信息安全風險評估教材課件

第四章信息安全風險評估第四章信息安全風險評估1本章學習目標了解風險評估的概念、特點和內(nèi)涵；熟悉風險評估的過程及應(yīng)注意的問題；了解如何選擇恰當?shù)娘L險評估方法；掌握典型的風險評估方法；了解風險評估實施準備本章學習目標了解風險評估的概念、特點和內(nèi)涵；24.1信息安全風險評估基礎(chǔ)GB/T20984-2007《信息安全技術(shù)信息安全風險評估規(guī)范》相關(guān)概念資產(chǎn)（Asset）：任何對組織有價值的事如，是安全策略保護的對象。威脅（Threat）:指可能對資產(chǎn)或組織造成損害的事故的潛在原因。脆弱點（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。風險（Risk）：特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結(jié)合。風險評估（RiskAssessment）：對信息或信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性的評估。殘余風險（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。4.1信息安全風險評估基礎(chǔ)GB/T20984-2007《信3風險要素關(guān)系風險要素關(guān)系4信息安全風險評估教材課件5風險評估的兩種方式自評估和檢查評估1自評估“誰主管誰負責，誰運營誰負責”信息系統(tǒng)擁有者依靠自身力量，依據(jù)國家風險評估的管理規(guī)范和技術(shù)標準，對自有的信息系統(tǒng)進行風險評估的活動。優(yōu)點有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息安全知識風險評估的兩種方式自評估和檢查評估6風險評估的兩種方式1自評估缺點：如果沒有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風險評估專業(yè)人才的情況下，自評估的結(jié)果可能不深入、不規(guī)范、不到位自評估中，可能會存在某些不利的干預，從而影響風險評估結(jié)果的客觀性，降低評估結(jié)果的置信度某些時候，即使自評估的結(jié)果比較樂觀，也必須與管理層進行溝通風險評估的兩種方式1自評估7風險評估的兩種方式2檢查評估檢查評估是由信息安全主管部門或業(yè)務(wù)部門發(fā)起的一種評估活動，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準，檢查被評估單位是否滿足了這些法規(guī)或標準。檢查評估通常都是定期的、抽樣進行的評估模式檢查評估缺點：間隔時間較長，如一年一次，通常還是抽樣進行不能貫穿一個部門信息系統(tǒng)生命周期的全過程，很難對信息系統(tǒng)的整體風險狀況作出完整的評價風險評估的兩種方式2檢查評估8風險評估的兩種方式2檢查評估檢查評估應(yīng)覆蓋但不限于以下內(nèi)容：自評估方法的檢查自評估過程記錄檢查自評估結(jié)果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護制度及實施狀況的檢查突發(fā)事件應(yīng)對措施的檢查數(shù)據(jù)完整性保護措施的檢查審計追蹤的檢查風險評估的兩種方式2檢查評估9風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險評估服務(wù)技術(shù)支持方實施，如國家測評認證機構(gòu)或安全企業(yè)公司。風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險10風險分析原理風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。風險分析原理圖風險分析原理風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。11風險分析原理風險分析的主要內(nèi)容為：1對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值2對威脅進行識別，描述威脅的屬性（威脅主體，影響對象，出現(xiàn)頻率，動機等），并對威脅出現(xiàn)的頻率賦值3對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值4根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全時間發(fā)生的可能性根據(jù)脆弱性的嚴重程度和安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值風險分析原理風險分析的主要內(nèi)容為：124.2風險評估的過程4.2.1風險評估的基本步驟第一步：風險評估準備第二步：風險因素識別第三步：風險確定第四步：風險評價第五步：風險控制4.2風險評估的過程4.2.1風險評估的基本步驟13信息安全風險評估教材課件14第一步風險評估準備1確定風險評估的目標風險評估目標要滿足企業(yè)持續(xù)發(fā)展在安全方面的要求，滿足相關(guān)方的要求，滿足法律法規(guī)的要求2風險評估的范圍風險評估范圍可能是企業(yè)全部的信息以及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等3選擇與組織機構(gòu)相適應(yīng)的具體風險判斷方法在選擇具體的風險判斷方法時，應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等諸多因素，使之能夠與組織環(huán)境和安全要求相適應(yīng)4建立風險評估團隊管理層、業(yè)務(wù)骨干、信息技術(shù)人員、技術(shù)專家等5獲得最高管理者對風險評估工作的支持風險評估過程應(yīng)得到企業(yè)最高管理者的支持、批準，并對管理層和技術(shù)人員進行傳達，應(yīng)在組織內(nèi)部對風險評估的相關(guān)內(nèi)容進行培訓，以明確相關(guān)人員在風險評估中的任務(wù)。