第三章-信息安全風險管理

信息安全管理張紅旗楊英杰唐慧林常德顯編著第三章信息安全風險管理01

概述02

風險評估的流程ContentsPage目錄03

風險評價常用的方法

04

風險控制

05

信息安全風險評估實例

本章首先介紹風險管理的相關概念、風險評估要素和分類；然后介紹風險評估的一般步驟和流程；3.3介紹風險評價的常用方法；3.4介紹風險控制；3.5結合案例介紹風險評估的實施過程。本章重點：風險管理相關概念，風險評估基本步驟，風險控制過程。本章難點：風險評價方法。第三章

信息安全風險管理3.1概述

3.1.1風險管理的相關概念1．安全風險（SecurityRisk）所謂安全風險（后面簡稱風險）就是威脅利用資產的一種或多種脆弱性，導致資產丟失或損害的潛在可能性，即威脅發(fā)生的可能性與后果的結合。通過確定資產價值及相關威脅與脆弱性水平，可以得出風險的度量值。第三章

信息安全風險管理第三章

信息安全風險管理安全風險的引入2．風險評估（RiskAssessment）即對信息和信息處理設施的威脅、影響（Impact，指安全事件所帶來的直接和間接損失）和脆弱性及三者發(fā)生可能性的評估。作為風險管理的基礎，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。風險評估的主要任務包括以下五個方面。識別組織面臨的各種風險。評估風險概率和可能帶來的負面影響。確定組織承受風險的能力。確定風險降低和控制的優(yōu)先等級。推薦風險降低對策。第三章

信息安全風險管理3．風險管理（RiskManagement）所謂風險管理就是以可接受的代價識別、控制、降低或消除可能影響信息系統(tǒng)的安全風險的過程。風險管理通過風險評估來識別風險大小，通過制定信息安全方針、采取適當?shù)目刂颇繕伺c控制方式對風險進行控制，使風險被避免、轉移或降至一個可被接受的水平。風險管理還應考慮控制費用與風險之間的平衡。風險管理過程如圖3.1所示。第三章

信息安全風險管理第三章

信息安全風險管理圖3.1

風險管理過程4．安全需求（SecurityDemand）分析和定義安全需求，并以保密性、完整性及可用性等方式明確地表達出來，有助于指導安全控制機制的選擇和風險管理的實施。在信息安全體系中，要求組織確認三種安全需求。評估出組織所面臨的安全風險，并控制這些風險的需求。組織、貿易伙伴、簽約客戶和服務提供商需要遵守的法律法規(guī)及合同的要求。組織制訂支持業(yè)務運作與處理，并適合組織信息系統(tǒng)業(yè)務規(guī)則和業(yè)務目標的要求。第三章

信息安全風險管理5．安全控制（SecurityControl）安全控制就是保護組織資產、防止威脅、減少脆弱性、限制安全事件影響的一系列安全實踐、過程和機制。為獲得有效的安全，常常需要把多種安全控制結合起來使用，實現(xiàn)檢測、威懾、防護、限制、修正、恢復、監(jiān)測和提高安全意識等多種功能。第三章

信息安全風險管理6．剩余風險（ResidualRisk）即實施安全控制后，仍然存在的安全風險。7．適用性聲明（ApplicabilityStatement）所謂適用性聲明，是指對適用于組織需要的目標和控制的評述。適用性聲明是一個包含組織所選擇的控制目標與控制方式的文件，相當于一個控制目標與方式清單，其中應闡述選擇與不選擇的理由。第三章

信息安全風險管理3.1.2風險管理各要素間的關系風險管理中涉及的安全組成要素之間的關系如圖3.2所示，具體描述如下。資產具有價值，并會受到威脅的潛在影響。脆弱性將資產暴露給威脅，威脅利用脆弱性對資產造成影響。威脅與脆弱性的增加導致安全風險的增加。安全風險的存在對組織的信息安全提出要求。安全控制應滿足安全需求。通過實施安全控制防范威脅，以降低安全風險。第三章

信息安全風險管理第三章

信息安全風險管理圖3.2安全組成要素之間的關系3.1.3風險評估的分類在進行風險評估時，應當針對不同的環(huán)境和安全要求選擇恰當?shù)娘L險評估種類。實際操作中經常使用的風險評估包括基本風險評估、詳細風險評估和聯(lián)合風險評估3種類型。1．基本風險評估基本風險評估又稱基線風險評估（BaselineRiskAssessment），是指應用直接和簡易的方法達到基本的安全水平，就能滿足組織及其業(yè)務環(huán)境的所有要求。這種方法使得組織在識別和評估基本安全需求的基礎上，通過建立相應的信息安全管理體系，獲得對信息資產的基本保護。這種方法適用于業(yè)務運作不是非常復雜的組織，并且組織對信息處理和網(wǎng)絡的依賴程度不高，或者組織信息系統(tǒng)多采用普遍或標準化的模式。第三章

