信息安全基礎(chǔ)知識(shí)等保、安檢張勝信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)教材

信息安全風(fēng)險(xiǎn)評(píng)估課程內(nèi)容2信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)一國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求二信息安全風(fēng)險(xiǎn)評(píng)估三信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)資產(chǎn)（Asset）威脅源（ThreatAgent）威脅（Threat）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影響（Impact,loss）風(fēng)險(xiǎn)（ Risk）殘余風(fēng)險(xiǎn)（ResidentalRisk）3信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西，是要保護(hù)的對(duì)象資產(chǎn)以多種形式存在（多種分類方法）物理的（如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等）；硬件的（如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、工具軟件和應(yīng)用軟件等）；有形的（如機(jī)房、設(shè)備和人員等）和無(wú)形的（如品牌、信心和名譽(yù)等）；靜態(tài)的（如設(shè)施和規(guī)程等）和動(dòng)態(tài)的（如人員和過(guò)程等）；技術(shù)的（如計(jì)算機(jī)硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過(guò)程、計(jì)劃和人員等）等。4信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-威脅可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動(dòng)。威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)威脅舉例：操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析5漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會(huì)工程信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-脆弱性與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。造成風(fēng)險(xiǎn)的內(nèi)因。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅源利用恰當(dāng)?shù)耐{方式對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯(cuò)誤系統(tǒng)操作流程有缺陷維護(hù)人員安全意識(shí)不足6信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-控制措施根據(jù)安全需求部署，用來(lái)防范威脅，降低風(fēng)險(xiǎn)的措施。舉例部署防火墻、入侵檢測(cè)、審計(jì)系統(tǒng)測(cè)試環(huán)節(jié)操作審批環(huán)節(jié)應(yīng)急體系終端U盤管理制度7信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-可能性指威脅源利用脆弱性造成不良后果的可能性。舉例脆弱性只有國(guó)家級(jí)測(cè)試人員采用專業(yè)工具才能利用，發(fā)生不良后果的可能性很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生的可能性較小?；ヂ?lián)網(wǎng)公開(kāi)漏洞且有相應(yīng)的測(cè)試工具，發(fā)生不良后果的可能性很大。8信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-影響指威脅源利用脆弱性造成不良后果的程度大小舉例網(wǎng)站被黑客控制，國(guó)家級(jí)網(wǎng)站比省市網(wǎng)站的名譽(yù)損失大很多。銀行門戶網(wǎng)站和內(nèi)部核心系統(tǒng)受到攻擊，其核心系統(tǒng)的損失更大。同樣型號(hào)路由器被攻破，用于互聯(lián)網(wǎng)骨干路由要比企業(yè)內(nèi)部系統(tǒng)的路由器損失更大。9信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)指威脅源采用恰當(dāng)?shù)耐{方式利用脆弱性造成不良后果。網(wǎng)站存在SQL注入漏洞，普通攻擊者利用自動(dòng)化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國(guó)家政府部門聲譽(yù)10威脅源威脅方式脆弱性風(fēng)險(xiǎn)采取利用造成信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)GB/T20984的定義：信息安全風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。11對(duì)風(fēng)險(xiǎn)的理解風(fēng)險(xiǎn)的五方面威脅源威脅行為脆弱性資產(chǎn)影響12走在路上被隕石砸到走在馬路上被汽車撞倒信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)之間的關(guān)系13威脅源威脅方式脆弱性風(fēng)險(xiǎn)采取利用造成資產(chǎn)不良影響控制措施破壞造成受控制直接影響信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-殘余風(fēng)險(xiǎn)指采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的安全事件舉例風(fēng)險(xiǎn)列表中有10類風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)成本效益分析，只有前8項(xiàng)需要控制，則另2項(xiàng)為殘余風(fēng)險(xiǎn)，一段時(shí)間內(nèi)系統(tǒng)處于風(fēng)險(xiǎn)可接受水平。14信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)-風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。15風(fēng)險(xiǎn)評(píng)估的理解信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。16國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求1、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）中明確提出：“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”

17國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求2、《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)〉》（國(guó)信辦【2006】5號(hào)文）中明確規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的相關(guān)要求：風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容和原則風(fēng)險(xiǎn)評(píng)估工作的基本要求開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排18《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求

1、信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作，可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)，有針對(duì)性地制定和部署安全措施，從而避免產(chǎn)生欠保護(hù)或過(guò)保護(hù)的情況。2、在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí)，通過(guò)風(fēng)險(xiǎn)評(píng)估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。19《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求

