【正文】 thod和面向小型組織的OCTAVES。,其核心是自主原則，即由組織內(nèi)部的人員管理和指導(dǎo)該組織的信息安全風(fēng)險(xiǎn)評(píng)估。詳細(xì)風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)是非常耗費(fèi)資源。,4.4 信息安全風(fēng)險(xiǎn)評(píng)估的分類,在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)當(dāng)針對(duì)不同的環(huán)境和安全要求選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估種類，目前，實(shí)際操作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估包括基線風(fēng)險(xiǎn)評(píng)估、詳細(xì)風(fēng)險(xiǎn)評(píng)估、聯(lián)合風(fēng)險(xiǎn)評(píng)估。 4.3 信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式 根據(jù)風(fēng)險(xiǎn)評(píng)估發(fā)起者的不同，信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。,3．最小影響原則 從項(xiàng)目管理層面和工具技術(shù)層面，力求將風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)的正常運(yùn)行的可能影響降低到最低限度。 2．信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ) 所有信息安全建設(shè)應(yīng)該基于信息安全風(fēng)險(xiǎn)評(píng)估，只有正確地、全面地識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)，才能在預(yù)防風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間作出正確的決策，決定調(diào)動(dòng)多少資源、以什么樣的代價(jià)、采取什么樣的應(yīng)對(duì)措施化解風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)。他們?cè)谛畔踩芾矸矫娴淖龇ㄊ窃诔浞掷妹绹?guó)引導(dǎo)的科技創(chuàng)新成果的基礎(chǔ)上，加強(qiáng)預(yù)防。各個(gè)國(guó)家越來越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡信息安全風(fēng)險(xiǎn)評(píng)估制度化。,1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.1.1 美國(guó)信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況 在國(guó)際上，美國(guó)是對(duì)信息安全風(fēng)險(xiǎn)評(píng)估研究歷史最長(zhǎng)和工作經(jīng)驗(yàn)最豐富的國(guó)家，一直主導(dǎo)信息技術(shù)和信息安全的發(fā)展，信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展實(shí)際上也代表了風(fēng)險(xiǎn)評(píng)估的國(guó)際發(fā)展。,1 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展概況,1.2 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀 我國(guó)的信息安全評(píng)估工作是隨著對(duì)信息安全問題的認(rèn)識(shí)的逐步深化不斷發(fā)展的。,3．信息安全風(fēng)險(xiǎn)評(píng)估是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn) 風(fēng)險(xiǎn)是客觀存在的，試圖完全消滅風(fēng)險(xiǎn)或完全避免風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，要根據(jù)信息及信息系統(tǒng)的價(jià)值、威脅的大小和可能出現(xiàn)的問題的嚴(yán)重程度，以及在信息化建設(shè)不同階段的信息安全要求，堅(jiān)持從實(shí)際出發(fā)、需求主導(dǎo)、突出重點(diǎn)、分級(jí)防護(hù)，科學(xué)評(píng)估風(fēng)險(xiǎn)并有效地控制風(fēng)險(xiǎn)。 4．保密原則 與評(píng)估對(duì)象簽署保密協(xié)議和非侵害性協(xié)議，要求參與評(píng)估的單位或個(gè)人對(duì)評(píng)估過程和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何企業(yè)和個(gè)人。自評(píng)估和檢查評(píng)估可以依靠自身技術(shù)力量進(jìn)行，也可以委托第三方專業(yè)機(jī)構(gòu)進(jìn)行。 4.4.1 基線風(fēng)險(xiǎn)評(píng)估 基線評(píng)估的優(yōu)點(diǎn)是需要的資源少、周期短、操作簡(jiǎn)單等。,5 國(guó)外信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),目前，國(guó)際上信息安全風(fēng)險(xiǎn)評(píng)估與管理的標(biāo)準(zhǔn)有英國(guó)BSI的BS 779美國(guó)的OCTAVE、澳大利亞/新西蘭的AS/NZS 4360、ISO/IEC TR 1333NIST SP80030等，其中BS 7799和ISO/IEC TR 13335 在第2章、AS/NZS 4360和NIST SP80030在第4章已進(jìn)行了介紹，這里介紹OCTAVE方法、SSECMM和GAO/AIMD99139。信息安全是組織內(nèi)每個(gè)人的職責(zé)，而不只是IT部門的職責(zé)。,5.1.2 OCTAVE Method,OCTAVE Method是為大型組織（有300名以上員工的公司或組織）而設(shè)計(jì)的，但可以以此為基線或起點(diǎn)，對(duì)該方法進(jìn)行開發(fā)剪裁，使它適合于不同規(guī)模的組織、業(yè)務(wù)環(huán)境或工業(yè)部門。 