信息安全管理課件

信息安全管理

（第二版）

授課內(nèi)容：信息安全風(fēng)險(xiǎn)評估

信息安全管理Informationsecuritymanagement第3章信息安全風(fēng)險(xiǎn)評估3.1概述3.2信息安全風(fēng)險(xiǎn)評估策略3.3信息安全風(fēng)險(xiǎn)評估流程3.4信息安全風(fēng)險(xiǎn)評估方法3.5風(fēng)險(xiǎn)評估案例3.6本章小結(jié)3.7習(xí)題從一個故事開始認(rèn)識“風(fēng)險(xiǎn)”3.1 概述

故事梗概傻根在外地打工掙了錢，隨身攜帶著10萬元錢坐上了一輛混雜著很多小偷的長途火車回家。傻根把錢就放在了普通的布質(zhì)書包里。傻根沒有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時(shí)候累了，就坐著打個瞌睡。一路上，葛優(yōu)等小偷團(tuán)伙頻頻出手，嘗試著偷這10萬元錢。但是在好心人劉德華和劉若英等的保護(hù)下，葛優(yōu)等小偷團(tuán)伙未能得逞。好險(xiǎn)啊，如果這錢被偷走了，傻根就娶不上媳婦了。天下無賊？3.1 概述資產(chǎn)（asset）

------對組織具有價(jià)值的任何東西

[ISO/IECTR13335-1：2004]概念威脅（

threat）

------可能導(dǎo)致對系統(tǒng)或組織損害的不希望事故潛在起因

[ISO/IECTR13335-1：2004]脆弱性（vulnerability）（也稱脆弱點(diǎn)、漏洞）

------可能會被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)

[ISO/IECTR13335-1：2004]3.1 概述風(fēng)險(xiǎn)管理（

riskmanagement）------在風(fēng)險(xiǎn)方面指揮或控制一個組織的協(xié)調(diào)活動，一般包括風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受和風(fēng)險(xiǎn)傳遞

[ISOGuide73：2002]風(fēng)險(xiǎn)（

risk）

------事件的概率及其結(jié)果的組合

[ISOGuide73：2002]風(fēng)險(xiǎn)評價(jià)（riskevaluation）------對照風(fēng)險(xiǎn)準(zhǔn)則比較被估計(jì)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)嚴(yán)重性的過程

[ISOGuide73：2002]概念3.1 概述信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對組織有負(fù)面影響的事件。風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×脆弱性嚴(yán)重性（簡單理解）3.1 概述對信息和信息處理設(shè)施的威脅、影響(Impact，指安全事件所帶來的直接和間接損失)和脆弱性及三者發(fā)生的可能性的評估。3.1 概述風(fēng)險(xiǎn)評估（RiskAssessment）故事分析

