【正文】 詳細(xì)評(píng)估 Detailed Assessment ? 指組織對(duì)信息資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和脆弱性進(jìn)行充分地評(píng)估，根據(jù)全面系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果來確定安全需求及控制方案。 – 這種評(píng)估途徑集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想，全面系統(tǒng)地評(píng)估資產(chǎn)風(fēng)險(xiǎn)，在充分了解信息安全具體情況下，力爭將風(fēng)險(xiǎn)降低到可接受的水平。 – 詳細(xì)評(píng)估的優(yōu)點(diǎn)在于組織可以通過詳細(xì)的風(fēng)險(xiǎn)評(píng)估對(duì)信息安全風(fēng)險(xiǎn)有較全面的認(rèn)識(shí)，能夠準(zhǔn)確確定目前的安全水平和安全需求。 – 詳細(xì)的風(fēng)險(xiǎn)評(píng)估可能是一個(gè)非常耗費(fèi)資源的過程，包括時(shí)間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息資產(chǎn)范圍，以減少工作量。 組合評(píng)估 ? 組合評(píng)估要求首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險(xiǎn)評(píng)估，依據(jù)各信息資產(chǎn)的實(shí)際價(jià)值和可能面臨的風(fēng)險(xiǎn)，劃分出不同的評(píng)估范圍，對(duì)于具有較高重要性的資產(chǎn)部分采取詳細(xì)風(fēng)險(xiǎn)評(píng)估，而其它部分采用基線風(fēng)險(xiǎn)評(píng)估。 – 組合評(píng)估將基線和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被優(yōu)先關(guān)注。 – 組合評(píng)估的缺點(diǎn)是如果初步的高級(jí)風(fēng)險(xiǎn)評(píng)估不夠準(zhǔn)確，可能導(dǎo)致某些本需要詳細(xì)評(píng)估的系統(tǒng)被忽略。 風(fēng)險(xiǎn)控制 ? 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理在風(fēng)險(xiǎn)評(píng)估完成之后的另一項(xiàng)重要工作 ? 任務(wù)是對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論及建議中的各項(xiàng)安全措施進(jìn)行分析評(píng)估，確定優(yōu)先級(jí)以及具體實(shí)施的步驟。 ? 風(fēng)險(xiǎn)控制的目標(biāo)是將安全風(fēng)險(xiǎn)降低到一個(gè)可接受的范圍內(nèi)， – 消除所有風(fēng)險(xiǎn)往往是不切實(shí)際的，甚至也是近乎不可能的， – 安全管理人員有責(zé)任運(yùn)用最小成本來實(shí)現(xiàn)最合適的控制，使?jié)撛诎踩L(fēng)險(xiǎn)對(duì)該組織造成的負(fù)面影響最小化。 風(fēng)險(xiǎn)控制手段 ? 風(fēng)險(xiǎn)承受是指運(yùn)行的信息系統(tǒng)具有良好的健壯性，可以接受潛在的風(fēng)險(xiǎn)并穩(wěn)定運(yùn)行，或采取簡單的安全措施，就可以把風(fēng)險(xiǎn)降低到一個(gè)可接受的級(jí)別。 ? 風(fēng)險(xiǎn)規(guī)避是指通過消除風(fēng)險(xiǎn)出現(xiàn)的必要條件（如識(shí)別出風(fēng)險(xiǎn)后，放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險(xiǎn)。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)等。 安全風(fēng)險(xiǎn)系統(tǒng)判斷過程 風(fēng)險(xiǎn)控制具體做法 ? 當(dāng)存在系統(tǒng)脆弱性時(shí)，減少或修補(bǔ)系統(tǒng)脆弱性，降低脆弱性被攻擊利用的可能性； ? 當(dāng)系統(tǒng)脆弱性可利用時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度； ? 當(dāng)攻擊成本小于攻擊可能的獲利時(shí)，運(yùn)用保護(hù)措施，通過提高攻擊者成本來降低攻擊者的攻擊動(dòng)機(jī)，如加強(qiáng)訪問控制，限制系統(tǒng)用戶的訪問對(duì)象和行為，降低攻擊獲利； ? 當(dāng)風(fēng)險(xiǎn)預(yù)期損失較大時(shí)，優(yōu)化系統(tǒng)設(shè)計(jì)、加強(qiáng)容錯(cuò)容災(zāi)以及運(yùn)用非技術(shù)類保護(hù)措施來限制攻擊的范圍，從而將風(fēng)險(xiǎn)降低到可接受范圍。 具體的風(fēng)險(xiǎn)控制措施 類別 措施 屬性 技術(shù) 類 身份 認(rèn)證技術(shù) 加密技術(shù) 防火墻技術(shù) 入侵 檢測(cè)技術(shù) 系統(tǒng)審計(jì) 蜜罐 、 蜜網(wǎng)技術(shù) 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 檢查性 糾正性 運(yùn)營 類 物理訪問控制，如重要設(shè)備使用授權(quán)等 ； 容災(zāi)、容侵，如系統(tǒng)備份、數(shù)據(jù)備份等； 物理安全檢測(cè)技術(shù)，防盜技術(shù)、防火技術(shù)等； 預(yù)防性 預(yù)防性 檢查性 管理 類 責(zé)任分配 權(quán)限管理 安全培訓(xùn) 人員控制 定期安全審計(jì) 預(yù)防性 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 NIST SP800系列標(biāo)準(zhǔn) ? 