信息安全風險管理（1）安全基線所謂安全基線，是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。組織可以根據(jù)以下資源來選擇安全基線。國際標準和國家標準，如BS7799-1、ISO13335-4。行業(yè)標準或推薦，如德國聯(lián)邦安全局IT基線保護手冊。來自其他有類似業(yè)務目標和規(guī)模的組織的慣例。第三章

信息安全風險管理（2）基本風險評估的內容按照BS7799的要求，基本風險評估需要系統(tǒng)地評估組織信息資產的安全要求，識別需要滿足的控制目標，對滿足這些目標的控制措施進行選擇。第三章

信息安全風險管理風險評估和管理任務基本風險評估活動資產識別和估價列出在信息安全管理體系范圍內，與被評估的業(yè)務環(huán)境、業(yè)務運營及信息相關的資產威脅評估使用與資產相關的通用威脅列表，檢查并列出資產的威脅脆弱性評估使用與資產相關的通用脆弱性列表，檢查并列出資產的脆弱性對現(xiàn)有安全控制的識別根據(jù)前期的安全評審，識別并記錄所有與資產相關的、現(xiàn)有的或已計劃的安全控制風險評估搜集由上述評估產生的有關資產、威脅和脆弱性的信息，以便能夠以實用、簡單的方法進行風險測量安全控制的識別、選擇及實施，降低風險對于每一項列出的資產，確認相關的控制目標；找出這些資產的威脅和脆弱性，選擇相關的控制措施，以達到安全控制目標風險接受在考慮需求的基礎上，考慮選擇附加的控制，以更進一步的降低風險，使風險消減到組織可接受的水平（3）基本風險評估的優(yōu)點基本風險評估的優(yōu)點有以下兩個。風險評估所需資源最少，簡便易實施。同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費很大的精力。第三章

信息安全風險管理（4）基本風險評估的缺點基本風險評估的缺點包括以下兩項。安全基線水平難以設置，如果安全水平被設置得太高，就可能需要過多的費用，或產生控制過度的問題；如果水平設置太低，一些系統(tǒng)可能不會得到充分的安全保證。難以管理與安全相關的變更。第三章

信息安全風險管理2．詳細風險評估詳細風險評估就是對資產、威脅及脆弱性進行詳細識別和評估，詳細評估的結果被用于風險評估及安全控制的識別和選擇，通過識別資產的風險并將風險降低到可接受的水平，來證明管理者所采用的安全控制是適當?shù)?。?）詳細風險評估的內容詳細風險評估可能是非常耗費人力和財力的過程，需要非常仔細地制訂被評估信息系統(tǒng)范圍內的業(yè)務環(huán)境、業(yè)務運營以及信息和資產的邊界。第三章

信息安全風險管理第三章

信息安全風險管理風險評估和管理任務基本風險評估活動資產識別和估價識別和列出在信息安全管理體系范圍內被評估的業(yè)務環(huán)境、業(yè)務運營及信息相關的所有資產，定義一個價值尺度并為每一項資產分配價值（涉及機密性、完整性和可用性等的價值）威脅評估識別與資產相關的所有威脅，并根據(jù)它們發(fā)生的可能性和造成后果嚴重性來賦值脆弱性評估識別與資產相關的所有脆弱性，并根據(jù)它們被威脅利用的程度來賦值對現(xiàn)有安全控制的識別根據(jù)前期的安全評審，識別并記錄所有與資產相關的、現(xiàn)有的或已計劃的安全控制風險評估利用上述對資產、威脅和脆弱性的評價結果，進行風險評估，風險為資產的相對價值、威脅發(fā)生的可能性及脆弱性被利用的可能性的函數(shù)，采用適當?shù)娘L險測量工具進行風險計算安全控制的識別、選擇及實施，降低風險根據(jù)從上述評估中識別的風險，適當?shù)陌踩刂菩枰蛔R別以阻止這些風險；對于每一項資產，識別與被評估的每項風險相關的目標；根據(jù)對這些資產的每一項相關的威脅和脆弱性識別和選擇安全控制，以完成這些目標；最后，評估被選擇的安全控制在多大程度上降低了被識別的風險風險接受對殘留的風險加以分類，可以是“可接受的”或是“不可接受的”；對那些被確認為“不可接受的”風險，組織要決定是否應該選擇更進一步的控制措施，或者是接受殘留風險（2）詳細風險評估的優(yōu)點詳細風險評估的優(yōu)點主要包括以下內容?？梢詫Π踩L險獲得一個更精確的認識，從而更為精確地提出反映組織安全要求的安全水平?？梢詮脑敿氾L險評估中獲得額外信息，使與組織變革相關的安全管理受益。（3）詳細風險評估的缺點詳細風險評估的缺點主要是需要花費相當多的時間、精力和技術以獲得可行的結果。第三章

