風(fēng)險評估方法介紹課件

風(fēng)險評估過程與方法(1)

---資產(chǎn)識別與賦值1風(fēng)險評估過程與方法(1)

---資產(chǎn)識別與賦值1風(fēng)險評估與管理風(fēng)險

風(fēng)險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。在信息安全領(lǐng)域，風(fēng)險（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險評估風(fēng)險管理

風(fēng)險評估（RiskAssessment）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。2風(fēng)險評估與管理風(fēng)險風(fēng)險管理（RiskManagem風(fēng)險評估與管理風(fēng)險評估和管理的目標(biāo)低影響高可能性高影響高可能性高影響低可能性低影響低可能性威脅帶來的影響威脅發(fā)生的可能性目標(biāo)采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險消減到可接受的水平。3風(fēng)險評估與管理風(fēng)險評估和管理的目標(biāo)低影響高影響高影響低影響威風(fēng)險RISKRISKRISKRISK風(fēng)險基本的風(fēng)險采取措施后剩余的風(fēng)險資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞風(fēng)險評估與管理風(fēng)險管理目標(biāo)更形象的描述4風(fēng)險RISKRISKRISKRISK風(fēng)險基本的風(fēng)險采取措施后絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

絕對的安全是不存在的！

在計算機安全領(lǐng)域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計算機是無法使用的。風(fēng)險評估與管理5絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；關(guān)鍵是實現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平風(fēng)險評估與管理6關(guān)鍵是實現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的與風(fēng)險管理相關(guān)的概念資產(chǎn)（Asset）——任何對組織具有價值的東西，包括計算機硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風(fēng)險（Risk）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。可能性（Likelihood）——對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風(fēng)險的機制、方法和措施。殘留風(fēng)險（ResidualRisk）——在實施安全措施之后仍然存在的風(fēng)險。風(fēng)險評估與管理7與風(fēng)險管理相關(guān)的概念資產(chǎn)（Asset）——任何對組織安全措施安全需求防范采取提出減少威脅弱點資產(chǎn)資產(chǎn)價值利用導(dǎo)致導(dǎo)致暴露增加具有風(fēng)險風(fēng)險要素關(guān)系模型風(fēng)險評估與管理8安全措施安全需求防范采取提出減少威脅弱點資產(chǎn)資產(chǎn)價值利用導(dǎo)致風(fēng)險管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap（）風(fēng)險評估與管理9風(fēng)險管理概念的公式化描述Risk=AssetValue×T風(fēng)險評估與管理風(fēng)險管理過程識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認(rèn)評估風(fēng)險（測量與等級劃分）接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實施選定的控制YesNo確認(rèn)并評估殘留風(fēng)險定期評估風(fēng)險評估風(fēng)險消減風(fēng)險接受風(fēng)險管理10風(fēng)險評估與管理風(fēng)險管理過程識別并評價資產(chǎn)識別并評估威脅識別并風(fēng)險評估與管理定量與定性風(fēng)險評估方法定性風(fēng)險分析優(yōu)點計算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價值和威脅頻率不必精確計算推薦的安全措施的成本流程和報告形式比較有彈性缺點本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗和能力，很難客觀地跟蹤風(fēng)險管理的效果對關(guān)鍵資產(chǎn)財務(wù)價值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風(fēng)險分析優(yōu)點評估結(jié)果是建立在獨立客觀地程序或量化指標(biāo)之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價值和預(yù)期損失易理解可利用自動化工具幫助分析缺點信息量大，計算量大，方法復(fù)雜沒有一種標(biāo)準(zhǔn)化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商投入大，費時費力定量風(fēng)險評估：試圖從數(shù)字上對安全風(fēng)險進行分析評估的一種方法。定性風(fēng)險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或高低程度定性分級。11風(fēng)險評估與管理定量與定性風(fēng)險評估方法定性風(fēng)險分析優(yōu)點計算方式信息資產(chǎn)是我們要保護的對象！風(fēng)險評估與管理12信息資產(chǎn)是我們要保護的對象！風(fēng)險評估與管理12識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全和風(fēng)險管理的首要目標(biāo)。劃入風(fēng)險評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，可以根據(jù)業(yè)務(wù)流程來識別信息資產(chǎn)。

信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無形的。

數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等

書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果

軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序

實物資產(chǎn)：計算機和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所

人員：承擔(dān)特定職能和責(zé)任的人員

服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、UPS等

組織形象與聲譽：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn)風(fēng)險評估與管理13識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全和風(fēng)險管理的首要目標(biāo)信息資產(chǎn)的屬性-CIA屬性14信息資產(chǎn)的屬性-CIA屬性14CIA屬性—機密性等級保密性Confidentiality一般資產(chǎn)人員VeryHigh4TopSecret

絕密最高敏感性的數(shù)據(jù)文件、信息處理設(shè)施和系統(tǒng)資源，僅能被極少數(shù)人知道。一旦泄漏會給公司帶來特別嚴(yán)重的損害后果可以接觸/存取各個級別的信息High3Secret

機密重要的信息、信息處理設(shè)施和系統(tǒng)資源，只能給少數(shù)必須知道者（特定的任務(wù)群體）。一旦泄漏會對公司造成嚴(yán)重的損害可以接觸/存取最高到機密級的信息Middle2Confidential