在火車開動到停止這段時(shí)間內(nèi)，綜合資產(chǎn)、脆弱性、威脅和安全措施等各方面因素進(jìn)行風(fēng)險(xiǎn)評估的結(jié)果是：因?yàn)?0萬元錢不是一筆小數(shù)目（資產(chǎn)），葛優(yōu)等小偷能力很強(qiáng)且決心堅(jiān)決（威脅），且傻根對錢的保管手段（技術(shù)）和意識（管理）都不足（脆弱性），差一點(diǎn)發(fā)生“娶不上媳婦”這樣的結(jié)果（風(fēng)險(xiǎn)）。因好心人劉德華和劉若英等的保護(hù)到位（安全措施），最終錢保住了（風(fēng)險(xiǎn)消減）。3.1 概述以風(fēng)風(fēng)險(xiǎn)險(xiǎn)為為核核心心的的安安全全模模型型（（ISO13335）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅脆弱性安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿足3.1概述述信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估的的意意義義和和作作用用信息息安安全全中中的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估是是傳傳統(tǒng)統(tǒng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)理理論論和和方方法法在在信信息息系系統(tǒng)統(tǒng)中中的的運(yùn)運(yùn)用用，，是是科科學(xué)學(xué)地地分分析析和和理理解解信信息息與與信信息息系系統(tǒng)統(tǒng)在在保保密密性性、、完完整整性性、、可可用用性性等等方方面面所所面面臨臨的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，并并在在風(fēng)風(fēng)險(xiǎn)險(xiǎn)的的減減少少、、轉(zhuǎn)轉(zhuǎn)移移和和規(guī)規(guī)避避等等風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制方方法法之之間間做做出出決決策策的的過過程程。。風(fēng)險(xiǎn)險(xiǎn)評評估估將將導(dǎo)導(dǎo)出出信信息息系系統(tǒng)統(tǒng)的的安安全全需需求求，，因因此此，，所所有有信信息息安安全全建建設(shè)設(shè)都都應(yīng)應(yīng)該該以以風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估為為起起點(diǎn)點(diǎn)。。信信息息安安全全建建設(shè)設(shè)的的最最終終目目的的是是服服務(wù)務(wù)于于信信息息化化，，但但其其直直接接目目的的是是為為了了控控制制安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)。。只有有在在正正確確、、全全面面地地了了解解和和理理解解安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)后后，，才才能能決決定定如如何何處處理理安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，從從而而在在信信息息安安全全的的投投資資、、信信息息安安全全措措施施的的選選擇擇、、信信息息安安全全保保障障體體系系的的建建設(shè)設(shè)等等問問題題中中做做出出合合理理的的決決策策。。持續(xù)的風(fēng)險(xiǎn)評評估工作可以以成為檢查信信息系統(tǒng)本身身乃至信息系系統(tǒng)擁有單位位的績效的有有力手段，風(fēng)風(fēng)險(xiǎn)評估的結(jié)結(jié)果能夠供相相關(guān)主管單位位參考，并使使主管單位通通過行政手段段對信息系統(tǒng)統(tǒng)的立項(xiàng)、投投資、運(yùn)行產(chǎn)產(chǎn)生影響，促促進(jìn)信息系統(tǒng)統(tǒng)擁有單位加加強(qiáng)信息安全全建設(shè)。3.1概述3.1 概述述3.1.1信息安全風(fēng)險(xiǎn)險(xiǎn)評估相關(guān)要要素信息安全風(fēng)險(xiǎn)險(xiǎn)評估的對象象是信息系統(tǒng)統(tǒng)，信息系統(tǒng)統(tǒng)的資產(chǎn)、信信息系統(tǒng)可能能面對的威脅脅、系統(tǒng)中存存在的弱點(diǎn)（（脆弱性）、、系統(tǒng)中已有有的安全措施施等是影響信信息安全風(fēng)險(xiǎn)險(xiǎn)的基本要素素，它們和安安全風(fēng)險(xiǎn)、安安全風(fēng)險(xiǎn)對業(yè)業(yè)務(wù)的影響以以及系統(tǒng)安全全需求等構(gòu)成成信息安全風(fēng)風(fēng)險(xiǎn)評估的要要素。1.資產(chǎn)根據(jù)ISO/IEC13335-1,資產(chǎn)是指任何何對組織有價(jià)價(jià)值的東西，，資產(chǎn)包括：：物理資產(chǎn)、、信息/數(shù)據(jù)、軟件件、提供產(chǎn)品品和服務(wù)的能能力、人員、、無形資產(chǎn)。。《信息安全風(fēng)險(xiǎn)險(xiǎn)評估規(guī)范》——資產(chǎn)是指對組組織具有價(jià)值值的信息資源源，是安全策策略保護(hù)的對對象。以多種種形式存在，，有無形的、、有形的，有有硬件、軟件件，有文檔、、代碼，也有有服務(wù)、形象象等。根據(jù)資資產(chǎn)的表現(xiàn)形形式，可將資資產(chǎn)分為數(shù)據(jù)據(jù)、軟件、硬硬件、文檔、、服務(wù)、人員員等類。3.1 概述述2.威脅威脅是可能對對資產(chǎn)或組織織造成損害的的潛在原因。。威脅有潛力力導(dǎo)致不期望望發(fā)生的事件件發(fā)生，該事事件可能對系系統(tǒng)或組織及及其資產(chǎn)造成成損害。這些些損害可能是是蓄意的對信信息系統(tǒng)和服服務(wù)所處理信信息的直接或或間接攻擊。。也可能是偶偶發(fā)事件。根據(jù)威脅源的的不同，威脅脅可分為：自然威脅、環(huán)環(huán)境威脅、系系統(tǒng)威脅、人人員威脅3.脆弱性脆弱性是一個個或一組資產(chǎn)產(chǎn)所具有的，，可能被威脅脅利用對資產(chǎn)產(chǎn)造成損害的的薄弱環(huán)節(jié)。。4.風(fēng)險(xiǎn)根據(jù)ISO/IEC13335-1，信息安全風(fēng)風(fēng)險(xiǎn)是指威脅脅利用利用一一個或一組資資產(chǎn)的脆弱性性導(dǎo)致組織受受損的潛在，，并以威脅利利用脆弱性造造成的一系列列不期望發(fā)生生的事件（或或稱為安全事事件）體現(xiàn)3.1 概述述5.影響影響是威脅利利用資產(chǎn)的脆脆弱性導(dǎo)致不不期望發(fā)生事事件的后果。。這些后果可可能表現(xiàn)為直直接形式，如如物理介質(zhì)或或設(shè)備的破壞壞、人員的損損傷、直接接的資金損失失等；也可能能表現(xiàn)為間接接的損失如公公司信用、形形象受損、市市場分額損失失、法律責(zé)任任等。6.安全措施安全措施是指指為保護(hù)資產(chǎn)產(chǎn)、抵御威脅脅、減少脆弱弱性、限制不不期望發(fā)生事事件的影響、、加速不期望望發(fā)生事件的的檢測及響應(yīng)應(yīng)而采取的各各種實(shí)踐、規(guī)規(guī)程和機(jī)制的的總稱。7.安全需求安全需求是指指為保證組織織業(yè)務(wù)戰(zhàn)略的的正常運(yùn)作而而在安全措施施方面提出的的要求。