的維護記錄應(yīng)當(dāng)較為靈活，在識別資產(chǎn)的過程中，要將資產(chǎn)與被追蹤的信息資產(chǎn)的屬性特征聯(lián)系起來，仔細(xì)考慮特定資產(chǎn)中哪些屬性需要跟蹤。以下列出這些資產(chǎn)的一些基本屬性：①服務(wù)。包括服務(wù)的描述、類型、功能、提供者、服務(wù)面向的對象、滿足服務(wù)的附加條件等。

②流程。包括流程的描述、功能、相關(guān)的軟件/硬件/網(wǎng)絡(luò)要素、參考資料的存儲位置、更新數(shù)據(jù)的存儲位置等。

③數(shù)據(jù)。包括數(shù)據(jù)的類別、數(shù)據(jù)結(jié)構(gòu)及范圍、所有者/創(chuàng)建者/管理者、存儲位置、備份流程等。

④文檔。包括文檔的描述、名稱、密級、制定時間、制定者/管理者，及紙質(zhì)的各種文件、傳真、財務(wù)報告、發(fā)展計劃、合同等。

⑤人員。包括姓名/ID/職位、入職時間、技能等。

2.資產(chǎn)定級

一旦識別好所有的信息資產(chǎn)，建立的資產(chǎn)清單必須反映每一項信息資產(chǎn)的敏感度和安全等級，并根據(jù)這些屬性對資產(chǎn)制定一項分類方案，同時確定分類對組織的風(fēng)險評估計劃是否有意義。

可考慮以下資產(chǎn)分類方案：按機密性分類、按完整性分類和按可用性分類，每一種分類方案中可按從低到高的要求進行級別標(biāo)識，即對每一項分類都指明特定的信息資產(chǎn)的保護等級。某些資產(chǎn)類型，例如人員，可能需要更具體的不同分類方案，如果基于按需要知密和按權(quán)更新的機制，某位員工可能會被賦予一定等級的安全檢查權(quán)限，該權(quán)限用于確認(rèn)員工獲權(quán)使用的信息的等級。

3.評估資產(chǎn)的價值

完成資產(chǎn)的識別和定級之后，就必須賦予它一個相對價值。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，一般的做法是以定性分析的方式建立資產(chǎn)的相對價值，以相對價值作為確定重要資產(chǎn)的依據(jù)和為該資產(chǎn)投入多少保護資源的依據(jù)。

相對價值是一種比較性的價值判定，能確保在信息安全管理中，最有價值的信息資產(chǎn)被賦予最高優(yōu)先級?；蛘哒f，資產(chǎn)受到威脅時所帶來的損失是不可預(yù)知的，但評估值卻有助于確保價值較高的資產(chǎn)首先得到保護。資產(chǎn)的價值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，因為只有他們最清楚資產(chǎn)對組織業(yè)務(wù)的重要性，從而能較準(zhǔn)確地評估出資產(chǎn)的實際價值。

在評估資產(chǎn)的價值時，要考慮資產(chǎn)的購買成本和維護成本，同時也要考慮資產(chǎn)的機密性、完整性和可用性等受到損害時，對業(yè)務(wù)運營的負(fù)面影響程度。評估的過程，需要進行廣泛的調(diào)查研究，并提出以下問題幫助確定信息資產(chǎn)的影響力和評估信息資產(chǎn)的價值：(1)哪種信息資產(chǎn)對組織的成功最為重要？

在確定信息資產(chǎn)的相對重要性時，要參考組織的任務(wù)或目標(biāo)的說明，并以此為指導(dǎo)來確定哪種資產(chǎn)對實現(xiàn)組織的目標(biāo)是不可缺少的、哪種資產(chǎn)支持組織的發(fā)展目標(biāo)、哪種資產(chǎn)與目標(biāo)關(guān)聯(lián)較少。例如，對于電子商務(wù)在線系統(tǒng)來說，那些登載廣告和24小時接受訂單的組織，其Web服務(wù)器就是不可缺少的，而用于負(fù)責(zé)回復(fù)用戶郵件的客戶端系統(tǒng)就顯得不那么重要了。(2)哪種信息資產(chǎn)能帶來最大收益？

信息資產(chǎn)的相對價值取決于它能帶來多大的收益，或者是它所提供的服務(wù)有多么的重要。有時候針對每條業(yè)務(wù)線或提供的服務(wù)會使用不同的系統(tǒng)，這時就要考慮哪種資產(chǎn)能在產(chǎn)生收益或者提供服務(wù)方面能起到最重要的作用。例如，對于經(jīng)營B2C商務(wù)網(wǎng)站服務(wù)而言，一些服務(wù)器支持對商家的商品管理與銷售操作，另一些服務(wù)器支持客戶瀏覽與下訂單操作，還有一些服務(wù)器支持與銀行電子貨幣接口的操作，當(dāng)然還有一些服務(wù)器支持拍賣、廣告等功能。在評估這些服務(wù)器的時候，就要考查這些服務(wù)器對組織業(yè)務(wù)收益的貢獻(xiàn)。

(3)哪種信息資產(chǎn)的更新花費最多？

對于一些生產(chǎn)、制造或者購買運輸時間較長的專業(yè)設(shè)備，應(yīng)該控制好這些獨一無二的信息資產(chǎn)可能因為損失或損壞而造成的風(fēng)險，例如，系統(tǒng)在物理進入或執(zhí)行環(huán)境中，需要一種專門用于身份驗證的虹膜識別系統(tǒng)，此時或許可以另外購進一套作為備用設(shè)備。(4)哪種信息資產(chǎn)的保護費用最昂貴？

一些資產(chǎn)本身就很難進行維護，除非在風(fēng)險識別階段結(jié)束之后，否則不可能完全解決該問題，因為只有在控制方案確定之后才能計算出成本，但仍然可以初步估計每一項資產(chǎn)實施保護控制的花費的相對高低。

(5)哪種信息資產(chǎn)的損失、損壞或暴露出缺陷最易造成麻煩，或?qū)е聯(lián)p失？一些資產(chǎn)的損失、損壞或缺陷會給組織帶來很大的麻煩。例如，微軟2007年推出的Vista最低硬件配置要求太高，并出現(xiàn)驅(qū)動和安全軟件兼容性問題，這些都成為影響企業(yè)采用這種操作系統(tǒng)的嚴(yán)重障礙，這使得微軟Vista操作系統(tǒng)存在一個形象問題，這一問題正在影響它的銷售，而且這種陰影也波及2009年10月Windows7操作系統(tǒng)發(fā)布后的初期階段。

總之，組織要通過廣泛地和仔細(xì)地調(diào)查研究，按要求制定出符合自己需要的信息資產(chǎn)評估價值級別，如“可忽略、低、中、高、極高”等。價值級別應(yīng)與組織在實際生活中選擇的價值標(biāo)準(zhǔn)一致，例如，對于可能的資金損失，可能給出具體的價值數(shù)量，但對于人員的安全，價值數(shù)量就不適用了，因此需要使用一個能綜合滿足定量與定性要求的方式。

在資產(chǎn)的價值確定之后，應(yīng)該按重要性列出資產(chǎn)，并按照NISTSP800-30的建議，使用0.1～1.0間的數(shù)值對其進行打分，即賦予一個權(quán)重因子，用來表示資產(chǎn)在組織中的相對重要性。8.3.3威脅識別與評估

1.威脅識別

任何信息資產(chǎn)都會面臨各種各樣的威脅。與威脅有關(guān)的信息可能從信息安全管理體系的參與人員和相關(guān)業(yè)務(wù)流程處收集獲得。一項資產(chǎn)可能面臨多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。

