信息安全風險管理課件

時間反復無常，鼓著翅膀飛逝信息安全風險管理信息安全風險管理時間反復無常，鼓著翅膀飛逝信息安全風險管理信息安全風險管理10.1風險管理概述“知己知彼，百戰(zhàn)不殆。知己而不知彼，即便獲得勝利也損失慘重。既不知已又不知彼，每仗必敗?！睘榱巳〉眯畔踩芾淼膭倮仨氈褐?。這里所說的散文，指王榮生教授采用文體歸類“緊縮型”方式所界定的藝術(shù)性散文，寫人散文，便是藝術(shù)性散文中的寫人敘事散文；這里的傳統(tǒng)小說，指以塑造人物形象為主體的現(xiàn)實主義小說。“根據(jù)文本體式確定教學內(nèi)容”是有關(guān)專家的一再呼吁[1]，也是當下“核心素養(yǎng)”培育理念下語文教學界正在掀起也應該進行的熱點之一。而寫人散文和傳統(tǒng)小說（尤其是以第一人稱為敘述視角的小說），在行文特征和表現(xiàn)手法上都有許多相同之處，這就導致了兩種文體在教學內(nèi)容確定上的混雜、混亂甚至錯誤。俗話說，有比較才有鑒別，為了探索、辨析寫人散文和傳統(tǒng)小說各自不同的核心教學內(nèi)容，筆者在近期舉行的一次教學研討中，對具有“兩棲性文體”特征的人教版《語文》六年級上冊《唯一的聽眾》進行了作為散文和作為小說兩種不同文體教學的同課異構(gòu)，獲得了這兩種體裁課文核心教學內(nèi)容建構(gòu)的一些認識?，F(xiàn)整理成文，求教于方家。需要特別說明的是，這里把《唯一的聽眾》同時作為散文和小說進行同課異構(gòu)，只是為研究提供一種“形象”的例說，絕不意味著要把所有的“兩棲性文體”都作為散文和小說進行教學。在更多的情況下，特別是小學語文教學中，可以從屬于教材單元的學習專題，選取其中的一種文體確定相應的教學內(nèi)容。一、對“我”的不同處理：作者的真實存在與虛構(gòu)的人物之一寫人散文與傳統(tǒng)小說在主體內(nèi)容和外在表現(xiàn)手法上有著許多類似或混用之處，對這兩種不同的文體關(guān)照，首先表現(xiàn)在對文中“我”的不同處理上。從小學高年級起，我們就應該滲透不同文類中“我”的不同認識，為升入中學后學生接受更加正式的文學教育做好準備，也為學生課外閱讀文學作品提供最基本的認知基礎(chǔ)。1.散文中“我”的角色：是抒發(fā)情感的主人公，是作者本人當代散文理論研究成果認為，現(xiàn)當代散文的本體特征是“貴在有‘我’、貴在有情”――“有作者個人的真情實感”[2]。散文是一種訴諸內(nèi)心、傾向于自我表現(xiàn)的“主情性”藝術(shù)[3]。作者往往通過自己所見所聞的真實描述，直接表達個人真誠的內(nèi)心情感，傳達個體的人生經(jīng)歷與體驗?？梢?，散文作品中的“我”是作者和敘述者的合二為一。作者在文章中寫“我”的目的，就是為了抒寫自己的見聞感受和情感體驗，從而感染讀者、引發(fā)共鳴，產(chǎn)生審美趣味。所以，可以說“作者永遠活在自己的散文中”，閱讀散文要“知人論世”“識人品情”。這樣，讀者在閱讀散文時，就應該認定文中的“我”就是作者自己，否則，真情實感就失去依托及依據(jù)，就會成為虛情假意。沿著這樣的閱讀思路，把《唯一的聽眾》作為散文來解讀，我們可以把主旨概括為：課文寫了初學小提琴時的作者十分自卑，后來在一位德高望重的小提琴老教授巧妙、真誠地鼓勵幫助下，刻苦地練習，樹立了自信，提高了技藝，成為很不錯的小提琴演奏者，表現(xiàn)了世間人情的美好，表達了作者對老教授深深的感激之情。2.小說中“我”的定位：是故事講述者，是虛構(gòu)的人物之一敘述和虛構(gòu)是小說的本質(zhì)特征?，F(xiàn)當代小說有各種各樣的表現(xiàn)形態(tài)，其中傳統(tǒng)現(xiàn)實主義小說最突出的特征是人物形象的塑造。出于這一需要作者往往要進行藝術(shù)虛構(gòu)，而自己卻躲到虛構(gòu)的世界之外，看著作品中的人物，按照自己的性格邏輯去表現(xiàn)和發(fā)展，從而表現(xiàn)主題，反映社會生活。所以，小說中作者的主觀感受，是通過虛構(gòu)的人物曲折地表現(xiàn)出來的，因而我們也就常說：“作品一誕生，作者就死了”。這樣，小說中的“我”，或者是作者安排的故事的見證者和講述著，或者是作者所要塑造的人物之一，也常常是兩者兼而有之的角色。在某些自傳成分較強的小說中，文中的“我”雖然有著明顯的作者的影子，但是，我也不能因此而認為那就是作者，而應該想到，那是作者以自己真實經(jīng)歷為素材所進行的藝術(shù)化，或者是作者為了把故事虛構(gòu)得更加真實可信而采用的一種藝術(shù)手法，而且在自傳性較強的小說中，局部的事件往往有著散文的真實，而整體的情節(jié)卻往往具有小說的虛構(gòu)與剪輯。這樣，作為小說來解讀《唯一的聽眾》，其中的“我”便是作者所安排的事件的親歷者和故事的講述者兩者兼而有之的角色。其主旨則相應概括為：文章描寫了一位老教授巧妙地鼓勵幫助一位自卑的小提琴初學者，使他提高自信，練習技藝，塑造了一位富有涵養(yǎng)、真誠助人的老教授的形象，反映了老一輩藝術(shù)家對后輩真誠的幫助和關(guān)愛。二、對“人”的不同解讀：作者的內(nèi)在體驗與讀者的外圍把握這里的“人”指作品中的人物。無論是寫人散文還是傳統(tǒng)小說，人始終是作者描寫的主要對象，也是讀者理解感悟的核心。但是，作品體裁的不同造成作者寫人目的和意趣的差別，必然導致讀者解讀取向、方式方法及其結(jié)果的不同，這些就成為寫人散文和傳統(tǒng)小說各不相同的教學內(nèi)容。當下，語文教學中寫人散文和傳統(tǒng)小說教學內(nèi)容確定上的不當或混亂，主要表現(xiàn)在對文中“人物”解讀的失誤上。比如，散文教學中，把教學的主要精力花在引導學生感悟人物性格特征上；而教學小說，又用大量的時間體會作者的思想感情。那么，散文中的“人”和小說中的“人物”，分別承載著怎樣的審美意趣，教學中，應該如何引導學生采用并獲得相應的閱讀取向與方式，從而建構(gòu)這兩種文體各自合適的教學內(nèi)容呢？1.散文“人物”的解讀：從作者的角度，切身體驗情感散文中作者所描寫的人、事、物、景，固然都可以從現(xiàn)實生活中找到對應及依據(jù)，但已經(jīng)不是原來的那個客觀存在，而是作者眼中、心中的主觀意象，帶著作者強烈的情感傾向和主觀色彩。《唯一的聽眾》這篇文章，我們之所以首先把它認定為散文，是因為它具有以下特征：一是優(yōu)美的語言，整篇文章的語言都是優(yōu)美、簡潔而傳神的；二是詩化的描敘，無論是文中的環(huán)境還是人物的語言和行為，都不做面面俱到的精雕細琢，而重在“寫神”――選取最能說明主題或人物特征的一兩個細節(jié)，做傳神的、反復的“詩化”描寫，來蘊含作者強烈的主觀情感；三是濃厚的抒情，作者把內(nèi)心感受穿插在事件發(fā)展的過程中，使文章具有兩條線索：一條是其他人物活動線索，另一條是“我”隨時產(chǎn)生和發(fā)展的情感線索，這兩條線索的交叉運行，使老教授時時處在作者主觀情感的映照中，成為作者所見所聞、所思所感的對象。在這三個特點中，最能體現(xiàn)散文特質(zhì)的是作者強烈的主觀傾向和濃厚的抒情意味，文中的“老教授”是作者內(nèi)心感受情感的直接關(guān)照者和體現(xiàn)者。