3.1 概述述3.1.2信息安全風(fēng)險(xiǎn)險(xiǎn)評估信息安全風(fēng)險(xiǎn)險(xiǎn)評估是指依依據(jù)有關(guān)信息息安全技術(shù)與與管理標(biāo)準(zhǔn)，，對信息系統(tǒng)統(tǒng)及由其處理理、傳輸和存存儲的信息的的機(jī)密性、完完整性和可用用性等安全屬屬性進(jìn)行評價(jià)價(jià)的過程。3.1.3風(fēng)險(xiǎn)要素相互互間的關(guān)系資產(chǎn)、威脅、、脆弱性是信信息安全風(fēng)險(xiǎn)險(xiǎn)的基本要素素與信息安全全風(fēng)險(xiǎn)有關(guān)的的要素還包括括：安全措施施、安全需求求、影響等。。ISO/IEC13335-1對它們之間的的關(guān)系描述如如圖2-1所示3.1 概述述《信息安全風(fēng)險(xiǎn)險(xiǎn)評估規(guī)范》GB/T20984對ISO/IEC13335-1提出風(fēng)險(xiǎn)要素素關(guān)系模型進(jìn)進(jìn)行了擴(kuò)展我國提出的信信息風(fēng)險(xiǎn)要素素關(guān)系圖3.2 信息息安全風(fēng)險(xiǎn)評評估策略3.2.1基線風(fēng)險(xiǎn)評估估要求組織根據(jù)據(jù)自己的實(shí)際際情況（所在在行業(yè)、業(yè)務(wù)務(wù)環(huán)境與性質(zhì)質(zhì)等），對信信息系統(tǒng)進(jìn)行行基線安全檢檢查（將現(xiàn)有的安全全措施與安全全基線規(guī)定的的措施進(jìn)行比比較，找出其其中的差距），得出基本本的安全需求求，通過選擇擇并實(shí)施標(biāo)準(zhǔn)準(zhǔn)的安全措施施來消減和控控制風(fēng)險(xiǎn)?？梢愿鶕?jù)以下下資源來選擇擇安全基線：：(1)國際標(biāo)準(zhǔn)和國國家標(biāo)準(zhǔn)(2)行業(yè)標(biāo)準(zhǔn)或推推薦(3)來自其他有類類似商務(wù)目標(biāo)標(biāo)和規(guī)模的組組織的慣例3.2 信息息安全風(fēng)險(xiǎn)評評估策略基線評估的優(yōu)優(yōu)點(diǎn)是：(1)風(fēng)險(xiǎn)分析和每每個防護(hù)措施施的實(shí)施管理理只需要最少少數(shù)量的資源源，并且在選選擇防護(hù)措施施時(shí)花費(fèi)更少少的時(shí)間和努努力(2)如果組織的大大量系統(tǒng)都在在普通環(huán)境下下運(yùn)行并且如如果安全需要要類似，那么么很多系統(tǒng)都都可以采用相相同或相似的的基線防護(hù)措措施而不需要要太多的努力力基線評估的的的缺點(diǎn)是：(1)基線水平難以以設(shè)置(2)風(fēng)險(xiǎn)評估不全全面、不透徹徹，且不易處處理變更3.2 信息息安全風(fēng)險(xiǎn)評評估策略3.2.2詳細(xì)風(fēng)險(xiǎn)評估估詳細(xì)風(fēng)險(xiǎn)評估估要求對資產(chǎn)產(chǎn)、威脅和脆脆弱性進(jìn)行詳詳細(xì)識別和評評價(jià)，并對可可能引起風(fēng)險(xiǎn)險(xiǎn)的水平進(jìn)行行評估通過不期望事事件的潛在負(fù)負(fù)面業(yè)務(wù)影響響評估和他們們發(fā)生的可能能性來完成。。根據(jù)風(fēng)險(xiǎn)評估估的結(jié)果來識識別和選擇安安全措施，將將風(fēng)險(xiǎn)降低到到可接受的水水平詳細(xì)評估的優(yōu)優(yōu)點(diǎn)是：(1)有可能為所有有系統(tǒng)識別出出適當(dāng)?shù)陌踩胧?2)詳細(xì)分析的結(jié)結(jié)果可用于安安全變更管理理。詳細(xì)評估的缺缺點(diǎn)：需要更多的時(shí)時(shí)間、努力和和專業(yè)知識3.2 信息息安全風(fēng)險(xiǎn)評評估策略3.2.3綜合風(fēng)險(xiǎn)評估估基線風(fēng)險(xiǎn)評估估耗費(fèi)資源少少、周期短、、操作簡單，，但不夠準(zhǔn)確確，適合一般般環(huán)境的評估估詳細(xì)風(fēng)險(xiǎn)評估估準(zhǔn)確而細(xì)致致，但耗費(fèi)資資源較多，適適合嚴(yán)格限定定邊界的較小小范圍內(nèi)的評評估實(shí)踐中，多采采用二者結(jié)合合的綜合評估估方式3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.1風(fēng)險(xiǎn)評估流程程概述風(fēng)險(xiǎn)評估四個個階段:階段1:評估準(zhǔn)備階段2:風(fēng)險(xiǎn)識別階段3:風(fēng)險(xiǎn)評價(jià)階段4:風(fēng)險(xiǎn)處理3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.2風(fēng)險(xiǎn)評估的準(zhǔn)準(zhǔn)備風(fēng)險(xiǎn)評估的準(zhǔn)準(zhǔn)備是整個風(fēng)風(fēng)險(xiǎn)評估過程程有效性的保保證包括：1．確定風(fēng)險(xiǎn)評評估目標(biāo)2．確定風(fēng)險(xiǎn)評評估的對象和和范圍3．組建建團(tuán)隊(duì)隊(duì)。組建適適當(dāng)?shù)牡娘L(fēng)險(xiǎn)險(xiǎn)評估估管理理與實(shí)實(shí)施團(tuán)團(tuán)隊(duì)，，以支支持整整個過過程的的推進(jìn)進(jìn)4．選擇擇方法法應(yīng)考慮慮評估估的目目的、、范圍圍、時(shí)時(shí)間、、效果果、人人員素素質(zhì)等等因素素來選選擇具具體的風(fēng)險(xiǎn)險(xiǎn)判斷斷方法法，使使之能能夠與與組織織環(huán)境境和安安全要要求相相適應(yīng)應(yīng)。5．獲得得支持持6．準(zhǔn)備備相關(guān)關(guān)的評評估工工具3.3信信息安安全風(fēng)風(fēng)險(xiǎn)評評估流流程3.3.3資產(chǎn)識識別與與評估估1．資產(chǎn)產(chǎn)識別別資產(chǎn)識識別是是風(fēng)險(xiǎn)險(xiǎn)識別別的必必要環(huán)環(huán)節(jié)。。資產(chǎn)產(chǎn)識別別的任任務(wù)就就是對對確定定的評評估對對象所所涉及及或包包含的的資產(chǎn)產(chǎn)進(jìn)行行詳細(xì)細(xì)的標(biāo)標(biāo)識資產(chǎn)識識別過過程中中要特特別注注意無無形資資產(chǎn)的的遺漏漏，同同時(shí)還還應(yīng)注注意不不同資資產(chǎn)間間的相相互依依賴關(guān)關(guān)系，，關(guān)系系緊密密的資資產(chǎn)可可作為為一個個整體體來考考慮，，同一一中類類型的的資產(chǎn)產(chǎn)也應(yīng)應(yīng)放在在一起起考慮慮。資產(chǎn)識識別方方法:訪談、、現(xiàn)場場調(diào)查查、問問卷、、文檔檔查閱閱3.3信信息安安全風(fēng)風(fēng)險(xiǎn)評評估流流程2．資產(chǎn)產(chǎn)評估估資產(chǎn)的的評價(jià)價(jià)是對對資產(chǎn)產(chǎn)的價(jià)價(jià)值或或重要要程度度進(jìn)行行評估估，資資產(chǎn)本本身的的貨幣幣價(jià)值值是資資產(chǎn)價(jià)價(jià)值的的體現(xiàn)現(xiàn)，但但更重重要的的是資產(chǎn)對對組織織關(guān)鍵鍵業(yè)務(wù)務(wù)的順順利開開展乃乃至組組織目目標(biāo)實(shí)實(shí)現(xiàn)的的重要要程度度。