【正文】 化的風險計算方法　　由于本項目沒有定義信息資產價值，因此所有的信息資產被認為是同等重要，這大大簡化了風險計算方法?！　?　方法的改進　　在簡要介紹了FRAP方法與OCTAVE過程后，我們結合風險管理的過程簡單地分析一下TFRAP對FRAP的主要改進?！　D1.　FRAP風險分析方法簡要流程　　如圖1所示，威脅分析直接影響風險分析的最終結果?！　　⊥{分析的不足　　FRAP方法面臨的最大問題就是難以控制威脅分析的結果與實際情況之間的偏差，顯然，這削減了基于資產、脆弱性、威脅三個關鍵元素進行風險綜合分析的結果的參考價值。如何從大量的威脅中選出真正能對目標系統產生影響的威脅非常困難。事件的參考定義如下：　　eventTarget[]　　attackVulnerability,Unauthorized　　表示攻擊是借助于工具，利用系統弱點，得到未授權結果的一起事件。:=attackers,objectives　　圖2.　icident,and　　威脅可視化　　從圖2中可知，事件分析的作用之一是把原本具有潛在性的威脅用可以觀察、可以比較的事件來表現?！　⊥{量化　　同樣，從圖2中可知，事件分析的作用之二是把原本不可量化的威脅用可以統計的事件來表現。　　加強風險控制措施的針對性　　同樣，從圖2中可知，事件分析的作用之三是使風險控制措施不再針對潛在的、難以量化的威脅，而是針對可以觀察、可以比較、可以量化的事件。此外，事件的級別與數量，弱點的嚴重程度與可達性都是影響風險控制措施的關鍵因素。從這個角度來看，風險控制措施的力度應該和事件的級別與數量成正比。它同樣在一定程度上反映了風險的可能性與大小?！　　⌒畔⑾到y建設過程中的風險管理　　引入事件分析的另一個好處是很容易把風險管理拓展到信息系統建設過程中，而非僅僅對已經建好的信息系統進行風險評估與控制。這3個階段之外還有系統的檢查與改進。然而，在可靠性論證階段的風險分析并不是信息系統本身要面臨的風險。在需求分析階段需要考慮如下幾方面：　　信息系統可能存在的缺陷或瑕疵引起的安全問題；　　信息系統的應用環(huán)境中可能存在的威脅；　　信息系統的使用者在安全意識方面可能存在不足；　　可能出現與信息系統相關的緊急事故。包括但不限于如下幾方面：　　安全功能需求　　安全管理需求　　安全服務需求　　　　　根據在需求分析階段得出的安全需求，在系統設計階段除了設計信息系統本身的結構、系統硬件平臺架構、協議體系、操作系統平臺、應用軟件框架、業(yè)務模型之外，還要設計風險控制措施?！　　　　≡谙到y實現階段需要并行完成信息系統本身的實現和信息安全保障系統的實現?！　　　　∵\行與維護階段開始之前必須檢查信息系統采用的軟、硬件系統的脆弱性并及時修補加固。在遇到沒有相應的成熟加固方案或者因為其它原因造成信息系統仍然存在脆弱性時，需要采取其它風險防范措施。風險評估則是風險管理的起點和基礎。具體來說，TFRAP相對于FRAP的主要改進體現在：　　減小威脅評估的偏差；　　根據風險評估的結果引入風險控制措施的決策原則；　　將風險管理過程映射到信息系統生命周期的不同階段。22:09:45文章來源：啟明星辰天闐入侵風險評估系統通過分布式的網絡掃描引擎定期對網絡和主機進行掃描，建立資產脆弱性分析數據庫，采用協同關聯分析技術，對入侵檢測系統實時報警事件進行對應性校驗，顯示入侵事件的風險分析和評估結果。天闐入侵風險評估系統是獨立的軟件系統，其作用發(fā)揮依賴如下系統的前期部署：※網絡漏洞掃描系統：報告主機狀態(tài)和漏洞分布，反映資產的脆弱性判斷入侵事件中的攻擊對象是否落入所關心的資產范圍之內。判斷該入侵事件影響的系統和目標資產的實際系統是否有對應性。判斷入侵事件針對的端口在目標資產上是否已經打開。判斷目標資產上是否具有入侵事件所針對的漏洞。根據以上的分析，給出入侵事件的風險分析和評估結果。通過設置，預先建立對資產主機、服務、系統信息和漏洞分布狀況的資料庫，為進行入侵事件的校驗做好準備。支持掃描策略靈活調整和擴展：提供強大的掃描策略編輯功能，對關聯分析掃描策略進行適應性調整。入侵風險評估報告：通過報告明確給出具體的入侵檢測事件信息、漏洞信息以及相應的關聯分析結果，報告可以輸出多種格式，如：WORD、PDF、HTML等。