信息安全管理第二章信息安全風(fēng)險評估-圖文

風(fēng)險評估信息安全風(fēng)險評估概述信息安全風(fēng)險評估策略信息安全風(fēng)險評估流程信息安全風(fēng)險評估方法風(fēng)險評估案例第一頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估概述第二頁，共138頁。風(fēng)險評估概述A風(fēng)險因子B風(fēng)險因子隱患：內(nèi)部失控事故外部作用產(chǎn)生了人們不期望的后果超出設(shè)定安全界限的狀態(tài)、行為第三頁，共138頁。風(fēng)險評估概述系統(tǒng)減少：人的不安全行為改變：環(huán)境不安全條件減少：物的不安全狀態(tài)消除：管理缺陷預(yù)防減少事故降低事故損失安全風(fēng)險管理目標(biāo)第四頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估

風(fēng)險（Risk）：特定威脅利用某一資產(chǎn)或一組資產(chǎn)的脆弱性，從而對資產(chǎn)產(chǎn)生損害的可能性。

第五頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估第六頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估風(fēng)險評估（RiskAssessment）：是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。第七頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估信息安全風(fēng)險評估，是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)（國信辦[2006]5號文件）。第八頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估

信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱點導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。狹義的風(fēng)險評估包括：評估前準備、資產(chǎn)識別與評估、威脅識別與評估、脆弱點識別與評估、當(dāng)前安全措施的識別與評估、風(fēng)險分析以及根據(jù)風(fēng)險評估的結(jié)果選取適當(dāng)?shù)陌踩胧┮越档惋L(fēng)險的過程。第九頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估信息安全風(fēng)險評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風(fēng)險進行識別、分析，并在此基礎(chǔ)上選取相應(yīng)的安全措施，將組織面臨的信息安全風(fēng)險控制在可接受范圍內(nèi)，以此達到保護信息系統(tǒng)安全的目的。第十頁，共138頁。風(fēng)險評估概述信息安全風(fēng)險評估相關(guān)要素信息安全風(fēng)險評估的對象是信息系統(tǒng)，信息系統(tǒng)的資產(chǎn)、信息系統(tǒng)可能面對的威脅、系統(tǒng)中存在的弱點（脆弱點）、系統(tǒng)中已有的安全措施等是影響信息安全風(fēng)險的基本要素，它們和安全風(fēng)險、安全風(fēng)險對業(yè)務(wù)的影響以及系統(tǒng)安全需求等構(gòu)成信息安全風(fēng)險評估的要素。

資產(chǎn)威脅脆弱點風(fēng)險影響安全措施安全需求第十一頁，共138頁。風(fēng)險評估概述

1.資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何對組織有價值的東西，資產(chǎn)包括：物理資產(chǎn)、信息/數(shù)據(jù)、軟件、提供產(chǎn)品和服務(wù)的能力、人員、無形資產(chǎn)。我國的《信息安全風(fēng)險評估指南》則認為，資產(chǎn)是指對組織具有價值的信息資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。風(fēng)險評估要素第十二頁，共138頁。風(fēng)險評估概述分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔紙質(zhì)的各種文件、傳真、電報、財務(wù)報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等第十三頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素2.威脅威脅是可能對資產(chǎn)或組織造成損害的潛在原因。威脅有潛力導(dǎo)致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產(chǎn)造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。根據(jù)威脅源的不同，威脅可分為：自然威脅、環(huán)境威脅、系統(tǒng)威脅、人員威脅。

第十四頁，共138頁。風(fēng)險評估概述威脅源常見表現(xiàn)形式自然威脅地震、颶風(fēng)、火山、洪水、海嘯、泥石流、暴風(fēng)雪、雪崩、雷電、其他環(huán)境威脅火災(zāi)、戰(zhàn)爭、重大疫情、恐怖主義、供電故障、供水故障、其他公共設(shè)施中斷、危險物質(zhì)泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他系統(tǒng)威脅網(wǎng)絡(luò)故障、硬件故障、軟件故障、惡意代碼、存儲介質(zhì)的老化、其他外部人員網(wǎng)絡(luò)竊聽、拒絕服務(wù)攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息篡改、泄密、抵賴、其他。內(nèi)部人員未經(jīng)授權(quán)信息發(fā)布、未經(jīng)授權(quán)的信息讀寫、抵賴、電子攻擊（如利用系統(tǒng)漏洞提升權(quán)限）、物理破壞（系統(tǒng)或存儲介質(zhì)損壞）、盜竊、越權(quán)或濫用、誤操作第十五頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素3.脆弱點脆弱點是一個或一組資產(chǎn)所具有的，可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機制、系統(tǒng)機房任何人都可進入等等。脆弱點是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅出現(xiàn)，單純的脆弱點本身不會對資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強健，再嚴重的威脅也不會導(dǎo)致安全事件，并造成損失。即：威脅總是要利用資產(chǎn)的弱點才可能造成危害。資產(chǎn)的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱點。第十六頁，共138頁。風(fēng)險評估概述脆弱點主要表現(xiàn)在從技術(shù)和管理兩個方面

技術(shù)脆弱點是指信息系統(tǒng)在設(shè)計、實現(xiàn)、運行時在技術(shù)方面存在的缺陷或弱點。

管理脆弱點則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時升級操作系統(tǒng)或其他應(yīng)用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護不夠完善數(shù)據(jù)庫訪問控制機制不嚴格都屬于技術(shù)脆弱點系統(tǒng)機房鑰匙管理不嚴、人員職責(zé)不清、未及時注銷離職人員對信息系統(tǒng)的訪問權(quán)限等第十七頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素4.風(fēng)險根據(jù)ISO/IEC13335-1，信息安全風(fēng)險是指威脅利用一個或一組資產(chǎn)的脆弱點導(dǎo)致組織受損的潛在性，并以威脅利用脆弱點造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。資產(chǎn)、威脅、脆弱點是信息安全風(fēng)險的基本要素，是信息安全風(fēng)險存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產(chǎn)很有價值，脆弱點很嚴重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。第十八頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素4.風(fēng)險風(fēng)險可以形式化的表示為：R=(A,T,V)，其中R表示風(fēng)險、A表示資產(chǎn)、T表示威脅、V表示脆弱點。R：RiskA：AssetT：ThreatV：Vulnerability第十九頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素5. 影響影響是威脅利用資產(chǎn)的脆弱點導(dǎo)致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、直接的資金損失等；間接的損失如公司信用、形象受損、、市場分額損失、法律責(zé)任等。在信息安全領(lǐng)域，直接的損失往往容易估計且損失較小，間接的損失難易估計且常常比直接損失更為嚴重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價值、修復(fù)所需的人力物力等；而間接損失則較為復(fù)雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。第二十頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素