初中教師運用提問的教學方式，發(fā)揮提問中的技巧，不僅可以提高學生的學習興趣，而且對學生具有一定程度的指導作用，逐漸發(fā)揮學生自主創(chuàng)新的能力，教師通過提問技巧，目的并不是教育學生學習，而是教育學生怎樣學習，因此，針對初中課堂教學進行深入研究，實現(xiàn)提問技巧最大化，進而提升初中學生的學習能力是當前急需解決的重要問題。一、初中課堂教學現(xiàn)狀初中課堂的教學過程中，缺乏趣味性，降低了學生學習的積極性，針對我國初中課堂的教學現(xiàn)狀，提出初中課堂存在的問題，如下：1.課堂氣氛不活躍在升學壓力的作用下，初中課堂大部分呈現(xiàn)教師教、學生學的現(xiàn)象，教師只注重學生是否掌握課堂知識，而不注重學生掌握知識的途徑，導致學生產(chǎn)生消極、厭煩的學習心理，無法保障知識在學生群體中被消化，同時導致大量知識被學生擱置。2.教學方式不到位部分教師在教學過程中，忽視學生主動性因素，將學生放在被動學習的位置，通常一節(jié)課中，教師一味的講解知識點，并不注重學生的聽課效果，無法調(diào)動學生的積極性，只能站在個人的角度完成課堂教學，造成教學方式嚴重不到位。3.課堂知識缺乏銜接性初中課堂知識相對比較零散，教師在課堂上，按照自身認為的重點講解，脫離教科書，導致學生跟不上教學思路，也無法在教科書上找到教師講解的知識點，致使學生不知所措，影響課堂知識的連續(xù)性。二、提問技巧在初中課堂中的應用針對初中課程教學中出現(xiàn)的問題，利用提問技巧對其進行科學的解決，一方面提高初中課堂教學的質(zhì)量，另一方面發(fā)揮提問技巧在初中教學中的意義，具體應用措施如下：1.利用提問技巧活躍課堂氣氛課堂氣氛的活躍最主要是促進教師與學生的溝通，教師可在交流中吸引學生的注意力，進而將學生的思路引到學習中，因此，教師可利用提問方式，激發(fā)學生的興趣[3]。例如：教師可將課堂分為上、中、下三部分，首先教師在每節(jié)課的開端部分，圍繞上節(jié)課的內(nèi)容設(shè)置小問題，在課堂上提問，通過提問的方式讓學生回答，在學生回答過程中，幫助學生回顧上節(jié)課的內(nèi)容；其次教師將提問放置在課堂的中間部分，據(jù)有關(guān)調(diào)查顯示，中學生一節(jié)課有效的聽課時間為前30分鐘，所以教師設(shè)置與課堂相關(guān)的知識性問題，課堂上鼓勵學生回答，教師可將學生分為兩組，教師提問，讓學生進行搶答，將提問技巧引入到課堂中間部分，不僅快速活躍課堂氣氛，而且可保障學生的學習精神，維持課堂的有效性；最后教師將提問技巧放置在課堂的末尾，主要是針對本節(jié)課的內(nèi)容進行回顧，例如：教師可針對本節(jié)課學習的知識點、概念等內(nèi)容進行提問，通過技巧提問加深學生印象，或者教師可根據(jù)整節(jié)課的內(nèi)容設(shè)置不同類型的提問，圍繞教學內(nèi)容、學生興趣展開，可讓學生自行選擇回答，通過發(fā)揮學生的主動性，促使學生之間形成競爭意識，以此提高初中課堂的氣氛，達到利用提問技巧營造教學環(huán)境的目的。2.利用提問技巧糾正教學方法初中階段的學生正值青春期，其在心理上呈現(xiàn)叛逆的表現(xiàn)，其在校園中接觸最多的是教師，因此與教師產(chǎn)生矛盾的機率最大，而且初中生對教師的印象可影響其對學習的認識，教師必須與學生搞好關(guān)系，保障教學方法的正確性。例如：教師在課堂上，必須以學生為主要因素，不可忽視學生，教師可利用提問的方式改正傳統(tǒng)教學方法的錯誤，首先教師必須為學生營造舒適的學習環(huán)境，教師可以運用提問糾正教學方法，但是不論學生能否回答出正確的答案，教師都不得對其產(chǎn)生不平等的態(tài)度；其次教師可在課堂上給予學生充分的預習時間，勾畫出重點，教師課下做好課堂備案，列出問題，讓學生在預習過程中解決，待學生預習過后，有針對性的提問，鼓勵學生積極回答，形成課堂互動，如果學生回答不正確，教師可讓學生自行在同學中尋求幫助，改變學生傳統(tǒng)的課堂方式；最后教師通過提問的方式完成課堂，針對比較零散的知識進行整體匯總，指出學生在提問教學中出現(xiàn)的問題，教師糾正學生的錯誤，結(jié)合教師的個人魅力糾正教學方法，促使學生積極配合教師以及教學方式。3.利用提問技巧保障知識連接為避免初中課堂中教師個人教學思想占據(jù)較大比重，教師必須結(jié)合教科書發(fā)揮自身的教學思想、教學特色，大部分教師認為，教科書上部分內(nèi)容多余，但是每部分在課堂中都發(fā)揮作用，因此，教師需利用提問技巧，保障知識模塊之間的連接性[4]。例如：教師根據(jù)自己的教學思路以及教科書，利用問題進行連接，課堂上，教師鼓勵學生以問題的形式標記教科書中的內(nèi)容，通過一問一答的方式，完成課堂教學，如果學生跟不上教師的教學速度，其可通過問題，回憶當時的教學情境，進而得出提問模式的答案；或者教師結(jié)合課堂內(nèi)容將整堂課設(shè)置成小問題的方式，每個問題后隱藏著教科書中的知識點，以此保障每個問題對應知識的銜接，如：采用“什么是？”、“為什么？”、“有什么作用？”、“怎么用？”等連接性的提問形式，將教科書中的知識點聯(lián)系起來，形成系統(tǒng)的知識，幫助學生理解、記憶?？梢?，提問技巧在知識連接中具備較大的影響力。在傳統(tǒng)的初中課堂教學過程中，總是以教師講為主，學生學為輔，而提升課堂提問技巧必然能夠有效改變這種模式，滲透新的教學理念，促進學生學習能力的提升。三、提問技巧在初中課堂中的意義提問技巧在課堂教學中具備實際的促進意義。第一，提問技巧可深化課堂知識，摒棄傳統(tǒng)的教學方式，采用提問方式，不僅可以調(diào)動學生的學習興趣，而且可激發(fā)學生的求知欲，保障整堂課的質(zhì)量，提高學生掌握知識的能力，促使知識結(jié)構(gòu)的穩(wěn)定、扎實；第二，改善教師與學生的關(guān)系，傳統(tǒng)初中教學課堂中，代課教師與學生只有在課堂上才可接觸，導致師生之間關(guān)系非常疏遠，提問技巧在初中課堂中的應用，密切了師生之間的關(guān)系，增加了師生交流頻率以及了解，進而改變了教師在學生心中的印象，促使學生以正確的思想對待課堂；第三，推動初中課堂知識延伸，初中課堂中的提問技巧，本身具備發(fā)散性，學生在解決問題時，思維方式不固定，形成舉一反三的思路，促使教師講解更多的課堂知識，提高學生理解力。四、結(jié)束語初中課堂中有效利用提問技巧，可在學生學習的過程中，發(fā)揮指導、指引的作用，打破課堂沉悶的學習氣氛，在很大程度提升課堂教學氛圍。通過提問技巧的運用，教師可發(fā)現(xiàn)學生的優(yōu)勢和不足之處，綜合對其進行平衡教學，同時可拉近教師與學生的距離，促使教師發(fā)揮親和力，有助于學生積極配合教師的教學方法，提高課程質(zhì)量。信息安全風險管理10.1.3利益團體的作用2.管理人員管理人員和用戶經(jīng)過適當?shù)呐嘤枺瑫C構(gòu)面臨的威脅有著清醒的認識，在早期的檢測和響應階段起一定的作用。3.信息技術(shù)利益團體必須建立安全的系統(tǒng)，并且安全的操作這些系統(tǒng)。例如，IT操作應進行合理的備份，以避免硬盤故障引起的風險。10.2風險管理的基本概念

