信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)材料

1、通信網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)提 綱n基礎(chǔ)概念基礎(chǔ)概念u 相關(guān)背景介紹相關(guān)背景介紹u 什么是風(fēng)險(xiǎn)評(píng)估什么是風(fēng)險(xiǎn)評(píng)估u 為什么要風(fēng)險(xiǎn)評(píng)估為什么要風(fēng)險(xiǎn)評(píng)估u 風(fēng)險(xiǎn)評(píng)估意義風(fēng)險(xiǎn)評(píng)估意義u 風(fēng)險(xiǎn)評(píng)估內(nèi)容風(fēng)險(xiǎn)評(píng)估內(nèi)容u 相關(guān)術(shù)語相關(guān)術(shù)語u 相關(guān)標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)n 風(fēng)險(xiǎn)評(píng)估通用流程及具體實(shí)施風(fēng)險(xiǎn)評(píng)估通用流程及具體實(shí)施n 實(shí)施要點(diǎn)及示例說明實(shí)施要點(diǎn)及示例說明我們的安全形勢(shì)威脅無處不在威脅無處不在網(wǎng)絡(luò)網(wǎng)絡(luò)拒絕服務(wù)攻擊拒絕服務(wù)攻擊邏輯炸彈邏輯炸彈特洛伊木馬特洛伊木馬黑客攻擊黑客攻擊計(jì)算機(jī)病毒計(jì)算機(jī)病毒信息丟失、信息丟失、篡改、銷毀篡改、銷毀后門、隱蔽通道后門、隱蔽通道怎么辦？怎么辦？-風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估n 網(wǎng)絡(luò)面臨的最

2、大威脅是什么？有哪些安全問題？n 什么是最關(guān)鍵的信息資產(chǎn)？n 網(wǎng)絡(luò)設(shè)備是否安全？操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)是否安全？n 您需要什么安全技術(shù)保障？風(fēng)險(xiǎn)控制手段？n 采用了哪些安全措施？是否有效？n 如何應(yīng)對(duì)未來的威脅? -面臨的問題面臨的問題風(fēng)險(xiǎn)評(píng)估相關(guān)概念脆弱性脆弱性/ Vulnerability資產(chǎn)資產(chǎn)/ Asset存在存在利用利用破壞破壞威脅威脅/Threat風(fēng)險(xiǎn)風(fēng)險(xiǎn)/ Risk什么是風(fēng)險(xiǎn)評(píng)估什么是風(fēng)險(xiǎn)評(píng)估n 國信辦20065號(hào)文件u風(fēng)險(xiǎn)評(píng)估（Risk Assessment）是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成

3、的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)風(fēng)險(xiǎn)評(píng)估內(nèi)容風(fēng)險(xiǎn)評(píng)估內(nèi)容評(píng)估內(nèi)容評(píng)估內(nèi)容管理層面管理層面技術(shù)層面技術(shù)層面物理物理安全安全機(jī)房等重點(diǎn)IT設(shè)施環(huán)境網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備主機(jī)主機(jī)安全安全服務(wù)器、PC終端應(yīng)用應(yīng)用安全安全應(yīng)用業(yè)務(wù)系統(tǒng)、Web應(yīng)用數(shù)據(jù)數(shù)據(jù)安全安全數(shù)據(jù)通信安全、存儲(chǔ)安全及備份安全安全管理管理機(jī)構(gòu)機(jī)構(gòu)崗位設(shè)置、人員配備安全安全管理管理制度制度制定發(fā)布，評(píng)審修訂系統(tǒng)系統(tǒng)建設(shè)建設(shè)管理管理定級(jí)、安全方案設(shè)計(jì)系統(tǒng)系統(tǒng)運(yùn)維運(yùn)維管理管理環(huán)境管理、資產(chǎn)管理人員錄用，人

