計(jì)算機(jī)信息安全風(fēng)險(xiǎn)評(píng)估概述.ppt

1、信息安全風(fēng)險(xiǎn)評(píng)估概述,1 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生關(guān)鍵信息的基礎(chǔ)設(shè)施的規(guī)模越來(lái)越大，極大地增加了信息系統(tǒng)的復(fù)雜程度。各個(gè)國(guó)家越來(lái)越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡信息安全風(fēng)險(xiǎn)評(píng)估制度化。,1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況 在國(guó)際上，美國(guó)是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估研究歷史最長(zhǎng)和工作經(jīng)驗(yàn)最豐富的國(guó)家，一直主導(dǎo)信息技術(shù)和信息安全的發(fā)展，信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展實(shí)際上也代表了風(fēng)險(xiǎn)評(píng)估的國(guó)際發(fā)展。從最初關(guān)注計(jì)算機(jī)保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障，大體經(jīng)歷了3個(gè)階段，見(jiàn)表5-1。,表5-1 風(fēng)險(xiǎn)評(píng)估發(fā)展過(guò)程,1.1 美

2、國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.1.2 其他國(guó)家信息安全評(píng)估發(fā)展概況 歐洲在信息化方面的優(yōu)勢(shì)不如美國(guó)，但作為多個(gè)老牌大國(guó)的聯(lián)合群體，歐洲不甘落后。他們?cè)谛畔踩芾矸矫娴淖龇ㄊ窃诔浞掷妹绹?guó)引導(dǎo)的科技創(chuàng)新成果的基礎(chǔ)上，加強(qiáng)預(yù)防。,1 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.2 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀 我國(guó)的信息安全評(píng)估工作是隨著對(duì)信息安全問(wèn)題的認(rèn)識(shí)的逐步深化不斷發(fā)展的。早期的信息安全工作中心是信息保密，通過(guò)保密檢查來(lái)發(fā)現(xiàn)問(wèn)題，改進(jìn)提高。,2 信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義,1信息安全風(fēng)險(xiǎn)評(píng)估是科學(xué)分析并確定風(fēng)險(xiǎn)的過(guò)程 2信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ) 3信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出

3、重點(diǎn)原則的具體體現(xiàn) 4信息安全風(fēng)險(xiǎn)評(píng)估是組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全的重要步驟,2 信息安全風(fēng)險(xiǎn)評(píng)估的目的和意義,1. 信息安全風(fēng)險(xiǎn)評(píng)估是科學(xué)分析并確定風(fēng)險(xiǎn)的過(guò)程 任何系統(tǒng)的安全性都可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量，科學(xué)地分析系統(tǒng)的安全風(fēng)險(xiǎn)，綜合平衡風(fēng)險(xiǎn)和代價(jià)構(gòu)成了風(fēng)險(xiǎn)評(píng)估的基本過(guò)程。 2信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ) 所有信息安全建設(shè)應(yīng)該基于信息安全風(fēng)險(xiǎn)評(píng)估，只有正確地、全面地識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)，才能在預(yù)防風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間作出正確的決策，決定調(diào)動(dòng)多少資源、以什么樣的代價(jià)、采取什么樣的應(yīng)對(duì)措施化解風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)。,3信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn) 風(fēng)險(xiǎn)

4、是客觀存在的，試圖完全消滅風(fēng)險(xiǎn)或完全避免風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，要根據(jù)信息及信息系統(tǒng)的價(jià)值、威脅的大小和可能出現(xiàn)的問(wèn)題的嚴(yán)重程度，以及在信息化建設(shè)不同階段的信息安全要求，堅(jiān)持從實(shí)際出發(fā)、需求主導(dǎo)、突出重點(diǎn)、分級(jí)防護(hù)，科學(xué)評(píng)估風(fēng)險(xiǎn)并有效地控制風(fēng)險(xiǎn)。 4信息安全風(fēng)險(xiǎn)評(píng)估是組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全的重要步驟 通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估，可全面、準(zhǔn)確地了解組織機(jī)構(gòu)的安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害，分析信息系統(tǒng)的安全需求,找出目前的安全策略和實(shí)際需求的差距，提供嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)和完整、規(guī)范的指導(dǎo)模型。,3 信息安全風(fēng)險(xiǎn)評(píng)估的原則,1可控性原則 人員可控性 工具可控性 項(xiàng)目過(guò)程可控性 2完整性原則 嚴(yán)格按

5、照委托單位的評(píng)估要求和指定的范圍進(jìn)行全面的評(píng)估服務(wù)。,3最小影響原則 從項(xiàng)目管理層面和工具技術(shù)層面，力求將風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)的正常運(yùn)行的可能影響降低到最低限度。 4保密原則 與評(píng)估對(duì)象簽署保密協(xié)議和非侵害性協(xié)議，要求參與評(píng)估的單位或個(gè)人對(duì)評(píng)估過(guò)程和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何企業(yè)和個(gè)人。,4 信息安全風(fēng)險(xiǎn)評(píng)估的概念,4.1 信息安全風(fēng)險(xiǎn)評(píng)估的概念 信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程，它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安

6、全事件一旦發(fā)生對(duì)組織造成的影響。,4 信息安全風(fēng)險(xiǎn)評(píng)估的概念,4.2 信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的關(guān)系 信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理的一個(gè)階段，只是在更大的風(fēng)險(xiǎn)管理流程中的一個(gè)評(píng)估風(fēng)險(xiǎn)的一個(gè)階段。 4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式 根據(jù)風(fēng)險(xiǎn)評(píng)估發(fā)起者的不同，信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。自評(píng)估和檢查評(píng)估可以依靠自身技術(shù)力量進(jìn)行，也可以委托第三方專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行。,4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式,4.3.1 自評(píng)估 自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估，以發(fā)現(xiàn)信息系統(tǒng)現(xiàn)有弱點(diǎn)、實(shí)施安全管理為目的，是信息安全風(fēng)險(xiǎn)評(píng)估的主要形式。 4.3

