信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程（課堂PPT）

1、第第5章章 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程5.1 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 5.2 資產(chǎn)識(shí)別 5.3 脆弱性識(shí)別 5.4 已有安全措施確認(rèn)5.5 風(fēng)險(xiǎn)分析5.6 風(fēng)險(xiǎn)處理計(jì)劃5.7 風(fēng)險(xiǎn)評(píng)估文件記錄5.8 本章作業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅威脅及其存在的脆弱性脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度危害程度，為防范和化解信息安全風(fēng)險(xiǎn)防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制在可以接受的水平，制定針對(duì)性的抵御威脅的防護(hù)對(duì)策抵御

2、威脅的防護(hù)對(duì)策和整改措施整改措施以最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。 在信息化建設(shè)中，各類(lèi)應(yīng)用系統(tǒng)及其賴(lài)以運(yùn)用的基礎(chǔ)網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息是業(yè)務(wù)實(shí)現(xiàn)的保障，由于其可能存在軟硬件設(shè)備缺陷、系統(tǒng)集成缺陷軟硬件設(shè)備缺陷、系統(tǒng)集成缺陷等，以及信息安全管理中潛在的薄弱環(huán)節(jié)，都將導(dǎo)致不同程度的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)建設(shè)、運(yùn)行、管理中的安全隱患，并為增強(qiáng)安全性提供有效建議，以便采取更加經(jīng)濟(jì)、更加有力的安全保障措施，提高信息安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。 信息安全風(fēng)險(xiǎn)評(píng)估在具體實(shí)施中一般包括風(fēng)險(xiǎn)評(píng)估的準(zhǔn)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)備活動(dòng)，對(duì)信息系

3、統(tǒng)資產(chǎn)安全、面臨威、存在脆弱性的識(shí)信息系統(tǒng)資產(chǎn)安全、面臨威、存在脆弱性的識(shí)別別，對(duì)已經(jīng)采取安全措施的確認(rèn)已經(jīng)采取安全措施的確認(rèn)，對(duì)可能存在的信息安全風(fēng)險(xiǎn)的識(shí)別等環(huán)節(jié)。5.1 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是實(shí)施風(fēng)險(xiǎn)評(píng)估的前提，只有有效地進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備，才能更好地開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估。由于實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估，涉及組織的業(yè)務(wù)流程、涉及組織的業(yè)務(wù)流程、信息安全需求、信息系統(tǒng)規(guī)模、信息系統(tǒng)結(jié)構(gòu)信息安全需求、信息系統(tǒng)規(guī)模、信息系統(tǒng)結(jié)構(gòu)等多方面內(nèi)容，因此開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)，通過(guò)確定目標(biāo)、確定目標(biāo)、進(jìn)行調(diào)研、獲得組織高層管理者對(duì)評(píng)估的支持進(jìn)行調(diào)研、獲得組織高層管理者對(duì)

4、評(píng)估的支持等，對(duì)有效實(shí)施風(fēng)險(xiǎn)評(píng)估是十分必要的。信息安全評(píng)估的準(zhǔn)備活動(dòng)包括信息安全評(píng)估的準(zhǔn)備活動(dòng)包括 1. 確定風(fēng)險(xiǎn)評(píng)估的確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)目標(biāo) 2. 確定風(fēng)險(xiǎn)評(píng)估的確定風(fēng)險(xiǎn)評(píng)估的范圍范圍 3. 組建風(fēng)險(xiǎn)評(píng)估組建風(fēng)險(xiǎn)評(píng)估管理團(tuán)隊(duì)管理團(tuán)隊(duì)和和評(píng)估實(shí)施團(tuán)隊(duì)評(píng)估實(shí)施團(tuán)隊(duì) 4. 進(jìn)行進(jìn)行系統(tǒng)調(diào)研系統(tǒng)調(diào)研 5. 確定確定評(píng)估依據(jù)和方法評(píng)估依據(jù)和方法 6. 獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持支持5.1.1 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo) 首先需要確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)，信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求，通過(guò)分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中

