計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理

1、樊山二零零五年十一月 風(fēng)險(xiǎn)就是不利事件發(fā)生的可能性。風(fēng)險(xiǎn)管理是評(píng)估風(fēng)險(xiǎn)、采取步驟將風(fēng)險(xiǎn)消減到可接受的水平并且維持這一風(fēng)險(xiǎn)級(jí)別的過程。也許大家沒有意識(shí)到，其實(shí)大家每天都在進(jìn)行風(fēng)險(xiǎn)管理。像系安全帶、預(yù)報(bào)有雨時(shí)帶傘或?qū)⑹虑橛涗浵聛硪悦膺z忘，這些日?；顒?dòng)都可以歸入風(fēng)險(xiǎn)管理的范疇。人們會(huì)意識(shí)到針對(duì)其利益的各種威脅，并采取預(yù)防措施進(jìn)行防范或?qū)⑵溆绊憸p到最小。 風(fēng)險(xiǎn)管理是安全性的一個(gè)重要方面，但風(fēng)險(xiǎn)管理不只是包含恐懼、不確定性和懷疑（FUD）。在評(píng)判一個(gè)安全計(jì)劃時(shí)，應(yīng)重點(diǎn)考慮直接在資產(chǎn)負(fù)債表上導(dǎo)致美元收入的安全收益，它是相對(duì)于風(fēng)險(xiǎn)管理的重要對(duì)應(yīng)物。 本課程為各種類型的客戶計(jì)劃、建立和維護(hù)一個(gè)成功的安全風(fēng)險(xiǎn)管

2、理計(jì)劃。說明如何在四階段流程中實(shí)施風(fēng)險(xiǎn)管理計(jì)劃中的各個(gè)階段，以及如何建立一個(gè)持續(xù)的過程以評(píng)定安全風(fēng)險(xiǎn)并將其降低到可接受水平。 （一）風(fēng)險(xiǎn)管理的核心作用 所謂風(fēng)險(xiǎn)管理就是識(shí)別風(fēng)險(xiǎn)、選擇對(duì)策、實(shí)施對(duì)策以消減風(fēng)險(xiǎn).最終保證信息資產(chǎn)的保密性、完整性、可用性能夠滿足目標(biāo)要求的這樣一個(gè)過程。 簡(jiǎn)單的說風(fēng)險(xiǎn)管理就是識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)，采取措施將風(fēng)險(xiǎn)減到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過程。個(gè)人隱私經(jīng)營(yíng)狀況資產(chǎn)知識(shí)產(chǎn)權(quán)資產(chǎn)識(shí)別資產(chǎn)識(shí)別商務(wù)聯(lián)系管理制度資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)數(shù)據(jù)中心數(shù)據(jù)中心5有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理

3、基礎(chǔ)結(jié)構(gòu)Servers3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)臺(tái)式計(jì)算機(jī)臺(tái)式計(jì)算機(jī)1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)移動(dòng)計(jì)算機(jī)移動(dòng)計(jì)算機(jī)3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)PDA1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)移動(dòng)電話移動(dòng)電話1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)服務(wù)器應(yīng)用程序軟件服務(wù)器應(yīng)用程序軟件1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)最終用戶應(yīng)用程序軟件最終用戶應(yīng)用程序軟件1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)開發(fā)工具開發(fā)工具3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)路由器路由器3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)交換機(jī)3有形資產(chǎn)有形

4、資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)傳真機(jī)傳真機(jī)1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)PBX3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)可移動(dòng)介質(zhì)（如：磁帶、軟盤、可移動(dòng)介質(zhì)（如：磁帶、軟盤、CD-ROM、DVD、便攜式硬盤、便攜式硬盤、PC 卡存儲(chǔ)設(shè)備、卡存儲(chǔ)設(shè)備、USB 存儲(chǔ)設(shè)備等）存儲(chǔ)設(shè)備等）1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)電源電源3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)不間斷電源不間斷電源3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)消防系統(tǒng)消防系統(tǒng)3有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)空調(diào)系統(tǒng)空調(diào)系統(tǒng)3有形

5、資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)空氣過濾系統(tǒng)空氣過濾系統(tǒng)1有形資產(chǎn)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)物理基礎(chǔ)結(jié)構(gòu)其他環(huán)境控制系統(tǒng)其他環(huán)境控制系統(tǒng)3有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)源代碼源代碼5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)人力資源數(shù)據(jù)人力資源數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)財(cái)務(wù)數(shù)據(jù)財(cái)務(wù)數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)營(yíng)銷數(shù)據(jù)營(yíng)銷數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員密碼雇員密碼5資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員私人密鑰雇員私人密鑰5有形資產(chǎn)有形資產(chǎn)In

