計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理

計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第1頁。一、概述

風(fēng)險(xiǎn)就是不利事件發(fā)生的可能性。風(fēng)險(xiǎn)管理是評(píng)估風(fēng)險(xiǎn)、采取步驟將風(fēng)險(xiǎn)消減到可接受的水平并且維持這一風(fēng)險(xiǎn)級(jí)別的過程。也許大家沒有意識(shí)到，其實(shí)大家每天都在進(jìn)行風(fēng)險(xiǎn)管理。像系安全帶、預(yù)報(bào)有雨時(shí)帶傘或?qū)⑹虑橛涗浵聛硪悦膺z忘，這些日?；顒?dòng)都可以歸入風(fēng)險(xiǎn)管理的范疇。人們會(huì)意識(shí)到針對(duì)其利益的各種威脅，并采取預(yù)防措施進(jìn)行防范或?qū)⑵溆绊憸p到最小。風(fēng)險(xiǎn)管理是安全性的一個(gè)重要方面，但風(fēng)險(xiǎn)管理不只是包含恐懼、不確定性和懷疑（FUD）。在評(píng)判一個(gè)安全計(jì)劃時(shí)，應(yīng)重點(diǎn)考慮直接在資產(chǎn)負(fù)債表上導(dǎo)致美元收入的安全收益，它是相對(duì)于風(fēng)險(xiǎn)管理的重要對(duì)應(yīng)物。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第2頁。一、概述

本課程為各種類型的客戶計(jì)劃、建立和維護(hù)一個(gè)成功的安全風(fēng)險(xiǎn)管理計(jì)劃。說明如何在四階段流程中實(shí)施風(fēng)險(xiǎn)管理計(jì)劃中的各個(gè)階段，以及如何建立一個(gè)持續(xù)的過程以評(píng)定安全風(fēng)險(xiǎn)并將其降低到可接受水平。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第3頁。二、安全風(fēng)險(xiǎn)管理介紹（一）風(fēng)險(xiǎn)管理的核心作用所謂風(fēng)險(xiǎn)管理就是識(shí)別風(fēng)險(xiǎn)、選擇對(duì)策、實(shí)施對(duì)策以消減風(fēng)險(xiǎn).最終保證信息資產(chǎn)的保密性、完整性、可用性能夠滿足目標(biāo)要求的這樣一個(gè)過程。簡(jiǎn)單的說風(fēng)險(xiǎn)管理就是識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)，采取措施將風(fēng)險(xiǎn)減到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過程。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第4頁。二、安全風(fēng)險(xiǎn)管理介紹個(gè)人隱私經(jīng)營狀況資產(chǎn)知識(shí)產(chǎn)權(quán)資產(chǎn)識(shí)別商務(wù)聯(lián)系管理制度計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第5頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)數(shù)據(jù)中心5有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)Servers3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)臺(tái)式計(jì)算機(jī)1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)移動(dòng)計(jì)算機(jī)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)PDA1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)移動(dòng)電話1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)服務(wù)器應(yīng)用程序軟件1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)最終用戶應(yīng)用程序軟件1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)開發(fā)工具3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)路由器3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)交換機(jī)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)傳真機(jī)1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)PBX3計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第6頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)可移動(dòng)介質(zhì)（如：磁帶、軟盤、CD-ROM、DVD、便攜式硬盤、PC卡存儲(chǔ)設(shè)備、USB存儲(chǔ)設(shè)備等）1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)電源3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)不間斷電源3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)消防系統(tǒng)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)空調(diào)系統(tǒng)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)空氣過濾系統(tǒng)1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)其他環(huán)境控制系統(tǒng)3有形資產(chǎn)Intranet數(shù)據(jù)源代碼5有形資產(chǎn)Intranet數(shù)據(jù)人力資源數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)財(cái)務(wù)數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)營銷數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)雇員密碼5計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第7頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)有形資產(chǎn)Intranet數(shù)據(jù)雇員私人密鑰5有形資產(chǎn)Intranet數(shù)據(jù)計(jì)算機(jī)系統(tǒng)密鑰5有形資產(chǎn)Intranet數(shù)據(jù)智能卡5有形資產(chǎn)Intranet數(shù)據(jù)知識(shí)產(chǎn)權(quán)5有形資產(chǎn)Intranet數(shù)據(jù)適用于法規(guī)要求的數(shù)據(jù)（如GLBA、HIPAA、CASB1386和EUDataProtectionDirective等）。5有形資產(chǎn)Intranet數(shù)據(jù)美國雇員社會(huì)保險(xiǎn)號(hào)5有形資產(chǎn)Intranet數(shù)據(jù)雇員駕駛證編號(hào)5有形資產(chǎn)Intranet數(shù)據(jù)戰(zhàn)略計(jì)劃3計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第8頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)有形資產(chǎn)Intranet數(shù)據(jù)客戶消費(fèi)信用報(bào)告5有形資產(chǎn)Intranet

