信息安全評(píng)估-V4.2

1、信息安全評(píng)估講師姓名 機(jī)構(gòu)名稱版本：4.2課程內(nèi)容2信息安全評(píng)估知識(shí)域知識(shí)子域安全評(píng)估基礎(chǔ)信息系統(tǒng)審計(jì)安全評(píng)估實(shí)施知識(shí)子域：安全評(píng)估基礎(chǔ)安全評(píng)估概念了解安全評(píng)估的定義、價(jià)值、風(fēng)險(xiǎn)評(píng)估工作內(nèi)容及安全評(píng)估工具類型；了解安全評(píng)估標(biāo)準(zhǔn)的發(fā)展；3安全評(píng)估基本概念什么是安全評(píng)估針對(duì)事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進(jìn)行識(shí)別、評(píng)價(jià)的過(guò)程對(duì)安全評(píng)估的理解狹義廣義4風(fēng)險(xiǎn)評(píng)估是確定安全需求的重要途徑！安全評(píng)估工作內(nèi)容確定保護(hù)的對(duì)象（保護(hù)資產(chǎn)）是什么？它們直接和間接價(jià)值？資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問(wèn)題所在？威脅發(fā)生的可能性有多大？資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程序又如何？

2、一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降低到最低程序。5安全評(píng)估的價(jià)值安全建設(shè)的起點(diǎn)和基礎(chǔ)信息安全建設(shè)和管理的科學(xué)方法倡導(dǎo)適度安全保護(hù)網(wǎng)絡(luò)空間安全的核心要素和重要手段6風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估與管理工具一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓麸L(fēng)險(xiǎn)評(píng)估輔助工具實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)

3、分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)7知識(shí)子域：安全評(píng)估基礎(chǔ)安全評(píng)估標(biāo)準(zhǔn)了解TCSEC基本目標(biāo)和要求、分級(jí)等概念；了解ITSEC標(biāo)準(zhǔn)的適用范圍、功能準(zhǔn)則和評(píng)估準(zhǔn)則的級(jí)別；了解ISO 15408標(biāo)準(zhǔn)的適用范圍、作用和使用中的局限性；了解GB/T 18336結(jié)構(gòu)、作用及評(píng)估的過(guò)程；理解評(píng)估對(duì)象（TOE）、保護(hù)輪廓（PP）、安全目標(biāo)（ST）、評(píng)估保證級(jí)（EAL）等關(guān)鍵概念；了解信息安全等級(jí)測(cè)評(píng)的作用和過(guò)程。8安全評(píng)估標(biāo)準(zhǔn)9TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)）美國(guó)政府國(guó)防部（DoD）標(biāo)準(zhǔn)，為評(píng)估計(jì)算機(jī)系統(tǒng)內(nèi)置的計(jì)算機(jī)安全功能的有效性設(shè)定了基本要求國(guó)家安全局的國(guó)家計(jì)算機(jī)安全中心（NCSC

4、）于1983年發(fā)布，1985年更新，作為國(guó)防部彩虹系列出版物的核心，TCSEC經(jīng)常被稱為橙皮書。 TCSEC已被2005年最初公布的國(guó)際標(biāo)準(zhǔn)通用準(zhǔn)則（CC）所取代。10TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)）基本目標(biāo)和要求策略問(wèn)責(zé)保證文檔分級(jí)D-最小保護(hù)C-選擇保護(hù)（C1、C2）B-強(qiáng)制保護(hù)（B1、B2、B3）A-驗(yàn)證保護(hù)（A1）11TCSECD最小保護(hù)C自主保護(hù) C1-自主安全保護(hù) C2 -受控訪問(wèn)保護(hù)B強(qiáng)制保護(hù) B1-標(biāo)簽安全 B2-結(jié)構(gòu)化保護(hù) B3-安全域A驗(yàn)證保護(hù) A1 -驗(yàn)證設(shè)計(jì)ITSEC（信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)）以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分功能準(zhǔn)則：在測(cè)定上

