信息安全測評流程學(xué)習(xí)報告

信息安全測評的一般方法和流程一.信息安全評估的定義信息安全風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可以接受的水平，制定針對性的抵御威脅的防護(hù)對策和整改措施以最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。信息安全風(fēng)險評估在具體實施中一般包括風(fēng)險評估的準(zhǔn)備活動，對信息系統(tǒng)資產(chǎn)安全、面臨威、存在脆弱性的識別，對已經(jīng)采取安全措施的確認(rèn)，對可能存在的信息安全風(fēng)險的識別等環(huán)節(jié)。二.信息安全評估的重要性在信息化建設(shè)中，各類應(yīng)用系統(tǒng)及其賴以運用的基礎(chǔ)網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息是業(yè)務(wù)實現(xiàn)的保障，由于其可能存在軟硬件設(shè)備缺陷、系統(tǒng)集成缺陷等，以及信息安全管理中潛在的薄弱環(huán)節(jié)，都將導(dǎo)致不同程度的安全風(fēng)險。信息安全風(fēng)險評估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)建設(shè)、運行、管理中的安全隱患，并為增強安全性提供有效建議，以便采取更加經(jīng)濟、更加有力的安全保障措施，提高信息安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。三.信息安全評估的一般流程①分析前準(zhǔn)備：1）確定目標(biāo)：首先需要確定風(fēng)險評估的目標(biāo)，信息安全需求是一個組織為保證其業(yè)務(wù)正常、有效運轉(zhuǎn)而必須達(dá)到的信息安全要求，通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對信息安全等的機密性、可用性、完整性等方面的需求，來確定風(fēng)險評估的目標(biāo)。2）確定范圍：在風(fēng)險評估前，需要確定風(fēng)險評估的范圍。風(fēng)險評估的范圍，包括組織內(nèi)部與信息處理相關(guān)的各類軟硬件資產(chǎn)、相關(guān)的管理機構(gòu)和人員、所處理的信息等各方面。實施一次風(fēng)險評估的范圍可大可小，需要根據(jù)具體評估需求確定，可以對組織全部的信息系統(tǒng)進(jìn)行評估，也可以僅對關(guān)鍵業(yè)務(wù)流程進(jìn)行評估，也可以對組織的關(guān)鍵部門的信息系統(tǒng)進(jìn)行評估等。3）組建評估管理團(tuán)隊和評估實施團(tuán)隊：在確定風(fēng)險評估的目標(biāo)、范圍后，需要組建風(fēng)險評估實施團(tuán)隊，具體執(zhí)行組織的風(fēng)險評估。由于風(fēng)險評估涉及組織管理、業(yè)務(wù)、信息資產(chǎn)等各個方面，因此風(fēng)險評估團(tuán)隊中除了信息安全評估人員的參與，以便更好地了解組織信息安全狀況，以利于風(fēng)險評估的實施。4）進(jìn)行系統(tǒng)調(diào)研：在確定了風(fēng)險評估的目標(biāo)、范圍、團(tuán)隊后，要進(jìn)行系統(tǒng)調(diào)研，并根據(jù)系統(tǒng)調(diào)研的結(jié)果決定評估將采用的評估方法等技術(shù)手段。系統(tǒng)調(diào)研內(nèi)容包括：.組織業(yè)務(wù)戰(zhàn)略.組織管理制度.組織主要業(yè)務(wù)功能和要求.網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境（包括內(nèi)部連接和外部連接）.網(wǎng)絡(luò)系統(tǒng)邊界.主要的硬、軟件.數(shù)據(jù)和信息.系統(tǒng)和數(shù)據(jù)的敏感性.系統(tǒng)使用人員.其他系統(tǒng)調(diào)研方法可以采用問卷調(diào)查、現(xiàn)場訪談等方法進(jìn)行。確定評估依據(jù)和方法：以系統(tǒng)調(diào)研結(jié)果為依據(jù)，根據(jù)被評估信息系統(tǒng)的具體情況，確定風(fēng)險評估依據(jù)和方法。評估依據(jù)包括吸納有國際或國家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互連單位的安全要求、組織的信息系統(tǒng)本身的實時性或性能要求等。根據(jù)評估依據(jù)，并綜合考慮評估的目的、范圍時間效果評估人員素質(zhì)等因素，選擇具體的風(fēng)險計算方法，并依據(jù)組織業(yè)務(wù)實施對系統(tǒng)安全運行的需求，確定相關(guān)的評估判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。獲得支持：就以上內(nèi)容形成較為完整的風(fēng)險評估實施方案，并報組織最高管理者批準(zhǔn)，以獲得其對風(fēng)險評估方案的支持，同時在組織范圍就風(fēng)險評估相關(guān)內(nèi)容對管理者和技術(shù)人員進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。②資產(chǎn)分析：資產(chǎn)分類：風(fēng)險評估需要對資產(chǎn)的價值進(jìn)行識別，因為價值不同將導(dǎo)致風(fēng)險值不同。而風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是以資產(chǎn)的機密性、完整性、和可用性三個方面屬性為基礎(chǔ)進(jìn)行衡量。資產(chǎn)在機密性、完整性和可用性三個屬性上的要求不同，則資產(chǎn)的最終價值也不同。在一個組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同。首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險評估。在實際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可以將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。以下介紹兩種資產(chǎn)分類方式：

