【正文】 客攻擊的可能性，利用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失有些損失，象失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化盡管可以了解需要加強(qiáng)控制的硬件和軟件的成本，但常常不可能精確地估計相關(guān)的非直接的成本，如執(zhí)行新的控制時可能會導(dǎo)致生產(chǎn)力的喪失即使獲得了精確信息，但信息很快就會過期，因為技術(shù)發(fā)展很快，入侵者可獲得更先進(jìn)的工具可靠性和即時數(shù)據(jù)的缺乏，使我們常常無法精確定義哪一個信息安全風(fēng)險是最重要的，也無法比較哪一個工具是最有效的。 減免風(fēng)險在風(fēng)險評估過程的跟進(jìn)行動中，被評估方有機(jī)會采取合適的風(fēng)險控制方式來減免風(fēng)險。 合理利用工具216。 業(yè)務(wù)和技術(shù)專家積極參與216。在風(fēng)險評估過程中，需要考慮以下方面：216。安全風(fēng)險評估信息庫安全風(fēng)險評估信息庫用于存儲與處理在風(fēng)險評估過程中收集到的信息。 階段2：確定基礎(chǔ)設(shè)施漏洞l 過程5：找出關(guān)鍵組件l 過程6：評估關(guān)鍵組件216。這個過程的結(jié)果是殘留風(fēng)險和這個風(fēng)險是否達(dá)到可接受水平的一個明確界定，或者是一個是否應(yīng)當(dāng)實施額外的安全控制以進(jìn)一步降低風(fēng)險的結(jié)論。進(jìn)行風(fēng)險管理的最終目的就是要將其最小化，這也是在當(dāng)今各行各業(yè)的IT系統(tǒng)應(yīng)用中需要實施信息安全措施的根本原因。風(fēng)險評估風(fēng)險評估是對信息系統(tǒng)進(jìn)行資產(chǎn)分析，并針對重要的資產(chǎn)進(jìn)行威脅、脆弱性的可能性調(diào)查，從而估計對業(yè)務(wù)產(chǎn)生的影響，提供適當(dāng)?shù)姆椒▉砜刂骑L(fēng)險。風(fēng)險的屬性風(fēng)險有兩個屬性：后果（Consequence）和可能性（Likelihood）。 基本概念風(fēng)險風(fēng)險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。 SSECMM216。如：國際標(biāo)準(zhǔn)216。 風(fēng)險評估過程216。 文檔結(jié)構(gòu)本文檔展示了關(guān)于信息安全風(fēng)險評估的一個通用框架。216。216。216。216。216。216。本文檔的目標(biāo)并不是集中在如何進(jìn)行風(fēng)險評估，它更側(cè)重于提供一個參考過程來幫助核對由獨立的安全咨詢師與審計師所提供的服務(wù)的覆蓋面、方法論、交付的文檔。本文檔不覆蓋信息安全管理的每一方面。限定了風(fēng)險評估的前提和分工。稅務(wù)系統(tǒng)信息安全風(fēng)險評估指南對稅務(wù)系統(tǒng)信息安全風(fēng)險評估的過程、關(guān)鍵點以及工作成果等方面提出了具體的實施方法和產(chǎn)生的文檔類別和內(nèi)容。稅務(wù)系統(tǒng)信息安全風(fēng)險評估的內(nèi)容包括:資產(chǎn)分析，漏洞、脆弱性及弱點評估、威脅評估、影響與可能性分析和系統(tǒng)分析等方面。 本風(fēng)險評估指南共提供了六個附錄，附錄A為術(shù)語表，對本指南內(nèi)的專業(yè)術(shù)語進(jìn)行解釋，附錄B為調(diào)查問卷，對稅務(wù)系統(tǒng)信息安全風(fēng)險評估的調(diào)查問卷種類和內(nèi)容進(jìn)行規(guī)定，附錄C為交付文檔范例，確定了稅務(wù)系統(tǒng)信息安全風(fēng)險評估工作需完成的工作文檔，附錄D資產(chǎn)分類清單，對稅務(wù)系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行了分類，附錄E資產(chǎn)脆弱性清單列舉了各類資產(chǎn)可能存在的脆弱性，附錄F為資產(chǎn)威脅清單，列舉了資產(chǎn)所面臨的威脅。它介紹了一個關(guān)于信息安全風(fēng)險評估的一般過程。 目標(biāo)讀者本指南為那些在其信息系統(tǒng)中支持或?qū)嵤╋L(fēng)險評估的人員提供關(guān)于風(fēng)險評估基礎(chǔ)，無論他們是否有經(jīng)驗，是不是技術(shù)人員。 