信息安全管理

（第二版）

授課內容：信息安全風險評估

信息安全管理Informationsecuritymanagement第3章信息安全風險評估3.1概述3.2信息安全風險評估策略3.3信息安全風險評估流程3.4信息安全風險評估方法3.5風險評估案例3.6本章小結3.7習題從一個故事開始認識“風險”3.1 概述

故事梗概傻根在外地打工掙了錢，隨身攜帶著10萬元錢坐上了一輛混雜著很多小偷的長途火車回家。傻根把錢就放在了普通的布質書包里。傻根沒有坐軟臥包廂，而是坐在擠滿了上百人的硬座車廂。有時候累了，就坐著打個瞌睡。一路上，葛優等小偷團伙頻頻出手，嘗試著偷這10萬元錢。但是在好心人劉德華和劉若英等的保護下，葛優等小偷團伙未能得逞。好險啊，如果這錢被偷走了，傻根就娶不上媳婦了。天下無賊？3.1 概述資產（asset）

------對組織具有價值的任何東西

[ISO/IECTR13335-1：2004]概念威脅（

threat）

------可能導致對系統或組織損害的不希望事故潛在起因

[ISO/IECTR13335-1：2004]脆弱性（vulnerability）（也稱脆弱點、漏洞）

------可能會被威脅所利用的資產或若干資產的弱點

[ISO/IECTR13335-1：2004]3.1 概述風險管理（

riskmanagement）------在風險方面指揮或控制一個組織的協調活動，一般包括風險評估、風險處理、風險接受和風險傳遞

[ISOGuide73：2002]風險（

risk）

------事件的概率及其結果的組合

[ISOGuide73：2002]風險評價（riskevaluation）------對照風險準則比較被估計的風險，以確定風險嚴重性的過程

[ISOGuide73：2002]概念3.1 概述信息安全風險信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。風險值=資產價值×威脅可能性×脆弱性嚴重性（簡單理解）3.1 概述對信息和信息處理設施的威脅、影響(Impact，指安全事件所帶來的直接和間接損失)和脆弱性及三者發生的可能性的評估。3.1 概述風險評估（RiskAssessment）故事分析