由于于多數(shù)數(shù)資產(chǎn)產(chǎn)不能能以貨貨幣形形式的的價(jià)值值來衡衡量，，資產(chǎn)產(chǎn)評價(jià)價(jià)很難難以定定量的的方式式來進(jìn)進(jìn)行，，多數(shù)情情況下下只能能以定定性的的形式式，依依據(jù)重重要程程度的的不同同劃分分等級級定性：：非常重重要→→重要要→比比較重重要→→不太太重要要→不不重要要（5級劃分分）定量：：54321信息資資產(chǎn)的的機(jī)密性性、完完整性性、可可用性性、可可審計(jì)計(jì)性和和不可可抵賴賴性等是評評價(jià)資資產(chǎn)的的安全全屬性性可以先分別別對資資產(chǎn)在在以上上各方方面的的重要要程度度進(jìn)行行評估估，然后后通過過一定定的方方法進(jìn)行綜綜合,可得資資產(chǎn)的的綜合價(jià)價(jià)值2.資產(chǎn)評評估資產(chǎn)價(jià)價(jià)值應(yīng)應(yīng)依據(jù)據(jù)資產(chǎn)產(chǎn)在保密密性、、完整整性和和可用用性上上的賦賦值等等級，經(jīng)過過綜合合評定定得出出電子信信息資資產(chǎn)紙介資資產(chǎn)軟件資資產(chǎn)物理資資產(chǎn)人員服務(wù)性性資產(chǎn)產(chǎn)公司形形象和和名譽(yù)譽(yù)3.3信息安安全風(fēng)風(fēng)險(xiǎn)評評估流流程2.資產(chǎn)評評估資產(chǎn)價(jià)價(jià)值應(yīng)應(yīng)依據(jù)據(jù)資產(chǎn)產(chǎn)在保密密性、、完整整性和和可用用性上上的賦賦值等等級，經(jīng)過過綜合合評定定得出出最大原原則：：取5個屬性性中最最大的的那個個屬性性賦值值作為為綜合合評價(jià)價(jià)值VA=Max(VAc,VAi,VAa,VAac,VAn)加權(quán)原原則：：根據(jù)據(jù)屬性性保護(hù)護(hù)對業(yè)業(yè)務(wù)開開展影影響賦賦權(quán)重重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3信息安安全風(fēng)風(fēng)險(xiǎn)評評估流流程2.資產(chǎn)評評估《信息安安全風(fēng)風(fēng)險(xiǎn)評評估規(guī)規(guī)范》GB/T20984推薦方法：：首先，對資資產(chǎn)的機(jī)密密性、完整整性、可用用性定性賦賦值其次，用一一定方法進(jìn)進(jìn)行綜合，，基本屬于于最大原則則機(jī)密性賦值值表2-3（P28）完整性賦值值表2-4（P29）資產(chǎn)可用性性賦值表2-5（P29）對關(guān)鍵資產(chǎn)產(chǎn)進(jìn)行風(fēng)險(xiǎn)險(xiǎn)評估是重重點(diǎn)3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程2.資產(chǎn)評估3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程賦值標(biāo)識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等資產(chǎn)機(jī)密性性賦值表《信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》GB/T209842.資產(chǎn)評估3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程資產(chǎn)完整性性賦值表賦值標(biāo)識定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略《信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》GB/T209842.資產(chǎn)評估3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程資產(chǎn)可用性性賦值表賦值標(biāo)識定義5很高可用性價(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10min3中等可用性價(jià)值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30min2低可用性價(jià)值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60min5很高可用性價(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷《信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》GB/T209842.資產(chǎn)評估3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程資產(chǎn)等級及及含義描述述等級標(biāo)識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計(jì)《信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》GB/T209843.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.4威脅識別與與評估1．威脅識別別威脅識別的的任務(wù)是對對組織資產(chǎn)產(chǎn)面臨的威威脅進(jìn)行全全面的標(biāo)識識威脅識別可可從威脅源源進(jìn)行分析析，也可根根據(jù)有關(guān)標(biāo)標(biāo)準(zhǔn)、組織織所提供的的威脅參考考目錄進(jìn)行行分析。如威脅樹（（P30）系統(tǒng)故障障威脅樹（（P31）2．威脅評估估安全風(fēng)險(xiǎn)的的大小是由由安全事件件發(fā)生的可可能性以及及它造成的的影響決定定，安全事事件發(fā)生的的可能性與與威脅出現(xiàn)現(xiàn)的頻率有有關(guān)，而安安全事件的的影響則與與威脅的強(qiáng)強(qiáng)度或破壞壞能力有關(guān)關(guān)威脅評估就就是對威脅脅出現(xiàn)的頻頻率及強(qiáng)度度進(jìn)行評估估，這是風(fēng)風(fēng)險(xiǎn)評估的的重要環(huán)節(jié)節(jié)評估者應(yīng)根根據(jù)經(jīng)驗(yàn)和和（或）有有關(guān)的統(tǒng)計(jì)計(jì)數(shù)據(jù)來分分析威脅出出現(xiàn)的頻率率及其強(qiáng)度度或破壞能能力威脅評估的的通用方法法為威脅列表表中的全部部可賦值威威脅類進(jìn)行行賦值3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實(shí)多次發(fā)生過3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生威脅賦值表表《信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》GB/T20984威脅評估的的通用方法法判斷威脅出出現(xiàn)的頻率率是威脅賦賦值的重要要內(nèi)容，應(yīng)應(yīng)根據(jù)經(jīng)驗(yàn)驗(yàn)和（或））有關(guān)的統(tǒng)統(tǒng)計(jì)數(shù)據(jù)來來進(jìn)行判斷斷。需要綜綜合考慮以以下三個方方面，以形形成在某種種評估環(huán)境境中各種威威脅出現(xiàn)的的頻率：--以往安全事事件報(bào)告中中出現(xiàn)過的的威脅及其其頻率的統(tǒng)統(tǒng)計(jì)；--實(shí)際環(huán)境中中通過檢測測工具以及及各種日志志發(fā)現(xiàn)的威威脅及其頻頻率的統(tǒng)計(jì)計(jì)；--近一兩年來來國際組織織發(fā)布的對對于整個社社會或特定定行業(yè)的威威脅及其頻頻率統(tǒng)計(jì)，，以及發(fā)布布的威脅預(yù)預(yù)警。