6.安全措施

安全措施是指為保護資產(chǎn)、抵御威脅、減少脆弱點、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應(yīng)而采取的各種實踐、規(guī)程和機制的總稱。有效的安全通常要求不同安全措施的結(jié)合以為資產(chǎn)提供多級的安全。例如，應(yīng)用于計算機的訪問控制機制應(yīng)被審計控制、人員管理、培訓(xùn)和物理安全所支持。第二十一頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素

6.安全措施

安全措施可能實現(xiàn)一個或多個下列功能：保護、震懾、檢測、限制、糾正、恢復(fù)、監(jiān)視、安全意識等。同功能的安全措施需要不同的成本，同時能夠?qū)崿F(xiàn)多個功能的安全措施通常具有更高的成本有效性。安全措施的實施領(lǐng)域包括：物理環(huán)境、技術(shù)領(lǐng)域、人員、管理等，可用的安全措施包括：訪問控制機制、防病毒軟件、加密機制、數(shù)字簽名、防火墻、監(jiān)視與分析工具、冗余電力供應(yīng)、信息備份等。第二十二頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素

7.安全需求

安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運作而在安全措施方面提出的要求。安全需求可體現(xiàn)在技術(shù)、組織管理等多個方面。如關(guān)鍵數(shù)據(jù)或系統(tǒng)的的機密性、可用性、完整性需求、法律法規(guī)的符合性需求、人員安全意識培訓(xùn)需求、信息系統(tǒng)運行實時監(jiān)控的需求等。

第二十三頁，共138頁。風(fēng)險評估概述第二十四頁，共138頁。風(fēng)險評估概述第二十五頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素相互關(guān)系資產(chǎn)、威脅、脆弱點是信息安全風(fēng)險的基本要素，與信息安全風(fēng)險有關(guān)的要素還包括：安全措施、安全需求、影響等。ISO/IEC13335-1對它們之間的關(guān)系描述如圖所示

第二十六頁，共138頁。風(fēng)險評估概述風(fēng)險評估要素相互關(guān)系

(1)威脅利用脆弱點將導(dǎo)致安全風(fēng)險的產(chǎn)生；

(2)資產(chǎn)具有價值，并對組織業(yè)務(wù)有一定影響，資產(chǎn)價值及影響越大則其面臨的風(fēng)險越大；

(3)安全措施能抵御威脅、減少脆弱點，因而能減少安全風(fēng)險；

(4)風(fēng)險的存在及對風(fēng)險的認識導(dǎo)出保護需求，保護需求通過安全措施來滿足或?qū)崿F(xiàn)。

第二十七頁，共138頁。風(fēng)險評估概述我國的《信息安全風(fēng)險評估指南》對ISO/IEC13335-1提出風(fēng)險要素關(guān)系模型進行了擴展。增加第二十八頁，共138頁。風(fēng)險評估概述圖中方框部分的內(nèi)容為風(fēng)險評估的基本要素;第二十九頁，共138頁。風(fēng)險評估概述橢圓部分的內(nèi)容是與基本要素相關(guān)的屬性。第三十頁，共138頁。風(fēng)險評估概述風(fēng)險要素及屬性之間存在著以下關(guān)系：（1）業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實現(xiàn)；（2）資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大；（3）資產(chǎn)價值越大則其面臨的風(fēng)險越大；（4）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成安全事件；（5）弱點越多，威脅利用脆弱點導(dǎo)致安全事件的可能性越大；（6）脆弱點是未被滿足的安全需求，威脅要通過利用脆弱點來危害資產(chǎn)，從而形成風(fēng)險；（7）風(fēng)險的存在及對風(fēng)險的認識導(dǎo)出安全需求；第三十一頁，共138頁。風(fēng)險評估概述（8）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；（9）安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；（10）風(fēng)險不可能也沒有必要降為零，在實施了安全措施后還會有殘留下來的風(fēng)險。有些殘余風(fēng)險來自于安全措施可能不當(dāng)或無效,在以后需要繼續(xù)控制，而有些殘余風(fēng)險則是在綜合考慮了安全成本與效益后未控制的風(fēng)險，是可以被接受的；（11）殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。第三十二頁，共138頁。風(fēng)險評估概述為什么要做風(fēng)險評估

安全源于風(fēng)險。

在信息化建設(shè)中，建設(shè)與運營的網(wǎng)絡(luò)與信息系統(tǒng)由于可能存在的系統(tǒng)設(shè)計缺陷、隱含于軟硬件設(shè)備的缺陷、系統(tǒng)集成時帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當(dāng)網(wǎng)絡(luò)與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時，都將使得面臨復(fù)雜環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著若干不同程度的安全風(fēng)險。

第三十三頁，共138頁。風(fēng)險評估概述為什么要做風(fēng)險評估第三十四頁，共138頁。風(fēng)險評估概述

風(fēng)險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中的安全隱患，采取或完善更加經(jīng)濟有效的安全保障措施，來消除安全建設(shè)中的盲目樂觀或盲目恐懼，提出有針對性的從實際出發(fā)的解決方法，提高系統(tǒng)安全的科學(xué)管理水平，進而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。第三十五頁，共138頁。風(fēng)險評估策略信息安全風(fēng)險評估策略第三十六頁，共138頁。風(fēng)險評估策略不同的組織有不同的安全需求和安全戰(zhàn)略，風(fēng)險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。第三十七頁，共138頁。風(fēng)險評估策略基線風(fēng)險評估詳細風(fēng)險評估綜合風(fēng)險評估第三十八頁，共138頁。風(fēng)險評估策略1.基線風(fēng)險評估

基線風(fēng)險評估要求組織根據(jù)自己的實際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對信息系統(tǒng)進行基線安全檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇并實施標(biāo)準的安全措施來消減和控制風(fēng)險。

第三十九頁，共138頁。風(fēng)險評估策略1.基線風(fēng)險評估

可以根據(jù)以下資源來選擇安全基線：(1)國際標(biāo)準和國家標(biāo)準；(2)行業(yè)標(biāo)準或推薦；(3)來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。

第四十頁，共138頁。風(fēng)險評估策略基線評估的優(yōu)點是：(1)風(fēng)險分析和每個防護措施的實施管理只需要最少數(shù)量的資源，并且在選擇防護措施時花費更少的時間和努力；(2)如果組織的大量系統(tǒng)都在普通環(huán)境下運行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護措施而不需要太多的努力。基線評估的的缺點是：(1)基線水平難以設(shè)置，如果基線水平設(shè)置的過高，有些IT系統(tǒng)可能會有過高的安全等級；如果基線水平設(shè)置的過低，有些IT系統(tǒng)可能會缺少安全，導(dǎo)致更高層次的暴露；(2)風(fēng)險評估不全面、不透徹，且不易處理變更。

