第15章信息平安評估15.1概述15.2評估過程15.3評估案例 15.1概述

研究背景

美國Radicati集團早期發表的一項調查報告指出：2003年病毒造成的經濟損失超過280億美元，2007年那么超過750億美元。該報告從一定程序上說明了網絡平安事件、信息平安事件所造成的損失是呈增長趨勢的，值得人們重視。

國內信息平安廠商瑞星2021年11月份的統計報告顯示：病毒木馬繼承了2007年快速增長的勢頭,在2021年的前10個月，互聯網上共出現新病毒9306985個，是2007年同期的12.16倍，木馬病毒和后門程序之和超過776萬，占總體病毒的83.4%,病毒數量開始井噴式爆發。中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)在京聯合發布的?2021年中國網民網絡信息平安狀況調查系列報告?中指出，2021年，52%的網民曾遭遇過網絡平安事件。其中，給21.2%的網民帶來了直接經濟損失。該報告還對網民用于處理網絡平安事件支出的費用進行了統計,結果顯示：2021年，網民處理平安事件所支出的效勞費用高達153億元人民幣。面對當今日益增長的信息系統平安需求,單靠技術手段是不可能從根本上解決信息系統平安問題的,信息系統的平安更應從系統工程的角度來看待。在這項系統工程中,風險評估占有重要地位,它是信息系統平安的根底。通過風險評估,可以了解系統目前與未來的風險所在,評估這些風險可能帶來的平安威脅與影響程度,為平安策略確實定、信息系統的建立及系統的平安運行提供依據。信息平安風險評估成為一個越來越緊迫的問題,已引起各興旺國家的高度重視。實現風險評估的制度化已成為信息平安建設的迫切需求,如果不能進行有效的風險評估，那么將會造成信息平安需求與平安解決方案之間的嚴重脫節。根本概念

1.信息平安

信息平安的定義為:為了防止未經授權就對知識、事實、數據或能力進行使用、濫用、修改或拒絕使用而采取的措施。

信息平安的目標是保護信息的保密性、完整性、可用性及其他屬性,如可控性、真實性、不可否認性和可追溯性等。信息平安不是絕對的,沒有完全徹底的信息平安。2.風險

風險是能夠影響一個或多個目標的不確定性,是能夠產生危險的誘因,在信息平安風險評估中普遍是指對資產造成損害的可能性。3.風險管理

風險管理是指對面臨的風險進行風險識別、風險估測、風險評價、風險控制,以減少風險負面影響的決策及行動過程。通過管理,可對風險進行度量和控制,將風險降低到一個可接受的水平。

信息平安風險管理是風險管理理論和方法在信息系統中的應用,是科學分析信息和信息系統在保密性、完整性、可用性等平安屬性方面所面臨的風險,并在風險的預防、風險的控制、風險的轉移、風險的補償、風險的分散之間做出抉擇的過程。風險評估是信息平安的出發點,風險控制是信息平安的落腳點。信息平安風險管理的核心是信息平安風險評估。4.信息平安風險

信息平安風險指信息系統在整個生命周期中面臨的人為的或自然的威脅,利用系統存在的脆弱性導致信息平安事件發生的可能性及其造成的影響。

5.信息平安風險評估

信息平安風險評估就是從風險管理角度出發,運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估平安事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解信息平安風險,或者將風險控制在可接受的水平,從而最大限度地保障網絡和信息平安。信息平安風險評估是一種方法,用來識別和了解對組織控制的限度(范圍)。

信息平安風險評估是一種工具,用來識別組織資產、威脅和脆弱性(威脅)。

信息平安風險評估是一個過程,通過它可在概率和影響的根底上確定信息系統所面臨的風險級別(風險級別)。

信息平安風險評估是一個手段,通過它可說明風險管理策略和資產分配的合理性(本錢效益)。6.構成信息平安風險的要素

信息平安風險包括下面三個要素:

(1)資產(asset):需要保護的實體。

(2)威脅(threat):能夠產生不友好環境的事件。

(3)脆弱性(vulnerability):發生危險的脆弱點。

這三個要素之間的關系是:威脅利用脆弱性對資產造成損害。7.剩余風險

剩余風險是指采取了平安保障措施,提高了防護能力后,仍然可能存在的風險。

8.平安需求

平安需求是指為保證組織機構的使命正常行使,在信息平安保障措施方面提出的要求。

9.平安措施

平安措施是指為對付威脅、減少脆弱性、保護資產而采取的預防和限制意外事件的影響,檢測、響應意外事件,促進災難恢復和打擊信息犯罪而實施的各種實踐、規程和機制的總稱。10.信息平安風險根本要素間的關系圖風險平安風險根本要素間的關系目的和意義