為簡化后續(xù)續(xù)的風(fēng)險(xiǎn)計(jì)計(jì)算過程，，避免不必必要的計(jì)算算工作，僅僅采用TOP5或者TOP10威脅參與風(fēng)風(fēng)險(xiǎn)計(jì)算3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程威脅舉例3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程外部威脅發(fā)發(fā)展網(wǎng)絡(luò)欺騙或或訛詐感染惡意代代碼泄露重要信信息手機(jī)攻擊網(wǎng)絡(luò)仿冒網(wǎng)頁篡改網(wǎng)頁惡意代碼垃圾郵件拒絕服務(wù)攻擊病毒蠕蟲木馬3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.5脆弱性識別別與評估1．脆弱性識識別也稱為弱點(diǎn)點(diǎn)識別。弱弱點(diǎn)是資產(chǎn)產(chǎn)本身存在在的，如果果沒有相應(yīng)應(yīng)的威脅發(fā)發(fā)生，單純純的弱點(diǎn)本本身不會對對資產(chǎn)造成成損害。而而且如果系系統(tǒng)足夠強(qiáng)強(qiáng)健，再嚴(yán)嚴(yán)重的威脅脅也不會導(dǎo)導(dǎo)致安全事事件，并造造成損失。。即,威脅總是要要利用資產(chǎn)產(chǎn)的脆弱性性才可能造造成危害脆弱性識別別時(shí)的數(shù)據(jù)據(jù)應(yīng)來自于于資產(chǎn)的所所有者、使使用者，以以及相關(guān)業(yè)業(yè)務(wù)領(lǐng)域和和軟硬件方方面的專業(yè)業(yè)人員等脆弱性識別別所采用的的方法主要要有：問卷調(diào)查、、工具檢測測、人工核核查、文檔檔查閱、滲滲透性測試試等3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.5脆弱性識別別與評估1．脆弱性識識別脆弱性識別別主要從技技術(shù)和管理理兩個方面面進(jìn)行技術(shù)脆弱性性涉及物理理層、網(wǎng)絡(luò)絡(luò)層、系統(tǒng)統(tǒng)層、應(yīng)用用層等各個個層面的安安全問題管理脆弱性性又可分為為技術(shù)管理理和組織管管理兩方面面，前者與與具體技術(shù)術(shù)活動相關(guān)關(guān)，后者與與管理環(huán)境境相關(guān)1．脆弱性識識別類型識別對象識別內(nèi)容技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程脆弱性識別別內(nèi)容表3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程2.脆弱性評估估對脆弱性被被利用后對對資產(chǎn)損害害程度、技術(shù)實(shí)現(xiàn)現(xiàn)的難易程程度、弱點(diǎn)點(diǎn)流行程度度進(jìn)行評估估，評估的的結(jié)果一般般都是定性性等級劃分分形式，綜綜合的標(biāo)識識脆弱性的的嚴(yán)重程度度。也可對脆弱弱性被利用用后對資產(chǎn)產(chǎn)的損害程程度以及被被利用的可可能性分別別評估，然然后以一定定方式綜合合。若多個脆弱弱性反映同同一個問題題，應(yīng)綜合合考慮這些些脆弱性，，確定該類類脆弱性嚴(yán)嚴(yán)重程度脆弱性評估估3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害。4高如果被威脅利用，將對資產(chǎn)造成重大損害。3中等如果被威脅利用，將對資產(chǎn)造成一般損害。2低如果被威脅利用，將對資產(chǎn)造成較小損害。1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。脆弱性嚴(yán)重重程度賦值值表脆弱性嚴(yán)重重程度可以以進(jìn)行等級級化處理，，不同的等等級分別代代表資產(chǎn)脆脆弱性嚴(yán)重重程度的高高低。等級級數(shù)值越大大，脆弱性性嚴(yán)重程度度越高《信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》GB/T209843.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.6已有安全措措施的確認(rèn)認(rèn)安全措施可可以分為預(yù)防性安全全措施和保護(hù)性安全全措施兩種預(yù)防性安全全措施可以以降低威脅脅利用脆弱弱性導(dǎo)致安安全事件發(fā)發(fā)生的可能能性，如入入侵檢測系系統(tǒng)通過兩個方方面的作用用來實(shí)現(xiàn)（1）減少威脅脅出現(xiàn)的頻頻率，如通通過立法或或健全制度度加大對員員工惡意行行為的懲罰罰，可以減減少員工故故意行為威威脅出現(xiàn)的的頻率，通通過安全培培訓(xùn)可以減減少無意行行為導(dǎo)致安安全事件出出現(xiàn)的頻率率；（2）減少脆弱弱性，如及及時(shí)為系統(tǒng)統(tǒng)打補(bǔ)丁、、對硬件設(shè)設(shè)備定期檢檢查能夠減減少系統(tǒng)的的技術(shù)脆弱弱性等。保護(hù)性安全全措施可以以減少因安安全事件發(fā)發(fā)生后對組組織或系統(tǒng)統(tǒng)造成的影影響。3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.6已有安全措措施的確認(rèn)認(rèn)對已采取的的安全措施施進(jìn)行確認(rèn)認(rèn)，至少有有兩個方面面的意義（1）有助于對對當(dāng)前信息息系統(tǒng)面臨臨的風(fēng)險(xiǎn)進(jìn)進(jìn)行分析（2）通過對當(dāng)當(dāng)前安全措措施的確認(rèn)認(rèn)，分析其其有效性，，對有效的的安全措施施繼續(xù)保持持，以避免免不必要的的工作和費(fèi)費(fèi)用，防止止安全措施施的重復(fù)實(shí)實(shí)施3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.7風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就就是利用資資產(chǎn)、威脅脅、脆弱性性識別與評評估結(jié)果以以及對已有有安全措施施確認(rèn)后，，采用適當(dāng)當(dāng)?shù)姆椒ㄅc與工具確定威脅利利用脆弱性性導(dǎo)致安全全事件發(fā)生生的可能性性。綜合安全全事件所作作用的資產(chǎn)產(chǎn)價(jià)值及脆脆弱性的嚴(yán)嚴(yán)重程度，，判斷安全事事件造成的的損失對組組織的影響響，即安全全風(fēng)險(xiǎn)3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算如前所述，，風(fēng)險(xiǎn)可形形式化的表表示為R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、、A表示資產(chǎn)、、T表示威脅、、V表示脆弱性性。