信息安全風(fēng)險(xiǎn)評(píng)估教材課件

第四章信息安全風(fēng)險(xiǎn)評(píng)估第四章信息安全風(fēng)險(xiǎn)評(píng)估1本章學(xué)習(xí)目標(biāo)了解風(fēng)險(xiǎn)評(píng)估的概念、特點(diǎn)和內(nèi)涵；熟悉風(fēng)險(xiǎn)評(píng)估的過(guò)程及應(yīng)注意的問(wèn)題；了解如何選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法；掌握典型的風(fēng)險(xiǎn)評(píng)估方法；了解風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)備本章學(xué)習(xí)目標(biāo)了解風(fēng)險(xiǎn)評(píng)估的概念、特點(diǎn)和內(nèi)涵；24.1信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》相關(guān)概念資產(chǎn)（Asset）：任何對(duì)組織有價(jià)值的事如，是安全策略保護(hù)的對(duì)象。威脅（Threat）:指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。脆弱點(diǎn)（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。風(fēng)險(xiǎn)（Risk）：特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)估（RiskAssessment）：對(duì)信息或信息處理設(shè)施的威脅、影響和脆弱點(diǎn)及三者發(fā)生的可能性的評(píng)估。殘余風(fēng)險(xiǎn)（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。4.1信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)GB/T20984-2007《信3風(fēng)險(xiǎn)要素關(guān)系風(fēng)險(xiǎn)要素關(guān)系4信息安全風(fēng)險(xiǎn)評(píng)估教材課件5風(fēng)險(xiǎn)評(píng)估的兩種方式自評(píng)估和檢查評(píng)估1自評(píng)估“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”信息系統(tǒng)擁有者依靠自身力量，依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)自有的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的活動(dòng)。優(yōu)點(diǎn)有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長(zhǎng)有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息安全知識(shí)風(fēng)險(xiǎn)評(píng)估的兩種方式自評(píng)估和檢查評(píng)估6風(fēng)險(xiǎn)評(píng)估的兩種方式1自評(píng)估缺點(diǎn)：如果沒(méi)有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估專業(yè)人才的情況下，自評(píng)估的結(jié)果可能不深入、不規(guī)范、不到位自評(píng)估中，可能會(huì)存在某些不利的干預(yù)，從而影響風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性，降低評(píng)估結(jié)果的置信度某些時(shí)候，即使自評(píng)估的結(jié)果比較樂(lè)觀，也必須與管理層進(jìn)行溝通風(fēng)險(xiǎn)評(píng)估的兩種方式1自評(píng)估7風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估檢查評(píng)估是由信息安全主管部門或業(yè)務(wù)部門發(fā)起的一種評(píng)估活動(dòng)，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評(píng)估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。檢查評(píng)估通常都是定期的、抽樣進(jìn)行的評(píng)估模式檢查評(píng)估缺點(diǎn)：間隔時(shí)間較長(zhǎng)，如一年一次，通常還是抽樣進(jìn)行不能貫穿一個(gè)部門信息系統(tǒng)生命周期的全過(guò)程，很難對(duì)信息系統(tǒng)的整體風(fēng)險(xiǎn)狀況作出完整的評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估8風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估檢查評(píng)估應(yīng)覆蓋但不限于以下內(nèi)容：自評(píng)估方法的檢查自評(píng)估過(guò)程記錄檢查自評(píng)估結(jié)果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護(hù)制度及實(shí)施狀況的檢查突發(fā)事件應(yīng)對(duì)措施的檢查數(shù)據(jù)完整性保護(hù)措施的檢查審計(jì)追蹤的檢查風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估9風(fēng)險(xiǎn)評(píng)估的兩種方式無(wú)論是自評(píng)估，還是檢查評(píng)估，都可以委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，如國(guó)家測(cè)評(píng)認(rèn)證機(jī)構(gòu)或安全企業(yè)公司。風(fēng)險(xiǎn)評(píng)估的兩種方式無(wú)論是自評(píng)估，還是檢查評(píng)估，都可以委托風(fēng)險(xiǎn)10風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。