危機(jī)管理及風(fēng)險(xiǎn)評(píng)估基礎(chǔ)知識(shí)

風(fēng)險(xiǎn)評(píng)估與管理風(fēng)險(xiǎn)評(píng)估與管理與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理相關(guān)的概念解析信息安全風(fēng)險(xiǎn)管理的一般過(guò)程風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的其它問(wèn)題

1概念解析1.1與過(guò)程相關(guān)的概念風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處理資產(chǎn)威脅脆弱性防護(hù)措施1.2與要素相關(guān)的概念概念解析1-風(fēng)險(xiǎn)風(fēng)險(xiǎn)（risk）風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言：兩種因素造成對(duì)其使命的實(shí)際影響：（1）一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率；（2）上述事件發(fā)生之后所帶來(lái)的影響。概念解析1-風(fēng)險(xiǎn)（續(xù)）在ISO/IECGUIDE73將事件定義為：事件的概率及其結(jié)果的組合。注1通常，只有至少存在產(chǎn)生不利結(jié)果可能性的情況下才使用“風(fēng)險(xiǎn)”術(shù)語(yǔ)。注2在某些情況下，風(fēng)險(xiǎn)是由偏離期望的結(jié)果或事件的可能性引起的。概念解析2-風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理(Riskmanagement)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和消除可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過(guò)程。風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。概念解析2-風(fēng)險(xiǎn)管理對(duì)風(fēng)險(xiǎn)管理的過(guò)程而言，不同的方法或工具提供了不同的步驟，但是信息安全風(fēng)險(xiǎn)管理可操作的相關(guān)過(guò)程和活動(dòng)一般都要包括：確定評(píng)估范圍識(shí)別評(píng)估控制措施識(shí)別評(píng)估資產(chǎn)識(shí)別評(píng)估威脅選擇安全措施識(shí)別評(píng)估脆弱性確定風(fēng)險(xiǎn)處理策略風(fēng)險(xiǎn)評(píng)價(jià)制定安全計(jì)劃實(shí)施安全計(jì)劃風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)處理概念解析3-風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估(riskassessment)

風(fēng)險(xiǎn)評(píng)估指風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)，是組織確定信息安全要求的途徑之一，屬于組織信息安全管理體系策劃的過(guò)程。通過(guò)風(fēng)險(xiǎn)評(píng)估識(shí)別組織所面臨的安全風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)控制的優(yōu)先等級(jí)，從而對(duì)其實(shí)施有效控制，將風(fēng)險(xiǎn)控制在組織可以接受的范圍之內(nèi)。概念解析3-風(fēng)險(xiǎn)評(píng)估（續(xù)）區(qū)分風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是把整個(gè)組織內(nèi)的風(fēng)險(xiǎn)降低到可接受水平的整個(gè)過(guò)程。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的周期，通常以一定的間隔重新開(kāi)始，來(lái)更新流程中各個(gè)階段的數(shù)據(jù)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)循環(huán)，不斷上升的過(guò)程。風(fēng)險(xiǎn)評(píng)估是確定組織面臨的風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)的過(guò)程，是風(fēng)險(xiǎn)管理流程中最必須，最謹(jǐn)慎的一個(gè)過(guò)程。當(dāng)潛在的與安全相關(guān)的事件在企業(yè)內(nèi)發(fā)生時(shí)，如變動(dòng)業(yè)務(wù)方法、發(fā)現(xiàn)新的漏洞等，組織都可能會(huì)啟動(dòng)風(fēng)險(xiǎn)評(píng)估。概念解析4-風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析(riskanalysis)

