【正文】 資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。為確保資產(chǎn)賦值時的一致性和準確性，組織應建立一個資產(chǎn)價值評價尺度，以指導資產(chǎn)賦值。表4提供了一種可用性賦值的參考?！?威脅識別威脅是一種對組織及其資產(chǎn)構成潛在破壞的可能性因素，是客觀存在的。表7提供了一種基于表現(xiàn)形式的威脅分類方法。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題。網(wǎng)絡結構從網(wǎng)絡結構設計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等方面進行識別。脆弱性嚴重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴重程度的高低。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合。如矩陣法或相乘法，通過構造經(jīng)驗函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關系；運用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風險值。在對于不可接受風險選擇適當?shù)陌踩胧┖螅瑸榇_保安全措施的有效性，可進行再評估，以判斷實施安全措施后的殘余風險是否已經(jīng)降低到可接受的水平。圖4列出了生命周期各階段中的安全活動。本階段評估中，資產(chǎn)、脆弱性不需要識別；威脅應根據(jù)未來系統(tǒng)的應用對象、應用環(huán)境、業(yè)務狀況、操作要求等方面進行分析。重點分析來自物理環(huán)境和自然的威脅，由于內(nèi)、外部入侵等造成的威脅；（3）設計開發(fā)計劃是否明確目的、業(yè)務對象、費用、效果等各項內(nèi)容；（4）是否采取了一定的手段應對系統(tǒng)可能的故障；（5）對設計或者原型中的技術實現(xiàn)以及人員、組織管理等各方面的脆弱性進行評估，包括設計過程中的管理脆弱性和技術平臺固有的脆弱性。實施階段風險評估包括開發(fā)與獲取階段、實施交付階段兩部分評估。（1）資產(chǎn)評估：對真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人員與服務等?！?廢棄階段廢棄階段風險評估的目的是確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)膹U棄處置，并確保系統(tǒng)更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。檢查評估是在對自評估過程記錄與評估結果的基礎上，驗證和確認系統(tǒng)存在的技術、管理、運行風險，以及用戶實施自評估后采取風險控制措施取得的效果。表13說明了自評估和檢查評估兩類評估形式的特點、適用情況和各類角色。缺點：單次檢查評估的間隔時間比較長，檢查時間比較短，很難對信息系統(tǒng)的整體風險狀況做出完整的評價，只能就特定的關鍵點檢查被評估系統(tǒng)是否達到要求。這幾種方法在使用中各有側重點，評估者可以根據(jù)組織的需求和實際情況，選擇相應的判斷方法和過程。由上表可以推知，風險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴大。對每種資產(chǎn)和相應威脅計算其總資產(chǎn)風險值。在確定威脅的影響值和威脅發(fā)生的可能性之后，計算風險值。與風險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風險的評價之中。在威脅發(fā)生的可能性和威脅的影響確定后，計算總的影響值。完整性機密性可用性意外事件故意行為不希望發(fā)生的事件未授權發(fā)生的事件修改或破壞信息泄露信息信息或服務中斷　風險矩陣通過這個矩陣，在風險分析過程中識別風險，同時識別控制措施。不希望發(fā)生的事件存儲介質意外損壞……故意行為數(shù)據(jù)備份措施……系統(tǒng)軟件評估工具主要用于對一些信息系統(tǒng)的部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備等）的漏洞進行分析，或實施基于漏洞的攻擊；安全管理評價工具則根據(jù)一定的安全管理模型，基于專家經(jīng)驗，對輸入輸出進行模型分析。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影響，并且尋找系統(tǒng)脆弱點。安全審計工具主要是用來記錄網(wǎng)絡行為，分析系統(tǒng)或網(wǎng)絡安全現(xiàn)狀，其所提供的審計記錄為風險評估提供安全現(xiàn)狀數(shù)據(jù)?！?風險評估輔助工具風險評估輔助工具主要用來收集評估所需要的數(shù)據(jù)和資料，幫助完成現(xiàn)狀分析和趨勢分析。常用的評估工具包括：CRAMM(CCTA Risk Analysis arid Management Method)、COBRA（Consultative,Objective and Bifunctional Risk Analysis）、ASSET、RISK等系統(tǒng)軟件評估工具　 系統(tǒng)軟件評估工具系統(tǒng)軟件評估工具包括脆弱點掃描工具和滲透性測試工具。風險評估的工具包括風險評估輔助工具、系統(tǒng)軟件評估工具、安全管理評價系統(tǒng)三類。檢查……重復輸入……在此基礎上根據(jù)公式求出總值，即風險值。將以上各值相加添入數(shù)值表中。在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風險”的對應關系。一是準備威脅列表，讓系統(tǒng)所有者去選擇相應的資產(chǎn)的威脅，或由評估團隊的人員識別相關的威脅，進行分析和歸類。