信息安全測(cè)評(píng)流程學(xué)習(xí)報(bào)告

信息安全測(cè)評(píng)的一般方法和流程一.信息安全評(píng)估的定義信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制定針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施以最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。信息安全風(fēng)險(xiǎn)評(píng)估在具體實(shí)施中一般包括風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)，對(duì)信息系統(tǒng)資產(chǎn)安全、面臨威、存在脆弱性的識(shí)別，對(duì)已經(jīng)采取安全措施的確認(rèn)，對(duì)可能存在的信息安全風(fēng)險(xiǎn)的識(shí)別等環(huán)節(jié)。二.信息安全評(píng)估的重要性在信息化建設(shè)中，各類應(yīng)用系統(tǒng)及其賴以運(yùn)用的基礎(chǔ)網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息是業(yè)務(wù)實(shí)現(xiàn)的保障，由于其可能存在軟硬件設(shè)備缺陷、系統(tǒng)集成缺陷等，以及信息安全管理中潛在的薄弱環(huán)節(jié)，都將導(dǎo)致不同程度的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)建設(shè)、運(yùn)行、管理中的安全隱患，并為增強(qiáng)安全性提供有效建議，以便采取更加經(jīng)濟(jì)、更加有力的安全保障措施，提高信息安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。三.信息安全評(píng)估的一般流程①分析前準(zhǔn)備：1）確定目標(biāo)：首先需要確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)，信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求，通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對(duì)信息安全等的機(jī)密性、可用性、完整性等方面的需求，來確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)。2）確定范圍：在風(fēng)險(xiǎn)評(píng)估前，需要確定風(fēng)險(xiǎn)評(píng)估的范圍。風(fēng)險(xiǎn)評(píng)估的范圍，包括組織內(nèi)部與信息處理相關(guān)的各類軟硬件資產(chǎn)、相關(guān)的管理機(jī)構(gòu)和人員、所處理的信息等各方面。實(shí)施一次風(fēng)險(xiǎn)評(píng)估的范圍可大可小，需要根據(jù)具體評(píng)估需求確定，可以對(duì)組織全部的信息系統(tǒng)進(jìn)行評(píng)估，也可以僅對(duì)關(guān)鍵業(yè)務(wù)流程進(jìn)行評(píng)估，也可以對(duì)組織的關(guān)鍵部門的信息系統(tǒng)進(jìn)行評(píng)估等。3）組建評(píng)估管理團(tuán)隊(duì)和評(píng)估實(shí)施團(tuán)隊(duì)：在確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍后，需要組建風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，具體執(zhí)行組織的風(fēng)險(xiǎn)評(píng)估。由于風(fēng)險(xiǎn)評(píng)估涉及組織管理、業(yè)務(wù)、信息資產(chǎn)等各個(gè)方面，因此風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)中除了信息安全評(píng)估人員的參與，以便更好地了解組織信息安全狀況，以利于風(fēng)險(xiǎn)評(píng)估的實(shí)施。4）進(jìn)行系統(tǒng)調(diào)研：在確定了風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)后，要進(jìn)行系統(tǒng)調(diào)研，并根據(jù)系統(tǒng)調(diào)研的結(jié)果決定評(píng)估將采用的評(píng)估方法等技術(shù)手段。系統(tǒng)調(diào)研內(nèi)容包括：.組織業(yè)務(wù)戰(zhàn)略.組織管理制度.組織主要業(yè)務(wù)功能和要求.網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境（包括內(nèi)部連接和外部連接）.網(wǎng)絡(luò)系統(tǒng)邊界.主要的硬、軟件.數(shù)據(jù)和信息.系統(tǒng)和數(shù)據(jù)的敏感性.系統(tǒng)使用人員.其他系統(tǒng)調(diào)研方法可以采用問卷調(diào)查、現(xiàn)場(chǎng)訪談等方法進(jìn)行。確定評(píng)估依據(jù)和方法：以系統(tǒng)調(diào)研結(jié)果為依據(jù)，根據(jù)被評(píng)估信息系統(tǒng)的具體情況，確定風(fēng)險(xiǎn)評(píng)估依據(jù)和方法。評(píng)估依據(jù)包括吸納有國(guó)際或國(guó)家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的安全要求、組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求等。根據(jù)評(píng)估依據(jù)，并綜合考慮評(píng)估的目的、范圍時(shí)間效果評(píng)估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)組織業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的評(píng)估判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。