風(fēng)險(xiǎn)分析是標(biāo)識(shí)安全風(fēng)險(xiǎn)，確定其大小和標(biāo)識(shí)需要保護(hù)措施的區(qū)域的過(guò)程，其目的是分離可接受的小風(fēng)險(xiǎn)和不能接受的大風(fēng)險(xiǎn)，為風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處理提供數(shù)據(jù)。概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））就風(fēng)險(xiǎn)險(xiǎn)分析析的方方法而而言，，目前前應(yīng)用用中沒(méi)沒(méi)有所所謂的的正確確或錯(cuò)錯(cuò)誤的的方法法。一一個(gè)組組織選選擇一一個(gè)自自己感感覺(jué)順順手，，可以以信任任，且且能產(chǎn)產(chǎn)生可可比較較、可可再現(xiàn)現(xiàn)性的的結(jié)果果才是是最重重要的的。盡管評(píng)評(píng)估風(fēng)風(fēng)險(xiǎn)的的方法法有很很多，，但是是大多多數(shù)方方法都都是基基于兩兩種方方法或或兩種種方法法的組組合：：定性性的分分析方方法和和定量量的分分析方方法。。概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））定性分分析方方法定性分分析方方法是是最廣廣泛使使用的的風(fēng)險(xiǎn)險(xiǎn)分析析方法法。主主要采采用文文字形形式或或敘述述性的的數(shù)值值范圍圍來(lái)描描述潛潛在后后果的的大小小程度度及這這些后后果發(fā)發(fā)生的的可能能性。。該方法法通常常只關(guān)關(guān)注威威脅事事件所所帶來(lái)來(lái)的損損失，，而忽忽略事事件發(fā)發(fā)生的的概率率。概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））定量分分析方方法定量分分析方方法在在后果果和可可能性性分析析中采采用數(shù)數(shù)值（（不是是定性性分行行中所所使用用的敘敘述性性數(shù)值值范圍圍），，并采采用從從各種種各樣樣的來(lái)來(lái)源中中得到到的數(shù)數(shù)據(jù)。。定量分分析步步驟主主要集集中在在現(xiàn)場(chǎng)場(chǎng)調(diào)查查階段段，針針對(duì)系系統(tǒng)關(guān)關(guān)鍵資資產(chǎn)進(jìn)進(jìn)行定定量的的調(diào)查查、分分析，，為后后續(xù)評(píng)評(píng)估工工作提提供參參考依依據(jù)。。概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））定性風(fēng)風(fēng)險(xiǎn)分分析示示例（此示示例來(lái)來(lái)源于于ISO/IEC13335-3）概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））步驟1：結(jié)結(jié)果或或影響響的定定性量量度等級(jí)描述詳詳細(xì)描述1可以忽略無(wú)傷害，低財(cái)物損失2較小立即受控制，中等財(cái)物損失3中等受控，高財(cái)物損失4較大大傷害，失去生產(chǎn)能力，較大財(cái)物損失5災(zāi)難性持續(xù)能力中斷，巨大財(cái)物損失概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））步驟2：可可能性性的定定性量量度等級(jí)描述詳細(xì)描述A幾乎肯定預(yù)期在大多數(shù)情況下發(fā)生B很可能在大多數(shù)情況下很可能會(huì)發(fā)生C可能在某個(gè)時(shí)間可能會(huì)發(fā)生D不太可能在某個(gè)時(shí)間能夠發(fā)生E罕見(jiàn)僅在例外的情況下可能發(fā)生概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））步驟3：從從而得得出風(fēng)風(fēng)險(xiǎn)分分析矩矩陣其中：：E：：要求求立即即采取取措施施H：：需要要高級(jí)級(jí)管理理部門(mén)門(mén)的注注意M：必必須規(guī)規(guī)定管管理責(zé)責(zé)任L：用用日常常程序序處理理概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））定量風(fēng)風(fēng)險(xiǎn)分分析的的示例例:概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））計(jì)算風(fēng)風(fēng)險(xiǎn)的的年預(yù)預(yù)期損損失ALE:AnnualRiskExpectancy年預(yù)預(yù)期損損失ARO:AnnualRateofOccurrence年年發(fā)發(fā)生率率SLE:SingleLossExpectancy單一一風(fēng)險(xiǎn)險(xiǎn)預(yù)期期損失失ALE=ARO*SLE概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））兩種方方法的的比較較：目前風(fēng)風(fēng)險(xiǎn)分分析方方法以以定性性分析析為主主。由于定定性的的分析析方法法不是是用數(shù)數(shù)學(xué)或或統(tǒng)計(jì)計(jì)的工工具將將風(fēng)險(xiǎn)險(xiǎn)模型型化，，因此此一次次風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的成成敗與與執(zhí)行行者的的經(jīng)驗(yàn)驗(yàn)有很很大的的關(guān)系系。定量方方法有有一些些固有有的難難以克克服的的明顯顯缺點(diǎn)點(diǎn)。