《信息安全風(fēng)險(xiǎn)管理》

信息安全風(fēng)險(xiǎn)管理精選ppt10.1風(fēng)險(xiǎn)管理概述“知己知彼，百戰(zhàn)不殆。知己而不知彼，即便獲得勝利也損失慘重。既不知已又不知彼，每仗必?cái)　！睘榱巳〉眯畔踩芾淼膭倮?，必須知己知彼。精選ppt10.1.1知己首先必須識(shí)別、檢查和熟悉機(jī)構(gòu)中當(dāng)前的信息及系統(tǒng)，這是不言而喻的。要想保護(hù)資產(chǎn)就必須熟悉它們是什么，它們對(duì)機(jī)構(gòu)的價(jià)值，以及可能有哪些漏洞。資產(chǎn)在這里是指信息及使用、存儲(chǔ)和傳輸這些信息的系統(tǒng)。精選ppt10.1.2知彼知彼，這就意味著識(shí)別、檢查并熟悉機(jī)構(gòu)面臨的威脅。必須確定出對(duì)機(jī)構(gòu)信息資產(chǎn)的安全影響最直接的威脅。然后，通過對(duì)這些威脅的理解，按照每項(xiàng)資產(chǎn)對(duì)于機(jī)構(gòu)的重要程度，建立一個(gè)威脅等級(jí)列表。精選ppt10.1.3利益團(tuán)體的作用機(jī)構(gòu)中的每一個(gè)利益團(tuán)體都有責(zé)任管理機(jī)構(gòu)面臨的風(fēng)險(xiǎn)，可以從以下三方面的分析中看出：1.信息安全因?yàn)樾畔踩珗F(tuán)體的成員最了解把風(fēng)險(xiǎn)帶入機(jī)構(gòu)的威脅和攻擊，所以他們常常在處理風(fēng)險(xiǎn)時(shí)處于領(lǐng)導(dǎo)地位。精選ppt10.1.3利益團(tuán)體的作用2.管理人員管理人員和用戶經(jīng)過適當(dāng)?shù)呐嘤?xùn)，會(huì)對(duì)機(jī)構(gòu)面臨的威脅有著清醒的認(rèn)識(shí)，在早期的檢測(cè)和響應(yīng)階段起一定的作用。3.信息技術(shù)利益團(tuán)體必須建立安全的系統(tǒng)，并且安全的操作這些系統(tǒng)。例如，IT操作應(yīng)進(jìn)行合理的備份，以避免硬盤故障引起的風(fēng)險(xiǎn)。精選ppt10.2風(fēng)險(xiǎn)管理的基本概念

10.2.1資產(chǎn)相關(guān)概念1．資產(chǎn)所謂資產(chǎn)就是被組織賦予了價(jià)值、需要保護(hù)的有用資源。在信息安全體系范圍內(nèi)，一項(xiàng)非常重要的工作就是為資產(chǎn)編制清單。每項(xiàng)資產(chǎn)都應(yīng)該清晰地定義，合理地估價(jià)，在組織中明確資產(chǎn)所有權(quán)關(guān)系，對(duì)資產(chǎn)進(jìn)行安全分類，并以文件形式詳細(xì)記錄在案。精選ppt10.2.1資產(chǎn)相關(guān)概念2．資產(chǎn)的價(jià)值資產(chǎn)價(jià)值是指經(jīng)濟(jì)實(shí)體所擁有的固定資產(chǎn)、無形資產(chǎn)體現(xiàn)出來的價(jià)值。為了明確對(duì)資產(chǎn)的保護(hù)，有必要對(duì)資產(chǎn)進(jìn)行估價(jià)，其價(jià)值大小不僅僅要考慮其自身的價(jià)值，還要考慮其對(duì)組織機(jī)構(gòu)業(yè)務(wù)的重要性、在一定條件下的潛在價(jià)值以及與之相關(guān)的安全保護(hù)措施。精選ppt10.2.1資產(chǎn)相關(guān)概念因此，在信息系統(tǒng)中資產(chǎn)的價(jià)值可以用信息或其他技術(shù)資產(chǎn)的泄漏、非法修改或被破壞等造成的影響的程度來衡量。精選ppt10.2.1資產(chǎn)相關(guān)概念3．威脅威脅是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。例如，網(wǎng)絡(luò)系統(tǒng)可能受到來自計(jì)算機(jī)病毒和黑客攻擊的威脅。4．脆弱性所謂脆弱性就是資產(chǎn)的弱點(diǎn)或薄弱點(diǎn)，這些弱點(diǎn)可能被威脅利用，造成安全事件的發(fā)生，從而對(duì)資產(chǎn)造成損害。脆弱性本身并不會(huì)引起損害，它只是為威脅提供了影響資產(chǎn)安全性的條件。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

1．安全風(fēng)險(xiǎn)所謂安全風(fēng)險(xiǎn)就是特定的威脅利用資產(chǎn)的一種或多種脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。通過確定資產(chǎn)價(jià)值及相關(guān)威脅與脆弱性的水平，可以得出風(fēng)險(xiǎn)的度量值。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

即對(duì)信息和信息處理設(shè)施的威脅、影響（指安全事件所帶來的直接和間接損失）和脆弱性及三者發(fā)生的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括：·識(shí)別組織面臨的各種風(fēng)險(xiǎn)；·評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響；·確定組織承受風(fēng)險(xiǎn)的能力；·確定風(fēng)險(xiǎn)降低和控制的優(yōu)先等級(jí)；·推薦風(fēng)險(xiǎn)降低對(duì)策。風(fēng)險(xiǎn)評(píng)估也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，包括定性和定量的方法，確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

2．風(fēng)險(xiǎn)管理所謂風(fēng)險(xiǎn)管理就是以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)管理通過風(fēng)險(xiǎn)評(píng)估來識(shí)別風(fēng)險(xiǎn)大小，通過制定信息安全方針，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平。風(fēng)險(xiǎn)管理還應(yīng)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。風(fēng)險(xiǎn)管理過程如下圖所示。精選ppt風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)控制圖風(fēng)險(xiǎn)管理過程精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

在風(fēng)險(xiǎn)管理過程中，有幾個(gè)關(guān)鍵的問題需要考慮。第一，要確定保護(hù)的對(duì)象是什么？它的直接和間接價(jià)值如何？第二，資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？第三，資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程度又如何？第四，一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？最后，組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降到最低？解決以上問題的過程，就是風(fēng)險(xiǎn)管理的過程。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

