【文章內容簡介】 需要詳細評估的系統(tǒng)也許會被忽略，最終導致某些嚴重的風險未被發(fā)現。 風險評估流程信息安全風險評估流程風險評估流程 總體上看，風險評估可分為四個階段，第一階段為風險評估準備；第二階段為風險識別，第三階段為風險評價，第四階段為風險處理。風險評估流程1. 風險評估的準備風險評估的準備是整個風險評估過程有效性的保證。其工作主要包括：1．確定風險評估目標（滿足業(yè)務持續(xù)性需要）2．確定風險評估的對象和范圍3．組建團隊。 組建適當的風險評估管理與實施團隊，以支持整個過程的推進4．選擇方法 應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體 的風險判斷方法，使之能夠與組織環(huán)境和安全要求相適應。5．獲得支持6．準備相關的評估工具（掃描、測試、收集工具）風險評估流程2. 資產識別與評價 (1) 資產識別 資產識別是風險識別的必要環(huán)節(jié)。資產識別的任務就是對確定的評估對象所涉及或包含的 資產進行詳細的標識 。資產識別過程中要特別注意無形資產的遺漏，同時還應注意 不同資產間的相互依賴關系 ，關系緊密的資產可作為一個整體來考慮，同一中類型的資產也應放在一起考慮。 資產識別的方法主要有 訪談、現場調查、問卷、文檔查閱 等。風險評估流程(2) 資產評價 資產的評價是對資產的價值或重要程度進行評估，資產本身的貨幣價值是資產價值的體現，但更重要的是 資產對組織關鍵業(yè)務的順利開展乃至組織目標實現的重要程度 。由于多數資產不能以貨幣形式的價值來衡量，資產評價很難以 定量 的方式來進行，多數情況下只能以 定性 的形式，依據重要程度的不同劃分等級。 通常信息資產的 機密性、完整性、可用性、可審計性和不可抵賴性 等是評價資產的安全屬性。可以先分別對資產在以上各方面的重要程度進行評估，然后通過一定的方法進行綜合 ,可得資產的綜合價值（ 加權評估）風險評估流程賦值 標識 定 義5 極高 包含 組織 最重要的秘密，關系未來 發(fā) 展的前途命運， 對組織 根本利益有著決定性影響，如果泄漏會造成災 難 性的 損 害 4 高 包含 組織 的重要秘密，其泄露會使 組織 的安全和利益遭受 嚴 重 損 害3 中等 包含 組織 的一般性秘密，其泄露會使 組織 的安全和利益受到 損 害2 低 包含 僅 能在 組織 內部或在 組織 某一部 門 內部公開的信息，向外 擴 散有可能 對組織 的利益造成 損 害1 可忽略 包含可 對 社會公開的信息，公用的信息 處 理 設備 和系 統(tǒng)資 源等資產機密性賦值表風險評估流程3. 威脅識別與評估(1)威脅識別 威脅是構成風險的必要組成部分，因而威脅識別是風險識別的必要環(huán)節(jié)，威脅識別的任務是對組織資產面臨的威脅進行全面的 標識 。威脅識別可從 威脅源 進行分析，也可根據有關標準、組織所提供的 威脅參考目錄 進行分析。風險評估流程人類利用網絡訪問的威脅樹5個屬性風險評估流程系統(tǒng)故障威脅樹風險評估流程3. 威脅識別與評估(2) 威脅評估 安全風險的大小是由安全事件發(fā)生的可能性以及它造成的影響決定，安全事件發(fā)生的可能性與威脅出現的頻率有關，而安全事件的影響則與威脅的強度或破壞能力有關，如地震的等級或破壞力等。威脅評估就是對 威脅出現的頻率及強度 進行評估，這是風險評估的重要環(huán)節(jié)。評估者應根據 經驗和（或）有關的 統(tǒng)計數據來分析 威脅出現的頻率及其強度或破壞能力。 