11風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析的主要內(nèi)容為：1對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值2對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性（威脅主體，影響對(duì)象，出現(xiàn)頻率，動(dòng)機(jī)等），并對(duì)威脅出現(xiàn)的頻率賦值3對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值4根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全時(shí)間發(fā)生的可能性根據(jù)脆弱性的嚴(yán)重程度和安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析的主要內(nèi)容為：124.2風(fēng)險(xiǎn)評(píng)估的過(guò)程4.2.1風(fēng)險(xiǎn)評(píng)估的基本步驟第一步：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備第二步：風(fēng)險(xiǎn)因素識(shí)別第三步：風(fēng)險(xiǎn)確定第四步：風(fēng)險(xiǎn)評(píng)價(jià)第五步：風(fēng)險(xiǎn)控制4.2風(fēng)險(xiǎn)評(píng)估的過(guò)程4.2.1風(fēng)險(xiǎn)評(píng)估的基本步驟13信息安全風(fēng)險(xiǎn)評(píng)估教材課件14第一步風(fēng)險(xiǎn)評(píng)估準(zhǔn)備1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)風(fēng)險(xiǎn)評(píng)估目標(biāo)要滿足企業(yè)持續(xù)發(fā)展在安全方面的要求，滿足相關(guān)方的要求，滿足法律法規(guī)的要求2風(fēng)險(xiǎn)評(píng)估的范圍風(fēng)險(xiǎn)評(píng)估范圍可能是企業(yè)全部的信息以及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等3選擇與組織機(jī)構(gòu)相適應(yīng)的具體風(fēng)險(xiǎn)判斷方法在選擇具體的風(fēng)險(xiǎn)判斷方法時(shí)，應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等諸多因素，使之能夠與組織環(huán)境和安全要求相適應(yīng)4建立風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)管理層、業(yè)務(wù)骨干、信息技術(shù)人員、技術(shù)專家等5獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持風(fēng)險(xiǎn)評(píng)估過(guò)程應(yīng)得到企業(yè)最高管理者的支持、批準(zhǔn)，并對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，應(yīng)在組織內(nèi)部對(duì)風(fēng)險(xiǎn)評(píng)估的相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確相關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。第一步風(fēng)險(xiǎn)評(píng)估準(zhǔn)備1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)15第二步風(fēng)險(xiǎn)因素評(píng)估1資產(chǎn)評(píng)估識(shí)別信息資產(chǎn)，包括數(shù)據(jù)、軟件、硬件、設(shè)備、服務(wù)、文檔等，制定《信息資產(chǎn)列表》保密性、完整性、可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。第二步風(fēng)險(xiǎn)因素評(píng)估1資產(chǎn)評(píng)估16資產(chǎn)分類資產(chǎn)分類17信息安全風(fēng)險(xiǎn)評(píng)估教材課件18信息安全風(fēng)險(xiǎn)評(píng)估教材課件19信息安全風(fēng)險(xiǎn)評(píng)估教材課件20資產(chǎn)賦值資產(chǎn)價(jià)值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn)，選擇對(duì)資產(chǎn)保密性、完整性和可用性最重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；或三者進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。資產(chǎn)賦值資產(chǎn)價(jià)值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等21信息安全風(fēng)險(xiǎn)評(píng)估教材課件22第二步風(fēng)險(xiǎn)因素評(píng)估2威脅評(píng)估威脅（Threat）:指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。威脅分析包括：潛在威脅分析、威脅審計(jì)和入侵檢測(cè)分析、綜合分析威脅賦值應(yīng)根據(jù)威脅發(fā)生的可能性和威脅產(chǎn)生的影響程度綜合確定第二步風(fēng)險(xiǎn)因素評(píng)估2威脅評(píng)估23信息安全風(fēng)險(xiǎn)評(píng)估教材課件24信息安全風(fēng)險(xiǎn)評(píng)估教材課件25信息安全風(fēng)險(xiǎn)評(píng)估教材課件26威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值27第二步風(fēng)險(xiǎn)因素評(píng)估3弱點(diǎn)評(píng)估脆弱點(diǎn)（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。第二步風(fēng)險(xiǎn)因素評(píng)估3弱點(diǎn)評(píng)估28信息安全風(fēng)險(xiǎn)評(píng)估教材課件29信息安全風(fēng)險(xiǎn)評(píng)估教材課件30第三步風(fēng)險(xiǎn)確定1現(xiàn)有安全措施評(píng)估評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。