信息安全風險評估概述課件

風險評估第七講信息安全管理之風險評估第七講信息安全管理之1風險評估信息安全風險評估概述信息安全風險評估策略信息安全風險評估流程信息安全風險評估方法風險評估案例風險評估信息安全風險評估概述信息安全風險評估策略信息安全風險2風險評估概述信息安全風險評估概述風險評估概述信息安全風險評估概述3風險評估概述A風險因子B風險因子隱患：內部失控事故外部作用產生了人們不期望的后果超出設定安全界限的狀態(tài)、行為風險評估概述A風險因子B風險因子隱患：內部失控事故外部作用產4風險評估概述系統(tǒng)減少：人的不安全行為改變：環(huán)境不安全條件減少：物的不安全狀態(tài)消除：管理缺陷預防減少事故降低事故損失安全風險管理目標風險評估概述系統(tǒng)減少：人的不安全行為改變：環(huán)境不安全條件減少5風險評估概述企業(yè)風險管理框架一個基礎三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會風險管理委員會風險評估概述企業(yè)風險管理框架一個基礎管理層第三道防線第二道防6風險評估概述一個基礎：公司治理結構建立一個健全的、以董事會為首的公司治理結構訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限貫徹一套重視風險管理的企業(yè)文化和價值觀風險評估概述一個基礎：公司治理結構建立一個健全的、以董事會為7風險評估概述第一道防線：業(yè)務單位防線(風險宇宙TM)資信制度知識產權財務流動資產與信貸資本結構市場財務報告營運法律生產程序營商環(huán)境市場結構民風與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產機器、廠房與土地其他有形資產負債合約法規(guī)市場與銷售生產及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調查并購后整合資信管理運營組織與監(jiān)察硬件軟件網絡無形資產知識管理信息現(xiàn)金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)風險評估概述第一道防線：業(yè)務單位防線(風險宇宙TM)資信制8風險評估概述企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風險與內控措施的結果進行記錄和存檔，對內控措施的有效性不斷進行測試和更新第一道防線：總結管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會風險管理委員會風險評估概述企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性9風險評估概述第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會風險管理部的責任是領導和協(xié)調公司內各單位在管理風險方面的工作，它的職責包括：編制規(guī)章制度對各業(yè)務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統(tǒng)和預警系統(tǒng)、厘定關鍵風險指標負責風險信息披露、溝通、協(xié)調員工培訓和學習的工作按風險與回報的分析，為各業(yè)務單位分配經濟資本金風險評估概述第二道防線：風險管理單位防線第二道防線是在業(yè)務單10風險評估概述“內部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經營。內審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標?！?/p>

美國內部審計師協(xié)會第三道防線：內審單位防線第三道防線涉及一個獨立于業(yè)務單位的部門，監(jiān)控企業(yè)內控和其他企業(yè)關心的問題內部審計的定義：風險評估概述“內部審計是一項獨立、客觀的審查和咨詢活動，其目11風險評估概述內部審計的三大功能財務監(jiān)督財務帳的可用性內部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務報表的 準確性以及執(zhí)行財務管理政策的情況經營診斷管理審計以及效率和效益審計檢查和診斷經營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務單位或某部門執(zhí)行效益審計 (一個輸入與產出的關系)

風險評估概述內部審計的三大功能財務監(jiān)督12風險評估概述咨詢顧問企業(yè)風險管理和發(fā)展策略方面的咨詢調查領導關心的熱點問題和管理薄弱環(huán)節(jié)典型例子： 兼并收購時調查被投資公司的內部管理和 流程操作，了解薄弱環(huán)節(jié)或其他影響并購 交易的重大事項，從而確定管理方法和 并購策略風險評估概述咨詢顧問13風險評估概述風險管理過程風險管理是對項目風險進行識別、分析、和應對的系統(tǒng)的過程。規(guī)劃風險管理識別風險實施定性風險分析實施定量風險分析監(jiān)控風險規(guī)劃風險應對計劃過程監(jiān)控過程風險評估概述風險管理過程規(guī)劃風險識別風險實施定性實施定量監(jiān)控14風險評估概述1、規(guī)劃風險管理流程項目范圍說明書成本管理計劃進度管理計劃溝通管理計劃事業(yè)環(huán)境因素風險態(tài)度風險承受度既定的風險管理方法規(guī)劃會議、分析風險管理計劃依據(jù)工具、技術結果風險評估概述1、規(guī)劃風險管理流程項目范圍說明書成本管理計劃進15風險評估概述2、識別風險流程依據(jù)工具、技術結果項目范圍說明書事業(yè)環(huán)境因素組織過程資產風險管理計劃集成管理計劃框架分析法頭腦風暴法要素分析法情景分析法流程分析法潛在風險風險征兆風險來源風險清單風險登記冊風險評估概述2、識別風險流程依據(jù)工具、技術結果項目范圍說明書16風險評估概述3、實施定性風險分析流程依據(jù)工具、技術結果風險登記冊風險數(shù)據(jù)質量評估概率影響矩陣風險概率和影響評估7、定性分析結果的趨勢6、低優(yōu)先觀察清單5、進一步分析的風險4、需近期處理的風險3、風險成因及需關注領域2、按類別分類的風險1、優(yōu)先級清單風險登記冊（更新）組織過程資產風險管理計劃項目范圍說明書風險分類風險緊迫性評估專家判斷風險評估概述3、實施定性風險分析流程依據(jù)工具、技術結果風險登17風險評估概述4、實施定量風險分析流程依據(jù)工具、技術結果風險登記冊風險管理計劃成本管理計劃進度管理計劃專家判斷定量風險分析和建模數(shù)據(jù)收集與表現(xiàn)技術*定量風險分析結果中反應的趨勢*實現(xiàn)成本和時間目標的概率*項目的概率分析*量化風險優(yōu)先級清單風險登記冊（更新）組織過程資產風險評估概述4、實施定量風險分析流程依據(jù)工具、技術結果風險登18風險評估概述5、規(guī)劃風險應對流程依據(jù)工具或技術結果風險登記冊風險管理計劃消極風險或威脅的應對策略積極風險或機會的應對策略應急應對策略專家判斷風險登記冊（更新）與風險相關的合同決策項目管理計劃（更新）項目文件（更新）風險評估概述5、規(guī)劃風險應對流程依據(jù)工具或技術結果風險登記冊19風險評估概述6、監(jiān)控風險流程依據(jù)工具或技術結果風險登記冊儲備分析技術績效測量偏差和趨勢分析風險審計風險再評估項目文件（更新）項目管理計劃（更新）變更請求組織過程資產風險登記冊（更新）項目管理計劃工作績效信息績效報告狀態(tài)審查會風險評估概述6、監(jiān)控風險流程依據(jù)工具或技術結果風險登記冊儲備20風險評估概述信息安全風險評估信息安全風險評估，是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網絡和信息安全提供科學依據(jù)（國信辦[2006]5號文件）。風險評估概述信息安全風險評估信息安全風險評估，是從21風險評估概述信息安全風險評估信息安全風險評估是指依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱點導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響。狹義的風險評估包括：評估前準備、資產識別與評估、威脅識別與評估、脆弱點識別與評估、當前安全措施的識別與評估、風險分析以及根據(jù)風險評估的結果選取適當?shù)陌踩胧┮越档惋L險的過程。風險評估概述信息安全風險評估信息安全風險評估22風險評估概述信息安全風險評估信息安全風險評估的基本思路是在信息安全事件發(fā)生之前，通過有效的手段對組織面臨的信息安全風險進行識別、分析，并在此基礎上選取相應的安全措施，將組織面臨的信息安全風險控制在可接受范圍內，以此達到保護信息系統(tǒng)安全的目的。風險評估概述信息安全風險評估信息安全風險評23風險評估概述信息安全風險評估相關要素信息安全風險評估的對象是信息系統(tǒng)，信息系統(tǒng)的資產、信息系統(tǒng)可能面對的威脅、系統(tǒng)中存在的弱點（脆弱點）、系統(tǒng)中已有的安全措施等是影響信息安全風險的基本要素，它們和安全風險、安全風險對業(yè)務的影響以及系統(tǒng)安全需求等構成信息安全風險評估的要素。

