【正文】 ,三．論述題 1．論述信息系統(tǒng)生命周期各階段的信息安全風險評估。對由于系統(tǒng)廢棄可能帶來的新的威脅進行分析，并改進新系統(tǒng)或管理模式。 3．脆弱性評估：是全面的脆弱性評估。根據設計階段分析的威脅和建立的安全控制措施，在實施及驗收時進行質量控制。,本階段評估中，應詳細評估設計方案中對系統(tǒng)面臨威脅的描述、將使用的具體設備、軟件等資產及其安全功能需求列表。信息系統(tǒng)生命周期是某一系統(tǒng)從無到有，再到揚棄的整個過程，包括規(guī)劃、設計、實施、運維和廢棄5個基本階段，各階段中涉及的風險評估的原則和方法是一致的，但由于各階段實施的內容、對象、安全需求不同，使得風險評估的對象、目的、要求等各方面也有所不同。 這里將控制措施的有效性從小到大分為5個等級：1～5。 根據風險值的大小，可對資產面臨的不同威脅進行排序。 如果某資產的資產值為2，威脅等級為“低”，脆弱性等級為“高”，查表52可知風險值為4。CORAS風險評估的顯著特點是UML建模語言規(guī)范描述風險評估過程和綜合采用多種互為補充的風險分析技術。它涉及到對來自類似組織的“最佳慣例”的重用。 ——多數定性風險分析方法依據組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。 GB/T 209842007詳細的風險評估過程在第7章介紹。 3．威脅識別 對資產可能遭受的威脅進行識別，并依據威脅出現的頻率對威脅進行賦值。 4．對最關鍵、最敏感的資產和運作，估計威脅發(fā)生可能造成的潛在損失或破壞，包括恢復成本。 5級：持續(xù)改善的過程。這一級強調過程執(zhí)行前的計劃和執(zhí)行中的檢查。針對工程實施管理，SSECMM模型定義了安全需求說明過程（PA10），安全方案制定過程（PA09），安全控制實施過程（PA01），安全狀態(tài)監(jiān)測過程（PA08）。,5.2 SSECMM,5.2.1 SSECMM概述 SSECMM是系統(tǒng)安全工程能力成熟度模型（SystemSecurity Engineering Capability Maturity Mode1）的縮寫，它源于CMM（能力成熟度模型）的思想和方法，是CMM在系統(tǒng)安全工程領域的應用，SSECMM是偏向于對組織的系統(tǒng)安全工程能力的評估標準。 過程S2: 建立威脅描述。過程7：執(zhí)行風險分析，包括識別關鍵資產的威脅所產生的影響、制定風險評估標準、評估關鍵資產的威脅所產生的影響等； 包括整理過程1～過程3中所收集的信息、選擇關鍵資產、提煉關鍵資產的安全需求、標識對關鍵資產構成影響的威脅等工作。,OCTAVE Method包括3個階段8個過程： 第1階段：建立基于資產的威脅配置文件 第2階段：識別基礎設施的薄弱點 第3階段：開發(fā)安全策略和計劃,第一階段主要由4個過程組成： ,5.1 OCTAVE,5.1.1 OCTAVE簡介 OCTAVE（Operationally Critical Treat，Asset and Vulnerability Evaluation，可操作的關鍵威脅、資產和弱點評估）是由美國卡耐基?梅隆大學軟件工程研究所下屬的CERT協(xié)調中心，開發(fā)的信息安全風險評估的方法。,4.3 信息安全風險評估的兩種方式,4.3.1 自評估 自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估，以發(fā)現信息系統(tǒng)現有弱點、實施安全管理為目的，是信息安全風險評估的主要形式。 4．信息安全風險評估是組織機構實現信息系統(tǒng)安全的重要步驟 通過信息安全風險評估，可全面、準確地了解組織機構的安全現狀,發(fā)現系統(tǒng)的安全問題及其可能的危害，分析信息系統(tǒng)的安全需求,找出目前的安全策略和實際需求的差距，提供嚴謹的安全理論依據和完整、規(guī)范的指導模型。從最初關注計算機保密發(fā)展到目前關注信息系統(tǒng)基礎設施的信息保障，大體經歷了3個階段，見表51。,表51 風險評估發(fā)展過程,1.1 美國信息安全風險評估發(fā)展概況,1.1.2 其他國家信息安全評估發(fā)展概況 歐洲在信息化方面的優(yōu)勢不如美國，但作為多個老牌大國的聯(lián)合群體，歐洲不甘落后。,3 信息安全風險評估的原則,1．可控性原則 ⑴ 人員可控性 ⑵ 工具可控性 ⑶ 項目過程可控性 2．完整性原則 嚴格按照委托單位的評估要求和指定的范圍進行全面的評估服務。 4.3.2 檢查評估 檢查評估是指信息系統(tǒng)上級管理部門或信息安全職能部門組織的信息安全風險評估，是通過行政手段加強信息安全的重要措施。 OCTAVE信息安全風險評估方法的基本原則是：自主、適應度量、已定義的過程、連續(xù)過程的基礎，它由一系列循序漸進的討論會組成，每個討論會都需要其參與者之間的交流和溝通。 過程1：收集高層管理部門的觀點。 通用的配置文件是基于關鍵資產的威脅樹。過程8：開發(fā)保護策略，評估小組開發(fā)整個組織的保護策略，該策略注重于提高組織的安全實踐，以及關鍵資產的重要風險的削減計劃。分析小組應選擇3～5個關鍵信息資產，并為每個關鍵信息資產定義相應的安全要求和威脅描述文件。,SSECMM模型將信息系統(tǒng)安全工程分為3個相互聯(lián)系的部分：風險評估、工程實施和可信度評估。安全工程不是一個獨立的實體，而是整個信息系統(tǒng)工程的一個組成部分，模型強調系統(tǒng)安全工程與其它工程的合作和協(xié)調并定義了專門的協(xié)調安全過程（PA07）。這使工程組織可以基于最終結果的質量來管理其實踐活動。為過程行為的高效和實用建立定量的目標。 5．識別經濟有效的措施以減輕或降低風險。,4．脆弱性識別 脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。,7 信息安全風險評估方法,7.1 概述 信息安全風險評估綜合分析資產、威脅、脆弱性、安全措施，判斷系統(tǒng)風險，為安全管理單位識別安全重點、選擇合理適用安全對策提供依據，是信息安全風險管理的基礎。在定性評估時并不使用具體的數據，往往帶有很強的主觀性，需要憑借分析者的經驗和直覺進行定性分級，如設定每種風險的影響值和概率值為“高”、“中”、“低”，有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別。通過各種途徑采集相關信息，識別組織的風險和當前的安全措施，與特定的標準或最佳慣例進行比較，找出不當之處，并按照標準或最佳慣例的推薦，選擇安全措施，從而消減和控制風險。,7 信息安全風險評估方法,7.2 典型的信息安全風險評估方法 7.2.1 風險矩陣測量法 ——風險矩陣測量法是事先建立資產價值、威脅等級和脆弱性等級的一個對應矩陣，預先將風險等級進行了確定，然后根據不同資產的賦值從矩陣中確定不同的風險。 當一個系統(tǒng)是由若干個資產構成時，先分別計算資產所面臨的風險，然后計算總值，即ST=，其中，Ai是系統(tǒng)S的組成，T是其面臨的威脅。,例3：某資產所面臨的威脅有A～F，通過判斷，其影響值和發(fā)生可能性（均采用5個等級確定）如表54所示，而風險的測量采用以上兩值的