2風(fēng)險(xiǎn)計(jì)算根據(jù)以上評(píng)估產(chǎn)生的結(jié)果，計(jì)算出每項(xiàng)信息資產(chǎn)的風(fēng)險(xiǎn)值第三步風(fēng)險(xiǎn)確定1現(xiàn)有安全措施評(píng)估31風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風(fēng)險(xiǎn)計(jì)算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價(jià)值Va：脆弱性嚴(yán)重程度L：威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F：安全事件發(fā)生后造成的損失評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法來(lái)計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(32第四步風(fēng)險(xiǎn)判定對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)化處理，每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。第四步風(fēng)險(xiǎn)判定對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)化處理，每個(gè)等級(jí)代33第五步風(fēng)險(xiǎn)控制對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理和技術(shù)兩個(gè)方面考慮第五步風(fēng)險(xiǎn)控制對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定34殘余風(fēng)險(xiǎn)評(píng)估在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可再進(jìn)行評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。殘余風(fēng)險(xiǎn)評(píng)估在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安35風(fēng)險(xiǎn)評(píng)估文檔記錄風(fēng)險(xiǎn)評(píng)估文檔記錄36信息安全風(fēng)險(xiǎn)評(píng)估教材課件37信息安全風(fēng)險(xiǎn)評(píng)估教材課件38風(fēng)險(xiǎn)的計(jì)算方法計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風(fēng)險(xiǎn)計(jì)算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價(jià)值Va：脆弱性嚴(yán)重程度L：威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F：安全事件發(fā)生后造成的損失評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法來(lái)計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。風(fēng)險(xiǎn)的計(jì)算方法計(jì)算原理39風(fēng)險(xiǎn)的計(jì)算方法風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素：資產(chǎn)、威脅、脆弱性由威脅和脆弱性確定安全事件發(fā)生的可能性由資產(chǎn)和脆弱性確定安全事件的損失由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值目前，常用的計(jì)算方法是矩陣法和相乘法風(fēng)險(xiǎn)的計(jì)算方法風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素：資產(chǎn)、威脅、脆弱性40使用矩陣法計(jì)算風(fēng)險(xiǎn)值矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形Z=f(x,y)，函數(shù)f采用矩陣法x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi為正整數(shù)y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj為正整數(shù)以要素x和要素y的取值構(gòu)造一個(gè)二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內(nèi)mxn個(gè)值即為要素z的取值。使用矩陣法計(jì)算風(fēng)險(xiǎn)值矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素41信息安全風(fēng)險(xiǎn)評(píng)估教材課件42使用矩陣法計(jì)算風(fēng)險(xiǎn)值對(duì)于z值的計(jì)算，可以采取以下計(jì)算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數(shù)Zij的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)zij的值不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢(shì)，即如果f是遞增函數(shù)，zij的值應(yīng)隨著xi和yj的值遞增，反之亦然。