資產威脅脆弱點安全措施安全風險影響需求風險評估概述信息安全風險評估相關要素資產24風險評估概述

1.資產根據(jù)ISO/IEC13335-1,資產是指任何對組織有價值的東西，資產包括：物理資產、信息/數(shù)據(jù)、軟件、提供產品和服務的能力、人員、無形資產。我國的《信息安全風險評估指南》則認為，資產是指對組織具有價值的信息資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務、形象等。根據(jù)資產的表現(xiàn)形式，可將資產分為數(shù)據(jù)、軟件、硬件、文檔、服務、人員等類。風險評估要素風險評估概述

1.資產風險評估要素25風險評估概述分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等源程序：各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件網絡設備：路由器、網關、交換機等計算機設備：大型機、服務器、工作站、臺式計算機、移動計算機等存儲設備：磁帶機、磁盤陣列等移動存儲設備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設備：動力保障設備（UPS、變電設備等）、空調、保險柜、文件柜、門禁、消防設施等安全保障設備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設備：打印機、復印機、掃描儀、傳真機等服務辦公服務：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內部配置管理、文件流轉管理等服務網絡服務：各種網絡設備、設施提供的網絡連接服務信息服務：對外依賴該系統(tǒng)開展服務而取得業(yè)務收入的服務文檔紙質的各種文件、傳真、電報、財務報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務的人員，如主機維護主管、網絡維護主管及應用項目經理及網絡研發(fā)人員等其它企業(yè)形象，客戶關系等風險評估概述分類示例數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源26風險評估概述風險評估要素2.威脅威脅是可能對資產或組織造成損害的潛在原因。威脅有潛力導致不期望發(fā)生的事件發(fā)生，該事件可能對系統(tǒng)或組織及其資產造成損害。這些損害可能是蓄意的對信息系統(tǒng)和服務所處理信息的直接或間接攻擊。也可能是偶發(fā)事件。根據(jù)威脅源的不同，威脅可分為：自然威脅、環(huán)境威脅、系統(tǒng)威脅、人員威脅。

風險評估概述風險評估要素2.威脅27風險評估概述威脅源常見表現(xiàn)形式自然威脅地震、颶風、火山、洪水、海嘯、泥石流、暴風雪、雪崩、雷電、其他環(huán)境威脅火災、戰(zhàn)爭、重大疫情、恐怖主義、供電故障、供水故障、其他公共設施中斷、危險物質泄漏、重大事故（如交通工具碰撞等）、污染、溫度或濕度、其他系統(tǒng)威脅網絡故障、硬件故障、軟件故障、惡意代碼、存儲介質的老化、其他外部人員網絡竊聽、拒絕服務攻擊、用戶身份仿冒、系統(tǒng)入侵、盜竊、物理破壞、信息篡改、泄密、抵賴、其他。內部人員未經授權信息發(fā)布、未經授權的信息讀寫、抵賴、電子攻擊（如利用系統(tǒng)漏洞提升權限）、物理破壞（系統(tǒng)或存儲介質損壞）、盜竊、越權或濫用、誤操作風險評估概述威脅源常見表現(xiàn)形式自然威脅地震、颶風、火山28風險評估概述風險評估要素3.脆弱點脆弱點是一個或一組資產所具有的，可能被威脅利用對資產造成損害的薄弱環(huán)節(jié)。如操作系統(tǒng)存在漏洞、數(shù)據(jù)庫的訪問沒有訪問控制機制、系統(tǒng)機房任何人都可進入等等。脆弱點是資產本身存在的，如果沒有相應的威脅出現(xiàn)，單純的脆弱點本身不會對資產造成損害。另一方面如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。即：威脅總是要利用資產的弱點才可能造成危害。資產的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱點。風險評估概述風險評估要素3.脆弱點脆弱點是29風險評估概述脆弱點主要表現(xiàn)在從技術和管理兩個方面

技術脆弱點是指信息系統(tǒng)在設計、實現(xiàn)、運行時在技術方面存在的缺陷或弱點。

管理脆弱點則是指組織管理制度、流程等方面存在的缺陷或不足。例如：安裝殺毒軟件或病毒庫未及時升級操作系統(tǒng)或其他應用軟件存在拒絕服務攻擊漏洞數(shù)據(jù)完整性保護不夠完善數(shù)據(jù)庫訪問控制機制不嚴格都屬于技術脆弱點系統(tǒng)機房鑰匙管理不嚴、人員職責不清、未及時注銷離職人員對信息系統(tǒng)的訪問權限等風險評估概述脆弱點主要表現(xiàn)在從技術和管理兩個方面30風險評估概述風險評估要素4.信息安全風險根據(jù)ISO/IEC13335-1，信息安全風險是指威脅利用一個或一組資產的脆弱點導致組織受損的潛在性，并以威脅利用脆弱點造成的一系列不期望發(fā)生的事件（或稱為安全事件）來體現(xiàn)。資產、威脅、脆弱點是信息安全風險的基本要素，是信息安全風險存在的基本條件，缺一不可。沒有資產，威脅就沒有攻擊或損害的對象；沒有威脅，盡管資產很有價值，脆弱點很嚴重，安全事件也不會發(fā)生；系統(tǒng)沒有脆弱點，威脅就沒有可利用的環(huán)節(jié)，安全事件也不會發(fā)生。風險可以形式化的表示為：R=(A,T,V)，其中R表示風險、A表示資產、T表示威脅、V表示脆弱點。風險評估概述風險評估要素4.信息安全風險31風險評估概述風險評估要素5. 影響影響是威脅利用資產的脆弱點導致不期望發(fā)生事件的后果。這些后果可能表現(xiàn)為：直接形式，如物理介質或設備的破壞、人員的損傷、直接的資金損失等；間接的損失如公司信用、形象受損、、市場分額損失、法律責任等。在信息安全領域，直接的損失往往容易估計且損失較小，間接的損失難易估計且常常比直接損失更為嚴重。如某公司信息系統(tǒng)中一路由器因雷擊而破壞，其直接的損失表現(xiàn)為路由器本身的價值、修復所需的人力物力等；而間接損失則較為復雜，由于路由器不能正常工作，信息系統(tǒng)不能提供正常的服務，導致公司業(yè)務量的損失、企業(yè)形象的損失等，若該路由器為金融、電力、軍事等重要部門提供服務，其間接損失更為巨大。風險評估概述風險評估要素5. 影響影響是威脅利用資產的脆弱點32風險評估概述風險評估要素