這里需要注意，在談到風(fēng)險(xiǎn)管理的時(shí)候，人們經(jīng)常提到的還有風(fēng)險(xiǎn)分析這個(gè)概念。實(shí)際上，對(duì)于信息安全風(fēng)險(xiǎn)管理來說，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估基本上是同義的。當(dāng)然，如果細(xì)究起來，風(fēng)險(xiǎn)分析應(yīng)該是處理風(fēng)險(xiǎn)的總體戰(zhàn)略，風(fēng)險(xiǎn)評(píng)估只是風(fēng)險(xiǎn)分析中的一項(xiàng)工作，即對(duì)可識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估，以確定其可能造成的危害。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

3．安全需求在信息安全體系中，要求組織確認(rèn)如下安全需求：·評(píng)估出組織所面臨的安全風(fēng)險(xiǎn)，并控制這些風(fēng)險(xiǎn)的需求；·組織、貿(mào)易伙伴、簽約客戶等需要遵守的法律法規(guī)及合同的要求；·組織制訂支持業(yè)務(wù)運(yùn)作與處理的需求。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念

4．安全控制正如BS7799中所定義的，安全控制就是保護(hù)組織資產(chǎn)、防止威脅、減少脆弱性等一系列安全實(shí)踐、過程和機(jī)制。為獲得有效的安全，常常需要把多種安全控制結(jié)合起來使用，實(shí)現(xiàn)監(jiān)測(cè)、威懾、防護(hù)等多種功能。5．剩余風(fēng)險(xiǎn)即實(shí)施安全控制后，仍然存在的安全風(fēng)險(xiǎn)。精選ppt10.2.2風(fēng)險(xiǎn)管理的相關(guān)概念6．適用性聲明適用性聲明是一個(gè)包含組織所選擇的控制目標(biāo)與控制方式的文件，相當(dāng)于一個(gè)控制目標(biāo)與方式清單，其中應(yīng)闡述選擇與不選擇的理由。精選ppt10.2.3風(fēng)險(xiǎn)管理各要素間的關(guān)系

風(fēng)險(xiǎn)管理中涉及的安全組成要素之間的關(guān)系如下圖所示，具體描述如下：精選ppt威脅脆弱性安全控制安全風(fēng)險(xiǎn)資產(chǎn)安全需求資產(chǎn)價(jià)值與潛在影響利用防止增加增加暴露減少要求指出增加具有精選ppt10.2.3風(fēng)險(xiǎn)管理各要素間的關(guān)系

·資產(chǎn)具有價(jià)值，并會(huì)受到威脅的潛在影響；·脆弱性將資產(chǎn)暴露給威脅，威脅利用脆弱性對(duì)資產(chǎn)造成影響；·威脅與脆弱性的增加導(dǎo)致安全風(fēng)險(xiǎn)的增加；·安全風(fēng)險(xiǎn)的存在對(duì)組織的信息安全提出要求；·安全控制應(yīng)滿足安全需求；·通過實(shí)施安全控制防范威脅，以降低安全風(fēng)險(xiǎn)。精選ppt10.3風(fēng)險(xiǎn)的識(shí)別

風(fēng)險(xiǎn)管理策略要求信息安全專業(yè)人員將機(jī)構(gòu)的信息資產(chǎn)進(jìn)行識(shí)別、分類，并區(qū)分優(yōu)先次序，來了解資產(chǎn)。資產(chǎn)是各種威脅以及威脅代理的目標(biāo)，風(fēng)險(xiǎn)管理的目標(biāo)就是保護(hù)資產(chǎn)不受威脅。了解了機(jī)構(gòu)的資產(chǎn)后，就可以進(jìn)入資產(chǎn)的識(shí)別階段。必須對(duì)每一項(xiàng)資產(chǎn)的狀況和環(huán)境進(jìn)行檢查，找出其漏洞。精選ppt10.3風(fēng)險(xiǎn)的識(shí)別

之后，就要確定采用的控制措施，并根據(jù)這些控制措施對(duì)限制攻擊所造成的可能損失，來評(píng)估控制。風(fēng)險(xiǎn)識(shí)別的過程從機(jī)構(gòu)信息資產(chǎn)的識(shí)別和評(píng)估其價(jià)值開始。精選ppt10.3.1信息資產(chǎn)的識(shí)別

風(fēng)險(xiǎn)識(shí)別過程是從資產(chǎn)的識(shí)別開始的，它包括機(jī)構(gòu)系統(tǒng)的所有要素：人員、過程、數(shù)據(jù)及信息、軟件、硬件和網(wǎng)絡(luò)，然后對(duì)資產(chǎn)進(jìn)行分析和歸類，在進(jìn)行深入分析的過程中添加細(xì)節(jié)。1．人員、過程及數(shù)據(jù)資產(chǎn)的識(shí)別人力資源、文件資料及數(shù)據(jù)信息的識(shí)別比確定軟、硬件資產(chǎn)更困難。這個(gè)任務(wù)應(yīng)由具有知識(shí)、經(jīng)驗(yàn)及判斷力的人員來完成。精選ppt10.3.1信息資產(chǎn)的識(shí)別

在決定屬于哪一個(gè)信息資產(chǎn)時(shí)，需要考慮下列資產(chǎn)屬性：（1）人員：位置名稱/號(hào)碼；管理人；安全檢查級(jí)別；特殊能力。（2）過程：說明；意圖；與軟件、硬件及網(wǎng)絡(luò)元素的關(guān)系；引用的存儲(chǔ)位置；更新的存儲(chǔ)位置。（3）數(shù)據(jù)：分類；所有者、創(chuàng)建者及管理者；使用的數(shù)據(jù)結(jié)構(gòu)；數(shù)據(jù)結(jié)構(gòu)的大小；在線與否；位置；使用的備份過程。精選ppt10.3.1信息資產(chǎn)的識(shí)別

