【文章內(nèi)容簡介】 行評估，其中在技術(shù)方面主要是通過遠程和本地兩種方式進行系統(tǒng)掃描；管理脆弱性評估方面可以按照 BS 7799等標(biāo)準(zhǔn)的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)其中的管理漏洞和不足。 ? 脆弱性賦值 風(fēng)險識別 ? 風(fēng)險計算 ?風(fēng)險計算原理形式化描述為： ?R= f(A,V,T)=f(Ia,L(Va,T)) ?注： R表示風(fēng)險； A表示資產(chǎn)； V表示脆弱性； T表示威脅； Ia表示資產(chǎn)發(fā)生安全事件后對機構(gòu)業(yè)務(wù)的影響 (也稱為資產(chǎn)的重要程度 )； Va表示某一資產(chǎn)本身的脆弱性， L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。 不打無準(zhǔn)備之仗 — 做好準(zhǔn)備 ? 風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。在風(fēng)險評估實施前，應(yīng)： ? 確定風(fēng)險評估的目標(biāo)； ? 確定風(fēng)險評估的范圍； ? 組建適當(dāng)?shù)脑u估管理與實施團隊； ? 選擇與組織相適應(yīng)的具體的風(fēng)險判斷方法； ? 獲得最高管理者對風(fēng)險評估工作的支持。 風(fēng)險評估的準(zhǔn)備 ?風(fēng)險評估的準(zhǔn)備過程是組織進行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的保證。 ?確定風(fēng)險評估的目標(biāo) ?確定風(fēng)險評估的范圍 ?建立適當(dāng)?shù)慕M織結(jié)構(gòu) ?建立系統(tǒng)性的風(fēng)險評估方法 ?獲得最高管理者對風(fēng)險評估策劃的批準(zhǔn) 風(fēng)險評估依據(jù) ? 政策法規(guī)：中辦發(fā)［ 2022］ 27號文件和國信辦文件 ? 國際標(biāo)準(zhǔn)：如 BS77991 《 信息安全管理實施細則 》 、 BS77992 《 信息安全管理體系規(guī)范 》 等 ? 國家標(biāo)準(zhǔn)或正在審批的討論稿，如 GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 和 《 信息安全風(fēng)險評估指南 》 等 ? 行業(yè)通用標(biāo)準(zhǔn)等其它標(biāo)準(zhǔn) 風(fēng)險評估原則 ? 可控性原則 ?（ 1）人員可控性 ?（ 2）工具可控性 ?（ 3）項目過程可控性 ? 完整性原則 ?嚴(yán)格按照委托單位的評估要求和指定的范圍進行全面的評估服務(wù)。 ? 最小影響原則 ?從項目管理層面和工具技術(shù)層面，力求將風(fēng)險評估對信息系統(tǒng)的正常運行的可能影響降低到最低限度。 ? 保密原則 Remendations 評估 現(xiàn)狀 確定 范圍 Org Charts Polices ITSM Overview 報告 評審 Structured interviews Process definitions Interview schedule Process records 評估報告 改進 項目 SIP Customer survey 評估流程 Internal Integration 著重流程內(nèi)部的集成性 2 Process Capability 重視流程執(zhí)行 Other Process Management Mgnt intent 制定管理規(guī)范 Quality Control 流程質(zhì)量監(jiān)控 4 Mgnt information 提供充分的管理信息 Customer 1 Prerequisites/ 基本條件 External Integration 與其它流程的緊密集成 5 Customer Interface 流程優(yōu)化和服務(wù)客戶 3 Products 流程的可交付物 風(fēng)險計算模型 ? 風(fēng)險計算模型包含信息資產(chǎn)、弱點 /脆弱性、威脅等關(guān)鍵要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性。 ? 風(fēng)險計算的過程是： ?對信息資產(chǎn)進行識別，并對資產(chǎn)賦值； ?對威脅進行分析，并對威脅發(fā)生的可能性賦值； ?識別信息資產(chǎn)的脆弱性，并對弱點的嚴(yán)重程度賦值； ?根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性； ?結(jié)合信息資產(chǎn)的重要性和在此資產(chǎn)上發(fā)生安全事件的可能性計算信息資產(chǎn)的風(fēng)險值。 風(fēng)險結(jié)果的判定 ? 風(fēng)險等級的劃分 ? 確定風(fēng)險數(shù)值的大小不是機構(gòu)風(fēng)險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對關(guān)系，即要確定不同風(fēng)險的優(yōu)先次序或等級，對于其中風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。 ? 風(fēng)險等級建議從 1到 5劃分為五級。等級越大，風(fēng)險越高。風(fēng)險的等級應(yīng)得到機構(gòu)管理層的評審并批準(zhǔn)。 ? 控制措施的選擇 ? 