計算機網(wǎng)絡安全風險管理

1、樊山二零零五年十一月 風險就是不利事件發(fā)生的可能性。風險管理是評估風險、采取步驟將風險消減到可接受的水平并且維持這一風險級別的過程。也許大家沒有意識到，其實大家每天都在進行風險管理。像系安全帶、預報有雨時帶傘或?qū)⑹虑橛涗浵聛硪悦膺z忘，這些日?；顒佣伎梢詺w入風險管理的范疇。人們會意識到針對其利益的各種威脅，并采取預防措施進行防范或?qū)⑵溆绊憸p到最小。 風險管理是安全性的一個重要方面，但風險管理不只是包含恐懼、不確定性和懷疑（FUD）。在評判一個安全計劃時，應重點考慮直接在資產(chǎn)負債表上導致美元收入的安全收益，它是相對于風險管理的重要對應物。 本課程為各種類型的客戶計劃、建立和維護一個成功的安全風險管

2、理計劃。說明如何在四階段流程中實施風險管理計劃中的各個階段，以及如何建立一個持續(xù)的過程以評定安全風險并將其降低到可接受水平。 （一）風險管理的核心作用 所謂風險管理就是識別風險、選擇對策、實施對策以消減風險.最終保證信息資產(chǎn)的保密性、完整性、可用性能夠滿足目標要求的這樣一個過程。 簡單的說風險管理就是識別風險、評估風險，采取措施將風險減到可接受水平，并維持這個風險水平的過程。個人隱私經(jīng)營狀況資產(chǎn)知識產(chǎn)權資產(chǎn)識別資產(chǎn)識別商務聯(lián)系管理制度資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)數(shù)據(jù)中心數(shù)據(jù)中心5有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理

3、基礎結(jié)構(gòu)Servers3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)臺式計算機臺式計算機1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)移動計算機移動計算機3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)PDA1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)移動電話移動電話1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)服務器應用程序軟件服務器應用程序軟件1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)最終用戶應用程序軟件最終用戶應用程序軟件1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)開發(fā)工具開發(fā)工具3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)路由器路由器3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)網(wǎng)絡交換機網(wǎng)絡交換機3有形資產(chǎn)有形

4、資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)傳真機傳真機1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)PBX3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)可移動介質(zhì)（如：磁帶、軟盤、可移動介質(zhì)（如：磁帶、軟盤、CD-ROM、DVD、便攜式硬盤、便攜式硬盤、PC 卡存儲設備、卡存儲設備、USB 存儲設備等）存儲設備等）1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)電源電源3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)不間斷電源不間斷電源3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)消防系統(tǒng)消防系統(tǒng)3有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)空調(diào)系統(tǒng)空調(diào)系統(tǒng)3有形

5、資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)空氣過濾系統(tǒng)空氣過濾系統(tǒng)1有形資產(chǎn)有形資產(chǎn)物理基礎結(jié)構(gòu)物理基礎結(jié)構(gòu)其他環(huán)境控制系統(tǒng)其他環(huán)境控制系統(tǒng)3有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)源代碼源代碼5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)人力資源數(shù)據(jù)人力資源數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)財務數(shù)據(jù)財務數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)營銷數(shù)據(jù)營銷數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員密碼雇員密碼5資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員私人密鑰雇員私人密鑰5有形資產(chǎn)有形資產(chǎn)In

6、tranet 數(shù)據(jù)數(shù)據(jù)計算機系統(tǒng)密鑰計算機系統(tǒng)密鑰5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)智能卡智能卡5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)知識產(chǎn)權知識產(chǎn)權5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)適用于法規(guī)要求的數(shù)據(jù)（如適用于法規(guī)要求的數(shù)據(jù)（如 GLBA、HIPAA、CA SB1386 和和 EU Data Protection Directive等）。等）。5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)美國美國 雇員社會保險號雇員社會保險號5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員駕駛證編號雇員駕駛證編號5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)戰(zhàn)略計劃戰(zhàn)略計劃3資產(chǎn)類別

