信息安全風險評估教材課件

第四章信息安全風險評估第四章信息安全風險評估1本章學習目標了解風險評估的概念、特點和內涵；熟悉風險評估的過程及應注意的問題；了解如何選擇恰當的風險評估方法；掌握典型的風險評估方法；了解風險評估實施準備本章學習目標了解風險評估的概念、特點和內涵；24.1信息安全風險評估基礎GB/T20984-2007《信息安全技術信息安全風險評估規(guī)范》相關概念資產（Asset）：任何對組織有價值的事如，是安全策略保護的對象。威脅（Threat）:指可能對資產或組織造成損害的事故的潛在原因。脆弱點（Vulnerability）：是指資產或資產組中能被威脅利用的弱點。風險（Risk）：特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結合。風險評估（RiskAssessment）：對信息或信息處理設施的威脅、影響和脆弱點及三者發(fā)生的可能性的評估。殘余風險（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。4.1信息安全風險評估基礎GB/T20984-2007《信3風險要素關系風險要素關系4信息安全風險評估教材課件5風險評估的兩種方式自評估和檢查評估1自評估“誰主管誰負責，誰運營誰負責”信息系統(tǒng)擁有者依靠自身力量，依據國家風險評估的管理規(guī)范和技術標準，對自有的信息系統(tǒng)進行風險評估的活動。優(yōu)點有利于保密有利于發(fā)揮行業(yè)和部門內人員的業(yè)務特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息安全知識風險評估的兩種方式自評估和檢查評估6風險評估的兩種方式1自評估缺點：如果沒有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風險評估專業(yè)人才的情況下，自評估的結果可能不深入、不規(guī)范、不到位自評估中，可能會存在某些不利的干預，從而影響風險評估結果的客觀性，降低評估結果的置信度某些時候，即使自評估的結果比較樂觀，也必須與管理層進行溝通風險評估的兩種方式1自評估7風險評估的兩種方式2檢查評估檢查評估是由信息安全主管部門或業(yè)務部門發(fā)起的一種評估活動，旨在依據已經頒布的法規(guī)或標準，檢查被評估單位是否滿足了這些法規(guī)或標準。檢查評估通常都是定期的、抽樣進行的評估模式檢查評估缺點：間隔時間較長，如一年一次，通常還是抽樣進行不能貫穿一個部門信息系統(tǒng)生命周期的全過程，很難對信息系統(tǒng)的整體風險狀況作出完整的評價風險評估的兩種方式2檢查評估8風險評估的兩種方式2檢查評估檢查評估應覆蓋但不限于以下內容：自評估方法的檢查自評估過程記錄檢查自評估結果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護制度及實施狀況的檢查突發(fā)事件應對措施的檢查數據完整性保護措施的檢查審計追蹤的檢查風險評估的兩種方式2檢查評估9風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險評估服務技術支持方實施，如國家測評認證機構或安全企業(yè)公司。風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險10風險分析原理風險分析中要涉及資產、威脅、脆弱性三個基本要素。風險分析原理圖風險分析原理風險分析中要涉及資產、威脅、脆弱性三個基本要素。11風險分析原理風險分析的主要內容為：1對資產進行識別，并對資產的價值進行賦值2對威脅進行識別，描述威脅的屬性（威脅主體，影響對象，出現(xiàn)頻率，動機等），并對威脅出現(xiàn)的頻率賦值3對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值4根據威脅及威脅利用脆弱性的難易程度判斷安全時間發(fā)生的可能性根據脆弱性的嚴重程度和安全事件所作用的資產的價值計算安全事件造成的損失根據安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值風險分析原理風險分析的主要內容為：124.2風險評估的過程4.2.1風險評估的基本步驟第一步：風險評估準備第二步：風險因素識別第三步：風險確定第四步：風險評價第五步：風險控制4.2風險評估的過程4.2.1風險評估的基本步驟13信息安全風險評估教材課件14第一步風險評估準備1確定風險評估的目標風險評估目標要滿足企業(yè)持續(xù)發(fā)展在安全方面的要求，滿足相關方的要求，滿足法律法規(guī)的要求2風險評估的范圍風險評估范圍可能是企業(yè)全部的信息以及與信息處理相關的各類資產、管理機構，也可能是某個獨立的系統(tǒng)、關鍵業(yè)務流程、與客戶知識產權相關的系統(tǒng)或部門等3選擇與組織機構相適應的具體風險判斷方法在選擇具體的風險判斷方法時，應考慮評估的目的、范圍、時間、效果、人員素質等諸多因素，使之能夠與組織環(huán)境和安全要求相適應4建立風險評估團隊管理層、業(yè)務骨干、信息技術人員、技術專家等5獲得最高管理者對風險評估工作的支持風險評估過程應得到企業(yè)最高管理者的支持、批準，并對管理層和技術人員進行傳達，應在組織內部對風險評估的相關內容進行培訓，以明確相關人員在風險評估中的任務。