5、對(duì)信息安全等的機(jī)密性、可用性、完整性機(jī)密性、可用性、完整性等方面的需求，來(lái)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)。5.1.2 確定風(fēng)險(xiǎn)評(píng)估的范圍 在風(fēng)險(xiǎn)評(píng)估前，需要確定風(fēng)險(xiǎn)評(píng)估的范圍。風(fēng)險(xiǎn)評(píng)估的范圍，包括組織內(nèi)部組織內(nèi)部與信息處理相關(guān)的各類(lèi)軟硬件資產(chǎn)各類(lèi)軟硬件資產(chǎn)、相關(guān)的管理機(jī)構(gòu)和人員管理機(jī)構(gòu)和人員、所處理的信息信息等各方面。 實(shí)施一次風(fēng)險(xiǎn)評(píng)估的范圍可大可小，需要根據(jù)具體評(píng)估具體評(píng)估需求確定需求確定，可以對(duì)組織全部的信息系統(tǒng)進(jìn)行評(píng)估，也可以?xún)H對(duì)關(guān)鍵業(yè)務(wù)流程關(guān)鍵業(yè)務(wù)流程進(jìn)行評(píng)估，也可以對(duì)組織的關(guān)鍵部門(mén)關(guān)鍵部門(mén)的信息系統(tǒng)進(jìn)行評(píng)估等。5.1.3 組建組建評(píng)估管理團(tuán)隊(duì)和評(píng)估實(shí)施團(tuán)隊(duì) 在確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍后，需要組建

6、風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，具體執(zhí)行組織的風(fēng)險(xiǎn)評(píng)估。由于風(fēng)險(xiǎn)評(píng)估涉及組織管理、業(yè)務(wù)、信息資產(chǎn)等各個(gè)方面，因此風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)中除了信息安全評(píng)估人員信息安全評(píng)估人員的參與，以便更好地了解組織信息安了解組織信息安全狀況全狀況，以利于風(fēng)險(xiǎn)評(píng)估的實(shí)施。5.1.4 進(jìn)行系統(tǒng)調(diào)研 在確定了風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)后，要進(jìn)行系統(tǒng)調(diào)研，并根據(jù)系統(tǒng)調(diào)研的結(jié)果決定評(píng)估將采用的評(píng)估方法等技術(shù)手段。系統(tǒng)調(diào)研內(nèi)容包括： 1. 組織業(yè)務(wù)戰(zhàn)略業(yè)務(wù)戰(zhàn)略2. 組織管理制度管理制度3. 組織主要業(yè)務(wù)功能和要求業(yè)務(wù)功能和要求4. 網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境（包括內(nèi)部連接和外部連接）5. 網(wǎng)絡(luò)系統(tǒng)邊界網(wǎng)絡(luò)系統(tǒng)邊界6. 主要的硬、軟件硬

7、、軟件7. 數(shù)據(jù)和信息數(shù)據(jù)和信息8. 系統(tǒng)和數(shù)據(jù)的敏感性敏感性9. 系統(tǒng)使用人員使用人員10. 其他系統(tǒng)調(diào)研方法可以采用問(wèn)卷調(diào)查、現(xiàn)場(chǎng)訪談問(wèn)卷調(diào)查、現(xiàn)場(chǎng)訪談等方法進(jìn)行。5.1.5 確定評(píng)估依據(jù)和方法 以系統(tǒng)調(diào)研結(jié)果為依據(jù)，根據(jù)被評(píng)估信息系統(tǒng)的具體情況，確定風(fēng)險(xiǎn)評(píng)估依據(jù)和方法。 評(píng)估依據(jù)包括吸納有國(guó)際或國(guó)家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主國(guó)際或國(guó)家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的安全要求、管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的安全要求、組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求等。 根據(jù)評(píng)估依據(jù)，并綜

8、合考慮評(píng)估的目的、范圍時(shí)間效果評(píng)估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)組織業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的評(píng)估判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。5.1.6 獲得支持 就以上內(nèi)容形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，并報(bào)組織最高管理者批準(zhǔn)批準(zhǔn)，以獲得其對(duì)風(fēng)險(xiǎn)評(píng)估方案的支持支持，同時(shí)在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容對(duì)管理者和技術(shù)人員進(jìn)行培進(jìn)行培訓(xùn)訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。5.2 資產(chǎn)識(shí)別資產(chǎn)識(shí)別5.2.1 資產(chǎn)分類(lèi) 風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別，因?yàn)閮r(jià)值不同將導(dǎo)致風(fēng)險(xiǎn)值不同。 而風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是以資產(chǎn)的機(jī)密性、完整性、和可用性