相應(yīng)的的風(fēng)險(xiǎn)值由由A、T、V的取值決定定，是它們們的函數(shù)，，可以表示示為：風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))Va表示脆脆弱性嚴(yán)重重程度；L表示威脅脅利用資產(chǎn)產(chǎn)的脆弱性性導(dǎo)致安全全事件發(fā)生生的可能性性；F表示安全全事件發(fā)生生后產(chǎn)生的的損失3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算三個關(guān)鍵計(jì)計(jì)算環(huán)節(jié)：：a）計(jì)算安全全事件發(fā)生生的可能性性根據(jù)威脅出出現(xiàn)頻率及及弱點(diǎn)的狀狀況，計(jì)算算威脅利用用脆弱性導(dǎo)導(dǎo)致安全事事件發(fā)生的的可能性，，即：安全事件發(fā)發(fā)生的可能能性=L(威脅出現(xiàn)頻頻率，脆弱弱性)=L(T，V)在具體評估估中，應(yīng)綜綜合攻擊者者技術(shù)能力力（專業(yè)技技術(shù)程度、、攻擊設(shè)備備等）、脆脆弱性被利利用的難易易程度（可可訪問時(shí)間間、設(shè)計(jì)和和操作知識識公開程度度等）、資資產(chǎn)吸引力力等因素來來判斷安全全事件發(fā)生生的可能性性。3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算三個關(guān)鍵計(jì)計(jì)算環(huán)節(jié)：：b）計(jì)算安安全事件發(fā)發(fā)生后的損損失根據(jù)資產(chǎn)價(jià)價(jià)值及脆弱弱性嚴(yán)重程程度，計(jì)算算安全事件件一旦發(fā)生生后的損失失，即：安全事件的的損失=F(資產(chǎn)價(jià)價(jià)值，脆弱弱性嚴(yán)重程程度)=F(Ia，，Va)部分安全事事件的發(fā)生生造成的損損失不僅僅僅是針對該該資產(chǎn)本身身，還可能能影響業(yè)務(wù)務(wù)的連續(xù)性性；不同安安全事件的的發(fā)生對組組織造成的的影響也是是不一樣的的。在計(jì)算算某個安全全事件的損損失時(shí)，應(yīng)應(yīng)將對組織織的影響也也考慮在內(nèi)內(nèi)。對發(fā)生可能能性極小的的安全事件件，可以不不計(jì)算其損損失3.3信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.7風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算算三個關(guān)鍵計(jì)計(jì)算環(huán)節(jié)：：c）計(jì)算風(fēng)險(xiǎn)值值根據(jù)計(jì)算出出的安全事事件發(fā)生的的可能性以以及安全事事件的損失失，計(jì)算風(fēng)風(fēng)險(xiǎn)值，即即：風(fēng)險(xiǎn)值=R(安全事件發(fā)發(fā)生的可能能性，安全全事件造成成的損失)=R(L(T，V)，F(xiàn)(Ia，Va))可根據(jù)自身身情況選擇擇相應(yīng)的風(fēng)風(fēng)險(xiǎn)計(jì)算方方法計(jì)算風(fēng)風(fēng)險(xiǎn)值，如如矩陣法或或相乘法。。矩陣法通過過構(gòu)造一個個二維矩陣陣，形成安安全事件發(fā)發(fā)生的可能能性與安全全事件的損損失之間的的二維關(guān)系系相乘法通過過構(gòu)造經(jīng)驗(yàn)驗(yàn)函數(shù)，將將安全事件件發(fā)生的可可能性與安安全事件的的損失進(jìn)行行運(yùn)算得到到風(fēng)險(xiǎn)值。。3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程2．影響分析析安全事件對對組織的影影響可體現(xiàn)現(xiàn)在以下方方面：直接經(jīng)濟(jì)損損失、物理理資產(chǎn)的損損壞、業(yè)務(wù)務(wù)影響、法律責(zé)任、、人員安全全危害、信信譽(yù)（形象象）損失上述損失有有些容易定定量表示，，有些則很很難3．可能性分分析安全事件發(fā)發(fā)生的可能能性的因素素有：資產(chǎn)吸引力力、威脅出出現(xiàn)的可能能性、脆弱性的屬屬性、安全全措施的效效能等。根據(jù)威脅源源的分類，，引起安全全事件發(fā)生生的原因可可能自然災(zāi)害、、環(huán)境及系系統(tǒng)威脅、、人員無意行行為、人員員故意行為為等不同類型的的安全事件件，其可能能性影響因因素也有點(diǎn)點(diǎn)不同3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程4.風(fēng)險(xiǎn)結(jié)果判判定為實(shí)現(xiàn)對風(fēng)風(fēng)險(xiǎn)的控制制與管理，，可以對風(fēng)風(fēng)險(xiǎn)評估的的結(jié)果進(jìn)行行等級化處處理。可以以將風(fēng)險(xiǎn)劃劃分為五級級，等級越越高，風(fēng)險(xiǎn)險(xiǎn)越高根據(jù)所采用用的風(fēng)險(xiǎn)計(jì)計(jì)算方法，，計(jì)算每種種資產(chǎn)面臨臨的風(fēng)險(xiǎn)值值根據(jù)風(fēng)險(xiǎn)值值的分布狀狀況，為每每個等級設(shè)設(shè)定風(fēng)險(xiǎn)值值范圍，并并對所有風(fēng)風(fēng)險(xiǎn)計(jì)算結(jié)結(jié)果進(jìn)行等等級處理。。每個等級代代表了相應(yīng)應(yīng)風(fēng)險(xiǎn)的嚴(yán)嚴(yán)重程度等級標(biāo)識描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害3中等一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)風(fēng)險(xiǎn)等級劃劃分表3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.8安全措施的的選取風(fēng)險(xiǎn)評估的的目的不僅僅是獲取組組織面臨的的有關(guān)風(fēng)險(xiǎn)險(xiǎn)信息，更更重要的是是采取適當(dāng)當(dāng)?shù)拇胧踩L(fēng)險(xiǎn)險(xiǎn)控制在可可接受的范范圍內(nèi)。安全措施可可以降低安安全事件造造成的影響響，也可以以降低安全全事件發(fā)生生的可能性性，在對組組織面臨的的安全風(fēng)險(xiǎn)險(xiǎn)有全面認(rèn)認(rèn)識后，應(yīng)應(yīng)根據(jù)風(fēng)險(xiǎn)險(xiǎn)的性質(zhì)選選取合適的的安全措施施，并對對對可能的殘殘余風(fēng)險(xiǎn)進(jìn)進(jìn)行分析，，直到殘余余風(fēng)險(xiǎn)為可可接受風(fēng)險(xiǎn)險(xiǎn)為止。3.3信信息安全風(fēng)風(fēng)險(xiǎn)評估流流程3.3.9風(fēng)險(xiǎn)評估文文件記錄風(fēng)險(xiǎn)評估文文件包括在在整個風(fēng)險(xiǎn)險(xiǎn)評估過程程中產(chǎn)生的的評估過程程文檔和評評估結(jié)果文文檔，這些些文檔包括括：(1)風(fēng)險(xiǎn)評估估方案(2)風(fēng)險(xiǎn)評估估程序(3)資產(chǎn)識別別清單(4)重要資產(chǎn)產(chǎn)清單(5)威脅列表表(6)脆弱性列列表(7)已有安全全措施確確認(rèn)表(8)風(fēng)險(xiǎn)評估估報(bào)告(9)風(fēng)險(xiǎn)處理計(jì)劃劃(10)風(fēng)險(xiǎn)評估記錄錄3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.10信息系統(tǒng)生命命周期各階段段評估風(fēng)險(xiǎn)評估應(yīng)貫貫穿于信息系系統(tǒng)生命周期期的各階段中中信息系統(tǒng)生命命周期各階段段中涉及的風(fēng)風(fēng)險(xiǎn)評估的原原則和方法是是一致的，但但由于各階段段實(shí)施的內(nèi)容容、對象、安安全需求不同同，使得風(fēng)險(xiǎn)險(xiǎn)評估的對象象、目的、要要求等各方面面也有所不同同。