第八章計(jì)算機(jī)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

第8章計(jì)算機(jī)系統(tǒng)

平安風(fēng)險(xiǎn)評(píng)價(jià)2/4/20241電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系主要內(nèi)容計(jì)算機(jī)系統(tǒng)平安風(fēng)險(xiǎn)評(píng)價(jià)的目的和意義平安風(fēng)險(xiǎn)評(píng)價(jià)途徑平安風(fēng)險(xiǎn)評(píng)價(jià)根本方法平安風(fēng)險(xiǎn)評(píng)價(jià)工具平安風(fēng)險(xiǎn)評(píng)價(jià)的根據(jù)和過(guò)程2/4/20242電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.1計(jì)算機(jī)系統(tǒng)平安風(fēng)險(xiǎn)評(píng)價(jià)的目的和意義1.平安風(fēng)險(xiǎn)評(píng)價(jià)是科學(xué)分析并確定風(fēng)險(xiǎn)的過(guò)程任何系統(tǒng)的平安性都可以經(jīng)過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量。風(fēng)險(xiǎn)評(píng)價(jià)——人們?yōu)榱苏页龃鸢?，分析確定系統(tǒng)風(fēng)險(xiǎn)及風(fēng)險(xiǎn)大小，進(jìn)而決議采取什么措施去減少、轉(zhuǎn)移、防止風(fēng)險(xiǎn)，把風(fēng)險(xiǎn)控制在可以容忍的范圍內(nèi)，這一過(guò)程即為風(fēng)險(xiǎn)評(píng)價(jià)。2/4/20243電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系信息平安風(fēng)險(xiǎn)評(píng)價(jià)——從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的要挾及其存在的脆弱性，評(píng)價(jià)平安事件一旦發(fā)生能夠呵斥的危害程度，提出有針對(duì)性的抵御要挾的防護(hù)對(duì)策和整改措施，并為防備和化解信息平安風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受程度，最大程度地保證計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)平安提供科學(xué)根據(jù)。2/4/20244電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系2.信息平安風(fēng)險(xiǎn)評(píng)價(jià)是信息平安建立的起點(diǎn)和根底信息平安風(fēng)險(xiǎn)評(píng)價(jià)是風(fēng)險(xiǎn)評(píng)價(jià)實(shí)際和方法在信息系統(tǒng)平安中的運(yùn)用，是科學(xué)地分析了解信息和信息系統(tǒng)在性、完好性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、控制、轉(zhuǎn)移、補(bǔ)償以及分散等之間作出決策的過(guò)程。2/4/20245電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系3.信息平安風(fēng)險(xiǎn)評(píng)價(jià)是需求主導(dǎo)和突出重點(diǎn)原那么的詳細(xì)表達(dá)假設(shè)說(shuō)信息平安建立必需從實(shí)踐出發(fā)，堅(jiān)持需求主導(dǎo)、突出重點(diǎn)、那么風(fēng)險(xiǎn)評(píng)價(jià)(需求分析)就是這一原那么在實(shí)踐任務(wù)中的重要表達(dá)。從實(shí)際上講風(fēng)險(xiǎn)總是客觀存在的，平安是平安風(fēng)險(xiǎn)和平安建立管理代價(jià)的綜合平衡。2/4/20246電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系4.注重風(fēng)險(xiǎn)評(píng)價(jià)是信息化比較興隆的國(guó)家的根本閱歷20世紀(jì)70年代，美國(guó)政府就公布了<自動(dòng)化數(shù)據(jù)處置風(fēng)險(xiǎn)評(píng)價(jià)指南>，其后公布的信息平安根本政策文件<聯(lián)邦信息資源平安>明確提出了信息平安風(fēng)險(xiǎn)評(píng)價(jià)的要求——要求聯(lián)邦政府部門根據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，根據(jù)信息喪失、濫用、泄露、未授權(quán)訪問(wèn)等呵斥損失的大小，制定、實(shí)施信息平安方案，以保證信息和信息系統(tǒng)應(yīng)有的平安。2/4/20247電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.2平安風(fēng)險(xiǎn)評(píng)價(jià)途徑基線評(píng)價(jià)(BaselineRiskAssessment)詳細(xì)評(píng)價(jià)組合評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)途徑是指規(guī)定風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)該遵照的操作過(guò)程和方式。