9、機(jī)密性、完整性、和可用性三個(gè)方面屬性為基礎(chǔ)進(jìn)行衡量。 資產(chǎn)在機(jī)密性、完整性和可用性三個(gè)屬性上的要求不同 ，則資產(chǎn)的最終價(jià)值也不同。 在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同。首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?lèi)，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類(lèi)方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可以將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員人員等類(lèi)型。表5-1列出了一種資產(chǎn)的分類(lèi)方法。 表5-1 一種基于表現(xiàn)形式的資產(chǎn)分類(lèi)方法表5-1 一種基于表現(xiàn)形式的資產(chǎn)分類(lèi)方法

10、5.2.2 資產(chǎn)賦值 對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)資產(chǎn)的安全狀況的安全狀況，即資產(chǎn)的機(jī)密性、完整性和可用性機(jī)密性、完整性和可用性，對(duì)組織信息安全性的影響程度影響程度。 資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性機(jī)密性,完整性和可用性完整性和可用性上的要求進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果綜合結(jié)果的過(guò)程。 資產(chǎn)對(duì)機(jī)密性、完整性和可用性上的要求可由安全屬性缺失時(shí)造成的影響來(lái)表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額、組織形象的損失還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額、組織形象的損失。1. 機(jī)密性賦值機(jī)密性賦值 根據(jù)

11、資產(chǎn)在機(jī)密性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。表5-2提供了一種機(jī)密性賦值的參考。表5-2 資產(chǎn)機(jī)密性賦值表2. 完整性完整性賦值 根據(jù)資產(chǎn)在完整性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性商缺失完整性商缺失時(shí)對(duì)整個(gè)組織的影響。表5-3提供了一種完整性賦值的參考。表5-3 資產(chǎn)完整性賦值表 3. 可用性可用性賦值 根據(jù)資產(chǎn)在可用性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上缺失時(shí)對(duì)整個(gè)組織的影響。表1-4提供了一種可用性賦值的參考。表5- 4 資產(chǎn)可用性賦值表4. 資產(chǎn)重要性等級(jí)重要性等級(jí) 資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密

12、性、完整性和可用性機(jī)密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。綜合評(píng)定方法可以選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。這里為與上述安全屬性的賦值相對(duì)應(yīng)，根據(jù)最終賦值資產(chǎn)劃分為5級(jí)，級(jí)別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實(shí)際情況確定資產(chǎn)識(shí)別中的賦值依據(jù)和等級(jí)。表5-5中的資產(chǎn)等級(jí)劃分表明了不同等級(jí)的重要性的綜合描述。評(píng)估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并圍繞重要資產(chǎn)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。表5-

13、 5 資產(chǎn)等級(jí)及含義描述5.3 威脅識(shí)別威脅識(shí)別5.3.1 威脅分類(lèi) 信息安全威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。 造成威脅的因素可分為人為因素人為因素和環(huán)境因素環(huán)境因素。 根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意惡意和非惡意兩種。 環(huán)境因素包括自然界不可抗力的因素不可抗力的因素和其他物理因素其他物理因素。威脅作用形式威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接直接或間接的攻擊，也可能是偶發(fā)的或蓄意的安全事件，都會(huì)在信息的機(jī)密性、完整性或可用性機(jī)密性、完整性或可用性等方面造成損害。在對(duì)威脅進(jìn)行分類(lèi)前，應(yīng)考慮威脅的來(lái)源。表1-6提供了一種威脅來(lái)源的分類(lèi)方法