2．硬件、軟件和網(wǎng)絡(luò)資產(chǎn)的識(shí)別應(yīng)該跟蹤每個(gè)信息資產(chǎn)，了解哪些屬性取決于機(jī)構(gòu)需求及其風(fēng)險(xiǎn)管理，以及信息安全管理和信息安全技術(shù)團(tuán)隊(duì)的優(yōu)先權(quán)和需求。決定跟蹤哪一種信息資產(chǎn)時(shí)，需要考慮名稱、IP地址、MAC地址、序列號(hào)、制造商名稱、軟件版本等資產(chǎn)屬性。精選ppt10.3.2信息資產(chǎn)的分類對(duì)信息資產(chǎn)進(jìn)行分類的目的是便于在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度。1．分類指導(dǎo)原則信息資產(chǎn)應(yīng)當(dāng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類。精選ppt10.3.2信息資產(chǎn)的分類信息分類的一個(gè)事例如下：《中華人民共和國(guó)保守國(guó)家秘密法》第九條將國(guó)家秘密的密級(jí)分為“絕密”、“機(jī)密”和“秘密”三級(jí)?！敖^密”是最重要的國(guó)家秘密，泄漏會(huì)使國(guó)家的安全和利益遭受特別嚴(yán)重的損害；“機(jī)密”是重要的國(guó)家秘密，泄漏會(huì)使國(guó)家的安全和利益遭受嚴(yán)重的損害；“秘密”是一般的國(guó)家秘密，泄漏會(huì)使國(guó)家的安全和利益遭受損害。精選ppt10.3.2信息資產(chǎn)的分類對(duì)于信息安全來說，信息資產(chǎn)的分類往往是按照級(jí)別進(jìn)行。保護(hù)級(jí)別可通過分析信息資產(chǎn)的保密性、完整性、可用性等安全屬性及其他要求進(jìn)行評(píng)估和確定。這些方面應(yīng)予以考慮，因?yàn)檫^多的分類會(huì)致使實(shí)施不必要的控制措施，從而導(dǎo)致成本的增加。精選ppt10.3.2信息資產(chǎn)的分類同時(shí)，在對(duì)信息資產(chǎn)進(jìn)行分類時(shí)，對(duì)于具有類似安全要求的資產(chǎn)可以一起進(jìn)行考慮，以便簡(jiǎn)化分類任務(wù)?？傊瑢?duì)信息資產(chǎn)進(jìn)行分類是確定如何對(duì)信息資產(chǎn)予以處理和保護(hù)的簡(jiǎn)便方法。精選ppt10.3.2信息資產(chǎn)的分類2．信息標(biāo)識(shí)與處置在對(duì)資產(chǎn)進(jìn)行科學(xué)合理的分類的同時(shí)，應(yīng)當(dāng)根據(jù)資產(chǎn)的分類機(jī)制建立并實(shí)施一組相應(yīng)的信息標(biāo)識(shí)和處置程序。如果系統(tǒng)輸出中包含了被分類為敏感或關(guān)鍵的信息，那么該輸出中就應(yīng)當(dāng)攜帶享用的分類標(biāo)識(shí)，以便及時(shí)進(jìn)行處理。這樣的項(xiàng)目包括打印報(bào)告、屏幕顯示、記錄介質(zhì)（例如磁帶、磁盤、CD）、電子消息和文件傳送等。精選ppt10.3.2信息資產(chǎn)的分類分類信息的標(biāo)識(shí)和安全處理是信息共享的一個(gè)關(guān)鍵要求。物理標(biāo)識(shí)是常用的標(biāo)識(shí)形式，然而，某些信息資產(chǎn)（諸如電子形式的文件等）不能進(jìn)行物理標(biāo)識(shí)，此時(shí)就需要使用電子標(biāo)識(shí)手段。如打印報(bào)告可采用蓋章的方式進(jìn)行標(biāo)識(shí)，記錄的媒介可采用實(shí)物標(biāo)簽的形式進(jìn)行標(biāo)識(shí)，屏幕顯示則采用電子形式標(biāo)識(shí)。精選ppt10.3.2信息資產(chǎn)的分類3．資產(chǎn)分類方法表10-1所示是標(biāo)準(zhǔn)信息系統(tǒng)的組成與結(jié)合了風(fēng)險(xiǎn)管理和SecSDLC（TheSecuritySystemsDevelopmentLifeCycle，安全系統(tǒng)的開發(fā)生命周期）方法的改進(jìn)系統(tǒng)的組成。一些機(jī)構(gòu)還可以將所列的類進(jìn)一步細(xì)分。例如，因特網(wǎng)組件再細(xì)分為服務(wù)器、網(wǎng)絡(luò)設(shè)備（路由器、集線器、交換機(jī)）、保護(hù)設(shè)備（防火墻、代理服務(wù)器）以及電纜。精選ppt傳統(tǒng)的系統(tǒng)組成SecSDLC及管理系統(tǒng)的組成人員員工信任的員工其他員工非員工信任機(jī)構(gòu)的人員陌生人過程過程IT及商業(yè)標(biāo)準(zhǔn)構(gòu)成IT及商業(yè)敏感過程數(shù)據(jù)信息傳輸處理存儲(chǔ)軟件軟件應(yīng)用程序操作系統(tǒng)安全組件精選ppt硬件系統(tǒng)設(shè)備及外設(shè)系統(tǒng)及外設(shè)安全設(shè)備網(wǎng)絡(luò)組件內(nèi)部連網(wǎng)組件因特網(wǎng)或DMZ組件表10-1信息系統(tǒng)的組成分類精選ppt10.3.2信息資產(chǎn)的分類許多機(jī)構(gòu)已建立了數(shù)據(jù)分類模式。這種分類的例子如機(jī)密數(shù)據(jù)、內(nèi)部數(shù)據(jù)和公共數(shù)據(jù)。非正規(guī)的機(jī)構(gòu)必須組織建立一個(gè)便于使用的數(shù)據(jù)分類模型。數(shù)據(jù)分類模型的另一個(gè)方面是人員安全調(diào)查結(jié)構(gòu)，根據(jù)每個(gè)人需要了解信息的多少，來確定授予給他查看的信息等級(jí)。精選ppt10.3.2信息資產(chǎn)的分類分類必須全面、互斥，全面意味著所有的信息資產(chǎn)必須對(duì)應(yīng)各部門的資產(chǎn)清單，互斥意味著一份信息資產(chǎn)應(yīng)該只對(duì)應(yīng)一個(gè)種類。例如，假定機(jī)構(gòu)擁有公鑰基礎(chǔ)結(jié)構(gòu)認(rèn)證授權(quán)，這是一個(gè)提供密鑰管理服務(wù)的軟件應(yīng)用程序，通過一個(gè)完全的技術(shù)標(biāo)準(zhǔn)，分析人員可以在表10-1中把認(rèn)證授權(quán)歸類為軟件，在軟件一類中再歸類為應(yīng)用程序或安全組件。精選ppt10.3.3信息資產(chǎn)評(píng)估