2/4/20248電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系基線評(píng)價(jià)(BaselineRiskAssessment)平安基線——在諸多規(guī)范規(guī)范中規(guī)定的一組平安控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的一切系統(tǒng)，可以滿足根本的平安需求，能使系統(tǒng)到達(dá)一定的平安防護(hù)程度。采用基線風(fēng)險(xiǎn)評(píng)價(jià)，組織根據(jù)本人的實(shí)踐情況，對(duì)信息系統(tǒng)進(jìn)展平安基線檢查，即拿現(xiàn)有的平安措施與平安基線規(guī)定的措施進(jìn)展比較，找出其中的差距，得出根本的平安需求，經(jīng)過(guò)選擇并實(shí)施規(guī)范的平安措施來(lái)消減和控制風(fēng)險(xiǎn)。2/4/20249電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系優(yōu)點(diǎn)所需資源少、周期短、操作簡(jiǎn)單，對(duì)于環(huán)境類似且平安需求相當(dāng)?shù)闹T多組織，基線評(píng)價(jià)顯然是最經(jīng)濟(jì)有效地風(fēng)險(xiǎn)評(píng)價(jià)途徑。缺陷基線程度的高低難以設(shè)定。假設(shè)過(guò)高，能夠?qū)е沦Y源浪費(fèi)和限制過(guò)度；假設(shè)過(guò)低，能夠難以到達(dá)充分的平安。在管理平安相關(guān)的變化方面，基線評(píng)價(jià)比較困難。2/4/202410電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系詳細(xì)評(píng)價(jià)要求對(duì)資產(chǎn)進(jìn)展詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)能夠引起風(fēng)險(xiǎn)的要挾和脆弱點(diǎn)進(jìn)展評(píng)價(jià)，根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果來(lái)識(shí)別和選擇平安措施。這種評(píng)價(jià)途徑集中表達(dá)了風(fēng)險(xiǎn)管理的思想，即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降到可接受的程度，以此證明管理者采用的平安控制措施是恰當(dāng)?shù)?。?yōu)點(diǎn)：經(jīng)過(guò)此途徑可以對(duì)信息平安風(fēng)險(xiǎn)有一個(gè)準(zhǔn)確的認(rèn)識(shí)，并且準(zhǔn)確定義出組織目前的平安程度和平安需求。缺陷：非常耗費(fèi)資源，包括時(shí)間、精神、技術(shù)等。2/4/202411電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系組合評(píng)價(jià)——將前面二者相結(jié)合！優(yōu)點(diǎn)：既節(jié)省評(píng)價(jià)所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)價(jià)結(jié)果。組織的資源和資金可以運(yùn)用到最能發(fā)揚(yáng)作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)可以被預(yù)先關(guān)注。缺陷：假設(shè)初步的高級(jí)風(fēng)險(xiǎn)評(píng)價(jià)不夠準(zhǔn)確，某些本來(lái)需求詳細(xì)評(píng)價(jià)的系統(tǒng)也會(huì)被忽略，最終導(dǎo)致結(jié)果失準(zhǔn)。2/4/202412電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.3平安風(fēng)險(xiǎn)評(píng)價(jià)根本方法目的——找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響基于知識(shí)的評(píng)價(jià)方法基于模型的評(píng)價(jià)方法定量評(píng)價(jià)方法定性分析方法定性與定量相結(jié)合的綜合評(píng)價(jià)方法2/4/202413電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系基于知識(shí)的評(píng)價(jià)方法又稱為閱歷法，采用這種方法，組織不需求付出很多精神、時(shí)間和資源，只需經(jīng)過(guò)多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的平安措施，與特定的規(guī)范或最正確慣例進(jìn)展比較，從中找出不符合的地方，并按照規(guī)范或最正確慣例的引薦選擇平安措施，最終到達(dá)消減和控制風(fēng)險(xiǎn)的目的。