數(shù)據(jù)客戶醫(yī)療記錄5有形資產(chǎn)Intranet

數(shù)據(jù)雇員生物特征識(shí)別5有形資產(chǎn)Intranet數(shù)據(jù)雇員商務(wù)聯(lián)絡(luò)數(shù)據(jù)1有形資產(chǎn)Intranet數(shù)據(jù)雇員個(gè)人聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)Intranet數(shù)據(jù)采購單數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)3有形資產(chǎn)Intranet數(shù)據(jù)內(nèi)部網(wǎng)站3有形資產(chǎn)Intranet數(shù)據(jù)雇員種族數(shù)據(jù)3有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴合同數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴財(cái)務(wù)數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴聯(lián)絡(luò)數(shù)據(jù)3計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第9頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴協(xié)同應(yīng)用程序3有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴密鑰5有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴信用報(bào)告3有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴采購單數(shù)據(jù)3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商合同數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商財(cái)務(wù)數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商合作應(yīng)用程序3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商密鑰5有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商信用報(bào)告3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商采購單數(shù)據(jù)3計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第10頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)有形資產(chǎn)Internet數(shù)據(jù)網(wǎng)站銷售應(yīng)用程序5有形資產(chǎn)Internet數(shù)據(jù)網(wǎng)站營銷數(shù)據(jù)3有形資產(chǎn)Internet數(shù)據(jù)客戶信用卡數(shù)據(jù)5有形資產(chǎn)Internet數(shù)據(jù)客戶聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)Internet數(shù)據(jù)公開密鑰1有形資產(chǎn)Internet數(shù)據(jù)新聞發(fā)布1有形資產(chǎn)Internet數(shù)據(jù)白皮書1有形資產(chǎn)Internet數(shù)據(jù)產(chǎn)品文檔1有形資產(chǎn)Internet數(shù)據(jù)培訓(xùn)資料3計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第11頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)無形資產(chǎn)名譽(yù)

5無形資產(chǎn)友好關(guān)系

3無形資產(chǎn)雇員道德

3無形資產(chǎn)雇員生產(chǎn)力

3IT服務(wù)郵件電子郵件/計(jì)劃（如Microsoft?Exchange）3IT服務(wù)郵件即時(shí)消息1IT服務(wù)郵件MicrosoftOutlook?WebAccess(OWA)1IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)MicrosoftActiveDirectory?3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)域名系統(tǒng)(DNS)3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)3計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第12頁。二、安全風(fēng)險(xiǎn)管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評(píng)級(jí)IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)企業(yè)管理工具3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)文件共享3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)存儲(chǔ)器3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)撥號(hào)遠(yuǎn)程訪問3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)電話服務(wù)3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)虛擬專用網(wǎng)(VPN)訪問3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)MicrosoftWindows?Internet命名服務(wù)(WINS)1IT服務(wù)其他基礎(chǔ)結(jié)構(gòu)合作服務(wù)（如MicrosoftSharePoint?）1計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第13頁。二、安全風(fēng)險(xiǎn)管理介紹威脅

示例災(zāi)難性事件火災(zāi)災(zāi)難性事件洪水災(zāi)難性事件地震災(zāi)難性事件嚴(yán)重風(fēng)暴災(zāi)難性事件恐怖分子襲擊災(zāi)難性事件平民騷亂/暴動(dòng)災(zāi)難性事件山崩災(zāi)難性事件雪崩災(zāi)難性事件工業(yè)意外威脅

示例機(jī)械故障電力中斷機(jī)械故障硬件故障機(jī)械故障網(wǎng)絡(luò)中斷機(jī)械故障環(huán)境控制措施失效機(jī)械故障結(jié)構(gòu)意外非惡意人員未獲通知的雇員非惡意人員未獲通知的用戶計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第14頁。二、安全風(fēng)險(xiǎn)管理介紹威脅

