【正文】 、“中”、“低”?？梢钥紤]為定性數(shù)據(jù)指定數(shù)值。但是要注意的是，這里考慮的只是風(fēng)險的相對等級，并不能說明該風(fēng)險到底有多大。把這兩個元素簡單相乘的結(jié)果稱為ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）。定量風(fēng)險評估方法首先評估特定資產(chǎn)的價值V，把信息系統(tǒng)分解成各個組件可更加有利于整個系統(tǒng)的定價，一般按功能單元進(jìn)行分解；然后根據(jù)客觀數(shù)據(jù)計算威脅的頻率P；最后計算威脅影響系數(shù)?，因為對于每一個風(fēng)險，并不是所有的資產(chǎn)所遭受的危害程度都是一樣的，程度的范圍可能從無危害到徹底危害（即完全破壞）。 定量風(fēng)險分析方法要求特別關(guān)注資產(chǎn)的價值和威脅的量化數(shù)據(jù)，但是這種方法存在一個問題，就是數(shù)據(jù)的不可靠和不精確。例如，可以根據(jù)頻率數(shù)據(jù)估計人們所處區(qū)域的自然災(zāi)害發(fā)生的可能性（如洪水和地震）。但是，對于一些其他類型的威脅來說，不存在頻率數(shù)據(jù)，影響和概率很難是精確的。這將使定量評估過程非常耗時和困難。 鑒于以上難點，可以轉(zhuǎn)用客觀概率和主觀概率相結(jié)合的方法。應(yīng)用主觀概率估計由人為攻擊產(chǎn)生的威脅需要考慮一些附加的威脅屬性，如動機(jī)、手段和機(jī)會等。 ４）基于知識的評估和基于模型的評估基于知識的風(fēng)險評估方法主要是依靠經(jīng)驗進(jìn)行的，經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風(fēng)險評估問題。　　“良好實踐”的知識評估方法。為了能夠較好地處理威脅和脆弱性分析，該方法開發(fā)了一個濫用和誤用報告數(shù)據(jù)庫，存儲了30年來的上千個事例。基于知識的風(fēng)險評估方法充分利用多年來開發(fā)的保護(hù)措施和安全實踐，依照組織的相似性程度進(jìn)行快速的安全實施和包裝，以減少組織的安全風(fēng)險。安全風(fēng)險評估是一個非常復(fù)雜的任務(wù)，這要求存在一個方法既能描述系統(tǒng)的細(xì)節(jié)又能描述系統(tǒng)的整體。如UML建模語言可以用來詳細(xì)說明信息系統(tǒng)的各個方面：不同組件之間關(guān)系的靜態(tài)圖用class diagrams來表示；用來詳細(xì)說明系統(tǒng)的行動這和功能的動態(tài)圖用use case diagrams和sequence diagrams來表示；完整的系統(tǒng)使用UML diagrams來說明，它是系統(tǒng)體系結(jié)構(gòu)的描述。 2001年，BITD開始了CORAS工程——安全危急系統(tǒng)的風(fēng)險分析平臺。利用建模技術(shù)在此主要有三個目的：第一，在合適的抽象層次描述評估目標(biāo)；第二，在風(fēng)險評估的不同群組中作為通信和交互的媒介；第三：記錄風(fēng)險評估結(jié)果和這些結(jié)果依賴的假設(shè)。 準(zhǔn)則和CORAS方法都使用了半形式化和形式化規(guī)范。然后，相對于CC準(zhǔn)則而言，CORAS為風(fēng)險評估提供方法學(xué)，開發(fā)了具體的技術(shù)規(guī)范來進(jìn)行安全風(fēng)險評估。 常見的弱點有三類： 識別弱點的途徑有很多，包括各種審計報告、事件報告、安全復(fù)查報告、系統(tǒng)測試及評估報告等，還可以利用專業(yè)機(jī)構(gòu)發(fā)布的列表信息，當(dāng)然，許多技術(shù)性和操作性弱點，可以借助自動化的漏洞掃描工具和滲透測試等方法來識別和評估。需要注意的是，弱點是威脅發(fā)生的直接條件，如果資產(chǎn)沒有弱點或者弱點很輕微，威脅源就很難利用其損害資產(chǎn)，哪怕它的能力多高動機(jī)多么強(qiáng)烈。什么是信息安全評估？關(guān)于這個問題，由于每個人的理解不同，可能有不同的答案。信息安全評估的作用信息安全評估具有如下作用：(1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。(2)確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險。(3)指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。主要的信息安全評估標(biāo)準(zhǔn)信息安全評估標(biāo)準(zhǔn)是信息安全評估的行動指南。它把計算機(jī)系統(tǒng)的安全分為4類、7個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。機(jī)密性就是保證沒有經(jīng)過授權(quán)的用戶、實體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng)。信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）由六個國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。CC標(biāo)準(zhǔn)是第一個信息技術(shù)安全評價國際標(biāo)準(zhǔn)，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個重要里程碑。