在火車開動到停止這段時間內，綜合資產、脆弱性、威脅和安全措施等各方面因素進行風險評估的結果是：因為10萬元錢不是一筆小數目（資產），葛優等小偷能力很強且決心堅決（威脅），且傻根對錢的保管手段（技術）和意識（管理）都不足（脆弱性），差一點發生“娶不上媳婦”這樣的結果（風險）。因好心人劉德華和劉若英等的保護到位（安全措施），最終錢保住了（風險消減）。3.1 概述以風險為核核心的安全全模型（ISO13335）風險安全措施信息資產威脅脆弱性安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足3.1概述信息安全風風險評估的的意義和作作用信息安全中中的風險評評估是傳統統的風險理理論和方法法在信息系系統中的運運用，是科科學地分析析和理解信信息與信息息系統在保保密性、完完整性、可可用性等方方面所面臨臨的風險，，并在風險險的減少、、轉移和規規避等風險險控制方法法之間做出出決策的過過程。風險評估將將導出信息息系統的安安全需求，，因此，所所有信息安安全建設都都應該以風風險評估為為起點。信信息安全建建設的最終終目的是服服務于信息息化，但其其直接目的的是為了控控制安全風風險。只有在正確確、全面地地了解和理理解安全風風險后，才才能決定如如何處理安安全風險，，從而在信信息安全的的投資、信信息安全措措施的選擇擇、信息安安全保障體體系的建設設等問題中中做出合理理的決策。。持續的風險險評估工作作可以成為為檢查信息息系統本身身乃至信息息系統擁有有單位的績績效的有力力手段，風風險評估的的結果能夠夠供相關主主管單位參參考，并使使主管單位位通過行政政手段對信信息系統的的立項、投投資、運行行產生影響響，促進信信息系統擁擁有單位加加強信息安安全建設。。3.1概述3.1概概述3.1.1信息安全風風險評估相相關要素信息安全風風險評估的的對象是信信息系統，，信息系統統的資產、、信息系統統可能面對對的威脅、、系統中存存在的弱點點（脆弱性性）、系統統中已有的的安全措施施等是影響響信息安全全風險的基基本要素，，它們和安安全風險、、安全風險險對業務的的影響以及及系統安全全需求等構構成信息安安全風險評評估的要素素。1.資產根據ISO/IEC13335-1,資產是指任任何對組織織有價值的的東西，資資產包括：：物理資產產、信息/數據、軟軟件、提供供產品和服服務的能力力、人員、、無形資產產。《信息安全風風險評估規規范》——資產是指對對組織具有有價值的信信息資源，，是安全策策略保護的的對象。以以多種形式式存在，有有無形的、、有形的，，有硬件、、軟件，有有文檔、代代碼，也有有服務、形形象等。根根據資產的的表現形式式，可將資資產分為數數據、軟件件、硬件、、文檔、服服務、人員員等類。3.1概概述2.威脅威脅是可能能對資產或或組織造成成損害的潛潛在原因。。威脅有潛潛力導致不不期望發生生的事件發發生，該事事件可能對對系統或組組織及其資資產造成損損害。這些些損害可能能是蓄意的的對信息系系統和服務務所處理信信息的直接接或間接攻攻擊。也可可能是偶發發事件。根據威脅源源的不同，，威脅可分分為：自然威脅、、環境威脅脅、系統威威脅、人員員威脅3.脆弱性脆弱性是一一個或一組組資產所具具有的，可可能被威脅脅利用對資資產造成損損害的薄弱弱環節。4.風險根據ISO/IEC13335-1，信息安全全風險是指指威脅利用用利用一個個或一組資資產的脆弱弱性導致組組織受損的的潛在，并并以威脅利利用脆弱性性造成的一一系列不期期望發生的的事件（或或稱為安全全事件）體體現3.1概概述5.影響影響是威脅脅利用資產產的脆弱性性導致不期期望發生事事件的后果果。這些后后果可能表表現為直接接形式，如如物理介質質或設備的的破壞、人人員的損傷傷、直接接的資金損損失等；也也可能表現現為間接的的損失如公公司信用、、形象受損損、市場分分額損失、、法律責任任等。6.安全措施施安全措施施是指為為保護資資產、抵抵御威脅脅、減少少脆弱性性、限制制不期望望發生事事件的影影響、加加速不期期望發生生事件的的檢測及及響應而而采取的的各種實實踐、規規程和機機制的總總稱。7.安全需求求安全需求求是指為為保證組組織業務務戰略的的正常運運作而在在安全措措施方面面提出的的要求。。3.1概概述3.1.2信息安全全風險評評估信息安全全風險評評估是指指依據有有關信息息安全技技術與管管理標準準，對信信息系統統及由其其處理、、傳輸和和存儲的的信息的的機密性性、完整整性和可可用性等等安全屬屬性進行行評價的的過程。。3.1.3風險要素素相互間間的關系系資產、威威脅、脆脆弱性是是信息安安全風險險的基本本要素與與信息安安全風險險有關的的要素還還包括：：安全措措施、安安全需求求、影響響等。ISO/IEC13335-1對它們之之間的關關系描述述如圖2-1所示3.1概概述《信息安全全風險評評估規范范》GB/T20984對ISO/IEC13335-1提出風險險要素關關系模型型進行了了擴展我國提出出的信息息風險要要素關系系圖3.2信信息安安全風險險評估策策略3.2.1基線風險險評估要求組織織根據自自己的實實際情況況（所在在行業、、業務環環境與性性質等）），對信信息系統統進行基基線安全全檢查（（將現有的的安全措措施與安安全基線線規定的的措施進進行比較較，找出出其中的的差距），得出出基本的的安全需需求，通通過選擇擇并實施施標準的的安全措措施來消消減和控控制風險險。