分類示 例蝴保存在信息媒介上的各種數(shù)據(jù)資料.;包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手則等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享的源代碼、自行曷合作開發(fā)的各種源代碼等硬件網(wǎng)絡(luò)設(shè)備路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：連機、力理機、服咯器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、硬盤等解陡路粉、雙絞線等保障設(shè)備：動力保障設(shè)備（BS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測家統(tǒng)、身份驗證等其他：打印機、復(fù)印件、掃描儀、傳真機等分類示， 例服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管鋰信息系統(tǒng)（MIS）包括各種內(nèi)部配置管理文件文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提腳的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的首類服務(wù)..紙質(zhì)的各種文件如俵真電報財務(wù)報告發(fā)展計劃等 掌握重要信，就口核心業(yè)務(wù)的人員，如主機維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項目經(jīng)理等其他企業(yè)形象、客戶關(guān)系等（1）方法

軟盤終專髓理軟件證照光纖網(wǎng)絡(luò)把A.畫里欽苴它實體信息四維主血螂耦藜軟件由電主HUB門輦管倬物牛同域纜管I熊息系統(tǒng)口星線格工TR眸■管］里至綠門輦東蟒網(wǎng)絡(luò)管倬鎏克監(jiān)悴率縊手機管倬裹克施警案縊存儲管伸裱克打制.苴它應(yīng)用鎏克復(fù)8時1蛛證吊為描位固化產(chǎn)品軟件模住直機碎紙機(2)分類方式二釧錄機大屏萼 空氣晶化器

（3）分類方式二2）資產(chǎn)賦值：對資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟價值，更重要的是要考慮資產(chǎn)的安全狀況，即資產(chǎn)的機密性、完整性和可用性，對組織信息安全性的影響程度。資產(chǎn)賦值的過程也就是對資產(chǎn)在機密性，完整性和可用性上的要求進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。資產(chǎn)對機密性、完整性和可用性上的要求可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟效益、市場份額、組織形象的損失。資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在機密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以選擇對資產(chǎn)機密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)機密性、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點確定。賦值標(biāo)識定 義5很高包含組織最重妻的秘密，關(guān)系未來發(fā)展的前途命運,對組織根本利盞有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益受到嚴(yán)重?fù)p置3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害!2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴散有可露對組織利益造成輕微損害1很低可對社會公開的信息、公用的信息處理設(shè)備和系統(tǒng)資源等（3）資產(chǎn)機密性賦值標(biāo)識定 義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的戢無法接受的影響，對業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷，損失難以彌補4高完整性價值較高;未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，扳失難以彌補3中等完整性價值中等;未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但損失可以彌補2低完整性價值較低;未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對'務(wù)沖擊輕微，但損失容易彌補1很低完整性價值非常，氐，未經(jīng)授權(quán)的修改或破壞會對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略（4）資產(chǎn)完整性