信息平安風險評估有助于認清信息平安環境和信息平安狀況,提高信息平安保障能力,其目的和意義表達在以下幾個方面。

(1)信息平安風險評估是科學分析并確定風險的過程。任何系統的平安性都可以通過風險的大小來衡量,科學地分析系統的平安風險、綜合平衡風險和代價構成了風險評估的根本過程。

信息平安風險評估是風險評估理論和方法在信息系統中的運用,是依據有關信息平安技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進行評價的過程。(2)信息平安風險評估是信息平安建設的起點和根底。所有信息平安建設都應該基于信息平安風險評估。只有正確地、全面地識別風險、分析風險,才能在預防風險、控制風險、減少風險、轉移風險之間作出正確的決策:決定調動多少資源,以什么樣的代價,采取什么樣的應對措施化解和控制風險。(3)信息平安風險評估是需求主導和突出重點原那么的具體表達。風險是客觀存在的,試圖完全消滅風險或完全防止風險是不現實的。要根據信息及信息系統的價值、威脅的大小和可能出現的問題的嚴重程度,以及在信息化建設不同階段的信息平安需求,堅持從實際出發，以需求為主導，突出重點，分級防護,科學地評估風險,并有效地控制風險。(4)信息平安風險評估是組織機構實現信息系統平安的重要步驟。通過風險評估,可全面、準確地了解組織機構的平安現狀,發現系統的平安問題及其可能的危害,分析信息系統的平安需求,找出目前的平安策略和實際需求的差距,為決策者制定平安策略、構架平安體系、確定有效的平安措施、選擇可靠的平安產品、設計積極防御的技術體系、建立全面的平安防護層次提供嚴謹的平安理論依據和完整、標準的指導模型。(5)信息平安風險評估是信息平安風險管理的最重要環節。風險評估是風險管理環上的一個要素,其他要素包括確定風險管理的中心焦點，制定法規和控制措施,提高平安意識，檢測與評價。盡管環上的所有要素都重要,但是風險評估是其他要素的基石。特別地,風險評估是制定法規、采取應對措施落實政策的根底。風險管理環如下圖。圖風險管理環開展概況

1.美國信息平安風險評估的開展概況

在國際上,美國是對信息平安風險評估研究歷史最長和工作經驗最豐富的國家,一直主導信息技術和信息平安的開展,信息平安風險評估在美國的開展實際上也代表了風險評估的國際開展。

從最初關注計算機保密開展到目前關注信息系統根底設施的信息保障,大體經歷了3個階段,見表。表風險評估的開展過程2.其他國家信息平安風險評估的開展概況

除美國之外的其他興旺國家也越來越重視風險評估工作,提倡風險評估制度化。

歐洲各國在信息平安管理方面的做法是在充分利用美國引導的科技創新成果的根底上,加強預防。歐洲各國在風險管理上一直探索走一條不同于美國的道路。“趨利避害〞是其在信息化進程中防范平安風險的共同策略。信息平安風險管理和評估研究工作一直是歐盟投入的重點。3.我國信息平安風險評估的開展和現狀

相對于興旺國家,我國的信息平安工作相對滯后。美國平安專家EdwinB.Heinlein于1996年在“Computers&Security〞上發表論文“ComputerSecurityinChina〞,對中國數據和計算機平安狀況做了相關論述,指出中國關于國際互聯網的連接接入情況的規定不如新加坡嚴格,還指出中國在理解系統平安領域根本觀點上遠遠落后,這種平安理論和實踐水平的缺乏將會嚴重影響計算機技術在政府、商業等許多領域應用的迅速增長,并指出需要加強風險評估工作。我國的信息平安評估工作是隨著對信息平安問題的認識逐步深化不斷開展的。早期的信息平安工作的中心是信息保密,通過保密檢查來發現問題,改進提高。20世紀80年代后,隨著計算機的推廣應用,我國隨即提出了計算機平安的問題,開展了計算機平安檢查工作。由于缺乏風險意識,通常尋求絕對平安的措施。研究概況