第一步 對(duì)實(shí)施控制措施的優(yōu)先級(jí)進(jìn)行排序，分配資源時(shí)，對(duì)標(biāo)有不可接受的高等級(jí)的風(fēng)險(xiǎn)項(xiàng)應(yīng)該給予較高的優(yōu)先級(jí)； ? 第二步 評(píng)估所建議的安全選項(xiàng)，風(fēng)險(xiǎn)評(píng)估結(jié)論中建議的控制措施對(duì)于具體的單位及其信息系統(tǒng)可能不是最適合或最可行的，因此要對(duì)所建議的控制措施的可行性和有效性進(jìn)行分析，選擇出最適當(dāng)?shù)目刂拼胧? ? 第三步 進(jìn)行成本效益分析，為決策管理層提供風(fēng)險(xiǎn)控制措施的成本效益分析報(bào)告； ? 第四步 在成本效益分析的基礎(chǔ)上，確定即將實(shí)施的成本有效性最好的安全措施； ? 第五步 遴選出那些擁有合適的專長和技能，可實(shí)現(xiàn)所選控制措施的人員（內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任； ? 第六步 制定控制措施的實(shí)現(xiàn)計(jì)劃，計(jì)劃內(nèi)容主要包括風(fēng)險(xiǎn)評(píng)估報(bào)告給出的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)級(jí)別以及所建議的安全措施，實(shí)施控制的優(yōu)先級(jí)隊(duì)列、預(yù)期安全控制列表、實(shí)現(xiàn)預(yù)期安全控制時(shí)所需的資源、負(fù)責(zé)人員清單、開始日期、完成日期以及維護(hù)要求等； ? 第七步 分析計(jì)算出殘余風(fēng)險(xiǎn)，風(fēng)險(xiǎn)控制可以降低風(fēng)險(xiǎn)級(jí)別，但不會(huì)根除風(fēng)險(xiǎn)，因此安全措施實(shí)施后仍然存在的殘余風(fēng)險(xiǎn)。 信息安全標(biāo)準(zhǔn) ? 互操作、技術(shù)與工程、信息安全管理與控制三類標(biāo)準(zhǔn) – 技術(shù)與工程標(biāo)準(zhǔn)最多也最詳細(xì)，它們有效地推動(dòng)了信息安全產(chǎn)品的開發(fā)及國際化，如 CC、 SSECMM等標(biāo)準(zhǔn)。 – 互操作標(biāo)準(zhǔn)多數(shù)為所謂的“事實(shí)標(biāo)準(zhǔn)”，這些標(biāo)準(zhǔn)對(duì)信息安全領(lǐng)域的發(fā)展同樣做出了巨大的貢獻(xiàn)，如 RSA、 DES、 CVE等標(biāo)準(zhǔn)。 – 信息安全管理與控制標(biāo)準(zhǔn)的意義在于可以更具體有效地指導(dǎo)信息安全具體實(shí)踐，其中 BS 7799就是這類標(biāo)準(zhǔn)的代表，其卓越成績也已得到業(yè)界共識(shí)。 重要標(biāo)準(zhǔn) ? 1996年 ， 通用標(biāo)準(zhǔn) CC（ Common Criteria）是在 TESEC、 ITSEC、CTCPEC、 FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上演變形成的 。 ? 1996年 ， ISO/IEC TR 13335， 早前 GMITS（ Guidelines for the Management of IT Security），新版稱作 MICTS（ Management of Information and Communications Technology Security）。 ? SSECMM （ System Security Engineering Capability Maturity Model）模型是由美國國家安全局 NSA領(lǐng)導(dǎo)開發(fā)的專門用于系統(tǒng)安全工程的能力成熟度模型。 ? CVE（ Common Vulnerabilities Exposures） ，即通用漏洞及暴露，是 IDnA（ Intrusion Detection and Assessment）的行業(yè)標(biāo)準(zhǔn)。 ? 1995年 ， BS 7799是英國標(biāo)準(zhǔn)協(xié)會(huì) BSI（ British Standards Institute）針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)， 2023年被采納為 ISO/IEC 17799。 ? 1996年 ， COBIT（ Control Objectives for Information and related Technology） ，目前國際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)。 CC ? CC標(biāo)準(zhǔn)是“ The Common Criteria for Information Technology security Evaluation”的縮寫，《信息技術(shù)安全性通用評(píng)估標(biāo)準(zhǔn)》，在美國和歐洲等推出的測(cè)評(píng)準(zhǔn)則上發(fā)展起來的。 CC文檔結(jié)構(gòu) ? CC標(biāo)準(zhǔn)提倡安全工程的思想，通過信息安全產(chǎn)品的開發(fā)、評(píng)價(jià)、使用全過程的各個(gè)環(huán)節(jié)的綜合考慮來確保產(chǎn)品的安全性。 第 1部分“簡介和一般模型”，介紹 CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄部分主要介紹“保護(hù)輪廓”和“安全目標(biāo)”的基本內(nèi)容； 第 2部分“安全功能要求”，這部分以“類、子類、組件”的方式提出安全功能要求，對(duì)每一個(gè)“類”的具體描述除正文之外，在提示性附錄中還有進(jìn)一步的解釋； 第 3部分“安全保證要求”，定義了評(píng)估保證級(jí)別，介紹了“保護(hù)輪廓”和“安全目標(biāo)”的評(píng)估，并同樣以“類、子類、組件”的方式提出