第一步風險評估準備1確定風險評估的目標15第二步風險因素評估1資產(chǎn)評估識別信息資產(chǎn)，包括數(shù)據(jù)、軟件、硬件、設(shè)備、服務(wù)、文檔等，制定《信息資產(chǎn)列表》保密性、完整性、可用性是評價資產(chǎn)的三個安全屬性風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。第二步風險因素評估1資產(chǎn)評估16資產(chǎn)分類資產(chǎn)分類17信息安全風險評估教材課件18信息安全風險評估教材課件19信息安全風險評估教材課件20資產(chǎn)賦值資產(chǎn)價值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；或三者進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。資產(chǎn)賦值資產(chǎn)價值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等21信息安全風險評估教材課件22第二步風險因素評估2威脅評估威脅（Threat）:指可能對資產(chǎn)或組織造成損害的事故的潛在原因。威脅分析包括：潛在威脅分析、威脅審計和入侵檢測分析、綜合分析威脅賦值應(yīng)根據(jù)威脅發(fā)生的可能性和威脅產(chǎn)生的影響程度綜合確定第二步風險因素評估2威脅評估23信息安全風險評估教材課件24信息安全風險評估教材課件25信息安全風險評估教材課件26威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值27第二步風險因素評估3弱點評估脆弱點（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。第二步風險因素評估3弱點評估28信息安全風險評估教材課件29信息安全風險評估教材課件30第三步風險確定1現(xiàn)有安全措施評估評估人員應(yīng)對已采取的安全措施的有效性進行確認，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，對確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。2風險計算根據(jù)以上評估產(chǎn)生的結(jié)果，計算出每項信息資產(chǎn)的風險值第三步風險確定1現(xiàn)有安全措施評估31風險計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價值Va：脆弱性嚴重程度L：威脅利用資產(chǎn)的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據(jù)自身情況選擇相應(yīng)的風險計算方法來計算風險值，如矩陣法或相乘法。風險計算原理風險值=R(A,T,V)=R(L(T,V),F(32第四步風險判定對所有風險計算結(jié)果進行等級化處理，每個等級代表了相應(yīng)風險的嚴重程度。第四步風險判定對所有風險計算結(jié)果進行等級化處理，每個等級代33第五步風險控制對不可接受的風險應(yīng)根據(jù)導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應(yīng)明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應(yīng)從管理和技術(shù)兩個方面考慮第五步風險控制對不可接受的風險應(yīng)根據(jù)導致該風險的脆弱性制定34殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可再進行評估，以判斷實施安全措施后的殘余風險是否已經(jīng)降低到可接受的水平。殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安35風險評估文檔記錄風險評估文檔記錄36信息安全風險評估教材課件37信息安全風險評估教材課件38風險的計算方法計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價值Va：脆弱性嚴重程度L：威脅利用資產(chǎn)的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據(jù)自身情況選擇相應(yīng)的風險計算方法來計算風險值，如矩陣法或相乘法。風險的計算方法計算原理39風險的計算方法風險值計算涉及的風險要素：資產(chǎn)、威脅、脆弱性由威脅和脆弱性確定安全事件發(fā)生的可能性由資產(chǎn)和脆弱性確定安全事件的損失由安全事件發(fā)生的可能性和安全事件的損失確定風險值目前，常用的計算方法是矩陣法和相乘法風險的計算方法風險值計算涉及的風險要素：資產(chǎn)、威脅、脆弱性40使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素值的情形Z=f(x,y)，函數(shù)f采用矩陣法x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi為正整數(shù)y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj為正整數(shù)以要素x和要素y的取值構(gòu)造一個二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內(nèi)mxn個值即為要素z的取值。