在對(duì)機(jī)構(gòu)的每一項(xiàng)資產(chǎn)歸類時(shí)，應(yīng)提出一些問題，來確定用于信息資產(chǎn)評(píng)估或者影響評(píng)估的權(quán)重標(biāo)準(zhǔn)。當(dāng)提出和回答每個(gè)問題時(shí)，應(yīng)該準(zhǔn)備一個(gè)工作表，記錄答案，用于以后的分析。在開始清單處理過程之前，應(yīng)確定一些評(píng)估信息資產(chǎn)價(jià)值的最佳標(biāo)準(zhǔn)，要考慮的標(biāo)準(zhǔn)如下：精選ppt10.3.3信息資產(chǎn)評(píng)估（1）哪一項(xiàng)信息資產(chǎn)對(duì)于成功是最關(guān)鍵的？當(dāng)決定每一項(xiàng)資產(chǎn)的相對(duì)重要性時(shí)，應(yīng)參考機(jī)構(gòu)的任務(wù)陳述或者目標(biāo)陳述。根據(jù)這些陳述，確定何種要素對(duì)于實(shí)現(xiàn)的目標(biāo)是必不可少的，哪個(gè)要素支持目標(biāo)，哪個(gè)要素僅僅是附屬的。精選ppt10.3.3信息資產(chǎn)評(píng)估（2）哪一項(xiàng)信息資產(chǎn)創(chuàng)造的收效最多？可以根據(jù)某一項(xiàng)資產(chǎn)來評(píng)估機(jī)構(gòu)的收益，從而決定哪一項(xiàng)信息資產(chǎn)是重要的。（3）哪一項(xiàng)資產(chǎn)的獲利最多？應(yīng)該根據(jù)某項(xiàng)資產(chǎn)來評(píng)估機(jī)構(gòu)獲利的多少。（4）哪一項(xiàng)信息資產(chǎn)在替換時(shí)最昂貴？有時(shí)一項(xiàng)信息資產(chǎn)擁有特殊的價(jià)值，因?yàn)樗俏ㄒ坏?。?）哪一項(xiàng)信息資產(chǎn)的保護(hù)費(fèi)用最高？在這個(gè)問題中，應(yīng)該思考提供控制的成本，一些資產(chǎn)本身是很難保護(hù)的。精選ppt10.3.3信息資產(chǎn)評(píng)估（6）哪一項(xiàng)信息資產(chǎn)是最麻煩的，或者泄露后麻煩最大。完成列出和評(píng)估價(jià)值的過程后，就可以使用一個(gè)簡(jiǎn)單的過程，來計(jì)算每項(xiàng)資產(chǎn)的相對(duì)重要性，這個(gè)過程稱為權(quán)重因子分析。精選ppt10.3.4威脅識(shí)別

對(duì)機(jī)構(gòu)的信息資產(chǎn)進(jìn)行識(shí)別和初步分類后，就要分析機(jī)構(gòu)所面臨的威脅。如果假定每種威脅能夠并且即將攻擊每項(xiàng)信息資產(chǎn)，方案就會(huì)變得非常復(fù)雜。常見的信息安全威脅如表10-2所示。精選ppt威脅實(shí)例1．人為過失或失敗行為意外事故、員工過失2．侵害知識(shí)產(chǎn)權(quán)盜版、版權(quán)侵害3．間諜或蓄意入侵行為未授權(quán)訪問和收集數(shù)據(jù)4．蓄意信息敲詐行為以泄露信息為要挾進(jìn)行勒索5．蓄意破壞行為破壞系統(tǒng)或信息6．蓄意竊取行為非法使用硬設(shè)備或信息表10-2信息安全的威脅精選ppt7．蓄意軟件攻擊病毒、蠕蟲、宏、拒絕服務(wù)8．自然災(zāi)害火災(zāi)、水災(zāi)、地震、閃電9．服務(wù)提供商的服務(wù)質(zhì)量差電源及WAN服務(wù)問題10．技術(shù)硬件故障或錯(cuò)誤設(shè)備故障11．技術(shù)軟件故障或錯(cuò)誤漏洞、代碼問題、未知漏洞12．技術(shù)淘汰陳舊或過時(shí)的技術(shù)精選ppt10.3.4威脅識(shí)別

必須檢查上表中的每一種威脅，評(píng)估它對(duì)機(jī)構(gòu)的潛在危害，這種檢查稱為威脅評(píng)估。可以針對(duì)每種威脅提出幾個(gè)基本問題，例如：（1）在給定的環(huán)境下，那一種威脅對(duì)機(jī)構(gòu)的資產(chǎn)而言是最危險(xiǎn)的？（2）那一種威脅對(duì)機(jī)構(gòu)的信息而言是最危險(xiǎn)的？（3）從成功的攻擊中恢復(fù)需要多少費(fèi)用？（4）防范哪一種威脅的花費(fèi)最大？精選ppt10.3.4威脅識(shí)別

通過提問并回答上面的問題，可為威脅評(píng)估建立一個(gè)框架。如果機(jī)構(gòu)有明確的方針或政策，它們會(huì)影響整個(gè)過程，并提出額外的問題。上述問題列表容易擴(kuò)展，以包含其他問題。精選ppt

10.3.5安全調(diào)查數(shù)據(jù)分類方案的另一個(gè)方面指的是個(gè)人安全調(diào)查機(jī)構(gòu)。在需要安全調(diào)查的機(jī)構(gòu)中，必須給每個(gè)數(shù)據(jù)用戶分配一個(gè)單一的授權(quán)等級(jí)。說明他們授權(quán)訪問的分類等級(jí)。這通常給每個(gè)員工分配一個(gè)指定的角色，比如數(shù)據(jù)記錄員，程序員、信息安全分析員等。精選ppt10.3.6分類數(shù)據(jù)的管理分類數(shù)據(jù)的管理分類數(shù)據(jù)的管理包括這些數(shù)據(jù)的存儲(chǔ)、分布移植及銷毀。另外每個(gè)分類的文件應(yīng)該在每頁(yè)的頂部和底部包含適當(dāng)?shù)臉?biāo)記存儲(chǔ)已分類的數(shù)據(jù)，只有授權(quán)的人才能訪問它。精選ppt

10.3.7漏洞識(shí)別識(shí)別了機(jī)構(gòu)的信息資產(chǎn)，為評(píng)估它們所面對(duì)的威脅制定了一些標(biāo)準(zhǔn)后，要檢查每項(xiàng)信息資產(chǎn)所面對(duì)的威脅，并建立一個(gè)漏洞列表。什么是漏洞？它們是威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。精選ppt10.4風(fēng)險(xiǎn)評(píng)估