14、。表5- 6 威脅來(lái)源列表5.3 威脅識(shí)別威脅識(shí)別對(duì)威脅進(jìn)行分類(lèi)的方式有多種，針對(duì)表5-6的威脅來(lái)源，可以根據(jù)其表現(xiàn)形式進(jìn)行威脅分類(lèi)。表5-7提供了一種基于表現(xiàn)形式的威脅分類(lèi)方法。表5- 7 一種基于表現(xiàn)形式的威脅分類(lèi)表表5- 7 一種基于表現(xiàn)形式的威脅分類(lèi)表表5- 7 一種基于表現(xiàn)形式的威脅分類(lèi)表5.3 威脅識(shí)別威脅識(shí)別5.3.2 威脅賦值威脅賦值 威脅出現(xiàn)的頻率頻率是衡量威脅嚴(yán)重程度的重要要素，因此威脅識(shí)別后需要對(duì)威脅頻率進(jìn)行賦值，已帶入最后的風(fēng)險(xiǎn)計(jì)算中。 評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)對(duì)威脅頻率進(jìn)行賦值，威脅賦值中需要綜合考慮以下三個(gè)方面因素。5.3 威脅識(shí)別威脅識(shí)別5.3.2

15、 威脅賦值威脅賦值1） 以往安全事件以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)2） 實(shí)際環(huán)境實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；3） 近年來(lái)國(guó)際組織發(fā)布國(guó)際組織發(fā)布的對(duì)與整個(gè)社會(huì)或特定的行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。 可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。表5- 8 威脅賦值表表5-8 提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中，威脅頻率的判斷應(yīng)根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷，在評(píng)估準(zhǔn)備階段確定，并得到被評(píng)估方的認(rèn)可。 5.4 脆弱性識(shí)別 脆弱性脆弱性是資產(chǎn)本身資產(chǎn)本身存在的， 如果沒(méi)有

16、被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生進(jìn)而帶來(lái)?yè)p失。即，威脅威脅總是要利用資產(chǎn)的脆弱性資產(chǎn)的脆弱性才可能造成危害。 資產(chǎn)的脆弱性資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件下和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。不正確的，起不到應(yīng)有作用的或沒(méi)有正確實(shí)施安全措施本身就可能存在脆弱性。 脆弱性識(shí)別脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)威脅利用的弱點(diǎn)，并對(duì)脆弱的嚴(yán)重脆弱的嚴(yán)重程度進(jìn)行評(píng)估，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)

17、用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。 脆弱識(shí)別的依據(jù)可以是國(guó)際國(guó)家安全標(biāo)準(zhǔn)國(guó)際國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程行業(yè)規(guī)范、應(yīng)用流程的安全要求。 對(duì)應(yīng)用在不同的環(huán)境中的相同弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷資組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。產(chǎn)的脆弱性及其嚴(yán)重程度。 信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。 脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專(zhuān)業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、問(wèn)卷調(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)

18、試人工核查、文檔查閱、滲透性測(cè)試等。 脆弱性識(shí)別主要從技術(shù)和管理技術(shù)和管理兩個(gè)方面進(jìn)行， 技術(shù)脆弱性技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。 管理脆弱性管理脆弱性又可分為技術(shù)管理技術(shù)管理脆弱性和組織管理組織管理脆弱性?xún)煞矫?，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。 對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施 例如，對(duì)物理環(huán)境物理環(huán)境的脆弱性識(shí)別可以參照GB/T 9361-2000計(jì)算機(jī)場(chǎng)地安全要求中的技術(shù)指標(biāo)實(shí)施； 對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)操作系統(tǒng)、數(shù)據(jù)庫(kù)可以參照GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等

19、級(jí)劃分準(zhǔn)則中的技術(shù)指標(biāo) 實(shí)施管理脆弱性管理脆弱性識(shí)別方面可以參照GB/T 19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則的要求對(duì)安全管理制度及及執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。表5提供一種脆弱性識(shí)別內(nèi)容的參考。表5- 9 脆弱性識(shí)別內(nèi)容表 5.4.2脆弱性賦值 可以根據(jù)對(duì)資產(chǎn)的損害程度資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的程度弱點(diǎn)的程度，采用等級(jí)方式采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重進(jìn)嚴(yán)重進(jìn)行賦值行賦值。由于很多弱點(diǎn)反映的是一方面的問(wèn)題，或可能造成相似的后果，賦值時(shí)應(yīng)綜合考慮這些弱點(diǎn)，以確定這一方面脆弱性的嚴(yán)重程度。 對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織

