第8章 信息安全風(fēng)險(xiǎn)評(píng)估

第8章信息安全風(fēng)險(xiǎn)評(píng)估8.1概述8.2信息安全風(fēng)險(xiǎn)評(píng)估的基本要素8.3信息安全風(fēng)險(xiǎn)評(píng)估過程8.4信息安全風(fēng)險(xiǎn)要素計(jì)算方法8.5信息安全風(fēng)險(xiǎn)評(píng)估方法8.6風(fēng)險(xiǎn)評(píng)估工具本章小結(jié)

一個(gè)完整的信息安全體系和安全解決方案是根據(jù)信息系統(tǒng)的體系結(jié)構(gòu)和系統(tǒng)安全形勢(shì)的具體情況來確定的，沒有一個(gè)通用的信息安全解決方案。信息安全關(guān)心的是保護(hù)信息資產(chǎn)免受威脅。絕對(duì)的安全是不可能的，只能通過一定的措施把風(fēng)險(xiǎn)降低到一個(gè)可接受的程度。8.1概述因此，信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估是指用于了解信息系統(tǒng)的安全狀況，估計(jì)威脅發(fā)生的可能性，計(jì)算由于系統(tǒng)易受到攻擊的脆弱性而引起的潛在損失。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，其最終目的是幫助選擇安全防護(hù)措施，將風(fēng)險(xiǎn)降低到可接受的程度，提高信息安全保障能力。這個(gè)過程是信息安全管理體系的核心環(huán)節(jié)，是信息安全保障體系建設(shè)過程中的重要評(píng)價(jià)方法和決策機(jī)制。隨著信息技術(shù)的快速發(fā)展，關(guān)系國計(jì)民生關(guān)鍵信息的基礎(chǔ)設(shè)施規(guī)模和信息系統(tǒng)的復(fù)雜程度越來越大。近年來，各個(gè)國家越來越重視以風(fēng)險(xiǎn)評(píng)估為核心的信息安全評(píng)估工作，提倡信息安全風(fēng)險(xiǎn)評(píng)估的制度與規(guī)范化，通過出臺(tái)一系列相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)等來保障建立完整的信息安全管理體系。例如美國的SP800系列、英國的BS7799《信息安全管理指南》、德國聯(lián)邦信息安全辦公室(BSI)《IT基線保護(hù)手冊(cè)》、日本的ISMS《安全管理系統(tǒng)評(píng)估制度》等。我國在2004年3月啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估指南和風(fēng)險(xiǎn)管理指南等標(biāo)準(zhǔn)的編制工作，2005年完成了《信息安全評(píng)估指南》和《信息安全管理指南》的征求意見稿，2006年完成了《信息安全評(píng)估指南》送審稿，并分別于2007年和2009年通過了國家標(biāo)準(zhǔn)化管理委員會(huì)的審查批準(zhǔn)成為國家標(biāo)準(zhǔn)，即GB/T20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和GB/Z24364—2009《信息安全風(fēng)險(xiǎn)管理指南》。8.1.1信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)和原則

信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)是：

(1)了解信息系統(tǒng)的體系結(jié)構(gòu)和管理水平，以及可能存在的安全隱患。

(2)了解信息系統(tǒng)所提供的服務(wù)及可能存在的安全問題。

(3)了解其他應(yīng)用系統(tǒng)與此信息系統(tǒng)的接口及其相應(yīng)的安全問題。

(4)網(wǎng)絡(luò)攻擊和電子欺騙的模擬檢測(cè)及預(yù)防。(5)找出目前的安全控制措施與安全需求的差距，并為其改進(jìn)提供參考。

信息安全風(fēng)險(xiǎn)評(píng)估的原則有：

(1)可控性原則。

包括人員可控(資格審查備案與工作確認(rèn))、工具可控(風(fēng)險(xiǎn)評(píng)估工具的選擇，以及對(duì)相關(guān)方的知會(huì))、項(xiàng)目過程可控(重視項(xiàng)目的管理溝通，運(yùn)用項(xiàng)目管理科學(xué)方法)。

(2)可靠性原則。

要求風(fēng)險(xiǎn)評(píng)估要參考有關(guān)的信息安全標(biāo)準(zhǔn)和規(guī)定，例如GB/T20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等，做到有據(jù)可查。(3)完整性原則。

嚴(yán)格按照委托單位的評(píng)估要求和指定的范圍進(jìn)行全面的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)。

(4)最小影響原則。

風(fēng)險(xiǎn)評(píng)估工作不能妨礙組織的正常業(yè)務(wù)活動(dòng)，應(yīng)從系統(tǒng)相關(guān)的管理和技術(shù)層面，力求將風(fēng)險(xiǎn)評(píng)估過程的影響降到最小。

(5)時(shí)間與成本有效原則。

風(fēng)險(xiǎn)評(píng)估過程花費(fèi)的時(shí)間和成本應(yīng)該具有合理性。(6)保密原則。

受委托的評(píng)估方要對(duì)評(píng)估過程進(jìn)行保密，應(yīng)與委托的被評(píng)估方簽署相關(guān)的保密和非侵害性協(xié)議，未經(jīng)允許不得將數(shù)據(jù)泄露給任何其他組織和個(gè)人。8.1.2實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估的好處

(1)風(fēng)險(xiǎn)評(píng)估是建立信息安全風(fēng)險(xiǎn)管理策略的基礎(chǔ)。如果一個(gè)管理者不進(jìn)行風(fēng)險(xiǎn)評(píng)估就選擇了一種安全防護(hù)措施(設(shè)備或方法)，也許或造成浪費(fèi)或已實(shí)施的安全防護(hù)無法直接減少確定存在的風(fēng)險(xiǎn)。

(2)風(fēng)險(xiǎn)評(píng)估有利于在員工范圍內(nèi)建立信息安全風(fēng)險(xiǎn)意識(shí)，提高工作人員對(duì)安全問題的認(rèn)識(shí)和興趣，以及他們對(duì)信息安全問題的重視程度。(3)風(fēng)險(xiǎn)評(píng)估能使系統(tǒng)的管理者明確他們的信息系統(tǒng)資源所存在的弱點(diǎn)，讓管理者對(duì)系統(tǒng)資源和系統(tǒng)的運(yùn)行狀況有更進(jìn)一步的了解。

(4)風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)的設(shè)計(jì)階段最為有用，可以確認(rèn)潛在損失，并從一開始就明確安全需求，這遠(yuǎn)比在信息系統(tǒng)運(yùn)行之后更換相關(guān)控制節(jié)省成本得多。

從信息安全的角度來講，風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者的綜合作用在當(dāng)前安全措施控制下所帶來與安全需求不符合的風(fēng)險(xiǎn)可能性評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織進(jìn)一步確定信息安全需求和改進(jìn)信息安全策略的重要途徑，屬于組織信息安全管理體系策劃的過程。8.2信息安全風(fēng)險(xiǎn)評(píng)估的基本要素信息系統(tǒng)是信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)象，信息系統(tǒng)中的資產(chǎn)、信息系統(tǒng)面臨的可能威脅、系統(tǒng)中存在的脆弱性、安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響，以及系統(tǒng)中已有的安全控制措施和系統(tǒng)的安全需求等構(gòu)成了信息安全風(fēng)險(xiǎn)評(píng)估的基本要素。8.2.1風(fēng)險(xiǎn)評(píng)估的相關(guān)要素

1.資產(chǎn)

資產(chǎn)(Asset)是指對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。

資產(chǎn)能夠以多種形式存在，包括有形的或無形的、硬件或軟件、文檔或代碼，以及服務(wù)或形象等諸多表現(xiàn)形式。

在信息安全體系范圍內(nèi)為資產(chǎn)編制清單是一項(xiàng)重要工作，每項(xiàng)資產(chǎn)都應(yīng)該清晰地定義、合理地估價(jià)，并明確資產(chǎn)所有權(quán)關(guān)系，進(jìn)行安全分類，記錄在案。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為軟件、硬件、服務(wù)、流程、數(shù)據(jù)、文檔、人員等，如表8-1所示。

表8-1信息系統(tǒng)中的資產(chǎn)分類2.威脅

威脅(Threat)是指可能對(duì)組織或資產(chǎn)導(dǎo)致?lián)p害的潛在原因。

威脅有潛力導(dǎo)致不期望發(fā)生的安全事件發(fā)生，從而對(duì)系統(tǒng)、組織、資產(chǎn)造成損害。這種損害可能是偶然性事件，但更多的可能是蓄意的對(duì)信息系統(tǒng)和服務(wù)所處理信息的直接或間接的攻擊行為，例如非授權(quán)的泄露、修改、停機(jī)等。

威脅主要來源于環(huán)境因素和人為因素，其中人為因素包括惡意的和非惡意人員。(1)環(huán)境因素：指地震、火災(zāi)、水災(zāi)、電磁干擾、靜電、灰尖、潮濕、溫度等環(huán)境危害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。

(2)惡意人員：對(duì)組織不滿的或有目的的人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞，會(huì)對(duì)信息的機(jī)密性、完整性和可用性等造成損害。

(3)非惡意人員：由于缺乏責(zé)任心、安全意識(shí)，或?qū)I(yè)技能不足等原因而導(dǎo)致信息系統(tǒng)故障、被破壞或被攻擊，本身無惡意企圖。

根據(jù)威脅來源，表8-2給出了威脅的分類方法。

表8-2信息系統(tǒng)面臨的威脅分類3.脆弱性

脆弱性(Vulnerability)是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。例如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機(jī)制、系統(tǒng)機(jī)房沒有門禁系統(tǒng)等。

脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害，而且如果系統(tǒng)足夠強(qiáng)健，則再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件造成損失。這說明，威脅總是要利用資產(chǎn)的脆弱性來產(chǎn)生危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只在一定條件和環(huán)境下才能顯現(xiàn)，這也是脆弱性識(shí)別中最為困難的部分。要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全控制措施本身就可能是一種脆弱性。

脆弱性主要表現(xiàn)在從技術(shù)和管理兩個(gè)方面，其中技術(shù)脆弱性是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行時(shí)，涉及的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面在技術(shù)上存在的缺陷或弱點(diǎn)，管理脆弱性則是指組織管理制度、流程等方面存在的缺陷或不足。

表8-3信息系統(tǒng)常見的脆弱性4.安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)(SecurityRisk)是指使得威脅可以利用脆弱性，從而直接或間接造成資產(chǎn)損害的一種潛在的影響，并以威脅利用脆弱性導(dǎo)致一系列不期望發(fā)生的安全事件來體現(xiàn)。

資產(chǎn)、威脅和脆弱性是信息安全風(fēng)險(xiǎn)的基本要素，是信息安全風(fēng)險(xiǎn)存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對(duì)象；沒有威脅，如果資產(chǎn)很有價(jià)值，脆弱性很嚴(yán)重，安全事件也不會(huì)發(fā)生；系統(tǒng)沒有脆弱性，威脅就沒有可利用的切入點(diǎn)，安全事件也不會(huì)發(fā)生。通過確定資產(chǎn)價(jià)值，以及相關(guān)的威脅和脆弱性水平，就可以得出最初的信息安全風(fēng)險(xiǎn)的量度值。

根據(jù)以上分析，安全風(fēng)險(xiǎn)是關(guān)于資產(chǎn)、威脅和脆弱性的函數(shù)，即信息安全風(fēng)險(xiǎn)可以形式化表示為：R=f(a,t,v)，其中R表示安全風(fēng)險(xiǎn)，a表示資產(chǎn)，t表示威脅，v表示脆弱性。5.影響