7、資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)客戶消費信用報告客戶消費信用報告5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)客戶醫(yī)療記錄客戶醫(yī)療記錄5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員生物特征識別雇員生物特征識別5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員商務聯(lián)絡數(shù)據(jù)雇員商務聯(lián)絡數(shù)據(jù)1有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員個人聯(lián)絡數(shù)據(jù)雇員個人聯(lián)絡數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)采購單數(shù)據(jù)采購單數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)網(wǎng)絡基礎結(jié)構(gòu)設計網(wǎng)絡基礎結(jié)構(gòu)設計3有形資產(chǎn)有形資產(chǎn)Intr

8、anet 數(shù)據(jù)數(shù)據(jù)內(nèi)部網(wǎng)站內(nèi)部網(wǎng)站3有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員種族數(shù)據(jù)雇員種族數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴合同數(shù)據(jù)合作伙伴合同數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴財務數(shù)據(jù)合作伙伴財務數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴聯(lián)絡數(shù)據(jù)合作伙伴聯(lián)絡數(shù)據(jù)3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴協(xié)同應用程序合作伙伴協(xié)同應用程序3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴密鑰合作伙伴密鑰5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合

9、作伙伴信用報告合作伙伴信用報告3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴采購單數(shù)據(jù)合作伙伴采購單數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商合同數(shù)據(jù)供應商合同數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商財務數(shù)據(jù)供應商財務數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商聯(lián)絡數(shù)據(jù)供應商聯(lián)絡數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商合作應用程序供應商合作應用程序3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商密鑰供應商密鑰5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商信用報告供應商信用報告3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應商采購單數(shù)

10、據(jù)供應商采購單數(shù)據(jù)3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)網(wǎng)站銷售應用程序網(wǎng)站銷售應用程序5有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)網(wǎng)站營銷數(shù)據(jù)網(wǎng)站營銷數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)客戶信用卡數(shù)據(jù)客戶信用卡數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)客戶聯(lián)絡數(shù)據(jù)客戶聯(lián)絡數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)公開密鑰公開密鑰1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)新聞發(fā)布新聞發(fā)布1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)白皮書白皮書1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)產(chǎn)品文

11、檔產(chǎn)品文檔1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)培訓資料培訓資料3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級無形資產(chǎn)無形資產(chǎn)名譽名譽 5無形資產(chǎn)無形資產(chǎn)友好關系友好關系 3無形資產(chǎn)無形資產(chǎn)雇員道德雇員道德 3無形資產(chǎn)無形資產(chǎn)雇員生產(chǎn)力雇員生產(chǎn)力 3IT 服務服務郵件郵件電子郵件電子郵件/計劃（如計劃（如 Microsoft Exchange）3IT 服務服務郵件郵件即時消息即時消息1IT 服務服務郵件郵件Microsoft Outlook Web Access (OWA)1IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)Microsoft Active Directo

12、ry3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)域名系統(tǒng)域名系統(tǒng) (DNS)3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)動態(tài)主機配置協(xié)議動態(tài)主機配置協(xié)議 (DHCP)3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評級資產(chǎn)評級IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)企業(yè)管理工具企業(yè)管理工具3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)文件共享文件共享3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)存儲器存儲器3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)撥號遠程訪問撥號遠程訪問3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)電話服務電話服務3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)虛擬專用網(wǎng)虛擬專用網(wǎng) (VPN) 訪問