20、組織管理脆弱性管理脆弱性的影響。因此，資產(chǎn)的脆弱賦值還應(yīng)參考技參考技術(shù)管理和組織管理術(shù)管理和組織管理脆弱性的嚴(yán)重程度。 脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化管理，不同的等級(jí)分別代表資產(chǎn)脆弱性的嚴(yán)重程度高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。表5-10提供了脆弱性嚴(yán)重程度的一種賦值方法。表5- 10 脆弱性嚴(yán)重程度賦值表5.5 已有安全措施確認(rèn)已有安全措施確認(rèn) 安全措施可以分為預(yù)防性預(yù)防性安全措施和保護(hù)性保護(hù)性安全措施兩種。 預(yù)防性預(yù)防性安全措施可以降低降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如:入侵入侵檢測(cè)系統(tǒng)； 保護(hù)性保護(hù)性安全措施可以減少減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。 在識(shí)別脆弱

21、性識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取已采取的安全措施的有效性進(jìn)行檢查，檢查安全措施是否有效發(fā)揮了作用，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。 對(duì)于已經(jīng)有效已經(jīng)有效地發(fā)揮了其作用的安全措施，應(yīng)繼續(xù)保持，而不用重復(fù)建設(shè)安全措施； 對(duì)于不適當(dāng)?shù)陌踩胧┎贿m當(dāng)?shù)陌踩胧脤?duì)其進(jìn)行改進(jìn)，或采用更合適的安全措施替代。 已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來(lái)說(shuō)，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要 和脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類(lèi)具體措施一類(lèi)具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。5.6 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析5.6.1 風(fēng)險(xiǎn)計(jì)

22、算原理風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)定義為威脅威脅利用脆弱性脆弱性導(dǎo)致安全事件安全事件發(fā)生的可能性可能性。在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已已有安全措施有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具進(jìn)行安全風(fēng)險(xiǎn)分析和計(jì)算風(fēng)險(xiǎn)分析和計(jì)算，下面使用的范式形式化說(shuō)明風(fēng)險(xiǎn)計(jì)算原理： 風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值=R=（A,T,V） =R(L(T,V),F(Ia,Va) 其中：R表示安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)資產(chǎn)(Asset)，T表示威脅出現(xiàn)頻率(Threat)，V表示脆弱性(Vulnerability)， Ia表示安全事件所作用的資產(chǎn)價(jià)值資產(chǎn)價(jià)值，Va表示脆弱性脆弱性嚴(yán)重程度嚴(yán)重程度，

23、L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可可能性能性，F(xiàn)表示安全事件發(fā)生后產(chǎn)生的損失損失。 在風(fēng)險(xiǎn)計(jì)算中有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：1. 計(jì)算安全事件發(fā)生的可能性可能性 根據(jù)威脅出現(xiàn)頻率威脅出現(xiàn)頻率及弱點(diǎn)弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性安全事件發(fā)生的可能性=L（威脅出現(xiàn)頻率威脅出現(xiàn)頻率，脆弱性脆弱性） =(L,V) 在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力綜合攻擊者技術(shù)能力（專(zhuān)業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度脆弱性被利用的難易程度（可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開(kāi)程度等）、資產(chǎn)吸引力資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。2. 計(jì)算安

24、全事件發(fā)生后的計(jì)算安全事件發(fā)生后的損失損失 根據(jù)根據(jù)資產(chǎn)價(jià)值資產(chǎn)價(jià)值及及脆弱性嚴(yán)重程度脆弱性嚴(yán)重程度，計(jì)算安全事件一，計(jì)算安全事件一旦發(fā)生后的損失，即：旦發(fā)生后的損失，即：安全事件的損失安全事件的損失=F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度） = F(Ia,Va) 部分安全部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性連續(xù)性；不同安全事件的發(fā)；不同安全事件的發(fā)生對(duì)生對(duì)組織造成組織造成的影響也是不一樣的。在計(jì)算某個(gè)安全事的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。件