第四十一頁，共138頁。風(fēng)險評估策略綜合評價

雖然當(dāng)安全基線已建立的情況下，基線評估成本低、易于實施。但由于不同組織信息系統(tǒng)千差萬別，信息系統(tǒng)的威脅時刻都在變化，很難制定全面的、具有廣泛適用性的安全基線，而組織自行建立安全基線成本很高。

目前世界上還沒有全面、統(tǒng)一的、能符合組織目標(biāo)的、值得信賴的安全基線，因而基線評估方法開展并不普遍。

第四十二頁，共138頁。風(fēng)險評估策略2詳細風(fēng)險評估詳細風(fēng)險評估要求對資產(chǎn)、威脅和脆弱點進行詳細識別和評價，并對可能引起風(fēng)險的水平進行評估，這通過不期望事件的潛在負面業(yè)務(wù)影響評估和他們發(fā)生的可能性來完成。根據(jù)風(fēng)險評估的結(jié)果來識別和選擇安全措施，將風(fēng)險降低到可接受的水平。

第四十三頁，共138頁。風(fēng)險評估策略詳細風(fēng)險評估方法的優(yōu)點是：有可能為所有系統(tǒng)識別出適當(dāng)?shù)陌踩胧?；詳細分析的結(jié)果可用于安全變更管理。這種方法的缺點是需要更多的時間、努力和專業(yè)知識。目前，世界各國推出的風(fēng)險評估方法多屬于這一類，如AS/NZS4360、NISTSP800-30、OCTAVE以及我國的《信息安全風(fēng)險評估指南》中所提供的方法。第四十四頁，共138頁。風(fēng)險評估策略3綜合風(fēng)險評估基線風(fēng)險評估耗費資源少、周期短、操作簡單，但不夠準確，適合一般環(huán)境的評估；詳細風(fēng)險評估準確而細致，但耗費資源較多，適合嚴格限定邊界的較小范圍內(nèi)的評估。因而實踐當(dāng)中，組織多是采用二者結(jié)合的綜合評估方式。

第四十五頁，共138頁。風(fēng)險評估策略ISO/IEC13335-3提出了綜合風(fēng)險評估方法，其實施流程如圖所示：第四十六頁，共138頁。風(fēng)險評估策略綜合風(fēng)險評估的第一步是高層風(fēng)險分析，其目的是確定每個IT系統(tǒng)所采用的風(fēng)險分析方法(基線或詳細風(fēng)險分析)。然后，依據(jù)高層風(fēng)險分析的決定，對相應(yīng)的IT系統(tǒng)實施基線風(fēng)險分析或詳細風(fēng)險分析。接下來是依據(jù)基線風(fēng)險分析與詳細風(fēng)險分析的結(jié)果選取相應(yīng)的安全措施，綜合風(fēng)險評估的最后兩步是IT系統(tǒng)安全策略和IT安全計劃，IT系統(tǒng)安全策略是前面各階段評估結(jié)果的結(jié)晶，包括系統(tǒng)安全目標(biāo)、系統(tǒng)邊界、系統(tǒng)資產(chǎn)、威脅、脆弱點、所選取的安全措施、安全措施選取的原因、費用估計等。IT安全計劃則處理如何去實施所選取的安全措施。第四十七頁，共138頁。風(fēng)險評估策略

綜合評價綜合評估方法將基線和詳細風(fēng)險評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結(jié)果，而且，組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險的信息系統(tǒng)能夠被預(yù)先關(guān)注。當(dāng)然，綜合評估也有缺點：如果初步的高級風(fēng)險分析不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導(dǎo)致某些嚴重的風(fēng)險未被發(fā)現(xiàn)。第四十八頁，共138頁。第四十九頁，共138頁。風(fēng)險評估目的

風(fēng)險評估的目的是全面、準確的了解組織機構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。第五十頁，共138頁。風(fēng)險評估目的

第五十一頁，共138頁。風(fēng)險評估目的公安部網(wǎng)站近日發(fā)布消息，包括徐玉玉案在內(nèi)的三起學(xué)生遭電信網(wǎng)絡(luò)詐騙案已告破，28名犯罪嫌疑人落網(wǎng)，一些案件細節(jié)也逐漸浮出水面。公安機關(guān)調(diào)查發(fā)現(xiàn)，在徐玉玉案中，犯罪嫌疑人杜某利用技術(shù)手段攻擊了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺登錄權(quán)限，盜取了包括徐玉玉在內(nèi)的大量考生報名信息，而后將信息轉(zhuǎn)賣出去。第五十二頁，共138頁。風(fēng)險評估目的

第五十三頁，共138頁。風(fēng)險評估目的

第五十四頁，共138頁。風(fēng)險評估目的

第五十五頁，共138頁。風(fēng)險評估流程信息安全風(fēng)險評估流程第五十六頁，共138頁。風(fēng)險評估流程總體上看，風(fēng)險評估可分為四個階段：第一階段為風(fēng)險評估準備，第二階段為風(fēng)險識別，第三階段為風(fēng)險評價，第四階段為風(fēng)險處理。第五十七頁，共138頁。風(fēng)險評估流程

第五十八頁，共138頁。風(fēng)險評估流程《信息安全風(fēng)險評估指南》中風(fēng)險評估的流程：1.風(fēng)險評估的準備2.資產(chǎn)識別與評估3.威脅識別與評估4.脆弱點識別與評估5.已有安全措施的確認6.風(fēng)險分析7.安全措施的選取8.風(fēng)險評估文件記錄第五十九頁，共138頁。風(fēng)險評估流程1.風(fēng)險評估的準備風(fēng)險評估的準備是整個風(fēng)險評估過程有效性的保證。其工作主要包括：（1）確定風(fēng)險評估目標(biāo)

風(fēng)險評估的目標(biāo)是滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要，或

符合相關(guān)方的要求，或遵守法律法規(guī)的規(guī)定等。（2）確定風(fēng)險評估的對象和范圍風(fēng)險評估的對象可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。（3）組建團隊

組建適當(dāng)?shù)娘L(fēng)險評估管理與實施團隊，以支持整個過程的推進。第六十頁，共138頁。風(fēng)險評估流程1.風(fēng)險評估的準備風(fēng)險評估的準備是整個風(fēng)險評估過程有效性的保證。其工作主要包括：（4）選擇方法