13、訪問3IT 服務服務核心基礎結(jié)構(gòu)核心基礎結(jié)構(gòu)Microsoft Windows Internet 命名服務命名服務 (WINS)1IT 服務服務其他基礎結(jié)構(gòu)其他基礎結(jié)構(gòu)合作服務（如合作服務（如 Microsoft SharePoint）1威脅威脅 示例示例災難性事件災難性事件火災火災災難性事件災難性事件洪水洪水災難性事件災難性事件地震地震災難性事件災難性事件嚴重風暴嚴重風暴災難性事件災難性事件恐怖分子襲擊恐怖分子襲擊災難性事件災難性事件平民騷亂平民騷亂/暴動暴動災難性事件災難性事件山崩山崩災難性事件災難性事件雪崩雪崩災難性事件災難性事件工業(yè)意外工業(yè)意外威脅威脅 示例示例機械故障機械故障電力中斷

14、電力中斷機械故障機械故障硬件故障硬件故障機械故障機械故障網(wǎng)絡中斷網(wǎng)絡中斷機械故障機械故障環(huán)境控制措施失效環(huán)境控制措施失效機械故障機械故障結(jié)構(gòu)意外結(jié)構(gòu)意外非惡意人員非惡意人員未獲通知的雇員未獲通知的雇員非惡意人員非惡意人員未獲通知的用戶未獲通知的用戶威脅威脅 示例示例惡意人員惡意人員黑客、解密高手黑客、解密高手惡意人員惡意人員計算機犯罪計算機犯罪惡意人員惡意人員行業(yè)間諜行業(yè)間諜惡意人員惡意人員政府資助的間諜政府資助的間諜惡意人員惡意人員社會工程社會工程惡意人員惡意人員心存不滿的現(xiàn)雇員心存不滿的現(xiàn)雇員惡意人員惡意人員心存不滿的前雇員心存不滿的前雇員惡意人員惡意人員恐怖分子恐怖分子惡意人員惡意人員疏

15、忽的雇員疏忽的雇員惡意人員惡意人員不誠實的雇員（受賄者或被勒索者）不誠實的雇員（受賄者或被勒索者）惡意人員惡意人員惡意移動代碼惡意移動代碼高級漏高級漏洞分類洞分類漏洞簡短說明漏洞簡短說明具體示例（如果適用）具體示例（如果適用）物理物理未上鎖的門未上鎖的門 物理物理未受保護的計算機應用設施訪問權限未受保護的計算機應用設施訪問權限 物理物理不充分的消防系統(tǒng)不充分的消防系統(tǒng) 物理物理設計低劣的建筑設計低劣的建筑 物理物理施工低劣的建筑施工低劣的建筑 物理物理施工中使用的易燃材料施工中使用的易燃材料 物理物理裝修中使用的易燃材料裝修中使用的易燃材料 物理物理未上鎖的窗未上鎖的窗 物理物理易受物理襲擊的

16、墻易受物理襲擊的墻 物理物理內(nèi)墻未能在天花板和地板處完全密封房間內(nèi)墻未能在天花板和地板處完全密封房間 自然自然設備位于故障線路上設備位于故障線路上 自然自然設備位于水災區(qū)域設備位于水災區(qū)域 自然自然設備位于雪崩區(qū)域設備位于雪崩區(qū)域 高級漏高級漏洞分類洞分類漏洞簡短說明漏洞簡短說明具體示例（如果適用）具體示例（如果適用）硬件硬件缺少修補程序缺少修補程序 硬件硬件過期的固件過期的固件 硬件硬件配置錯誤的系統(tǒng)配置錯誤的系統(tǒng) 硬件硬件未受物理保護的系統(tǒng)未受物理保護的系統(tǒng) 硬件硬件在公共接口上允許的管理協(xié)議在公共接口上允許的管理協(xié)議 軟件軟件過期的防病毒軟件過期的防病毒軟件 軟件軟件缺少修補程序缺少修補

