【正文】 構(gòu)分析 系統(tǒng)各個(gè)層面 數(shù)據(jù)流分析 網(wǎng)絡(luò)中的數(shù)據(jù)流 訪談 管理人員及系統(tǒng)開(kāi)發(fā)、運(yùn)維技術(shù)人員 ... ... 確認(rèn)已有的安全控制 ?考慮： ? 預(yù)防性措施 ? 檢測(cè)性措施 ? 糾正性 措施 ? 威懾性 措施 86 87 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析 ?GB/T 209842023《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 給出信息安全風(fēng)險(xiǎn)分析思路 88 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價(jià) 值安 全 事 件 的 可 能 性安 全 事 件 造 成 的 損 失風(fēng) 險(xiǎn) 值威 脅 識(shí) 別脆 弱 性 識(shí) 別資 產(chǎn) 識(shí) 別風(fēng)險(xiǎn) 值 = R（ A， T， V） = R（ L（ T， V）， F（ Ia， Va ）） ? R表示安全風(fēng)險(xiǎn)計(jì)算 函數(shù) ? A表示 資產(chǎn) ? T表示 威脅 ? V表示 脆弱性 ? Ia表示安全事件所作用的資產(chǎn) 價(jià)值 ? Va表示脆弱性嚴(yán)重 程度 ? L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的 可能性 ? F表示安全事件發(fā)生后造成的損失 89 風(fēng)險(xiǎn)結(jié)果判定 知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估 知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估 工具 ?了解 風(fēng)險(xiǎn)評(píng)估工具的分類(lèi) ?了解常用風(fēng)險(xiǎn)評(píng)估 工具 90 風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 一套集成了風(fēng)險(xiǎn)評(píng)估各類(lèi)知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具 ? 主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓? ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù) 91 92 風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估與管理工具 ? 基于標(biāo)準(zhǔn)的工具 ，如基于 NIST SP 80030或 ISO 27005開(kāi)發(fā)的工具 ? 基于知識(shí) 的工具 ，綜合各種 風(fēng)險(xiǎn)分析 方法，形成知識(shí)庫(kù) ，以此為基礎(chǔ)完成綜合評(píng)估 ? 基于模型 的工具 ，對(duì) 典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估 工具 ? 脆弱性掃描 工具 ： 基于網(wǎng)絡(luò)的掃描器、基于主機(jī)的掃描器、分布式網(wǎng)絡(luò) 掃描器 、 數(shù)據(jù)庫(kù) 脆弱性掃描器 ? 滲透性測(cè)試 工具 ： 黑客工具、腳本文件 ?風(fēng)險(xiǎn)評(píng)估輔助工具 ? 檢查列表、入侵檢測(cè)系統(tǒng)、安全審計(jì)工具、拓?fù)浒l(fā)現(xiàn)工具和資產(chǎn)信息收集系統(tǒng) ，用于 評(píng)估過(guò)程參考的評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)和模型庫(kù) 謝謝，請(qǐng)?zhí)釂?wèn)題！ 靜夜四無(wú)鄰，荒居舊業(yè)貧。 SLE 乘以 ARO 即可計(jì)算出該值（ ALE 類(lèi)似于定性風(fēng)險(xiǎn)分析的相對(duì)級(jí)別） ?步驟 5 確定控制成本 ? 控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險(xiǎn)的發(fā)生而應(yīng)投入的費(fèi)用 ?步驟 6 安全投資收益 ROSI ? ROSI = (實(shí)施控制前的 ALE） – （實(shí)施控制后的 ALE） – （年控制成本） 70 定量風(fēng)險(xiǎn)分析 —— 年度預(yù)期損失法（續(xù)） 定性分析與定量分析 71 定量 定性 優(yōu)點(diǎn) ? 結(jié)果可用貨幣值和具體數(shù)據(jù) （ 如百分比 ）來(lái)表達(dá) ? 按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級(jí) ? 通過(guò)安全投資收益分析推動(dòng)風(fēng)險(xiǎn)管理 ? 隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗(yàn) ，其精確度將隨時(shí)間的推移而提高 ? 可以對(duì)風(fēng)險(xiǎn)的處置排定優(yōu)先順序 ? 更容易達(dá)成一致意見(jiàn) ? 無(wú)需量化威脅頻率 ? 無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值 ? 更便于非安全或計(jì)算機(jī)專業(yè)人員的參與 缺點(diǎn) ? 分配給風(fēng)險(xiǎn)的影響值以參與者的主觀意見(jiàn)為基礎(chǔ) ? 達(dá)成可靠結(jié)果和一致意見(jiàn)的流程非常耗時(shí) ? 計(jì)算可能會(huì)非常復(fù)雜且耗時(shí) ? 流程專業(yè)技術(shù)性強(qiáng) ， 參與者若未獲指導(dǎo)則無(wú)法輕松執(zhí)行流程 ? 在重要的風(fēng)險(xiǎn)之間沒(méi)有足夠的區(qū)別 ? 沒(méi)有為成本效益分析 ， 難以證明投資控制措施是否正確 ? 