【正文】 產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對(duì)組織造成的影響也是不一樣的。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度， 判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn) 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價(jià) 值安 全 事 件 的 可 能 性安 全 事 件 造 成 的 損 失風(fēng) 險(xiǎn) 值威 脅 識(shí) 別脆 弱 性 識(shí) 別資 產(chǎn) 識(shí) 別 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)分析 1．風(fēng)險(xiǎn)計(jì)算 如前所述，風(fēng)險(xiǎn)可形式化的表示為 R=(A,T,V)，其中 R表示風(fēng)險(xiǎn)、 A表示資產(chǎn)、 T表示威脅、 V表示脆弱性。 保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。 脆弱性嚴(yán)重程度賦值表 脆弱性嚴(yán)重程度可以進(jìn)行等級(jí)化處理，不同的等級(jí)分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。 2 低 如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。 4 高 如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。 也可對(duì)脆弱性被利用后對(duì)資產(chǎn)的損害程度以及被利用的可能性分別評(píng)估，然后以一定方式綜合。而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件，并造成損失。 q 為簡(jiǎn)化后續(xù)的風(fēng)險(xiǎn)計(jì)算過程 ， 避免不必要的計(jì)算工作 ， 僅采用 TOP5或者 TOP10威脅參與風(fēng)險(xiǎn)計(jì)算 信息安全風(fēng)險(xiǎn)評(píng)估流程 威脅舉例 信息安全風(fēng)險(xiǎn)評(píng)估流程 外部威脅發(fā)展 網(wǎng) 絡(luò) 攻 擊 增 長(zhǎng) 率2 0 0 3 年 2 0 0 4 年 2 0 0 5 年 2 0 0 6 年 2 0 0 7 年 2 0 0 8 年攻 擊 難 度攻 擊 手 段網(wǎng)絡(luò)欺騙或訛詐 感染惡意代碼 泄露重要信息 手機(jī) 攻擊 網(wǎng)絡(luò) 仿冒 網(wǎng)頁 篡改 網(wǎng)頁惡 意代碼 垃圾 郵件 拒絕服 務(wù)攻擊 病毒 蠕蟲 木馬 信息安全風(fēng)險(xiǎn)評(píng)估流程 信息安全風(fēng)險(xiǎn)評(píng)估流程 脆弱性識(shí)別與評(píng)估 1．脆弱性識(shí)別 也稱為弱點(diǎn)識(shí)別。 如威脅樹（ P30）系統(tǒng)故障威脅樹（ P31） 2．威脅評(píng)估 安全風(fēng)險(xiǎn)的大小是由安全事件發(fā)生的可能性以及它造成的影響決定，安全事件發(fā)生的可能性與威脅出現(xiàn)的頻率有關(guān)，而安全事件的影響則與威脅的強(qiáng)度或破壞能力有關(guān) 威脅評(píng)估就是對(duì)威脅出現(xiàn)的頻率及強(qiáng)度進(jìn)行評(píng)估，這是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié) 評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來分析威脅出現(xiàn)的頻率及其強(qiáng)度或破壞能力 威脅評(píng)估的通用方法 q 為威脅列表中的全部可賦值威脅類進(jìn)行賦值 信息安全風(fēng)險(xiǎn)評(píng)估流程 等級(jí) 標(biāo)識(shí) 定義 5 很高 出現(xiàn)的頻率很高（或 ≥1 次 /周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過 4 高 出現(xiàn)的頻率較高（或 ≥ 1 次 /月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過 3 中 出現(xiàn)的頻率中等（或 1 次 /半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過 2 低 出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過 1 很低 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生 威脅賦值表 《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 GB/T20984 威脅評(píng)估的通用方法 q 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。Wac+VAnWi+VAa 公司形象和名譽(yù) 信息安全風(fēng)險(xiǎn)評(píng)估流程 2. 資產(chǎn)評(píng)估 資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn) 在保密性、完整性和可用性上的賦值等級(jí) ，經(jīng)過綜合評(píng)定得出 q最大原則：取 5個(gè)屬性中最大的那個(gè)屬性賦值作為綜合評(píng)價(jià)值 VA=Max(VAc, VAi, VAa, VAac, VAn) q加權(quán)原則：根據(jù)屬性保護(hù)對(duì)業(yè)務(wù)開展影響賦權(quán)重 Wc+Wi+Wa+Wac+Wn=1， VA= VAc 人員 254。 軟件資產(chǎn) 254。 電子信息資產(chǎn) 254。 ?資產(chǎn)識(shí)別方法 : 訪談、現(xiàn)場(chǎng)調(diào)查、問卷、文檔查閱 信息安全風(fēng)險(xiǎn)評(píng)估流程 2．資產(chǎn)評(píng)估 ?資產(chǎn)的評(píng)價(jià)是對(duì)資產(chǎn)的價(jià)值或重要程度進(jìn)行評(píng)估，資產(chǎn)本身的貨幣價(jià)值是資產(chǎn)價(jià)值的體現(xiàn)，但更重要的是 資產(chǎn)對(duì)組織關(guān)鍵業(yè)務(wù)的順利開展乃至組織目標(biāo)實(shí)現(xiàn)的重要程度 。 5．獲得支持 6．準(zhǔn)備相關(guān)的評(píng)估工具 信息安全風(fēng)險(xiǎn)評(píng)估流程 資產(chǎn)識(shí)別與評(píng)估 1．