【正文】 依據(jù) 風(fēng)險(xiǎn)分析原理 對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)價(jià)值進(jìn)行賦值 對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值 對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值 根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失 計(jì)算安全事件一旦發(fā)生，對(duì)組織的影響，即風(fēng)險(xiǎn)值 風(fēng)險(xiǎn)描述 ? 風(fēng)險(xiǎn)可以描述成關(guān)于 威脅發(fā)生概率 和發(fā)生時(shí)的 破壞程度 的函數(shù)，用數(shù)學(xué)符號(hào)描述如下： ? 由于某組織部門可能存在很多資產(chǎn)和相應(yīng)的脆弱性，故該組織的資產(chǎn)總風(fēng)險(xiǎn) 可以描述如下： ? 上述關(guān)于風(fēng)險(xiǎn)的數(shù)學(xué)表達(dá)式，只是給出了風(fēng)險(xiǎn)評(píng)估的概念性描述。 )()(),( iiiiii TFTPVTAR ??)()(),(11iniinii TFTPVTARR ??? ????總因?yàn)榇嬖谕{ Ti而使資產(chǎn) Ai具有的風(fēng)險(xiǎn)， Ti為針對(duì)資產(chǎn) Ai的脆弱性 Vi的威脅 威脅 Ti發(fā)生的概率 威脅 Ti發(fā)生時(shí)的破壞程度 風(fēng)險(xiǎn)評(píng)估的任務(wù) ① 識(shí)別組織面臨的各種風(fēng)險(xiǎn)，了解總體的安全狀況； ② 分析計(jì)算風(fēng)險(xiǎn)概率，預(yù)估可能帶來(lái)的負(fù)面影響； ③ 評(píng)價(jià)組織承受風(fēng)險(xiǎn)的能力，確定各項(xiàng)安全建設(shè)的優(yōu)先等級(jí)； ④ 推薦風(fēng)險(xiǎn)控制策略，為安全需求提供依據(jù)。 ? 風(fēng)險(xiǎn)評(píng)估的操作范圍可以是 整個(gè)組織 ，也可以是組織中的 某一部門 ，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)等。 常見的風(fēng)險(xiǎn)評(píng)估方法 ? 基線評(píng)估（ Baseline Assessment） : 基本風(fēng)險(xiǎn)評(píng)估 ? 就是有關(guān)組織根據(jù)其實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對(duì)信息系統(tǒng)進(jìn)行安全基線檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，計(jì)算之間的差距），得出基本的安全需求，給出風(fēng)險(xiǎn)控制方案。 ? 基線 ：就是在諸多標(biāo)準(zhǔn)規(guī)范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環(huán)境下的信息系統(tǒng)的基本安全需求，使信息系統(tǒng)達(dá)到一定的安全防護(hù)水平。 ? 選擇安全基線 ? 基線評(píng)估（ Baseline Assessment） : 基本風(fēng)險(xiǎn)評(píng)估 ?優(yōu)點(diǎn) ： ? 需要的資源少、周期短、操作簡(jiǎn)單，是經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。 ? 同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費(fèi)很大的精力。 ?缺點(diǎn) ： ? 基線水準(zhǔn)的高低難以設(shè)定，過高導(dǎo)致資源浪費(fèi)和限制過度，過低可能難以達(dá)到所需的安全要求。 ? 管理與安全相關(guān)的變更可能有困難。 詳細(xì)評(píng)估 Detailed Assessment ? 指組織對(duì)信息資產(chǎn)進(jìn)行 詳細(xì)識(shí)別和評(píng)價(jià) ，對(duì)可能引起風(fēng)險(xiǎn)的威脅和脆弱性進(jìn)行 充分地評(píng)估 ，根據(jù)全面系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)確定安全需求及控制方案。 ? 具體程序： ? 對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行測(cè)量與賦值 ? 使用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法完成風(fēng)險(xiǎn)計(jì)算和測(cè)量 ? 優(yōu)點(diǎn)： ? 可以通過詳細(xì)的風(fēng)險(xiǎn)評(píng)估對(duì)信息安全風(fēng)險(xiǎn)有較全面的認(rèn)識(shí)，能夠準(zhǔn)確確定目前的安全水平和安全需求 ? 可從詳細(xì)的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使與組織變革相關(guān)的安全管理受益 ? 缺點(diǎn)： 非常耗費(fèi)時(shí)間、精力和技術(shù)的過程，組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息資產(chǎn)范圍，以減少工作量。 組合評(píng)估 ? 