6.安全措施安全措施是指為保護資產、抵御威脅、減少脆弱點、限制不期望發(fā)生事件的影響、加速不期望發(fā)生事件的檢測及響應而采取的各種實踐、規(guī)程和機制的總稱。有效的安全通常要求不同安全措施的結合以為資產提供多級的安全。例如，應用于計算機的訪問控制機制應被審計控制、人員管理、培訓和物理安全所支持。風險評估概述風險評估要素6.安全措施安全措施33風險評估概述風險評估要素

6.安全措施安全措施可能實現(xiàn)一個或多個下列功能：保護、震懾、檢測、限制、糾正、恢復、監(jiān)視、安全意識等。同功能的安全措施需要不同的成本，同時能夠實現(xiàn)多個功能的安全措施通常具有更高的成本有效性。安全措施的實施領域包括：物理環(huán)境、技術領域、人員、管理等，可用的安全措施包括：訪問控制機制、防病毒軟件、加密機制、數(shù)字簽名、防火墻、監(jiān)視與分析工具、冗余電力供應、信息備份等。風險評估概述風險評估要素6.安全措施安全措34風險評估概述風險評估要素

7.安全需求安全需求是指為保證組織業(yè)務戰(zhàn)略的正常運作而在安全措施方面提出的要求。安全需求可體現(xiàn)在技術、組織管理等多個方面。如關鍵數(shù)據(jù)或系統(tǒng)的的機密性、可用性、完整性需求、法律法規(guī)的符合性需求、人員安全意識培訓需求、信息系統(tǒng)運行實時監(jiān)控的需求等。風險評估概述風險評估要素7.安全需求安全需35風險評估概述風險評估要素相互關系資產、威脅、脆弱點是信息安全風險的基本要素，與信息安全風險有關的要素還包括：安全措施、安全需求、影響等。ISO/IEC13335-1對它們之間的關系描述如圖所示

風險評估概述風險評估要素相互關系資產、威脅、36風險評估概述我國的《信息安全風險評估指南》對ISO/IEC13335-1提出風險要素關系模型進行了擴展。風險評估概述我國的《信息安全風險評估指南》對ISO/37風險評估概述圖中方框部分的內容為風險評估的基本要素;風險評估概述圖中方框部分的內容為風險評估的基本要素;38風險評估概述橢圓部分的內容是與基本要素相關的屬性。風險評估概述橢圓部分的內容是與基本要素相關的屬性。39風險評估概述風險要素及屬性之間存在著以下關系：業(yè)務戰(zhàn)略依賴資產去實現(xiàn)；資產是有價值的，組織的業(yè)務戰(zhàn)略對資產的依賴度越高，資產價值就越大；資產價值越大則其面臨的風險越大；風險是由威脅引發(fā)的，資產面臨的威脅越多則風險越大，并可能演變成安全事件；弱點越多，威脅利用脆弱點導致安全事件的可能性越大；脆弱點是未被滿足的安全需求，威脅要通過利用脆弱點來危害資產，從而形成風險；風險的存在及對風險的認識導出安全需求；風險評估概述風險要素及屬性之間存在著以下關系：40風險評估概述安全需求可通過安全措施得以滿足，需要結合資產價值考慮實施成本；安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；風險不可能也沒有必要降為零，在實施了安全措施后還會有殘留下來的風險。有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續(xù)控制，而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險，是可以被接受的；殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。風險評估概述安全需求可通過安全措施得以滿足，需要結合資產價值41風險評估概述為什么要做風險評估

安全源于風險。

在信息化建設中，建設與運營的網絡與信息系統(tǒng)由于可能存在的系統(tǒng)設計缺陷、隱含于軟硬件設備的缺陷、系統(tǒng)集成時帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當網絡與信息系統(tǒng)中擁有極為重要的信息資產時，都將使得面臨復雜環(huán)境的網絡與信息系統(tǒng)潛在著若干不同程度的安全風險。

風險評估概述為什么要做風險評估安全源于風險。42風險評估概述

風險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設中的安全隱患，采取或完善更加經濟有效的安全保障措施，來消除安全建設中的盲目樂觀或盲目恐懼，提出有針對性的從實際出發(fā)的解決方法，提高系統(tǒng)安全的科學管理水平，進而全面提升網絡與信息系統(tǒng)的安全保障能力。風險評估概述43風險評估策略信息安全風險評估策略風險評估策略信息安全風險評估策略44風險評估策略不同的組織有不同的安全需求和安全戰(zhàn)略，風險評估的操作范圍可以是整個組織，也可以是組織中的某一部門，或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務。影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環(huán)境和安全要求相符合。風險評估策略不同的組織有不同的安全需求和安全45風險評估策略基線風險評估詳細風險評估綜合風險評估風險評估策略基線風險評估46風險評估策略1.基線風險評估

基線風險評估要求組織根據(jù)自己的實際情況（所在行業(yè)、業(yè)務環(huán)境與性質等），對信息系統(tǒng)進行基線安全檢查（將現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。

風險評估策略1.基線風險評估47風險評估策略1.基線風險評估

可以根據(jù)以下資源來選擇安全基線：(1)國際標準和國家標準；(2)行業(yè)標準或推薦；(3)來自其他有類似商務目標和規(guī)模的組織的慣例。

風險評估策略1.基線風險評估48風險評估策略基線評估的優(yōu)點是：(1)風險分析和每個防護措施的實施管理只需要最少數(shù)量的資源，并且在選擇防護措施時花費更少的時間和努力；(2)如果組織的大量系統(tǒng)都在普通環(huán)境下運行并且如果安全需要類似，那么很多系統(tǒng)都可以采用相同或相似的基線防護措施而不需要太多的努力?；€評估的的缺點是：(1)基線水平難以設置，如果基線水平設置的過高，有些IT系統(tǒng)可能會有過高的安全等級；如果基線水平設置的過低，有些IT系統(tǒng)可能會缺少安全，導致更高層次的暴露；(2)風險評估不全面、不透徹，且不易處理變更。

風險評估策略基線評估的優(yōu)點是：49風險評估策略綜合評價雖然當安全基線已建立的情況下，基線評估成本低、易于實施。但由于不同組織信息系統(tǒng)千差萬別，信息系統(tǒng)的威脅時刻都在變化，很難制定全面的、具有廣泛適用性的安全基線，而組織自行建立安全基線成本很高。目前世界上還沒有全面、統(tǒng)一的、能符合組織目標的、值得信賴的安全基線，因而基線評估方法開展并不普遍。風險評估策略綜合評價50風險評估策略2詳細風險評估詳細風險評估要求對資產、威脅和脆弱點進行詳細識別和評價，并對可能引起風險的水平進行評估，這通過不期望事件的潛在負面業(yè)務影響評估和他們發(fā)生的可能性來完成。根據(jù)風險評估的結果來識別和選擇安全措施，將風險降低到可接受的水平。

風險評估策略51風險評估策略詳細風險評估方法的優(yōu)點是：有可能為所有系統(tǒng)識別出適當?shù)陌踩胧?；詳細分析的結果可用于安全變更管理。這種方法的缺點是需要更多的時間、努力和專業(yè)知識。目前，世界各國推出的風險評估方法多屬于這一類，如AS/NZS4360、NISTSP800-30、OCTAVE以及我國的《信息安全風險評估指南》中所提供的方法。風險評估策略詳細風險評估方法的優(yōu)點是：52風險評估策略3綜合風險評估基線風險評估耗費資源少、周期短、操作簡單，但不夠準確，適合一般環(huán)境的評估；詳細風險評估準確而細致，但耗費資源較多，適合嚴格限定邊界的較小范圍內的評估。因而實踐當中，組織多是采用二者結合的綜合評估方式。