具體對(duì)對(duì)比見(jiàn)見(jiàn)下表表：概念解解析4-風(fēng)風(fēng)險(xiǎn)分分析（（續(xù)））優(yōu)點(diǎn)缺點(diǎn)定性分析它可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)沒(méi)有對(duì)影響大小給出具體的定量度量，因此使得對(duì)控制進(jìn)行成本效益分析變得很困難。定量分析對(duì)影響大小給出了度量，使得可以使用成本效益分析來(lái)控制成本依賴(lài)于用來(lái)表示度量的數(shù)字范圍，定量影響分析的結(jié)果的含義可能因而會(huì)比較模糊，還要以定性的方式對(duì)結(jié)果做解釋比較：：概念解解析5-風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)評(píng)價(jià)(riskevaluation)是把前前些步步驟識(shí)識(shí)別分分析出出來(lái)的的風(fēng)險(xiǎn)險(xiǎn)與風(fēng)風(fēng)險(xiǎn)判判據(jù)進(jìn)進(jìn)行比比較，，以判判斷特特定的的風(fēng)險(xiǎn)險(xiǎn)是否否可接接受或或需采采取其其它措措施處處置。。風(fēng)險(xiǎn)評(píng)評(píng)價(jià)的的結(jié)果果為具具有不不同等等級(jí)的的風(fēng)險(xiǎn)險(xiǎn)列表表。概念解解析5-風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)價(jià)（（續(xù)））目前在在風(fēng)險(xiǎn)險(xiǎn)評(píng)價(jià)價(jià)的方方法上上，國(guó)國(guó)際上上一直直還在在不斷斷的研研究中中，也也有相相當(dāng)多多的定定量或或者定定性的的風(fēng)險(xiǎn)險(xiǎn)計(jì)算算方法法被提提出，，但是是由于于安全全風(fēng)險(xiǎn)險(xiǎn)要素素的各各個(gè)環(huán)環(huán)節(jié)存存在太太多的的不確確定因因素和和無(wú)法法定量量的特特性，，因此此并沒(méi)沒(méi)有被被公認(rèn)認(rèn)接受受的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)價(jià)方方法。。概念解解析6-風(fēng)風(fēng)險(xiǎn)處處理風(fēng)險(xiǎn)處處理(riskmitigation)風(fēng)險(xiǎn)處處理是是風(fēng)險(xiǎn)險(xiǎn)管理理的第第二個(gè)個(gè)過(guò)程程。它包括括對(duì)風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估過(guò)過(guò)程中中建議議的安安全控控制進(jìn)進(jìn)行優(yōu)優(yōu)先級(jí)級(jí)排序序、評(píng)評(píng)估和和實(shí)現(xiàn)現(xiàn)。概念解解析6-風(fēng)風(fēng)險(xiǎn)處處理（（續(xù)））風(fēng)險(xiǎn)評(píng)評(píng)估只只為組組織的的信息息安全全活動(dòng)動(dòng)提供供一個(gè)個(gè)方向向，并并沒(méi)有有必要要導(dǎo)致致重大大的信信息安安全改改進(jìn)。。不管評(píng)評(píng)估方方法有有多專(zhuān)專(zhuān)業(yè)和和多詳詳細(xì)，，都不不能改改進(jìn)組組織的的安全全狀態(tài)態(tài)，除除非組組織通通過(guò)實(shí)實(shí)現(xiàn)評(píng)評(píng)估結(jié)結(jié)果將將改進(jìn)進(jìn)活動(dòng)動(dòng)堅(jiān)持持到底底。所以評(píng)評(píng)估結(jié)結(jié)束后后，組組織必必須開(kāi)開(kāi)發(fā)詳詳細(xì)的的行動(dòng)動(dòng)計(jì)劃劃，計(jì)計(jì)劃如如何根根據(jù)評(píng)評(píng)估實(shí)實(shí)現(xiàn)保保護(hù)策策略和和風(fēng)險(xiǎn)險(xiǎn)處理理計(jì)劃劃。概念解解析6-風(fēng)風(fēng)險(xiǎn)處處理（（續(xù)））風(fēng)險(xiǎn)處處理是是一種種系統(tǒng)統(tǒng)化方方法，，高級(jí)級(jí)管理理人員員可用用它來(lái)來(lái)降低低使命命風(fēng)險(xiǎn)險(xiǎn)。風(fēng)風(fēng)險(xiǎn)處處理可可以通通過(guò)下下列措措施實(shí)實(shí)現(xiàn)：：風(fēng)險(xiǎn)承承受：：接受受潛在在的風(fēng)風(fēng)險(xiǎn)并并繼續(xù)續(xù)運(yùn)行行信息息系統(tǒng)統(tǒng)，或或?qū)崿F(xiàn)現(xiàn)安全全防護(hù)護(hù)措施施，以以把風(fēng)風(fēng)險(xiǎn)降降低到到一個(gè)個(gè)可接接受的的級(jí)別別。風(fēng)險(xiǎn)規(guī)規(guī)避：：通過(guò)過(guò)消除除風(fēng)險(xiǎn)險(xiǎn)的原原因和和/或或后果果（如如在識(shí)識(shí)別出出風(fēng)險(xiǎn)險(xiǎn)后放放棄系系統(tǒng)某某項(xiàng)功功能或或關(guān)閉閉系統(tǒng)統(tǒng)）來(lái)來(lái)規(guī)避避風(fēng)險(xiǎn)險(xiǎn)。