【正文】 詳細(xì)評估 Detailed Assessment ? 指組織對信息資產(chǎn)進(jìn)行詳細(xì)識別和評價，對可能引起風(fēng)險的威脅和脆弱性進(jìn)行充分地評估，根據(jù)全面系統(tǒng)的風(fēng)險評估結(jié)果來確定安全需求及控制方案。 – 這種評估途徑集中體現(xiàn)了風(fēng)險管理的思想，全面系統(tǒng)地評估資產(chǎn)風(fēng)險，在充分了解信息安全具體情況下，力爭將風(fēng)險降低到可接受的水平。 – 詳細(xì)評估的優(yōu)點在于組織可以通過詳細(xì)的風(fēng)險評估對信息安全風(fēng)險有較全面的認(rèn)識，能夠準(zhǔn)確確定目前的安全水平和安全需求。 – 詳細(xì)的風(fēng)險評估可能是一個非常耗費資源的過程，包括時間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評估的信息資產(chǎn)范圍，以減少工作量。 組合評估 ? 組合評估要求首先對所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險評估，依據(jù)各信息資產(chǎn)的實際價值和可能面臨的風(fēng)險，劃分出不同的評估范圍，對于具有較高重要性的資產(chǎn)部分采取詳細(xì)風(fēng)險評估，而其它部分采用基線風(fēng)險評估。 – 組合評估將基線和詳細(xì)風(fēng)險評估的優(yōu)勢結(jié)合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結(jié)果，而且組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險的信息系統(tǒng)能夠被優(yōu)先關(guān)注。 – 組合評估的缺點是如果初步的高級風(fēng)險評估不夠準(zhǔn)確，可能導(dǎo)致某些本需要詳細(xì)評估的系統(tǒng)被忽略。 風(fēng)險控制 ? 風(fēng)險控制是信息安全風(fēng)險管理在風(fēng)險評估完成之后的另一項重要工作 ? 任務(wù)是對風(fēng)險評估結(jié)論及建議中的各項安全措施進(jìn)行分析評估，確定優(yōu)先級以及具體實施的步驟。 ? 風(fēng)險控制的目標(biāo)是將安全風(fēng)險降低到一個可接受的范圍內(nèi)， – 消除所有風(fēng)險往往是不切實際的，甚至也是近乎不可能的， – 安全管理人員有責(zé)任運用最小成本來實現(xiàn)最合適的控制，使?jié)撛诎踩L(fēng)險對該組織造成的負(fù)面影響最小化。 風(fēng)險控制手段 ? 風(fēng)險承受是指運行的信息系統(tǒng)具有良好的健壯性，可以接受潛在的風(fēng)險并穩(wěn)定運行，或采取簡單的安全措施，就可以把風(fēng)險降低到一個可接受的級別。 ? 風(fēng)險規(guī)避是指通過消除風(fēng)險出現(xiàn)的必要條件（如識別出風(fēng)險后，放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng)）來規(guī)避風(fēng)險。 ? 風(fēng)險轉(zhuǎn)移是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險等。 安全風(fēng)險系統(tǒng)判斷過程 風(fēng)險控制具體做法 ? 當(dāng)存在系統(tǒng)脆弱性時，減少或修補(bǔ)系統(tǒng)脆弱性，降低脆弱性被攻擊利用的可能性； ? 當(dāng)系統(tǒng)脆弱性可利用時，運用層次化保護(hù)、結(jié)構(gòu)化設(shè)計以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度； ? 當(dāng)攻擊成本小于攻擊可能的獲利時，運用保護(hù)措施，通過提高攻擊者成本來降低攻擊者的攻擊動機(jī)，如加強(qiáng)訪問控制，限制系統(tǒng)用戶的訪問對象和行為，降低攻擊獲利； ? 當(dāng)風(fēng)險預(yù)期損失較大時，優(yōu)化系統(tǒng)設(shè)計、加強(qiáng)容錯容災(zāi)以及運用非技術(shù)類保護(hù)措施來限制攻擊的范圍，從而將風(fēng)險降低到可接受范圍。 具體的風(fēng)險控制措施 類別 措施 屬性 技術(shù) 類 身份 認(rèn)證技術(shù) 加密技術(shù) 防火墻技術(shù) 入侵 檢測技術(shù) 系統(tǒng)審計 蜜罐 、 蜜網(wǎng)技術(shù) 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 檢查性 糾正性 運營 類 物理訪問控制，如重要設(shè)備使用授權(quán)等 ； 容災(zāi)、容侵，如系統(tǒng)備份、數(shù)據(jù)備份等； 物理安全檢測技術(shù)，防盜技術(shù)、防火技術(shù)等； 預(yù)防性 預(yù)防性 檢查性 管理 類 責(zé)任分配 權(quán)限管理 安全培訓(xùn) 人員控制 定期安全審計 預(yù)防性 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 NIST SP800系列標(biāo)準(zhǔn) ? 