影響(Influence)主要是指安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響，即威脅利用資產(chǎn)的脆弱性導(dǎo)致資產(chǎn)價(jià)值損失等不期望發(fā)生事件的后果。

這些后果可能表現(xiàn)為直接形式，例如物理介質(zhì)或設(shè)備的損壞、人員的損傷、資金的損失等，也可能表現(xiàn)為間接形式，如公司信用和名譽(yù)受損、市場(chǎng)份額減少、承擔(dān)法律責(zé)任等。

在信息安全領(lǐng)域，直接的損失常常容易計(jì)算且程度較小，而間接的損失往往難于估計(jì)且程度嚴(yán)重。例如某IT服務(wù)公司的服務(wù)器遭受DDoS等攻擊，造成不能提供正常的信息服務(wù)，其直接的損失表現(xiàn)為服務(wù)器本身的價(jià)值損失和修復(fù)所需的人力、物力等，而間接損失較為復(fù)雜，由于服務(wù)器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象受損等，這些損失往往數(shù)量巨大也難予統(tǒng)計(jì)，甚至決定了企業(yè)的生存。6.安全控制措施

安全控制措施(SecurityControlMeasure)是指為保護(hù)組織資產(chǎn)、防止威脅、減少脆弱性、限制安全事件的影響、加速安全事件的檢測(cè)及響應(yīng)而采取的各種實(shí)踐、過程和機(jī)制。

有效的安全通常是為了提供給資產(chǎn)多級(jí)的安全，而應(yīng)用不同安全控制措施的綜合，以實(shí)現(xiàn)檢測(cè)、威懾、防止、限制、修正、恢復(fù)、監(jiān)測(cè)和提高安全意識(shí)的功能。例如，一個(gè)信息系統(tǒng)的安全訪問控制，往往是人員管理、角色權(quán)限管理、審計(jì)管理、數(shù)據(jù)庫安全、物理安全，以及安全培訓(xùn)等共同支持的結(jié)合。有些安全控制措施已作為環(huán)境或資產(chǎn)固有的一部分而存在，或已存在于系統(tǒng)或組織之中。

安全控制措施的實(shí)施領(lǐng)域包括：組織政策與資產(chǎn)管理、物理環(huán)境、技術(shù)控制、人員管理等方面。更詳細(xì)的可用安全控制措施實(shí)施內(nèi)容參見第6章。7.安全需求

安全需求(SecurityRequirement)是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全控制措施方面提出的要求。

信息安全體系的安全需求來源于以下3個(gè)方面：

(1)風(fēng)險(xiǎn)評(píng)估的要求。

評(píng)估組織面臨的風(fēng)險(xiǎn)，以及該風(fēng)險(xiǎn)的出現(xiàn)將會(huì)帶來怎樣的業(yè)務(wù)損失，為了降低風(fēng)險(xiǎn)，需要采取相應(yīng)的安全措施。例如關(guān)鍵數(shù)據(jù)或系統(tǒng)的機(jī)密性、可用性、完整性需求、信息系統(tǒng)運(yùn)行時(shí)的實(shí)時(shí)監(jiān)控需求、安全事件帶來的應(yīng)急響應(yīng)需求等。(2)法律、法規(guī)和合同的要求。

在信息安全體系文件中應(yīng)詳細(xì)規(guī)定組織、貿(mào)易伙伴、服務(wù)提供商和簽約客戶需要遵守的有關(guān)法律、法規(guī)與合同的要求。例如數(shù)據(jù)版權(quán)保護(hù)、文件保密管理、組織記錄的保護(hù)等，要保證任何安全控制措施不得違反或損害任何法律法規(guī)、商業(yè)合同的要求。

(3)業(yè)務(wù)規(guī)則、業(yè)務(wù)目標(biāo)和業(yè)務(wù)信息處理的要求。

在信息安全體系文件中應(yīng)詳細(xì)規(guī)定與組織的業(yè)務(wù)規(guī)則、業(yè)務(wù)目標(biāo)和業(yè)務(wù)信息處理的相關(guān)安全需求，信息安全體系應(yīng)支持組織獲得競爭優(yōu)勢(shì)、現(xiàn)金流和贏利能力的要求，并保證實(shí)施安全控制措施不得妨礙業(yè)務(wù)的正常運(yùn)營。8.2.2風(fēng)險(xiǎn)要素的相互關(guān)系

圖8-1描述了風(fēng)險(xiǎn)要素之間的關(guān)系。圖8-1風(fēng)險(xiǎn)要素及其相互關(guān)系風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱性和安全控制措施等基本要素展開。風(fēng)險(xiǎn)要素之間存在著以下關(guān)系：

(1)威脅利用脆弱性產(chǎn)生安全風(fēng)險(xiǎn)，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大。

(2)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大。

(3)資產(chǎn)具有價(jià)值，并對(duì)組織業(yè)務(wù)有一定的影響，資產(chǎn)價(jià)值及影響越大則其面臨的風(fēng)險(xiǎn)越大。

(4)安全控制措施能抵御威脅，減少脆弱性，因而能降低安全風(fēng)險(xiǎn)。(5)安全風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)提出了安全需求，安全需求通過安全控制措施來滿足或?qū)崿F(xiàn)。

詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法在流程上可能有一些差異，但基本上都是圍繞資產(chǎn)、威脅、脆弱性的識(shí)別與評(píng)價(jià)展開，進(jìn)一步分析不期望事件發(fā)生的可能性及對(duì)組織的影響，并考慮如何選擇合適的安全控制措施，將安全風(fēng)險(xiǎn)降低到可接受的程度。8.3信息安全風(fēng)險(xiǎn)評(píng)估過程從總體上看，風(fēng)險(xiǎn)評(píng)估過分為四個(gè)階段，第一階段為風(fēng)險(xiǎn)評(píng)估準(zhǔn)備；第二階段是風(fēng)險(xiǎn)識(shí)別，包括資產(chǎn)的識(shí)別與估價(jià)、威脅的識(shí)別與評(píng)估和脆弱性的識(shí)別與評(píng)估等工作；第三階段是風(fēng)險(xiǎn)分析，包括計(jì)算風(fēng)險(xiǎn)、風(fēng)險(xiǎn)的影響分析等，并在此過程建立相關(guān)評(píng)估文檔；第四階段為根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理過程，并提交風(fēng)險(xiǎn)評(píng)估報(bào)告。

信息安全風(fēng)險(xiǎn)評(píng)估的流程如圖8-2所示。

圖8-2信息安全風(fēng)險(xiǎn)評(píng)估流程8.3.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模與結(jié)構(gòu)等方面的影響，因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)做好以下準(zhǔn)備工作：

(1)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)。根據(jù)組織在業(yè)務(wù)持續(xù)性發(fā)展的安全性需要、法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別出現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。(2)明確風(fēng)險(xiǎn)評(píng)估的范圍。風(fēng)險(xiǎn)評(píng)估的范圍可能是組織全部的信息及信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。

(3)組建團(tuán)隊(duì)。由管理層、相關(guān)業(yè)務(wù)骨干、信息技術(shù)人員等組織風(fēng)險(xiǎn)評(píng)估小組，必要時(shí)，還要組建由評(píng)估方、被評(píng)估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組，并聘請(qǐng)相關(guān)專業(yè)技術(shù)專家和技術(shù)骨干組成專家小組。(4)確定風(fēng)險(xiǎn)評(píng)估的依據(jù)和方法。利用問卷調(diào)查、現(xiàn)場(chǎng)面談等形式進(jìn)行系統(tǒng)調(diào)研，確定風(fēng)險(xiǎn)評(píng)估的依據(jù)，并考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險(xiǎn)計(jì)算方法和風(fēng)險(xiǎn)評(píng)估工具，并使之能與組織環(huán)境和安全要求相適應(yīng)。

(5)獲得支持。上述所有內(nèi)容確定之后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，并得到組織最高管理者的支持和批準(zhǔn)，傳達(dá)給管理層和技術(shù)人員，在組織范圍內(nèi)就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)和責(zé)任。8.3.2資產(chǎn)識(shí)別與估價(jià)

風(fēng)險(xiǎn)識(shí)別始于信息資產(chǎn)的識(shí)別，根據(jù)資產(chǎn)的類型(見表8-1)，管理者確認(rèn)組織的信息資產(chǎn)，將它們歸于不同的類，并根據(jù)它們?cè)诳傮w上的重要性劃分優(yōu)先等級(jí)，評(píng)估其價(jià)值。

1.資產(chǎn)識(shí)別

資產(chǎn)識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)，其任務(wù)是對(duì)確定的評(píng)估對(duì)象所涉及的資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識(shí)，并建立資產(chǎn)清單。

識(shí)別資產(chǎn)的方法主要有訪談、現(xiàn)場(chǎng)調(diào)查、文檔查閱等方式。在識(shí)別的過程中要注意不能遺漏無形資產(chǎn)，同時(shí)要注意不同資產(chǎn)之間的相互依賴關(guān)系。(1)識(shí)別軟件和硬件。

組織可查閱資產(chǎn)購買清單和固定資產(chǎn)清單來幫助了解其現(xiàn)有的軟件和硬件情況。目前市場(chǎng)上可以購買到大量的軟件包和各種信息安全硬件設(shè)備，選擇哪些最適合組織安全需要的軟件和硬件正是首席信息官CIO(ChiefInformationOfficer)或首席信息安全官CISO(ChiefInformationSecurityOfficer)的職責(zé)之一。因此，可通過咨詢他們的方式來了解關(guān)于軟件和硬件資產(chǎn)及其屬性要求。按計(jì)劃識(shí)別軟件和硬件，通過數(shù)據(jù)處理過程以建立相關(guān)的信息資產(chǎn)清單，并明確每一種信息資產(chǎn)的哪些屬性需要在使用過程中受到追蹤，而這需要根據(jù)組織及其風(fēng)險(xiǎn)管理工作的需要，以及信息安全技術(shù)團(tuán)體的需要和偏好來作出決定。當(dāng)確定每一種信息資產(chǎn)需要追蹤的屬性時(shí)，應(yīng)考慮以下潛在的屬性。

·名稱：程序或設(shè)備的名單。

·IP地址：對(duì)網(wǎng)絡(luò)硬件設(shè)備很有用。·MAC地址：電子序列號(hào)或硬件地址，具有唯一性。

·資產(chǎn)類型：描述每一種資產(chǎn)的功能或作用。

·產(chǎn)品序列號(hào)：識(shí)別特定設(shè)備的唯一序列號(hào)。

·制造商：有助于與生產(chǎn)廠家建立聯(lián)系并尋求幫助。

·型號(hào)或編號(hào)：能正確識(shí)別資產(chǎn)。

·版本號(hào)：在資產(chǎn)升級(jí)或變更時(shí)，需要這些版本值。

·物理位置：指明何處可使用該資產(chǎn)。

·邏輯位置：指定資產(chǎn)在組織內(nèi)部網(wǎng)絡(luò)中的位置。

·控制實(shí)體：控制資產(chǎn)的組織部門。(2)識(shí)別服務(wù)、流程、數(shù)據(jù)、文檔、人員和其他。

與軟件和硬件不同，服務(wù)、流程、數(shù)據(jù)、文檔和人力資源等信息資產(chǎn)不易被識(shí)別和引證，因此，應(yīng)該將這些信息資產(chǎn)的識(shí)別、描述和評(píng)估任務(wù)分配給擁有必要知識(shí)、經(jīng)驗(yàn)和判斷能力的人員。一旦這些資產(chǎn)得到識(shí)別，就要運(yùn)用一個(gè)可靠的數(shù)據(jù)處理過程來記錄和標(biāo)識(shí)它們，如同在軟件和硬件中使用一樣。

