2022信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)踐指南

信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐指南前言：關(guān)于安全風(fēng)險(xiǎn)的故事前言：關(guān)于安全風(fēng)險(xiǎn)的故事.故事是這樣發(fā)生的：一個(gè)鄉(xiāng)下人進(jìn)城里打工，由于疲憊于是鄉(xiāng)下人就在一個(gè)露天的公園里睡覺(jué)，結(jié)果不小心被旁邊的小偷盯人并把他口袋里的100塊錢(qián)給偷走了，最后搞得晚上沒(méi)飯吃…….它的安全風(fēng)險(xiǎn)是這樣的：風(fēng)險(xiǎn)=錢(qián)被偷走資產(chǎn)=100塊錢(qián)影響=晚上沒(méi)飯吃威脅=小偷弱點(diǎn)=打瞌睡前言：安全風(fēng)險(xiǎn)故事的延伸前言：安全風(fēng)險(xiǎn)故事的延伸.故事繼續(xù)中：某證券公司的數(shù)據(jù)庫(kù)服務(wù)器因?yàn)榇嬖赗PCDCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。.您的安全風(fēng)險(xiǎn)觀(guān)呢？某證券公司的數(shù)據(jù)庫(kù)服務(wù)器因?yàn)榇嬖赗PCDCOM的漏洞，遭到入侵者攻擊，被迫中斷3天。風(fēng)險(xiǎn) RPCDCOM漏洞資產(chǎn) 服務(wù)器遭到入侵影響 數(shù)據(jù)庫(kù)服務(wù)器威脅 入侵者國(guó)內(nèi)大多數(shù)風(fēng)險(xiǎn)評(píng)估的操作者差不多站在同一個(gè)起跑線(xiàn)上了。國(guó)內(nèi)大多數(shù)風(fēng)險(xiǎn)評(píng)估的操作者差不多站在同一個(gè)起跑線(xiàn)上了。目目錄1、風(fēng)險(xiǎn)評(píng)估理論2、風(fēng)險(xiǎn)評(píng)估的國(guó)家政策和標(biāo)準(zhǔn)3、風(fēng)險(xiǎn)評(píng)估實(shí)踐11、風(fēng)險(xiǎn)評(píng)估理論1.1 什么是風(fēng)險(xiǎn)評(píng)估1.2 為什么要做風(fēng)險(xiǎn)評(píng)估1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.1 什么是信息安全1.1 什么是信息安全風(fēng)險(xiǎn)評(píng)估信息安全的三個(gè)特征（CIA)：機(jī)密性：確保只有被授訪(fǎng)問(wèn)信息；完整性：確保信息的準(zhǔn)確和完整；可用性：確保在需要戶(hù)可以訪(fǎng)問(wèn)信息和相關(guān)的資產(chǎn)。信息安全風(fēng)險(xiǎn)：定義風(fēng)險(xiǎn)是指信息資產(chǎn)的能性。定義織有負(fù)面影響的事件。定義為或自然的威脅利用信息系全事件的信息安全風(fēng)險(xiǎn)評(píng)估：定義存在的脆弱性、造成的影響，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。定義角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。11、風(fēng)險(xiǎn)評(píng)估理論1.1 什么是風(fēng)險(xiǎn)評(píng)估1.2 為什么要做風(fēng)險(xiǎn)評(píng)估1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.2 為什么要做風(fēng)險(xiǎn)評(píng)估1.2 為什么要做風(fēng)險(xiǎn)評(píng)估信息安全面臨的威脅計(jì)算機(jī)欺詐絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)“諜件”潛入員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣年度報(bào)告數(shù)據(jù))收到信息安全事件報(bào)告萬(wàn)件(04年的倍)；監(jiān)測(cè)發(fā)現(xiàn)萬(wàn)臺(tái)計(jì)算機(jī)被木馬遠(yuǎn)程控制(04年的倍)；發(fā)現(xiàn)1.4萬(wàn)個(gè)網(wǎng)站遭黑客篡改,其中政府網(wǎng)站千(04的倍)；網(wǎng)絡(luò)釣魚(yú)(身份竊取事件報(bào)告件(04年的倍)；監(jiān)測(cè)發(fā)現(xiàn)萬(wàn)臺(tái)計(jì)算機(jī)被植入諜件(源頭主要在國(guó)外)；發(fā)現(xiàn)僵尸網(wǎng)絡(luò)個(gè)(受控計(jì)算機(jī)萬(wàn)臺(tái))?；ヂ?lián)網(wǎng)信息安全威脅的某些新動(dòng)向僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚(yú)的獲利動(dòng)機(jī)明顯網(wǎng)頁(yè)篡改(嵌入惡意代碼),誘人上當(dāng)開(kāi)始用于敲詐木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流“重要信息系統(tǒng)”安全態(tài)勢(shì)與深層隱患系統(tǒng)設(shè)計(jì)缺陷系統(tǒng)集成缺陷內(nèi)控機(jī)制脆弱高危漏洞存在信息安全域界定與邊控待探索風(fēng)險(xiǎn)自評(píng)估能力弱災(zāi)難恢復(fù)不到位用戶(hù)自控權(quán)不落實(shí)– ----------風(fēng)險(xiǎn)評(píng)估的目的了解組織的安全現(xiàn)狀分析組織的安全需求建立信息安全管理體系的要求制訂安全策略和實(shí)施安防措施的依據(jù)消除安全建設(shè)中的盲目樂(lè)觀(guān)或盲目恐懼提高系統(tǒng)安全的科學(xué)管理水平11、風(fēng)險(xiǎn)評(píng)估理論1.1 什么是風(fēng)險(xiǎn)評(píng)估1.2 為什么要做風(fēng)險(xiǎn)評(píng)估1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.3 1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.2 風(fēng)險(xiǎn)評(píng)估方法1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.4 風(fēng)險(xiǎn)評(píng)估的形式1.3.5信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.1 風(fēng)險(xiǎn)評(píng)估要素風(fēng)險(xiǎn)評(píng)估的四個(gè)要素資產(chǎn)脅脆弱性現(xiàn)有安全控制措施資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西；信息也是一種資產(chǎn)，對(duì)組織具有價(jià)值。資產(chǎn)的分類(lèi)威脅威產(chǎn)損失的活動(dòng)；威脅是利用脆弱性來(lái)造成后果。威脅的分類(lèi)脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患；脆弱性本身并不定條件得到用來(lái)對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞Bug專(zhuān)業(yè)人員缺乏不良習(xí)慣系統(tǒng)沒(méi)有進(jìn)行安全配置物理環(huán)境不安全缺少審計(jì)技術(shù)手段缺乏安全意識(shí)后門(mén)……1.3.1 風(fēng)險(xiǎn)評(píng)估要素風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖業(yè)務(wù)戰(zhàn)略依依脆弱性 暴露 資產(chǎn) 具有 資產(chǎn)價(jià)值利用 未被滿(mǎn)足 成增加威脅 增加 風(fēng)險(xiǎn) 導(dǎo)出 安全需求演變 抵御