應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)（5）獲得支持

應(yīng)得到組織的最高管理者的支持、批準（6）準備相關(guān)的評估工具（掃描、測試、收集工具）第六十一頁，共138頁。風(fēng)險評估流程第六十二頁，共138頁。風(fēng)險評估流程2.資產(chǎn)識別與評價(1)資產(chǎn)識別資產(chǎn)識別是風(fēng)險識別的必要環(huán)節(jié)。資產(chǎn)識別的任務(wù)就是對確定的評估對象所涉及或包含的資產(chǎn)進行詳細的標(biāo)識。資產(chǎn)識別過程中要特別注意無形資產(chǎn)的遺漏，同時還應(yīng)注意不同資產(chǎn)間的相互依賴關(guān)系，關(guān)系緊密的資產(chǎn)可作為一個整體來考慮，同一中類型的資產(chǎn)也應(yīng)放在一起考慮。

資產(chǎn)識別的方法主要有訪談、現(xiàn)場調(diào)查、問卷、文檔查閱等。

第六十三頁，共138頁。風(fēng)險評估流程分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔紙質(zhì)的各種文件、傳真、電報、財務(wù)報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它企業(yè)形象，客戶關(guān)系等第六十四頁，共138頁。風(fēng)險評估概述第六十五頁，共138頁。風(fēng)險評估流程2.資產(chǎn)識別與評價(1)資產(chǎn)識別在信息安全風(fēng)險評估的過程中，應(yīng)清晰地識別其所有的資產(chǎn)，不能遺漏，劃入風(fēng)險評估范圍和邊界內(nèi)的每一項資產(chǎn)都應(yīng)該被確認和評估。

第六十六頁，共138頁。風(fēng)險評估流程(2)資產(chǎn)評估

資產(chǎn)的評價是對資產(chǎn)的價值或重要程度進行評估，資產(chǎn)本身的貨幣價值是資產(chǎn)價值的體現(xiàn)，但更重要的是資產(chǎn)對組織關(guān)鍵業(yè)務(wù)的順利開展乃至組織目標(biāo)實現(xiàn)的重要程度。由于多數(shù)資產(chǎn)不能以貨幣形式的價值來衡量，資產(chǎn)評價很難以定量的方式來進行，多數(shù)情況下只能以定性的形式，依據(jù)重要程度的不同劃分等級。

第六十七頁，共138頁。風(fēng)險評估流程(2)資產(chǎn)評估

通常信息資產(chǎn)的機密性、完整性、可用性、可審計性和不可抵賴性等是評價資產(chǎn)的安全屬性。可以先分別對資產(chǎn)在以上各方面的重要程度進行評估，然后通過一定的方法進行綜合,可得資產(chǎn)的綜合價值（最大原則、加權(quán)原則）第六十八頁，共138頁。風(fēng)險評估流程第六十九頁，共138頁。風(fēng)險評估流程第七十頁，共138頁。風(fēng)險評估流程第七十一頁，共138頁。風(fēng)險評估流程(2)資產(chǎn)評估

資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進行下一步的風(fēng)險評估。第七十二頁，共138頁。風(fēng)險評估流程(2)資產(chǎn)評估

資產(chǎn)賦值表第七十三頁，共138頁。風(fēng)險評估流程(2)資產(chǎn)評估

等級標(biāo)識定義5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至忽略不計

資產(chǎn)等級及含義描述第七十四頁，共138頁。風(fēng)險評估流程威脅識別與評估(1)威脅識別威脅是構(gòu)成風(fēng)險的必要組成部分，因而威脅識別是風(fēng)險識別的必要環(huán)節(jié)，威脅識別的任務(wù)是對組織資產(chǎn)面臨的威脅進行全面的標(biāo)識。威脅識別可從威脅源進行分析，也可根據(jù)有關(guān)標(biāo)準、組織所提供的威脅參考目錄進行分析。

第七十五頁，共138頁。風(fēng)險評估流程人類利用網(wǎng)絡(luò)訪問的威脅樹5個屬性第七十六頁，共138頁。風(fēng)險評估流程系統(tǒng)故障威脅樹第七十七頁，共138頁。風(fēng)險評估流程第七十八頁，共138頁。風(fēng)險評估流程第七十九頁，共138頁。風(fēng)險評估流程3.威脅識別與評估(2)威脅評估安全風(fēng)險的大小是由安全事件發(fā)生的可能性以及它造成的影響決定，安全事件發(fā)生的可能性與威脅出現(xiàn)的頻率有關(guān)，而安全事件的影響則與威脅的強度或破壞能力有關(guān)，如地震的等級或破壞力等。威脅評估就是對威脅出現(xiàn)的頻率及強度進行評估，這是風(fēng)險評估的重要環(huán)節(jié)。評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來分析威脅出現(xiàn)的頻率及其強度或破壞能力。

第八十頁，共138頁。風(fēng)險評估流程3.威脅識別與評估我國的《信息安全風(fēng)險評估指南》將威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。

第八十一頁，共138頁。風(fēng)險評估流程威脅賦值表等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生第八十二頁，共138頁。風(fēng)險評估流程輸出結(jié)果威脅編號威脅類別威脅賦值描述威脅編號威脅類別具體威脅威脅描述威脅來源后果威脅賦值受影響的設(shè)備名稱（IP）威脅列表示例2威脅列表示例1第八十三頁，共138頁。風(fēng)險評估流程4.脆弱點識別與評估

（1）脆弱點識別脆弱點識別也稱為弱點識別，弱點是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導(dǎo)致安全事件，并造成損失。

脆弱點識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱點涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱點又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。

第八十四頁，共138頁。風(fēng)險評估流程脆弱點識別

類型識別對象識別內(nèi)容技術(shù)脆弱點物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。服務(wù)器（含操作系統(tǒng)）從物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進行識別。應(yīng)用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱點技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性第八十五頁，共138頁。風(fēng)險評估流程脆弱點識別

資產(chǎn)的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個弱點。

脆弱點識別將針對每一項需要保護的資產(chǎn)，找出可能被威脅利用的弱點，并對脆弱點的嚴重程度進行評估。脆弱點識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員

脆弱點識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。第八十六頁，共138頁。風(fēng)險評估流程（2）脆弱點評估

脆弱點評估就是是對脆弱點被利用后對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度進行評估，評估的結(jié)果一般都是定性等級劃分形式，綜合的標(biāo)識脆弱點的嚴重程度。也可以對脆弱點被利用后對資產(chǎn)的損害程度以及被利用的可能性分別評估，然后以一定方式綜合。第八十七頁，共138頁。風(fēng)險評估流程脆弱點嚴重程度賦值

