【正文】 根據(jù)各種評估過程中需要的數(shù)據(jù)和知識，可以將風險評估輔助工具分為：評估指標庫、知識庫、漏洞庫、算法庫、模型庫。安全審計工具主要是用來記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)安全現(xiàn)狀，其所提供的審計記錄為風險評估提供安全現(xiàn)狀數(shù)據(jù)?！?風險評估輔助工具風險評估輔助工具主要用來收集評估所需要的數(shù)據(jù)和資料，幫助完成現(xiàn)狀分析和趨勢分析。通常滲透性工具與漏洞掃描工具一起使用。這種工具可以是針對某個漏洞攻擊的軟件，也可以是一些腳本文件。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影響，并且尋找系統(tǒng)脆弱點。常用的評估工具包括：CRAMM(CCTA Risk Analysis arid Management Method)、COBRA（Consultative,Objective and Bifunctional Risk Analysis）、ASSET、RISK等系統(tǒng)軟件評估工具　 系統(tǒng)軟件評估工具系統(tǒng)軟件評估工具包括脆弱點掃描工具和滲透性測試工具。這種風險評估工具通常建立在一定的算法之上，風險由重要資產(chǎn)、所面臨的威脅以及威脅所利用的脆弱點三者來確定，如RA。評估的方式可以通過問卷的方式、也可以通過結(jié)構(gòu)化的推理過程，建立模型、輸入相關(guān)信息，得出評估結(jié)論。系統(tǒng)軟件評估工具主要用于對一些信息系統(tǒng)的部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的漏洞進行分析，或?qū)嵤┗诼┒吹墓?；安全管理評價工具則根據(jù)一定的安全管理模型，基于專家經(jīng)驗，對輸入輸出進行模型分析。風險評估的工具包括風險評估輔助工具、系統(tǒng)軟件評估工具、安全管理評價系統(tǒng)三類。業(yè)務(wù)連續(xù)性計劃也可以首先建立通用風險矩陣和通用控制措施矩陣，然后在其中選擇可能會面臨的風險以及相應(yīng)的控制措施。訪問控制數(shù)據(jù)備份措施……檢查……破壞數(shù)據(jù)　風險分析矩陣修改或破壞信息泄露信息信息或服務(wù)中斷完整性機密性可用性資產(chǎn)：數(shù)據(jù)意外事件故意行為不希望發(fā)生的事件未授權(quán)發(fā)生的事件　控制措施矩陣修改或破壞信息泄露信息信息或服務(wù)中斷未授權(quán)訪問……未授權(quán)發(fā)生的事件不希望發(fā)生的事件存儲介質(zhì)意外損壞……故意行為重復(fù)輸入……完整性機密性可用性資產(chǎn)：數(shù)據(jù)形成一個風險列表（風險矩陣）。完整性機密性可用性意外事件故意行為不希望發(fā)生的事件未授權(quán)發(fā)生的事件修改或破壞信息泄露信息信息或服務(wù)中斷　風險矩陣通過這個矩陣，在風險分析過程中識別風險，同時識別控制措施。在此基礎(chǔ)上根據(jù)公式求出總值，即風險值。這種控制措施包括從內(nèi)部建立的和從外部保障的，并確定它們的有效性，對其賦值。方法可由用戶在使用過程中確定。在威脅發(fā)生的可能性和威脅的影響確定后，計算總的影響值。將以上各值相加添入數(shù)值表中。比如對人員的影響、對財產(chǎn)的影響、對業(yè)務(wù)的影響。從資產(chǎn)的識別開始，接著識別威脅以及威脅產(chǎn)生的可能性。與風險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風險的評價之中。在具體評估中，可以根據(jù)這種方法明確表示“資產(chǎn)——威脅——風險”的對應(yīng)關(guān)系。具體計算如表2所示。在本例中，將威脅的影響值確定為5個等級，威脅發(fā)生的可能性也確定為5個等級。在確定威脅的影響值和威脅發(fā)生的可能性之后，計算風險值。一是準備威脅列表，讓系統(tǒng)所有者去選擇相應(yīng)的資產(chǎn)的威脅，或由評估團隊的人員識別相關(guān)的威脅，進行分析和歸類。使用這種方法時，首先確定威脅對資產(chǎn)的影響，可用等級來表示。這樣可以比較不同系統(tǒng)來建立優(yōu)先權(quán)，并在同一系統(tǒng)內(nèi)區(qū)分各資產(chǎn)。對每種資產(chǎn)和相應(yīng)威脅計算其總資產(chǎn)風險值。則A1的風險為4。設(shè)資產(chǎn)A1的值為3，A2的值為2，A3的值為4。例如：系統(tǒng)S有三種資產(chǎn)A1，A2，A3。