信息安全評估知識培訓(xùn)

安全評估講師姓名機構(gòu)名稱版本：4.1課程內(nèi)容2信息安全評估知識域知識子域安全評估基礎(chǔ)信息系統(tǒng)審計安全評估實施知識子域：安全評估基礎(chǔ)安全評估概念了解安全評估的定義、價值、風(fēng)險評估工作內(nèi)容及安全評估工具類型；了解安全評估標(biāo)準(zhǔn)的發(fā)展；3安全評估基本概念什么是安全評估也稱風(fēng)險評估，是針對事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進行識別、評價的過程對安全評估的理解狹義廣義4風(fēng)險評估是確定安全需求的重要途徑！安全評估工作內(nèi)容確定保護的對象（保護資產(chǎn)）是什么？它們直接和間接價值？資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負(fù)面影響？組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險帶來的損失降低到最低程序。5安全評估的價值安全建設(shè)的起點和基礎(chǔ)信息安全建設(shè)和管理的科學(xué)方法倡導(dǎo)適度安全保護網(wǎng)絡(luò)空間安全的核心要素和重要手段6風(fēng)險評估工具風(fēng)險評估與管理工具一套集成了風(fēng)險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進行模型分析系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進行分析，或?qū)嵤┗诖嗳跣缘墓麸L(fēng)險評估輔助工具實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風(fēng)險評估各要素的賦值、定級提供依據(jù)7知識子域：安全評估基礎(chǔ)安全評估標(biāo)準(zhǔn)了解TCSEC基本目標(biāo)和要求、分級等概念；了解ITSEC標(biāo)準(zhǔn)的適用范圍、功能準(zhǔn)則和評估準(zhǔn)則的級別；了解ISO15408標(biāo)準(zhǔn)的適用范圍、作用和使用中的局限性；了解GB/T18336結(jié)構(gòu)、作用及評估的過程；理解評估對象（TOE）、保護輪廓（PP）、安全目標(biāo)（ST）、評估保證級（EAL）等關(guān)鍵概念；了解信息安全等級測評的作用和過程。8安全評估標(biāo)準(zhǔn)9TCSEC（可信計算機系統(tǒng)評估標(biāo)準(zhǔn)）美國政府國防部（DoD）標(biāo)準(zhǔn)，為評估計算機系統(tǒng)內(nèi)置的計算機安全功能的有效性設(shè)定了基本要求國家安全局的國家計算機安全中心（NCSC）于1983年發(fā)布，1985年更新，作為國防部彩虹系列出版物的核心，TCSEC經(jīng)常被稱為橙皮書。TCSEC已被2005年最初公布的國際標(biāo)準(zhǔn)《通用準(zhǔn)則（CC）》所取代。10TCSEC（可信計算機系統(tǒng)評估標(biāo)準(zhǔn)）基本目標(biāo)和要求策略問責(zé)保證文檔分級D-最小保護C-選擇保護（C1、C2）B-強制保護（B1、B2、B3）A-驗證保護（A1）11TCSECD最小保護C自主保護C1--自主安全保護C2

--受控訪問保護B強制保護B1--標(biāo)簽安全B2--結(jié)構(gòu)化保護B3--安全域A驗證保護A1--驗證設(shè)計ITSEC（信息技術(shù)安全評估標(biāo)準(zhǔn)）以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分功能準(zhǔn)則：在測定上分F1-F10共10級1－5級對應(yīng)于TCSEC的D到A6－10級加上了以下概念：F6：數(shù)據(jù)和程序的完整性F7：系統(tǒng)可用性F8：數(shù)據(jù)通信完整性F9：數(shù)據(jù)通信保密性F10：包括機密性和完整性的網(wǎng)絡(luò)安全評估準(zhǔn)則：分為6級：E1：測試E2：配置控制和可控的分配E3：能訪問詳細(xì)設(shè)計和源碼E4：詳細(xì)的脆弱性分析E5：設(shè)計與源碼明顯對應(yīng)E6：設(shè)計與源碼在形式上一致。12FC（聯(lián)邦（最低安全要求）評估準(zhǔn)則）美國信息技術(shù)安全聯(lián)邦準(zhǔn)則(FC)1992年12月公布，是對TCSEC的升級引入了“保護輪廓（PP）”這一重要概念保護輪廓包括功能部分開發(fā)保證部分測評部分分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點供美國政府用，民用和商用。