獲得支持：就以上內(nèi)容形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，并報(bào)組織最高管理者批準(zhǔn)，以獲得其對(duì)風(fēng)險(xiǎn)評(píng)估方案的支持，同時(shí)在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容對(duì)管理者和技術(shù)人員進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。②資產(chǎn)分析：資產(chǎn)分類：風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別，因?yàn)閮r(jià)值不同將導(dǎo)致風(fēng)險(xiǎn)值不同。而風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是以資產(chǎn)的機(jī)密性、完整性、和可用性三個(gè)方面屬性為基礎(chǔ)進(jìn)行衡量。資產(chǎn)在機(jī)密性、完整性和可用性三個(gè)屬性上的要求不同，則資產(chǎn)的最終價(jià)值也不同。在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同。首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可以將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。以下介紹兩種資產(chǎn)分類方式：

分類示 例蝴保存在信息媒介上的各種數(shù)據(jù)資料.;包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手則等軟件系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)句包、工具軟件、各種庫(kù)等應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享的源代碼、自行曷合作開發(fā)的各種源代碼等硬件網(wǎng)絡(luò)設(shè)備路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：連機(jī)、力理機(jī)、服咯器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、硬盤等解陡路粉、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（BS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測(cè)家統(tǒng)、身份驗(yàn)證等其他：打印機(jī)、復(fù)印件、掃描儀、傳真機(jī)等分類示， 例服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管鋰信息系統(tǒng)（MIS）包括各種內(nèi)部配置管理文件文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提腳的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依賴該系統(tǒng)開展的首類服務(wù)..紙質(zhì)的各種文件如俵真電報(bào)財(cái)務(wù)報(bào)告發(fā)展計(jì)劃等 掌握重要信，就口核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等（1）方法

軟盤終專髓理軟件證照光纖網(wǎng)絡(luò)把A.畫里欽苴它實(shí)體信息四維主血螂耦藜軟件由電主HUB門輦管倬物牛同域纜管I熊息系統(tǒng)口星線格工TR眸■管］里至綠門輦東蟒網(wǎng)絡(luò)管倬鎏克監(jiān)悴率縊手機(jī)管倬裹克施警案縊存儲(chǔ)管伸裱克打制.苴它應(yīng)用鎏克復(fù)8時(shí)1蛛證吊為描位固化產(chǎn)品軟件模住直機(jī)碎紙機(jī)(2)分類方式二釧錄機(jī)大屏萼 空氣晶化器

（3）分類方式二2）資產(chǎn)賦值：對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況，即資產(chǎn)的機(jī)密性、完整性和可用性，對(duì)組織信息安全性的影響程度。資產(chǎn)賦值的過程也就是對(duì)資產(chǎn)在機(jī)密性，完整性和可用性上的要求進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。資產(chǎn)對(duì)機(jī)密性、完整性和可用性上的要求可由安全屬性缺失時(shí)造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額、組織形象的損失。資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出。綜合評(píng)定方法可以選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。賦值標(biāo)識(shí)定 義5很高包含組織最重妻的秘密，關(guān)系未來發(fā)展的前途命運(yùn),對(duì)組織根本利盞有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益受到嚴(yán)重?fù)p置3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害!2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴(kuò)散有可露對(duì)組織利益造成輕微損害1很低可對(duì)社會(huì)公開的信息、公用的信息處理設(shè)備和系統(tǒng)資源等（3）資產(chǎn)機(jī)密性賦值標(biāo)識(shí)定 義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的戢無法接受的影響，對(duì)業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷，損失難以彌補(bǔ)4高完整性價(jià)值較高;未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，扳失難以彌補(bǔ)3中等完整性價(jià)值中等;未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但損失可以彌補(bǔ)2低完整性價(jià)值較低;未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)'務(wù)沖擊輕微，但損失容易彌補(bǔ)1很低完整性價(jià)值非常，氐，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略（4）資產(chǎn)完整性