17、程序 軟件軟件編寫低劣的應用程序編寫低劣的應用程序跨站點腳本跨站點腳本軟件軟件編寫低劣的應用程序編寫低劣的應用程序SQL 注入注入軟件軟件編寫低劣的應用程序編寫低劣的應用程序代碼弱點，如緩沖區(qū)溢出代碼弱點，如緩沖區(qū)溢出軟件軟件故意設置的弱點故意設置的弱點用于管理或系統(tǒng)恢復的供應商后門用于管理或系統(tǒng)恢復的供應商后門軟件軟件故意設置的弱點故意設置的弱點Spyware，如，如 keyloggers軟件軟件故意設置的弱點故意設置的弱點特洛伊木馬特洛伊木馬 軟件軟件故意設置的弱點故意設置的弱點 軟件軟件配置錯誤配置錯誤導致配置不一致的手工供應導致配置不一致的手工供應軟件軟件配置錯誤配置錯誤未強化系統(tǒng)未強

18、化系統(tǒng)軟件軟件配置錯誤配置錯誤未審核系統(tǒng)未審核系統(tǒng)軟件軟件配置錯誤配置錯誤未監(jiān)視系統(tǒng)未監(jiān)視系統(tǒng)媒體媒體電子干擾電子干擾 高級漏高級漏洞分類洞分類漏洞簡短說明漏洞簡短說明具體示例（如果適用）具體示例（如果適用）通信通信未加密的網(wǎng)絡協(xié)議未加密的網(wǎng)絡協(xié)議 通信通信到多個網(wǎng)絡的連接到多個網(wǎng)絡的連接 通信通信允許不必要的協(xié)議允許不必要的協(xié)議 通信通信在網(wǎng)絡分段之間無過濾在網(wǎng)絡分段之間無過濾 人為人為定義低劣的程序定義低劣的程序不充分的意外響應準備不充分的意外響應準備人為人為定義低劣的程序定義低劣的程序手工供應手工供應人為人為定義低劣的程序定義低劣的程序不充分的災難恢復規(guī)劃不充分的災難恢復規(guī)劃人為人為定義

19、低劣的程序定義低劣的程序在生產(chǎn)系統(tǒng)上測試在生產(chǎn)系統(tǒng)上測試人為人為定義低劣的程序定義低劣的程序未報告的違規(guī)未報告的違規(guī)人為人為定義低劣的程序定義低劣的程序低劣的更改控制低劣的更改控制人為人為被盜憑據(jù)被盜憑據(jù) 風險管理周期模型 （二）風險管理的基本概念 資產(chǎn)資產(chǎn)（Asset） 任何對組織具有價值的東西，包括計算機硬件、通信設施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。對資產(chǎn)的評估要從價值、重要性或敏感度等方面來考慮。 威脅威脅（Threat） 就是可能對資產(chǎn)或組織造成損害的意外事件的潛在原因，即某種威脅源（threat source）或威脅代理（threat

20、agent）成功利用特定弱點對資產(chǎn)造成負面影響的潛在可能。威脅類型包括人為威脅（故意和無意）和非人為威脅（自然和環(huán)境）。識別并評估威脅時需要考慮威脅源的動機和能力。風險管理關心的是威脅發(fā)生的可能性。 弱點弱點（Vulnerability） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。弱點本身并不能構(gòu)成傷害，它只是威脅利用來實施影響的一個條件。風險管理過程中要識別弱點，并評估弱點的嚴重性和可被利用的容易程度。 風險風險（Risk） 特定威脅利用資產(chǎn)的弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性.單個或者多個威脅可以利用單個或者多個弱點。風險是威

21、脅事件發(fā)生的可能性與影響綜合作用的結(jié)果。 可能性可能性（Likelihood） 對威脅事件發(fā)生的幾率（Probability）或頻率（Frequency）的定性描述。 影響影響（Impact） 或者是后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 安全措施安全措施（Safeguard） 也稱作控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。 殘留風險殘留風險（Residual Risk） 在實施安全措施之后仍然存在的風險。風險管理各要素之間的關系風險管理各要素之

