【正文】 風險登記冊 儲備分析 技術績效測量 偏差和趨勢分析 風險審計 風險再評估 項目文件（更新） 項目管理計劃（更新） 變更請求 組織過程資產 風險登記冊（更新） 項目管理計劃 工作績效信息 績效報告 狀態(tài)審查會 風險評估概述 信息安全風險評估 信 息安全風險評估，是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。 狹義的風險評估包括：評估前準備、 資產 識別與評估、 威脅 識別與評估、 脆弱點 識別與評估、當前 安全措施 的識別與評估、 風險分析 以及根據(jù)風險評估的結果選取適當?shù)陌踩胧┮越档惋L險的過程。 我國的 《 信息安全風險評估指南 》 則認為，資產是指對組織具有價值的信息資源，是安全策略保護的對象。威脅有潛力導致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產造成損害。 風險評估概述 威脅源 常見表現(xiàn)形式 自然威脅 地震 、颶風 、火山 、洪水、海嘯 、泥石流、暴風雪 、雪崩 、雷電、其他 環(huán)境威脅 火災 、戰(zhàn)爭、重大疫情 、恐怖主義、供電故障、供水故障 、其他公共設施中斷 、危險物質泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他 系統(tǒng)威脅 網絡故障、硬件故障 、軟件故障 、惡意代碼、存儲介質的老化 、其他 外部人員 網絡竊聽、拒絕服務攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息 篡改、泄密、抵賴、其他。另一方面如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。 風險評估概述 脆弱點主要表現(xiàn)在從技術和管理兩個方面 技術脆弱點 是指信息系統(tǒng)在設計、實現(xiàn)、運行時在技術方面存在的缺陷或弱點。沒有資產，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產很有價值，脆弱點很嚴重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。 在信息安全領域，直接的損失往往容易估計且損失較小，間接的損失難易估計且常常比直接損失更為嚴重。例如，應用于計算機的訪問控制機制應被審計控制、人員管理、培訓和物理安全所支持。 風險評估概述 風險評估要素 安全需求是指為保證組織業(yè)務戰(zhàn)略的正常運作而在安全措施方面提出的要求。 ISO/IEC 133351對它們之間的關系描述如圖所示 風險評估概述 我國的 《 信息安全風險評估指南 》 對 ISO/IEC 133351提出風險要素關系模型進行了擴展。有些殘余風險來自于安全措施可能不當或無效 ,在以后需要繼續(xù)控制，而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險，是可以被接受的； 殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件 。 風險評估策略 信息安全風險評估策略 風險評估策略 不同的組織有不同的安全需求和安全戰(zhàn)略，風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務。 風險評估策略 基線評估的優(yōu)點是 ： (1)風險分析和每個防護措施的實施管理只需要最少數(shù)量的資源，并且在選擇防護措施時花費更少的時間和努力； (2)如果組織的大量系統(tǒng)都在普通環(huán)境下運行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護措施而不需要太多的努力。 目前世界上還沒有全面、統(tǒng)一的、能符合組織目標的、值得信賴的安全基線，因而基線評估方法開展并不普遍。 這種方法的缺點是需要更多的時間、努力和專業(yè)知識。 風險評估策略 ISO/IEC 133353提出了綜合風險評估方法，其實施流程如圖所示： 高 層 風 險 分 析風 險 接 受I T 系 統(tǒng) 安 全 策 略基 線 風 險 分 析 詳 細 風 險 分 析 防 護 措 施 的 選 取I T 安 全 計 劃風險評估策略 綜合評估方法將基線和詳細風險評估的優(yōu)勢結合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結果，而且，組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關注。其工作主要包括： 1．確定風險評估目標（滿足業(yè)務持續(xù)性需要） 2．確定風險評估的對象和范圍 3．組建團隊。資產識別過程中要特別注意無形資產的遺漏，同時還應注意 不同資產間的相互依賴關系 ，關系緊密的資產可作為一個整體來考慮，同一中類型的資產也應放在一起考慮。 通常信息資產的 機密性、完整性、可用性、可審計性和不可抵賴性 等是評價資產的安全屬性。威脅評估就是對 威脅出現(xiàn)的頻率及強度進行評估，這是風險評估的重要環(huán)節(jié)。 脆弱點識別主要從技術和管理兩個方面進行， 技術脆弱點 涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題。 網絡結構 從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控 制策略、網絡設備安全配置等方面進行識別。 組織管理 安全策略、組織安全、資產分類與控制、人員安全、符合性 風險評估流程 脆弱點識別 資產的脆弱點 具有隱蔽性 ，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。 風險評估流程 （ 2）脆弱點評估 脆弱點評估就是是對脆弱點被利用后 對資產損害程度 、技術實現(xiàn)的難易程度 、 弱點流行程度 進行評估，評估的結果一般都是定性等級劃分形式，綜合的標識脆弱點的嚴重程度。