v2-第5章--信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程---副本

1、第5章 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程,5.1 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 5.2 資產(chǎn)識(shí)別 5.3 脆弱性識(shí)別 5.4 已有安全措施確認(rèn)5.5 風(fēng)險(xiǎn)分析5.6 風(fēng)險(xiǎn)處理計(jì)劃5.7 風(fēng)險(xiǎn)評(píng)估文件記錄5.8 本章作業(yè),信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施流程 信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，為防范和化

2、解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制定針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施以最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。,,在信息化建設(shè)中，各類應(yīng)用系統(tǒng)及其賴以運(yùn)用的基礎(chǔ)網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息是業(yè)務(wù)實(shí)現(xiàn)的保障，由于其可能存在軟硬件設(shè)備缺陷、系統(tǒng)集成缺陷等，以及信息安全管理中潛在的薄弱環(huán)節(jié)，都將導(dǎo)致不同程度的安全風(fēng)險(xiǎn)。,,信息安全風(fēng)險(xiǎn)評(píng)估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)建設(shè)、運(yùn)行、管理中的安全隱患，并為增強(qiáng)安全性提供有效建議，以

3、便采取更加經(jīng)濟(jì)、更加有力的安全保障措施，提高信息安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。 信息安全風(fēng)險(xiǎn)評(píng)估在具體實(shí)施中一般包括風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)，對(duì)信息系統(tǒng)資產(chǎn)安全、面臨威、存在脆弱性的識(shí)別，對(duì)已經(jīng)采取安全措施的確認(rèn)，對(duì)可能存在的信息安全風(fēng)險(xiǎn)的識(shí)別等環(huán)節(jié)。,,5.1 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是實(shí)施風(fēng)險(xiǎn)評(píng)估的前提，只有有效地進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備，才能更好

4、地開展信息安全風(fēng)險(xiǎn)評(píng)估。由于實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估，涉及組織的業(yè)務(wù)流程、信息安全需求、信息系統(tǒng)規(guī)模、信息系統(tǒng)結(jié)構(gòu)等多方面內(nèi)容，因此開展信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)，通過確定目標(biāo)、進(jìn)行調(diào)研、獲得組織高層管理者對(duì)評(píng)估的支持等，對(duì)有效實(shí)施風(fēng)險(xiǎn)評(píng)估是十分必要的。,,信息安全評(píng)估的準(zhǔn)備活動(dòng)包括 1. 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo) 2. 確定風(fēng)險(xiǎn)評(píng)估的范圍 3. 組建風(fēng)險(xiǎn)評(píng)估管理團(tuán)隊(duì)和評(píng)估實(shí)施團(tuán)隊(duì) 4. 進(jìn)行系統(tǒng)

5、調(diào)研 5. 確定評(píng)估依據(jù)和方法 6. 獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持,,5.1.1 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo) 首先需要確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)，信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求，通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對(duì)信息安全等的機(jī)密性、可用性、完整性等方面的需求，來確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)。,,5.1.2 確定風(fēng)險(xiǎn)評(píng)估的范圍 在風(fēng)

6、險(xiǎn)評(píng)估前，需要確定風(fēng)險(xiǎn)評(píng)估的范圍。風(fēng)險(xiǎn)評(píng)估的范圍，包括組織內(nèi)部與信息處理相關(guān)的各類軟硬件資產(chǎn)、相關(guān)的管理機(jī)構(gòu)和人員、所處理的信息等各方面。 實(shí)施一次風(fēng)險(xiǎn)評(píng)估的范圍可大可小，需要根據(jù)具體評(píng)估需求確定，可以對(duì)組織全部的信息系統(tǒng)進(jìn)行評(píng)估，也可以僅對(duì)關(guān)鍵業(yè)務(wù)流程進(jìn)行評(píng)估，也可以對(duì)組織的關(guān)鍵部門的信息系統(tǒng)進(jìn)行評(píng)估等。,,5.1.3 組建評(píng)估管理團(tuán)隊(duì)和評(píng)估實(shí)施團(tuán)隊(duì) 在確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍后，需要組建風(fēng)險(xiǎn)評(píng)估

