【正文】 （ 1）評估整個計算基礎(chǔ)結(jié)構(gòu)。它可以看作一個基于專家系統(tǒng)和擴(kuò)展知識庫的問卷系統(tǒng)，對所有的威脅和脆弱點(diǎn)評估其相對重要性，并且給出合適的建議和解決方案，對每個風(fēng)險類別提供風(fēng)險分析報告和風(fēng)險值。 1991年， Camp。1985年，英國 CCTA開發(fā)了 CRAMM風(fēng)險評估工具。其勞動量巨大，容易出現(xiàn)疏漏，而且由于依據(jù)各自經(jīng)驗(yàn)，有較大的局限性。 ? 風(fēng)險評估過程應(yīng)形成下列文件： ? 風(fēng)險評估過程計劃、風(fēng)險評估程序、信息資產(chǎn)識別清單、重要信息資產(chǎn)清單、威脅參考列表、脆弱性參考列表、風(fēng)險評估記錄、風(fēng)險處理計劃： ? 風(fēng)險評估報告：對整個風(fēng)險評估過程進(jìn)行總結(jié)，說明機(jī)構(gòu)的風(fēng)險狀況及殘余風(fēng)險狀況，通過管理層的評審，確定評估后的風(fēng)險狀況滿足機(jī)構(gòu)業(yè)務(wù)發(fā)展及其他相關(guān)方的要求。 風(fēng)險評估結(jié)果紀(jì)錄 ? 根據(jù)評估實(shí)施情況和所搜集到的信息，如資產(chǎn)評估數(shù)據(jù)、威脅評估數(shù)據(jù)、脆弱性評估數(shù)據(jù)等，完成評估報告撰寫。 ? 控制措施的選擇 ? 殘余風(fēng)險的評價 ? 對于不可接受范圍內(nèi)的風(fēng)險，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖螅瑢堄囡L(fēng)險進(jìn)行評價，判定風(fēng)險是否已經(jīng)降低到可接受的水平，為風(fēng)險管理提供輸入。等級越大，風(fēng)險越高。 風(fēng)險結(jié)果的判定 ? 風(fēng)險等級的劃分 ? 確定風(fēng)險數(shù)值的大小不是機(jī)構(gòu)風(fēng)險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對關(guān)系，即要確定不同風(fēng)險的優(yōu)先次序或等級，對于其中風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性。 ? 最小影響原則 ?從項目管理層面和工具技術(shù)層面，力求將風(fēng)險評估對信息系統(tǒng)的正常運(yùn)行的可能影響降低到最低限度。 風(fēng)險評估的準(zhǔn)備 ?風(fēng)險評估的準(zhǔn)備過程是組織進(jìn)行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的保證。 不打無準(zhǔn)備之仗 — 做好準(zhǔn)備 ? 風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。 ? 脆弱性分類 ? 脆弱性主要從技術(shù)和管理兩個方面進(jìn)行評估，其中在技術(shù)方面主要是通過遠(yuǎn)程和本地兩種方式進(jìn)行系統(tǒng)掃描；管理脆弱性評估方面可以按照 BS 7799等標(biāo)準(zhǔn)的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和不足。 ? 脆弱性識別將針對每一項需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估，為其賦相對等級值。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。其中，威脅發(fā)生的可能性受下列因素影響： ? 資產(chǎn)的吸引力； ? 資產(chǎn)轉(zhuǎn)化成報酬的容易程度； ? 威脅的技術(shù)力量； ? 脆弱性被利用的難易程度。無論對于多么安全的信息系統(tǒng)，安全威脅是一個客觀存在的事物，它是風(fēng)險評估的重要因素之一。 ? 根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險評估。這時首先需要將信息系統(tǒng)及其中的信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，才能在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險評估工作。 ? 資產(chǎn)還具有很強(qiáng)的時間特性，它的價值和安全屬性都會隨著時間的推移發(fā)生變化，所以應(yīng)該根據(jù)時間變化的頻度制定資產(chǎn)相關(guān)的評估和安全策略的頻度。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。為此，有必要對組織中的資產(chǎn)進(jìn)行識別。信息安全風(fēng)險評估中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。 ?每個要素有各自的屬性 ?資產(chǎn)的屬性是資產(chǎn)價值； ?威脅的屬性是威脅出現(xiàn)的頻率； ?脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度 ?？梢哉f，信息安全風(fēng)險管理貫穿于系統(tǒng)生命周期的整個過程，即初始階段、開發(fā) /獲取階段、實(shí)施階段、運(yùn)行 /維護(hù)階段。 ? 