【文章內(nèi)容簡(jiǎn)介】 風(fēng)險(xiǎn)評(píng)估目標(biāo) :風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備階段應(yīng)明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)，為風(fēng)險(xiǎn)評(píng)估的過(guò)程提供導(dǎo)向。信息系統(tǒng)是重要的資產(chǎn)，其機(jī)密性、完整性和可用性對(duì)于維持競(jìng)爭(zhēng)優(yōu)勢(shì)、獲利能力、法規(guī)要求和組織形象是必要的。組織要面對(duì)來(lái)自內(nèi)、外部日益增長(zhǎng)的安全威脅，信息系統(tǒng)是威脅的主要目標(biāo)。由于業(yè)務(wù)信息化程度不斷提高，對(duì)信息技術(shù)的依賴日益增加，一個(gè)組織可能出現(xiàn)更多的脆弱點(diǎn)。風(fēng)險(xiǎn)評(píng)估的目標(biāo)是滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要，或符合相關(guān)方的要求，或遵守法律法規(guī)的規(guī)定等。 ? 確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍 ：基于風(fēng)險(xiǎn)評(píng)估目標(biāo)確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍是完成風(fēng)險(xiǎn)評(píng)估的前提。風(fēng)險(xiǎn)評(píng)估的對(duì)象可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的系統(tǒng)，關(guān)鍵業(yè)務(wù)流程，與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門(mén)等。 LOGO ? 組建團(tuán)隊(duì)： 組建適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估管理與實(shí)施團(tuán)隊(duì)，以支持整個(gè)過(guò)程的推進(jìn)，如成立由管理層、相關(guān)業(yè)務(wù)骨干、 IT技術(shù)人員等組成的風(fēng)險(xiǎn)評(píng)估小組。評(píng)估團(tuán)隊(duì)?wèi)?yīng)能夠保證風(fēng)險(xiǎn)評(píng)估工作的有效開(kāi)展。 ? 選擇方法： 應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來(lái)選擇具體的風(fēng)險(xiǎn)判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)。 ? 獲得支持： 上述所有內(nèi)容確定后應(yīng)得到組織的最高管理者的支持、批準(zhǔn)，并對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，應(yīng)在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確各有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。 LOGO ? 準(zhǔn)備相關(guān)的評(píng)估工具 ：為保證風(fēng)險(xiǎn)評(píng)估的順利進(jìn)行，需要相應(yīng)的評(píng)估工具支持，如信息收集工具、數(shù)據(jù)及文檔管理工具。 ? 信息收集工具主要是漏洞掃描工具、滲透性測(cè)試工具等，常用的漏洞掃描工具有 Nessus 、 GFI LANguard 、Retina 、 Core Impact 、 ISS Inter Scanner、 Xscan、Sara 、 QualysGuard 、 SAINT 、 MBSA Nessus、ISS Inter Scanner、 NetRecon等。 ? 數(shù)據(jù)及文檔管理工具主要用來(lái)收集和管理評(píng)估所需要的數(shù)據(jù)和資料，并根據(jù)需要的格式生成各種報(bào)表，幫助決策。這類工具可由用戶根據(jù)評(píng)估的需要自行或委托第三方開(kāi)發(fā)對(duì)應(yīng)的管理系統(tǒng)，協(xié)助評(píng)估數(shù)據(jù)的管理。 LOGO 資產(chǎn)識(shí)別與評(píng)估 ? 資產(chǎn)識(shí)別 ? 資產(chǎn)識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)。資產(chǎn)識(shí)別的任務(wù)就是對(duì)確定的評(píng)估對(duì)象所涉及或包含的資產(chǎn)進(jìn)行詳細(xì)的標(biāo)識(shí)，由于它以多種形式存在，有無(wú)形的、有形的。資產(chǎn)識(shí)別過(guò)程中要特別注意無(wú)形資產(chǎn)的遺漏，同時(shí)還應(yīng)注意不同資產(chǎn)間的相互依賴關(guān)系，關(guān)系緊密的資產(chǎn)可作為一個(gè)整體來(lái)考慮，同一中類型的資產(chǎn)也應(yīng)放在一起考慮。 ? 資產(chǎn)識(shí)別的方法主要有訪談、現(xiàn)場(chǎng)調(diào)查、問(wèn)卷、文檔查閱等。 LOGO ? 資產(chǎn)評(píng)估 ? 資產(chǎn)的評(píng)價(jià)是對(duì)資產(chǎn)的價(jià)值或重要程度進(jìn)行評(píng)估，資產(chǎn)本身的貨幣價(jià)值是資產(chǎn)價(jià)值的體現(xiàn)，但更重要的是資產(chǎn)對(duì)組織關(guān)鍵業(yè)務(wù)的順利開(kāi)展乃至組織目標(biāo)實(shí)現(xiàn)的重要程度。