信息安全風險管理3．聯(lián)合風險評估聯(lián)合風險評估首先使用基本風險評估，識別信息安全管理體系范圍內具有潛在高風險或對業(yè)務運作來說極為關鍵的資產；然后根據(jù)基本風險評估的結果，將信息安全管理體系范圍內的資產分成兩類，一類需要應用詳細風險評估以達到適當保護，另一類通過基本評估選擇安全控制就可以滿足組織需要。第三章

信息安全風險管理3.2風險評估的流程3.2.1風險評估的步驟1．風險評估應考慮的因素（1）信息資產及其價值。（2）對這些資產的威脅，以及它們發(fā)生的可能性。（3）脆弱性。（4）已有安全控制措施。第三章

信息安全風險管理2．風險評估的基本步驟（1）按照組織業(yè)務運作流程進行資產識別，并根據(jù)估價原則對資產進行估價。（2）根據(jù)資產所處的環(huán)境進行威脅評估。（3）對應每一威脅，對資產或組織存在的脆弱性進行評估。（4）對已采取的安全機制進行識別和確認。（5）建立風險測量的方法及風險等級評價原則，確定風險的大小與等級。風險評估過程如圖3.3所示。第三章

信息安全風險管理第三章

信息安全風險管理圖3.3

風險評估過程3．風險評估時應考慮的問題

在進行風險評估時，要充分考慮和正確區(qū)分資產、威脅與脆弱性之間的對應關系，如圖3.4所示。第三章

信息安全風險管理圖3.4

資產、威脅與脆弱性之間的對應關系3.2.2資產的識別與估價資產（Asset）就是被組織賦予了價值、需要保護的有用資源。為了對資產進行有效的保護，組織需要在各個管理層對資產落實責任，進行恰當?shù)墓芾?。第三?/p>

信息安全風險管理

一個信息系統(tǒng)中的資產可能包括以下方面。信息、數(shù)據(jù)與文檔書面文件硬件資產軟件資產通信設備其他物理資產人員服務企業(yè)形象與信譽第三章

信息安全風險管理

在考慮資產安全性的損害對業(yè)務運營造成的影響程度時，可以考慮以下因素。違反法律、法規(guī)。對業(yè)務績效的影響。對組織聲譽和形象的影響。對業(yè)務保密性的影響。業(yè)務活動中斷造成的影響。對環(huán)境安全及公共秩序的破壞。資金損失。對個人信息及安全的影響。第三章

信息安全風險管理3.2.3威脅的識別與評估威脅（Threat）是指可能對資產或組織造成損害的潛在原因。威脅識別與評估的主要任務是識別產生威脅的原因（誰或什么事物造成了威脅）、確認威脅的目標（威脅影響到組織的哪些資產）以及評估威脅發(fā)生的可能性。第三章

信息安全風險管理1．威脅識別在威脅識別過程中，應根據(jù)資產所處的環(huán)境條件和資產以前遭受威脅損害的情況來判斷。一項資產可能面臨多個威脅，同一威脅可能對不同資產造成影響。威脅識別應確認威脅由誰或由什么事物引發(fā)以及威脅所影響到的資產。威脅源可能是蓄意人為也可能是偶然因素，通常包括人、系統(tǒng)、環(huán)境和自然等類型。人員威脅––––包括故意破壞（網(wǎng)絡攻擊、惡意代碼傳播、郵件炸彈、非授權訪問等）和無意失誤（如誤操作、維護錯誤）。系統(tǒng)威脅––––系統(tǒng)、網(wǎng)絡或服務的故障（軟件故障、硬件故障、介質老化等）。環(huán)境威脅––––電源故障、污染、液體泄漏、火災等。自然威脅––––洪水、地震、臺風、滑坡、雷電等。第三章

信息安全風險管理

威脅可能引起安全事件，從而對系統(tǒng)、組織和資產造成損害。在信息系統(tǒng)中，這種損害來源于對組織的信息及信息處理設施直接或間接的攻擊，主要包括以下類型。（1）內部威脅（2）信息截?。?）非法訪問（4）完整性破壞（5）冒充（6）拒絕服務（7）重放（8）抵賴（9）其他威脅第三章

