【文章內(nèi)容簡(jiǎn)介】 評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來分析威脅出現(xiàn)的頻率及其強(qiáng)度或破壞能力威脅評(píng)估的通用方法q 為威脅列表中的全部可賦值威脅類進(jìn)行賦值 信息安全風(fēng)險(xiǎn)評(píng)估流程等級(jí) 標(biāo)識(shí) 定義5 很高 出現(xiàn)的頻率很高（或 ≥1 次 /周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過 4 高 出現(xiàn)的頻率較高（或 ≥ 1 次 /月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過 3 中 出現(xiàn)的頻率中等（或 1 次 /半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過 2 低 出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過 1 很低 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生 威脅賦值表《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 GB/T20984威脅評(píng)估的通用方法q 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率： 以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)； 實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)； 近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。q 為簡(jiǎn)化后續(xù)的風(fēng)險(xiǎn)計(jì)算過程，避免不必要的計(jì)算工作，僅采用 TOP5或者 TOP10威脅參與風(fēng)險(xiǎn)計(jì)算 信息安全風(fēng)險(xiǎn)評(píng)估流程威脅舉例 信息安全風(fēng)險(xiǎn)評(píng)估流程外部威脅發(fā)展網(wǎng)絡(luò)欺騙或訛詐感染惡意代碼泄露重要信息手機(jī)攻擊網(wǎng)絡(luò)仿冒網(wǎng)頁篡改網(wǎng)頁惡意代碼垃圾郵件 拒絕服務(wù)攻擊病毒蠕蟲木馬 信息安全風(fēng)險(xiǎn)評(píng)估流程 信息安全 風(fēng)險(xiǎn)評(píng) 估流程 脆弱性識(shí)別與評(píng)估 1．脆弱性識(shí)別也稱為弱點(diǎn)識(shí)別。弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。 即 , 威脅總是要利用資產(chǎn)的脆弱性才可能造成危害脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等脆弱性識(shí)別所采用的方法主要有： 問卷調(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等 信息安全 風(fēng)險(xiǎn)評(píng) 估流程 脆弱性識(shí)別與評(píng)估 1．脆弱性識(shí)別脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行 技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題 管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)1．脆弱性識(shí)別類型 識(shí)別對(duì)象 識(shí)別內(nèi)容技術(shù)脆弱性 網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件 從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng) 從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性 技術(shù)管理 從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理 從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別 信息安全風(fēng)險(xiǎn)評(píng)估流程脆弱性識(shí)別內(nèi)容表 信息安全 風(fēng)險(xiǎn)評(píng) 估流程對(duì)脆弱性被利用后對(duì)資產(chǎn)損害程度 、技 術(shù)實(shí)現(xiàn) 的 難易程度、弱點(diǎn)流行程度 進(jìn) 行 評(píng) 估， 評(píng) 估的 結(jié) 果一般都是定性等 級(jí) 劃分形式， 綜 合的 標(biāo)識(shí) 脆弱性的 嚴(yán) 重程度。也可 對(duì) 脆弱性被利用后 對(duì)資產(chǎn) 的 損 害程度以及被利用的可能性分 別評(píng) 估，然后以一定方式 綜 合。若多個(gè)脆弱性反映同一個(gè)問題，應(yīng)綜合考慮這些脆弱性，確定該類脆弱性嚴(yán)重程度脆弱性評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估流程等級(jí) 標(biāo)識(shí) 定義5 很高 如果被威脅利用，將對(duì)資產(chǎn)造成完全損害。 4 高 如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。 3 中等 如果被威脅利用，將對(duì)資產(chǎn)造成一般損害 。 2 低 如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。 1 很低 如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略。 脆弱性嚴(yán)重程度賦值表 脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 GB/T20984 信息安全 風(fēng)險(xiǎn)評(píng) 估流程 已有安全措施的確認(rèn)安全措施可以分為 預(yù)防性安全措施 和 保護(hù)性安全措施 兩種預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)通過兩個(gè)方面的作用來實(shí)現(xiàn) （ 1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對(duì)員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓(xùn)可以減少無意行為導(dǎo)致安全事件出現(xiàn)的頻率； （ 2）減少脆弱性，如及時(shí)為系統(tǒng)打補(bǔ)丁、對(duì)硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱性等。保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。 信息安全 風(fēng)險(xiǎn)評(píng) 估流程 已有安全措施的確認(rèn)對(duì)已采取的安全措施進(jìn)行確認(rèn)，至少有兩個(gè)方面的意義 （ 1）有助于對(duì)當(dāng)前信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析 （ 2）通過對(duì)當(dāng)前安全措施的確認(rèn)，分析其有效性，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施 信息安全 風(fēng)險(xiǎn)評(píng) 估流程 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析就是利用資產(chǎn)、威脅、脆弱性識(shí)別與評(píng)估結(jié)果以及對(duì)已有安全措施確認(rèn)后，采用適當(dāng)?shù)姆椒ㄅc工具 確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性 。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度， 判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn) 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算如前所述，風(fēng)險(xiǎn)可形式化的表示為 R=(A,T,V)，其中 R表示風(fēng)險(xiǎn)、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱性。相應(yīng)的風(fēng)險(xiǎn)值由A、 T、 V的取值決定，是它們的函數(shù)，可以表示為： 風(fēng)險(xiǎn)值 =R（ A， T， V） = R(L(T， V)， F(Ia， Va )) Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：a）計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即： 安全事件發(fā)生的可能性 =L(威脅出現(xiàn)頻率，脆弱性 ) = L(T， V ) 在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：b）計(jì)算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失，即 ： 安全事件的損失 =F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度 ) =F(Ia， Va ) 部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。 對(duì)發(fā)生可能性極小的安全事件，可以不計(jì)算其損失 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)分析1．風(fēng)險(xiǎn)計(jì)算三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：c） 計(jì)算風(fēng)險(xiǎn)值 根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即： 風(fēng)險(xiǎn)值 =R(安全事件發(fā)生的可能性，安全事件造成的損失