對(duì)這些信息資產(chǎn)的維護(hù)記錄應(yīng)當(dāng)較為靈活，在識(shí)別資產(chǎn)的過程中，要將資產(chǎn)與被追蹤的信息資產(chǎn)的屬性特征聯(lián)系起來，仔細(xì)考慮特定資產(chǎn)中哪些屬性需要跟蹤。以下列出這些資產(chǎn)的一些基本屬性：①服務(wù)。包括服務(wù)的描述、類型、功能、提供者、服務(wù)面向的對(duì)象、滿足服務(wù)的附加條件等。

②流程。包括流程的描述、功能、相關(guān)的軟件/硬件/網(wǎng)絡(luò)要素、參考資料的存儲(chǔ)位置、更新數(shù)據(jù)的存儲(chǔ)位置等。

③數(shù)據(jù)。包括數(shù)據(jù)的類別、數(shù)據(jù)結(jié)構(gòu)及范圍、所有者/創(chuàng)建者/管理者、存儲(chǔ)位置、備份流程等。

④文檔。包括文檔的描述、名稱、密級(jí)、制定時(shí)間、制定者/管理者，及紙質(zhì)的各種文件、傳真、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃、合同等。

⑤人員。包括姓名/ID/職位、入職時(shí)間、技能等。

2.資產(chǎn)定級(jí)

一旦識(shí)別好所有的信息資產(chǎn)，建立的資產(chǎn)清單必須反映每一項(xiàng)信息資產(chǎn)的敏感度和安全等級(jí)，并根據(jù)這些屬性對(duì)資產(chǎn)制定一項(xiàng)分類方案，同時(shí)確定分類對(duì)組織的風(fēng)險(xiǎn)評(píng)估計(jì)劃是否有意義。

可考慮以下資產(chǎn)分類方案：按機(jī)密性分類、按完整性分類和按可用性分類，每一種分類方案中可按從低到高的要求進(jìn)行級(jí)別標(biāo)識(shí)，即對(duì)每一項(xiàng)分類都指明特定的信息資產(chǎn)的保護(hù)等級(jí)。某些資產(chǎn)類型，例如人員，可能需要更具體的不同分類方案，如果基于按需要知密和按權(quán)更新的機(jī)制，某位員工可能會(huì)被賦予一定等級(jí)的安全檢查權(quán)限，該權(quán)限用于確認(rèn)員工獲權(quán)使用的信息的等級(jí)。

3.評(píng)估資產(chǎn)的價(jià)值

完成資產(chǎn)的識(shí)別和定級(jí)之后，就必須賦予它一個(gè)相對(duì)價(jià)值。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價(jià)值，一般的做法是以定性分析的方式建立資產(chǎn)的相對(duì)價(jià)值，以相對(duì)價(jià)值作為確定重要資產(chǎn)的依據(jù)和為該資產(chǎn)投入多少保護(hù)資源的依據(jù)。

相對(duì)價(jià)值是一種比較性的價(jià)值判定，能確保在信息安全管理中，最有價(jià)值的信息資產(chǎn)被賦予最高優(yōu)先級(jí)?；蛘哒f，資產(chǎn)受到威脅時(shí)所帶來的損失是不可預(yù)知的，但評(píng)估值卻有助于確保價(jià)值較高的資產(chǎn)首先得到保護(hù)。資產(chǎn)的價(jià)值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，因?yàn)橹挥兴麄冏钋宄Y產(chǎn)對(duì)組織業(yè)務(wù)的重要性，從而能較準(zhǔn)確地評(píng)估出資產(chǎn)的實(shí)際價(jià)值。

在評(píng)估資產(chǎn)的價(jià)值時(shí)，要考慮資產(chǎn)的購買成本和維護(hù)成本，同時(shí)也要考慮資產(chǎn)的機(jī)密性、完整性和可用性等受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營的負(fù)面影響程度。評(píng)估的過程，需要進(jìn)行廣泛的調(diào)查研究，并提出以下問題幫助確定信息資產(chǎn)的影響力和評(píng)估信息資產(chǎn)的價(jià)值：(1)哪種信息資產(chǎn)對(duì)組織的成功最為重要？

在確定信息資產(chǎn)的相對(duì)重要性時(shí)，要參考組織的任務(wù)或目標(biāo)的說明，并以此為指導(dǎo)來確定哪種資產(chǎn)對(duì)實(shí)現(xiàn)組織的目標(biāo)是不可缺少的、哪種資產(chǎn)支持組織的發(fā)展目標(biāo)、哪種資產(chǎn)與目標(biāo)關(guān)聯(lián)較少。例如，對(duì)于電子商務(wù)在線系統(tǒng)來說，那些登載廣告和24小時(shí)接受訂單的組織，其Web服務(wù)器就是不可缺少的，而用于負(fù)責(zé)回復(fù)用戶郵件的客戶端系統(tǒng)就顯得不那么重要了。(2)哪種信息資產(chǎn)能帶來最大收益？

信息資產(chǎn)的相對(duì)價(jià)值取決于它能帶來多大的收益，或者是它所提供的服務(wù)有多么的重要。有時(shí)候針對(duì)每條業(yè)務(wù)線或提供的服務(wù)會(huì)使用不同的系統(tǒng)，這時(shí)就要考慮哪種資產(chǎn)能在產(chǎn)生收益或者提供服務(wù)方面能起到最重要的作用。例如，對(duì)于經(jīng)營B2C商務(wù)網(wǎng)站服務(wù)而言，一些服務(wù)器支持對(duì)商家的商品管理與銷售操作，另一些服務(wù)器支持客戶瀏覽與下訂單操作，還有一些服務(wù)器支持與銀行電子貨幣接口的操作，當(dāng)然還有一些服務(wù)器支持拍賣、廣告等功能。在評(píng)估這些服務(wù)器的時(shí)候，就要考查這些服務(wù)器對(duì)組織業(yè)務(wù)收益的貢獻(xiàn)。

(3)哪種信息資產(chǎn)的更新花費(fèi)最多？

對(duì)于一些生產(chǎn)、制造或者購買運(yùn)輸時(shí)間較長的專業(yè)設(shè)備，應(yīng)該控制好這些獨(dú)一無二的信息資產(chǎn)可能因?yàn)閾p失或損壞而造成的風(fēng)險(xiǎn)，例如，系統(tǒng)在物理進(jìn)入或執(zhí)行環(huán)境中，需要一種專門用于身份驗(yàn)證的虹膜識(shí)別系統(tǒng)，此時(shí)或許可以另外購進(jìn)一套作為備用設(shè)備。(4)哪種信息資產(chǎn)的保護(hù)費(fèi)用最昂貴？

一些資產(chǎn)本身就很難進(jìn)行維護(hù)，除非在風(fēng)險(xiǎn)識(shí)別階段結(jié)束之后，否則不可能完全解決該問題，因?yàn)橹挥性诳刂品桨复_定之后才能計(jì)算出成本，但仍然可以初步估計(jì)每一項(xiàng)資產(chǎn)實(shí)施保護(hù)控制的花費(fèi)的相對(duì)高低。

(5)哪種信息資產(chǎn)的損失、損壞或暴露出缺陷最易造成麻煩，或?qū)е聯(lián)p失？一些資產(chǎn)的損失、損壞或缺陷會(huì)給組織帶來很大的麻煩。例如，微軟2007年推出的Vista最低硬件配置要求太高，并出現(xiàn)驅(qū)動(dòng)和安全軟件兼容性問題，這些都成為影響企業(yè)采用這種操作系統(tǒng)的嚴(yán)重障礙，這使得微軟Vista操作系統(tǒng)存在一個(gè)形象問題，這一問題正在影響它的銷售，而且這種陰影也波及2009年10月Windows7操作系統(tǒng)發(fā)布后的初期階段。

總之，組織要通過廣泛地和仔細(xì)地調(diào)查研究，按要求制定出符合自己需要的信息資產(chǎn)評(píng)估價(jià)值級(jí)別，如“可忽略、低、中、高、極高”等。價(jià)值級(jí)別應(yīng)與組織在實(shí)際生活中選擇的價(jià)值標(biāo)準(zhǔn)一致，例如，對(duì)于可能的資金損失，可能給出具體的價(jià)值數(shù)量，但對(duì)于人員的安全，價(jià)值數(shù)量就不適用了，因此需要使用一個(gè)能綜合滿足定量與定性要求的方式。

在資產(chǎn)的價(jià)值確定之后，應(yīng)該按重要性列出資產(chǎn)，并按照NISTSP800-30的建議，使用0.1～1.0間的數(shù)值對(duì)其進(jìn)行打分，即賦予一個(gè)權(quán)重因子，用來表示資產(chǎn)在組織中的相對(duì)重要性。8.3.3威脅識(shí)別與評(píng)估

1.威脅識(shí)別

任何信息資產(chǎn)都會(huì)面臨各種各樣的威脅。與威脅有關(guān)的信息可能從信息安全管理體系的參與人員和相關(guān)業(yè)務(wù)流程處收集獲得。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響。

威脅識(shí)別的任務(wù)是對(duì)信息資產(chǎn)面臨的威脅進(jìn)行全面的標(biāo)識(shí)。

識(shí)別威脅的方法主要有基于威脅源分類的識(shí)別方法、基于某些標(biāo)準(zhǔn)或組織提供的威脅參考目錄的識(shí)別方法等。威脅源主要是一些環(huán)境因素和人為因素，根據(jù)表8-2威脅分類方法，不同的威脅能造成不同形式的危害，在威脅的識(shí)別過程中應(yīng)針對(duì)相關(guān)資產(chǎn)考慮這些威脅源可能構(gòu)成的威脅。

很多標(biāo)準(zhǔn)也對(duì)信息系統(tǒng)可能面臨的威脅進(jìn)行了列舉，例如，ISO/IEC13335-3《IT安全管理技術(shù)》在附錄中提供了可能的威脅目錄明細(xì)，如地震、洪水、颶風(fēng)、火災(zāi)、閃電、工業(yè)活動(dòng)、炸彈攻擊、使用武力、惡意破壞、斷電、水供應(yīng)故障、空調(diào)故障、硬件失效、電力波動(dòng)、極端溫度和濕度、灰塵、電磁輻射、靜電干擾、偷竊、存儲(chǔ)介質(zhì)的未授權(quán)使用、存儲(chǔ)介質(zhì)的老化、操作人員失誤、維修錯(cuò)誤、軟件失效、軟件被未授權(quán)用戶使用、軟件的非法使用、惡意軟件、軟件的非法進(jìn)/出口、用戶身份冒充、未授權(quán)用戶訪問網(wǎng)絡(luò)、用未授權(quán)方式使用網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)組件的技術(shù)性失效、傳輸錯(cuò)誤、線路損壞、流量過載、竊聽、通信滲透、流量分析、信息的錯(cuò)誤路徑、信息重選路由、抵賴、通信服務(wù)失效、資源的濫用等等。這些參考目錄可以作為進(jìn)行威脅識(shí)別的重要依據(jù)。德國《IT基線保護(hù)手冊(cè)》中的“資產(chǎn)—威脅—控制措施”模型將威脅分為五大類，即不可抗拒力、組織缺陷、人員錯(cuò)誤、技術(shù)錯(cuò)誤、故意行為。每種類型威脅又包含幾十到一百多種威脅子類。該手冊(cè)對(duì)每類威脅進(jìn)行了詳細(xì)列舉和描述，因而可作為威脅識(shí)別的重要參考。2.威脅評(píng)估