可以根據據以下資資源來選選擇安全全基線：：(1)國際標準準和國家家標準(2)行業標準準或推薦薦(3)來自其他他有類似似商務目目標和規規模的組組織的慣慣例3.2信信息安安全風險險評估策策略基線評估估的優點點是：(1)風險分析析和每個個防護措措施的實實施管理理只需要要最少數數量的資資源，并并且在選選擇防護護措施時時花費更更少的時時間和努努力(2)如果組織織的大量量系統都都在普通通環境下下運行并并且如果果安全需需要類似似，那么么很多系系統都可可以采用用相同或或相似的的基線防防護措施施而不需需要太多多的努力力基線評估估的的缺缺點是：：(1)基線水平平難以設設置(2)風險評估估不全面面、不透透徹，且且不易處處理變更更3.2信信息安安全風險險評估策策略3.2.2詳細風險險評估詳細風險險評估要要求對資資產、威威脅和脆脆弱性進進行詳細細識別和和評價，，并對可可能引起起風險的的水平進進行評估估通過不期期望事件件的潛在在負面業業務影響響評估和和他們發發生的可可能性來來完成。。根據風險險評估的的結果來來識別和和選擇安安全措施施，將風風險降低低到可接接受的水水平詳細評估估的優點點是：(1)有可能為為所有系系統識別別出適當當的安全全措施(2)詳細分析析的結果果可用于于安全變變更管理理。詳細評估估的缺點點：需要更多多的時間間、努力力和專業業知識3.2信信息安安全風險險評估策策略3.2.3綜合風險險評估基線風險險評估耗耗費資源源少、周周期短、、操作簡簡單，但但不夠準準確，適適合一般般環境的的評估詳細風險險評估準準確而細細致，但但耗費資資源較多多，適合合嚴格限限定邊界界的較小小范圍內內的評估估實踐中，，多采用用二者結結合的綜綜合評估估方式3.3信信息安安全風險險評估流流程3.3.1風險評估估流程概概述風險評估估四個階階段:階段1:評估準備備階段2:風險識別別階段3:風險評價價階段4:風險處理理3.3信信息安安全風險險評估流流程3.3.2風險評估估的準備備風險評估估的準備備是整個個風險評評估過程程有效性性的保證證包括：1．確定風風險評估估目標2．確定風風險評估估的對象象和范圍圍3．組建團團隊。組建適當當的風險險評估管管理與實實施團隊隊，以支支持整個個過程的的推進4．選擇方方法應考慮評評估的目目的、范范圍、時時間、效效果、人人員素質質等因素素來選擇擇具體的風險判判斷方法法，使之之能夠與與組織環環境和安安全要求求相適應應。5．獲得支支持6．準備相相關的評評估工具具3.3信信息安安全風險險評估流流程3.3.3資產識別別與評估估1．資產識識別資產識別別是風險險識別的的必要環環節。資資產識別別的任務務就是對對確定的的評估對對象所涉涉及或包包含的資資產進行行詳細的的標識資產識別別過程中中要特別別注意無無形資產產的遺漏漏，同時時還應注注意不同同資產間間的相互互依賴關關系，關關系緊密密的資產產可作為為一個整整體來考考慮，同同一中類類型的資資產也應應放在一一起考慮慮。資產識別別方法:訪談、現現場調查查、問卷卷、文檔檔查閱3.3信信息安安全風險險評估流流程2．資產評評估資產的評評價是對對資產的的價值或或重要程程度進行行評估，，資產本本身的貨貨幣價值值是資產產價值的的體現，，但更重重要的是是資產產對對組組織織關關鍵鍵業業務務的的順順利利開開展展乃乃至至組組織織目目標標實實現現的的重重要要程程度度。由由于于多多數數資資產產不不能能以以貨貨幣幣形形式式的的價價值值來來衡衡量量，，資資產產評評價價很很難難以以定定量量的的方方式式來來進進行行，，多數數情情況況下下只只能能以以定定性性的的形形式式，，依依據據重重要要程程度度的的不不同同劃劃分分等等級級定性性：：非常常重重要要→→重重要要→→比比較較重重要要→→不不太太重重要要→→不不重重要要（（5級劃劃分分）定量量：：54321信息息資資產產的的機密密性性、、完完整整性性、、可可用用性性、、可可審審計計性性和和不不可可抵抵賴賴性性等是是評評價價資資產產的的安安全全屬屬性性可以以先分分別別對對資資產產在在以以上上各各方方面面的的重重要要程程度度進進行行評評估估，然然后后通通過過一一定定的的方方法法進行行綜綜合合,可得得資資產產的的綜合合價價值值2.資產產評評估估資產產價價值值應應依依據據資資產產在保保密密性性、、完完整整性性和和可可用用性性上上的的賦賦值值等等級級，經經過過綜綜合合評評定定得得出出電子子信信息息資資產產紙介介資資產產軟件件資資產產物理理資資產產人員員服務務性性資資產產公司司形形象象和和名名譽譽3.3信息息安安全全風風險險評評估估流流程程2.資產產評評估估資產產價價值值應應依依據據資資產產在保保密密性性、、完完整整性性和和可可用用性性上上的的賦賦值值等等級級，經過綜合評評定得出最大原則：取取5個屬性中最大大的那個屬性性賦值作為綜綜合評價值VA=Max(VAc,VAi,VAa,VAac,VAn)加權原則：根根據屬性保護護對業務開展展影響賦權重重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3信息安全風險險評估流程2.