規(guī)劃設(shè)計(jì)階段段，通過風(fēng)險(xiǎn)險(xiǎn)評估以確定定系統(tǒng)的安全全目標(biāo)；建設(shè)驗(yàn)收階段段，通過風(fēng)險(xiǎn)險(xiǎn)評估以確定定系統(tǒng)的安全全目標(biāo)達(dá)成與與否；運(yùn)行維護(hù)階段段，要不斷地地實(shí)施風(fēng)險(xiǎn)評評估以識別系系統(tǒng)面臨的不不斷變化的風(fēng)風(fēng)險(xiǎn)和脆弱性性，從而確定定安全措施的的有效性，確確保安全目標(biāo)標(biāo)得以實(shí)現(xiàn)。。每個階段風(fēng)險(xiǎn)險(xiǎn)評估的具體體實(shí)施應(yīng)根據(jù)據(jù)該階段的特特點(diǎn)有所側(cè)重重有條件時(shí)，應(yīng)應(yīng)采用風(fēng)險(xiǎn)評評估工具開展展風(fēng)險(xiǎn)評估活活動3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.10信息系統(tǒng)生命命周期各階段段評估規(guī)劃階段的風(fēng)風(fēng)險(xiǎn)評估（詳詳見GB/T20984——2007）設(shè)計(jì)階段的風(fēng)風(fēng)險(xiǎn)評估（詳詳見GB/T20984——2007）實(shí)施階段的風(fēng)風(fēng)險(xiǎn)評估（詳詳見GB/T20984——2007）運(yùn)行維護(hù)階段段的風(fēng)險(xiǎn)評估估（詳見GB/T20984——2007）廢棄階段的風(fēng)風(fēng)險(xiǎn)評估（詳詳見GB/T20984——2007）3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.11風(fēng)險(xiǎn)評估的工工作形式分為自評估和和檢查評估兩兩種形式。信信息安全風(fēng)險(xiǎn)險(xiǎn)評估應(yīng)以自自評估為主，，自評估和檢檢查評估相結(jié)結(jié)合、互為補(bǔ)補(bǔ)充自評估是指信息系統(tǒng)統(tǒng)擁有、運(yùn)營營或使用單位位發(fā)起的對本本單位信息系系統(tǒng)進(jìn)行的風(fēng)風(fēng)險(xiǎn)評估自評估應(yīng)在本本標(biāo)準(zhǔn)的指導(dǎo)導(dǎo)下，結(jié)合系系統(tǒng)特定的安安全要求進(jìn)行行實(shí)施周期性進(jìn)行的的自評估可以以在評估流程程上適當(dāng)簡化化，重點(diǎn)考察察自上次評估估后系統(tǒng)發(fā)生生變化后引入入的新威脅，，以及系統(tǒng)脆脆弱性的完整整識別，以便便于兩次評估估結(jié)果的對比比但系統(tǒng)發(fā)生重重大變更時(shí)，，應(yīng)依據(jù)本標(biāo)標(biāo)準(zhǔn)進(jìn)行完整整的評估3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.11風(fēng)險(xiǎn)評估的工工作形式分為自評估和和檢查評估兩兩種形式。信信息安全風(fēng)險(xiǎn)險(xiǎn)評估應(yīng)以自自評估為主，，自評估和檢檢查評估相結(jié)結(jié)合、互為補(bǔ)補(bǔ)充檢查評估是指信息系統(tǒng)統(tǒng)上級管理部部門組織或國國家有關(guān)職能能部門依法開開展的風(fēng)險(xiǎn)評評估。檢查評估可依依據(jù)本標(biāo)準(zhǔn)的的要求，實(shí)施施完整的風(fēng)險(xiǎn)險(xiǎn)評估過程。。檢查評估也可可在自評估實(shí)實(shí)施的基礎(chǔ)上上，對關(guān)鍵環(huán)環(huán)節(jié)或重點(diǎn)內(nèi)內(nèi)容實(shí)施抽樣樣評估3.3 信息息安全風(fēng)險(xiǎn)評評估流程3.3.11風(fēng)險(xiǎn)評估的工工作形式檢查評估包括以下內(nèi)容容a）自評估隊(duì)伍伍及技術(shù)人員員審查；b）自評估方法法的檢查；c）自評估過程程控制與文檔檔記錄檢查；；d）自評估資產(chǎn)產(chǎn)列表審查；；e）自評估威脅脅列表審查；；f）自評估脆弱弱性列表審查查；g）現(xiàn)有安全措措施有效性檢檢查；h）自評估結(jié)果果審查與采取取相應(yīng)措施的的跟蹤檢查；；i）自評估技術(shù)術(shù)技能限制未未完成項(xiàng)目的的檢查評估；；j）上級關(guān)注或或要求的關(guān)鍵鍵環(huán)節(jié)和重點(diǎn)點(diǎn)內(nèi)容的檢查查評估；k）軟硬件維護(hù)護(hù)制度及實(shí)施施管理的檢查查；l）突發(fā)事件應(yīng)應(yīng)對措施的檢檢查；3.4 信息息安全風(fēng)險(xiǎn)評評估方法3.4.1概述信息安全風(fēng)險(xiǎn)險(xiǎn)評估是通過過采用一定的的方法對組織織面臨的風(fēng)險(xiǎn)險(xiǎn)進(jìn)行識別，，并分析風(fēng)險(xiǎn)險(xiǎn)對組織帶來來的影響以及及其發(fā)生的可可能性大小，，然后通過一一定的綜合評評價(jià)方法來評評估組織面臨臨的風(fēng)險(xiǎn)，并并選取適當(dāng)?shù)牡拇胧﹣砜刂浦骑L(fēng)險(xiǎn)。風(fēng)險(xiǎn)險(xiǎn)評估的復(fù)雜雜性決定了風(fēng)風(fēng)險(xiǎn)評估方法法的多樣性。。從理論上看，，風(fēng)險(xiǎn)評估方方法的理論基基礎(chǔ)包括：概概率風(fēng)險(xiǎn)分析析方法、模糊糊決策方法、、人工智能、、定性推理方方法、灰色決決策理論、綜綜合評價(jià)方法法等。從風(fēng)險(xiǎn)評估過過程整體上看看，風(fēng)險(xiǎn)評估估方法有：基基于資產(chǎn)驅(qū)動動的風(fēng)險(xiǎn)評估估方法、威脅脅驅(qū)動的風(fēng)險(xiǎn)險(xiǎn)評估方法、、脆弱性驅(qū)動動的風(fēng)險(xiǎn)評估估方法、基于于案例的風(fēng)險(xiǎn)險(xiǎn)評估方法等等。從風(fēng)險(xiǎn)分析方方法來看，風(fēng)風(fēng)險(xiǎn)評估方法法可分為兩大大類：定量方方法與定性方方法。3.4 信息息安全風(fēng)險(xiǎn)評評估方法3.4.2信息安全風(fēng)險(xiǎn)險(xiǎn)評估理論基基礎(chǔ)1.概率風(fēng)險(xiǎn)分析析概率風(fēng)險(xiǎn)分析析方法的思想想是利用概率率論方法來識識別和分析風(fēng)風(fēng)險(xiǎn)，這類方方法主要包括括：故障樹分分析法（FTA），故障模式式影響和危害害程度分析方方法（FMECA），危害及可可操作性研究究分析方法（（HazOp）和Markov分析法。2.模糊決策方法法風(fēng)險(xiǎn)評估的對對象以及信息息系統(tǒng)的狀態(tài)態(tài)具有不確定定性，經(jīng)典的的數(shù)學(xué)模型由由于其精確性性特點(diǎn)使得它它很難很好的的把握問題的的實(shí)質(zhì)，模糊糊決策方法填填補(bǔ)了這方面面的不足。模糊決策理論論不是把問題題變成模糊不不清的東西，，相反，它具具有數(shù)學(xué)的共共性：條理分分明、一絲不不茍，它是通通過規(guī)范化的的理論體系來來描述模糊的的對象，使模模糊對象能清清晰的呈現(xiàn)在在決策者面前前，這是經(jīng)典典的數(shù)學(xué)理論論所不能做到到的。