10.2.1資產(chǎn)相關(guān)概念1．資產(chǎn)所謂資產(chǎn)就是被組織賦予了價值、需要保護的有用資源。在信息安全體系范圍內(nèi)，一項非常重要的工作就是為資產(chǎn)編制清單。每項資產(chǎn)都應該清晰地定義，合理地估價，在組織中明確資產(chǎn)所有權(quán)關(guān)系，對資產(chǎn)進行安全分類，并以文件形式詳細記錄在案。10.2.1資產(chǎn)相關(guān)概念2．資產(chǎn)的價值資產(chǎn)價值是指經(jīng)濟實體所擁有的固定資產(chǎn)、無形資產(chǎn)體現(xiàn)出來的價值。為了明確對資產(chǎn)的保護，有必要對資產(chǎn)進行估價，其價值大小不僅僅要考慮其自身的價值，還要考慮其對組織機構(gòu)業(yè)務的重要性、在一定條件下的潛在價值以及與之相關(guān)的安全保護措施。10.2.1資產(chǎn)相關(guān)概念因此，在信息系統(tǒng)中資產(chǎn)的價值可以用信息或其他技術(shù)資產(chǎn)的泄漏、非法修改或被破壞等造成的影響的程度來衡量。10.2.1資產(chǎn)相關(guān)概念3．威脅威脅是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。例如，網(wǎng)絡(luò)系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅。4．脆弱性所謂脆弱性就是資產(chǎn)的弱點或薄弱點，這些弱點可能被威脅利用，造成安全事件的發(fā)生，從而對資產(chǎn)造成損害。脆弱性本身并不會引起損害，它只是為威脅提供了影響資產(chǎn)安全性的條件。10.2.2風險管理的相關(guān)概念

1．安全風險所謂安全風險就是特定的威脅利用資產(chǎn)的一種或多種脆弱性，導致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。通過確定資產(chǎn)價值及相關(guān)威脅與脆弱性的水平，可以得出風險的度量值。10.2.2風險管理的相關(guān)概念

即對信息和信息處理設(shè)施的威脅、影響（指安全事件所帶來的直接和間接損失）和脆弱性及三者發(fā)生的可能性的評估。作為風險管理的基礎(chǔ)，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。10.2.2風險管理的相關(guān)概念風險評估的主要任務包括：·識別組織面臨的各種風險；·評估風險概率和可能帶來的負面影響；·確定組織承受風險的能力；·確定風險降低和控制的優(yōu)先等級；·推薦風險降低對策。風險評估也就是確認安全風險及其大小的過程，即利用適當?shù)娘L險評估工具，包括定性和定量的方法，確定資產(chǎn)風險等級和優(yōu)先控制順序。10.2.2風險管理的相關(guān)概念

2．風險管理所謂風險管理就是以可接受的費用識別、控制、降低或消除可能影響信息系統(tǒng)的安全風險的過程。風險管理通過風險評估來識別風險大小，通過制定信息安全方針，使風險被避免、轉(zhuǎn)移或降至一個可被接受的水平。風險管理還應考慮控制費用與風險之間的平衡。風險管理過程如下圖所示。風險管理風險識別風險評估風險控制圖風險管理過程10.2.2風險管理的相關(guān)概念