5、分F1-F10共10級(jí)15級(jí)對(duì)應(yīng)于TCSEC的D到A610級(jí)加上了以下概念：F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性F10：包括機(jī)密性和完整性的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則：分為6級(jí)：E1：測(cè)試 E2：配置控制和可控的分配E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼 E4：詳細(xì)的脆弱性分析 E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng) E6：設(shè)計(jì)與源碼在形式上一致。12FC（聯(lián)邦（最低安全要求）評(píng)估準(zhǔn)則） 美國(guó)信息技術(shù)安全聯(lián)邦準(zhǔn)則(FC)1992年12月公布，是對(duì)TCSEC的升級(jí)引入了“保護(hù)輪廓（PP）”這一重要概念保護(hù)輪廓包括功能部分開發(fā)保證部分測(cè)評(píng)部分分級(jí)方式與TCSEC不同，吸取了ITSEC、

6、CTCPEC中的優(yōu)點(diǎn)供美國(guó)政府用，民用和商用。13CC(信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn))目前最全面的信息技術(shù)安全評(píng)估準(zhǔn)則主要思想和框架取自ITSEC和FC，充分突出“保護(hù)輪廓”，將評(píng)估過(guò)程分“功能”和“保證”兩部分CC強(qiáng)調(diào)將安全的功能與保障分離，并將功能需求分為九類63族，將保障分為七類29族。14國(guó)際標(biāo)準(zhǔn)組織于1999年批準(zhǔn)CC標(biāo)準(zhǔn)以“ISO/IEC 15408-1999”編號(hào)正式列入國(guó)際標(biāo)準(zhǔn)系列！CC(信息技術(shù)安全評(píng)估通用準(zhǔn)則)我國(guó)在2008年等同采用ISO/IEC 15408：2005 信息技術(shù)-安全技術(shù)-信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)形成的國(guó)家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編號(hào)為GB/T 18336結(jié)構(gòu)GB/T 1833

7、6.1-2008簡(jiǎn)介和一般模型定義了IT 安全評(píng)估的一般概念和原理，并提出了評(píng)估的一般模型GB/T 18336.2-2008安全功能要求建立一系列功能組件作為表達(dá)TOE功能要求的標(biāo)準(zhǔn)方法GB/T 18336.3-2008安全保證要求建立一系列保證組件作為表達(dá)TOE保證要求的標(biāo)準(zhǔn)方法15GB/T 18336（CC）的目標(biāo)讀者TOE（評(píng)估對(duì)象）的客戶CC從寫作安排上確保評(píng)估滿足用戶的需求，因?yàn)檫@是評(píng)估過(guò)程的根本目的和理由。TOE的開發(fā)者為開發(fā)者在準(zhǔn)備和協(xié)助評(píng)估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足的安全需求方面提供支持。TOE的評(píng)估者CC 包含評(píng)估者判定TOE 與其安全需求一致時(shí)所使用的準(zhǔn)則。16

8、CC的關(guān)鍵概念17評(píng)估對(duì)象（Target of Evaluation，TOE）作為評(píng)估主體（產(chǎn)品、系統(tǒng)、子系統(tǒng)等）的IT產(chǎn)品及系統(tǒng)以及相關(guān)的指導(dǎo)性文檔。保護(hù)輪廓（PP）滿足特定用戶需求的、一類TOE的、一組與實(shí)現(xiàn)無(wú)關(guān)的安全要求。安全目標(biāo)（Security Target，ST）作為指定的TOE評(píng)估基礎(chǔ)的一組安全要求和規(guī)范。CC的關(guān)鍵概念功能規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事。結(jié)構(gòu):類、族、組件保證實(shí)體達(dá)到其安全性目的的信任基礎(chǔ)，是對(duì)功能產(chǎn)生信心的方法包為滿足一組確定的安全目的而組合在一起的，一組可重用的功能或保證組件18評(píng)估保證級(jí)別（EAL）19評(píng)估流程20CC的意義CC的意義通過(guò)評(píng)估有助于