威脅識別的任務(wù)是對信息資產(chǎn)面臨的威脅進行全面的標(biāo)識。

識別威脅的方法主要有基于威脅源分類的識別方法、基于某些標(biāo)準(zhǔn)或組織提供的威脅參考目錄的識別方法等。威脅源主要是一些環(huán)境因素和人為因素，根據(jù)表8-2威脅分類方法，不同的威脅能造成不同形式的危害，在威脅的識別過程中應(yīng)針對相關(guān)資產(chǎn)考慮這些威脅源可能構(gòu)成的威脅。

很多標(biāo)準(zhǔn)也對信息系統(tǒng)可能面臨的威脅進行了列舉，例如，ISO/IEC13335-3《IT安全管理技術(shù)》在附錄中提供了可能的威脅目錄明細(xì)，如地震、洪水、颶風(fēng)、火災(zāi)、閃電、工業(yè)活動、炸彈攻擊、使用武力、惡意破壞、斷電、水供應(yīng)故障、空調(diào)故障、硬件失效、電力波動、極端溫度和濕度、灰塵、電磁輻射、靜電干擾、偷竊、存儲介質(zhì)的未授權(quán)使用、存儲介質(zhì)的老化、操作人員失誤、維修錯誤、軟件失效、軟件被未授權(quán)用戶使用、軟件的非法使用、惡意軟件、軟件的非法進/出口、用戶身份冒充、未授權(quán)用戶訪問網(wǎng)絡(luò)、用未授權(quán)方式使用網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)組件的技術(shù)性失效、傳輸錯誤、線路損壞、流量過載、竊聽、通信滲透、流量分析、信息的錯誤路徑、信息重選路由、抵賴、通信服務(wù)失效、資源的濫用等等。這些參考目錄可以作為進行威脅識別的重要依據(jù)。德國《IT基線保護手冊》中的“資產(chǎn)—威脅—控制措施”模型將威脅分為五大類，即不可抗拒力、組織缺陷、人員錯誤、技術(shù)錯誤、故意行為。每種類型威脅又包含幾十到一百多種威脅子類。該手冊對每類威脅進行了詳細(xì)列舉和描述，因而可作為威脅識別的重要參考。2.威脅評估

威脅評估是對威脅出現(xiàn)的頻率和強度進行評估，這是風(fēng)險評估的重要環(huán)節(jié)。

每一種威脅都對信息資產(chǎn)的安全提出了挑戰(zhàn)，在威脅識別之后，威脅評估的首要任務(wù)就是檢查每一威脅對目標(biāo)信息資產(chǎn)的潛在影響，提出下面的問題幫助理解威脅和威脅對信息資產(chǎn)的潛在影響：

(1)當(dāng)前哪些威脅對組織的信息資產(chǎn)產(chǎn)生了威脅？這是因為并不是所有的威脅都會危及信息資產(chǎn)。此時可以檢查表8-2中的每種分類，并排除那些不適用于本組織的威脅。這樣做可以減少風(fēng)險評估的時間。一旦確定好組織面臨的威脅種類，還要識別每一類威脅中的特例，并排除那些不相干的威脅。例如，若公司的辦公地點位于高層建筑的頂層，則不太可能遭受到洪水的威脅。

(2)哪種威脅會對組織的信息資產(chǎn)帶來最嚴(yán)重的危害？在威脅評估的初期階段，可以大概地由威脅攻擊的頻率，以及檢查現(xiàn)有的準(zhǔn)備等級和應(yīng)改進的信息安全策略來確定威脅可能產(chǎn)生的危害程度。這樣進行初步的信息收集，有助于按危險次序來劃分威脅等級。

組織識別出威脅的原因、威脅的目標(biāo)后，有必要根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)來分析威脅出現(xiàn)的頻率、強度和破壞能力，考慮以下因素：

(1)根據(jù)經(jīng)驗和統(tǒng)計規(guī)律，估計出威脅多長時間發(fā)生一次，即威脅發(fā)生的頻度。(2)研究攻擊者的動機、需要具備的能力、所需的資源、資產(chǎn)的吸引力大小和脆弱性程度，了解是否存在有預(yù)謀的威脅。

(3)近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。

(4)研究地理因素，如是否靠近石油化工廠、是否處于極端天氣高發(fā)區(qū)等，這些環(huán)境條件會導(dǎo)致意外事故的威脅。

威脅評估的結(jié)果一般都是定性的。GB/T20984—2007《信息安全風(fēng)險評估規(guī)范》將威脅頻度等級劃分為五個等級，用來代表威脅出現(xiàn)的頻率高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高，如表8-4所示。在實際的評估中，威脅頻率的判斷依據(jù)應(yīng)在評估準(zhǔn)備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被評估方的認(rèn)可。

表8-4威

脅

的

賦

值8.3.4脆弱性識別與評估

1.脆弱性識別

脆弱性是信息資產(chǎn)固有的屬性，表現(xiàn)為存在一系列的脆弱點或漏洞。脆弱性的識別主要按脆弱性的類型，即從技術(shù)和管理兩個方面進行。其中技術(shù)方面主要是指軟件、硬件和通信設(shè)施等方面存在的脆弱性，管理方面主要是指在人員管理、業(yè)務(wù)管理和行政管理中的過程與控制等方面存在的脆弱性。

識別脆弱性的方法主要有問卷調(diào)查、工具檢測、工人核查、滲透性測試和文檔查閱等。在識別的過程中要注意其數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員等。

對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實施。例如，對物理環(huán)境的脆弱性識別應(yīng)按GB/T9361—1988《計算機場地安全要求》中的技術(shù)指標(biāo)實施；對操作系統(tǒng)、數(shù)據(jù)庫應(yīng)按GB17859—1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》中的技術(shù)指標(biāo)實施；對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等信息技術(shù)安全性的脆弱性識別應(yīng)按GB/T18336—2001《信息技術(shù)安全性評估準(zhǔn)則》中的技術(shù)指標(biāo)實施；對管理脆弱性識別方面應(yīng)按GB/T19716—2005《信息安全管理實用規(guī)則》的要求對安全管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)管理脆弱性和不足。

表8-5脆弱性識別內(nèi)容2.脆弱性評估

與每一種威脅相關(guān)的脆弱性都應(yīng)當(dāng)評估出來，因為在一定條件下，威脅會利用這些脆弱性導(dǎo)致安全事件的發(fā)生。

可以根據(jù)脆弱性對信息資產(chǎn)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴(yán)重程度進行評估。由于很多脆弱性反映的是某一方面的問題，或可能造成相似的后果，評估時應(yīng)綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴(yán)重程度。對于某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度同時受到組織管理脆弱性的影響。因此，衡量資產(chǎn)的脆弱性還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

脆弱性嚴(yán)重程度可以進行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。

脆弱性評估的結(jié)果一般也是定性的。GB/T20984—2007《信息安全風(fēng)險評估規(guī)范》將脆弱性嚴(yán)重程度劃分為五個等級，如表8-6所示。

表8-6威

脅

的

賦

值在風(fēng)險評估過程中，將會發(fā)現(xiàn)許多系統(tǒng)的脆弱點或漏洞，威脅也會以多種方式顯露出來。為每一項信息資產(chǎn)建立脆弱性評估列表，并確定哪個脆弱性會對受保護的資產(chǎn)產(chǎn)生最大的威脅，這是風(fēng)險識別人員每天都要面臨的挑戰(zhàn)。