示例惡意人員黑客、解密高手惡意人員計(jì)算機(jī)犯罪惡意人員行業(yè)間諜惡意人員政府資助的間諜惡意人員社會(huì)工程惡意人員心存不滿的現(xiàn)雇員惡意人員心存不滿的前雇員惡意人員恐怖分子惡意人員疏忽的雇員惡意人員不誠實(shí)的雇員（受賄者或被勒索者）惡意人員惡意移動(dòng)代碼計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第15頁。二、安全風(fēng)險(xiǎn)管理介紹高級(jí)漏洞分類漏洞簡(jiǎn)短說明具體示例（如果適用）物理未上鎖的門

物理未受保護(hù)的計(jì)算機(jī)應(yīng)用設(shè)施訪問權(quán)限

物理不充分的消防系統(tǒng)

物理設(shè)計(jì)低劣的建筑

物理施工低劣的建筑

物理施工中使用的易燃材料

物理裝修中使用的易燃材料

物理未上鎖的窗

物理易受物理襲擊的墻

物理內(nèi)墻未能在天花板和地板處完全密封房間

計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第16頁。二、安全風(fēng)險(xiǎn)管理介紹自然設(shè)備位于故障線路上

自然設(shè)備位于水災(zāi)區(qū)域

自然設(shè)備位于雪崩區(qū)域

高級(jí)漏洞分類漏洞簡(jiǎn)短說明具體示例（如果適用）硬件缺少修補(bǔ)程序

硬件過期的固件

硬件配置錯(cuò)誤的系統(tǒng)

硬件未受物理保護(hù)的系統(tǒng)

硬件在公共接口上允許的管理協(xié)議

計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第17頁。二、安全風(fēng)險(xiǎn)管理介紹軟件過期的防病毒軟件

軟件缺少修補(bǔ)程序

軟件編寫低劣的應(yīng)用程序跨站點(diǎn)腳本軟件編寫低劣的應(yīng)用程序SQL注入軟件編寫低劣的應(yīng)用程序代碼弱點(diǎn)，如緩沖區(qū)溢出軟件故意設(shè)置的弱點(diǎn)用于管理或系統(tǒng)恢復(fù)的供應(yīng)商后門軟件故意設(shè)置的弱點(diǎn)Spyware，如keyloggers軟件故意設(shè)置的弱點(diǎn)特洛伊木馬軟件故意設(shè)置的弱點(diǎn)

軟件配置錯(cuò)誤導(dǎo)致配置不一致的手工供應(yīng)軟件配置錯(cuò)誤未強(qiáng)化系統(tǒng)軟件配置錯(cuò)誤未審核系統(tǒng)軟件配置錯(cuò)誤未監(jiān)視系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第18頁。二、安全風(fēng)險(xiǎn)管理介紹媒體電子干擾

高級(jí)漏洞分類漏洞簡(jiǎn)短說明具體示例（如果適用）通信未加密的網(wǎng)絡(luò)協(xié)議

通信到多個(gè)網(wǎng)絡(luò)的連接

通信允許不必要的協(xié)議

通信在網(wǎng)絡(luò)分段之間無過濾

人為定義低劣的程序不充分的意外響應(yīng)準(zhǔn)備人為定義低劣的程序手工供應(yīng)人為定義低劣的程序不充分的災(zāi)難恢復(fù)規(guī)劃人為定義低劣的程序在生產(chǎn)系統(tǒng)上測(cè)試人為定義低劣的程序未報(bào)告的違規(guī)人為定義低劣的程序低劣的更改控制人為被盜憑據(jù)

計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第19頁。二、安全風(fēng)險(xiǎn)管理介紹風(fēng)險(xiǎn)管理周期模型計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第20頁。二、安全風(fēng)險(xiǎn)管理介紹（二）風(fēng)險(xiǎn)管理的基本概念資產(chǎn)（Asset）——

任何對(duì)組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。對(duì)資產(chǎn)的評(píng)估要從價(jià)值、重要性或敏感度等方面來考慮。威脅（Threat）——

就是可能對(duì)資產(chǎn)或組織造成損害的意外事件的潛在原因，即某種威脅源（threatsource）或威脅代理（threatagent）成功利用特定弱點(diǎn)對(duì)資產(chǎn)造成負(fù)面影響的潛在可能。威脅類型包括人為威脅（故意和無意）和非人為威脅（自然和環(huán)境）。識(shí)別并評(píng)估威脅時(shí)需要考慮威脅源的動(dòng)機(jī)和能力。風(fēng)險(xiǎn)管理關(guān)心的是威脅發(fā)生的可能性。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第21頁。二、安全風(fēng)險(xiǎn)管理介紹弱點(diǎn)（Vulnerability）——