使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素41信息安全風險評估教材課件42使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數(shù)Zij的計算需要根據(jù)實際情況確定，矩陣內(nèi)zij的值不一定遵循統(tǒng)一的計算公式，但必須具有統(tǒng)一的增減趨勢，即如果f是遞增函數(shù)，zij的值應(yīng)隨著xi和yj的值遞增，反之亦然。使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式43使用矩陣法計算風險值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法計算風險值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點弱點嚴44使用矩陣法計算風險值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值，其他風險值計算過程類似1計算安全事件發(fā)生的可能性首先由威脅發(fā)生的頻率和弱點的嚴重程度值構(gòu)建安全事件可能性矩陣然后根據(jù)T1發(fā)生的頻率值和V1嚴重程度值在矩陣中進行對照，確定安全事件發(fā)生可能性值使用矩陣法計算風險值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱45威脅發(fā)生的頻率T1=2弱點嚴重性程度V1=2安全事件發(fā)生可能性值=6威脅發(fā)生的頻率T1=246由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構(gòu)建風險矩陣，需對安全事件發(fā)生可能可能性進行等級劃分該安全事件發(fā)生可能性等級為2由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構(gòu)建風險矩47使用矩陣法計算風險值示例2計算安全事件的損失

首先由資產(chǎn)價值和弱點嚴重程度值構(gòu)建安全事件損失矩陣然后對照表，確定安全事件損失值使用矩陣法計算風險值示例2計算安全事件的損失48資產(chǎn)A1的價值=2弱點嚴重性程度V1=2安全事件損失值=5資產(chǎn)A1的價值=249由于安全事件損失值將參與風險事件值的計算，為了構(gòu)建風險矩陣，需對安全事件損失進行等級劃分該安全事件損失等級為1由于安全事件損失值將參與風險事件值的計算，為了構(gòu)建風險矩陣，50使用矩陣法計算風險值示例3計算風險值首先由安全事件發(fā)生可能性和安全事件損失構(gòu)建安全風險矩陣然后對照表，確定安全風險值使用矩陣法計算風險值示例3計算風險值51安全事件發(fā)生可能性等級為2安全事件損失等級為1安全風險值=6安全事件發(fā)生可能性等級為252結(jié)果判定，確定風險等級劃分根據(jù)上述計算方法，計算資產(chǎn)的其他風險值，并根據(jù)風險等級劃分表，確定風險等級結(jié)果判定，確定風險等級劃分53信息安全風險評估教材課件54信息安全風險評估教材課件55使用相乘法計算風險值相乘法主要用于兩個或多個要素值確定一個要素值的情形相乘法的原理z=f(x,y)=xXy也可以相乘后開平方或取模運算等。使用相乘法計算風險值相乘法主要用于兩個或多個要素值確定一個要56使用相乘法計算風險值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值計算公式x和y的積的平方根的四舍五入結(jié)果設(shè)資產(chǎn)A1價值為4，面臨的威脅T1發(fā)生的頻率為1，可利用的弱點V1嚴重程度為31計算安全事件發(fā)生的可能性威脅發(fā)生的頻率T1=1弱點嚴重性程度V1=3安全事件發(fā)生可能性值=使用相乘法計算風險值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱57使用相乘法計算風險值示例2計算安全事件的損失資產(chǎn)價值A(chǔ)1=4脆弱性嚴重程度V1=3安全事件的損失=3計算風險值安全事件發(fā)生可能性=安全事件損失=安全事件風險值==6根據(jù)風險等級劃分表，風險等級確定為2使用相乘法計算風險值示例2計算安全事件的損失584.6風險評估實施4.6.1風險評估實施原則目標一致關(guān)注重點資產(chǎn)用戶參與重視質(zhì)量管理和過程4.6風險評估實施4.6.1風險評估實施原則594.6.2風險評估流程1前期準備階段2現(xiàn)場調(diào)查階段3風險分析階段4策略制定階段4.6.2風險評估流程60前期準備階段背景資料準備技術(shù)資料準備調(diào)查提綱準備調(diào)查提綱確認簽署保密協(xié)議前期準備階段背景資料準備61現(xiàn)場調(diào)查階段人員調(diào)查了解組織最重視的信息資產(chǎn)、最擔心發(fā)生的事件以及組織對信息系統(tǒng)安全的期望調(diào)查了解組織中曾經(jīng)發(fā)生過的信息安全相關(guān)事件采用問詢、會議、資料審計的形式獲取相關(guān)的數(shù)據(jù)，包括目前信息管理的規(guī)章制度以及具體實施情況技術(shù)調(diào)查網(wǎng)絡(luò)架構(gòu)調(diào)查繪制被評估單位的網(wǎng)絡(luò)拓撲結(jié)構(gòu)；