信息平安風險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結合的評估方法三大類。

(1)定性評估方法主要依據研究者的知識及經驗、歷史教訓、政策走向以及特殊變例等非量化資料對系統的風險狀況做出判斷。定性分析方法是使用最廣泛的風險分析方法。該方法通常只關注威脅事件所帶來的損失,而忽略事件發生的概率。多數定性風險分析方法依據組織面臨的威脅、脆弱性以及控制措施等元素來決定平安風險等級。在定性評估時并不使用具體的數據,而是指定期望值,如設定每種風險的影響值和概率值為“高〞、“中〞、“低〞。定性評估方法的優點是使評估的結論更全面、深刻;其缺點是主觀性很強,對評估者本身的要求更高。此外,有時單純使用期望值,難以明顯區別風險值之間的差異。典型的定性評估方法有:因素分析法、邏輯分析法、歷史比較法、德爾斐法等。(2)定量評估方法是指運用數量指標來對風險進行評估。該法分析風險發生的概率、風險危害程度所形成的量化值,大大增加了與運行機制和各項標準、制度等緊密結合的可操作性,分析的目標和采取的措施更加具體、明確、可靠。其優點是用直觀的數據來表述評估的結果,看起來一目了然,而且比較客觀;缺點是量化過程中容易使本來比較復雜的事物簡單化。典型的定量分析方法有:聚類分析法、時序模型、回歸模型等。(3)定性與定量相結合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結合起來,做到彼此之間的取長補短,使評估結果更加客觀、公正。在復雜的信息系統風險評估中,不能將定性分析與定量分析簡單地分割開來。在評估過程中,對于結構化很強的問題,采用定量分析方法;對于非結構化的問題,采用定性分析方法;對于兼有結構化特點和非結構化特點的問題,采用定性與定量相結合的評估方法。 15.2評估過程

評估內容及關鍵問題概述

GB/T20984-2007中給出了風險評估的實施流程。結合具體實施過程,本節將描述信息平安風險評估的根本步驟,對風險評估過程中需要解決的關鍵問題進行分析。

1.信息平安風險評估的內容

依據GB/T20984-2007中提出的風險評估的實施流程和具體實踐研究,信息平安風險評估一般遵循如下步驟:

(1)構建平安框架模型:包括平安范圍的界定以及將平安問題結構化為“保護對象框架〞。(2)信息資產評估:識別并估價關鍵的信息資產。

(3)威脅評估:識別面臨的威脅并確定發生的可能性。

(4)脆弱性評估:識別系統的脆弱性(包括現有控制的缺乏),衡量脆弱性的嚴重程度。

(5)建立威脅脆弱性關聯:確定信息資產及其脆弱性與威脅之間存在的聯系。

(6)風險確定:依據一定的風險評估方法,對信息系統進行全面、綜合的評估,分析風險級別,并寫出風險分析報告。

(7)風險處理:由風險分析過程提出系統的控制目標及應采取的平安控制措施,編寫風險處理意見。

(8)風險管理:對信息系統實施風險管理。圖風險評估流程圖2.信息平安風險評估過程中需要解決的關鍵問題

在信息平安風險評估的實施過程中,需要解決以下問題:

(1)為了對信息系統的平安有個整體上的認識,需要明確評估范圍,不漏掉任何平安問題。

(2)如何準確、客觀地評估信息資產。資產評估包括資產識別和資產價值估算兩個步驟。資產識別往往過于繁瑣,在識別信息資產時可以以資產組為單位,以減少資產識別的工作量。在資產的賦值上,資產的保密性、完整性和可用性這三個平安屬性(以下簡稱“CIA〞或“CIA三性〞)具有不同的權值,不同資產的CIA權值的側重點不同,可根據實際情況選擇不同的方法。(3)對威脅的評估要考慮威脅的獲取方法,以及如何得到威脅發生的可能性,即如何解決威脅評估中賦值考慮的因素。

(4)在脆弱性評估中,要考慮工具掃描、人工分析和滲透測試方法可能帶來的新的風險。

(5)風險確實定。平安框架模型

在風險評估工程實施中,整體性是核心問題,為了保障平安體系具有一定的完整性,防止信息系統出現平安漏洞,于是引入了平安框架模型。美國國家平安局在2002年12月發布了信息平安保障技術框架(IATF，theInformationAssuranceTechnicalFramework)3.1版本,提出了信息平安保障的深度防御戰略模型,將防御體系分為策略、組織、技術和操作四個要素,強調在平安體系中進行多層保護。

平安框架是依據框架的概念,解決組織信息平安問題的思路方法。其構建過程如下圖。圖平安框架的構建1.界定平安問題的范圍

進行風險評估時,必須進行平安范圍的界定,要求評估者明確所需要評估的對象。平安范圍包括:物理和邏輯周界、可控制的資產、威脅分析的范圍。在該階段生成文檔?信息平安范圍評估報告?。2.對平安問題進行結構化分析