賦值標(biāo)識(shí)定 義5很高可用性價(jià)值非常局￡合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，譽(yù)法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘3中等可用性價(jià)值中等，食法使用者對(duì)信息及信息系統(tǒng)的可用度在正常二作時(shí)亙達(dá)到二。“。以上,或系統(tǒng)允許中斷時(shí)亙小于30分鐘2低可用性價(jià)值較低，告法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間總到25%以上，或系統(tǒng)允許中斷時(shí)間小于60分鐘1很低可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%(5)資產(chǎn)可用性賦值標(biāo)識(shí)定 義5很號(hào)?非常重要，其安全j國(guó)性破壞后可能又框且織造成三度嚴(yán)重的損失4高重要，其安全屬性彳破壞后可能對(duì)組織造成上俄嚴(yán)重的損失i中等-比較重要，其安至工,性破壞后可能義夠且織造成中霸度的損失.2低不太重要，其安全」國(guó)性破壞后可能又施且織造瞬嘯的損失1很低不重要，其安全屬，忽略不計(jì)生破壞后可能艱且織造成很，用損失甚至(6)資產(chǎn)重要性③威脅分析：1)威脅分類：信息安全威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗力的因素和其他物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，也可能是偶發(fā)的或蓄意的安全事件，都會(huì)在信息的機(jī)密性、完整性或可用性等方面造成損害。在對(duì)威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。以下是更據(jù)威脅的來源對(duì)威脅分類的方法。

來源描 述環(huán)境因素由于斷電、靜電、灰2災(zāi)、火災(zāi)、地震等環(huán)方件數(shù)據(jù)、通信線品轉(zhuǎn)了黑潮濕、溫度、黜支蟲害、電磁干擾、洪百條件、自然災(zāi)害、意外事故以及軟件、硬亍面的故障所帶來的威脅A為威脅?…惡"…因某種原因，內(nèi)部彌..處勾結(jié)的方式盜竊機(jī)尾外部人員利用信息系今性和可用性進(jìn)行破壞,置對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)至信息或進(jìn)行篡改，.…獲取利益 克的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整以獲取利益或炫耀能力非惡意/員內(nèi)部人員由于缺乏責(zé)工遵循規(guī)章制度和操作將缺乏培訓(xùn)、專業(yè)技故障或被攻擊E心，或者由于不關(guān)心和不專注，或者沒有謊而導(dǎo)致故障或信息損壞；內(nèi)部人員由于乂足、不具備崗位技要求而導(dǎo)致信息系統(tǒng)種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通信鏈路甫斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)加實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障、開發(fā)環(huán)境故障物理環(huán)境由于斷電、靜電、灰塵、潮濕、;溫度、影響鼠蚊蟲害、電磁干擾、洪災(zāi)、滅災(zāi)、地震等環(huán)境問題或自然災(zāi)害對(duì),統(tǒng)造成的影響無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，戲系統(tǒng)造成的影響維護(hù)錯(cuò)誤、操作失誤管理不至I位安全管理措施沒后落實(shí)，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行種類描述威脅子類惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件、蠕蟲、陷門等越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系名建己置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)、如偵察、密碼破譯、嗅探、偽造和欺騙T曉服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)嗅探（賬戶、口令、權(quán)限等）用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)那個(gè)運(yùn)行的控制和破壞物理攻擊通過物理接觸造成對(duì)軟件、硬柞、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊種類描述威脅子類齷信息泄露給不應(yīng)該了解的d員內(nèi)部信息泄露、外部信息泄露飄非法修改信息，破壞信息的完整性使系篡改網(wǎng)絡(luò)配置信息、系統(tǒng)酉屋信統(tǒng)的安全性降低或信息不可用息、安全配置信息、用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息峨不承認(rèn)U的信息和所作的操住和交易原發(fā)抵賴、接收抵賴、第三方抵賴2）威脅賦值：威脅出現(xiàn)的頻率是衡量威脅嚴(yán)重程度的重要要素，因此威脅識(shí)別后需要對(duì)威脅頻率進(jìn)行賦值，已帶入最后的風(fēng)險(xiǎn)計(jì)算中。評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來對(duì)威脅頻率進(jìn)行賦值，威脅賦值中需要綜合考慮以下三個(gè)方面因素。.以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì).實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；.