威脅評(píng)估是對(duì)威脅出現(xiàn)的頻率和強(qiáng)度進(jìn)行評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。

每一種威脅都對(duì)信息資產(chǎn)的安全提出了挑戰(zhàn)，在威脅識(shí)別之后，威脅評(píng)估的首要任務(wù)就是檢查每一威脅對(duì)目標(biāo)信息資產(chǎn)的潛在影響，提出下面的問題幫助理解威脅和威脅對(duì)信息資產(chǎn)的潛在影響：

(1)當(dāng)前哪些威脅對(duì)組織的信息資產(chǎn)產(chǎn)生了威脅？這是因?yàn)椴⒉皇撬械耐{都會(huì)危及信息資產(chǎn)。此時(shí)可以檢查表8-2中的每種分類，并排除那些不適用于本組織的威脅。這樣做可以減少風(fēng)險(xiǎn)評(píng)估的時(shí)間。一旦確定好組織面臨的威脅種類，還要識(shí)別每一類威脅中的特例，并排除那些不相干的威脅。例如，若公司的辦公地點(diǎn)位于高層建筑的頂層，則不太可能遭受到洪水的威脅。

(2)哪種威脅會(huì)對(duì)組織的信息資產(chǎn)帶來最嚴(yán)重的危害？在威脅評(píng)估的初期階段，可以大概地由威脅攻擊的頻率，以及檢查現(xiàn)有的準(zhǔn)備等級(jí)和應(yīng)改進(jìn)的信息安全策略來確定威脅可能產(chǎn)生的危害程度。這樣進(jìn)行初步的信息收集，有助于按危險(xiǎn)次序來劃分威脅等級(jí)。

組織識(shí)別出威脅的原因、威脅的目標(biāo)后，有必要根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來分析威脅出現(xiàn)的頻率、強(qiáng)度和破壞能力，考慮以下因素：

(1)根據(jù)經(jīng)驗(yàn)和統(tǒng)計(jì)規(guī)律，估計(jì)出威脅多長時(shí)間發(fā)生一次，即威脅發(fā)生的頻度。(2)研究攻擊者的動(dòng)機(jī)、需要具備的能力、所需的資源、資產(chǎn)的吸引力大小和脆弱性程度，了解是否存在有預(yù)謀的威脅。

(3)近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。

(4)研究地理因素，如是否靠近石油化工廠、是否處于極端天氣高發(fā)區(qū)等，這些環(huán)境條件會(huì)導(dǎo)致意外事故的威脅。

威脅評(píng)估的結(jié)果一般都是定性的。GB/T20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》將威脅頻度等級(jí)劃分為五個(gè)等級(jí)，用來代表威脅出現(xiàn)的頻率高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高，如表8-4所示。在實(shí)際的評(píng)估中，威脅頻率的判斷依據(jù)應(yīng)在評(píng)估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定，并得到被評(píng)估方的認(rèn)可。

表8-4威

脅

的

賦

值8.3.4脆弱性識(shí)別與評(píng)估

1.脆弱性識(shí)別

脆弱性是信息資產(chǎn)固有的屬性，表現(xiàn)為存在一系列的脆弱點(diǎn)或漏洞。脆弱性的識(shí)別主要按脆弱性的類型，即從技術(shù)和管理兩個(gè)方面進(jìn)行。其中技術(shù)方面主要是指軟件、硬件和通信設(shè)施等方面存在的脆弱性，管理方面主要是指在人員管理、業(yè)務(wù)管理和行政管理中的過程與控制等方面存在的脆弱性。

識(shí)別脆弱性的方法主要有問卷調(diào)查、工具檢測(cè)、工人核查、滲透性測(cè)試和文檔查閱等。在識(shí)別的過程中要注意其數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員等。

對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。例如，對(duì)物理環(huán)境的脆弱性識(shí)別應(yīng)按GB/T9361—1988《計(jì)算機(jī)場(chǎng)地安全要求》中的技術(shù)指標(biāo)實(shí)施；對(duì)操作系統(tǒng)、數(shù)據(jù)庫應(yīng)按GB17859—1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中的技術(shù)指標(biāo)實(shí)施；對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等信息技術(shù)安全性的脆弱性識(shí)別應(yīng)按GB/T18336—2001《信息技術(shù)安全性評(píng)估準(zhǔn)則》中的技術(shù)指標(biāo)實(shí)施；對(duì)管理脆弱性識(shí)別方面應(yīng)按GB/T19716—2005《信息安全管理實(shí)用規(guī)則》的要求對(duì)安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理脆弱性和不足。

表8-5脆弱性識(shí)別內(nèi)容2.脆弱性評(píng)估

與每一種威脅相關(guān)的脆弱性都應(yīng)當(dāng)評(píng)估出來，因?yàn)樵谝欢l件下，威脅會(huì)利用這些脆弱性導(dǎo)致安全事件的發(fā)生。

可以根據(jù)脆弱性對(duì)信息資產(chǎn)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度等，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行評(píng)估。由于很多脆弱性反映的是某一方面的問題，或可能造成相似的后果，評(píng)估時(shí)應(yīng)綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴(yán)重程度。對(duì)于某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度同時(shí)受到組織管理脆弱性的影響。因此，衡量資產(chǎn)的脆弱性還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。

脆弱性評(píng)估的結(jié)果一般也是定性的。GB/T20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》將脆弱性嚴(yán)重程度劃分為五個(gè)等級(jí)，如表8-6所示。

表8-6威

脅

的

賦

值在風(fēng)險(xiǎn)評(píng)估過程中，將會(huì)發(fā)現(xiàn)許多系統(tǒng)的脆弱點(diǎn)或漏洞，威脅也會(huì)以多種方式顯露出來。為每一項(xiàng)信息資產(chǎn)建立脆弱性評(píng)估列表，并確定哪個(gè)脆弱性會(huì)對(duì)受保護(hù)的資產(chǎn)產(chǎn)生最大的威脅，這是風(fēng)險(xiǎn)識(shí)別人員每天都要面臨的挑戰(zhàn)。

在風(fēng)險(xiǎn)識(shí)別的最后，我們完成了資產(chǎn)、威脅及脆弱性的列表清單。該清單將作為風(fēng)險(xiǎn)分析過程的支持文檔。8.3.5現(xiàn)有安全控制措施的確認(rèn)

安全控制措施可以分為預(yù)防性安全控制措施和保護(hù)性安全控制措施兩種。預(yù)防性安全控制措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，例如IDS；而保護(hù)性安全控制措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響，例如業(yè)務(wù)持續(xù)性計(jì)劃。在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)這些已采取的安全控制措施的有效性進(jìn)行確認(rèn)。該步驟的主要任務(wù)是，對(duì)當(dāng)前信息系統(tǒng)所采取的安全控制措施進(jìn)行標(biāo)識(shí)，并對(duì)其預(yù)期功能、有效性進(jìn)行分析，再根據(jù)檢查的結(jié)果來決定是否保留、去除或替換現(xiàn)有的控制措施。安全控制措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩刂拼胧?yīng)核實(shí)其是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全控制措施替代。

已有安全控制措施的確認(rèn)與脆弱性的識(shí)別存在一定的聯(lián)系。一般來說，安全控制措施的使用將減少系統(tǒng)技術(shù)或管理上的脆弱性，但確認(rèn)安全控制措施并不需要像脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的脆弱性，而是一類具體控制措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。8.3.6風(fēng)險(xiǎn)計(jì)算與分析

在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。

如前所述，風(fēng)險(xiǎn)可以表示為威脅發(fā)生的可能性、脆弱性被威脅利用的可能性、威脅的潛在影響三者的函數(shù)，在風(fēng)險(xiǎn)評(píng)估過程中，計(jì)算風(fēng)險(xiǎn)時(shí)還要減去一個(gè)常數(shù)，即現(xiàn)有安全控制措施的實(shí)施降低的風(fēng)險(xiǎn)，可記為：

R=R(A,T,V)

-

Rc

=R(P(T,V),I(Ve,Sz))-

Rc

其中：R為安全風(fēng)險(xiǎn)；A為資產(chǎn)；T為威脅；V為脆弱性；Rc為已有控制所減少的風(fēng)險(xiǎn)；Ve為安全事件所作用的資產(chǎn)價(jià)值；Sz為脆弱性嚴(yán)重程度；P為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；I為安全事件發(fā)生后造成的影響。

由于Rc是一個(gè)常數(shù)，在函數(shù)表示式中可以省略，故上式可簡化為：

R=R(P(T,V),I(Ve,Sz))計(jì)算該式有3個(gè)關(guān)鍵環(huán)節(jié)：

(1)計(jì)算安全事件發(fā)生的可能性。

根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件的可能性

=P(威脅出現(xiàn)頻率,脆弱性)=P(T,V)。

在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等)、資產(chǎn)吸引力、威脅出現(xiàn)的可能性、脆弱點(diǎn)的屬性、安全控制措施的效能等因素來判斷安全事件發(fā)生的可能性?？赡苄苑治龇椒梢允嵌康模部梢允嵌ㄐ缘?。定量方法可將發(fā)生安全事件的可能性表示成概率形式，而定性方法將安全事件發(fā)生的可能性給予如“極高、高、中、低”等類似的等級(jí)評(píng)價(jià)。

(2)計(jì)算安全事件發(fā)生后造成的影響。

根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后造成的影響，即：安全事件造成的影響

=I(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度)=I(Ve,Sz)。安全事件的發(fā)生造成的影響可體現(xiàn)在以下方面：直接經(jīng)濟(jì)損失、物理資產(chǎn)損壞、業(yè)務(wù)持續(xù)性影響、法律責(zé)任、人員安全危害、信譽(yù)(形象)受損等。

部分安全事件造成的影響判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果，對(duì)發(fā)生可能性極小的安全事件(如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等)可以不計(jì)算其影響或損失。由于安全事件對(duì)組織影響的多樣性，相關(guān)數(shù)據(jù)也比較缺乏，目前這種影響造成的損失的定量計(jì)算方法還不成熟，更多的是采用定性的分析方法，根據(jù)經(jīng)驗(yàn)對(duì)安全事件發(fā)生后所造成的影響或損失進(jìn)行等級(jí)劃分，給予“極高、高、中、低、可忽略”等評(píng)價(jià)。(3)計(jì)算風(fēng)險(xiǎn)值。

根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的影響，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R(安全事件的可能性,安全事件造成的影響)=R(P(T,V),I(Ve,Sz))。

評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的影響之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的影響進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。詳細(xì)的矩陣法和相乘法的風(fēng)險(xiǎn)計(jì)算示例參見第8.4節(jié)。

圖8-3風(fēng)險(xiǎn)分析函數(shù)圖通過風(fēng)險(xiǎn)計(jì)算，位于“主要高業(yè)務(wù)風(fēng)險(xiǎn)”區(qū)域的風(fēng)險(xiǎn)對(duì)組織的安全水平有著顯著的影響，是應(yīng)當(dāng)重點(diǎn)加以控制的風(fēng)險(xiǎn)；位于“高可能性”和“高影響”區(qū)域的風(fēng)險(xiǎn)要根據(jù)組織的接受風(fēng)險(xiǎn)的能力，應(yīng)適當(dāng)加以控制；位于“低風(fēng)險(xiǎn)”區(qū)域的風(fēng)險(xiǎn)只要是處于組織可接受的水平，一般可以忽略。8.3.7風(fēng)險(xiǎn)管理與控制