7、.2 檢查評(píng)估 檢查評(píng)估是指信息系統(tǒng)上級(jí)管理部門(mén)或信息安全職能部門(mén)組織的信息安全風(fēng)險(xiǎn)評(píng)估，是通過(guò)行政手段加強(qiáng)信息安全的重要措施。,4.4 信息安全風(fēng)險(xiǎn)評(píng)估的分類(lèi),在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)當(dāng)針對(duì)不同的環(huán)境和安全要求選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估種類(lèi)，目前，實(shí)際操作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估包括基線(xiàn)風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估、聯(lián)合風(fēng)險(xiǎn)評(píng)估。 4.4.1 基線(xiàn)風(fēng)險(xiǎn)評(píng)估 基線(xiàn)評(píng)估的優(yōu)點(diǎn)是需要的資源少、周期短、操作簡(jiǎn)單等。缺點(diǎn)是安全基線(xiàn)水平的高低難以設(shè)定、管理與安全相關(guān)的變更可能有困難等。,4.4 信息安全風(fēng)險(xiǎn)評(píng)估的分類(lèi),4.4.2 詳細(xì)風(fēng)險(xiǎn)評(píng)估 詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)是對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)精確的認(rèn)識(shí)，從而可以更為精確地識(shí)別出組織目

8、前的安全水平和安全需求；可以從詳細(xì)的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使與組織變革相關(guān)的安全管理受益。詳細(xì)風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)是非常耗費(fèi)資源。,5 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),目前，國(guó)際上信息安全風(fēng)險(xiǎn)評(píng)估與管理的標(biāo)準(zhǔn)有英國(guó)BSI的BS 7799、美國(guó)的OCTAVE、澳大利亞/新西蘭的AS/NZS 4360、ISO/IEC TR 13335、NIST SP800-30等，其中BS 7799和ISO/IEC TR 13335 在第2章、AS/NZS 4360和NIST SP800-30在第4章已進(jìn)行了介紹，這里介紹OCTAVE方法、SSE-CMM和GAO/AIMD-99-139。,5.1 OCTAVE,5.1.1

9、OCTAVE簡(jiǎn)介 OCTAVE（Operationally Critical Treat，Asset and Vulnerability Evaluation，可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評(píng)估）是由美國(guó)卡耐基梅隆大學(xué)軟件工程研究所下屬的CERT協(xié)調(diào)中心，開(kāi)發(fā)的信息安全風(fēng)險(xiǎn)評(píng)估的方法。 OCTAVE信息安全風(fēng)險(xiǎn)評(píng)估方法的基本原則是：自主、適應(yīng)度量、已定義的過(guò)程、連續(xù)過(guò)程的基礎(chǔ)，它由一系列循序漸進(jìn)的討論會(huì)組成，每個(gè)討論會(huì)都需要其參與者之間的交流和溝通。,其核心是自主原則，即由組織內(nèi)部的人員管理和指導(dǎo)該組織的信息安全風(fēng)險(xiǎn)評(píng)估。信息安全是組織內(nèi)每個(gè)人的職責(zé)，而不只是IT部門(mén)的職責(zé)。組織內(nèi)部的人員需要負(fù)

10、責(zé)信息安全評(píng)估活動(dòng)，并對(duì)改進(jìn)信息安全的工作做出決策。 OCTAVE使組織能夠理清復(fù)雜的組織問(wèn)題和技術(shù)問(wèn)題，了解安全問(wèn)題，改善組織的安全狀況并解決信息安全風(fēng)險(xiǎn)，而無(wú)需過(guò)分依賴(lài)外部專(zhuān)家和廠商。OCTAVE包括兩種具體方法：面向大型組織的OCTAVE Method和面向小型組織的OCTAVE-S。,5.1.2 OCTAVE Method,OCTAVE Method是為大型組織（有300名以上員工的公司或組織）而設(shè)計(jì)的，但可以以此為基線(xiàn)或起點(diǎn)，對(duì)該方法進(jìn)行開(kāi)發(fā)剪裁，使它適合于不同規(guī)模的組織、業(yè)務(wù)環(huán)境或工業(yè)部門(mén)。,OCTAVE Method包括3個(gè)階段8個(gè)過(guò)程： 第1階段：建立基于資產(chǎn)的威脅配置文件 第

11、2階段：識(shí)別基礎(chǔ)設(shè)施的薄弱點(diǎn) 第3階段：開(kāi)發(fā)安全策略和計(jì)劃,第一階段主要由4個(gè)過(guò)程組成： 過(guò)程1：收集高層管理部門(mén)的觀點(diǎn)。參與者為組織的高層管理人員； 過(guò)程2：收集業(yè)務(wù)區(qū)域管理部門(mén)的觀點(diǎn)。參與者為組織業(yè)務(wù)區(qū)域（即中層管理部門(mén)）的經(jīng)理； 過(guò)程3：收集員工的觀點(diǎn)。參與者是組織的一般員工，信息技術(shù)部門(mén)的員工通常與一般的員工分開(kāi)，參與一個(gè)獨(dú)立的討論會(huì)； 過(guò)程4: 建立威脅配置文件。包括整理過(guò)程1過(guò)程3中所收集的信息、選擇關(guān)鍵資產(chǎn)、提煉關(guān)鍵資產(chǎn)的安全需求、標(biāo)識(shí)對(duì)關(guān)鍵資產(chǎn)構(gòu)成影響的威脅等工作。 通用的配置文件是基于關(guān)鍵資產(chǎn)的威脅樹(shù)。,第二階段中，對(duì)當(dāng)前信息基礎(chǔ)設(shè)施的評(píng)價(jià)，包括數(shù)據(jù)收集和分析活動(dòng)。 本階段主