9、增強(qiáng)用戶對(duì)于IT產(chǎn)品的安全信心促進(jìn)IT產(chǎn)品和系統(tǒng)的安全性消除重復(fù)的評(píng)估優(yōu)勢(shì)國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；已有安全準(zhǔn)則的總結(jié)和兼容，是目前最全面的評(píng)價(jià)準(zhǔn)則；通用的表達(dá)方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴(kuò)展CC要求CC的局限性CC標(biāo)準(zhǔn)采用半形式化語(yǔ)言，比較難以理解； CC不包括那些與IT安全措施沒有直接關(guān)聯(lián)的、屬于行政性管理安全措施的評(píng)估準(zhǔn)則，即該標(biāo)準(zhǔn)并不關(guān)注于組織、人員、環(huán)境、設(shè)備、網(wǎng)絡(luò)等方面的具體的安全措施； CC重點(diǎn)關(guān)注人為的威脅，對(duì)于其他威脅源并沒有考慮； 并不針對(duì)IT安全性的物理方面的評(píng)估（如電磁干擾）； CC并不涉及評(píng)估方法學(xué)； CC不包括密碼算法固有質(zhì)量的評(píng)估。

10、22信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)信息系統(tǒng)安全等級(jí)測(cè)評(píng)重要性檢測(cè)評(píng)估信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)基本要求的過(guò)程落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)等級(jí)測(cè)評(píng)過(guò)程 測(cè)評(píng)準(zhǔn)備活動(dòng) 方案編制活動(dòng) 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng) 分析與報(bào)告編制活動(dòng) 23知識(shí)子域：安全評(píng)估實(shí)施風(fēng)險(xiǎn)評(píng)估相關(guān)要素理解資產(chǎn)、威脅、脆弱性、安全風(fēng)險(xiǎn)、安全措施、殘余風(fēng)險(xiǎn)等風(fēng)險(xiǎn)評(píng)估相關(guān)要素及相互關(guān)系。風(fēng)險(xiǎn)評(píng)估途徑與方法了解基線評(píng)估等風(fēng)險(xiǎn)評(píng)估途徑及自評(píng)估、檢查評(píng)估等風(fēng)險(xiǎn)評(píng)估方法；了解基于知識(shí)的評(píng)估，理解定性評(píng)估、定量評(píng)估的概念及區(qū)別并掌握定量分析中量化風(fēng)險(xiǎn)的方法。24風(fēng)險(xiǎn)評(píng)估相關(guān)要素-資產(chǎn)構(gòu)成風(fēng)險(xiǎn)評(píng)估的資產(chǎn)是建立對(duì)組織具有價(jià)值的信息或資源，是安全策

11、略保護(hù)的對(duì)象。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量， 而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。25風(fēng)險(xiǎn)評(píng)估相關(guān)要素-威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。引起風(fēng)險(xiǎn)的外因造成威脅的因素人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。26風(fēng)險(xiǎn)評(píng)估相關(guān)要素-脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。威脅總是要利用資產(chǎn)的

12、脆弱性才可能造成危害。27風(fēng)險(xiǎn)評(píng)估相關(guān)要素-信息安全風(fēng)險(xiǎn)、安全措施信息安全風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件安全措施保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制。殘余風(fēng)險(xiǎn)采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)28風(fēng)險(xiǎn)評(píng)估要素之間關(guān)系29風(fēng)險(xiǎn)評(píng)估途徑與方式風(fēng)險(xiǎn)評(píng)估途徑基線評(píng)估詳細(xì)評(píng)估組合評(píng)估風(fēng)險(xiǎn)評(píng)估方式自評(píng)估：由組織自身發(fā)起，組織自己實(shí)施或委托第三方實(shí)施檢查評(píng)估：由被評(píng)估組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起30風(fēng)險(xiǎn)評(píng)估的常用方法基于

