【文章內(nèi)容簡(jiǎn)介】 果文檔 ………………… 總體上看，風(fēng)險(xiǎn)評(píng)估可分為四個(gè)階段，第一階段為風(fēng)險(xiǎn)評(píng)估準(zhǔn)備；第二階段為風(fēng)險(xiǎn)識(shí)別，第三階段為風(fēng)險(xiǎn)評(píng)價(jià)，第四階段為風(fēng)險(xiǎn)處理。 風(fēng)險(xiǎn)評(píng)估流程 1. 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。其工作主要包括： 1．確定風(fēng)險(xiǎn)評(píng)估目標(biāo)（滿足業(yè)務(wù)持續(xù)性需要） 2．確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍 3．組建團(tuán)隊(duì)。 組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估管理與實(shí)施團(tuán)隊(duì)，以支持整個(gè)過程的推進(jìn) 4．選擇方法 應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來選擇具體 的風(fēng)險(xiǎn)判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)。 5．獲得支持 6．準(zhǔn)備相關(guān)的評(píng)估工具（掃描、測(cè)試、收集工具） 風(fēng)險(xiǎn)評(píng)估流程 2. 資產(chǎn)識(shí)別與評(píng)價(jià) (1) 資產(chǎn)識(shí)別 資產(chǎn)識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)。資產(chǎn)識(shí)別的任務(wù)就是對(duì)確定的評(píng)估對(duì)象所涉及或包含的 資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識(shí) 。資產(chǎn)識(shí)別過程中要特別注意無形資產(chǎn)的遺漏，同時(shí)還應(yīng)注意 不同資產(chǎn)間的相互依賴關(guān)系 ，關(guān)系緊密的資產(chǎn)可作為一個(gè)整體來考慮，同一中類型的資產(chǎn)也應(yīng)放在一起考慮。 資產(chǎn)識(shí)別的方法主要有 訪談、現(xiàn)場(chǎng)調(diào)查、問卷、文檔查閱 等。 風(fēng)險(xiǎn)評(píng)估流程 (2) 資產(chǎn)評(píng)價(jià) 資產(chǎn)的評(píng)價(jià)是對(duì)資產(chǎn)的價(jià)值或重要程度進(jìn)行評(píng)估，資產(chǎn)本身的貨幣價(jià)值是資產(chǎn)價(jià)值的體現(xiàn)，但更重要的是 資產(chǎn)對(duì)組織關(guān)鍵業(yè)務(wù)的順利開展乃至組織目標(biāo)實(shí)現(xiàn)的重要程度 。由于多數(shù)資產(chǎn)不能以貨幣形式的價(jià)值來衡量，資產(chǎn)評(píng)價(jià)很難以 定量 的方式來進(jìn)行，多數(shù)情況下只能以 定性 的形式，依據(jù)重要程度的不同劃分等級(jí)。 通常信息資產(chǎn)的 機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性 等是評(píng)價(jià)資產(chǎn)的安全屬性?？梢韵确謩e對(duì)資產(chǎn)在以上各方面的重要程度進(jìn)行評(píng)估，然后通過一定的方法進(jìn)行綜合 ,可得資產(chǎn)的綜合價(jià)值（ 加權(quán)評(píng)估） 風(fēng)險(xiǎn)評(píng)估流程 賦值 標(biāo)識(shí) 定義 5 極高 包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害 4 高 包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害 3 中等 包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害 2 低 包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害 1 可忽略 包含可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等 資產(chǎn)機(jī)密性賦值表 風(fēng)險(xiǎn)評(píng)估流程 3. 威脅識(shí)別與評(píng)估 (1)威脅識(shí)別 威脅是構(gòu)成風(fēng)險(xiǎn)的必要組成部分，因而威脅識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)，威脅識(shí)別的任務(wù)是對(duì)組織資產(chǎn)面臨的威脅進(jìn)行全面的 標(biāo)識(shí) 。威脅識(shí)別可從 威脅源 進(jìn)行分析，也可根據(jù)有關(guān)標(biāo)準(zhǔn)、組織所提供的 威脅參考目錄 進(jìn)行分析。 風(fēng)險(xiǎn)評(píng)估流程 主 體 動(dòng) 機(jī) 后 果資 產(chǎn)資 產(chǎn)訪 問網(wǎng) 絡(luò)訪 問內(nèi) 部 人 員偶 然 行 為故 意 行 為丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改內(nèi) 部 人 員偶 然 行 為故 意 行 為丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改人類利用網(wǎng)絡(luò)訪問的威脅樹 5個(gè)屬性 風(fēng)險(xiǎn)評(píng)估流程 主 體 后 果資 產(chǎn)資 產(chǎn)丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改存 儲(chǔ) 介 質(zhì) 老 化硬 件 故 障軟 件 故 障惡 意 代 碼系統(tǒng)故障威脅樹 風(fēng)險(xiǎn)評(píng)估流程 3. 威脅識(shí)別與評(píng)估 (2) 威脅評(píng)估 安全風(fēng)險(xiǎn)的大小是由安全事件發(fā)生的可能性以及它造成的影響決定，安全事件發(fā)生的可能性與威脅出現(xiàn)的頻率有關(guān)，而安全事件的影響則與威脅的強(qiáng)度或破壞能力有關(guān)，如地震的等級(jí)或破壞力等。