6、tranet 數(shù)據(jù)數(shù)據(jù)計(jì)算機(jī)系統(tǒng)密鑰計(jì)算機(jī)系統(tǒng)密鑰5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)智能卡智能卡5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)知識(shí)產(chǎn)權(quán)知識(shí)產(chǎn)權(quán)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)適用于法規(guī)要求的數(shù)據(jù)（如適用于法規(guī)要求的數(shù)據(jù)（如 GLBA、HIPAA、CA SB1386 和和 EU Data Protection Directive等）。等）。5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)美國(guó)美國(guó) 雇員社會(huì)保險(xiǎn)號(hào)雇員社會(huì)保險(xiǎn)號(hào)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員駕駛證編號(hào)雇員駕駛證編號(hào)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)戰(zhàn)略計(jì)劃戰(zhàn)略計(jì)劃3資產(chǎn)類別

7、資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)客戶消費(fèi)信用報(bào)告客戶消費(fèi)信用報(bào)告5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)客戶醫(yī)療記錄客戶醫(yī)療記錄5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員生物特征識(shí)別雇員生物特征識(shí)別5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員商務(wù)聯(lián)絡(luò)數(shù)據(jù)雇員商務(wù)聯(lián)絡(luò)數(shù)據(jù)1有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員個(gè)人聯(lián)絡(luò)數(shù)據(jù)雇員個(gè)人聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)采購(gòu)單數(shù)據(jù)采購(gòu)單數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)3有形資產(chǎn)有形資產(chǎn)Intr

8、anet 數(shù)據(jù)數(shù)據(jù)內(nèi)部網(wǎng)站內(nèi)部網(wǎng)站3有形資產(chǎn)有形資產(chǎn)Intranet 數(shù)據(jù)數(shù)據(jù)雇員種族數(shù)據(jù)雇員種族數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴合同數(shù)據(jù)合作伙伴合同數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴財(cái)務(wù)數(shù)據(jù)合作伙伴財(cái)務(wù)數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴聯(lián)絡(luò)數(shù)據(jù)合作伙伴聯(lián)絡(luò)數(shù)據(jù)3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴協(xié)同應(yīng)用程序合作伙伴協(xié)同應(yīng)用程序3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴密鑰合作伙伴密鑰5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合

9、作伙伴信用報(bào)告合作伙伴信用報(bào)告3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)合作伙伴采購(gòu)單數(shù)據(jù)合作伙伴采購(gòu)單數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商合同數(shù)據(jù)供應(yīng)商合同數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商財(cái)務(wù)數(shù)據(jù)供應(yīng)商財(cái)務(wù)數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商聯(lián)絡(luò)數(shù)據(jù)供應(yīng)商聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商合作應(yīng)用程序供應(yīng)商合作應(yīng)用程序3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商密鑰供應(yīng)商密鑰5有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商信用報(bào)告供應(yīng)商信用報(bào)告3有形資產(chǎn)有形資產(chǎn)Extranet 數(shù)據(jù)數(shù)據(jù)供應(yīng)商采購(gòu)單數(shù)

10、據(jù)供應(yīng)商采購(gòu)單數(shù)據(jù)3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)網(wǎng)站銷售應(yīng)用程序網(wǎng)站銷售應(yīng)用程序5有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)網(wǎng)站營(yíng)銷數(shù)據(jù)網(wǎng)站營(yíng)銷數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)客戶信用卡數(shù)據(jù)客戶信用卡數(shù)據(jù)5有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)客戶聯(lián)絡(luò)數(shù)據(jù)客戶聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)公開密鑰公開密鑰1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)新聞發(fā)布新聞發(fā)布1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)白皮書白皮書1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)產(chǎn)品文

11、檔產(chǎn)品文檔1有形資產(chǎn)有形資產(chǎn)Internet 數(shù)據(jù)數(shù)據(jù)培訓(xùn)資料培訓(xùn)資料3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)無形資產(chǎn)無形資產(chǎn)名譽(yù)名譽(yù) 5無形資產(chǎn)無形資產(chǎn)友好關(guān)系友好關(guān)系 3無形資產(chǎn)無形資產(chǎn)雇員道德雇員道德 3無形資產(chǎn)無形資產(chǎn)雇員生產(chǎn)力雇員生產(chǎn)力 3IT 服務(wù)服務(wù)郵件郵件電子郵件電子郵件/計(jì)劃（如計(jì)劃（如 Microsoft Exchange）3IT 服務(wù)服務(wù)郵件郵件即時(shí)消息即時(shí)消息1IT 服務(wù)服務(wù)郵件郵件Microsoft Outlook Web Access (OWA)1IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)Microsoft Active Directo

12、ry3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)域名系統(tǒng)域名系統(tǒng) (DNS)3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)動(dòng)態(tài)主機(jī)配置協(xié)議動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP)3資產(chǎn)類別資產(chǎn)類別總體總體 IT 環(huán)境環(huán)境資產(chǎn)名稱資產(chǎn)名稱資產(chǎn)評(píng)級(jí)資產(chǎn)評(píng)級(jí)IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)企業(yè)管理工具企業(yè)管理工具3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)文件共享文件共享3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)存儲(chǔ)器存儲(chǔ)器3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)撥號(hào)遠(yuǎn)程訪問撥號(hào)遠(yuǎn)程訪問3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)電話服務(wù)電話服務(wù)3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)虛擬專用網(wǎng)虛擬專用網(wǎng) (VPN) 訪問