信息源包括：會(huì)議討論；對(duì)當(dāng)前的信息平安戰(zhàn)略和相關(guān)文檔進(jìn)展復(fù)查；制造問(wèn)卷，進(jìn)展調(diào)查；對(duì)相關(guān)人員進(jìn)展訪談；進(jìn)展實(shí)地調(diào)查。2/4/202414電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系基于模型的評(píng)價(jià)方法CORAS——平安危急系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)，2001年1月，由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研討機(jī)構(gòu)共同組織開發(fā)。目的：開發(fā)一個(gè)機(jī)遇面向?qū)ο蠼?，特別是UML技術(shù)的風(fēng)險(xiǎn)評(píng)價(jià)框架。評(píng)價(jià)對(duì)象：對(duì)平安要求很高的普通性系統(tǒng)，特別是IT系統(tǒng)的平安。2/4/202415電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系優(yōu)點(diǎn)提高了對(duì)平安相關(guān)特性描畫的準(zhǔn)確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了了解上的偏向；加強(qiáng)了不同評(píng)價(jià)方法互操作的效率。2/4/202416電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系定量評(píng)價(jià)方法指運(yùn)用數(shù)量目的來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)展評(píng)價(jià)，即對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的程度賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險(xiǎn)的一切要素都被賦值，如資產(chǎn)價(jià)值、要挾頻率、弱點(diǎn)利用程度、平安措施的效率和本錢等，風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程和結(jié)果就都可以被量化了。2/4/202417電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系優(yōu)點(diǎn)用直觀的數(shù)據(jù)來(lái)表述評(píng)價(jià)的結(jié)果，可以對(duì)平安風(fēng)險(xiǎn)進(jìn)展準(zhǔn)確的分級(jí)，但這有個(gè)前提，即可供參考的數(shù)據(jù)目的是準(zhǔn)確的。缺陷：定量分析所依賴的數(shù)據(jù)的可靠性很難保證；為了量化，經(jīng)常將本來(lái)比較復(fù)雜的事物簡(jiǎn)單化、模糊化了，有的風(fēng)險(xiǎn)要素被量化后還能夠被誤解和曲解。2/4/202418電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系幾個(gè)概念暴露因子EF：特定要挾對(duì)特定資產(chǎn)呵斥損失的百分比，即損失的程度。單一損失期望SLE：即特定要挾能夠呵斥的潛在損失總量。年度發(fā)生率ARO：在一年內(nèi)估計(jì)會(huì)發(fā)生要挾的頻率。年度損失期望ALE：表示特定資產(chǎn)在一年內(nèi)蒙受損失的預(yù)期值。2/4/202419電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系定量分析的過(guò)程識(shí)別資產(chǎn)并為資產(chǎn)賦值；經(jīng)過(guò)要挾和弱點(diǎn)評(píng)價(jià)，評(píng)價(jià)特定要挾作用于特定資產(chǎn)所呵斥的影響，即EF〔0%——100%〕；計(jì)算特定要挾發(fā)生的頻率ARO；計(jì)算資產(chǎn)的SLE：SLE=總資產(chǎn)*EF計(jì)算資產(chǎn)的ALE：ALE=SLE*ARO對(duì)定量分析來(lái)說(shuō)，有兩個(gè)目的最為關(guān)鍵：EF和ARO2/4/202420電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系定性分析方法主要根據(jù)評(píng)價(jià)者的知識(shí)、閱歷、歷史教訓(xùn)、政策走向及特殊情況等非量化資料，對(duì)系統(tǒng)風(fēng)險(xiǎn)情況作出判別的過(guò)程。操作方法有：小組討論、檢查列表、問(wèn)卷、人員訪談、調(diào)查等。在此根底上，經(jīng)過(guò)一個(gè)實(shí)際推導(dǎo)演繹的分析框架作出調(diào)查結(jié)論。優(yōu)點(diǎn)：防止了定量方法的缺陷，可發(fā)掘出一些蘊(yùn)藏很深的思想，使評(píng)價(jià)的結(jié)論更全面、深化。缺陷：客觀性很強(qiáng)，往往需求憑仗分析者的閱歷和直覺，或是業(yè)界的規(guī)范和慣例，為風(fēng)險(xiǎn)管理主要素的大小或高低程度定性分級(jí)。