三個依據：以往發(fā)生的威脅、現實檢測出來的威脅、行業(yè)威脅風險評估流程威脅賦值表等 級 標識 定 義5 很高 威 脅 出 現 的 頻 率很高，在大多數情況下幾乎不可避免或者可以 證實經 常 發(fā) 生 過4 高 威 脅 出 現 的 頻 率 較 高，在大多數情況下很有可能會 發(fā) 生或者可以 證實 多次 發(fā) 生 過3 中 威 脅 出 現 的 頻 率中等，在某種情況下可能會 發(fā) 生或被 證實 曾 經發(fā)生 過2 低 威 脅 出 現 的 頻 率 較 小，一般不太可能 發(fā) 生，也沒有被 證實發(fā) 生 過1 很低 威 脅 幾乎不可能 發(fā) 生， 僅 可能在非常罕 見 和例外的情況下 發(fā) 生風險評估流程4. 脆弱點識別與評估 （ 1）脆弱點識別 脆弱點識別也稱為弱點識別，弱點是資產本身存在的，如果沒有相應的威脅發(fā)生，單純的弱點本身不會對資產造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。 脆弱點識別主要從技術和管理兩個方面進行， 技術脆弱點 涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題。 管理脆弱點 又可分為技術管理和組織管理兩方面，前者與具體技術活動相關，后者與管理環(huán)境相關 。風險評估流程脆弱點識別 類 型　 識別對 象 識別 內容技 術 脆弱點物理 環(huán) 境從機房 場 地、機房防火、機房供配 電 、機房防靜 電 、機房接地與防雷、 電 磁防 護 、通信 線 路的保 護 、機房區(qū)域防 護 、機房 設備 管理等方面 進 行 識別 。服 務 器（含操作系 統(tǒng) ）從物理保 護 、用 戶帳 號、口令策略、 資 源共享、事件 審計 、訪問 控制、新系 統(tǒng) 配置（初始化）、注冊表加固、網 絡 安全、系 統(tǒng) 管理等方面 進 行 識別 。網 絡結 構 從網 絡結 構 設計 、 邊 界保 護 、外部 訪問 控制策略、內部 訪問控制策略、網 絡設備 安全配置等方面 進 行 識別 。數據 庫 從 補 丁安裝、 鑒別 機制、口令機制、 訪問 控制、網 絡 和服 務設 置、 備 份恢復機制、 審計 機制等方面 進 行 識別 。應 用系 統(tǒng) 審計 機制、 審計 存 儲 、 訪問 控制策略、數據完整性、通信、鑒別 機制、密 碼 保 護 等方面 進 行 識別 。管理脆弱點 技 術 管理 物理和 環(huán) 境安全、通信與操作管理、 訪問 控制、系 統(tǒng) 開 發(fā) 與維護 、 業(yè)務連續(xù) 性。組織 管理 安全策略、 組織 安全、 資產 分 類 與控制、人 員 安全、符合性風險評估流程脆弱點識別 資產的脆弱點 具有隱蔽性 ，有些弱點只有在一定條件和環(huán)境下才能顯現，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個弱點。 脆弱點識別將針對每一項需要保護的資產，找出可能被威脅利用的弱點，并對脆弱點的嚴重程度進行評估。脆弱點識別時的數據應來自于資產的所有者、使用者，以及相關業(yè)務領域的專家和軟硬件方面的專業(yè)等人員 脆弱點識別所采用的方法主要有： 問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試 等。 風險評估流程（ 2）脆弱點評估 脆弱點評估就是是對脆弱點被利用后 對資產損害程度、 技術實現的難易程度 、 弱點流行程度 進行評估，評估的結果一般都是定性等級劃分形式，綜合的標識脆弱點的嚴重程度。也可以對脆弱點被利用后 對資產的損害程度 以及被利用的可能性 分別評估，然后以一定方式綜合。風險評估流程（ 2）脆弱點嚴重程度賦值 等 級 標識 定 義5 很高 如果被威 脅 利用，將 對資產 造成完全 損 害4 高 如果被威 脅 利用，將 對資產 造成重大 損 害3 中 如果被威 脅 利用，將 對資產 造成一般 損 害 2 低 如果被威 脅 利用，將 對資產 造成 較 小 損 害 1 很低 如果被威 脅 利用，將 對資產 造成的 損 害可以忽略 風險評估流程5. 