【正文】 COBIT ? COBIT 是由 IT治理協(xié)會(huì)發(fā)布的 IT治理框架和支持工具集。目前，ISACA正在推出新 COBIT 5框架的支持模塊，使用術(shù)語(yǔ)“管理過(guò)程”代替了原來(lái)的“控制措施”。 ? ITIL ? 信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ ITIL）第 3版包括五本書，涵蓋了服務(wù)管理的整個(gè)生命周期。 ? ISO/IEC 27000 ? ISO/IEC 27000系列標(biāo)準(zhǔn)提供了整個(gè)信息安全管理體系環(huán)境下的信息安全管理、風(fēng)險(xiǎn)和控制的最佳實(shí)踐推薦。 ? ISF ? 信息安全論壇（ ISF） 最佳實(shí)踐標(biāo)準(zhǔn)給出了實(shí)踐指南和解決方案來(lái)處理目前影響業(yè)務(wù)信息的大范圍安全挑戰(zhàn)。 安全管理（ Security Management） ? 信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 ? 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。 ? 人們常說(shuō)， 三分技術(shù)，七分管理 ，可見(jiàn)管理對(duì)信息安全的重要性。 ? 信息安全管理（ Information Security Management）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，其主要活動(dòng)包括：識(shí)別信息資產(chǎn)及相關(guān)風(fēng)險(xiǎn)，采取恰當(dāng)?shù)牟呗院涂刂拼胧┮韵麥p風(fēng)險(xiǎn)，監(jiān)督控制措施有效性，提升人員安全意識(shí)等。 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來(lái)確定控制目標(biāo)與控制措施。 實(shí)施所選的安全控制措施。提升人員安全意識(shí)。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。 信息安全管理模型 風(fēng)險(xiǎn)管理（ Risk Management） ? 在信息安全領(lǐng)域， 風(fēng)險(xiǎn)（ Risk） 就是指信息資產(chǎn)遭受到損壞并給企業(yè)帶來(lái)負(fù)面影響的潛在可能性。 ? 風(fēng)險(xiǎn)管理（ Risk Management） 就是識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、采取措施將風(fēng)險(xiǎn)減少到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過(guò)程。風(fēng)險(xiǎn)管理是信息安全管理的核心內(nèi)容。 風(fēng)險(xiǎn)管理相關(guān)要素 ? 資產(chǎn)（ Asset） —— 對(duì)組織具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。 ? 威脅（ Threat） —— 可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識(shí)別出威脅源（ Threst source）或威脅代理（ Threst agent）。 ? 弱點(diǎn)（ Vulnerability） —— 也被稱作漏洞或脆弱性，及資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。 ? 風(fēng)險(xiǎn)（ Risk） —— 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來(lái)?yè)p害的潛在可能性。 ? 可能性（ Likelihood） —— 對(duì)威脅發(fā)生幾率（ Probability）或頻率（ Freqiency）的定性描述。 ? 影響（ Impact） —— 后果（ Consequence），意外事件發(fā)生給組織帶來(lái)的直接或間接的損失或傷害。 ? 安全措施（ Safeguard） —— 控制（ control）或?qū)Σ撸?countermeasure），即通過(guò)防范威脅、減少弱點(diǎn)、限制意外事件帶來(lái)影響等途徑來(lái)消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 ? 殘留 風(fēng)險(xiǎn)（ Residl Risk） —— 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。 匹配以下的術(shù)語(yǔ)和定義 ? 暴露 ? 可能性 ? 威脅 ? 防護(hù) 措施 ? 對(duì)策 ? 資產(chǎn) ? 攻擊 /利用 ? 總 風(fēng)險(xiǎn) ? 脆弱性 ? 威脅 來(lái)源 /威脅源 ? 