在風險管理過程中，有幾個關(guān)鍵的問題需要考慮。第一，要確定保護的對象是什么？它的直接和間接價值如何？第二，資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有多大？第三，資產(chǎn)中存在哪些弱點可能會被威脅所利用？利用的容易程度又如何？第四，一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？最后，組織應該采取怎樣的安全措施才能將風險帶來的損失降到最低？解決以上問題的過程，就是風險管理的過程。10.2.2風險管理的相關(guān)概念

這里需要注意，在談到風險管理的時候，人們經(jīng)常提到的還有風險分析這個概念。實際上，對于信息安全風險管理來說，風險分析和風險評估基本上是同義的。當然，如果細究起來，風險分析應該是處理風險的總體戰(zhàn)略，風險評估只是風險分析中的一項工作，即對可識別的風險進行評估，以確定其可能造成的危害。10.2.2風險管理的相關(guān)概念

3．安全需求在信息安全體系中，要求組織確認如下安全需求：·評估出組織所面臨的安全風險，并控制這些風險的需求；·組織、貿(mào)易伙伴、簽約客戶等需要遵守的法律法規(guī)及合同的要求；·組織制訂支持業(yè)務運作與處理的需求。10.2.2風險管理的相關(guān)概念

4．安全控制正如BS7799中所定義的，安全控制就是保護組織資產(chǎn)、防止威脅、減少脆弱性等一系列安全實踐、過程和機制。為獲得有效的安全，常常需要把多種安全控制結(jié)合起來使用，實現(xiàn)監(jiān)測、威懾、防護等多種功能。5．剩余風險即實施安全控制后，仍然存在的安全風險。10.2.2風險管理的相關(guān)概念6．適用性聲明適用性聲明是一個包含組織所選擇的控制目標與控制方式的文件，相當于一個控制目標與方式清單，其中應闡述選擇與不選擇的理由。10.2.3風險管理各要素間的關(guān)系

風險管理中涉及的安全組成要素之間的關(guān)系如下圖所示，具體描述如下：威脅脆弱性安全控制安全風險資產(chǎn)安全需求資產(chǎn)價值與潛在影響利用防止增加增加暴露減少要求指出增加具有10.2.3風險管理各要素間的關(guān)系

·資產(chǎn)具有價值，并會受到威脅的潛在影響；·脆弱性將資產(chǎn)暴露給威脅，威脅利用脆弱性對資產(chǎn)造成影響；·威脅與脆弱性的增加導致安全風險的增加；·安全風險的存在對組織的信息安全提出要求；·安全控制應滿足安全需求；·通過實施安全控制防范威脅，以降低安全風險。10.3風險的識別

風險管理策略要求信息安全專業(yè)人員將機構(gòu)的信息資產(chǎn)進行識別、分類，并區(qū)分優(yōu)先次序，來了解資產(chǎn)。資產(chǎn)是各種威脅以及威脅代理的目標，風險管理的目標就是保護資產(chǎn)不受威脅。了解了機構(gòu)的資產(chǎn)后，就可以進入資產(chǎn)的識別階段。必須對每一項資產(chǎn)的狀況和環(huán)境進行檢查，找出其漏洞。10.3風險的識別

之后，就要確定采用的控制措施，并根據(jù)這些控制措施對限制攻擊所造成的可能損失，來評估控制。風險識別的過程從機構(gòu)信息資產(chǎn)的識別和評估其價值開始。10.3.1信息資產(chǎn)的識別

風險識別過程是從資產(chǎn)的識別開始的，它包括機構(gòu)系統(tǒng)的所有要素：人員、過程、數(shù)據(jù)及信息、軟件、硬件和網(wǎng)絡(luò)，然后對資產(chǎn)進行分析和歸類，在進行深入分析的過程中添加細節(jié)。1．人員、過程及數(shù)據(jù)資產(chǎn)的識別人力資源、文件資料及數(shù)據(jù)信息的識別比確定軟、硬件資產(chǎn)更困難。這個任務應由具有知識、經(jīng)驗及判斷力的人員來完成。10.3.1信息資產(chǎn)的識別

在決定屬于哪一個信息資產(chǎn)時，需要考慮下列資產(chǎn)屬性：（1）人員：位置名稱/號碼；管理人；安全檢查級別；特殊能力。（2）過程：說明；意圖；與軟件、硬件及網(wǎng)絡(luò)元素的關(guān)系；引用的存儲位置；更新的存儲位置。（3）數(shù)據(jù)：分類；所有者、創(chuàng)建者及管理者；使用的數(shù)據(jù)結(jié)構(gòu)；數(shù)據(jù)結(jié)構(gòu)的大?。辉诰€與否；位置；使用的備份過程。10.3.1信息資產(chǎn)的識別