降低 被滿(mǎn)足安全事件

可能誘發(fā)

殘余風(fēng)險(xiǎn)

未控制

安全措施1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.1 風(fēng)險(xiǎn)評(píng)估要素程度越高，要求其風(fēng)險(xiǎn)越?。坏囊蕾?lài)程度越高，資產(chǎn)價(jià)值就越大；風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多具有的弱點(diǎn)越多則風(fēng)險(xiǎn)越大；脆弱性是未被脆弱性危害資產(chǎn)；風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；安全需求可通合資產(chǎn)價(jià)值考慮實(shí)施成本；安全措施可抵御威脅，降低風(fēng)險(xiǎn)；殘余風(fēng)險(xiǎn)是未被安全措施控制的風(fēng)險(xiǎn)。有些是安全措施不當(dāng)或無(wú)效,需要加強(qiáng)才可控制的與效益后未去控制的風(fēng)險(xiǎn)；殘余來(lái)誘發(fā)新的安全事件。威脅視圖：脆弱性視圖：影響視圖：脆弱性識(shí)別資產(chǎn)識(shí)別資產(chǎn)價(jià)值脆弱性識(shí)別資產(chǎn)識(shí)別資產(chǎn)價(jià)值威脅識(shí)別風(fēng)險(xiǎn)分析原理圖威脅識(shí)別安全事件造成的損安全事件造成的損失脆弱性的嚴(yán)重程度安全事件的可能性威脅出現(xiàn)的頻率風(fēng)險(xiǎn)值練習(xí)一識(shí)別風(fēng)險(xiǎn)練習(xí)一識(shí)別風(fēng)險(xiǎn)1、請(qǐng)列舉五個(gè)信息安全的風(fēng)險(xiǎn)的例子，并按下面的要求進(jìn)行描述。2、要求：按照資產(chǎn)－>資產(chǎn)所面臨的威脅－>能被威脅利用的脆弱點(diǎn)的順序來(lái)描述每一個(gè)風(fēng)險(xiǎn)。1.3 1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.2 風(fēng)險(xiǎn)評(píng)估方法1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.4 風(fēng)險(xiǎn)評(píng)估的形式1.3.5信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估1.3.2 風(fēng)險(xiǎn)評(píng)估方法1.3.2 風(fēng)險(xiǎn)評(píng)估方法通用流程：風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備；資產(chǎn)識(shí)別；威脅識(shí)別；脆弱性識(shí)別；通用流程：風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備；資產(chǎn)識(shí)別；威脅識(shí)別；脆弱性識(shí)別；已有安全措施的確認(rèn)；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)評(píng)估文件記錄。風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)是否接受否是否接受殘余風(fēng)險(xiǎn)否是保持已有的安全措施制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃并評(píng)估殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)計(jì)算實(shí)施風(fēng)險(xiǎn)管理評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔.........評(píng)估過(guò)程文檔風(fēng)險(xiǎn)評(píng)估文檔記錄已有安全措施的確認(rèn)資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備通用流程下的不同評(píng)估方法—評(píng)估粒度粗細(xì)線(xiàn)評(píng)估詳細(xì)評(píng)估組合評(píng)估通用流程下的不同評(píng)估方法—定性還是定量定量分析定性分析綜合方法基線(xiàn)評(píng)估適用情況：適合一般運(yùn)作不是很復(fù)的依用普遍且標(biāo)準(zhǔn)化的模式。工作方法：組織根據(jù)自己的實(shí)際情況（業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），全基線(xiàn)檢查（定的措施進(jìn)行比較，找出其中的差距），基本的安全需求，通措施來(lái)消減和控制風(fēng)險(xiǎn)。于評(píng)估顯然是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。缺點(diǎn)：基可能能關(guān)的變化方面，基線(xiàn)評(píng)估比較困難。詳細(xì)評(píng)估適用情況：適合估。工作方法：要求可能引起估途徑集中體的管理者所采用的安全控制措施是恰當(dāng)?shù)摹Ｈ壳暗陌踩胶桶踩枨?；詳?xì)評(píng)估的結(jié)果可用來(lái)管理安全變化。缺點(diǎn):詳細(xì)的風(fēng)險(xiǎn)評(píng)估可能是非常耗費(fèi)資源的過(guò)程，包括操作和信息資產(chǎn)的邊界。組合評(píng)估：（基線(xiàn)評(píng)估和詳細(xì)評(píng)估二者結(jié)合的組合評(píng)估。）工作方法：組織首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的高級(jí)風(fēng)險(xiǎn)評(píng)估，著眼于信息系統(tǒng)的商務(wù)價(jià)值和可能面臨的風(fēng)險(xiǎn)，識(shí)別出組織內(nèi)具有高風(fēng)險(xiǎn)的或者對(duì)其商務(wù)運(yùn)作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)這些資產(chǎn)或系統(tǒng)應(yīng)該劃入詳細(xì)風(fēng)險(xiǎn)評(píng)估的范圍，而其他系統(tǒng)則可以通過(guò)基線(xiàn)風(fēng)險(xiǎn)評(píng)估直接選擇安全措施。