2/4/202421電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系定量分析與定性分析比較：定性分析的準(zhǔn)確度不夠，定量分析那么比價(jià)準(zhǔn)確，但前期建立風(fēng)險(xiǎn)模型較困難；定性分析沒有定量分析那么繁多的計(jì)算負(fù)擔(dān)，但要求分析者有一定的閱歷和才干；定性分析不依賴于大量的統(tǒng)計(jì)數(shù)據(jù)，而定量分析那么不同；定性分析較為客觀，定量分析基于客觀；定性分析的結(jié)果很難有一致的解釋，但是定量分析的結(jié)果很直觀，恣意了解。2/4/202422電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系定性與定量相結(jié)合的綜合評(píng)價(jià)方法定量分析是定性分析的根底和前提，定性分析應(yīng)建立在定量分析的根底上才干提示客觀事物的內(nèi)在規(guī)律。所以在復(fù)雜的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，應(yīng)該將這兩種方法交融起來(lái)。2/4/202423電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.4平安風(fēng)險(xiǎn)評(píng)價(jià)工具風(fēng)險(xiǎn)評(píng)價(jià)工具是風(fēng)險(xiǎn)評(píng)價(jià)的輔助手段，是保證風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果可信度的重要要素。它的運(yùn)用不僅在一定程度上處理了手動(dòng)評(píng)價(jià)的局限性，最主要的是它可以將專家知識(shí)進(jìn)展集中，使專家閱歷知識(shí)被廣泛運(yùn)用。2/4/202424電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系1．風(fēng)險(xiǎn)評(píng)價(jià)與管理工具——一套集成了風(fēng)險(xiǎn)評(píng)價(jià)各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)價(jià)的過(guò)程和操作方法；或者是用于搜集評(píng)價(jià)所需求的數(shù)據(jù)和資料，基于專家閱歷、對(duì)輸入輸出進(jìn)展模型分析。分類1〕基于信息平安規(guī)范的風(fēng)險(xiǎn)評(píng)價(jià)與管理工具。2〕基于知識(shí)的風(fēng)險(xiǎn)評(píng)價(jià)與管理工具。3〕基于模型的風(fēng)險(xiǎn)評(píng)價(jià)與管理工具。2/4/202425電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系2．系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評(píng)價(jià)工具系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評(píng)價(jià)工具包括脆弱性掃描工具和浸透性測(cè)試工具。脆弱性掃描工具主要用于對(duì)信息系統(tǒng)的主要部件〔如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等〕的脆弱性進(jìn)展分析。2/4/202426電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系目前常見的脆弱性掃描工具有以下幾種類型。1〕基于網(wǎng)絡(luò)的掃描器。在網(wǎng)絡(luò)中運(yùn)轉(zhuǎn)，可以檢測(cè)如防火墻錯(cuò)誤配置或銜接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)效力器的關(guān)鍵破綻。2〕基于主機(jī)的掃描器。發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊效力和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠，也可實(shí)施對(duì)文件系統(tǒng)的檢查。2/4/202427電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系3〕分布式網(wǎng)絡(luò)掃描器。由遠(yuǎn)程掃描代理、對(duì)這些代理的即插即用更新機(jī)制、中心管理點(diǎn)三部分構(gòu)成，用于企業(yè)級(jí)網(wǎng)絡(luò)的脆弱性評(píng)價(jià)，分布和位于不同的位置、城市甚至不同的國(guó)家。4〕數(shù)據(jù)庫(kù)脆弱性掃描器。對(duì)數(shù)據(jù)庫(kù)的授權(quán)、認(rèn)證和完好性進(jìn)展詳細(xì)的分析，也可以識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)中潛在的脆弱性。2/4/202428電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系浸透性測(cè)試工具是根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)展模擬攻擊測(cè)試，判別被非法訪問(wèn)者利用的能夠性。這類工具通常包括黑客工具、腳本文件。浸透性測(cè)試的目的是檢測(cè)已發(fā)現(xiàn)的脆弱性能否真正會(huì)給系統(tǒng)或網(wǎng)絡(luò)帶來(lái)影響。