風(fēng)險(xiǎn)轉(zhuǎn)轉(zhuǎn)移：：通過(guò)過(guò)使用用其它它措施施來(lái)補(bǔ)補(bǔ)償損損失，，從而而轉(zhuǎn)移移風(fēng)險(xiǎn)險(xiǎn)，如如購(gòu)買(mǎi)買(mǎi)保險(xiǎn)險(xiǎn)。概念解析––與過(guò)過(guò)程相關(guān)概概念小結(jié)其關(guān)系可以以簡(jiǎn)明表示示如下：風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)分析概念解析7-資資產(chǎn)資產(chǎn)(asset)所謂資產(chǎn)就就是被組織織賦予了價(jià)價(jià)值，組織織需要保護(hù)護(hù)的有用資資源。ISO13335-1定義資資產(chǎn)為所有有對(duì)組織有有用的東西西。為了對(duì)資產(chǎn)產(chǎn)進(jìn)行有效效的保護(hù)，，組織需要要在各個(gè)管管理層對(duì)資資產(chǎn)落實(shí)責(zé)責(zé)任，進(jìn)行行適當(dāng)?shù)墓芄芾?。概念解?-資資產(chǎn)（續(xù)））以下是資產(chǎn)產(chǎn)示例及分分類(lèi)：信息資產(chǎn)：：數(shù)據(jù)庫(kù)和和數(shù)據(jù)文件件、系統(tǒng)文文件、用戶戶手冊(cè)、培培訓(xùn)資料、、操作與維維護(hù)程序、、知識(shí)產(chǎn)權(quán)權(quán)、業(yè)務(wù)持持續(xù)性計(jì)劃劃、應(yīng)急安安排等。書(shū)面文件：：合同、公公司文件、、人事記錄錄、財(cái)務(wù)記記錄、采購(gòu)購(gòu)文件、發(fā)發(fā)票等。軟件資產(chǎn)：：應(yīng)用軟件件、系統(tǒng)軟軟件、開(kāi)發(fā)發(fā)工具和實(shí)實(shí)用程序等等。概念解析7-資資產(chǎn)（續(xù)））物理資產(chǎn)：：計(jì)算機(jī)、、服務(wù)器、、路由器、、集線器、、防火墻、、通訊設(shè)備備、其它技技術(shù)設(shè)備（（供電設(shè)備備、空調(diào)設(shè)設(shè)備）、家家具、辦公公場(chǎng)所等。。人員：?jiǎn)T工工、客戶、、合同工、、警衛(wèi)。服務(wù)：計(jì)算算和通訊服服務(wù)及其它它技術(shù)服務(wù)務(wù)（供暖、、照明、電電力、空調(diào)調(diào)）等。公司形象和和聲譽(yù)：如如正面和負(fù)負(fù)面的宣傳傳、品牌附附加值等。。威脅(threat)威脅是一個(gè)個(gè)單位的信信息資產(chǎn)的的安全可能能受到的侵侵害。ISO17799將威脅脅定義為對(duì)對(duì)組織造成成潛在影響響的原因。。NISTSP800-30將威脅定定義為可能能對(duì)系統(tǒng)造造成損害的的事件或?qū)崒?shí)體。概念解析8-威威脅概念解析8-威威脅（續(xù)））威脅由多種種屬性來(lái)刻刻畫(huà)：威脅脅的主體（（威脅源））、能力、、資源、動(dòng)動(dòng)機(jī)、途徑徑、可能性性和后果。。概念解析8-威威脅（續(xù)））以下幾種都都是常見(jiàn)的的威脅：對(duì)信息、信信息系統(tǒng)、、網(wǎng)絡(luò)和網(wǎng)網(wǎng)絡(luò)服務(wù)的的非授權(quán)訪訪問(wèn)這些一般都都是有意圖圖、有目的的的行為，，會(huì)對(duì)信息息的保密性性、完整性性和可用性性造成損害害，損害的的程度決定定于非授權(quán)權(quán)用戶的目目的和擁有有的權(quán)限。。信息的非授授權(quán)修改這是一種有有預(yù)謀的威威脅，可能能會(huì)損害資資產(chǎn)的保密密性與可用用性。概念解析8-威威脅（續(xù)））惡意軟件惡意軟件的的引入可以以是有意的的（具有一一定的目的的和企圖））和無(wú)意的的（運(yùn)行了了來(lái)歷不明明的軟件）），惡意軟軟件威脅資資產(chǎn)的保密密性、完整整性和可用用性。軟件失效由于有預(yù)謀謀的事件或或意外事件件發(fā)生，從從而導(dǎo)致軟軟件的完整整性與可用用性的損失失。概念解析8-威威脅（續(xù)））火災(zāi)這是一種意意外事故，，也可能是是一種有預(yù)預(yù)謀的事件件，會(huì)影響響資產(chǎn)的完完整性與可可用性。偷竊這是一種有有預(yù)謀的威威脅，可能能會(huì)損害資資產(chǎn)的保密密性與可用用性。人員錯(cuò)誤可能是有意意的或無(wú)意意的行為，，有時(shí)此類(lèi)類(lèi)事件的發(fā)發(fā)生僅僅是是員工缺乏乏安全意識(shí)識(shí)，并不是是有什么惡惡意企圖。。概念解析9-脆脆弱性脆弱性(Vulnerability)脆弱性是信信息資產(chǎn)及及其防護(hù)措措施在安全全方面的不不足和弱點(diǎn)點(diǎn)。脆弱性也常常常被稱(chēng)為為漏洞。NISTSP800-30將漏洞定定義為安全全程序、技技術(shù)控制措措施、物理理控制措施施或其他控控制措施中中可能被威威脅利用的的條件或弱弱點(diǎn)，或缺缺乏控制措措施。概念解析9-脆脆弱性（續(xù)續(xù)）經(jīng)驗(yàn)表明：：大多數(shù)重重大的漏洞洞通常是由由于缺乏良良好的流程程或指定了了不適當(dāng)?shù)牡男畔踩?zé)任才出出現(xiàn)的，但但是進(jìn)行風(fēng)風(fēng)險(xiǎn)評(píng)估時(shí)時(shí)往往過(guò)分分注重技術(shù)術(shù)漏洞。