近年來國(guó)際組織發(fā)布的對(duì)與整個(gè)社會(huì)或特定的行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警?？梢詫?duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。以下是一種威脅的分析形式。等級(jí)定 義5很高出現(xiàn)頻率很高（或能避免；或可以證三“1次，周）;或在大多數(shù)情蝦幾乎不可底至常發(fā)生過4高出現(xiàn)頻率較禺（或Ri次,月）；或在大多數(shù)情蝦很有可能會(huì)發(fā)生；或可以證實(shí)多次經(jīng)常發(fā)生過S中等-出現(xiàn)頻率中等F或生；或被證實(shí)曾經(jīng);三1次「半年廠「或在某種情況下可能會(huì)發(fā)…姓過2低出現(xiàn)頻率被??；或-T股不太可能發(fā)生；或沒有被證實(shí)發(fā)生過1很低威脅幾乎不可^^fe；僅可能在非常罕見和例外的情況F發(fā)生3）脆弱性識(shí)別：脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生進(jìn)而帶來?yè)p失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件下和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。不正確的，起不到應(yīng)有作用的或沒有正確實(shí)施安全措施本身就可能存在脆弱性。脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱的嚴(yán)重程度進(jìn)行評(píng)估，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。脆弱識(shí)別的依據(jù)可以是國(guó)際國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對(duì)應(yīng)用在不同的環(huán)境中的相同弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施例如，對(duì)物理環(huán)境的脆弱性識(shí)別可以參照GB/T9361-2000《計(jì)算機(jī)場(chǎng)地安全要求》中的技術(shù)指標(biāo)實(shí)施；對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)可以參照GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中的技術(shù)指標(biāo)實(shí)施管理脆弱性識(shí)別方面可以參照GB/T19716-2005《信息技術(shù)信息安全管理實(shí)用規(guī)則》的要求對(duì)安全管理制度及及執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。以下是一種脆弱性的識(shí)別方式。類鬟識(shí)別對(duì)象i識(shí)別內(nèi)容從機(jī)房場(chǎng)地J機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、物理環(huán)境機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)技房區(qū)域防護(hù)」機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別... 脆網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部訪問控制j策略、網(wǎng)絡(luò)設(shè)備安全策略等方面進(jìn)行弱識(shí)別性系統(tǒng)軟件從補(bǔ)丁安裝口物理保護(hù)、用戶賬號(hào)、口令策略、資（含操作源共享、事傳審查、訪問控制、新系統(tǒng)配置（初始系統(tǒng)及系化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)統(tǒng)服務(wù)）行識(shí)別類型識(shí)別對(duì)象:識(shí)別內(nèi)容技數(shù)據(jù)摩軟件從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和術(shù)服務(wù)設(shè)置、備份恢復(fù)機(jī)制等方面進(jìn)行識(shí)別脆應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別弱應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審語(yǔ)存儲(chǔ)、訪問控制列表策略、數(shù)據(jù)完整j十性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理技術(shù)管理從物理和環(huán)境安圣、通信與操作管理、訪問控制、系統(tǒng)脆弱開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別性組織管理從策略安全、組女安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別4）脆弱性賦值：可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重進(jìn)行賦值。由于很多弱點(diǎn)反映的是一方面的問題，或可能造成相似的后果，賦值時(shí)應(yīng)綜合考慮這些弱點(diǎn)，以確定這一方面脆弱性的嚴(yán)重程度。對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化管理，不同的等級(jí)分別代表資產(chǎn)脆弱性的嚴(yán)重程度高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。以下是一種脆弱性賦值的方式等級(jí)標(biāo)識(shí)定 義5很高如果被威脅利用,將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用,將對(duì)資產(chǎn)造成重大損害3中如果被威脅利用,將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用,將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用,將對(duì)資產(chǎn)造成的損害可以忽略④已有安全措施確認(rèn):安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。