13、訪問3IT 服務(wù)服務(wù)核心基礎(chǔ)結(jié)構(gòu)核心基礎(chǔ)結(jié)構(gòu)Microsoft Windows Internet 命名服務(wù)命名服務(wù) (WINS)1IT 服務(wù)服務(wù)其他基礎(chǔ)結(jié)構(gòu)其他基礎(chǔ)結(jié)構(gòu)合作服務(wù)（如合作服務(wù)（如 Microsoft SharePoint）1威脅威脅 示例示例災(zāi)難性事件災(zāi)難性事件火災(zāi)火災(zāi)災(zāi)難性事件災(zāi)難性事件洪水洪水災(zāi)難性事件災(zāi)難性事件地震地震災(zāi)難性事件災(zāi)難性事件嚴(yán)重風(fēng)暴嚴(yán)重風(fēng)暴災(zāi)難性事件災(zāi)難性事件恐怖分子襲擊恐怖分子襲擊災(zāi)難性事件災(zāi)難性事件平民騷亂平民騷亂/暴動(dòng)暴動(dòng)災(zāi)難性事件災(zāi)難性事件山崩山崩災(zāi)難性事件災(zāi)難性事件雪崩雪崩災(zāi)難性事件災(zāi)難性事件工業(yè)意外工業(yè)意外威脅威脅 示例示例機(jī)械故障機(jī)械故障電力中斷

14、電力中斷機(jī)械故障機(jī)械故障硬件故障硬件故障機(jī)械故障機(jī)械故障網(wǎng)絡(luò)中斷網(wǎng)絡(luò)中斷機(jī)械故障機(jī)械故障環(huán)境控制措施失效環(huán)境控制措施失效機(jī)械故障機(jī)械故障結(jié)構(gòu)意外結(jié)構(gòu)意外非惡意人員非惡意人員未獲通知的雇員未獲通知的雇員非惡意人員非惡意人員未獲通知的用戶未獲通知的用戶威脅威脅 示例示例惡意人員惡意人員黑客、解密高手黑客、解密高手惡意人員惡意人員計(jì)算機(jī)犯罪計(jì)算機(jī)犯罪惡意人員惡意人員行業(yè)間諜行業(yè)間諜惡意人員惡意人員政府資助的間諜政府資助的間諜惡意人員惡意人員社會(huì)工程社會(huì)工程惡意人員惡意人員心存不滿的現(xiàn)雇員心存不滿的現(xiàn)雇員惡意人員惡意人員心存不滿的前雇員心存不滿的前雇員惡意人員惡意人員恐怖分子恐怖分子惡意人員惡意人員疏

15、忽的雇員疏忽的雇員惡意人員惡意人員不誠(chéng)實(shí)的雇員（受賄者或被勒索者）不誠(chéng)實(shí)的雇員（受賄者或被勒索者）惡意人員惡意人員惡意移動(dòng)代碼惡意移動(dòng)代碼高級(jí)漏高級(jí)漏洞分類洞分類漏洞簡(jiǎn)短說明漏洞簡(jiǎn)短說明具體示例（如果適用）具體示例（如果適用）物理物理未上鎖的門未上鎖的門 物理物理未受保護(hù)的計(jì)算機(jī)應(yīng)用設(shè)施訪問權(quán)限未受保護(hù)的計(jì)算機(jī)應(yīng)用設(shè)施訪問權(quán)限 物理物理不充分的消防系統(tǒng)不充分的消防系統(tǒng) 物理物理設(shè)計(jì)低劣的建筑設(shè)計(jì)低劣的建筑 物理物理施工低劣的建筑施工低劣的建筑 物理物理施工中使用的易燃材料施工中使用的易燃材料 物理物理裝修中使用的易燃材料裝修中使用的易燃材料 物理物理未上鎖的窗未上鎖的窗 物理物理易受物理襲擊的

16、墻易受物理襲擊的墻 物理物理內(nèi)墻未能在天花板和地板處完全密封房間內(nèi)墻未能在天花板和地板處完全密封房間 自然自然設(shè)備位于故障線路上設(shè)備位于故障線路上 自然自然設(shè)備位于水災(zāi)區(qū)域設(shè)備位于水災(zāi)區(qū)域 自然自然設(shè)備位于雪崩區(qū)域設(shè)備位于雪崩區(qū)域 高級(jí)漏高級(jí)漏洞分類洞分類漏洞簡(jiǎn)短說明漏洞簡(jiǎn)短說明具體示例（如果適用）具體示例（如果適用）硬件硬件缺少修補(bǔ)程序缺少修補(bǔ)程序 硬件硬件過期的固件過期的固件 硬件硬件配置錯(cuò)誤的系統(tǒng)配置錯(cuò)誤的系統(tǒng) 硬件硬件未受物理保護(hù)的系統(tǒng)未受物理保護(hù)的系統(tǒng) 硬件硬件在公共接口上允許的管理協(xié)議在公共接口上允許的管理協(xié)議 軟件軟件過期的防病毒軟件過期的防病毒軟件 軟件軟件缺少修補(bǔ)程序缺少修補(bǔ)