概念解析9-脆脆弱性（續(xù)續(xù)）以下都是常常見(jiàn)的脆弱弱性：缺乏物理保保護(hù)或保護(hù)護(hù)不適當(dāng)可能被威脅脅利用，損損害資產(chǎn)的的保密性、、完整性和和可用性口令選擇或或使用不當(dāng)當(dāng)可能導(dǎo)致對(duì)對(duì)系統(tǒng)信息息的非授權(quán)權(quán)訪問(wèn)，從從而損害資資產(chǎn)的保密密性、完整整性和可用用性。概念解析9-脆脆弱性（續(xù)續(xù)）與外部網(wǎng)絡(luò)絡(luò)的連接沒(méi)沒(méi)有保護(hù)能導(dǎo)致在聯(lián)聯(lián)網(wǎng)系統(tǒng)中中存儲(chǔ)與處處理信息的的保密性、、完整性和和可用性的的損害。沒(méi)有保護(hù)的的存檔文件件有可能被偷偷竊，從而而損害資產(chǎn)產(chǎn)的保密性性、完整性性和可用性性。不足夠的安安全培訓(xùn)可能造成用用戶缺乏足足夠的安全全意識(shí)，破破壞信息的的保密性，，或者產(chǎn)生生用戶錯(cuò)誤誤，從而造造成對(duì)資產(chǎn)產(chǎn)的完整性性和可用性性的損害。。概念解析10-防防護(hù)措施施防護(hù)措施(safeguard)防護(hù)措施是是對(duì)付威脅脅，減少脆脆弱性，保保護(hù)資產(chǎn)，，限制意外外事件的影影響，檢測(cè)測(cè)、響應(yīng)意意外事件，，促進(jìn)災(zāi)難難恢復(fù)和打打擊信息犯犯罪而實(shí)施施的各種實(shí)實(shí)踐、規(guī)程程和機(jī)制的的總稱(chēng)。防護(hù)措施本本質(zhì)上都都是減少脆脆弱性的。。概念解析-與要素素相關(guān)概念念小結(jié)風(fēng)險(xiǎn)評(píng)估與與管理與風(fēng)險(xiǎn)評(píng)估估和風(fēng)險(xiǎn)管管理相關(guān)的的概念解析析信息安全風(fēng)風(fēng)險(xiǎn)管理的的一般過(guò)程程風(fēng)險(xiǎn)評(píng)估與與風(fēng)險(xiǎn)管理理的其它問(wèn)問(wèn)題2信息安安全風(fēng)險(xiǎn)管管理的一般般過(guò)程2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程2.2信信息安全風(fēng)風(fēng)險(xiǎn)處理的的過(guò)程2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)●硬件●軟件●系統(tǒng)接口●數(shù)據(jù)和信息●人員●系統(tǒng)使命步驟1：體系特征描述●系統(tǒng)邊界●系統(tǒng)功能●系統(tǒng)和數(shù)據(jù)的關(guān)鍵性●系統(tǒng)和數(shù)據(jù)的敏感性●系統(tǒng)遭受攻擊的歷史●來(lái)自信息咨詢(xún)機(jī)構(gòu)、大眾媒體的數(shù)據(jù)●以前的風(fēng)險(xiǎn)評(píng)報(bào)告●安全檢查工作中提出的意見(jiàn)●安全要求●安全測(cè)試結(jié)果●當(dāng)前的以及規(guī)劃中的安全措施●威脅的屬性（威脅源、動(dòng)機(jī)、能力等）●脆弱性的性質(zhì)●當(dāng)前的以及規(guī)劃中的安全措施●分析對(duì)使命的影響●評(píng)估資產(chǎn)的關(guān)鍵性●數(shù)據(jù)關(guān)鍵性●數(shù)據(jù)敏感性●威脅聲明●可能的脆弱性列表●當(dāng)前的以及規(guī)劃中的安全措施●可能性級(jí)別●影響級(jí)別步驟2：識(shí)別威脅步驟3：識(shí)別脆弱性步驟4：分析安全措施步驟5：確定可能性步驟6：分析影響完整性損失可用性損失保密性損失步驟7：確定風(fēng)險(xiǎn)●威脅破壞的可能性●影響的程度●當(dāng)前的以及規(guī)劃中的安全措施的足夠性●風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)的級(jí)別步驟8：建議安全措施步驟9：記錄結(jié)果●建議的安全措施●風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估流流程圖2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程(續(xù)續(xù))步驟1：描描述系統(tǒng)特特征在對(duì)信息系系統(tǒng)的風(fēng)險(xiǎn)險(xiǎn)進(jìn)行評(píng)估估中，第一一步是定義義工作范圍圍。在該步中，，要確定信信息系統(tǒng)的的邊界以及及組成系統(tǒng)統(tǒng)的資源和和信息。對(duì)對(duì)信息系統(tǒng)統(tǒng)的特征進(jìn)進(jìn)行描述后后便確立了了風(fēng)險(xiǎn)評(píng)估估工作的范范圍，刻畫(huà)畫(huà)了對(duì)系統(tǒng)統(tǒng)進(jìn)行授權(quán)權(quán)運(yùn)行（或或認(rèn)可）的的邊界，并并為風(fēng)險(xiǎn)定定義提供了了必要的信信息（如硬硬件、軟件件、系統(tǒng)連連通性、負(fù)負(fù)責(zé)部門(mén)或或支持人員員）。