風險評估策略3綜合風險評估53風險評估策略ISO/IEC13335-3提出了綜合風險評估方法，其實施流程如圖所示：風險評估策略ISO/IEC13335-3提出了綜合風險評估54風險評估策略綜合評估方法將基線和詳細風險評估的優(yōu)勢結合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結果，而且，組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關注。當然，綜合評估也有缺點：如果初步的高級風險分析不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導致某些嚴重的風險未被發(fā)現(xiàn)。風險評估策略綜合評估方法將基線和詳細風險評55風險評估流程信息安全風險評估流程風險評估流程信息安全風險評估流程56風險評估流程總體上看，風險評估可分為四個階段，第一階段為風險評估準備；第二階段為風險識別，第三階段為風險評價，第四階段為風險處理。風險評估流程總體上看，風險評估可分為四個階段，57風險評估流程1.風險評估的準備

風險評估的準備是整個風險評估過程有效性的保證。其工作主要包括：1．確定風險評估目標（滿足業(yè)務持續(xù)性需要）2．確定風險評估的對象和范圍3．組建團隊。

組建適當?shù)娘L險評估管理與實施團隊，以支持整個過程的推進4．選擇方法應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體

的風險判斷方法，使之能夠與組織環(huán)境和安全要求相適應。5．獲得支持6．準備相關的評估工具（掃描、測試、收集工具）風險評估流程1.風險評估的準備58風險評估流程2.資產識別與評價(1)資產識別資產識別是風險識別的必要環(huán)節(jié)。資產識別的任務就是對確定的評估對象所涉及或包含的資產進行詳細的標識。資產識別過程中要特別注意無形資產的遺漏，同時還應注意不同資產間的相互依賴關系，關系緊密的資產可作為一個整體來考慮，同一中類型的資產也應放在一起考慮。資產識別的方法主要有訪談、現(xiàn)場調查、問卷、文檔查閱等。

風險評估流程2.資產識別與評價59風險評估流程(2)資產評價

資產的評價是對資產的價值或重要程度進行評估，資產本身的貨幣價值是資產價值的體現(xiàn)，但更重要的是資產對組織關鍵業(yè)務的順利開展乃至組織目標實現(xiàn)的重要程度。由于多數(shù)資產不能以貨幣形式的價值來衡量，資產評價很難以定量的方式來進行，多數(shù)情況下只能以定性的形式，依據(jù)重要程度的不同劃分等級。

通常信息資產的機密性、完整性、可用性、可審計性和不可抵賴性等是評價資產的安全屬性。可以先分別對資產在以上各方面的重要程度進行評估，然后通過一定的方法進行綜合,可得資產的綜合價值（加權評估）風險評估流程(2)資產評價60風險評估流程賦值標識定義5極高包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低包含僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成損害1可忽略包含可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等資產機密性賦值表風險評估流程賦值標識定義5極高包含組織最重要的秘密，關系未來61風險評估流程威脅識別與評估(1)威脅識別威脅是構成風險的必要組成部分，因而威脅識別是風險識別的必要環(huán)節(jié)，威脅識別的任務是對組織資產面臨的威脅進行全面的標識。威脅識別可從威脅源進行分析，也可根據(jù)有關標準、組織所提供的威脅參考目錄進行分析。

風險評估流程威脅識別與評估62風險評估流程人類利用網絡訪問的威脅樹5個屬性風險評估流程人類利用網絡訪問的威脅樹5個屬性63風險評估流程系統(tǒng)故障威脅樹風險評估流程系統(tǒng)故障威脅樹64風險評估流程3.威脅識別與評估(2)威脅評估安全風險的大小是由安全事件發(fā)生的可能性以及它造成的影響決定，安全事件發(fā)生的可能性與威脅出現(xiàn)的頻率有關，而安全事件的影響則與威脅的強度或破壞能力有關，如地震的等級或破壞力等。威脅評估就是對威脅出現(xiàn)的頻率及強度進行評估，這是風險評估的重要環(huán)節(jié)。評估者應根據(jù)經驗和（或）有關的統(tǒng)計數(shù)據(jù)來分析威脅出現(xiàn)的頻率及其強度或破壞能力。三個依據(jù)：以往發(fā)生的威脅、現(xiàn)實檢測出來的威脅、行業(yè)威脅

風險評估流程3.威脅識別與評估65風險評估流程威脅賦值表等級標識定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實經常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過3中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經發(fā)生過2低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生風險評估流程威脅賦值表等級標識定義5很高威脅出現(xiàn)的頻率很高，66風險評估流程4.脆弱點識別與評估

（1）脆弱點識別脆弱點識別也稱為弱點識別，弱點是資產本身存在的，如果沒有相應的威脅發(fā)生，單純的弱點本身不會對資產造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導致安全事件，并造成損失。脆弱點識別主要從技術和管理兩個方面進行，技術脆弱點涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱點又可分為技術管理和組織管理兩方面，前者與具體技術活動相關，后者與管理環(huán)境相關。

風險評估流程4.脆弱點識別與評估67風險評估流程脆弱點識別

類型識別對象識別內容技術脆弱點物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設備管理等方面進行識別。服務器（含操作系統(tǒng)）從物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網絡安全、系統(tǒng)管理等方面進行識別。網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別。數(shù)據(jù)庫從補丁安裝、鑒別機制、口令機制、訪問控制、網絡和服務設置、備份恢復機制、審計機制等方面進行識別。應用系統(tǒng)審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱點技術管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性。組織管理安全策略、組織安全、資產分類與控制、人員安全、符合性風險評估流程脆弱點識別類型識別對象識別內容技術脆弱點物理環(huán)68風險評估流程脆弱點識別

資產的脆弱點具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱點識別中最為困難的部分。需要注意的是，不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個弱點。脆弱點識別將針對每一項需要保護的資產，找出可能被威脅利用的弱點，并對脆弱點的嚴重程度進行評估。脆弱點識別時的數(shù)據(jù)應來自于資產的所有者、使用者，以及相關業(yè)務領域的專家和軟硬件方面的專業(yè)等人員脆弱點識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。風險評估流程脆弱點識別資產的脆弱點具有隱蔽69風險評估流程（2）脆弱點評估

脆弱點評估就是是對脆弱點被利用后對資產損害程度、技術實現(xiàn)的難易程度、弱點流行程度進行評估，評估的結果一般都是定性等級劃分形式，綜合的標識脆弱點的嚴重程度。也可以對脆弱點被利用后對資產的損害程度以及被利用的可能性分別評估，然后以一定方式綜合。風險評估流程（2）脆弱點評估70風險評估流程（2）脆弱點嚴重程度賦值