資產評估《信息安全風險險評估規范》GB/T20984推薦方法：首先，對資產產的機密性、、完整性、可可用性定性賦賦值其次，用一定定方法進行綜綜合，基本屬屬于最大原則則機密性賦值表表2-3（P28）完整性賦值表表2-4（P29）資產可用性賦賦值表2-5（P29）對關鍵資產進進行風險評估估是重點3.3信息安全風險險評估流程2.資產評估3.3信息安全風險險評估流程賦值標識定義5很高包含組織最重要的秘密，關系未來發展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設備和系統資源等資產機密性賦賦值表《信息安全風險險評估規范》GB/T209842.資產評估3.3信息安全風險險評估流程資產完整性賦賦值表賦值標識定義5很高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，難以彌補4高完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業務沖擊嚴重，較難彌補3中等完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業務沖擊明顯，但可以彌補2低完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，對業務沖擊輕微，容易彌補1很低完整性價值非常低，未經授權的修改或破壞對組織造成的影響可以忽略，對業務沖擊可以忽略《信息安全風險險評估規范》GB/T209842.資產評估3.3信息安全風險險評估流程資產可用性賦賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統的可用度達到年度99.9%以上，或系統不允許中斷4高可用性價值較高，合法使用者對信息及信息系統的可用度達到每天90%以上，或系統允許中斷時間小于10min3中等可用性價值中等，合法使用者對信息及信息系統的可用度在正常工作時間達到70%以上，或系統允許中斷時間小于30min2低可用性價值較低，合法使用者對信息及信息系統的可用度在正常工作時間達到25%以上，或系統允許中斷時間小于60min5很高可用性價值非常高，合法使用者對信息及信息系統的可用度達到年度99.9%以上，或系統不允許中斷《信息安全風險險評估規范》GB/T209842.資產評估3.3信息安全風險險評估流程資產等級及含含義描述等級標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計《信息安全風險險評估規范》GB/T209843.3 信息息安全風險評評估流程3.3.4威脅識別與評評估1．威脅識別威脅識別的任任務是對組織織資產面臨的的威脅進行全全面的標識威脅識別可從從威脅源進行行分析，也可可根據有關標標準、組織所所提供的威脅脅參考目錄進進行分析。如威脅樹（P30）系統故障威威脅樹（P31）2．威脅評估安全風險的大大小是由安全全事件發生的的可能性以及及它造成的影影響決定，安安全事件發生生的可能性與與威脅出現的的頻率有關，，而安全事件件的影響則與與威脅的強度度或破壞能力力有關威脅評估就是是對威脅出現現的頻率及強強度進行評估估，這是風險險評估的重要要環節評估者應根據據經驗和（或或）有關的統統計數據來分分析威脅出現現的頻率及其其強度或破壞壞能力威脅評估的通通用方法為威脅列表中中的全部可賦賦值威脅類進進行賦值3.3信息安全風險險評估流程等級標識定義5很高出現的頻率很高（或≥1次/周）；或在大多數情況下幾乎不可避免；或可以證實經常發生過4高出現的頻率較高（或≥1次/月）；或在大多數情況下很有可能會發生；或可以證實多次發生過3中出現的頻率中等（或>1次/半年）；或在某種情況下可能會發生；或被證實曾經發生過2低出現的頻率較小；或一般不太可能發生；或沒有被證實發生過1很低威脅幾乎不可能發生，僅可能在非常罕見和例外的情況下發生威脅賦值表《信息安全風險險評估規范》GB/T20984威脅評估的通通用方法判斷威脅出現現的頻率是威威脅賦值的重重要內容，應應根據經驗和和（或）有關關的統計數據據來進行判斷斷。需要綜合合考慮以下三三個方面，以以形成在某種種評估環境中中各種威脅出出現的頻率：：--以往安全事件件報告中出現現過的威脅及及其頻率的統統計；--實際環境中通通過檢測工具具以及各種日日志發現的威威脅及其頻率率的統計；--近一兩年來國國際組織發布布的對于整個個社會或特定定行業的威脅脅及其頻率統統計，以及發發布的威脅預預警。為簡化后續的的風險計算過過程，避免不不必要的計算算工作，僅采采用TOP5或者TOP10威脅參與風險險計算3.3信息安全風險險評估流程威脅舉例3.3信息安全風險險評估流程外部威脅發展展網絡欺騙或訛訛詐感染惡意代碼碼泄露重要信息息手機攻擊網絡仿冒網頁篡改網頁惡意代碼垃圾郵件拒絕服務攻擊病毒蠕蟲木馬3.3信息安全風險險評估流程3.3 信息息安全風險評評估流程3.3.5脆弱性識別與與評估1．脆弱性識別別也稱為弱點識識別。