【文章內(nèi)容簡介】 評估，這是風險評估的重要環(huán)節(jié)評估者應根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來分析威脅出現(xiàn)的頻率及其強度或破壞能力威脅評估的通用方法q 為威脅列表中的全部可賦值威脅類進行賦值 信息安全風險評估流程等級 標識 定義5 很高 出現(xiàn)的頻率很高（或 ≥1 次 /周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過 4 高 出現(xiàn)的頻率較高（或 ≥ 1 次 /月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過 3 中 出現(xiàn)的頻率中等（或 1 次 /半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過 2 低 出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過 1 很低 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生 威脅賦值表《 信息安全風險評估規(guī)范 》 GB/T20984威脅評估的通用方法q 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，應根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率： 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計； 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計； 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。q 為簡化后續(xù)的風險計算過程，避免不必要的計算工作，僅采用 TOP5或者 TOP10威脅參與風險計算 信息安全風險評估流程威脅舉例 信息安全風險評估流程外部威脅發(fā)展網(wǎng)絡欺騙或訛詐感染惡意代碼泄露重要信息手機攻擊網(wǎng)絡仿冒網(wǎng)頁篡改網(wǎng)頁惡意代碼垃圾郵件 拒絕服務攻擊病毒蠕蟲木馬 信息安全風險評估流程 信息安全 風險評 估流程 脆弱性識別與評估 1．脆弱性識別也稱為弱點識別。弱點是資產(chǎn)本身存在的，如果沒有相應的威脅發(fā)生，單純的弱點本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。 即 , 威脅總是要利用資產(chǎn)的脆弱性才可能造成危害脆弱性識別時的數(shù)據(jù)應來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務領域和軟硬件方面的專業(yè)人員等脆弱性識別所采用的方法主要有： 問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等 信息安全 風險評 估流程 脆弱性識別與評估 1．脆弱性識別脆弱性識別主要從技術(shù)和管理兩個方面進行 技術(shù)脆弱性涉及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題 管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)1．脆弱性識別類型 識別對象 識別內(nèi)容技術(shù)脆弱性 網(wǎng)絡結(jié)構(gòu) 從網(wǎng)絡結(jié)構(gòu)設計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等方面進行識別系統(tǒng)軟件 從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡安全、系統(tǒng)管理等方面進行識別應用中間件 從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應用系統(tǒng) 從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性 技術(shù)管理 從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別組織管理 從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別 信息安全風險評估流程脆弱性識別內(nèi)容表 信息安全 風險評 估流程對脆弱性被利用后對資產(chǎn)損害程度 、技 術(shù)實現(xiàn) 的 難易程度、弱點流行程度 進 行 評 估， 評 估的 結(jié) 果一般都是定性等 級 劃分形式， 綜 合的 標識 脆弱性的 嚴 重程度。也可 對 脆弱性被利用后 對資產(chǎn) 的 損 害程度以及被利用的可能性分 別評 估，然后以一定方式 綜 合。若多個脆弱性反映同一個問題，應綜合考慮這些脆弱性，確定該類脆弱性嚴重程度脆弱性評估 信息安全風險評估流程等級 標識 定義5 很高 如果被威脅利用，將對資產(chǎn)造成完全損害。 4 高 如果被威脅利用，將對資產(chǎn)造成重大損害。 3 中等 如果被威脅利用，將對資產(chǎn)造成一般損害 。 2 低 如果被威脅利用，將對資產(chǎn)造成較小損害。 1 很低 如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。 脆弱性嚴重程度賦值表 脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高《 信息安全風險評估規(guī)范 》 GB/T20984 信息安全 風險評 估流程 已有安全措施的確認安全措施可以分為 預防性安全措施 和 保護性安全措施 兩種預防性安全措施可以降低威脅利用脆弱性導致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)通過兩個方面的作用來實現(xiàn) （ 1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓可以減少無意行為導致安全事件出現(xiàn)的頻率； （ 2）減少脆弱性，如及時為系統(tǒng)打補丁、對硬件設備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱性等。保護性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。 信息安全 風險評 估流程 已有安全措施的確認對已采取的安全措施進行確認，至少有兩個方面的意義 （ 1）有助于對當前信息系統(tǒng)面臨的風險進行分析 （ 2）通過對當前安全措施的確認，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施 信息安全 風險評 估流程 風險分析風險分析就是利用資產(chǎn)、威脅、脆弱性識別與評估結(jié)果以及對已有安全措施確認后，采用適當?shù)姆椒ㄅc工具 確定威脅利用脆弱性導致安全事件發(fā)生的可能性 。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度， 判斷安全事件造成的損失對組織的影響，即安全風險 信息安全風險評估流程 風險分析1．風險計算如前所述，風險可形式化的表示為 R=(A,T,V)，其中 R表示風險、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱性。相應的風險值由A、 T、 V的取值決定，是它們的函數(shù)，可以表示為： 風險值 =R（ A， T， V） = R(L(T， V)， F(Ia， Va )) Va表示脆弱性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失 信息安全風險評估流程 風險分析1．風險計算三個關(guān)鍵計算環(huán)節(jié)：a）計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即： 安全事件發(fā)生的可能性 =L(威脅出現(xiàn)頻率，脆弱性 ) = L(T， V ) 在具體評估中，應綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設備等）、脆弱性被利用的難易程度（可訪問時間、設計和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。 信息安全風險評估流程 風險分析1．風險計算三個關(guān)鍵計算環(huán)節(jié)：b）計算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后的損失，即 ： 安全事件的損失 =F(資產(chǎn)價值，脆弱性嚴重程度 ) =F(Ia， Va ) 部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內(nèi)。 對發(fā)生可能性極小的安全事件，可以不計算其損失 信息安全風險評估流程 風險分析1．風險計算三個關(guān)鍵計算環(huán)節(jié)：c） 計算風險值 根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風險值，即： 風險值 =R(安全事件發(fā)生的可能性，安全事件造成的損失