識(shí)別了機(jī)構(gòu)的信息資產(chǎn)及其威脅和漏洞后，就可以評(píng)估每個(gè)漏洞的相關(guān)風(fēng)險(xiǎn)了。這是通過風(fēng)險(xiǎn)評(píng)估過程來完成的。風(fēng)險(xiǎn)評(píng)估給每項(xiàng)信息資產(chǎn)分配一個(gè)風(fēng)險(xiǎn)等級(jí)或者分?jǐn)?shù)。此數(shù)字在絕對(duì)術(shù)語(yǔ)中沒有任何意義，但可用于評(píng)估每項(xiàng)易受攻擊的信息資產(chǎn)的相關(guān)風(fēng)險(xiǎn)。精選ppt

10.4.1風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)=出現(xiàn)漏洞的可能性×信息資產(chǎn)的價(jià)值-當(dāng)前控制減輕的風(fēng)險(xiǎn)幾率+對(duì)漏洞了解的不確定性。其中，出現(xiàn)漏洞的可能性是指成功攻擊機(jī)構(gòu)內(nèi)某個(gè)漏洞的概率。在風(fēng)險(xiǎn)評(píng)估中，要給成功攻擊漏洞的可能性指定一個(gè)數(shù)值?？梢赃x擇1-100的數(shù)值，但不能是0，因?yàn)槿绻?，就已經(jīng)從資產(chǎn)漏洞列表中刪除了。精選ppt10.4.2風(fēng)險(xiǎn)評(píng)估原則

信息安全風(fēng)險(xiǎn)評(píng)估原則包括如下四個(gè)方面。1.自主指由機(jī)構(gòu)內(nèi)部的人員來管理和指導(dǎo)信息安全風(fēng)險(xiǎn)評(píng)估。這些人負(fù)責(zé)指導(dǎo)風(fēng)險(xiǎn)管理活動(dòng)，并對(duì)安全工作做出決策。自主要求：（1）通過領(lǐng)導(dǎo)信息安全風(fēng)險(xiǎn)評(píng)估并對(duì)評(píng)估過程進(jìn)行管理，負(fù)責(zé)信息的安全。（2）最終對(duì)安全工作做出決策，包括實(shí)現(xiàn)哪些改進(jìn)和采取哪些行動(dòng)。精選ppt10.4.2風(fēng)險(xiǎn)評(píng)估原則

2．適應(yīng)度量一個(gè)靈活的評(píng)估過程可以適應(yīng)不斷變化的技術(shù)和進(jìn)展。因?yàn)樾畔踩托畔⒓夹g(shù)領(lǐng)域變革非常迅速，所以需要一個(gè)適應(yīng)性強(qiáng)的度量集，并據(jù)此進(jìn)行評(píng)估。適應(yīng)度量要求：（1）定義公認(rèn)的安全實(shí)踐、已知的威脅源和技術(shù)缺陷目錄。（2）能適應(yīng)信息目錄變化的評(píng)估過程。精選ppt10.4.2風(fēng)險(xiǎn)評(píng)估原則

3．已定義過程已定義的過程描述了信息安全評(píng)估程序依賴于已定義的標(biāo)準(zhǔn)化評(píng)估規(guī)程的需要。一個(gè)已定義的過程要求：（1）為執(zhí)行評(píng)估分配責(zé)任。（2）定義所有的評(píng)估活動(dòng)。（3）規(guī)定評(píng)估過程所需的所有工具、工作表和信息目錄。（4）為記錄評(píng)估結(jié)果創(chuàng)建通用的格式。精選ppt10.4.2風(fēng)險(xiǎn)評(píng)估原則

4．連續(xù)過程的基礎(chǔ)機(jī)構(gòu)必須實(shí)施基于實(shí)踐的安全策略和計(jì)劃，以逐漸改進(jìn)自身的安全狀態(tài)。通過實(shí)施這些基于實(shí)踐的解決方案，機(jī)構(gòu)就能夠開始將最佳的安全實(shí)踐制度化，使其成為日常開展業(yè)務(wù)的方法的一部分。精選ppt10.4.2風(fēng)險(xiǎn)評(píng)估原則安全改進(jìn)是一個(gè)連續(xù)的過程，信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果為連續(xù)的改進(jìn)奠定了基礎(chǔ)，這需要：（1）使用已定義的評(píng)估過程標(biāo)識(shí)出信息安全風(fēng)險(xiǎn)。（2）實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后的結(jié)果。（3）逐步培養(yǎng)管理信息安全風(fēng)險(xiǎn)的能力。（4）實(shí)施安全策略和計(jì)劃，使安全改進(jìn)結(jié)合基于實(shí)踐的方法。精選ppt10.4.3風(fēng)險(xiǎn)評(píng)估的步驟

風(fēng)險(xiǎn)評(píng)估的任務(wù)是識(shí)別組織所面臨的安全風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)控制的優(yōu)先等級(jí)，從而對(duì)其實(shí)施有效控制，將風(fēng)險(xiǎn)控制在組織可以接受的范圍之內(nèi)。1．風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素（1）信息資產(chǎn)及其價(jià)值；（2）對(duì)這些資產(chǎn)的威脅，以及它們發(fā)生的可能性；（3）脆弱性；（4）已有的安全控制措施。精選ppt10.4.3風(fēng)險(xiǎn)評(píng)估的步驟2．風(fēng)險(xiǎn)評(píng)估的基本步驟（1）按照組織業(yè)務(wù)運(yùn)作流程進(jìn)行資產(chǎn)識(shí)別，并根據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià)；（2）根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅評(píng)估；（3）對(duì)應(yīng)每一威脅，對(duì)資產(chǎn)或組織存在的脆弱性進(jìn)行評(píng)估；（4）對(duì)已采取的安全機(jī)制進(jìn)行識(shí)別和確認(rèn)；（5）建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則，確定風(fēng)險(xiǎn)的大小與等級(jí)。3．風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)考慮的問題在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，要充分考慮和正確區(qū)分資產(chǎn)、威脅與脆弱性之間的對(duì)應(yīng)關(guān)系，如圖10-3所示。精選ppt資產(chǎn)威脅A來源A1來源A2威脅B來源B1來源B2脆弱性A1脆弱性A2脆弱性B1………………脆弱性B2…………圖10-3資產(chǎn)、威脅與脆弱性的對(duì)應(yīng)關(guān)系精選ppt10.4.3風(fēng)險(xiǎn)評(píng)估的步驟