也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。弱點(diǎn)本身并不能構(gòu)成傷害，它只是威脅利用來實(shí)施影響的一個(gè)條件。風(fēng)險(xiǎn)管理過程中要識(shí)別弱點(diǎn)，并評(píng)估弱點(diǎn)的嚴(yán)重性和可被利用的容易程度。風(fēng)險(xiǎn)（Risk）——

特定威脅利用資產(chǎn)的弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性.單個(gè)或者多個(gè)威脅可以利用單個(gè)或者多個(gè)弱點(diǎn)。風(fēng)險(xiǎn)是威脅事件發(fā)生的可能性與影響綜合作用的結(jié)果?？赡苄裕↙ikelihood）——

對(duì)威脅事件發(fā)生的幾率（Probability）或頻率（Frequency）的定性描述。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第22頁。二、安全風(fēng)險(xiǎn)管理介紹影響（Impact）——

或者是后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——

也稱作控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）——

在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第23頁。二、安全風(fēng)險(xiǎn)管理介紹風(fēng)險(xiǎn)管理各要素之間的關(guān)系

弱點(diǎn)暴露了具有價(jià)值的資產(chǎn),威脅對(duì)弱點(diǎn)加以利用，從而造成負(fù)面影響，由此導(dǎo)致風(fēng)險(xiǎn).正是因?yàn)轱L(fēng)險(xiǎn)的存在，我們才提出了安全需求，為了實(shí)現(xiàn)需求，必須采取安全措施，以便防范威脅并減少風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理的整個(gè)過程就是在這些要素間相互制約相互作用的關(guān)系中得以進(jìn)展的。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第24頁。三、風(fēng)險(xiǎn)管理的前期準(zhǔn)備（一）確定信息安全目標(biāo)和戰(zhàn)略安全目標(biāo)決定了組織能夠接受的風(fēng)險(xiǎn)水平和所滿足的安全程度。應(yīng)該考慮的問題組織承擔(dān)著哪些重點(diǎn)活動(dòng)哪些任務(wù)只能在IT的幫助下完成必須依賴信息的保密性、完整性和可用性哪些機(jī)密信息需要保護(hù)意外發(fā)生后對(duì)組織的影響計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第25頁。三、風(fēng)險(xiǎn)管理的前期準(zhǔn)備目標(biāo)信心產(chǎn)品信譽(yù)服務(wù)信息資料雇員消費(fèi)者客戶受益人保護(hù)數(shù)據(jù)保密性惡意使用誤用欺詐法規(guī)主題風(fēng)險(xiǎn)評(píng)估戰(zhàn)略和方法信息安全策略的需求系統(tǒng)安全操作程序的需求信息敏感性分類方案連接時(shí)需要滿足的條件和檢查方法事件處理方案只有事先確定了風(fēng)險(xiǎn)評(píng)估的途徑，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析才能有據(jù)而行計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第26頁。三、風(fēng)險(xiǎn)管理的前期準(zhǔn)備（二）建立信息安全策略（InformationSecurityPolicy）總體方針特定問題策略（Issue-SpecificPolicy）特定系統(tǒng)策略（System-SpecificPolicy）組織對(duì)信息安全的基本認(rèn)識(shí)組織的安全目標(biāo)和戰(zhàn)略，包括對(duì)法律法規(guī)遵守的考慮組織信息安全所涉及的范圍信息安全的組織構(gòu)架和責(zé)任認(rèn)定信息資產(chǎn)的分類模式風(fēng)險(xiǎn)管理的途徑信息資產(chǎn)分類方案關(guān)于信息安全管理的其他全局約定計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第27頁。四、評(píng)估風(fēng)險(xiǎn)（一）風(fēng)險(xiǎn)評(píng)估的概念1、概念風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。2、作用風(fēng)險(xiǎn)評(píng)估（RiskAssessment）是組織確定信息安全需求的一個(gè)重要途徑，屬于組織安全管理策劃的過程。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第28頁。四、評(píng)估風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估的任務(wù)識(shí)別組織面臨的各種風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響確定組織承受風(fēng)險(xiǎn)的能力確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)推薦風(fēng)險(xiǎn)消減對(duì)策