使用矩陣法計(jì)算風(fēng)險(xiǎn)值對(duì)于z值的計(jì)算，可以采取以下計(jì)算公式43使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點(diǎn)弱點(diǎn)嚴(yán)重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點(diǎn)弱點(diǎn)嚴(yán)44使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱點(diǎn)V1為例，計(jì)算安全風(fēng)險(xiǎn)值，其他風(fēng)險(xiǎn)值計(jì)算過(guò)程類似1計(jì)算安全事件發(fā)生的可能性首先由威脅發(fā)生的頻率和弱點(diǎn)的嚴(yán)重程度值構(gòu)建安全事件可能性矩陣然后根據(jù)T1發(fā)生的頻率值和V1嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱45威脅發(fā)生的頻率T1=2弱點(diǎn)嚴(yán)重性程度V1=2安全事件發(fā)生可能性值=6威脅發(fā)生的頻率T1=246由于安全事件發(fā)生可能性將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩陣，需對(duì)安全事件發(fā)生可能可能性進(jìn)行等級(jí)劃分該安全事件發(fā)生可能性等級(jí)為2由于安全事件發(fā)生可能性將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩47使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例2計(jì)算安全事件的損失

首先由資產(chǎn)價(jià)值和弱點(diǎn)嚴(yán)重程度值構(gòu)建安全事件損失矩陣然后對(duì)照表，確定安全事件損失值使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例2計(jì)算安全事件的損失48資產(chǎn)A1的價(jià)值=2弱點(diǎn)嚴(yán)重性程度V1=2安全事件損失值=5資產(chǎn)A1的價(jià)值=249由于安全事件損失值將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩陣，需對(duì)安全事件損失進(jìn)行等級(jí)劃分該安全事件損失等級(jí)為1由于安全事件損失值將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩陣，50使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例3計(jì)算風(fēng)險(xiǎn)值首先由安全事件發(fā)生可能性和安全事件損失構(gòu)建安全風(fēng)險(xiǎn)矩陣然后對(duì)照表，確定安全風(fēng)險(xiǎn)值使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例3計(jì)算風(fēng)險(xiǎn)值51安全事件發(fā)生可能性等級(jí)為2安全事件損失等級(jí)為1安全風(fēng)險(xiǎn)值=6安全事件發(fā)生可能性等級(jí)為252結(jié)果判定，確定風(fēng)險(xiǎn)等級(jí)劃分根據(jù)上述計(jì)算方法，計(jì)算資產(chǎn)的其他風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)結(jié)果判定，確定風(fēng)險(xiǎn)等級(jí)劃分53信息安全風(fēng)險(xiǎn)評(píng)估教材課件54信息安全風(fēng)險(xiǎn)評(píng)估教材課件55使用相乘法計(jì)算風(fēng)險(xiǎn)值相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形相乘法的原理z=f(x,y)=xXy也可以相乘后開(kāi)平方或取模運(yùn)算等。使用相乘法計(jì)算風(fēng)險(xiǎn)值相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要56使用相乘法計(jì)算風(fēng)險(xiǎn)值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱點(diǎn)V1為例，計(jì)算安全風(fēng)險(xiǎn)值計(jì)算公式x和y的積的平方根的四舍五入結(jié)果設(shè)資產(chǎn)A1價(jià)值為4，面臨的威脅T1發(fā)生的頻率為1，可利用的弱點(diǎn)V1嚴(yán)重程度為31計(jì)算安全事件發(fā)生的可能性威脅發(fā)生的頻率T1=1弱點(diǎn)嚴(yán)重性程度V1=3安全事件發(fā)生可能性值=使用相乘法計(jì)算風(fēng)險(xiǎn)值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱57使用相乘法計(jì)算風(fēng)險(xiǎn)值示例2計(jì)算安全事件的損失資產(chǎn)價(jià)值A(chǔ)1=4脆弱性嚴(yán)重程度V1=3安全事件的損失=3計(jì)算風(fēng)險(xiǎn)值安全事件發(fā)生可能性=安全事件損失=安全事件風(fēng)險(xiǎn)值==6根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，風(fēng)險(xiǎn)等級(jí)確定為2使用相乘法計(jì)算風(fēng)險(xiǎn)值示例2計(jì)算安全事件的損失584.6風(fēng)險(xiǎn)評(píng)估實(shí)施4.6.1風(fēng)險(xiǎn)評(píng)估實(shí)施原則目標(biāo)一致關(guān)注重點(diǎn)資產(chǎn)用戶參與重視質(zhì)量管理和過(guò)程4.6風(fēng)險(xiǎn)評(píng)估實(shí)施4.6.1風(fēng)險(xiǎn)評(píng)估實(shí)施原則594.6.2風(fēng)險(xiǎn)評(píng)估流程1前期準(zhǔn)備階段2現(xiàn)場(chǎng)調(diào)查階段3風(fēng)險(xiǎn)分析階段4策略制定階段4.6.2風(fēng)險(xiǎn)評(píng)估流程60前期準(zhǔn)備階段背景資料準(zhǔn)備技術(shù)資料準(zhǔn)備調(diào)查提綱準(zhǔn)備調(diào)查提綱確認(rèn)簽署保密協(xié)議前期準(zhǔn)備階段背景資料準(zhǔn)備61現(xiàn)場(chǎng)調(diào)查階段人員調(diào)查了解組織最重視的信息資產(chǎn)、最擔(dān)心發(fā)生的事件以及組織對(duì)信息系統(tǒng)安全的期望調(diào)查了解組織中曾經(jīng)發(fā)生過(guò)的信息安全相關(guān)事件采用問(wèn)詢、會(huì)議、資料審計(jì)的形式獲取相關(guān)的數(shù)據(jù)，包括目前信息管理的規(guī)章制度以及具體實(shí)施情況