信息安全風險管理2．威脅發(fā)生的可能性分析威脅發(fā)生的可能性受下列因素的影響。資產的吸引力。資產轉化成報酬的容易程度。威脅的技術含量。脆弱性被利用的難易程度。第三章

信息安全風險管理第三章

信息安全風險管理3．評價威脅發(fā)生造成的后果或潛在影響威脅一旦發(fā)生會造成信息保密性、完整性和可用性等安全屬性的損失，從而給組織造成不同程度的影響，嚴重的威脅發(fā)生會導致諸如信息系統(tǒng)崩潰、業(yè)務流程中斷、財產損失等重大安全事故。不同的威脅對同一資產或組織所產生的影響不同，導致的價值損失也不同，但損失的程度應以資產的相對價值（或重要程度）為限。 威脅的潛在影響I=資產相對價值V×價值損失程度CL第三章

信息安全風險管理3.2.4脆弱性評估脆弱性（Vulnerability）是指資產的弱點或薄弱點，這些弱點可能被威脅利用造成安全事件的發(fā)生，從而對資產造成損害。脆弱性本身并不會引起損害，它只是為威脅提供了影響資產安全性的條件。威脅只有利用了特定的脆弱性，才可能對資產造成影響。第三章

信息安全風險管理

這些脆弱性可能來自組織結構、人員、管理、程序和資產本身的缺陷等，大體可以分為以下幾類。技術脆弱性––––系統(tǒng)、程序和設備中存在的漏洞或缺陷，如結構設計問題和代碼漏洞等。操作脆弱性––––軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習慣、審計或備份的缺乏等。管理脆弱性––––策略、程序和規(guī)章制度等方面的弱點。第三章

信息安全風險管理1．緩沖區(qū)溢出滲透測試緩沖區(qū)溢出包括堆棧溢出、格式化串的利用和內核溢出等。2．數(shù)據(jù)庫注入滲透測試數(shù)據(jù)庫注入的主要原理是利用數(shù)據(jù)的缺陷下載數(shù)據(jù)或者間接獲得數(shù)據(jù)庫的部分權限，從而進一步攻擊服務器。典型的數(shù)據(jù)庫注入攻擊方法就是SQL注入攻擊。第三章

信息安全風險管理3．Web應用滲透測試針對CGI的滲透測試有以下3種典型方法。（1）PHF.CGI滲透在瀏覽器的地址欄中輸入如下網(wǎng)址：http://www.TESTW/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd第三章

信息安全風險管理（2）PHP.CGI滲透在瀏覽器中輸入如下網(wǎng)址：http:///cgi-bin/php.cgi?/etc/passwd（3）Count.CGI滲透Count.cgi（wwwcount）國外網(wǎng)站經常用的CGI網(wǎng)頁計數(shù)程序。第三章

信息安全風險管理4．Metasploit：滲透測試工具Metasploit是一個緩沖區(qū)溢出測試使用的輔助工具，也是一個漏洞測試專業(yè)平臺。Metasploit是一個溢出工具包集合。它集成了不同類型平臺上常見的溢出漏洞和流行的ShellCode，包含了到目前為止最為齊全的針對溢出漏洞的可操作攻擊方法，并且不斷更新，利用該工具可以自動溢出相關的安全漏洞，使緩沖區(qū)溢出測試變得方便而簡單。第三章

信息安全風險管理5．滲透測試過程組織滲透測試作為一種專業(yè)的信息安全服務，是在經過用戶授權批準后，由信息安全專業(yè)人員采用攻擊者的視角、使用同攻擊者相近的技術和工具來嘗試攻入被評估目標系統(tǒng)的一種測評服務。它用攻擊來發(fā)現(xiàn)并驗證目標網(wǎng)絡、系統(tǒng)、主機和應用系統(tǒng)所存在的漏洞，是幫助用戶了解、改善和提高其信息安全的一種手段。第三章

信息安全風險管理

組織實施滲透測試包括為3個基本階段。（1）階段I：計劃和準備在本階段中將開展下列活動。①指定雙方聯(lián)系人。②首次會議，確定范圍、方案和方法，以及測試計劃。③同意特定測試用例和問題升級路徑。（2）階段II：評估這是實際執(zhí)行滲透測試的階段。如圖3.15所示，評估主要有以下9個方面的內容。第三章

信息安全風險管理第三章

信息安全風險管理圖3.15滲透測試的主要內容與過程（3）階段III：報告、清除和破壞測試過程產物①報告：包括口頭報告和最終的詳細滲透過程報告。②清除和破壞測試過程產物第三章