賦值標(biāo)識定 義5很高可用性價值非常局￡合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價值較高，譽法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時間小于10分鐘3中等可用性價值中等，食法使用者對信息及信息系統(tǒng)的可用度在正常二作時亙達(dá)到二。“。以上,或系統(tǒng)允許中斷時亙小于30分鐘2低可用性價值較低，告法使用者對信息及信息系統(tǒng)的可用度在正常工作時間總到25%以上，或系統(tǒng)允許中斷時間小于60分鐘1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%(5)資產(chǎn)可用性賦值標(biāo)識定 義5很號?非常重要，其安全j國性破壞后可能又框且織造成三度嚴(yán)重的損失4高重要，其安全屬性彳破壞后可能對組織造成上俄嚴(yán)重的損失i中等-比較重要，其安至工,性破壞后可能義夠且織造成中霸度的損失.2低不太重要，其安全」國性破壞后可能又施且織造瞬嘯的損失1很低不重要，其安全屬，忽略不計生破壞后可能艱且織造成很，用損失甚至(6)資產(chǎn)重要性③威脅分析：1)威脅分類：信息安全威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗力的因素和其他物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，也可能是偶發(fā)的或蓄意的安全事件，都會在信息的機密性、完整性或可用性等方面造成損害。在對威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。以下是更據(jù)威脅的來源對威脅分類的方法。

來源描 述環(huán)境因素由于斷電、靜電、灰2災(zāi)、火災(zāi)、地震等環(huán)方件數(shù)據(jù)、通信線品轉(zhuǎn)了黑潮濕、溫度、黜支蟲害、電磁干擾、洪百條件、自然災(zāi)害、意外事故以及軟件、硬亍面的故障所帶來的威脅A為威脅?…惡"…因某種原因，內(nèi)部彌..處勾結(jié)的方式盜竊機尾外部人員利用信息系今性和可用性進(jìn)行破壞,置對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)至信息或進(jìn)行篡改，.…獲取利益 克的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機密性、完整以獲取利益或炫耀能力非惡意/員內(nèi)部人員由于缺乏責(zé)工遵循規(guī)章制度和操作將缺乏培訓(xùn)、專業(yè)技故障或被攻擊E心，或者由于不關(guān)心和不專注，或者沒有謊而導(dǎo)致故障或信息損壞；內(nèi)部人員由于乂足、不具備崗位技要求而導(dǎo)致信息系統(tǒng)種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通信鏈路甫斷、系統(tǒng)本身或軟件缺陷造成對業(yè)加實施、系統(tǒng)穩(wěn)定運行的影響設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障物理環(huán)境由于斷電、靜電、灰塵、潮濕、;溫度、影響鼠蚊蟲害、電磁干擾、洪災(zāi)、滅災(zāi)、地震等環(huán)境問題或自然災(zāi)害對,統(tǒng)造成的影響無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，戲系統(tǒng)造成的影響維護(hù)錯誤、操作失誤管理不至I位安全管理措施沒后落實，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行種類描述威脅子類惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件、蠕蟲、陷門等越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系名建己置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)、如偵察、密碼破譯、嗅探、偽造和欺騙T曉服務(wù)等手段，對信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測嗅探（賬戶、口令、權(quán)限等）用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)那個運行的控制和破壞物理攻擊通過物理接觸造成對軟件、硬柞、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊種類描述威脅子類齷信息泄露給不應(yīng)該了解的d員內(nèi)部信息泄露、外部信息泄露飄非法修改信息，破壞信息的完整性使系篡改網(wǎng)絡(luò)配置信息、系統(tǒng)酉屋信統(tǒng)的安全性降低或信息不可用息、安全配置信息、用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息峨不承認(rèn)U的信息和所作的操住和交易原發(fā)抵賴、接收抵賴、第三方抵賴2）威脅賦值：威脅出現(xiàn)的頻率是衡量威脅嚴(yán)重程度的重要要素，因此威脅識別后需要對威脅頻率進(jìn)行賦值，已帶入最后的風(fēng)險計算中。評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來對威脅頻率進(jìn)行賦值，威脅賦值中需要綜合考慮以下三個方面因素。.以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計.實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；.近年來國際組織發(fā)布的對與整個社會或特定的行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警?？