弱點是是資產本身存存在的，如果果沒有相應的的威脅發生，，單純的弱點點本身不會對對資產造成損損害。而且如如果系統足夠夠強健，再嚴嚴重的威脅也也不會導致安安全事件，并并造成損失。。即,威脅總是要利利用資產的脆脆弱性才可能能造成危害脆弱性識別時時的數據應來來自于資產的的所有者、使使用者，以及及相關業務領領域和軟硬件件方面的專業業人員等脆弱性識別所所采用的方法法主要有：問卷調查、工工具檢測、人人工核查、文文檔查閱、滲滲透性測試等等3.3 信息息安全風險評評估流程3.3.5脆弱性識別與與評估1．脆弱性識別別脆弱性識別主主要從技術和和管理兩個方方面進行技術脆弱性涉涉及物理層、、網絡層、系系統層、應用用層等各個層層面的安全問問題管理脆弱性又又可分為技術術管理和組織織管理兩方面面，前者與具具體技術活動動相關，后者者與管理環境境相關1．脆弱性識別別類型識別對象識別內容技術脆弱性網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別系統軟件從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別應用中間件從協議安全、交易完整性、數據完整性等方面進行識別應用系統從審計機制、審計存儲、訪問控制策略、數據完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術管理從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性等方面進行識別組織管理從安全策略、組織安全、資產分類與控制、人員安全、符合性等方面進行識別3.3信息安全風險險評估流程脆弱性識別內內容表3.3 信息息安全風險評評估流程2.脆弱性評估對脆弱性被利利用后對資產產損害程度、技術實現的的難易程度、、弱點流行程程度進行評估估，評估的結結果一般都是是定性等級劃劃分形式，綜綜合的標識脆脆弱性的嚴重重程度。也可對脆弱性性被利用后對對資產的損害害程度以及被被利用的可能能性分別評估估，然后以一一定方式綜合合。若多個脆弱性性反映同一個個問題，應綜綜合考慮這些些脆弱性，確確定該類脆弱弱性嚴重程度度脆弱性評估3.3信息安全風險險評估流程等級標識定義5很高如果被威脅利用，將對資產造成完全損害。4高如果被威脅利用，將對資產造成重大損害。3中等如果被威脅利用，將對資產造成一般損害。2低如果被威脅利用，將對資產造成較小損害。1很低如果被威脅利用，將對資產造成的損害可以忽略。脆弱性嚴重程程度賦值表脆弱性嚴重程程度可以進行行等級化處理理，不同的等等級分別代表表資產脆弱性性嚴重程度的的高低。等級級數值越大，，脆弱性嚴重重程度越高《信息安全風險險評估規范》GB/T209843.3 信息息安全風險評評估流程3.3.6已有安全措施施的確認安全措施可以以分為預防性安全措措施和保護性安全措措施兩種預防性安全措措施可以降低低威脅利用脆脆弱性導致安安全事件發生生的可能性，，如入侵檢測測系統通過兩個方面面的作用來實實現（1）減少威脅出出現的頻率，，如通過立法法或健全制度度加大對員工工惡意行為的的懲罰，可以以減少員工故故意行為威脅脅出現的頻率率，通過安全全培訓可以減減少無意行為為導致安全事事件出現的頻頻率；（2）減少脆弱性性，如及時為為系統打補丁丁、對硬件設設備定期檢查查能夠減少系系統的技術脆脆弱性等。保護性安全措措施可以減少少因安全事件件發生后對組組織或系統造造成的影響。。3.3信信息安全風風險評估流流程3.3.6已有安全措措施的確認認對已采取的的安全措施施進行確認認，至少有有兩個方面面的意義（1）有助于對當當前信息系統統面臨的風險險進行分析（2）通過對當前前安全措施的的確認，分析析其有效性，，對有效的安安全措施繼續續保持，以避避免不必要的的工作和費用用，防止安全全措施的重復復實施3.3 信息息安全風險評評估流程3.3.7風險分析風險分析就是是利用資產、、威脅、脆弱弱性識別與評評估結果以及及對已有安全全措施確認后后，采用適當當的方法與工工具確定威脅利用用脆弱性導致致安全事件發發生的可能性性。綜合安全事事件所作用的的資產價值及及脆弱性的嚴嚴重程度，判斷安全事件件造成的損失失對組織的影影響，即安全全風險3.3信息安全風險險評估流程3.3.7風險分析1．風險計算如前所述，風風險可形式化化的表示為R=(A,T,V)，其中R表示風險、A表示資產、T表示威脅、V表示脆弱性。。相應的風險險值由A、T、V的取值決定，，是它們的函函數，可以表表示為：風險值=R（（A，T，V）=R(L(T，V)，F(Ia，Va))Va表示脆弱弱性嚴重程度度；L表示威脅利利用資產的脆脆弱性導致安安全事件發生生的可能性；；F表示安全事事件發生后產產生的損失3.3信息安全風險險評估流程3.3.7風險分析1．風險計算三個關鍵計算算環節：a）計算安全事事件發生的可可能性根據威脅出現現頻率及弱點點的狀況，計計算威脅利用用脆弱性導致致安全事件發發生的可能性性，即：安全事件發生生的可能性=L(威脅出現頻率率，脆弱性)=L(T，V)在具體評估中中，應綜合攻攻擊者技術能能力（專業技技術程度、攻攻擊設備等））、脆弱性被被利用的難易易程度（可訪訪問時間、設設計和操作知知識公開程度度等）、資產產吸引力等因因素來判斷安安全事件發生生的可能性。。