在風(fēng)險識別的最后，我們完成了資產(chǎn)、威脅及脆弱性的列表清單。該清單將作為風(fēng)險分析過程的支持文檔。8.3.5現(xiàn)有安全控制措施的確認(rèn)

安全控制措施可以分為預(yù)防性安全控制措施和保護性安全控制措施兩種。預(yù)防性安全控制措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，例如IDS；而保護性安全控制措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響，例如業(yè)務(wù)持續(xù)性計劃。在識別脆弱性的同時，評估人員應(yīng)對這些已采取的安全控制措施的有效性進行確認(rèn)。該步驟的主要任務(wù)是，對當(dāng)前信息系統(tǒng)所采取的安全控制措施進行標(biāo)識，并對其預(yù)期功能、有效性進行分析，再根據(jù)檢查的結(jié)果來決定是否保留、去除或替換現(xiàn)有的控制措施。安全控制措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對確認(rèn)為不適當(dāng)?shù)陌踩刂拼胧?yīng)核實其是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全控制措施替代。

已有安全控制措施的確認(rèn)與脆弱性的識別存在一定的聯(lián)系。一般來說，安全控制措施的使用將減少系統(tǒng)技術(shù)或管理上的脆弱性，但確認(rèn)安全控制措施并不需要像脆弱性識別過程那樣具體到每個資產(chǎn)、組件的脆弱性，而是一類具體控制措施的集合，為風(fēng)險處理計劃的制定提供依據(jù)和參考。8.3.6風(fēng)險計算與分析

在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。

如前所述，風(fēng)險可以表示為威脅發(fā)生的可能性、脆弱性被威脅利用的可能性、威脅的潛在影響三者的函數(shù)，在風(fēng)險評估過程中，計算風(fēng)險時還要減去一個常數(shù)，即現(xiàn)有安全控制措施的實施降低的風(fēng)險，可記為：

R=R(A,T,V)

-

Rc

=R(P(T,V),I(Ve,Sz))-

Rc

其中：R為安全風(fēng)險；A為資產(chǎn)；T為威脅；V為脆弱性；Rc為已有控制所減少的風(fēng)險；Ve為安全事件所作用的資產(chǎn)價值；Sz為脆弱性嚴(yán)重程度；P為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；I為安全事件發(fā)生后造成的影響。

由于Rc是一個常數(shù)，在函數(shù)表示式中可以省略，故上式可簡化為：

R=R(P(T,V),I(Ve,Sz))計算該式有3個關(guān)鍵環(huán)節(jié)：

(1)計算安全事件發(fā)生的可能性。

根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件的可能性

=P(威脅出現(xiàn)頻率,脆弱性)=P(T,V)。

在具體評估中，應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)、資產(chǎn)吸引力、威脅出現(xiàn)的可能性、脆弱點的屬性、安全控制措施的效能等因素來判斷安全事件發(fā)生的可能性?？赡苄苑治龇椒梢允嵌康模部梢允嵌ㄐ缘?。定量方法可將發(fā)生安全事件的可能性表示成概率形式，而定性方法將安全事件發(fā)生的可能性給予如“極高、高、中、低”等類似的等級評價。

(2)計算安全事件發(fā)生后造成的影響。

根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度，計算安全事件一旦發(fā)生后造成的影響，即：安全事件造成的影響

=I(資產(chǎn)價值,脆弱性嚴(yán)重程度)=I(Ve,Sz)。安全事件的發(fā)生造成的影響可體現(xiàn)在以下方面：直接經(jīng)濟損失、物理資產(chǎn)損壞、業(yè)務(wù)持續(xù)性影響、法律責(zé)任、人員安全危害、信譽(形象)受損等。

部分安全事件造成的影響判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對發(fā)生可能性極小的安全事件(如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等)可以不計算其影響或損失。由于安全事件對組織影響的多樣性，相關(guān)數(shù)據(jù)也比較缺乏，目前這種影響造成的損失的定量計算方法還不成熟，更多的是采用定性的分析方法，根據(jù)經(jīng)驗對安全事件發(fā)生后所造成的影響或損失進行等級劃分，給予“極高、高、中、低、可忽略”等評價。(3)計算風(fēng)險值。

根據(jù)計算出的安全事件的可能性以及安全事件造成的影響，計算風(fēng)險值，即：風(fēng)險值=R(安全事件的可能性,安全事件造成的影響)=R(P(T,V),I(Ve,Sz))。

評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的影響之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件的可能性與安全事件造成的影響進行運算得到風(fēng)險值。詳細(xì)的矩陣法和相乘法的風(fēng)險計算示例參見第8.4節(jié)。

圖8-3風(fēng)險分析函數(shù)圖通過風(fēng)險計算，位于“主要高業(yè)務(wù)風(fēng)險”區(qū)域的風(fēng)險對組織的安全水平有著顯著的影響，是應(yīng)當(dāng)重點加以控制的風(fēng)險；位于“高可能性”和“高影響”區(qū)域的風(fēng)險要根據(jù)組織的接受風(fēng)險的能力，應(yīng)適當(dāng)加以控制；位于“低風(fēng)險”區(qū)域的風(fēng)險只要是處于組織可接受的水平，一般可以忽略。8.3.7風(fēng)險管理與控制

1.選擇安全控制措施

在經(jīng)過風(fēng)險識別和風(fēng)險計算后，就可以對不可接受的風(fēng)險情況引入適當(dāng)?shù)陌踩刂拼胧?，對風(fēng)險實施管理與控制，將風(fēng)險降低到可以接受的程度。

選擇安全控制措施時，要考慮以下因素：

(1)控制的成本費用。

控制的選擇要基于安全平衡的原則，要考慮技術(shù)的、非技術(shù)的控制因素，也要考慮法律法規(guī)的要求、業(yè)務(wù)的需求以及風(fēng)險的要求。如果實施與維護這些控制的費用要高于資產(chǎn)遭受威脅所造成損失的預(yù)期值，那么所選擇的控制措施是不適合的；如果控制費用比組織計劃的安全預(yù)算還要高，也是不適當(dāng)?shù)?。但如果因為控制費用預(yù)算的不足使得控制措施的數(shù)量與質(zhì)量下降，又會使系統(tǒng)產(chǎn)生不必要的風(fēng)險，所以對此要特別注意。(2)控制的可用性。

在使用所選擇的安全控制措施時，有時候會發(fā)現(xiàn)有些控制因為技術(shù)、環(huán)境等原因，實施和維護起來非常困難，或者根本就不可能進行實施和維護。另外，如果用戶對某些控制存在不可操作或無法接受，那么這些控制也是不可行的。所以，在選擇安全控制措施時，一定要注意控制的可用性，比如可以采取相近的技術(shù)控制或非技術(shù)的物理、人員、過程等措施來替代或彌補那些可行性差的技術(shù)控制，或作為技術(shù)控制的備用項。(3)已存在的控制。

所選擇的安全控制措施應(yīng)當(dāng)與組織中已存在的控制有機結(jié)合起來，共同服務(wù)于安全目標(biāo)。因此，需要注意它們之間的協(xié)調(diào)關(guān)系：

·當(dāng)已存在的控制不能提供足夠的安全保障時，在選擇新的安全控制措施之前，組織應(yīng)先對是否取消原有的控制或是補充現(xiàn)有的控制作出決策。這種決策依賴于控制的成本大小、更新是否必須、安全需求是否迫切等因素。·所選擇的控制與已存在的控制是否兼容，不存在沖突。例如物理訪問控制可以用來補充邏輯訪問控制機制，它們的結(jié)合可以提供更可靠的安全。(4)控制功能的范圍和強度。