梢詫ν{出現(xiàn)的頻率進(jìn)行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。以下是一種威脅的分析形式。等級定 義5很高出現(xiàn)頻率很高（或能避免；或可以證三“1次，周）;或在大多數(shù)情蝦幾乎不可底至常發(fā)生過4高出現(xiàn)頻率較禺（或Ri次,月）；或在大多數(shù)情蝦很有可能會發(fā)生；或可以證實多次經(jīng)常發(fā)生過S中等-出現(xiàn)頻率中等F或生；或被證實曾經(jīng);三1次「半年廠「或在某種情況下可能會發(fā)…姓過2低出現(xiàn)頻率被小；或-T股不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可^^fe；僅可能在非常罕見和例外的情況F發(fā)生3）脆弱性識別：脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生進(jìn)而帶來損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件下和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的，起不到應(yīng)有作用的或沒有正確實施安全措施本身就可能存在脆弱性。脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱的嚴(yán)重程度進(jìn)行評估，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱識別的依據(jù)可以是國際國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對應(yīng)用在不同的環(huán)境中的相同弱點，其脆弱性嚴(yán)重程度是不同的，評估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實施例如，對物理環(huán)境的脆弱性識別可以參照GB/T9361-2000《計算機場地安全要求》中的技術(shù)指標(biāo)實施；對操作系統(tǒng)、數(shù)據(jù)庫可以參照GB17859-1999《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》中的技術(shù)指標(biāo)實施管理脆弱性識別方面可以參照GB/T19716-2005《信息技術(shù)信息安全管理實用規(guī)則》的要求對安全管理制度及及執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。以下是一種脆弱性的識別方式。類鬟識別對象i識別內(nèi)容從機房場地J機房防火、機房供配電、機房防靜電、物理環(huán)境機房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機技房區(qū)域防護(hù)」機房設(shè)備管理等方面進(jìn)行識別... 脆網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部訪問控制j策略、網(wǎng)絡(luò)設(shè)備安全策略等方面進(jìn)行弱識別性系統(tǒng)軟件從補丁安裝口物理保護(hù)、用戶賬號、口令策略、資（含操作源共享、事傳審查、訪問控制、新系統(tǒng)配置（初始系統(tǒng)及系化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)統(tǒng)服務(wù)）行識別類型識別對象:識別內(nèi)容技數(shù)據(jù)摩軟件從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和術(shù)服務(wù)設(shè)置、備份恢復(fù)機制等方面進(jìn)行識別脆應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別弱應(yīng)用系統(tǒng)從審計機制、審語存儲、訪問控制列表策略、數(shù)據(jù)完整j十性、通信、鑒別機制、密碼保護(hù)等方面進(jìn)行識別管理技術(shù)管理從物理和環(huán)境安圣、通信與操作管理、訪問控制、系統(tǒng)脆弱開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別性組織管理從策略安全、組女安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別4）脆弱性賦值：可以根據(jù)對資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度、弱點的程度，采用等級方式對已識別的脆弱性的嚴(yán)重進(jìn)行賦值。由于很多弱點反映的是一方面的問題，或可能造成相似的后果，賦值時應(yīng)綜合考慮這些弱點，以確定這一方面脆弱性的嚴(yán)重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。脆弱性嚴(yán)重程度可以進(jìn)行等級化管理，不同的等級分別代表資產(chǎn)脆弱性的嚴(yán)重程度高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。以下是一種脆弱性賦值的方式等級標(biāo)識定 義5很高如果被威脅利用,將對資產(chǎn)造成完全損害4高如果被威脅利用,將對資產(chǎn)造成重大損害3中如果被威脅利用,將對資產(chǎn)造成一般損害2低如果被威脅利用,將對資產(chǎn)造成較小損害1很低如果被威脅利用,將對資產(chǎn)造成的損害可以忽略④已有安全措施確認(rèn):安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。