等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略第八十八頁，共138頁。風(fēng)險評估流程輸出結(jié)果脆弱性列表示例資產(chǎn)ID脆弱性ID脆弱性名稱脆弱性賦值脆弱性描述第八十九頁，共138頁。風(fēng)險評估流程5.已有安全措施的確認安全措施可以分為預(yù)防性安全措施和保護性安全措施兩種。

預(yù)防性安全措施可以降低威脅利用脆弱點導(dǎo)致安全事件發(fā)生的可能性。這可以通過兩個方面的作用來實現(xiàn)，

（1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓(xùn)可以減少無意行為導(dǎo)致安全事件出現(xiàn)的頻率；

（2）減少脆弱點，如及時為系統(tǒng)打補丁、對硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱點等。

保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。

第九十頁，共138頁。風(fēng)險評估流程5.已有安全措施的確認

對已采取的安全措施進行確認，至少有兩個方面的意義。一方面，這有助于對當(dāng)前信息系統(tǒng)面臨的風(fēng)險進行分析；另一方面，通過對當(dāng)前安全措施的確認，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。

該步驟的主要任務(wù)是，對當(dāng)前信息系統(tǒng)所采用的安全措施進行標(biāo)識，并對其預(yù)期功能、有效性進行分析。

第九十一頁，共138頁。風(fēng)險評估流程6.風(fēng)險分析

風(fēng)險分析就是利用資產(chǎn)、威脅、脆弱點識別與評估結(jié)果以及已有安全措施的確認與分析結(jié)果，對資產(chǎn)面臨的風(fēng)險進行分析。

風(fēng)險分析的主要任務(wù)就是分析當(dāng)前環(huán)境下，安全事件發(fā)生的可能性以及造成的影響，然后利用一定的方法計算風(fēng)險。

（1）風(fēng)險計算（2）影響分析（3）可能性分析第九十二頁，共138頁。風(fēng)險評估流程（1）風(fēng)險計算如前所述，風(fēng)險可形式化的表示為R=(A,T,V)，其中R表示風(fēng)險、A表示資產(chǎn)、T表示威脅、V表示脆弱點。相應(yīng)的風(fēng)險值由A、T、V的取值決定，是它們的函數(shù)，可以表示為：

VR=R(A,T,V)=R[L(A,T,V)，F(xiàn)(A,T,V)]其中，L(A,T,V)、F(A,T,V)分別表示對應(yīng)安全事件發(fā)生的可能性及影響，它們也都是資產(chǎn)、威脅、脆弱點的函數(shù)，但其表達式很難給出。而風(fēng)險則可表示為可能性L和影響F的函數(shù)，簡單的處理就是將安全事件發(fā)生的可能性L與安全事件的影響F相乘得到風(fēng)險值，實際就是平均損失，即VR=L(A,T,V)×F(A,T,V)。

第九十三頁，共138頁。風(fēng)險評估流程（1）風(fēng)險計算威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴重程度資產(chǎn)的重要性安全事件的損失風(fēng)險值資產(chǎn)識別安全事件的可能性第九十四頁，共138頁。風(fēng)險評估流程

（1）風(fēng)險計算一是計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即： 安全事件可能性＝L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)

二是計算安全事件發(fā)生后的損失

根據(jù)資產(chǎn)重要程度及脆弱性嚴重程度，計算安全事件發(fā)生后的損失，即： 安全事件的損失＝F(資產(chǎn)重要程度，脆弱點嚴重程度)＝F(Ia，Va)

三是計算風(fēng)險值根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風(fēng)險值，即： 風(fēng)險值＝R(安全事件的可能性，安全事件的損失)＝R[L(T，V)，F(xiàn)(Ia，Va)]

第九十五頁，共138頁。風(fēng)險評估流程（1）風(fēng)險計算

風(fēng)險計算是一個復(fù)雜課題，無論采用哪種方法，都存在不足，這方面內(nèi)容是一個有趣的研究課題。第九十六頁，共138頁。風(fēng)險評估流程（2）影響分析

影響分析，安全事件對組織的影響可體現(xiàn)在以下方面：（1）直接經(jīng)濟損失:風(fēng)險事件可能引發(fā)直接的經(jīng)濟損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務(wù)資料的篡改等，這類損失本易于計算。（2）物理資產(chǎn)的損壞:物理資產(chǎn)損壞的經(jīng)濟損失也很容易計算，可用更新或修復(fù)該物理資產(chǎn)的花費來度量（3）業(yè)務(wù)影響:信息安全事件會對業(yè)務(wù)帶來很大的影響，如業(yè)務(wù)中斷，這方面的經(jīng)濟損失可通過以下方式來計算，先分析由于業(yè)務(wù)中斷，單位時間內(nèi)的經(jīng)濟損失，用“單位時間損失×修復(fù)所需時間＋修復(fù)代價”可將業(yè)務(wù)影響表示為經(jīng)濟損失，當(dāng)然單位時間內(nèi)的經(jīng)濟損失估計有時會有一定的難度。業(yè)務(wù)影響除包括業(yè)務(wù)中斷外，還有其他情況，如經(jīng)營業(yè)績影響、市場影響等，這些應(yīng)根據(jù)具體情況具體分析，定量分析存在困難。第九十七頁，共138頁。風(fēng)險評估流程影響分析

（4）法律責(zé)任;風(fēng)險事件可能導(dǎo)致一定的法律責(zé)任，如由于安全故障導(dǎo)致機密信息的未授權(quán)發(fā)布、未能履行合同規(guī)定的義務(wù)或違反有關(guān)法律、規(guī)章制度的規(guī)定，這些可用由于應(yīng)承擔(dān)應(yīng)有的法律責(zé)任可能支付賠償金額來表示經(jīng)濟損失，當(dāng)然其中有很多不確定因素，實際應(yīng)用時可參考慣例、合同本身、有關(guān)法律法規(guī)的規(guī)定。（5）人員安全危害:風(fēng)險事件可能對人員安全構(gòu)成危害，甚至危及到生命，這類損失很難用貨幣衡量（6）組織信譽、形象損失:風(fēng)險事件可能導(dǎo)致組織信譽、形象受損，這類損失很難用直接的經(jīng)濟損失來估計，應(yīng)通過一定的方式計算潛在的經(jīng)濟損失，如由于信譽受損，可能導(dǎo)致市場份額損失、與外部關(guān)系受損等，市場份額損失可以轉(zhuǎn)化為經(jīng)濟損失，與外界各方關(guān)系的損失可通過分析關(guān)系重建的花費、由于關(guān)系受損給業(yè)務(wù)開展帶來的額外花費等因素來估計，另外專家估計也是一種可取的方法。第九十八頁，共138頁。風(fēng)險評估流程（2）影響分析