3、由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安全環(huán)境的變化，會(huì)不斷出現(xiàn)新的信息安全風(fēng)險(xiǎn)，因此，在信息系統(tǒng)的運(yùn)行階段，應(yīng)當(dāng)定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，以檢驗(yàn)安全措施的有效性以及對(duì)安全環(huán)境的適應(yīng)性。當(dāng)安全形勢(shì)發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí)，應(yīng)及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。4、信息安全風(fēng)險(xiǎn)評(píng)估也是落實(shí)等級(jí)保護(hù)制度的重要手段，應(yīng)通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。20《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求

1、信息安全風(fēng)險(xiǎn)評(píng)估工作敏感性強(qiáng)，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險(xiǎn)，《意見(jiàn)》強(qiáng)調(diào)，必須高度重視信息安全風(fēng)險(xiǎn)評(píng)估的組織管理工作2、為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn)，《意見(jiàn)》提出以下要求：1）參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。2）風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。3）對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行。

21《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求

3、加快制定和完善信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國(guó)家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。4、要加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估核心技術(shù)、方法和工具的研究與攻關(guān)。5、要從抓試點(diǎn)開(kāi)始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)，用三年左右的時(shí)間在我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作，全面提高我國(guó)信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國(guó)信息化發(fā)展服務(wù)。

222071號(hào)文件對(duì)電子政務(wù)提出要求3、為落實(shí)《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》（發(fā)改委[2007]55號(hào)令）對(duì)風(fēng)險(xiǎn)評(píng)估的要求，發(fā)改高技【2008】2071號(hào)文件《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》提出了具體要求：（相當(dāng)于“信息安全審計(jì)”）電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作評(píng)估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù)項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)投入運(yùn)行后，應(yīng)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估23風(fēng)險(xiǎn)評(píng)估工作承擔(dān)單位國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心涉密系統(tǒng)非涉密系統(tǒng)中國(guó)信息安全測(cè)評(píng)中心國(guó)家信息技術(shù)安全研究中心公安部信息安全等級(jí)保護(hù)評(píng)估中心風(fēng)險(xiǎn)評(píng)估專業(yè)隊(duì)伍24需要強(qiáng)調(diào)：一次測(cè)評(píng)兩個(gè)報(bào)告發(fā)改委要求：一次測(cè)評(píng)工作，提交兩個(gè)測(cè)評(píng)報(bào)告，即風(fēng)險(xiǎn)評(píng)估報(bào)告和等保測(cè)評(píng)報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告的格式由中國(guó)信息安全測(cè)評(píng)中心和國(guó)家信息技術(shù)安全研究中心牽頭制定，基本格式參照原國(guó)信辦檢查評(píng)估的報(bào)告等保測(cè)評(píng)報(bào)告的格式由等級(jí)保護(hù)的主管部門負(fù)責(zé)制定25風(fēng)險(xiǎn)評(píng)估、安全檢查和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系等保測(cè)評(píng)、安全檢查都是在既定安全基線的基礎(chǔ)上開(kāi)展的符合性測(cè)評(píng)，其中等保測(cè)評(píng)是符合國(guó)家安全要求的測(cè)評(píng)，安全檢查是符合行業(yè)主管安全要求的符合性測(cè)評(píng)。而風(fēng)險(xiǎn)評(píng)估是在國(guó)家、行業(yè)安全要求的基礎(chǔ)上，以被評(píng)估系統(tǒng)特定安全要求為目標(biāo)而開(kāi)展的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)。26風(fēng)險(xiǎn)評(píng)估實(shí)施流程27

準(zhǔn)備識(shí)別計(jì)算

報(bào)告一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程：準(zhǔn)備（Readiness）、識(shí)別（Realization）、計(jì)算（Calculation）、報(bào)告（Report）識(shí)別資產(chǎn)威脅漏洞

準(zhǔn)備資料審核

SLA

工作計(jì)劃組隊(duì)計(jì)算威脅概率事件影響風(fēng)險(xiǎn)定級(jí)