進(jìn)行風(fēng)險管理的最終目的就是要在這種平衡關(guān)系下，將風(fēng)險最小化，這也是在信息系統(tǒng)生命周期過程中需要實(shí)施信息安全風(fēng)險管理的根本原因。 風(fēng)險管理貫穿于信息系統(tǒng)生命周期的整個過程 ? 風(fēng)險管理是管理者權(quán)衡保護(hù)措施的運(yùn)行和經(jīng)濟(jì)成本與獲得的收益之間關(guān)系的一個過程。 ?評估我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，掌握我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全狀態(tài)，及時采取合適的應(yīng)對措施，保障它們的正常運(yùn)行。 ?影響則是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。 ? 信息安全風(fēng)險定義為有害事件發(fā)生的可能性和該事件可能對組織的使命所產(chǎn)生影響的函數(shù)。 信息安全風(fēng)險評估的概念 ? 風(fēng)險評估是對系統(tǒng)進(jìn)行信息安全風(fēng)險管理的基礎(chǔ)，也是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個生命周期中，有關(guān)風(fēng)險級別的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，即信息安全的風(fēng)險。 風(fēng)險評估的理念 ?安全需要風(fēng)險管理，信息安全更需要風(fēng)險管理 ?風(fēng)險評估是當(dāng)前解決信息安全問題的重要手段 風(fēng)險評估是一種方法和依據(jù) ? 信息安全風(fēng)險是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。 ? 扁鵲的話告訴我們一個簡單的道理：事后控制不如事中控制，事中控制不如事前控制。齊王不解。 ? 曾有一個關(guān)于名醫(yī)扁鵲的傳說。 ? 《 左傳 》 云：“居安思危，思則有備，有備無患，敢以此規(guī)。形勢稍好，尤需兢慎。 在影響數(shù)據(jù)安全方面： ? （ 1）工作人員對安全因素和措施缺乏足夠認(rèn)知； ? （ 2）難以解決相關(guān)安全問題； ? （ 3）病毒或黑客攻擊導(dǎo)致系統(tǒng)癱瘓； ? （ 4）由于一個主要系統(tǒng)癱瘓導(dǎo)致其它系統(tǒng)的失靈。 （續(xù) ） 第七，保護(hù)隱私，數(shù)據(jù)安全，技術(shù)管理方面的不足。 ?其次，原有的一些法律已不能適應(yīng)信息化時代的要求，如著作權(quán)法、專利法、刑法等，亟待修訂。 （續(xù)） 第五，人力資源不足 ? （ 1）缺乏信息安全風(fēng)險管理的人員 ? （ 2）缺乏具備信息安全管理能力和資格的人員； ? （ 3）培訓(xùn)滯后于項目，培訓(xùn)效果差。 ? （ 1）缺乏項目的建設(shè)戰(zhàn)略 ? （ 2）缺乏項目的中長期發(fā)展規(guī)劃 ? （ 3）缺乏明確項目的發(fā)展步驟 ? （ 4）缺乏項目的階段性績效標(biāo)準(zhǔn) 第二，領(lǐng)導(dǎo)與組織能力不到位，統(tǒng)籌協(xié)調(diào)不力 ? 領(lǐng)導(dǎo)對于風(fēng)險管理的重視不足，忽視信息化項目的風(fēng)險問題； ? 信息化目標(biāo)的錯誤設(shè)定，片面追求某些指標(biāo)，忽視質(zhì)量； ? 信息孤島問題以及跨部門之信息化進(jìn)程的協(xié)調(diào)問題； ? 信息安全總體設(shè)計不到位； ? 項目建設(shè)規(guī)劃、評估和監(jiān)理存在缺位和不足 （續(xù)） 第三，信息化管理的能力差，管理體系不成熟。 ? 第一，自然災(zāi)害； ? 第二，誤操作和安全生產(chǎn)事故； ? 第三，病毒、蠕蟲以及網(wǎng)絡(luò)攻擊； ? 第四，由于信任體系不完善，借助信息化手段進(jìn)行欺詐； ? 第五，因內(nèi)部因素而造成的信息、數(shù)據(jù)的修改和丟失和內(nèi)部泄密； ； ? 第六，因外部因素造成信息、數(shù)據(jù)的泄露、篡改和丟失； ? 第七，安全防范措施不到位的高端技術(shù)。 ? 風(fēng)險管理泛指評估風(fēng)險、確認(rèn)風(fēng)險、回應(yīng)風(fēng)險的過程。 信息化風(fēng)險的定義 ? 風(fēng)險指行動或者事件的結(jié)果的不確定性（ uncertainty of oute）。 科研、產(chǎn)業(yè)與服務(wù)體系 技術(shù)與管理標(biāo)準(zhǔn)體系 國家信息安全 保障體系 提 綱 一、信息安全形勢依然嚴(yán)峻 二、信息化風(fēng)險及風(fēng)險管理研究 三、信息安全風(fēng)險評估技術(shù)導(dǎo)引 四、信息安全風(fēng)險評估試點(diǎn)經(jīng)驗(yàn)寶貴 二、信息化風(fēng)險及風(fēng)險管理研究 ?隨著信息化的發(fā)展，信息化的風(fēng)險與風(fēng)險管理問題已經(jīng)成為各個國家、國際組織所普遍關(guān)注的問題。 ? 今天用戶面對的安全威脅更復(fù)雜，經(jīng)常是由多種善變的威脅組成的 “ 混合型威脅 ” ，包括病毒、蠕蟲、間諜軟件、拒絕服務(wù)攻擊等。 ? 倘若把病毒比作劇毒的鴆酒，那么 “ 間諜軟件 ” 就如同小說里的