等級標識定義5很高如果被威脅利用，將對資產造成完全損害4高如果被威脅利用，將對資產造成重大損害3中如果被威脅利用，將對資產造成一般損害

2低如果被威脅利用，將對資產造成較小損害

1很低如果被威脅利用，將對資產造成的損害可以忽略

風險評估流程（2）脆弱點嚴重程度賦值等級標識定義5很高如71風險評估流程5.已有安全措施的確認安全措施可以分為預防性安全措施和保護性安全措施兩種。

預防性安全措施可以降低威脅利用脆弱點導致安全事件發(fā)生的可能性。這可以通過兩個方面的作用來實現(xiàn)，

（1）減少威脅出現(xiàn)的頻率，如通過立法或健全制度加大對員工惡意行為的懲罰，可以減少員工故意行為威脅出現(xiàn)的頻率，通過安全培訓可以減少無意行為導致安全事件出現(xiàn)的頻率；

（2）減少脆弱點，如及時為系統(tǒng)打補丁、對硬件設備定期檢查能夠減少系統(tǒng)的技術脆弱點等。

風險評估流程5.已有安全措施的確認72風險評估流程5.已有安全措施的確認

對已采取的安全措施進行確認，至少有兩個方面的意義。一方面，這有助于對當前信息系統(tǒng)面臨的風險進行分析；另一方面，通過對當前安全措施的確認，分析其有效性，對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。

風險評估流程5.已有安全措施的確認73風險評估流程6.風險分析

風險分析就是利用資產、威脅、脆弱點識別與評估結果以及已有安全措施的確認與分析結果，對資產面臨的風險進行分析。

1）風險計算2）風險等級3）風險處理計劃風險評估流程6.風險分析1）風險計算74風險評估流程（1）風險計算

在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，應采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。風險評估流程（1）風險計算在完成了資產識75風險評估流程（1）風險計算如前所述，風險可形式化的表示為R=(A,T,V)，其中R表示風險、A表示資產、T表示威脅、V表示脆弱點。相應的風險值由A、T、V的取值決定，是它們的函數(shù)，可以表示為：VR=R(A,T,V)=R(L(A,T,V)，F(xiàn)(A,T,V))其中，L(A,T,V)、F(A,T,V)分別表示對應安全事件發(fā)生的可能性及影響，它們也都是資產、威脅、脆弱點的函數(shù)，但其表達式很難給出。而風險則可表示為可能性L和影響F的函數(shù)，簡單的處理就是將安全事件發(fā)生的可能性L與安全事件的影響F相乘得到風險值，實際就是平均損失，即VR=L(A,T,V)×F(A,T,V)。

風險評估流程（1）風險計算76風險評估流程（1）風險計算威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴重程度資產的重要性安全事件的損失風險值資產識別安全事件的可能性風險評估流程（1）風險計算威脅識別脆弱性識別威脅出現(xiàn)脆弱性的77風險評估流程影響分析

影響分析，安全事件對組織的影響可體現(xiàn)在以下方面：直接經濟損失:風險事件可能引發(fā)直接的經濟損失，如交易密碼失竊、電子合同的篡改（完整性受損）、公司帳務資料的篡改等，這類損失本易于計算。物理資產的損壞:物理資產損壞的經濟損失也很容易計算，可用更新或修復該物理資產的花費來度量業(yè)務影響:信息安全事件會對業(yè)務帶來很大的影響，如業(yè)務中斷，這方面的經濟損失可通過以下方式來計算，先分析由于業(yè)務中斷，單位時間內的經濟損失，用“單位時間損失×修復所需時間＋修復代價”可將業(yè)務影響表示為經濟損失，當然單位時間內的經濟損失估計有時會有一定的難度。業(yè)務影響除包括業(yè)務中斷外，還有其他情況，如經營業(yè)績影響、市場影響等，這些應根據(jù)具體情況具體分析，定量分析存在困難。風險評估流程影響分析影響分析，安全事件對組織的影響可體現(xiàn)在以78風險評估流程影響分析

法律責任;風險事件可能導致一定的法律責任，如由于安全故障導致機密信息的未授權發(fā)布、未能履行合同規(guī)定的義務或違反有關法律、規(guī)章制度的規(guī)定，這些可用由于應承擔應有的法律責任可能支付賠償金額來表示經濟損失，當然其中有很多不確定因素，實際應用時可參考慣例、合同本身、有關法律法規(guī)的規(guī)定。人員安全危害:風險事件可能對人員安全構成危害，甚至危及到生命，這類損失很難用貨幣衡量組織信譽、形象損失:風險事件可能導致組織信譽、形象受損，這類損失很難用直接的經濟損失來估計，應通過一定的方式計算潛在的經濟損失，如由于信譽受損，可能導致市場份額損失、與外部關系受損等，市場份額損失可以轉化為經濟損失，與外界各方關系的損失可通過分析關系重建的花費、由于關系受損給業(yè)務開展帶來的額外花費等因素來估計，另外專家估計也是一種可取的方法。風險評估流程影響分析法律責任;風險事件可能導致一定的法律責任79風險評估流程可能性分析總體說來，安全事件發(fā)生的可能性的因素有：資產吸引力、威脅出現(xiàn)的可能性、脆弱點的屬性、安全措施的效能等。根據(jù)威脅源的分類，引起安全事件發(fā)生的原因可能是自然災害、環(huán)境及系統(tǒng)威脅、人員無意行為、人員故意行為等。不同類型的安全事件，其可能性影響因素也有點不同。風險評估流程可能性分析80風險評估流程

一是計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即： 安全事件發(fā)生的可能性＝L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)

二是計算安全事件發(fā)生后的損失

根據(jù)資產重要程度及脆弱性嚴重程度，計算安全事件發(fā)生后的損失，即： 安全事件的損失＝F(資產重要程度，脆弱性嚴重程度)＝F(Ia，Va)

三是計算風險值根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風險值，即： 風險值＝R(安全事件發(fā)生的可能性，安全事件的損失)＝R(L(T，V)，F(xiàn)(Ia，Va))

風險評估流程一是計算安全事件發(fā)生的可能性81風險評估流程風險等級等級標識描述5極高一旦發(fā)生將產生非常嚴重的經濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經營，經濟損失重大、社會影響惡劣4高一旦發(fā)生將產生較大的經濟或社會影響，在一定范圍內給組織的經營和組織信譽造成損害3中一旦發(fā)生會造成一定的經濟、社會或生產經營影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補風險評估流程風險等級等級標識描述5極高一旦發(fā)生將產生非常嚴重82風險評估流程

風險處理計劃

系統(tǒng)管理者應綜合考慮風險控制成本與風險造成的影響，提出一個可接受風險范圍。對某些風險，如果評估值在可接受風險范圍內，可以保持已有的安全措施；如果評估值超出了可接受風險值的范圍，則需要采取安全措施以降低、控制風險。風險評估流程風險處理計劃系統(tǒng)管理者應83風險評估流程安全措施的選取

風險評估的目的不僅是獲取組織面臨的有關風險信息，更重要的是采取適當?shù)拇胧踩L險控制在可接受的范圍內。如前所述，安全措施可以降低安全事件造成的影響，也可以降低安全事件發(fā)生的可能性，在對組織面臨的安全風險有全面認識后，應根據(jù)風險的性質選取合適的安全措施，并對對可能的殘余風險進行分析，直到殘余風險為可接受風險為止。

風險評估流程安全措施的選取84風險評估流程8風險評估文件記錄

風險評估文件包括在整個風險評估過程中產生的評估過程文檔和評估結果文檔，這些文檔包括：(1)風險評估計劃(2)風險評估程序(3)資產識別清單(4)重要資產清單(5)威脅列表(6)脆弱點列表(7)已有安全措施確認表(8)風險評估報告(9)風險處理計劃(10)風險評估記錄風險評估流程8風險評估文件記錄85風險評估方法信息安全風險評估方法風險評估方法信息安全風險評估方法86風險評估方法1概述