3.3信息安全風險險評估流程3.3.7風險分析1．風險計算三個關鍵計算算環節：b）計算安全全事件發生后后的損失根據資產價值值及脆弱性嚴嚴重程度，計計算安全事件件一旦發生后后的損失，即即：安全事件的損損失=F(資資產價值，脆脆弱性嚴重程程度)=F(Ia，Va)部分安全事件件的發生造成成的損失不僅僅僅是針對該該資產本身，，還可能影響響業務的連續續性；不同安安全事件的發發生對組織造造成的影響也也是不一樣的的。在計算某某個安全事件件的損失時，，應將對組織織的影響也考考慮在內。對發生可能性性極小的安全全事件，可以以不計算其損損失3.3信息安全風險險評估流程3.3.7風險分析1．風險計算三個關鍵計算算環節：c）計算風險值根據計算出的的安全事件發發生的可能性性以及安全事事件的損失，，計算風險值值，即：風險值=R(安全事件發生生的可能性，，安全事件造造成的損失)=R(L(T，V)，F(Ia，Va))可根據自身情情況選擇相應應的風險計算算方法計算風風險值，如矩矩陣法或相乘乘法。矩陣法通過構構造一個二維維矩陣，形成成安全事件發發生的可能性性與安全事件件的損失之間間的二維關系系相乘法通過構構造經驗函數數，將安全事事件發生的可可能性與安全全事件的損失失進行運算得得到風險值。。3.3 信息息安全風險評評估流程2．影響分析安全事件對組組織的影響可可體現在以下下方面：直接經濟損失失、物理資產產的損壞、業業務影響、法律責任、人人員安全危害害、信譽（形形象）損失上述損失有些些容易定量表表示，有些則則很難3．可能性分析析安全事件發生生的可能性的的因素有：資產吸引力、、威脅出現的的可能性、脆弱性的屬性性、安全措施施的效能等。。根據威脅源的的分類，引起起安全事件發發生的原因可可能自然災害、環環境及系統威威脅、人員無意行為為、人員故意意行為等不同類型的安安全事件，其其可能性影響響因素也有點點不同3.3 信息息安全風險評評估流程4.風險結果判定定為實現對風險險的控制與管管理，可以對對風險評估的的結果進行等等級化處理。。可以將風險險劃分為五級級，等級越高高，風險越高高根據所采用的的風險計算方方法，計算每每種資產面臨臨的風險值根據風險值的的分布狀況，，為每個等級級設定風險值值范圍，并對對所有風險計計算結果進行行等級處理。。每個等級代表表了相應風險險的嚴重程度度等級標識描述5很高一旦發生將產生非常嚴重的經濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經營，經濟損失重大、社會影響惡劣4高一旦發生將產生較大的經濟或社會影響，在一定范圍內給組織的經營和組織信譽造成損害3中等一旦發生會造成一定的經濟、社會或生產經營影響，但影響面和影響程度不大2低一旦發生造成的影響程度較低，一般僅限于組織內部，通過一定手段很快能解決1很低一旦發生造成的影響幾乎不存在，通過簡單的措施就能彌補風險等級劃分分表3.3 信息息安全風險評評估流程3.3.8安全措施的選選取風險評估的目目的不僅是獲獲取組織面臨臨的有關風險險信息，更重重要的是采取取適當的措施施將安全風險險控制在可接接受的范圍內內。安全措施可以以降低安全事事件造成的影影響，也可以以降低安全事事件發生的可可能性，在對對組織面臨的的安全風險有有全面認識后后，應根據風風險的性質選選取合適的安安全措施，并并對對可能的的殘余風險進進行分析，直直到殘余風險險為可接受風風險為止。3.3 信息息安全風險評評估流程3.3.9風險評評估文文件記記錄風險評評估文文件包包括在在整個個風險險評估估過程程中產產生的的評估估過程程文檔檔和評評估結結果文文檔，，這些些文檔檔包括括：(1)風險評評估方方案(2)風險評評估程程序(3)資產識識別清清單(4)重要資資產清清單(5)威脅列列表(6)脆弱性性列表表(7)已有安安全措措施確確認表表(8)風險評評估報報告(9)風險處處理計計劃(10)風險評評估記記錄3.3信信息安安全風風險評評估流流程3.3.10信息系系統生生命周周期各各階段段評估估風險評評估應應貫穿穿于信信息系系統生生命周周期的的各階階段中中信息系系統生生命周周期各各階段段中涉涉及的的風險險評估估的原原則和和方法法是一一致的的，但但由于于各階階段實實施的的內容容、對對象、、安全全需求求不同同，使使得風風險評評估的的對象象、目目的、、要求求等各各方面面也有有所不不同。。規劃設設計階階段，，通過過風險險評估估以確確定系系統的的安全全目標標；建設驗驗收階階段，，通過過風險險評估估以確確定系系統的的安全全目標標達成成與否否；運行維維護階階段，，要不不斷地地實施施風險險評估估以識識別系系統面面臨的的不斷斷變化化的風風險和和脆弱弱性，，從而而確定定安全全措施施的有有效性性，確確保安安全目目標得得以實實現。。