這主要是要求所選擇的安全控制措施能滿足所有的控制目標(biāo)與安全需求，要求控制措施的功能類型應(yīng)該全面，如預(yù)防、探測、監(jiān)控、威懾、糾正、恢復(fù)等功能，并能使得風(fēng)險減少后的殘余風(fēng)險達(dá)到可接受的水平。

總之，無論選擇什么樣的安全控制措施，最終結(jié)果只能是降低風(fēng)險到可接受的水平，或作出正式的管理決策接受風(fēng)險。選擇安全控制措施，就是為了控制風(fēng)險。控制風(fēng)險的方法包括：避免風(fēng)險、轉(zhuǎn)移風(fēng)險、降低風(fēng)險和接受風(fēng)險。2.避免風(fēng)險

避免風(fēng)險是一種風(fēng)險控制戰(zhàn)略，即防止信息資產(chǎn)的脆弱性受到威脅的利用。因為是力求避免風(fēng)險，而不是發(fā)現(xiàn)風(fēng)險后再去處理，所以它是一種可以優(yōu)先選擇的方案。可以通過以下方式來避免風(fēng)險：

(1)政策的應(yīng)用。

應(yīng)用政策可以強制性地使各管理層按照一定的制度和要求的程序進行安全工作。例如，如果組織需要更嚴(yán)格地進行系統(tǒng)準(zhǔn)入機制，那么在各個信息系統(tǒng)均可以實施高強度的身份識別和訪問權(quán)限的控制政策。當(dāng)然，單獨的政策是不夠的，有效的管理總是將政策的改變與對員工的訓(xùn)練、教育和技術(shù)的應(yīng)用結(jié)合起來的。

(2)培訓(xùn)和教育的應(yīng)用。

讓員工知道新的或修改后的政策，這可能不足以保證他們能遵守這些政策。進行安全意識提升的培訓(xùn)和教育，對于建立一種更安全、更可控的信息系統(tǒng)環(huán)境，并在避免風(fēng)險方面發(fā)揮積極作用。(3)打擊威脅。

打擊對某種信息資產(chǎn)的威脅，或者使該信息資產(chǎn)不直接面對威脅，就可以使得該信息資產(chǎn)避免風(fēng)險。消除一種威脅雖然很困難，但抵制和打擊一些威脅還是可能的。例如，如果系統(tǒng)容易遭受網(wǎng)絡(luò)黑客的攻擊，就必須采取一些法律和技術(shù)措施來對抗他們，并避免潛在攻擊。(4)實施安全技術(shù)。

任何信息安全系統(tǒng)都時時刻刻需要一些安全技術(shù)解決方案來有效地減少和避免風(fēng)險，這些技術(shù)甚至涉及到信息系統(tǒng)使用中的每個過程與步驟，而且有時候，還要采取一些主動規(guī)避或放棄一些業(yè)務(wù)活動、主動撤離一些風(fēng)險區(qū)域的方式來避免風(fēng)險。3.轉(zhuǎn)移風(fēng)險

轉(zhuǎn)移風(fēng)險是一種風(fēng)險控制方法，它是組織在無法避免風(fēng)險時，或者減少風(fēng)險很困難，成本也很高時，將風(fēng)險轉(zhuǎn)向其他的資產(chǎn)、過程或組織?？梢酝ㄟ^重新考慮如何提供服務(wù)、修改配置模型、執(zhí)行項目外包并完善合同、購買保險等方式來實現(xiàn)該目標(biāo)。

任何組織都不會將精力花在業(yè)務(wù)涉及的所有的方面，它們只會關(guān)注自己最擅長的方面，并依靠專家顧問或承包商來提供其他的專業(yè)建議。如果組織在安全管理方面經(jīng)驗不足，就應(yīng)該雇用具備專業(yè)水平的人員或公司來加以解決，甚至將一些復(fù)雜系統(tǒng)的管理風(fēng)險轉(zhuǎn)移到有相關(guān)管理經(jīng)驗的組織身上。例如，許多組織需要網(wǎng)站服務(wù)，可以直接雇用ISP來解決，由ISP來對網(wǎng)站負(fù)責(zé)，并根據(jù)服務(wù)等級協(xié)議，保證服務(wù)器和網(wǎng)站正常運行。4.降低風(fēng)險

降低風(fēng)險是一種風(fēng)險控制方法，主要是通過實施各種預(yù)防和應(yīng)急響應(yīng)計劃來減少因脆弱性而帶來的攻擊對資產(chǎn)的損害。降低風(fēng)險的方法主要包括以下3種計劃：

(1)事件響應(yīng)計劃。

事件響應(yīng)計劃是在事故或災(zāi)難尚未發(fā)生時，組織事先制定好的在事件發(fā)生時應(yīng)該快速實施的措施列表。(2)災(zāi)難恢復(fù)計劃。

災(zāi)難恢復(fù)計劃是在災(zāi)難事件發(fā)生時，組織用來控制損失的一些措施，例如恢復(fù)丟失數(shù)據(jù)、重建丟失服務(wù)、關(guān)閉過程以保護系統(tǒng)等。

(3)業(yè)務(wù)持續(xù)性計劃。

業(yè)務(wù)持續(xù)性計劃是在確定災(zāi)難會影響組織后續(xù)業(yè)務(wù)運營時，組織執(zhí)行的確保總體業(yè)務(wù)持續(xù)性的措施。5.接受風(fēng)險

當(dāng)信息系統(tǒng)的威脅和脆弱性已被盡可能控制時，通常仍然殘留著一定的風(fēng)險，這些風(fēng)險并未被消除、轉(zhuǎn)移或本來就處于控制計劃之外，這被稱為殘余風(fēng)險。殘余風(fēng)險的重要性要針對具體的組織環(huán)境來考慮。畢竟，信息安全的目標(biāo)并不是要將殘余風(fēng)險完全消除，而是將殘余風(fēng)險降為最低。如果管理者已經(jīng)確定殘余風(fēng)險的存在，而且組織中相關(guān)的決策部門也決定讓這些殘余風(fēng)險適度存在，即接受風(fēng)險，那么信息安全也算是實現(xiàn)了其首要目標(biāo)。接受風(fēng)險是一個對殘余風(fēng)險進行確認(rèn)和評價的過程。在實施安全控制措施之后，組織應(yīng)該對風(fēng)險的降低和殘余的風(fēng)險進行判斷，作出業(yè)務(wù)決策來判斷是否接受風(fēng)險，或增加安全控制措施和控制費用將風(fēng)險降低到可接受的水平，或者接受風(fēng)險，并承擔(dān)隨之發(fā)生的任何后果。

接受風(fēng)險不一定是一種明智的商業(yè)決策。一般來說，只有當(dāng)組織完成了以下工作，接受風(fēng)險才是一項正確的戰(zhàn)略：

(1)確定影響信息資產(chǎn)的風(fēng)險等級。(2)評估發(fā)生威脅和產(chǎn)生脆弱性的可能性。

(3)近似地計算了該類攻擊每年發(fā)生的幾率。

(4)估計攻擊所造成的潛在損失。

(5)進行了全面的成本-效益分析。

(6)評估使用的每一項安全控制措施。

組織在完成了風(fēng)險識別與計算、風(fēng)險管理和控制之后，可以將風(fēng)險控制在一個可以接受的水平，但這并不意味著風(fēng)險評估工作的結(jié)束。事實上，隨著時間的推移和組織業(yè)務(wù)環(huán)境的變化，新的威脅和新的脆弱性會不斷增加或顯現(xiàn)，有關(guān)的法律法規(guī)也在變化，所以風(fēng)險也是不斷變化的。風(fēng)險管理是一個動態(tài)的、持續(xù)改進的過程，組織需要進行動態(tài)的風(fēng)險評估與風(fēng)險管理，這也是動態(tài)安全觀的要求。8.3.8風(fēng)險評估記錄文檔