17、程序 軟件軟件編寫低劣的應(yīng)用程序編寫低劣的應(yīng)用程序跨站點(diǎn)腳本跨站點(diǎn)腳本軟件軟件編寫低劣的應(yīng)用程序編寫低劣的應(yīng)用程序SQL 注入注入軟件軟件編寫低劣的應(yīng)用程序編寫低劣的應(yīng)用程序代碼弱點(diǎn)，如緩沖區(qū)溢出代碼弱點(diǎn)，如緩沖區(qū)溢出軟件軟件故意設(shè)置的弱點(diǎn)故意設(shè)置的弱點(diǎn)用于管理或系統(tǒng)恢復(fù)的供應(yīng)商后門用于管理或系統(tǒng)恢復(fù)的供應(yīng)商后門軟件軟件故意設(shè)置的弱點(diǎn)故意設(shè)置的弱點(diǎn)Spyware，如，如 keyloggers軟件軟件故意設(shè)置的弱點(diǎn)故意設(shè)置的弱點(diǎn)特洛伊木馬特洛伊木馬 軟件軟件故意設(shè)置的弱點(diǎn)故意設(shè)置的弱點(diǎn) 軟件軟件配置錯(cuò)誤配置錯(cuò)誤導(dǎo)致配置不一致的手工供應(yīng)導(dǎo)致配置不一致的手工供應(yīng)軟件軟件配置錯(cuò)誤配置錯(cuò)誤未強(qiáng)化系統(tǒng)未強(qiáng)

18、化系統(tǒng)軟件軟件配置錯(cuò)誤配置錯(cuò)誤未審核系統(tǒng)未審核系統(tǒng)軟件軟件配置錯(cuò)誤配置錯(cuò)誤未監(jiān)視系統(tǒng)未監(jiān)視系統(tǒng)媒體媒體電子干擾電子干擾 高級(jí)漏高級(jí)漏洞分類洞分類漏洞簡(jiǎn)短說明漏洞簡(jiǎn)短說明具體示例（如果適用）具體示例（如果適用）通信通信未加密的網(wǎng)絡(luò)協(xié)議未加密的網(wǎng)絡(luò)協(xié)議 通信通信到多個(gè)網(wǎng)絡(luò)的連接到多個(gè)網(wǎng)絡(luò)的連接 通信通信允許不必要的協(xié)議允許不必要的協(xié)議 通信通信在網(wǎng)絡(luò)分段之間無過濾在網(wǎng)絡(luò)分段之間無過濾 人為人為定義低劣的程序定義低劣的程序不充分的意外響應(yīng)準(zhǔn)備不充分的意外響應(yīng)準(zhǔn)備人為人為定義低劣的程序定義低劣的程序手工供應(yīng)手工供應(yīng)人為人為定義低劣的程序定義低劣的程序不充分的災(zāi)難恢復(fù)規(guī)劃不充分的災(zāi)難恢復(fù)規(guī)劃人為人為定義

19、低劣的程序定義低劣的程序在生產(chǎn)系統(tǒng)上測(cè)試在生產(chǎn)系統(tǒng)上測(cè)試人為人為定義低劣的程序定義低劣的程序未報(bào)告的違規(guī)未報(bào)告的違規(guī)人為人為定義低劣的程序定義低劣的程序低劣的更改控制低劣的更改控制人為人為被盜憑據(jù)被盜憑據(jù) 風(fēng)險(xiǎn)管理周期模型 （二）風(fēng)險(xiǎn)管理的基本概念 資產(chǎn)資產(chǎn)（Asset） 任何對(duì)組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。對(duì)資產(chǎn)的評(píng)估要從價(jià)值、重要性或敏感度等方面來考慮。 威脅威脅（Threat） 就是可能對(duì)資產(chǎn)或組織造成損害的意外事件的潛在原因，即某種威脅源（threat source）或威脅代理（threat

20、agent）成功利用特定弱點(diǎn)對(duì)資產(chǎn)造成負(fù)面影響的潛在可能。威脅類型包括人為威脅（故意和無意）和非人為威脅（自然和環(huán)境）。識(shí)別并評(píng)估威脅時(shí)需要考慮威脅源的動(dòng)機(jī)和能力。風(fēng)險(xiǎn)管理關(guān)心的是威脅發(fā)生的可能性。 弱點(diǎn)弱點(diǎn)（Vulnerability） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。弱點(diǎn)本身并不能構(gòu)成傷害，它只是威脅利用來實(shí)施影響的一個(gè)條件。風(fēng)險(xiǎn)管理過程中要識(shí)別弱點(diǎn)，并評(píng)估弱點(diǎn)的嚴(yán)重性和可被利用的容易程度。 風(fēng)險(xiǎn)風(fēng)險(xiǎn)（Risk） 特定威脅利用資產(chǎn)的弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性.單個(gè)或者多個(gè)威脅可以利用單個(gè)或者多個(gè)弱點(diǎn)。風(fēng)險(xiǎn)是威