2．硬件、軟件和網(wǎng)絡(luò)資產(chǎn)的識別應該跟蹤每個信息資產(chǎn)，了解哪些屬性取決于機構(gòu)需求及其風險管理，以及信息安全管理和信息安全技術(shù)團隊的優(yōu)先權(quán)和需求。決定跟蹤哪一種信息資產(chǎn)時，需要考慮名稱、IP地址、MAC地址、序列號、制造商名稱、軟件版本等資產(chǎn)屬性。10.3.2信息資產(chǎn)的分類對信息資產(chǎn)進行分類的目的是便于在處理信息時指明保護的需求、優(yōu)先級和期望程度。1．分類指導原則信息資產(chǎn)應當按照它對組織的價值、法律要求、敏感性和關(guān)鍵性予以分類。10.3.2信息資產(chǎn)的分類信息分類的一個事例如下：《中華人民共和國保守國家秘密法》第九條將國家秘密的密級分為“絕密”、“機密”和“秘密”三級。“絕密”是最重要的國家秘密，泄漏會使國家的安全和利益遭受特別嚴重的損害；“機密”是重要的國家秘密，泄漏會使國家的安全和利益遭受嚴重的損害；“秘密”是一般的國家秘密，泄漏會使國家的安全和利益遭受損害。10.3.2信息資產(chǎn)的分類對于信息安全來說，信息資產(chǎn)的分類往往是按照級別進行。保護級別可通過分析信息資產(chǎn)的保密性、完整性、可用性等安全屬性及其他要求進行評估和確定。這些方面應予以考慮，因為過多的分類會致使實施不必要的控制措施，從而導致成本的增加。10.3.2信息資產(chǎn)的分類同時，在對信息資產(chǎn)進行分類時，對于具有類似安全要求的資產(chǎn)可以一起進行考慮，以便簡化分類任務?？傊瑢π畔①Y產(chǎn)進行分類是確定如何對信息資產(chǎn)予以處理和保護的簡便方法。10.3.2信息資產(chǎn)的分類2．信息標識與處置在對資產(chǎn)進行科學合理的分類的同時，應當根據(jù)資產(chǎn)的分類機制建立并實施一組相應的信息標識和處置程序。如果系統(tǒng)輸出中包含了被分類為敏感或關(guān)鍵的信息，那么該輸出中就應當攜帶享用的分類標識，以便及時進行處理。這樣的項目包括打印報告、屏幕顯示、記錄介質(zhì)（例如磁帶、磁盤、CD）、電子消息和文件傳送等。10.3.2信息資產(chǎn)的分類分類信息的標識和安全處理是信息共享的一個關(guān)鍵要求。物理標識是常用的標識形式，然而，某些信息資產(chǎn)（諸如電子形式的文件等）不能進行物理標識，此時就需要使用電子標識手段。如打印報告可采用蓋章的方式進行標識，記錄的媒介可采用實物標簽的形式進行標識，屏幕顯示則采用電子形式標識。10.3.2信息資產(chǎn)的分類3．資產(chǎn)分類方法表10-1所示是標準信息系統(tǒng)的組成與結(jié)合了風險管理和SecSDLC（TheSecuritySystemsDevelopmentLifeCycle，安全系統(tǒng)的開發(fā)生命周期）方法的改進系統(tǒng)的組成。一些機構(gòu)還可以將所列的類進一步細分。例如，因特網(wǎng)組件再細分為服務器、網(wǎng)絡(luò)設(shè)備（路由器、集線器、交換機）、保護設(shè)備（防火墻、代理服務器）以及電纜。傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機構(gòu)的人員陌生人過程過程IT及商業(yè)標準構(gòu)成IT及商業(yè)敏感過程數(shù)據(jù)信息傳輸處理存儲軟件軟件應用程序操作系統(tǒng)安全組件硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組件因特網(wǎng)或DMZ組件表10-1信息系統(tǒng)的組成分類10.3.2信息資產(chǎn)的分類許多機構(gòu)已建立了數(shù)據(jù)分類模式。這種分類的例子如機密數(shù)據(jù)、內(nèi)部數(shù)據(jù)和公共數(shù)據(jù)。非正規(guī)的機構(gòu)必須組織建立一個便于使用的數(shù)據(jù)分類模型。數(shù)據(jù)分類模型的另一個方面是人員安全調(diào)查結(jié)構(gòu)，根據(jù)每個人需要了解信息的多少，來確定授予給他查看的信息等級。10.3.2信息資產(chǎn)的分類分類必須全面、互斥，全面意味著所有的信息資產(chǎn)必須對應各部門的資產(chǎn)清單，互斥意味著一份信息資產(chǎn)應該只對應一個種類。例如，假定機構(gòu)擁有公鑰基礎(chǔ)結(jié)構(gòu)認證授權(quán)，這是一個提供密鑰管理服務的軟件應用程序，通過一個完全的技術(shù)標準，分析人員可以在表10-1中把認證授權(quán)歸類為軟件，在軟件一類中再歸類為應用程序或安全組件。10.3.3信息資產(chǎn)評估

在對機構(gòu)的每一項資產(chǎn)歸類時，應提出一些問題，來確定用于信息資產(chǎn)評估或者影響評估的權(quán)重標準。當提出和回答每個問題時，應該準備一個工作表，記錄答案，用于以后的分析。在開始清單處理過程之前，應確定一些評估信息資產(chǎn)價值的最佳標準，要考慮的標準如下：10.3.3信息資產(chǎn)評估（1）哪一項信息資產(chǎn)對于成功是最關(guān)鍵的？當決定每一項資產(chǎn)的相對重要性時，應參考機構(gòu)的任務陳述或者目標陳述。根據(jù)這些陳述，確定何種要素對于實現(xiàn)的目標是必不可少的，哪個要素支持目標，哪個要素僅僅是附屬的。10.3.3信息資產(chǎn)評估（2）哪一項信息資產(chǎn)創(chuàng)造的收效最多？可以根據(jù)某一項資產(chǎn)來評估機構(gòu)的收益，從而決定哪一項信息資產(chǎn)是重要的。（3）哪一項資產(chǎn)的獲利最多？應該根據(jù)某項資產(chǎn)來評估機構(gòu)獲利的多少。（4）哪一項信息資產(chǎn)在替換時最昂貴？有時一項信息資產(chǎn)擁有特殊的價值，因為它是唯一的。（5）哪一項信息資產(chǎn)的保護費用最高？在這個問題中，應該思考提供控制的成本，一些資產(chǎn)本身是很難保護的。10.3.3信息資產(chǎn)評估（6）哪一項信息資產(chǎn)是最麻煩的，或者泄露后麻煩最大。完成列出和評估價值的過程后，就可以使用一個簡單的過程，來計算每項資產(chǎn)的相對重要性，這個過程稱為權(quán)重因子分析。10.3.4威脅識別

對機構(gòu)的信息資產(chǎn)進行識別和初步分類后，就要分析機構(gòu)所面臨的威脅。如果假定每種威脅能夠并且即將攻擊每項信息資產(chǎn)，方案就會變得非常復雜。常見的信息安全威脅如表10-2所示。威脅實例1．人為過失或失敗行為意外事故、員工過失2．侵害知識產(chǎn)權(quán)盜版、版權(quán)侵害3．間諜或蓄意入侵行為未授權(quán)訪問和收集數(shù)據(jù)4．蓄意信息敲詐行為以泄露信息為要挾進行勒索5．蓄意破壞行為破壞系統(tǒng)或信息6．蓄意竊取行為非法使用硬設(shè)備或信息表10-2信息安全的威脅7．蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務8．自然災害火災、水災、地震、閃電9．服務提供商的服務質(zhì)量差電源及WAN服務問題10．技術(shù)硬件故障或錯誤設(shè)備故障11．技術(shù)軟件故障或錯誤漏洞、代碼問題、未知漏洞12．技術(shù)淘汰陳舊或過時的技術(shù)10.3.4威脅識別

必須檢查上表中的每一種威脅，評估它對機構(gòu)的潛在危害，這種檢查稱為威脅評估?？梢葬槍γ糠N威脅提出幾個基本問題，例如：（1）在給定的環(huán)境下，那一種威脅對機構(gòu)的資產(chǎn)而言是最危險的？（2）那一種威脅對機構(gòu)的信息而言是最危險的？（3）從成功的攻擊中恢復需要多少費用？（4）防范哪一種威脅的花費最大？10.3.4威脅識別

