【正文】 資產(chǎn)可能面臨著多個威脅 ?一個威脅可能對不同的資產(chǎn)造成影響 ?威脅識別應(yīng)確認(rèn)威脅由誰或什么事物引發(fā) ?威脅可能來源于意外的，或有預(yù)謀的事件 39 All rights reserved 169。 可用性價值較低，潛在影響可以忍受，較容易彌補 3 資產(chǎn)對防止信息不可用方面的要求一般 可用性價值中等，潛在影響重大，但可以彌補 4 資產(chǎn)對防止信息不可用方面的要求較高 可用性價值較高，潛在影響嚴(yán)重，企業(yè)將蒙受嚴(yán)重?fù)p失，難以彌補 5 資產(chǎn)對防止信息不可用方面的要求很高 可用性價值非常關(guān)鍵，具有致命性的潛在影響 例：對應(yīng)用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權(quán)。 2023 資產(chǎn)價值與信息安全特性的關(guān)系 等級 可用性 1 資產(chǎn)對防止信息不可用方面的要求可以忽略。 完整性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息非授權(quán)修改、破壞方面的要求有限。 36 All rights reserved 169。 機密性價值或潛在影響可以忽略 2 資產(chǎn)對防止信息非授權(quán)泄露、破壞方面的要求有限。 35 All rights reserved 169。 通過考察三種不同安全屬性 ， 可以得出一個能夠基本反映資產(chǎn)價值的數(shù)值 。 2023 資產(chǎn)的安全屬性賦值及權(quán)重計算 信息資產(chǎn)分別具有不同的安全屬性 ， 機密性 、 完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性 。 2023 資產(chǎn)的識別 資產(chǎn)識別之前必須界定范圍 識別資產(chǎn)最簡單的方法就是列出對組織或組織的特定部門的業(yè)務(wù)過程有價值的任何事物 資產(chǎn)包括 : 數(shù)據(jù)與文檔 /書面文件 /軟件 /實物資產(chǎn) /人員 /服務(wù) 33 All rights reserved 169。 31 All rights reserved 169。 2023 現(xiàn)有風(fēng)險評估方法綜述（ 4） 基于系統(tǒng)安全模型體系的分析方法 ? 在一般風(fēng)險評估原理的指導(dǎo)下，針對被評估信息系統(tǒng)實際情況（包括：系統(tǒng)技術(shù)特性、組織特性、資產(chǎn)情況、安全假設(shè)、脆弱點、威脅、保護(hù)措施等）建立有針對性、合理的評估安全需求； ? 同時建立評估指標(biāo)體系、評估流程、評估模型，通過系統(tǒng)對評估要求的滿足程度進(jìn)行判斷風(fēng)險評估的指導(dǎo)作用。 例如： ? 對運行在某個平臺上的不同主機、應(yīng)用系統(tǒng)分別進(jìn)行等價化的賦值，綜合分析每個資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風(fēng)險量化值。 2023 現(xiàn)有風(fēng)險評估方法綜述（ 3） 定量分析方法 ? 以獲取到或采取一定方法量化后得到的被調(diào)查對象的定量數(shù)據(jù)為基本材料，依據(jù)一定的算法進(jìn)行分析、計算、綜合，然后得出結(jié)果數(shù)據(jù)。 2023 現(xiàn)有風(fēng)險評估方法綜述（ 2） 定性分析方法 ? 定性分析方法一般適用于： ? a）風(fēng)險識別； ? b）造成風(fēng)險的原因分析； ? c）威脅發(fā)生所造成的影響分析等。 基于系統(tǒng)安全模型體系的分析方法：針對某個典型的（或固定）的系統(tǒng)，建立其安全要素的模型，以及判定某個要素的條件和內(nèi)容，有相對完善、固定的評估模型體系。 2023 現(xiàn)有風(fēng)險評估方法綜述（ 1） 定性分析方法：針對某個被評估對象，確定其潛在的風(fēng)險，描述可能引起風(fēng)險的原因。 風(fēng)險評估的工具 ? 風(fēng)險評估與管理工具 ? 系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具 ? 風(fēng)險評估輔助工具 26 All rights reserved 169。 ? 