信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程

第1章信息平安風(fēng)險(xiǎn)評(píng)估實(shí)施流程1.1風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備1.2資產(chǎn)識(shí)別1.3脆弱性識(shí)別1.4已有平安措施確認(rèn)1.5風(fēng)險(xiǎn)分析1.6風(fēng)險(xiǎn)評(píng)估文件記錄1.7風(fēng)險(xiǎn)評(píng)估文件記錄

信息平安風(fēng)險(xiǎn)評(píng)估實(shí)施流程

信息平安風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程度，為防范和化解信息平安風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制定針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施以最大限度地保障網(wǎng)絡(luò)和信息平安提供科學(xué)依據(jù)。

在信息化建設(shè)中，各類應(yīng)用系統(tǒng)及其賴以運(yùn)用的根底網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息是業(yè)務(wù)實(shí)現(xiàn)的保障，由于其可能存在軟硬件設(shè)備缺陷、系統(tǒng)集成缺陷等，以及信息平安管理中潛在的薄弱環(huán)節(jié)，都將導(dǎo)致不同程度的平安風(fēng)險(xiǎn)。

信息平安風(fēng)險(xiǎn)評(píng)估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)建設(shè)、運(yùn)行、管理中的平安隱患，并為增強(qiáng)平安性提供有效建議，以便采取更加經(jīng)濟(jì)、更加有力的平安保障措施，提高信息平安的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的平安保障能力。

信息平安風(fēng)險(xiǎn)評(píng)估在具體實(shí)施中一般包括風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)，對(duì)信息系統(tǒng)資產(chǎn)平安、面臨威、存在脆弱性的識(shí)別，對(duì)已經(jīng)采取平安措施確實(shí)認(rèn)，對(duì)可能存在的信息平安風(fēng)險(xiǎn)的識(shí)別等環(huán)節(jié)。

1.1風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備

風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是實(shí)施風(fēng)險(xiǎn)評(píng)估的前提，只有有效地進(jìn)行了信息平安風(fēng)險(xiǎn)評(píng)估準(zhǔn)備，才能更好地開展信息平安風(fēng)險(xiǎn)評(píng)估。由于實(shí)施信息平安風(fēng)險(xiǎn)評(píng)估，涉及組織的業(yè)務(wù)流程、信息平安需求、信息系統(tǒng)規(guī)模、信息系統(tǒng)結(jié)構(gòu)等多方面內(nèi)容，因此開展信息平安風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)，通過確定目標(biāo)、進(jìn)行調(diào)研、獲得組織高層管理者對(duì)評(píng)估的支持等，對(duì)有效實(shí)施風(fēng)險(xiǎn)評(píng)估是十分必要的。

信息平安評(píng)估的準(zhǔn)備活動(dòng)包括

1.確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)

2.確定風(fēng)險(xiǎn)評(píng)估的范圍

3.組建風(fēng)險(xiǎn)評(píng)估管理團(tuán)隊(duì)和評(píng)估實(shí)施團(tuán)隊(duì)

4.進(jìn)行系統(tǒng)調(diào)研

5.確定評(píng)估依據(jù)和方法

6.獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持

1.1.1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)

首先需要確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)，信息平安需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須到達(dá)的信息平安要求，通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對(duì)信息平安等的機(jī)密性、可用性、完整性等方面的需求，來確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)。

1.1.2確定風(fēng)險(xiǎn)評(píng)估的范圍

在風(fēng)險(xiǎn)評(píng)估前，需要確定風(fēng)險(xiǎn)評(píng)估的范圍。風(fēng)險(xiǎn)評(píng)估的范圍，包括組織內(nèi)部與信息處理相關(guān)的各類軟硬件資產(chǎn)、相關(guān)的管理機(jī)構(gòu)和人員、所處理的信息等各方面。

實(shí)施一次風(fēng)險(xiǎn)評(píng)估的范圍可大可小，需要根據(jù)具體評(píng)估需求確定，可以對(duì)組織全部的信息系統(tǒng)進(jìn)行評(píng)估，也可以僅對(duì)關(guān)鍵業(yè)務(wù)流程進(jìn)行評(píng)估，也可以對(duì)組織的關(guān)鍵部門的信息系統(tǒng)進(jìn)行評(píng)估等。

1.1.3組建評(píng)估管理團(tuán)隊(duì)和評(píng)估實(shí)施團(tuán)隊(duì)

在確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍后，需要組建風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，具體執(zhí)行組織的風(fēng)險(xiǎn)評(píng)估。由于風(fēng)險(xiǎn)評(píng)估涉及組織管理、業(yè)務(wù)、信息資產(chǎn)等各個(gè)方面，因此風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)中除了信息平安評(píng)估人員的參與，以便更好地了解組織信息平安狀況，以利于風(fēng)險(xiǎn)評(píng)估的實(shí)施。