控制 1. 對(duì)組織實(shí)現(xiàn)方向和目標(biāo)有價(jià)值的東西。 2. 有可能 對(duì) IT系統(tǒng)產(chǎn)生損害的任何環(huán)境或事件。 3. 信息或信息系統(tǒng)的潛在危險(xiǎn)。 4. 某個(gè) 威脅導(dǎo)致?lián)p失的負(fù)面事件的影響，或某次攻擊所導(dǎo)致?lián)p失的數(shù)量。 5. 在 系統(tǒng)安全程序、設(shè)計(jì)、實(shí)施或內(nèi)部控制方面的缺陷或弱項(xiàng)，可能被執(zhí)行（無(wú)意的或有意的）導(dǎo)致安全違規(guī)或違反系統(tǒng)的安全策略。 6. 潛在脆弱性在相關(guān)威脅環(huán)境中利用的概率或幾率。 7. 企圖導(dǎo)致?lián)p害的活動(dòng)。威脅源利用信息系統(tǒng)的脆弱性實(shí)現(xiàn)猥褻的行為。 8. 保護(hù)系統(tǒng)的行政的、技術(shù)的或物理的措施和活動(dòng)。包括對(duì)策和防護(hù)措施。 9. 事后 應(yīng)用的控制措施，被動(dòng)性的。 10. 事前應(yīng)用的控制措施，主動(dòng)性的。 11. 包括威脅、脆弱性和資產(chǎn)價(jià)值的所有因素。 風(fēng)險(xiǎn)管理各要素相互關(guān)系 Safeguards 安全措施 Security requirement 安全需求 Protect against 防范 Met by 采取 Indicate 提出 Reduce 減少 threats威脅 vulnerabilities脆弱性 Exploit利用 Increase 導(dǎo)致 Increase導(dǎo)致 Expose暴露 Increase 增加 Have 具有 Risk風(fēng)險(xiǎn) Assets資產(chǎn) Assets value 資產(chǎn)價(jià)值 風(fēng)險(xiǎn)管理的目標(biāo) 風(fēng)險(xiǎn) RISK RISK RISK 風(fēng)險(xiǎn) 基本的風(fēng)險(xiǎn) 采取措施后剩余的風(fēng)險(xiǎn) 資產(chǎn) 威脅 弱點(diǎn) 資產(chǎn) 威脅 弱點(diǎn) 風(fēng)險(xiǎn)管理過(guò)程的邏輯方式 Risk 風(fēng)險(xiǎn) Threat 威脅 Vulnerability 脆弱性 Asset Value 資產(chǎn)價(jià)值 = Residual Risk 殘余風(fēng)險(xiǎn) Threat 威脅 Vulnerability 脆弱性 Asset Value 資產(chǎn)價(jià)值 = （ ） Control Gap控制差距 風(fēng)險(xiǎn)評(píng)估和分析 Risk Assessment and Analysis ? 風(fēng)險(xiǎn)評(píng)估（ Risk Assessment）是對(duì)信息資產(chǎn)及其價(jià)值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的大小或水平的評(píng)估。 ? 作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過(guò)程。主要任務(wù)包括： ? 識(shí)別機(jī)構(gòu)風(fēng)險(xiǎn)的各種因素 ? 評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和造成的影響，并最終評(píng)價(jià)風(fēng)險(xiǎn)水平或大小 ? 確定組織承受風(fēng)險(xiǎn)的能力 ? 確定風(fēng)險(xiǎn)消減和控制的策略、目標(biāo)和優(yōu)先順序 ? 推薦風(fēng)險(xiǎn)消減對(duì)策以供實(shí)施 ? 包括風(fēng)險(xiǎn)分析（ Risk Analysis）和風(fēng)險(xiǎn)評(píng)價(jià)（ Risk Evaluation）兩部分，但一般來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析同義。 風(fēng)險(xiǎn)評(píng)估一般過(guò)程 定量評(píng)估和定性評(píng)估 ? 定量風(fēng)險(xiǎn)評(píng)估：試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)及其構(gòu)成因素進(jìn)行分析評(píng)估的一種方法。 ? 定性風(fēng)險(xiǎn) 評(píng)估：憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)。 