通過7+7屬性中的7個信息安全管理屬性分析等級保護工作在中辦發(fā)【2003】27號文和公通字【2004】66號文中，都明確將信息安全等級保護制度確定為我國開展信息安全保障工作的一項基本制度。本文提出了信息安全保障工作的7+7安全屬性，并通過對于其中的7個信息安全管理屬性來分析等級保護工作的實現思路。本文認為信息安全的屬性實際上是信息安全目標的抽象體現，而相關的信息安全措施的抽象體現就是信息安全機制。抽象的屬性附著在具體的系統或者實體上的時候，就成為一個具體系統的安全目標；而抽象的機制以某種方式具體實現，那么就是一個信息安全產品或者措施了。將CIA三性擴展為：保密性、完整性、可用性、真實性、不可否認性、可追究性、可控性等7個信息安全技術屬性（目標）。同時，從管理的角度看，還應當存在一些純管理的屬性，可以作為實施信息安全管理工作，實現“技術與管理并重”要求的參考目標。同樣，各種各樣的管理措施或者技術措施也會對于達成信息安全管理的屬性（目標）有幫助。下面結合等級保護工作，來分析闡述這些與信息安全管理屬性密切相關的原則、方法和建議。由于信息安全工作非常復雜，通過等級保護的思路，可以幫助機構明確保護的重點和適當的強度。為了明確恰當的安全目標，運用風險評估的方法是一個比較可行的途徑。二、執(zhí)行性原則也可稱為實效性原則。因此，等級保護工作并不是要將信息安全保障工作變得復雜，而是力圖將整個工作變得簡單明確，提高可操作性。用三觀論（宏觀、中觀、微觀）的思路分析整個工作的可執(zhí)行性是非常好的思路之一，也就是等級保護工作要貫穿宏觀的業(yè)務/價值層面、微觀的技術/實現（產品和服務）層面，以及中觀的管理/運營層面。三、效益性原則信息安全工作是做不到100%的。如果能夠合適地把握這個度，就需要等級保護工作中的“級別”來幫助。這其中實際上是要考慮投入產出的，投入的是人力、資金、資源、時間等等，產出的安全保障或者說安全問題損失的減小。要想能夠更好地把握效益性，通過實施風險評估和風險管理的理論和方法可以說是最佳實踐，再進一步可以引進RoI（投資回報）的分析方法。離開時間來闡述和分析安全問題是沒有意義的，是會有偏頗的。再比如：安全問題的一個非常根本的屬性就是潛在性，安全事件沒有發(fā)生之前都是潛在的隱性的，而當問題真的發(fā)生的時候，又需要在有限的時間內馬上解決，盡量避免更大的損失。在考慮等級保護的策劃和實施過程中，不能忽視時間因素，或者說時間因素應當作為一個重要的要素考慮在等級的確定和安全措施的要求上。五、適應性原則信息安全工作要面臨不斷變化的內外部環(huán)境，外部的威脅在變化，內部的組織結構在調整，自身的業(yè)務在發(fā)展，新的技術漏洞在不斷被發(fā)現，性能更高功能更強的安全產品在頻頻推出，等等。實際上，具體到一個入侵事件的處理，就是對于一個局部安全狀態(tài)變化的一個應變、調整。六、整體性原則信息安全保障工作，是不能夠僅僅通過局部的安全產品和服務等能力來實現的，必須有一個整體的部署和安排。等級保護給出了分析和構建信息安全整體框架的一個角度，這個角度就是等級。等級保護工作所體現的這種框架性、結構性和規(guī)劃性，不僅僅給我們帶來了信息安全保障工作的整體感，同時反而可以讓我們有可能有計劃地實現局部防護和分階段實施。再比如：一個機構可以分階段逐級提高系統的防護等級。這種要求的落實，就一定要體現在對于符合性的檢查上。借鑒國際標準ISO17799中對于符合性的描述思路：等級保護作為一項基本制度要從法規(guī)和標準的高度去理解并且遵守，等級保護工作中的定級和檢查工作要有適當的獨立性并受到保護，等級保護工作相關的資料也要注意保密并受到保護，等級保護工作自身也不能過當。比如，在風險評估的過程中，針對7+7屬性進行評估，在傳統的CIA三性之外，能夠給出更加具體和細化的安全要求和定級依據。再比如，根據等級進行技術措施和管理措施的選擇和組合的時候，可以更加清晰地分析不同的措施對于7+7這不同的安全目標的滿足程度和支持程度；仿照國際上ISO133354和NIST一個機構、單位、地區(qū)、行業(yè)如果能夠在落實等級保護工作的過程中，參考、借鑒上面這七個信息安全管理屬性所對應的原則，相信一定可以更好地幫助把握等級保護工作的精