22、間的關系 弱點暴露了具有價值的資產(chǎn),威脅對弱點加以利用，從而造成負面影響，由此導致風險.正是因為風險的存在，我們才提出了安全需求，為了實現(xiàn)需求，必須采取安全措施，以便防范威脅并減少風險。風險管理的整個過程就是在這些要素間相互制約相互作用的關系中得以進展的。 （一）確定信息安全目標和戰(zhàn)略 安全目標決定了組織能夠接受的風險水平和所滿足的安全程度。應該考慮的問題應該考慮的問題組織承擔著哪些重點活動組織承擔著哪些重點活動哪些任務只能在哪些任務只能在IT的幫助下完成的幫助下完成必須依賴信息的保密性、完整性和可用性必須依賴信息的保密性、完整性和可用性哪些機密信息需要保護哪些機密信息需要保護意外發(fā)生后對組織

23、的影響意外發(fā)生后對組織的影響目標目標信心信心產(chǎn)品產(chǎn)品信譽信譽服務服務信息信息資料資料雇員雇員消費者消費者客戶客戶受益人受益人保護保護數(shù)據(jù)數(shù)據(jù)保密性惡意惡意使用使用誤用誤用欺詐欺詐法規(guī)法規(guī)主題主題風險評估戰(zhàn)略和方法風險評估戰(zhàn)略和方法信息安全策略的需求信息安全策略的需求系統(tǒng)安全操系統(tǒng)安全操作程序的需作程序的需求求信息敏感性分類方案信息敏感性分類方案連接時需要滿足的條連接時需要滿足的條件和檢查方法件和檢查方法事件處事件處理方案理方案只有事先確定了風險評估的途徑，風險評估和風險分析才能有據(jù)而行只有事先確定了風險評估的途徑，風險評估和風險分析才能有據(jù)而行 （二）建立信息安全策略（Information

24、Security Policy）總體方針總體方針特定問題策略特定問題策略（Issue-Specific Policy）特定系統(tǒng)策略特定系統(tǒng)策略（System-Specific Policy）組織對信息安全的基本認識組織對信息安全的基本認識組織的安全目標和戰(zhàn)略，包括對法律法規(guī)遵守的考慮組織的安全目標和戰(zhàn)略，包括對法律法規(guī)遵守的考慮組織信息安全所涉及的范圍組織信息安全所涉及的范圍信息安全的組織構(gòu)架和責任認定信息安全的組織構(gòu)架和責任認定信息資產(chǎn)的分類模式信息資產(chǎn)的分類模式風險管理的途徑風險管理的途徑信息資產(chǎn)分類方案信息資產(chǎn)分類方案關于信息安全管理的其他全局約定關于信息安全管理的其他全局約定 （一）風

25、險評估的概念 1、概念 風險評估是對信息資產(chǎn)面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。 2、作用 風險評估（Risk Assessment）是組織確定信息安全需求的一個重要途徑，屬于組織安全管理策劃的過程。風險評估的任務風險評估的任務識別組織面臨的各識別組織面臨的各種風險種風險評估風險概率和可評估風險概率和可能帶來的負面影響能帶來的負面影響確定組織承受風險確定組織承受風險的能力的能力確定風險消減和控確定風險消減和控制的優(yōu)先等級制的優(yōu)先等級推薦風險消減對策推薦風險消減對策 首先、要確定保護的對象（保護資產(chǎn)）是什么？它們直接和間接價值？首先、要確定保護的對象（保

26、護資產(chǎn)）是什么？它們直接和間接價值？ 其次、資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有其次、資產(chǎn)面臨哪些潛在威脅？導致威脅的問題所在？威脅發(fā)生的可能性有多大？多大？ 第三、資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？第三、資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？ 第四、一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？第四、一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負面影響？ 最后、組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程序最后、組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程序 3、風險評