由于多數(shù)資產(chǎn)不能以貨幣形式的價(jià)值來(lái)衡量，資產(chǎn)評(píng)價(jià)很難以定量的方式來(lái)進(jìn)行，多數(shù)情況下只能以定性的形式，依據(jù)重要程度的不同劃分等級(jí)，具體劃分為多少級(jí)應(yīng)根據(jù)具體問(wèn)題具體分析，如 5級(jí)劃分方法為：非常重要、重要、比較重要、不太重要、不重要等，對(duì)這些定性值也可賦以相應(yīng)的定量值，如： 1。 LOGO ? 通常信息資產(chǎn)的機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性等是評(píng)價(jià)資產(chǎn)的安全屬性。信息安全風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值可由資產(chǎn)在這些安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的?？梢韵确謩e對(duì)資產(chǎn)在以上各方面的重要程度進(jìn)行評(píng)估，然后通過(guò)一定的方法進(jìn)行綜合 ,可得資產(chǎn)的綜合價(jià)值。 LOGO ? 若資產(chǎn)在機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性的賦值分別記為 VAc、 VAi、 VAa、 VAac、 VAn ,綜合價(jià)值記為 VA，綜合的方法可以是： ? 最大原則：資產(chǎn)價(jià)值在機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性方面不是均衡的，在某個(gè)方面可能大，某個(gè)方面可能小，最大原則是取最大的那個(gè)方面的賦值作為綜合評(píng)價(jià)值 ,即 VA=max{VAc,VAi,VAa VAac、 VAn }。 ? 加權(quán)原則，根據(jù)機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性保護(hù)對(duì)組織業(yè)務(wù)開(kāi)展影響的大小，分別為機(jī)密性、完整性、可用性、可審計(jì)性和不可抵賴性賦予一非負(fù)的權(quán)值 Wc、 Wi、 Wa Wac、 Wn（ Wc+Wi+Wa+Wac+Wn =1），綜合機(jī)制由加權(quán)求得，即 VA= VAc*Wc+VAi*Wi+VAa*Wa+VAacC*Wac+VAn*Wn 。 LOGO ? 在資產(chǎn)評(píng)價(jià)方面，我國(guó)的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 推薦了一種方法，就是先對(duì)資產(chǎn)在機(jī)密性、完整性、可用性三個(gè)方面分別進(jìn)行定性賦值，然后通過(guò)一定的方法進(jìn)行綜合，所使用的綜合方法基本屬于最大原則。以下是所給出的機(jī)密性、完整性、可用性賦值表。 LOGO 賦值 標(biāo)識(shí) 定義 5 極高 包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害 4 高 包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害 3 中等 包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害 2 低 包含僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害 1 可忽略 包含可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等 LOGO 威脅識(shí)別與評(píng)估 ? 威脅識(shí)別 ? 威脅是構(gòu)成風(fēng)險(xiǎn)的必要組成部分，因而威脅識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)，威脅識(shí)別的任務(wù)是對(duì)組織資產(chǎn)面臨的威脅進(jìn)行全面的標(biāo)識(shí)。威脅識(shí)別可從威脅源進(jìn)行分析，也可根據(jù)有關(guān)標(biāo)準(zhǔn)、組織所提供的威脅參考目錄進(jìn)行分析。 LOGO ? 德國(guó)的 《 IT基線保護(hù)手冊(cè) 》 將威脅分為五大類，分別是：不可抗力、組織缺陷、人員錯(cuò)誤、技術(shù)錯(cuò)誤、故意行為。每種類型威脅具體包含幾十到一百多種威脅，手冊(cè)分別對(duì)每類威脅進(jìn)行了詳細(xì)列舉和說(shuō)明，因而是威脅識(shí)別的重要參考 LOGO ? OCTAVE則通過(guò)建立威脅配置文件來(lái)進(jìn)行威脅識(shí)別與分析，威脅配置文件包括 5個(gè)屬性，分別是：資產(chǎn)（ assert）、訪問(wèn) (access)、主體(actor)、動(dòng)機(jī) (motive)、后果 (oute)，如人類利用網(wǎng)絡(luò)訪問(wèn)對(duì)資產(chǎn)的威脅及系統(tǒng)故障對(duì)資產(chǎn)的威脅的配置文件分別對(duì)應(yīng)圖 34和圖 35所示的威脅樹(shù)： LOGO 主 體 動(dòng) 機(jī) 后 果資 產(chǎn)資 產(chǎn)訪 問(wèn)網(wǎng) 絡(luò)訪 問(wèn)內(nèi) 部 人 員偶 然 行 為故 意 行 為丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改內(nèi) 部 人 員偶 然 行 為故 意 行 為丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改圖 34 人類利用網(wǎng)絡(luò)訪問(wèn)的威脅樹(shù) LOGO 主 體 后 果資 產(chǎn)資 產(chǎn)丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改丟 失 、 損 壞中 斷泄 漏更 改存 儲(chǔ) 介 質(zhì) 老 化硬 件 故 障軟 件 故 障惡 意 代 碼圖 35 系統(tǒng)故障威脅樹(shù) LOGO ? 威脅評(píng)估 ? 以下三個(gè)方面的內(nèi)容，對(duì)威脅評(píng)估很有幫助。 ? （ 1) 以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅、威脅出現(xiàn)頻率、破壞力的統(tǒng)計(jì)； ? （ 2) 實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)； ? （ 3) 近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅出現(xiàn)頻率及其破壞力的統(tǒng)計(jì)。 LOGO ? 威脅評(píng)估的結(jié)果一般都是定性的，我國(guó)的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 將威脅頻率等級(jí)劃分為五級(jí)，分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。如表 4－ 4所示。 LOGO 等級(jí) 標(biāo)識(shí) 定義 5 很高 威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí) 經(jīng)常發(fā)生過(guò) 4 高 威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證 實(shí)多次發(fā)生過(guò) 3 中 威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾經(jīng)發(fā)生 過(guò) 2 低 威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒(méi)有被證實(shí)發(fā)生過(guò) 1 很低 威脅幾乎不可能發(fā)生，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生 LOGO 脆弱點(diǎn)識(shí)別與評(píng)估 ? 脆弱點(diǎn)識(shí)別 ? 脆弱點(diǎn)識(shí)別也稱為弱點(diǎn)識(shí)別，弱點(diǎn)是資產(chǎn)本身存在的，如果沒(méi)有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。即，威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害。 ? 脆弱點(diǎn)識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱點(diǎn)涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱點(diǎn)又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。 LOGO ? 對(duì)不同的對(duì)象，其脆弱點(diǎn)識(shí)別的具體要求應(yīng)參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)實(shí)施。例如： ? 對(duì)物理環(huán)境的脆弱點(diǎn)識(shí)別可以參照 《 GB/T 9361－2023 計(jì)算機(jī)場(chǎng)地安全要求 》 中的技術(shù)指標(biāo)實(shí)施； ? 對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)可以參照 《 GB 17859－ 1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 中的技術(shù)指標(biāo)實(shí)施。 ? 管理脆弱點(diǎn)識(shí)別方面可以參照 《 ISO/IEC 177992023 Code of practice for information security management》 的要求對(duì)安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)管理漏洞和不足。 LOGO ? 我國(guó)的 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 列舉了不同對(duì)象的脆弱點(diǎn)識(shí)別內(nèi)容參考，如表 37所示 LOGO 類型 識(shí)別對(duì)象 識(shí)別內(nèi)容 技術(shù)脆弱點(diǎn) 物理環(huán)境 從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。 服務(wù)器（含操作系統(tǒng)） 從物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問(wèn)控制、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。 網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控 制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。 數(shù)據(jù)庫(kù) 從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問(wèn)控制、網(wǎng)絡(luò)和服務(wù)設(shè) 置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。 應(yīng)用系統(tǒng) 審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒 別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。 管理脆弱點(diǎn) 技術(shù)管理 物理和環(huán)境安全、通信與操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維 護(hù)、業(yè)務(wù)連續(xù)性。 組織管理 安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性 LOGO ? 資產(chǎn)的脆弱點(diǎn)具有隱蔽性，