信息安全風險管理3.2.5安全控制確認安全控制的分類方式有多種，按照目標和針對性可以分為以下內容。管理性（Administrative）安全控制––––對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障和系統(tǒng)生命周期管理等。操作性（Operationa1）安全控制––––用來保護系統(tǒng)和應用操作的流程和機制，包括人員職責、應急響應、事件處理，安全意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術性（Technica1）安全控制––––身份識別與認證、邏輯訪問控制、日志審計和加密等。第三章

信息安全風險管理

按照功能，安全控制又可以分為以下幾類。威懾性（Deterrent）安全控制––––此類控制可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機。預防性（Preventive）安全控制––––此類控制可以保護脆弱性，使攻擊難以成功，或者降低攻擊造成的影響。檢測性（Detective）安全控制––––此類控制可以檢測并及時發(fā)現(xiàn)攻擊活動，還可以激活糾正性或預防性安全控制。糾正性（Corrective）安全控制––––此類控制可以將攻擊造成的影響降到最低。第三章

信息安全風險管理

不同功能的安全控制應對風險的情況如圖3.16所示。第三章

信息安全風險管理圖3.16安全控制應對風險各要素的情況3.3風險評價常用的方法3.3.1風險評價方法的發(fā)展國際信息安全基金會（TheInternationalInformationSecurityFoundation，IISF）：系統(tǒng)安全通用原理（GASSP）。國際標準化組織（TheInternationalStandardsOrganization，ISO）：ISO17799。經濟合作與開發(fā)組織（TheOrganizationforEconomicCooperationandDevelopment，OECD）：信息安全原理。歐洲信息安全論壇（TheEuropeanInformationSecurityForum，ISF）：最佳實踐標準。內部審計學會（TheInstituteofInternalAuditors，IIA）：系統(tǒng)保障與控制。信息安全審計與控制協(xié)會（TheInformationSecurityAuditandControlAssociation，ISACA）：信息及相關技術控制目標（COBIT）。第三章

信息安全風險管理3.3.2風險評價常用方法介紹1．預定義價值矩陣法該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產的相對價值三者預定義的三維矩陣來確定風險的大小，假設如下。威脅發(fā)生的可能性定性劃分為低、中、高（0、1、2）三級。脆弱性被利用的可能性也定性劃分為低、中、高（0、1、2）三級。受到威脅的資產相對價值定性劃分為五級（0、1、2、3、4）。風險價值矩陣如表3.4所示。第三章

信息安全風險管理第三章

信息安全風險管理

威脅發(fā)生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2資產相對價值V00121232341123234345223434545633454565674456567678表3.4預定義風險價值矩陣表2．威脅排序法這種方法把風險對資產的影響（或資產的相對價值）與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產的危害程度。這種方法的實施過程如下。第一步：按預定義的尺度，評估風險對資產的影響即資產的相對價值I，例如，尺度可以是從1到5。第二步：評估威脅發(fā)生的可能性PT，PT也可以用PTV（考慮被利用的脆弱性因素）代替，例如尺度為1到5。第三步：測量風險值R，R=R（PTV，I）=PTV×I。第三章

信息安全風險管理

根據(jù)風險值的大小，對資產面臨的不同威脅進行排序（或者對威脅的等級進行劃分），如表3.6所示。第三章

信息安全風險管理威脅影響（資產價值I）威脅發(fā)生的可能性PTV風險R威脅的等級威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483表3.6按風險大小對威脅排序3．網(wǎng)絡系統(tǒng)的風險計算方法對于各種網(wǎng)絡系統(tǒng)，可以根據(jù)網(wǎng)絡系統(tǒng)的重要性（系統(tǒng)的相對價值）、威脅發(fā)生的可能性PTV、威脅發(fā)生后安全性降低的可能性三個因素來評價風險的大小。即：

R=R(PTV,I)=I×PTV

=V×(1–PD)×(1–PO)第三章

信息安全風險管理

其中，V––––系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性IN和可用性A三項評價值的乘積，即V=C×IN×A；PO––––威脅不會發(fā)生的可能性，與用戶的個數(shù)、原先的信任、備份的頻率以及強制安全措施需求的滿足程度有關；PD––––系統(tǒng)安全性不會降低的可能性，與組織已實施的保護性控制措施有關。第三章

信息安全風險管理4．區(qū)分可接受風險與不可接受風險法這種方法把風險定義為可接受的（T）與不可接受的（N）兩種，只是為了區(qū)分需要立即采取控制措施的風險和暫時不需要控制的風險。威脅發(fā)生的可能性PT定性劃分為低、中、高（0、1、2）三級。脆弱性被利用的可能性PV也定性劃分為低、中、高（0、1、2）三級。受到威脅的資產的相對價值V定性劃分為五級（0、1、2、3、4）。根據(jù)威脅發(fā)生的可能性及脆弱性被利用的程度確定威脅頻度值，如表3.8所示。第三章