12、要由2個(gè)過(guò)程組成： 過(guò)程5：識(shí)別關(guān)鍵單元，包括識(shí)別結(jié)構(gòu)單元的種類(lèi)、識(shí)別要分析的基礎(chǔ)設(shè)施的結(jié)構(gòu)單元等； 過(guò)程6：評(píng)估選定的單元，包括對(duì)選定的基礎(chǔ)設(shè)施的結(jié)構(gòu)單元進(jìn)行薄弱點(diǎn)檢查、對(duì)技術(shù)薄弱點(diǎn)進(jìn)行評(píng)審并總結(jié)。,第三階段：開(kāi)發(fā)安全策略和計(jì)劃 第3階段旨在理解迄今為止在評(píng)估過(guò)程中收集到的信息，即分析風(fēng)險(xiǎn)。 本階段主要由2個(gè)過(guò)程組成： 過(guò)程7：執(zhí)行風(fēng)險(xiǎn)分析，包括識(shí)別關(guān)鍵資產(chǎn)的威脅所產(chǎn)生的影響、制定風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、評(píng)估關(guān)鍵資產(chǎn)的威脅所產(chǎn)生的影響等； 過(guò)程8：開(kāi)發(fā)保護(hù)策略，評(píng)估小組開(kāi)發(fā)整個(gè)組織的保護(hù)策略，該策略注重于提高組織的安全實(shí)踐，以及關(guān)鍵資產(chǎn)的重要風(fēng)險(xiǎn)的削減計(jì)劃。,5.1.3 OCTAVE-S,OCTAVE

13、-S（OCTAVE簡(jiǎn)化版）是為規(guī)模較小的組織而開(kāi)發(fā)的，這里將2080名員工的組織視為小規(guī)模的組織。通過(guò)這種方法，35人的評(píng)估小組就可以完成整個(gè)評(píng)估活動(dòng)。與OCTAVE Method一樣，OCTAVE-S評(píng)估方法同樣包括3個(gè)階段，但其中的過(guò)程有些不同。,1第1階段：建立資產(chǎn)的威脅描述文件 本階段主要由2個(gè)過(guò)程組成： 過(guò)程S1：收集組織信息。分析小組應(yīng)識(shí)別與組織重要信息相關(guān)的資產(chǎn)，確定一組評(píng)估標(biāo)準(zhǔn)，并定義組織當(dāng)前的安全實(shí)踐狀況； 過(guò)程S2: 建立威脅描述。分析小組應(yīng)選擇35個(gè)關(guān)鍵信息資產(chǎn)，并為每個(gè)關(guān)鍵信息資產(chǎn)定義相應(yīng)的安全要求和威脅描述文件。,2第2階段：識(shí)別基礎(chǔ)設(shè)施的薄弱點(diǎn) 本階段主要由1個(gè)過(guò)程

14、組成： 過(guò)程S3：檢查與關(guān)鍵信息資產(chǎn)相關(guān)的的計(jì)算基礎(chǔ)設(shè)施。分析小組對(duì)關(guān)鍵資產(chǎn)的支持系統(tǒng)中的訪問(wèn)路徑進(jìn)行分析，并確定這些技術(shù)措施對(duì)關(guān)鍵資產(chǎn)的保護(hù)程度；,3第3階段：開(kāi)發(fā)安全策略和計(jì)劃 本階段主要由2個(gè)過(guò)程組成： 過(guò)程S4：確定和分析風(fēng)險(xiǎn)。分析小組就風(fēng)險(xiǎn)所產(chǎn)生的影響、發(fā)生的可能性進(jìn)行評(píng)估； 過(guò)程S5：開(kāi)發(fā)保護(hù)策略和風(fēng)險(xiǎn)降低計(jì)劃。評(píng)估小組根據(jù)實(shí)際情況，開(kāi)發(fā)一個(gè)整個(gè)組織范圍的的保護(hù)策略和風(fēng)險(xiǎn)削減計(jì)劃。,5.2 SSE-CMM,5.2.1 SSE-CMM概述 SSE-CMM是系統(tǒng)安全工程能力成熟度模型（SystemSecurity Engineering Capability Maturity Mode

15、1）的縮寫(xiě)，它源于CMM（能力成熟度模型）的思想和方法，是CMM在系統(tǒng)安全工程領(lǐng)域的應(yīng)用，SSE-CMM是偏向于對(duì)組織的系統(tǒng)安全工程能力的評(píng)估標(biāo)準(zhǔn)。,SSE-CMM模型將信息系統(tǒng)安全工程分為3個(gè)相互聯(lián)系的部分：風(fēng)險(xiǎn)評(píng)估、工程實(shí)施和可信度評(píng)估。針對(duì)這三個(gè)部分SSE-CMM定義了11項(xiàng)關(guān)鍵過(guò)程（PA），并為每個(gè)過(guò)程定義了一組完成該過(guò)程必不可少的確定的基本實(shí)踐（BP）。同時(shí)模型還定義了5個(gè)能力成熟度等級(jí).,從整體上看，SSE-CMM模型定義了一個(gè)“二維”架構(gòu)，橫軸上是11個(gè)系統(tǒng)安全工程的過(guò)程域，縱軸上是5個(gè)能力成熟度等級(jí)，如果給每個(gè)過(guò)程域賦予一個(gè)能力成熟度等級(jí)的評(píng)定，所得到的“二維”圖形便形象地反映

16、了安全工程的質(zhì)量以及工程在安全上的可信度，也間接地反映了工程隊(duì)伍實(shí)施安全系統(tǒng)工程的能力成熟性。,5.2.2 安全工程過(guò)程,1風(fēng)險(xiǎn)過(guò)程 風(fēng)險(xiǎn)是潛在的威脅，這種威脅利用有用資源的脆弱性造成資源的破壞和損失。風(fēng)險(xiǎn)事件有三個(gè)組成部分：威脅，系統(tǒng)脆弱性，事件造成的影響。 安全機(jī)制在系統(tǒng)中存在的根本目的是將風(fēng)險(xiǎn)控制在可接受的程度內(nèi)，SSE-CMM模型定義了四種風(fēng)險(xiǎn)過(guò)程：評(píng)估威脅過(guò)程（PA04），評(píng)估脆弱性過(guò)程（PA05），評(píng)估風(fēng)險(xiǎn)事件影響過(guò)程（PA02）以及在前三種過(guò)程基礎(chǔ)上的評(píng)估安全風(fēng)險(xiǎn)過(guò)程（PA03）。,2工程過(guò)程 安全工程是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過(guò)程。針對(duì)工程實(shí)

