【正文】 控制建議。　　2　案例分析　　本文所用的案例來自一個實際項目P?！　”疚姆譃?個部分。在本文提到的案例中采用了經(jīng)過剪裁并改進的FRAP方法(Tailored　　信息安全風險分析方法可以分為兩大類：定性分析方法與定量分析方法。信息安全風險評估（以下簡稱風險評估）正是從這三個關鍵元素分別入手來分析信息資產(chǎn)面臨的風險?！　⌒畔①Y產(chǎn)的所有者關心的是如何以合理的投入獲得足夠的安全，或者，如何把信息安全風險控制在可接受的范圍內。Space)。因此，信息安全評估有著廣闊的市場前景。而且，企業(yè)的安全風險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風險。據(jù)統(tǒng)計，國外發(fā)達國家用在信息安全評估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達到3%～5%。因此，這就需要統(tǒng)一的信息安全評估標準的出臺。 然而，在安全評估過程中，評估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級？什么樣的系統(tǒng)損失可能構成什么樣的經(jīng)濟損失？如何構建技術體系和管理體系達到預定的安全等級？一個由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟損失和社會影響如何計算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟損失，但企業(yè)的名譽損失又該如何衡量？另外，對企業(yè)的管理人員而言：哪些風險在企業(yè)可承受的范圍內？這些問題從不同角度決定了一個信息系統(tǒng)安全評估的結果?，F(xiàn)有信息安全評估標準的局限性風險分析的方法有定性分析、半定量分析和定量分析。主要的安全考核指標有身份認證、自主訪問控制、數(shù)據(jù)完整性、審計等，這些指標涵蓋了不同級別的安全要求。公安部主持制定、國家質量技術監(jiān)督局發(fā)布的中華人民共和國國家標準GB178951999《計算機信息系統(tǒng)安全保護等級劃分準則》已正式頒布并實施。OCTAVE將信息安全風險評估過程分為三個階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標識基礎結構的弱點；階段三，確定安全策略和計劃。OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的關鍵威脅、資產(chǎn)和弱點評估方法和流程。AS/NZS 4360:1999是風險管理的通用指南，它給出了一整套風險管理的流程，對信息安全風險評估具有指導作用。AS/NZS 4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風險管理標準，第一版于1995年發(fā)布。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風險管理的建議，并介紹了風險管理的方法和過程。目前此標準已經(jīng)被很多國家采用，并已成為國際標準ISO17799。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導意義。ISO13335標準首次給出了關于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性6個方面含義，并提出了以風險為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡服務、主機系統(tǒng)、應用系統(tǒng)、相關人員、安全策略等），對信息系統(tǒng)進行滲透和攻擊。該標準定義了評價信息技術產(chǎn)品和系統(tǒng)安全性的基本準則，提出了目前國際上公認的表述信息技術安全性的結構，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。ITSEC把可信計算機的概念提高到可信信息技術的高度上來認識，對國際信息安全的研究、實施產(chǎn)生了深刻的影響。信息技術安全評估標準（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機密性、完整性、可用性的安全屬性?？尚诺挠嬎銠C系統(tǒng)安全評估標準（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計算機系統(tǒng)信息安全評估的第一個正式標準。對企業(yè)進行信息安全評估后，可以制定企業(yè)網(wǎng)絡和系統(tǒng)的安全策略及安全解決方案，從而指導企業(yè)信息系統(tǒng)安全技術體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎設施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓機制等）的建設。在對網(wǎng)絡和應用系統(tǒng)進行信息安全評估并進行風險分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風險，并讓企業(yè)選擇避免、降低、接受等風險處置措施。