【文章內(nèi)容簡(jiǎn)介】 的主觀性，往往需要憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)，例如“高”、“中”、“低”三級(jí)。 ? 定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（ Checklist）、問卷（ Questionnaire）、人員訪談（ Interview）、調(diào)查（ Survey）等。 ? 定性分析操作起來相對(duì)容易，但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。 ? 與 定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反‘定性分析沒有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力。 識(shí)別信息資產(chǎn) ? 對(duì)資產(chǎn)進(jìn)行保護(hù)是信息安全的直接目標(biāo)。 ? 劃入風(fēng)險(xiǎn) 評(píng)估范圍和邊界的每項(xiàng)資產(chǎn)都應(yīng)該被識(shí)別和評(píng)價(jià)。 ? 應(yīng)該清楚識(shí)別每項(xiàng)資產(chǎn)的擁有者、保管者和使用者。 ? 組織 應(yīng)該建立資產(chǎn)清單，根據(jù)業(yè)務(wù)流程來識(shí)別信息資產(chǎn)。 ? 信息 資產(chǎn)的存在形式多種，物理的、邏輯的、無形的。 電子數(shù)據(jù)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊(cè)，培訓(xùn)資料，計(jì)劃等。 書面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果。 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序。 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施。 人員：承擔(dān)特定職能和責(zé)任的人員或角色。 服務(wù)：計(jì)算和通信服務(wù)，外包服務(wù)，其他技術(shù)性服務(wù)。 組織形象與聲譽(yù)：無形資產(chǎn)。 評(píng)價(jià)信息資產(chǎn) ? 資產(chǎn)評(píng)價(jià)時(shí)應(yīng)該考慮： ? 信息 資產(chǎn)因?yàn)槭軗p而對(duì)業(yè)務(wù)造成的直接損失 ? 信息資產(chǎn) 恢復(fù)到正常狀態(tài)所付出的代價(jià)，包括檢測(cè)、控制、修復(fù)時(shí)的人力和物力 ? 組織公眾 形象和名譽(yù)上的損失，因業(yè)務(wù)受損導(dǎo)致競(jìng)爭(zhēng)優(yōu)勢(shì)降級(jí)而引發(fā)的間接損失 ? 其他 損失，例如保險(xiǎn)費(fèi)用的增加 ? 定性分析 時(shí)，我們關(guān)心的是資產(chǎn)對(duì)組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或成果。 ? 可以根據(jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級(jí)，例如： ? 災(zāi)難性、較大、中等、較小、可忽略 ? 應(yīng)該同時(shí)考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。 識(shí)別并評(píng)估威脅 ? 識(shí)別每項(xiàng)（類）資產(chǎn)可能面臨的威脅。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅也可能對(duì)不同資產(chǎn)造成影響。 ? 識(shí)別威脅的 關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理， Threat Agent）。 ? 威脅通常包括（來源）： ? 人員威脅： 故意破壞和無意失誤 ? 系統(tǒng)威脅： 系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅： 電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅： 洪水、地震、臺(tái)風(fēng)、雷電等 ? 評(píng)估威脅可能性時(shí)要考慮到威脅源的動(dòng)機(jī)和能力因素（內(nèi)因）。 ? 威脅 發(fā)生的可能性可以用“高”、“中”、“低”三級(jí)來衡量。 識(shí)別并評(píng)估弱點(diǎn) ? 針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找到到可被威脅利用的弱點(diǎn)，包括： ? 技術(shù)性 弱點(diǎn)： 系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷 ? 操作性 弱點(diǎn)： 配臵、操作和使用中的缺陷，包括人的不良習(xí)慣、操作過程的漏洞 ? 管理 性弱點(diǎn)： 策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足 ? 