17、施管理，SSE-CMM模型定義了安全需求說(shuō)明過(guò)程（PA10），安全方案制定過(guò)程（PA09），安全控制實(shí)施過(guò)程（PA01），安全狀態(tài)監(jiān)測(cè)過(guò)程（PA08）。安全工程不是一個(gè)獨(dú)立的實(shí)體，而是整個(gè)信息系統(tǒng)工程的一個(gè)組成部分，模型強(qiáng)調(diào)系統(tǒng)安全工程與其它工程的合作和協(xié)調(diào)并定義了專(zhuān)門(mén)的協(xié)調(diào)安全過(guò)程（PA07）。,3保證過(guò)程 保證是指安全需求得到滿(mǎn)足的信任程度。用可信度描述對(duì)建立的安全系統(tǒng)正確執(zhí)行其安全功能的信心究竟有多大度。SSE-CMM模型在信任度問(wèn)題上強(qiáng)調(diào)對(duì)安全工程結(jié)果可重復(fù)性的信任程度，它通過(guò)對(duì)現(xiàn)有系統(tǒng)安全體系真實(shí)性和有效性的測(cè)試（PA11）來(lái)構(gòu)造系統(tǒng)安全可信度論據(jù)（PA06）。,5.2.3 能力成熟

18、度等級(jí),SSE-CMM模型定義了五個(gè)能力級(jí)別，它們分別是： 1級(jí)：非正式執(zhí)行的過(guò)程。僅僅要求一個(gè)過(guò)程域的所有基本實(shí)踐都被執(zhí)行，而對(duì)執(zhí)行的結(jié)果并無(wú)明確要求。 2級(jí)：計(jì)劃并跟蹤的過(guò)程。這一級(jí)強(qiáng)調(diào)過(guò)程執(zhí)行前的計(jì)劃和執(zhí)行中的檢查。這使工程組織可以基于最終結(jié)果的質(zhì)量來(lái)管理其實(shí)踐活動(dòng)。,3級(jí)：完好定義的過(guò)程。過(guò)程域的所有基本實(shí)踐均應(yīng)依照一組完善定義的操作規(guī)范來(lái)進(jìn)行。這組規(guī)范是實(shí)施隊(duì)伍根據(jù)以往經(jīng)驗(yàn)制訂出來(lái)的，其合理性是驗(yàn)證過(guò)的。 4級(jí)：定量控制的過(guò)程。能夠?qū)?shí)施隊(duì)伍的表現(xiàn)進(jìn)行定量的度量和預(yù)測(cè)。過(guò)程管理成為客觀的和準(zhǔn)確的實(shí)踐活動(dòng)。 5級(jí)：持續(xù)改善的過(guò)程。為過(guò)程行為的高效和實(shí)用建立定量的目標(biāo)?？梢詼?zhǔn)確地度量過(guò)程

19、的持續(xù)改善所收到的效益。,5.3 GAO/AIMD-99-139,1998年5月美國(guó)審計(jì)總署(GAO)出版了信息安全管理指南一向先進(jìn)公司學(xué)習(xí)(GAO/AIMD-98-68)，并出版了其支持性文件信息安全風(fēng)險(xiǎn)評(píng)估指南 向先進(jìn)公司學(xué)習(xí)(GAO/AIMD-99-139)，GAO/AIMD-99-139風(fēng)險(xiǎn)評(píng)估指南有針對(duì)性的對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行了分析和闡述，是在開(kāi)展類(lèi)似公司風(fēng)險(xiǎn)評(píng)估工作的過(guò)程中可以參考和借鑒的標(biāo)準(zhǔn)。,5.3.1 GAO/AIMD-99-139的組成,GAO/AIMD-99-139由三部分組成： 第一部分引言，介紹了風(fēng)險(xiǎn)評(píng)估指南的產(chǎn)生背景、風(fēng)險(xiǎn)評(píng)估在風(fēng)險(xiǎn)管理中的地位、風(fēng)險(xiǎn)評(píng)估過(guò)程的基本要素

20、以及信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的難點(diǎn)； 第二部分給出了第3部分案例研究的概述，分析了風(fēng)險(xiǎn)評(píng)估過(guò)程中關(guān)鍵的成功因素、風(fēng)險(xiǎn)評(píng)估工具以及風(fēng)險(xiǎn)評(píng)估帶來(lái)的益處； 第三部分案例分析，美國(guó)審計(jì)總署從調(diào)查的眾多組織中挑選了有代表性的4個(gè)組織，對(duì)他們的風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行了分析和闡述。 附錄給出了風(fēng)險(xiǎn)評(píng)估指南的目標(biāo)和方法論。,5.3.2 風(fēng)險(xiǎn)評(píng)估過(guò)程的基本要素,風(fēng)險(xiǎn)評(píng)估過(guò)程通常要包括下列要素： 1識(shí)別可能危害關(guān)鍵運(yùn)作和資產(chǎn)并對(duì)其造成負(fù)面影響的威脅。 2在歷史信息以及有經(jīng)驗(yàn)的人員的判斷基礎(chǔ)上，估計(jì)此類(lèi)威脅發(fā)生的現(xiàn)實(shí)可能性,3識(shí)別并評(píng)價(jià)可能受到此類(lèi)威脅發(fā)生影響的運(yùn)作和資產(chǎn)的價(jià)值、敏感度和關(guān)鍵度，以確定哪些運(yùn)作和資產(chǎn)是重要的

21、。 4對(duì)最關(guān)鍵、最敏感的資產(chǎn)和運(yùn)作，估計(jì)威脅發(fā)生可能造成的潛在損失或破壞，包括恢復(fù)成本。 5識(shí)別經(jīng)濟(jì)有效的措施以減輕或降低風(fēng)險(xiǎn)。 6將結(jié)果形成文件并建立活動(dòng)計(jì)劃。,6 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 20984-2007,6.1 GB/T 20984-2007簡(jiǎn)介 隨著我國(guó)信息化應(yīng)用的逐步深入，信息安全問(wèn)題也日益受到關(guān)注，針對(duì)我國(guó)沒(méi)有信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的現(xiàn)狀，2004年，國(guó)信辦組織專(zhuān)家啟動(dòng)信息安全了風(fēng)險(xiǎn)評(píng)估的研究與標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)編制工作于2004年3月正式啟動(dòng)，2007年7月通過(guò)了國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)的審查批準(zhǔn)，標(biāo)準(zhǔn)編號(hào)和名稱(chēng)為GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)