既全面系能信息系統(tǒng)能夠被預(yù)先關(guān)注。缺點(diǎn)：如果初步的高本來(lái)需要致結(jié)果失準(zhǔn)。風(fēng)險(xiǎn)計(jì)算模型風(fēng)險(xiǎn)分析方法有三種：定量評(píng)估方法：運(yùn)用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。定性評(píng)估方法：依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過(guò)程。定性和定量相結(jié)合的綜合評(píng)估方法定量分析：對(duì)后果和可能性進(jìn)行分析；采用量化的數(shù)值描述后果（失的金額）和可能性（概率或頻率）；分析的有效性取決于所用的數(shù)完整性。定量分析適用于：當(dāng)部分的公司資產(chǎn)已具有量化的價(jià)值；利用財(cái)務(wù)的手法算出風(fēng)險(xiǎn)造成的財(cái)務(wù)損失；再根據(jù)損失的大小決定風(fēng)險(xiǎn)等級(jí)。后果定量分析SLA（single-timelossAlgorithm)當(dāng)一個(gè)風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)資產(chǎn)價(jià)值造成多大的財(cái)務(wù)損失。ALE（AnnualizedlossExposure)年度風(fēng)險(xiǎn)損失。年度化損失運(yùn)算表（頻率）不可能0.0300年一次1/3000.00333200年一次1/2000.003100年一次1/1000.0150年一次1/500.0225年一次1/250.045年一次1/50.202年一次1/20.51年一次1/11.01年二次1/0.52.01個(gè)月一次12/112.01星期一次52/152.01天一次365/1365.0簡(jiǎn)易的定量計(jì)算公式：資產(chǎn)價(jià)值（v)乘以可能性（L）可以得出ALE（年度風(fēng)險(xiǎn)損失），即：ALE=V?L定性分析：對(duì)后果和可能性進(jìn)行分析；采用文字形式或敘述性的數(shù)值范圍描述風(fēng)險(xiǎn)的影響程度和可能性的大?。ㄈ绺摺⒅?、低等分析的有效性取決于所用的數(shù)性。定性分析適用于：初始的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)程度和經(jīng)濟(jì)上的考慮；數(shù)據(jù)不足以進(jìn)行定量分析的情況。后果或影響的定性量度（示例）等級(jí)描述詳細(xì)情形1可以忽略無(wú)傷害，低財(cái)務(wù)損失2較小立即受控制，中等財(cái)務(wù)損失3中等受控，高財(cái)務(wù)損失4較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失可能性的定性量度（示例）等級(jí)描述詳細(xì)情形A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生B很可能在大多數(shù)情況下很可能會(huì)發(fā)生C可能在某個(gè)時(shí)間可能會(huì)發(fā)生D不太可能在某個(gè)時(shí)間能夠發(fā)生E罕見(jiàn)僅在例外的情況下可能發(fā)生風(fēng)險(xiǎn)分析矩陣—風(fēng)險(xiǎn)程度可能性后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB（很可能）MHHEEC(可能）MHEED（不太可能）MHEE（罕見(jiàn)）MHHE：極度風(fēng)險(xiǎn) H：高風(fēng)險(xiǎn) M：中等風(fēng)險(xiǎn) L:低風(fēng)險(xiǎn)風(fēng)險(xiǎn)的處理措施（示例）E：極度風(fēng)險(xiǎn)---要求立即采取措施H：高風(fēng)險(xiǎn) 需要高級(jí)管理部門(mén)的注M：中等風(fēng)險(xiǎn) 必須規(guī)定管理責(zé)任L:低風(fēng)險(xiǎn) 用日常程序處理半定量分析：在半定量分析中，上述的那些定性數(shù)范并不一定與后果或可能性的度具有精確的關(guān)系。半定量分析的目的是定性分析中所得到的更得到的風(fēng)險(xiǎn)實(shí)際值。脆弱性識(shí)別脆弱性的嚴(yán)重程度風(fēng)險(xiǎn)值脆弱性識(shí)別脆弱性的嚴(yán)重程度風(fēng)險(xiǎn)值威脅識(shí)別威脅出現(xiàn)的頻率安全事件的可能性風(fēng)險(xiǎn)評(píng)估計(jì)算方法威脅識(shí)別威脅出現(xiàn)的頻率安全事件的可能性資產(chǎn)識(shí)別資產(chǎn)價(jià)值安全事件造成的損失風(fēng)險(xiǎn)分析原理圖資產(chǎn)識(shí)別資產(chǎn)價(jià)值安全事件造成的損失風(fēng)險(xiǎn)評(píng)估計(jì)算過(guò)程計(jì)算安全事件發(fā)生可能性計(jì)算安全事件造成的損失計(jì)算風(fēng)險(xiǎn)值結(jié)果判定風(fēng)險(xiǎn)計(jì)算方法（常用）陣法相乘法矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程計(jì)算安全事件發(fā)生可能性構(gòu)建安全事件發(fā)生可能性矩陣；根據(jù)威在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值；行等級(jí)劃分。計(jì)算安全事件的損失構(gòu)建安全事件損失矩陣；根據(jù)中進(jìn)行對(duì)照，確定安全事件損失值；對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分。計(jì)算風(fēng)險(xiǎn)值構(gòu)建風(fēng)險(xiǎn)矩陣；根據(jù)安全事件在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn)；風(fēng)險(xiǎn)結(jié)果判定相乘法風(fēng)險(xiǎn)計(jì)算過(guò)程計(jì)算安全事件發(fā)生可能性（1）安全事件發(fā)生可能性威脅發(fā)生頻率值脆弱性嚴(yán)重程度值；（2）。計(jì)算安全事件的損失（1）安全事件損失值重程度；