第一步風險評估準備1確定風險評估的目標15第二步風險因素評估1資產評估識別信息資產，包括數據、軟件、硬件、設備、服務、文檔等，制定《信息資產列表》保密性、完整性、可用性是評價資產的三個安全屬性風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。第二步風險因素評估1資產評估16資產分類資產分類17信息安全風險評估教材課件18信息安全風險評估教材課件19信息安全風險評估教材課件20資產賦值資產價值應根據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最重要的一個屬性的賦值等級作為資產的最終賦值結果；或三者進行加權計算得到資產的最終賦值結果。資產賦值資產價值應根據資產在保密性、完整性和可用性上的賦值等21信息安全風險評估教材課件22第二步風險因素評估2威脅評估威脅（Threat）:指可能對資產或組織造成損害的事故的潛在原因。威脅分析包括：潛在威脅分析、威脅審計和入侵檢測分析、綜合分析威脅賦值應根據威脅發(fā)生的可能性和威脅產生的影響程度綜合確定第二步風險因素評估2威脅評估23信息安全風險評估教材課件24信息安全風險評估教材課件25信息安全風險評估教材課件26威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值27第二步風險因素評估3弱點評估脆弱點（Vulnerability）：是指資產或資產組中能被威脅利用的弱點。脆弱性識別可以以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點；也可以從物理、網絡、系統(tǒng)、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。第二步風險因素評估3弱點評估28信息安全風險評估教材課件29信息安全風險評估教材課件30第三步風險確定1現(xiàn)有安全措施評估評估人員應對已采取的安全措施的有效性進行確認，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。2風險計算根據以上評估產生的結果，計算出每項信息資產的風險值第三步風險確定1現(xiàn)有安全措施評估31風險計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數A：資產T：威脅V：脆弱性Ia：安全事件所作用的資產價值Va：脆弱性嚴重程度L：威脅利用資產的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據自身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。風險計算原理風險值=R(A,T,V)=R(L(T,V),F(32第四步風險判定對所有風險計算結果進行等級化處理，每個等級代表了相應風險的嚴重程度。第四步風險判定對所有風險計算結果進行等級化處理，每個等級代33第五步風險控制對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理和技術兩個方面考慮第五步風險控制對不可接受的風險應根據導致該風險的脆弱性制定34殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可再進行評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安35風險評估文檔記錄風險評估文檔記錄36信息安全風險評估教材課件37信息安全風險評估教材課件38風險的計算方法計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數A：資產T：威脅V：脆弱性Ia：安全事件所作用的資產價值Va：脆弱性嚴重程度L：威脅利用資產的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據自身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。風險的計算方法計算原理39風險的計算方法風險值計算涉及的風險要素：資產、威脅、脆弱性由威脅和脆弱性確定安全事件發(fā)生的可能性由資產和脆弱性確定安全事件的損失由安全事件發(fā)生的可能性和安全事件的損失確定風險值目前，常用的計算方法是矩陣法和相乘法風險的計算方法風險值計算涉及的風險要素：資產、威脅、脆弱性40使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素值的情形Z=f(x,y)，函數f采用矩陣法x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi為正整數y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj為正整數以要素x和要素y的取值構造一個二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內mxn個值即為要素z的取值。