【正文】 險(xiǎn)。,5.7.1.4 基于知識(shí)的評(píng)估和基于模型的評(píng)估 1．基于知識(shí)的評(píng)估 ——主要是依靠經(jīng)驗(yàn)進(jìn)行的，經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問題 。 優(yōu)點(diǎn)：結(jié)果直觀，容易理解 ； 缺點(diǎn)：它要求特別關(guān)注資產(chǎn)的價(jià)值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價(jià)值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的 。,2．定量評(píng)估 ——是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在的損失的水平賦予數(shù)值或貨幣值。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，往往帶有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺進(jìn)行定性分級(jí)，如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”、“中”、“低”，有時(shí)單純使用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別。,7.1.3 定性評(píng)估和定量評(píng)估 1. 定性評(píng)估 ——是最廣泛使用的風(fēng)險(xiǎn)分析方法 ，一般只關(guān)注威脅事件所帶來的損失，而忽略事件發(fā)生的概率 。,2. 整體評(píng)估 ——擴(kuò)展了技術(shù)評(píng)估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。,1.2 技術(shù)評(píng)估和整體評(píng)估 技術(shù)評(píng)估 ——是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時(shí)的檢查，包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性攻擊 優(yōu)點(diǎn)：技術(shù)評(píng)估強(qiáng)調(diào)組織的技術(shù)脆弱性，評(píng)估整個(gè)系統(tǒng)的計(jì)算基礎(chǔ)結(jié)構(gòu)并對(duì)檢測(cè)到的技術(shù)弱點(diǎn)提出解決措施。,7 信息安全風(fēng)險(xiǎn)評(píng)估方法,7.1 概述 信息安全風(fēng)險(xiǎn)評(píng)估綜合分析資產(chǎn)、威脅、脆弱性、安全措施，判斷系統(tǒng)風(fēng)險(xiǎn)，為安全管理單位識(shí)別安全重點(diǎn)、選擇合理適用安全對(duì)策提供依據(jù)，是信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)。 7．風(fēng)險(xiǎn)評(píng)估文件記錄 形成風(fēng)險(xiǎn)評(píng)估過程中的相關(guān)文檔，包括風(fēng)險(xiǎn)評(píng)估報(bào)告。,6．風(fēng)險(xiǎn)分析 采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。從技術(shù)和管理兩個(gè)方面對(duì)評(píng)估對(duì)象存在的脆弱性進(jìn)行識(shí)別并賦值。,4．脆弱性識(shí)別 脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。,2．資產(chǎn)識(shí)別 依據(jù)資產(chǎn)的分類，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)逐一識(shí)別，完成對(duì)資產(chǎn)機(jī)密性、完整性和可用性的賦值，最后經(jīng)過綜合評(píng)定得出資產(chǎn)重要性等級(jí)。,前言：對(duì)本標(biāo)準(zhǔn)的制定作了簡(jiǎn)單介紹； 引言：簡(jiǎn)單介紹了信息安全風(fēng)險(xiǎn)評(píng)估的重要性； 第 1章 范圍：闡述了本標(biāo)準(zhǔn)的范圍； 第2章 規(guī)范性引用文件：闡述了本標(biāo)準(zhǔn)的規(guī)范性引用文件； 第3章 術(shù)語和定義：給出了本標(biāo)準(zhǔn)中所用的術(shù)語和定義； 第4章 風(fēng)險(xiǎn)評(píng)估框架及流程：闡述了信息安全風(fēng)險(xiǎn)評(píng)估中各要素的關(guān)系、風(fēng)險(xiǎn)分析的原理、風(fēng)險(xiǎn)評(píng)估的實(shí)施流程；,第5章 風(fēng)險(xiǎn)評(píng)估實(shí)施：詳細(xì)介紹了信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程及每一階段的具體任務(wù)和職能； 第6章 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估：闡述了信息安全風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期各階段中的不同要求； 第7章 風(fēng)險(xiǎn)評(píng)估的工作方式：介紹了風(fēng)險(xiǎn)評(píng)估的兩種形式（即自評(píng)估和檢查評(píng)估）； 附錄A 風(fēng)險(xiǎn)的計(jì)算方法：詳細(xì)介紹了目前比較常用的兩種風(fēng)險(xiǎn)計(jì)算方法（即矩陣法和相乘法）； 附錄B 風(fēng)險(xiǎn)評(píng)估工具：對(duì)當(dāng)前的風(fēng)險(xiǎn)評(píng)估工具進(jìn)行了分類和綜述,6.3 GB/T 209842007的風(fēng)險(xiǎn) 評(píng)估實(shí)施過程,1．