首先、要確定保護(hù)的對(duì)象（保護(hù)資產(chǎn)）是什么？它們直接和間接價(jià)值？其次、資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？第三、資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程序又如何？第四、一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？最后、組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程序計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第29頁。四、評(píng)估風(fēng)險(xiǎn)3、風(fēng)險(xiǎn)評(píng)估的幾個(gè)對(duì)應(yīng)關(guān)系（1）每項(xiàng)資產(chǎn)可能面臨多種威脅（2）威脅源（威脅代理）可能不止一個(gè)（3）每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第30頁。四、評(píng)估風(fēng)險(xiǎn)（二）風(fēng)險(xiǎn)評(píng)估的可行途徑1、基線評(píng)估（BaselineRiskAssessment）：（1）適用范圍：組織的商業(yè)運(yùn)作不是很復(fù)雜，對(duì)信息處理和網(wǎng)絡(luò)的依賴性不是很高，或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式。（2）評(píng)估策略：根據(jù)組織實(shí)際的情況，對(duì)信息系統(tǒng)進(jìn)行基線檢查（拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出差距），得出基本的安全需求。通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第31頁。四、評(píng)估風(fēng)險(xiǎn)（3）什么是安全基線：在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)能達(dá)到一定的安全防護(hù)水平。（4）可選擇標(biāo)準(zhǔn)：國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，例如BS7799-1、ISO13335-4

行業(yè)標(biāo)準(zhǔn)或推薦，例如德國聯(lián)邦安全局IT基線保護(hù)手冊(cè)來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第32頁。四、評(píng)估風(fēng)險(xiǎn)（5）優(yōu)點(diǎn)：需要的資源少，周期短，操作簡(jiǎn)單，對(duì)于環(huán)境相似且安全需求相當(dāng)?shù)闹T多組織，基線評(píng)估是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。（6）缺點(diǎn)：基線的高低水平難以設(shè)定，過高可能導(dǎo)致資源浪費(fèi)限制過度；過低又會(huì)造成難以達(dá)到充分的安全。在管理安全相關(guān)的變化方面，基線評(píng)估比較困難。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第33頁。四、評(píng)估風(fēng)險(xiǎn)2、詳細(xì)評(píng)估：（1）概念：對(duì)資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來識(shí)別和選擇安全措施。即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降到可接受的水平，以此證明管理者所采用的安全措施是恰當(dāng)?shù)?。?）優(yōu)點(diǎn)：組織對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)精確的認(rèn)識(shí)，并且準(zhǔn)確定義出組織目前的安全水平和安全需求。詳細(xì)評(píng)估的結(jié)果可以用來管理安全變化。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第34頁。四、評(píng)估風(fēng)險(xiǎn)（3）缺點(diǎn)：可能是非常耗費(fèi)資源的過程，包括時(shí)間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息系統(tǒng)范圍，明確商務(wù)環(huán)境、操作和信息資產(chǎn)的邊界。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第35頁。四、評(píng)估風(fēng)險(xiǎn)3、組合評(píng)估：（1）方式：采用基于基線評(píng)估與詳細(xì)評(píng)估兩者之間的評(píng)估方式。（2）方法：組織應(yīng)先對(duì)所有系統(tǒng)進(jìn)行一次初步的高級(jí)風(fēng)險(xiǎn)評(píng)估。著眼與信息系統(tǒng)的商務(wù)價(jià)值和可能面臨的風(fēng)險(xiǎn)，識(shí)別出組織內(nèi)具有高風(fēng)險(xiǎn)或?qū)ζ渖虅?wù)運(yùn)作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應(yīng)劃分在詳細(xì)風(fēng)險(xiǎn)評(píng)估的范圍，而其他系統(tǒng)則可以通過基線風(fēng)險(xiǎn)評(píng)估直接選擇安全措施。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第36頁。四、評(píng)估風(fēng)險(xiǎn)（3）優(yōu)點(diǎn)：節(jié)省詳細(xì)評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。（4）缺點(diǎn)：如果初步的高級(jí)風(fēng)險(xiǎn)評(píng)估不夠準(zhǔn)確，某些本來需要詳細(xì)評(píng)估的系統(tǒng)也許會(huì)被忽略，最終導(dǎo)致結(jié)果失準(zhǔn)。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第37頁。四、評(píng)估風(fēng)險(xiǎn)（三）風(fēng)險(xiǎn)評(píng)估的常用方法1、基于知識(shí)（Knowledge-based）的分析方法基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過多種途徑采集相關(guān)的信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比例，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第38頁。四、評(píng)估風(fēng)險(xiǎn)基于知識(shí)的分析方法，最重要的還在于評(píng)估信息的采集，信息源包括：■會(huì)議討論■對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查■制作問卷，進(jìn)行調(diào)查■對(duì)相關(guān)人員進(jìn)行訪談■進(jìn)行實(shí)地考察計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第39頁。四、評(píng)估風(fēng)險(xiǎn)2、基于模型（Model-based）的分析方法