使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素41信息安全風險評估教材課件42使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數Zij的計算需要根據實際情況確定，矩陣內zij的值不一定遵循統(tǒng)一的計算公式，但必須具有統(tǒng)一的增減趨勢，即如果f是遞增函數，zij的值應隨著xi和yj的值遞增，反之亦然。使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式43使用矩陣法計算風險值示例資產資產值威脅威脅發(fā)生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法計算風險值示例資產資產值威脅威脅發(fā)生頻率弱點弱點嚴44使用矩陣法計算風險值示例以資產A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值，其他風險值計算過程類似1計算安全事件發(fā)生的可能性首先由威脅發(fā)生的頻率和弱點的嚴重程度值構建安全事件可能性矩陣然后根據T1發(fā)生的頻率值和V1嚴重程度值在矩陣中進行對照，確定安全事件發(fā)生可能性值使用矩陣法計算風險值示例以資產A1面臨的威脅T1可以利用的弱45威脅發(fā)生的頻率T1=2弱點嚴重性程度V1=2安全事件發(fā)生可能性值=6威脅發(fā)生的頻率T1=246由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構建風險矩陣，需對安全事件發(fā)生可能可能性進行等級劃分該安全事件發(fā)生可能性等級為2由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構建風險矩47使用矩陣法計算風險值示例2計算安全事件的損失

首先由資產價值和弱點嚴重程度值構建安全事件損失矩陣然后對照表，確定安全事件損失值使用矩陣法計算風險值示例2計算安全事件的損失48資產A1的價值=2弱點嚴重性程度V1=2安全事件損失值=5資產A1的價值=249由于安全事件損失值將參與風險事件值的計算，為了構建風險矩陣，需對安全事件損失進行等級劃分該安全事件損失等級為1由于安全事件損失值將參與風險事件值的計算，為了構建風險矩陣，50使用矩陣法計算風險值示例3計算風險值首先由安全事件發(fā)生可能性和安全事件損失構建安全風險矩陣然后對照表，確定安全風險值使用矩陣法計算風險值示例3計算風險值51安全事件發(fā)生可能性等級為2安全事件損失等級為1安全風險值=6安全事件發(fā)生可能性等級為252結果判定，確定風險等級劃分根據上述計算方法，計算資產的其他風險值，并根據風險等級劃分表，確定風險等級結果判定，確定風險等級劃分53信息安全風險評估教材課件54信息安全風險評估教材課件55使用相乘法計算風險值相乘法主要用于兩個或多個要素值確定一個要素值的情形相乘法的原理z=f(x,y)=xXy也可以相乘后開平方或取模運算等。使用相乘法計算風險值相乘法主要用于兩個或多個要素值確定一個要56使用相乘法計算風險值示例以資產A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值計算公式x和y的積的平方根的四舍五入結果設資產A1價值為4，面臨的威脅T1發(fā)生的頻率為1，可利用的弱點V1嚴重程度為31計算安全事件發(fā)生的可能性威脅發(fā)生的頻率T1=1弱點嚴重性程度V1=3安全事件發(fā)生可能性值=使用相乘法計算風險值示例以資產A1面臨的威脅T1可以利用的弱57使用相乘法計算風險值示例2計算安全事件的損失資產價值A1=4脆弱性嚴重程度V1=3安全事件的損失=3計算風險值安全事件發(fā)生可能性=安全事件損失=安全事件風險值==6根據風險等級劃分表，風險等級確定為2使用相乘法計算風險值示例2計算安全事件的損失584.6風險評估實施4.6.1風險評估實施原則目標一致關注重點資產用戶參與重視質量管理和過程4.6風險評估實施4.6.1風險評估實施原則594.6.2風險評估流程1前期準備階段2現(xiàn)場調查階段3風險分析階段4策略制定階段4.6.2風險評估流程60前期準備階段背景資料準備技術資料準備調查提綱準備調查提綱確認簽署保密協(xié)議前期準備階段背景資料準備61現(xiàn)場調查階段人員調查了解組織最重視的信息資產、最擔心發(fā)生的事件以及組織對信息系統(tǒng)安全的期望調查了解組織中曾經發(fā)生過的信息安全相關事件采用問詢、會議、資料審計的形式獲取相關的數