【文章內(nèi)容簡介】 的影響需要考慮資產(chǎn)的價值以及弱點利用對業(yè)務(wù)造成的影響：賦值說明4資產(chǎn)全部損失，對業(yè)務(wù)造成巨大的財務(wù)損失，且不可恢復(fù)3資產(chǎn)遭受重大損失，對業(yè)務(wù)造成大量財務(wù)損失，但可以恢復(fù)2資產(chǎn)遭受明顯損失，對業(yè)務(wù)造成一定影響1資產(chǎn)遭受一定破壞，但可以立即控制0無破壞，損失可忽略u 風(fēng)險計算矩陣在本項目中，可以參照下面的矩陣進行風(fēng)險分析和計算：風(fēng)險影響01234可能性4HHEEE3MHHEE2LMHEE1LLMHE0LLMHH風(fēng)險等級說明：E：極度風(fēng)險，要求立即采取措施H：高風(fēng)險，需要高級管理部門的注意M：中等風(fēng)險，必須規(guī)定管理責(zé)任L：低風(fēng)險，用日常程序處理 安全風(fēng)險分析策略 風(fēng)險計算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，綜合資產(chǎn)價值及脆弱性的嚴重程度判斷安全事件一旦發(fā)生造成的損失，最終得到風(fēng)險值。風(fēng)險計算原理如下圖所示：風(fēng)險計算原理示意圖對風(fēng)險計算原理可以采用下面的范式形式化加以說明：風(fēng)險值 = R（A，T，V）= R（L（Ta，Vb），F(xiàn)（Ia，Va））其中，R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性，Ta表示威脅出現(xiàn)的頻率，Ia表示安全事件所作用的資產(chǎn)價值，Va表示脆弱性嚴重程度，Vb表示存在的脆弱性，L表示威脅利用資產(chǎn)存在的脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn)表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)：a）計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性 = L（威脅出現(xiàn)頻率，脆弱性）= L（Ta，Vb）在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。b）計算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生造成的損失，即：安全事件的損失 = F（資產(chǎn)價值，脆弱性嚴重程度）= F（Ia，Va）部分安全事件發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響其提供業(yè)務(wù)的連續(xù)性。不同安全事件對組織造成的影響也是不一樣的，在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。c）計算風(fēng)險值根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風(fēng)險值，即：風(fēng)險值 = R（安全事件發(fā)生的可能性，安全事件的損失）= R（L（Ta，Vb），F(xiàn)（Ia，Va）） 風(fēng)險結(jié)果判定為實現(xiàn)對風(fēng)險的控制與管理，對風(fēng)險值進行等級化處理，將風(fēng)險劃分為一定的級別，本標準文件將風(fēng)險等級劃分為五級，每個等級代表了相應(yīng)風(fēng)險的嚴重程度，等級越高，風(fēng)險越高。表12提供了一種風(fēng)險等級劃分方法。風(fēng)險等級劃分表等級標識描述5很高一旦發(fā)生將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭受非常嚴重破壞，組織利益受到非常嚴重損失，如組織信譽嚴重破壞、嚴重影響組織業(yè)務(wù)的正常運行、經(jīng)濟損失重大、社會影響惡劣4高如果發(fā)生將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭受比較嚴重的破壞，組織利益受到很嚴重損失3中等發(fā)生后將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到一定的破壞，組織利益受到中等程度的損失2低發(fā)生后將使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到的破壞程度和利益損失一般1很低即使發(fā)生只會使券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到較小的破壞在得到資產(chǎn)的風(fēng)險值之后，需要結(jié)合資產(chǎn)已經(jīng)采取的安全措施判斷其風(fēng)險是否在可以接受的范圍內(nèi)，如果風(fēng)險結(jié)果在可接受的范圍內(nèi)，則該風(fēng)險是可接受的風(fēng)險，應(yīng)保持已有的安全措施；如果風(fēng)險結(jié)果在可接受的范圍外，是不可接受的風(fēng)險，需要制定風(fēng)險處理計劃并采取新的安全措施降低、控制風(fēng)險。主管部門或者網(wǎng)絡(luò)和業(yè)務(wù)運營商應(yīng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受風(fēng)險閾值。 券商網(wǎng)安全防護體系整個體系分為三層，第一層為整個安全防護體系的總體指導(dǎo)性規(guī)范，明確了對券商網(wǎng)和互聯(lián)網(wǎng)安全防護的定義、目標、原則，并說明了安全防護體系中的角色劃分以及體系組成。第二層從宏觀的角度明確了如何進行安全防護工作，規(guī)范了安全防護體系中安全等級保護、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)等三部分工作的原則、流程、方法、步驟等。第三層對券商網(wǎng)和互聯(lián)網(wǎng)安全防護范疇中的安全防護工作的實施進行了具體規(guī)范，其中。等業(yè)務(wù)平臺以及業(yè)務(wù)管理平臺。對。業(yè)務(wù)網(wǎng)實施安全防護，應(yīng)分別從構(gòu)成上述網(wǎng)絡(luò)的不同券商網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)入手進行安全等級保護、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)等工作，并制定相應(yīng)的安全防護要求和安全防護檢測要求。5. 等級保護評估方案本項目具體內(nèi)容如下：1 第一次2345 檢查和評估 等級保護評估目標對**的重要信息系統(tǒng)等級保護安全技術(shù)檢查和風(fēng)險評估，具體包括**的。：l 通過等級保護安全技術(shù)檢查和評估獲得**重要信息系統(tǒng)的定級情況的報告和安全風(fēng)險報告。l 根據(jù)等級保護定級情況報告和安全風(fēng)險報告，為**的等級保護工作以及安全建設(shè)工作提出建議。l 通過評估了解**重要信息系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀，為**進一步加強對重要信息系統(tǒng)的安全防護提供建議。 等級保護評估方法（1） 文檔查詢：閱讀有關(guān)網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，主要的硬件、軟件及其承載的數(shù)據(jù)和信息、管理、維護和使用的人員等文檔。