脆弱性嚴(yán)（2）計(jì)算風(fēng)險(xiǎn)值（1）安全事件風(fēng)險(xiǎn)值安全事件發(fā)生可能性安全事件損失；風(fēng)險(xiǎn)結(jié)果判定練習(xí)二練習(xí)二對(duì)練習(xí)一中所識(shí)別的風(fēng)險(xiǎn)進(jìn)行定性分析。要求：列出后果和可能性的定性描述依據(jù)給出各級(jí)別風(fēng)險(xiǎn)的處理措施1.3.2 1.3.2 風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估內(nèi)容：安全技術(shù)、安全管理安全技術(shù)網(wǎng)絡(luò)安全主機(jī)系統(tǒng)安全應(yīng)用安全數(shù)據(jù)安全安全管理安全管理機(jī)構(gòu)安全管理制度員安全管理統(tǒng)建設(shè)管理統(tǒng)運(yùn)維管理1.3 1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.2 風(fēng)險(xiǎn)評(píng)估方法1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.4 風(fēng)險(xiǎn)評(píng)估的形式1.3.5信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.3 風(fēng)險(xiǎn)評(píng)估工具根據(jù)在理的不同，：：集成了風(fēng)險(xiǎn)評(píng)估各類(lèi)知程和操作方法；或者是用于收集據(jù)和分析。系：主要用于對(duì)信息系統(tǒng)的主要部件（絡(luò)設(shè)備等）性的攻擊。：實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和的賦值、定級(jí)提供依據(jù)。風(fēng)險(xiǎn)評(píng)估與管理工具基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具依據(jù)標(biāo)準(zhǔn)或指南的內(nèi)容為基礎(chǔ)，開(kāi)發(fā)相應(yīng)的評(píng)估工具，完成遵循標(biāo)準(zhǔn)或指南的風(fēng)險(xiǎn)評(píng)估過(guò)程。如ASSET、CCToolbox等?；谥R(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具并不僅僅遵循某個(gè)單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險(xiǎn)分析方法進(jìn)行綜合，并結(jié)合實(shí)踐經(jīng)驗(yàn)，形成風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)，以此為基礎(chǔ)完成綜合評(píng)估。如COBRA、MSAT、@RISK等?；谀Ｐ偷娘L(fēng)險(xiǎn)評(píng)估與管理工具對(duì)系統(tǒng)各組成部分、安全要素充分研究的基礎(chǔ)上，對(duì)典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型，根據(jù)采集信息的輸入，得到評(píng)價(jià)的結(jié)果。如RA、CORA等。常用風(fēng)險(xiǎn)評(píng)估與管理工具對(duì)比工具國(guó)家公司成熟度功能標(biāo)準(zhǔn)Asseet-1美國(guó)NISTNIST發(fā)布依據(jù)美國(guó)NISTSP800-26估NISTSP800-26CCToolbox美國(guó)NIAPNIAP發(fā)布依據(jù)CC進(jìn)行信息安全自動(dòng)化評(píng)估CCCOBRA美國(guó) C&A SystemSecurityLtd.成熟產(chǎn)品主要依據(jù)ISO17799進(jìn)行風(fēng)險(xiǎn)評(píng)估主要依據(jù) 17799MSAT美國(guó)Microsoft公司成熟產(chǎn)品主要進(jìn)行定性和定量風(fēng)險(xiǎn)評(píng)估專(zhuān)家系統(tǒng)RiskWatch美國(guó)RiskWatch公司成熟產(chǎn)品綜合各類(lèi)相關(guān)標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理各類(lèi)信息安全相關(guān)標(biāo)準(zhǔn)RA英國(guó)BSIBSI發(fā)布主要依據(jù)ISO17799進(jìn)行風(fēng)險(xiǎn)等級(jí)和控制措施的過(guò)程式分析主要依據(jù) 17799ASSETCCtoolsCCtools1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.3 風(fēng)險(xiǎn)評(píng)估工具系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具脆弱性?huà)呙韫ぞ?；商用：綠盟“極光”、福建榕基。。。免費(fèi)：nessus、X-scan。。。?；诰W(wǎng)絡(luò)的掃描器基于主機(jī)的掃描器分布式網(wǎng)絡(luò)掃描器數(shù)據(jù)庫(kù)脆弱性?huà)呙杵鳚B透性具、腳本文件。常用脆弱性檢測(cè)工具對(duì)比NetReconBindViewHarkerShieldEEyeDigitalSecurityRetinaISSInternetScannerNessusSecurityNetworkAssociatesCyberCopScannerSARAWorldWideDigitalSecuritySAINT操作系統(tǒng)WindowsWindowsWindowsWindowsUnixWindowsUnixUnix內(nèi)建的自動(dòng)更新特征能夠自動(dòng)更新（從網(wǎng)絡(luò)下載）能夠自動(dòng)更新能夠自動(dòng)更新能夠自動(dòng)更新（絡(luò)下載）能夠自動(dòng)更新無(wú)此功能無(wú)此功能掃描類(lèi)型基于網(wǎng)絡(luò)的掃描基于主機(jī)的掃描基于主機(jī)的掃描基于主機(jī)的掃描基于網(wǎng)絡(luò)的掃描基于主機(jī)的掃描基于網(wǎng)絡(luò)的掃描基于網(wǎng)絡(luò)的掃描CVE對(duì)照沒(méi)有對(duì)應(yīng)CVE列表對(duì)應(yīng) 列表沒(méi)有對(duì)應(yīng)CVE列表對(duì) 應(yīng)列表對(duì) 應(yīng)列表沒(méi)有對(duì)應(yīng)列表對(duì) 應(yīng)CVE列表對(duì)應(yīng) 列表是否能夠?qū)x點(diǎn)的漏洞進(jìn)行修復(fù)否能夠能夠否否能夠否否風(fēng)險(xiǎn)評(píng)估輔助工具檢查列表：基于特定標(biāo)準(zhǔn)或基線(xiàn)建立的，對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款。入侵作；同發(fā)生的安全狀況。安全或網(wǎng)對(duì)象威脅信息的來(lái)源。拓?fù)涞淖R(shí)別、發(fā)現(xiàn)功能。成被息的收集功能。其他：模型庫(kù)等。1.3 1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.2 風(fēng)險(xiǎn)評(píng)估方法1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.4 風(fēng)險(xiǎn)評(píng)估的工作形式1.3.5信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估1.3.4 風(fēng)險(xiǎn)評(píng)估的形式1.3.4 風(fēng)險(xiǎn)評(píng)估的形式信息安全兩種形式。