據，包括目前信息管理的規(guī)章制度以及具體實施情況技術調查網絡架構調查繪制被評估單位的網絡拓撲結構；目前網絡上的虛擬網劃分與使用情況；明確網絡邊界；對業(yè)務系統(tǒng)的安全等級建議，確認目前達到的安全等級等現(xiàn)場調查階段人員調查62現(xiàn)場調查階段技術調查業(yè)務流程調查主要業(yè)務系統(tǒng)之間的邏輯關系；業(yè)務的安全要求；系統(tǒng)業(yè)務功能；形成業(yè)務流程現(xiàn)狀圖；初步分析業(yè)務流程現(xiàn)狀中存在的問題等主機系統(tǒng)調查主機系統(tǒng)固有的漏洞和配置問題；系統(tǒng)提供的服務；賬號的安全情況；采用的訪問控制策略；日志審計等情況數據庫系統(tǒng)調查賬號、密碼設置情況；數據庫使用情況，存儲、備份方法；數據庫系統(tǒng)固有的漏洞；日志審計等現(xiàn)場調查階段技術調查63現(xiàn)場調查階段技術調查系統(tǒng)服務的調查調查通用的應用服務狀況，如web、mail、ftp等服務數據獲取手段流程調查、技術資料、資料分析、工具分析、現(xiàn)場檢查、問詢、會議等工具漏掃工具、完整性檢查工具、網管軟件、流量分析工具、滲透工具等現(xiàn)場調查階段技術調查64風險分析階段安全需求分析系統(tǒng)威脅分析系統(tǒng)脆弱性分析控制措施有效性分析系統(tǒng)影響分析綜合分析風險分析階段安全需求分析65策略制定階段制定安全保護策略制定實施計劃策略制定階段制定安全保護策略66習題和思考題作業(yè)1基于表現(xiàn)形式對威脅進行分類并簡要描述。2簡要描述資產、威脅和脆弱性的關系答疑習題和思考題作業(yè)67第四章信息安全風險評估第四章信息安全風險評估68本章學習目標了解風險評估的概念、特點和內涵；熟悉風險評估的過程及應注意的問題；了解如何選擇恰當的風險評估方法；掌握典型的風險評估方法；了解風險評估實施準備本章學習目標了解風險評估的概念、特點和內涵；694.1信息安全風險評估基礎GB/T20984-2007《信息安全技術信息安全風險評估規(guī)范》相關概念資產（Asset）：任何對組織有價值的事如，是安全策略保護的對象。威脅（Threat）:指可能對資產或組織造成損害的事故的潛在原因。脆弱點（Vulnerability）：是指資產或資產組中能被威脅利用的弱點。風險（Risk）：特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結合。風險評估（RiskAssessment）：對信息或信息處理設施的威脅、影響和脆弱點及三者發(fā)生的可能性的評估。殘余風險（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。4.1信息安全風險評估基礎GB/T20984-2007《信70風險要素關系風險要素關系71信息安全風險評估教材課件72風險評估的兩種方式自評估和檢查評估1自評估“誰主管誰負責，誰運營誰負責”信息系統(tǒng)擁有者依靠自身力量，依據國家風險評估的管理規(guī)范和技術標準，對自有的信息系統(tǒng)進行風險評估的活動。優(yōu)點有利于保密有利于發(fā)揮行業(yè)和部門內人員的業(yè)務特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息安全知識風險評估的兩種方式自評估和檢查評估73風險評估的兩種方式1自評估缺點：如果沒有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風險評估專業(yè)人才的情況下，自評估的結果可能不深入、不規(guī)范、不到位自評估中，可能會存在某些不利的干預，從而影響風險評估結果的客觀性，降低評估結果的置信度某些時候，即使自評估的結果比較樂觀，也必須與管理層進行溝通風險評估的兩種方式1自評估74風險評估的兩種方式2檢查評估檢查評估是由信息安全主管部門或業(yè)務部門發(fā)起的一種評估活動，旨在依據已經頒布的法規(guī)或標準，檢查被評估單位是否滿足了這些法規(guī)或標準。檢查評估通常都是定期的、抽樣進行的評估模式檢查評估缺點：間隔時間較長，如一年一次，通常還是抽樣進行不能貫穿一個部門信息系統(tǒng)生命周期的全過程，很難對信息系統(tǒng)的整體風險狀況作出完整的評價風險評估的兩種方式2檢查評估75風險評估的兩種方式2檢查評估檢查評估應覆蓋但不限于以下內容：自評估方法的檢查自評估過程記錄檢查自評估結果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護制度及實施狀況的檢查突發(fā)事件應對措施的檢查數據完整性保護措施的檢查審計追蹤的檢查風險評估的兩種方式2檢查評估76風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險評估服務技術支持方實施，如國家測評認證機構或安全企業(yè)公司。