【文章內(nèi)容簡介】 攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)攻擊等手段對信息系統(tǒng)進(jìn)行攻擊和入侵物理攻擊　　物理接觸、物理破壞、盜竊泄密　　機(jī)密泄漏，機(jī)密信息泄漏給他人篡改　　非法修改信息，破壞信息的完整性抵賴　　不承認(rèn)收到的信息和所作的操作和交易　威脅賦值判斷威脅出現(xiàn)的頻率是威脅識別的重要工作，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。在風(fēng)險評估過程中，還需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：（1) 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；（2) 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；（3) 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅　　　　　　預(yù)警。威脅頻率等級劃分為五級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。表8提供了威脅出現(xiàn)頻率的一種賦值方法。表8　威脅賦值表等級標(biāo)識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生　 脆弱性識別脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別，弱點是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個弱點。脆弱性識別將針對每一項需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。 脆弱性識別內(nèi)容脆弱性的識別可以以資產(chǎn)為核心，即根據(jù)每個資產(chǎn)分別識別其存在的弱點，然后綜合評價該資產(chǎn)的脆弱性；也可以分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別，然后與資產(chǎn)、威脅結(jié)合起來。脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。對不同的識別對象，其脆弱性識別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實施。例如，對物理環(huán)境的脆弱性識別可以參照《GB/T　9361－2000　計算機(jī)場地安全要求》中的技術(shù)指標(biāo)實施；對操作系統(tǒng)、數(shù)據(jù)庫可以參照《GB　17859－1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》中的技術(shù)指標(biāo)實施。管理脆弱性識別方面可以參照《ISO/IEC 177992000 Information security management —Part 1:Code of practice for information security management》的要求對安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。表9提供了一種脆弱性識別內(nèi)容的參考。表9　脆弱性識別內(nèi)容表類型　識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別。服務(wù)器（含操作系統(tǒng)）從物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。數(shù)據(jù)庫從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計機(jī)制等方面進(jìn)行識別。應(yīng)用系統(tǒng)審計機(jī)制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性　脆弱性賦值 可以根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點流行程度，采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性由于很多弱點反映的是同一方面的問題，應(yīng)綜合考慮這些弱點，最終確定這一方面的脆弱性嚴(yán)重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。脆弱性嚴(yán)重程度的等級劃分為五級，分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。表10提供了脆弱性嚴(yán)重程度的一種賦值方法。表10　脆弱性嚴(yán)重程度賦值表等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中如果被威脅利用，將對資產(chǎn)造成一般損害 2低如果被威脅利用，將對資產(chǎn)造成較小損害 1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略 　 已有安全措施的確認(rèn)組織應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計劃。已有安全措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合。比較明顯的例子是防火墻的訪問控制策略，不必要描述具體的端口控制策略、用戶控制策略，只需要表明采用的訪問控制措施?！?風(fēng)險分析 風(fēng)險計算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。本標(biāo)準(zhǔn)給出了風(fēng)險計算原理，以下面的范式形式化加以說明：風(fēng)險值=R（A，T，V）= R(L(T，V)，F(xiàn)(Ia，Va ))其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性； Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)：計算安全事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V )在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等）以及資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。　計算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計算安全事件一旦發(fā)生后的損失，即：安全事件的影響=F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度)＝F(Ia，Va )部分安全事件的發(fā)生造成的影響不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。計算風(fēng)險值 根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風(fēng)險值，即：風(fēng)險值=R(安全事件發(fā)生的可能性，安全事件的損失)＝R(L(T，V)，F(xiàn)(Ia，Va ))評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值。如矩陣法或相乘法，通過構(gòu)造經(jīng)驗函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系；運用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風(fēng)險值。附錄A中列舉的幾種風(fēng)險計算方法可做參考。 風(fēng)險結(jié)果判定風(fēng)險等級劃分為五級，等級越高，風(fēng)險越高。評估者應(yīng)根據(jù)所采用的風(fēng)險計算方法為每個等級設(shè)定風(fēng)險值范圍，并對所有風(fēng)險計算結(jié)果進(jìn)行等級處理。表12提供了一種風(fēng)險等級劃分方法。表12　風(fēng)險等級劃分表等級標(biāo)識描述5很高一旦發(fā)生將使系統(tǒng)遭受非常嚴(yán)重破壞，組織利益受到非常嚴(yán)重?fù)p失4高如果發(fā)生將使系統(tǒng)遭受嚴(yán)重破壞，組織利益受到嚴(yán)重?fù)p失3中發(fā)生后將使系統(tǒng)受到較重的破壞，組織利益受到損失2低發(fā)生后將使系統(tǒng)受到的破壞程度和利益損失一般1很低即使發(fā)生只會使系統(tǒng)受到較小的破壞組織應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受風(fēng)險閾值。對某些風(fēng)險，如果評估值小于或等于可接受風(fēng)險閾值，是可接受風(fēng)險，可保持已有的安全措施；如果評估值大于可接受風(fēng)險閾值，是不可接受風(fēng)險，則需要采取安全措施以降低、控制風(fēng)險。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面，可以參照信息安全的相關(guān)標(biāo)準(zhǔn)實施。在對于不可接受風(fēng)險選擇適當(dāng)?shù)陌踩胧┖?，為確保安全措施的有效性，可進(jìn)行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。殘余風(fēng)險的再評估可以依據(jù)本標(biāo)準(zhǔn)提出的風(fēng)險評估流程進(jìn)行，也可做適當(dāng)裁減。某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進(jìn)一步增加相應(yīng)的安全措施?！?風(fēng)險評估文件記錄 風(fēng)險評估文件記錄的要求記錄風(fēng)險評估過程的相關(guān)文件，應(yīng)該符合以下要求（但不僅限于此）：（1）確保文件發(fā)布前是得到批準(zhǔn)的；（2）確保文件的更改和現(xiàn)行修訂狀態(tài)是可識別的；（3）確保在使用時可獲得有關(guān)版本的適用文件；（4）確保文件的分發(fā)得到適當(dāng)?shù)目刂疲唬?）防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時，應(yīng)對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。對于風(fēng)險評估過程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文件是否需要以及詳略程度由管理過程來決定。 風(fēng)險評估文件風(fēng)險評估文件包括在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：（1）風(fēng)險評估計劃：闡述風(fēng)險評估的目標(biāo)、范圍、團(tuán)隊、評估方法、評估結(jié)果的形式和實施進(jìn)度等；（2）風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結(jié)果