自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互身技技術(shù)支持。自評(píng)估由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施。優(yōu)點(diǎn)：有利于保密有利于發(fā)揮行業(yè)和部門(mén)內(nèi)的人員的業(yè)務(wù)特長(zhǎng)有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息安全知識(shí)缺點(diǎn)：可能由于缺乏深入準(zhǔn)確；同估結(jié)果的客觀(guān)性易受影響。建高；但由于受到行定的局限。但由于引入第三方本身就是一個(gè)因此，方面應(yīng)進(jìn)行控制。檢查評(píng)估是指信息系有關(guān)職能部門(mén)依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估。優(yōu)點(diǎn)最具優(yōu)點(diǎn)通過(guò)行政手段加強(qiáng)信息安全的重要措施。缺點(diǎn)：缺點(diǎn)：穿信息系統(tǒng)的生命周期。一.風(fēng)險(xiǎn)評(píng)估究其根本是評(píng)估系統(tǒng)的敏感信息，涉及大量的安全問(wèn)題，完全委托第三方將帶來(lái)評(píng)估本身的風(fēng)險(xiǎn)；二.進(jìn)行風(fēng)險(xiǎn)評(píng)估要求評(píng)估人員既要了解評(píng)估本身的一套方法與流程，于完全從事系統(tǒng)的業(yè)務(wù)特性難度是比較大的；三.風(fēng)險(xiǎn)評(píng)估工作流程中常常要求被評(píng)估方向評(píng)估方提供各種信息，需要之評(píng)估方第三方是無(wú)法完成系統(tǒng)評(píng)估的。基于以上原因，委托評(píng)估技術(shù)支持比委托評(píng)估的提法更為切合實(shí)際。并且，提供委托評(píng)估技術(shù)支持的機(jī)構(gòu)應(yīng)具有相應(yīng)的資質(zhì)。1.3 1.3 風(fēng)險(xiǎn)評(píng)估怎么做1.3.1 風(fēng)險(xiǎn)評(píng)估要素1.3.2 風(fēng)險(xiǎn)評(píng)估方法1.3.3 風(fēng)險(xiǎn)評(píng)估工具1.3.4 風(fēng)險(xiǎn)評(píng)估的形式1.3.5信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估1.3.51.3.5信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估國(guó)信辦[2006]5號(hào)文件指出：信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)與信息系統(tǒng)的建通全目標(biāo)。規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估實(shí)施階段的風(fēng)險(xiǎn)評(píng)估運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估廢棄階段的風(fēng)險(xiǎn)評(píng)估規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評(píng)估應(yīng)能夠描述信息系統(tǒng)建成后對(duì)現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系功能需求。方案中所提供的安全功能符合性進(jìn)行判斷為采購(gòu)過(guò)程風(fēng)險(xiǎn)控制的依據(jù)。實(shí)施階段的風(fēng)險(xiǎn)評(píng)估實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。基于設(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施分，同安全措施能否抵御實(shí)施階段風(fēng)險(xiǎn)評(píng)估主要對(duì)系統(tǒng)的開(kāi)發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實(shí)施兩個(gè)過(guò)程進(jìn)行評(píng)估。運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。廢棄階段的風(fēng)險(xiǎn)評(píng)估當(dāng)信息系統(tǒng)不能滿(mǎn)足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄兩種。廢棄階段風(fēng)險(xiǎn)評(píng)估著重在以下幾方面：1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹?，并確保系統(tǒng)組件被合理地丟棄或更換；、如果被廢棄的系統(tǒng)是某個(gè)系統(tǒng)的一部分，或與其他系其他系統(tǒng)的連接是否被關(guān)閉；變更的部分進(jìn)行評(píng)估，以確定是否會(huì)增加風(fēng)險(xiǎn)或引入新的風(fēng)險(xiǎn)；變更的部分進(jìn)行評(píng)估，以確定是否會(huì)增加風(fēng)險(xiǎn)或引入新的風(fēng)險(xiǎn)；、是否建立了流程，確保更新過(guò)程在一個(gè)安全、系統(tǒng)化的狀態(tài)下完成。目目錄1、風(fēng)險(xiǎn)評(píng)估理論2、風(fēng)險(xiǎn)評(píng)估的國(guó)家政策和標(biāo)準(zhǔn)3、風(fēng)險(xiǎn)評(píng)估實(shí)踐22、風(fēng)險(xiǎn)評(píng)估的國(guó)家政策和標(biāo)準(zhǔn)2.1 國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估工作進(jìn)展及國(guó)家政策2.2 風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)外標(biāo)準(zhǔn)2.3 國(guó)外風(fēng)險(xiǎn)評(píng)估的發(fā)展歷程2.1 國(guó)內(nèi)2.1 國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估工作進(jìn)展從年月至今，我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作大致準(zhǔn)中辦發(fā)[2003]27號(hào)文件：工作提出了明確的要求，啟入風(fēng)險(xiǎn)評(píng)估調(diào)研階段。年上半年啟動(dòng)了《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《風(fēng)險(xiǎn)管理指南》等標(biāo)準(zhǔn)的編制工作。