通過提問并回答上面的問題，可為威脅評估建立一個框架。如果機構(gòu)有明確的方針或政策，它們會影響整個過程，并提出額外的問題。上述問題列表容易擴展，以包含其他問題。

10.3.5安全調(diào)查數(shù)據(jù)分類方案的另一個方面指的是個人安全調(diào)查機構(gòu)。在需要安全調(diào)查的機構(gòu)中，必須給每個數(shù)據(jù)用戶分配一個單一的授權(quán)等級。說明他們授權(quán)訪問的分類等級。這通常給每個員工分配一個指定的角色，比如數(shù)據(jù)記錄員，程序員、信息安全分析員等。10.3.6分類數(shù)據(jù)的管理分類數(shù)據(jù)的管理分類數(shù)據(jù)的管理包括這些數(shù)據(jù)的存儲、分布移植及銷毀。另外每個分類的文件應該在每頁的頂部和底部包含適當?shù)臉擞洿鎯σ逊诸惖臄?shù)據(jù)，只有授權(quán)的人才能訪問它。

10.3.7漏洞識別識別了機構(gòu)的信息資產(chǎn)，為評估它們所面對的威脅制定了一些標準后，要檢查每項信息資產(chǎn)所面對的威脅，并建立一個漏洞列表。什么是漏洞？它們是威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。10.4風險評估

識別了機構(gòu)的信息資產(chǎn)及其威脅和漏洞后，就可以評估每個漏洞的相關(guān)風險了。這是通過風險評估過程來完成的。風險評估給每項信息資產(chǎn)分配一個風險等級或者分數(shù)。此數(shù)字在絕對術(shù)語中沒有任何意義，但可用于評估每項易受攻擊的信息資產(chǎn)的相關(guān)風險。

10.4.1風險評估概述風險=出現(xiàn)漏洞的可能性×信息資產(chǎn)的價值-當前控制減輕的風險幾率+對漏洞了解的不確定性。其中，出現(xiàn)漏洞的可能性是指成功攻擊機構(gòu)內(nèi)某個漏洞的概率。在風險評估中，要給成功攻擊漏洞的可能性指定一個數(shù)值。可以選擇1-100的數(shù)值，但不能是0，因為如果是0，就已經(jīng)從資產(chǎn)漏洞列表中刪除了。10.4.2風險評估原則

信息安全風險評估原則包括如下四個方面。1.自主指由機構(gòu)內(nèi)部的人員來管理和指導信息安全風險評估。這些人負責指導風險管理活動，并對安全工作做出決策。自主要求：（1）通過領(lǐng)導信息安全風險評估并對評估過程進行管理，負責信息的安全。（2）最終對安全工作做出決策，包括實現(xiàn)哪些改進和采取哪些行動。10.4.2風險評估原則

2．適應度量一個靈活的評估過程可以適應不斷變化的技術(shù)和進展。因為信息安全和信息技術(shù)領(lǐng)域變革非常迅速，所以需要一個適應性強的度量集，并據(jù)此進行評估。適應度量要求：（1）定義公認的安全實踐、已知的威脅源和技術(shù)缺陷目錄。（2）能適應信息目錄變化的評估過程。10.4.2風險評估原則

3．已定義過程已定義的過程描述了信息安全評估程序依賴于已定義的標準化評估規(guī)程的需要。一個已定義的過程要求：（1）為執(zhí)行評估分配責任。（2）定義所有的評估活動。（3）規(guī)定評估過程所需的所有工具、工作表和信息目錄。（4）為記錄評估結(jié)果創(chuàng)建通用的格式。10.4.2風險評估原則

4．連續(xù)過程的基礎(chǔ)機構(gòu)必須實施基于實踐的安全策略和計劃，以逐漸改進自身的安全狀態(tài)。通過實施這些基于實踐的解決方案，機構(gòu)就能夠開始將最佳的安全實踐制度化，使其成為日常開展業(yè)務的方法的一部分。10.4.2風險評估原則安全改進是一個連續(xù)的過程，信息安全風險評估的結(jié)果為連續(xù)的改進奠定了基礎(chǔ)，這需要：（1）使用已定義的評估過程標識出信息安全風險。（2）實施信息安全風險評估后的結(jié)果。（3）逐步培養(yǎng)管理信息安全風險的能力。（4）實施安全策略和計劃，使安全改進結(jié)合基于實踐的方法。10.4.3風險評估的步驟

風險評估的任務是識別組織所面臨的安全風險并確定風險控制的優(yōu)先等級，從而對其實施有效控制，將風險控制在組織可以接受的范圍之內(nèi)。1．風險評估應考慮的因素（1）信息資產(chǎn)及其價值；（2）對這些資產(chǎn)的威脅，以及它們發(fā)生的可能性；（3）脆弱性；（4）已有的安全控制措施。10.4.3風險評估的步驟2．風險評估的基本步驟（1）按照組織業(yè)務運作流程進行資產(chǎn)識別，并根據(jù)估價原則對資產(chǎn)進行估價；（2）根據(jù)資產(chǎn)所處的環(huán)境進行威脅評估；（3）對應每一威脅，對資產(chǎn)或組織存在的脆弱性進行評估；（4）對已采取的安全機制進行識別和確認；（5）建立風險測量的方法及風險等級評價原則，確定風險的大小與等級。3．風險評估時應考慮的問題在進行風險評估時，要充分考慮和正確區(qū)分資產(chǎn)、威脅與脆弱性之間的對應關(guān)系，如圖10-3所示。資產(chǎn)威脅A來源A1來源A2威脅B來源B1來源B2脆弱性A1脆弱性A2脆弱性B1………………脆弱性B2…………圖10-3資產(chǎn)、威脅與脆弱性的對應關(guān)系10.4.3風險評估的步驟

可以看出，資產(chǎn)、威脅與脆弱性之間的對應關(guān)系包括：（1）一項資產(chǎn)可能存在多個威脅；（2）威脅的來源可能不只一個，應從人員（包括內(nèi)部與外部）、環(huán)境（如自然災害）、資產(chǎn)本身（如設(shè)備故障）等方面加以考慮；（3）每一個威脅可能利用一個或數(shù)個脆弱性。10.4.4風險評估的過程