7、實(shí)施團(tuán)隊(duì)，具體執(zhí)行組織的風(fēng)險(xiǎn)評(píng)估。由于風(fēng)險(xiǎn)評(píng)估涉及組織管理、業(yè)務(wù)、信息資產(chǎn)等各個(gè)方面，因此風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)中除了信息安全評(píng)估人員的參與，以便更好地了解組織信息安全狀況，以利于風(fēng)險(xiǎn)評(píng)估的實(shí)施。,,5.1.4 進(jìn)行系統(tǒng)調(diào)研 在確定了風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)后，要進(jìn)行系統(tǒng)調(diào)研，并根據(jù)系統(tǒng)調(diào)研的結(jié)果決定評(píng)估將采用的評(píng)估方法等技術(shù)手段。系統(tǒng)調(diào)研內(nèi)容包括：,,1. 組織業(yè)務(wù)戰(zhàn)略2. 組織管理制度3.

8、 組織主要業(yè)務(wù)功能和要求4. 網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境（包括內(nèi)部連接和外部連接）5. 網(wǎng)絡(luò)系統(tǒng)邊界6. 主要的硬、軟件7. 數(shù)據(jù)和信息8. 系統(tǒng)和數(shù)據(jù)的敏感性9. 系統(tǒng)使用人員10. 其他系統(tǒng)調(diào)研方法可以采用問卷調(diào)查、現(xiàn)場(chǎng)訪談等方法進(jìn)行。,,5.1.5 確定評(píng)估依據(jù)和方法 以系統(tǒng)調(diào)研結(jié)果為依據(jù)，根據(jù)被評(píng)估信息系統(tǒng)的具體情況，確定風(fēng)險(xiǎn)評(píng)估依據(jù)和方法。 評(píng)估依據(jù)包括吸

9、納有國(guó)際或國(guó)家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的安全要求、組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求等。 根據(jù)評(píng)估依據(jù)，并綜合考慮評(píng)估的目的、范圍時(shí)間效果評(píng)估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)組織業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的評(píng)估判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。,,5.1.6 獲得支持 就以上內(nèi)容形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)

10、施方案，并報(bào)組織最高管理者批準(zhǔn)，以獲得其對(duì)風(fēng)險(xiǎn)評(píng)估方案的支持，同時(shí)在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容對(duì)管理者和技術(shù)人員進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。,,5.2 資產(chǎn)識(shí)別5.2.1 資產(chǎn)分類 風(fēng)險(xiǎn)評(píng)估需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別，因?yàn)閮r(jià)值不同將導(dǎo)致風(fēng)險(xiǎn)值不同。 而風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是以資產(chǎn)的機(jī)密性、完整性、和可用性三個(gè)方面屬性為基礎(chǔ)進(jìn)行衡量。 資

11、產(chǎn)在機(jī)密性、完整性和可用性三個(gè)屬性上的要求不同 ，則資產(chǎn)的最終價(jià)值也不同。,,在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同。首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可以將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。表5-1列出了一種資產(chǎn)的分類方法。,,表5-

12、1 一種基于表現(xiàn)形式的資產(chǎn)分類方法,表5-1 一種基于表現(xiàn)形式的資產(chǎn)分類方法,5.2.2 資產(chǎn)賦值 對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況，即資產(chǎn)的機(jī)密性、完整性和可用性，對(duì)組織信息安全性的影響程度。 資產(chǎn)賦值的過程也就是對(duì)資產(chǎn)在機(jī)密性,完整性和可用性上的要求進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。 資產(chǎn)對(duì)機(jī)密性、完整

13、性和可用性上的要求可由安全屬性缺失時(shí)造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額、組織形象的損失。,,1. 機(jī)密性賦值 根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。表5-2提供了一種機(jī)密性賦值的參考。,,表5-2 資產(chǎn)機(jī)密性賦值表,2. 完整性賦值 根據(jù)資產(chǎn)在完整性上的不同要求，將其分為5