風(fēng)險評估文檔是指在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，至少包括以下文檔：

(1)風(fēng)險評估方案：闡述風(fēng)險評估的目標(biāo)、范圍、人員、評估方法、評估結(jié)果的形式和實施進度等。

(2)風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文檔要求，以及實施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)。(3)資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文檔中所確定的資產(chǎn)分類方法進行資產(chǎn)識別，形成資產(chǎn)識別清單，明確資產(chǎn)的責(zé)任人/部門。

(4)重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等。

(5)威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅的名稱、種類、來源、動機及出現(xiàn)的頻率等。(6)脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴(yán)重程度等。

(7)已有安全控制措施確認(rèn)表：根據(jù)對已采取的安全控制措施確認(rèn)的結(jié)果，形成已有安全控制措施確認(rèn)表，包括已有安全控制措施名稱、類型、功能描述及實施效果等。

(8)風(fēng)險評估報告：對整個風(fēng)險評估過程和結(jié)果進行總結(jié)，詳細(xì)說明被評估對象、風(fēng)險評估方法、資產(chǎn)、威脅、脆弱性的識別結(jié)果、風(fēng)險分析、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容。(9)風(fēng)險處理計劃：對評估結(jié)果中不可接受的風(fēng)險制定處理計劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進度、資源，并通過對殘余風(fēng)險的評價以確定所選擇安全措施的有效性。

(10)風(fēng)險評估記錄：根據(jù)風(fēng)險評估程序，要求風(fēng)險評估過程中的各種現(xiàn)場記錄可復(fù)現(xiàn)評估過程，并作為產(chǎn)生歧義后解決問題的依據(jù)。記錄風(fēng)險評估過程的相關(guān)文檔，應(yīng)至少符合以下要求：

(1)確保文檔發(fā)布前是得到批準(zhǔn)的。

(2)確保文檔的更改和現(xiàn)行修訂狀態(tài)是可識別的。

(3)確保文檔的分發(fā)得到適當(dāng)?shù)目刂?，并確保在使用時可獲得有關(guān)版本的適用文檔。

(4)防止作廢文檔的非預(yù)期使用，若因任何目的需保留作廢文檔時，應(yīng)對這些文檔進行適當(dāng)?shù)臉?biāo)識。

(5)規(guī)定文檔的標(biāo)識、存儲、保護、檢索、保存期限以及處置所需的控制。

在風(fēng)險分析過程中，需要計算風(fēng)險值，而風(fēng)險計算需要確定影響風(fēng)險的要素、要素之間的組合方式，以及具體的計算方法。將風(fēng)險要素按照組合方式使用具體的計算方法進行計算，即可得到風(fēng)險值。8.4信息安全風(fēng)險要素計算方法目前通用的風(fēng)險評估中風(fēng)險值計算涉及的要素一般為資產(chǎn)、威脅和脆弱性，它們的關(guān)系見第8.3.6小節(jié)，即由威脅和脆弱性確定安全事件發(fā)生的可能性，由資產(chǎn)和脆弱性確定安全事件的影響，以及由安全事件發(fā)生的可能性和安全事件的影響來確定風(fēng)險值。

常用的計算方法為矩陣法和相乘法。在實際應(yīng)用中，可以將這兩種方法結(jié)合使用。

假設(shè)：有以下信息系統(tǒng)中資產(chǎn)面臨威脅利用脆弱性的情況：共有兩項重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；

資產(chǎn)A1面臨兩個主要威脅T1和T2；

資產(chǎn)A2面臨一個主要威脅T3；

威脅T1可以利用資產(chǎn)A1存在的兩個脆弱性，脆弱性V1和脆弱性V2；

威脅T2可以利用資產(chǎn)A1存在的一個脆弱性V3；

威脅T3可以利用資產(chǎn)A2存在的兩個脆弱性，脆弱性V4和脆弱性V5；資產(chǎn)價值分別是：資產(chǎn)A1=2，資產(chǎn)A2=4；

威脅發(fā)生的頻率分別是：威脅T1=2，威脅T2=4，威脅T3=3；

脆弱性嚴(yán)重程度分別是：脆弱性V1=3，脆弱性V2=5，脆弱性V3=4，脆弱性V4=4，脆弱性V5=5。

以下分別用矩陣法和相乘法來計算其風(fēng)險。8.4.1矩陣法計算風(fēng)險

1.矩陣法原理

矩陣法主要適用于由兩個要素值確定一個要素值的情形。

首先需要確定二維計算矩陣，矩陣內(nèi)各個要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個元素的值在矩陣中進行比對，行列交叉處即為所確定的計算結(jié)果，即z=f(x,y)，函數(shù)f可以采用矩陣法計算。矩陣法的原理是：

x={x1,x2,…,xi,…,xm}，1≤i≤m，xi為正整數(shù)，

y={y1,y2,…,yj,…,yn}，1≤j≤n，yj為正整數(shù)。

以x和y構(gòu)建一個二維矩陣，如表8-7所示。矩陣行值為要素y的所有取值，矩陣列值為要素x的所有報值。矩陣內(nèi)mn個值為要素z的取值，即z={z11,z12,…,zij,…,zmn}，1≤i≤m，1≤j≤n，zij為正整數(shù)。

表8-7二維矩陣構(gòu)造采用以下公式來計算zij：

zij=xi+yj或zij=xi×

yj

或zij=α

×

xi

+

β

×

yj

其中，α和β為正常數(shù)。

zij的計算要根據(jù)實際情況確定，矩陣內(nèi)的zij值不一定遵循統(tǒng)一的計算公式，但必須具有統(tǒng)一的增減趨勢，即如果f是遞增函數(shù)，那么zij的值應(yīng)是隨著xi與yj的值遞增，反之亦然。

矩陣法的特點在于通過構(gòu)造兩兩要素計算矩陣，可以清晰反映要素的變化趨勢，靈活性高。在風(fēng)險值計算中，通常需要根據(jù)兩個要素來確定另一個要素值，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的影響值等，同時需要整體掌握風(fēng)險值的確定，因此矩陣法在風(fēng)險分析中得到廣泛應(yīng)用。2.矩陣法計算示例

(1)計算重要資產(chǎn)的風(fēng)險值。

這里以資產(chǎn)A1為例使用矩陣法計算其風(fēng)險值，其他資產(chǎn)計算方法類似。

資產(chǎn)A1面臨兩個主要威脅T1和T2，威脅T1可以利用資產(chǎn)A1的兩個脆弱性，威脅T2可以利用資產(chǎn)A1的一個脆弱性，因此，資產(chǎn)A1存在風(fēng)險值包括三個。這三個風(fēng)險值的計算過程類似。以資產(chǎn)A1面臨的威脅T1可以利用資產(chǎn)A1的脆弱性V1為例進行計算：①計算安全事件發(fā)生的可能性。

威脅發(fā)生頻率：威脅T1=2；

脆弱性嚴(yán)重程度：脆弱性V1=3。

首先根據(jù)矩陣法原理，構(gòu)建安全事件發(fā)生可能性的矩陣，如表8-8所示。

表8-8安全事件發(fā)生可能性的矩陣那么根據(jù)威脅發(fā)生頻率為2和脆弱性嚴(yán)重程度為3，在矩陣中對照，可確定安全事件發(fā)生的可能性值為10。