1）預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如:入侵檢測(cè)系統(tǒng)。2）保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行檢查，檢查安全措施是否有效發(fā)揮了作用，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)于已經(jīng)有效地發(fā)揮了其作用的安全措施，應(yīng)繼續(xù)保持，而不用重復(fù)建設(shè)安全措施。對(duì)于不適當(dāng)?shù)陌踩胧?，用?duì)其進(jìn)行改進(jìn)，或采用更合適的安全措施替代。已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。④風(fēng)險(xiǎn)分析：1)風(fēng)險(xiǎn)計(jì)算原理：風(fēng)險(xiǎn)定義為威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具進(jìn)行安全風(fēng)險(xiǎn)分析和計(jì)算，下面使用的范式形式化說明風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)值=R=(A,T,V)=R(L(T,V),F(Ia,Va))其中：R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)A表示資產(chǎn)(Asset)T表示威脅出現(xiàn)頻率(Threat)V表示脆弱性(Vulnerability)，Ia表示安全事件所作用的資產(chǎn)價(jià)值Va表示脆弱性嚴(yán)重程度，L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性F表示安全事件發(fā)生后產(chǎn)生的損失。2)在風(fēng)險(xiǎn)計(jì)算中有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：.計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)=(L,V)在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等)、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。.計(jì)算安全事件發(fā)生后的損失根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失，即：安全事件的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)=F(Ia,Va)部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。部分安全事件損失的判斷還應(yīng)參照安全事件發(fā)生的可能性的結(jié)果，對(duì)發(fā)生可能性極少的安全事件，如:處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計(jì)算其損失。.計(jì)算風(fēng)險(xiǎn)值根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R(安全事件發(fā)生的可能性，安全事件的損失)=R(L(T,V),F(Ia,Va))評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算出風(fēng)險(xiǎn)值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件發(fā)生的可能性與安全事件的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。3)風(fēng)險(xiǎn)結(jié)果判定：為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。可以將風(fēng)險(xiǎn)劃分為一定的級(jí)別，如劃分為5級(jí)或3級(jí)。等級(jí)越高，風(fēng)險(xiǎn)越高。評(píng)估者應(yīng)根據(jù)采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的危險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)等級(jí)劃分是為了在風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)進(jìn)行直觀的比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn)，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，是可接受的風(fēng)險(xiǎn)，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。5)風(fēng)險(xiǎn)處理計(jì)劃：對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確指出采取的彌補(bǔ)弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮，管理措施可以作為技術(shù)措施的補(bǔ)充。安全措施的選擇與實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。殘余風(fēng)險(xiǎn)的評(píng)估可以依據(jù)本標(biāo)準(zhǔn)提出的風(fēng)險(xiǎn)評(píng)估流程實(shí)施，也可以適當(dāng)裁減。一般來說，安全措施的實(shí)施是以減少脆弱性或降低安全事件發(fā)生可能性為目標(biāo)的，因此，殘余風(fēng)險(xiǎn)的評(píng)估可以從脆弱性評(píng)估開始，在對(duì)照安全措施實(shí)施前后的脆弱性狀況后，再次計(jì)算風(fēng)險(xiǎn)值的大小。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。6）風(fēng)險(xiǎn)評(píng)估文件記錄：記錄風(fēng)險(xiǎn)評(píng)估過程中的相關(guān)文件，應(yīng)符合以下要求（但不僅限于此）：.