2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程(續(xù)續(xù))步驟1.1系統(tǒng)統(tǒng)相關(guān)信息息步驟1.2信息息收集技術(shù)術(shù)可以使用下下列一項(xiàng)或或多項(xiàng)技術(shù)術(shù)在其運(yùn)行行邊界內(nèi)獲獲取相關(guān)的的系統(tǒng)信息息：調(diào)查問(wèn)卷現(xiàn)場(chǎng)面談文檔審查使用自動(dòng)掃掃描工具2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程(續(xù)續(xù))步驟2：識(shí)識(shí)別威脅如果沒(méi)有脆脆弱性，威威脅源無(wú)法法造成風(fēng)險(xiǎn)險(xiǎn)；在確定定威脅的可可能性時(shí)，，應(yīng)該考慮慮威脅源、、潛在的脆脆弱性和現(xiàn)現(xiàn)有的安全全防護(hù)措施施。步驟2.1識(shí)別別威脅源步驟2.2動(dòng)機(jī)機(jī)和行為2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程(續(xù)續(xù))步驟3：識(shí)識(shí)別脆弱性性本步的目標(biāo)標(biāo)是制定系系統(tǒng)中可能能會(huì)被威脅脅源利用的的脆弱性（（缺陷或薄薄弱環(huán)節(jié)））的列表。。步驟3.1脆弱弱性源步驟3.2系統(tǒng)統(tǒng)安全測(cè)試試2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程(續(xù)續(xù))步驟4：分分析安全控控制本步的目標(biāo)標(biāo)是對(duì)已經(jīng)經(jīng)實(shí)現(xiàn)或規(guī)規(guī)劃中的安安全防護(hù)措措施進(jìn)行分分析——單單位通過(guò)這這些措施來(lái)來(lái)減小或消消除一個(gè)威威脅源利用用系統(tǒng)脆弱弱性的可能能性（或概概率）。步驟4.1安全全防護(hù)措施施步驟4.2安全全防護(hù)措施施的分析技技術(shù)2.1信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的過(guò)程(續(xù)續(xù))步驟5：分分析可能性性本步要說(shuō)明明一個(gè)潛在在的脆弱性性在相關(guān)威威脅環(huán)境下下被攻擊的的可能性，，下列支配配因素應(yīng)該該在本步中中考慮：威脅源的動(dòng)機(jī)機(jī)和能力。脆弱性的性質(zhì)質(zhì)。安全防護(hù)措施施的有效性。。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))一個(gè)潛在的脆脆弱性被一個(gè)個(gè)給定威脅源源攻擊的可能能性可以用高高、中、低來(lái)來(lái)表示。下表表描述了這三三個(gè)可能性級(jí)級(jí)別。可能性級(jí)別可能性描述高威脅源具有強(qiáng)烈的動(dòng)機(jī)和足夠的能力，防止脆弱性被利用的防護(hù)措施是無(wú)效的。中威脅源具有一定的動(dòng)機(jī)和能力，但是已經(jīng)部署的安全防護(hù)措施可以阻止對(duì)脆弱性的成功利用。低威脅源缺少動(dòng)機(jī)和能力，或者已經(jīng)部署的安全防護(hù)措施能夠防止——至少能大大地阻止對(duì)脆弱性的利用。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))步驟6：分析析影響度量風(fēng)險(xiǎn)級(jí)別別的下一主要要步驟便是確確定對(duì)脆弱性性的一次成功功攻擊所產(chǎn)生生的負(fù)面影響響。對(duì)安全事件的的負(fù)面影響可可以用完整性性、可用性和和保密性三個(gè)個(gè)安全屬性的的損失或降低低來(lái)描述。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))可以通過(guò)定性性手段進(jìn)行度度量，例如用用高、中、低低影響等術(shù)語(yǔ)語(yǔ)來(lái)描述。影響級(jí)別影響定義高對(duì)脆弱性的利用（1）可能導(dǎo)致有形資產(chǎn)或資源的高成本損失；（2）可能?chē)?yán)重違犯、危害或阻礙單位的使命、聲譽(yù)或利益；或者（3）可能導(dǎo)致人員死亡或嚴(yán)重傷害。中對(duì)脆弱性的利用（1）可能導(dǎo)致有形資產(chǎn)或資源的損失；（2）可能違犯、危害或阻礙單位的使命、聲譽(yù)或利益；或者（3）可能導(dǎo)致人員傷害。低對(duì)脆弱性的利用（1）可能導(dǎo)致某些有形資產(chǎn)或資源的損失；或者（2）可能對(duì)單位的使命、聲譽(yù)或利益造成值得注意的影響。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))步驟7：確定定風(fēng)險(xiǎn)確定一個(gè)特定定的威脅/脆脆弱性對(duì)帶來(lái)來(lái)的風(fēng)險(xiǎn)時(shí)，，可以將其表表示為以下參參數(shù)構(gòu)成的函函數(shù)：給定的威脅源源試圖攻擊一一個(gè)給定的系系統(tǒng)脆弱性的的可能性；一個(gè)威脅源成成功攻擊了這這個(gè)系統(tǒng)的脆脆弱性后所造造成的影響的的程度；規(guī)劃中或現(xiàn)有有的安全防護(hù)護(hù)措施對(duì)于降降低或消除風(fēng)風(fēng)險(xiǎn)的充分性性。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))步驟7.1風(fēng)風(fēng)險(xiǎn)級(jí)別別矩陣將威脅的可能能性（例如概概率）及威脅脅影響的級(jí)別別相乘后便得得出了最終的的使命風(fēng)險(xiǎn)。。