弱點(diǎn)的識(shí)別途徑 ： ? 審計(jì)報(bào)告、事件報(bào)告、安全檢查報(bào)告、系統(tǒng)測(cè)試和評(píng)估報(bào)告 ? 專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息 ? 自動(dòng)化的漏洞掃描工具和滲透測(cè)試 ? 評(píng)估弱點(diǎn)時(shí)需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級(jí)來衡量。 資產(chǎn)、威脅及弱點(diǎn)關(guān)系 弱點(diǎn) 威脅 影響的資產(chǎn) 沒有邏輯訪問控制 蓄意破壞軟件 軟件，信譽(yù) 竊取軟件 數(shù)據(jù)完整性，信譽(yù) 沒有應(yīng)急計(jì)劃 火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊 設(shè)施、硬件、存儲(chǔ)介質(zhì)、數(shù)據(jù)可用性、軟件、信譽(yù) 竊取軟件 數(shù)據(jù)完整性，信譽(yù) 風(fēng)險(xiǎn)評(píng)價(jià)之前需要確定兩個(gè)指標(biāo) ? 風(fēng)險(xiǎn)影響： ? 可以通過資產(chǎn)的價(jià)值評(píng)估來確定 ? 分級(jí)方式根據(jù)需要來定，例如： ? （ 1， 2， 3， 4， 5），即： ? （可忽略，較小，中等，較大，災(zāi)難性） ? 風(fēng)險(xiǎn) 可能性： ? 可以通過威脅可能性、弱點(diǎn)暴露度的評(píng)價(jià)來綜合得出 ? 需要考慮到現(xiàn)有控制措施的效力（控制措施會(huì)影響對(duì)威脅及弱點(diǎn)的判斷） ? 分級(jí)方式根據(jù)需要來定（取決于威脅和弱點(diǎn)的評(píng)價(jià)標(biāo)準(zhǔn)），例如： ? （ 1， 2， 3， 4， 5），即 ： ? （幾乎肯定，很可能，有可能，不太可能，很罕見） 對(duì)現(xiàn)有控制措施的考慮 ? 從針對(duì)性和實(shí)施方式來看，控制措施包括三類： ? 管理 性（ Administrative）：對(duì)系統(tǒng)開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期管理等。 ? 操作 性（ Operational）：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。 ? 技術(shù)性（ Technical）：身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)、加密等。 ? 從功能 來看，控制措施類型包括： ? 威懾性（ Deterrent） ? 預(yù)防性（ Preventive） ? 檢測(cè)性（ Detective） ? 糾正 性（ Corrective） 風(fēng)險(xiǎn)評(píng)估矩陣 可能性 影響 可忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5，幾乎肯定 5（ L） 10（ M） 15（ S） 20（ H） 25（ H） 4，很可能 4（ L） 8（ M） 12（ S） 16（ S） 20（ H） 3，有可能 3（ L） 6（ M） 9（ M） 12（ S） 15（ S） 2，不太可能 2（ L） 4（ L） 6（ M） 8（ M） 10（ M） 1，很罕見 1（ L） 2（ L） 3（ L） 4（ L） 5（ L） 等級(jí) 取值范圍 名稱 描述 H 25,20 High，高風(fēng)險(xiǎn) 最高等級(jí)的風(fēng)險(xiǎn)，需要立即采取應(yīng)對(duì)措施。不可接受。 S 12,15,16 Significant，嚴(yán)重風(fēng)險(xiǎn) 需要高級(jí)管理層注意。不可接受 M 6,8,9,10 Moderate，中等風(fēng)險(xiǎn) 必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。 L 1,2,3,4,5 Low，低風(fēng)險(xiǎn) 可以通過例行程序來處理?？山邮?。 定性風(fēng)險(xiǎn)評(píng)估舉例 ? 風(fēng)險(xiǎn)場(chǎng)景： ? 一個(gè)個(gè) 人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨(dú)立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)手。 ? 確定風(fēng)險(xiǎn) 因子： ? 影響為 3（中等） ? 可能性 為 4（很可能） ? 評(píng)估風(fēng)險(xiǎn)： ? 套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為 S級(jí)（嚴(yán)重風(fēng)險(xiǎn)） ? 應(yīng)對(duì) 風(fēng)險(xiǎn)： ? 根據(jù)公司 確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對(duì)該風(fēng)險(xiǎn)采取措施予以消減。 