報(bào)告整改建議各類文檔

28

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作準(zhǔn)備工作中要注意的問(wèn)題相親：前期交流（成功案例簡(jiǎn)介、測(cè)評(píng)機(jī)構(gòu)資質(zhì)簡(jiǎn)介、被測(cè)系統(tǒng)大致規(guī)模、測(cè)評(píng)服務(wù)費(fèi)用測(cè)算…）訂婚：服務(wù)水平協(xié)議SLA（獲取詳細(xì)資料的前提，對(duì)方的授權(quán)、雙方的義務(wù)，可和保密協(xié)議整合…）甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場(chǎng)測(cè)評(píng)制訂問(wèn)卷清單…）乙方禮單：工作計(jì)劃（案例分析綜合組、管理組、網(wǎng)絡(luò)組…）迎親：進(jìn)場(chǎng)準(zhǔn)備（進(jìn)場(chǎng)通知，如對(duì)方或第三方人員；設(shè)備準(zhǔn)備，如工具等，標(biāo)識(shí)佩戴…）29現(xiàn)場(chǎng)測(cè)評(píng)30現(xiàn)場(chǎng)測(cè)評(píng)工作要注意的問(wèn)題首次會(huì)議（必須），聽(tīng)取對(duì)方高管的情況簡(jiǎn)介，向被測(cè)單位有關(guān)人員說(shuō)明此次任務(wù)、測(cè)評(píng)計(jì)劃介紹、雙方測(cè)評(píng)人員的相互認(rèn)識(shí)…問(wèn)詢技巧（直接提問(wèn)，如業(yè)務(wù)重要性；間接提問(wèn)，如安全事件；反向提問(wèn)，適合于所有方面）資料核對(duì)（拓?fù)浜藢?duì)，管理體系文檔，設(shè)計(jì)文檔，設(shè)備臺(tái)賬…）現(xiàn)場(chǎng)檢測(cè)（測(cè)試過(guò)程記錄、抓屏、數(shù)據(jù)提取…）末次會(huì)議（必須），向?qū)Ψ礁吖芎?jiǎn)要總結(jié)現(xiàn)場(chǎng)測(cè)評(píng)的初步結(jié)論，但切忌做最終結(jié)論

31資產(chǎn)識(shí)別資產(chǎn)識(shí)別在整個(gè)風(fēng)險(xiǎn)評(píng)估中起什么作用？?jī)牲c(diǎn)：是整個(gè)風(fēng)險(xiǎn)評(píng)估工作的起點(diǎn)和終點(diǎn)資產(chǎn)識(shí)別的重點(diǎn)和難點(diǎn)是什么？一線：業(yè)務(wù)戰(zhàn)略→信息化戰(zhàn)略→系統(tǒng)特征（管理/技術(shù)）資產(chǎn)識(shí)別的方法有哪些？資產(chǎn)分類：樹(shù)狀法。自然形態(tài)分類（勾畫資產(chǎn)樹(shù)：管理、技術(shù)…逐步往下細(xì)化）；信息形態(tài)分類（信息環(huán)境、信息載體、信息）32按信息形態(tài)分類33威脅識(shí)別威脅識(shí)別與資產(chǎn)識(shí)別是何關(guān)系？點(diǎn)和面：重點(diǎn)識(shí)別和全面識(shí)別威脅識(shí)別的重點(diǎn)和難點(diǎn)是什么？三問(wèn)：“敵人”在哪兒？效果如何？如何取證？威脅識(shí)別的方法有哪些？日志分析歷史安全事件專家經(jīng)驗(yàn)互聯(lián)網(wǎng)信息檢索威脅分類分為：人為故意威脅威脅意圖評(píng)估、威脅能力評(píng)估、操作限制評(píng)估、威脅源特點(diǎn)評(píng)估人為非故意威脅判定威脅源、評(píng)估威脅源特點(diǎn)、評(píng)估威脅源環(huán)境、評(píng)估事故發(fā)生時(shí)間自然威脅地震、海嘯、洪水。3435脆弱性識(shí)別脆弱性識(shí)別的難點(diǎn)是什么？三性：隱蔽性、欺騙性、復(fù)雜性脆弱性識(shí)別的方法有哪些？脆弱性分類：管理脆弱性、結(jié)構(gòu)脆弱性（如安全域劃分不當(dāng)）、操作脆弱性（如安全審計(jì)員業(yè)務(wù)生疏）、技術(shù)脆弱性。脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證脆弱性識(shí)別內(nèi)容36常見(jiàn)脆弱性識(shí)別工作方式37脆弱性識(shí)別方式工作對(duì)象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機(jī)、應(yīng)用程序滲透測(cè)試系統(tǒng)各個(gè)層面安全架構(gòu)分析系統(tǒng)各個(gè)層面數(shù)據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開(kāi)發(fā)、運(yùn)維技術(shù)人員。。?，F(xiàn)有安全控制措施識(shí)別考慮：防護(hù)性措施威懾性措施預(yù)警性措施檢測(cè)性措施應(yīng)急處理性措施38（二）風(fēng)險(xiǎn)分析GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》給出信息安全風(fēng)險(xiǎn)分析思路

