【正文】 施化解風(fēng)險、控制風(fēng)險。各個國家越來越重視信息安全風(fēng)險評估工作，提倡信息安全風(fēng)險評估制度化。,1 信息安全風(fēng)險評估發(fā)展概況,1.2 我國信息安全風(fēng)險評估的發(fā)展現(xiàn)狀 我國的信息安全評估工作是隨著對信息安全問題的認(rèn)識的逐步深化不斷發(fā)展的。 4．保密原則 與評估對象簽署保密協(xié)議和非侵害性協(xié)議，要求參與評估的單位或個人對評估過程和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何企業(yè)和個人。 4.4.1 基線風(fēng)險評估 基線評估的優(yōu)點是需要的資源少、周期短、操作簡單等。信息安全是組織內(nèi)每個人的職責(zé)，而不只是IT部門的職責(zé)。 過程2：收集業(yè)務(wù)區(qū)域管理部門的觀點。 本階段主要由2個過程組成： 通過這種方法，3～5人的評估小組就可以完成整個評估活動。分析小組對關(guān)鍵資產(chǎn)的支持系統(tǒng)中的訪問路徑進(jìn)行分析，并確定這些技術(shù)措施對關(guān)鍵資產(chǎn)的保護(hù)程度；,3．第3階段：開發(fā)安全策略和計劃 本階段主要由2個過程組成： 同時模型還定義了5個能力成熟度等級.,從整體上看，SSECMM模型定義了一個“二維”架構(gòu)，橫軸上是11個系統(tǒng)安全工程的過程域，縱軸上是5個能力成熟度等級，如果給每個過程域賦予一個能力成熟度等級的評定，所得到的“二維”圖形便形象地反映了安全工程的質(zhì)量以及工程在安全上的可信度，也間接地反映了工程隊伍實施安全系統(tǒng)工程的能力成熟性。用可信度描述對建立的安全系統(tǒng)正確執(zhí)行其安全功能的信心究竟有多大度。過程域的所有基本實踐均應(yīng)依照一組完善定義的操作規(guī)范來進(jìn)行。,5.3 GAO/AIMD99139,1998年5月美國審計總署(GAO)出版了《信息安全管理指南一向先進(jìn)公司學(xué)習(xí)》(GAO/AIMD9868)，并出版了其支持性文件《信息安全風(fēng)險評估指南—— 向先進(jìn)公司學(xué)習(xí)》(GAO/AIMD99139)，GAO/AIMD99139風(fēng)險評估指南有針對性的對風(fēng)險評估過程進(jìn)行了分析和闡述，是在開展類似公司風(fēng)險評估工作的過程中可以參考和借鑒的標(biāo)準(zhǔn)。,6 我國信息安全風(fēng)險評估標(biāo)準(zhǔn)GB/T 209842007,6.1 GB/T 209842007簡介 隨著我國信息化應(yīng)用的逐步深入，信息安全問題也日益受到關(guān)注，針對我國沒有信息安全風(fēng)險評估標(biāo)準(zhǔn)的現(xiàn)狀，2004年，國信辦組織專家啟動信息安全了風(fēng)險評估的研究與標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)編制工作于2004年3月正式啟動，2007年7月通過了國家標(biāo)準(zhǔn)化管理委員會的審查批準(zhǔn)，標(biāo)準(zhǔn)編號和名稱為GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》于2007年11月正式實施。從技術(shù)和管理兩個方面對評估對象存在的脆弱性進(jìn)行識別并賦值。,1.2 技術(shù)評估和整體評估 技術(shù)評估 ——是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時的檢查，包括對組織內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點：技術(shù)評估強(qiáng)調(diào)組織的技術(shù)脆弱性，評估整個系統(tǒng)的計算基礎(chǔ)結(jié)構(gòu)并對檢測到的技術(shù)弱點提出解決措施。,2．定量評估 ——是對構(gòu)成風(fēng)險的各個要素和潛在的損失的水平賦予數(shù)值或貨幣值?；谥R的風(fēng)險評估方法充分利用多年來開發(fā)的保護(hù)措施和安全實踐，依照組織的相似性程度進(jìn)行快速的安全實施和包裝，以減少組織的安全風(fēng)險。 ——假設(shè)威脅發(fā)生的可能性定性劃分為3級，脆弱性被利用的可能性也定性劃分為3級，受到威脅的資產(chǎn)值定性劃分為5級，資產(chǎn)風(fēng)險判別矩陣如表52所示。 根據(jù)表52，可知相應(yīng)的風(fēng)險值，見表53，風(fēng)險總值ST=4+5+7=16。