因為安全事件發(fā)生的可能性是風(fēng)險計算函數(shù)的一個參數(shù)，所以在構(gòu)建風(fēng)險矩陣前，先對安全事件發(fā)生的可能性進行等級劃分，如表8-9所示，此時可知安全事件發(fā)生可能性的等級為2。

表8-9劃分安全事件可能性的等級②計算安全事件的影響。

資產(chǎn)價值：資產(chǎn)A1=2；

脆弱性嚴(yán)重程度：脆弱性V1=3。

首先根據(jù)矩陣法原理，構(gòu)建安全事件影響的矩陣，如表8-10所示。

表8-10安全事件影響的矩陣那么根據(jù)資產(chǎn)價值為2和脆弱性嚴(yán)重程度為3，在矩陣中對照，可確定安全事件的影響值為9。

因為安全事件的影響是風(fēng)險計算函數(shù)的一個參數(shù)，所以在構(gòu)建風(fēng)險矩陣前，還要對安全事件的影響進行等級劃分，如表8-11所示，此時可知安全事件影響等級為2。

表8-11劃分安全事件影響的等級③計算風(fēng)險值。

此時，已計算出：安全事件發(fā)生可能性

=2，安全事件的影響

=2。

同樣，可根據(jù)矩陣法原理，構(gòu)建風(fēng)險矩陣，如表8-12所示。

表8-12風(fēng)險矩陣那么根據(jù)安全事件發(fā)生可能性為2和安全事件的影響為2，在矩陣中對照，可確定風(fēng)險值為7。

按同樣的方法，可計算得出資產(chǎn)A1的其他風(fēng)險值，以及資產(chǎn)A2的風(fēng)險。

(2)結(jié)果判定。

先確定風(fēng)險等級劃分的標(biāo)準(zhǔn)，如表8-13所示。

表8-13劃分風(fēng)險的等級根據(jù)計算出的風(fēng)險值，結(jié)合表8-13可知，資產(chǎn)A1面臨的威脅T1可以利用資產(chǎn)A1的脆弱性V1的風(fēng)險等級為2。

以此類推，可計算出兩個重要資產(chǎn)的其他風(fēng)險值，并根據(jù)表8-13確定出各自的風(fēng)險等級結(jié)果，如表8-14所示。

表8-14風(fēng)險結(jié)果8.4.2相乘法計算風(fēng)險

1.相乘法原理

相乘法主要適用于由兩個或多個要素值確定一個要素值的情形。即z=f(x,y)，函數(shù)f可以采用相乘法。

相乘法的原理是：

z=f(x,y)=xy

當(dāng)f為增量函數(shù)時，可以為直接相乘，也可以為相乘后取模等，例如：

相乘法提供了一種定量的計算方法，直接使用兩個要素值進行相乘得到另外一個要素值，它簡單明確，直接按統(tǒng)一的公式計算，便可得到所需的結(jié)果。在風(fēng)險值計算中，通常需要根據(jù)兩個要素來確定另一個要素值，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的影響值等，因此相乘法在風(fēng)險分析中也得到了廣泛應(yīng)用。2.相乘法計算示例

(1)計算重要資產(chǎn)的風(fēng)險值。

這里以資產(chǎn)A1為例使用相乘法計算其風(fēng)險值，其他資產(chǎn)計算方法類似。

資產(chǎn)A1面臨兩個主要威脅T1和T2，威脅T1可以利用資產(chǎn)A1的兩個脆弱性，威脅T2可以利用資產(chǎn)A1的一個脆弱性，因此，資產(chǎn)A1存在風(fēng)險值包括三個。這三個風(fēng)險值的計算過程類似。以資產(chǎn)A1面臨的威脅T1可以利用資產(chǎn)A1的脆弱性V1為例進行計算，其中計算公式采用：并對z的值四舍五入取值。

以此類推，可計算出兩個重要資產(chǎn)的其他風(fēng)險值，并根據(jù)風(fēng)險等級劃分標(biāo)準(zhǔn)確定出各自的風(fēng)險等級結(jié)果，如表8-15所示。

表8-15風(fēng)險結(jié)果

在應(yīng)用風(fēng)險評估方法的過程中，評估的時間、地點，投入的財力、物力，以及開展的深度都應(yīng)與組織的環(huán)境和安全需求相符合。例如，如果組織及其信息資產(chǎn)在大多數(shù)情況下只需要一個低等級到中等級的安全需求，那么基本的風(fēng)險評估方法就足夠了。如果安全需求較高，并要求更具體的和專業(yè)的處理，那么就必須運用詳細(xì)的風(fēng)險評估或綜合的風(fēng)險評估方法。8.5信息安全風(fēng)險評估方法當(dāng)然，無論采用哪一種評估方法，都應(yīng)遵循可靠性、完整性、時間與成本有效等原則。8.5.1基本風(fēng)險評估

如果組織的商業(yè)運營不是很復(fù)雜，并且對信息處理和網(wǎng)絡(luò)的依賴程度不是很高，或者信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式，采用基本風(fēng)險評估就可以便捷地實現(xiàn)基本的安全水平，并且滿足組織及其商業(yè)環(huán)境的所有要求。

基本風(fēng)險評估是指應(yīng)用直接和簡易的方法對信息系統(tǒng)進行安全基線檢查，得出基本的安全需求，通過選擇并實施標(biāo)準(zhǔn)的安全措施來降低和控制風(fēng)險。這種方法使得組織在識別和評估基本安全需求的基礎(chǔ)上，通過建立相應(yīng)的信息安全管理體系，獲得對信息資產(chǎn)的基本安全保護，其目標(biāo)是建立一套滿足信息安全基本目標(biāo)的最小的對策集合，它可以在全組織范圍內(nèi)實行，如果有特殊需要，應(yīng)該在此基礎(chǔ)上，對特定系統(tǒng)進行更詳細(xì)的評估。

基本風(fēng)險評估的安全基線，是在諸多標(biāo)準(zhǔn)和規(guī)范中規(guī)定的一組安全控制措施或慣例，這些措施或慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)達(dá)到一定的安全水平。選擇安全基線可以參考以下內(nèi)容：(1)國際標(biāo)準(zhǔn)和國內(nèi)標(biāo)準(zhǔn)，例如ISO/IEC13335、GB/T22081等。

(2)行業(yè)標(biāo)準(zhǔn)或推薦，例如德國《IT基線保護手冊》等。

(3)其他有類似商務(wù)目標(biāo)和規(guī)模的組織慣例。

1.基本風(fēng)險評估的內(nèi)容

按照GB/T22081—2008的要求，風(fēng)險評估應(yīng)對照風(fēng)險接受準(zhǔn)則和組織相關(guān)目標(biāo)，識別、量化并區(qū)分風(fēng)險的優(yōu)先次序，以管理信息安全風(fēng)險和實施為防范這些風(fēng)險而選擇的控制措施。基本風(fēng)險評估的任務(wù)與內(nèi)容如表8-16所示。

表8-16基本風(fēng)險評估的任務(wù)與內(nèi)容2.基本風(fēng)險評估的優(yōu)點

(1)風(fēng)險評估所需資源最少，操作簡單。

(2)選擇安全措施時花費更少的時間和精力。

(3)如果多個信息系統(tǒng)在相同的普通環(huán)境下運行，并且安全需求類似，那么這些系統(tǒng)采用相同或相似的基本風(fēng)險評估可以提供一個經(jīng)濟有效的解決方案。3.基本風(fēng)險評估的缺點

(1)安全基線和安全水平難以設(shè)置。如果設(shè)置太高，可能需要過多費用，或控制過度；如果設(shè)置太低，則信息系統(tǒng)可能會缺少安全，導(dǎo)致更高層次的暴露。