國(guó)信辦[2005]4號(hào)和號(hào)文件：關(guān)于在作的要求，檢驗(yàn)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》可行性可用性。先后開(kāi)展兩次全國(guó)范國(guó)信辦[2006]5號(hào)文件《關(guān)于開(kāi)展信息安全工作的意見(jiàn)》，標(biāo)志著我國(guó)信息安全領(lǐng)域一項(xiàng)基礎(chǔ)性全體性的業(yè)務(wù)，正式啟動(dòng)?！皣?guó)信辦”與“安標(biāo)委”《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》“保密局”涉密信息領(lǐng)域風(fēng)險(xiǎn)評(píng)估規(guī)范。”科技部“信息安全風(fēng)險(xiǎn)評(píng)估方法、工具、模型研制?！蛾P(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)中主要內(nèi)容：風(fēng)險(xiǎn)評(píng)估的實(shí)施要求風(fēng)險(xiǎn)評(píng)估的管理要求 《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求：信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)期。在信息系目產(chǎn)生欠保護(hù)或過(guò)保護(hù)的情況。在信息系統(tǒng)建設(shè)完成檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能，是否滿(mǎn)足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。在信息系統(tǒng)的運(yùn)行階段，應(yīng)當(dāng)定期在信息系統(tǒng)的運(yùn)行階段，應(yīng)當(dāng)定期應(yīng)性。當(dāng)安全形勢(shì)發(fā)生重大變化或信息系統(tǒng)使命有重大變更時(shí)，應(yīng)及時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。段，應(yīng)通段，應(yīng)通等級(jí)提供依據(jù)，根據(jù)息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。 《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求：的風(fēng)險(xiǎn)，《意的風(fēng)險(xiǎn)，《意見(jiàn)》強(qiáng)調(diào)，必險(xiǎn)評(píng)估的組織管理工作為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn)，估工作的單位及其有關(guān)人員必安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。估工作的單位及其有關(guān)人員必安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。2）采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。3）對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行。加快制定和完善信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn)盡快完善并頒布《信息安全風(fēng)險(xiǎn)評(píng)估指南息安全風(fēng)險(xiǎn)管理指南》等國(guó)家門(mén)也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。要加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估核心技研究與攻關(guān)。要從抓試點(diǎn)開(kāi)始，逐步探索用三年左右的時(shí)間在我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作，全面提高我國(guó)信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國(guó)信息化發(fā)展服務(wù)。22、風(fēng)險(xiǎn)評(píng)估的國(guó)家政策和標(biāo)準(zhǔn)2.1 國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估工作進(jìn)展及國(guó)家政策2.2 風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)外標(biāo)準(zhǔn)2.3 國(guó)外風(fēng)險(xiǎn)評(píng)估的發(fā)展歷程2.2 2.2 風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)外標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》信息安全管理體系ISO/IECTRNISTSPOCTAVESSE-CMMAS/NZSBS7799BS7799包括《信息安全管理實(shí)施細(xì)則》《信息安全管理體系規(guī)范》當(dāng)前狀態(tài)–ISO–ISO關(guān)于并未給出具體的方案，只是在BS7799-2:2002中將風(fēng)險(xiǎn)評(píng)估作為建立信息安全管理體系的中間步驟來(lái)看待。其中所要求的風(fēng)險(xiǎn)評(píng)估的步驟包括：定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制方式根據(jù)的文件要求，以上成風(fēng)險(xiǎn)評(píng)估報(bào)告。ISO/IECTR13335ISO/IECTR13335ISO/IECTR《信息技術(shù)IT安全管理指南第部分：IT安全管理技術(shù)》其中介紹了：如何根據(jù)組織自身情況選擇風(fēng)險(xiǎn)評(píng)估方法可供選擇的多種風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)分析方法的選擇基線(xiàn)方法：對(duì)所有IT系統(tǒng)應(yīng)用基本分析，不考慮系適用的事實(shí)。非正式方法：運(yùn)用非常精力于感覺(jué)具有較大風(fēng)險(xiǎn)的IT系統(tǒng)。詳細(xì)的風(fēng)險(xiǎn)分析方法：對(duì)所有的IT系風(fēng)險(xiǎn)評(píng)估。復(fù)合方法：先在以識(shí)別面臨高風(fēng)險(xiǎn)并對(duì)業(yè)務(wù)起關(guān)鍵作用的IT系統(tǒng)，再基本的風(fēng)險(xiǎn)分析。