3.4 信息息安全風(fēng)險(xiǎn)評評估方法3.人工智能人工智能是20世紀(jì)中期產(chǎn)生生的并正在迅迅速發(fā)展的新新興邊緣學(xué)科科,它是探索和模模擬人的智能能和思維過程程的規(guī)律,并進(jìn)而設(shè)計(jì)出出類似人的某某些智能化的的科學(xué)。信息系統(tǒng)狀態(tài)態(tài)變化規(guī)律的的復(fù)雜性決定定了很難用一一確定的數(shù)學(xué)學(xué)模型來描述述，應(yīng)綜合神神經(jīng)網(wǎng)絡(luò)、智智能推理，知知識庫等多方方面知識，建建立一個具有有自學(xué)習(xí)能力力的專家系統(tǒng)統(tǒng)，目前基于于案例的風(fēng)險(xiǎn)險(xiǎn)評估方法就就是這一理論論的具體應(yīng)用用。6.灰色系統(tǒng)理論論部分信息已知知、部分信息息未知的系統(tǒng)統(tǒng)稱為灰色系系統(tǒng)?；疑迪到y(tǒng)理論是研研究和解決灰灰色系統(tǒng)分析析、建模、預(yù)預(yù)測和控制的的理論。在信信息世界，由由于數(shù)據(jù)的短短缺或事物本本身的特性，，很多現(xiàn)象是是“灰色”的的，其意義是是指其中含有有已知的、未未知的與非確確定的種種信信息。3.4 信息息安全風(fēng)險(xiǎn)評評估方法7.綜合評價(jià)方法法信息安全風(fēng)險(xiǎn)險(xiǎn)評估對象是是多指標(biāo)的復(fù)復(fù)雜系統(tǒng)，對對于多指標(biāo)系系統(tǒng)，評價(jià)指指標(biāo)有多個，，不同指標(biāo)有有不同的量綱綱，多指標(biāo)系系統(tǒng)的評價(jià)過過程中必須解解決以下兩個個問題：其一一是采用什么么方法將不同同量綱指標(biāo)無無量綱化，其其二是采用何何種方式確定定不同指標(biāo)的的相對重要性性，通常是引引入權(quán)向量來來描述。不同同綜合評價(jià)方方法有不同的的處理方法，，常用的綜合合評價(jià)方法有有綜合指數(shù)法法、功效評分分法、TOPSIS法、層次分析析法、主成份份分析法、聚聚類分析法等等(1)綜合指數(shù)法是是多指標(biāo)系統(tǒng)統(tǒng)的一種評價(jià)價(jià)方法。綜合合指數(shù)法通過過計(jì)算各評價(jià)價(jià)對象對每個個指標(biāo)折算指指數(shù)值來實(shí)現(xiàn)現(xiàn)不同指標(biāo)值值的無量綱化化，并通過加加權(quán)平均方法法計(jì)算綜合指指數(shù)值3.4 信息息安全風(fēng)險(xiǎn)評評估方法(2)功效評分法通通過功效系數(shù)數(shù)來實(shí)現(xiàn)不同同指標(biāo)的無量量綱化，然后后在利用其他他方法來確定定功效權(quán)值，，如均權(quán)法、、層次分析法法、離差權(quán)法法等。(3)TOPSIS法3.4 信息息安全風(fēng)險(xiǎn)評評估方法3.4 信息息安全風(fēng)險(xiǎn)評評估方法(4)層次分析法是是將決策問題題的有關(guān)元素素分解成目標(biāo)標(biāo)、準(zhǔn)則、方方案等層次，，在此基礎(chǔ)上上進(jìn)行定量和和定性分析的的一種決策方方法。層次分分析法的決策策過程如下：：a)分析各影響因因素間的關(guān)系系，建立層次次模型b)構(gòu)建兩兩比較較判斷矩陣c)計(jì)算單個判斷斷矩陣對應(yīng)的的權(quán)重向量d)計(jì)算各層元素素對目標(biāo)層的的合成權(quán)重向向量(5)主成分分析是是一種多元統(tǒng)統(tǒng)計(jì)分析方法法，對于多指指標(biāo)的復(fù)雜評評價(jià)系統(tǒng)，由由于指標(biāo)多，，數(shù)據(jù)處理相相當(dāng)復(fù)雜，由由于指標(biāo)之間間存在一定的的關(guān)系，可以以適當(dāng)簡化。。主成分分析析的思想是通通過一定的變變換，用較少少的指標(biāo)來代代替原先較多多的指標(biāo)，從從而達(dá)到簡化化問題的處理理與分析的目目的。(6)聚類分析法是是解決“物以以類聚”，解解決事務(wù)分類類的一種數(shù)學(xué)學(xué)方法。它是是在沒有或不不用樣品所述述類別信息的的情況下，依依據(jù)對樣品采采集的數(shù)據(jù)的的內(nèi)在結(jié)構(gòu)以以及相互間的的關(guān)系，在樣樣品間相似性性度量的基礎(chǔ)礎(chǔ)上，對樣品品進(jìn)行分類的的一種方法3.4 信息息安全風(fēng)險(xiǎn)評評估方法3.4.3定量方法定量方法試圖圖用具體的貨貨幣表示形式式的損失值來來分析和度量量風(fēng)險(xiǎn)，定量量方法主要有有基于期望損損失的風(fēng)險(xiǎn)評評估方法與基基于期望損失失效用的風(fēng)險(xiǎn)險(xiǎn)評估方法等等。1．基于期望損損失的風(fēng)險(xiǎn)評評估方法類似的定義還還有期望年損損失ALE（AnnualLossExpectancy），它是以組織在目前安安全狀態(tài)下平平均年損失作作為風(fēng)險(xiǎn)度量的標(biāo)準(zhǔn)準(zhǔn)。若風(fēng)險(xiǎn)事事件E造成的相對損失為loss，其發(fā)生的可可能性為L，loss和L均為取值在[0,1]區(qū)間定量值。。若依據(jù)期望損失理論論，將根據(jù)loss×L值大小劃分等級，等級級劃分方法結(jié)結(jié)果如圖2-9所示3.4 信息息安全風(fēng)險(xiǎn)評評估方法2．基于期望損損失效用的風(fēng)風(fēng)險(xiǎn)評估方法法若經(jīng)過風(fēng)險(xiǎn)評評估，風(fēng)險(xiǎn)事事件E造成的相對損失為loss，其發(fā)生的可可能性為L，loss和L均為取值在[0,1]區(qū)間定量值。建立立風(fēng)險(xiǎn)等級劃劃分方法，結(jié)果見圖所示示這種方法的好好處就是能夠夠更好的區(qū)分“高損損失、低可能能性”及“低損失、高可可能性”兩種種不同安全事件的風(fēng)險(xiǎn)。。3.4 信息息安全風(fēng)險(xiǎn)評評估方法3.4.4定性方法定性方法不是是給出具體的的貨幣形式的的損失，而是是用諸如“極極為嚴(yán)重、嚴(yán)嚴(yán)重、一般、、可忽略”等等定性方法來來度量風(fēng)險(xiǎn)。。定性方法一一般基于一定定的定量方法法，在定量方方法的基礎(chǔ)上上進(jìn)行裁剪和和簡化。典型型的定性風(fēng)險(xiǎn)險(xiǎn)分析與評價(jià)價(jià)方法有風(fēng)險(xiǎn)險(xiǎn)矩陣測量、、威脅分級法法、風(fēng)險(xiǎn)綜合合評價(jià)等。1．風(fēng)險(xiǎn)矩陣測測量這種方法的特特點(diǎn)是事先建建立資產(chǎn)價(jià)值值、威脅等級級和脆弱性等等級的一個對對應(yīng)矩陣，預(yù)預(yù)先將風(fēng)險(xiǎn)等等級進(jìn)行了確確定。然后根根據(jù)不同資產(chǎn)產(chǎn)的賦值從矩矩陣中確定不不同的風(fēng)險(xiǎn)。。2．威脅分級法法這種方法是直直接考慮威脅脅、威脅導(dǎo)致致的安全事件件對資產(chǎn)產(chǎn)生生的影響以及及威脅導(dǎo)致安安全事件發(fā)生生的可能性來來確定風(fēng)險(xiǎn)。。3．風(fēng)險(xiǎn)綜合評評價(jià)這種方法中風(fēng)風(fēng)險(xiǎn)由威脅導(dǎo)導(dǎo)致的安全事事件發(fā)生的可可能性、對資資產(chǎn)的影響程程度以及已經(jīng)經(jīng)存在的控制制措施三個方方面來確定。。與風(fēng)險(xiǎn)矩陣陣法和威脅分分級法不同，，本方法將控控制措施的采