進行信息安全評估后，可以讓企業(yè)準確地了解自身的網(wǎng)絡、各種應用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。但比較流行的一種看法是：信息安全評估是信息安全生命周期中的一個重要環(huán)節(jié)，是對企業(yè)的網(wǎng)絡拓撲結構、重要服務器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應用流程等進行全面的安全分析，并提出安全風險分析報告和改進建議書。信息安全評估標準的發(fā)展企業(yè)的網(wǎng)絡環(huán)境和應用系統(tǒng)愈來愈復雜，每個企業(yè)都有這樣的疑惑：自己的網(wǎng)絡和應用系統(tǒng)有哪些安全漏洞？應該怎樣解決？如何規(guī)劃企業(yè)的安全建設？信息安全評估回答了這些問題。評估弱點時需要考慮兩個因素，一個是弱點的嚴重程度（Severity），另一個是弱點的暴露程度（Exposure），即被利用的容易程度，當然，這兩個因素也可以用“高”、“中”、“低”三個等級來衡量。 管理性弱點 —— 策略、程序、規(guī)章制度、人員意識、組織結構等方面的不足。 操作性弱點 —— 軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人員日常工作中的不良習慣，審計或備份的缺乏。 技術性弱點 —— 系統(tǒng)、程序、設備中存在的漏洞或缺陷，比如結構設計問題和編程漏洞。 光有威脅還構不成風險，威脅只有利用了特定的弱點才可能對資產(chǎn)造成影響，所以，組織應該針對每一項需要保護的信息資產(chǎn)，找到可被威脅利用的弱點。風險評估的基本過程識別并評估弱點風險評估的基本過程識別并評估弱點CC準則是通用的，并不為風險評估提供方法學。該工程旨在開發(fā)一個基于面向對象建模技術的風險評估框架，特別指出使用UML建模技術?；谀Ｐ偷脑u估可以分析出系統(tǒng)自身內部機制中存在的危險性因素，同時又可以發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中的不正常并有害的行為，從而完成系統(tǒng)脆弱點和安全威脅的定性分析。然而，組織相似性的判定、被評估組織的安全需求分析以及關鍵資產(chǎn)的確定都是該方法的制約點。同時也開發(fā)了一個擴展的信息安全框架，以輔助用戶制定全面的、正確的組織安全策略。該方法提出重用具有相似性組織（主要從組織的大小、范圍以及市場來判斷組織是否相似）的“良好實踐”。這種方法的優(yōu)越性在于能夠直接提供推薦的保護措施、結構框架和實施計劃。應用于沒有直接根據(jù)的情形，可能只能考慮一些間接信息、有根據(jù)的猜測、直覺或者其他主觀因素，稱為主觀概率。此外，控制和對策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關聯(lián)的。也可以用事件發(fā)生的頻率估計一些系統(tǒng)問題的概率，例如系統(tǒng)崩潰和感染病毒。對于某些類型的安全威脅，存在可用的信息。根據(jù)上述三個參數(shù)，計算ALE：ALE ＝ V P ?理論上可以依據(jù)ALE計算威脅事件的風險等級，并且做出相應的決策。 定量分析方法利用兩個基本的元素：威脅事件發(fā)生的概率和可能造成的損失。所以，不要賦予相對等級太多的意義，否則，將會導致錯誤的決策。如，設“高”的值為3，“中”的值為2，“低”的值為1。有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別。多數(shù)定性風險分析方法依據(jù)組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。 定性分析方法是最廣泛使用的風險分析方法。分析團隊標識出組織關鍵資產(chǎn)的風險，并確定要采取的措施。分析團隊標識出與每種關鍵資產(chǎn)相關的關鍵信息技術系統(tǒng)和組件，然后對這些關鍵組件進行分析，找出導致對關鍵資產(chǎn)產(chǎn)生未授權行為的弱點（技術弱點）。（2）標識基礎結構的弱點。組織的全體員工闡述他們的看法，如什么對組織重要（與信息相關的資產(chǎn)），應當采取什么樣的措施保護這些資產(chǎn)等。它的實施分為三個階段：（1）建立基于資產(chǎn)的威脅配置文件。1999年，卡內基?梅隆大學的SEI發(fā)布了OCTAVE框架，這是一種自主型信息安全風險評估方法。包括惡意代碼的入侵、數(shù)據(jù)的破壞或者毀滅、信息丟失、拒絕服務、訪問權限和特權的未授權變更等。（2）包括對系統(tǒng)進行技術分析、對政策進行評審，以及對物理安全進行審查。這些多角度的評估試圖按照業(yè)務驅動程序或者目標對安全風險進行排列，關注的焦點主要集中在安全的以下4個方面：（1）檢查與安全相關的組織實踐，標識當前安全實踐的優(yōu)點和弱點。技術評估是通常意義上所講的技術脆弱性評估，強調組織的技術脆弱性。（2）使用擁有的軟件工具分析基礎結構及其全部組件。 技術評估是指對組織的技術基礎結構和程序進行系統(tǒng)的、及時的檢查，包括對組織內部