【正文】 定期的、抽樣進行的評估模式，旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點的信息安全風險是否在可接受的范圍內(nèi)。特點優(yōu)點：無論是發(fā)起方實施的自評估，還是由發(fā)起方委托評估機構(gòu)實施的自評估，都有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務特長；提高組織的風險評估技能與信息安全知識；加強信息系統(tǒng)相關(guān)人員的安全意識。由發(fā)起方實施的評估可以在降低實施的費用、提高信息的保密性。缺點：發(fā)起方實施的自評估可能由于缺乏風險評估的專業(yè)技能，其結(jié)果可能不深入。同時，受到機構(gòu)內(nèi)部各種不利因素的影響，自評估的結(jié)果可能損失一定的客觀性，從而降低評估結(jié)果的置信程度。優(yōu)點：由于檢查評估是由被評估方的主管機關(guān)實施的，因此，其評估結(jié)果具有一定的權(quán)威性。缺點：單次檢查評估的間隔時間比較長，檢查時間比較短，很難對信息系統(tǒng)的整體風險狀況做出完整的評價，只能就特定的關(guān)鍵點檢查被評估系統(tǒng)是否達到要求。檢查評估符合要求也不表明系統(tǒng)的整體風險狀況已經(jīng)達到要求。評估方信息系統(tǒng)所有者（自評估）信息安全風險評估服務技術(shù)支持方業(yè)務主管機關(guān)（檢查評估）信息安全風險評估服務技術(shù)支持方被評估方信息系統(tǒng)所有者信息系統(tǒng)所有者評估配合方信息系統(tǒng)承建者或其他相關(guān)者信息系統(tǒng)承建者或其他相關(guān)者表13中提及的信息安全風險評估服務技術(shù)支持方具有風險評估的專業(yè)人才，風險評估的經(jīng)驗比較豐富，評估的過程比較規(guī)范、評估結(jié)果的客觀性比較好，置信度較高；但由于受到行業(yè)知識技能以及評估時間的限制，一般對被評估系統(tǒng)的了解有限。 31附　錄　A（規(guī)范性附錄）風險的計算方法對資產(chǎn)的風險綜合判斷方法可以分為結(jié)構(gòu)化的風險計算方式、非結(jié)構(gòu)化的風險計算方式兩種。評估者可以根據(jù)實際威脅分析的結(jié)果、資產(chǎn)劃分的粒度在評估實踐中綜合使用。結(jié)構(gòu)化的風險計算方式，對風險所涉及的指標進行詳細分析，得出風險結(jié)果，其結(jié)論詳細。非結(jié)構(gòu)化的風險計算方式通常都是建立在通用的威脅列表和脆弱性列表之上，用戶根據(jù)類表提供的線索對資產(chǎn)面臨的威脅和威脅可利用的脆弱性進行選擇，從而確定風險。本附錄介紹了幾種用于判斷資產(chǎn)風險的判斷方法。這幾種方法在使用中各有側(cè)重點，評估者可以根據(jù)組織的需求和實際情況，選擇相應的判斷方法和過程?！?風險矩陣測量法這種方法的特點是事先建立資產(chǎn)價值、威脅等級和脆弱性等級的一個對應矩陣，預先將風險等級進行了確定。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風險。使用本方法需要首先確定資產(chǎn)、威脅和脆弱性的賦值，要完成這些賦值，需要組織內(nèi)部的管理人員、技術(shù)人員、后勤人員等方面的配合。表 　資產(chǎn)風險判別矩陣威脅級別低中高脆弱性級別低中高低中高低中高00121232341123234345資產(chǎn)值223434545633454565674456567678對于每一資產(chǎn)的風險，都將考慮資產(chǎn)價值、威脅等級和脆弱性等級。例如，如果資產(chǎn)值為3，威脅等級為“高”，脆弱性為“低”。查表可知風險值為5。如果資產(chǎn)值為2，威脅為“低”，脆弱性為“高”，則風險值為4。由上表可以推知，風險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴大。當一個資產(chǎn)是由若干個子資產(chǎn)構(gòu)成時，可以先分別計算子資產(chǎn)所面臨的風險，然后計算總值。例如：系統(tǒng)S有三種資產(chǎn)A1，A2，A3。并存在兩種威脅：T1，T2。