22、評(píng)估規(guī)范于2007年11月正式實(shí)施。,2 GB/T 20984-2007的內(nèi)容,GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范包括正文和附錄兩部分，正文由前言、引言和七章內(nèi)容組成，附錄部分包括附錄A和附錄B，均為資料性附錄。,前言：對(duì)本標(biāo)準(zhǔn)的制定作了簡(jiǎn)單介紹； 引言：簡(jiǎn)單介紹了信息安全風(fēng)險(xiǎn)評(píng)估的重要性； 第 1章 范圍：闡述了本標(biāo)準(zhǔn)的范圍； 第2章 規(guī)范性引用文件：闡述了本標(biāo)準(zhǔn)的規(guī)范性引用文件； 第3章 術(shù)語(yǔ)和定義：給出了本標(biāo)準(zhǔn)中所用的術(shù)語(yǔ)和定義； 第4章 風(fēng)險(xiǎn)評(píng)估框架及流程：闡述了信息安全風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系、風(fēng)險(xiǎn)分析的原理、風(fēng)險(xiǎn)評(píng)估的實(shí)施流程；,第5章 風(fēng)險(xiǎn)評(píng)估實(shí)施：詳

23、細(xì)介紹了信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程及每一階段的具體任務(wù)和職能； 第6章 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估：闡述了信息安全風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期各階段中的不同要求； 第7章 風(fēng)險(xiǎn)評(píng)估的工作方式：介紹了風(fēng)險(xiǎn)評(píng)估的兩種形式（即自評(píng)估和檢查評(píng)估）； 附錄A 風(fēng)險(xiǎn)的計(jì)算方法：詳細(xì)介紹了目前比較常用的兩種風(fēng)險(xiǎn)計(jì)算方法（即矩陣法和相乘法）； 附錄B 風(fēng)險(xiǎn)評(píng)估工具：對(duì)當(dāng)前的風(fēng)險(xiǎn)評(píng)估工具進(jìn)行了分類(lèi)和綜述,6.3 GB/T 20984-2007的風(fēng)險(xiǎn) 評(píng)估實(shí)施過(guò)程,1風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 這是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。在這個(gè)階段要完成以下任務(wù)：確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)和范圍，組建評(píng)估團(tuán)隊(duì)，進(jìn)行系統(tǒng)調(diào)研，確定評(píng)估依據(jù)和

24、方法，并獲得最高管理者對(duì)評(píng)估工作的支持。,2資產(chǎn)識(shí)別 依據(jù)資產(chǎn)的分類(lèi)，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)逐一識(shí)別，完成對(duì)資產(chǎn)機(jī)密性、完整性和可用性的賦值，最后經(jīng)過(guò)綜合評(píng)定得出資產(chǎn)重要性等級(jí)。 3威脅識(shí)別 對(duì)資產(chǎn)可能遭受的威脅進(jìn)行識(shí)別，并依據(jù)威脅出現(xiàn)的頻率對(duì)威脅進(jìn)行賦值。,4脆弱性識(shí)別 脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。從技術(shù)和管理兩個(gè)方面對(duì)評(píng)估對(duì)象存在的脆弱性進(jìn)行識(shí)別并賦值。 5已有安全措施的確認(rèn) 在識(shí)別脆弱性的同時(shí)，對(duì)評(píng)估對(duì)象已采取的安全措施的有效性進(jìn)行確認(rèn)，評(píng)估其有效性。,6風(fēng)險(xiǎn)分析 采用適當(dāng)?shù)姆椒ㄅc

25、工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。 7風(fēng)險(xiǎn)評(píng)估文件記錄 形成風(fēng)險(xiǎn)評(píng)估過(guò)程中的相關(guān)文檔，包括風(fēng)險(xiǎn)評(píng)估報(bào)告。 GB/T 20984-2007詳細(xì)的風(fēng)險(xiǎn)評(píng)估過(guò)程在第7章介紹。,7 信息安全風(fēng)險(xiǎn)評(píng)估方法,7.1 概述 信息安全風(fēng)險(xiǎn)評(píng)估綜合分析資產(chǎn)、威脅、脆弱性、安全措施，判斷系統(tǒng)風(fēng)險(xiǎn)，為安全管理單位識(shí)別安全重點(diǎn)、選擇合理適用安全對(duì)策提供依據(jù)，是信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)。下面將從不同的角度比較現(xiàn)有的信息安全風(fēng)險(xiǎn)評(píng)估方法。,1.2 技術(shù)評(píng)估和整體評(píng)估 技術(shù)評(píng)估 是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)

26、的、及時(shí)的檢查，包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點(diǎn)：技術(shù)評(píng)估強(qiáng)調(diào)組織的技術(shù)脆弱性，評(píng)估整個(gè)系統(tǒng)的計(jì)算基礎(chǔ)結(jié)構(gòu)并對(duì)檢測(cè)到的技術(shù)弱點(diǎn)提出解決措施。 缺點(diǎn)：疏漏了組織的安全性遵循“木桶原則”，組織內(nèi)最薄弱的環(huán)節(jié)多半是組織中的某個(gè)人。,2. 整體評(píng)估 擴(kuò)展了技術(shù)評(píng)估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。這些多角度的評(píng)估試圖按照業(yè)務(wù)驅(qū)動(dòng)程序或者目標(biāo)對(duì)安全風(fēng)險(xiǎn)進(jìn)行排列，關(guān)注的焦點(diǎn)主要集中在安全的以下4個(gè)方面： 檢查與安全相關(guān)的組織實(shí)踐，標(biāo)識(shí)當(dāng)前安全實(shí)踐的優(yōu)點(diǎn)和弱點(diǎn)； 對(duì)系統(tǒng)進(jìn)行技術(shù)分析、對(duì)政策進(jìn)

27、行評(píng)審，以及對(duì)物理安全進(jìn)行審查； 檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點(diǎn)； 幫助決策制訂者綜合平衡風(fēng)險(xiǎn)以選擇成本效益對(duì)策。,7.1.3 定性評(píng)估和定量評(píng)估 1. 定性評(píng)估 是最廣泛使用的風(fēng)險(xiǎn)分析方法 ，一般只關(guān)注威脅事件所帶來(lái)的損失，而忽略事件發(fā)生的概率 。 多數(shù)定性風(fēng)險(xiǎn)分析方法依據(jù)組織面臨的威脅、脆弱點(diǎn)以及控制措施等元素來(lái)決定安全風(fēng)險(xiǎn)等級(jí)。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，往往帶有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)進(jìn)行定性分級(jí)，如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”、“中”、“低”，有時(shí)單純使用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別。 常用的定性評(píng)估方法有故障分析樹(shù)（FTA）、事件樹(shù)分析