技術(shù)調(diào)查網(wǎng)絡(luò)架構(gòu)調(diào)查繪制被評(píng)估單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；目前網(wǎng)絡(luò)上的虛擬網(wǎng)劃分與使用情況；明確網(wǎng)絡(luò)邊界；對(duì)業(yè)務(wù)系統(tǒng)的安全等級(jí)建議，確認(rèn)目前達(dá)到的安全等級(jí)等現(xiàn)場(chǎng)調(diào)查階段人員調(diào)查62現(xiàn)場(chǎng)調(diào)查階段技術(shù)調(diào)查業(yè)務(wù)流程調(diào)查主要業(yè)務(wù)系統(tǒng)之間的邏輯關(guān)系；業(yè)務(wù)的安全要求；系統(tǒng)業(yè)務(wù)功能；形成業(yè)務(wù)流程現(xiàn)狀圖；初步分析業(yè)務(wù)流程現(xiàn)狀中存在的問(wèn)題等主機(jī)系統(tǒng)調(diào)查主機(jī)系統(tǒng)固有的漏洞和配置問(wèn)題；系統(tǒng)提供的服務(wù)；賬號(hào)的安全情況；采用的訪問(wèn)控制策略；日志審計(jì)等情況數(shù)據(jù)庫(kù)系統(tǒng)調(diào)查賬號(hào)、密碼設(shè)置情況；數(shù)據(jù)庫(kù)使用情況，存儲(chǔ)、備份方法；數(shù)據(jù)庫(kù)系統(tǒng)固有的漏洞；日志審計(jì)等現(xiàn)場(chǎng)調(diào)查階段技術(shù)調(diào)查63現(xiàn)場(chǎng)調(diào)查階段技術(shù)調(diào)查系統(tǒng)服務(wù)的調(diào)查調(diào)查通用的應(yīng)用服務(wù)狀況，如web、mail、ftp等服務(wù)數(shù)據(jù)獲取手段流程調(diào)查、技術(shù)資料、資料分析、工具分析、現(xiàn)場(chǎng)檢查、問(wèn)詢、會(huì)議等工具漏掃工具、完整性檢查工具、網(wǎng)管軟件、流量分析工具、滲透工具等現(xiàn)場(chǎng)調(diào)查階段技術(shù)調(diào)查64風(fēng)險(xiǎn)分析階段安全需求分析系統(tǒng)威脅分析系統(tǒng)脆弱性分析控制措施有效性分析系統(tǒng)影響分析綜合分析風(fēng)險(xiǎn)分析階段安全需求分析65策略制定階段制定安全保護(hù)策略制定實(shí)施計(jì)劃策略制定階段制定安全保護(hù)策略66習(xí)題和思考題作業(yè)1基于表現(xiàn)形式對(duì)威脅進(jìn)行分類并簡(jiǎn)要描述。2簡(jiǎn)要描述資產(chǎn)、威脅和脆弱性的關(guān)系答疑習(xí)題和思考題作業(yè)67第四章信息安全風(fēng)險(xiǎn)評(píng)估第四章信息安全風(fēng)險(xiǎn)評(píng)估68本章學(xué)習(xí)目標(biāo)了解風(fēng)險(xiǎn)評(píng)估的概念、特點(diǎn)和內(nèi)涵；熟悉風(fēng)險(xiǎn)評(píng)估的過(guò)程及應(yīng)注意的問(wèn)題；了解如何選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法；掌握典型的風(fēng)險(xiǎn)評(píng)估方法；了解風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)備本章學(xué)習(xí)目標(biāo)了解風(fēng)險(xiǎn)評(píng)估的概念、特點(diǎn)和內(nèi)涵；694.1信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》相關(guān)概念資產(chǎn)（Asset）：任何對(duì)組織有價(jià)值的事如，是安全策略保護(hù)的對(duì)象。威脅（Threat）:指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。脆弱點(diǎn)（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。風(fēng)險(xiǎn)（Risk）：特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件的可能性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)估（RiskAssessment）：對(duì)信息或信息處理設(shè)施的威脅、影響和脆弱點(diǎn)及三者發(fā)生的可能性的評(píng)估。殘余風(fēng)險(xiǎn)（ResidualRisk）：采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。4.1信息安全風(fēng)險(xiǎn)評(píng)估基礎(chǔ)GB/T20984-2007《信70風(fēng)險(xiǎn)要素關(guān)系風(fēng)險(xiǎn)要素關(guān)系71信息安全風(fēng)險(xiǎn)評(píng)估教材課件72風(fēng)險(xiǎn)評(píng)估的兩種方式自評(píng)估和檢查評(píng)估1自評(píng)估“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”信息系統(tǒng)擁有者依靠自身力量，依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)自有的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的活動(dòng)。優(yōu)點(diǎn)有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長(zhǎng)有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息安全知識(shí)風(fēng)險(xiǎn)評(píng)估的兩種方式自評(píng)估和檢查評(píng)估73風(fēng)險(xiǎn)評(píng)估的兩種方式1自評(píng)估缺點(diǎn)：如果沒(méi)有統(tǒng)一的規(guī)范要求，在缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估專業(yè)人才的情況下，自評(píng)估的結(jié)果可能不深入、不規(guī)范、不到位自評(píng)估中，可能會(huì)存在某些不利的干預(yù)，從而影響風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性，降低評(píng)估結(jié)果的置信度某些時(shí)候，即使自評(píng)估的結(jié)果比較樂(lè)觀，也必須與管理層進(jìn)行溝通風(fēng)險(xiǎn)評(píng)估的兩種方式1自評(píng)估74風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估檢查評(píng)估是由信息安全主管部門或業(yè)務(wù)部門發(fā)起的一種評(píng)估活動(dòng)，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評(píng)估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。