由上表可以推知，風險矩陣會隨著資產(chǎn)值的增加、威脅等級的增加和脆弱性等級的增加而擴大。查表可知風險值為5。表 　資產(chǎn)風險判別矩陣威脅級別低中高脆弱性級別低中高低中高低中高00121232341123234345資產(chǎn)值223434545633454565674456567678對于每一資產(chǎn)的風險，都將考慮資產(chǎn)價值、威脅等級和脆弱性等級。然后根據(jù)不同資產(chǎn)的賦值從矩陣中確定不同的風險。這幾種方法在使用中各有側(cè)重點，評估者可以根據(jù)組織的需求和實際情況，選擇相應(yīng)的判斷方法和過程。非結(jié)構(gòu)化的風險計算方式通常都是建立在通用的威脅列表和脆弱性列表之上，用戶根據(jù)類表提供的線索對資產(chǎn)面臨的威脅和威脅可利用的脆弱性進行選擇，從而確定風險。評估者可以根據(jù)實際威脅分析的結(jié)果、資產(chǎn)劃分的粒度在評估實踐中綜合使用。評估方信息系統(tǒng)所有者（自評估）信息安全風險評估服務(wù)技術(shù)支持方業(yè)務(wù)主管機關(guān)（檢查評估）信息安全風險評估服務(wù)技術(shù)支持方被評估方信息系統(tǒng)所有者信息系統(tǒng)所有者評估配合方信息系統(tǒng)承建者或其他相關(guān)者信息系統(tǒng)承建者或其他相關(guān)者表13中提及的信息安全風險評估服務(wù)技術(shù)支持方具有風險評估的專業(yè)人才，風險評估的經(jīng)驗比較豐富，評估的過程比較規(guī)范、評估結(jié)果的客觀性比較好，置信度較高；但由于受到行業(yè)知識技能以及評估時間的限制，一般對被評估系統(tǒng)的了解有限。缺點：單次檢查評估的間隔時間比較長，檢查時間比較短，很難對信息系統(tǒng)的整體風險狀況做出完整的評價，只能就特定的關(guān)鍵點檢查被評估系統(tǒng)是否達到要求。同時，受到機構(gòu)內(nèi)部各種不利因素的影響，自評估的結(jié)果可能損失一定的客觀性，從而降低評估結(jié)果的置信程度。由發(fā)起方實施的評估可以在降低實施的費用、提高信息的保密性。通常都是定期的、抽樣進行的評估模式，旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點的信息安全風險是否在可接受的范圍內(nèi)。表13說明了自評估和檢查評估兩類評估形式的特點、適用情況和各類角色。他們在風險評估中的責任是不同的。自評估和檢查評估可依托自身技術(shù)力量進行，也可委托具有相應(yīng)資質(zhì)的第三方機構(gòu)提供技術(shù)支持。檢查列別應(yīng)覆蓋以下內(nèi)容（但不限于）：風險自評估方法的檢查；風險自評估過程記錄檢查；風險自評估結(jié)果跟蹤檢查；現(xiàn)有安全措施的檢查；系統(tǒng)輸入輸出控制的檢查；軟硬件維護制度及實施狀況的檢查；突發(fā)事件應(yīng)對措施的檢查；數(shù)據(jù)完整性保護措施的檢查；物理環(huán)境的檢查；審計追蹤的檢查。檢查評估是在對自評估過程記錄與評估結(jié)果的基礎(chǔ)上，驗證和確認系統(tǒng)存在的技術(shù)、管理、運行風險，以及用戶實施自評估后采取風險控制措施取得的效果。自評估是由被評估組織發(fā)起的，依據(jù)國家法規(guī)與標準，對其所管理的信息系統(tǒng)進行的風險評估活動。維護工作的技術(shù)人員和管理人員均應(yīng)該參與此階段的評估。對由于系統(tǒng)廢棄可能帶來的新的威脅進行分析，并改進新系統(tǒng)或管理模式?！?廢棄階段廢棄階段風險評估的目的是確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)膹U棄處置，并確保系統(tǒng)更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。 運維階段的風險評估應(yīng)定期執(zhí)行；當組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變化時，也應(yīng)進行風險評估。對于技術(shù)的脆弱性評估采取核查、掃描、案例驗證、滲透性測試的方式驗證脆弱性；對安全保障設(shè)備脆弱性評估時考慮安全功能的實現(xiàn)情況和安全措施本身的脆弱性。對非故意威脅產(chǎn)生安全事件的評估可以參照事故發(fā)生率；對故意威脅主要由評估人員就威脅的各個影響因素做出專業(yè)判斷；同時考慮已有控制措施；（3）脆弱性評估：是全面的脆弱性評估。（1）資產(chǎn)評估：對真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等?！?