風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險77風險分析原理風險分析中要涉及資產、威脅、脆弱性三個基本要素。風險分析原理圖風險分析原理風險分析中要涉及資產、威脅、脆弱性三個基本要素。78風險分析原理風險分析的主要內容為：1對資產進行識別，并對資產的價值進行賦值2對威脅進行識別，描述威脅的屬性（威脅主體，影響對象，出現(xiàn)頻率，動機等），并對威脅出現(xiàn)的頻率賦值3對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值4根據威脅及威脅利用脆弱性的難易程度判斷安全時間發(fā)生的可能性根據脆弱性的嚴重程度和安全事件所作用的資產的價值計算安全事件造成的損失根據安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值風險分析原理風險分析的主要內容為：794.2風險評估的過程4.2.1風險評估的基本步驟第一步：風險評估準備第二步：風險因素識別第三步：風險確定第四步：風險評價第五步：風險控制4.2風險評估的過程4.2.1風險評估的基本步驟80信息安全風險評估教材課件81第一步風險評估準備1確定風險評估的目標風險評估目標要滿足企業(yè)持續(xù)發(fā)展在安全方面的要求，滿足相關方的要求，滿足法律法規(guī)的要求2風險評估的范圍風險評估范圍可能是企業(yè)全部的信息以及與信息處理相關的各類資產、管理機構，也可能是某個獨立的系統(tǒng)、關鍵業(yè)務流程、與客戶知識產權相關的系統(tǒng)或部門等3選擇與組織機構相適應的具體風險判斷方法在選擇具體的風險判斷方法時，應考慮評估的目的、范圍、時間、效果、人員素質等諸多因素，使之能夠與組織環(huán)境和安全要求相適應4建立風險評估團隊管理層、業(yè)務骨干、信息技術人員、技術專家等5獲得最高管理者對風險評估工作的支持風險評估過程應得到企業(yè)最高管理者的支持、批準，并對管理層和技術人員進行傳達，應在組織內部對風險評估的相關內容進行培訓，以明確相關人員在風險評估中的任務。第一步風險評估準備1確定風險評估的目標82第二步風險因素評估1資產評估識別信息資產，包括數據、軟件、硬件、設備、服務、文檔等，制定《信息資產列表》保密性、完整性、可用性是評價資產的三個安全屬性風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。第二步風險因素評估1資產評估83資產分類資產分類84信息安全風險評估教材課件85信息安全風險評估教材課件86信息安全風險評估教材課件87資產賦值資產價值應根據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最重要的一個屬性的賦值等級作為資產的最終賦值結果；或三者進行加權計算得到資產的最終賦值結果。資產賦值資產價值應根據資產在保密性、完整性和可用性上的賦值等88信息安全風險評估教材課件89第二步風險因素評估2威脅評估威脅（Threat）:指可能對資產或組織造成損害的事故的潛在原因。威脅分析包括：潛在威脅分析、威脅審計和入侵檢測分析、綜合分析威脅賦值應根據威脅發(fā)生的可能性和威脅產生的影響程度綜合確定第二步風險因素評估2威脅評估90信息安全風險評估教材課件91信息安全風險評估教材課件92信息安全風險評估教材課件93威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值94第二步風險因素評估3弱點評估脆弱點（Vulnerability）：是指資產或資產組中能被威脅利用的弱點。脆弱性識別可以以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點；也可以從物理、網絡、系統(tǒng)、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。第二步風險因素評估3弱點評估95信息安全風險評估教材課件96信息安全風險評估教材課件97第三步風險確定1現(xiàn)有安全措施評估評估人員應對已采取的安全措施的有效性進行確認，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。2風險計算根據以上評估產生的結果，計算出每項信息資產的風險值第三步風險確定1現(xiàn)有安全措施評估98風險計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數A：資產T：威脅V：脆弱性Ia：安全事件所作用的資產價值Va：脆弱性嚴重程度L：威脅利用資產的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據自身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。風險計算原理風險值=R(A,T,V)=R(L(T,V),F(99第四步風險判定對所有風險計算結果進行等級化處理，每個等級代表了相應風險的嚴重程度。