13、知識(shí)分析定量分析定性分析31風(fēng)險(xiǎn)評(píng)估常用方法-定量分析基本概念暴露因子（Exposure Factor, EF）:特定威脅對(duì)特定資產(chǎn)靠損失的百分比，或者說(shuō)損失的程度。單一預(yù)期損失（single Loss Expectancy, SLE）:也稱作SOC（Single Occurrence Costs）,即特定威脅可能造成的潛在損失總量年度預(yù)期損失（Annualized Loss Expectancy, ALE）：或者稱作EAC（Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值32風(fēng)險(xiǎn)評(píng)估常用方法-定量分析概念的關(guān)系首先，識(shí)別資產(chǎn)并為資產(chǎn)賦值通過(guò)威脅和弱點(diǎn)評(píng)估，評(píng)

14、價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%100%之間）計(jì)算特定威脅發(fā)生的頻率，即ARO計(jì)算資產(chǎn)的SLE；計(jì)算資產(chǎn)的ALE；定量風(fēng)險(xiǎn)分析的一種方法就是計(jì)算年度損失預(yù)期值（ALE）。計(jì)算公式如下：年度損失預(yù)期值（ALE） = SLE x 年度發(fā)生率（ARO）單次損失預(yù)期值（SLE） = 暴露因素（EF）x 資產(chǎn)價(jià)值（AV）33風(fēng)險(xiǎn)評(píng)估常用方法-定量分析定量評(píng)估計(jì)算案例計(jì)算由于人員疏忽或設(shè)備老化對(duì)一個(gè)計(jì)算機(jī)機(jī)房所造成火災(zāi)的風(fēng)險(xiǎn)。假設(shè)：組織在3年前計(jì)算機(jī)機(jī)房資產(chǎn)價(jià)值100萬(wàn)，當(dāng)年曾經(jīng)發(fā)生過(guò)一次火災(zāi)導(dǎo)致?lián)p失10萬(wàn)；組織目前計(jì)算機(jī)機(jī)房資產(chǎn)價(jià)值為1000萬(wàn)；經(jīng)過(guò)和當(dāng)?shù)叵啦块T溝通以及組織歷史

15、安全事件記錄發(fā)現(xiàn)，組織所在地及周邊在5年來(lái)發(fā)生過(guò)3次火災(zāi)；該組織額定的財(cái)務(wù)投資收益比是30%由上述條件可計(jì)算風(fēng)險(xiǎn)組織的年度預(yù)期損失及ROSI，為組織提供一個(gè)良好的風(fēng)險(xiǎn)管理財(cái)務(wù)清單34風(fēng)險(xiǎn)評(píng)估常用方法-定量分析根據(jù)歷史數(shù)據(jù)獲得EF：10萬(wàn)100萬(wàn)100%=10%根據(jù)EF計(jì)算目前組織的SLE1000萬(wàn)10%=100萬(wàn)根據(jù)歷史數(shù)據(jù)中ARO計(jì)算ALE100萬(wàn)（35）=60萬(wàn)此時(shí)獲得年度預(yù)期損失值，組織需根據(jù)該損失衡量風(fēng)險(xiǎn)可接受度，如果風(fēng)險(xiǎn)不可接受則需進(jìn)一步計(jì)算風(fēng)險(xiǎn)的處置成本及安全收益；ROSI = (實(shí)施控制前的ALE）（實(shí)施控制后的ALE）（年控制成本）組織定義安全目標(biāo)，假如組織希望火災(zāi)發(fā)生后對(duì)組織

16、的損失降低70%，則，實(shí)施控制后的ALE應(yīng)為：60萬(wàn)（1-70%）=18萬(wàn)年控制成本=（60-18）30%=12.6萬(wàn)則：ROSI=60-18-12.8=29.4萬(wàn)至此，組織通過(guò)年投入12.6萬(wàn)獲得每年29.4萬(wàn)的安全投資收益35風(fēng)險(xiǎn)評(píng)估常用方法-定性分析目前采用最為廣泛的一種方法帶有很強(qiáng)的主觀性，往往憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)36 可能性 影響可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見）LLMHH知識(shí)子域：風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)評(píng)估的基本