1.1.4進(jìn)行系統(tǒng)調(diào)研

在確定了風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)后，要進(jìn)行系統(tǒng)調(diào)研，并根據(jù)系統(tǒng)調(diào)研的結(jié)果斷定評(píng)估將采用的評(píng)估方法等技術(shù)手段。系統(tǒng)調(diào)研內(nèi)容包括：1.組織業(yè)務(wù)戰(zhàn)略

2.組織管理制度

3.組織主要業(yè)務(wù)功能和要求

4.網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境〔包括內(nèi)部連接和外部連接〕

5.網(wǎng)絡(luò)系統(tǒng)邊界

6.主要的硬、軟件

7.數(shù)據(jù)和信息

8.系統(tǒng)和數(shù)據(jù)的敏感性

9.系統(tǒng)使用人員

10.其他

系統(tǒng)調(diào)研方法可以采用問卷調(diào)查、現(xiàn)場(chǎng)訪談等方法進(jìn)行。

1.1.5確定評(píng)估依據(jù)和方法

以系統(tǒng)調(diào)研結(jié)果為依據(jù)，根據(jù)被評(píng)估信息系統(tǒng)的具體情況，確定風(fēng)險(xiǎn)評(píng)估依據(jù)和方法。

評(píng)估依據(jù)包括吸納有國(guó)際或國(guó)家有關(guān)信息平安標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的平安要求、組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求等。

根據(jù)評(píng)估依據(jù)，并綜合考慮評(píng)估的目的、范圍時(shí)間效果評(píng)估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)組織業(yè)務(wù)實(shí)施對(duì)系統(tǒng)平安運(yùn)行的需求，確定相關(guān)的評(píng)估判斷依據(jù)，使之能夠與組織環(huán)境和平安要求相適應(yīng)。

1.1.6獲得支持

就以上內(nèi)容形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，并報(bào)組織最高管理者批準(zhǔn)，以獲得其對(duì)風(fēng)險(xiǎn)評(píng)估方案的支持，同時(shí)在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容對(duì)管理者和技術(shù)人員進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。1.2資產(chǎn)識(shí)別

1.2.1資產(chǎn)分類

風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別，因?yàn)閮r(jià)值不同將導(dǎo)致風(fēng)險(xiǎn)值不同。

而風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是以資產(chǎn)的機(jī)密性、完整性、和可用性三個(gè)方面屬性為根底進(jìn)行衡量。

資產(chǎn)在機(jī)密性、完整性和可用性三個(gè)屬性上的要求不同，那么資產(chǎn)的最終價(jià)值也不同。

在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同。首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾源藶楦走M(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可以將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、效勞、人員等類型。表1-1列出了一種資產(chǎn)的分類方法。

表1-1一種基于表現(xiàn)形式的資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享的源代碼、自行或合作開發(fā)的各種源代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他：打印機(jī)、復(fù)印件、掃描儀、傳真機(jī)等表1-1一種基于表現(xiàn)形式的資產(chǎn)分類方法分類示例服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS),包括各種內(nèi)部配置管理文件文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依賴該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等1.2.2資產(chǎn)賦值

對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的平安狀況，即資產(chǎn)的機(jī)密性、完整性和可用性，對(duì)組織信息平安性的影響程度。

資產(chǎn)賦值的過程也就是對(duì)資產(chǎn)在機(jī)密性完整性和可用性上的要求進(jìn)行分析，并在此根底上得出綜合結(jié)果的過程。資產(chǎn)對(duì)機(jī)密性、完整性和可用性上的要求可由平安屬性缺失時(shí)造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額、組織形象的損失。1.機(jī)密性賦值

根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。表1-2提供了一種機(jī)密性賦值的參考。表1-2資產(chǎn)機(jī)密性賦值表賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益受到嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織利益造成輕微損害1很低可對(duì)社會(huì)公開的信息、公用的信息處理設(shè)備和系統(tǒng)資源等2.完整性賦值

根據(jù)資產(chǎn)在完整性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性商缺失時(shí)對(duì)整個(gè)組織的影響。表1-3提供了一種完整性賦值的參考。

表1-3資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，損失難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，損失難以彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但損失可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，但損失容易彌補(bǔ)1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略

3.可用性賦值

根據(jù)資產(chǎn)在可用性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上缺失時(shí)對(duì)整個(gè)組織的影響。表1-4提供了一種可用性賦值的參考。表1-4資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30分鐘2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60分鐘1很低可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%4.資產(chǎn)重要性等級(jí)

資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出。綜合評(píng)定方法可以選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。