在信息系統十分龐大的情況下,為了更好地研究其平安問題,需要從龐大的信息資產中提煉出保護對象框架。平安框架體系是指以結構化的方法表達信息系統的框架模型。

1)結構化原理

結構化原理是指通過特定的結構將問題拆分成子問題的迭代過程,如故障樹。在這個過程中，應遵循以下原那么:

(1)充分覆蓋,即所有子問題的總和必須覆蓋原問題。如果不能充分覆蓋,那么解決問題的方法就可能出現遺漏,嚴重影響方法的可行性。(2)互不重疊,即所有子問題都不允許重復。比方,某一個子問題其實是另外兩個問題或多個問題的合并,這個問題就不能再出現在一個框架中。

(3)不可再細分,即所有子問題都必須細分到不能再被細分。當一個問題經過框架分析后,所有不可再細分的子問題就構成了一個“框架〞。2)結構化分析

當信息平安問題的范圍被明確后,問題必須按照結構化原理被不斷地細分。這時整個問題已經被結構化為“保護對象框架〞。保護對象框架可以看做由一組“平安需求〞組成,通過將平安問題不斷細分為保護對象,“平安需求〞也就越明確、越詳細。3.為保護框架中的每一項平安需求設計或選擇相應的對策

為保護框架中的每一項平安需求設計或選擇假設干平安控制,這些平安控制的集合構成了“平安對策框架〞。保護對象框架和平安對策框架之間是“映射〞關系,即每一個需求對應假設干個控制,而每一個控制只對應一個需求。4.綜合平安對策框架成為平安體系

平安控制包含策略、組織、技術和運作四個要素。將這四個要素綜合起來,就成為策略體系、組織體系、技術體系和運作體系。

圖是某信息系統平安體系的構成。圖中,最下面是系統的保護對象框架,根據信息資產邏輯圖,可將系統的保護對象分成計算機環境、區域邊界、網絡與根底設施等。計算機環境內部可以進一步細分為子區域、邊界和通信網絡。這種細分可以迭代地進行下去,一直到計算機環境內在平安性上完全同質。對不同區域、邊界和通信網絡,其平安需求是不同的。圖某信息系統平安體系的框架信息資產評估

1.以資產組為單位識別信息資產

在實際工程中,為了減少資產識別的工作量,在不影響評估質量的前提下,可以在評估工程中采用資產組的概念來進行資產的識別。對于沒必要進行細分的資產,采用資產組進行標識,如一臺主機為一個主機資產組,包括硬件資產、軟件資產(包括操作系統、應用軟件等)、效勞資產、數據資產等。對于重要的資產,應進行獨立標識,如在一個資產組中,有幾個資產的屬性都非常重要,那么可考慮提出其分別作為一個資產。又如,一個非常重要的數據庫主機可以分為一個數據庫資產組和一個主機資產組,也可以把其中的數據再提出來單獨作為一個數據資產。國標中指出,“在實際工作中,具體的資產分類方法可以根據具體的評估對象和要求,由評估者靈活把握。〞在實際應用中可以把信息資產分為網絡設備、效勞器、工作站、平安設備、物理環境、業務系統、數據、文檔和人員等。

在識別網絡設備的信息資產時,一體化的網絡設備(如路由器、交換機等)均視為一項信息資產,而不再具體細分為硬件和軟件;網絡線路的物理介質均視為網絡系統信息資產的屬性,而不再單列為資產。2.信息資產價值的計算

國標指出,“資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出。綜合評定方法可以根據自身的特點,選擇資產保密性、完整性和可用性中最為重要的一個屬性的賦值等級作為資產的最終賦值結果;也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。加權方法可根據組織的業務特點確定。〞

結合實際應用,我們對權值的取值方法進行如下討論。1)不考慮權值的計算

信息資產的估價主要是對CIA三性分別賦予價值,以此反映信息資產的價值。也可以加上資產的其他屬性賦值,根據實際情況決定。

考察實際經驗,CIA三性中最高的一個對最終的資產價值影響最大。資產價值并不隨著三個屬性值的增加而線性增加,較高的屬性值具有較大的影響。不考慮CIA三性的權值,可以用以下公式計算資產價值:2)考慮權值的計算