1.選擇安全控制措施

在經(jīng)過風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)計(jì)算后，就可以對(duì)不可接受的風(fēng)險(xiǎn)情況引入適當(dāng)?shù)陌踩刂拼胧?，?duì)風(fēng)險(xiǎn)實(shí)施管理與控制，將風(fēng)險(xiǎn)降低到可以接受的程度。

選擇安全控制措施時(shí)，要考慮以下因素：

(1)控制的成本費(fèi)用。

控制的選擇要基于安全平衡的原則，要考慮技術(shù)的、非技術(shù)的控制因素，也要考慮法律法規(guī)的要求、業(yè)務(wù)的需求以及風(fēng)險(xiǎn)的要求。如果實(shí)施與維護(hù)這些控制的費(fèi)用要高于資產(chǎn)遭受威脅所造成損失的預(yù)期值，那么所選擇的控制措施是不適合的；如果控制費(fèi)用比組織計(jì)劃的安全預(yù)算還要高，也是不適當(dāng)?shù)摹５绻驗(yàn)榭刂瀑M(fèi)用預(yù)算的不足使得控制措施的數(shù)量與質(zhì)量下降，又會(huì)使系統(tǒng)產(chǎn)生不必要的風(fēng)險(xiǎn)，所以對(duì)此要特別注意。(2)控制的可用性。

在使用所選擇的安全控制措施時(shí)，有時(shí)候會(huì)發(fā)現(xiàn)有些控制因?yàn)榧夹g(shù)、環(huán)境等原因，實(shí)施和維護(hù)起來非常困難，或者根本就不可能進(jìn)行實(shí)施和維護(hù)。另外，如果用戶對(duì)某些控制存在不可操作或無法接受，那么這些控制也是不可行的。所以，在選擇安全控制措施時(shí)，一定要注意控制的可用性，比如可以采取相近的技術(shù)控制或非技術(shù)的物理、人員、過程等措施來替代或彌補(bǔ)那些可行性差的技術(shù)控制，或作為技術(shù)控制的備用項(xiàng)。(3)已存在的控制。

所選擇的安全控制措施應(yīng)當(dāng)與組織中已存在的控制有機(jī)結(jié)合起來，共同服務(wù)于安全目標(biāo)。因此，需要注意它們之間的協(xié)調(diào)關(guān)系：

·當(dāng)已存在的控制不能提供足夠的安全保障時(shí)，在選擇新的安全控制措施之前，組織應(yīng)先對(duì)是否取消原有的控制或是補(bǔ)充現(xiàn)有的控制作出決策。這種決策依賴于控制的成本大小、更新是否必須、安全需求是否迫切等因素?！にx擇的控制與已存在的控制是否兼容，不存在沖突。例如物理訪問控制可以用來補(bǔ)充邏輯訪問控制機(jī)制，它們的結(jié)合可以提供更可靠的安全。(4)控制功能的范圍和強(qiáng)度。

這主要是要求所選擇的安全控制措施能滿足所有的控制目標(biāo)與安全需求，要求控制措施的功能類型應(yīng)該全面，如預(yù)防、探測(cè)、監(jiān)控、威懾、糾正、恢復(fù)等功能，并能使得風(fēng)險(xiǎn)減少后的殘余風(fēng)險(xiǎn)達(dá)到可接受的水平。

總之，無論選擇什么樣的安全控制措施，最終結(jié)果只能是降低風(fēng)險(xiǎn)到可接受的水平，或作出正式的管理決策接受風(fēng)險(xiǎn)。選擇安全控制措施，就是為了控制風(fēng)險(xiǎn)。控制風(fēng)險(xiǎn)的方法包括：避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)。2.避免風(fēng)險(xiǎn)

避免風(fēng)險(xiǎn)是一種風(fēng)險(xiǎn)控制戰(zhàn)略，即防止信息資產(chǎn)的脆弱性受到威脅的利用。因?yàn)槭橇η蟊苊怙L(fēng)險(xiǎn)，而不是發(fā)現(xiàn)風(fēng)險(xiǎn)后再去處理，所以它是一種可以優(yōu)先選擇的方案?？梢酝ㄟ^以下方式來避免風(fēng)險(xiǎn)：

(1)政策的應(yīng)用。

應(yīng)用政策可以強(qiáng)制性地使各管理層按照一定的制度和要求的程序進(jìn)行安全工作。例如，如果組織需要更嚴(yán)格地進(jìn)行系統(tǒng)準(zhǔn)入機(jī)制，那么在各個(gè)信息系統(tǒng)均可以實(shí)施高強(qiáng)度的身份識(shí)別和訪問權(quán)限的控制政策。當(dāng)然，單獨(dú)的政策是不夠的，有效的管理總是將政策的改變與對(duì)員工的訓(xùn)練、教育和技術(shù)的應(yīng)用結(jié)合起來的。

(2)培訓(xùn)和教育的應(yīng)用。

讓員工知道新的或修改后的政策，這可能不足以保證他們能遵守這些政策。進(jìn)行安全意識(shí)提升的培訓(xùn)和教育，對(duì)于建立一種更安全、更可控的信息系統(tǒng)環(huán)境，并在避免風(fēng)險(xiǎn)方面發(fā)揮積極作用。(3)打擊威脅。

打擊對(duì)某種信息資產(chǎn)的威脅，或者使該信息資產(chǎn)不直接面對(duì)威脅，就可以使得該信息資產(chǎn)避免風(fēng)險(xiǎn)。消除一種威脅雖然很困難，但抵制和打擊一些威脅還是可能的。例如，如果系統(tǒng)容易遭受網(wǎng)絡(luò)黑客的攻擊，就必須采取一些法律和技術(shù)措施來對(duì)抗他們，并避免潛在攻擊。(4)實(shí)施安全技術(shù)。

任何信息安全系統(tǒng)都時(shí)時(shí)刻刻需要一些安全技術(shù)解決方案來有效地減少和避免風(fēng)險(xiǎn)，這些技術(shù)甚至涉及到信息系統(tǒng)使用中的每個(gè)過程與步驟，而且有時(shí)候，還要采取一些主動(dòng)規(guī)避或放棄一些業(yè)務(wù)活動(dòng)、主動(dòng)撤離一些風(fēng)險(xiǎn)區(qū)域的方式來避免風(fēng)險(xiǎn)。3.轉(zhuǎn)移風(fēng)險(xiǎn)

轉(zhuǎn)移風(fēng)險(xiǎn)是一種風(fēng)險(xiǎn)控制方法，它是組織在無法避免風(fēng)險(xiǎn)時(shí)，或者減少風(fēng)險(xiǎn)很困難，成本也很高時(shí)，將風(fēng)險(xiǎn)轉(zhuǎn)向其他的資產(chǎn)、過程或組織?？梢酝ㄟ^重新考慮如何提供服務(wù)、修改配置模型、執(zhí)行項(xiàng)目外包并完善合同、購買保險(xiǎn)等方式來實(shí)現(xiàn)該目標(biāo)。

任何組織都不會(huì)將精力花在業(yè)務(wù)涉及的所有的方面，它們只會(huì)關(guān)注自己最擅長的方面，并依靠專家顧問或承包商來提供其他的專業(yè)建議。如果組織在安全管理方面經(jīng)驗(yàn)不足，就應(yīng)該雇用具備專業(yè)水平的人員或公司來加以解決，甚至將一些復(fù)雜系統(tǒng)的管理風(fēng)險(xiǎn)轉(zhuǎn)移到有相關(guān)管理經(jīng)驗(yàn)的組織身上。例如，許多組織需要網(wǎng)站服務(wù)，可以直接雇用ISP來解決，由ISP來對(duì)網(wǎng)站負(fù)責(zé)，并根據(jù)服務(wù)等級(jí)協(xié)議，保證服務(wù)器和網(wǎng)站正常運(yùn)行。4.降低風(fēng)險(xiǎn)

降低風(fēng)險(xiǎn)是一種風(fēng)險(xiǎn)控制方法，主要是通過實(shí)施各種預(yù)防和應(yīng)急響應(yīng)計(jì)劃來減少因脆弱性而帶來的攻擊對(duì)資產(chǎn)的損害。降低風(fēng)險(xiǎn)的方法主要包括以下3種計(jì)劃：

(1)事件響應(yīng)計(jì)劃。

事件響應(yīng)計(jì)劃是在事故或?yàn)?zāi)難尚未發(fā)生時(shí)，組織事先制定好的在事件發(fā)生時(shí)應(yīng)該快速實(shí)施的措施列表。(2)災(zāi)難恢復(fù)計(jì)劃。

災(zāi)難恢復(fù)計(jì)劃是在災(zāi)難事件發(fā)生時(shí)，組織用來控制損失的一些措施，例如恢復(fù)丟失數(shù)據(jù)、重建丟失服務(wù)、關(guān)閉過程以保護(hù)系統(tǒng)等。

(3)業(yè)務(wù)持續(xù)性計(jì)劃。

業(yè)務(wù)持續(xù)性計(jì)劃是在確定災(zāi)難會(huì)影響組織后續(xù)業(yè)務(wù)運(yùn)營時(shí)，組織執(zhí)行的確?？傮w業(yè)務(wù)持續(xù)性的措施。5.接受風(fēng)險(xiǎn)

當(dāng)信息系統(tǒng)的威脅和脆弱性已被盡可能控制時(shí)，通常仍然殘留著一定的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)并未被消除、轉(zhuǎn)移或本來就處于控制計(jì)劃之外，這被稱為殘余風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)的重要性要針對(duì)具體的組織環(huán)境來考慮。畢竟，信息安全的目標(biāo)并不是要將殘余風(fēng)險(xiǎn)完全消除，而是將殘余風(fēng)險(xiǎn)降為最低。如果管理者已經(jīng)確定殘余風(fēng)險(xiǎn)的存在，而且組織中相關(guān)的決策部門也決定讓這些殘余風(fēng)險(xiǎn)適度存在，即接受風(fēng)險(xiǎn)，那么信息安全也算是實(shí)現(xiàn)了其首要目標(biāo)。接受風(fēng)險(xiǎn)是一個(gè)對(duì)殘余風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程。在實(shí)施安全控制措施之后，組織應(yīng)該對(duì)風(fēng)險(xiǎn)的降低和殘余的風(fēng)險(xiǎn)進(jìn)行判斷，作出業(yè)務(wù)決策來判斷是否接受風(fēng)險(xiǎn)，或增加安全控制措施和控制費(fèi)用將風(fēng)險(xiǎn)降低到可接受的水平，或者接受風(fēng)險(xiǎn)，并承擔(dān)隨之發(fā)生的任何后果。

接受風(fēng)險(xiǎn)不一定是一種明智的商業(yè)決策。一般來說，只有當(dāng)組織完成了以下工作，接受風(fēng)險(xiǎn)才是一項(xiàng)正確的戰(zhàn)略：

(1)確定影響信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)。(2)評(píng)估發(fā)生威脅和產(chǎn)生脆弱性的可能性。

(3)近似地計(jì)算了該類攻擊每年發(fā)生的幾率。

(4)估計(jì)攻擊所造成的潛在損失。

(5)進(jìn)行了全面的成本-效益分析。

(6)評(píng)估使用的每一項(xiàng)安全控制措施。

組織在完成了風(fēng)險(xiǎn)識(shí)別與計(jì)算、風(fēng)險(xiǎn)管理和控制之后，可以將風(fēng)險(xiǎn)控制在一個(gè)可以接受的水平，但這并不意味著風(fēng)險(xiǎn)評(píng)估工作的結(jié)束。事實(shí)上，隨著時(shí)間的推移和組織業(yè)務(wù)環(huán)境的變化，新的威脅和新的脆弱性會(huì)不斷增加或顯現(xiàn)，有關(guān)的法律法規(guī)也在變化，所以風(fēng)險(xiǎn)也是不斷變化的。風(fēng)險(xiǎn)管理是一個(gè)動(dòng)態(tài)的、持續(xù)改進(jìn)的過程，組織需要進(jìn)行動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理，這也是動(dòng)態(tài)安全觀的要求。8.3.8風(fēng)險(xiǎn)評(píng)估記錄文檔