17、過(guò)程了解風(fēng)險(xiǎn)評(píng)估基本過(guò)程；理解風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作內(nèi)容；掌握風(fēng)險(xiǎn)識(shí)別中資產(chǎn)的賦值方法；理解風(fēng)險(xiǎn)分析的方法；了解風(fēng)險(xiǎn)結(jié)果判定、風(fēng)險(xiǎn)處理計(jì)劃、殘余風(fēng)險(xiǎn)評(píng)估等階段工作內(nèi)容。風(fēng)險(xiǎn)評(píng)估文檔了解風(fēng)險(xiǎn)評(píng)估文檔化工作的重要性及對(duì)文檔的相關(guān)要求；37風(fēng)險(xiǎn)評(píng)估的基本過(guò)程風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的過(guò)程，包括資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定在內(nèi)的一系列活動(dòng)。38風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)確定風(fēng)險(xiǎn)評(píng)估的范圍組建適當(dāng)?shù)脑u(píng)估管理

18、與實(shí)施團(tuán)隊(duì)進(jìn)行系統(tǒng)調(diào)研確定評(píng)估依據(jù)和方法制定風(fēng)險(xiǎn)評(píng)估方案獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持39風(fēng)險(xiǎn)評(píng)估準(zhǔn)備確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、 法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。確定風(fēng)險(xiǎn)評(píng)估的范圍風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。40風(fēng)險(xiǎn)評(píng)估準(zhǔn)備組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風(fēng)險(xiǎn)評(píng)估小組。評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評(píng)估前的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險(xiǎn)評(píng)

19、估技術(shù)培訓(xùn)和保密教育，制定風(fēng)險(xiǎn)評(píng)估過(guò)程管理相關(guān)規(guī)定。進(jìn)行系統(tǒng)調(diào)研；系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：業(yè)務(wù)戰(zhàn)略及管理制度；主要的業(yè)務(wù)功能和要求；網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；系統(tǒng)邊界；主要的硬件、軟件；數(shù)據(jù)和信息；系統(tǒng)和數(shù)據(jù)的敏感性；支持和使用系統(tǒng)的人員。系統(tǒng)調(diào)研可以采取問(wèn)卷調(diào)查、 現(xiàn)場(chǎng)面談相結(jié)合的方式進(jìn)行。41風(fēng)險(xiǎn)評(píng)估準(zhǔn)備確定評(píng)估依據(jù)和方法根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評(píng)估依據(jù)和評(píng)估方法。評(píng)估依據(jù)包括（但不僅限于）：現(xiàn)有國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；

20、系統(tǒng)安全保護(hù)等級(jí)要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實(shí)時(shí)性或性能要求等。據(jù)組織機(jī)構(gòu)自身的業(yè)務(wù)特點(diǎn)、信息系統(tǒng)特點(diǎn)，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法并加以明確，如定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析，或是半定量風(fēng)險(xiǎn)分析。根據(jù)評(píng)估依據(jù)，應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來(lái)選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。42風(fēng)險(xiǎn)評(píng)估準(zhǔn)備制定風(fēng)險(xiǎn)評(píng)估方案風(fēng)險(xiǎn)評(píng)估方案的目的是為后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃， 用于指導(dǎo)實(shí)施方開展后續(xù)工作。風(fēng)險(xiǎn)評(píng)估方案的內(nèi)容一般包括（但不僅限于）：團(tuán)隊(duì)組織：包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)

21、容；工作計(jì)劃：風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，得到組織最高管理者的支持、批準(zhǔn)；對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)， 在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)， 以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。43資產(chǎn)識(shí)別資產(chǎn)分類、分級(jí)、形態(tài)及資產(chǎn)價(jià)值評(píng)估資產(chǎn)分類數(shù)據(jù)、軟件、硬件、服務(wù)、人員、其他（ （ GB/T 20984信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 ） ）資產(chǎn)形態(tài)有形資產(chǎn)、無(wú)形資產(chǎn)資產(chǎn)分級(jí)保密性分級(jí)、完整性分級(jí)、可用性分級(jí)資產(chǎn)重要性分級(jí)44資產(chǎn)識(shí)別制定資產(chǎn)重要性分級(jí)準(zhǔn)