檢查評(píng)估通常都是定期的、抽樣進(jìn)行的評(píng)估模式檢查評(píng)估缺點(diǎn)：間隔時(shí)間較長(zhǎng)，如一年一次，通常還是抽樣進(jìn)行不能貫穿一個(gè)部門信息系統(tǒng)生命周期的全過(guò)程，很難對(duì)信息系統(tǒng)的整體風(fēng)險(xiǎn)狀況作出完整的評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估75風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估檢查評(píng)估應(yīng)覆蓋但不限于以下內(nèi)容：自評(píng)估方法的檢查自評(píng)估過(guò)程記錄檢查自評(píng)估結(jié)果跟蹤檢查現(xiàn)有安全措施的檢查系統(tǒng)輸入輸出控制的檢查軟硬件維護(hù)制度及實(shí)施狀況的檢查突發(fā)事件應(yīng)對(duì)措施的檢查數(shù)據(jù)完整性保護(hù)措施的檢查審計(jì)追蹤的檢查風(fēng)險(xiǎn)評(píng)估的兩種方式2檢查評(píng)估76風(fēng)險(xiǎn)評(píng)估的兩種方式無(wú)論是自評(píng)估，還是檢查評(píng)估，都可以委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施，如國(guó)家測(cè)評(píng)認(rèn)證機(jī)構(gòu)或安全企業(yè)公司。風(fēng)險(xiǎn)評(píng)估的兩種方式無(wú)論是自評(píng)估，還是檢查評(píng)估，都可以委托風(fēng)險(xiǎn)77風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。78風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析的主要內(nèi)容為：1對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值2對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性（威脅主體，影響對(duì)象，出現(xiàn)頻率，動(dòng)機(jī)等），并對(duì)威脅出現(xiàn)的頻率賦值3對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值4根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全時(shí)間發(fā)生的可能性根據(jù)脆弱性的嚴(yán)重程度和安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)分析的主要內(nèi)容為：794.2風(fēng)險(xiǎn)評(píng)估的過(guò)程4.2.1風(fēng)險(xiǎn)評(píng)估的基本步驟第一步：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備第二步：風(fēng)險(xiǎn)因素識(shí)別第三步：風(fēng)險(xiǎn)確定第四步：風(fēng)險(xiǎn)評(píng)價(jià)第五步：風(fēng)險(xiǎn)控制4.2風(fēng)險(xiǎn)評(píng)估的過(guò)程4.2.1風(fēng)險(xiǎn)評(píng)估的基本步驟80信息安全風(fēng)險(xiǎn)評(píng)估教材課件81第一步風(fēng)險(xiǎn)評(píng)估準(zhǔn)備1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)風(fēng)險(xiǎn)評(píng)估目標(biāo)要滿足企業(yè)持續(xù)發(fā)展在安全方面的要求，滿足相關(guān)方的要求，滿足法律法規(guī)的要求2風(fēng)險(xiǎn)評(píng)估的范圍風(fēng)險(xiǎn)評(píng)估范圍可能是企業(yè)全部的信息以及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等3選擇與組織機(jī)構(gòu)相適應(yīng)的具體風(fēng)險(xiǎn)判斷方法在選擇具體的風(fēng)險(xiǎn)判斷方法時(shí)，應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等諸多因素，使之能夠與組織環(huán)境和安全要求相適應(yīng)4建立風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)管理層、業(yè)務(wù)骨干、信息技術(shù)人員、技術(shù)專家等5獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持風(fēng)險(xiǎn)評(píng)估過(guò)程應(yīng)得到企業(yè)最高管理者的支持、批準(zhǔn)，并對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，應(yīng)在組織內(nèi)部對(duì)風(fēng)險(xiǎn)評(píng)估的相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確相關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。