【正文】 理信息的直接或間接攻擊。也可能是偶發(fā)事件。 根據(jù)威脅源的不同，威脅可分為：自然威脅、環(huán)境威脅、系統(tǒng)威脅、人員威脅。風(fēng)險(xiǎn)評(píng)估概述威 脅 源 常 見 表 現(xiàn) 形式自然威 脅地震 、 颶風(fēng) 、火山 、洪水、海 嘯 、泥石流、暴 風(fēng) 雪 、雪崩 、雷電 、其他環(huán) 境威 脅火災(zāi) 、 戰(zhàn) 爭(zhēng)、重大疫情 、恐怖主 義 、供 電 故障、供水故障 、其他公共 設(shè) 施中斷 、危 險(xiǎn) 物 質(zhì) 泄漏、重大事故（如交通工具碰撞等）、 污 染、溫度或濕度、其他系 統(tǒng) 威 脅網(wǎng) 絡(luò) 故障、硬件故障 、 軟 件故障 、 惡 意代 碼 、存 儲(chǔ) 介 質(zhì) 的老化 、其他外部人 員網(wǎng) 絡(luò) 竊聽、拒 絕 服 務(wù) 攻 擊 、用 戶 身份仿冒、系 統(tǒng) 入侵、盜竊、物理破壞、信息 篡 改、泄密、抵 賴 、其他。內(nèi)部人 員未 經(jīng) 授 權(quán) 信息 發(fā) 布、未 經(jīng) 授 權(quán) 的信息 讀 寫、抵 賴 、 電 子攻 擊 （如利用系 統(tǒng) 漏洞提升 權(quán) 限）、物理破壞（系 統(tǒng) 或存 儲(chǔ) 介 質(zhì)損 壞）、盜竊、 越 權(quán) 或 濫 用 、 誤 操作風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 脆弱點(diǎn)是一個(gè)或一組資產(chǎn)所具有的，可能被威脅利用對(duì)資產(chǎn)造成損害的 薄弱環(huán)節(jié) 。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機(jī)制、系統(tǒng)機(jī)房任何人都可進(jìn)入等等。 脆弱點(diǎn)是資產(chǎn) 本身存在 的，如果沒有相應(yīng)的威脅出現(xiàn)，單純的脆弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。另一方面如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。即： 威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害 。 資產(chǎn)的脆弱點(diǎn)具有 隱蔽性 ，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識(shí)別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個(gè)脆弱點(diǎn)。 風(fēng)險(xiǎn)評(píng)估概述脆弱點(diǎn)主要表現(xiàn)在從技術(shù)和管理兩個(gè)方面 技術(shù)脆弱點(diǎn) 是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行時(shí)在技術(shù)方面存在的缺陷或弱點(diǎn)。 管理脆弱點(diǎn) 則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時(shí)升級(jí)操作系統(tǒng)或其他應(yīng)用軟件存在拒絕服務(wù)攻擊漏洞數(shù)據(jù)完整性保護(hù)不夠完善數(shù)據(jù)庫訪問控制機(jī)制不嚴(yán)格都屬于技術(shù)脆弱點(diǎn)系統(tǒng)機(jī)房鑰匙管理不嚴(yán)、人員職責(zé)不清、未及時(shí)注銷離職人員對(duì)信息系統(tǒng)的訪問權(quán)限等風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 根據(jù) ISO/IEC 133351，信息安全風(fēng)險(xiǎn)是指威脅利用一個(gè)或一組資產(chǎn)的脆弱點(diǎn)導(dǎo)致組織受損的潛在性，并以威脅利用脆弱點(diǎn)造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。 資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，是信息安全風(fēng)險(xiǎn)存在的基本條件，缺一不可。沒有資產(chǎn)，威脅就沒有攻擊或損害的對(duì)象；沒有威脅，盡管資產(chǎn)很有價(jià)值，脆弱點(diǎn)很嚴(yán)重，安全事件也不會(huì)發(fā)生；系統(tǒng)沒有脆弱點(diǎn)，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會(huì)發(fā)生。 風(fēng)險(xiǎn)可以形式化的表示為： R=(A,T,V)，其中 R表示風(fēng)險(xiǎn)、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱點(diǎn)。 風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 5. 影響影響是威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、 直接的資金損失等；間接的損失如公司信用、形象受損、市場(chǎng)分額損失、法律責(zé)任等。在信息安全領(lǐng)域，直接的損失往往容易估計(jì)且損失較小，間接的損失難易估計(jì)且常常比直接損失更為嚴(yán)重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價(jià)值、修復(fù)所需的人力物力等；而間接損失則較為復(fù)雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務(wù)，導(dǎo)致公司業(yè)務(wù)量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務(wù)，其間接損失更為巨大。 