27、估的幾個對應關系 （1）每項資產(chǎn)可能面臨多種威脅 （2）威脅源（威脅代理）可能不止一個 （3）每種威脅可能利用一個或多個弱點 （二）風險評估的可行途徑 1、基線評估（Baseline Risk Assessment）： （1）適用范圍：組織的商業(yè)運作不是很復雜，對信息處理和網(wǎng)絡的依賴性不是很高，或者組織信息系統(tǒng)多采用普遍且標準化的模式。 （2）評估策略：根據(jù)組織實際的情況，對信息系統(tǒng)進行基線檢查（拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出差距），得出基本的安全需求。通過選擇并實施標準的安全措施來消減風險和控制風險。 （3）什么是安全基線： 在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例

28、，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)能達到一定的安全防護水平。 （4）可選擇標準： 國際標準和國家標準，例如BS 7799-1、ISO 13335-4 行業(yè)標準或推薦，例如德國聯(lián)邦安全局IT基線保護手冊 來自其他有類似商務目標和規(guī)模的組織的慣例。 （5）優(yōu)點： 需要的資源少，周期短，操作簡單，對于環(huán)境相似且安全需求相當?shù)闹T多組織，基線評估是最經(jīng)濟有效的風險評估途徑。 （6）缺點： 基線的高低水平難以設定，過高可能導致資源浪費限制過度；過低又會造成難以達到充分的安全。 在管理安全相關的變化方面，基線評估比較困難。 2、詳細評估： （1）概念： 對資產(chǎn)進行詳細

29、識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據(jù)風險評估的結(jié)果來識別和選擇安全措施。即識別資產(chǎn)的風險并將風險降到可接受的水平，以此證明管理者所采用的安全措施是恰當?shù)摹?（2）優(yōu)點： 組織對信息安全風險有一個精確的認識，并且準確定義出組織目前的安全水平和安全需求。 詳細評估的結(jié)果可以用來管理安全變化。 （3）缺點： 可能是非常耗費資源的過程，包括時間、精力和技術，因此，組織應該仔細設定待評估的信息系統(tǒng)范圍，明確商務環(huán)境、操作和信息資產(chǎn)的邊界。 3、組合評估： （1）方式： 采用基于基線評估與詳細評估兩者之間的評估方式。 （2）方法： 組織應先對所有系統(tǒng)進行一次初步的高級風險評估。著眼與信

30、息系統(tǒng)的商務價值和可能面臨的風險，識別出組織內(nèi)具有高風險或?qū)ζ渖虅者\作極為關鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應劃分在詳細風險評估的范圍，而其他系統(tǒng)則可以通過基線風險評估直接選擇安全措施。 （3）優(yōu)點： 節(jié)省詳細評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結(jié)果，而且組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關注。 （4）缺點： 如果初步的高級風險評估不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導致結(jié)果失準。 （三）風險評估的常用方法 1、基于知識（Knowledge-based）的分析方法 基于知識的分析方法，組織不需要付出很多精力、時間和資

31、源，只要通過多種途徑采集相關的信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比例，從中找出不符合的地方，并按照標準或最佳慣例的推薦安全措施，最終達到消減和控制風險的目的。 基于知識的分析方法，最重要的還在于評估信息的采集，信息源包括： 會議討論 對當前的信息安全策略和相關文檔進行復查 制作問卷，進行調(diào)查 對相關人員進行訪談 進行實地考察 2、基于模型（Model-based）的分析方法 2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機構(gòu)共同組織開發(fā)CORAS項目。 CORAS沿用了識別風險、分析風險、評價并處理風險這樣的過程，但其試題風險的方法則完全不同

32、，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M行的。 優(yōu)點：提高對安全相關我描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機制便于溝通，減少了理解上的偏差；加了不同評估方法互操作的效率。 3、定量（Quantitative）分析 對構(gòu)成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當試題風險的所有要素（資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被值，風險評估的整個過程和結(jié)果都可以被量化。 定量分析的幾個概念 1、暴露因子（Exposure Factor, EF）:特定威脅對特定資產(chǎn)靠損失的百分比，或者說損失的程度。 2、單一損失期望（single Loss Expectan