風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔，至少包括以下文檔：

(1)風(fēng)險(xiǎn)評(píng)估方案：闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、人員、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等。

(2)風(fēng)險(xiǎn)評(píng)估程序：明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文檔要求，以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)。(3)資產(chǎn)識(shí)別清單：根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文檔中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，明確資產(chǎn)的責(zé)任人/部門。

(4)重要資產(chǎn)清單：根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等。

(5)威脅列表：根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅列表，包括威脅的名稱、種類、來源、動(dòng)機(jī)及出現(xiàn)的頻率等。(6)脆弱性列表：根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴(yán)重程度等。

(7)已有安全控制措施確認(rèn)表：根據(jù)對(duì)已采取的安全控制措施確認(rèn)的結(jié)果，形成已有安全控制措施確認(rèn)表，包括已有安全控制措施名稱、類型、功能描述及實(shí)施效果等。

(8)風(fēng)險(xiǎn)評(píng)估報(bào)告：對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容。(9)風(fēng)險(xiǎn)處理計(jì)劃：對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)以確定所選擇安全措施的有效性。

(10)風(fēng)險(xiǎn)評(píng)估記錄：根據(jù)風(fēng)險(xiǎn)評(píng)估程序，要求風(fēng)險(xiǎn)評(píng)估過程中的各種現(xiàn)場(chǎng)記錄可復(fù)現(xiàn)評(píng)估過程，并作為產(chǎn)生歧義后解決問題的依據(jù)。記錄風(fēng)險(xiǎn)評(píng)估過程的相關(guān)文檔，應(yīng)至少符合以下要求：

(1)確保文檔發(fā)布前是得到批準(zhǔn)的。

(2)確保文檔的更改和現(xiàn)行修訂狀態(tài)是可識(shí)別的。

(3)確保文檔的分發(fā)得到適當(dāng)?shù)目刂疲⒋_保在使用時(shí)可獲得有關(guān)版本的適用文檔。

(4)防止作廢文檔的非預(yù)期使用，若因任何目的需保留作廢文檔時(shí)，應(yīng)對(duì)這些文檔進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。

(5)規(guī)定文檔的標(biāo)識(shí)、存儲(chǔ)、保護(hù)、檢索、保存期限以及處置所需的控制。

在風(fēng)險(xiǎn)分析過程中，需要計(jì)算風(fēng)險(xiǎn)值，而風(fēng)險(xiǎn)計(jì)算需要確定影響風(fēng)險(xiǎn)的要素、要素之間的組合方式，以及具體的計(jì)算方法。將風(fēng)險(xiǎn)要素按照組合方式使用具體的計(jì)算方法進(jìn)行計(jì)算，即可得到風(fēng)險(xiǎn)值。8.4信息安全風(fēng)險(xiǎn)要素計(jì)算方法目前通用的風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算涉及的要素一般為資產(chǎn)、威脅和脆弱性，它們的關(guān)系見第8.3.6小節(jié)，即由威脅和脆弱性確定安全事件發(fā)生的可能性，由資產(chǎn)和脆弱性確定安全事件的影響，以及由安全事件發(fā)生的可能性和安全事件的影響來確定風(fēng)險(xiǎn)值。

常用的計(jì)算方法為矩陣法和相乘法。在實(shí)際應(yīng)用中，可以將這兩種方法結(jié)合使用。

假設(shè)：有以下信息系統(tǒng)中資產(chǎn)面臨威脅利用脆弱性的情況：共有兩項(xiàng)重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2；

資產(chǎn)A1面臨兩個(gè)主要威脅T1和T2；

資產(chǎn)A2面臨一個(gè)主要威脅T3；

威脅T1可以利用資產(chǎn)A1存在的兩個(gè)脆弱性，脆弱性V1和脆弱性V2；

威脅T2可以利用資產(chǎn)A1存在的一個(gè)脆弱性V3；

威脅T3可以利用資產(chǎn)A2存在的兩個(gè)脆弱性，脆弱性V4和脆弱性V5；資產(chǎn)價(jià)值分別是：資產(chǎn)A1=2，資產(chǎn)A2=4；

威脅發(fā)生的頻率分別是：威脅T1=2，威脅T2=4，威脅T3=3；

脆弱性嚴(yán)重程度分別是：脆弱性V1=3，脆弱性V2=5，脆弱性V3=4，脆弱性V4=4，脆弱性V5=5。

以下分別用矩陣法和相乘法來計(jì)算其風(fēng)險(xiǎn)。8.4.1矩陣法計(jì)算風(fēng)險(xiǎn)

1.矩陣法原理

矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。

首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個(gè)元素的值在矩陣中進(jìn)行比對(duì)，行列交叉處即為所確定的計(jì)算結(jié)果，即z=f(x,y)，函數(shù)f可以采用矩陣法計(jì)算。矩陣法的原理是：

x={x1,x2,…,xi,…,xm}，1≤i≤m，xi為正整數(shù)，

y={y1,y2,…,yj,…,yn}，1≤j≤n，yj為正整數(shù)。

以x和y構(gòu)建一個(gè)二維矩陣，如表8-7所示。矩陣行值為要素y的所有取值，矩陣列值為要素x的所有報(bào)值。矩陣內(nèi)mn個(gè)值為要素z的取值，即z={z11,z12,…,zij,…,zmn}，1≤i≤m，1≤j≤n，zij為正整數(shù)。

表8-7二維矩陣構(gòu)造采用以下公式來計(jì)算zij：

zij=xi+yj或zij=xi×

yj

或zij=α

×

xi

+

β

×

yj

其中，α和β為正常數(shù)。

zij的計(jì)算要根據(jù)實(shí)際情況確定，矩陣內(nèi)的zij值不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢(shì)，即如果f是遞增函數(shù)，那么zij的值應(yīng)是隨著xi與yj的值遞增，反之亦然。

矩陣法的特點(diǎn)在于通過構(gòu)造兩兩要素計(jì)算矩陣，可以清晰反映要素的變化趨勢(shì)，靈活性高。在風(fēng)險(xiǎn)值計(jì)算中，通常需要根據(jù)兩個(gè)要素來確定另一個(gè)要素值，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的影響值等，同時(shí)需要整體掌握風(fēng)險(xiǎn)值的確定，因此矩陣法在風(fēng)險(xiǎn)分析中得到廣泛應(yīng)用。2.矩陣法計(jì)算示例

(1)計(jì)算重要資產(chǎn)的風(fēng)險(xiǎn)值。

這里以資產(chǎn)A1為例使用矩陣法計(jì)算其風(fēng)險(xiǎn)值，其他資產(chǎn)計(jì)算方法類似。

資產(chǎn)A1面臨兩個(gè)主要威脅T1和T2，威脅T1可以利用資產(chǎn)A1的兩個(gè)脆弱性，威脅T2可以利用資產(chǎn)A1的一個(gè)脆弱性，因此，資產(chǎn)A1存在風(fēng)險(xiǎn)值包括三個(gè)。這三個(gè)風(fēng)險(xiǎn)值的計(jì)算過程類似。以資產(chǎn)A1面臨的威脅T1可以利用資產(chǎn)A1的脆弱性V1為例進(jìn)行計(jì)算：①計(jì)算安全事件發(fā)生的可能性。

威脅發(fā)生頻率：威脅T1=2；

脆弱性嚴(yán)重程度：脆弱性V1=3。

首先根據(jù)矩陣法原理，構(gòu)建安全事件發(fā)生可能性的矩陣，如表8-8所示。

表8-8安全事件發(fā)生可能性的矩陣那么根據(jù)威脅發(fā)生頻率為2和脆弱性嚴(yán)重程度為3，在矩陣中對(duì)照，可確定安全事件發(fā)生的可能性值為10。

因?yàn)榘踩录l(fā)生的可能性是風(fēng)險(xiǎn)計(jì)算函數(shù)的一個(gè)參數(shù)，所以在構(gòu)建風(fēng)險(xiǎn)矩陣前，先對(duì)安全事件發(fā)生的可能性進(jìn)行等級(jí)劃分，如表8-9所示，此時(shí)可知安全事件發(fā)生可能性的等級(jí)為2。

表8-9劃分安全事件可能性的等級(jí)②計(jì)算安全事件的影響。

資產(chǎn)價(jià)值：資產(chǎn)A1=2；

脆弱性嚴(yán)重程度：脆弱性V1=3。

首先根據(jù)矩陣法原理，構(gòu)建安全事件影響的矩陣，如表8-10所示。

表8-10安全事件影響的矩陣那么根據(jù)資產(chǎn)價(jià)值為2和脆弱性嚴(yán)重程度為3，在矩陣中對(duì)照，可確定安全事件的影響值為9。

因?yàn)榘踩录挠绊懯秋L(fēng)險(xiǎn)計(jì)算函數(shù)的一個(gè)參數(shù)，所以在構(gòu)建風(fēng)險(xiǎn)矩陣前，還要對(duì)安全事件的影響進(jìn)行等級(jí)劃分，如表8-11所示，此時(shí)可知安全事件影響等級(jí)為2。

表8-11劃分安全事件影響的等級(jí)③計(jì)算風(fēng)險(xiǎn)值。

此時(shí)，已計(jì)算出：安全事件發(fā)生可能性

=2，安全事件的影響

=2。

同樣，可根據(jù)矩陣法原理，構(gòu)建風(fēng)險(xiǎn)矩陣，如表8-12所示。

表8-12風(fēng)險(xiǎn)矩陣那么根據(jù)安全事件發(fā)生可能性為2和安全事件的影響為2，在矩陣中對(duì)照，可確定風(fēng)險(xiǎn)值為7。

按同樣的方法，可計(jì)算得出資產(chǎn)A1的其他風(fēng)險(xiǎn)值，以及資產(chǎn)A2的風(fēng)險(xiǎn)。

(2)結(jié)果判定。

先確定風(fēng)險(xiǎn)等級(jí)劃分的標(biāo)準(zhǔn)，如表8-13所示。

表8-13劃分風(fēng)險(xiǎn)的等級(jí)根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，結(jié)合表8-13可知，資產(chǎn)A1面臨的威脅T1可以利用資產(chǎn)A1的脆弱性V1的風(fēng)險(xiǎn)等級(jí)為2。

以此類推，可計(jì)算出兩個(gè)重要資產(chǎn)的其他風(fēng)險(xiǎn)值，并根據(jù)表8-13確定出各自的風(fēng)險(xiǎn)等級(jí)結(jié)果，如表8-14所示。

表8-14風(fēng)險(xiǎn)結(jié)果8.4.2相乘法計(jì)算風(fēng)險(xiǎn)

1.相乘法原理

相乘法主要適用于由兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。即z=f(x,y)，函數(shù)f可以采用相乘法。