由于風(fēng)險事件對組織影響的多樣性，再有相關(guān)的數(shù)據(jù)也比較缺乏，風(fēng)險事件對組織影響的定量分析還很不成熟，更多的是采用定性分析方法，根據(jù)經(jīng)驗對安全事件的影響進行等級劃分，如給出“極高、高、中、低、可忽略”等級。第九十九頁，共138頁。風(fēng)險評估流程（2）影響分析

影響級別影響定義高3可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信任損失中2能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務(wù)的信任程度的降低，需要支付重要資源維修費低1對系統(tǒng)有一些很小的影響，只須很小的努力就可恢復(fù)系統(tǒng)第一百頁，共138頁。風(fēng)險評估流程（3）可能性分析總體說來，安全事件發(fā)生的可能性的因素有：資產(chǎn)吸引力、威脅出現(xiàn)的可能性、脆弱點的屬性、安全措施的效能等。根據(jù)威脅源的分類，引起安全事件發(fā)生的原因可能是自然災(zāi)害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員故意行為等。不同類型的安全事件，其可能性影響因素也有點不同。第一百零一頁，共138頁。風(fēng)險評估流程（3）可能性分析根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)

目前，定量分析可能性要用到的數(shù)據(jù)貧乏，很難實現(xiàn)，多采用定性分析的方法。第一百零二頁，共138頁。風(fēng)險評估流程（3）可能性分析可能性級別可能性描述高3每個月或不到一個月可能發(fā)生一次中2每六個月或不到六個月可能發(fā)生一次低1每一年或不到一年可能發(fā)生一次第一百零三頁，共138頁。風(fēng)險評估流程評價風(fēng)險有2個關(guān)鍵因素：一個是威脅對信息資產(chǎn)造成的影響（損失），另一個是威脅發(fā)生的可能性。第一百零四頁，共138頁。風(fēng)險評估流程風(fēng)險等級等級標(biāo)識描述5極高一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害3中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補第一百零五頁，共138頁。風(fēng)險評估流程安全措施的選取

風(fēng)險評估的目的不僅是獲取組織面臨的有關(guān)風(fēng)險信息，更重要的是采取適當(dāng)?shù)拇胧踩L(fēng)險控制在可接受的范圍內(nèi)。如前所述，安全措施可以降低安全事件造成的影響，也可以降低安全事件發(fā)生的可能性，在對組織面臨的安全風(fēng)險有全面認識后，應(yīng)根據(jù)風(fēng)險的性質(zhì)選取合適的安全措施，并對對可能的殘余風(fēng)險進行分析，直到殘余風(fēng)險為可接受風(fēng)險為止。

第一百零六頁，共138頁。風(fēng)險評估流程8.風(fēng)險評估文件記錄

風(fēng)險評估文件包括在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，這些文檔包括：(1)風(fēng)險評估計劃(2)風(fēng)險評估程序(3)資產(chǎn)識別清單(4)重要資產(chǎn)清單(5)威脅列表(6)脆弱點列表(7)已有安全措施確認表(8)風(fēng)險評估報告(9)風(fēng)險處理計劃(10)風(fēng)險評估記錄第一百零七頁，共138頁。風(fēng)險評估方法信息安全風(fēng)險評估方法第一百零八頁，共138頁。風(fēng)險評估方法1概述

信息安全風(fēng)險評估是通過采用一定的方法對組織面臨的風(fēng)險進行識別，并分析風(fēng)險對組織帶來的影響以及其發(fā)生的可能性大小，然后通過一定的綜合評價方法來評估組織面臨的風(fēng)險，并選取適當(dāng)?shù)拇胧﹣砜刂骑L(fēng)險。風(fēng)險評估的復(fù)雜性決定了風(fēng)險評估方法的多樣性。

從理論上看，風(fēng)險評估方法的理論基礎(chǔ)包括：概率風(fēng)險分析方法、模糊決策方法、人工智能、定性推理方法、灰色決策理論、綜合評價方法等。從風(fēng)險評估過程整體上看，風(fēng)險評估方法有：基于資產(chǎn)驅(qū)動的風(fēng)險評估方法、威脅驅(qū)動的風(fēng)險評估方法、脆弱點驅(qū)動的風(fēng)險評估方法、基于案例的風(fēng)險評估方法等。

從風(fēng)險分析方法來看，風(fēng)險評估方法可分為兩大類：定量方法與定性方法。

第一百零九頁，共138頁。風(fēng)險評估方法2信息安全風(fēng)險評估理論基礎(chǔ)

（1）概率風(fēng)險分析概率風(fēng)險分析方法的思想是利用概率論方法來識別和分析風(fēng)險，這類方法主要包括：故障樹分析法（FTA），故障模式影響和危害程度分析方法（FMECA），危害及可操作性研究分析方法（HazOp）和馬爾可夫（Markov）分析法。

（2）模糊決策方法

風(fēng)險評估的對象以及信息系統(tǒng)的狀態(tài)具有不確定性，經(jīng)典的數(shù)學(xué)模型由于其精確性特點使得它很難很好的把握問題的實質(zhì)，模糊決策方法填補了這方面的不足。模糊決策理論不是把問題變成模糊不清的東西，相反，它具有數(shù)學(xué)的共性：條理分明、一絲不茍，它是通過規(guī)范化的理論體系來描述模糊的對象，使模糊對象能清晰的呈現(xiàn)在決策者面前，這是經(jīng)典的數(shù)學(xué)理論所不能做到的。第一百一十頁，共138頁。風(fēng)險評估方法（3）人工智能人工智能是20世紀中期產(chǎn)生的并正在迅速發(fā)展的新興邊緣學(xué)科,它是探索和模擬人的智能和思維過程的規(guī)律,并進而設(shè)計出類似人的某些智能化的科學(xué)。信息系統(tǒng)狀態(tài)變化規(guī)律的復(fù)雜性決定了很難用一確定的數(shù)學(xué)模型來描述，應(yīng)綜合神經(jīng)網(wǎng)絡(luò)、智能推理，知識庫等多方面知識，建立一個具有自學(xué)習(xí)能力的專家系統(tǒng)，目前基于案例的風(fēng)險評估方法就是這一理論的具體應(yīng)用。（4）灰色系統(tǒng)理論部分信息已知、部分信息未知的系統(tǒng)稱為灰色系統(tǒng)?；疑到y(tǒng)理論是研究和解決灰色系統(tǒng)分析、建模、預(yù)測和控制的理論。在信息世界，由于數(shù)據(jù)的短缺或事物本身的特性，很多現(xiàn)象是“灰色”的，其意義是指其中含有已知的、未知的與非確定的種種信息。第一百一十一頁，共138頁。風(fēng)險評估方法（5）綜合評價方法信息安全風(fēng)險評估對象是多指標(biāo)的復(fù)雜系統(tǒng)，對于多指標(biāo)系統(tǒng)，評價指標(biāo)有多個，不同指標(biāo)有不同的量綱，多指標(biāo)系統(tǒng)的評價過程中必須解決以下兩個問題：其一是采用什么方法將不同量綱指標(biāo)無量綱化，其二是采用何種方式確定不同指標(biāo)的相對重要性，通常是引入權(quán)向量來描述。不同綜合評價方法有不同的處理方法，常用的綜合評價方法有綜合指數(shù)法、功效評分法、TOPSIS法、層次分析法、主成份分析法、聚類分析法等。

