【正文】 資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個資產(chǎn)價(jià)值評價(jià)尺度，以指導(dǎo)資產(chǎn)賦值。表4提供了一種可用性賦值的參考?！?威脅識別威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。表7提供了一種基于表現(xiàn)形式的威脅分類方法。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。脆弱性嚴(yán)重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合。如矩陣法或相乘法，通過構(gòu)造經(jīng)驗(yàn)函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系；運(yùn)用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風(fēng)險(xiǎn)值。在對于不可接受風(fēng)險(xiǎn)選擇適當(dāng)?shù)陌踩胧┖?，為確保安全措施的有效性，可進(jìn)行再評估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。圖4列出了生命周期各階段中的安全活動。本階段評估中，資產(chǎn)、脆弱性不需要識別；威脅應(yīng)根據(jù)未來系統(tǒng)的應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進(jìn)行分析。重點(diǎn)分析來自物理環(huán)境和自然的威脅，由于內(nèi)、外部入侵等造成的威脅；（3）設(shè)計(jì)開發(fā)計(jì)劃是否明確目的、業(yè)務(wù)對象、費(fèi)用、效果等各項(xiàng)內(nèi)容；（4）是否采取了一定的手段應(yīng)對系統(tǒng)可能的故障；（5）對設(shè)計(jì)或者原型中的技術(shù)實(shí)現(xiàn)以及人員、組織管理等各方面的脆弱性進(jìn)行評估，包括設(shè)計(jì)過程中的管理脆弱性和技術(shù)平臺固有的脆弱性。實(shí)施階段風(fēng)險(xiǎn)評估包括開發(fā)與獲取階段、實(shí)施交付階段兩部分評估。（1）資產(chǎn)評估：對真實(shí)環(huán)境下較為細(xì)致的評估，包括實(shí)施階段采購的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等?！?廢棄階段廢棄階段風(fēng)險(xiǎn)評估的目的是確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)膹U棄處置，并確保系統(tǒng)更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。檢查評估是在對自評估過程記錄與評估結(jié)果的基礎(chǔ)上，驗(yàn)證和確認(rèn)系統(tǒng)存在的技術(shù)、管理、運(yùn)行風(fēng)險(xiǎn)，以及用戶實(shí)施自評估后采取風(fēng)險(xiǎn)控制措施取得的效果。表13說明了自評估和檢查評估兩類評估形式的特點(diǎn)、適用情況和各類角色。缺點(diǎn)：單次檢查評估的間隔時(shí)間比較長，檢查時(shí)間比較短，很難對信息系統(tǒng)的整體風(fēng)險(xiǎn)狀況做出完整的評價(jià)，只能就特定的關(guān)鍵點(diǎn)檢查被評估系統(tǒng)是否達(dá)到要求。這幾種方法在使用中各有側(cè)重點(diǎn)，評估者可以根據(jù)組織的需求和實(shí)際情況，選擇相應(yīng)的判斷方法和過程。由上表可以推知，風(fēng)險(xiǎn)矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴(kuò)大。對每種資產(chǎn)和相應(yīng)威脅計(jì)算其總資產(chǎn)風(fēng)險(xiǎn)值。在確定威脅的影響值和威脅發(fā)生的可能性之后，計(jì)算風(fēng)險(xiǎn)值。與風(fēng)險(xiǎn)矩陣法和威脅分級法不同，本方法將控制措施的采用引入風(fēng)險(xiǎn)的評價(jià)之中。在威脅發(fā)生的可能性和威脅的影響確定后，計(jì)算總的影響值。完整性機(jī)密性可用性意外事件故意行為不希望發(fā)生的事件未授權(quán)發(fā)生的事件修改或破壞信息泄露信息信息或服務(wù)中斷　風(fēng)險(xiǎn)矩陣通過這個矩陣，在風(fēng)險(xiǎn)分析過程中識別風(fēng)險(xiǎn)，同時(shí)識別控制措施。不希望發(fā)生的事件存儲介質(zhì)意外損壞……故意行為數(shù)據(jù)備份措施……系統(tǒng)軟件評估工具主要用于對一些信息系統(tǒng)的部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的漏洞進(jìn)行分析，或?qū)嵤┗诼┒吹墓?；安全管理評價(jià)工具則根據(jù)一定的安全管理模型，基于專家經(jīng)驗(yàn)，對輸入輸出進(jìn)行模型分析。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影響，并且尋找系統(tǒng)脆弱點(diǎn)。安全審計(jì)工具主要是用來記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)安全現(xiàn)狀，其所提供的審計(jì)記錄為風(fēng)險(xiǎn)評估提供安全現(xiàn)狀數(shù)據(jù)。　 風(fēng)險(xiǎn)評估輔助工具風(fēng)險(xiǎn)評估輔助工具主要用來收集評估所需要的數(shù)據(jù)和資料，幫助完成現(xiàn)狀分析和趨勢分析。常用的評估工具包括：CRAMM(CCTA Risk Analysis arid Management Method)、COBRA（Consultative,Objective and Bifunctional Risk Analysis）、ASSET、RISK等系統(tǒng)軟件評估工具　 系統(tǒng)軟件評估工具系統(tǒng)軟件評估工具包括脆弱點(diǎn)掃描工具和滲透性測試工具。風(fēng)險(xiǎn)評估的工具包括風(fēng)險(xiǎn)評估輔助工具、系統(tǒng)軟件評估工具、安全管理評價(jià)系統(tǒng)三類。檢查……重復(fù)輸入……在此基礎(chǔ)上根據(jù)公式求出總值，即風(fēng)險(xiǎn)值。將以上各值相加添入數(shù)值表中。在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風(fēng)險(xiǎn)”的對應(yīng)關(guān)系。一是準(zhǔn)備威脅列表，讓系統(tǒng)所有者去選擇相應(yīng)的資產(chǎn)的威脅，或由評估團(tuán)隊(duì)的人員識別相關(guān)的威脅，進(jìn)行分析和歸類。則A1的風(fēng)險(xiǎn)為4。查表可知風(fēng)險(xiǎn)值為5。非結(jié)構(gòu)化的風(fēng)險(xiǎn)計(jì)算方式通常都是建立在通用的威脅列表和脆弱性列表之上，用戶根據(jù)類表提供的線索對資產(chǎn)面臨的威脅和威脅可利用的脆弱性進(jìn)行選擇，從而確定風(fēng)險(xiǎn)。