風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 安全措施是指為保護(hù)資產(chǎn)、抵御威脅、減少脆弱點(diǎn)、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測(cè)及響應(yīng)而采取的各種實(shí)踐、規(guī)程和機(jī)制的總稱。 有效的安全通常要求不同安全措施的結(jié)合以為資產(chǎn)提供多級(jí)的安全。例如，應(yīng)用于計(jì)算機(jī)的訪問控制機(jī)制應(yīng)被審計(jì)控制、人員管理、培訓(xùn)和物理安全所支持。風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 安全措施可能實(shí)現(xiàn)一個(gè)或多個(gè)下列功能：保護(hù)、震懾、檢測(cè)、限制、糾正、恢復(fù)、監(jiān)視、安全意識(shí)等。 同功能的安全措施需要不同的成本，同時(shí)能夠?qū)崿F(xiàn)多個(gè)功能的安全措施通常具有更高的成本有效性。 安全措施的實(shí)施領(lǐng)域包括：物理環(huán)境、技術(shù)領(lǐng)域、人員、管理等，可用的安全措施包括：訪問控制機(jī)制、防病毒軟件、加密機(jī)制、數(shù)字簽名、防火墻、監(jiān)視與分析工具、冗余電力供應(yīng)、信息備份等。 風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素 安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。 安全需求可體現(xiàn)在技術(shù)、組織管理等多個(gè)方面。如關(guān)鍵數(shù)據(jù)或系統(tǒng)的的機(jī)密性、可用性、完整性需求、法律法規(guī)的符合性需求、人員安全意識(shí)培訓(xùn)需求、信息系統(tǒng)運(yùn)行實(shí)時(shí)監(jiān)控的需求等。 風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估要素相互關(guān)系 資產(chǎn)、威脅、脆弱點(diǎn)是信息安全風(fēng)險(xiǎn)的基本要素，與信息安全風(fēng)險(xiǎn)有關(guān)的要素還包括：安全措施、安全需求、影響等。 ISO/IEC 133351對(duì)它們之間的關(guān)系描述如圖所示風(fēng)險(xiǎn)評(píng)估概述 我國的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 對(duì) ISO/IEC 133351提出風(fēng)險(xiǎn)要素關(guān)系模型進(jìn)行了擴(kuò)展。風(fēng)險(xiǎn)評(píng)估概述 圖 中方框部分的內(nèi)容 為風(fēng)險(xiǎn)評(píng) 估的基本要素 。風(fēng)險(xiǎn)評(píng)估概述橢圓 部分的內(nèi)容是與基本要素相關(guān)的屬性。風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系： 業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn)；資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴度越高，資產(chǎn)價(jià)值就越大；資產(chǎn)價(jià)值越大則其面臨的風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件；弱點(diǎn)越多，威脅利用脆弱點(diǎn)導(dǎo)致安全事件的可能性越大；脆弱點(diǎn)是未被滿足的安全需求，威脅要通過利用脆弱點(diǎn)來危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；風(fēng)險(xiǎn)評(píng)估概述安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還會(huì)有殘留下來的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)來自于安全措施可能不當(dāng)或無效 ,在以后需要繼續(xù)控制，而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的；殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件 。風(fēng)險(xiǎn)評(píng)估概述為什么要做風(fēng)險(xiǎn)評(píng)估 安 全源于 風(fēng)險(xiǎn) 。 在信息化建 設(shè) 中，建 設(shè) 與運(yùn) 營(yíng) 的網(wǎng) 絡(luò) 與信息系統(tǒng) 由于可能存在的系 統(tǒng)設(shè)計(jì) 缺陷、 隱 含于 軟 硬件設(shè)備 的缺陷、系 統(tǒng) 集成 時(shí)帶 來的缺陷，以及可能存在的某些管理薄弱 環(huán)節(jié) ，尤其當(dāng)網(wǎng) 絡(luò) 與信息系統(tǒng) 中 擁 有極 為 重要的信息 資產(chǎn)時(shí) ，都將使得面臨 復(fù) 雜環(huán) 境的網(wǎng) 絡(luò) 與信息系 統(tǒng) 潛在著若干不同程度的安全 風(fēng)險(xiǎn) 。 風(fēng)險(xiǎn)評(píng)估概述 風(fēng)險(xiǎn)評(píng) 估可以不斷深入地 發(fā)現(xiàn) 系 統(tǒng) 建 設(shè) 中的安全 隱 患， 采取或完善更加 經(jīng)濟(jì) 有效的安全保障措施，來 消除安全建 設(shè) 中的盲目 樂觀 或盲目恐懼，提出有 針對(duì) 性的從 實(shí)際 出 發(fā) 的解決方法，提高系 統(tǒng) 安全的科學(xué)管理水平， 進(jìn) 而全面提升網(wǎng) 絡(luò) 與信息系 統(tǒng) 的安全保障能力。