信息總監(jiān)，確保為其機(jī)構(gòu)IT系統(tǒng)部署風(fēng)險管理并為這些IT系統(tǒng)提供安全的人員。 IT安全規(guī)劃經(jīng)理，部署安全規(guī)劃的人員。 用以支持IT功能的系統(tǒng)軟、硬件這些IT系統(tǒng)的擁有者。 負(fù)責(zé)IT生產(chǎn)的業(yè)務(wù)或功能管理人員。 開發(fā)并維護(hù)可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的IT系統(tǒng)和應(yīng)用程序員。 審計IT系統(tǒng)的信息系統(tǒng)審計員。它包括下面的內(nèi)容：216。 風(fēng)險評估人員組織216。 ISO 17799216。 RFC 2196國家標(biāo)準(zhǔn)GB/T 183362001行業(yè)通用標(biāo)準(zhǔn)BS77992AS/NZS 4360CVE或CNCVE 參考文獻(xiàn)[1]. C. J Alberts， S. G. Behrens， R. D. Pethia， and W. R. Wilson. Operationally critical threat， asset， and vulnerability evaluation (octave) framework， version . Technical report，Carnegie Mellon University， Software Engineering Institute， Pittsburgh， PA， June 1999.[2]. Australian/New Zealand Standard AS/NZS 4360:1999: Risk Management. Strath_eld: Standards Australia. [3]. CORAS IST200025031 Web Site. [4]. Common Criteria. Common Criteria for Information Technology Security Evaluation， 1999.[5]. ISO/IEC 13335: Information Technology Guidelines for the management of IT Security. .[6]. ISO/IEC 17799: 2000 Information technology Code of practise for information security management. 關(guān)于術(shù)語與縮略語的約定風(fēng)險評估：在本文中，風(fēng)險評估特指“信息系統(tǒng)安全風(fēng)險評估”。因此，風(fēng)險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的弱點直接相關(guān)。評價風(fēng)險對企業(yè)的影響，也就是對風(fēng)險的評估賦值是對上述兩個屬性權(quán)衡作用的結(jié)果。從上述的定義可以看出，風(fēng)險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風(fēng)險、進(jìn)而得出整個評估目標(biāo)的風(fēng)險。所有與安全性相關(guān)的活動都是風(fēng)險管理的組成部分。 過程概述風(fēng)險評估的過程分為3個階段共8個過程。 階段3：制訂安全策略和計劃l 過程7：實施風(fēng)險分析l 過程8：制訂保護(hù)策略 工具調(diào)查問卷調(diào)查問卷（Questionnaire）由一組相關(guān)的封閉式或開放式問題組成，用于在評估過程中獲取信息系統(tǒng)在各個層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。 成功的關(guān)鍵因素風(fēng)險評估過程總體來說是一個需要評估方與被評估方共同參與，便于被評估方理好地風(fēng)險管理。 獲得高級管理的支持和參與216。 責(zé)任到人216。 考慮收益 收益216。216。由于這些限制，機(jī)構(gòu)選擇采用的方法是否能有效地從風(fēng)險評估中受益，同時又避免花費(fèi)很大的精力去開發(fā)看似精確卻可靠性成問題的工具，顯得非常重要。軟件資產(chǎn)軟件資產(chǎn)包括各種專門購進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等）、隨設(shè)備贈送的各種配套軟件、以及自行開發(fā)的各種業(yè)務(wù)軟件等。 