第一步風(fēng)險(xiǎn)評(píng)估準(zhǔn)備1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)82第二步風(fēng)險(xiǎn)因素評(píng)估1資產(chǎn)評(píng)估識(shí)別信息資產(chǎn)，包括數(shù)據(jù)、軟件、硬件、設(shè)備、服務(wù)、文檔等，制定《信息資產(chǎn)列表》保密性、完整性、可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。第二步風(fēng)險(xiǎn)因素評(píng)估1資產(chǎn)評(píng)估83資產(chǎn)分類資產(chǎn)分類84信息安全風(fēng)險(xiǎn)評(píng)估教材課件85信息安全風(fēng)險(xiǎn)評(píng)估教材課件86信息安全風(fēng)險(xiǎn)評(píng)估教材課件87資產(chǎn)賦值資產(chǎn)價(jià)值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn)，選擇對(duì)資產(chǎn)保密性、完整性和可用性最重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果；或三者進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。資產(chǎn)賦值資產(chǎn)價(jià)值應(yīng)根據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等88信息安全風(fēng)險(xiǎn)評(píng)估教材課件89第二步風(fēng)險(xiǎn)因素評(píng)估2威脅評(píng)估威脅（Threat）:指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。威脅分析包括：潛在威脅分析、威脅審計(jì)和入侵檢測(cè)分析、綜合分析威脅賦值應(yīng)根據(jù)威脅發(fā)生的可能性和威脅產(chǎn)生的影響程度綜合確定第二步風(fēng)險(xiǎn)因素評(píng)估2威脅評(píng)估90信息安全風(fēng)險(xiǎn)評(píng)估教材課件91信息安全風(fēng)險(xiǎn)評(píng)估教材課件92信息安全風(fēng)險(xiǎn)評(píng)估教材課件93威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值威脅出現(xiàn)頻率（發(fā)生的可能性）的賦值94第二步風(fēng)險(xiǎn)因素評(píng)估3弱點(diǎn)評(píng)估脆弱點(diǎn)（Vulnerability）：是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。第二步風(fēng)險(xiǎn)因素評(píng)估3弱點(diǎn)評(píng)估95信息安全風(fēng)險(xiǎn)評(píng)估教材課件96信息安全風(fēng)險(xiǎn)評(píng)估教材課件97第三步風(fēng)險(xiǎn)確定1現(xiàn)有安全措施評(píng)估評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，即是否真正降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。2風(fēng)險(xiǎn)計(jì)算根據(jù)以上評(píng)估產(chǎn)生的結(jié)果，計(jì)算出每項(xiàng)信息資產(chǎn)的風(fēng)險(xiǎn)值第三步風(fēng)險(xiǎn)確定1現(xiàn)有安全措施評(píng)估98風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風(fēng)險(xiǎn)計(jì)算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價(jià)值Va：脆弱性嚴(yán)重程度L：威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F：安全事件發(fā)生后造成的損失評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法來(lái)計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。風(fēng)險(xiǎn)計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(99第四步風(fēng)險(xiǎn)判定對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)化處理，每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。第四步風(fēng)險(xiǎn)判定對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)化處理，每個(gè)等級(jí)代100第五步風(fēng)險(xiǎn)控制對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理和技術(shù)兩個(gè)方面考慮第五步風(fēng)險(xiǎn)控制對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定101殘余風(fēng)險(xiǎn)評(píng)估在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可再進(jìn)行評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。殘余風(fēng)險(xiǎn)評(píng)估在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安102風(fēng)險(xiǎn)評(píng)估文檔記錄風(fēng)險(xiǎn)評(píng)估文檔記錄103信息安全風(fēng)險(xiǎn)評(píng)估教材課件104信息安全風(fēng)險(xiǎn)評(píng)估教材課件105風(fēng)險(xiǎn)的計(jì)算方法計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia，Va))R：安全風(fēng)險(xiǎn)計(jì)算函數(shù)A：資產(chǎn)T：威脅V：脆弱性Ia：安全事件所作用的資產(chǎn)價(jià)值Va：脆弱性嚴(yán)重程度L：威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F：安全事件發(fā)生后造成的損失評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法來(lái)計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。