可以看出，資產(chǎn)、威脅與脆弱性之間的對(duì)應(yīng)關(guān)系包括：（1）一項(xiàng)資產(chǎn)可能存在多個(gè)威脅；（2）威脅的來源可能不只一個(gè)，應(yīng)從人員（包括內(nèi)部與外部）、環(huán)境（如自然災(zāi)害）、資產(chǎn)本身（如設(shè)備故障）等方面加以考慮；（3）每一個(gè)威脅可能利用一個(gè)或數(shù)個(gè)脆弱性。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

1．信息資產(chǎn)評(píng)估使用信息資產(chǎn)的識(shí)別過程中得到的信息，就可以為機(jī)構(gòu)中每項(xiàng)信息資產(chǎn)的價(jià)值指定權(quán)重分?jǐn)?shù)。根據(jù)機(jī)構(gòu)的需要，使用的數(shù)字可以不同。有的團(tuán)體使用1～10的權(quán)重分?jǐn)?shù)，或者用1、3和5代表低、中和高價(jià)值的資產(chǎn)。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程在信息系統(tǒng)中，采用精確的財(cái)務(wù)方式來給資產(chǎn)確定價(jià)值比較困難，一般采用定性分級(jí)的方式來建立資產(chǎn)的相對(duì)價(jià)值或重要度，這種定性分級(jí)可以參考如表10-3所示的方式進(jìn)行。精選ppt分級(jí)類型定性分級(jí)程度相對(duì)較粗的分級(jí)低、中、高詳細(xì)分級(jí)可忽略、低、中、高、非常高更詳細(xì)的分級(jí)（低）0、1、2、……、10（高）精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

2．威脅評(píng)估除了識(shí)別資產(chǎn)面臨的威脅后，還應(yīng)該評(píng)估威脅發(fā)生的可能性，確定威脅發(fā)生的可能性是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。組織應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的可能性受到下列因素的影響：·資產(chǎn)的吸引力；·資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度；·威脅的技術(shù)含量；·脆弱性被利用的難易程度。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

威脅發(fā)生的可能性的大小可以采取分級(jí)賦值的方法予以確定。例如，將可能性分為三個(gè)等級(jí)：非?？赡?3，大概可能=2，不太可能=1。威脅發(fā)生的可能性的大小與威脅發(fā)生的條件是密切相關(guān)的。例如，消防管理好的部門發(fā)生火災(zāi)的可能性要比消防管理差的部門發(fā)生火災(zāi)的可能性小。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

因此，上述根據(jù)經(jīng)驗(yàn)或統(tǒng)計(jì)獲得的威脅發(fā)生的可能性，可以是一個(gè)組織、相同行業(yè)或者社會(huì)的均值，對(duì)于具體環(huán)境中威脅發(fā)生的可能性，應(yīng)考慮具體資產(chǎn)的脆弱性予以修正。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

3．脆弱性評(píng)估接下來就要檢查每項(xiàng)信息資產(chǎn)所面臨的威脅，并且建立一個(gè)脆弱性列表。什么是脆弱性？它們是威脅代理能夠用來攻擊信息資產(chǎn)的特定途徑。它們是信息資產(chǎn)鐵甲中的裂縫——信息資產(chǎn)、安全程序、設(shè)計(jì)或控制中的瑕疵或缺點(diǎn)，可以無意或故意破壞安全。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

僅有威脅還構(gòu)不成風(fēng)險(xiǎn)。由于組織缺乏充分的安全控制，組織需要保護(hù)信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)，即脆弱性。這些弱點(diǎn)可能來自組織結(jié)構(gòu)、人員、管理、程序和資產(chǎn)本身的缺陷等，大體可以分為以下幾類。（1）技術(shù)脆弱性系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問題和變成漏洞等。（2）操作脆弱性軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習(xí)慣、審計(jì)或備份的缺乏等。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

（3）管理脆弱性策略、程序和規(guī)章制度等方面的弱點(diǎn)。識(shí)別脆弱性的途徑有很多，包括各種審計(jì)報(bào)告、事件報(bào)告、安全復(fù)查報(bào)告、系統(tǒng)測(cè)試及評(píng)估報(bào)告等，還可以利用專業(yè)機(jī)構(gòu)發(fā)布的信息。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

評(píng)估弱點(diǎn)時(shí)需要考慮兩個(gè)因素，一個(gè)是脆弱性的嚴(yán)重程度，另一個(gè)是脆弱性的暴露程度，即被威脅利用的可能性，這兩個(gè)因素也可以采用分級(jí)賦值的方法。例如對(duì)于脆弱性被威脅利用的可能性可以分級(jí)為：非常可能=4，很可能=3，可能=2，不太可能=1，不可能=0。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

4．現(xiàn)有安全控制的確認(rèn)在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點(diǎn)，就是組織現(xiàn)有的安全控制措施。在風(fēng)險(xiǎn)評(píng)估過程中，應(yīng)當(dāng)識(shí)別已有的（或已計(jì)劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對(duì)于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更合適的控制代替。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

安全控制的分類方式有多種，按照目標(biāo)和針對(duì)性可以分為：·管理性安全控制——對(duì)系統(tǒng)開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理等。·操作性安全控制——用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理，安全意識(shí)培訓(xùn)等。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

·技術(shù)性安全控制——身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)和加密等。按照功能安全控制又可以分為以下幾類：·威懾性安全控制——此類控制可以降低蓄意攻擊的可能性，實(shí)際上針對(duì)的是威脅源的動(dòng)機(jī)?！ゎA(yù)防性安全控制——此類控制可以保護(hù)脆弱性，使攻擊難以成功，或者降低攻擊造成的影響。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

·檢測(cè)性安全控制——此類控制可以檢測(cè)并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性安全控制?！ぜm正性安全控制——此類控制可以降低攻擊造成的影響。不同功能的安全控制應(yīng)對(duì)風(fēng)險(xiǎn)的情況如圖10-4所示。另外應(yīng)該注意，在風(fēng)險(xiǎn)評(píng)估之后選擇的安全控制與現(xiàn)有的和計(jì)劃的安全控制應(yīng)保持兼容和一致，以避免在實(shí)施過程中出現(xiàn)沖突。精選ppt威懾性安全控制預(yù)防性安全控制檢測(cè)性安全控制糾正性安全控制防止保護(hù)發(fā)現(xiàn)威脅脆弱性安全事件風(fēng)險(xiǎn)利用引發(fā)降低圖10-4安全控制應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