信息安全風險管理第三章

信息安全風險管理威脅發(fā)生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2威脅頻度值PTV012123234表3.8威脅頻度值計算表

由威脅發(fā)生的頻度值及資產的相對價值確定風險矩陣表，如表3.9所示。第三章

信息安全風險管理資產相對價值威脅頻度值01234001234112345223456334567445678表3.9資產風險矩陣表

而把風險定義為可接受的（T）與不可接受的（N）兩種以后，上述的風險矩陣表變?yōu)槿绫?.10所示。第三章

信息安全風險管理資產相對價值威脅頻度值012340TTTTN1TTTNN2TTNNN3TNNNN4NNNNN表3.10資產風險矩陣表（可接受的T與不可接受的）5．風險優(yōu)先級別的確定確定風險數(shù)值的大小不是評估的最終目的，評估的重點是明確不同威脅對資產所產生的風險的相對值，即確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產優(yōu)先分配資源進行保護。組織可以采用按照風險數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級，這包括將風險劃分為可接受風險與不可接受風險。接受與不可接受的界限應當考慮風險（機會損失成本）與風險控制成本的平衡。第三章

信息安全風險管理3.3.3風險綜合評價綜合評價是風險度量的重要環(huán)節(jié)。評價是指按預定的目的，確定研究對象的屬性（指標），并將這種屬性變?yōu)榭陀^定量的數(shù)值或主觀效用的行為，它多指多屬性對象的綜合評價。評價是對研究對象功能的一種量化描述，它既可以利用時序統(tǒng)計數(shù)據(jù)去描述同一對象功能的歷史演變，也可以利用統(tǒng)計數(shù)據(jù)去描述不同對象功能的差異。評價方法的核心問題，是闡明目標函數(shù)的形成機理和結構形式，即建立適當?shù)臄?shù)學模型。按照評價模式，可分為傳統(tǒng)評價模式和現(xiàn)代評價模式。第三章

信息安全風險管理（1）傳統(tǒng)評價模式：這一模式存在諸多弊端，一是指標體系不全面、不規(guī)范；二是評價方法本質上以定性分析或半定性、半定量分析為主，主觀成分較重。（2）現(xiàn)代評價模式：這是當今蓬勃興起的一種評價模式，它代表著評價的發(fā)展方向。這一模式的指標體系較全面、規(guī)范，評價方法借助于對定性指標定量化，使指標體系可計算，并可通過計算機軟件予以實現(xiàn)。該模式要求盡可能排除主觀成分，使評價結果體現(xiàn)科學、公正和公開的原則。第三章

信息安全風險管理

考慮到風險主要受到財產、威脅和脆弱性3個方面的影響，風險評估關注的重點也是這3個要素。OCTAVE方法提出了如圖3.17所示的風險評價模型，該模型雖然比較籠統(tǒng)，卻是后來眾多風險評價模型的根源，即風險=資產×威脅×脆弱性。第三章

信息安全風險管理圖3.17OCTAVE風險評價模型3.3.4風險評估與管理工具的選擇

風險評估完成后，評估的結果（資產、資產價值、威脅、脆弱性和風險等級，以及被確認的控制）應該被保存和文件化，比如存儲在數(shù)據(jù)庫里。組織可以利用軟件支持工具進行風險評估活動，這可以簡化再評估活動。在選擇與使用風險評估與管理軟件工具時應考慮以下事項。軟件工具至少應該包括數(shù)據(jù)搜集、分析和結果輸出模塊。所依據(jù)的方法與功能應該反映組織的安全方針，并與組織的風險評估及管理方法相適應。在滿足組織選擇可靠的、成本有效的控制措施同時，要能夠對風險評估與管理結果形成清楚、精確的報告。

第三章

信息安全風險管理

能夠維護在數(shù)據(jù)搜集和分析階段所采集信息的歷史記錄，以供將來調查與評估使用。必須有幫助文件來描述工具如何使用。與組織中的硬件和軟件協(xié)調并兼容。安排充分的使用培訓。保證有關工具安裝與使用指南的齊全。第三章

信息安全風險管理3.4風險控制

通過風險評估對風險進行識別及評價后，風險管理的下一步工作就是對風險實施安全控制，以確保風險被降低或消除。風險控制過程所涉及的活動如圖3.18所示。第三章

信息安全風險管理圖3.18風險控制過程3.4.1安全控制的識別與選擇根據(jù)BS7799的要求，組織在以下領域需要考慮引入安全控制措施如下。安全方針。安全組織。資產分類和控制。人員安全。物理和環(huán)境安全。