風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 這是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。,6 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 209842007,6.1 GB/T 209842007簡(jiǎn)介 隨著我國(guó)信息化應(yīng)用的逐步深入，信息安全問題也日益受到關(guān)注，針對(duì)我國(guó)沒有信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的現(xiàn)狀，2004年，國(guó)信辦組織專家啟動(dòng)信息安全了風(fēng)險(xiǎn)評(píng)估的研究與標(biāo)準(zhǔn)的編制工作，標(biāo)準(zhǔn)編制工作于2004年3月正式啟動(dòng)，2007年7月通過了國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)的審查批準(zhǔn)，標(biāo)準(zhǔn)編號(hào)和名稱為GB/T 209842007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》于2007年11月正式實(shí)施。 5．識(shí)別經(jīng)濟(jì)有效的措施以減輕或降低風(fēng)險(xiǎn)。 2．在歷史信息以及有經(jīng)驗(yàn)的人員的判斷基礎(chǔ)上，估計(jì)此類威脅發(fā)生的現(xiàn)實(shí)可能性,3．識(shí)別并評(píng)價(jià)可能受到此類威脅發(fā)生影響的運(yùn)作和資產(chǎn)的價(jià)值、敏感度和關(guān)鍵度，以確定哪些運(yùn)作和資產(chǎn)是重要的。 附錄給出了風(fēng)險(xiǎn)評(píng)估指南的目標(biāo)和方法論。,5.3 GAO/AIMD99139,1998年5月美國(guó)審計(jì)總署(GAO)出版了《信息安全管理指南一向先進(jìn)公司學(xué)習(xí)》(GAO/AIMD9868)，并出版了其支持性文件《信息安全風(fēng)險(xiǎn)評(píng)估指南—— 向先進(jìn)公司學(xué)習(xí)》(GAO/AIMD99139)，GAO/AIMD99139風(fēng)險(xiǎn)評(píng)估指南有針對(duì)性的對(duì)風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了分析和闡述，是在開展類似公司風(fēng)險(xiǎn)評(píng)估工作的過程中可以參考和借鑒的標(biāo)準(zhǔn)。為過程行為的高效和實(shí)用建立定量的目標(biāo)。過程管理成為客觀的和準(zhǔn)確的實(shí)踐活動(dòng)。 4級(jí)：定量控制的過程。過程域的所有基本實(shí)踐均應(yīng)依照一組完善定義的操作規(guī)范來進(jìn)行。這使工程組織可以基于最終結(jié)果的質(zhì)量來管理其實(shí)踐活動(dòng)。 2級(jí)：計(jì)劃并跟蹤的過程。,5.2.3 能力成熟度等級(jí),SSECMM模型定義了五個(gè)能力級(jí)別，它們分別是： 1級(jí)：非正式執(zhí)行的過程。用可信度描述對(duì)建立的安全系統(tǒng)正確執(zhí)行其安全功能的信心究竟有多大度。安全工程不是一個(gè)獨(dú)立的實(shí)體，而是整個(gè)信息系統(tǒng)工程的一個(gè)組成部分，模型強(qiáng)調(diào)系統(tǒng)安全工程與其它工程的合作和協(xié)調(diào)并定義了專門的協(xié)調(diào)安全過程（PA07）。,2．工程過程 安全工程是一個(gè)包括概念、設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、部署、運(yùn)行、維護(hù)、退出的完整過程。風(fēng)險(xiǎn)事件有三個(gè)組成部分：威脅，系統(tǒng)脆弱性，事件造成的影響。同時(shí)模型還定義了5個(gè)能力成熟度等級(jí).,從整體上看，SSECMM模型定義了一個(gè)“二維”架構(gòu)，橫軸上是11個(gè)系統(tǒng)安全工程的過程域，縱軸上是5個(gè)能力成熟度等級(jí)，如果給每個(gè)過程域賦予一個(gè)能力成熟度等級(jí)的評(píng)定，所得到的“二維”圖形便形象地反映了安全工程的質(zhì)量以及工程在安全上的可信度，也間接地反映了工程隊(duì)伍實(shí)施安全系統(tǒng)工程的能力成熟性。,SSECMM模型將信息系統(tǒng)安全工程分為3個(gè)相互聯(lián)系的部分：風(fēng)險(xiǎn)評(píng)估、工程實(shí)施和可信度評(píng)估。評(píng)估小組根據(jù)實(shí)際情況，開發(fā)一個(gè)整個(gè)組織范圍的的保護(hù)策略和風(fēng)險(xiǎn)削減計(jì)劃。分析小組就風(fēng)險(xiǎn)所產(chǎn)生的影響、發(fā)生的可能性進(jìn)行評(píng)估； 分析小組對(duì)關(guān)鍵資產(chǎn)的支持系統(tǒng)中的訪問路徑進(jìn)行分析，并確定這些技術(shù)措施對(duì)關(guān)鍵資產(chǎn)的保護(hù)程度；,3．第3階段：開發(fā)安全策略和計(jì)劃 本階段主要由2個(gè)過程組成： 分析小組應(yīng)選擇3～5個(gè)關(guān)鍵信息資產(chǎn)，并為每個(gè)關(guān)鍵信息資產(chǎn)定義相應(yīng)的安全要求和威脅描述文件。分析小組應(yīng)識(shí)別與組織重要信息相關(guān)的資產(chǎn)，確定一組評(píng)估標(biāo)準(zhǔn)，并定義組織當(dāng)前的安全實(shí)踐狀況； ,1．第1階段：建立資產(chǎn)的威脅描述文件 本階段主要由2個(gè)過程組成： 通過這種方法，3～5人的評(píng)估小組就可以完成整個(gè)評(píng)估活動(dòng)。過程8：開發(fā)保護(hù)策略，評(píng)估小組開發(fā)整個(gè)組織的保護(hù)策略，該策略注重于提高組織的安全實(shí)踐，以及關(guān)鍵資產(chǎn)的重要風(fēng)險(xiǎn)的削減計(jì)劃。 本階段主要由2個(gè)過程組