（1）綜合指數(shù)法是多指標(biāo)系統(tǒng)的一種評價方法。綜合指數(shù)法通過計算各評價對象對每個指標(biāo)折算指數(shù)值來實現(xiàn)不同指標(biāo)值的無量綱化，并通過加權(quán)平均方法計算綜合指數(shù)值，第一百一十二頁，共138頁。風(fēng)險評估方法

(2)功效評分法通過功效系數(shù)來實現(xiàn)不同指標(biāo)的無量綱化，然后在利用其他方法來確定功效權(quán)值，如均權(quán)法、層次分析法、離差權(quán)法等。(3)TOPSIS法第一百一十三頁，共138頁。風(fēng)險評估方法第一百一十四頁，共138頁。風(fēng)險評估方法(4)層次分析法是將決策問題的有關(guān)元素分解成目標(biāo)、準則、方案等層次，在此基礎(chǔ)上進行定量和定性分析的一種決策方法。層次分析法的決策過程如下：a)分析各影響因素間的關(guān)系，建立層次模型b)構(gòu)建兩兩比較判斷矩陣c)計算單個判斷矩陣對應(yīng)的權(quán)重向量d)計算各層元素對目標(biāo)層的合成權(quán)重向量(5)主成分分析是一種多元統(tǒng)計分析方法，對于多指標(biāo)的復(fù)雜評價系統(tǒng)，由于指標(biāo)多，數(shù)據(jù)處理相當(dāng)復(fù)雜，由于指標(biāo)之間存在一定的關(guān)系，可以適當(dāng)簡化。主成分分析的思想是通過一定的變換，用較少的指標(biāo)來代替原先較多的指標(biāo)，從而達到簡化問題的處理與分析的目的。(6)聚類分析法是解決“物以類聚”，解決事務(wù)分類的一種數(shù)學(xué)方法。它是在沒有或不用樣品所述類別信息的情況下，依據(jù)對樣品采集的數(shù)據(jù)的內(nèi)在結(jié)構(gòu)以及相互間的關(guān)系，在樣品間相似性度量的基礎(chǔ)上，對樣品進行分類的一種方法。第一百一十五頁，共138頁。風(fēng)險評估方法3定量方法定量方法試圖用具體的貨幣表示形式的損失值來分析和度量風(fēng)險，定量方法主要有基于期望損失的風(fēng)險評估方法與基于期望損失效用的風(fēng)險評估方法等。1．基于期望損失的風(fēng)險評估方法類似的定義還有期望年損失ALE（AnnualLossExpectancy），它是以組織在目前安全狀態(tài)下平均年損失作為風(fēng)險度量的標(biāo)準。若風(fēng)險事件E造成的相對損失為loss，其發(fā)生的可能性為L，loss和L均為取值在[0,1]區(qū)間定量值。若依據(jù)期望損失理論，將根據(jù)loss×L值大小劃分等級，等級劃分方法結(jié)果如圖2-9所示。