資產(chǎn)評估的目的資產(chǎn)評估的目的就是要對企業(yè)的歸類資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。核心資產(chǎn)核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一般在100萬元至1000萬元之間；核心資產(chǎn)的時間敏感性同樣是非常強(qiáng)的，一般其運(yùn)行過程中可接受的中斷時間在１24小時之內(nèi)；核心資產(chǎn)癱瘓對客戶和社會造成的影響很巨大，可能會導(dǎo)致數(shù)萬客戶的不滿意，并引起省市級媒體和機(jī)構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法律爭端可能提交很高級別的法院立案，訴訟過程可能很漫長。 評估實例一臺Cisco7513路由器，是某省省網(wǎng)出口核心，（22）CC，購入單價1,100,810元。弱點評估的信息通常通過控制臺評估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等手段收集和獲取。 弱點評估手段弱點評估可以采取多種手段，下面建議了常用的四種。 網(wǎng)絡(luò)審計216。 大規(guī)模的漏洞掃描工作條件46人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評估結(jié)果報告，所需時間80臺/工作日參加人員評估小組、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員表2. 主機(jī)審計項目名稱主機(jī)審計簡要描述作為網(wǎng)絡(luò)掃描的輔助手段，登陸系統(tǒng)控制臺檢查系統(tǒng)的安全配置情況達(dá)成目標(biāo)檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容178。達(dá)成目標(biāo)檢測網(wǎng)絡(luò)的安全運(yùn)行情況，發(fā)掘配置隱患主要內(nèi)容178。 后門利用測試178。威脅也可能源于偶發(fā)的、或蓄意的事件。參照國際通行做法和專家經(jīng)驗，本項目中我們將采用上述兩種方法進(jìn)行安全威脅分析。表一：可能性屬性賦值參考表賦值簡稱說明4VH不可避免（90%）3H非常有可能（70% ~ 90%）2M可能（20% ~ 70%）1L可能性很?。?0%）0N不可能（~0%）表二：影響賦值參考表賦值簡稱說明4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（75%）3H資產(chǎn)遭受重大損失（50% ~ 75%）2M資產(chǎn)遭受明顯損失（25% ~ 50%）1L損失可忍受（25%）0N損失可忽略（~0%）可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點。參照下面的矩陣進(jìn)行威脅賦值：表三：威脅分析矩陣 影響可能性可忽略0可忍受1明顯損失2重大損失3全部損失4不可避免401234非常可能301233可能201122可能性很小100111不可能000001 威脅的獲取方法威脅獲取的方法有：滲透測試（Penetration Testing）、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析等。 影響與可能性分析風(fēng)險也存在兩個屬性：后果（Consequence）和可能性（Likelihood）。在許多情況下，某資產(chǎn)風(fēng)險的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆弱性的函數(shù)，而風(fēng)險的后果是資產(chǎn)的價值和威脅的影響的函數(shù)。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。 提供有關(guān)擴(kuò)充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息216。對于信息資產(chǎn)的保護(hù)首先需要進(jìn)行分級處理，即按信息的敏感度來劃分。要注意到的是，包含在完成調(diào)查問卷中的信息能很容易描述一個系統(tǒng)或是一組系統(tǒng)容易受到攻擊的地方。在很多情況下，主要應(yīng)用程序和一般支持系統(tǒng)包括互相關(guān)聯(lián)的系統(tǒng)。在系統(tǒng)名稱和題目下面的橫線上需要評估員寫上系統(tǒng)類型，（普遍支持還是主要應(yīng)用）。