設資產(chǎn)A1的值為3，A2的值為2，A3的值為4。如果對于A1和T1，威脅發(fā)生的可能性為“低”，脆弱性帶來的損失是“中”，則頻率值為1（見表1）。則A1的風險為4。同樣，設A2的威脅可能性為“中”，脆弱性帶來損失為“高”，得風險值為6。對每種資產(chǎn)和相應威脅計算其總資產(chǎn)風險值?？傁到y(tǒng)分數(shù)ST=A1T + A2T + A3T。這樣可以比較不同系統(tǒng)來建立優(yōu)先權(quán)，并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)?！?威脅分級計算法這種方法是直接考慮威脅、威脅對資產(chǎn)產(chǎn)生的影響以及威脅發(fā)生的可能性來確定風險。使用這種方法時，首先確定威脅對資產(chǎn)的影響，可用等級來表示。識別威脅的過程可以通過兩種方法完成。一是準備威脅列表，讓系統(tǒng)所有者去選擇相應的資產(chǎn)的威脅，或由評估團隊的人員識別相關(guān)的威脅，進行分析和歸類。然后評價威脅發(fā)生的可能性。在確定威脅的影響值和威脅發(fā)生的可能性之后，計算風險值。風險的計算方法，可以是影響值與可能性之積，也可以是之和，具體算法由用戶來定，只要滿足是增函數(shù)即可。在本例中，將威脅的影響值確定為5個等級，威脅發(fā)生的可能性也確定為5個等級。而風險的測量采用以上兩值的乘積。具體計算如表2所示。　威脅分級計算法資產(chǎn)威脅描述影響（資產(chǎn)）值威脅發(fā)生可能性(c)風險測度風險等級劃分某個資產(chǎn)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483經(jīng)過表2的細分，風險被分為25個等級。在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風險”的對應關(guān)系?！?風險綜合評價法這種方法中風險由威脅產(chǎn)生的可能性、威脅對資產(chǎn)的影響程度以及已經(jīng)存在的控制措施三個方面來確定。與風險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風險的評價之中。在這種方法中，識別威脅的類型是很重要的。從資產(chǎn)的識別開始，接著識別威脅以及威脅產(chǎn)生的可能性。然后對威脅造成的影響進行分析，在這里對威脅的影響進行了分類型的考慮。比如對人員的影響、對財產(chǎn)的影響、對業(yè)務的影響。在考慮這些影響時，是在假定不存在控制措施的情況下的影響。將以上各值相加添入數(shù)值表中。比如，本例中將威脅分為的可能性分為5級：1—5；威脅的影響也分為5級：1—5。在威脅發(fā)生的可能性和威脅的影響確定后，計算總的影響值。本例中采用加法。方法可由用戶在使用過程中確定。最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從內(nèi)部建立的和從外部保障的，并確定它們的有效性，對其賦值。本例中將控制措施的有效性有小到大分為5個等級，1—5。在此基礎(chǔ)上根據(jù)公式求出總值，即風險值。 風險評估表威脅類型可能性對人的影響對財產(chǎn)的影響對業(yè)務的影響影響值已采用的控制措施風險度量內(nèi)部外部威脅A41128224　 安全屬性矩陣法這種方法將資產(chǎn)的三個安全屬性（完整性、機密性、可用性）與兩個安全風險（意外行為、故意行為）聯(lián)系到一起形成一個風險矩陣。完整性機密性可用性意外事件故意行為不希望發(fā)生的事件未授權(quán)發(fā)生的事件修改或破壞信息泄露信息信息或服務中斷　風險矩陣通過這個矩陣，在風險分析過程中識別風險，同時識別控制措施。評估中，首先識別要評估的資產(chǎn)，接著對影響資產(chǎn)的完整性、機密性和可用性的威脅進行識別。形成一個風險列表（風險矩陣）。然后再根據(jù)這個風險矩陣形成控制措施的矩陣。完整性機密性可用性資產(chǎn)：數(shù)據(jù)意外事件輸入錯誤數(shù)據(jù)重復輸入……系統(tǒng)使用完畢后沒有注銷…….