1）預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如:入侵檢測系統(tǒng)。2）保護(hù)性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進(jìn)行檢查，檢查安全措施是否有效發(fā)揮了作用，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對于已經(jīng)有效地發(fā)揮了其作用的安全措施，應(yīng)繼續(xù)保持，而不用重復(fù)建設(shè)安全措施。對于不適當(dāng)?shù)陌踩胧?，用對其進(jìn)行改進(jìn)，或采用更合適的安全措施替代。已有安全措施確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的弱點，但安全措施確認(rèn)并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風(fēng)險處理計劃的制定提供依據(jù)和參考。④風(fēng)險分析：1)風(fēng)險計算原理：風(fēng)險定義為威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具進(jìn)行安全風(fēng)險分析和計算，下面使用的范式形式化說明風(fēng)險計算風(fēng)險值=R=(A,T,V)=R(L(T,V),F(Ia,Va))其中：R表示安全風(fēng)險計算函數(shù)A表示資產(chǎn)(Asset)T表示威脅出現(xiàn)頻率(Threat)V表示脆弱性(Vulnerability)，Ia表示安全事件所作用的資產(chǎn)價值Va表示脆弱性嚴(yán)重程度，L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性F表示安全事件發(fā)生后產(chǎn)生的損失。2)在風(fēng)險計算中有以下三個關(guān)鍵計算環(huán)節(jié)：.計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)=(L,V)在具體評估中，應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。.計算安全事件發(fā)生后的損失根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度，計算安全事件一旦發(fā)生后的損失，即：安全事件的損失=F(資產(chǎn)價值，脆弱性嚴(yán)重程度)=F(Ia,Va)部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失，應(yīng)將對組織的影響也考慮在內(nèi)。部分安全事件損失的判斷還應(yīng)參照安全事件發(fā)生的可能性的結(jié)果，對發(fā)生可能性極少的安全事件，如:處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計算其損失。.計算風(fēng)險值根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風(fēng)險值，即：風(fēng)險值=R(安全事件發(fā)生的可能性，安全事件的損失)=R(L(T,V),F(Ia,Va))評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算出風(fēng)險值，如矩陣法或相乘法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件發(fā)生的可能性與安全事件的損失進(jìn)行運算得到風(fēng)險值。3)風(fēng)險結(jié)果判定：為實現(xiàn)對風(fēng)險的控制與管理，可以對風(fēng)險評估的結(jié)果進(jìn)行等級化處理。可以將風(fēng)險劃分為一定的級別，如劃分為5級或3級。等級越高，風(fēng)險越高。評估者應(yīng)根據(jù)采用的風(fēng)險計算方法，計算每種資產(chǎn)面臨的危險值，根據(jù)風(fēng)險值的分布狀況，為每個等級設(shè)定風(fēng)險值范圍，并對所有風(fēng)險計算結(jié)果進(jìn)行等級處理。每個等級代表了相應(yīng)風(fēng)險的嚴(yán)重程度。風(fēng)險等級劃分是為了在風(fēng)險管理過程中對不同風(fēng)險進(jìn)行直觀的比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。對某些資產(chǎn)的風(fēng)險，如果風(fēng)險計算值在可接受的范圍內(nèi)，則該風(fēng)險是可接受的風(fēng)險，應(yīng)保持已有的安全措施；如果風(fēng)險評估值在可接受的范圍外，即風(fēng)險計算值高于可接受范圍的上限值，是可接受的風(fēng)險，需要采取安全措施以降低、控制風(fēng)險。5)風(fēng)險處理計劃：對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。風(fēng)險處理計劃中應(yīng)明確指出采取的彌補弱點的安全措施、預(yù)期效果、實施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮，管理措施可以作為技術(shù)措施的補充。安全措施的選擇與實施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。在對于不可接受的風(fēng)險選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。殘余風(fēng)險的評估可以依據(jù)本標(biāo)準(zhǔn)提出的風(fēng)險評估流程實施，也可以適當(dāng)裁減。