資產(chǎn)識(shí)別 ?資產(chǎn)識(shí)別是風(fēng)險(xiǎn)識(shí)別的必要環(huán)節(jié)。 詳細(xì)評(píng)估的缺點(diǎn)： 需要更多的時(shí)間、努力和專業(yè)知識(shí) 信息安全風(fēng)險(xiǎn)評(píng)估策略 綜合風(fēng)險(xiǎn)評(píng)估 ?基線風(fēng)險(xiǎn)評(píng)估耗費(fèi)資源少、周期短、操作簡(jiǎn)單，但不夠準(zhǔn)確，適合一般環(huán)境的評(píng)估 ?詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)確而細(xì)致，但耗費(fèi)資源較多，適合嚴(yán)格限定邊界的較小范圍內(nèi)的評(píng)估 ?實(shí)踐中，多采用二者結(jié)合的綜合評(píng)估方式 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)評(píng)估流程概述 風(fēng)險(xiǎn)評(píng)估四個(gè)階段 : ?階段 1:評(píng)估準(zhǔn)備 ?階段 2:風(fēng)險(xiǎn)識(shí)別 ?階段 3:風(fēng)險(xiǎn)評(píng)價(jià) ?階段 4:風(fēng)險(xiǎn)處理 風(fēng) 險(xiǎn) 評(píng) 估 準(zhǔn) 備保 持 已 有 的 安 全 措 施威 脅 識(shí) 別已 有 安 全 措 施 的 確 認(rèn)風(fēng) 險(xiǎn) 計(jì) 算制 定 風(fēng) 險(xiǎn) 處 理 計(jì) 劃并 評(píng) 估 殘 余 風(fēng) 險(xiǎn)風(fēng) 險(xiǎn) 是 否 接 受是 否 接 受 殘 余 風(fēng) 險(xiǎn)實(shí) 施 風(fēng) 險(xiǎn) 管 理資 產(chǎn) 識(shí) 別 脆 弱 性 識(shí) 別評(píng) 估 過 程 文 檔評(píng) 估 過 程 文 檔評(píng) 估 過 程 文 檔..................否否是是風(fēng) 險(xiǎn) 分 析風(fēng) 險(xiǎn) 評(píng) 估 文 檔 記 錄 信息安全風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證 包括： 1．確定風(fēng)險(xiǎn)評(píng)估目標(biāo) 2．確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍 3．組建團(tuán)隊(duì)。 可以根據(jù)以下資源來選擇安全基線： (1) 國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn) (2) 行業(yè)標(biāo)準(zhǔn)或推薦 (3)來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例 信息安全風(fēng)險(xiǎn)評(píng)估策略 基線評(píng)估的優(yōu)點(diǎn)是： (1)風(fēng)險(xiǎn)分析和每個(gè)防護(hù)措施的實(shí)施管理只需要最少數(shù)量的資源，并且在選擇防護(hù)措施時(shí)花費(fèi)更少的時(shí)間和努力 (2) 如果組織的大量系統(tǒng)都在普通環(huán)境下運(yùn)行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護(hù)措施而不需要太多的努力 基線評(píng)估的的缺點(diǎn)是： (1)基線水平難以設(shè)置 (2)風(fēng)險(xiǎn)評(píng)估不全面、不透徹，且不易處理變更 信息安全風(fēng)險(xiǎn)評(píng)估策略 詳細(xì)風(fēng)險(xiǎn)評(píng)估 ?詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，并對(duì)可能引起風(fēng)險(xiǎn)的水平進(jìn)行評(píng)估 ?通過不期望事件的潛在負(fù)面業(yè)務(wù)影響評(píng)估和他們發(fā)生的可能性來完成。 風(fēng)險(xiǎn)要素相互間的關(guān)系 資產(chǎn)、威脅、脆弱性是信息安全風(fēng)險(xiǎn)的基本要素與信息安全風(fēng)險(xiǎn)有關(guān)的要素還包括：安全措施、安全需求、影響等。 安全需求是指為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。這些后果可能表現(xiàn)為直接形式，如物理介質(zhì)或設(shè)備的破壞、人員的損傷、 直接的資金損失等；也可能表現(xiàn)為間接的損失如公司信用、形象受損、市場(chǎng)分額損失、法律責(zé)任等。 根據(jù)威脅源的不同，威脅可分為： 自然威脅、環(huán)境威脅、系統(tǒng)威脅、人員威脅 脆弱性是一個(gè)或一組資產(chǎn)所具有的，可能被威脅利用對(duì)資產(chǎn)造成損害的薄弱環(huán)節(jié)。這些損害可能是蓄意的對(duì)信息系統(tǒng)和服務(wù)所處理信息的直接或間接攻擊。 概述 威脅是可能對(duì)資產(chǎn)或組織造成損害的潛在原因。以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。 1. 資產(chǎn) 根據(jù) ISO/IEC 133351,資產(chǎn)是指任何對(duì)組織有價(jià)值的東西，資產(chǎn)包括：物理資產(chǎn)、信息 /數(shù)據(jù) 、軟件、提供產(chǎn)品和服務(wù)的能力、人員、無形資產(chǎn)。 ? 持續(xù)的風(fēng)險(xiǎn)評(píng)估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績(jī)效的有力手段，風(fēng)險(xiǎn)評(píng)估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對(duì)信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息安全建設(shè)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn)。 概述 以風(fēng)險(xiǎn)為核心的安全模型（ ISO13335 ） 風(fēng)險(xiǎn) 安全措施 信息資產(chǎn) 威脅 脆弱性 安全需求 降低 增加 增加 利用 暴露 價(jià)值 擁有 抗擊 增加 引出 被滿足 概述 信息安全風(fēng)險(xiǎn)評(píng)估的意義和作用 ? 信息安全中的風(fēng)險(xiǎn)評(píng)估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面