33、cy, SLE）:也稱作SOC（Single Occurrence Costs）,即特定威脅可能造成的潛在損失總量。 3、年度損失期望（Annualized Loss Expectancy, ALE）：或者稱作EAC（Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預期值。 幾個概念的關系 （1）首先，識別資產(chǎn)并為資產(chǎn)賦值 （2）通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%100%之間） （3）計算特定威脅發(fā)生的頻率，即ARO （4）計算資產(chǎn)的SLE： （5）計算資產(chǎn)的ALE： 4、定性（Qualitative）分析 定性分析方法是

34、目前采用最為廣泛的一種方法，它帶有很強的主觀性，往往憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素（資產(chǎn)價值，威脅的可能性，弱點被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級。 （四）風險評估工具 1、調(diào)查問卷 2、檢查列表 3、人員訪談 4、漏洞掃描器 5、滲透測試 （五）風險評估的基本過程 風險評估是組織確定信息安全需求的過程，包括資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風險認定在內(nèi)的一系列活動。 （五）風險評估的基本過程 1、計劃和準備 （1）目標：開展風險評估活動的目有，期望得到的輸出結(jié)果，關鍵的約束條件（時間、成本、技術、策略、資源等） （2）范

35、圍和邊界：既寂的風險評估可能只針對組織全部資產(chǎn)（包括其弱點、威脅事件和威脅源等）的一個子集，評估范圍必須首先明確。 此外，必須定義風險評估的物理邊界和邏輯邊界。邏輯分析邊界定義了分析所需的廣度和深度，而物理系統(tǒng)邊界則定義了一個系統(tǒng)起于哪里止于何處。 （3）系統(tǒng)描述：進行風險評估的一個先決條件就是對受評估系統(tǒng)的需求、操作概念和系統(tǒng)資產(chǎn)特性有一個清晰的認識，必須識別評估邊界內(nèi)所有的系統(tǒng)。 （4）角色和責任：組織應該成產(chǎn)一個專門的風險評估小組。 （5）風險評估行動計劃：確定風險評估的途徑和方法，計劃評估步驟。 （6）風險接受標準：事先明確組織能夠接受的風險的水平或者等級 （7）風險評估適用表格：為風

36、險評估過程擬訂標準化的表格、模板、問卷等材料。 風險評估計劃應該包括以下內(nèi)容： （1）目標：開展風險評估活動的目的，期望得到的輸出結(jié)果，關鍵的約束條件（時間、成本、技術、策略、資源等） （2）范圍和邊界： （3）系統(tǒng)描述： （4）角色和責任： （5）風險評估行動計劃： （6）風險接受標準 （7）風險評估適用表格： 信息采集途徑： （1）專家經(jīng)驗 （2）集體討論或小組討論 （3）人員訪談 （4）調(diào)查問卷 （5）文件審核（包括政策法規(guī)、安全策略、設計文檔、操作指南、審計記錄等） （6）以前的審計和評估結(jié)果 （7）對外部案例和場景的分析 （8）現(xiàn)場戡查 2、識別并評價資產(chǎn) 資產(chǎn)識別考慮的問題 （1）

37、數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓資料、運作和支持程序、應急計劃等。 （2）書面文件：合同、策略方針、企業(yè)文件、保持重要商業(yè)結(jié)果的文件。 （3）軟件資產(chǎn)：應用軟件、系統(tǒng)軟件、企業(yè)文件、保持重要商業(yè)結(jié)果的文件。 （4）實物資產(chǎn)：計算機和通信設備，磁介質(zhì)（磁帶和磁盤），其他的技術型設備（電源、空調(diào)），家具，場所。 （5）人員：承但特定職能責任的人員。 （6）服務：計算和通信服務，其他技術型服務（供熱、照明、動力等）。 （7）組織形象與聲譽：這是一種無形資產(chǎn) 列入評估清單的信息資產(chǎn)，一定要是在評估范圍內(nèi)且與商務過程相關的資產(chǎn)，否則，一方面清單過于龐大不便分析，另一方面，分析結(jié)果也