下面是一個(gè)個(gè)關(guān)于威脅的的可能性（高高、中、低））和威脅影響響（高、中、、低）的3××3矩陣。根據(jù)現(xiàn)場(chǎng)要求求和風(fēng)險(xiǎn)評(píng)估估要求的粒度度，有些情況況下也可能使使用4×4或或5×5的矩矩陣。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))下表的矩陣范范例描述了高高、中或低的的總體風(fēng)險(xiǎn)級(jí)級(jí)別是如何得得出的。這種種風(fēng)險(xiǎn)級(jí)別或或等級(jí)的確定定可能是主觀觀性的。這種種判斷的基本本原理可以用用每個(gè)可能性性級(jí)別上分配配的概率值和和每個(gè)影響級(jí)級(jí)別上分配的的影響值來(lái)解解釋。例如：：賦給每個(gè)威脅脅可能性級(jí)上上的概率為1.0時(shí)表示示高，0.5表示中，0.1表示低低；賦給每個(gè)影響響級(jí)上的值為為100時(shí)表表示高，50表示中，10表示低。。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))威脅可能性影響低（10）中（50）高（100）高（1.0）低10×1.0=10中50×1.0=50高100×1.0=100中（0.5）低10×0.5=5中50×0.5=25中100×0.5=50低（0.1）低10×0.1=1低50×0.1=5低100×0.1=10風(fēng)險(xiǎn)尺度：高高（50～100）；中中（10～50）；低（（1～10））2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))步驟7.2風(fēng)風(fēng)險(xiǎn)級(jí)別別描述下表描述了上上述矩陣中的的風(fēng)險(xiǎn)級(jí)別。。這種表示為為高、中、低低的風(fēng)險(xiǎn)尺度度代表了如果果給定的脆弱弱性被利用來(lái)來(lái)攻擊時(shí)，信信息系統(tǒng)、設(shè)設(shè)施或流程可可能暴露出的的風(fēng)險(xiǎn)程度或或級(jí)別。風(fēng)險(xiǎn)險(xiǎn)尺度也表示示了高級(jí)管理理人員和系統(tǒng)統(tǒng)擁有者對(duì)每每種風(fēng)險(xiǎn)級(jí)別別必須采取的的行動(dòng)。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)描述和必要行動(dòng)高如果被評(píng)估為高風(fēng)險(xiǎn)，那么便強(qiáng)烈要求有糾正措施。一個(gè)現(xiàn)有系統(tǒng)可能要繼續(xù)運(yùn)行，但是必須盡快部署針對(duì)性計(jì)劃。中如果被評(píng)估為中風(fēng)險(xiǎn)，那么便要求有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來(lái)實(shí)施這些行動(dòng)。低如果被評(píng)估為低風(fēng)險(xiǎn)，那么單位的管理層就必須確定是否還需要采取糾正行動(dòng)或者是否接受風(fēng)險(xiǎn)。。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))步驟8：建議議安全防護(hù)措措施在這一步里，，將針對(duì)單位位的運(yùn)行提出出可用來(lái)控制制已識(shí)別出的的風(fēng)險(xiǎn)的安全全防護(hù)措施。。2.1信息息安全風(fēng)險(xiǎn)評(píng)評(píng)估的過(guò)程(續(xù))步驟9：記錄錄評(píng)估結(jié)果一旦風(fēng)險(xiǎn)評(píng)估估全部結(jié)束（（威脅源和系系統(tǒng)脆弱性已已經(jīng)被識(shí)別出出來(lái)，風(fēng)險(xiǎn)也也得到了評(píng)估估，安全防護(hù)護(hù)措施建議也也已經(jīng)提出）），該過(guò)程的的結(jié)果應(yīng)該被被記錄到正式式的報(bào)告或簡(jiǎn)簡(jiǎn)報(bào)里。風(fēng)險(xiǎn)評(píng)估過(guò)程程結(jié)束！2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程來(lái)自風(fēng)險(xiǎn)評(píng)估報(bào)告的風(fēng)險(xiǎn)級(jí)別由高到底的行動(dòng)優(yōu)先級(jí)風(fēng)險(xiǎn)評(píng)估報(bào)告可能的控制清單成本效益分析所選擇的安全防護(hù)措施責(zé)任人員清單步驟2：評(píng)估所建議的安全選項(xiàng)可用性有效性步驟3：實(shí)施成本效益分析步驟4：選擇安全防護(hù)措施步驟5：分配責(zé)任步驟6：制定安全措施的實(shí)現(xiàn)計(jì)劃風(fēng)險(xiǎn)及相關(guān)風(fēng)險(xiǎn)的級(jí)別優(yōu)先級(jí)排序后的行動(dòng)所建議的安全防護(hù)措施所選擇的預(yù)期安全措施責(zé)任人員開(kāi)始日期目標(biāo)完成日期維護(hù)要求安全措施實(shí)現(xiàn)計(jì)劃步驟7：實(shí)現(xiàn)所選擇的安全措施殘余風(fēng)險(xiǎn)步驟1：對(duì)行動(dòng)優(yōu)先級(jí)進(jìn)行排序2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟1:對(duì)對(duì)行動(dòng)優(yōu)先級(jí)級(jí)進(jìn)行排序基于在風(fēng)險(xiǎn)評(píng)評(píng)估報(bào)告中提提出的風(fēng)險(xiǎn)級(jí)級(jí)別，對(duì)風(fēng)險(xiǎn)險(xiǎn)處理的實(shí)現(xiàn)現(xiàn)行動(dòng)進(jìn)行優(yōu)優(yōu)先級(jí)排序。。