威脅評(píng)估就是對(duì) 威脅出現(xiàn)的頻率及強(qiáng)度進(jìn)行評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。評(píng)估者應(yīng)根據(jù) 經(jīng)驗(yàn) 和（或）有關(guān)的 統(tǒng)計(jì)數(shù)據(jù)來分析 威脅出現(xiàn)的頻率及其強(qiáng)度或破壞能力。 三個(gè)依據(jù)：以往發(fā)生的威脅、現(xiàn)實(shí)檢測(cè)出來的威脅、行業(yè)威脅 風(fēng)險(xiǎn)評(píng)估流程 威脅賦值表 等級(jí) 標(biāo)識(shí) 定義 5 很高 威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí) 經(jīng)常發(fā)生過 4 高 威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證 實(shí)多次發(fā)生過 3 中 威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾經(jīng)發(fā)生 過 2 低 威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過 1 很低 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生 風(fēng)險(xiǎn)評(píng)估流程 4. 脆弱點(diǎn)識(shí)別與評(píng)估 （ 1）脆弱點(diǎn)識(shí)別 脆弱點(diǎn)識(shí)別也稱為弱點(diǎn)識(shí)別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。 脆弱點(diǎn)識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行， 技術(shù)脆弱點(diǎn) 涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。 管理脆弱點(diǎn) 又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān) 。 風(fēng)險(xiǎn)評(píng)估流程 脆弱點(diǎn)識(shí)別 類型 識(shí)別對(duì)象 識(shí)別內(nèi)容 技術(shù)脆弱點(diǎn) 物理環(huán)境 從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。 服務(wù)器（含操作系統(tǒng)） 從物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。 網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控 制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。 數(shù)據(jù)庫 從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè) 置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。 應(yīng)用系統(tǒng) 審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒 別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。 管理脆弱點(diǎn) 技術(shù)管理 物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維 護(hù)、業(yè)務(wù)連續(xù)性。 組織管理 安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性 風(fēng)險(xiǎn)評(píng)估流程 脆弱點(diǎn)識(shí)別 資產(chǎn)的脆弱點(diǎn) 具有隱蔽性 ，有些弱點(diǎn)只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點(diǎn)識(shí)別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個(gè)弱點(diǎn)。 脆弱點(diǎn)識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，找出可能被威脅利用的弱點(diǎn)，并對(duì)脆弱點(diǎn)的嚴(yán)重程度進(jìn)行評(píng)估。脆弱點(diǎn)識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)等人員 脆弱點(diǎn)識(shí)別所采用的方法主要有： 問卷調(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試 等。 風(fēng)險(xiǎn)評(píng)估流程 （ 2）脆弱點(diǎn)評(píng)估 脆弱點(diǎn)評(píng)估就是是對(duì)脆弱點(diǎn)被利用后 對(duì)資產(chǎn)損害程度 、技術(shù)實(shí)現(xiàn)的難易程度 、 弱點(diǎn)流行程度 進(jìn)行評(píng)估，評(píng)估的結(jié)果一般都是定性等級(jí)劃分形式，綜合的標(biāo)識(shí)脆弱點(diǎn)的嚴(yán)重程度。也可以對(duì)脆弱點(diǎn)被利用后 對(duì)資產(chǎn)的損害程度 以及 被利用的可能性 分別評(píng)估，然后以一定方式綜合。 風(fēng)險(xiǎn)評(píng)估流程 （ 2）脆弱點(diǎn)嚴(yán)重程度賦值 等級(jí) 標(biāo)識(shí) 定義 5 很高 如果被威脅利用，將對(duì)資產(chǎn)造成完全損害 4 高 如果被威脅利用，將對(duì)資產(chǎn)造成重大損害 3 中 如果被威脅利用，將對(duì)資產(chǎn)造成一般損害 2 低 如果被威脅利用，將對(duì)資產(chǎn)造成較小損害 1 很低 如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略 風(fēng)險(xiǎn)評(píng)估流程 5. 