【正文】 臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)等硬環(huán)境和 軟環(huán)境 ?信息 安全風(fēng)險(xiǎn) 管理涉及信息 安全上述三個(gè) 方面包含 的所有相關(guān) 對(duì)象 ?對(duì)于一個(gè)具體的信息系統(tǒng) ，風(fēng)險(xiǎn) 管理選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同 20 知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ) 知識(shí)子域： 信息安全風(fēng)險(xiǎn)相關(guān)政策與標(biāo)準(zhǔn) ?了解 我國有關(guān)信息安全風(fēng)險(xiǎn)管理的政策要求 ?了解信息安全風(fēng)險(xiǎn)管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn) 21 我國有關(guān)信息安全風(fēng)險(xiǎn)管理的政策要求 ?《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)［ 2023］ 27號(hào)）明確提出要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，將風(fēng)險(xiǎn)評(píng)估作為提高我國信息安全保障水平的一項(xiàng)重要 舉措 ?《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》 （國信辦[2023]5號(hào)），就信息安全風(fēng)險(xiǎn)評(píng)估工作的基本內(nèi)容和原則，以及開展信息安全風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排等做出規(guī)定和 部署 ?《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》 （發(fā)改高技 [2023]2071號(hào) ），規(guī)范了 國家 電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估 工作 22 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 （國信辦 [2023]5號(hào) ） 的 實(shí)施要求 ?信息 安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全 生命周期。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù) … 逐步往下細(xì)化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 79 按信息形態(tài)分類 資產(chǎn)識(shí)別 80 業(yè) 務(wù) 系 統(tǒng) 1業(yè) 務(wù) 過 程 1 1 業(yè) 務(wù) 過 程 1 2信 息 系 統(tǒng) 1 信 息 系 統(tǒng) 2信 息 子 系 統(tǒng) 1 1 信 息 子 系 統(tǒng) 1 2軟 件 4軟 件 1 軟 件 2硬 件 1軟 件 3 軟 件 5硬 件 2 硬 件 3 硬 件 4環(huán) 境 1 環(huán) 境 2業(yè)務(wù)系統(tǒng)信息系統(tǒng)系統(tǒng)組件業(yè) 務(wù) 活 動(dòng) 1 1 1 業(yè) 務(wù) 活 動(dòng) 1 1 2 業(yè) 務(wù) 活 動(dòng) 1 2 1 業(yè) 務(wù) 活 動(dòng) 1 2 2圖 例A依賴于BAB81 威 脅識(shí)別 ? 威脅識(shí)別與資產(chǎn)識(shí)別是何關(guān)系？ 點(diǎn)和面：重點(diǎn)識(shí)別和全面識(shí)別 ? 威脅識(shí)別的重點(diǎn)和難點(diǎn)是什么 ？ 三問：“敵人”在哪兒？效果如何？如何取證？ ? 威脅識(shí)別的方法有哪些？ 日志分析 歷史安全事件 專家經(jīng)驗(yàn) 互聯(lián)網(wǎng)信息檢索 威脅分類 ?分為： ? 人為故意威脅 ? 威脅意圖評(píng)估、威脅能力評(píng)估、操作限制評(píng)估、威脅源特點(diǎn)評(píng)估 ? 人為非故意威脅 ? 判定威脅源、評(píng)估威脅源特點(diǎn)、評(píng)估威脅源環(huán)境、評(píng)估事故發(fā)生時(shí)間 ? 自然威脅 ? 地震、海嘯、洪水 82 83 脆 弱性識(shí)別 ? 脆弱性識(shí)別的難點(diǎn)是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 ? 脆弱性識(shí)別的方法有哪些？ 脆弱性 分類 ? 管理脆弱性（如缺少管理制度） ? 結(jié)構(gòu) 脆弱性（如安全域劃分 不當(dāng)） ? 操作 脆弱性（如安全審計(jì)員業(yè)務(wù)生疏 ） ? 技術(shù)脆弱性（如系統(tǒng)有 bug） ? 物理脆弱性（如一層的窗子沒有防護(hù)欄） ? 脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？ 驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證 脆弱性識(shí)別內(nèi)容 84 常見脆弱性識(shí)別工作方式 85 脆弱性識(shí)別方式 工作對(duì)象 安全配置核查 服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件 漏洞掃描 主機(jī)、應(yīng)用程序 滲透測試 系統(tǒng)各個(gè)層面 安全架構(gòu)分析 系統(tǒng)各個(gè)層面 數(shù)據(jù)流分析 網(wǎng)絡(luò)中的數(shù)據(jù)流 訪談 管理人員及系統(tǒng)開發(fā)、運(yùn)維技術(shù)人員 ... ... 