1．信息資產(chǎn)評估使用信息資產(chǎn)的識別過程中得到的信息，就可以為機構(gòu)中每項信息資產(chǎn)的價值指定權(quán)重分數(shù)。根據(jù)機構(gòu)的需要，使用的數(shù)字可以不同。有的團體使用1～10的權(quán)重分數(shù)，或者用1、3和5代表低、中和高價值的資產(chǎn)。10.4.4風險評估的過程在信息系統(tǒng)中，采用精確的財務方式來給資產(chǎn)確定價值比較困難，一般采用定性分級的方式來建立資產(chǎn)的相對價值或重要度，這種定性分級可以參考如表10-3所示的方式進行。分級類型定性分級程度相對較粗的分級低、中、高詳細分級可忽略、低、中、高、非常高更詳細的分級（低）0、1、2、……、10（高）10.4.4風險評估的過程

2．威脅評估除了識別資產(chǎn)面臨的威脅后，還應該評估威脅發(fā)生的可能性，確定威脅發(fā)生的可能性是風險評估的重要環(huán)節(jié)。組織應根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的可能性受到下列因素的影響：·資產(chǎn)的吸引力；·資產(chǎn)轉(zhuǎn)化成報酬的容易程度；·威脅的技術(shù)含量；·脆弱性被利用的難易程度。10.4.4風險評估的過程

威脅發(fā)生的可能性的大小可以采取分級賦值的方法予以確定。例如，將可能性分為三個等級：非?？赡?3，大概可能=2，不太可能=1。威脅發(fā)生的可能性的大小與威脅發(fā)生的條件是密切相關(guān)的。例如，消防管理好的部門發(fā)生火災的可能性要比消防管理差的部門發(fā)生火災的可能性小。10.4.4風險評估的過程

因此，上述根據(jù)經(jīng)驗或統(tǒng)計獲得的威脅發(fā)生的可能性，可以是一個組織、相同行業(yè)或者社會的均值，對于具體環(huán)境中威脅發(fā)生的可能性，應考慮具體資產(chǎn)的脆弱性予以修正。10.4.4風險評估的過程

3．脆弱性評估接下來就要檢查每項信息資產(chǎn)所面臨的威脅，并且建立一個脆弱性列表。什么是脆弱性？它們是威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。它們是信息資產(chǎn)鐵甲中的裂縫——信息資產(chǎn)、安全程序、設(shè)計或控制中的瑕疵或缺點，可以無意或故意破壞安全。10.4.4風險評估的過程

僅有威脅還構(gòu)不成風險。由于組織缺乏充分的安全控制，組織需要保護信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點，即脆弱性。這些弱點可能來自組織結(jié)構(gòu)、人員、管理、程序和資產(chǎn)本身的缺陷等，大體可以分為以下幾類。（1）技術(shù)脆弱性系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計問題和變成漏洞等。（2）操作脆弱性軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習慣、審計或備份的缺乏等。10.4.4風險評估的過程

（3）管理脆弱性策略、程序和規(guī)章制度等方面的弱點。識別脆弱性的途徑有很多，包括各種審計報告、事件報告、安全復查報告、系統(tǒng)測試及評估報告等，還可以利用專業(yè)機構(gòu)發(fā)布的信息。10.4.4風險評估的過程

評估弱點時需要考慮兩個因素，一個是脆弱性的嚴重程度，另一個是脆弱性的暴露程度，即被威脅利用的可能性，這兩個因素也可以采用分級賦值的方法。例如對于脆弱性被威脅利用的可能性可以分級為：非?？赡?4，很可能=3，可能=2，不太可能=1，不可能=0。10.4.4風險評估的過程

4．現(xiàn)有安全控制的確認在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點，就是組織現(xiàn)有的安全控制措施。在風險評估過程中，應當識別已有的（或已計劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對于那些不適當?shù)目刂茟敽瞬槭欠駪蝗∠蛘哂酶线m的控制代替。10.4.4風險評估的過程

安全控制的分類方式有多種，按照目標和針對性可以分為：·管理性安全控制——對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理等?！げ僮餍园踩刂啤脕肀Ｗo系統(tǒng)和應用操作的流程和機制，包括人員職責、應急響應、事件處理，安全意識培訓等。10.4.4風險評估的過程

·技術(shù)性安全控制——身份識別與認證、邏輯訪問控制、日志審計和加密等。按照功能安全控制又可以分為以下幾類：·威懾性安全控制——此類控制可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機。·預防性安全控制——此類控制可以保護脆弱性，使攻擊難以成功，或者降低攻擊造成的影響。10.4.4風險評估的過程

·檢測性安全控制——此類控制可以檢測并及時發(fā)現(xiàn)攻擊活動，還可以激活糾正性或預防性安全控制?！ぜm正性安全控制——此類控制可以降低攻擊造成的影響。不同功能的安全控制應對風險的情況如圖10-4所示。另外應該注意，在風險評估之后選擇的安全控制與現(xiàn)有的和計劃的安全控制應保持兼容和一致，以避免在實施過程中出現(xiàn)沖突。威懾性安全控制預防性安全控制檢測性安全控制糾正性安全控制防止保護發(fā)現(xiàn)威脅脆弱性安全事件風險利用引發(fā)降低圖10-4安全控制應對風險各要素的情況10.4.4風險評估的過程