25、的損失，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。 部分安全事件損失的判斷還應(yīng)參照安全事件發(fā)生的可能性的結(jié)果，對(duì)發(fā)生可能性極少的安全事件，如:處于非地震帶的地震威脅、在采取完備供電完備供電措施狀況下的電力故障威脅等，可以不計(jì)算不計(jì)算其損失。3. 計(jì)算風(fēng)險(xiǎn)值 根據(jù)計(jì)算出的安全事件發(fā)生的可能性可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R（安全事件發(fā)生的可能性可能性，安全事件的損失損失） =R(L(T,V),F(Ia,Va) 評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算出風(fēng)險(xiǎn)值，如矩陣法矩陣法或相乘法相乘法。 矩陣法矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維

26、關(guān)系二維關(guān)系； 相乘法相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù)經(jīng)驗(yàn)函數(shù)，將安全事件發(fā)生的可能性與安全事件的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。 5.6.2 風(fēng)險(xiǎn)結(jié)果判定風(fēng)險(xiǎn)結(jié)果判定 為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。可以將風(fēng)險(xiǎn)劃分為一定的級(jí)別，如劃分為5級(jí)或級(jí)或3級(jí)級(jí)。等級(jí)越高，風(fēng)險(xiǎn)越高。 評(píng)估者應(yīng)根據(jù)采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的危險(xiǎn)值危險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。 表表5-11 提供了一種風(fēng)險(xiǎn)等級(jí)劃分方法。提供了一種風(fēng)險(xiǎn)等級(jí)劃分方法。 風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)等級(jí)劃分是為了在風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同

27、風(fēng)險(xiǎn)進(jìn)行直觀的比較，以確定組織安全策略。 組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。 對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范可接受的范圍內(nèi)圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn)，應(yīng)保持已有保持已有的安全措施； 如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值上限值，是可接受的風(fēng)險(xiǎn)，需要采取安全措施以降低、控制風(fēng)險(xiǎn)降低、控制風(fēng)險(xiǎn)。 5.6.3 風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)處理計(jì)劃 對(duì)不可接受對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)處理計(jì)劃。 風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確指出采取的彌補(bǔ)弱點(diǎn)彌補(bǔ)弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門(mén)等

28、。 安全措施的選擇應(yīng)從管理管理與技術(shù)技術(shù)兩個(gè)方面考慮，管理措施可以作為技術(shù)措施的補(bǔ)充。安全措施的選擇與實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行相關(guān)標(biāo)準(zhǔn)進(jìn)行。 在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評(píng)估再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。 殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)的評(píng)估可以依據(jù)本標(biāo)準(zhǔn)提出的風(fēng)險(xiǎn)評(píng)估流程實(shí)施，也可以適當(dāng)裁減。一般來(lái)說(shuō)，安全措施的實(shí)施是以減少脆弱性或降低安全事件發(fā)生可能性為目標(biāo)的，因此，殘余風(fēng)險(xiǎn)的評(píng)估可以從脆弱性評(píng)估開(kāi)始，在對(duì)照安全措施實(shí)施前后的脆弱性狀況后，再次計(jì)算風(fēng)險(xiǎn)值的大小。 某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)

29、殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)接受此風(fēng)險(xiǎn)或進(jìn)一步增加增加相應(yīng)的安全措施。 5.7 風(fēng)險(xiǎn)評(píng)估文件記錄文件記錄5.7.1 風(fēng)險(xiǎn)評(píng)估文件記錄的要求要求記錄風(fēng)險(xiǎn)評(píng)估過(guò)程中的相關(guān)文件，應(yīng)符合以下要求（但不僅限于此）：1. 確保文件發(fā)布前是得到批準(zhǔn)的；2. 確保文件的更改和現(xiàn)行修訂狀態(tài)是可識(shí)別的；3. 確保文件的分發(fā)得到適當(dāng)?shù)目刂疲⒋_保在使用時(shí)可獲得有關(guān)版本的使用文件；4. 防止作廢文件的非預(yù)期使用，若因某種目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。 對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。 相關(guān)文件是否需要以及文件的詳略程度與組織的管理者來(lái)決定。