【正文】 威脅分類 ?分為： ? 人為故意威脅 ? 威脅意圖評(píng)估、威脅能力評(píng)估、操作限制評(píng)估、威脅源特點(diǎn)評(píng)估 ? 人為非故意威脅 ? 判定威脅源、評(píng)估威脅源特點(diǎn)、評(píng)估威脅源環(huán)境、評(píng)估事故發(fā)生時(shí)間 ? 自然威脅 ? 地震、海嘯、洪水 82 83 脆 弱性識(shí)別 ? 脆弱性識(shí)別的難點(diǎn)是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 ? 脆弱性識(shí)別的方法有哪些？ 脆弱性 分類 ? 管理脆弱性（如缺少管理制度） ? 結(jié)構(gòu) 脆弱性（如安全域劃分 不當(dāng)） ? 操作 脆弱性（如安全審計(jì)員業(yè)務(wù)生疏 ） ? 技術(shù)脆弱性（如系統(tǒng)有 bug） ? 物理脆弱性（如一層的窗子沒有防護(hù)欄） ? 脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？ 驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證 脆弱性識(shí)別內(nèi)容 84 常見脆弱性識(shí)別工作方式 85 脆弱性識(shí)別方式 工作對(duì)象 安全配置核查 服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件 漏洞掃描 主機(jī)、應(yīng)用程序 滲透測(cè)試 系統(tǒng)各個(gè)層面 安全架構(gòu)分析 系統(tǒng)各個(gè)層面 數(shù)據(jù)流分析 網(wǎng)絡(luò)中的數(shù)據(jù)流 訪談 管理人員及系統(tǒng)開發(fā)、運(yùn)維技術(shù)人員 ... ... 確認(rèn)已有的安全控制 ?考慮： ? 預(yù)防性措施 ? 檢測(cè)性措施 ? 糾正性 措施 ? 威懾性 措施 86 87 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析 ?GB/T 209842023《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 給出信息安全風(fēng)險(xiǎn)分析思路 88 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價(jià) 值安 全 事 件 的 可 能 性安 全 事 件 造 成 的 損 失風(fēng) 險(xiǎn) 值威 脅 識(shí) 別脆 弱 性 識(shí) 別資 產(chǎn) 識(shí) 別風(fēng)險(xiǎn) 值 = R（ A， T， V） = R（ L（ T， V）， F（ Ia， Va ）） ? R表示安全風(fēng)險(xiǎn)計(jì)算 函數(shù) ? A表示 資產(chǎn) ? T表示 威脅 ? V表示 脆弱性 ? Ia表示安全事件所作用的資產(chǎn) 價(jià)值 ? Va表示脆弱性嚴(yán)重 程度 ? L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的 可能性 ? F表示安全事件發(fā)生后造成的損失 89 風(fēng)險(xiǎn)結(jié)果判定 知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估 知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估 工具 ?了解 風(fēng)險(xiǎn)評(píng)估工具的分類 ?了解常用風(fēng)險(xiǎn)評(píng)估 工具 90 風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具 ? 主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓? ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù) 91 92 風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 基于標(biāo)準(zhǔn)的工具 ，如基于 NIST SP 80030或 ISO 27005開發(fā)的工具 ? 基于知識(shí) 的工具 ，綜合各種 風(fēng)險(xiǎn)分析 方法，形成知識(shí)庫(kù) ，以此為基礎(chǔ)完成綜合評(píng)估 ? 基于模型 的工具 ，對(duì) 典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估 工具 ? 脆弱性掃描 工具 ： 基于網(wǎng)絡(luò)的掃描器、基于主機(jī)的掃描器、分布式網(wǎng)絡(luò) 掃描器 、 數(shù)據(jù)庫(kù) 脆弱性掃描器 ? 滲透性測(cè)試 工具 ： 黑客工具、腳本文件 ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 檢查列表、入侵檢測(cè)系統(tǒng)、安全審計(jì)工具、拓?fù)浒l(fā)現(xiàn)工具和資產(chǎn)信息收集系統(tǒng) ，用于 評(píng)估過(guò)程參考的評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)和模型庫(kù) 謝謝，請(qǐng)?zhí)釂?wèn)題！ 靜夜四無(wú)鄰，荒居舊業(yè)貧。 20:29:4220:29:4220:29Monday, January 23, 2023 1乍見翻疑夢(mèng)，相悲各問(wèn)年。 2023年 1月 23日星期一 8時(shí) 29分 42秒 20:29:4223 January 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 :29:4220:29Jan2323Jan23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 20:29:4220:29:4220:291/23/2023 8:29:42 PM 1越是沒有本領(lǐng)的就越加自命不凡。 :29:4220:29:42January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 8時(shí) 29分 42秒 下午 8時(shí) 29分 20:29: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專家告訴 。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1業(yè)余生活要有意義，不要越軌。 20:29:4220:29:4220:29Monday, January 23, 2023 1知人者智，自知者明。 下午 8時(shí) 29分 42秒 下午 8時(shí) 29分 20:29: 楊柳散和風(fēng)，青山澹吾慮。 :29:4220:29:42January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 , January 23, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 2023年 1月 23日星期一 下午 8時(shí) 29分 42秒 20:29: 1比不了得就不比，得不到的就不要。 20:29:4220:29:4220:291/23/2023 8:29:42 PM 1以我獨(dú)沈久，愧君相見頻。暴露系數(shù)表示為現(xiàn)實(shí)威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比 ?步驟 3 確定年發(fā)生率 ARO ? ARO 是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù) 69 ?步驟 4 確定年預(yù)期損失 ALE ? ALE 是不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。要求： ? 參與 信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù) ? 風(fēng)險(xiǎn) 評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密 協(xié)議 ? 對(duì) 關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行 24 《 關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 》 （ 發(fā)改高技 【 2023】 2071號(hào) ） ?電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作 ?項(xiàng)目 建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù) ?項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告 ?系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估 25 信息 安全風(fēng)險(xiǎn)管理相關(guān)的國(guó)內(nèi)外標(biāo)準(zhǔn) ? GB/T 209842023《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 ? GB/Z 243642023《信息安全風(fēng)險(xiǎn)管理指南》 ? ISO/IEC 27005:2023《信息安全風(fēng)險(xiǎn)管理》 ? ISO GUIDE 73:2023《風(fēng)險(xiǎn)管理－術(shù)語(yǔ)》 ? ISO 31000:2023《風(fēng)險(xiǎn)管理－主要原則和指南》 ? IEC/ISO 31010:2023《風(fēng)險(xiǎn)管理－風(fēng)險(xiǎn)評(píng)估技術(shù)》 ? NIST SP80030 (2023)《實(shí)施風(fēng)險(xiǎn)評(píng)估指南》 ? NIST SP80039 (2023) 《管理信息安全風(fēng)險(xiǎn)：組織、使命和信息系統(tǒng)梗概》 ? NIST SP80037 (2023) 《聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)管理框架指南：安全生命周期方法》 ? NIST SP80053 (2023) 《為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施》 ? NIST SP80053A (2023)