4、員離崗人員人員安全安全管理管理部分相關(guān)標(biāo)準(zhǔn)評(píng)估項(xiàng)參照標(biāo)準(zhǔn)資產(chǎn)評(píng)估u ISO17799/BS7799u 加拿大威脅和風(fēng)險(xiǎn)評(píng)估工作指南風(fēng)險(xiǎn)分析方法u ISO13335 IT風(fēng)險(xiǎn)管理系列風(fēng)險(xiǎn)分析模型uAS/NZS 4360: 2004 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)計(jì)算模型uAS/NZS 4360: 2004 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)u GAO/AIMD-00-33信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估過程uGBT20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范uNIST-SP800-26 信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)自評(píng)估指南u NIST-SP800-30 信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南安全管理工作的評(píng)估uISO17799/BS7799u ISO13335 IT風(fēng)險(xiǎn)管理

5、系列物理安全評(píng)估uISO17799/BS7799uGB50174-2008電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范網(wǎng)絡(luò)設(shè)備安全性u(píng) ISO15408（CC）u GB17859工信部安全防護(hù)系列標(biāo)準(zhǔn)提 綱n 基礎(chǔ)概念基礎(chǔ)概念n風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估流程u 風(fēng)險(xiǎn)準(zhǔn)備風(fēng)險(xiǎn)準(zhǔn)備u 資產(chǎn)識(shí)別資產(chǎn)識(shí)別u 威脅識(shí)別威脅識(shí)別u 脆弱性識(shí)別脆弱性識(shí)別u 已有安全措施的確認(rèn)已有安全措施的確認(rèn)u 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析n 實(shí)施要點(diǎn)及示例說明實(shí)施要點(diǎn)及示例說明風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別脆弱性識(shí)別威脅識(shí)別威脅識(shí)別已有安全措施的確認(rèn)已有安全措施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估準(zhǔn)備n 工作

6、內(nèi)容工作內(nèi)容風(fēng)險(xiǎn)評(píng)估準(zhǔn)備n 信息安全風(fēng)險(xiǎn)評(píng)估方案n 檢查記錄表模板u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表業(yè)務(wù)安全u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表網(wǎng)絡(luò)安全u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表主機(jī)安全u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表應(yīng)用安全u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表數(shù)據(jù)安全及備份恢復(fù)u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表物理環(huán)境安全u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表管理安全u 支撐網(wǎng)安全評(píng)測(cè)檢查記錄表災(zāi)難備份及恢復(fù)n 調(diào)查問卷及其他u 需求文檔清單u 文檔交接單u 資產(chǎn)調(diào)查問卷u 資產(chǎn)識(shí)別清單u 重要資產(chǎn)清單u 脆弱性調(diào)查問卷u 現(xiàn)場(chǎng)配合人員名單 n 工作輸出工作輸出風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別脆弱性識(shí)別威脅識(shí)別威脅識(shí)別已有安

7、全措施的確認(rèn)已有安全措施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)險(xiǎn)管理n 主要任務(wù)主要任務(wù)資產(chǎn)識(shí)別u資產(chǎn)信息搜集u資產(chǎn)分類u資產(chǎn)賦值n 資產(chǎn)類別u 網(wǎng)絡(luò)設(shè)備（包括路由器、交換機(jī)等）u 安全設(shè)備（包括防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件等）u 主機(jī)（包括服務(wù)器、PC終端等）u 機(jī)房及相關(guān)設(shè)施 (如UPS、門禁、滅火器、溫濕計(jì))u 重要數(shù)據(jù)（如計(jì)費(fèi)數(shù)據(jù)、用戶信息數(shù)據(jù)、用戶帳單）u 管理制度及文檔u 人員資產(chǎn)分類n 安全屬性賦值 資產(chǎn)賦值u 社會(huì)影響力u 業(yè)務(wù)價(jià)值u 可用性資產(chǎn)賦值（示例）風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別脆弱性識(shí)別威脅識(shí)別威脅識(shí)別已有安全措施的確認(rèn)已有安全措