28、（ETA）、德?tīng)柗品ǎ―ELPHI）。,2定量評(píng)估 是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在的損失的水平賦予數(shù)值或貨幣值。 根據(jù)上述三個(gè)參數(shù)，計(jì)算損失估算值。 優(yōu)點(diǎn)：結(jié)果直觀，容易理解 ； 缺點(diǎn)：它要求特別關(guān)注資產(chǎn)的價(jià)值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價(jià)值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的 。此外，控制和對(duì)策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關(guān)聯(lián)的，這使得定量評(píng)估過(guò)程非常耗時(shí)和困難。,5.7.1.4 基于知識(shí)的評(píng)估和基于模型的評(píng)估 1基于知識(shí)的評(píng)估 主要是依靠經(jīng)驗(yàn)進(jìn)行的，經(jīng)驗(yàn)從安全專(zhuān)家處獲取并憑此來(lái)解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問(wèn)題 。它涉及到對(duì)來(lái)自類(lèi)似組織的“最佳慣例”的重用

29、。通過(guò)各種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，找出不當(dāng)之處，并按照標(biāo)準(zhǔn)或最佳慣例的推薦，選擇安全措施，從而消減和控制風(fēng)險(xiǎn)。 優(yōu)點(diǎn)：能夠直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。基于知識(shí)的風(fēng)險(xiǎn)評(píng)估方法充分利用多年來(lái)開(kāi)發(fā)的保護(hù)措施和安全實(shí)踐，依照組織的相似性程度進(jìn)行快速的安全實(shí)施和包裝，以減少組織的安全風(fēng)險(xiǎn)。 缺點(diǎn)：組織相似性的判定、被評(píng)估組織的安全需求分析以及關(guān)鍵資產(chǎn)的確定都是該方法的制約點(diǎn)。安全風(fēng)險(xiǎn)評(píng)估是一個(gè)非常復(fù)雜的任務(wù)，這要求存在一個(gè)方法既能描述系統(tǒng)的細(xì)節(jié)又能描述系統(tǒng)的整體。,2基于模型的評(píng)估 可以分析出系統(tǒng)自身內(nèi)部機(jī)制中存在的危險(xiǎn)性因素，同

30、時(shí)又可以發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中的不正常并有害的行為，從而完成系統(tǒng)脆弱點(diǎn)和安全威脅的定性分析，比較熱門(mén)的基于建模的安全風(fēng)險(xiǎn)評(píng)估方法主要有基于圖的建模方法和模型檢測(cè)等。 2001年1月，由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開(kāi)發(fā)了CORAS項(xiàng)目安全危機(jī)系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)，為安全要求較高的安全關(guān)鍵系統(tǒng)進(jìn)行準(zhǔn)確、清晰和高效的信息安全風(fēng)險(xiǎn)評(píng)估，提供一個(gè)框架規(guī)范和標(biāo)準(zhǔn)。CORAS風(fēng)險(xiǎn)評(píng)估的顯著特點(diǎn)是UML建模語(yǔ)言規(guī)范描述風(fēng)險(xiǎn)評(píng)估過(guò)程和綜合采用多種互為補(bǔ)充的風(fēng)險(xiǎn)分析技術(shù)。,7 信息安全風(fēng)險(xiǎn)評(píng)估方法,7.2 典型的信息安全風(fēng)險(xiǎn)評(píng)估方法 7.2.1 風(fēng)險(xiǎn)矩陣測(cè)量法 風(fēng)險(xiǎn)矩陣測(cè)量法是事先建

31、立資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)的一個(gè)對(duì)應(yīng)矩陣，預(yù)先將風(fēng)險(xiǎn)等級(jí)進(jìn)行了確定，然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風(fēng)險(xiǎn)。 使用本方法需要首先確定資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要組織內(nèi)部的管理人員、技術(shù)人員、后勤人員等方面的配合。 假設(shè)威脅發(fā)生的可能性定性劃分為3級(jí)，脆弱性被利用的可能性也定性劃分為3級(jí)，受到威脅的資產(chǎn)值定性劃分為5級(jí)，資產(chǎn)風(fēng)險(xiǎn)判別矩陣如表5-2所示。風(fēng)險(xiǎn)矩陣會(huì)隨著資產(chǎn)值的增加、威脅等級(jí)的增加和脆弱性等級(jí)的增加而擴(kuò)大。,表5-2 資產(chǎn)風(fēng)險(xiǎn)判別矩陣 對(duì)于每一資產(chǎn)的風(fēng)險(xiǎn)，都將考慮資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí) 。,例1：如果某資產(chǎn)的資產(chǎn)值為3，威脅等級(jí)為“高”，脆弱性等

32、級(jí)為“低”。查表5-2可知此威脅利用此脆弱性對(duì)資產(chǎn)所造成的風(fēng)險(xiǎn)值為5。 如果某資產(chǎn)的資產(chǎn)值為2，威脅等級(jí)為“低”，脆弱性等級(jí)為“高”，查表5-2可知風(fēng)險(xiǎn)值為4。 當(dāng)一個(gè)系統(tǒng)是由若干個(gè)資產(chǎn)構(gòu)成時(shí)，先分別計(jì)算資產(chǎn)所面臨的風(fēng)險(xiǎn)，然后計(jì)算總值，即ST=，其中，Ai是系統(tǒng)S的組成，T是其面臨的威脅。 例2：假設(shè)系統(tǒng)S有3個(gè)重要資產(chǎn)，資產(chǎn)A1、資產(chǎn)A2和資產(chǎn)A3，資產(chǎn)所面臨的威脅以及威脅可利用資產(chǎn)的脆弱性見(jiàn)表5-3，括號(hào)內(nèi)是其相應(yīng)的資產(chǎn)值或等級(jí)值。 根據(jù)表5-2，可知相應(yīng)的風(fēng)險(xiǎn)值，見(jiàn)表5-3，風(fēng)險(xiǎn)總值ST=4+5+7=16。,表5-3 資產(chǎn)、威脅、脆弱性表,7.2.2威脅分級(jí)法 威脅分級(jí)法通過(guò)直接考慮威脅