21、脅事件發(fā)生的可能性與影響綜合作用的結(jié)果。 可能性可能性（Likelihood） 對(duì)威脅事件發(fā)生的幾率（Probability）或頻率（Frequency）的定性描述。 影響影響（Impact） 或者是后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 安全措施安全措施（Safeguard） 也稱作控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 殘留風(fēng)險(xiǎn)殘留風(fēng)險(xiǎn)（Residual Risk） 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理各要素之間的關(guān)系風(fēng)險(xiǎn)管理各要素之

22、間的關(guān)系 弱點(diǎn)暴露了具有價(jià)值的資產(chǎn),威脅對(duì)弱點(diǎn)加以利用，從而造成負(fù)面影響，由此導(dǎo)致風(fēng)險(xiǎn).正是因?yàn)轱L(fēng)險(xiǎn)的存在，我們才提出了安全需求，為了實(shí)現(xiàn)需求，必須采取安全措施，以便防范威脅并減少風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理的整個(gè)過程就是在這些要素間相互制約相互作用的關(guān)系中得以進(jìn)展的。 （一）確定信息安全目標(biāo)和戰(zhàn)略 安全目標(biāo)決定了組織能夠接受的風(fēng)險(xiǎn)水平和所滿足的安全程度。應(yīng)該考慮的問題應(yīng)該考慮的問題組織承擔(dān)著哪些重點(diǎn)活動(dòng)組織承擔(dān)著哪些重點(diǎn)活動(dòng)哪些任務(wù)只能在哪些任務(wù)只能在IT的幫助下完成的幫助下完成必須依賴信息的保密性、完整性和可用性必須依賴信息的保密性、完整性和可用性哪些機(jī)密信息需要保護(hù)哪些機(jī)密信息需要保護(hù)意外發(fā)生后對(duì)組織

23、的影響意外發(fā)生后對(duì)組織的影響目標(biāo)目標(biāo)信心信心產(chǎn)品產(chǎn)品信譽(yù)信譽(yù)服務(wù)服務(wù)信息信息資料資料雇員雇員消費(fèi)者消費(fèi)者客戶客戶受益人受益人保護(hù)保護(hù)數(shù)據(jù)數(shù)據(jù)保密性惡意惡意使用使用誤用誤用欺詐欺詐法規(guī)法規(guī)主題主題風(fēng)險(xiǎn)評(píng)估戰(zhàn)略和方法風(fēng)險(xiǎn)評(píng)估戰(zhàn)略和方法信息安全策略的需求信息安全策略的需求系統(tǒng)安全操系統(tǒng)安全操作程序的需作程序的需求求信息敏感性分類方案信息敏感性分類方案連接時(shí)需要滿足的條連接時(shí)需要滿足的條件和檢查方法件和檢查方法事件處事件處理方案理方案只有事先確定了風(fēng)險(xiǎn)評(píng)估的途徑，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析才能有據(jù)而行只有事先確定了風(fēng)險(xiǎn)評(píng)估的途徑，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析才能有據(jù)而行 （二）建立信息安全策略（Information

24、Security Policy）總體方針總體方針特定問題策略特定問題策略（Issue-Specific Policy）特定系統(tǒng)策略特定系統(tǒng)策略（System-Specific Policy）組織對(duì)信息安全的基本認(rèn)識(shí)組織對(duì)信息安全的基本認(rèn)識(shí)組織的安全目標(biāo)和戰(zhàn)略，包括對(duì)法律法規(guī)遵守的考慮組織的安全目標(biāo)和戰(zhàn)略，包括對(duì)法律法規(guī)遵守的考慮組織信息安全所涉及的范圍組織信息安全所涉及的范圍信息安全的組織構(gòu)架和責(zé)任認(rèn)定信息安全的組織構(gòu)架和責(zé)任認(rèn)定信息資產(chǎn)的分類模式信息資產(chǎn)的分類模式風(fēng)險(xiǎn)管理的途徑風(fēng)險(xiǎn)管理的途徑信息資產(chǎn)分類方案信息資產(chǎn)分類方案關(guān)于信息安全管理的其他全局約定關(guān)于信息安全管理的其他全局約定 （一）風(fēng)

25、險(xiǎn)評(píng)估的概念 1、概念 風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。 2、作用 風(fēng)險(xiǎn)評(píng)估（Risk Assessment）是組織確定信息安全需求的一個(gè)重要途徑，屬于組織安全管理策劃的過程。風(fēng)險(xiǎn)評(píng)估的任務(wù)風(fēng)險(xiǎn)評(píng)估的任務(wù)識(shí)別組織面臨的各識(shí)別組織面臨的各種風(fēng)險(xiǎn)種風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)概率和可評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響能帶來的負(fù)面影響確定組織承受風(fēng)險(xiǎn)確定組織承受風(fēng)險(xiǎn)的能力的能力確定風(fēng)險(xiǎn)消減和控確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)制的優(yōu)先等級(jí)推薦風(fēng)險(xiǎn)消減對(duì)策推薦風(fēng)險(xiǎn)消減對(duì)策 首先、要確定保護(hù)的對(duì)象（保護(hù)資產(chǎn)）是什么？它們直接和間接價(jià)值？首先、要確定保護(hù)的對(duì)象（保