8、施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)險(xiǎn)管理威脅識(shí)別n 主要任務(wù)：主要任務(wù)： -識(shí)別對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或 者事件 -威脅出現(xiàn)頻率賦值（簡稱威脅賦值）威脅賦值u 通過被評(píng)估對(duì)象體的歷史故障報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；u 通過網(wǎng)管或安全管理系統(tǒng)的數(shù)據(jù)統(tǒng)計(jì)和分析；u 通過整個(gè)社會(huì)同行業(yè)近年來曾發(fā)生過的威脅統(tǒng)計(jì)數(shù)據(jù)均值。n 賦值方法n 判斷威脅出現(xiàn)頻率，需要結(jié)合以下三個(gè)方面：威脅賦值資產(chǎn)識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別脆弱性識(shí)別威脅識(shí)別威脅識(shí)別已有安全措施的確認(rèn)已有安全措施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)

9、險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估流程脆弱性識(shí)別n 主要任務(wù) -查找脆弱性 -脆弱性嚴(yán)重程度賦值（簡稱脆弱性賦值）u訪談u現(xiàn)場(chǎng)勘察u漏洞掃描u滲透測(cè)試u人工審計(jì) -文檔檢查 -控制臺(tái)審計(jì)u以前的審計(jì)和評(píng)估結(jié)果u脆弱性識(shí)別相關(guān)方法脆弱性識(shí)別方法-訪談n 訪談可以采取現(xiàn)場(chǎng)訪談的方式，也可以采取調(diào)查問卷的方式，通常是兩種方式的結(jié)合n 通過一套審計(jì)問題列表問答的形式對(duì)企業(yè)信息資產(chǎn)所有人和管理人員進(jìn)行訪談脆弱性識(shí)別方法-漏洞掃描n 多種掃描工具優(yōu)化組合多種掃描工具優(yōu)化組合n 掃描內(nèi)容掃描內(nèi)容u服務(wù)與端口開放情況 u枚舉帳號(hào)/組u檢測(cè)弱口令u各種系統(tǒng)、服務(wù)和協(xié)議漏洞u脆弱性識(shí)別方法-滲透測(cè)試n 什么是滲透測(cè)試u模擬黑客對(duì)模擬

10、黑客對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻等進(jìn)行非破壞性質(zhì)的攻擊行為非破壞性質(zhì)的攻擊行為，以發(fā)現(xiàn)系統(tǒng)深層次的漏洞，并將整個(gè)過程與細(xì)節(jié)報(bào)告給用戶。n 滲透測(cè)試的必要性u(píng)工具掃描存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)工具掃描存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問題；雜、并且相互關(guān)聯(lián)的安全問題；u滲透測(cè)試可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)，同時(shí)滲透測(cè)試滲透測(cè)試可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)，同時(shí)滲透測(cè)試可以對(duì)漏洞掃描結(jié)果進(jìn)行驗(yàn)證；可以對(duì)漏洞掃描結(jié)果進(jìn)行驗(yàn)證；n 滲透測(cè)試難點(diǎn)u對(duì)測(cè)試者的專業(yè)技能要求很高。對(duì)測(cè)試者的專業(yè)技能要求

11、很高。滲透測(cè)試內(nèi)容u信息泄露：對(duì)外服務(wù)是否暴露了可能被黑客利用的敏感信息u業(yè)務(wù)邏輯測(cè)試：系統(tǒng)是否在業(yè)務(wù)邏輯設(shè)計(jì)上存在被黑客利用的漏洞u認(rèn)證測(cè)試：系統(tǒng)是否存在弱口令、繞過身份認(rèn)證、瀏覽器緩存管理等漏洞u會(huì)話管理測(cè)試：系統(tǒng)是否存在會(huì)話劫持、CSRF等漏洞u拒絕服務(wù)測(cè)試：系統(tǒng)是否易受DDOS攻擊uWeb服務(wù)測(cè)試：SQL注入、跨站腳本uAJAX測(cè)試滲透測(cè)試一般方法u遠(yuǎn)程溢出攻擊測(cè)試 u口令破解 uWeb腳本及應(yīng)用測(cè)試（SQL注入、XSS等）u本地權(quán)限提升測(cè)試 u網(wǎng)絡(luò)嗅探監(jiān)聽u其它（社會(huì)工程學(xué)等） 滲透測(cè)試分類n黑盒測(cè)試u（”zero-knowledge testing”）滲透者完全處于對(duì)系統(tǒng)一無所知的