(2)風(fēng)險評估不全面透徹，在管理與安全相關(guān)的變更方面可能有困難。例如系統(tǒng)升級后，就很難評估原先的安全控制措施是否仍然充分有效。8.5.2詳細(xì)風(fēng)險評估

詳細(xì)風(fēng)險評估要求對資產(chǎn)、威脅和脆弱性進行詳細(xì)識別和評價，并用于對可能引起的風(fēng)險水平進行評估和安全控制措施的識別與選擇，將風(fēng)險降低到可接受的水平，同時證明所采取的安全控制措施是適當(dāng)?shù)?。例如OCTAVE、CRAMM、NIST的SP800-30等提供的風(fēng)險評估方法都屬于詳細(xì)風(fēng)險評估。1.詳細(xì)風(fēng)險評估的內(nèi)容

詳細(xì)風(fēng)險評估需要仔細(xì)制定被評估信息系統(tǒng)范圍內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運營、信息與資產(chǎn)內(nèi)容等，可以非常耗費人力和物力。不同于基本風(fēng)險評估方法，詳細(xì)風(fēng)險評估需要對資產(chǎn)、威脅和脆弱性進行更詳細(xì)的分析，并將它們作為參數(shù)來計算安全風(fēng)險。例如按照GB/T20984—2007的要求對風(fēng)險要素和風(fēng)險進行計算和評估。詳細(xì)風(fēng)險評估的任務(wù)與內(nèi)容如表8-17所示。

表8-17詳細(xì)風(fēng)險評估的任務(wù)與內(nèi)容2.詳細(xì)風(fēng)險評估的優(yōu)點

(1)識別全面的安全控制措施，并獲得更精確的安全風(fēng)險認(rèn)識。

(2)詳細(xì)風(fēng)險評估結(jié)果有助于安全變更的管理。

3.詳細(xì)風(fēng)險評估的缺點

(1)花費較多的時間、人力和物力。

(2)需要較高的專業(yè)技術(shù)知識和能力。8.5.3綜合風(fēng)險評估

基本風(fēng)險評估所需資源少，周期短，操作簡單，但不夠準(zhǔn)確，適合一般環(huán)境的評估。詳細(xì)風(fēng)險評估準(zhǔn)確細(xì)致，但耗費資源較多，適合嚴(yán)格規(guī)定邊界的較小范圍的評估。因而在實踐中，較多地采用二者結(jié)合的綜合風(fēng)險評估方法。

這種方法首先使用基本的風(fēng)險評估方法，識別出ISMS范圍內(nèi)具有潛在高風(fēng)險或?qū)ι虡I(yè)運營極為關(guān)鍵的資產(chǎn)，然后根據(jù)基本的風(fēng)險評估的結(jié)果，將ISMS范圍內(nèi)的資產(chǎn)分成兩類。一類需要應(yīng)用詳細(xì)風(fēng)險評估方法以取得適當(dāng)?shù)谋Ｗo，另一類通過基本風(fēng)險評估方法選擇安全控制措施就可以滿足組織的需要。

這種綜合風(fēng)險評估方法將基本風(fēng)險評估和詳細(xì)風(fēng)險評估的優(yōu)點結(jié)合起來，既節(jié)省了評估所花費的時間和精力，又能獲得全面系統(tǒng)的評估結(jié)果，而且資金能被應(yīng)用在信息系統(tǒng)中最需要和最能發(fā)揮作用的地方。當(dāng)然，需要注意的是，如果初步的高風(fēng)險分析不夠準(zhǔn)確，那么某些本來需要詳細(xì)評估的系統(tǒng)可能會被忽略，導(dǎo)致某些嚴(yán)重的風(fēng)險不被發(fā)現(xiàn)的錯誤。

風(fēng)險評估工具是風(fēng)險評估的輔助手段，是保證風(fēng)險評估結(jié)果可信度的一個重要因素。風(fēng)險評估工具的使用不但在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專家的經(jīng)驗知識被廣泛地應(yīng)用。8.6風(fēng)險評估工具從功能應(yīng)用的角度和目標(biāo)而言，風(fēng)險評估工具可分為預(yù)防、檢測和響應(yīng)三類。通常情況下，技術(shù)人員會把漏洞掃描工具稱為風(fēng)險評估工具，因為可以用它來發(fā)現(xiàn)系統(tǒng)存在的漏洞、不合理配置等問題，根據(jù)漏洞掃描結(jié)果提供的線索，利用滲透性測試分析系統(tǒng)存在的風(fēng)險，所以漏洞掃描工具在對信息基礎(chǔ)設(shè)施進行風(fēng)險評估的過程中發(fā)揮著不可替代的作用。隨著人們對信息資產(chǎn)的深入理解，發(fā)現(xiàn)信息資產(chǎn)包括軟件、硬件、服務(wù)、流程、數(shù)據(jù)、文檔、人員等廣泛的類型，因此解決信息安全的問題在于預(yù)防這些復(fù)雜信息資產(chǎn)的安全問題。在此基礎(chǔ)上，許多國家和組織都建立了針對于預(yù)防安全事件發(fā)生的風(fēng)險評估指南和方法。基于這些方法，開發(fā)出了一些工具，例如CRAMM等。這些工具主要從管理的層面上，考慮包括信息安全技術(shù)在內(nèi)的一系列與信息安全有關(guān)的問題，例如安全規(guī)定、人員管理、通信保障、業(yè)務(wù)連續(xù)性以及法律法規(guī)等各方面的因素，對信息安全有一個整體宏觀的評價。而且人們也認(rèn)識到一個完整的風(fēng)險評估所考慮的問題不只是關(guān)鍵資產(chǎn)在某個時間狀態(tài)下的威脅、脆弱性情況，過去的攻擊、威脅和安全事故都可作為確定風(fēng)險的客觀支持，那么對這些事件的檢測和記錄工具也是風(fēng)險評估過程中不可缺少的工具，因此將IDS也作為風(fēng)險評估工具的一種。

根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用原理的不同，風(fēng)險評估工具可以分成風(fēng)險評估與管理工具、信息基礎(chǔ)設(shè)施風(fēng)險評估工具、風(fēng)險評估輔助工具三類。8.6.1風(fēng)險評估與管理工具

風(fēng)險評估與管理工具是一套集成了風(fēng)險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評估的過程和操作方法，或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進行模型分析，通常在進行風(fēng)險評估后有針對性地提出風(fēng)險控制措施。

這種工具根據(jù)信息所面臨的威脅的不同分布進行全面考慮，在風(fēng)險評估的同時根據(jù)面臨的風(fēng)險提供相應(yīng)的控制措施和解決辦法。此類工具通常建立在一定的算法之上，風(fēng)險由關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱性三者來確定。也可以建立專家系統(tǒng)，利用專家經(jīng)驗進行風(fēng)險分析，給出專家結(jié)論，在生命周期內(nèi)需要不斷進行知識庫的擴充，以適應(yīng)不同的需要。