風(fēng)險(xiǎn)評(píng)估策略信息安全風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估策略 不同的組織有不同的安全需求和安全戰(zhàn)略，風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織，也可以是組織中的某一部門，或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。 影響風(fēng)險(xiǎn)評(píng)估進(jìn)展的某些因素，包括評(píng)估時(shí)間、力度、展開幅度和深度，都應(yīng)與組織的環(huán)境和安全要求相符合。風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)評(píng)估策略1. 基線風(fēng)險(xiǎn)評(píng)估 基線風(fēng)險(xiǎn)評(píng)估要求組織根據(jù)自己的實(shí)際情況（所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等），對(duì)信息系統(tǒng)進(jìn)行基線安全檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距），得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)評(píng)估策略1. 基線風(fēng)險(xiǎn)評(píng)估 可以根據(jù)以下資源來選擇安全基線 ： (1) 國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)； (2)行業(yè)標(biāo)準(zhǔn)或推薦； (3)來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。 風(fēng)險(xiǎn)評(píng)估策略基線評(píng)估的優(yōu)點(diǎn)是 ： (1)風(fēng)險(xiǎn)分析和每個(gè)防護(hù)措施的實(shí)施管理只需要最少數(shù)量的資源，并且在選擇防護(hù)措施時(shí)花費(fèi)更少的時(shí)間和努力； (2)如果組織的大量系統(tǒng)都在普通環(huán)境下運(yùn)行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護(hù)措施而不需要太多的努力。 基線評(píng)估的的缺點(diǎn)是： (1)基線水平難以設(shè)置，如果基線水平設(shè)置的過高，有些 IT系統(tǒng)可能會(huì)有過高的安全等級(jí)；如果基線水平設(shè)置的過低，有些 IT系統(tǒng)可能會(huì)缺少安全，導(dǎo)致更高層次的暴露； (2)風(fēng)險(xiǎn)評(píng)估不全面、不透徹，且不易處理變更。風(fēng)險(xiǎn)評(píng)估策略綜合評(píng)價(jià) 雖然當(dāng)安全基線已建立的情況下，基線評(píng)估成本低、易于實(shí)施。但由于不同組織信息系統(tǒng)千差萬別，信息系統(tǒng)的威脅時(shí)刻都在變化，很難制定全面的、具有廣泛適用性的安全基線，而組織自行建立安全基線成本很高。 目前世界上還沒有全面、統(tǒng)一的、能符合組織目標(biāo)的、值得信賴的安全基線，因而基線評(píng)估方法開展并不普遍。 風(fēng)險(xiǎn)評(píng)估策略2 詳細(xì)風(fēng)險(xiǎn)評(píng)估 詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)、威脅和脆弱點(diǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，并對(duì)可能引起風(fēng)險(xiǎn)的水平進(jìn)行評(píng)估，這通過不期望事件的潛在負(fù)面業(yè)務(wù)影響評(píng)估和他們發(fā)生的可能性來完成。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來識(shí)別和選擇安全措施，將風(fēng)險(xiǎn)降低到可接受的水平。 風(fēng)險(xiǎn)評(píng)估策略詳細(xì)風(fēng)險(xiǎn)評(píng)估方法的優(yōu)點(diǎn)是： 有可能為所有系統(tǒng)識(shí)別出適當(dāng)?shù)陌踩胧? 詳細(xì)分析的結(jié)果可用于安全變更管理。 這種方法的缺點(diǎn)是需要更多的時(shí)間、努力和專業(yè)知識(shí)。目前，世界各國推出的風(fēng)險(xiǎn)評(píng)估方法多屬于這一類，如 AS/NZS 4360、 NISTSP800 OCTAVE以及我國的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 中所提供的方法。風(fēng)險(xiǎn)評(píng)估策略3 綜合風(fēng)險(xiǎn)評(píng)估 基線風(fēng)險(xiǎn)評(píng)估耗費(fèi)資源少、周期短、操作簡(jiǎn)單，但不夠準(zhǔn)確，適合一般環(huán)境的評(píng)估；詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)確而細(xì)致，但耗費(fèi)資源較多，適合嚴(yán)格限定邊界的較小范圍內(nèi)的評(píng)估。因而實(shí)踐當(dāng)中，組織多是采用二者結(jié)合的綜合評(píng)估方式。風(fēng)險(xiǎn)評(píng)估策略ISO/IEC 133353提出了綜合風(fēng)險(xiǎn)評(píng)估方法，其實(shí)施流程如圖所示：風(fēng)險(xiǎn)評(píng)估策略 綜合評(píng)估方法將基線和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且，組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。當(dāng)然，綜合評(píng)估也有缺點(diǎn)：如果初步的高級(jí)風(fēng)險(xiǎn)分析不夠準(zhǔn)確，某些本來