26、護(hù)資產(chǎn)）是什么？它們直接和間接價(jià)值？ 其次、資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有其次、資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？多大？ 第三、資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程序又如何？第三、資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程序又如何？ 第四、一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？第四、一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？ 最后、組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程序最后、組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程序 3、風(fēng)險(xiǎn)評(píng)

27、估的幾個(gè)對(duì)應(yīng)關(guān)系 （1）每項(xiàng)資產(chǎn)可能面臨多種威脅 （2）威脅源（威脅代理）可能不止一個(gè) （3）每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn) （二）風(fēng)險(xiǎn)評(píng)估的可行途徑 1、基線評(píng)估（Baseline Risk Assessment）： （1）適用范圍：組織的商業(yè)運(yùn)作不是很復(fù)雜，對(duì)信息處理和網(wǎng)絡(luò)的依賴性不是很高，或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式。 （2）評(píng)估策略：根據(jù)組織實(shí)際的情況，對(duì)信息系統(tǒng)進(jìn)行基線檢查（拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出差距），得出基本的安全需求。通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)。 （3）什么是安全基線： 在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例

28、，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)能達(dá)到一定的安全防護(hù)水平。 （4）可選擇標(biāo)準(zhǔn)： 國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，例如BS 7799-1、ISO 13335-4 行業(yè)標(biāo)準(zhǔn)或推薦，例如德國(guó)聯(lián)邦安全局IT基線保護(hù)手冊(cè) 來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。 （5）優(yōu)點(diǎn)： 需要的資源少，周期短，操作簡(jiǎn)單，對(duì)于環(huán)境相似且安全需求相當(dāng)?shù)闹T多組織，基線評(píng)估是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。 （6）缺點(diǎn)： 基線的高低水平難以設(shè)定，過高可能導(dǎo)致資源浪費(fèi)限制過度；過低又會(huì)造成難以達(dá)到充分的安全。 在管理安全相關(guān)的變化方面，基線評(píng)估比較困難。 2、詳細(xì)評(píng)估： （1）概念： 對(duì)資產(chǎn)進(jìn)行詳細(xì)

29、識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來識(shí)別和選擇安全措施。即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降到可接受的水平，以此證明管理者所采用的安全措施是恰當(dāng)?shù)摹?（2）優(yōu)點(diǎn)： 組織對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)精確的認(rèn)識(shí)，并且準(zhǔn)確定義出組織目前的安全水平和安全需求。 詳細(xì)評(píng)估的結(jié)果可以用來管理安全變化。 （3）缺點(diǎn)： 可能是非常耗費(fèi)資源的過程，包括時(shí)間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息系統(tǒng)范圍，明確商務(wù)環(huán)境、操作和信息資產(chǎn)的邊界。 3、組合評(píng)估： （1）方式： 采用基于基線評(píng)估與詳細(xì)評(píng)估兩者之間的評(píng)估方式。 （2）方法： 組織應(yīng)先對(duì)所有系統(tǒng)進(jìn)行一次初步的高級(jí)風(fēng)險(xiǎn)評(píng)估。著眼與信

30、息系統(tǒng)的商務(wù)價(jià)值和可能面臨的風(fēng)險(xiǎn)，識(shí)別出組織內(nèi)具有高風(fēng)險(xiǎn)或?qū)ζ渖虅?wù)運(yùn)作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應(yīng)劃分在詳細(xì)風(fēng)險(xiǎn)評(píng)估的范圍，而其他系統(tǒng)則可以通過基線風(fēng)險(xiǎn)評(píng)估直接選擇安全措施。 （3）優(yōu)點(diǎn)： 節(jié)省詳細(xì)評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。 （4）缺點(diǎn)： 如果初步的高級(jí)風(fēng)險(xiǎn)評(píng)估不夠準(zhǔn)確，某些本來需要詳細(xì)評(píng)估的系統(tǒng)也許會(huì)被忽略，最終導(dǎo)致結(jié)果失準(zhǔn)。 （三）風(fēng)險(xiǎn)評(píng)估的常用方法 1、基于知識(shí)（Knowledge-based）的分析方法 基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資

31、源，只要通過多種途徑采集相關(guān)的信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比例，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。 基于知識(shí)的分析方法，最重要的還在于評(píng)估信息的采集，信息源包括： 會(huì)議討論 對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查 制作問卷，進(jìn)行調(diào)查 對(duì)相關(guān)人員進(jìn)行訪談 進(jìn)行實(shí)地考察 2、基于模型（Model-based）的分析方法 2001年1月，由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)CORAS項(xiàng)目。 CORAS沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過程，但其試題風(fēng)險(xiǎn)的方法則完全不同