第一百一十六頁，共138頁。風(fēng)險評估方法2．基于期望損失效用的風(fēng)險評估方法若經(jīng)過風(fēng)險評估，風(fēng)險事件E造成的相對損失為loss，其發(fā)生的可能性為L，loss和L均為取值在[0,1]區(qū)間定量值。建立風(fēng)險等級劃分方法，結(jié)果見圖所示這種方法的好處就是能夠更好的區(qū)分“高損失、低可能性”及“低損失、高可能性”兩種不同安全事件的風(fēng)險。第一百一十七頁，共138頁。風(fēng)險評估方法4定性方法定性方法不是給出具體的貨幣形式的損失，而是用諸如“極為嚴重、嚴重、一般、可忽略”等定性方法來度量風(fēng)險。定性方法一般基于一定的定量方法，在定量方法的基礎(chǔ)上進行裁剪和簡化。典型的定性風(fēng)險分析與評價方法有風(fēng)險矩陣測量、威脅分級法、風(fēng)險綜合評價等。(1)風(fēng)險矩陣測量這種方法的特點是事先建立資產(chǎn)價值、威脅等級和脆弱點等級的一個對應(yīng)矩陣，預(yù)先將風(fēng)險等級進行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險。(2)威脅分級法這種方法是直接考慮威脅、威脅導(dǎo)致的安全事件對資產(chǎn)產(chǎn)生的影響以及威脅導(dǎo)致安全事件發(fā)生的可能性來確定風(fēng)險。(3)風(fēng)險綜合評價這種方法中風(fēng)險由威脅導(dǎo)致的安全事件發(fā)生的可能性、對資產(chǎn)的影響程度以及已經(jīng)存在的控制措施三個方面來確定。與風(fēng)險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風(fēng)險的評價之中。第一百一十八頁，共138頁。風(fēng)險計算方法1.風(fēng)險矩陣測量法這種方法的特點是事先建立資產(chǎn)價值、威脅等級和脆弱點等級的一個對應(yīng)矩陣，預(yù)先將風(fēng)險等級進行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險。使用本方法需要首先確定資產(chǎn)、威脅和脆弱點的賦值，要完成這些賦值，需要組織內(nèi)部的管理人員、技術(shù)人員、后勤人員等方面的配合。資產(chǎn)風(fēng)險判別矩陣如表3-9所示。對于每一資產(chǎn)的風(fēng)險，都將考慮資產(chǎn)價值、威脅等級和脆弱點等級。例如，如果資產(chǎn)值為3，威脅等級為“高”，脆弱點為“低”。查表可知風(fēng)險值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱點為“高”，則風(fēng)險值為4。由上表可以推知，風(fēng)險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱點等級的增加而擴大。第一百一十九頁，共138頁。風(fēng)險計算方法威脅級別低中高脆弱點級別低中高低中高低中高00121232341123234345資產(chǎn)值223434545633454565674456567678風(fēng)險第一百二十頁，共138頁。風(fēng)險計算方法2.威脅分級計算法這種方法是直接考慮威脅、威脅導(dǎo)致的安全事件對資產(chǎn)產(chǎn)生的影響以及威脅導(dǎo)致安全事件發(fā)生的可能性來確定風(fēng)險。使用這種方法時，首先確定威脅導(dǎo)致的安全事件對資產(chǎn)產(chǎn)生的影響，可用等級來表示。識別威脅的過程可以通過兩種方法完成。一是準備威脅列表，讓系統(tǒng)所有者去選擇相應(yīng)資產(chǎn)的威脅，或由評估團隊的人員識別相關(guān)的威脅，進行分析和歸類。第一百二十一頁，共138頁。風(fēng)險計算方法資產(chǎn)威脅描述影響（資產(chǎn)）值威脅發(fā)生可能性(c)風(fēng)險測度風(fēng)險等級劃分某個資產(chǎn)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483第一百二十二頁，共138頁。風(fēng)險計算方法然后評價威脅導(dǎo)致安全事件發(fā)生的可能性。在確定影響值和可能性之后，計算風(fēng)險值。風(fēng)險的計算方法，可以是影響值與可能性之積，也可以是之和，或利用前面所述的效用函數(shù)來計算，具體算法由用戶來定。在本例中，將威脅的影響值確定為5個等級，威脅發(fā)生的可能性也確定為5個等級。而風(fēng)險的測量采用以上兩值的乘積。在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風(fēng)險”的對應(yīng)關(guān)系。第一百二十三頁，共138頁。風(fēng)險計算方法3風(fēng)險綜合評價法這種方法中風(fēng)險由威脅導(dǎo)致的安全事件發(fā)生的可能性、對資產(chǎn)的影響程度以及已經(jīng)存在的控制措施三個方面來確定。與風(fēng)險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風(fēng)險的評價之中。在這種方法中，識別威脅的類型是很重要的。從資產(chǎn)的識別開始，接著識別威脅以及對應(yīng)安全事件發(fā)生的可能性。然后對威脅造成的影響進行分析，在這里對威脅的影響進行了分類型的考慮。比如對人員的影響、對財產(chǎn)的影響、對業(yè)務(wù)的影響。在考慮這些影響時，是在假定不存在控制措施的情況下的影響。將以上各值相加添入數(shù)值表中。比如，本例中將可能性分為5級：1—5；影響也分為5級：1—5。在可能性和影響確定后，計算總的影響值。本例中采用加法。方法也可由用戶在使用過程中確定。最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從內(nèi)部建立的和從外部保障的，并確定它們的有效性，對其賦值。本例中將控制措施的有效性有小到大分為5個等級，1—5。在此基礎(chǔ)上再求出總值，即風(fēng)險值，本例采用“影響值－控制措施賦值”來計算。第一百二十四頁，共138頁。風(fēng)險計算方法威脅類型可能性對人的影響對財產(chǎn)的影響對業(yè)務(wù)的影響影響值已采用的控制措施風(fēng)險度量內(nèi)部外部威脅A41128224第一百二十五頁，共138頁。風(fēng)險評估方法—總結(jié)從理論上看，風(fēng)險評估方法的理論基礎(chǔ)包括：概率風(fēng)險分析方法、模糊決策方法、人工智能、定性推理方法、灰色決策理論、綜合評價方法等。從風(fēng)險分析方法來看，風(fēng)險評估方法可分為兩大類：定量方法與定性方法。定量方法主要有基于期望損失的風(fēng)險評估方法與基于期望損失效用的風(fēng)險評估方法等。定性風(fēng)險分析與評價方法有風(fēng)險矩陣測量、威脅分級法、風(fēng)險綜合評價等。第一百二十六頁，共138頁。風(fēng)險評估案例風(fēng)險評估案例1案例介紹2資產(chǎn)識別與評估3威脅識別與評估4脆弱點識別與評估5風(fēng)險分析與等級劃分6安全措施的選取第一百二十七頁，共138頁。風(fēng)險評估案例1案例介紹多媒體教學(xué)系統(tǒng)是學(xué)校常用的信息系統(tǒng)，它為課堂教學(xué)提供信息化平臺。本節(jié)以多媒體教學(xué)系統(tǒng)這一簡單信息系統(tǒng)為例講述詳細風(fēng)險評估的實施過程。對多媒體教學(xué)系統(tǒng)，其安全需求主要表現(xiàn)為系統(tǒng)的可用性，而完整性、機密性安全需求很低，通常不會涉及到，因而風(fēng)險評估主要圍繞系統(tǒng)的可用性展開，風(fēng)險評估的目的是通過分析系統(tǒng)面臨的影響系統(tǒng)可用性的安全風(fēng)險，并選取相應(yīng)的安全措施降低風(fēng)險。第一百二十八頁，共138頁。風(fēng)險評估案例2資產(chǎn)識別與評估通過分析多媒體教學(xué)系統(tǒng)在硬件、軟件、信息、有關(guān)人員等方面的資產(chǎn)信息，并考察這些資產(chǎn)的價值以及對信息系統(tǒng)的關(guān)鍵程度。經(jīng)識別與分析后，有關(guān)資產(chǎn)及其關(guān)鍵程度如下表。資產(chǎn)類別名稱關(guān)鍵程度硬件多媒體電腦高4投影儀高4控制臺中3供電設(shè)備高4投影幕低2空調(diào)中3網(wǎng)絡(luò)電纜及接口低2軟件系統(tǒng)軟件中3課件播放軟件中3應(yīng)用軟件中3殺毒軟件低2信息多媒體課件低2演示程序低2人員課室管理人員中3技術(shù)支持人員中3安全保衛(wèi)人員低2第一百二十九頁，共138頁。風(fēng)險評估案例3威脅識別與評估通過對上述各類資產(chǎn)面臨的主要安全威脅進行分析，并依據(jù)其出現(xiàn)的可能性大小對各類威脅進行評估，結(jié)果如下表所示。威脅類型威脅表現(xiàn)形式評估等級自然威脅地震、颶風(fēng)、火山、洪水、海嘯、泥石流、暴風(fēng)雪、雪崩、雷電等很低1環(huán)境威脅供電中