5．風(fēng)險(xiǎn)的評(píng)價(jià)所謂風(fēng)險(xiǎn)評(píng)價(jià)就是利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法或工具確定風(fēng)險(xiǎn)的大小與等級(jí)，對(duì)組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄漏、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測(cè)量的列表，以便識(shí)別與選擇適當(dāng)和正確的安全控制方式。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程在風(fēng)險(xiǎn)評(píng)價(jià)過程中，可以采用多種操作方法，包括基于知識(shí)的分析方法，基于模型的分析方法，定量分析和定性分析方法等。無論何種方法，共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距。下面通過簡(jiǎn)單的例子介紹風(fēng)險(xiǎn)評(píng)估結(jié)果的確定。精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程（1）風(fēng)險(xiǎn)的確定某組織機(jī)構(gòu)通過分析，得到：風(fēng)險(xiǎn)=出現(xiàn)漏洞的可能性×資產(chǎn)價(jià)值（或威脅造成的影響）-已控制風(fēng)險(xiǎn)的比例+不確定因素。如：信息資產(chǎn)A的價(jià)值是50，有1個(gè)漏洞，出現(xiàn)的可能性是1.0，當(dāng)前沒有控制風(fēng)險(xiǎn)，估計(jì)該假設(shè)和數(shù)據(jù)的準(zhǔn)確率為90%。則：資產(chǎn)A由于一個(gè)漏洞引起的風(fēng)險(xiǎn)等級(jí)=（50*1.0）-0%+10%=50.1精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程信息資產(chǎn)B的價(jià)值是100，有2個(gè)漏洞，其中一個(gè)出現(xiàn)的可能性是0.5，當(dāng)前已控制的風(fēng)險(xiǎn)比例是50%；另一個(gè)出現(xiàn)的可能性是0.1，當(dāng)前沒有控制風(fēng)險(xiǎn)。估計(jì)該假設(shè)和數(shù)據(jù)的準(zhǔn)確率為80%。則資產(chǎn)B由于兩個(gè)漏洞引起的風(fēng)險(xiǎn)等級(jí)分別是：（100*0.5）-50%+20%=49（100*0.1）-0%+20%=10.2精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程（2）記錄風(fēng)險(xiǎn)評(píng)估的結(jié)果在風(fēng)險(xiǎn)評(píng)估過程結(jié)束時(shí)，將得到一份很長(zhǎng)的信息資產(chǎn)列表，其中包含這些信息資產(chǎn)的各種數(shù)據(jù)。到目前為止，這個(gè)過程的目標(biāo)是識(shí)別機(jī)構(gòu)中存在脆弱性并面臨威脅的信息資產(chǎn)，并將它們列出來，依照最需要保護(hù)的順序劃出等級(jí)。最后的總結(jié)文件是風(fēng)險(xiǎn)等級(jí)表，如表10-4所示。精選ppt資產(chǎn)資產(chǎn)影響或相關(guān)價(jià)值漏洞（脆弱性）漏洞出現(xiàn)（脆弱性暴露）的可能性風(fēng)險(xiǎn)等級(jí)因子通過電子的客戶服務(wù)請(qǐng)求（輸入）55由于硬件故障而導(dǎo)致電子郵件中斷0.211通過SSL客戶訂單（輸入）100由于Web服務(wù)器硬件故障而導(dǎo)致訂單丟失0.110表10-4風(fēng)險(xiǎn)等級(jí)精選ppt通過SSL客戶訂單（輸入）100由于Web服務(wù)器或ISP服務(wù)故障而導(dǎo)致訂單丟失0.110通過電子的客戶服務(wù)請(qǐng)求（輸入）55由于SMTP郵件轉(zhuǎn)發(fā)攻擊而導(dǎo)致電子郵件中斷0.15.5通過電子的客戶服務(wù)請(qǐng)求（輸入）55由于ISP服務(wù)失敗而導(dǎo)致電子郵件中斷0.15.5通過SSL客戶訂單（輸入）100由于Web服務(wù)器拒絕服務(wù)攻擊而導(dǎo)致訂單丟失0.0252.5通過SSL客戶訂單（輸入）100由于Web服務(wù)器軟件故障而導(dǎo)致訂單丟失0.011精選ppt10.4.4風(fēng)險(xiǎn)評(píng)估的過程

上表中列出了每項(xiàng)易受攻擊的資產(chǎn)，顯示了權(quán)重因子分析表中此項(xiàng)資產(chǎn)的價(jià)值。在這個(gè)例子中，數(shù)字從1至100，并列出了每個(gè)不可控的漏洞及出現(xiàn)的可能性，且計(jì)算出風(fēng)險(xiǎn)等級(jí)因子。從表中可以看出，最大的風(fēng)險(xiǎn)來自易受攻擊的郵件服務(wù)器。盡管由客戶服務(wù)電子郵件所代表的信息資產(chǎn)的影響等級(jí)僅為5.5，但是硬件相對(duì)較高的故障率使它成為最緊迫的問題。精選ppt10.5風(fēng)險(xiǎn)控制通過風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估后，風(fēng)險(xiǎn)管理的下一步工作就是對(duì)風(fēng)險(xiǎn)實(shí)施安全控制，以確保風(fēng)險(xiǎn)被降低或消除。10.5.1風(fēng)險(xiǎn)控制策略機(jī)構(gòu)信息安全管理人員在進(jìn)行風(fēng)險(xiǎn)控制時(shí)，可以根據(jù)機(jī)構(gòu)的實(shí)際情況選擇如下4項(xiàng)基本策略，來控制風(fēng)險(xiǎn)。（1）避免——采取安全措施，消除或者減少漏洞的不可控制的殘留風(fēng)險(xiǎn)。（2）轉(zhuǎn)移——將風(fēng)險(xiǎn)轉(zhuǎn)移到其他區(qū)域，或者轉(zhuǎn)移到外部。精選ppt