風(fēng)險(xiǎn)的計(jì)算方法計(jì)算原理106風(fēng)險(xiǎn)的計(jì)算方法風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素：資產(chǎn)、威脅、脆弱性由威脅和脆弱性確定安全事件發(fā)生的可能性由資產(chǎn)和脆弱性確定安全事件的損失由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值目前，常用的計(jì)算方法是矩陣法和相乘法風(fēng)險(xiǎn)的計(jì)算方法風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素：資產(chǎn)、威脅、脆弱性107使用矩陣法計(jì)算風(fēng)險(xiǎn)值矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形Z=f(x,y)，函數(shù)f采用矩陣法x=(x1,x2,x3,…,xi,…,xm)1≤i≤mxi為正整數(shù)y=(y1,y2,y3,…,yj,…,yn)1≤i≤nyj為正整數(shù)以要素x和要素y的取值構(gòu)造一個(gè)二維矩陣，矩陣行值為要素y的所有取值，矩陣列值為要素x的所有取值，矩陣內(nèi)mxn個(gè)值即為要素z的取值。使用矩陣法計(jì)算風(fēng)險(xiǎn)值矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素108信息安全風(fēng)險(xiǎn)評(píng)估教材課件109使用矩陣法計(jì)算風(fēng)險(xiǎn)值對(duì)于z值的計(jì)算，可以采取以下計(jì)算公式Zij=xi+yj或Zij=xiXyj或Zij=aXxi+bXyj，a，b為正常數(shù)Zij的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)zij的值不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢(shì)，即如果f是遞增函數(shù)，zij的值應(yīng)隨著xi和yj的值遞增，反之亦然。使用矩陣法計(jì)算風(fēng)險(xiǎn)值對(duì)于z值的計(jì)算，可以采取以下計(jì)算公式110使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點(diǎn)弱點(diǎn)嚴(yán)重程度A12T12V12V23T21V31V44V52A23T32V64V72A35T45V83T54V95使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例資產(chǎn)資產(chǎn)值威脅威脅發(fā)生頻率弱點(diǎn)弱點(diǎn)嚴(yán)111使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱點(diǎn)V1為例，計(jì)算安全風(fēng)險(xiǎn)值，其他風(fēng)險(xiǎn)值計(jì)算過(guò)程類似1計(jì)算安全事件發(fā)生的可能性首先由威脅發(fā)生的頻率和弱點(diǎn)的嚴(yán)重程度值構(gòu)建安全事件可能性矩陣然后根據(jù)T1發(fā)生的頻率值和V1嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例以資產(chǎn)A1面臨的威脅T1可以利用的弱112威脅發(fā)生的頻率T1=2弱點(diǎn)嚴(yán)重性程度V1=2安全事件發(fā)生可能性值=6威脅發(fā)生的頻率T1=2113由于安全事件發(fā)生可能性將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩陣，需對(duì)安全事件發(fā)生可能可能性進(jìn)行等級(jí)劃分該安全事件發(fā)生可能性等級(jí)為2由于安全事件發(fā)生可能性將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩114使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例2計(jì)算安全事件的損失

首先由資產(chǎn)價(jià)值和弱點(diǎn)嚴(yán)重程度值構(gòu)建安全事件損失矩陣然后對(duì)照表，確定安全事件損失值使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例2計(jì)算安全事件的損失115資產(chǎn)A1的價(jià)值=2弱點(diǎn)嚴(yán)重性程度V1=2安全事件損失值=5資產(chǎn)A1的價(jià)值=2116由于安全事件損失值將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩陣，需對(duì)安全事件損失進(jìn)行等級(jí)劃分該安全事件損失等級(jí)為1由于安全事件損失值將參與風(fēng)險(xiǎn)事件值的計(jì)算，為了構(gòu)建風(fēng)險(xiǎn)矩陣，117使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例3計(jì)算風(fēng)險(xiǎn)值首先由安全事件發(fā)生可能性和安全事件損失構(gòu)建安全風(fēng)險(xiǎn)矩陣然后對(duì)照表，確定安全風(fēng)險(xiǎn)值使用矩陣法計(jì)算風(fēng)險(xiǎn)值示例3計(jì)算風(fēng)險(xiǎn)值118安全事件發(fā)生可能性等級(jí)為2安全事件損失等級(jí)為1安全風(fēng)險(xiǎn)值=6安全事件發(fā)生可能性等級(jí)為2119結(jié)果判定，確定風(fēng)險(xiǎn)等級(jí)劃分根據(jù)上述計(jì)算方法，計(jì)算資產(chǎn)的其他風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)結(jié)果判定，確定風(fēng)險(xiǎn)等級(jí)劃分120信息安全風(fēng)險(xiǎn)評(píng)估教材課件121信息安全風(fēng)險(xiǎn)評(píng)估教材課件122使用相乘法計(jì)算風(fēng)險(xiǎn)