14、個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性商缺失時(shí)對(duì)整個(gè)組織的影響。表5-3提供了一種完整性賦值的參考。,,表5-3 資產(chǎn)完整性賦值表,3. 可用性賦值 根據(jù)資產(chǎn)在可用性上的不同要求，將其分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上缺失時(shí)對(duì)整個(gè)組織的影響。表1-4提供了一種可用性賦值的參考。,,表5- 4 資產(chǎn)可用性賦值表,4. 資產(chǎn)重要性等級(jí) 資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性

15、上的賦值等級(jí)，經(jīng)過綜合評(píng)定得出。綜合評(píng)定方法可以選擇對(duì)資產(chǎn)機(jī)密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機(jī)密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。這里為與上述安全屬性的賦值相對(duì)應(yīng)，根據(jù)最終賦值資產(chǎn)劃分為5級(jí)，級(jí)別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實(shí)際情況確定資產(chǎn)識(shí)別中的賦值依據(jù)和等級(jí)。表5-5中的資產(chǎn)等級(jí)劃分表明了不同等級(jí)

16、的重要性的綜合描述。評(píng)估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并圍繞重要資產(chǎn)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。,,表5- 5 資產(chǎn)等級(jí)及含義描述,5.3 威脅識(shí)別5.3.1 威脅分類 信息安全威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。 造成威脅的因素可分為人為因素和環(huán)境因素。 根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。 環(huán)境因素包括自然界不可抗力的因

17、素和其他物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，也可能是偶發(fā)的或蓄意的安全事件，都會(huì)在信息的機(jī)密性、完整性或可用性等方面造成損害。在對(duì)威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。表1-6提供了一種威脅來源的分類方法。,,表5- 6 威脅來源列表,5.3 威脅識(shí)別對(duì)威脅進(jìn)行分類的方式有多種，針對(duì)表5-6的威脅來源，可以根據(jù)其表現(xiàn)形式進(jìn)行威脅分類。表5-7提供了一種基于表現(xiàn)形式的威脅分類方法。,,表5- 7

18、 一種基于表現(xiàn)形式的威脅分類表,表5- 7 一種基于表現(xiàn)形式的威脅分類表,表5- 7 一種基于表現(xiàn)形式的威脅分類表,5.3 威脅識(shí)別5.3.2 威脅賦值 威脅出現(xiàn)的頻率是衡量威脅嚴(yán)重程度的重要要素，因此威脅識(shí)別后需要對(duì)威脅頻率進(jìn)行賦值，已帶入最后的風(fēng)險(xiǎn)計(jì)算中。 評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來對(duì)威脅頻率進(jìn)行賦值，威脅賦值中需要綜合考慮以下三個(gè)方面因素。,,5.3

19、 威脅識(shí)別5.3.2 威脅賦值1） 以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)2） 實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；3） 近年來國(guó)際組織發(fā)布的對(duì)與整個(gè)社會(huì)或特定的行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。 可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。,,表5- 8 威脅賦值表,表5-8 提供了威脅出

20、現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中，威脅頻率的判斷應(yīng)根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷，在評(píng)估準(zhǔn)備階段確定，并得到被評(píng)估方的認(rèn)可。,,5.4 脆弱性識(shí)別 脆弱性是資產(chǎn)本身存在的， 如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生進(jìn)而帶來損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。,,資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件下和環(huán)境下才能顯現(xiàn)，這

21、是脆弱性識(shí)別中最為困難的部分。不正確的，起不到應(yīng)有作用的或沒有正確實(shí)施安全措施本身就可能存在脆弱性。,,脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱的嚴(yán)重程度進(jìn)行評(píng)估，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。 脆弱識(shí)別的依據(jù)可以是國(guó)際國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。,,對(duì)應(yīng)用在不同的環(huán)境中的相

22、同弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。,,信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。 脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。,,脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行， 技術(shù)脆弱性涉及物理層、網(wǎng)