這里為與上述平安屬性的賦值相對(duì)應(yīng)，根據(jù)最終賦值資產(chǎn)劃分為5級(jí)，級(jí)別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實(shí)際情況確定資產(chǎn)識(shí)別中的賦值依據(jù)和等級(jí)。表1-5中的資產(chǎn)等級(jí)劃分說明了不同等級(jí)的重要性的綜合描述。評(píng)估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并圍繞重要資產(chǎn)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。表1-5資產(chǎn)等級(jí)及含義描述賦值標(biāo)識(shí)定義5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中等比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后可能對(duì)組織造成很小的損失，甚至忽略不計(jì)1.3威脅識(shí)別

1.3.1威脅分類

信息平安威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗力的因素和其他物理因素。

威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，也可能是偶發(fā)的或蓄意的平安事件，都會(huì)在信息的機(jī)密性、完整性或可用性等方面造成損害。

在對(duì)威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。表1-6提供了一種威脅來源的分類方法。

表1-6威脅來源列表來源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蚊蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件、自然災(zāi)害、意外事故以及軟件、硬件數(shù)據(jù)、通信線路等方面的故障所帶來的威脅人為威脅惡意人員因某種原因，內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊1.3威脅識(shí)別

對(duì)威脅進(jìn)行分類的方式有多種，針對(duì)表1-6的威脅來源，可以根據(jù)其表現(xiàn)形式進(jìn)行威脅分類。表1-7提供了一種基于表現(xiàn)形式的威脅分類方法。表1-7一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通信鏈路中斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障物理環(huán)境影響由于斷電、靜電、灰塵、潮濕、溫度、鼠蚊蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害對(duì)系統(tǒng)造成的影響無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成的影響維護(hù)錯(cuò)誤、操作失誤管理不到位安全管理措施沒有落實(shí)，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行表1-7一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件、蠕蟲、陷門等越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)、如偵察、密碼破譯、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)嗅探（賬戶、口令、權(quán)限等）用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)那個(gè)運(yùn)行的控制和破壞物理攻擊通過物理接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊

表1-7一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類泄密信息泄露給不應(yīng)該了解的人員內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息、安全配置信息、用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴1.3威脅識(shí)別

1.3.2威脅賦值

威脅出現(xiàn)的頻率是衡量威脅嚴(yán)重程度的重要要素，因此威脅識(shí)別后需要對(duì)威脅頻率進(jìn)行賦值，已帶入最后的風(fēng)險(xiǎn)計(jì)算中。

評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和〔或〕有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來對(duì)威脅頻率進(jìn)行賦值，威脅賦值中需要綜合考慮以下三個(gè)方面因素。

1.3威脅識(shí)別

1.3.2威脅賦值

1〕以往平安事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)

2〕實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；

3〕近年來國(guó)際組織發(fā)布的對(duì)與整個(gè)社會(huì)或特定的行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。

可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的上下。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。

表1-8威脅賦值表等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)頻率很高（或>=1次/周）；或在大多數(shù)情況下幾乎不可能避免；或可以證實(shí)經(jīng)常發(fā)生過4高出現(xiàn)頻率較高（或>=1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次經(jīng)常發(fā)生過3中等出現(xiàn)頻率中等（或>=1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過2低出現(xiàn)頻率較小；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生

表1-8提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中，威脅頻率的判斷應(yīng)根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷，在評(píng)估準(zhǔn)備階段確定，并得到被評(píng)估方的認(rèn)可。

1.4脆弱性識(shí)別

脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致平安事件發(fā)生進(jìn)而帶來損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。

資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件下和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的局部。不正確的，起不到應(yīng)有作用的或沒有正確實(shí)施平安措施本身就可能存在脆弱性。

脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱的嚴(yán)重程度進(jìn)行評(píng)估，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。脆弱識(shí)別的依據(jù)可以是國(guó)際國(guó)家平安標(biāo)準(zhǔn)，也可以是行業(yè)標(biāo)準(zhǔn)、應(yīng)用流程的平安要求。對(duì)應(yīng)用在不同的環(huán)境中的相同弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織平安策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。

信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。

脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。

脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的平安問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。

對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。例如，對(duì)物理環(huán)境的脆弱性識(shí)別可以參照GB/T9361-2000《計(jì)算機(jī)場(chǎng)地平安要求》中的技術(shù)指標(biāo)實(shí)施；對(duì)操作系統(tǒng)、數(shù)據(jù)庫可以參照GB17859-1999《計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么》中的技術(shù)指標(biāo)實(shí)施管理脆弱性識(shí)別方面可以參照GB/T19716-2005《信息技術(shù)信息平安管理實(shí)用規(guī)那么》的要求對(duì)平安管理制度及及執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和缺乏。表１－９提供一種脆弱性識(shí)別內(nèi)容的參考。

表1-9脆弱性識(shí)別內(nèi)容表類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全策略等方面進(jìn)行識(shí)別系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務(wù)）從補(bǔ)丁安裝。物理保護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審查、訪問控制、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性數(shù)據(jù)庫軟件從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制列表策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從策略安全、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別