已有安全措施的確認(rèn) 安全措施可以分為 預(yù)防性安全措施 和 保護(hù)性安全措施兩種。 預(yù)防性安全措施可以降低威脅利用脆弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性。這可以通過兩個(gè)方面的作用來實(shí)現(xiàn)， （ 1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對(duì)員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓(xùn)可以減少無意行為導(dǎo)致安全事件出現(xiàn)的頻率； （ 2）減少脆弱點(diǎn)，如及時(shí)為系統(tǒng)打補(bǔ)丁、對(duì)硬件設(shè)備定期檢查能夠減少系統(tǒng)的技術(shù)脆弱點(diǎn)等。 風(fēng)險(xiǎn)評(píng)估流程 5. 已有安全措施的確認(rèn) 對(duì)已采取的安全措施進(jìn)行確認(rèn)，至少有兩個(gè)方面的意義。一方面，這有助于對(duì)當(dāng)前信息系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行分析；另一方面，通過對(duì)當(dāng)前安全措施的確認(rèn)，分析其有效性，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。 風(fēng)險(xiǎn)評(píng)估流程 6. 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析就是利用資產(chǎn)、威脅、脆弱點(diǎn)識(shí)別與評(píng)估結(jié)果以及已有安全措施的確認(rèn)與分析結(jié)果，對(duì)資產(chǎn)面臨的風(fēng)險(xiǎn)進(jìn)行分析。 1）風(fēng)險(xiǎn)計(jì)算 2）風(fēng)險(xiǎn)等級(jí) 3）風(fēng)險(xiǎn)處理計(jì)劃 風(fēng)險(xiǎn)評(píng)估流程 （ 1）風(fēng)險(xiǎn)計(jì)算 在完成了資產(chǎn)識(shí)別 、 威脅識(shí)別 、 脆弱性識(shí)別， 以及對(duì)已有安全措施確認(rèn)后 ， 應(yīng)采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性 。 綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度 ， 判斷安全事件造成的損失對(duì)組織的影響， 即安全風(fēng)險(xiǎn) 。 風(fēng)險(xiǎn)評(píng)估流程 （ 1）風(fēng)險(xiǎn)計(jì)算 如前所述，風(fēng)險(xiǎn)可形式化的表示為 R=(A,T,V)，其中R表示風(fēng)險(xiǎn)、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱點(diǎn)。相應(yīng)的風(fēng)險(xiǎn)值由 A、 T、 V的取值決定，是它們的函數(shù)，可以表示為： VR=R(A,T,V)=R(L(A,T,V)， F(A,T,V)) 其中， L(A,T,V)、 F(A,T,V)分別表示對(duì)應(yīng)安全事件發(fā)生的可能性及影響，它們也都是資產(chǎn)、威脅、脆弱點(diǎn)的函數(shù)，但其表達(dá)式很難給出。而風(fēng)險(xiǎn)則可表示為可能性 L和影響 F的函數(shù)，簡(jiǎn)單的處理就是 將安全事件發(fā)生的可能性 L與安全事件的影響 F相乘 得到風(fēng)險(xiǎn)值，實(shí)際就是平均損失，即 VR= L(A,T,V) F(A,T,V)。 風(fēng)險(xiǎn)評(píng)估流程 （ 1）風(fēng)險(xiǎn)計(jì)算 威脅識(shí)別 脆弱性識(shí)別 威脅出現(xiàn) 的頻率 脆弱性的 嚴(yán)重程度 資產(chǎn)的 重要性 安全事件的損失 風(fēng)險(xiǎn)值 資產(chǎn)識(shí)別 安全事件的可能性 風(fēng)險(xiǎn)評(píng)估流程 影響分析 影響分析，安全事件對(duì)組織的影響可體現(xiàn)在以下方面： ?直接經(jīng)濟(jì)損失 :風(fēng)險(xiǎn)事件可能引發(fā)直接的經(jīng)濟(jì)損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務(wù)資料的篡改等，這類損失本易于計(jì)算。 ?物理資產(chǎn)的損壞 :物理資產(chǎn)損壞的經(jīng)濟(jì)損失也很容易計(jì)算，可用更新或修復(fù)該物理資產(chǎn)的花費(fèi)來度量 ?業(yè)務(wù)影響 :信息安全事件會(huì)對(duì)業(yè)務(wù)帶來很大的影響，如業(yè)務(wù)中斷，這方面的經(jīng)濟(jì)損失可通過以下方式來計(jì)算，先分析由于業(yè)務(wù)中斷， 單位時(shí)間內(nèi)的經(jīng)濟(jì)損失 ，用 “ 單位時(shí)間損失 修復(fù)所需時(shí)間＋修復(fù)代價(jià) ” 可將業(yè)務(wù)影響表示為經(jīng)濟(jì)損失，當(dāng)然單位時(shí)間內(nèi)的經(jīng)濟(jì)損失估計(jì)有時(shí)會(huì)有一定的難度。業(yè)務(wù)影響除包括業(yè)務(wù)中斷外，還有其他情況，如 經(jīng)營(yíng)業(yè)績(jī)影響、市場(chǎng)影響 等，這些應(yīng)根據(jù)具體情況具體分析，定量分析存在困難。 風(fēng)險(xiǎn)評(píng)估流程 影響分析 ?法律責(zé)任 。風(fēng)險(xiǎn)事件可能導(dǎo)致一定的法律責(zé)任，如由于安全故障導(dǎo)致機(jī)密信息的未授權(quán)發(fā)布、未能履行合同規(guī)定的義務(wù)或違反有關(guān)法律、規(guī)章制度的規(guī)定，這些可用由于應(yīng)承擔(dān)應(yīng)有的法律責(zé)任可能支付賠償金額來表示經(jīng)濟(jì)損失，當(dāng)然其中有很多不確定因素，實(shí)際應(yīng)用時(shí)可參考慣例、合同本身、有關(guān)法律法規(guī)的規(guī)定。 ?人員安全危害 :風(fēng)險(xiǎn)事件可能對(duì)人員安全構(gòu)成危害，甚至危及到生命，這類損失很難用貨幣衡量 ?組織信譽(yù)、