13CC(信息技術(shù)安全評估通用標(biāo)準(zhǔn))目前最全面的信息技術(shù)安全評估準(zhǔn)則主要思想和框架取自ITSEC和FC，充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分CC強調(diào)將安全的功能與保障分離，并將功能需求分為九類63族，將保障分為七類29族。14國際標(biāo)準(zhǔn)組織于1999年批準(zhǔn)CC標(biāo)準(zhǔn)以“ISO/IEC15408-1999”編號正式列入國際標(biāo)準(zhǔn)系列！CC(信息技術(shù)安全評估通用準(zhǔn)則)我國在2008年等同采用《ISO/IEC15408：2005信息技術(shù)-安全技術(shù)-信息技術(shù)安全評估標(biāo)準(zhǔn)》形成的國家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編號為GB/T18336結(jié)構(gòu)GB/T18336.1-2008 簡介和一般模型定義了IT安全評估的一般概念和原理，并提出了評估的一般模型GB/T18336.2-2008 安全功能要求建立一系列功能組件作為表達(dá)TOE功能要求的標(biāo)準(zhǔn)方法GB/T18336.3-2008 安全保證要求建立一系列保證組件作為表達(dá)TOE保證要求的標(biāo)準(zhǔn)方法15GB/T18336（CC）的目標(biāo)讀者TOE（評估對象）的客戶CC從寫作安排上確保評估滿足用戶的需求，因為這是評估過程的根本目的和理由。TOE的開發(fā)者為開發(fā)者在準(zhǔn)備和協(xié)助評估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足的安全需求方面提供支持。TOE的評估者CC包含評估者判定TOE與其安全需求一致時所使用的準(zhǔn)則。16CC的關(guān)鍵概念17評估對象（TargetofEvaluation，TOE）作為評估主體（產(chǎn)品、系統(tǒng)、子系統(tǒng)等）的IT產(chǎn)品及系統(tǒng)以及相關(guān)的指導(dǎo)性文檔。保護輪廓（PP）滿足特定用戶需求的、一類TOE的、一組與實現(xiàn)無關(guān)的安全要求。安全目標(biāo)（SecurityTarget，ST）作為指定的TOE評估基礎(chǔ)的一組安全要求和規(guī)范。CC的關(guān)鍵概念功能規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事。結(jié)構(gòu):類、族、組件保證實體達(dá)到其安全性目的的信任基礎(chǔ)，是對功能產(chǎn)生信心的方法包為滿足一組確定的安全目的而組合在一起的，一組可重用的功能或保證組件18評估保證級別（EAL）19評估流程20CC的意義CC的意義通過評估有助于增強用戶對于IT產(chǎn)品的安全信心促進IT產(chǎn)品和系統(tǒng)的安全性消除重復(fù)的評估優(yōu)勢國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；已有安全準(zhǔn)則的總結(jié)和兼容，是目前最全面的評價準(zhǔn)則；通用的表達(dá)方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴展CC要求CC的局限性CC標(biāo)準(zhǔn)采用半形式化語言，比較難以理解；CC不包括那些與IT安全措施沒有直接關(guān)聯(lián)的、屬于行政性管理安全措施的評估準(zhǔn)則，即該標(biāo)準(zhǔn)并不關(guān)注于組織、人員、環(huán)境、設(shè)備、網(wǎng)絡(luò)等方面的具體的安全措施；CC重點關(guān)注人為的威脅，對于其他威脅源并沒有考慮；并不針對IT安全性的物理方面的評估（如電磁干擾）；CC并不涉及評估方法學(xué)；CC不包括密碼算法固有質(zhì)量的評估。22信息系統(tǒng)安全等級保護測評信息系統(tǒng)安全等級測評重要性檢測評估信息系統(tǒng)安全等級保護狀況是否達(dá)到相應(yīng)等級基本要求的過程落實信息安全等級保護制度的重要環(huán)節(jié)等級測評過程測評準(zhǔn)備活動方案編制活動現(xiàn)場測評活動分析與報告編制活動23知識子域：安全評估實施風(fēng)險評估相關(guān)要素理解資產(chǎn)、威脅、脆弱性、安全風(fēng)險、安全措施、殘余風(fēng)險等風(fēng)險評估相關(guān)要素及相互關(guān)系。