否否是評(píng)估風(fēng)險(xiǎn)建立評(píng)估邊界IT系統(tǒng)安全方針風(fēng)險(xiǎn)接受選擇控制識(shí)別/評(píng)審限制因素識(shí)別已存在/計(jì)劃的控制薄弱點(diǎn)評(píng)估威脅評(píng)估資產(chǎn)的價(jià)值及組織對(duì)其依賴(lài)性識(shí)別風(fēng)險(xiǎn)ITIT安全方案詳細(xì)的風(fēng)險(xiǎn)分析步驟NISTSP800-30NISTSP800-30SP《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》風(fēng)險(xiǎn)管理包括三個(gè)過(guò)程：風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)降低再評(píng)估及評(píng)估其中風(fēng)險(xiǎn)評(píng)估過(guò)程包括個(gè)步驟：步驟統(tǒng)描述步驟識(shí)別步驟脅識(shí)別步驟步驟步驟步驟風(fēng)險(xiǎn)判定步驟議步驟結(jié)果文檔OCTAVEOCTAVEOCTAVE—OperationallyCriticalThreat,Vulnerability,Evaluation?？刹僮鞯年P(guān)鍵威脅、資產(chǎn)和薄弱點(diǎn)評(píng)估；OCTAVEMethod是專(zhuān)為大型組織設(shè)計(jì)的方法。OCTAVEMethod分成個(gè)階段個(gè)過(guò)程：第階段包含個(gè)過(guò)程，第階段包含個(gè)程，第階段包含個(gè)過(guò)程。另外，在開(kāi)始實(shí)際評(píng)估之前，需要做好許多準(zhǔn)備工作。準(zhǔn)下準(zhǔn)備活動(dòng)是成功的關(guān)鍵因素：爭(zhēng)取高層管理部門(mén)的支持選擇分析團(tuán)隊(duì)設(shè)置OCTAVEMethod的適當(dāng)范圍選擇參與者第一第一階段：建立基于資產(chǎn)的威脅配置文件第二第二階段：識(shí)別基礎(chǔ)設(shè)施的弱點(diǎn)第三第三階段：開(kāi)發(fā)安全策略和計(jì)劃RiskSSE-CMMRiskSSE-CMMSecurityEngineeringCapabilityMaturityModel,系統(tǒng)安全工程能力成熟度模型ISO/IEC《信息技系能力成熟度模型》產(chǎn)品或服務(wù)工程過(guò)程保證過(guò)程風(fēng)險(xiǎn)過(guò)程工程過(guò)程保證過(guò)程風(fēng)險(xiǎn)過(guò)程保證論據(jù) 風(fēng)險(xiǎn)信息風(fēng)險(xiǎn)過(guò)程風(fēng)險(xiǎn)過(guò)程PA:評(píng)估威脅 PA:評(píng)估威脅ThreatThreatPA:評(píng)估脆弱性 PA:評(píng)估安全風(fēng)險(xiǎn)PA:評(píng)估脆弱性 PA:評(píng)估安全風(fēng)險(xiǎn)PA:AssessSecurityRiskPA:AssessVulnerability脆弱性信息PA:AssessSecurityRiskPA:AssessVulnerability

風(fēng)險(xiǎn)信息PA:評(píng)估影響 PA:評(píng)估影響ImpactImpact工程過(guò)程工程過(guò)程PA：確安全需求PA：監(jiān)視安全態(tài)勢(shì)SpecifySecurityNeedsMonitorSecurityPosture風(fēng)險(xiǎn)信息PA：確安全需求PA：監(jiān)視安全態(tài)勢(shì)SpecifySecurityNeedsMonitorSecurityPosture PA：協(xié)調(diào)安全 PA：協(xié)調(diào)安全CoordinateSecurity策 CoordinateSecurityPA：管理安全控制…PA：管理安全控制AdministerSecurityControlsProvideSecurityInput AdministerSecurityControlsProvideSecurityInput 保證過(guò)程保證過(guò)程認(rèn)安全 認(rèn)安全andandSecurityPA：建立保證論據(jù)其它的PAPA：建立保證論據(jù)其它的PAManyotherManyotherManyotherManyotherManyotherManyother與與風(fēng)險(xiǎn)評(píng)估過(guò)程相關(guān)的過(guò)程區(qū)評(píng)估影響評(píng)估安全風(fēng)險(xiǎn)評(píng)估威脅評(píng)估脆弱性SSE-CMM沒(méi)有規(guī)定風(fēng)險(xiǎn)評(píng)估的定量方法，但它將風(fēng)險(xiǎn)評(píng)估的流程及風(fēng)險(xiǎn)評(píng)估中各因素（脅、脆弱性、影響、風(fēng)險(xiǎn)）楚，具有極強(qiáng)的指導(dǎo)作用和可實(shí)施性。AS/NZS4360AS/NZS4360AS/NZS《風(fēng)險(xiǎn)管理指南》是澳大利年發(fā)布第一版。風(fēng)險(xiǎn)管理過(guò)程圖風(fēng)險(xiǎn)管理過(guò)程環(huán)境風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)處理監(jiān)控和評(píng)審詢(xún)目目錄1、風(fēng)險(xiǎn)評(píng)估理論2、風(fēng)險(xiǎn)評(píng)估的國(guó)家政策和標(biāo)準(zhǔn)3、風(fēng)險(xiǎn)評(píng)估實(shí)踐33、風(fēng)險(xiǎn)評(píng)估實(shí)踐3.1 國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)3.2 風(fēng)險(xiǎn)評(píng)估案例13.3 風(fēng)險(xiǎn)評(píng)估案例23.4 風(fēng)險(xiǎn)評(píng)估過(guò)程體會(huì)3.5 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、安全測(cè)評(píng)關(guān)系3.1 3.1 國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)（“信息安全工作組-WG5）國(guó)家信息安全測(cè)評(píng)中心（信息技術(shù)安全性評(píng)估準(zhǔn)則-GB/T信息系估準(zhǔn)則）公安部（計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則-GB17859-1999）（計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求-GA/T國(guó)家保密局（涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南-BMZ北京市信息辦（黨政機(jī)關(guān)信息系統(tǒng)安全測(cè)評(píng)規(guī)范）上海市信息辦（信息系統(tǒng)安全測(cè)評(píng)規(guī)范）解放軍（信息系統(tǒng)安全評(píng)估規(guī)范）許多安全服務(wù)公司。。。