確保文件發(fā)布前是得到批準(zhǔn)的；.確保文件的更改和現(xiàn)行修訂狀態(tài)是可識(shí)別的；.確保文件的分發(fā)得到適當(dāng)?shù)目刂疲⒋_保在使用時(shí)可獲得有關(guān)版本的使用文件；.防止作廢文件的非預(yù)期使用，若因某種目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。對(duì)于風(fēng)險(xiǎn)評(píng)估過程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文件是否需要以及文件的詳略程度與組織的管理者來決定。7）風(fēng)險(xiǎn)評(píng)估文件：是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔，包括（但不僅限于此）：（1）風(fēng)險(xiǎn)評(píng)估方案：闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、人員、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等。（2）風(fēng)險(xiǎn)評(píng)估程序：明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文件要求，以及實(shí)施本次評(píng)估所需的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)。（3）資產(chǎn)識(shí)別清單：根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，明確資產(chǎn)是責(zé)任人/部門。（4）重要資產(chǎn)清單 根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等。（5）威脅列表根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動(dòng)機(jī)及出現(xiàn)的頻率等（6）脆弱性列表 根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括具體弱點(diǎn)的名稱、描述、類型及嚴(yán)重程度等。（7）已有安全措施的確認(rèn)表根據(jù)對(duì)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等。（8）風(fēng)險(xiǎn)評(píng)估報(bào)告對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果、風(fēng)險(xiǎn)計(jì)劃、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容。（9）風(fēng)險(xiǎn)處理計(jì)劃對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對(duì)殘余風(fēng)險(xiǎn)的評(píng)估以確定所選擇安全措施的有效性。（10）風(fēng)險(xiǎn)評(píng)估記錄根據(jù)風(fēng)險(xiǎn)評(píng)估程序，要求風(fēng)險(xiǎn)評(píng)估過程中的各種現(xiàn)場(chǎng)記錄可復(fù)現(xiàn)評(píng)估過程，并作為產(chǎn)生歧義后解決問題的依據(jù)。四.信息安全測(cè)評(píng)使用的一些工具①信息安全評(píng)估系統(tǒng)1)COBRA1991年，英國(guó)C&ASystemSecurity公司推出了一套風(fēng)險(xiǎn)分析工具軟件(Consultative,ObjectiveandBi-fiinctionalRiskAnalysis,COBRA),用于信息安全風(fēng)險(xiǎn)評(píng)估，它由一系列風(fēng)險(xiǎn)分析、咨詢和安全評(píng)價(jià)工具組成，是一個(gè)基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具，它改變了傳統(tǒng)的風(fēng)險(xiǎn)管理方法，提供了一套完整的風(fēng)險(xiǎn)分析服務(wù)，并兼容諸多風(fēng)險(xiǎn)評(píng)估方法。COBRA通過問卷方式來采集和分析數(shù)據(jù)，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析.最終的評(píng)估報(bào)告中包含己識(shí)別風(fēng)險(xiǎn)的水平和推薦措施，因此，它可以被看做一個(gè)基于專家系統(tǒng)和擴(kuò)展知識(shí)庫(kù)的問卷系統(tǒng)。此外，COBRA還支持基于知識(shí)的評(píng)估方法，可以將組織的安全現(xiàn)狀與iso17799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施，對(duì)每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值(或風(fēng)險(xiǎn)等級(jí))。COBRA由三部分組成，問卷構(gòu)建器，風(fēng)險(xiǎn)測(cè)量器和結(jié)果產(chǎn)生器，他本質(zhì)上是一種定性的風(fēng)險(xiǎn)評(píng)估工具，系統(tǒng)知識(shí)庫(kù)模塊化是他的一個(gè)主要特征，其工作機(jī)理如下圖所示。COBRA評(píng)估過程COBRA風(fēng)險(xiǎn)評(píng)估過程主要包括三個(gè)步驟：(1)問題表構(gòu)建：通過知識(shí)庫(kù)模塊來構(gòu)建向題表，采用手動(dòng)或自動(dòng)方式從各個(gè)模塊中選擇所需的問題，構(gòu)建針對(duì)具體組織風(fēng)險(xiǎn)評(píng)估的問題表。(2)風(fēng)險(xiǎn)評(píng)估：通過填寫問題表來實(shí)現(xiàn)整個(gè)風(fēng)險(xiǎn)評(píng)估過程；問題表的不同模塊由系統(tǒng)的不同人員來完成，各個(gè)模塊可以不同時(shí)完成，但最終的評(píng)估結(jié)果是在完成全部問題表的基礎(chǔ)上形成的。(3)報(bào)告生成：根據(jù)問題表的答案生成風(fēng)險(xiǎn)評(píng)估報(bào)告，報(bào)告內(nèi)容包括:風(fēng)