【文章內(nèi)容簡介】 ? 定性分析方法一般適用于： ? a）風(fēng)險識別； ? b）造成風(fēng)險的原因分析； ? c）威脅發(fā)生所造成的影響分析等。 例如： ? 針對操作系統(tǒng)，采用掃描工具，發(fā)現(xiàn)其漏洞，指明漏洞的嚴重程度； 29 All rights reserved 169。 2023 現(xiàn)有風(fēng)險評估方法綜述（ 3） 定量分析方法 ? 以獲取到或采取一定方法量化后得到的被調(diào)查對象的定量數(shù)據(jù)為基本材料，依據(jù)一定的算法進行分析、計算、綜合，然后得出結(jié)果數(shù)據(jù)。定量分析方法一般適用于： ? a）確立威脅發(fā)生概率； ? b）預(yù)測系統(tǒng)風(fēng)險發(fā)生概率； ? c）確立系統(tǒng)總體風(fēng)險評價等。 例如： ? 對運行在某個平臺上的不同主機、應(yīng)用系統(tǒng)分別進行等價化的賦值，綜合分析每個資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風(fēng)險量化值。 30 All rights reserved 169。 2023 現(xiàn)有風(fēng)險評估方法綜述（ 4） 基于系統(tǒng)安全模型體系的分析方法 ? 在一般風(fēng)險評估原理的指導(dǎo)下，針對被評估信息系統(tǒng)實際情況（包括：系統(tǒng)技術(shù)特性、組織特性、資產(chǎn)情況、安全假設(shè)、脆弱點、威脅、保護措施等）建立有針對性、合理的評估安全需求； ? 同時建立評估指標(biāo)體系、評估流程、評估模型，通過系統(tǒng)對評估要求的滿足程度進行判斷風(fēng)險評估的指導(dǎo)作用。 ? 例如： ? 網(wǎng)上政務(wù)安信息系統(tǒng)安全保障要求 ? HIS系統(tǒng)安全保障要求 ? 實際固化了前期的資產(chǎn)識別、威脅分析，僅做審核、結(jié)論性判斷。 31 All rights reserved 169。 2023 1）資產(chǎn)識別與賦值 2）資產(chǎn)的安全屬性賦值及權(quán)重計算； 3）威脅分析； 4）薄弱點分析； 5）已有控制措施分析； 6）影響分析； 7）可能性分析； 8）風(fēng)險計算； 9）風(fēng)險控制措施制定； 評估步驟 32 All rights reserved 169。 2023 資產(chǎn)的識別 資產(chǎn)識別之前必須界定范圍 識別資產(chǎn)最簡單的方法就是列出對組織或組織的特定部門的業(yè)務(wù)過程有價值的任何事物 資產(chǎn)包括 : 數(shù)據(jù)與文檔 /書面文件 /軟件 /實物資產(chǎn) /人員 /服務(wù) 33 All rights reserved 169。 2023 資產(chǎn)識別的類型 34 All rights reserved 169。 2023 資產(chǎn)的安全屬性賦值及權(quán)重計算 信息資產(chǎn)分別具有不同的安全屬性 ， 機密性 、 完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性 。安全屬性的不同通常也意味著安全控制 、 保護功能需求的不同 。 通過考察三種不同安全屬性 ， 可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值 。 對信息資產(chǎn)進行賦值的目的是為了更好地反映資產(chǎn)的價值 ， 以便于進一步考察資產(chǎn)相關(guān)的弱點 、 威脅和風(fēng)險屬性 ， 并進行量化 。 35 All rights reserved 169。 2023 資產(chǎn)價值與信息安全特性的關(guān)系 等級 機密性 1 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求可以忽略。 機密性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求有限。 機密性價值較低，潛在影響可以忍受，較容易彌補 3 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求一般 機密性價值中等，潛在影響重大，但可以彌補 4 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求較高 機密性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補 5 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求很高 機密性價值非常關(guān)鍵，具有致命性的潛在影響 例：對應(yīng)用軟件，其機密性表現(xiàn)在 配置數(shù)據(jù)失密、賬號口令信息失密、關(guān)鍵算法失密等。 36 All rights reserved 169。 2023 資產(chǎn)價值與信息安全特性的關(guān)系 等級 完整性 1 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求可以忽略。 完整性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求有限。 完整性價值較低，潛在影響可以忍受，較容易彌補 3 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求一般 完整性價值中等，潛在影響重大，但可以彌補 4 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求較高 完整性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補 5 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求很高 完整性價值非常關(guān)鍵，具有致命性的潛在影響 例：對應(yīng)用軟件，其完整性表現(xiàn)在 配置數(shù)據(jù)被修改、軟件被修改、數(shù)據(jù)被修改 37 All rights reserved 169。 2023 資產(chǎn)價值與信息安全特性的關(guān)系 等級 可用性 1 資產(chǎn)對防止信息不可用方面的要求可以忽略。 可用性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息不可用方面的要求有限。 可用性價值較低，潛在影響可以忍受，較容易彌補 3 資產(chǎn)對防止信息不可用方面的要求一般 可用性價值中等，潛在影響重大，但可以彌補 4 資產(chǎn)對防止信息不可用方面的要求較高 可用性價值較高，潛在影響嚴重，企業(yè)將蒙受嚴重損失，難以彌補 5 資產(chǎn)對防止信息不可用方面的要求很高 可用性價值非常關(guān)鍵，具有致命性的潛在影響 例：對應(yīng)用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權(quán)。 38 All rights reserved 169。 2023 威脅分析與評價 對組織需要保護的每一項重要信息資產(chǎn)進行威脅識別應(yīng)考慮 : ?資產(chǎn)所處的環(huán)境條件 ?資產(chǎn)以前遭受威脅損害的情況來判斷 : ?一項資產(chǎn)可能面臨著多個威脅 ?一個威脅可能對不同的資產(chǎn)造成影響 ?威脅識別應(yīng)確認威脅由誰或什么事物引發(fā) ?威脅可能來源于意外的，或有預(yù)謀的事件 39 All rights reserved 169。 2023 威脅的識別與評價 威脅列表 : 空氣中的懸浮顆粒 /灰塵 維護錯誤 空調(diào)故障 惡意軟件 存儲媒體的老化 用戶身份的偽裝 電子郵件炸彈 未授權(quán)網(wǎng)絡(luò)訪問 地震 操作人員的錯誤 竊聽 供電波動 環(huán)境污染 否定或抵賴 極端的溫度和濕度 軟件故障 通信服務(wù)故障 員工短缺 40 All rights reserved 169。 2023 威脅的識別與評價 威脅列表 (續(xù) ): 火災(zāi) 傳輸錯誤 洪水 軟件未授權(quán)使用 硬件故障