33、、威脅對(duì)資產(chǎn)產(chǎn)生的影響以及威脅發(fā)生的可能性來(lái)確定風(fēng)險(xiǎn)，其過(guò)程如下： 1確定威脅對(duì)資產(chǎn)的影響 確定威脅對(duì)資產(chǎn)的影響，可用等級(jí)15來(lái)表示。識(shí)別威脅的過(guò)程可以通過(guò)兩種方式來(lái)完成：一是準(zhǔn)備威脅列表，讓系統(tǒng)所有者去選擇相應(yīng)的資產(chǎn)的威脅；二是由評(píng)估團(tuán)隊(duì)的人員識(shí)別相關(guān)的威脅，進(jìn)行分析和歸類(lèi)。 2評(píng)價(jià)威脅發(fā)生的可能性 用等級(jí)15來(lái)表示。 3計(jì)算風(fēng)險(xiǎn)值 風(fēng)險(xiǎn)的計(jì)算方法，可以是影響值與可能性之積，也可以是 之和， 具體算法由用戶(hù)來(lái)定，只要滿(mǎn)足是增函數(shù)即可。 根據(jù)風(fēng)險(xiǎn)值的大小，可對(duì)資產(chǎn)面臨的不同威脅進(jìn)行排序。,例3：某資產(chǎn)所面臨的威脅有AF，通過(guò)判斷，其影響值和發(fā)生可能性（均采用5個(gè)等級(jí)確定）如表5-4所示，而風(fēng)險(xiǎn)

34、的測(cè)量采用以上兩值的乘積，計(jì)算結(jié)果如表5-4所示。 表5-4 風(fēng)險(xiǎn)計(jì)算表 經(jīng)過(guò)計(jì)算后，風(fēng)險(xiǎn)被分為25個(gè)等級(jí)。在具體評(píng)估中，可以根據(jù)這種方法明確表示“資產(chǎn)威脅風(fēng)險(xiǎn)”的關(guān)系。,7.2.3 風(fēng)險(xiǎn)綜合評(píng)價(jià) 風(fēng)險(xiǎn)由威脅產(chǎn)生的可能性、威脅對(duì)資產(chǎn)的影響程度以及已采用的控制措施三個(gè)方面來(lái)確定。與風(fēng)險(xiǎn)矩陣法和威脅分級(jí)法不同，風(fēng)險(xiǎn)綜合評(píng)價(jià)法對(duì)控制措施的采用進(jìn)行了單獨(dú)的考慮。 風(fēng)險(xiǎn)值=影響值-控制措施 求出風(fēng)險(xiǎn)值。 例4：對(duì)風(fēng)險(xiǎn)評(píng)估表5-5，使用風(fēng)險(xiǎn)綜合評(píng)價(jià)法，計(jì)算影響值和風(fēng)險(xiǎn)值。 這里將控制措施的有效性從小到大分為5個(gè)等級(jí)：15。,表5-5 風(fēng)險(xiǎn)評(píng)估表,7.2.4 快速風(fēng)險(xiǎn)評(píng)估法 1風(fēng)險(xiǎn)二值法 只區(qū)分可接受風(fēng)險(xiǎn)和

35、不可接受風(fēng)險(xiǎn)。當(dāng)風(fēng)險(xiǎn)測(cè)度只被用于劃分極為嚴(yán)重活動(dòng)和較小付出即可實(shí)現(xiàn)安全情況下的活動(dòng)時(shí)，可采用此方法。該方法中，矩陣簡(jiǎn)化為只包含T和V兩個(gè)等級(jí)，表示可接受風(fēng)險(xiǎn)和不可接受風(fēng)險(xiǎn)，如表5-6所示。,2風(fēng)險(xiǎn)矩陣 該方法將資產(chǎn)的三個(gè)安全屬性（完整性、保密性、可用性）與兩個(gè)安全風(fēng)險(xiǎn)（意外行為、故意行為）聯(lián)系到一起，形成一個(gè)風(fēng)險(xiǎn)矩陣，如圖5-1所示。 圖5-1 風(fēng)險(xiǎn)矩陣,通過(guò)該矩陣，能夠在風(fēng)險(xiǎn)分析過(guò)程中識(shí)別風(fēng)險(xiǎn)，并同時(shí)識(shí)別控制措施。評(píng)估中，首先識(shí)別要評(píng)估的資產(chǎn)，接著對(duì)影響資產(chǎn)的完整性、保密性和可用性的威脅進(jìn)行識(shí)別，形成一個(gè)風(fēng)險(xiǎn)列表（風(fēng)險(xiǎn)矩陣），然后再根據(jù)這個(gè)風(fēng)險(xiǎn)矩陣形成控制措施的矩陣，如圖5-2、5-3所示。

36、 圖5-2 風(fēng)險(xiǎn)分析矩陣,圖5-3 風(fēng)險(xiǎn)控制矩陣,8 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估,信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于信息系統(tǒng)的整個(gè)生命周期的各階段中。信息系統(tǒng)生命周期是某一系統(tǒng)從無(wú)到有，再到揚(yáng)棄的整個(gè)過(guò)程，包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄5個(gè)基本階段，各階段中涉及的風(fēng)險(xiǎn)評(píng)估的原則和方法是一致的，但由于各階段實(shí)施的內(nèi)容、對(duì)象、安全需求不同，使得風(fēng)險(xiǎn)評(píng)估的對(duì)象、目的、要求等各方面也有所不同。,8.1 規(guī)劃階段的信息安全風(fēng)險(xiǎn)評(píng)估 在信息系統(tǒng)的規(guī)劃階段，確定信息系統(tǒng)的目的、范圍和需求，分析和論證可行性，提出總體方案。 目的 ：識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，用以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評(píng)估應(yīng)能夠描述信