相乘法的原理是：

z=f(x,y)=xy

當(dāng)f為增量函數(shù)時(shí)，可以為直接相乘，也可以為相乘后取模等，例如：

相乘法提供了一種定量的計(jì)算方法，直接使用兩個(gè)要素值進(jìn)行相乘得到另外一個(gè)要素值，它簡單明確，直接按統(tǒng)一的公式計(jì)算，便可得到所需的結(jié)果。在風(fēng)險(xiǎn)值計(jì)算中，通常需要根據(jù)兩個(gè)要素來確定另一個(gè)要素值，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的影響值等，因此相乘法在風(fēng)險(xiǎn)分析中也得到了廣泛應(yīng)用。2.相乘法計(jì)算示例

(1)計(jì)算重要資產(chǎn)的風(fēng)險(xiǎn)值。

這里以資產(chǎn)A1為例使用相乘法計(jì)算其風(fēng)險(xiǎn)值，其他資產(chǎn)計(jì)算方法類似。

資產(chǎn)A1面臨兩個(gè)主要威脅T1和T2，威脅T1可以利用資產(chǎn)A1的兩個(gè)脆弱性，威脅T2可以利用資產(chǎn)A1的一個(gè)脆弱性，因此，資產(chǎn)A1存在風(fēng)險(xiǎn)值包括三個(gè)。這三個(gè)風(fēng)險(xiǎn)值的計(jì)算過程類似。以資產(chǎn)A1面臨的威脅T1可以利用資產(chǎn)A1的脆弱性V1為例進(jìn)行計(jì)算，其中計(jì)算公式采用：并對(duì)z的值四舍五入取值。

以此類推，可計(jì)算出兩個(gè)重要資產(chǎn)的其他風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)確定出各自的風(fēng)險(xiǎn)等級(jí)結(jié)果，如表8-15所示。

表8-15風(fēng)險(xiǎn)結(jié)果

在應(yīng)用風(fēng)險(xiǎn)評(píng)估方法的過程中，評(píng)估的時(shí)間、地點(diǎn)，投入的財(cái)力、物力，以及開展的深度都應(yīng)與組織的環(huán)境和安全需求相符合。例如，如果組織及其信息資產(chǎn)在大多數(shù)情況下只需要一個(gè)低等級(jí)到中等級(jí)的安全需求，那么基本的風(fēng)險(xiǎn)評(píng)估方法就足夠了。如果安全需求較高，并要求更具體的和專業(yè)的處理，那么就必須運(yùn)用詳細(xì)的風(fēng)險(xiǎn)評(píng)估或綜合的風(fēng)險(xiǎn)評(píng)估方法。8.5信息安全風(fēng)險(xiǎn)評(píng)估方法當(dāng)然，無論采用哪一種評(píng)估方法，都應(yīng)遵循可靠性、完整性、時(shí)間與成本有效等原則。8.5.1基本風(fēng)險(xiǎn)評(píng)估

如果組織的商業(yè)運(yùn)營不是很復(fù)雜，并且對(duì)信息處理和網(wǎng)絡(luò)的依賴程度不是很高，或者信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式，采用基本風(fēng)險(xiǎn)評(píng)估就可以便捷地實(shí)現(xiàn)基本的安全水平，并且滿足組織及其商業(yè)環(huán)境的所有要求。

基本風(fēng)險(xiǎn)評(píng)估是指應(yīng)用直接和簡易的方法對(duì)信息系統(tǒng)進(jìn)行安全基線檢查，得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來降低和控制風(fēng)險(xiǎn)。這種方法使得組織在識(shí)別和評(píng)估基本安全需求的基礎(chǔ)上，通過建立相應(yīng)的信息安全管理體系，獲得對(duì)信息資產(chǎn)的基本安全保護(hù)，其目標(biāo)是建立一套滿足信息安全基本目標(biāo)的最小的對(duì)策集合，它可以在全組織范圍內(nèi)實(shí)行，如果有特殊需要，應(yīng)該在此基礎(chǔ)上，對(duì)特定系統(tǒng)進(jìn)行更詳細(xì)的評(píng)估。

基本風(fēng)險(xiǎn)評(píng)估的安全基線，是在諸多標(biāo)準(zhǔn)和規(guī)范中規(guī)定的一組安全控制措施或慣例，這些措施或慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)達(dá)到一定的安全水平。選擇安全基線可以參考以下內(nèi)容：(1)國際標(biāo)準(zhǔn)和國內(nèi)標(biāo)準(zhǔn)，例如ISO/IEC13335、GB/T22081等。

(2)行業(yè)標(biāo)準(zhǔn)或推薦，例如德國《IT基線保護(hù)手冊(cè)》等。

(3)其他有類似商務(wù)目標(biāo)和規(guī)模的組織慣例。

1.基本風(fēng)險(xiǎn)評(píng)估的內(nèi)容

按照GB/T22081—2008的要求，風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)照風(fēng)險(xiǎn)接受準(zhǔn)則和組織相關(guān)目標(biāo)，識(shí)別、量化并區(qū)分風(fēng)險(xiǎn)的優(yōu)先次序，以管理信息安全風(fēng)險(xiǎn)和實(shí)施為防范這些風(fēng)險(xiǎn)而選擇的控制措施?；撅L(fēng)險(xiǎn)評(píng)估的任務(wù)與內(nèi)容如表8-16所示。

表8-16基本風(fēng)險(xiǎn)評(píng)估的任務(wù)與內(nèi)容2.基本風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)

(1)風(fēng)險(xiǎn)評(píng)估所需資源最少，操作簡單。

(2)選擇安全措施時(shí)花費(fèi)更少的時(shí)間和精力。

(3)如果多個(gè)信息系統(tǒng)在相同的普通環(huán)境下運(yùn)行，并且安全需求類似，那么這些系統(tǒng)采用相同或相似的基本風(fēng)險(xiǎn)評(píng)估可以提供一個(gè)經(jīng)濟(jì)有效的解決方案。3.基本風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)

(1)安全基線和安全水平難以設(shè)置。如果設(shè)置太高，可能需要過多費(fèi)用，或控制過度；如果設(shè)置太低，則信息系統(tǒng)可能會(huì)缺少安全，導(dǎo)致更高層次的暴露。

(2)風(fēng)險(xiǎn)評(píng)估不全面透徹，在管理與安全相關(guān)的變更方面可能有困難。例如系統(tǒng)升級(jí)后，就很難評(píng)估原先的安全控制措施是否仍然充分有效。8.5.2詳細(xì)風(fēng)險(xiǎn)評(píng)估

詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，并用于對(duì)可能引起的風(fēng)險(xiǎn)水平進(jìn)行評(píng)估和安全控制措施的識(shí)別與選擇，將風(fēng)險(xiǎn)降低到可接受的水平，同時(shí)證明所采取的安全控制措施是適當(dāng)?shù)摹＠鏞CTAVE、CRAMM、NIST的SP800-30等提供的風(fēng)險(xiǎn)評(píng)估方法都屬于詳細(xì)風(fēng)險(xiǎn)評(píng)估。1.詳細(xì)風(fēng)險(xiǎn)評(píng)估的內(nèi)容

詳細(xì)風(fēng)險(xiǎn)評(píng)估需要仔細(xì)制定被評(píng)估信息系統(tǒng)范圍內(nèi)的業(yè)務(wù)環(huán)境、業(yè)務(wù)運(yùn)營、信息與資產(chǎn)內(nèi)容等，可以非常耗費(fèi)人力和物力。不同于基本風(fēng)險(xiǎn)評(píng)估方法，詳細(xì)風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行更詳細(xì)的分析，并將它們作為參數(shù)來計(jì)算安全風(fēng)險(xiǎn)。例如按照GB/T20984—2007的要求對(duì)風(fēng)險(xiǎn)要素和風(fēng)險(xiǎn)進(jìn)行計(jì)算和評(píng)估。詳細(xì)風(fēng)險(xiǎn)評(píng)估的任務(wù)與內(nèi)容如表8-17所示。

表8-17詳細(xì)風(fēng)險(xiǎn)評(píng)估的任務(wù)與內(nèi)容2.詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)

(1)識(shí)別全面的安全控制措施，并獲得更精確的安全風(fēng)險(xiǎn)認(rèn)識(shí)。

(2)詳細(xì)風(fēng)險(xiǎn)評(píng)估結(jié)果有助于安全變更的管理。

3.詳細(xì)風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)

(1)花費(fèi)較多的時(shí)間、人力和物力。

(2)需要較高的專業(yè)技術(shù)知識(shí)和能力。8.5.3綜合風(fēng)險(xiǎn)評(píng)估

基本風(fēng)險(xiǎn)評(píng)估所需資源少，周期短，操作簡單，但不夠準(zhǔn)確，適合一般環(huán)境的評(píng)估。詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)確細(xì)致，但耗費(fèi)資源較多，適合嚴(yán)格規(guī)定邊界的較小范圍的評(píng)估。因而在實(shí)踐中，較多地采用二者結(jié)合的綜合風(fēng)險(xiǎn)評(píng)估方法。

這種方法首先使用基本的風(fēng)險(xiǎn)評(píng)估方法，識(shí)別出ISMS范圍內(nèi)具有潛在高風(fēng)險(xiǎn)或?qū)ι虡I(yè)運(yùn)營極為關(guān)鍵的資產(chǎn)，然后根據(jù)基本的風(fēng)險(xiǎn)評(píng)估的結(jié)果，將ISMS范圍內(nèi)的資產(chǎn)分成兩類。一類需要應(yīng)用詳細(xì)風(fēng)險(xiǎn)評(píng)估方法以取得適當(dāng)?shù)谋Ｗo(hù)，另一類通過基本風(fēng)險(xiǎn)評(píng)估方法選擇安全控制措施就可以滿足組織的需要。

這種綜合風(fēng)險(xiǎn)評(píng)估方法將基本風(fēng)險(xiǎn)評(píng)估和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)結(jié)合起來，既節(jié)省了評(píng)估所花費(fèi)的時(shí)間和精力，又能獲得全面系統(tǒng)的評(píng)估結(jié)果，而且資金能被應(yīng)用在信息系統(tǒng)中最需要和最能發(fā)揮作用的地方。當(dāng)然，需要注意的是，如果初步的高風(fēng)險(xiǎn)分析不夠準(zhǔn)確，那么某些本來需要詳細(xì)評(píng)估的系統(tǒng)可能會(huì)被忽略，導(dǎo)致某些嚴(yán)重的風(fēng)險(xiǎn)不被發(fā)現(xiàn)的錯(cuò)誤。