一般來說，安全措施的實施是以減少脆弱性或降低安全事件發(fā)生可能性為目標(biāo)的，因此，殘余風(fēng)險的評估可以從脆弱性評估開始，在對照安全措施實施前后的脆弱性狀況后，再次計算風(fēng)險值的大小。某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險的結(jié)果仍處于不可接受的風(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施。6）風(fēng)險評估文件記錄：記錄風(fēng)險評估過程中的相關(guān)文件，應(yīng)符合以下要求（但不僅限于此）：.確保文件發(fā)布前是得到批準(zhǔn)的；.確保文件的更改和現(xiàn)行修訂狀態(tài)是可識別的；.確保文件的分發(fā)得到適當(dāng)?shù)目刂?，并確保在使用時可獲得有關(guān)版本的使用文件；.防止作廢文件的非預(yù)期使用，若因某種目的需保留作廢文件時，應(yīng)對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。對于風(fēng)險評估過程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文件是否需要以及文件的詳略程度與組織的管理者來決定。7）風(fēng)險評估文件：是指在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：（1）風(fēng)險評估方案：闡述風(fēng)險評估的目標(biāo)、范圍、人員、評估方法、評估結(jié)果的形式和實施進(jìn)度等。（2）風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，以及實施本次評估所需的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)。（3）資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，明確資產(chǎn)是責(zé)任人/部門。（4）重要資產(chǎn)清單 根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等。（5）威脅列表根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等（6）脆弱性列表 根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括具體弱點的名稱、描述、類型及嚴(yán)重程度等。（7）已有安全措施的確認(rèn)表根據(jù)對已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實施效果等。（8）風(fēng)險評估報告對整個風(fēng)險評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象、風(fēng)險評估方法、資產(chǎn)、威脅、脆弱性的識別結(jié)果、風(fēng)險計劃、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容。（9）風(fēng)險處理計劃對評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險的評估以確定所選擇安全措施的有效性。（10）風(fēng)險評估記錄根據(jù)風(fēng)險評估程序，要求風(fēng)險評估過程中的各種現(xiàn)場記錄可復(fù)現(xiàn)評估過程，并作為產(chǎn)生歧義后解決問題的依據(jù)。四.信息安全測評使用的一些工具①信息安全評估系統(tǒng)1)COBRA1991年，英國C&ASystemSecurity公司推出了一套風(fēng)險分析工具軟件(Consultative,ObjectiveandBi-fiinctionalRiskAnalysis,COBRA),用于信息安全風(fēng)險評估，它由一系列風(fēng)險分析、咨詢和安全評價工具組成，是一個基于專家系統(tǒng)的風(fēng)險評估工具，它改變了傳統(tǒng)的風(fēng)險管理方法，提供了一套完整的風(fēng)險分析服務(wù)，并兼容諸多風(fēng)險評估方法。COBRA通過問卷方式來采集和分析數(shù)據(jù)，并對組織的風(fēng)險進(jìn)行定性分析.最終的評估報告中包含己識別風(fēng)險的水平和推薦措施，因此，它可以被看做一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng)。此外，COBRA還支持基于知識的評估方法，可以將組織的安全現(xiàn)狀與iso17799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補措施，對每個風(fēng)險類別提供風(fēng)險分析報告和風(fēng)險值(或風(fēng)險等級)。COBRA由三部分組成，問卷構(gòu)建器，風(fēng)險測量器和結(jié)果產(chǎn)生器，他本質(zhì)上是一種定性的風(fēng)險評估工具，系統(tǒng)知識庫模塊化是他的一個主要特征，其工作機理如下圖所示。COBRA評估過程COBRA風(fēng)險評估過程主要包括三個步驟：(1)問題表構(gòu)建：通過知識庫模塊來構(gòu)建向題表，采用手動或自動方式從各個模塊中選擇所需的問題，構(gòu)建針對具體組織風(fēng)險評估的問題表。(2)風(fēng)險評估：通過填寫問題表來實現(xiàn)整個風(fēng)險評估過程；問題表的不同模塊由系統(tǒng)的不同人員來完成，各個模塊可以不同時完成，但最終的評估結(jié)果是在完成全部問題表的基礎(chǔ)上形成的。(3)報告生成：根據(jù)問題表的答案生成風(fēng)險評估報告，報告內(nèi)容包括:風(fēng)