37、息系統(tǒng)建成后對(duì)現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。 本階段評(píng)估中，資產(chǎn)、脆弱性不需要識(shí)別；威脅應(yīng)根據(jù)未來(lái)系統(tǒng)的應(yīng)用對(duì)象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。評(píng)估著重以下幾方面： 1是否依據(jù)相關(guān)規(guī)則，建立了業(yè)務(wù)戰(zhàn)略相一致的信息系統(tǒng)安全規(guī)劃，并得到最高管理者的認(rèn)可；,2系統(tǒng)規(guī)劃中是否明確信息系統(tǒng)開(kāi)發(fā)的組織、業(yè)務(wù)變更的管理、開(kāi)發(fā)優(yōu)先級(jí)； 3系統(tǒng)規(guī)劃中是否考慮信息系統(tǒng)的威脅、環(huán)境，并制定總體的安全方針； 4系統(tǒng)規(guī)劃中是否描述信息系統(tǒng)預(yù)期使用的信息，包括預(yù)期的應(yīng)用、信息資產(chǎn)的重要性、潛在的價(jià)值、可能的使用限制、對(duì)業(yè)務(wù)的支持程度等； 5系統(tǒng)規(guī)劃中是否

38、描述所有與信息系統(tǒng)安全相關(guān)的運(yùn)行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全政策、專(zhuān)門(mén)技術(shù)和知識(shí)等。 規(guī)劃階段的評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書(shū)中。,8 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估,8.2 設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)評(píng)估 在信息系統(tǒng)的設(shè)計(jì)階段：依據(jù)總體方案，設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)（包括功能劃分、接口協(xié)議和性能指標(biāo)等）和實(shí)施方案（包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等）。,本階段評(píng)估中，應(yīng)詳細(xì)評(píng)估設(shè)計(jì)方案中對(duì)系統(tǒng)面臨威脅的描述、將使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能需求列表。對(duì)設(shè)計(jì)方案的評(píng)估著重以下幾方面： 1設(shè)計(jì)方案是否符合系統(tǒng)建設(shè)規(guī)劃，并得到最高管理者的認(rèn)可； 2

39、設(shè)計(jì)方案是否對(duì)系統(tǒng)建設(shè)后面臨的威脅進(jìn)行了分析。重點(diǎn)分析來(lái)自物理環(huán)境和自然的威脅，以及由于內(nèi)、外部入侵等造成的威脅； 3設(shè)計(jì)方案中的安全需求是否符合規(guī)劃階段的安全目標(biāo)，并基于威脅的分析，制定信息系統(tǒng)的總體安全策略； 4設(shè)計(jì)方案是否采取了一定的手段來(lái)應(yīng)對(duì)系統(tǒng)可能的故障； 5設(shè)計(jì)方案是否對(duì)設(shè)計(jì)原型中的技術(shù)實(shí)現(xiàn)以及人員、組織管理等各方面的脆弱性進(jìn)行評(píng)估，包括設(shè)計(jì)過(guò)程中的管理脆弱性和技術(shù)平臺(tái)固有的脆弱性；,6設(shè)計(jì)方案是否考慮隨著其他系統(tǒng)接入而可能產(chǎn)生的風(fēng)險(xiǎn)； 7系統(tǒng)性能是否滿(mǎn)足用戶(hù)需求，并考慮到峰值的影響，是否在技術(shù)上考慮了滿(mǎn)足系統(tǒng)性能要求的方法； 8應(yīng)用系統(tǒng)（含數(shù)據(jù)庫(kù)）是否根據(jù)業(yè)務(wù)需要進(jìn)行了安全設(shè)計(jì)；

40、 9設(shè)計(jì)方案是否根據(jù)開(kāi)發(fā)的規(guī)模、時(shí)間及系統(tǒng)的特點(diǎn)選擇開(kāi)發(fā)方法，并根據(jù)設(shè)計(jì)開(kāi)發(fā)計(jì)劃及用戶(hù)需求，對(duì)系統(tǒng)涉及的軟件、硬件與網(wǎng)絡(luò)進(jìn)行分析和選型； 10設(shè)計(jì)活動(dòng)中所采用的安全控制措施、安全技術(shù)保障手段對(duì)風(fēng)險(xiǎn)結(jié)果的影響。在安全需求變更和設(shè)計(jì)變更后，也需要重復(fù)這項(xiàng)評(píng)估。 設(shè)計(jì)階段的評(píng)估可以以安全建設(shè)方案評(píng)審的方式進(jìn)行，判定方案所提供的安全功能與信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)的符合性。評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)需求分析報(bào)告或建設(shè)實(shí)施方案中。,8 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估,8.3 實(shí)施階段的信息安全風(fēng)險(xiǎn)評(píng)估 在信息系統(tǒng)實(shí)施階段，按照實(shí)施方案，購(gòu)買(mǎi)和檢測(cè)設(shè)備，開(kāi)發(fā)定制功能，集成、部署、配置和測(cè)試系統(tǒng)，培訓(xùn)人員等。 目

41、的：是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和建立的安全控制措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。,開(kāi)發(fā)與技術(shù)/產(chǎn)品獲取過(guò)程的評(píng)估要點(diǎn)包括： 1法律、政策、適用標(biāo)準(zhǔn)和指導(dǎo)方針：直接或間接影響信息系統(tǒng)安全需求的特定法律；影響信息系統(tǒng)安全需求、產(chǎn)品選擇的政府政策、國(guó)際或國(guó)家標(biāo)準(zhǔn)； 2信息系統(tǒng)的功能需要：安全需求是否有效地支持系統(tǒng)的功能； 3成本效益風(fēng)險(xiǎn) ：是否根據(jù)信息系統(tǒng)的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施； 4評(píng)估保證級(jí)別，是否明確系統(tǒng)建設(shè)后應(yīng)進(jìn)行怎樣的測(cè)試和檢查，從而確定是否滿(mǎn)足項(xiàng)目建設(shè)、實(shí)施規(guī)范的要求。,系統(tǒng)交付實(shí)施過(guò)程的評(píng)估要點(diǎn)包括： 1根據(jù)實(shí)際建設(shè)的系統(tǒng)，詳細(xì)分析資產(chǎn)、面臨的威脅和脆弱性； 2根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對(duì)系統(tǒng)的安全功能進(jìn)行驗(yàn)收測(cè)試；評(píng)價(jià)安全措施能否抵御安全威脅； 3評(píng)估是否建立了