在不同的行業中,因為業務、職能和行業背景千差萬別,所以信息平安的目標和平安保障的要求也截然不同,比方電信運營商最關注可用性,金融行業最關注完整性,政府涉密部門最關注保密性,這時CIA三性的權值就會相差很大。為解決這個問題,在計算資產價值時對CIA三性引入不同的權值,并用以下公式計算資產價值:其中,A代表保密性的權值,B代表完整性的權值,C代表可用性的權值。A、B、C是三個0~3之間的常數,且A+B+C=3。權值確實定依據是對要評估系統的行業背景和應用特點的理解。下面是一些行業的示范:

電信運營商(最關注可用性):A=0.7,B=0.7,C=1.6。

金融行業(最關注完整性):A=0.7,B=1.6,C=0.7。

政府涉密部門(最關注保密性):A=1.6,B=0.7,C=0.7。3)不同資產CIA三性的權值不同

即使對同一個信息系統進行評估,不同類的資產,其對CIA三性的關注程度也不同,CIA三性的權值有時也會相差很大。為解決這個問題,在使用上述公式時,對不同的資產A、B、C確實定要根據具體情況而定,不能一概而論。表中,X值一般代表關聯程度,即某資產與后果之間的關聯性;Y值一般代表關鍵程度,即該種后果的關鍵程度。

(1)保密性賦值。對于不同的資產類型,其保密性價值含義可能不同。為了方便賦值,將保密性拆為兩個值:XConf和YConf。

XConf(保密性關聯程度)是指資產被暴露與所造成最嚴重后果之間的關系。XConf可分為直接導致損失、容易導致損失、可能導致損失和難以導致損失四種程度,分別對應4、3、2、1四個值。 表資產價值統計表

威脅評估

1.平安威脅的獲取方法

評估和了解平安威脅的方法主要有用戶面談、平安事件文檔審閱、入侵檢測系統收集的信息和人工分析、模擬攻擊分析、人工分析等。

(1)用戶面談:通過對被評估方的主要平安管理人員或運行人員進行訪談,了解其對系統現有平安威脅的直覺認識,并以此作為調查平安威脅的重要手段。

(2)平安事件文檔審閱:通過對用戶方的平安事件和事故記錄進行審閱,了解其歷史上平安事件發生的頻率和強度,從側面來了解平安威脅的可能性和強度。(3)入侵檢測系統收集的信息和人工分析:如果用戶已經部署了入侵檢測系統,那么可通過對入侵檢測系統的日志信息進行人工分析,這有助于對那些利用黑客技術、惡意代碼等進行攻擊的平安威脅進行了解。

(4)模擬攻擊分析:通過黑客攻擊的測試方法進行威脅分析。

(5)人工分析:根據專家經驗,對的數據進行分析。2.威脅發生的可能性

通常地,在對威脅可能性進行賦值時,可通過以下分析獲得。

(1)如果是人為成心威脅,那么既要考慮資產的吸引力和曝光程度以及組織的知名度,還要考慮資產轉化為利益的容易程度,包括財務的利益以及黑客獲得對運算能力很強、帶寬很大的主機的非法使用等利益。

(2)通過過去的平安事件報告或記錄,統計各種發生過的威脅及其發生頻率。

(3)在評估體實際環境中,通過入侵檢測系統獲得的威脅發生的數據統計和分析,以及各種日志中威脅發生的數據統計和分析。(4)過去一年或兩年來國際機構發布的整個社會或特定行業平安威脅發生頻率的統計數據均值。

(5)根據專家經驗分析,通過定量或半定量計算獲得。

圖為某信息系統的平安威脅概率示意圖。圖平安威脅概率脆弱性評估

1.工具掃描

1)工具掃描原理

工具掃描主要是根據已有的平安漏洞知識庫,模擬黑客的攻擊方法,檢測網絡協議、網絡效勞、網絡設備、應用系統等各種信息資產所存在的平安隱患和漏洞。網絡掃描主要依靠帶有平安漏洞知識庫的網絡平安掃描工具對信息資產進行基于網絡層面的平安掃描,其特點是能對被評估目標進行覆蓋面廣泛的平安漏洞查找,并且評估環境與被評估對象在線運行的環境完全一致,能較真實地反映主機系統、網絡設備、應用系統所存在的網絡平安問題和面臨的網絡平安威脅。2)風險與應對措施