通常浸透性工具與脆弱性掃描工具一同運(yùn)用，并能夠會(huì)對(duì)被評(píng)價(jià)系統(tǒng)的運(yùn)轉(zhuǎn)帶來(lái)一定影響。2/4/202429電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系3．風(fēng)險(xiǎn)評(píng)價(jià)輔助工具風(fēng)險(xiǎn)評(píng)價(jià)需求大量的實(shí)際和閱歷數(shù)據(jù)的支持，這些數(shù)據(jù)的積累是風(fēng)險(xiǎn)評(píng)價(jià)科學(xué)性的根底。風(fēng)險(xiǎn)評(píng)價(jià)輔助工具可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)價(jià)各要素的賦值、定級(jí)提供根據(jù)。2/4/202430電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系常用的輔助工具有：檢查列表—基于特定規(guī)范或基線建立的，對(duì)特定系統(tǒng)進(jìn)展審查的工程條款。入侵檢測(cè)系統(tǒng)—經(jīng)過(guò)部署檢測(cè)引擎，搜集、處置整個(gè)網(wǎng)絡(luò)中的通訊信息，以獲取能夠?qū)W(wǎng)絡(luò)或主機(jī)呵斥危害的入侵攻擊事件；協(xié)助檢測(cè)各種攻擊試探和誤操作；也可以作為警報(bào)器以提示管理員。2/4/202431電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系平安審計(jì)工具—用于記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)平安現(xiàn)狀；其審計(jì)記錄可作為風(fēng)險(xiǎn)評(píng)價(jià)中的平安現(xiàn)狀數(shù)據(jù)，并可用于判別被評(píng)價(jià)對(duì)象要挾信息的來(lái)源。拓?fù)浒l(fā)現(xiàn)工具—主要是完成網(wǎng)絡(luò)硬件設(shè)備的識(shí)別、發(fā)現(xiàn)功能。經(jīng)過(guò)接入點(diǎn)接入被評(píng)價(jià)網(wǎng)絡(luò)，完成被評(píng)價(jià)網(wǎng)絡(luò)中的資產(chǎn)發(fā)現(xiàn)功能，并提供網(wǎng)絡(luò)資產(chǎn)的相關(guān)信息，包括操作系統(tǒng)版本、型號(hào)等。2/4/202432電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系資產(chǎn)信息搜集系統(tǒng)—經(jīng)過(guò)提供調(diào)查表方式，完成被評(píng)價(jià)信息系統(tǒng)數(shù)據(jù)、管理、人員等資產(chǎn)信息的搜集功能，了解到組織的主要業(yè)務(wù)、重要資產(chǎn)、要挾、管理缺陷、控制措施和平安戰(zhàn)略的執(zhí)行情況。其他—如用于評(píng)價(jià)過(guò)程參考的評(píng)價(jià)目的庫(kù)、知識(shí)庫(kù)、破綻庫(kù)、算法庫(kù)、模型庫(kù)等。一些公用的自動(dòng)化的風(fēng)險(xiǎn)評(píng)價(jià)工具：COBRA、CRAMM、ASSET、CORA、CCtools2/4/202433電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.5平安風(fēng)險(xiǎn)評(píng)價(jià)的根據(jù)和過(guò)程8.5.1風(fēng)險(xiǎn)評(píng)價(jià)根據(jù)——風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)該根據(jù)國(guó)家政策法規(guī)、技術(shù)規(guī)范與管理要求、行業(yè)規(guī)范或國(guó)際規(guī)范進(jìn)展。1〕政策法規(guī)。2〕國(guó)際規(guī)范。3〕國(guó)家規(guī)范。4〕行業(yè)通用規(guī)范。5〕其他。2/4/202434電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.5.2風(fēng)險(xiǎn)要素2/4/202435電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系8.5.3風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程2/4/202436電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系1．風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備風(fēng)險(xiǎn)評(píng)價(jià)預(yù)備是整個(gè)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程有效性的保證。