在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)—威脅—風(fēng)險”的關(guān)系。該方法中，矩陣簡化為只包含T和V兩個等級，表示可接受風(fēng)險和不可接受風(fēng)險，如表56所示。規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。在安全需求變更和設(shè)計變更后，也需要重復(fù)這項評估。 本階段的信息安全風(fēng)險評估可以采取對照實施方案和標(biāo)準(zhǔn)要求的方式，對實際建設(shè)結(jié)果進(jìn)行測試、分析。重大變更包括以下變更（但不限于）： 1．增加新的應(yīng)用或應(yīng)用發(fā)生較大變更； 2．網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更； 3．技術(shù)平臺大規(guī)模的更新； 4．系統(tǒng)擴(kuò)容或改造； 5．發(fā)生重大安全事件后，或基于某些運(yùn)行記錄懷疑將發(fā)生重大安全事件； 6．組織結(jié)構(gòu)發(fā)生重大變動對系統(tǒng)產(chǎn)生影響。,習(xí)題5,一.簡單題 1. 什么是信息安全風(fēng)險評估？有那些形式？ 2．信息安全風(fēng)險評估的標(biāo)準(zhǔn)有那些？簡述之。 實驗內(nèi)容：使用OCTAVE Method、OCTAVES進(jìn)行信息安全風(fēng)險評估。 二.計算題 1．假設(shè)某系統(tǒng)有2個重要資產(chǎn)，資產(chǎn)A資產(chǎn)A2，資產(chǎn)所面臨的威脅以及威脅可利用資產(chǎn)的脆弱性見表57，括號內(nèi)是相應(yīng)的其資產(chǎn)值或等級值。根據(jù)廢棄的程度，分為部分廢棄和全部廢棄兩種。 ——評估內(nèi)容包括對真實運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)需求分析報告或建設(shè)實施方案中。評估著重以下幾方面： 1．是否依據(jù)相關(guān)規(guī)則，建立了業(yè)務(wù)戰(zhàn)略相一致的信息系統(tǒng)安全規(guī)劃，并得到最高管理者的認(rèn)可；,2．系統(tǒng)規(guī)劃中是否明確信息系統(tǒng)開發(fā)的組織、業(yè)務(wù)變更的管理、開發(fā)優(yōu)先級； 3．系統(tǒng)規(guī)劃中是否考慮信息系統(tǒng)的威脅、環(huán)境，并制定總體的安全方針； 4．系統(tǒng)規(guī)劃中是否描述信息系統(tǒng)預(yù)期使用的信息，包括預(yù)期的應(yīng)用、信息資產(chǎn)的重要性、潛在的價值、可能的使用限制、對業(yè)務(wù)的支持程度等； 5．系統(tǒng)規(guī)劃中是否描述所有與信息系統(tǒng)安全相關(guān)的運(yùn)行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全政策、專門技術(shù)和知識等。 圖51 風(fēng)險矩陣,通過該矩陣，能夠在風(fēng)險分析過程中識別風(fēng)險，并同時識別控制措施。與風(fēng)險矩陣法和威脅分級法不同，風(fēng)險綜合評價法對控制措施的采用進(jìn)行了單獨的考慮。識別威脅的過程可以通過兩種方式來完成：一是準(zhǔn)備威脅列表，讓系統(tǒng)所有者去選擇相應(yīng)的資產(chǎn)的威脅；二是由評估團(tuán)隊的人員識別相關(guān)的威脅，進(jìn)行分析和歸類。,表52 資產(chǎn)風(fēng)險判別矩陣 對于每一資產(chǎn)的風(fēng)險，都將考慮資產(chǎn)價值、威脅等級和脆弱性等級 。安全風(fēng)險評估是一個非常復(fù)雜的任務(wù)，這要求存在一個方法既能描述系統(tǒng)的細(xì)節(jié)又能描述系統(tǒng)的整體。 優(yōu)點：結(jié)果直觀，容易理解 ； 缺點：它要求特別關(guān)注資產(chǎn)的價值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的 。,2. 整體評估 ——擴(kuò)展了技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。,6．風(fēng)險分析 采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。,前言：對本標(biāo)準(zhǔn)的制定作了簡單介紹； 引言：簡單介紹了信息安全風(fēng)險評估的重要性； 第 1章 范圍：闡述了本標(biāo)準(zhǔn)的范圍； 第2章 規(guī)范性引用文件：闡述了本標(biāo)準(zhǔn)的規(guī)范