風(fēng)險評估途徑與方法了解基線評估等風(fēng)險評估途徑及自評估、檢查評估等風(fēng)險評估方法并掌握定量分析中量化風(fēng)險的方法。24風(fēng)險評估相關(guān)要素-資產(chǎn)構(gòu)成風(fēng)險評估的資產(chǎn)是建立對組織具有價值的信息或資源，是安全策略保護的對象。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。25風(fēng)險評估相關(guān)要素-威脅可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。引起風(fēng)險的外因造成威脅的因素人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。26風(fēng)險評估相關(guān)要素-脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。27風(fēng)險評估相關(guān)要素-信息安全風(fēng)險、安全措施信息安全風(fēng)險人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險只考慮那些對組織有負(fù)面影響的事件安全措施保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制。殘余風(fēng)險采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險28風(fēng)險評估要素之間關(guān)系29風(fēng)險評估途徑與方式風(fēng)險評估途徑基線評估詳細(xì)評估組合評估風(fēng)險評估方式自評估與檢查評估自評估為主，自評估和檢查評估相互結(jié)合、互為補充自評估和檢查評估可依托自身技術(shù)力量進行，也可委托第三方機構(gòu)提供技術(shù)支持30風(fēng)險評估的常用方法基于知識分析基于模型分析定量分析定性分析31風(fēng)險評估常用方法-定量分析基本概念暴露因子（ExposureFactor,EF）:特定威脅對特定資產(chǎn)靠損失的百分比，或者說損失的程度。單一預(yù)期損失（singleLossExpectancy,SLE）:也稱作SOC（SingleOccurrenceCosts）,即特定威脅可能造成的潛在損失總量年度預(yù)期損失（AnnualizedLossExpectancy,ALE）：或者稱作EAC（EstimatedAnnualCost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值32風(fēng)險評估常用方法-定量分析概念的關(guān)系首先，識別資產(chǎn)并為資產(chǎn)賦值通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%~100%之間）計算特定威脅發(fā)生的頻率，即ARO計算資產(chǎn)的SLE；計算資產(chǎn)的ALE；定量風(fēng)險分析的一種方法就是計算年度損失預(yù)期值（ALE）。計算公式如下：年度損失預(yù)期值（ALE）=SLEx年度發(fā)生率（ARO）單次損失預(yù)期值（SLE）=暴露因素（EF）x資產(chǎn)價值（AV）33風(fēng)險評估常用方法-定量分析定量評估計算案例計算由于人員疏忽或設(shè)備老化對一個計算機機房所造成火災(zāi)的風(fēng)險。假設(shè)：組織在3年前計算機機房資產(chǎn)價值100萬，當(dāng)年曾經(jīng)發(fā)生過一次火災(zāi)導(dǎo)致?lián)p失10萬；組織目前計算機機房資產(chǎn)價值為1000萬；經(jīng)過和當(dāng)?shù)叵啦块T溝通以及組織歷史安全事件記錄發(fā)現(xiàn)，組織所在地及周邊在5年來發(fā)生過3次火災(zāi)；該組織額定的財務(wù)投資收益比是30%由上述條件可計算風(fēng)險組織的年度預(yù)期損失及ROSI，為組織提供一個良好的風(fēng)險管理財務(wù)清單34風(fēng)險評估常用方法-定量分析根據(jù)歷史數(shù)據(jù)獲得EF：10萬÷100萬×100%=10%根據(jù)EF計算目前組織的SLE1000萬×10%=100萬根據(jù)歷史數(shù)據(jù)中ARO計算ALE100萬×（3÷5）=60萬此時獲得年度預(yù)期損失值，組織需根據(jù)該損失衡量風(fēng)險可接受度，如果風(fēng)險不可接受則需進一步計算風(fēng)險的處置成本及安全收益；ROSI=(實施控制前的ALE）–（實施控制后的ALE）–（年控制成本）組織定義安全目標(biāo)，假如組織