確認(rèn)已有的安全控制 ?考慮： ? 預(yù)防性措施 ? 檢測性措施 ? 糾正性 措施 ? 威懾性 措施 86 87 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析 ?GB/T 209842023《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 給出信息安全風(fēng)險(xiǎn)分析思路 88 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價(jià) 值安 全 事 件 的 可 能 性安 全 事 件 造 成 的 損 失風(fēng) 險(xiǎn) 值威 脅 識(shí) 別脆 弱 性 識(shí) 別資 產(chǎn) 識(shí) 別風(fēng)險(xiǎn) 值 = R（ A， T， V） = R（ L（ T， V）， F（ Ia， Va ）） ? R表示安全風(fēng)險(xiǎn)計(jì)算 函數(shù) ? A表示 資產(chǎn) ? T表示 威脅 ? V表示 脆弱性 ? Ia表示安全事件所作用的資產(chǎn) 價(jià)值 ? Va表示脆弱性嚴(yán)重 程度 ? L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的 可能性 ? F表示安全事件發(fā)生后造成的損失 89 風(fēng)險(xiǎn)結(jié)果判定 知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估 知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估 工具 ?了解 風(fēng)險(xiǎn)評(píng)估工具的分類 ?了解常用風(fēng)險(xiǎn)評(píng)估 工具 90 風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具 ? 主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓? ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù) 91 92 風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 基于標(biāo)準(zhǔn)的工具 ，如基于 NIST SP 80030或 ISO 27005開發(fā)的工具 ? 基于知識(shí) 的工具 ，綜合各種 風(fēng)險(xiǎn)分析 方法，形成知識(shí)庫 ，以此為基礎(chǔ)完成綜合評(píng)估 ? 基于模型 的工具 ，對(duì) 典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估 工具 ? 脆弱性掃描 工具 ： 基于網(wǎng)絡(luò)的掃描器、基于主機(jī)的掃描器、分布式網(wǎng)絡(luò) 掃描器 、 數(shù)據(jù)庫 脆弱性掃描器 ? 滲透性測試 工具 ： 黑客工具、腳本文件 ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 檢查列表、入侵檢測系統(tǒng)、安全審計(jì)工具、拓?fù)浒l(fā)現(xiàn)工具和資產(chǎn)信息收集系統(tǒng) ，用于 評(píng)估過程參考的評(píng)估指標(biāo)庫、知識(shí)庫、漏洞庫、算法庫和模型庫 謝謝，請(qǐng)?zhí)釂栴}！ 靜夜四無鄰，荒居舊業(yè)貧。 2023年 1月 23日星期一 8時(shí) 29分 42秒 20:29:4223 January 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 :29:4220:29:42January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1業(yè)余生活要有意義，不要越軌。 下午 8時(shí) 29分 42秒 下午 8時(shí) 29分 20:29: 楊柳散和風(fēng)，青山澹吾慮。 , January 23, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 20:29:4220:29:4220:291/23/2023 8:29:42 PM 1以我獨(dú)沈久，愧君相見頻。要求： ? 參與 信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù) ? 風(fēng)險(xiǎn) 評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密 協(xié)議 ? 對(duì) 關(guān)系國計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行 24 《 關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 》 （ 發(fā)改高技 【 2023】 2071號(hào) ） ?電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作 ?項(xiàng)目 建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù) ?項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告 ?系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)評(píng)估 25 信息 安全風(fēng)險(xiǎn)管理相關(guān)的國內(nèi)外標(biāo)準(zhǔn)