【文章內(nèi)容簡介】 的影響需要考慮資產(chǎn)的價(jià)值以及弱點(diǎn)利用對業(yè)務(wù)造成的影響：賦值說明4資產(chǎn)全部損失，對業(yè)務(wù)造成巨大的財(cái)務(wù)損失，且不可恢復(fù)3資產(chǎn)遭受重大損失，對業(yè)務(wù)造成大量財(cái)務(wù)損失，但可以恢復(fù)2資產(chǎn)遭受明顯損失，對業(yè)務(wù)造成一定影響1資產(chǎn)遭受一定破壞，但可以立即控制0無破壞，損失可忽略u 風(fēng)險(xiǎn)計(jì)算矩陣在本項(xiàng)目中，可以參照下面的矩陣進(jìn)行風(fēng)險(xiǎn)分析和計(jì)算：風(fēng)險(xiǎn)影響01234可能性4HHEEE3MHHEE2LMHEE1LLMHE0LLMHH風(fēng)險(xiǎn)等級說明：E：極度風(fēng)險(xiǎn)，要求立即采取措施H：高風(fēng)險(xiǎn)，需要高級管理部門的注意M：中等風(fēng)險(xiǎn)，必須規(guī)定管理責(zé)任L：低風(fēng)險(xiǎn)，用日常程序處理 安全風(fēng)險(xiǎn)分析策略 風(fēng)險(xiǎn)計(jì)算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，綜合資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度判斷安全事件一旦發(fā)生造成的損失，最終得到風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)計(jì)算原理如下圖所示：風(fēng)險(xiǎn)計(jì)算原理示意圖對風(fēng)險(xiǎn)計(jì)算原理可以采用下面的范式形式化加以說明：風(fēng)險(xiǎn)值 = R（A，T，V）= R（L（Ta，Vb），F(xiàn)（Ia，Va））其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性，Ta表示威脅出現(xiàn)的頻率，Ia表示安全事件所作用的資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度，Vb表示存在的脆弱性，L表示威脅利用資產(chǎn)存在的脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn)表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：a）計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性 = L（威脅出現(xiàn)頻率，脆弱性）= L（Ta，Vb）在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。b）計(jì)算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生造成的損失，即：安全事件的損失 = F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）= F（Ia，Va）部分安全事件發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響其提供業(yè)務(wù)的連續(xù)性。不同安全事件對組織造成的影響也是不一樣的，在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對組織的影響也考慮在內(nèi)。c）計(jì)算風(fēng)險(xiǎn)值根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值 = R（安全事件發(fā)生的可能性，安全事件的損失）= R（L（Ta，Vb），F(xiàn)（Ia，Va）） 風(fēng)險(xiǎn)結(jié)果判定為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理，對風(fēng)險(xiǎn)值進(jìn)行等級化處理，將風(fēng)險(xiǎn)劃分為一定的級別，本標(biāo)準(zhǔn)文件將風(fēng)險(xiǎn)等級劃分為五級，每個(gè)等級代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度，等級越高，風(fēng)險(xiǎn)越高。表12提供了一種風(fēng)險(xiǎn)等級劃分方法。風(fēng)險(xiǎn)等級劃分表等級標(biāo)識描述5很高一旦發(fā)生將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭受非常嚴(yán)重破壞，組織利益受到非常嚴(yán)重?fù)p失，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)行、經(jīng)濟(jì)損失重大、社會影響惡劣4高如果發(fā)生將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭受比較嚴(yán)重的破壞，組織利益受到很嚴(yán)重?fù)p失3中等發(fā)生后將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到一定的破壞，組織利益受到中等程度的損失2低發(fā)生后將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到的破壞程度和利益損失一般1很低即使發(fā)生只會使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到較小的破壞在得到資產(chǎn)的風(fēng)險(xiǎn)值之后，需要結(jié)合資產(chǎn)已經(jīng)采取的安全措施判斷其風(fēng)險(xiǎn)是否在可以接受的范圍內(nèi)，如果風(fēng)險(xiǎn)結(jié)果在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的風(fēng)險(xiǎn)，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)結(jié)果在可接受的范圍外，是不可接受的風(fēng)險(xiǎn)，需要制定風(fēng)險(xiǎn)處理計(jì)劃并采取新的安全措施降低、控制風(fēng)險(xiǎn)。主管部門或者網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商應(yīng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受風(fēng)險(xiǎn)閾值。 券商網(wǎng)安全防護(hù)體系整個(gè)體系分為三層，第一層為整個(gè)安全防護(hù)體系的總體指導(dǎo)性規(guī)范，明確了對券商網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)的定義、目標(biāo)、原則，并說明了安全防護(hù)體系中的角色劃分以及體系組成。第二層從宏觀的角度明確了如何進(jìn)行安全防護(hù)工作，規(guī)范了安全防護(hù)體系中安全等級保護(hù)、安全風(fēng)險(xiǎn)評估、災(zāi)難備份及恢復(fù)等三部分工作的原則、流程、方法、步驟等。第三層對券商網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)范疇中的安全防護(hù)工作的實(shí)施進(jìn)行了具體規(guī)范，其中。等業(yè)務(wù)平臺以及業(yè)務(wù)管理平臺。對。業(yè)務(wù)網(wǎng)實(shí)施安全防護(hù)，應(yīng)分別從構(gòu)成上述網(wǎng)絡(luò)的不同券商網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)入手進(jìn)行安全等級保護(hù)、安全風(fēng)險(xiǎn)評估、災(zāi)難備份及恢復(fù)等工作，并制定相應(yīng)的安全防護(hù)要求和安全防護(hù)檢測要求。5. 等級保護(hù)評估方案本項(xiàng)目具體內(nèi)容如下：1 第一次2345 檢查和評估 等級保護(hù)評估目標(biāo)對**的重要信息系統(tǒng)等級保護(hù)安全技術(shù)檢查和風(fēng)險(xiǎn)評估，具體包括**的。