目前網(wǎng)絡(luò)上的虛擬網(wǎng)劃分與使用情況；明確網(wǎng)絡(luò)邊界；對業(yè)務(wù)系統(tǒng)的安全等級建議，確認目前達到的安全等級等現(xiàn)場調(diào)查階段人員調(diào)查62現(xiàn)場調(diào)查階段技術(shù)調(diào)查業(yè)務(wù)流程調(diào)查主要業(yè)務(wù)系統(tǒng)之間的邏輯關(guān)系；業(yè)務(wù)的安全要求；系統(tǒng)業(yè)務(wù)功能；形成業(yè)務(wù)流程現(xiàn)狀圖；初步分析業(yè)務(wù)流程現(xiàn)狀中存在的問題等主機系統(tǒng)調(diào)查主機系統(tǒng)固有的漏洞和配置問題；系統(tǒng)提供的服務(wù)；賬號的安全情況；采用的訪問控制策略；日志審計等情況數(shù)據(jù)庫系統(tǒng)調(diào)查賬號、密碼設(shè)置情況；數(shù)據(jù)庫使用情況，存儲、備份方法；數(shù)據(jù)庫系統(tǒng)固有的漏洞；日志審計等現(xiàn)場調(diào)查階段技術(shù)調(diào)查63現(xiàn)場調(diào)查階段技術(shù)調(diào)查系統(tǒng)服務(wù)的調(diào)查調(diào)查通用的應(yīng)用服務(wù)狀況，如web、mail、ftp等服務(wù)數(shù)據(jù)獲取手段流程調(diào)查、技術(shù)資料、資料分析、工具分析、現(xiàn)場檢查、問詢、會議等工具漏掃工具、完整性檢查工具、網(wǎng)管軟件、流量分析工具、滲透工具等現(xiàn)場調(diào)查階段技術(shù)調(diào)查64風險分析階段安全需求分析系統(tǒng)威脅分析系統(tǒng)脆弱性分析控制措施有效性分析系統(tǒng)影響分析綜合分析風險分析階段安全需求分析65策略制定階段制定安全保護策略制定實施計劃策略制定階段制定安全保護策略66習題和思考題作業(yè)1基于表現(xiàn)形式對威脅進行分類并簡要描述。2簡要描述資產(chǎn)、威脅和脆弱性的關(guān)系答疑習題和思考題作業(yè)67第四章信息安全風險評估第四章信息安全風險評估68本章學習目標了解風險評估的概念、特點和內(nèi)涵；熟悉風險評估的過程及應(yīng)注意的問題；了解如何選擇恰當?shù)娘L險評估方法；掌握典型的風險評估方法；了解風險評估實施準備本章學習目標了解風險評估的概念、特點和內(nèi)涵；694.1信息安全風險評估基礎(chǔ)GB/T20984-2007《信息安全技術(shù)信息安全風險評估規(guī)范》相關(guān)概念資產(chǎn)（Asset）：任何對組織有價值的事如，是安全策略保護的對象。威脅（Threat）:指可能對資產(chǎn)或組織造成損害的事故的潛在原因。脆弱點（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。風險（Risk）：特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結(jié)合。風險評估（RiskAssessment）：對信息或信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性的評估。殘余風險（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。4.1信息安全風險評估基礎(chǔ)GB/T20984-2007《信70風險要素關(guān)系風險要素關(guān)系71信息安全風險評估教材課件72風險評估的兩種方式自評估和檢查評估1自評估“誰主管誰負責，誰運營誰負責”信息系統(tǒng)擁有者依靠自身力量，依據(jù)國家風險評估的管理規(guī)范和技術(shù)標準，對自有的信息系統(tǒng)進行風險評估的活動。優(yōu)點有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長有利于降低風險評估的費用有利于提高本單位的風險評估能力與信息安全知識風險評估的兩種方式自評估和檢查評估73風險評估的兩種方式1自評估缺點：如果沒有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風險評估專業(yè)人才的情況下，自評估的結(jié)果可能不深入、不規(guī)范、不到位自評估中，可能會存在某些不利的干預，從而影響風險評估結(jié)果的客觀性，降低評估結(jié)果的置信度某些時候，即使自評估的結(jié)果比較樂觀，也必須與管理層進行溝通風險評估的兩種方式1自評估74風險評估的兩種方式2檢查評估檢查評估是由信息安全主管部門或業(yè)務(wù)部門發(fā)起的一種評估活動，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準，檢查被評估單位是否滿足了這些法規(guī)或標準。檢查評估通常都是定期的、抽樣進行的評估模式檢查評估缺點：間隔時間較長，如一年一次，通常還是抽樣進行不能貫穿一個部門信息系統(tǒng)生命周期的全過程，很難對信息系統(tǒng)的整體風險狀況作出完整的評價風險評估的兩種方式2檢查評估75風險評估的兩種方式2檢查評估檢查評估應(yīng)覆蓋但不限于以下內(nèi)容：自評估方法的檢查自評估過程記錄檢查自評估結(jié)果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護制度及實施狀況的檢查突發(fā)事件應(yīng)對措施的檢查數(shù)據(jù)完整性保護措施的檢查審計追蹤的檢查風險評估的兩種方式2檢查評估76風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險評估服務(wù)技術(shù)支持方實施，如國家測評認證機構(gòu)或安全企業(yè)公司。