過程2：收集業(yè)務(wù)區(qū)域管理部門的觀點(diǎn)。 過程4: 建立威脅配置文件。 本階段主要由2個(gè)過程組成： 本階段主要由2個(gè)過程組成： 通過這種方法，3～5人的評(píng)估小組就可以完成整個(gè)評(píng)估活動(dòng)。分析小組應(yīng)識(shí)別與組織重要信息相關(guān)的資產(chǎn)，確定一組評(píng)估標(biāo)準(zhǔn)，并定義組織當(dāng)前的安全實(shí)踐狀況； 分析小組對(duì)關(guān)鍵資產(chǎn)的支持系統(tǒng)中的訪問路徑進(jìn)行分析，并確定這些技術(shù)措施對(duì)關(guān)鍵資產(chǎn)的保護(hù)程度；,3．第3階段：開發(fā)安全策略和計(jì)劃 本階段主要由2個(gè)過程組成： 評(píng)估小組根據(jù)實(shí)際情況，開發(fā)一個(gè)整個(gè)組織范圍的的保護(hù)策略和風(fēng)險(xiǎn)削減計(jì)劃。同時(shí)模型還定義了5個(gè)能力成熟度等級(jí).,從整體上看，SSECMM模型定義了一個(gè)“二維”架構(gòu)，橫軸上是11個(gè)系統(tǒng)安全工程的過程域，縱軸上是5個(gè)能力成熟度等級(jí)，如果給每個(gè)過程域賦予一個(gè)能力成熟度等級(jí)的評(píng)定，所得到的“二維”圖形便形象地反映了安全工程的質(zhì)量以及工程在安全上的可信度，也間接地反映了工程隊(duì)伍實(shí)施安全系統(tǒng)工程的能力成熟性。,2．工程過程 安全工程是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過程。用可信度描述對(duì)建立的安全系統(tǒng)正確執(zhí)行其安全功能的信心究竟有多大度。 2級(jí)：計(jì)劃并跟蹤的過程。過程域的所有基本實(shí)踐均應(yīng)依照一組完善定義的操作規(guī)范來進(jìn)行。過程管理成為客觀的和準(zhǔn)確的實(shí)踐活動(dòng)。,5.3 GAO/AIMD99139,1998年5月美國(guó)審計(jì)總署(GAO)出版了《信息安全管理指南一向先進(jìn)公司學(xué)習(xí)》(GAO/AIMD9868)，并出版了其支持性文件《信息安全風(fēng)險(xiǎn)評(píng)估指南—— 向先進(jìn)公司學(xué)習(xí)》(GAO/AIMD99139)，GAO/AIMD99139風(fēng)險(xiǎn)評(píng)估指南有針對(duì)性的對(duì)風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了分析和闡述，是在開展類似公司風(fēng)險(xiǎn)評(píng)估工作的過程中可以參考和借鑒的標(biāo)準(zhǔn)。 2．在歷史信息以及有經(jīng)驗(yàn)的人員的判斷基礎(chǔ)上，估計(jì)此類威脅發(fā)生的現(xiàn)實(shí)可能性,3．識(shí)別并評(píng)價(jià)可能受到此類威脅發(fā)生影響的運(yùn)作和資產(chǎn)的價(jià)值、敏感度和關(guān)鍵度，以確定哪些運(yùn)作和資產(chǎn)是重要的。,6 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 209842007,6.1 GB/T 209842007簡(jiǎn)介 隨著我國(guó)信息化應(yīng)用的逐步深入，信息安全問題也日益受到關(guān)注，針對(duì)我國(guó)沒有信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的現(xiàn)狀，2004年，國(guó)信辦組織專家啟動(dòng)信息安全了風(fēng)險(xiǎn)評(píng)估的研究與標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)編制工作于2004年3月正式啟動(dòng)，2007年7月通過了國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)的審查批準(zhǔn)，標(biāo)準(zhǔn)編號(hào)和名稱為GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》于2007年11月正式實(shí)施。,2．資產(chǎn)識(shí)別 依據(jù)資產(chǎn)的分類，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)逐一識(shí)別，完成對(duì)資產(chǎn)機(jī)密性、完整性和可用性的賦值，最后經(jīng)過綜合評(píng)定得出資產(chǎn)重要性等級(jí)。從技術(shù)和管理兩個(gè)方面對(duì)評(píng)估對(duì)象存在的脆弱性進(jìn)行識(shí)別并賦值。 7．風(fēng)險(xiǎn)評(píng)估文件記錄 形成風(fēng)險(xiǎn)評(píng)估過程中的相關(guān)文檔，包括風(fēng)險(xiǎn)評(píng)估報(bào)告。,1.2 技術(shù)評(píng)估和整體評(píng)估 技術(shù)評(píng)估 ——是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時(shí)的檢查，包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點(diǎn)：技術(shù)評(píng)估強(qiáng)調(diào)組織的技術(shù)脆弱性，評(píng)估整個(gè)系統(tǒng)的計(jì)算基礎(chǔ)結(jié)構(gòu)并對(duì)檢測(cè)到的技術(shù)弱點(diǎn)提出解決措施。,7.1.3 定性評(píng)估和定量評(píng)估 1. 定性評(píng)估 ——是最廣泛使用的風(fēng)險(xiǎn)分析方法 ，一般只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率 。,2．定量評(píng)估 ——是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在的損失的水平賦予數(shù)值或貨幣值。,5.7.1.4 基于知識(shí)的評(píng)估和