希望火災(zāi)發(fā)生后對組織的損失降低70%，則，實施控制后的ALE應(yīng)為：60萬×（1-70%）=18萬年控制成本=（60-18）×30%=12.6萬則：ROSI=60-18-12.8=29.4萬至此，組織通過年投入12.6萬獲得每年29.4萬的安全投資收益35風(fēng)險評估常用方法-定量分析案例假設(shè)1：某人在某城市可能遭受隕石襲擊，一旦被隕石擊中可能導(dǎo)致身亡，根據(jù)當(dāng)?shù)靥煳臄?shù)據(jù)，該城市100年內(nèi)為曾遭受過隕石襲擊，通過風(fēng)險評估矩陣可以獲得如下結(jié)果假設(shè)2：某人在某城市可能在馬路上被電動車碰撞導(dǎo)致受傷，根據(jù)當(dāng)?shù)亟煌C構(gòu)統(tǒng)計，平均每100人就有一人曾經(jīng)被電動車擦傷，通過風(fēng)險評估矩陣可以獲得如下結(jié)果36可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）風(fēng)險評估常用方法-定量分析根據(jù)風(fēng)險評估矩陣圖獲得風(fēng)險能力，故：隕石襲擊雖然損失嚴(yán)重，但由于屬于低概率事件，因此可列為低風(fēng)險，接受風(fēng)險電動車碰撞產(chǎn)生的影響遠(yuǎn)遠(yuǎn)低于隕石襲擊，但由于屬于高概率事件，因此被評價為嚴(yán)重風(fēng)險，需要資產(chǎn)（受體）關(guān)注，不可接受37等級取值范圍名稱描述H25,20High，高風(fēng)險最高等級的風(fēng)險，需要立即采取應(yīng)對措施。不可接受。S12,15,16Significant，嚴(yán)重風(fēng)險需要高級管理層注意。不可接受。M6,8,9,10Moderate，中等風(fēng)險必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風(fēng)險可以通過例行程序來處理?？山邮?。風(fēng)險評估常用方法-定性分析目前采用最為廣泛的一種方法帶有很強的主觀性，往往憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或高低程度定性分級38可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）風(fēng)險評估的常用方法比較39風(fēng)險評估常用方法優(yōu)點缺點基于模型的分析方法提高對安全相關(guān)描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機制便于溝通，減少了理解上的偏差；加了不同評估方法互操作的效率。實施對人員素質(zhì)要求高；需要大量的工具與模板；定量分析按財務(wù)影響確定風(fēng)險優(yōu)先級；按財務(wù)價值確定資產(chǎn)優(yōu)先級。結(jié)果通過安全投資收益推動風(fēng)險管理。結(jié)果可用因管理而異的術(shù)語來表達(dá)（例如貨幣值和表達(dá)為具體百分比的可能性）。隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗，其精確度將隨時間的推移而提高。分配給風(fēng)險的影響值以參與者的主觀意見為基礎(chǔ)。達(dá)成可靠結(jié)果和一致意見的流程非常耗時。計算可能會非常復(fù)雜且耗時。結(jié)果只用財務(wù)術(shù)語來表達(dá)，對非技術(shù)性人員而言可能難以解釋。流程要求專業(yè)技術(shù)，因此參與者無法輕松通過流程獲得指導(dǎo)。定性分析使可見性和了解風(fēng)險排列成為可能。更容易達(dá)成一致意見。無需量化威脅頻率。無需確定資產(chǎn)的財務(wù)價值。更便于不是安全或計算機專家的人員參與。在重要的風(fēng)險之間沒有足夠的區(qū)別。難以證明投資控制措施實施是否正確，因為沒有為成本效益分析提供基礎(chǔ)。結(jié)果取決于建立的風(fēng)險管理小組的素質(zhì)。知識子域：風(fēng)險評估實施風(fēng)險評估的基本過程了解風(fēng)險評估基本過程；理解風(fēng)險評估準(zhǔn)備工作內(nèi)容；掌握風(fēng)險識別中資產(chǎn)的賦值方法；理解風(fēng)險分析的方法；了解風(fēng)險結(jié)果判定、風(fēng)險處理計劃、殘余風(fēng)險評估等階段工作內(nèi)容。風(fēng)險評估文檔了解風(fēng)險評估文檔化工作的重要性及對文檔的相關(guān)要求；40風(fēng)險評估的基本過程風(fēng)險評估是組織確定信息安全需求的過程，包括資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風(fēng)險認(rèn)定在內(nèi)的一系列活動。