信息安全風險評估是通過采用一定的方法對組織面臨的風險進行識別，并分析風險對組織帶來的影響以及其發(fā)生的可能性大小，然后通過一定的綜合評價方法來評估組織面臨的風險，并選取適當?shù)拇胧﹣砜刂骑L險。風險評估的復雜性決定了風險評估方法的多樣性。從理論上看，風險評估方法的理論基礎包括：概率風險分析方法、模糊決策方法、人工智能、定性推理方法、灰色決策理論、綜合評價方法等。從風險評估過程整體上看，風險評估方法有：基于資產驅動的風險評估方法、威脅驅動的風險評估方法、脆弱點驅動的風險評估方法、基于案例的風險評估方法等。從風險分析方法來看，風險評估方法可分為兩大類：定量方法與定性方法。

風險評估方法1概述87風險評估方法2信息安全風險評估理論基礎

（1）概率風險分析概率風險分析方法的思想是利用概率論方法來識別和分析風險，這類方法主要包括：故障樹分析法（FTA），故障模式影響和危害程度分析方法（FMECA），危害及可操作性研究分析方法（HazOp）和Markov分析法。

（2）模糊決策方法

風險評估的對象以及信息系統(tǒng)的狀態(tài)具有不確定性，經典的數(shù)學模型由于其精確性特點使得它很難很好的把握問題的實質，模糊決策方法填補了這方面的不足。模糊決策理論不是把問題變成模糊不清的東西，相反，它具有數(shù)學的共性：條理分明、一絲不茍，它是通過規(guī)范化的理論體系來描述模糊的對象，使模糊對象能清晰的呈現(xiàn)在決策者面前，這是經典的數(shù)學理論所不能做到的。風險評估方法2信息安全風險評估理論基礎88風險評估方法（3）人工智能人工智能是20世紀中期產生的并正在迅速發(fā)展的新興邊緣學科,它是探索和模擬人的智能和思維過程的規(guī)律,并進而設計出類似人的某些智能化的科學。信息系統(tǒng)狀態(tài)變化規(guī)律的復雜性決定了很難用一確定的數(shù)學模型來描述，應綜合神經網絡、智能推理，知識庫等多方面知識，建立一個具有自學習能力的專家系統(tǒng)，目前基于案例的風險評估方法就是這一理論的具體應用。（4）灰色系統(tǒng)理論部分信息已知、部分信息未知的系統(tǒng)稱為灰色系統(tǒng)?；疑到y(tǒng)理論是研究和解決灰色系統(tǒng)分析、建模、預測和控制的理論。在信息世界，由于數(shù)據(jù)的短缺或事物本身的特性，很多現(xiàn)象是“灰色”的，其意義是指其中含有已知的、未知的與非確定的種種信息。風險評估方法（3）人工智能89風險評估方法（5）綜合評價方法信息安全風險評估對象是多指標的復雜系統(tǒng)，對于多指標系統(tǒng)，評價指標有多個，不同指標有不同的量綱，多指標系統(tǒng)的評價過程中必須解決以下兩個問題：其一是采用什么方法將不同量綱指標無量綱化，其二是采用何種方式確定不同指標的相對重要性，通常是引入權向量來描述。不同綜合評價方法有不同的處理方法，常用的綜合評價方法有綜合指數(shù)法、功效評分法、TOPSIS法、層次分析法、主成份分析法、聚類分析法等。1）綜合指數(shù)法是多指標系統(tǒng)的一種評價方法。綜合指數(shù)法通過計算各評價對象對每個指標折算指數(shù)值來實現(xiàn)不同指標值的無量綱化，并通過加權平均方法計算綜合指數(shù)值，風險評估方法（5）綜合評價方法90風險評估方法

(2)功效評分法通過功效系數(shù)來實現(xiàn)不同指標的無量綱化，然后在利用其他方法來確定功效權值，如均權法、層次分析法、離差權法等。(3)TOPSIS法風險評估方法(2)功效評分法通過功效系數(shù)來實現(xiàn)不同指標的91風險評估方法風險評估方法92風險評估方法(4)層次分析法是將決策問題的有關元素分解成目標、準則、方案等層次，在此基礎上進行定量和定性分析的一種決策方法。層次分析法的決策過程如下：a)分析各影響因素間的關系，建立層次模型b)構建兩兩比較判斷矩陣c)計算單個判斷矩陣對應的權重向量d)計算各層元素對目標層的合成權重向量(5)主成分分析是一種多元統(tǒng)計分析方法，對于多指標的復雜評價系統(tǒng)，由于指標多，數(shù)據(jù)處理相當復雜，由于指標之間存在一定的關系，可以適當簡化。主成分分析的思想是通過一定的變換，用較少的指標來代替原先較多的指標，從而達到簡化問題的處理與分析的目的。(6)聚類分析法是解決“物以類聚”，解決事務分類的一種數(shù)學方法。它是在沒有或不用樣品所述類別信息的情況下，依據(jù)對樣品采集的數(shù)據(jù)的內在結構以及相互間的關系，在樣品間相似性度量的基礎上，對樣品進行分類的一種方法。風險評估方法(4)層次分析法是將決策問題的有關元素分解成目93風險評估方法3定量方法定量方法試圖用具體的貨幣表示形式的損失值來分析和度量風險，定量方法主要有基于期望損失的風險評估方法與基于期望損失效用的風險評估方法等。1．基于期望損失的風險評估方法類似的定義還有期望年損失ALE（AnnualLossExpectancy），它是以組織在目前安全狀態(tài)下平均年損失作為風險度量的標準。若風險事件E造成的相對損失為loss，其發(fā)生的可能性為L，loss和L均為取值在[0,1]區(qū)間定量值。若依據(jù)期望損失理論，將根據(jù)loss×L值大小劃分等級，等級劃分方法結果如圖2-9所示。