可能性 影響 可忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5，幾乎肯定 5（ L） 10（ M） 15（ S） 20（ H） 25（ H） 4，很可能 4（ L） 8（ M） 12（ S） 16（ S） 20（ H） 3，有可能 3（ L） 6（ M） 9（ M） 12（ S） 15（ S） 2，不太可能 2（ L） 4（ L） 6（ M） 8（ M） 10（ M） 1，很罕見 1（ L） 2（ L） 3（ L） 4（ L） 5（ L） 12（ ） 確定風(fēng)險(xiǎn) 消減策略 Risk Mitigation ? 降低風(fēng)險(xiǎn)（ Reduce Risk） —— 實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括： ? 減少 威脅：例如，實(shí)施惡意軟件控制程序，減少信息系統(tǒng)惡意軟件攻擊的機(jī)會(huì) ? 減少 弱點(diǎn)：例如，通過安全意識(shí)培訓(xùn)，強(qiáng)化職員的安全意識(shí)與安全操作能力 ? 降低 影響：例如，制定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份 ? 規(guī)避 風(fēng)險(xiǎn)（ Avoid Risk） —— 或者 Rejecting Risk。有時(shí)候，組織可以選擇放棄某些可能引來風(fēng)險(xiǎn)業(yè)務(wù)或資產(chǎn)，以此來規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。 ? 轉(zhuǎn)嫁 風(fēng)險(xiǎn)（ Transfer Risk） —— 也稱作 RiSk Assignment。將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。 ? 接受 風(fēng)險(xiǎn)（ Accept Risk） —— 在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于 殘留的風(fēng)險(xiǎn)，組織可以選擇接受。 選擇控制措施以降低風(fēng)險(xiǎn) ? 選擇安全措施時(shí)首先關(guān)注的是其基本功能，其次還有效力。 ? 選擇安全措施（對(duì)策）時(shí)需要進(jìn)行成本效益分析： ? 基本原則：實(shí)施安全措施的代價(jià)不應(yīng)該大于所要保護(hù)資產(chǎn)的價(jià)值 ? 對(duì)策成本：購(gòu)買費(fèi)用，對(duì)業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費(fèi)用，維護(hù)費(fèi)用等 ? 控制 價(jià)值 =實(shí)施控制之前的 ALE控制的年成本 實(shí)施控制之后的 ALE ? 除了成本 效益，還應(yīng)該考慮到以下約束條件： ? 時(shí)間 約束，技術(shù)約束，環(huán)境約束 ? 法律約束，社會(huì)約束 ? 確定所 選安全措施的效力，是看實(shí)施新措施之后還有什么殘留風(fēng)險(xiǎn) 評(píng)價(jià)殘留風(fēng)險(xiǎn) ? 絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。 ? 實(shí)施安全控制 后有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ Residual Risk）。 ? 為了實(shí)現(xiàn)信息 安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)： ? 殘留 風(fēng)險(xiǎn) Rr=原有風(fēng)險(xiǎn) R0控制效力 ΔR ? 殘留 風(fēng)險(xiǎn) Rr≤ 可接受的風(fēng)險(xiǎn) Rt ? 對(duì)殘留 風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的成果。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。 殘留風(fēng)險(xiǎn)計(jì)算舉例 ? 風(fēng)險(xiǎn)場(chǎng)景： ? 一個(gè)個(gè) 人經(jīng)濟(jì)上那個(gè)存在問題的公司職員有權(quán)獨(dú)立訪問某類高敏感度的信息，他可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)手。 ? 實(shí)施控制 之前： ? 影響為 3（中等），可能性為 4（很可能），風(fēng)險(xiǎn)為 12（ S級(jí)）。 ? 實(shí)施控制 之后： ? 影響為 3不變，可能性降為 1，殘留風(fēng)險(xiǎn)為 3（ L級(jí)）。 ? 應(yīng)對(duì)殘留 風(fēng)險(xiǎn)： ? 殘留 風(fēng)險(xiǎn)在可接受范圍內(nèi)，說明控制措施的應(yīng)用是成功的。 可能性 影響 可忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5，幾乎肯定 5（ L） 10（ M） 15（