根據(jù)實現(xiàn)方法的不同，風(fēng)險評估與管理工具可以分為以下3種：

(1)基于相關(guān)標(biāo)準(zhǔn)或指南的風(fēng)險評估與管理工具。目前，國際上存在多種不同的風(fēng)險評估或分析的標(biāo)準(zhǔn)或指南，不同方法側(cè)重點有所不同，例如NISTSP800-30、BS7799、ISO/IEC13335等。以這些標(biāo)準(zhǔn)或指南的內(nèi)容為基礎(chǔ)，分別開發(fā)和建立相應(yīng)的評估工具，完成遵循標(biāo)準(zhǔn)或指南的風(fēng)險評估過程。例如英國推行基于BS7799標(biāo)準(zhǔn)認(rèn)證并開發(fā)了CRAMM、美國NIAP(NationalInformationAssurancePartnership，美國國家信息安全保障合作組織)根據(jù)CC進行信息安全自動化評估的CCToolbox、美國NIST根據(jù)SP800-26進行IT安全自動化自我評估的ASSET等，其中ASSET可免費使用。(2)基于知識的風(fēng)險評估與管理工具。

基于知識的風(fēng)險評估與管理工具并不僅僅遵循某個單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險分析方法進行綜合，并結(jié)合實踐經(jīng)驗，形成風(fēng)險評估知識庫，以此為基礎(chǔ)完成綜合評估。它還涉及來自類似組織(包括規(guī)模、商務(wù)目標(biāo)和市場等)的最佳實踐，主要通過多種途徑采集相關(guān)信息，識別組織的風(fēng)險和當(dāng)前的安全措施，并與特定的標(biāo)準(zhǔn)或最佳實踐進行比較，從中找出不符合的地方，同時產(chǎn)生專家推薦的安全控制措施。例如Microsoft公司推出的基于專家系統(tǒng)的MSAT(MicrosoftSecurityAssessmentTool)、英國C&ASystemSecurityLtd.推出的自動化風(fēng)險評估與管理工具COBRA(Consultative，ObjectiveandBi-FunctionalRiskAnalysis)等，并且COBRA和MSAT可免費使用或試用。

(3)基于定性或定量的模型算法的風(fēng)險評估與管理工具。

風(fēng)險評估根據(jù)對各要素的指標(biāo)量化以及計算方法不同分為定性和定量的風(fēng)險分析工具。基于標(biāo)準(zhǔn)或基于知識的風(fēng)險評估與管理工具，都使用了定性分析方法或定量分析方法，或者將定性與定量相結(jié)合。這類工具在對信息系統(tǒng)各組成部分、安全要素充分分析的基礎(chǔ)上，對典型信息系統(tǒng)的資產(chǎn)、威脅和脆弱性建立定性的或量化、半量化的模型，并根據(jù)收集信息輸入，得到風(fēng)險評估的結(jié)果。例如英國BSI根據(jù)ISO17799進行風(fēng)險等級和控制措施的過程式分析工具RA/SYS(RiskAnalysisSystem)、國際安全技術(shù)公司(InternationalSecurityTechnologyInc.)提供的半定量(定性與定量方法相結(jié)合)的風(fēng)險評估工具CORA(Cost-of-RiskAnalysis)等。

表8-18常見的風(fēng)險評估與管理工具的對比8.6.2信息基礎(chǔ)設(shè)施風(fēng)險評估工具

信息基礎(chǔ)設(shè)施風(fēng)險評估工具包括脆弱性掃描工具和滲透性測試工具，主要用于對信息系統(tǒng)的主要部件(例如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)的脆弱性進行分析，或?qū)嵤┗诖嗳跣缘墓簟?/p>

1.脆弱性掃描工具

脆弱性掃描工具也稱為安全掃描、漏洞掃描器，評估網(wǎng)絡(luò)或主機系統(tǒng)的安全性并且報告系統(tǒng)脆弱性。這些工具能夠掃描網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器和應(yīng)用程序發(fā)現(xiàn)其中的漏洞。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影響，并且尋找系統(tǒng)脆弱點，比如安裝方面與建立的安全策略相悖等。

脆弱性掃描工具是目前應(yīng)用最廣泛的風(fēng)險評估工具，主要完成對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全脆弱性檢測功能。

一般的脆弱性掃描工具可以按照目標(biāo)系統(tǒng)的類型分為以下3種：(1)面向主機的掃描器：用來發(fā)現(xiàn)主機的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在用戶行為的風(fēng)險，如密碼強度不夠，也可實施對文件系統(tǒng)的檢查。其原理主要是根據(jù)已披露的脆弱性特征庫，通過對特定目標(biāo)發(fā)送指令并獲得反饋信息來判斷該漏洞是否存在。

(2)基于網(wǎng)絡(luò)監(jiān)測的掃描器：通過旁路或串聯(lián)入網(wǎng)絡(luò)關(guān)鍵節(jié)點，針對網(wǎng)絡(luò)中的數(shù)據(jù)流檢測如防火墻配置錯誤或連接到網(wǎng)絡(luò)上易受到攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。其原理是通過分析網(wǎng)絡(luò)數(shù)據(jù)流中特定數(shù)據(jù)包的結(jié)構(gòu)和流量，分析存在的漏洞。(3)數(shù)據(jù)庫脆弱性掃描器：對數(shù)據(jù)庫的授權(quán)、認(rèn)證和完整性進行詳細(xì)的分析，也可以識別出數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。其原理是根據(jù)數(shù)據(jù)庫典型漏洞庫和分析數(shù)據(jù)庫訪問語法特點來判斷是否存在脆弱性。

目前常見的脆弱性掃描工具有Nmap、X-scan、Nessus和Fluxay等。

(1)

Nmap(NetworkMapper)是在自由軟件基金會的GNUGeneralPublicLicense(GPL，通用公共許可證)下發(fā)布的一款免費的網(wǎng)絡(luò)探測和安全審計工具。它能夠掃描大規(guī)模網(wǎng)絡(luò)以判斷存活的主機及其所提供的TCP、UDP網(wǎng)絡(luò)服務(wù)，支持流行的ICMP、TCP及UDP掃描技術(shù)，并提供一些較高級的服務(wù)功能，如服務(wù)協(xié)議指紋識別(fingerprinting)、IP指紋識別、隱秘掃描(避開入侵檢測系統(tǒng)的監(jiān)視，并盡可能不影響目標(biāo)系統(tǒng)的日常操作)以及底層的濾波分析等。目前Nmap最新的穩(wěn)定版本是2011年8月發(fā)布的Version5.50。

Nmap通過使用TCP/IP協(xié)議棧指紋來準(zhǔn)確地判斷出目標(biāo)主機的操作類型。首先，Nmap通過對目標(biāo)主機進行端口掃描，找出正在目標(biāo)主機上監(jiān)聽的端口；其次，Nmap對目標(biāo)主機進行一系列的測試，利用響應(yīng)結(jié)果建立相應(yīng)目標(biāo)主機的Nmap指紋；最后，將此指紋與指紋庫中的指紋進行查找匹配，從而得出目標(biāo)主機類型、操作系統(tǒng)的類型和版本以及運行服務(wù)等相關(guān)信息。

(2)

X-scan是一款運行在Windows平臺下免費的網(wǎng)絡(luò)脆弱性掃描工具。它采用多線程方式對指定的IP地址段(或單個主機)進行安全漏洞檢查，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個大類。目前X-Scan較穩(wěn)定的版本是Version3.3。

X-Scan采用由NASL(NessusAttackScriptLanguage)腳本語言設(shè)計的插件庫，共有兩千多個插件。X-San對NASL插件庫進行篩選和簡化，去除了許多不常用的插件，同時把多個實現(xiàn)同一掃描功能的插件篩選成一個插件，大大地簡化了插件庫，極大地提高了掃描的效率。X-Scan把掃描報告與安全焦點網(wǎng)站()相連接，對掃描到的每個漏洞進行“風(fēng)險等級”評估，并提供漏洞描述、解決方案及詳細(xì)描述鏈接，以方便網(wǎng)絡(luò)管理員測試和修補漏洞。(3)

Nessus是在1998