每個階階段風風險評評估的的具體體實施施應根根據該該階段段的特特點有有所側側重有條件件時，，應采采用風風險評評估工工具開開展風風險評評估活活動3.3信信息安安全風風險評評估流流程3.3.10信息系系統生生命周周期各各階段段評估估規劃階階段的的風險險評估估（詳詳見GB/T20984—2007）設計階段的的風險評估估（詳見GB/T20984—2007）實施階段的的風險評估估（詳見GB/T20984—2007）運行維護階階段的風險險評估（詳詳見GB/T20984—2007）廢棄階段的的風險評估估（詳見GB/T20984—2007）3.3信信息安全風風險評估流流程3.3.11風險評估的的工作形式式分為自評估估和檢查評評估兩種形形式。信息息安全風險險評估應以以自評估為為主，自評評估和檢查查評估相結結合、互為為補充自評估是指信息系系統擁有、、運營或使使用單位發發起的對本本單位信息息系統進行行的風險評評估自評估應在在本標準的的指導下，，結合系統統特定的安安全要求進進行實施周期性進行行的自評估估可以在評評估流程上上適當簡化化，重點考考察自上次次評估后系系統發生變變化后引入入的新威脅脅，以及系系統脆弱性性的完整識識別，以便便于兩次評評估結果的的對比但系統發生生重大變更更時，應依依據本標準準進行完整整的評估3.3信信息安全風風險評估流流程3.3.11風險評估的的工作形式式分為自評估估和檢查評評估兩種形形式。信息息安全風險險評估應以以自評估為為主，自評評估和檢查查評估相結結合、互為為補充檢查評估是指信息系系統上級管管理部門組組織或國家家有關職能能部門依法法開展的風風險評估。。檢查評估可可依據本標標準的要求求，實施完完整的風險險評估過程程。檢查評估也也可在自評評估實施的的基礎上，，對關鍵環環節或重點點內容實施施抽樣評估估3.3信信息安全風風險評估流流程3.3.11風險評估的的工作形式式檢查評估包括以下內內容a）自評估隊隊伍及技術術人員審查查；b）自評估方方法的檢查查；c）自評估過過程控制與與文檔記錄錄檢查；d）自評估資資產列表審審查；e）自評估威威脅列表審審查；f）自評估脆脆弱性列表表審查；g）現有安全全措施有效效性檢查；；h）自評估結結果審查與與采取相應應措施的跟跟蹤檢查；；i）自評估技技術技能限限制未完成成項目的檢檢查評估；；j）上級關注注或要求的的關鍵環節節和重點內內容的檢查查評估；k）軟硬件維維護制度及及實施管理理的檢查；；l）突發事件件應對措施施的檢查；；3.4信信息安全風風險評估方方法3.4.1概述信息安全風風險評估是是通過采用用一定的方方法對組織織面臨的風風險進行識識別，并分分析風險對對組織帶來來的影響以以及其發生生的可能性性大小，然然后通過一一定的綜合合評價方法法來評估組組織面臨的的風險，并并選取適當當的措施來來控制風險險。風險評評估的復雜雜性決定了了風險評估估方法的多多樣性。從理論上看看，風險評評估方法的的理論基礎礎包括：概概率風險分分析方法、、模糊決策策方法、人人工智能、、定性推理理方法、灰灰色決策理理論、綜合合評價方法法等。從風險評估估過程整體體上看，風風險評估方方法有：基基于資產驅驅動的風險險評估方法法、威脅驅驅動的風險險評估方法法、脆弱性性驅動的風風險評估方方法、基于于案例的風風險評估方方法等。從風險分析析方法來看看，風險評評估方法可可分為兩大大類：定量量方法與定定性方法。。3.4信信息安全風風險評估方方法3.4.2信息安全風風險評估理理論基礎1.概率風險分分析概率風險分分析方法的的思想是利利用概率論論方法來識識別和分析析風險，這這類方法主主要包括：：故障樹分分析法（FTA），故障模模式影響和和危害程度度分析方法法（FMECA），危害及及可操作性性研究分析析方法（HazOp）和Markov分析法。2.模糊決策方方法風險評估的的對象以及及信息系統統的狀態具具有不確定定性，經典典的數學模模型由于其其精確性特特點使得它它很難很好好的把握問問題的實質質，模糊決決策方法填填補了這方方面的不足足。模糊決策理理論不是把把問題變成成模糊不清清的東西，，相反，它它具有數學學的共性：：條理分明明、一絲不不茍，它是是通過規范范化的理論論體系來描描述模糊的的對象，使使模糊對象象能清晰的的呈現在決決策者面前前，這是經經典的數學學理論所不不能做到的的。3.4信信息安全風風險評估方方法3.人工智能人工智能是是20世紀中期產產生的并正正在迅速發發展的新興興邊緣學科科,它是探索和和模擬人的的智能和思思維過程的的規律,并進而設計計出類似人人的某些智智能化的科科學。信息系統狀狀態變化規規律的復雜雜性決定了了很難用一一確定的數數學模型來來描述，應應綜合神經經網絡、智智能推理，，知識庫等等多方面知知識，建立立一個具有有自學習能能力的專家家系統，目目前基于案案例的風險險評估方法法就是這一一理論的具具體應用。。6.灰色系統理理論部分信息已已知、部分分信息未知知的系統稱稱為灰色系系統。灰色色系統理論論是研究和和解決灰色色系統分析析、建模、、預測和控控制的理論論。在信息息世界，由由于數據的的短缺或事事物本身的的特性，很很多現象是是“灰色””的，其意意義是指其其中含有已已知的、未未知的與非非確定的種種種信息。。3.4信信息安全風風險評估方方法7.綜合評價方方法信息安全風風險評估對對象是多指指標的復雜雜系統，對對于多指標標系統，評評價指標有有多個，不不同指標有有不同的量量綱，多指指標系統的的評價過程程中必須解解決以下兩兩個問題：：其一是采采用什么方方法將不同同量綱指標標無量綱化化，其二是是采用何種種方式確定定不同指標標的相對重重要性，通通常是引入入權向量來來描述。