12、狀態(tài)。通常，）滲透者完全處于對(duì)系統(tǒng)一無所知的狀態(tài)。通常，這種類型的測(cè)試，最初的信息獲取來自這種類型的測(cè)試，最初的信息獲取來自DNS、Web、Email及各種公開對(duì)外的服務(wù)器。及各種公開對(duì)外的服務(wù)器。n白盒測(cè)試u測(cè)試者可以通過正常渠道向被測(cè)單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)洹T工資料甚至測(cè)試者可以通過正常渠道向被測(cè)單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)洹T工資料甚至網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進(jìn)行面對(duì)面的溝通這類的測(cè)試目的網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進(jìn)行面對(duì)面的溝通這類的測(cè)試目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作是模擬企業(yè)內(nèi)部雇員的越權(quán)操作滲透測(cè)試一般流程n 計(jì)劃與準(zhǔn)備u 測(cè)試計(jì)劃

13、u 測(cè)試準(zhǔn)備n 偵查分析階段u 信息收集u 目標(biāo)判別u 漏洞查找n 攻擊階段u 獲取權(quán)限u 權(quán)限提升u u 脆弱性識(shí)別方法-人工審計(jì)n 采用人工審計(jì)方式可以對(duì)漏洞掃描的結(jié)果進(jìn)行驗(yàn)證和分析，也可以檢查某些無法利用工具掃描的內(nèi)容n 人工審計(jì)內(nèi)容人工審計(jì)內(nèi)容u網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全n 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)n 子網(wǎng)劃分n 網(wǎng)絡(luò)邊界n 審計(jì)日志n 網(wǎng)絡(luò)流量與擁塞控制n 網(wǎng)絡(luò)設(shè)備的安全配置n .u主機(jī)安全主機(jī)安全n 審計(jì)日志n 自主訪問控制功能n 強(qiáng)制訪問控制功能n 目錄與文件權(quán)限n 口令設(shè)置n 登陸設(shè)置n 資源使用設(shè)置n 進(jìn)程與端口關(guān)聯(lián)n .人工審計(jì)內(nèi)容（續(xù)）u專用業(yè)務(wù)/應(yīng)用系統(tǒng)安全n 通訊安全性n 本地文件存儲(chǔ)安全

14、性n 登陸過程安全性n 自主訪問控制功能有效性及安全策略配置n 強(qiáng)制訪問控制功能有效性及安全策略配置n 用戶權(quán)限n 審計(jì)日志n 并發(fā)會(huì)話數(shù)限制n u數(shù)據(jù)安全及備份n 數(shù)據(jù)傳輸安全性n 數(shù)據(jù)存儲(chǔ)安全性n 備份與恢復(fù)功能n 備份數(shù)據(jù)(如用戶帳單備份數(shù)據(jù))n 鏈路冗余n 硬件冗余(如計(jì)費(fèi)系統(tǒng)雙機(jī)備份) 人工審計(jì)內(nèi)容（續(xù)）u物理環(huán)境安全n 防震、防風(fēng)、防雨等能力n 機(jī)房出入安全n 區(qū)域隔離n 防水防潮n 防靜電n 防盜竊和防破壞 n 溫濕度控制n u管理安全n 管理制度n 制定和發(fā)布n 崗位設(shè)置n 人員配備n 人員錄用、離崗n 安全意識(shí)教育和培訓(xùn) n 軟件開發(fā)n 測(cè)試驗(yàn)收n 審計(jì)示例防護(hù)要求脆弱性檢查

15、要點(diǎn)(HP-UX)檢查結(jié)果記錄當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； /etc/inet/services/etc/inet/inetd.conf 口令應(yīng)有復(fù)雜度要求并定期更換/var/adm/userdb/etc/shadow審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶/var/adm/userdb/etc/default/security 脆弱性識(shí)別工具n 掃描工具掃描工具u系統(tǒng)層：系統(tǒng)層：n X-scan、 Nessus、極光漏洞掃描系統(tǒng)、天鏡漏洞掃描系統(tǒng)u應(yīng)用層：應(yīng)用層：n IBM Appscan、 Fortify 、 Acunetix