在分配資源源時(shí)，標(biāo)有不不可接受的高高等級(jí)（例如如被定義為““非常高”或或“高”風(fēng)險(xiǎn)險(xiǎn)級(jí)的風(fēng)險(xiǎn)））的風(fēng)險(xiǎn)項(xiàng)應(yīng)應(yīng)該最優(yōu)先。。這些脆弱性性/威脅對(duì)需需要采取立即即糾正行動(dòng)以以保護(hù)單位的的利益和使命命。2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟2:評(píng)評(píng)估所建議的的安全選項(xiàng)風(fēng)險(xiǎn)評(píng)估過(guò)程程中建議的安安全防護(hù)措施施對(duì)于具體的的單位及其信信息系統(tǒng)可能能不是最適合合和最可行的的。在這一步步中，要對(duì)所所建議的安全全防護(hù)措施的的可行性（如如兼容性、用用戶接受程度度）和有效性性（如保護(hù)程程度和風(fēng)險(xiǎn)控控制的級(jí)別））進(jìn)行分析。。目的是選擇擇出最適當(dāng)?shù)牡陌踩雷o(hù)措措施，使風(fēng)險(xiǎn)險(xiǎn)降至最低。。2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟3:實(shí)實(shí)施成本效益益分析為了幫助管理理層做出決策策并找出成本本有效性最好好的安全控制制，要實(shí)施成成本效益分析析。2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟4:選選擇安全防護(hù)護(hù)措施在成本效益分分析的基礎(chǔ)上上，管理人員員應(yīng)確定成本本有效性最好好的安全防護(hù)護(hù)措施來(lái)降低低單位的風(fēng)險(xiǎn)險(xiǎn)。2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟5:責(zé)責(zé)任分配遴選出那些擁?yè)碛泻线m的專(zhuān)專(zhuān)長(zhǎng)和技能，，可實(shí)現(xiàn)所選選安全防護(hù)措措施的人員（（內(nèi)部人員或或外部合同商商），并賦以以相應(yīng)責(zé)任。。2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟6:制制定安全防護(hù)護(hù)措施的實(shí)現(xiàn)現(xiàn)計(jì)劃在本步中將制制定安全防護(hù)護(hù)措施的實(shí)現(xiàn)現(xiàn)計(jì)劃。2.2信息息安全風(fēng)險(xiǎn)處處理的過(guò)程（（續(xù)）步驟7:實(shí)實(shí)現(xiàn)所選擇的的安全防護(hù)措措施根據(jù)各自情況況的不同，所所實(shí)現(xiàn)的安全全控制可以降降低風(fēng)險(xiǎn)級(jí)但但不會(huì)根除風(fēng)風(fēng)險(xiǎn)。實(shí)現(xiàn)安安全防護(hù)措施施后仍然存在在的風(fēng)險(xiǎn)為殘殘余風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理過(guò)程程結(jié)束！風(fēng)險(xiǎn)評(píng)估與管管理與風(fēng)險(xiǎn)評(píng)估和和風(fēng)險(xiǎn)管理相相關(guān)的概念解解析信息安全風(fēng)險(xiǎn)險(xiǎn)管理的一般般過(guò)程風(fēng)險(xiǎn)評(píng)估與風(fēng)風(fēng)險(xiǎn)管理的其其它問(wèn)題3風(fēng)險(xiǎn)評(píng)估估與風(fēng)險(xiǎn)管理理的其它問(wèn)題題3.1風(fēng)險(xiǎn)險(xiǎn)評(píng)估的角色色和責(zé)任3.2風(fēng)險(xiǎn)險(xiǎn)評(píng)估方法3.3風(fēng)險(xiǎn)險(xiǎn)評(píng)估工具3.4風(fēng)險(xiǎn)險(xiǎn)評(píng)估模式分分析3.5風(fēng)險(xiǎn)險(xiǎn)評(píng)估與等級(jí)級(jí)保護(hù)、認(rèn)證證認(rèn)可的關(guān)系系3.1風(fēng)險(xiǎn)險(xiǎn)評(píng)估的腳色色和責(zé)任信息系統(tǒng)風(fēng)險(xiǎn)險(xiǎn)評(píng)估的參與與角色一般有有主管機(jī)關(guān)、、信息系統(tǒng)擁?yè)碛姓?、信息息系統(tǒng)承建者者、信息系統(tǒng)統(tǒng)安全評(píng)估服服務(wù)機(jī)構(gòu)、信信息系統(tǒng)的關(guān)關(guān)聯(lián)者（即因因信息系統(tǒng)互互聯(lián)、信息交交換和共享、、系統(tǒng)采購(gòu)等等行為與該系系統(tǒng)發(fā)生關(guān)聯(lián)聯(lián)的機(jī)構(gòu)）。?；撅L(fēng)險(xiǎn)評(píng)估估方法基本的風(fēng)險(xiǎn)評(píng)評(píng)估是只利用用直接和簡(jiǎn)單單的方法達(dá)到到基本的安全全水平，就能能滿足組織及及其業(yè)務(wù)環(huán)境境