在正式進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)之前，阻止應(yīng)該制定一個(gè)有效的風(fēng)險(xiǎn)評(píng)價(jià)方案，確定平安風(fēng)險(xiǎn)評(píng)價(jià)的目的、范圍，建立相關(guān)的組織機(jī)構(gòu)，并選擇系統(tǒng)性的平安風(fēng)險(xiǎn)評(píng)價(jià)方法來(lái)搜集風(fēng)險(xiǎn)評(píng)價(jià)所需的信息和數(shù)據(jù)。2/4/202437電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系詳細(xì)主要包括以下內(nèi)容。1〕確定風(fēng)險(xiǎn)評(píng)價(jià)的目的。2〕確定風(fēng)險(xiǎn)評(píng)價(jià)的范圍。3〕組建適當(dāng)?shù)脑u(píng)價(jià)管理與實(shí)施團(tuán)隊(duì)。4〕進(jìn)展系統(tǒng)調(diào)研。5〕確定評(píng)價(jià)根據(jù)和方法。6〕制定風(fēng)險(xiǎn)評(píng)價(jià)方案。7〕獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)價(jià)任務(wù)的支持。2/4/202438電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系2．資產(chǎn)識(shí)別在這一過(guò)程中確定信息系統(tǒng)的資產(chǎn)，并明確資產(chǎn)的價(jià)值。資產(chǎn)是組織(企業(yè)、機(jī)構(gòu))賦予了價(jià)值因此需求維護(hù)的東西。資產(chǎn)確實(shí)認(rèn)該當(dāng)從關(guān)鍵業(yè)務(wù)開場(chǎng)，最終覆蓋一切的關(guān)鍵資產(chǎn)。在確定資產(chǎn)時(shí)一定要防止脫漏，劃入風(fēng)險(xiǎn)評(píng)價(jià)范圍的每一項(xiàng)資產(chǎn)都應(yīng)該被確認(rèn)和評(píng)價(jià)。1〕資產(chǎn)分類——數(shù)據(jù)、軟件、硬件、效力、文檔、人員、其它等。2〕資產(chǎn)賦值——三個(gè)平安屬性：嚴(yán)密性、完好性、可用性。2/4/202439電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系3．要挾識(shí)別在這一步驟中，組織應(yīng)該識(shí)別每項(xiàng)(類)資產(chǎn)能夠面臨的要挾。平安要挾是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的能夠性要素或者事件。無(wú)論對(duì)于多么平安的信息系統(tǒng)，平安要挾時(shí)一個(gè)客觀存在的現(xiàn)實(shí)，它是風(fēng)險(xiǎn)評(píng)價(jià)的重要要素之一。1〕要挾分類。要挾來(lái)源——引發(fā)要挾的人或事物，可分為環(huán)境要素和人為要素。2〕要挾賦值——對(duì)要挾出現(xiàn)的頻率進(jìn)展評(píng)價(jià)。在評(píng)價(jià)中對(duì)出現(xiàn)的頻率進(jìn)展等級(jí)劃分，等級(jí)數(shù)值越大，要挾出現(xiàn)的頻率越高。2/4/202440電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系4．脆弱性識(shí)別光有要挾還構(gòu)不成風(fēng)險(xiǎn)，要挾只需利用了特定的弱點(diǎn)才能夠?qū)Y產(chǎn)呵斥影響，所以，組織應(yīng)該針對(duì)每一項(xiàng)需求維護(hù)的信息資產(chǎn)，找到可被要挾利用的脆弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)展評(píng)價(jià)，即對(duì)脆弱性被要挾利用的能夠性進(jìn)展評(píng)價(jià)，最終為其賦予相對(duì)等級(jí)值。2/4/202441電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系1〕脆弱性識(shí)別內(nèi)容數(shù)據(jù)來(lái)源——資產(chǎn)的一切者、運(yùn)用者、相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。采用方法——問(wèn)卷調(diào)查法、工具檢測(cè)法、人工核對(duì)法、文檔查閱法、浸透性測(cè)試等。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)展。管理脆弱性又分為技術(shù)管理脆弱性和組織管理脆弱性。2〕脆弱性賦值——根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度等，采用等級(jí)劃分對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)展賦值。2/4/202442電子科技大學(xué)成都學(xué)院計(jì)算機(jī)系5．已有平安控制措施確認(rèn)在影響要挾發(fā)生的外部條件中，除了資產(chǎn)的錯(cuò)弱點(diǎn)外，另一個(gè)就是組織現(xiàn)有的平安措施。識(shí)別已有的(或已方案的)平安控制措施，分析平安措施的效能，確定要挾利用弱點(diǎn)的實(shí)踐能夠性，一方面可以指出當(dāng)前平安措施的缺乏，另一方面也可以防止反復(fù)投資。