第一步 對實施控制措施的優(yōu)先級進(jìn)行排序，分配資源時，對標(biāo)有不可接受的高等級的風(fēng)險項應(yīng)該給予較高的優(yōu)先級； ? 第二步 評估所建議的安全選項，風(fēng)險評估結(jié)論中建議的控制措施對于具體的單位及其信息系統(tǒng)可能不是最適合或最可行的，因此要對所建議的控制措施的可行性和有效性進(jìn)行分析，選擇出最適當(dāng)?shù)目刂拼胧? ? 第三步 進(jìn)行成本效益分析，為決策管理層提供風(fēng)險控制措施的成本效益分析報告； ? 第四步 在成本效益分析的基礎(chǔ)上，確定即將實施的成本有效性最好的安全措施； ? 第五步 遴選出那些擁有合適的專長和技能，可實現(xiàn)所選控制措施的人員（內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任； ? 第六步 制定控制措施的實現(xiàn)計劃，計劃內(nèi)容主要包括風(fēng)險評估報告給出的風(fēng)險、風(fēng)險級別以及所建議的安全措施，實施控制的優(yōu)先級隊列、預(yù)期安全控制列表、實現(xiàn)預(yù)期安全控制時所需的資源、負(fù)責(zé)人員清單、開始日期、完成日期以及維護(hù)要求等； ? 第七步 分析計算出殘余風(fēng)險，風(fēng)險控制可以降低風(fēng)險級別，但不會根除風(fēng)險，因此安全措施實施后仍然存在的殘余風(fēng)險。 信息安全標(biāo)準(zhǔn) ? 互操作、技術(shù)與工程、信息安全管理與控制三類標(biāo)準(zhǔn) – 技術(shù)與工程標(biāo)準(zhǔn)最多也最詳細(xì)，它們有效地推動了信息安全產(chǎn)品的開發(fā)及國際化，如 CC、 SSECMM等標(biāo)準(zhǔn)。 – 互操作標(biāo)準(zhǔn)多數(shù)為所謂的“事實標(biāo)準(zhǔn)”，這些標(biāo)準(zhǔn)對信息安全領(lǐng)域的發(fā)展同樣做出了巨大的貢獻(xiàn)，如 RSA、 DES、 CVE等標(biāo)準(zhǔn)。 – 信息安全管理與控制標(biāo)準(zhǔn)的意義在于可以更具體有效地指導(dǎo)信息安全具體實踐，其中 BS 7799就是這類標(biāo)準(zhǔn)的代表，其卓越成績也已得到業(yè)界共識。 重要標(biāo)準(zhǔn) ? 1996年 ， 通用標(biāo)準(zhǔn) CC（ Common Criteria）是在 TESEC、 ITSEC、CTCPEC、 FC等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上演變形成的 。 ? 1996年 ， ISO/IEC TR 13335， 早前 GMITS（ Guidelines for the Management of IT Security），新版稱作 MICTS（ Management of Information and Communications Technology Security）。 ? SSECMM （ System Security Engineering Capability Maturity Model）模型是由美國國家安全局 NSA領(lǐng)導(dǎo)開發(fā)的專門用于系統(tǒng)安全工程的能力成熟度模型。 ? CVE（ Common Vulnerabilities Exposures） ，即通用漏洞及暴露，是 IDnA（ Intrusion Detection and Assessment）的行業(yè)標(biāo)準(zhǔn)。 ? 1995年 ， BS 7799是英國標(biāo)準(zhǔn)協(xié)會 BSI（ British Standards Institute）針對信息安全管理而制定的標(biāo)準(zhǔn)， 2023年被采納為 ISO/IEC 17799。 ? 1996年 ， COBIT（ Control Objectives for Information and related Technology） ，目前國際上通用的信息系統(tǒng)審計標(biāo)準(zhǔn)。 CC ? CC標(biāo)準(zhǔn)是“ The Common Criteria for Information Technology security Evaluation”的縮寫，《信息技術(shù)安全性通用評估標(biāo)準(zhǔn)》，在美國和歐洲等推出的測評準(zhǔn)則上發(fā)展起來的。 CC文檔結(jié)構(gòu) ? CC標(biāo)準(zhǔn)提倡安全工程的思想，通過信息安全產(chǎn)品的開發(fā)、評價、使用全過程的各個環(huán)節(jié)的綜合考慮來確保產(chǎn)品的安全性。 第 1部分“簡介和一般模型”，介紹 CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹“保護(hù)輪廓”和“安全目標(biāo)”的基本內(nèi)容； 第 2部分“安全功能要求”，這部分以“類、子類、組件”的方式提出安全功能要求，對每一個“類”的具體描述除正文之外，在提示性附錄中還有進(jìn)一步的解釋； 第 3部分“安全保證要求”，定義了評估保證級別，介紹了“保護(hù)輪廓”和“安全目標(biāo)”的評估，并同樣以“類、子類、組件”的方式提出