32、，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。 優(yōu)點(diǎn)：提高對(duì)安全相關(guān)我描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加了不同評(píng)估方法互操作的效率。 3、定量（Quantitative）分析 對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)試題風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果都可以被量化。 定量分析的幾個(gè)概念 1、暴露因子（Exposure Factor, EF）:特定威脅對(duì)特定資產(chǎn)靠損失的百分比，或者說損失的程度。 2、單一損失期望（single Loss Expectan

33、cy, SLE）:也稱作SOC（Single Occurrence Costs）,即特定威脅可能造成的潛在損失總量。 3、年度損失期望（Annualized Loss Expectancy, ALE）：或者稱作EAC（Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。 幾個(gè)概念的關(guān)系 （1）首先，識(shí)別資產(chǎn)并為資產(chǎn)賦值 （2）通過威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%100%之間） （3）計(jì)算特定威脅發(fā)生的頻率，即ARO （4）計(jì)算資產(chǎn)的SLE： （5）計(jì)算資產(chǎn)的ALE： 4、定性（Qualitative）分析 定性分析方法是

34、目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性，往往憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素（資產(chǎn)價(jià)值，威脅的可能性，弱點(diǎn)被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級(jí)。 （四）風(fēng)險(xiǎn)評(píng)估工具 1、調(diào)查問卷 2、檢查列表 3、人員訪談 4、漏洞掃描器 5、滲透測(cè)試 （五）風(fēng)險(xiǎn)評(píng)估的基本過程 風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的過程，包括資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定在內(nèi)的一系列活動(dòng)。 （五）風(fēng)險(xiǎn)評(píng)估的基本過程 1、計(jì)劃和準(zhǔn)備 （1）目標(biāo)：開展風(fēng)險(xiǎn)評(píng)估活動(dòng)的目有，期望得到的輸出結(jié)果，關(guān)鍵的約束條件（時(shí)間、成本、技術(shù)、策略、資源等） （2）范

35、圍和邊界：既寂的風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)（包括其弱點(diǎn)、威脅事件和威脅源等）的一個(gè)子集，評(píng)估范圍必須首先明確。 此外，必須定義風(fēng)險(xiǎn)評(píng)估的物理邊界和邏輯邊界。邏輯分析邊界定義了分析所需的廣度和深度，而物理系統(tǒng)邊界則定義了一個(gè)系統(tǒng)起于哪里止于何處。 （3）系統(tǒng)描述：進(jìn)行風(fēng)險(xiǎn)評(píng)估的一個(gè)先決條件就是對(duì)受評(píng)估系統(tǒng)的需求、操作概念和系統(tǒng)資產(chǎn)特性有一個(gè)清晰的認(rèn)識(shí)，必須識(shí)別評(píng)估邊界內(nèi)所有的系統(tǒng)。 （4）角色和責(zé)任：組織應(yīng)該成產(chǎn)一個(gè)專門的風(fēng)險(xiǎn)評(píng)估小組。 （5）風(fēng)險(xiǎn)評(píng)估行動(dòng)計(jì)劃：確定風(fēng)險(xiǎn)評(píng)估的途徑和方法，計(jì)劃評(píng)估步驟。 （6）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)：事先明確組織能夠接受的風(fēng)險(xiǎn)的水平或者等級(jí) （7）風(fēng)險(xiǎn)評(píng)估適用表格：為風(fēng)

36、險(xiǎn)評(píng)估過程擬訂標(biāo)準(zhǔn)化的表格、模板、問卷等材料。 風(fēng)險(xiǎn)評(píng)估計(jì)劃應(yīng)該包括以下內(nèi)容： （1）目標(biāo)：開展風(fēng)險(xiǎn)評(píng)估活動(dòng)的目的，期望得到的輸出結(jié)果，關(guān)鍵的約束條件（時(shí)間、成本、技術(shù)、策略、資源等） （2）范圍和邊界： （3）系統(tǒng)描述： （4）角色和責(zé)任： （5）風(fēng)險(xiǎn)評(píng)估行動(dòng)計(jì)劃： （6）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn) （7）風(fēng)險(xiǎn)評(píng)估適用表格： 信息采集途徑： （1）專家經(jīng)驗(yàn) （2）集體討論或小組討論 （3）人員訪談 （4）調(diào)查問卷 （5）文件審核（包括政策法規(guī)、安全策略、設(shè)計(jì)文檔、操作指南、審計(jì)記錄等） （6）以前的審計(jì)和評(píng)估結(jié)果 （7）對(duì)外部案例和場(chǎng)景的分析 （8）現(xiàn)場(chǎng)戡查 2、識(shí)別并評(píng)價(jià)資產(chǎn) 資產(chǎn)識(shí)別考慮的問題 （1）