不不同綜合評評價方法有有不同的處處理方法，，常用的綜綜合評價方方法有綜合合指數法、、功效評分分法、TOPSIS法、、層層次次分分析析法法、、主主成成份份分分析析法法、、聚聚類類分分析析法法等等(1)綜合合指指數數法法是是多多指指標標系系統統的的一一種種評評價價方方法法。。綜綜合合指指數數法法通通過過計計算算各各評評價價對對象象對對每每個個指指標標折折算算指指數數值值來來實實現現不不同同指指標標值值的的無無量量綱綱化化，，并并通通過過加加權權平平均均方方法法計計算算綜綜合合指指數數值值3.4信信息息安安全全風風險險評評估估方方法法(2)功效效評評分分法法通通過過功功效效系系數數來來實實現現不不同同指指標標的的無無量量綱綱化化，，然然后后在在利利用用其其他他方方法法來來確確定定功功效效權權值值，，如如均均權權法法、、層層次次分分析析法法、、離離差差權權法法等等。。(3)TOPSIS法3.4信信息息安安全全風風險險評評估估方方法法3.4信信息息安安全全風風險險評評估估方方法法(4)層次次分分析析法法是是將將決決策策問問題題的的有有關關元元素素分分解解成成目目標標、、準準則則、、方方案案等等層層次次，，在在此此基基礎礎上上進進行行定定量量和和定定性性分分析析的的一一種種決決策策方方法法。。層層次次分分析析法法的的決決策策過過程程如如下下：：a)分析析各各影影響響因因素素間間的的關關系系，，建建立立層層次次模模型型b)構建建兩兩兩兩比比較較判判斷斷矩矩陣陣c)計算算單單個個判判斷斷矩矩陣陣對對應應的的權權重重向向量量d)計算算各各層層元元素素對對目目標標層層的的合合成成權權重重向向量量(5)主成成分分分分析析是是一一種種多多元元統統計計分分析析方方法法，，對對于于多多指指標標的的復復雜雜評評價價系系統統，，由由于于指指標標多多，，數數據據處處理理相相當當復復雜雜，，由由于于指指標標之之間間存存在在一一定定的的關關系系，，可可以以適適當當簡簡化化。。主主成成分分分分析析的的思思想想是是通通過過一一定定的的變變換換，，用用較較少少的的指指標標來來代代替替原原先先較較多多的的指指標標，，從從而而達達到到簡簡化化問問題題的的處處理理與與分分析析的的目目的的。。(6)聚類類分分析析法法是是解解決決““物物以以類類聚聚””，，解解決決事事務務分分類類的的一一種種數數學學方方法法。。它它是是在在沒沒有有或或不不用用樣樣品品所所述述類類別別信信息息的的情情況況下下，，依依據據對對樣樣品品采采集集的的數數據據的的內內在在結結構構以以及及相相互互間間的的關關系系，，在在樣樣品品間間相相似似性性度度量量的的基基礎礎上上，，對對樣樣品品進進行行分分類類的的一一種種方方法法3.4信信息息安安全全風風險險評評估估方方法法3.4.3定量量方方法法定量量方方法法試試圖圖用用具具體體的的貨貨幣幣表表示示形形式式的的損損失失值值來來分分析析和和度度量量風風險險，，定定量量方方法法主主要要有有基基于于期期望望損損失失的的風風險險評評估估方方法法與與基基于于期期望望損損失失效效用用的的風風險險評評估估方方法法等等。。1．基基于于期期望望損損失失的的風風險險評評估估方方法法類似似的的定定義義還還有有期期望望年年損損失失ALE（AnnualLossExpectancy），，它它是是以以組織在目前安安全狀態下平平均年損失作作為風險度量的標準準。若風險事事件E造成的相對損失為loss，其發生的可可能性為L，loss和L均為取值在[0,1]區間定量值。。若依據期望損失理論論，將根據loss×L值大小劃分等級，等級級劃分方法結結果如圖2-9所示3.4 信息息安全風險評評估方法2．基于期望損損失效用的風風險評估方法法若經過風險評評估，風險事事件E造成的相對損失為loss，其發生的可可能性為L，loss和L均為取值在[0,1]區間定量值。建立立風險等級劃劃分方法，結果見圖所示示這種方法的好好處就是能夠夠更好的區分“高損損失、低可能能性”及“低損失、高可可能性”兩種種不同安全事件的風險。。3.4 信息息安全風險評評估方法3.4.4定性方法定性方法不是是給出具體的的貨幣形式的的損失，而是是用諸如“極極為嚴重、嚴嚴重、一般、、可忽略”等等定性方法來來度量風險。。定性方法一一般基于一定定的定量方法法，在定量方方法的基礎上上進行裁剪和和簡化。典型型的定性風險險分析與評價價方法有風險險矩陣測量、、威脅分級法法、風險綜合合評價等。1．風險矩陣測測量這種方法的特特點是事先建建立資產價值值、威脅等級級和脆弱性等等級的一個對對應矩陣，預預先將風險等等級進行了確確定。然后根根據不同資產產的賦值從矩矩陣中確定不不同的風險。。2．威脅分級法法這種方法是直直接考慮威脅脅、威脅導致致的安全事件件對資產產生生的影響以及及威脅導致安安全事件發生生的可能性來來確定風險。。3．風險綜合評評價這種方法中風風險由威脅導導致的安全事事件發生的可可能性、對資資產的影響程程度以及已經經存在的控制制措施三個方方面來確定。。與風險矩陣陣法和威脅分分級法不同，，本方法將控控制措施的采采用引入風險險的評價之中中。3.5 風險險評估標準、、方法與民航航案例國