【文章內(nèi)容簡介】 的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或高低程度定性分級，例如“高”、“中”、“低”三級。 ? 定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（ Checklist）、問卷（ Questionnaire）、人員訪談（ Interview）、調(diào)查（ Survey）等。 ? 定性分析操作起來相對容易，但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結(jié)果失準(zhǔn)。 ? 與 定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反‘定性分析沒有定量分析那樣繁多的計算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗和能力。 識別信息資產(chǎn) ? 對資產(chǎn)進(jìn)行保護(hù)是信息安全的直接目標(biāo)。 ? 劃入風(fēng)險 評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。 ? 應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。 ? 組織 應(yīng)該建立資產(chǎn)清單，根據(jù)業(yè)務(wù)流程來識別信息資產(chǎn)。 ? 信息 資產(chǎn)的存在形式多種，物理的、邏輯的、無形的。 電子數(shù)據(jù)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊，培訓(xùn)資料，計劃等。 書面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果。 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序。 實物資產(chǎn)：計算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施。 人員：承擔(dān)特定職能和責(zé)任的人員或角色。 服務(wù)：計算和通信服務(wù)，外包服務(wù)，其他技術(shù)性服務(wù)。 組織形象與聲譽(yù)：無形資產(chǎn)。 評價信息資產(chǎn) ? 資產(chǎn)評價時應(yīng)該考慮： ? 信息 資產(chǎn)因為受損而對業(yè)務(wù)造成的直接損失 ? 信息資產(chǎn) 恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力 ? 組織公眾 形象和名譽(yù)上的損失，因業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢降級而引發(fā)的間接損失 ? 其他 損失，例如保險費用的增加 ? 定性分析 時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或成果。 ? 可以根據(jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級，例如： ? 災(zāi)難性、較大、中等、較小、可忽略 ? 應(yīng)該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。 識別并評估威脅 ? 識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。 ? 識別威脅的 關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理， Threat Agent）。 ? 威脅通常包括（來源）： ? 人員威脅： 故意破壞和無意失誤 ? 系統(tǒng)威脅： 系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅： 電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅： 洪水、地震、臺風(fēng)、雷電等 ? 評估威脅可能性時要考慮到威脅源的動機(jī)和能力因素（內(nèi)因）。 ? 威脅 發(fā)生的可能性可以用“高”、“中”、“低”三級來衡量。 識別并評估弱點 ? 針對每一項需要保護(hù)的資產(chǎn)，找到到可被威脅利用的弱點，包括： ? 技術(shù)性 弱點： 系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷 ? 操作性 弱點： 配臵、操作和使用中的缺陷，包括人的不良習(xí)慣、操作過程的漏洞 ? 管理 性弱點： 策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足 ? 弱點的識別途徑 ： ? 審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告 ? 專業(yè)機(jī)構(gòu)發(fā)布的漏洞信息 ? 自動化的漏洞掃描工具和滲透測試 ? 評估弱點時需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級來衡量。 資產(chǎn)、威脅及弱點關(guān)系 弱點 威脅 影響的資產(chǎn) 沒有邏輯訪問控制 蓄意破壞軟件 軟件，信譽(yù) 竊取軟件 數(shù)據(jù)完整性，信譽(yù) 沒有應(yīng)急計劃 火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊 設(shè)施、硬件、存儲介質(zhì)、數(shù)據(jù)可用性、軟件、信譽(yù) 竊取軟件 數(shù)據(jù)完整性，信譽(yù) 風(fēng)險評價之前需要確定兩個指標(biāo) ? 風(fēng)險影響： ? 可以通過資產(chǎn)的價值評估來確定 ? 分級方式根據(jù)需要來定，例如： ? （ 1， 2， 3， 4， 5），即： ? （可忽略，較小，中等，較大，災(zāi)難性） ? 風(fēng)險 可能性： ? 可以通過威脅可能性、弱點暴露度的評價來綜合得出 ? 需要考慮到現(xiàn)有控制措施的效力（控制措施會影響對威脅及弱點的判斷） ? 分級方式根據(jù)需要來定（取決于威脅和弱點的評價標(biāo)準(zhǔn)），例如： ? （ 1， 2， 3， 4， 5），即 ： ? （幾乎肯定，很可能，有可能，不太可能，很罕見） 對現(xiàn)有控制措施的考慮 ? 從針對性和實施方式來看，控制措施包括三類： ? 管理 性（ Administrative）：對系統(tǒng)開發(fā)、維護(hù)和使用實施管理的措施，包括安全策略、程序管理、風(fēng)險管理、安全保障、系統(tǒng)生命周期管理等。 ? 操作 性（ Operational）：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。 ? 技術(shù)性（ Technical）：身份識別與認(rèn)證、邏輯訪問控制、日志審計、加密等。 ? 從功能 來看，控制措施類型包括： ? 威懾性（ Deterrent） ? 預(yù)防性（ Preventive） ? 檢測性（ Detective） ? 糾正 性（ Corrective） 風(fēng)險評估矩陣 可能性 影響 可忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5，幾乎肯定 5（ L） 10（ M） 15（ S） 20（ H） 25（ H） 4，很可能 4（ L） 8（ M） 12（ S） 16（ S） 20（ H） 3，有可能 3（ L） 6（ M） 9（ M） 12（ S） 15（ S） 2，不太可能 2（ L） 4（ L） 6（ M） 8（ M） 10（ M） 1，很罕見 1（ L） 2（ L） 3（ L） 4（ L） 5（ L） 等級 取值范圍 名稱 描述 H 25,20 High，高風(fēng)險 最高等級的風(fēng)險，需要立即采取應(yīng)對措施。不可接受。 S 12,15,16 Significant，嚴(yán)重風(fēng)險 需要高級管理層注意。不可接受 M 6,8,9,10 Moderate，中等風(fēng)險 必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。 L 1,2,3,4,5 Low，低風(fēng)險 可以通過例行程序來處理。可接受。 定性風(fēng)險評估舉例 ? 風(fēng)險場景： ? 一個個 人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。 ? 確定風(fēng)險 因子： ? 影響為 3（中等） ? 可能性 為 4（很可能） ? 評估風(fēng)險： ? 套用風(fēng)險分析矩陣，該風(fēng)險被定為 S級（嚴(yán)重風(fēng)險） ? 應(yīng)對 風(fēng)險： ? 根據(jù)公司 確定的風(fēng)險接受水平，應(yīng)該對該風(fēng)險采取措施予以消減。 可能性 影響 可忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5，幾乎肯定 5（ L） 10（ M） 15（ S） 20（ H） 25（ H） 4，很可能 4（ L） 8（ M） 12（ S） 16（ S） 20（ H） 3，有可能 3（ L） 6（ M） 9（ M） 12（ S） 15（ S） 2，不太可能 2（ L） 4（ L） 6（ M） 8（ M） 10（ M） 1，很罕見 1（ L） 2（ L） 3（ L） 4（ L） 5（ L） 12（ ） 確定風(fēng)險 消減策略 Risk Mitigation ? 降低風(fēng)險（ Reduce Risk） —— 實施有效控制，將風(fēng)險降低到可接受的程度，實際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括： ? 減少 威脅：例如，實施惡意軟件控制程序，減少信息系統(tǒng)惡意軟件攻擊的機(jī)會 ? 減少 弱點：例如，通過安全意識培訓(xùn)，強(qiáng)化職員的安全意識與安全操作能力 ? 降低 影響：例如，制定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份 ? 規(guī)避 風(fēng)險（ Avoid Risk） —— 或者 Rejecting Risk。有時候，組織可以選擇放棄某些可能引來風(fēng)險業(yè)務(wù)或資產(chǎn)，以此來規(guī)避風(fēng)險。例如，將重要的計算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。 ? 轉(zhuǎn)嫁 風(fēng)險（ Transfer Risk） —— 也稱作 RiSk Assignment。將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險。 ? 接受 風(fēng)險（ Accept Risk） —— 在實施了其他風(fēng)險應(yīng)對措施之后，對于 殘留的風(fēng)險，組織可以選擇接受。 選擇控制措施以降低風(fēng)險 ? 選擇安全措施時首先關(guān)注的是其基本功能，其次還有效力。 ? 選擇安全措施（對策）時需要進(jìn)行成本效益分析： ? 基本原則：實施安全措施的代價不應(yīng)該大于所要保護(hù)資產(chǎn)的價值 ? 對策成本：購買費用，對業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費用，維護(hù)費用等 ? 控制 價值 =實施控制之前的 ALE控制的年成本 實施控制之后的 ALE ? 除了成本 效益，還應(yīng)該考慮到以下約束條件： ? 時間 約束，技術(shù)約束，環(huán)境約束 ? 法律約束，社會約束 ? 確定所 選安全措施的效力，是看實施新措施之后還有什么殘留風(fēng)險 評價殘留風(fēng)險 ? 絕對安全（即零風(fēng)險）是不可能的。 ? 實施安全控制 后有殘留風(fēng)險或殘存風(fēng)險（ Residual Risk）。 ? 為了實現(xiàn)信息 安全，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)： ? 殘留 風(fēng)險 Rr=原有風(fēng)險 R0控制效力 ΔR ? 殘留 風(fēng)險 Rr≤ 可接受的風(fēng)險 Rt ? 對殘留 風(fēng)險進(jìn)行確認(rèn)和評價的過程其實就是風(fēng)險接受的成果。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。 殘留風(fēng)險計算舉例 ? 風(fēng)險場景： ? 一個個 人經(jīng)濟(jì)上那個存在問題的公司職員有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。 ? 實施控制 之前： ? 影響為 3（中等），可能性為 4（很可能），風(fēng)險為 12（ S級）。 ? 實施控制 之后： ? 影響為 3不變，可能性降為 1，殘留風(fēng)險為 3（ L級）。 ? 應(yīng)對殘留 風(fēng)險： ? 殘留 風(fēng)險在可接受范圍內(nèi)，說明控制措施的應(yīng)用是成功的。 可能性 影響 可忽略 1 較小 2 中等 3 較大 4 災(zāi)難性 5 5，幾乎肯定 5（ L） 10（ M） 15（