風(fēng)險(xiǎn)評(píng)估工具是風(fēng)險(xiǎn)評(píng)估的輔助手段，是保證風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的一個(gè)重要因素。風(fēng)險(xiǎn)評(píng)估工具的使用不但在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛地應(yīng)用。8.6風(fēng)險(xiǎn)評(píng)估工具從功能應(yīng)用的角度和目標(biāo)而言，風(fēng)險(xiǎn)評(píng)估工具可分為預(yù)防、檢測(cè)和響應(yīng)三類。通常情況下，技術(shù)人員會(huì)把漏洞掃描工具稱為風(fēng)險(xiǎn)評(píng)估工具，因?yàn)榭梢杂盟鼇戆l(fā)現(xiàn)系統(tǒng)存在的漏洞、不合理配置等問題，根據(jù)漏洞掃描結(jié)果提供的線索，利用滲透性測(cè)試分析系統(tǒng)存在的風(fēng)險(xiǎn)，所以漏洞掃描工具在對(duì)信息基礎(chǔ)設(shè)施進(jìn)行風(fēng)險(xiǎn)評(píng)估的過程中發(fā)揮著不可替代的作用。隨著人們對(duì)信息資產(chǎn)的深入理解，發(fā)現(xiàn)信息資產(chǎn)包括軟件、硬件、服務(wù)、流程、數(shù)據(jù)、文檔、人員等廣泛的類型，因此解決信息安全的問題在于預(yù)防這些復(fù)雜信息資產(chǎn)的安全問題。在此基礎(chǔ)上，許多國家和組織都建立了針對(duì)于預(yù)防安全事件發(fā)生的風(fēng)險(xiǎn)評(píng)估指南和方法。基于這些方法，開發(fā)出了一些工具，例如CRAMM等。這些工具主要從管理的層面上，考慮包括信息安全技術(shù)在內(nèi)的一系列與信息安全有關(guān)的問題，例如安全規(guī)定、人員管理、通信保障、業(yè)務(wù)連續(xù)性以及法律法規(guī)等各方面的因素，對(duì)信息安全有一個(gè)整體宏觀的評(píng)價(jià)。而且人們也認(rèn)識(shí)到一個(gè)完整的風(fēng)險(xiǎn)評(píng)估所考慮的問題不只是關(guān)鍵資產(chǎn)在某個(gè)時(shí)間狀態(tài)下的威脅、脆弱性情況，過去的攻擊、威脅和安全事故都可作為確定風(fēng)險(xiǎn)的客觀支持，那么對(duì)這些事件的檢測(cè)和記錄工具也是風(fēng)險(xiǎn)評(píng)估過程中不可缺少的工具，因此將IDS也作為風(fēng)險(xiǎn)評(píng)估工具的一種。

根據(jù)在風(fēng)險(xiǎn)評(píng)估過程中的主要任務(wù)和作用原理的不同，風(fēng)險(xiǎn)評(píng)估工具可以分成風(fēng)險(xiǎn)評(píng)估與管理工具、信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具三類。8.6.1風(fēng)險(xiǎn)評(píng)估與管理工具

風(fēng)險(xiǎn)評(píng)估與管理工具是一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過程和操作方法，或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析，通常在進(jìn)行風(fēng)險(xiǎn)評(píng)估后有針對(duì)性地提出風(fēng)險(xiǎn)控制措施。

這種工具根據(jù)信息所面臨的威脅的不同分布進(jìn)行全面考慮，在風(fēng)險(xiǎn)評(píng)估的同時(shí)根據(jù)面臨的風(fēng)險(xiǎn)提供相應(yīng)的控制措施和解決辦法。此類工具通常建立在一定的算法之上，風(fēng)險(xiǎn)由關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱性三者來確定。也可以建立專家系統(tǒng)，利用專家經(jīng)驗(yàn)進(jìn)行風(fēng)險(xiǎn)分析，給出專家結(jié)論，在生命周期內(nèi)需要不斷進(jìn)行知識(shí)庫的擴(kuò)充，以適應(yīng)不同的需要。

根據(jù)實(shí)現(xiàn)方法的不同，風(fēng)險(xiǎn)評(píng)估與管理工具可以分為以下3種：

(1)基于相關(guān)標(biāo)準(zhǔn)或指南的風(fēng)險(xiǎn)評(píng)估與管理工具。目前，國際上存在多種不同的風(fēng)險(xiǎn)評(píng)估或分析的標(biāo)準(zhǔn)或指南，不同方法側(cè)重點(diǎn)有所不同，例如NISTSP800-30、BS7799、ISO/IEC13335等。以這些標(biāo)準(zhǔn)或指南的內(nèi)容為基礎(chǔ)，分別開發(fā)和建立相應(yīng)的評(píng)估工具，完成遵循標(biāo)準(zhǔn)或指南的風(fēng)險(xiǎn)評(píng)估過程。例如英國推行基于BS7799標(biāo)準(zhǔn)認(rèn)證并開發(fā)了CRAMM、美國NIAP(NationalInformationAssurancePartnership，美國國家信息安全保障合作組織)根據(jù)CC進(jìn)行信息安全自動(dòng)化評(píng)估的CCToolbox、美國NIST根據(jù)SP800-26進(jìn)行IT安全自動(dòng)化自我評(píng)估的ASSET等，其中ASSET可免費(fèi)使用。(2)基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具。

基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具并不僅僅遵循某個(gè)單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險(xiǎn)分析方法進(jìn)行綜合，并結(jié)合實(shí)踐經(jīng)驗(yàn)，形成風(fēng)險(xiǎn)評(píng)估知識(shí)庫，以此為基礎(chǔ)完成綜合評(píng)估。它還涉及來自類似組織(包括規(guī)模、商務(wù)目標(biāo)和市場(chǎng)等)的最佳實(shí)踐，主要通過多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)和當(dāng)前的安全措施，并與特定的標(biāo)準(zhǔn)或最佳實(shí)踐進(jìn)行比較，從中找出不符合的地方，同時(shí)產(chǎn)生專家推薦的安全控制措施。例如Microsoft公司推出的基于專家系統(tǒng)的MSAT(MicrosoftSecurityAssessmentTool)、英國C&ASystemSecurityLtd.推出的自動(dòng)化風(fēng)險(xiǎn)評(píng)估與管理工具COBRA(Consultative，ObjectiveandBi-FunctionalRiskAnalysis)等，并且COBRA和MSAT可免費(fèi)使用或試用。

(3)基于定性或定量的模型算法的風(fēng)險(xiǎn)評(píng)估與管理工具。

風(fēng)險(xiǎn)評(píng)估根據(jù)對(duì)各要素的指標(biāo)量化以及計(jì)算方法不同分為定性和定量的風(fēng)險(xiǎn)分析工具。基于標(biāo)準(zhǔn)或基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具，都使用了定性分析方法或定量分析方法，或者將定性與定量相結(jié)合。這類工具在對(duì)信息系統(tǒng)各組成部分、安全要素充分分析的基礎(chǔ)上，對(duì)典型信息系統(tǒng)的資產(chǎn)、威脅和脆弱性建立定性的或量化、半量化的模型，并根據(jù)收集信息輸入，得到風(fēng)險(xiǎn)評(píng)估的結(jié)果。例如英國BSI根據(jù)ISO17799進(jìn)行風(fēng)險(xiǎn)等級(jí)和控制措施的過程式分析工具RA/SYS(RiskAnalysisSystem)、國際安全技術(shù)公司(InternationalSecurityTechnologyInc.)提供的半定量(定性與定量方法相結(jié)合)的風(fēng)險(xiǎn)評(píng)估工具CORA(Cost-of-RiskAnalysis)等。

表8-18常見的風(fēng)險(xiǎn)評(píng)估與管理工具的對(duì)比8.6.2信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具

信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具包括脆弱性掃描工具和滲透性測(cè)試工具，主要用于對(duì)信息系統(tǒng)的主要部件(例如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓簟?/p>

1.脆弱性掃描工具

脆弱性掃描工具也稱為安全掃描、漏洞掃描器，評(píng)估網(wǎng)絡(luò)或主機(jī)系統(tǒng)的安全性并且報(bào)告系統(tǒng)脆弱性。這些工具能夠掃描網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器和應(yīng)用程序發(fā)現(xiàn)其中的漏洞。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影響，并且尋找系統(tǒng)脆弱點(diǎn)，比如安裝方面與建立的安全策略相悖等。

脆弱性掃描工具是目前應(yīng)用最廣泛的風(fēng)險(xiǎn)評(píng)估工具，主要完成對(duì)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全脆弱性檢測(cè)功能。

一般的脆弱性掃描工具可以按照目標(biāo)系統(tǒng)的類型分為以下3種：(1)面向主機(jī)的掃描器：用來發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在用戶行為的風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠，也可實(shí)施對(duì)文件系統(tǒng)的檢查。其原理主要是根據(jù)已披露的脆弱性特征庫，通過對(duì)特定目標(biāo)發(fā)送指令并獲得反饋信息來判斷該漏洞是否存在。

(2)基于網(wǎng)絡(luò)監(jiān)測(cè)的掃描器：通過旁路或串聯(lián)入網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)，針對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流檢測(cè)如防火墻配置錯(cuò)誤或連接到網(wǎng)絡(luò)上易受到攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。其原理是通過分析網(wǎng)絡(luò)數(shù)據(jù)流中特定數(shù)據(jù)包的結(jié)構(gòu)和流量，分析存在的漏洞。(3)數(shù)據(jù)庫脆弱性掃描器：對(duì)數(shù)據(jù)庫的授權(quán)、認(rèn)證和完整性進(jìn)行詳細(xì)的分析，也可以識(shí)別出數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。其原理是根據(jù)數(shù)據(jù)庫典型漏洞庫和分析數(shù)據(jù)庫訪問語法特點(diǎn)來判斷是否存在脆弱性。

目前常見的脆弱性掃描工具有Nmap、X-scan、Nessus和Fluxay等。

(1)

Nmap(NetworkMapper)是在自由軟件基金會(huì)的GNUGeneralPublicLicense(GPL，通用公共許可證)下發(fā)布的一款免費(fèi)的網(wǎng)絡(luò)探測(cè)和安全審計(jì)工具。它能夠掃描大規(guī)模網(wǎng)絡(luò)以判斷存活的主機(jī)及其所提供的TCP、UDP網(wǎng)絡(luò)服務(wù)，支持流行的ICMP、TCP及UDP掃描技術(shù)，并提供一些較高級(jí)的服務(wù)功能，如服務(wù)協(xié)議指紋識(shí)別(fingerprinting)、IP指紋識(shí)別、隱秘掃描(避開入侵檢測(cè)系統(tǒng)的監(jiān)視，并盡可能不影響目標(biāo)系統(tǒng)的日常操作)以及底層的濾波分析等。目前Nmap最新的穩(wěn)定版本是2011年8月發(fā)布的Version5.50。

Nmap通過使用TCP/IP協(xié)議棧指紋來準(zhǔn)確地判斷出目標(biāo)主機(jī)的操作類型。首先，Nmap通過對(duì)目標(biāo)主機(jī)進(jìn)行端口掃描，找出正在目標(biāo)主機(jī)上監(jiān)聽的端口；其次，Nmap對(duì)目標(biāo)主機(jī)進(jìn)行一系列的測(cè)試，利用響應(yīng)結(jié)果建立相應(yīng)目標(biāo)主機(jī)的Nmap指紋；最后，將此指紋與指紋庫中的指紋進(jìn)行查找匹配，從而得出目標(biāo)主機(jī)類型、操作系統(tǒng)的類型和版本以及運(yùn)行服務(wù)等相關(guān)信息。

(2)

X-scan是一款運(yùn)行在Windows平臺(tái)下免費(fèi)的網(wǎng)絡(luò)脆弱性掃描工具。它采用多線程方式對(duì)指定的IP地址段(或單個(gè)主機(jī))進(jìn)行安全漏洞檢查，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個(gè)大類。目前X-Scan較穩(wěn)定的版本是Version3.3。

X-Scan采用由NASL(NessusAttackScriptLanguage)腳本語言設(shè)計(jì)的插件庫，共有兩千多個(gè)插件。X-San對(duì)NASL插件庫進(jìn)行篩選和簡化，去除了許多不常用的插件，同時(shí)把多個(gè)實(shí)現(xiàn)同一掃描功能的插件篩選成一個(gè)插件，大大地簡化了插件庫，極大地提高了掃描的效率。X-Scan把掃描報(bào)告與安全焦點(diǎn)網(wǎng)站()相連接，對(duì)掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級(jí)”評(píng)估，并提供漏洞描述、解決方案及詳細(xì)描述鏈接，以方便網(wǎng)絡(luò)管理員測(cè)試和修補(bǔ)漏洞。(3)

Nessus是在1998