【文章內(nèi)容簡介】 1 次 /周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過 4 高 出現(xiàn)的頻率較高（或 ≥ 1 次 /月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過 3 中 出現(xiàn)的頻率中等（或 1 次 /半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過 2 低 出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實發(fā)生過 1 很低 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生 威脅賦值表 《 信息安全風險評估規(guī)范 》 GB/T20984 威脅評估的通用方法 q 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，應根據(jù)經(jīng)驗和（或）有關的統(tǒng)計數(shù)據(jù)來進行判斷。需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率： 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計； 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計； 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。 q 為簡化后續(xù)的風險計算過程 ， 避免不必要的計算工作 ， 僅采用 TOP5或者 TOP10威脅參與風險計算 信息安全風險評估流程 威脅舉例 信息安全風險評估流程 外部威脅發(fā)展 網(wǎng) 絡 攻 擊 增 長 率2 0 0 3 年 2 0 0 4 年 2 0 0 5 年 2 0 0 6 年 2 0 0 7 年 2 0 0 8 年攻 擊 難 度攻 擊 手 段網(wǎng)絡欺騙或訛詐 感染惡意代碼 泄露重要信息 手機 攻擊 網(wǎng)絡 仿冒 網(wǎng)頁 篡改 網(wǎng)頁惡 意代碼 垃圾 郵件 拒絕服 務攻擊 病毒 蠕蟲 木馬 信息安全風險評估流程 信息安全風險評估流程 脆弱性識別與評估 1．脆弱性識別 也稱為弱點識別。弱點是資產(chǎn)本身存在的，如果沒有相應的威脅發(fā)生，單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。 即 , 威脅總是要利用資產(chǎn)的脆弱性才可能造成危害 脆弱性識別時的數(shù)據(jù)應來自于資產(chǎn)的所有者、使用者，以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等 脆弱性識別所采用的方法主要有： 問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等 信息安全風險評估流程 脆弱性識別與評估 1．脆弱性識別 脆弱性識別主要從技術和管理兩個方面進行 技術脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題 管理脆弱性又可分為技術管理和組織管理兩方面，前者與具體技術活動相關，后者與管理環(huán)境相關 1．脆弱性識別 類型 識別對象 識別內(nèi)容 技術脆弱性 網(wǎng)絡結(jié)構(gòu) 從網(wǎng)絡結(jié)構(gòu)設計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等方面進行識別 系統(tǒng)軟件 從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡安全、系統(tǒng)管理等方面進行識別 應用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別 應用系統(tǒng) 從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別 管理脆弱性 技術管理 從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別 組織管理 從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別 信息安全風險評估流程 脆弱性識別內(nèi)容表 信息安全風險評估流程 對脆弱性被利用后對資產(chǎn)損害程度 、技術實現(xiàn)的難易程度、弱點流行程度進行評估，評估的結(jié)果一般都是定性等級劃分形式，綜合的標識脆弱性的嚴重程度。 也可對脆弱性被利用后對資產(chǎn)的損害程度以及被利用的可能性分別評估，然后以一定方式綜合。 若多個脆弱性反映同一個問題，應綜合考慮這些脆弱性，確定該類脆弱性嚴重程度 脆弱性評估 信息安全風險評估流程 等級 標識 定義 5 很高 如果被威脅利用，將對資產(chǎn)造成完全損害。 4 高 如果被威脅利用，將對資產(chǎn)造成重大損害。 3 中等 如果被威脅利用，將對資產(chǎn)造成一般損害 。 2 低 如果被威脅利用，將對資產(chǎn)造成較小損害。 1 很低 如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。 脆弱性嚴重程度賦值表 脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高 《 信息安全風險評估規(guī)范 》 GB/T20984 信息安全風險評估流程 已有安全措施的確認 安全措施可以分為 預防性安全措施 和 保護性安全措施 兩種 預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng) 通過兩個方面的作用來實現(xiàn) （ 1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓可以減少無意行為導致安全事件出現(xiàn)的頻率； （ 2）減少脆弱性，如及時為系統(tǒng)打補丁、對硬件設備定期檢查能夠減少系統(tǒng)的技術脆弱性等。 保護性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。 信息安全風險評估流程 已有安全措施的確認 對已采取的安全措施進行確認，至少有兩個方面的意義 （ 1）有助于對當前信息系統(tǒng)面臨的風險進行分析 （ 2）通過對當前安全措施的確認，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施 信息安全風險評估流程 風險分析 風險分析就是利用資產(chǎn)、威脅、脆弱性識別與評估結(jié)果以及對已有安全措施確認后，采用適當?shù)姆椒ㄅc工具 確定威脅利用脆弱性導致安全事件發(fā)生的可能性 。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度， 判斷安全事件造成的損失對組織的影響，即安全風險 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴 重 程 度資 產(chǎn) 價 值安 全 事 件 的 可 能 性安 全 事 件 造 成 的 損 失風 險 值威 脅 識 別脆 弱 性 識 別資 產(chǎn) 識 別 信息安全風險評估流程 風險分析 1．風險計算 如前所述，風險可形式化的表示為 R=(A,T,V)，其中 R表示風險、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱性。相應的風險值由 A、 T、 V的取值決定，是它們的函數(shù)，可以表示為： 風險值 =R（ A， T， V） = R(L(T， V)， F(Ia， Va )) Va表示脆弱性嚴重程度； L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性； F表示安全事件發(fā)生后產(chǎn)生的損失 信息安全風險評估流程 風險分析 1．風險計算 三個關鍵計算環(huán)節(jié)： a）計算安全事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即： 安全事件發(fā)生的可能性 =L(威脅出現(xiàn)頻率，脆弱性 ) = L(T， V ) 在具體評估中，應綜合攻擊者技術能力（專業(yè)技術程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。 信息安全風險評估流程 風險分析 1．風險計算 三個關鍵計算環(huán)節(jié)： b）計算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后的損失，即 ： 安全事件的損失 =F(資產(chǎn)價值，脆弱性嚴重程度 ) =F(Ia， Va ) 部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內(nèi)。 對發(fā)生可能性極小的安全事件，可以不計算其損失 信息安全風險評估流程 風險分析 1．風險計算 三個關鍵計算環(huán)節(jié)： c） 計算風險值 根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風險值，即： 風險值 =R(安全事件發(fā)生的可能性，安全事件造成的損失 ) =R(L(T， V)， F(Ia， Va )) 可根據(jù)自身情況選擇相應的風險計算方法計算風險值，如矩陣法或相乘法。 矩陣法通過構(gòu)造一個二維矩陣，形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關系 相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件發(fā)生的可能性與安全事件的損失進行運算得到風險值。 信息安全風險評估流程 2．影響分析 ?安全事件對組織的影響可體現(xiàn)在以下方面： 直接經(jīng)濟損失、物理資產(chǎn)的損壞、業(yè)務影響、 法律責任、人員安全危害、信譽（形象）損失 上述損失有些容易定量表示，有些則很難