第三章

信息安全風險管理通信與運營管理。訪問控制。系統(tǒng)開發(fā)與維護。安全事件管理。業(yè)務持續(xù)性。符合法規(guī)要求。第三章

信息安全風險管理

當選擇安全控制措施進行實施時應當考慮以下因素。控制的易用性。用戶透明度。為用戶提供幫助，以發(fā)揮控制的功能。控制的相對強度。實現(xiàn)的功能類型—預防、威懾、探測、恢復、糾正、監(jiān)控和安全意識教育。第三章

信息安全風險管理3.4.2降低風險組織根據(jù)控制費用與風險平衡的原則識別并選擇了安全控制措施后，對所選擇的安全控制應當嚴格實施并保持，通過以下途徑達到降低風險的目的。避免風險轉移風險減少威脅減少脆弱性減少威脅可能的影響檢測意外事件，并做出響應和恢復第三章

信息安全風險管理

降低風險示意如圖3.19所示。第三章

信息安全風險管理圖3.19風險降低示意圖3.4.3接受風險風險接受是一個對殘留風險進行確認和評價的過程。在安全控制實施后，組織應對所選擇的安全控制的實施情況進行評審，即對所選擇的控制在多大程度上降低了風險做出判斷。風險是隨時間而變化的，風險管理應是一個動態(tài)、持續(xù)的管理過程。這就要求組織實施動態(tài)的風險評估與風險管理，即組織要定期進行風險評估，并在以下情況進行臨時評估，以便及時識別風險并進行有效的控制。

第三章

信息安全風險管理當組織新增信息資產時。當系統(tǒng)發(fā)生重大變更時。發(fā)生嚴重信息安全事故時。組織認為有必要時。第三章

信息安全風險管理3.5信息安全風險評估實例3.5.1評估目的針對A市基于互聯(lián)網(wǎng)電子政務系統(tǒng)的安全評估，主要包括以下目的。評估A市基于互聯(lián)網(wǎng)的電子政務總體建設方案的合理性。評估在系統(tǒng)建設階段所采用技術手段的安全性。評估網(wǎng)絡和系統(tǒng)的安全策略是否到位。評估系統(tǒng)實施階段安全技術管理的現(xiàn)狀。評估系統(tǒng)建設的安全管理現(xiàn)狀。通過評估，建立A市信息辦自己的安全隊伍。第三章

信息安全風險管理3.5.2評估原則A市電子政務系統(tǒng)安全評估的方案設計與具體實施應滿足以下原則。標準性原則可控性原則整體性原則最小影響原則保密原則第三章

信息安全風險管理3.5.3評估基本思路針對A市基于互聯(lián)網(wǎng)電子政務系統(tǒng)的運行現(xiàn)狀，本次系統(tǒng)安全評估以方案分析、系統(tǒng)核查和工具檢測相結合的方式進行，具體描述如下。方案分析系統(tǒng)核查工具檢測系統(tǒng)評估過程如圖3.20所示。第三章

信息安全風險管理第三章

信息安全風險管理圖3.20A市基于互聯(lián)網(wǎng)的電子政務系統(tǒng)安全評估過程3.5.4安全需求分析1．網(wǎng)絡安全需求

互聯(lián)網(wǎng)擁有大量用戶，并且存在身份仿冒等威脅。系統(tǒng)很難分辨哪些是合法用戶，哪些是非法用戶。一旦政務辦公人員的身份被假冒，將影響到政府的辦公系統(tǒng)。因此，身份鑒別是網(wǎng)絡安全的基本需求，必須建立強認證機制，實行統(tǒng)一身份認證和授權管理。第三章

信息安全風險管理2．政務辦公系統(tǒng)安全需求進入系統(tǒng)必須首先進行登錄，身份由統(tǒng)一的機構進行管理，并且能根據(jù)身份重要程度發(fā)放相應的憑證，普通辦事員使用用戶名作為登錄憑證，領導和重要職位使用數(shù)據(jù)證書作為登錄憑證。模擬現(xiàn)實中的角色和分工，個人只能處理自己職責相關的任務。并且個人權限不能由自己決定和更改，應由全市的統(tǒng)一管理機構進行管理。保證敏感數(shù)據(jù)傳輸過程中的機密性和完整性。公文在處理過程中嚴格按照現(xiàn)實的工作流程進行，不能漏過任何環(huán)節(jié)，每個環(huán)節(jié)指定專人負責，在某個環(huán)節(jié)處理之前不能進入下一個環(huán)節(jié)。對于重要的操作，如簽發(fā)公文，要求使用數(shù)字證書重新驗證身份。第三章