23、絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。 管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。,,對(duì)不同的識(shí)別對(duì)象，其脆弱性識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施 例如，對(duì)物理環(huán)境的脆弱性識(shí)別可以參照GB/T 9361-2000《計(jì)算機(jī)場(chǎng)地安全要求》中的技術(shù)指標(biāo)實(shí)施； 對(duì)操作系統(tǒng)、數(shù)據(jù)庫可以參照GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)

24、等級(jí)劃分準(zhǔn)則》中的技術(shù)指標(biāo) 實(shí)施管理脆弱性識(shí)別方面可以參照GB/T 19716-2005《信息技術(shù)　信息安全管理實(shí)用規(guī)則》的要求對(duì)安全管理制度及及執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。表5－９提供一種脆弱性識(shí)別內(nèi)容的參考。,,表5- 9 脆弱性識(shí)別內(nèi)容表,5.4.2脆弱性賦值 可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重進(jìn)行賦值。由于很多弱點(diǎn)反映的是一

25、方面的問題，或可能造成相似的后果，賦值時(shí)應(yīng)綜合考慮這些弱點(diǎn)，以確定這一方面脆弱性的嚴(yán)重程度。 對(duì)某個(gè)資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。,,脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化管理，不同的等級(jí)分別代表資產(chǎn)脆弱性的嚴(yán)重程度高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。表5-10提供了脆弱性嚴(yán)重程度的一種賦值方法。,,表5- 10 脆弱性嚴(yán)重程度賦

26、值表,5.5 已有安全措施確認(rèn) 安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。 預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如:入侵檢測(cè)系統(tǒng)； 保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。,,在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行檢查，檢查安全措施是否有效發(fā)揮了作用，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅

27、。 對(duì)于已經(jīng)有效地發(fā)揮了其作用的安全措施，應(yīng)繼續(xù)保持，而不用重復(fù)建設(shè)安全措施； 對(duì)于不適當(dāng)?shù)陌踩胧?，用?duì)其進(jìn)行改進(jìn)，或采用更合適的安全措施替代。,,已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)，但安全措施確認(rèn)并不需要 和脆弱性識(shí)別過程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。,,5.6 風(fēng)險(xiǎn)分析5.6

28、.1 風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)定義為威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具進(jìn)行安全風(fēng)險(xiǎn)分析和計(jì)算，下面使用的范式形式化說明風(fēng)險(xiǎn)計(jì)算原理：,,風(fēng)險(xiǎn)值=R=（A,T,V） =R(L(T,V),F(Ia,Va)) 其中：R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)(Asset)，T表示威脅出現(xiàn)頻率(Threat

29、)，V表示脆弱性(Vulnerability)， Ia表示安全事件所作用的資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度， L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn)表示安全事件發(fā)生后產(chǎn)生的損失。,,在風(fēng)險(xiǎn)計(jì)算中有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：1. 計(jì)算安全事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L（威脅出現(xiàn)頻率，脆

30、弱性） =(L,V) 在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。,,2. 計(jì)算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失，即：安全事件的損失=F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）

31、= F(Ia,Va) 部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。,,部分安全事件損失的判斷還應(yīng)參照安全事件發(fā)生的可能性的結(jié)果，對(duì)發(fā)生可能性極少的安全事件，如:處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計(jì)算其損失。,,3. 計(jì)算風(fēng)險(xiǎn)值 根據(jù)

32、計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R（安全事件發(fā)生的可能性，安全事件的損失） =R(L(T,V),F(Ia,Va)),,評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算出風(fēng)險(xiǎn)值，如矩陣法或相乘法。 矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系； 相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件發(fā)生的可能性與安全事件的損

33、失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。,,5.6.2 風(fēng)險(xiǎn)結(jié)果判定 為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理?？梢詫L(fēng)險(xiǎn)劃分為一定的級(jí)別，如劃分為5級(jí)或3級(jí)。等級(jí)越高，風(fēng)險(xiǎn)越高。 評(píng)估者應(yīng)根據(jù)采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的危險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。,,表5-11 提供了一種風(fēng)險(xiǎn)等級(jí)劃分方法。,