運維階段運維階段風險評估的目的是了解和控制運行過程中的信息系統(tǒng)安全風險，是一種較為全面的風險評估。實施交付階段的具體評估要點包括：（1） 根據(jù)實際建成的系統(tǒng)，詳細分析其面臨的威脅；（2） 根據(jù)系統(tǒng)建設(shè)目標和安全需求，對系統(tǒng)的安全功能進行驗收測試；評價安全功能能否抵御安全威脅；（3） 評估是否建立了與整體安全策略一致的組織管理制度；（4） 對系統(tǒng)實現(xiàn)的風險控制效果與預(yù)期設(shè)計的符合性進行判斷，如存在較大的不符合，應(yīng)重新進行系統(tǒng)安全策略的設(shè)計與調(diào)整。（4）評估保證級別，指明系統(tǒng)建設(shè)后應(yīng)進行怎樣的測試和檢查，從而確定是否滿足項目建設(shè)、實施規(guī)范。實施階段風險評估包括開發(fā)與獲取階段、實施交付階段兩部分評估。根據(jù)設(shè)計階段分析的威脅和建立的安全控制措施，在實施及驗收時進行質(zhì)量控制。評估結(jié)果最終應(yīng)體現(xiàn)在系統(tǒng)的需求分析報告或建設(shè)實施方案中。在安全需求變更和設(shè)計變更后，也需要重復(fù)這項評估。重點分析來自物理環(huán)境和自然的威脅，由于內(nèi)、外部入侵等造成的威脅；（3）設(shè)計開發(fā)計劃是否明確目的、業(yè)務(wù)對象、費用、效果等各項內(nèi)容；（4）是否采取了一定的手段應(yīng)對系統(tǒng)可能的故障；（5）對設(shè)計或者原型中的技術(shù)實現(xiàn)以及人員、組織管理等各方面的脆弱性進行評估，包括設(shè)計過程中的管理脆弱性和技術(shù)平臺固有的脆弱性。評估對象是開發(fā)設(shè)計計劃和安全需求分析，對部分將二者合一的系統(tǒng)建設(shè)方案，則直接評審系統(tǒng)建設(shè)方案。設(shè)計階段的風險評估結(jié)果應(yīng)對設(shè)計開發(fā)計劃中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據(jù)。規(guī)劃階段的評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項目建議書中。本階段評估中，資產(chǎn)、脆弱性不需要識別；威脅應(yīng)根據(jù)未來系統(tǒng)的應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進行分析?！?規(guī)劃階段規(guī)劃階段風險評估的目的是識別系統(tǒng)的使命，用以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。具體而言，在規(guī)劃設(shè)計階段，通過風險評估以確定系統(tǒng)的安全目標；在建設(shè)驗收階段，通過風險評估以確定系統(tǒng)的安全目標達成與否；在運行維護階段，要不斷地實施風險評估以識別系統(tǒng)面臨的不斷變化的風險和脆弱性，從而確定安全措施的有效性，確保安全目標得以實現(xiàn)。信息系統(tǒng)生命周期各階段中涉及的風險評估的原則和方法是一致的，可按照本標準中的風險評估實施過程進行的適當簡化與裁剪加以實施。圖4列出了生命周期各階段中的安全活動。 風險評估文件風險評估文件包括在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：（1）風險評估計劃：闡述風險評估的目標、范圍、團隊、評估方法、評估結(jié)果的形式和實施進度等；（2）風險評估程序：明確評估的目的、職責、過程、相關(guān)的文件要求，并且準備實施評估需要的文檔；（3）資產(chǎn)識別清單：根據(jù)組織在風險評估程序文件中所確定的資產(chǎn)分類方法進行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責任人/部門；（4）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責任人/部門等； （5）威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等；（6）脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴重程度等； （7）已有安全措施確認表：根據(jù)已采取的安全措施確認的結(jié)果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；（8）風險評估