10.5.1風(fēng)險(xiǎn)控制策略（3）緩解——減少漏洞產(chǎn)生的影響。（4）接受——對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程。1．避免避免是試圖防止脆弱性被利用的風(fēng)險(xiǎn)控制策略。這是一種首選方法，通過對(duì)抗威脅，排除資產(chǎn)中的漏洞，限制對(duì)資產(chǎn)的訪問，加強(qiáng)安全保護(hù)措施來實(shí)現(xiàn)。精選ppt10.5.1風(fēng)險(xiǎn)控制策略風(fēng)險(xiǎn)避免有3種常用的方法。（1）通過應(yīng)用政策來避免。這種方法允許管理人員頒布特定的后續(xù)步驟。例如，如果機(jī)構(gòu)需要更嚴(yán)格的控制密碼的使用，就應(yīng)該執(zhí)行一項(xiàng)政策，要求所有的IT系統(tǒng)都使用密碼。精選ppt10.5.1風(fēng)險(xiǎn)控制策略（2）教育培訓(xùn)。必須使員工了解政策。另外，新技術(shù)通常需要培訓(xùn)。如果希望員工的行為比較安全、有控制，認(rèn)識(shí)、培訓(xùn)以及教育就是必不可少的。精選ppt10.5.1風(fēng)險(xiǎn)控制策略（3）應(yīng)用技術(shù)。在信息安全中，通常需要技術(shù)解決方案來確保減少風(fēng)險(xiǎn)。如密碼可用于大多數(shù)現(xiàn)代的操作系統(tǒng)，但一些系統(tǒng)管理員可能沒有使用密碼。如果政策要求使用密碼，管理員也意識(shí)到它的必要性，并參加了培訓(xùn)，這個(gè)技術(shù)控制就會(huì)得到成功的使用。精選ppt10.5.1風(fēng)險(xiǎn)控制策略風(fēng)險(xiǎn)可以通過對(duì)抗資產(chǎn)面臨的威脅或者禁止暴露資產(chǎn)來避免。消除威脅是非常困難的，但有可能實(shí)現(xiàn)。避免威脅的另一個(gè)風(fēng)險(xiǎn)管理辦法是實(shí)現(xiàn)安全控制和防護(hù)，使針對(duì)系統(tǒng)的攻擊發(fā)生偏離，因此將攻擊成功的概率降到最小。精選ppt10.5.1風(fēng)險(xiǎn)控制策略2．轉(zhuǎn)移轉(zhuǎn)移是將風(fēng)險(xiǎn)轉(zhuǎn)移到其他資產(chǎn)、其他過程或其他機(jī)構(gòu)的控制方法。它可以通過重新考慮如何提供服務(wù)、修改部署模式、外包給其他機(jī)構(gòu)、購(gòu)買保險(xiǎn)或與提供商簽署服務(wù)合同來實(shí)現(xiàn)。精選ppt10.5.1風(fēng)險(xiǎn)控制策略優(yōu)秀機(jī)構(gòu)有8個(gè)特征，其中一個(gè)特征是“只管自己的事情”，對(duì)于了解的業(yè)務(wù)保持合理的關(guān)注度。它意味著，機(jī)構(gòu)并不把精力浪費(fèi)在開發(fā)網(wǎng)站的技術(shù)上，而是將精力和資源集中于其優(yōu)勢(shì)業(yè)務(wù)上，而其他的專業(yè)技術(shù)則依靠顧問或者承包商來完成。精選ppt10.5.1風(fēng)險(xiǎn)控制策略精明的機(jī)構(gòu)一般不管理自己的服務(wù)器，而是雇傭Web管理員、Web系統(tǒng)管理員和專業(yè)的安全專家，雇傭ISP或咨詢機(jī)構(gòu)，為他們提供這些產(chǎn)品和服務(wù)。精選ppt10.5.1風(fēng)險(xiǎn)控制策略這樣，機(jī)構(gòu)就可以將管理復(fù)雜系統(tǒng)的風(fēng)險(xiǎn)轉(zhuǎn)嫁給對(duì)處理這些風(fēng)險(xiǎn)有經(jīng)驗(yàn)的另一個(gè)機(jī)構(gòu)。但是外包并非不存在風(fēng)險(xiǎn)。信息資產(chǎn)的所有者、IT管理人員和信息安全組要保證外包合同中的災(zāi)難恢復(fù)要求足夠多，并在進(jìn)行恢復(fù)工作前得到滿足。精選ppt10.5.1風(fēng)險(xiǎn)控制策略3．緩解緩解是一種控制方法，它試圖通過規(guī)劃和預(yù)先的準(zhǔn)備工作，來減少漏洞造成的影響。這種方法包括3類計(jì)劃，事件響應(yīng)計(jì)劃（IRP）、災(zāi)難恢復(fù)計(jì)劃（DRP）和業(yè)務(wù)持續(xù)性計(jì)劃（BCP）。每種計(jì)劃都取決于盡快檢測(cè)和響應(yīng)攻擊的能力，依賴于其他計(jì)劃的建立和質(zhì)量。緩解起源于早期發(fā)現(xiàn)的攻擊和機(jī)構(gòu)快速、高效的響應(yīng)能力。緩解策略如表10-5所示。精選ppt計(jì)劃描述實(shí)例何時(shí)使用時(shí)間范圍事件響應(yīng)計(jì)劃（IRP）在事件（攻擊）進(jìn)行過程中機(jī)構(gòu)采取的行動(dòng)·災(zāi)難發(fā)生期間采取的措施·情報(bào)收集·信息分析當(dāng)事件或者災(zāi)難發(fā)生時(shí)立即并實(shí)時(shí)做出響應(yīng)表10-5緩解策略精選ppt災(zāi)難恢復(fù)計(jì)劃（DRP）發(fā)生災(zāi)難時(shí)的恢復(fù)準(zhǔn)備工作；災(zāi)難發(fā)生之前及過程中減少損失的策略；逐步恢復(fù)常態(tài)的具體指導(dǎo)·丟失數(shù)據(jù)的恢復(fù)過程·丟失服務(wù)的重建過程·結(jié)束過程來保護(hù)系統(tǒng)和數(shù)據(jù)在事件剛剛被確定為災(zāi)難后短期恢復(fù)業(yè)務(wù)持續(xù)性計(jì)劃（BCP）當(dāng)災(zāi)難的等級(jí)超過DRP的恢復(fù)能力時(shí)，確保全部業(yè)務(wù)繼續(xù)動(dòng)作的步驟·啟動(dòng)下級(jí)數(shù)據(jù)中心的準(zhǔn)備步驟·在遠(yuǎn)程服務(wù)位置建立熱站點(diǎn)在確定災(zāi)難影響了機(jī)構(gòu)的持續(xù)運(yùn)轉(zhuǎn)之后長(zhǎng)期恢復(fù)精選ppt10.5.1風(fēng)險(xiǎn)控制策略4．接受要使組織機(jī)構(gòu)的信息系統(tǒng)達(dá)到絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。組織在實(shí)施選擇的控制后，仍然會(huì)存在風(fēng)險(xiǎn)，稱之為殘留風(fēng)險(xiǎn)或剩余風(fēng)險(xiǎn)。甚至有些剩余風(fēng)險(xiǎn)