脆弱性賦值

可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重進(jìn)行賦值。由于很多弱點(diǎn)反映的是一方面的問題，或可能造成相似的后果，賦值時(shí)應(yīng)綜合考慮這些弱點(diǎn)，以確定這一方面脆弱性的嚴(yán)重程度。

對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化管理，不同的等級(jí)分別代表資產(chǎn)脆弱性的嚴(yán)重程度上下。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。表1-10提供了脆弱性嚴(yán)重程度的一種賦值方法。

表1-10脆弱性嚴(yán)重程度賦值表等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略

1.5已有平安措施確認(rèn)

平安措施可以分為預(yù)防性平安措施和保護(hù)性平安措施兩種。預(yù)防性平安措施可以降低威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性平安措施可以減少因平安事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。

在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的平安措施的有效性進(jìn)行檢查，檢查平安措施是否有效發(fā)揮了作用，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)于已經(jīng)有效地發(fā)揮了其作用的平安措施，應(yīng)繼續(xù)保持，而不用重復(fù)建設(shè)平安措施；對(duì)于不適當(dāng)?shù)钠桨泊胧?，用?duì)其進(jìn)行改進(jìn)，或采用更適宜的平安措施替代。

已有平安措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，平安措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但平安措施確認(rèn)并不需要和脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理方案的制定提供依據(jù)和參考。

1.6風(fēng)險(xiǎn)分析

1.6.1風(fēng)險(xiǎn)計(jì)算原理

風(fēng)險(xiǎn)定義為威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性。

在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有平安措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具進(jìn)行平安風(fēng)險(xiǎn)分析和計(jì)算，下面使用的范式形式化說明風(fēng)險(xiǎn)計(jì)算原理：

風(fēng)險(xiǎn)值=R=〔A,T,V〕

=R(L(T,V),F(Ia,Va))

其中：R表示平安風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅出現(xiàn)頻率，V表示脆弱性，Ia表示平安事件所作用的資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度，L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件發(fā)生的可能性，F(xiàn)表示平安事件發(fā)生后產(chǎn)生的損失。

在風(fēng)險(xiǎn)計(jì)算中有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：

1.計(jì)算平安事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性，即：

平安事件發(fā)生的可能性=L〔威脅出現(xiàn)頻率，脆弱性〕=(L,V)

在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力〔專業(yè)技術(shù)程度、攻擊設(shè)備等〕、脆弱性被利用的難易程度〔可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等〕、資產(chǎn)吸引力等因素來判斷平安事件發(fā)生的可能性。

2.計(jì)算平安事件發(fā)生后的損失

根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算平安事件一旦發(fā)生后的損失，即：

平安事件的損失=F〔資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度〕

=F(Ia,Va)

局部平安事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同平安事件的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)平安事件的損失，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。

局部平安事件損失的判斷還應(yīng)參照平安事件發(fā)生的可能性的結(jié)果，對(duì)發(fā)生可能性極少的平安事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計(jì)算其損失。

3.計(jì)算風(fēng)險(xiǎn)值

根據(jù)計(jì)算出的平安事件發(fā)生的可能性以及平安事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：

風(fēng)險(xiǎn)值=R〔平安事件發(fā)生的可能性，平安事件的損失〕

=R(L(T,V),F(Ia,Va))

評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算出風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成平安事件發(fā)生的可能性與平安事件的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將平安事件發(fā)生的可能性與平安事件的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

1.6.2風(fēng)險(xiǎn)結(jié)果判定

為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理?？梢詫L(fēng)險(xiǎn)劃分為一定的級(jí)別，如劃分為5級(jí)或3級(jí)。等級(jí)越高，風(fēng)險(xiǎn)越高。

評(píng)估者應(yīng)根據(jù)采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的危險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。

表1-11提供了一種風(fēng)險(xiǎn)等級(jí)劃分方法。

等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害3中一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或產(chǎn)生經(jīng)營(yíng)影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡(jiǎn)單的措施就能彌補(bǔ)

風(fēng)險(xiǎn)等級(jí)劃分是為了在風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)進(jìn)行直觀的比較，以確定組織平安策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制本錢與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，那么該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn)，應(yīng)保持已有的平安措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，是可接受的風(fēng)險(xiǎn)，需要采取平安措施以降低、控制風(fēng)險(xiǎn)。

1.6.3風(fēng)險(xiǎn)處理方案

對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理方案。風(fēng)險(xiǎn)處理方案中應(yīng)明確指出采取的彌補(bǔ)弱點(diǎn)的平安措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。平安措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮，管理措施可以作為技術(shù)措施的補(bǔ)充。平安措施的選擇與實(shí)施應(yīng)參照信息平安的相關(guān)標(biāo)準(zhǔn)進(jìn)行。

在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)平安措施后，為確保平安措施的有效性，可進(jìn)行再