組合評(píng)估要求首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險(xiǎn)評(píng)估，依據(jù)各信息資產(chǎn)的實(shí)際價(jià)值和可能面臨的風(fēng)險(xiǎn)，劃分出 不同的評(píng)估范圍 ，對(duì)于具有較高重要性的資產(chǎn)部分采取 詳細(xì)風(fēng)險(xiǎn)評(píng)估 ，而其它部分采用 基線風(fēng)險(xiǎn)評(píng)估 。 ? 優(yōu)點(diǎn)： ? 將兩種評(píng)估的優(yōu)勢(shì)結(jié)合起來(lái)，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果 ? 組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被優(yōu)先關(guān)注 ? 缺點(diǎn) ：如果初步的高級(jí)風(fēng)險(xiǎn)評(píng)估不夠準(zhǔn)確，可能導(dǎo)致某些本需要詳細(xì)評(píng)估的系統(tǒng)被忽略。 風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果 ? 資產(chǎn)識(shí)別表 ? 反映了資產(chǎn)名稱、描述范圍、重要性程度、部門、所屬業(yè)務(wù)流程等 風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果 ? 重要資產(chǎn)列表 ? 反映了資產(chǎn)名稱、描述范圍、機(jī)密性、可用性、完整性評(píng)分等級(jí)、資產(chǎn)與信息安全系數(shù)關(guān)系、所屬業(yè)務(wù)流程 風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果 ? 威脅列表 ? 反映了資產(chǎn)名稱、面臨的威脅類、具體可能的威脅 ? 脆弱性識(shí)別表 ? 反映了脆弱性分類、脆弱性詳細(xì)描述、嚴(yán)重程度、與威脅的對(duì)應(yīng)關(guān)系、可能影響的資產(chǎn) 風(fēng)險(xiǎn)評(píng)估的輸出結(jié)果 ? 資產(chǎn)風(fēng)險(xiǎn)表 ? 反映了資產(chǎn)名稱、面臨的威脅、可能被威脅利用的脆弱性、威脅發(fā)生的可能性、威脅的影響程度 ? 風(fēng)險(xiǎn)處理計(jì)劃 ? 反映了資產(chǎn)名稱、威脅 /薄弱點(diǎn)、風(fēng)險(xiǎn)系數(shù)、處理措施、優(yōu)先處理等級(jí)等 風(fēng)險(xiǎn)控制 ? 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理在風(fēng)險(xiǎn)評(píng)估完成之后的另一項(xiàng)重要工作 ? 風(fēng)險(xiǎn)控制任務(wù) ：對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論及建議中的各項(xiàng)安全措施進(jìn)行分析評(píng)估，確定優(yōu)先級(jí)以及具體實(shí)施的步驟。 ? 風(fēng)險(xiǎn)控制的目標(biāo) ：是將安全風(fēng)險(xiǎn)降低到一個(gè)可接受的范圍內(nèi) ? 消除所有風(fēng)險(xiǎn)往往是不切實(shí)際、近乎不可能的 ? 安全管理人員有責(zé)任運(yùn)用 最小成本 來(lái)實(shí)現(xiàn) 最合適 的控制，使?jié)撛诎踩L(fēng)險(xiǎn)對(duì)該組織造成的負(fù)面影響 最小化 。 實(shí)施風(fēng)險(xiǎn)控制 中 風(fēng)險(xiǎn)確認(rèn)與接收 ? 為確保組織的信息安全，殘余風(fēng)險(xiǎn)應(yīng)在可接受范圍內(nèi) 風(fēng)險(xiǎn)控制手段 ? 風(fēng)險(xiǎn)承受 是指運(yùn)行的信息系統(tǒng)具有良好的健壯性，可以接受潛在的風(fēng)險(xiǎn)并穩(wěn)定運(yùn)行，或采取簡(jiǎn)單的安全措施，就可以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別。 ? 風(fēng)險(xiǎn)規(guī)避 是指通過消除風(fēng)險(xiǎn)出現(xiàn)的必要條件（如識(shí)別出風(fēng)險(xiǎn)后，放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來(lái)規(guī)避風(fēng)險(xiǎn)。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移 是指通過使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買保險(xiǎn)等。 安全風(fēng)險(xiǎn)系統(tǒng)判斷過程 風(fēng)險(xiǎn)控制具體做法 ? 當(dāng)存在系統(tǒng)脆弱性時(shí)， 減少或修補(bǔ)系統(tǒng)脆弱性 ，降低脆弱性被攻擊利用的可能性； ? 當(dāng)系統(tǒng)脆弱性可利用時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制等手段， 防止脆弱性被利用或降低被利用后的危害程度 ； ? 當(dāng)攻擊成本小于攻擊可能的獲利時(shí)，運(yùn)用保護(hù)措施，通過提高攻擊者成本 來(lái)降低攻擊者的攻擊動(dòng)機(jī)，如加強(qiáng)訪問控制，限制系統(tǒng)用戶的訪問對(duì)象和行為，降低攻擊獲利； ? 當(dāng)風(fēng)險(xiǎn)預(yù)期損失較大時(shí)，優(yōu)化系統(tǒng)設(shè)計(jì)、加強(qiáng)容錯(cuò)容災(zāi)以及運(yùn)用非技術(shù)類保護(hù)措施來(lái)限制攻擊的范圍，從而 將風(fēng)險(xiǎn)降低到可接受范圍 。 具體的風(fēng)險(xiǎn)控制措施 類別 措施 屬性 技術(shù)類 身份認(rèn)證技術(shù) 加密技術(shù) 防火墻技術(shù)