2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)CORAS項(xiàng)目。

CORAS沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過程，但其試題風(fēng)險(xiǎn)的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。優(yōu)點(diǎn)：提高對(duì)安全相關(guān)我描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加了不同評(píng)估方法互操作的效率。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第40頁。四、評(píng)估風(fēng)險(xiǎn)3、定量（Quantitative）分析對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)試題風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果都可以被量化。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第41頁。四、評(píng)估風(fēng)險(xiǎn)定量分析的幾個(gè)概念

1、暴露因子（ExposureFactor,EF）:特定威脅對(duì)特定資產(chǎn)靠損失的百分比，或者說損失的程度。

2、單一損失期望（singleLossExpectancy,SLE）:也稱作SOC（SingleOccurrenceCosts）,即特定威脅可能造成的潛在損失總量。

3、年度損失期望（AnnualizedLossExpectancy,ALE）：或者稱作EAC（EstimatedAnnualCost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第42頁。四、評(píng)估風(fēng)險(xiǎn)幾個(gè)概念的關(guān)系（1）首先，識(shí)別資產(chǎn)并為資產(chǎn)賦值（2）通過威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%~100%之間）（3）計(jì)算特定威脅發(fā)生的頻率，即ARO（4）計(jì)算資產(chǎn)的SLE：（5）計(jì)算資產(chǎn)的ALE：計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第43頁。四、評(píng)估風(fēng)險(xiǎn)4、定性（Qualitative）分析定性分析方法是目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性，往往憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素（資產(chǎn)價(jià)值，威脅的可能性，弱點(diǎn)被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級(jí)。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第44頁。四、評(píng)估風(fēng)險(xiǎn)（四）風(fēng)險(xiǎn)評(píng)估工具1、調(diào)查問卷2、檢查列表3、人員訪談4、漏洞掃描器5、滲透測(cè)試計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第45頁。四、評(píng)估風(fēng)險(xiǎn)（五）風(fēng)險(xiǎn)評(píng)估的基本過程風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的過程，包括資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定在內(nèi)的一系列活動(dòng)。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第46頁。四、評(píng)估風(fēng)險(xiǎn)（五）風(fēng)險(xiǎn)評(píng)估的基本過程計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第47頁。四、評(píng)估風(fēng)險(xiǎn)1、計(jì)劃和準(zhǔn)備（1）目標(biāo)：開展風(fēng)險(xiǎn)評(píng)估活動(dòng)的目有，期望得到的輸出結(jié)果，關(guān)鍵的約束條件（時(shí)間、成本、技術(shù)、策略、資源等）（2）范圍和邊界：既寂的風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)（包括其弱點(diǎn)、威脅事件和威脅源等）的一個(gè)子集，評(píng)估范圍必須首先明確。此外，必須定義風(fēng)險(xiǎn)評(píng)估的物理邊界和邏輯邊界。邏輯分析邊界定義了分析所需的廣度和深度，而物理系統(tǒng)邊界則定義了一個(gè)系統(tǒng)起于哪里止于何處。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第48頁。四、評(píng)估風(fēng)險(xiǎn)

（3）系統(tǒng)描述：進(jìn)行風(fēng)險(xiǎn)評(píng)估的一個(gè)先決條件就是對(duì)受評(píng)估系統(tǒng)的需求、操作概念和系統(tǒng)資產(chǎn)特性有一個(gè)清晰的認(rèn)識(shí)，必須識(shí)別評(píng)估邊界內(nèi)所有的系統(tǒng)。（4）角色和責(zé)任：組織應(yīng)該成產(chǎn)一個(gè)專門的風(fēng)險(xiǎn)評(píng)估小組。（5）風(fēng)險(xiǎn)評(píng)估行動(dòng)計(jì)劃：確定風(fēng)險(xiǎn)評(píng)估的途徑和方法，計(jì)劃評(píng)估步驟。（6）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)：事先明確組織能夠接受的風(fēng)險(xiǎn)的水平或者等級(jí)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第49頁。四、評(píng)估風(fēng)險(xiǎn)