例如，評估進(jìn)行了很多細(xì)節(jié)檢查要得到一個高級別的系統(tǒng)安全指示或是為了完善行動計劃增強(qiáng)系統(tǒng)的徹底性和可信度。完成評估所需要的資源和時間取決于系統(tǒng)的大小和復(fù)雜程度，系統(tǒng)和用戶數(shù)據(jù)的親和性，以及評估員可以利用多少信息進(jìn)行評估。如果一個機(jī)構(gòu)設(shè)計了它們自己的判定系統(tǒng)的決定性或是敏感性的方法，就要用機(jī)構(gòu)的決定性或是敏感性的類型代替表格。一個集中的機(jī)構(gòu)，比如說，一個政府機(jī)構(gòu)信息系統(tǒng)安全程序辦公室也可以處理對存在的支持文件的分析工作。在找出系統(tǒng)弱點的行動計劃的狀況盒子員需要等方面，還需要遵循以前管理員的經(jīng)驗。如果按遞升次序?qū)⑦@些分析的復(fù)雜性和成本加以排列的話，將會是：定性分析、半定量、定量。建議立即采取措施，進(jìn)行“避免/轉(zhuǎn)移/減小”等風(fēng)險處置?！侗镜仫L(fēng)險評估報告》，包括以下內(nèi)容：1)資產(chǎn)評估，至少包含以下資產(chǎn)的評估：信息資產(chǎn)、物質(zhì)資產(chǎn)、軟件資產(chǎn)、服務(wù)、設(shè)備、人員?！栋踩呗越ㄗh》：根據(jù)網(wǎng)絡(luò)安全現(xiàn)狀，提供安全策略建議，要求至少包括如下方面的建議：人員組織、安全管理（包括工程建設(shè)期間）、訪問控制、網(wǎng)絡(luò)管理、數(shù)據(jù)安全、緊急響應(yīng)。如需使用安全產(chǎn)品，請描述所需產(chǎn)品的功能和性能要求，但不能限定產(chǎn)品的廠家和型號。 階段1：提取基于資產(chǎn)的威脅概況確定高級管理層的認(rèn)識(P1)目的：明確企業(yè)高層管理人員對企業(yè)重要資產(chǎn)的認(rèn)識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問題。人員：風(fēng)險評估小組 階段2：確定基礎(chǔ)設(shè)施漏洞找出關(guān)鍵組件(P5)目的：識別和劃分需要評估的基礎(chǔ)資產(chǎn)的類別，并從每個類別中抽樣選擇一個或多個基礎(chǔ)資產(chǎn)，然后選用適當(dāng)?shù)姆椒ê陀行У墓ぞ邔ζ溥M(jìn)行脆弱性評估。 階段3：制訂安全策略和計劃實施風(fēng)險分析(P7)目的：定義威脅產(chǎn)生的影響（標(biāo)識風(fēng)險），制定評估標(biāo)準(zhǔn)，對每個風(fēng)險進(jìn)行分級（高、中、低）。 數(shù)據(jù)/信息收集與處理在評估過程中，有大量的數(shù)據(jù)需要以合理的結(jié)構(gòu)存儲并利用自動化的工具來處理。 風(fēng)險控制風(fēng)險控制的目的是保護(hù)資產(chǎn)，提高企業(yè)的業(yè)務(wù)連續(xù)性和價值，達(dá)到企業(yè)的安全目標(biāo)和業(yè)務(wù)目標(biāo)。[2]. 降低風(fēng)險可能性：在某些情況下，可以決定通過合同、要求、規(guī)范、法律、監(jiān)察、管理、測試、技術(shù)開發(fā)、技術(shù)控制等措施來減小風(fēng)險的可能性，來達(dá)到減小風(fēng)險的目的。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會因此而喪失機(jī)會。決策者可以在進(jìn)一步控制所需要的成本和風(fēng)險之間進(jìn)行權(quán)衡。 風(fēng)險控制措施舉例：安全加固建議這是一種有針對性的資產(chǎn)點對點風(fēng)險減免。安全管理建議這是從管理的角度來保護(hù)資產(chǎn)不受威脅。 計劃風(fēng)險評估項目的計劃至少但不限于包括如下內(nèi)容：216。 資源需求（不含人員與時間）216。同時通過規(guī)范化的項目管理，保證項目進(jìn)程中的過程的質(zhì)量。這些管理和溝通措施將對項目過程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。 甲方評估小組組長及主要成員 乙方項目組組長及主要成員1準(zhǔn)備期對準(zhǔn)備期階段的工作進(jìn)行總結(jié)，確定實施的詳細(xì)計劃雙方項目組全體成員1實施期：現(xiàn)場評估過程中對現(xiàn)場評估的工作，進(jìn)行溝通，及時發(fā)現(xiàn)問題，確定解決方式。5 風(fēng)險評估人員組織 評估方人員組織216。項目總負(fù)責(zé)人須做好日常資源管理工作，并直接控制項目管理計劃(PMP)的各個要素，具體說來主要包括以下幾個