風險評估的兩種方式無論是自評估，還是檢查評估，都可以委托風險77風險分析原理風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。風險分析原理圖風險分析原理風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。78風險分析原理風險分析的主要內(nèi)容為：1對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值2對威脅進行識別，描述威脅的屬性（威脅主體，影響對象，出現(xiàn)頻率，動機等），并對威脅出現(xiàn)的頻率賦值3對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值4根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全時間發(fā)生的可能性根據(jù)脆弱性的嚴重程度和安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值風險分析原理風險分析的主要內(nèi)容為：794.2風險評估的過程4.2.1風險評估的基本步驟第一步：風險評估準備第二步：風險因素識別第三步：風險確定第四步：風險評價第五步：風險控制4.2風險評估的過程4.2.1風險評估的基本步驟80信息安全風險評估教材課件81第一步風險評估準備1確定風險評估的目標風險評估目標要滿足企業(yè)持續(xù)發(fā)展在安全方面的要求，滿足相關(guān)方的要求，滿足法律法規(guī)的要求2風險評估的范圍風險評估范圍可能是企業(yè)全部的信息以及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等3選擇與組織機構(gòu)相適應(yīng)的具體風險判斷方法在選擇具體的風險判斷方法時，應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等諸多因素，使之能夠與組織環(huán)境和安全要求相適應(yīng)4建立風險評估團隊管理層、業(yè)務(wù)骨干、信息技術(shù)人員、技術(shù)專家等5獲得最高管理者對風險評估工作的支持風險評估過程應(yīng)得到企業(yè)最高管理者的支持、批準，并對管理層和技術(shù)人員進行傳達，應(yīng)在組織內(nèi)部對風險評估的相關(guān)內(nèi)容進行培訓，以明確相關(guān)人員在風險評估中的任務(wù)。第一步風險評估準備1確定風險評估的目標82第二步風險因素評估1資產(chǎn)評估識別信息資產(chǎn)，包括數(shù)據(jù)、軟件、硬件、設(shè)備、服務(wù)、文檔等，制定《信息資產(chǎn)列表》保密性、完整性、可用性是評價資產(chǎn)的三個安全屬性風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。第二步風險因素評估1資產(chǎn)評估83資產(chǎn)分類資產(chǎn)分類84信息安全風險評估教材課件85信息安全風險評估教材課件86信息安全風險評估教材課件87資產(chǎn)賦值資產(chǎn)價值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；或三者進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。資產(chǎn)賦值資產(chǎn)價值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等88信息安全風險評估教材課件89第二步風險因素評估2威脅評估威脅（Threat）:指可能對資產(chǎn)或組織造成損害的事故的潛在原因。威脅分析包括：潛在威脅分析、威脅審計和入侵檢測分析、綜合分析威脅賦值應(yīng)根據(jù)威脅發(fā)生的可能性和威脅產(chǎn)生的影響程度綜合確定第二步風險因素評估2威脅評估90信息安全風險評估教材課件91信息安全風險評估教材課件92信息安全風險評估教材課件93威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值94第二步風險因素評估3弱點評估脆弱點（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。第二步風險因素評估3弱點評估95信息安全風險評估教材課件96信息安全風險評估教材課件97第三步風險確定1現(xiàn)有安全措施評估評估人員應(yīng)對已采取的安全措施的有效性進行確認，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，對確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。2風險計算根據(jù)以上評估產(chǎn)生的結(jié)果，計算出每項信息資產(chǎn)的風險值第三步風險確定1現(xiàn)有安全措施評估98風險計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價值Va：脆弱性嚴重程度L：威脅利用資產(chǎn)的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據(jù)自身情況選擇相應(yīng)的風險計算方法來計算風險值，如矩陣法或相乘法。風險計算原理風險值=R(A,T,V)=R(L(T,V),F(99第四步風險判定對所有風險計算結(jié)果進行等級化處理，每個等級代表了相應(yīng)風險的嚴重程度。