不希望發(fā)生的事件存儲介質(zhì)意外損壞……故意行為錯誤傳達信息……未授權(quán)訪問……未授權(quán)發(fā)生的事件拒絕服務攻擊破壞數(shù)據(jù)　風險分析矩陣修改或破壞信息泄露信息信息或服務中斷完整性機密性可用性資產(chǎn)：數(shù)據(jù)意外事件故意行為不希望發(fā)生的事件未授權(quán)發(fā)生的事件　控制措施矩陣修改或破壞信息泄露信息信息或服務中斷編輯檢查檢查……訪問控制……數(shù)據(jù)備份措施……審計……訪問控制離線存儲業(yè)務連續(xù)性計劃也可以首先建立通用風險矩陣和通用控制措施矩陣，然后在其中選擇可能會面臨的風險以及相應的控制措施。附　錄　B（規(guī)范性附錄）風險評估的工具風險評估工具是保證風險評估結(jié)果可信度的一個重要因素。風險評估的工具包括風險評估輔助工具、系統(tǒng)軟件評估工具、安全管理評價系統(tǒng)三類。風險評估輔助工具是一套集成了風險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風險評估的過程和操作方法，或者是用于收集評估所需要的數(shù)據(jù)和資料，監(jiān)控某些網(wǎng)絡行為的日志系統(tǒng)。系統(tǒng)軟件評估工具主要用于對一些信息系統(tǒng)的部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備等）的漏洞進行分析，或?qū)嵤┗诼┒吹墓簦话踩芾碓u價工具則根據(jù)一定的安全管理模型，基于專家經(jīng)驗，對輸入輸出進行模型分析。　 安全管理評價系統(tǒng)此類工具主要從安全管理方面入手，評估資產(chǎn)所面臨的威脅。評估的方式可以通過問卷的方式、也可以通過結(jié)構(gòu)化的推理過程，建立模型、輸入相關(guān)信息，得出評估結(jié)論。通常這種系統(tǒng)在對信息安全風險進行評估后都會有針對性地提出風險管理措施。這種風險評估工具通常建立在一定的算法之上，風險由重要資產(chǎn)、所面臨的威脅以及威脅所利用的脆弱點三者來確定，如RA。也有通過建立專家系統(tǒng)，利用專家經(jīng)驗進行風險分析，給出專家結(jié)論，這種評估工具需要不斷進行知識庫的擴充，以適應不同的需要。常用的評估工具包括：CRAMM(CCTA Risk Analysis arid Management Method)、COBRA（Consultative,Objective and Bifunctional Risk Analysis）、ASSET、@RISK等系統(tǒng)軟件評估工具　 系統(tǒng)軟件評估工具系統(tǒng)軟件評估工具包括脆弱點掃描工具和滲透性測試工具。脆弱點掃描工具也稱為安全掃描器、漏洞掃描儀，用于識別網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全漏洞。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影響，并且尋找系統(tǒng)脆弱點。滲透性測試工具是根據(jù)漏洞掃描工具掃描的結(jié)果，進行模擬黑客測試，判斷是否這些漏洞能夠被他人利用。這種工具可以是針對某個漏洞攻擊的軟件，也可以是一些腳本文件。滲透性測試的目的是檢測已發(fā)現(xiàn)的漏洞是否真正會給系統(tǒng)或網(wǎng)絡環(huán)境帶來威脅。通常滲透性工具與漏洞掃描工具一起使用。比較常用的系統(tǒng)軟件評估工具有：ISS Internet Scanner、Nessus、SAINT等?！?風險評估輔助工具風險評估輔助工具主要用來收集評估所需要的數(shù)據(jù)和資料，幫助完成現(xiàn)狀分析和趨勢分析。如入侵監(jiān)測系統(tǒng)，幫助檢測各種攻擊試探和誤操作；同時也可以作為一個警報器，提醒管理員發(fā)生的安全狀況。安全審計工具主要是用來記錄網(wǎng)絡行為，分析系統(tǒng)或網(wǎng)絡安全現(xiàn)狀，其所提供的審計記錄為風險評估提供安全現(xiàn)狀數(shù)據(jù)?？茖W的風險評估需要大量的實踐數(shù)據(jù)和經(jīng)驗數(shù)據(jù)的支持，因此歷史數(shù)據(jù)和技術(shù)數(shù)據(jù)的積累是風險評估科學性和預見性的基礎(chǔ)。根據(jù)各種評估過程中需要的數(shù)據(jù)和知識，可以將風險評估輔助工具分為：評估指標庫、知識庫、漏洞庫、算法庫、模型庫。