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會對資產(chǎn)的價值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險，并抗擊威脅。BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。 BS7799包含10個控制大項、36個控制目標(biāo)和127個控制措施。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險評估實施步驟。在AS/NZS 4360:1999中，風(fēng)險管理分為建立環(huán)境、風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置、風(fēng)險監(jiān)控與回顧、通信和咨詢七個步驟。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。OCTAVE首先強(qiáng)調(diào)的是O—可操作性，其次是C—關(guān)鍵系統(tǒng)，也就是說，它最注重可操作性，其次對關(guān)鍵性很關(guān)注。國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。該準(zhǔn)則將信息系統(tǒng)安全分為5個等級：自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗證保護(hù)級。GB18336也是等同采用ISO 15408標(biāo)準(zhǔn)?，F(xiàn)有的信息安全評估標(biāo)準(zhǔn)主要采用定性分析法對風(fēng)險進(jìn)行分析，即通常采取安全事件發(fā)生的概率來計算風(fēng)險。目前的信息安全評估標(biāo)準(zhǔn)都不能對這些問題進(jìn)行定量分析，在沒有一個統(tǒng)一的信息安全評估標(biāo)準(zhǔn)的情況下，各家專業(yè)評估公司大多數(shù)是憑借各自積累的經(jīng)驗來解決。信息安全評估的市場前景隨著業(yè)界對于信息安全問題認(rèn)識的不斷深入，隨著信息安全體系的不斷實踐，越來越多的人發(fā)現(xiàn)信息安全問題最終都?xì)w結(jié)為一個風(fēng)險管理問題。照此計算，每年僅銀行的安全評估費用就超過幾個億。所以企業(yè)的信息安全評估是一個長期持續(xù)的工作，通常應(yīng)該每隔13年就進(jìn)行一次安全風(fēng)險評估。FRAP方法與風(fēng)險管理文章作者：董永樂文章來源：啟明星辰信息技術(shù)有限公司1　引言　　網(wǎng)絡(luò)使原本獨立的計算機(jī)系統(tǒng)相互連接構(gòu)成了全球網(wǎng)絡(luò)空間(Cyber這一方面整合了計算機(jī)資源與數(shù)據(jù)資源，另一方面也引入了新的風(fēng)險信息安全風(fēng)險。信息安全風(fēng)險管理針對信息安全風(fēng)險的三個關(guān)鍵元素：資產(chǎn)、脆弱性與威脅，從信息安全風(fēng)險的角度來衡量并保障連接在網(wǎng)絡(luò)上的信息系統(tǒng)的安全性?？梢哉J(rèn)為風(fēng)險評估在風(fēng)險管理過程的起點。FRAP方法是一種基于信息資產(chǎn)的半定量風(fēng)險分析方法。FRAP，簡稱TFRAP)。除了引言之外，第2小節(jié)簡單介紹了用到的案例項目的背景信息；第3小節(jié)簡要介紹FRAP和OCTAVE，并引入TFRAP方法；第4小節(jié)闡述TFRAP方法相對于FRAP方法所做的改進(jìn)以及如何利用TFRAP將信息系統(tǒng)生命周期與風(fēng)險管理過程結(jié)合在一起；最后給出了本文的結(jié)論。項目的甲方是客戶C，風(fēng)險評估的對象是客戶的應(yīng)用系統(tǒng)A，分布在全國各地?！　　∧繕?biāo)系統(tǒng)簡介　　在項目P中，應(yīng)用系統(tǒng)A包括16個子系統(tǒng)，主機(jī)操作系統(tǒng)類型主要有Windows系列、UNIX類操作系統(tǒng)（RedHatLinux，SCOServer，HTTP服務(wù)主要由MS系統(tǒng)A中的16個子系統(tǒng)由不同的軟件開發(fā)商開發(fā)，最后由一個總集成商集成在一起。這是一個典型的企業(yè)網(wǎng)絡(luò)?！　榱吮ＷC在這種約束條件下，評估結(jié)果能盡可能真實地反映目標(biāo)系統(tǒng)所面臨的風(fēng)險，需要改進(jìn)現(xiàn)有的方法。信息安全風(fēng)險評估方法的基本理論與模型是從業(yè)務(wù)風(fēng)險評估的理論與模型衍生而來。下面簡要介紹兩種方法。提取基于資產(chǎn)的威脅概況　　P1:確定運作管理層的認(rèn)識　　P3:建立威脅輪廓　　步驟確定基礎(chǔ)設(shè)施漏洞　　P5:評估選擇的組件　　步驟制訂安全策略和計劃　　P7:制訂保護(hù)策略　　　FRAP簡介　　FRAP是便利的風(fēng)險分析過程（FacilitatedAnalysis這是一種高效的，嚴(yán)格的過程方法，主要為了保證業(yè)務(wù)運營的信息安全相關(guān)風(fēng)險能得到考慮并歸檔。整個過程涵蓋技術(shù)、管理、運行三個方面的內(nèi)容。相對而言，F(xiàn)RAP方法更接近項目的要求?！　　〖夹g(shù)層面的風(fēng)險分析　　由于本項目要求僅從技術(shù)層面分析信息安全風(fēng)險，因此TFRAP略去了管理評估?！　　『?