結(jié)果取決于風(fēng)險(xiǎn)管理團(tuán)隊(duì)的素質(zhì) 、經(jīng)驗(yàn)和知識(shí)技能 ?在 風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn) 要素賦值 的 方式 ，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值 化 ?在 實(shí)際的風(fēng)險(xiǎn)分析活動(dòng)中，經(jīng)常采用半定量的風(fēng)險(xiǎn)分析 方法 72 半定量風(fēng)險(xiǎn)分析 半定量風(fēng)險(xiǎn)分析 —— 相乘法 風(fēng)險(xiǎn)值 1 4 5 9 10 16 20 25 風(fēng)險(xiǎn)等級(jí) 1 2 3 4 73 可能性 影響 可以忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5（幾乎肯定） 5 10 15 20 25 4 （很可能） 4 8 12 16 20 3 ( 可能） 3 6 9 12 15 2（不太可能） 2 4 6 8 10 1 （罕見(jiàn)） 1 2 3 4 5 知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估 知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估的實(shí)施流程 ?掌握 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的工作內(nèi)容 ?掌握風(fēng)險(xiǎn)要素識(shí)別階段的工作內(nèi)容 ?掌握風(fēng)險(xiǎn)分析階段的工作內(nèi)容和工作步驟 ?掌握風(fēng)險(xiǎn)結(jié)果判定階段的工作內(nèi)容 74 ?風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 ?風(fēng)險(xiǎn)要素識(shí)別 ?風(fēng)險(xiǎn)分析 ?風(fēng)險(xiǎn)結(jié)果判定 75 風(fēng)險(xiǎn)評(píng)估實(shí)施流程 76 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 77 風(fēng)險(xiǎn)要素識(shí)別 78 資 產(chǎn)識(shí)別 ? 資產(chǎn)識(shí)別在整個(gè)風(fēng)險(xiǎn)評(píng)估中起什么作用？ 兩點(diǎn)：是整個(gè)風(fēng)險(xiǎn)評(píng)估工作的起點(diǎn)和終點(diǎn) ? 資產(chǎn)識(shí)別的重點(diǎn)和難點(diǎn)是什么？ 一線：業(yè)務(wù)戰(zhàn)略 → 信息化戰(zhàn)略 → 系統(tǒng)特征（管理 /技術(shù)） ? 資產(chǎn)識(shí)別的方法有哪些？ 資產(chǎn)分類(lèi)：樹(shù)狀法。 2023年 1月 23日星期一 下午 8時(shí) 29分 42秒 20:29: 1楚塞三湘接，荊門(mén)九派通。 2023年 1月 23日星期一 8時(shí) 29分 42秒 20:29:4223 January 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 20:29:4220:29:4220:291/23/2023 8:29:42 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 ? 現(xiàn)存風(fēng)險(xiǎn)判斷：判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受，哪些不可以 ? 處理目標(biāo)確認(rèn)：不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度 ? 處理措施選擇：選擇風(fēng)險(xiǎn)處理方式，確定風(fēng)險(xiǎn)控制措施 ? 處理措施實(shí)施：制定具體安全方案，部署控制措施 33 風(fēng)險(xiǎn)處理過(guò)程 風(fēng) 險(xiǎn) 處 理批 準(zhǔn)監(jiān) 督處 理 措 施選 擇現(xiàn) 存 風(fēng) 險(xiǎn)判 斷處 理 目 標(biāo)確 立確定可接受風(fēng)險(xiǎn)等級(jí)判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受明確風(fēng)險(xiǎn)處理需求 確立風(fēng)險(xiǎn)處理目標(biāo)選擇風(fēng)險(xiǎn)處理方式確定風(fēng)險(xiǎn)處理措施制定風(fēng)險(xiǎn)處理實(shí)施計(jì)劃實(shí)施風(fēng)險(xiǎn)處理措施溝 通 咨 詢監(jiān) 控 審 查處 理 措 施實(shí) 施風(fēng) 險(xiǎn)評(píng) 估接 受否是34 ?減低風(fēng)險(xiǎn) ?轉(zhuǎn)移風(fēng)險(xiǎn) ?規(guī)避風(fēng)險(xiǎn) ?接受風(fēng)險(xiǎn) 常用的四類(lèi)風(fēng)險(xiǎn)處置方法 35 減低風(fēng)險(xiǎn) ?通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn) ?首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在安全投入小于負(fù)面影響價(jià)值的情況下采用 ?保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來(lái)降低風(fēng)險(xiǎn) 36 減低風(fēng)險(xiǎn)的具體辦法 ?減少威脅源 ? 采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī) ?減低威脅能力 ? 采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力 ?減少脆弱性 ? 及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的 可能性 ?防護(hù)資