風險評估方法3定量方法94風險評估方法2．基于期望損失效用的風險評估方法若經過風險評估，風險事件E造成的相對損失為loss，其發(fā)生的可能性為L，loss和L均為取值在[0,1]區(qū)間定量值。建立風險等級劃分方法，結果見圖所示這種方法的好處就是能夠更好的區(qū)分“高損失、低可能性”及“低損失、高可能性”兩種不同安全事件的風險。風險評估方法2．基于期望損失效用的風險評估方法95風險評估方法4定性方法定性方法不是給出具體的貨幣形式的損失，而是用諸如“極為嚴重、嚴重、一般、可忽略”等定性方法來度量風險。定性方法一般基于一定的定量方法，在定量方法的基礎上進行裁剪和簡化。典型的定性風險分析與評價方法有風險矩陣測量、威脅分級法、風險綜合評價等。(1)風險矩陣測量這種方法的特點是事先建立資產價值、威脅等級和脆弱點等級的一個對應矩陣，預先將風險等級進行了確定。然后根據(jù)不同資產的賦值從矩陣中確定不同的風險。(2)威脅分級法這種方法是直接考慮威脅、威脅導致的安全事件對資產產生的影響以及威脅導致安全事件發(fā)生的可能性來確定風險。(3)風險綜合評價這種方法中風險由威脅導致的安全事件發(fā)生的可能性、對資產的影響程度以及已經存在的控制措施三個方面來確定。與風險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風險的評價之中。風險評估方法4定性方法96風險計算方法風險計算方法風險矩陣測量法威脅分級計算法風險綜合評價法風險計算方法風險計算方法風險矩陣測量法97風險計算方法1.風險矩陣測量法這種方法的特點是事先建立資產價值、威脅等級和脆弱點等級的一個對應矩陣，預先將風險等級進行了確定。然后根據(jù)不同資產的賦值從矩陣中確定不同的風險。使用本方法需要首先確定資產、威脅和脆弱點的賦值，要完成這些賦值，需要組織內部的管理人員、技術人員、后勤人員等方面的配合。資產風險判別矩陣如表3-9所示。對于每一資產的風險，都將考慮資產價值、威脅等級和脆弱點等級。例如，如果資產值為3，威脅等級為“高”，脆弱點為“低”。查表可知風險值為5。如果資產值為2，威脅為“低”，脆弱點為“高”，則風險值為4。由上表可以推知，風險矩陣會隨著資產值的增加、威脅等級的增加和脆弱點等級的增加而擴大。風險計算方法1.風險矩陣測量法這種方法的98風險計算方法威脅級別低中高脆弱點級別低中高低中高低中高00121232341123234345資產值223434545633454565674456567678風險計算方法威脅級別低中高脆弱點級別低中高低中高低中高00199風險計算方法2.威脅分級計算法這種方法是直接考慮威脅、威脅導致的安全事件對資產產生的影響以及威脅導致安全事件發(fā)生的可能性來確定風險。使用這種方法時，首先確定威脅導致的安全事件對資產產生的影響，可用等級來表示。識別威脅的過程可以通過兩種方法完成。一是準備威脅列表，讓系統(tǒng)所有者去選擇相應資產的威脅，或由評估團隊的人員識別相關的威脅，進行分析和歸類。風險計算方法2.威脅分級計算法這種方法是直100風險計算方法資產威脅描述影響（資產）值威脅發(fā)生可能性(c)風險測度風險等級劃分某個資產威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483風險計算方法資產威脅描述影響（資產）值威脅發(fā)生可能性(c)風101風險計算方法然后評價威脅導致安全事件發(fā)生的可能性。在確定影響值和可能性之后，計算風險值。風險的計算方法，可以是影響值與可能性之積，也可以是之和，或利用前面所述的效用函數(shù)來計算，具體算法由用戶來定。在本例中，將威脅的影響值確定為5個等級，威脅發(fā)生的可能性也確定為5個等級。而風險的測量采用以上兩值的乘積。在具體評估中，可以根據(jù)這種方法明確表示“資產——威脅——風險”的對應關系。風險計算方法然后評價威脅導致安全事件發(fā)生的可102風險計算方法3風險綜合評價法這種方法中風險由威脅導致的安全事件發(fā)生的可能性、對資產的影響程度以及已經存在的控制措施三個方面來確定。與風險矩陣法和威脅分級法不同，本方法將控制措施的采用引入風險的評價之中。在這種方法中，識別威脅的類型是很重要的。從資產的識別開始，接著識別威脅以及對應安全事件發(fā)生的可能性。然后對威脅造成的影響進行分析，在這里對威脅的影響進行了分類型的考慮。比如對人員的影響、對財產的影響、對業(yè)務的影響。在考慮這些影響時，是在假定不存在控制措施的情況下的影響。將以上各值相加添入數(shù)值表中。比如，本例中將可能性分為5級：1—5；影響也分為5級：1—5。在可能性和影響確定后，計算總的影響值。本例中采用加法。方法也可由用戶在使用過程中確定。最后分析是否采用了能夠減小威脅的控制措施。這種控制措施包括從內部建立的和從外部保障的，并確定它們的有效性，對其賦值。本例中將控制措施的有效性有小到大分為5個等級，1—5。在此基礎上再求出總值，即風險值，本例采用“影響值－控制措施賦值”來計算。風險計算方法3風險綜合評價法這種方法中風險由威脅導致的安103風險計算方法威脅類型可能性對人的影響對財產的影響對業(yè)務的影響影響值已采用的控制措施風險度量內部外部威脅A41128224風險計算方法威脅類型可能性對人的影響對財產的影響對業(yè)務的影響104風險評估案例風險評估案例1案例介紹2資產識別與評估3威脅識別與評估4脆弱點識別與評估5風險分析與等級劃分6安全措施的選取風險評估案例風險評估案例1案例介紹105風險評估案例1案例介紹多媒體教學系統(tǒng)是學校常用的信息系統(tǒng)，它為課堂教學提供信息化平臺。本節(jié)以多媒體教學系統(tǒng)這一簡單信息系統(tǒng)為例講述詳細風險評估的實施過程。對多媒體教學系統(tǒng)，其安全需求主要表現(xiàn)為系統(tǒng)的可用性，而完整性、機密性安全需求很低，通常不會涉及到，因而風險評估主要圍繞系統(tǒng)的可用性展開，風險評估的目的是通過分析系統(tǒng)面臨的影響系統(tǒng)可用性的安全風險，并選取相應的安全措施降低風險。風險評估案例1案例介紹多媒體教學系統(tǒng)是106風險評估案例2資產識別與評估通過分析多媒體教學系統(tǒng)在硬件、軟件、信息、有關人員等方面的資產信息，并考察這些資產的價值以及對信息系統(tǒng)的關鍵程度。經識別與分析后，有關資產及其關鍵程度如下表。資產類別名稱關鍵程度硬件多媒體電腦高4投影儀高4控制臺中3供電設備高4投影幕低2空調中3網絡電纜及接口低2軟件系統(tǒng)軟件中3課件播放軟件中3應用軟件中3殺毒軟件低2信息多媒體課件低2演示程序低2人員課室管理人員中3技術支持人員中3安全保衛(wèi)人員低2風險評估案例2資產識別與評估通過分析多媒體教學系統(tǒng)在硬件107風險評估案例3威脅識別與評估通過對上述各類資產面臨的主要安全威脅進行分析，并依據(jù)其出現(xiàn)的可能性大小對各類威脅進行評估，結果如下表所示。威脅類型威脅表現(xiàn)形式評估等級自然威脅地震、颶風、火山、洪水、海嘯、泥石流、暴風雪、雪崩、雷電等很低1環(huán)境威脅供電中斷中3火災、供水故障、污染、極端溫度或濕度低2系統(tǒng)威脅電腦、投影儀硬件故障低2網絡故障中3系統(tǒng)軟件、應用軟件故障、課件播放軟件故障高4惡意代碼很高5人員威脅盜竊高4物理硬件故意破壞中3誤操作很高5疾病或其他原因導致不能及時到崗中3風險評估案例3威脅識別與評估通過對上述各類資產面臨的主要108風險評估案例4脆弱點識別與評估脆弱點識別應對針對已識別的每一類資產，考慮可能存在的脆弱點，它包括技術脆弱點與管理脆弱點，本例中由于技術問題簡單，因而主要表現(xiàn)為管理方面的脆弱性。