第四步風險判定對所有風險計算結果進行等級化處理，每個等級代100第五步風險控制對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理和技術兩個方面考慮第五步風險控制對不可接受的風險應根據導致該風險的脆弱性制定101殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可再進行評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安102風險評估文檔記錄風險評估文檔記錄103信息安全風險評估教材課件104信息安全風險評估教材課件105風險的計算方法計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數A：資產T：威脅V：脆弱性Ia：安全事件所作用的資產價值Va：脆弱性嚴重程度L：威脅利用資產的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據自身情況選擇相應的風險計算方法來計算風險值，如矩陣法或相乘法。風險的計算方法計算原理106風險的計算方法風險值計算涉及的風險要素：資產、威脅、脆弱性由威脅和脆弱性確定安全事件發(fā)生的可能性由資產和脆弱性確定安全事件的損失由安全事件發(fā)生的可能性和安全事件的損失確定風險值目前，常用的計算方法是矩陣法和相乘法風險的計算方法風險值計算涉及的風險要素：資產、威脅、脆弱性107使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素值的情形Z=f(x,y)，函數f采用矩陣法x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi為正整數y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj為正整數以要素x和要素y的取值構造一個二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內mxn個值即為要素z的取值。使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素108信息安全風險評估教材課件109使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數Zij的計算需要根據實際情況確定，矩陣內zij的值不一定遵循統(tǒng)一的計算公式，但必須具有統(tǒng)一的增減趨勢，即如果f是遞增函數，zij的值應隨著xi和yj的值遞增，反之亦然。使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式110使用矩陣法計算風險值示例資產資產值威脅威脅發(fā)生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法計算風險值示例資產資產值威脅威脅發(fā)生頻率弱點弱點嚴111使用矩陣法計算風險值示例以資產A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值，其他風險值計算過程類似1計算安全事件發(fā)生的可能性首先由威脅發(fā)生的頻率和弱點的嚴重程度值構建安全事件可能性矩陣然后根據T1發(fā)生的頻率值和V1嚴重程度值在矩陣中進行對照，確定安全事件發(fā)生可能性值使用矩陣法計算風險值示例以資產A1面臨的威脅T1可以利用的弱112威脅發(fā)生的頻率T1=2弱點嚴重性程度V1=2安全事件發(fā)生可能性值=6威脅發(fā)生的頻率T1=2113由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構建風險矩陣，需對安全事件發(fā)生可能可能性進行等級劃分該安全事件發(fā)生可能性等級為2由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構建風險矩114使用矩陣法計算風險值示例2計算安全事件的損失

首先由資產價值和弱點嚴重程度值構建安全事件損失矩陣然后對照表，確定安全事件損失值使用矩陣法計算風險值示例2計算安全事件的損失115資產A1的價值=2弱點嚴重性程度V1=2安全事件損失值=5資產A1的價值=2116由于安全事件損失值將參與風險事件值的計算，為了構建風險矩陣，需對安全事件損失進行等級劃分該安全事件損失等級為1由于安全事件損失值將參與風險事件值的計算，為了構建風險矩陣，117使用矩陣法計算風險值示例3計算風險值首先由安全事件發(fā)生可能性和安全事件損失構建安全風險矩陣然后對照表，確定安全風險值使用矩陣法計算風險值示例3計算風險值118安全事件發(fā)生可能性等級為2安全事件損失等級為1安全風險值=6安全事件發(fā)生可能性等級為2119結果判定，確定風險等級劃分根據上述計算方法，計算資產的其他風險值，并根據風險等級劃分表，確定風險等級結果判定，確定風險等級劃分120信息安全風險評估教材課件121信息安全風險評估教材課件122使用相乘法計算風險