從而為確定定級對象、等級提供參考。（2） 調(diào)查問卷：調(diào)查問卷是提供一套關(guān)于管理或操作控制的問題表格，供技術(shù)或管理人員填寫；（3） 人員訪談：與有關(guān)人員訪談，了解系統(tǒng)發(fā)射故障對國家安全、社會秩序、公民法人的合法權(quán)益的影響程度。（4） 實地觀察:，現(xiàn)場面談則是由評估人員到現(xiàn)場觀察并收集被評估方在物理、環(huán)境和操作方面的信息。（5） 評估工具: 利用工具盡可能多地收集、分析和整理券商網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息，在此基礎(chǔ)上形成準確的券商網(wǎng)和互聯(lián)網(wǎng)總體描述文件。 等級保護評估步驟1） 定級對象評估2） 評定等級評估a) 相關(guān)系統(tǒng)的社會影響力賦值評估b) 服務(wù)的重要性賦值評估c) 服務(wù)用戶數(shù)賦值評估 等級保護評估內(nèi)容根據(jù)主管部門的要求，遵照安全等級保護的管理和技術(shù)方面的標準，針對已經(jīng)實施了安全等級保護的券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，檢測實施的安全保護措施是否符合相應(yīng)安全等級的安全防護要求。 定級對象評估一個單位內(nèi)運行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點保護，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、可能具有不同安全保護等級的定級對象。作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：a) 具有唯一確定的安全責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。如果一個單位的某個下級單位負責(zé)信息系統(tǒng)安全建設(shè)、運行維護等過程的全部安全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。b) 具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。c) 承載單一或相對獨立的業(yè)務(wù)應(yīng)用定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨享所有信息處理設(shè)備。定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。 安全等級評估券商網(wǎng)和互聯(lián)網(wǎng)安全防護體系中，確定安全等級是進行安全等級保護的前提和基礎(chǔ)，直接影響和指導(dǎo)安全防護體系中的安全風(fēng)險評估和災(zāi)難備份及恢復(fù)工作。網(wǎng)絡(luò)和業(yè)務(wù)運營商應(yīng)應(yīng)根據(jù)本標準文件的定級方法確定券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級，以保證定級的科學(xué)性和準確性。在券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進行安全等級劃分的總體原則是：券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運營商的損害程度。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可以劃分為三個安全等級，分別為自主保護級、指導(dǎo)保護級和監(jiān)督保護級，其中監(jiān)督保護級又分為普通監(jiān)督保護級和重點監(jiān)督保護級。主管部門對不同級別的券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實行不同等級的監(jiān)管。第1級 自主保護級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后僅對其所有者的利益產(chǎn)生損害，但是不損害國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益。本級按照通信行業(yè)安全標準進行自主保護。第2級 指導(dǎo)保護級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對社會秩序、經(jīng)濟建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運營商造成輕微損害。本級在主管部門的指導(dǎo)下，按照行業(yè)安全標準進行自主保護。第3級 監(jiān)督保護級分為兩種情況： 普通監(jiān)督保護級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運營商造成較大損害。本級按照行業(yè)安全標準進行自主保護，主管部門對其進行監(jiān)督、檢查。 重點監(jiān)督保護級券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運營商造成嚴重損害。本級按照通信行業(yè)安全標準進行自主保護，主管部門對其進行重點監(jiān)督、檢查。決定券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級的具體定級要素及其賦值如下：a）券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力表示其無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益的影響程度，券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值如下表所示。對券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值表社會影響力定義賦值券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益的影響較小1券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益的影響較大2券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益的影響很大3券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟建設(shè)、公共利益的影響非常大4b）券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性表示其提供的服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運營商的影響程度。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值如下表所示。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運營商產(chǎn)生較小的影響1券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運營商產(chǎn)生較大的影響2券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運營商