定性風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 計(jì)算方式簡(jiǎn)單，易于理解和執(zhí)行 不必精確算出資產(chǎn)價(jià)值和威脅頻率 不必精確計(jì)算推薦的安全措施的成本 流程和報(bào)告形式比較有彈性 缺點(diǎn) 本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評(píng)估者的經(jīng)驗(yàn)和能力，較難客觀地跟蹤風(fēng)險(xiǎn)管理的效果 對(duì)關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評(píng)估參考性較低 并不能為安全措施的成本效益分析提供客觀依據(jù) 定量風(fēng)險(xiǎn)分析 優(yōu)點(diǎn) 評(píng)估結(jié)果是建立在獨(dú)立客觀的程序或量化指標(biāo)之上的 可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策 量化的資產(chǎn)價(jià)值和預(yù)期損失易理解 可利用自動(dòng)化工具幫助分析 缺點(diǎn) 輸入數(shù)據(jù)的可靠性和精確性難以保證 沒(méi)有一種標(biāo)準(zhǔn)化的知識(shí)庫(kù)，依賴于提供工具或?qū)嵤┱{(diào)查的廠商 信息計(jì)算量大，方法復(fù)雜，費(fèi)時(shí)費(fèi)力 定量風(fēng)險(xiǎn)評(píng)估概述 ? 對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額。當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化。 ? 定量分析有兩個(gè)關(guān)鍵指標(biāo)：事件發(fā)生的頻率（用 ARO來(lái)表示）和威脅事件可能引起的損失（用 EF來(lái)表示）。 ? 理論上 講，通過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)，但這有個(gè)前提，那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的。 ? 定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過(guò)程又極易出錯(cuò)，這就給分析的細(xì)化帶來(lái)了很大困難。 ? 實(shí)際風(fēng)險(xiǎn)分析 時(shí)，采用定量分析或者純定量分析方法比較少 定量分析基本概念 ? 暴露因子（ Exposure Factor， EF） —— 特定威脅對(duì)特定資產(chǎn)造成損失的百分比，或者說(shuō)損失的程度。 ? 單一 損失期望（ Single Loss Expectancy， SLE） ——或者稱作 SOC（ Single Occurance Costs），即特定威脅單次發(fā)生可能造成的潛在損失量。 ? 年度發(fā)生率（ Annualized Rate of Occurrence，ARO） —— 即威脅在一年內(nèi)估計(jì)會(huì)發(fā)生的次數(shù)。 ? 年度損失 期望（ Annualized Loss Expectancy，ALE） —— 或者稱作 EAC（ Estimated Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。 定量分析基本過(guò)程 ? 識(shí)別資產(chǎn)并為資產(chǎn)賦值； ? 評(píng)估威脅和弱點(diǎn)，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即 EF（取值在 0%~100%之間）； ? 計(jì)算 特定威脅發(fā)生的次數(shù)（頻率），即 ARO； ? 計(jì)算 資產(chǎn)的 SLE； ? 計(jì)算資產(chǎn) 的 ALE。 資產(chǎn)價(jià)值（ AV） 暴露因子（ EF） =單一損失期望（ SLE） 單一損失期望 （ SLE） 年發(fā)生比率（ ARO） =ALE（年度損失期望） 定量分析舉例 ? 假定某公司投資 500,000美元建了一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運(yùn)營(yíng)中心的估計(jì)損失程度是 45%。根據(jù)消防部門推斷，該網(wǎng)絡(luò)運(yùn)營(yíng)中心所在的地區(qū)每 5年會(huì)發(fā)生一次火災(zāi)，于是我們得出了 ARO為?；谝陨蠑?shù)據(jù)，該公司網(wǎng)絡(luò)運(yùn)營(yíng)中心的 ALE將是 45,000美元。 Asset Threat Asset Value EF SLE ARO ALE 網(wǎng)絡(luò)運(yùn)營(yíng)中心 火災(zāi) $500,000 225,000 $45,000 Web服務(wù)器 電源故障 $25,000 $6,250 $3,125 Web數(shù)據(jù) 病毒 %150,000 $50,000 $1000,000 客戶數(shù)據(jù) 泄漏 $250,000 $187,500 $123,750 定性風(fēng)險(xiǎn)評(píng)估概述 ? 定性分析方法目前采用最為廣泛，它帶有很強(qiáng)