則A1的風險為4。查表可知風險值為5。非結構化的風險計算方式通常都是建立在通用的威脅列表和脆弱性列表之上，用戶根據(jù)類表提供的線索對資產(chǎn)面臨的威脅和威脅可利用的脆弱性進行選擇，從而確定風險。同時，受到機構內(nèi)部各種不利因素的影響，自評估的結果可能損失一定的客觀性，從而降低評估結果的置信程度。他們在風險評估中的責任是不同的。自評估是由被評估組織發(fā)起的，依據(jù)國家法規(guī)與標準，對其所管理的信息系統(tǒng)進行的風險評估活動。 運維階段的風險評估應定期執(zhí)行；當組織的業(yè)務流程、系統(tǒng)狀況發(fā)生重大變化時，也應進行風險評估。　 運維階段運維階段風險評估的目的是了解和控制運行過程中的信息系統(tǒng)安全風險，是一種較為全面的風險評估。根據(jù)設計階段分析的威脅和建立的安全控制措施，在實施及驗收時進行質量控制。評估對象是開發(fā)設計計劃和安全需求分析，對部分將二者合一的系統(tǒng)建設方案，則直接評審系統(tǒng)建設方案?！?規(guī)劃階段規(guī)劃階段風險評估的目的是識別系統(tǒng)的使命，用以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。 風險評估文件風險評估文件包括在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結果文檔，包括（但不僅限于此）：（1）風險評估計劃：闡述風險評估的目標、范圍、團隊、評估方法、評估結果的形式和實施進度等；（2）風險評估程序：明確評估的目的、職責、過程、相關的文件要求，并且準備實施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風險評估程序文件中所確定的資產(chǎn)分類方法進行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應明確各資產(chǎn)的責任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等；（6）脆弱性列表：根據(jù)脆弱性識別和賦值的結果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴重程度等； （7）已有安全措施確認表：根據(jù)已采取的安全措施確認的結果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；（8）風險評估報告：對整個風險評估過程和結果進行總結，詳細說明被評估對象，風險評估方法，資產(chǎn)、威脅、脆弱性的識別結果，風險分析、風險統(tǒng)計和結論等內(nèi)容；（9）風險處理計劃：對評估結果中不可接受的風險制定風險處理計劃，選擇適當?shù)目刂颇繕思鞍踩胧?，明確責任、進度、資源，并通過對殘余風險的評價確保所選擇安全措施的有效性；（10）風險評估記錄：根據(jù)組織的風險評估程序文件，記錄對重要資產(chǎn)的風險評估過程。對某些風險，如果評估值小于或等于可接受風險閾值，是可接受風險，可保持已有的安全措施；如果評估值大于可接受風險閾值，是不可接受風險，則需要采取安全措施以降低、控制風險。在計算某個安全事件的損失時，應將對組織的影響也考慮在內(nèi)。預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務持續(xù)性計劃。對某個資產(chǎn)，其技術脆弱性的嚴重程度受到組織的管理脆弱性的影響。表9　脆弱性識別內(nèi)容表類型　識別對象識別內(nèi)容技術脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設備管理等方面進行識別。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。表8　威脅賦值表等級標識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生　 脆弱性識別脆弱性是對一個或多個資產(chǎn)弱點的總稱。表6提供了一種威脅來源的分類方法。表5提供了一種資產(chǎn)重要性等級劃分的參考。表3提供了一種完整性賦值的參考。表1列出了一種資產(chǎn)分類方法。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性?！?確定范圍基于風險評估目標確定風險評估范圍是完成風險評估的前提。否是否圖3風險評估實施流程圖是風險評估準備已有安全措施的確認風險計算風險是否接受保持已有的安全措施施施施選擇適當?shù)陌踩胧┎⒃u估殘余風險實施風險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風險 風險分析評估過程文檔評估過程文檔風險評估文件記錄評估結果文檔…………………6　 風險評估實施　 風險評估的準備風險評估的準備是整個風險評估過程有效性的保證。　　　　　　風險評估中各要素的關系如圖1所示：安全措施 抵御業(yè)務戰(zhàn)略脆弱性安全需求威脅風險殘余風險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值圖1 風險要素關系圖圖1中方框部分的內(nèi)容為風險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關的屬性。本標準也可以作為對信息安全感興趣或有責任的組織和個人的參考資料。本標準以下條款中所指的“風險評估”，其含義均為“信息安全風險評估”?！“踩枨? Security Requirement為保證組織業(yè)務戰(zhàn)略的正常運作而在安全措施方面提出的要求。　信息安全風險評估 Information Security Risk Assessment依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。ISO/IEC 1