（7）風(fēng)險(xiǎn)評(píng)估適用表格：為風(fēng)險(xiǎn)評(píng)估過程擬訂標(biāo)準(zhǔn)化的表格、模板、問卷等材料。風(fēng)險(xiǎn)評(píng)估計(jì)劃應(yīng)該包括以下內(nèi)容：（1）目標(biāo)：開展風(fēng)險(xiǎn)評(píng)估活動(dòng)的目的，期望得到的輸出結(jié)果，關(guān)鍵的約束條件（時(shí)間、成本、技術(shù)、策略、資源等）（2）范圍和邊界：（3）系統(tǒng)描述：（4）角色和責(zé)任：（5）風(fēng)險(xiǎn)評(píng)估行動(dòng)計(jì)劃：（6）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)（7）風(fēng)險(xiǎn)評(píng)估適用表格：計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第50頁。四、評(píng)估風(fēng)險(xiǎn)信息采集途徑：（1）專家經(jīng)驗(yàn)（2）集體討論或小組討論（3）人員訪談（4）調(diào)查問卷（5）文件審核（包括政策法規(guī)、安全策略、設(shè)計(jì)文檔、操作指南、審計(jì)記錄等）（6）以前的審計(jì)和評(píng)估結(jié)果（7）對(duì)外部案例和場(chǎng)景的分析（8）現(xiàn)場(chǎng)戡查計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第51頁。四、評(píng)估風(fēng)險(xiǎn)2、識(shí)別并評(píng)價(jià)資產(chǎn)資產(chǎn)識(shí)別考慮的問題（1）數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、運(yùn)作和支持程序、應(yīng)急計(jì)劃等。（2）書面文件：合同、策略方針、企業(yè)文件、保持重要商業(yè)結(jié)果的文件。（3）軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、企業(yè)文件、保持重要商業(yè)結(jié)果的文件。（4）實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)（磁帶和磁盤），其他的技術(shù)型設(shè)備（電源、空調(diào)），家具，場(chǎng)所。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第52頁。四、評(píng)估風(fēng)險(xiǎn)（5）人員：承但特定職能責(zé)任的人員。（6）服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)型服務(wù)（供熱、照明、動(dòng)力等）。（7）組織形象與聲譽(yù)：這是一種無形資產(chǎn)列入評(píng)估清單的信息資產(chǎn)，一定要是在評(píng)估范圍內(nèi)且與商務(wù)過程相關(guān)的資產(chǎn)，否則，一方面清單過于龐大不便分析，另一方面，分析結(jié)果也會(huì)失去準(zhǔn)確性和本應(yīng)有的意義。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第53頁。四、評(píng)估風(fēng)險(xiǎn)按照定量分析的思想，應(yīng)該確定資產(chǎn)的貨幣價(jià)值，在定義相對(duì)價(jià)值時(shí)，需要考慮。（1）信息資產(chǎn)因?yàn)槭軗p而對(duì)商務(wù)造成的直接損失。（2）信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力。（3）信息資產(chǎn)受損對(duì)其他部門的業(yè)務(wù)造成的損失。（4）組織在公眾形象和名譽(yù)上的損失。（5）因?yàn)樯虅?wù)受損導(dǎo)致優(yōu)勢(shì)降級(jí)而引發(fā)的間接損失。（6）其他損失，例如保險(xiǎn)費(fèi)用的增加。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第54頁。四、評(píng)估風(fēng)險(xiǎn)3、識(shí)別并評(píng)估威脅（1）人員威脅：包括故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等）和無意失誤（比如誤操作、維護(hù)錯(cuò)誤）（2）系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、介質(zhì)老化）（3）環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等。（4）自然威脅：洪水、地震、臺(tái)風(fēng)、滑坡、雷電計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第55頁。四、評(píng)估風(fēng)險(xiǎn)4、識(shí)別并評(píng)估弱點(diǎn)（1）技術(shù)性弱點(diǎn)：系統(tǒng)、程序設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞；（2）操作性弱點(diǎn)：軟件和系統(tǒng)在配置、操作、使用中的缺陷。包括人員日常工作中的不良習(xí)慣，審計(jì)或備份的缺乏。（3）管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第56頁。四、評(píng)估風(fēng)險(xiǎn)5、識(shí)別并評(píng)估現(xiàn)有的安全措施目標(biāo)和針對(duì)性（1）管理性：對(duì)系統(tǒng)的開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期（2）操作性：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。（3）技術(shù)性：身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)、加密等。