：l 通過等級保護(hù)安全技術(shù)檢查和評估獲得**重要信息系統(tǒng)的定級情況的報(bào)告和安全風(fēng)險(xiǎn)報(bào)告。l 根據(jù)等級保護(hù)定級情況報(bào)告和安全風(fēng)險(xiǎn)報(bào)告，為**的等級保護(hù)工作以及安全建設(shè)工作提出建議。l 通過評估了解**重要信息系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀，為**進(jìn)一步加強(qiáng)對重要信息系統(tǒng)的安全防護(hù)提供建議。 等級保護(hù)評估方法（1） 文檔查詢：閱讀有關(guān)網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，主要的硬件、軟件及其承載的數(shù)據(jù)和信息、管理、維護(hù)和使用的人員等文檔。從而為確定定級對象、等級提供參考。（2） 調(diào)查問卷：調(diào)查問卷是提供一套關(guān)于管理或操作控制的問題表格，供技術(shù)或管理人員填寫；（3） 人員訪談：與有關(guān)人員訪談，了解系統(tǒng)發(fā)射故障對國家安全、社會秩序、公民法人的合法權(quán)益的影響程度。（4） 實(shí)地觀察:，現(xiàn)場面談則是由評估人員到現(xiàn)場觀察并收集被評估方在物理、環(huán)境和操作方面的信息。（5） 評估工具: 利用工具盡可能多地收集、分析和整理券商網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息，在此基礎(chǔ)上形成準(zhǔn)確的券商網(wǎng)和互聯(lián)網(wǎng)總體描述文件。 等級保護(hù)評估步驟1） 定級對象評估2） 評定等級評估a) 相關(guān)系統(tǒng)的社會影響力賦值評估b) 服務(wù)的重要性賦值評估c) 服務(wù)用戶數(shù)賦值評估 等級保護(hù)評估內(nèi)容根據(jù)主管部門的要求，遵照安全等級保護(hù)的管理和技術(shù)方面的標(biāo)準(zhǔn)，針對已經(jīng)實(shí)施了安全等級保護(hù)的券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，檢測實(shí)施的安全保護(hù)措施是否符合相應(yīng)安全等級的安全防護(hù)要求。 定級對象評估一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級的定級對象。作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：a) 具有唯一確定的安全責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個(gè)單位的某個(gè)下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個(gè)下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。b) 具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。c) 承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。定級對象承載“相對獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。 安全等級評估券商網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中，確定安全等級是進(jìn)行安全等級保護(hù)的前提和基礎(chǔ)，直接影響和指導(dǎo)安全防護(hù)體系中的安全風(fēng)險(xiǎn)評估和災(zāi)難備份及恢復(fù)工作。網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商應(yīng)應(yīng)根據(jù)本標(biāo)準(zhǔn)文件的定級方法確定券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級，以保證定級的科學(xué)性和準(zhǔn)確性。在券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級劃分的總體原則是：券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的損害程度。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可以劃分為三個(gè)安全等級，分別為自主保護(hù)級、指導(dǎo)保護(hù)級和監(jiān)督保護(hù)級，其中監(jiān)督保護(hù)級又分為普通監(jiān)督保護(hù)級和重點(diǎn)監(jiān)督保護(hù)級。主管部門對不同級別的券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)行不同等級的監(jiān)管。第1級 自主保護(hù)級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后僅對其所有者的利益產(chǎn)生損害，但是不損害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第2級 指導(dǎo)保護(hù)級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成輕微損害。本級在主管部門的指導(dǎo)下，按照行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第3級 監(jiān)督保護(hù)級分為兩種情況： 普通監(jiān)督保護(hù)級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成較大損害。本級按照行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門對其進(jìn)行監(jiān)督、檢查。 重點(diǎn)監(jiān)督保護(hù)級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成嚴(yán)重?fù)p害。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門對其進(jìn)行重點(diǎn)監(jiān)督、檢查。決定券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級的具體定級要素及其賦值如下：a）券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力表示其無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響程度，券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值如下表所示。對券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值表社會影響力定義賦值券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較小1券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較大2券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響很大3券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響非常大4b）券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性表示其提供的服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的影響程度。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值如下表所示。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生較小的影響1券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生較大的影響2券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商