這可以通過兩個方面的作用來實現(xiàn)， （ 1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓可以減少無意行為導致安全事件出現(xiàn)的頻率； （ 2）減少脆弱點，如及時為系統(tǒng)打補丁、對硬件設備定期檢查能夠減少系統(tǒng)的技術脆弱點等。 1）風險計算 2）風險等級 3）風險處理計劃 風險評估流程 （ 1）風險計算 在完成了資產識別 、 威脅識別 、 脆弱性識別， 以及對已有安全措施確認后 ， 應采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性 。而風險則可表示為可能性 L和影響 F的函數(shù)，簡單的處理就是 將安全事件發(fā)生的可能性 L與安全事件的影響 F相乘 得到風險值，實際就是平均損失，即 VR= L(A,T,V) F(A,T,V)。 風險評估流程 影響分析 ?法律責任 。 根據(jù)威脅源的分類，引起安全事件發(fā)生的原因可能是自然災害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員故意行為等。 風險評估流程 7. 安全措施的選取 風險評估的目的不僅是獲取組織面臨的有關風險信息，更重要的是采取適當?shù)拇胧?將安全風險控制在可接受的范圍內 。 從理論上看，風險評估方法的理論基礎包括： 概率風險分析方法、模糊決策方法、人工智能、定性推理方法、灰色決策理論、綜合評價方法 等。 （ 2）模糊決策方法 風險評估的對象以及信息系統(tǒng)的狀態(tài)具有不確定性，經典的數(shù)學模型由于其精確性特點使得它很難很好的把握問題的實質，模糊決策方法填補了這方面的不足。 （ 4）灰色系統(tǒng)理論 部分信息已知、部分信息未知的系統(tǒng)稱為灰色系統(tǒng)。不同綜合評價方法有不同的處理方法，常用的綜合評價方法有 綜合指數(shù)法、功效評分法、 TOPSIS法、層次分析法、主成份分析法、聚類分析法 等。 b) 構造規(guī)范化決策陣 Y=(ijy) ，其中???niijij ijxxy12/12 )( c) 選取適當?shù)臋嘞蛄?,( 21 pw ??, 構造加權規(guī)范化決策陣 U=(iju) ，其中 ： ijjij ywu ?。層次分析法的決策過程如下： a)分析各影響因素間的關系，建立層次模型 b)構建兩兩比較判斷矩陣 c)計算單個判斷矩陣對應的權重向量 d)計算各層元素對目標層的合成權重向量 (5) 主成分分析是一種多元統(tǒng)計分析方法，對于多指標的復雜評價系統(tǒng)，由于指標多，數(shù)據(jù)處理相當復雜，由于指標之間存在一定的關系，可以適當簡化。 風險評估方法 3 定量方法 定量方法試圖用具體的貨幣表示形式的損失值來分析和度量風險，定量方法主要有基于期望損失的風險評估方法與基于期望損失效用的風險評估方法等。 基于期望損失的風險評估方法以期望損失作為風險大小的度量標準， 對風險：)},(,),(,),{( 111 nnniii LFELFELFEr i s k ??? ， 期望損失定義為： V a l u e R = ?? ?ni ii LF1 風險評估方法 2．基于期望損失效用的風險評估方法 若經過風險評估，風險事件 E造成的 相對損失為 loss，其發(fā)生的可能性 為 L， loss和 L均為取值在 [0,1]區(qū)間 定量值。定性方法一般 基于一定的定量方法，在定量方法的基礎上進行裁剪和簡化 。 (2)威脅分級法 這種方法是直接考慮威脅、威脅導致的安全事件對資產產生的影響以及威脅導致安全事件發(fā)生的可能性來確定風險。然后根據(jù)不同資產的賦值從矩陣中確定不同的風險。例如，如果資產值為 3，威脅等級為 “高 ” ，脆弱點為 “ 低 ” 。 風險計算方法 威脅級別 低 中 高 脆弱點級別 低 中 高 低 中 高 低 中 高 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 資產值 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 風險計算方法 2. 威脅分級計算法 這種方法是直接考慮威脅、威脅導致的安全事件對資產產生的影響以及威脅導致安全事件發(fā)生的可能性來確定風險。 風險計算方法 資產 威脅描述 影響（資產）值 威脅發(fā)生可能性 (c) 風險測度 風險等級劃分 某個資產 威脅 A 5 2 10 2 威脅 B 2 4 8 3 威脅 C 3 5 15 1 威脅 D 1 3 3 5 威脅 E 4 1 4 4 威脅 F 2 4 8 3 風險計算方法 然后評價威脅導致安全事件發(fā)生的可能性。而風險的測量采用以上兩值的乘積。 在這種方法中，識別威脅的類型是很重要的。在考慮這些影響時，是在假定不存在控制措施的情況下的影響。本例中采用加法。本例中將控制措施的有效性有小到大分為 5個等級， 1— 5。 對多媒體教學系統(tǒng)，其安全需求主要表現(xiàn)為系統(tǒng)的可用性，而完整性、機密性安全需求很低，通常不會涉及到，因而風險評估主要圍繞系統(tǒng)的可用性展開，風險評估的目的是通過分析系統(tǒng)面臨的影響系統(tǒng)可用性的安全風險，并選取相應的安全措施降低風險。 威脅類型 威脅表現(xiàn)形式 評估等級 自然威脅 地震 、颶風 、火山 、洪水、海嘯 、泥石流、暴風雪 、雪崩 、雷電等 很低 1 環(huán)境威脅 供電中斷 中 3 火災、供水故障、污染、極端溫度或濕度 低 2 系統(tǒng)威脅 電腦、投影儀硬件故障 低 2 網絡故障 中 3 系統(tǒng)軟件、應用軟件故障、課件播放軟件故障 高 4 惡意代碼 很高 5 人員威脅 盜竊 高 4 物理硬件故意破壞 中 3 誤操作 很高 5 疾病或其他原因導致不能及時到崗 中 3 風險評估案例 4 脆弱點識別與評估 脆弱點識別應對針對已識別的每一類資產，考慮可能存在的脆弱點，它包括技術脆弱點與管理脆弱點，本例中由于技術問題簡單，因而主要表現(xiàn)為管理方面的脆弱性。而隨后進行的風險分析主要考察風險導致的影響及出現(xiàn)的可能性的大小。最后根據(jù)影響分析及可能性分析的結果來進行風險評估，此處采用 “ 風險 =可能性 影響 ” 的方法來計算風險。以上安全風險對應的安全措施如下表所示。 演講完畢，謝謝觀看！