殘余風(fēng)險的評價 ? 對于不可接受范圍內(nèi)的風(fēng)險，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖螅瑢堄囡L(fēng)險進行評價，判定風(fēng)險是否已經(jīng)降低到可接受的水平，為風(fēng)險管理提供輸入。殘余風(fēng)險的評價可以依據(jù)機構(gòu)風(fēng)險評估的準(zhǔn)則進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。 風(fēng)險評估結(jié)果紀(jì)錄 ? 根據(jù)評估實施情況和所搜集到的信息，如資產(chǎn)評估數(shù)據(jù)、威脅評估數(shù)據(jù)、脆弱性評估數(shù)據(jù)等，完成評估報告撰寫。 ? 評估報告是風(fēng)險評估結(jié)果的記錄文件，是實施風(fēng)險管理的主要依據(jù)，是對風(fēng)險評估活動進行評審和認(rèn)可的基礎(chǔ)資料，必須做到有據(jù)可查 ? 報告主要包括風(fēng)險評估范圍、風(fēng)險計算方法、安全問題歸納及描述、風(fēng)險級數(shù)、安全建議、風(fēng)險控制措施建議、殘余風(fēng)險描述等。 ? 風(fēng)險評估過程應(yīng)形成下列文件： ? 風(fēng)險評估過程計劃、風(fēng)險評估程序、信息資產(chǎn)識別清單、重要信息資產(chǎn)清單、威脅參考列表、脆弱性參考列表、風(fēng)險評估記錄、風(fēng)險處理計劃： ? 風(fēng)險評估報告：對整個風(fēng)險評估過程進行總結(jié)，說明機構(gòu)的風(fēng)險狀況及殘余風(fēng)險狀況，通過管理層的評審，確定評估后的風(fēng)險狀況滿足機構(gòu)業(yè)務(wù)發(fā)展及其他相關(guān)方的要求。 信息安全風(fēng)險評估基本方法 ? 手動評估：在風(fēng)險評估工具出現(xiàn)前，安全評估工作都只能手工進行。其勞動量巨大，容易出現(xiàn)疏漏，而且由于依據(jù)各自經(jīng)驗，有較大的局限性。 ? 工具輔助評估 ?工具的出現(xiàn)在一定程度上解決了手動評估的局限性。1985年，英國 CCTA開發(fā)了 CRAMM風(fēng)險評估工具。遵循 BS 7799規(guī)范。 1991年， Camp。A System Security公司推出了COBRA工具，用來進行信息安全風(fēng)險評估。它可以看作一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng)，對所有的威脅和脆弱點評估其相對重要性，并且給出合適的建議和解決方案，對每個風(fēng)險類別提供風(fēng)險分析報告和風(fēng)險值。 ? 技術(shù)評估和整體評估 技術(shù)評估和整體評估 ? 技術(shù)評估是指對機構(gòu)的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進行系統(tǒng)的、及時的檢查，包括對機構(gòu)內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊。 ? （ 1）評估整個計算基礎(chǔ)結(jié)構(gòu)。（ 2）使用軟件工具分析基礎(chǔ)結(jié)構(gòu)及其全部組件。（ 3）提供詳細的分析報告， ? 整體風(fēng)險評估擴展了上述技術(shù)評估的范圍，著眼于分析機構(gòu)內(nèi)部與安全相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和機構(gòu)結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。 ? 關(guān)注的焦點主要集中在以下 4個方面： ? （ 1）檢查與安全相關(guān)的實踐，標(biāo)識當(dāng)前安全實踐的優(yōu)點和弱點。 ? （ 2）包括對系統(tǒng)進行技術(shù)分析、對政策進行評審，以及對物理安全進行審查。 ? （ 3）檢查 IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點。包括惡意代碼的入侵、數(shù)據(jù)的破壞或者毀滅、信息丟失、拒絕服務(wù)、訪問權(quán)限和特權(quán)的未授權(quán)變更等。 ? （ 4）幫助決策制訂者綜合平衡風(fēng)險以選擇成本效益對策 定性評估和定量評估 ? 定性分析方法是最廣泛使用的風(fēng)險分析方法。該方法通常只關(guān)注威脅事件所帶來的損失（ Loss），而忽略事件發(fā)生的概率（ Probability）。 ? 多數(shù)定性風(fēng)險分析方法依據(jù)機構(gòu)面臨的威脅、脆弱點以及控制措施等元素來決定安全風(fēng)險等級。在定性評估時并不使用具體的數(shù)據(jù)，而是指定期望值，如設(shè)定每種風(fēng)險的影響值和概率值為“ 高 ” 、 “ 中 ” 、 “ 低 ” 。 ? 有時單純使用期望值，并不能明顯區(qū)別風(fēng)險值之間的差別?？梢钥紤]為定性數(shù)據(jù)指定數(shù)值。例如，設(shè) “ 高 ” 的值為 3， “ 中 ” 的值為 2， “ 低 ” 的值為 1。但是要注意的是，這里考慮的只是風(fēng)險的相對等級，并不能說明該風(fēng)險到底有多大。 ? 定量分析方法利用兩個基本的元素： ? 威脅事件發(fā)生的概率和可能造成的損失。 ? 把這兩個元素簡單相乘的結(jié)果稱為 ALE（ Annual Loss Expectancy）或 EAC（ Estimated An