38、會失去準確性和本應有的意義。 按照定量分析的思想，應該確定資產(chǎn)的貨幣價值，在定義相對價值時，需要考慮。 （1）信息資產(chǎn)因為受損而對商務造成的直接損失。 （2）信息資產(chǎn)恢復到正常狀態(tài)所付出的代價，包括檢測、控制、修復時的人力和物力。 （3）信息資產(chǎn)受損對其他部門的業(yè)務造成的損失。 （4）組織在公眾形象和名譽上的損失。 （5）因為商務受損導致優(yōu)勢降級而引發(fā)的間接損失。 （6）其他損失，例如保險費用的增加。 3、識別并評估威脅 （1）人員威脅：包括故意破壞（網(wǎng)絡攻擊、惡意代碼傳播、郵件炸彈、非授權訪問等）和無意失誤（比如誤操作、維護錯誤） （2）系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡或服務的故障（軟件故障、硬件故障、

39、介質(zhì)老化） （3）環(huán)境威脅：電源故障、污染、液體泄漏、火災等。 （4）自然威脅：洪水、地震、臺風、滑坡、雷電 4、識別并評估弱點 （1）技術性弱點：系統(tǒng)、程序設備中存在的漏洞或缺陷，比如結(jié)構(gòu)設計問題和編程漏洞； （2）操作性弱點：軟件和系統(tǒng)在配置、操作、使用中的缺陷。包括人員日常工作中的不良習慣，審計或備份的缺乏。 （3）管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。 5、識別并評估現(xiàn)有的安全措施 目標和針對性 （1）管理性：對系統(tǒng)的開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障、系統(tǒng)生命周期 （2）操作性：用來保護系統(tǒng)和應用操作的流程和機制，包

40、括人員職責、應急響應、事件處理、意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等。 （3）技術性：身份識別與認證、邏輯訪問控制、日志審計、加密等。 從控制功能分類： （1）威懾性：可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機。 （2）預防性：保護弱點，使攻擊難以成功，或者降低攻擊造成的影響。 （3）檢測性：可以檢測并及時發(fā)現(xiàn)攻擊活動，還可以激活糾正性或預防性控制 （4）糾正性：可以使攻擊造成的影響減到最小 安全措施（控制）應對風險各要素的情況 6、評估風險 威脅的可能性： 風險等級 風險分析矩陣 7、推薦控制措施 風險評估結(jié)束后，應該提供詳細的評估報告，內(nèi)容包括： （1）概述，包括評估目的、

41、方法、過程等 （2）評估結(jié)果，包括資產(chǎn)、威脅、弱點和現(xiàn)有控制措施的評估等級，以及最終的風險評價等級。 （3）推薦安全控制措施，提出建議性的解決方案 （一）確定風險消減策略 1、降低風險（Reduce Risk）減少威脅減少弱點降低影響2、規(guī)避風險（Avoid Risk）3、轉(zhuǎn)嫁風險（Transfer Risk）4、接受風險（Accept Risk） （二）選擇安全措施 1、約束條件 （1）經(jīng)濟約束 （2）時間約束 （3）技術約束 （4）社會約束 （5）環(huán)境約束 （6）法律約束 2、安全措施選擇列表 （三）制定安全計劃 1、包含內(nèi)容：p 安全目標p 風險管理戰(zhàn)略和風險評估途徑p 已識別的風險和風險等級（包括對威脅和弱點的敘述）p 推薦的安全措施（包括現(xiàn)有的措施）p 風險消減策略和殘留風險的接受標準p 選定的安全措施，確定措施的優(yōu)先級p 預期實施成本（包括人力、所需資源等）p 列舉責任人員p 確定時間期限（按優(yōu)先級可分為短期、中期、長期）和