為提高效率，脆弱點識別還應結合威脅識別的結果，重點考察可能導致安全事件的威脅-脆弱點對，在脆弱點識別后，再依據(jù)脆弱點的嚴重程度對脆弱點進行評估。評估結果如下表所示。可能威脅脆弱點評估等級供電中斷沒有備用電源高4盜竊、物理破壞安全保衛(wèi)機制不健全很高5疾病或其他原因導致不能及時到崗課室鑰匙管理人員無“備份”高4多媒體技術支持人員無“備份”高4誤操作老師對多媒體課室使用注意事項不熟悉很高5火災未部署防火設施很高5極端溫度及濕度未安裝空調及除濕設備高4軟件故障軟件的安裝與卸載權限管理機制不嚴高4惡意代碼殺毒軟件不能及時升級低2自然威脅硬件物理保護不夠很高5硬件故障硬件使用壽命有限或其他原因高4風險評估案例4脆弱點識別與評估脆弱點識別應對針對已識別的109風險評估案例5風險分析與等級劃分根據(jù)資產識別、威脅識別、脆弱點識別的結果，通過考察可能出現(xiàn)的資產-威脅-脆弱點三元組，就可獲取系統(tǒng)面臨的安全風險。而隨后進行的風險分析主要考察風險導致的影響及出現(xiàn)的可能性的大小。此處為簡單起見影響風險主要依據(jù)脆弱點評估的結果。若風險事件發(fā)生后，造成關鍵硬件毀壞，風險影響級別為“很高”；若未損壞硬件，但系統(tǒng)不能使用，課堂教學無法進行，風險影響級別為“高”，若未損壞硬件，但造成系統(tǒng)使用不方便，課堂教學效果受影響，風險影響級別為“中”，若對課堂教學基本無影響，則風險影響級別為“低”。風險評估案例5風險分析與等級劃分根據(jù)資110風險標識資產威脅脆弱點影響分析影響等級R1多媒體系統(tǒng)供電中斷沒有備用電源系統(tǒng)無法使用高4R2誤操作老師對多媒體課室使用注意事項不熟悉硬件損害或軟件誤刪除很高5R3自然威脅硬件物理保護不夠設備物理破壞很高5R4硬件盜竊、物理破壞安全保衛(wèi)機制不健全硬件被破壞或被盜很高5R5火災未部署防火設施系統(tǒng)被燒毀很高5R6極端溫度及濕度未安裝空調及除濕設備系統(tǒng)使用不正常中3R7硬件故障硬件使用壽命有限或其他原因硬件不能正常使用高4R8軟件軟件故障軟件的安裝與卸載權限管理機制不嚴所需軟件被卸載，不能正常使用高4R9惡意代碼殺毒軟件不能及時升級系統(tǒng)運行很慢低2R10人員疾病或其他原因導致不能及時到崗鑰匙管理人員不可達，無“備份”多媒體課室門不能及時打開高4R11多媒體技術支持人員無“備份”技術支持不能及時到位中3風險標識資產威脅脆弱點影響分析影響等級R1多媒體供電中斷沒有111可能性分析主要依據(jù)威脅評估等級。最后根據(jù)影響分析及可能性分析的結果來進行風險評估，此處采用“風險=可能性×影響”的方法來計算風險。風險評估的結果如表所示。風險標識資產威脅影響評估可能性評估風險值風險等級R1多媒體系統(tǒng)供電中斷4312中R2誤操作5525很高R3自然威脅515低R4硬件盜竊、物理破壞5420很高R5火災5210中R6極端溫度及濕度326低R7硬件故障428中R8軟件軟件故障4416高R9惡意代碼2510中R10人員疾病或其他原因導致不能及時到崗4312中R11339中可能性分析主要依據(jù)威脅評估等級。最后根據(jù)影響分析及可能性分析112風險評估案例風險等級劃分方法風險可能性可忽略:1低：2中：3高：4極高：5影響程度極高5510152025高448121620中33691215低2246810可忽略112345風險評估案例風險等級劃分方法風險可能性可忽略:1低：2中：3113風險評估案例6安全措施的選取風險評估的結果表明，用戶誤操作、盜竊及硬件物理破壞導致的風險等級為“很高”，由于軟件安裝、卸載權限管理不嚴導致的軟件故障對應的安全風險為“高”，自然威脅及極端溫度和適度導致的風險級別為“低”，其余風險級別為“中”。對風險級別為“高”以上的，應重點考慮采取相應的安全措施，而對風險級別為低的可以不用處理，而對風險級別為“中”的可有選擇的處理。以上安全風險對應的安全措施如下表所示。風險評估案例6安全措施的選取風險評估的114風險評估案例風險標識資產威脅風險等級安全措施R1多媒體系統(tǒng)供電中斷中配置備用電源R2誤操作很高多媒體系統(tǒng)操作培訓R4硬件盜竊、物理破壞很高加強安全保衛(wèi)工作R5火災中配備滅火設備R7硬件故障中技術支持R8軟件軟件故障高加強權限管理，采用系統(tǒng)“一鍵還原”機制。R9惡意代碼中定期升級病毒庫R10人員疾病或其他原因導致不能及時到崗中配備多個人員備用R11中配備多個人員備用風險評估案例風險標識資產威脅風險等級安全措施R1多媒體供電中115風險評估案例由于無論采用什么安全措施，多媒體教學系統(tǒng)都會因某種原因而不能正常工作，為保證課堂教學能夠正常進行，在多媒體課室，應同時提供進行傳統(tǒng)教學所需的條件，但多媒體教學系統(tǒng)不能正常工作時，可用傳統(tǒng)教學方式替代。當然，有條件的單位可以考慮在一課室同時配備多套多媒體教學系統(tǒng)。風險評估案例由于無論采用什么安全措施，多媒體116演講完畢，謝謝觀看！演講完畢，謝謝觀看！117風險評估第七講信息安全管理之風險評估第七講信息安全管理之118風險評估信息安全風險評估概述信息安全風險評估策略信息安全風險評估流程信息安全風險評估方法風險評估案例風險評估信息安全風險評估概述信息安全風險評估策略信息安全風險119風險評估概述信息安全風險評估概述風險評估概述信息安全風險評估概述120風險評估概述A風險因子B風險因子隱患：內部失控事故外部作用產生了人們不期望的后果超出設定安全界限的狀態(tài)、行為風險評估概述A風險因子B風險因子隱患：內部失控事故外部作用產121風險評估概述系統(tǒng)減少：人的不安全行為改變：環(huán)境不安全條件減少：物的不安全狀態(tài)消除：管理缺陷預防減少事故降低事故損失安全風險管理目標風險評估概述系統(tǒng)減少：人的不安全行為改變：環(huán)境不安全條件減少122風險評估概述企業(yè)風險管理框架一個基礎三道防線管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內部審計審計委員會風險管理委員會風險評估概述企業(yè)風險管理框架一個基礎管理層第三道防線第二道防123風險評估概述一個基礎：公司治理結構建立一個健全的、以董事會為首的公司治理結構訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限貫徹一套重視風險管理的企業(yè)文化和價值觀風險評估概述一個基礎：公司治理結構建立一個健全的、以董事會為124風險評估概述第一道防線：業(yè)務單位防線(風險宇宙TM)資信制度知識產權財務流動資產與信貸資本結構市場財務報告營運法律生產程序營商環(huán)境市場結構民風與文化管治策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產機器、廠房與土地其他有形資產負債合約法規(guī)市場與銷售生產及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調查并購后整合資信管理運營組織與監(jiān)察硬件軟件網絡無形資產知識管理信