計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第57頁。四、評(píng)估風(fēng)險(xiǎn)從控制功能分類：（1）威懾性：可以降低蓄意攻擊的可能性，實(shí)際上針對(duì)的是威脅源的動(dòng)機(jī)。（2）預(yù)防性：保護(hù)弱點(diǎn)，使攻擊難以成功，或者降低攻擊造成的影響。（3）檢測(cè)性：可以檢測(cè)并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性控制（4）糾正性：可以使攻擊造成的影響減到最小計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第58頁。四、評(píng)估風(fēng)險(xiǎn)安全措施（控制）應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第59頁。四、評(píng)估風(fēng)險(xiǎn)6、評(píng)估風(fēng)險(xiǎn)威脅的可能性：計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第60頁。四、評(píng)估風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第61頁。四、評(píng)估風(fēng)險(xiǎn)風(fēng)險(xiǎn)分析矩陣計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第62頁。四、評(píng)估風(fēng)險(xiǎn)7、推薦控制措施風(fēng)險(xiǎn)評(píng)估結(jié)束后，應(yīng)該提供詳細(xì)的評(píng)估報(bào)告，內(nèi)容包括：（1）概述，包括評(píng)估目的、方法、過程等（2）評(píng)估結(jié)果，包括資產(chǎn)、威脅、弱點(diǎn)和現(xiàn)有控制措施的評(píng)估等級(jí)，以及最終的風(fēng)險(xiǎn)評(píng)價(jià)等級(jí)。（3）推薦安全控制措施，提出建議性的解決方案計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第63頁。五、風(fēng)險(xiǎn)消減（一）確定風(fēng)險(xiǎn)消減策略1、降低風(fēng)險(xiǎn)（ReduceRisk）減少威脅減少弱點(diǎn)降低影響2、規(guī)避風(fēng)險(xiǎn)（AvoidRisk）3、轉(zhuǎn)嫁風(fēng)險(xiǎn)（TransferRisk）4、接受風(fēng)險(xiǎn)（AcceptRisk）計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第64頁。五、風(fēng)險(xiǎn)消減計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第65頁。五、風(fēng)險(xiǎn)消減（二）選擇安全措施1、約束條件（1）經(jīng)濟(jì)約束（2）時(shí)間約束（3）技術(shù)約束（4）社會(huì)約束（5）環(huán)境約束（6）法律約束計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第66頁。五、風(fēng)險(xiǎn)消減2、安全措施選擇列表計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第67頁。五、風(fēng)險(xiǎn)消減（三）制定安全計(jì)劃1、包含內(nèi)容：安全目標(biāo)風(fēng)險(xiǎn)管理戰(zhàn)略和風(fēng)險(xiǎn)評(píng)估途徑已識(shí)別的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)等級(jí)（包括對(duì)威脅和弱點(diǎn)的敘述）推薦的安全措施（包括現(xiàn)有的措施）風(fēng)險(xiǎn)消減策略和殘留風(fēng)險(xiǎn)的接受標(biāo)準(zhǔn)選定的安全措施，確定措施的優(yōu)先級(jí)預(yù)期實(shí)施成本（包括人力、所需資源等）列舉責(zé)任人員確定時(shí)間期限（按優(yōu)先級(jí)可分為短期、中期、長期）和里程碑報(bào)告程序的定義跟進(jìn)活動(dòng)，例如相關(guān)的培訓(xùn)、維護(hù)建議等。對(duì)可能困難的考慮計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第68頁。五、風(fēng)險(xiǎn)消減2、安全措施選擇列表計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第69頁。五、風(fēng)險(xiǎn)消減（四）實(shí)施安全計(jì)劃（五）檢查和測(cè)試計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第70頁。六、風(fēng)險(xiǎn)控制（一）維護(hù)（Maintenance）1、檢查日志文件2、修改調(diào)整必要的參數(shù)，以反應(yīng)變化需求3、更新版本4、安裝補(bǔ)丁計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第71頁。六、風(fēng)險(xiǎn)控制（二）監(jiān)視（Monitoring）1、監(jiān)視資產(chǎn)引起資產(chǎn)變化的原因：組織商務(wù)目標(biāo)的變動(dòng)系統(tǒng)中運(yùn)行的應(yīng)用程序的變化受處理的信息變化設(shè)備的變化2、監(jiān)視威脅3、監(jiān)視弱點(diǎn)4、監(jiān)視安全措施計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理全文共83頁，當(dāng)前為第72頁。六、風(fēng)險(xiǎn)控制（三）事件響應(yīng)（IncidentResponse）也稱作應(yīng)急響應(yīng)，就是對(duì)計(jì)算機(jī)系統(tǒng)中出現(xiàn)的突發(fā)事件作出響應(yīng)。所謂突發(fā)事件，就是突然干擾或打斷系統(tǒng)的正常運(yùn)行，使