39風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。方法優(yōu)點(diǎn)缺點(diǎn)定性簡(jiǎn)易的計(jì)算方式不必精確算出資產(chǎn)價(jià)值不需得到量化的威脅發(fā)生率非技術(shù)或非安全背景的員工也能輕易參與流程和報(bào)告形式比較有彈性本質(zhì)上是非常主觀的對(duì)關(guān)鍵資產(chǎn)的財(cái)務(wù)價(jià)值評(píng)估參考性較低缺乏對(duì)風(fēng)險(xiǎn)降低的成本分析

定量1.結(jié)果建立在獨(dú)立客觀的程序或量化指標(biāo)上大部分的工作集中在制定資產(chǎn)價(jià)值和減緩可能風(fēng)險(xiǎn)主要目的是做成本效益的審核風(fēng)險(xiǎn)計(jì)算方法復(fù)雜需要自動(dòng)化工具及相當(dāng)?shù)幕A(chǔ)知識(shí)投入大個(gè)人難以執(zhí)行定量分析與定性分析40定量分析方法步驟1-評(píng)估資產(chǎn)：根據(jù)資產(chǎn)價(jià)值（AV）清單,計(jì)算資產(chǎn)總價(jià)值及資產(chǎn)損失對(duì)財(cái)務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE是指發(fā)生一次風(fēng)險(xiǎn)引起的收入損失總額。SLE是分配給單個(gè)事件的金額，代表一個(gè)具體威脅利用漏洞時(shí)將面臨的潛在損失。（SLE類似于定性風(fēng)險(xiǎn)分析的影響。）將資產(chǎn)價(jià)值與暴露系數(shù)相乘(EF)計(jì)算出SLE。暴露系數(shù)表示為現(xiàn)實(shí)威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比。步驟3-確定年發(fā)生率AROARO是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù).41定量分析方法（續(xù)）步驟4-確定年預(yù)期損失ALEALE是不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。SLE乘以ARO即可計(jì)算出該值。ALE類似于定量風(fēng)險(xiǎn)分析的相對(duì)級(jí)別。步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險(xiǎn)的發(fā)生而應(yīng)投入的費(fèi)用.步驟6-安全投資收益ROSI(實(shí)施控制前的ALE）–（實(shí)施控制后的ALE）–（年控制成本）=ROSI42后果或影響的定性量度（示例）等級(jí)描述

詳細(xì)情形1可以忽略無(wú)傷害，低財(cái)務(wù)損失2

較小立即受控制，中等財(cái)務(wù)損失3

中等

受控，高財(cái)務(wù)損失4

較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失定性分析方法43可能性的定性量度（示例）等級(jí)描述

詳細(xì)情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會(huì)發(fā)生C可能在某個(gè)時(shí)間可能會(huì)發(fā)生D不太可能在某個(gè)時(shí)間能夠發(fā)生E罕見(jiàn)僅在例外的情況下可能發(fā)生定性分析方法44風(fēng)險(xiǎn)分析矩陣—風(fēng)險(xiǎn)程度

可能性

后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕見(jiàn)）LLMHHE：極度風(fēng)險(xiǎn)H：高風(fēng)險(xiǎn)M：中等風(fēng)險(xiǎn)L:低風(fēng)險(xiǎn)定性分析方法45定性分析方法-矩陣法根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果。依此類推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)。

46定性分析方法-相乘法（1）計(jì)算安全事件發(fā)生可能性 威脅發(fā)生頻率：威脅T1=1； 脆弱性嚴(yán)重程度：脆弱性V1=3。 安全事件發(fā)生可能性=（2）計(jì)算安全事件的損失 資產(chǎn)價(jià)值：資產(chǎn)A1=4； 脆弱性嚴(yán)重程度：脆弱性V1=3。 計(jì)算安全事件的損失，安全事件損失=（3）計(jì)算風(fēng)險(xiǎn)值 安全事件發(fā)生可能性=2； 安全事件損失=3。 安全事件風(fēng)險(xiǎn)值=（4）確定風(fēng)險(xiǎn)等級(jí)

47定性分析與定量分析48方法優(yōu)點(diǎn)缺點(diǎn)定量按經(jīng)濟(jì)影響排列風(fēng)險(xiǎn)優(yōu)先級(jí)；按經(jīng)濟(jì)價(jià)值排列資產(chǎn)價(jià)值風(fēng)險(xiǎn)管理的效果以投資回報(bào)率衡量結(jié)果可用因管理而異的術(shù)語(yǔ)來(lái)表達(dá)（例如貨幣值和表達(dá)為具體百分比隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高–