37、數(shù)據(jù)與文檔：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、運(yùn)作和支持程序、應(yīng)急計(jì)劃等。 （2）書面文件：合同、策略方針、企業(yè)文件、保持重要商業(yè)結(jié)果的文件。 （3）軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、企業(yè)文件、保持重要商業(yè)結(jié)果的文件。 （4）實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)（磁帶和磁盤），其他的技術(shù)型設(shè)備（電源、空調(diào)），家具，場(chǎng)所。 （5）人員：承但特定職能責(zé)任的人員。 （6）服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)型服務(wù)（供熱、照明、動(dòng)力等）。 （7）組織形象與聲譽(yù)：這是一種無形資產(chǎn) 列入評(píng)估清單的信息資產(chǎn)，一定要是在評(píng)估范圍內(nèi)且與商務(wù)過程相關(guān)的資產(chǎn)，否則，一方面清單過于龐大不便分析，另一方面，分析結(jié)果也

38、會(huì)失去準(zhǔn)確性和本應(yīng)有的意義。 按照定量分析的思想，應(yīng)該確定資產(chǎn)的貨幣價(jià)值，在定義相對(duì)價(jià)值時(shí)，需要考慮。 （1）信息資產(chǎn)因?yàn)槭軗p而對(duì)商務(wù)造成的直接損失。 （2）信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力。 （3）信息資產(chǎn)受損對(duì)其他部門的業(yè)務(wù)造成的損失。 （4）組織在公眾形象和名譽(yù)上的損失。 （5）因?yàn)樯虅?wù)受損導(dǎo)致優(yōu)勢(shì)降級(jí)而引發(fā)的間接損失。 （6）其他損失，例如保險(xiǎn)費(fèi)用的增加。 3、識(shí)別并評(píng)估威脅 （1）人員威脅：包括故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等）和無意失誤（比如誤操作、維護(hù)錯(cuò)誤） （2）系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、

39、介質(zhì)老化） （3）環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等。 （4）自然威脅：洪水、地震、臺(tái)風(fēng)、滑坡、雷電 4、識(shí)別并評(píng)估弱點(diǎn) （1）技術(shù)性弱點(diǎn)：系統(tǒng)、程序設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞； （2）操作性弱點(diǎn)：軟件和系統(tǒng)在配置、操作、使用中的缺陷。包括人員日常工作中的不良習(xí)慣，審計(jì)或備份的缺乏。 （3）管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。 5、識(shí)別并評(píng)估現(xiàn)有的安全措施 目標(biāo)和針對(duì)性 （1）管理性：對(duì)系統(tǒng)的開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期 （2）操作性：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包

40、括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。 （3）技術(shù)性：身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)、加密等。 從控制功能分類： （1）威懾性：可以降低蓄意攻擊的可能性，實(shí)際上針對(duì)的是威脅源的動(dòng)機(jī)。 （2）預(yù)防性：保護(hù)弱點(diǎn)，使攻擊難以成功，或者降低攻擊造成的影響。 （3）檢測(cè)性：可以檢測(cè)并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性控制 （4）糾正性：可以使攻擊造成的影響減到最小 安全措施（控制）應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況 6、評(píng)估風(fēng)險(xiǎn) 威脅的可能性： 風(fēng)險(xiǎn)等級(jí) 風(fēng)險(xiǎn)分析矩陣 7、推薦控制措施 風(fēng)險(xiǎn)評(píng)估結(jié)束后，應(yīng)該提供詳細(xì)的評(píng)估報(bào)告，內(nèi)容包括： （1）概述，包括評(píng)估目的、

41、方法、過程等 （2）評(píng)估結(jié)果，包括資產(chǎn)、威脅、弱點(diǎn)和現(xiàn)有控制措施的評(píng)估等級(jí)，以及最終的風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)。 （3）推薦安全控制措施，提出建議性的解決方案 （一）確定風(fēng)險(xiǎn)消減策略 1、降低風(fēng)險(xiǎn)（Reduce Risk）減少威脅減少弱點(diǎn)降低影響2、規(guī)避風(fēng)險(xiǎn)（Avoid Risk）3、轉(zhuǎn)嫁風(fēng)險(xiǎn)（Transfer Risk）4、接受風(fēng)險(xiǎn)（Accept Risk） （二）選擇安全措施 1、約束條件 （1）經(jīng)濟(jì)約束 （2）時(shí)間約束 （3）技術(shù)約束 （4）社會(huì)約束 （5）環(huán)境約束 （6）法律約束 2、安全措施選擇列表 （三）制定安全計(jì)劃 1、包含內(nèi)容：p 安全目標(biāo)p 風(fēng)險(xiǎn)管理戰(zhàn)略和風(fēng)險(xiǎn)評(píng)估途徑p 已識(shí)別的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)等級(jí)（包括對(duì)威脅和弱點(diǎn)的敘述）p 推薦的安全措施（包括現(xiàn)有的措施）p 風(fēng)險(xiǎn)消減策略和殘留風(fēng)險(xiǎn)的接受標(biāo)準(zhǔn)p 選定的安全措施，確定措施的優(yōu)先級(jí)p 預(yù)期實(shí)施成本（包括人力、所需資源等）p 列舉責(zé)任人員p 確定時(shí)間期限（按優(yōu)先級(jí)可分為短期、中期、長(zhǎng)期）和