在評估過程中,一定要注意因為評估而造成的新風險。在掃描過程中應盡量防止使用含有拒絕效勞類型的掃描方式,而主要采用人工檢查的方法來發現系統可能存在的拒絕效勞漏洞。

在掃描過程中,如果出現被評估系統沒有響應的情況,那么應當立即停止掃描工作,分析情況,在確定原因、正確恢復系統、采取必要的防范措施后,才可以繼續進行。2.人工分析

在面對復雜的應用軟件的時候,人工分析不僅能夠彌補工具在靈活性上的缺點,還能借助分析專家自身的豐富的知識。人工分析是工具分析的一種必要的補充。

人工分析的步驟如下:

(1)根據應用軟件提供的效勞內容,將整個應用軟件分成幾個大的模塊,然后對每個大的模塊進行人工分析,探察其結構,并嘗試能否在模塊的內部結構上有所發現。

(2)分析各個模塊之間的連接局部,探察各連接局部是否出現在數據交互時因未對邊界或特殊符號進行檢查而造成的漏洞,如常見的SQL注入、溢出等。(3)對各個模塊之間的邏輯結構局部進行相應的權限驗證測試,探察是否存在未授權訪問或者權限控制不嚴造成的敏感信息泄漏。

(4)結合應用軟件所使用的編寫語言特點,使用一些特殊的測試手段,分析由于編寫語言不同而可能出現的一系列平安問題。

(5)整理出所有的人工分析原始資料,重新檢查一次是否有遺漏局部。

(6)統計所有的分析結果,提交相應的人工分析報告。圖人工分析的檢查工程3.滲透測試

滲透測試是一種從攻擊者的角度來對主機系統的平安程度進行平安評估的手段,在對現有信息系統不造成任何損害的前提下,模擬入侵者對指定系統進行攻擊檢測。滲透測試通常能以非常明顯、直觀的結果來反映出系統的平安現狀。

滲透測試的流程如下圖。圖滲透測試的流程滲透測試的風險及應對措施如下:

(1)為防止在滲透測試過程中出現異常情況,所有被評估系統均應在被評估之前作一次完整的系統備份或者關閉正在運行的操作,以便在系統發生災難后能及時恢復。

(2)不使用含有拒絕效勞的測試策略。

(3)滲透測試時間盡量安排在業務量不大的時段。

(4)如果出現被評估系統沒有響應的情況,那么應當立即停止測試掃描工作,分析情況,在確定原因、正確恢復系統、采取必要的防范措施后,才可以繼續進行。

(5)評估前由被評估方同意,對指定的效勞器或網段進行滲透測試,測試過程在相關人員的全程跟蹤和監督下進行。圖脆弱性結果示意風險確定

風險是一種潛在可能性,是指某個威脅利用系統脆弱性引起某項資產或一組資產的損害,從而直接或間接地引起企業或機構的損害。因此,風險和具體的資產價值、威脅等級以及相關的脆弱性直接相關。

風險評估的策略是首先選定某項資產,評估資產價值,挖掘并評估資產面臨的威脅,挖掘并評估資產存在的脆弱性,評估該資產的風險,進而得出整個評估目標的風險。

風險也有兩個屬性:損失性和可能性。最終風險對企業的影響,也就是對風險的評估賦值,是上述兩個屬性權衡作用的結果。不同的資產面臨的主要威脅各不相同。隨著威脅可以利用的、資產存在的脆弱性數量的增加,風險的可能性會增加;隨著脆弱性類別的提高,該資產面臨風險的威脅會增加。

在許多情況下,某資產風險的可能性是面臨的威脅的可能性和脆弱性被威脅利用的難易程度的函數,而風險的后果是資產的價值和影響的嚴重性的函數。

根據上述各階段的評估結果,即評估人員對系統進行的資產鑒定、威脅評估、脆弱性評估以及威脅利用資產脆弱性發生平安事件的可能性、資產受到損害的嚴重性,可以計算系統的風險等級。風險計算原理形式化描述如下:式中,R表示風險,A表示資產,V表示脆弱性,T表示威脅。 15.3評估案例

1.目標

評估的目標如下:

(1)了解網絡和應用系統的平安狀況。通過評估信息系統存在的平安弱點和面臨的平安威脅,了解其平安現狀和平安需求。

(2)評估受測系統的平安風險。根據平安風險因素間的關系,確定受測系統存在的平安風險及其優先級。

(3)根據風險評估制定平安策略。通過平安評估,實踐并掌握信息平安風險評估的實施流程、工作形式、過程與方法,為信息系統的使用和管理部門制定平安策略提供建議。2.主要任務

1)信息資產分析

分析×××信息系統現有的核心IT資產,了解其CIA三性及對受測機構的重要性,以利于后續的規劃。

主要任務:組織梳理