已有安全措施的確認 安全措施可以分為 預防性安全措施 和 保護性安全措施兩種 。 預防性 安全措施可以降低威脅利用脆弱點導致安全事件發(fā)生的可能性。這可以通過兩個方面的作用來實現 ， （ 1）減少 威脅出現的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現的頻率，通過安全培訓可以減少無意行為導致安全事件出現的頻率 ； （ 2）減少 脆弱點，如及時為系統(tǒng)打補丁、對硬件設備定期檢查能夠減少系統(tǒng)的技術脆弱點等。 風險評估流程5. 已有安全措施的確認 對已采取的安全措施進行確認，至少有兩個方面的意義。一方面，這有助于對當前信息系統(tǒng)面臨的風險進行分析；另一方面，通過對當前安全措施的確認，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。風險評估流程6. 風險分析 風險分析就是利用資產、威脅、脆弱點識別與評估結果以及已有安全措施的確認與分析結果，對資產面臨的風險進行分析。1） 風險計 算2） 風險 等 級3） 風險處 理 計 劃風險評估流程（ 1）風險計算 在完成了 資產識別 、威 脅識別 、脆弱性 識別，以及 對 已有安全措施確 認 后， 應 采用適當的方法與工具確定威 脅 利用脆弱性 導 致安全事件 發(fā) 生的可能性。 綜 合安全事件所作用的 資產 價 值 及脆弱性的 嚴 重程度，判斷安全事件造成的 損 失 對組織 的影響，即安全 風險 。風險評估流程（ 1）風險計算 如前所述，風險可形式化的表示為 R=(A,T,V)，其中R表示風險、 A表示資產、 T表示威脅、 V表示脆弱點。相應的風險值由 A、 T、 V的取值決定，是它們的函數，可以表示為： VR=R(A,T,V)=R(L(A,T,V)， F(A,T,V)) 其中， L(A,T,V)、 F(A,T,V)分別表示對應安全事件發(fā)生的可能性及影響，它們也都是資產、威脅、脆弱點的函數，但其表達式很難給出。而風險則可表示為可能性 L和影響 F的函數，簡單的處理就是 將安全事件發(fā)生的可能性 L與安全事件的影響 F相乘 得到風險值，實際就是平均損失，即 VR= L(A,T,V)F(A,T,V)。風險評估流程（ 1）風險計算威脅識別脆弱性識別威脅出現的頻率脆弱性的嚴重程度資產的重要性安全事件的損失風險值資產識別安全事件的可能性風險評估流程影響分析 影響分析，安全事件對組織的影響可體現在以下方面： p直接經濟損失 :風險事件可能引發(fā)直接的經濟損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務資料的篡改等，這類損失本易于計算。 p物理資產的損壞 :物理資產損壞的經濟損失也很容易計算，可用更新或修復該物理資產的花費來度量 p業(yè)務影響 :信息安全事件會對業(yè)務帶來很大的影響，如業(yè)務中斷，這方面的經濟損失可通過以下方式來計算，先分析由于業(yè)務中斷， 單位時間內的經濟損失 ，用 “單位時間損失 修復所需時間＋修復代價 ”可將業(yè)務影響表示為經濟損失，當然單位時間內的經濟損失估計有時會有一定的難度。業(yè)務影響除包括業(yè)務中斷外，還有其他情況，如 經營業(yè)績影響、市場影響 等，這些應根據具體情況具體分析，定量分析存在困難。 風險評估流程影響分析 p法律責任 。風險事件可能導致一定的法律責任，如由于安全故障導致機密信息的未授權發(fā)布、未能履行合同規(guī)定的義務或違反有關法律、規(guī)章制度的規(guī)定，這些