34、風(fēng)險(xiǎn)等級(jí)劃分是為了在風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)進(jìn)行直觀的比較，以確定組織安全策略。 組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。 對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn)，應(yīng)保持已有的安全措施； 如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，是可接受的風(fēng)險(xiǎn)，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。,,5.6.3 風(fēng)

35、險(xiǎn)處理計(jì)劃 對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。 風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確指出采取的彌補(bǔ)弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。 安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮，管理措施可以作為技術(shù)措施的補(bǔ)充。安全措施的選擇與實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。,,在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的

36、殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。 殘余風(fēng)險(xiǎn)的評(píng)估可以依據(jù)本標(biāo)準(zhǔn)提出的風(fēng)險(xiǎn)評(píng)估流程實(shí)施，也可以適當(dāng)裁減。一般來說，安全措施的實(shí)施是以減少脆弱性或降低安全事件發(fā)生可能性為目標(biāo)的，因此，殘余風(fēng)險(xiǎn)的評(píng)估可以從脆弱性評(píng)估開始，在對(duì)照安全措施實(shí)施前后的脆弱性狀況后，再次計(jì)算風(fēng)險(xiǎn)值的大小。 某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措

37、施。,,5.7 風(fēng)險(xiǎn)評(píng)估文件記錄5.7.1 風(fēng)險(xiǎn)評(píng)估文件記錄的要求記錄風(fēng)險(xiǎn)評(píng)估過程中的相關(guān)文件，應(yīng)符合以下要求（但不僅限于此）：1. 確保文件發(fā)布前是得到批準(zhǔn)的；2. 確保文件的更改和現(xiàn)行修訂狀態(tài)是可識(shí)別的；3. 確保文件的分發(fā)得到適當(dāng)?shù)目刂?，并確保在使用時(shí)可獲得有關(guān)版本的使用文件；4. 防止作廢文件的非預(yù)期使用，若因某種目的需保留作廢文件時(shí)，應(yīng)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。,對(duì)于風(fēng)險(xiǎn)評(píng)估過程中形成的相關(guān)文件，還應(yīng)規(guī)

38、定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。 相關(guān)文件是否需要以及文件的詳略程度與組織的管理者來決定。,,5.7.2 風(fēng)險(xiǎn)評(píng)估文件 是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔，包括（但不僅限于此）；（1）風(fēng)險(xiǎn)評(píng)估方案 闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、人員、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等。（2）風(fēng)險(xiǎn)評(píng)估程序 明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文件要求，以及實(shí)施本次評(píng)估所需

39、的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)。 (3) 資產(chǎn)識(shí)別清單 根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，明確資產(chǎn)是責(zé)任人/部門。,,（4）重要資產(chǎn)清單 根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等。（5）威脅列表 根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動(dòng)機(jī)及出現(xiàn)的頻率等（6）脆弱性列表

40、根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括具體弱點(diǎn)的名稱、描述、類型及嚴(yán)重程度等。（7）已有安全措施的確認(rèn)表 根據(jù)對(duì)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等。,,（8）風(fēng)險(xiǎn)評(píng)估報(bào)告 對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果、風(fēng)險(xiǎn)計(jì)劃、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容。（9）風(fēng)險(xiǎn)處理計(jì)劃 對(duì)評(píng)估結(jié)果中不可接受的

41、風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對(duì)殘余風(fēng)險(xiǎn)的評(píng)估以確定所選擇安全措施的有效性。（10）風(fēng)險(xiǎn)評(píng)估記錄 根據(jù)風(fēng)險(xiǎn)評(píng)估程序，要求風(fēng)險(xiǎn)評(píng)估過程中的各種現(xiàn)場(chǎng)記錄可復(fù)現(xiàn)評(píng)估過程，并作為產(chǎn)生歧義后解決問題的依據(jù)。,,作業(yè)6: 信息安全風(fēng)險(xiǎn)評(píng)估 調(diào)查表1.作業(yè)完成日期:3/23-4/6日 2.作業(yè)分值:15分3.要求:所調(diào)查的企業(yè)信息真實(shí)可靠,會(huì)打電話核對(duì),