【正文】 安全是一個廣泛的主題， 它涉及到許多不同的區(qū)域（物理、網(wǎng)絡、系統(tǒng)、應用、管理等），每個區(qū)域都有其相關的風險、威脅及解決方法。決策者可以根據(jù)風險評估的結果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。u 實施安全控制后會有殘留風險或殘存風險（ Residual Risk）。u 接受風險（ Accept Risk） —— 在實施了其他風險應對措施之后，對于殘留的風險，組織可以有意識地選擇接受。u 避免風險（ Avoid Risk） —— 通過消除可能導致風險發(fā)生的條件來避免風險的發(fā)生，如將公司內外網(wǎng)隔離以避免來自互聯(lián)網(wǎng)的攻擊，或是將機房安置在不可能造成水患的位置，等等。F 表示安全事件發(fā)生后產(chǎn)生的損失。Va 表示脆弱性嚴重程度 。V 表示脆弱性 。A 表示資產(chǎn) 。內部人員由于缺乏培訓、專業(yè)技能不足、不具備崗 位技能要求而導致信息系統(tǒng)故障或被攻擊。風險 RISKRISKRISK風險原有風險 采取措施后的剩余風險影響影響威脅威脅脆弱性影響影響威脅威脅脆弱性脆弱性風險管理的目標風險管理的目標資產(chǎn)分類方法分類 示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料 ,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、 計劃、報告、用戶手冊、各類紙質的文檔等軟件系統(tǒng)軟件 :操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等 應用軟件 :辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等 源程序 :各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡設備 :路由器、網(wǎng)關、交換機等計算機設備 :大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等存儲設備 :磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路 :光纖、雙絞線等保障設備 : UPS、變電設備等、空調、保險柜、文件柜、門禁、消防設施等安全保障： 防火墻、入侵檢測系統(tǒng)、身份鑒別等其他 :打印機、復印機、掃描儀、傳真機等資產(chǎn)分類方法分類 示例服務信息服務 :對外依賴該系統(tǒng)開展的各類服務 網(wǎng)絡服務 :各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務 辦公服務 :為提高效率而開發(fā)的管理信息系統(tǒng) ,包括各種內部配置管理、文件流轉管理等服務人員掌握重要信息和核心業(yè)務的人員 ,如主機維護主管、網(wǎng)絡維護主管及應用項目經(jīng)理等其它 企業(yè)形象、客戶關系等資產(chǎn)識別模型網(wǎng)絡層機房、通信鏈路網(wǎng)絡設備 1操作系統(tǒng)、主機設備軟件OA人員、文檔、制度業(yè)務層物理層主機層應用層管理層EAI/EIP 工程管理 物資管理 生產(chǎn)管理 營銷系統(tǒng) 人力資源 綜合管理操作系統(tǒng)、主機設備網(wǎng)絡設備 2數(shù)據(jù)軟件 軟件 軟件數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù) 數(shù)據(jù)數(shù)據(jù)層資產(chǎn)價值的評估信息安全屬性? 保密性 CONFIDENTIALATY–確保信息只能由那些被授權使用的人獲取? 完整性 INTEGRITY–保護信息及其處理方法的準確性和完整性? 可用性 AVAILABILITY–確保被授權使用人在需要時可以獲取信息和使用相關的資產(chǎn)資產(chǎn)等級計算公式? AV=F(AC,AI,AA)– 例 1： AV=MAX(AC,AI,AA)– 例 2： AV=AC+AI+AA– 例 3： AV=ACAIAA威脅來源列表來源 描述環(huán)境因素 斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外 事故等環(huán)境危害或自然災害 ,以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預謀的內部人員對信息系統(tǒng)進行惡意破壞 。u 安全措施（ Safeguard） —— 控制措施（ control）或對策（ countermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。u 可能性（ Likelihood） —— 對威脅發(fā)生幾率（ Probability）或頻率（ Frequency）的定性描述。u 弱點（ Vulnerability） —— 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。 概 述 相關概念u 資產(chǎn)（ Asset） —— 任何對企業(yè)具有價值的東西 ，包括計算機硬件、通信設施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。風險管理風險管理 風險評估（風險評估（ Risk Assessment）） 就就是對各方面風險進行辨識和分析的過程是對各方面風險進行辨識和分析的過程，它包括風險分析和風險評價，是確認，它包括風險分析和風險評價，是確認安全風險及其大小的過程。在信息安全領域，在信息安全領域， 風險（風險（ Risk）） 就是指就是指各種威脅導致安全事件發(fā)生的可能性及各種威脅導致安全事件發(fā)生的可能性及其對組織所造成的負面影響。信息安全風險評估什么是風