22、則依據(jù)資產(chǎn)價(jià)值大小對(duì)資產(chǎn)的重要性劃分不同的等級(jí)。資產(chǎn)價(jià)值依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。45賦值重要性等級(jí)定義5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后對(duì)組織造成很小的損失，甚至忽略不計(jì)威脅識(shí)別威脅類型自然因素、人為因素威脅頻率級(jí)別46賦值威脅出現(xiàn)頻率級(jí)別定義5很高出現(xiàn)的頻率很高（或1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)

23、的頻率較高（或1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)3中出現(xiàn)的頻率中等（或1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生脆弱性識(shí)別脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證 脆弱性識(shí)別的難點(diǎn)是什么？三性：隱蔽性、欺騙性、復(fù)雜性 脆弱性識(shí)別的方法有哪些？技術(shù)脆弱性管理脆弱性47賦值脆弱性嚴(yán)重程度級(jí)別定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中如果被威脅利用，將對(duì)資產(chǎn)造成一

24、般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略確認(rèn)已有的控制措施依據(jù)三個(gè)報(bào)告信息系統(tǒng)的描述報(bào)告、信息系統(tǒng)的分析報(bào)息告和信系統(tǒng)的安全要求報(bào)告確認(rèn)已有的安全措施，包括：技術(shù)層面（物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制管理層面（策略、規(guī)章和制度）的安全對(duì)策形成已有安全措施列表?？刂拼胧╊愋皖A(yù)防性、檢測(cè)性和糾正性在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止重復(fù)實(shí)施。48風(fēng)險(xiǎn)分析GB/T 2098

25、4-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范給出信息安全風(fēng)險(xiǎn)分析思路49風(fēng)險(xiǎn)值 = R（A，T，V）= R（L（T，V），F(xiàn)（Ia，Va ）R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件所作用的資產(chǎn)價(jià)值Va表示脆弱性嚴(yán)重程度L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F表示安全事件發(fā)生后造成的損失風(fēng)險(xiǎn)分析計(jì)算安全事件發(fā)生的可能性安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)L(T，V )計(jì)算安全事件發(fā)生后造成的損失安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)F(Ia，Va )計(jì)算風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值=R(安全事件的可能性，安全事件造成的損失)R(L(T，V)，F(xiàn)(Ia，Va )50風(fēng)

26、險(xiǎn)結(jié)果判定評(píng)估風(fēng)險(xiǎn)的等級(jí)評(píng)估風(fēng)險(xiǎn)的等級(jí)依據(jù)風(fēng)險(xiǎn)計(jì)算報(bào)告，根據(jù)已經(jīng)制定的風(fēng)險(xiǎn)分級(jí)準(zhǔn)則，對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，形成風(fēng)險(xiǎn)程度等級(jí)列表。綜合評(píng)估風(fēng)險(xiǎn)狀況匯總各項(xiàng)輸出文檔和風(fēng)險(xiǎn)程度等級(jí)列表，綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況，形成風(fēng)險(xiǎn)評(píng)估報(bào)告51等級(jí)取值范圍名稱描述H25,20高風(fēng)險(xiǎn)最高等級(jí)的風(fēng)險(xiǎn)，需要立即采取應(yīng)對(duì)措施。不可接受。S12,15,16嚴(yán)重風(fēng)險(xiǎn)需要高級(jí)管理層注意。不可接受M6,8,9,10中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5低風(fēng)險(xiǎn)可以通過(guò)例行程序來(lái)處理。可接受。風(fēng)險(xiǎn)處理計(jì)劃對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃管理措施技術(shù)措施52殘余風(fēng)險(xiǎn)評(píng)估實(shí)施安全措施后對(duì)措施有效性進(jìn)行再評(píng)估在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。 某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧?/p>