33、風(fēng)險(xiǎn)評(píng)估實(shí)踐3.1 國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)3.2 風(fēng)險(xiǎn)評(píng)估案例13.3 風(fēng)險(xiǎn)評(píng)估案例23.4 風(fēng)險(xiǎn)評(píng)估過(guò)程體會(huì)3.5 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、安全測(cè)評(píng)關(guān)系3.2 風(fēng)險(xiǎn)評(píng)估案例3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行評(píng)估對(duì)象：某銀行網(wǎng)銀系統(tǒng)評(píng)估過(guò)程準(zhǔn)備階段現(xiàn)場(chǎng)檢測(cè)階段風(fēng)險(xiǎn)分析階段機(jī)構(gòu)的業(yè)務(wù)調(diào)查信息系統(tǒng)的業(yè)務(wù)特性機(jī)構(gòu)的組織結(jié)機(jī)構(gòu)的業(yè)務(wù)調(diào)查信息系統(tǒng)的業(yè)務(wù)特性機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度調(diào)查信息系統(tǒng)的管理特性機(jī)構(gòu)的技術(shù)平臺(tái)調(diào)查信息系統(tǒng)的技術(shù)特性機(jī)構(gòu)的使命調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)現(xiàn)場(chǎng)檢測(cè)階段—了解信息系統(tǒng)機(jī)構(gòu)的使命調(diào)查信息系統(tǒng)的業(yè)務(wù)目標(biāo)信息系統(tǒng)的信息系統(tǒng)的描述報(bào)告資產(chǎn)分類(lèi)與賦值資產(chǎn)分類(lèi)與賦值中需要注意的問(wèn)題由于被全部評(píng)估可能把握不住重點(diǎn)，因此需要資產(chǎn)抽樣。抽樣時(shí)遵循典型性、全面性和特殊性三原則。具體如下：典型性原性能完全相同的的資產(chǎn)抽樣部分資產(chǎn)。全面性原則，對(duì)于“網(wǎng)銀系統(tǒng)”中每一類(lèi)資產(chǎn)都要抽樣到。特殊性原則，對(duì)于“網(wǎng)銀系統(tǒng)”殊用途的資產(chǎn)，則不抽樣，全部檢測(cè)，比如對(duì)服務(wù)器。資產(chǎn)分類(lèi)與賦值3.2 3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行3.2 風(fēng)險(xiǎn)評(píng)估案例3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行威脅識(shí)別與賦值威黑客、內(nèi)部黑客、合法用環(huán)境因素、管理因素威份假冒、密碼攻擊等大約十幾種。威脅識(shí)別與賦值3.2 3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行3.2 風(fēng)險(xiǎn)評(píng)估案例3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行脆弱性分類(lèi)與賦值術(shù)脆弱性管理脆弱性脆弱性識(shí)別與賦值3.2 3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行3.2 風(fēng)險(xiǎn)評(píng)估案例3.2 風(fēng)險(xiǎn)評(píng)估案例1-銀行風(fēng)險(xiǎn)計(jì)算公式依據(jù)高低，形成如下：33、風(fēng)險(xiǎn)評(píng)估實(shí)踐3.1 國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)3.2 13.3 23.4 風(fēng)險(xiǎn)評(píng)估過(guò)程體會(huì)3.5 風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)、安全測(cè)評(píng)關(guān)系3.3 3.3 風(fēng)險(xiǎn)評(píng)估案例2風(fēng)險(xiǎn)評(píng)估范圍的確定一般最初只對(duì)機(jī)房中的信息資產(chǎn)（問(wèn)這些設(shè)備和業(yè)務(wù)的各種終端）估。全，它信息安全風(fēng)險(xiǎn)組成：主要存在于安全管理風(fēng)險(xiǎn)、IT資產(chǎn)風(fēng)險(xiǎn)、IT治理風(fēng)險(xiǎn)、IT流程險(xiǎn)四個(gè)方面?，F(xiàn)狀調(diào)研內(nèi)容與方法現(xiàn)狀調(diào)研內(nèi)容與方法現(xiàn)狀調(diào)查的目的了解細(xì)評(píng)估做好準(zhǔn)備?，F(xiàn)狀調(diào)查的主要內(nèi)容現(xiàn)狀調(diào)查有關(guān)統(tǒng)計(jì)數(shù)據(jù)–在10天的現(xiàn)狀調(diào)研中，評(píng)估組共完成44場(chǎng)現(xiàn)場(chǎng)調(diào)查與一對(duì)一的訪(fǎng)談，發(fā)放和回收各種問(wèn)卷60份，掃描主機(jī)超過(guò)500臺(tái)，人工評(píng)估關(guān)鍵服務(wù)器40臺(tái)，獲得了大量第一手資料?，F(xiàn)場(chǎng)訪(fǎng)談：訪(fǎng)談目的和范圍訪(fǎng)談是現(xiàn)狀調(diào)查中的重要一環(huán)。對(duì)公司領(lǐng)導(dǎo)層的訪(fǎng)談在于了解管理層對(duì)信息安全的看法及要求對(duì)部門(mén)負(fù)責(zé)人的訪(fǎng)談是為了了解信息安全現(xiàn)狀及存在的問(wèn)題。對(duì)員工的訪(fǎng)談是為了了解信息安全的行為及意識(shí)。訪(fǎng)談?dòng)?jì)劃：訪(fǎng)談時(shí)間安排訪(fǎng)談提綱：管理層、部門(mén)經(jīng)理、員工技術(shù)評(píng)估范圍- 對(duì)多臺(tái)系統(tǒng)主機(jī)和多臺(tái)訪(fǎng)問(wèn)終端存在的漏洞和安全采用工具掃描和人工分析兩種方式。范圍工具掃描：漏洞檢測(cè)人工分析：系統(tǒng)安全配置檢測(cè)\網(wǎng)安全配置檢測(cè)\用戶(hù)安全\操作系統(tǒng)安全\網(wǎng)絡(luò)服務(wù)安全\系統(tǒng)程序安全I(xiàn)SO差距分析目的：通現(xiàn)狀與標(biāo)準(zhǔn)的差距。差距分析蓋了的個(gè)域和個(gè)控制項(xiàng)，由各部門(mén)參加人員填寫(xiě)，從主觀(guān)角度了解各層面人員從自身角度出發(fā)對(duì)于機(jī)構(gòu)安全現(xiàn)狀的認(rèn)識(shí)和與標(biāo)準(zhǔn)的差距感受。IT運(yùn)行安全問(wèn)卷的分發(fā)范圍包括個(gè)部門(mén)。安全日常運(yùn)維現(xiàn)狀調(diào)研目的：狀況，從日常的管理、系統(tǒng)安全管理和維護(hù)上的現(xiàn)