同時(shí)，受到機(jī)構(gòu)內(nèi)部各種不利因素的影響，自評估的結(jié)果可能損失一定的客觀性，從而降低評估結(jié)果的置信程度。他們在風(fēng)險(xiǎn)評估中的責(zé)任是不同的。自評估是由被評估組織發(fā)起的，依據(jù)國家法規(guī)與標(biāo)準(zhǔn)，對其所管理的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估活動。 運(yùn)維階段的風(fēng)險(xiǎn)評估應(yīng)定期執(zhí)行；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變化時(shí)，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評估。　 運(yùn)維階段運(yùn)維階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的信息系統(tǒng)安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評估。根據(jù)設(shè)計(jì)階段分析的威脅和建立的安全控制措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。評估對象是開發(fā)設(shè)計(jì)計(jì)劃和安全需求分析，對部分將二者合一的系統(tǒng)建設(shè)方案，則直接評審系統(tǒng)建設(shè)方案?！?規(guī)劃階段規(guī)劃階段風(fēng)險(xiǎn)評估的目的是識別系統(tǒng)的使命，用以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。 風(fēng)險(xiǎn)評估文件風(fēng)險(xiǎn)評估文件包括在整個風(fēng)險(xiǎn)評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：（1）風(fēng)險(xiǎn)評估計(jì)劃：闡述風(fēng)險(xiǎn)評估的目標(biāo)、范圍、團(tuán)隊(duì)、評估方法、評估結(jié)果的形式和實(shí)施進(jìn)度等；（2）風(fēng)險(xiǎn)評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實(shí)施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風(fēng)險(xiǎn)評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出現(xiàn)的頻率等；（6）脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴(yán)重程度等； （7）已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等；（8）風(fēng)險(xiǎn)評估報(bào)告：對整個風(fēng)險(xiǎn)評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象，風(fēng)險(xiǎn)評估方法，資產(chǎn)、威脅、脆弱性的識別結(jié)果，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；（9）風(fēng)險(xiǎn)處理計(jì)劃：對評估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險(xiǎn)的評價(jià)確保所選擇安全措施的有效性；（10）風(fēng)險(xiǎn)評估記錄：根據(jù)組織的風(fēng)險(xiǎn)評估程序文件，記錄對重要資產(chǎn)的風(fēng)險(xiǎn)評估過程。對某些風(fēng)險(xiǎn)，如果評估值小于或等于可接受風(fēng)險(xiǎn)閾值，是可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果評估值大于可接受風(fēng)險(xiǎn)閾值，是不可接受風(fēng)險(xiǎn)，則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。在計(jì)算某個安全事件的損失時(shí)，應(yīng)將對組織的影響也考慮在內(nèi)。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。表9　脆弱性識別內(nèi)容表類型　識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。表8　威脅賦值表等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實(shí)多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實(shí)曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生　 脆弱性識別脆弱性是對一個或多個資產(chǎn)弱點(diǎn)的總稱。表6提供了一種威脅來源的分類方法。表5提供了一種資產(chǎn)重要性等級劃分的參考。表3提供了一種完整性賦值的參考。表1列出了一種資產(chǎn)分類方法。機(jī)密性、完整性和可用性是評價(jià)資產(chǎn)的三個安全屬性?！?確定范圍基于風(fēng)險(xiǎn)評估目標(biāo)確定風(fēng)險(xiǎn)評估范圍是完成風(fēng)險(xiǎn)評估的前提。否是否圖3風(fēng)險(xiǎn)評估實(shí)施流程圖是風(fēng)險(xiǎn)評估準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的安全措施施施施選擇適當(dāng)?shù)陌踩胧┎⒃u估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)分析評估過程文檔評估過程文檔風(fēng)險(xiǎn)評估文件記錄評估結(jié)果文檔…………………6　 風(fēng)險(xiǎn)評估實(shí)施　 風(fēng)險(xiǎn)評估的準(zhǔn)備風(fēng)險(xiǎn)評估的準(zhǔn)備是整個風(fēng)險(xiǎn)評估過程有效性的保證。　　　　　　風(fēng)險(xiǎn)評估中各要素的關(guān)系如圖1所示：安全措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值圖1 風(fēng)險(xiǎn)要素關(guān)系圖圖1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。本標(biāo)準(zhǔn)也可以作為對信息安全感興趣或有責(zé)任的組織和個人的參考資料。本標(biāo)準(zhǔn)以下條款中所指的“風(fēng)險(xiǎn)評估”，其含義均為“信息安全風(fēng)險(xiǎn)評估”?！“踩枨? Security Requirement為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求?！⌒畔踩L(fēng)險(xiǎn)評估 Information Security Risk Assessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程。ISO/IEC 1