相乘法 ：直接使用兩個要素值進(jìn)行相乘得到另一個要素的值。 25 All rights reserved 169。 24 All rights reserved 169。 2023 風(fēng)險評估文件記錄 ? 風(fēng)險評估文件記錄的要求 ? 風(fēng)險評估文件 的類型、多少 ? 風(fēng)險評估方案 ? 資產(chǎn)識別清單 ? 重要資產(chǎn)清單 ? 威脅列表 ? 脆弱性列表 ? 風(fēng)險評估報告 ? 風(fēng)險處理計劃 風(fēng)險評估實施 (4) 23 All rights reserved 169。 ? 安全措施確認(rèn)并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合，為風(fēng)險處理計劃的制定提供依據(jù)和參考。 風(fēng)險評估實施 (2) 21 All rights reserved 169。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。 20 All rights reserved 169。 19 All rights reserved 169。 2023 風(fēng)險分析原理 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價 值安 全 事 件 的 可 能 性安 全 事 件 的 損 失風(fēng) 險 值威 脅 識 別脆 弱 性 識 別資 產(chǎn) 識 別 18 All rights reserved 169。 16 All rights reserved 169。 規(guī)范性引用文件 ? 說明標(biāo)準(zhǔn)中引用到其他的標(biāo)準(zhǔn)文件或條款。 15 All rights reserved 169。 目的 ? 信息系統(tǒng)所有者：使用本標(biāo)準(zhǔn)為其選擇安全措施，實施信息系統(tǒng)保護(hù)提供技術(shù)支持，依據(jù)本標(biāo)準(zhǔn)中提出的安全風(fēng)險理念選擇技術(shù)與管理控制措施； ? 風(fēng)險評估的實施者：依據(jù)本標(biāo)準(zhǔn)進(jìn)行風(fēng)險評估，依據(jù)本標(biāo)準(zhǔn)的判定準(zhǔn)則，做出科學(xué)的判斷。 作用： ? 過對信息系統(tǒng)的資產(chǎn)、面臨威脅、存在的脆弱性、采用的安全控制措施等進(jìn)行分析，確定信息系統(tǒng)面臨的安全風(fēng)險，從技術(shù)和管理兩個層面綜合判斷信息系統(tǒng)面臨的風(fēng)險。 2023 《 信息安全風(fēng)險評估規(guī)范 》 標(biāo)準(zhǔn)操作的主要內(nèi)容 引言 定義與術(shù)語 風(fēng)險評估概述 風(fēng)險評估流程及模型 風(fēng)險評估實施 ? 資產(chǎn)識別 ? 脆弱性識別 ? 威脅識別 ? 已有安全措施確認(rèn) 風(fēng)險評估在信息系統(tǒng)生命周期中的不同要求 風(fēng)險評估的形式及角色 附錄 14 All rights reserved 169。正式定名為：信息技術(shù) 信息安全風(fēng)險評估規(guī)范。 2023年，國信辦在全國 4個省市和 3個行業(yè)進(jìn)行風(fēng)險評估的試點工作，根據(jù)試點結(jié)果對 《 信息安全風(fēng)險評估指南 》 進(jìn)行了修改。 2023年，國務(wù)院信息化辦公室成立了風(fēng)險評估研究課題組，對風(fēng)險評估相關(guān)問題進(jìn)行研究。 國外相關(guān)信息安全風(fēng)險評估標(biāo)準(zhǔn)簡介（ 2） 12 All rights reserved 169。 NIST SP80030：信息技術(shù)系統(tǒng)風(fēng)險管理指南 ? 提出了風(fēng)險評估的方法論和一般原則， ? 風(fēng)險及風(fēng)險評估概念：風(fēng)險就是不利事件發(fā)生的可能性。 ISO/IEC TR 13335信息技術(shù)安全管理指南 ? 提出了風(fēng)險評估的方法、步驟和主要內(nèi)容。 2023 AS/NZS 4360： 1999 風(fēng)險管理 ? 澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險管理標(biāo)準(zhǔn)