5．風險的評價所謂風險評價就是利用適當?shù)娘L險測量方法或工具確定風險的大小與等級，對組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄漏、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的安全控制方式。10.4.4風險評估的過程在風險評價過程中，可以采用多種操作方法，包括基于知識的分析方法，基于模型的分析方法，定量分析和定性分析方法等。無論何種方法，共同的目標都是找出組織信息資產(chǎn)面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。下面通過簡單的例子介紹風險評估結(jié)果的確定。10.4.4風險評估的過程（1）風險的確定某組織機構(gòu)通過分析，得到：風險=出現(xiàn)漏洞的可能性×資產(chǎn)價值（或威脅造成的影響）-已控制風險的比例+不確定因素。如：信息資產(chǎn)A的價值是50，有1個漏洞，出現(xiàn)的可能性是1.0，當前沒有控制風險，估計該假設(shè)和數(shù)據(jù)的準確率為90%。則：資產(chǎn)A由于一個漏洞引起的風險等級=（50*1.0）-0%+10%=50.110.4.4風險評估的過程信息資產(chǎn)B的價值是100，有2個漏洞，其中一個出現(xiàn)的可能性是0.5，當前已控制的風險比例是50%；另一個出現(xiàn)的可能性是0.1，當前沒有控制風險。估計該假設(shè)和數(shù)據(jù)的準確率為80%。則資產(chǎn)B由于兩個漏洞引起的風險等級分別是：（100*0.5）-50%+20%=49（100*0.1）-0%+20%=10.210.4.4風險評估的過程（2）記錄風險評估的結(jié)果在風險評估過程結(jié)束時，將得到一份很長的信息資產(chǎn)列表，其中包含這些信息資產(chǎn)的各種數(shù)據(jù)。到目前為止，這個過程的目標是識別機構(gòu)中存在脆弱性并面臨威脅的信息資產(chǎn)，并將它們列出來，依照最需要保護的順序劃出等級。最后的總結(jié)文件是風險等級表，如表10-4所示。資產(chǎn)資產(chǎn)影響或相關(guān)價值漏洞（脆弱性）漏洞出現(xiàn)（脆弱性暴露）的可能性風險等級因子通過電子的客戶服務請求（輸入）55由于硬件故障而導致電子郵件中斷0.211通過SSL客戶訂單（輸入）100由于Web服務器硬件故障而導致訂單丟失0.110表10-4風險等級通過SSL客戶訂單（輸入）100由于Web服務器或ISP服務故障而導致訂單丟失0.110通過電子的客戶服務請求（輸入）55由于SMTP郵件轉(zhuǎn)發(fā)攻擊而導致電子郵件中斷0.15.5通過電子的客戶服務請求（輸入）55由于ISP服務失敗而導致電子郵件中斷0.15.5通過SSL客戶訂單（輸入）100由于Web服務器拒絕服務攻擊而導致訂單丟失0.0252.5通過SSL客戶訂單（輸入）100由于Web服務器軟件故障而導致訂單丟失0.01110.4.4風險評估的過程

上表中列出了每項易受攻擊的資產(chǎn)，顯示了權(quán)重因子分析表中此項資產(chǎn)的價值。在這個例子中，數(shù)字從1至100，并列出了每個不可控的漏洞及出現(xiàn)的可能性，且計算出風險等級因子。從表中可以看出，最大的風險來自易受攻擊的郵件服務器。盡管由客戶服務電子郵件所代表的信息資產(chǎn)的影響等級僅為5.5，但是硬件相對較高的故障率使它成為最緊迫的問題。10.5風險控制通過風險識別和風險評估后，風險管理的下一步工作就是對風險實施安全控制，以確保風險被降低或消除。10.5.1風險控制策略機構(gòu)信息安全管理人員在進行風險控制時，可以根據(jù)機構(gòu)的實際情況選擇如下4項基本策略，來控制風險。（1）避免——采取安全措施，消除或者減少漏洞的不可控制的殘留風險。（2）轉(zhuǎn)移——將風險轉(zhuǎn)移到其他區(qū)域，或者轉(zhuǎn)移到外部。

10.5.1風險控制策略（3）緩解——減少漏洞產(chǎn)生的影響。（4）接受——對殘留風險進行確認和評價的過程。1．避免避免是試圖防止脆弱性被利用的風險控制策略。這是一種首選方法，通過對抗威脅，排除資產(chǎn)中的漏洞，限制對資產(chǎn)的訪問，加強安全保護措施來實現(xiàn)。10.5.1風險控制策略風險避免有3種常用的方法。（1）通過應用政策來避免。這種方法允許管理人員頒布特定的后續(xù)步驟。例如，如果機構(gòu)需要更嚴格的控制密碼的使用，就應該執(zhí)行一項政策，要求所有的IT系統(tǒng)都使用密碼。10.5.1風險控制策略（2）教育培訓。必須使員工了解政策。另外，新技術(shù)通常需要培訓。如果希望員工的行為比較安全、有控制，認識、培訓以及教育就是必不可少的。10.5.1風險控制策略（3）應用技術(shù)。在信息安全中，通常需要技術(shù)解決方案來確保減少風險。如密碼可用于大多數(shù)現(xiàn)代的操作系統(tǒng)，但一些系統(tǒng)管理員可能沒有使用密碼。如果政策要求使用密碼，管理員也意識到它的必要性，并參加了培訓，這個技術(shù)控制就會得到成功的使用。10.5.1風險控制策略風險可以通過對抗資產(chǎn)面臨的威脅或者禁止暴露資產(chǎn)來避免。消除威脅是非常困難的，但有可能實現(xiàn)。避免威脅的另一個風險管理辦法是實現(xiàn)安全控制和防護，使針對系統(tǒng)的攻擊發(fā)生偏離，因此將攻擊成功的概率降到最小。10.5.1風險控制策略2．轉(zhuǎn)移轉(zhuǎn)移是將風險轉(zhuǎn)移到其他資產(chǎn)、其他過程或其他機構(gòu)的控制方法。它可以通過重新考慮如何提供服務、修改部署模式、外包給其他機構(gòu)、購買保險或與提供商簽署服務合同來實現(xiàn)。10.5.1風險控制策略優(yōu)秀機構(gòu)有8個特征，其中一個特征是“只管自己的事情”，對于了解的業(yè)務保持合理的關(guān)注度。它意味著，機構(gòu)并不把精力浪費在開發(fā)網(wǎng)站的技術(shù)上，而是將精力和資源集中于其優(yōu)勢業(yè)務上，而其他的專業(yè)技術(shù)則依靠顧問或者承包商來完成。10.5.1風險控制策略精明的機構(gòu)一般不管理自己的服務器，而是雇傭Web管理員、Web系統(tǒng)管理員和專業(yè)的安全專家，雇傭ISP或咨詢機構(gòu)，為他們提供這些產(chǎn)品和服務。10.5.1風險控制策略這樣，機構(gòu)就可以將管理復雜系統(tǒng)的風險轉(zhuǎn)嫁給對處理這些風險有經(jīng)驗的另一個機構(gòu)。但是外包并非不存在風險。信息資產(chǎn)的所有者、IT管理人員和信息安全組要保證外包合同中的災難恢復要求足夠多，并在進行恢復工作前得到滿足。10.5.1風險控制策略3．緩解緩解是一種控制方法，它試圖通過規(guī)劃和預先的準備工作，來減少漏洞造成的影響。這種方法包括3類計劃，事件響應計劃（IRP）、災難恢復計劃（DRP）和業(yè)務持續(xù)性計劃（BCP）。每種計劃都取決于盡快檢測和響應攻擊的能力，依賴于其他計劃的建立和質(zhì)量。緩解起源于早期發(fā)現(xiàn)的攻擊和機構(gòu)快速、高效的響應能力。緩解策略如表10-5所示。計劃描述實例何時使用時間范圍事件響應計劃（IRP）在事件（攻擊）進行過程中機構(gòu)采取的行動·災難發(fā)生期間采取的措施·情報收集·信息分析當事件或者災難發(fā)生時立即并實時做出響應表10-5