41風(fēng)險評估準(zhǔn)備風(fēng)險評估準(zhǔn)備是整個風(fēng)險評估過程有效性的保證組織實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。風(fēng)險評估準(zhǔn)備工作確定風(fēng)險評估的目標(biāo)確定風(fēng)險評估的范圍組建適當(dāng)?shù)脑u估管理與實施團隊進行系統(tǒng)調(diào)研確定評估依據(jù)和方法制定風(fēng)險評估方案獲得最高管理者對風(fēng)險評估工作的支持42風(fēng)險評估準(zhǔn)備確定風(fēng)險評估的目標(biāo)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險大小。確定風(fēng)險評估的范圍風(fēng)險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。43風(fēng)險評估準(zhǔn)備組建適當(dāng)?shù)脑u估管理與實施團隊風(fēng)險評估實施團隊，由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風(fēng)險評估小組。評估實施團隊?wèi)?yīng)做好評估前的表格、文檔、檢測工具等各項準(zhǔn)備工作，進行風(fēng)險評估技術(shù)培訓(xùn)和保密教育，制定風(fēng)險評估過程管理相關(guān)規(guī)定。進行系統(tǒng)調(diào)研；系統(tǒng)調(diào)研是確定被評估對象的過程，風(fēng)險評估小組應(yīng)進行充分的系統(tǒng)調(diào)研，為風(fēng)險評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：業(yè)務(wù)戰(zhàn)略及管理制度；主要的業(yè)務(wù)功能和要求；網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；系統(tǒng)邊界；主要的硬件、軟件；數(shù)據(jù)和信息；系統(tǒng)和數(shù)據(jù)的敏感性；支持和使用系統(tǒng)的人員。系統(tǒng)調(diào)研可以采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進行。44風(fēng)險評估準(zhǔn)備確定評估依據(jù)和方法根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評估依據(jù)和評估方法。評估依據(jù)包括（但不僅限于）：現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；系統(tǒng)安全保護等級要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實時性或性能要求等。據(jù)組織機構(gòu)自身的業(yè)務(wù)特點、信息系統(tǒng)特點，選擇適當(dāng)?shù)娘L(fēng)險分析方法并加以明確，如定性風(fēng)險分析、定量風(fēng)險分析，或是半定量風(fēng)險分析。根據(jù)評估依據(jù)，應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險計算方法，并依據(jù)業(yè)務(wù)實施對系統(tǒng)安全運行的需求，確定相關(guān)的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。45風(fēng)險評估準(zhǔn)備制定風(fēng)險評估方案風(fēng)險評估方案的目的是為后面的風(fēng)險評估實施活動提供一個總體計劃，用于指導(dǎo)實施方開展后續(xù)工作。風(fēng)險評估方案的內(nèi)容一般包括（但不僅限于）：團隊組織：包括評估團隊成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；工作計劃：風(fēng)險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；時間進度安排：項目實施的時間進度安排。獲得最高管理者對風(fēng)險評估工作的支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險評估實施方案，得到組織最高管理者的支持、批準(zhǔn)；對管理層和技術(shù)人員進行傳達(dá)，在組織范圍就風(fēng)險評估相關(guān)內(nèi)容進行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。