16、 Web Vulnerability Scanneru數(shù)據(jù)庫：數(shù)據(jù)庫：n Shadow DataBase Scanner、 ISS Database Scanneru脆弱性賦值等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，對(duì)資產(chǎn)造成的損害可以忽略脆弱性賦值表脆弱性賦值表u賦值方法賦值方法u工作輸出工作輸出n脆弱性列表脆弱性列表 類型、名稱、描述、賦值類型、名稱、描述、賦值風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別脆弱性識(shí)別威脅識(shí)別威脅識(shí)別已有安全措

17、施的確認(rèn)已有安全措施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)險(xiǎn)管理已有安全措施確認(rèn)n 安全措施 -預(yù)防性安全措施 -保護(hù)性安全措施n 主要任務(wù) -針對(duì)已識(shí)別的脆弱性確認(rèn)已采取的安全措施并記錄下來n 工作輸出 -已有安全措施確認(rèn)表 風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別脆弱性識(shí)別威脅識(shí)別威脅識(shí)別已有安全措施的確認(rèn)已有安全措施的確認(rèn)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備實(shí)施風(fēng)險(xiǎn)管理實(shí)施風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分析流程保持已有安全措施保持已有安全措施提出風(fēng)險(xiǎn)處理計(jì)劃提出風(fēng)險(xiǎn)處理計(jì)劃是否接受風(fēng)險(xiǎn)是否接受風(fēng)險(xiǎn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算是是否否風(fēng)險(xiǎn)閾值風(fēng)險(xiǎn)閾值風(fēng)險(xiǎn)計(jì)算n 風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)計(jì)算n 風(fēng)險(xiǎn)

18、計(jì)算方法（續(xù)）u 相乘法：風(fēng)險(xiǎn)值 資產(chǎn)價(jià)值 x 威脅值 x 脆弱性值風(fēng)險(xiǎn)閾值的確定n 風(fēng)險(xiǎn)閾值是風(fēng)險(xiǎn)是否可接受的判斷依據(jù)n 確定方法對(duì)象的安全等級(jí)1級(jí)2級(jí)3.1級(jí)3.2級(jí)4級(jí)5級(jí)風(fēng)險(xiǎn)閾值（風(fēng)險(xiǎn)值大于此閾值的風(fēng)險(xiǎn)視為不可接受）設(shè)備類風(fēng)險(xiǎn)（包括設(shè)備、機(jī)房、數(shù)據(jù)、網(wǎng)絡(luò)）60452515105人員類風(fēng)險(xiǎn)906040302010管理制度、文檔類風(fēng)險(xiǎn)80503020105風(fēng)險(xiǎn)處理建議n 主要任務(wù)n 風(fēng)險(xiǎn)處理方式u降低風(fēng)險(xiǎn)應(yīng)用適當(dāng)?shù)目刂拼胧?(預(yù)防性措施、保護(hù)性措施)u接受風(fēng)險(xiǎn)由于投入過高和收效不明顯u避免風(fēng)險(xiǎn)因?yàn)轱L(fēng)險(xiǎn)的代價(jià)太高，不允許執(zhí)行會(huì)產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)u轉(zhuǎn)移風(fēng)險(xiǎn)轉(zhuǎn)嫁給第三方（保險(xiǎn)、供應(yīng)商）u對(duì)不可接受風(fēng)險(xiǎn)提出控制風(fēng)險(xiǎn)的安全建議提 綱n 基礎(chǔ)概念基礎(chǔ)概念n 風(fēng)險(xiǎn)評(píng)估通用流程及具體實(shí)施風(fēng)險(xiǎn)評(píng)估通用流程及具體實(shí)施n實(shí)施要點(diǎn)及示例說明實(shí)施要點(diǎn)及示例說明成功實(shí)施要點(diǎn)n 評(píng)估范