第四步風險判定對所有風險計算結(jié)果進行等級化處理，每個等級代100第五步風險控制對不可接受的風險應(yīng)根據(jù)導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應(yīng)明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應(yīng)從管理和技術(shù)兩個方面考慮第五步風險控制對不可接受的風險應(yīng)根據(jù)導致該風險的脆弱性制定101殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可再進行評估，以判斷實施安全措施后的殘余風險是否已經(jīng)降低到可接受的水平。殘余風險評估在對于不可接受的風險選擇適當安全措施后，為確保安102風險評估文檔記錄風險評估文檔記錄103信息安全風險評估教材課件104信息安全風險評估教材課件105風險的計算方法計算原理風險值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風險計算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價值Va：脆弱性嚴重程度L：威脅利用資產(chǎn)的脆弱性導致安全事件的可能性F：安全事件發(fā)生后造成的損失評估者可根據(jù)自身情況選擇相應(yīng)的風險計算方法來計算風險值，如矩陣法或相乘法。風險的計算方法計算原理106風險的計算方法風險值計算涉及的風險要素：資產(chǎn)、威脅、脆弱性由威脅和脆弱性確定安全事件發(fā)生的可能性由資產(chǎn)和脆弱性確定安全事件的損失由安全事件發(fā)生的可能性和安全事件的損失確定風險值目前，常用的計算方法是矩陣法和相乘法風險的計算方法風險值計算涉及的風險要素：資產(chǎn)、威脅、脆弱性107使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素值的情形Z=f(x,y)，函數(shù)f采用矩陣法x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi為正整數(shù)y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj為正整數(shù)以要素x和要素y的取值構(gòu)造一個二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內(nèi)mxn個值即為要素z的取值。使用矩陣法計算風險值矩陣法主要適用于由兩個要素值確定一個要素108信息安全風險評估教材課件109使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數(shù)Zij的計算需要根據(jù)實際情況確定，矩陣內(nèi)zij的值不一定遵循統(tǒng)一的計算公式，但必須具有統(tǒng)一的增減趨勢，即如果f是遞增函數(shù)，zij的值應(yīng)隨著xi和yj的值遞增，反之亦然。使用矩陣法計算風險值對于z值的計算，可以采取以下計算公式110使用矩陣法計算風險值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點弱點嚴重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法計算風險值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點弱點嚴111使用矩陣法計算風險值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱點V1為例，計算安全風險值，其他風險值計算過程類似1計算安全事件發(fā)生的可能性首先由威脅發(fā)生的頻率和弱點的嚴重程度值構(gòu)建安全事件可能性矩陣然后根據(jù)T1發(fā)生的頻率值和V1嚴重程度值在矩陣中進行對照，確定安全事件發(fā)生可能性值使用矩陣法計算風險值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱112威脅發(fā)生的頻率T1=2弱點嚴重性程度V1=2安全事件發(fā)生可能性值=6威脅發(fā)生的頻率T1=2113由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構(gòu)建風險矩陣，需對安全事件發(fā)生可能可能性進行等級劃分該安全事件發(fā)生可能性等級為2由于安全事件發(fā)生可能性將參與風險事件值的計算，為了構(gòu)建風險矩114使用矩陣法計算風險值示例2計算安全事件的損失

首先由資產(chǎn)價值和弱點嚴重程度值構(gòu)建安全事件損失矩陣然后對照表，確定安全事件損失值使用矩陣法計算風險值示例2計算安全事件的損失115資產(chǎn)A1的價值=2弱點嚴重性程度V1=2安全事件損失值=5資產(chǎn)A1的價值=2116由于安全事件損失值將參與風險事件值的計算，為了構(gòu)建風險矩陣，需對安全事件損失進行等級劃分該安全事件損失等級為1由于安全事件損失值將參與風險事件值的計算，為了構(gòu)建風險矩陣，117使用矩陣法計算風險值示例3計算風險值首先由安全事件發(fā)生可能性和安全事件損失構(gòu)建安全風險矩陣然后對照表，確定安全風險值使用矩陣法計算風險值示例3計算風險值118安全事件發(fā)生可能性等級為2安全事件損失等級為1安全風險值=6安全事件發(fā)生可能性等級為2119結(jié)果判定，確定風險等級劃分根據(jù)上述計算方法，計算資產(chǎn)的其他風險值，并根據(jù)風險等級劃分表，確定風險等級結(jié)果判定，確定風險等級劃分120信息安全風險評估教材課件121信息安全風險評估教材課件122使用相乘法計算風險