46資產(chǎn)識別資產(chǎn)分類、分級、形態(tài)及資產(chǎn)價值評估資產(chǎn)分類數(shù)據(jù)、軟件、硬件、服務(wù)、人員、其他（（GB/T20984《信息安全風(fēng)險評估規(guī)范》））資產(chǎn)形態(tài)有形資產(chǎn)、無形資產(chǎn)資產(chǎn)分級保密性分級、完整性分級、可用性分級資產(chǎn)重要性分級47資產(chǎn)識別制定資產(chǎn)重要性分級準(zhǔn)則依據(jù)資產(chǎn)價值大小對資產(chǎn)的重要性劃分不同的等級。資產(chǎn)價值依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。48賦值重要性等級定義5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至忽略不計威脅識別威脅類型自然因素、人為因素威脅頻率級別49賦值威脅出現(xiàn)頻率級別定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生脆弱性識別脆弱性識別與威脅識別是何關(guān)系？驗證：以資產(chǎn)為對象，對威脅識別進行驗證脆弱性識別的難點是什么？三性：隱蔽性、欺騙性、復(fù)雜性脆弱性識別的方法有哪些？技術(shù)脆弱性管理脆弱性50賦值脆弱性嚴(yán)重程度級別定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略確認(rèn)已有的控制措施依據(jù)三個報告《信息系統(tǒng)的描述報告》、《信息系統(tǒng)的分析報息告》和《信系統(tǒng)的安全要求報告》確認(rèn)已有的安全措施，包括：技術(shù)層面（物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）的安全功能組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制管理層面（策略、規(guī)章和制度）的安全對策形成《已有安全措施列表》?？刂拼胧╊愋皖A(yù)防性、檢測性和糾正性在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進行確認(rèn)。安全措施的確認(rèn)應(yīng)評估其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止重復(fù)實施。51風(fēng)險分析GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》給出信息安全風(fēng)險分析思路52風(fēng)險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））R表示安全風(fēng)險計算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件所作用的資產(chǎn)價值Va表示脆弱性嚴(yán)重程度L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F表示安全事件發(fā)生后造成的損失風(fēng)險分析計算安全事件發(fā)生的可能性安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)計算安全事件發(fā)生后造成的損失安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴(yán)重程度)＝F(Ia，Va)計算風(fēng)險值風(fēng)險值=R(安全事件的可能性，安全事件造成的損失)＝R(L(T，V)，F(xiàn)(Ia，Va))53風(fēng)險結(jié)果判定評估風(fēng)險的等級評估風(fēng)險的等級依據(jù)《風(fēng)險計算報告》，根據(jù)已經(jīng)制定的風(fēng)險分級準(zhǔn)則，對所有風(fēng)險計算結(jié)果進行等級處理，形成《風(fēng)險程度等級列表》。綜合評估風(fēng)險狀況匯總各項輸出文檔和《風(fēng)險程度等級列表》，綜合評價風(fēng)險狀況，形成《風(fēng)險評估報告》54等級取值范圍名稱描述H25,20高風(fēng)險最高等級的風(fēng)險，需要立即采取應(yīng)對措施。不可接受。S12,15,16嚴(yán)重風(fēng)險需要高級管理層注意。不可接受M6,8,9,10中等風(fēng)險必須規(guī)定管理責(zé)任。通常