信息安全風險管理對于形成的正式公文，按照敏感程度進行分類，敏感公文的借閱必須履行借閱手續(xù)。系統(tǒng)涉及敏感數(shù)據(jù)和公開數(shù)據(jù)，系統(tǒng)應能保證公開數(shù)據(jù)在處理的過程中不影響敏感數(shù)據(jù)的安全性。為降低系統(tǒng)風險，系統(tǒng)的內部業(yè)務處理模塊要求其他無關人員不可達。系統(tǒng)應有應急手段以應對突發(fā)事件，且能夠備份和快速恢復系統(tǒng)。第三章

信息安全風險管理3．項目審批管理安全需求

進入系統(tǒng)必須首先進行登錄，身份由統(tǒng)一的機構進行管理。企業(yè)用戶只能處理和查詢本單位的上報和查詢業(yè)務。項目審批人員只能處理自己職責相關的任務，個人權限應由全市的統(tǒng)一管理機構進行管理。根據(jù)安裝服務對象和信息敏感程度，系統(tǒng)分為企業(yè)上報和內部業(yè)務處理兩個子系統(tǒng)，且應能保證公開數(shù)據(jù)在處理的過程中不影響敏感數(shù)據(jù)的安全性。為降低系統(tǒng)風險，審批和統(tǒng)計等內部業(yè)務處理模塊要求普通人員不可達。第三章

信息安全風險管理3.5.5安全保障方案分析基于互聯(lián)網(wǎng)開展電子政務建設，關鍵是要解決好安全問題。為了確保應用系統(tǒng)和信息傳輸安全，規(guī)范工程項目按照建設方案有序實施，專家組在調研的基礎上，制定了《A市基于互聯(lián)網(wǎng)的電子政務系統(tǒng)技術總體要求》和《A市基于互聯(lián)網(wǎng)的電子政務系統(tǒng)安全保障方案框架》。該要求和構架就應用系統(tǒng)的分級分域保護、歸檔數(shù)據(jù)分級保護、工作流訪問控制、基于身份認證的單點登錄、基于功能模塊的權限控制以及試點系統(tǒng)總體安全保護措施等內容作了具體要求。安全保障方案框架如圖3.21所示。第三章

信息安全風險管理第三章

信息安全風險管理圖3.21A市基于互聯(lián)網(wǎng)的電子政務系統(tǒng)安全保障方案框架1．安全互聯(lián)、接入控制與邊界防護具有防火墻功能的VPN密碼機的安全功能包括以下內容。各局委辦VPN設備間的安全互聯(lián)，形成安全的電子政務網(wǎng)絡。電子政務網(wǎng)絡中電子政務應用數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾员ＷC。支持基于數(shù)字證書的設備認證。支持基于用戶的接入控制。應同時支持移動安全接入、VPN安全互聯(lián)和互聯(lián)網(wǎng)訪問等功能。VPN密碼機自身具有入侵檢測與攻擊防護能力。第三章

信息安全風險管理2．政務辦公系統(tǒng)該系統(tǒng)的安全功能要求如下。數(shù)據(jù)分級分域存放。統(tǒng)一身份認證。訪問控制。信息分級控制。關鍵操作（如公文簽發(fā)）實施證書方式認證?；诠ぷ髁鞯脑L問控制。第三章

信息安全風險管理

政務辦公系統(tǒng)的安全功能示意圖如圖3.22所示。第三章

信息安全風險管理圖3.22政務辦公系統(tǒng)安全功能示意圖3.5.6安全保障方案實施情況核查1．中心機房部署情況A市電子政務中心機房承載著全市的電子政務應用系統(tǒng)。A市基于互聯(lián)網(wǎng)的電子政務系統(tǒng)機房機柜部署具體情況如圖3.23所示，機柜功能描述如表3.12所示。第三章

信息安全風險管理第三章

信息安全風險管理圖3.23

A市基于互聯(lián)網(wǎng)的電子政務系統(tǒng)中心機房機柜部署圖第三章

信息安全風險管理機柜編號功能1號機柜四號樓網(wǎng)絡機柜2號機柜光纖機柜3號機柜安全服務區(qū)機柜4號機柜核心網(wǎng)絡設備機柜5號機柜公開區(qū)機柜6號機柜公開區(qū)機柜7號機柜敏感區(qū)機柜8號機柜敏感區(qū)機柜9號機柜安全管理機柜10號機柜敏