秘密一般性的公司秘密，泄漏后會給公司造成一定的損害可以接觸/存取公司一般性的秘密信息和內(nèi)部公開信息Low1InternalUseOnly

內(nèi)部公開并非敏感信息，主要限于公司內(nèi)部使用。一旦泄漏，并不會對公司造成顯著的影響可以接觸/存取內(nèi)部公開的信息15CIA屬性—機密性等級保密性Confidentiality一CIA屬性—完整性等級完整性Integrity一般資產(chǎn)人員VeryHigh4未經(jīng)授權(quán)的破壞或更改將會對信息系統(tǒng)有非常重大的影響，可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成公司級業(yè)務(wù)運作效率大大降低或停頓High3未經(jīng)授權(quán)的破壞或更改對信息系統(tǒng)有重大影響，而且（或者）對業(yè)務(wù)造成嚴(yán)重沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成單位/部門之業(yè)務(wù)運作效率降低或停頓Middle2未經(jīng)授權(quán)的破壞或更改會對信息系統(tǒng)造成一定的影響，而且（或者）給業(yè)務(wù)帶來明顯沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成相關(guān)工作任務(wù)效率降低或停頓Low1未經(jīng)授權(quán)的破壞或更改不會對信息系統(tǒng)有重大影響，也不會對業(yè)務(wù)有明顯沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，不會對業(yè)務(wù)運作造成影響16CIA屬性—完整性等級完整性Integrity一般資產(chǎn)人員VCIA屬性—可用性等級可用性Availability一般資產(chǎn)人員VeryHigh4合法使用者對信息系統(tǒng)及信息的存取可用度達到年度每天99.9%以上（7*24）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席不得超過1天，否則會對公司級業(yè)務(wù)造成影響High3合法使用者對信息系統(tǒng)及信息的存取可用度達到每天95%以上（7*24）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席不得超過3天Middle2合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間達到100%（5*8）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席超過3天，但不能超過10天Low1合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間至少達到50%以上（5*8）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席超過10天17CIA屬性—可用性等級可用性Availability一般資產(chǎn)關(guān)鍵活動OwnerInputOutput度量改進？資源規(guī)范記錄ISMS范圍生產(chǎn)管理生產(chǎn)倉庫物流技術(shù)開發(fā)銷售/市場通過業(yè)務(wù)流程的分析來識別資產(chǎn)風(fēng)險評估與管理18關(guān)鍵活動OwnerInputOutput度量改進？資源規(guī)范記信息資產(chǎn)登記表圖例風(fēng)險評估與管理19信息資產(chǎn)登記表圖例風(fēng)險評估與管理19資產(chǎn)評價時應(yīng)該考慮：信息資產(chǎn)因為受損而對業(yè)務(wù)造成的直接損失；信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力；信息資產(chǎn)受損對其他部門的業(yè)務(wù)造成的影響；組織在公眾形象和名譽上的損失；因為業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢降級而引發(fā)的間接損失；其他損失，例如保險費用的增加。定性分析時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或后果?？梢愿鶕?jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級。應(yīng)該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。評價信息資產(chǎn)風(fēng)險評估與管理20資產(chǎn)評價時應(yīng)該考慮：評價信息資產(chǎn)風(fēng)險評估與管理20練習(xí)1：識別并評價信息資產(chǎn)以我們現(xiàn)在的培訓(xùn)環(huán)境和培訓(xùn)活動（業(yè)務(wù)）為風(fēng)險評估的范圍請舉出5種信息資產(chǎn)的例子描述這些信息資產(chǎn)對你組織的價值風(fēng)險評估與管理21練習(xí)1：識別并評價信息資產(chǎn)以我們現(xiàn)在的培訓(xùn)環(huán)境和培訓(xùn)活動（業(yè)高（4）：非常重要，缺了這個資產(chǎn)（CIA的喪失），業(yè)務(wù)活動將中斷并且遭受不可挽回的損失中（3）：比較重要，缺了這個資產(chǎn)（CIA的喪失或受損），業(yè)務(wù)活動將被迫延緩，造成明顯損失低（2）：不太重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上影響不大很低(1):不重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上影響很低練習(xí)1續(xù)：資產(chǎn)重要性等級標(biāo)準(zhǔn)風(fēng)險評估與管理22高（4）：非常重要，缺了這個資產(chǎn)（CIA的喪失），業(yè)務(wù)活動將風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）CIA23風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）CIA23風(fēng)險評估過程與方法(2)

--弱點和威脅查找24風(fēng)險評估過程與方法(2)

--弱點和威脅查找24我們的信息資產(chǎn)面臨諸多外在威脅

信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震風(fēng)險評估與管理25我們的信息資產(chǎn)面臨諸多外在威脅信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客識別并評估威脅風(fēng)險評估與管理識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來源）：

人員威脅：故意破壞和無意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺風(fēng)、雷電等威脅對資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個方面的受損上。對威脅的評估，主要考慮其發(fā)生的可能性。評估威脅可能性時要考慮威脅源的動機（Motivation）和能力（Capability）這兩個因素，可以用“高”、“中”、“低”三級來衡量，但更多時候是和弱點結(jié)合起來考慮。26識別并評估威脅風(fēng)險評估與管理識別每項（類）資產(chǎn)可能面臨的威脅評估表圖例風(fēng)險評估與管理27威脅評估表圖例風(fēng)險評估與管理27對威脅來源的定位，其實是綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起的，但歸根結(jié)底，還是人在起著決定性的作用，無論是系統(tǒng)自身的缺陷，還是配置管理上的不善，都是因為人的參與（訪問操作或攻擊破壞），才給網(wǎng)絡(luò)的安全帶來了種種隱患和威脅。InternetDMZ遠(yuǎn)程辦公惡意者商業(yè)伙伴Extranet供應(yīng)商HRR&DFinanceMarketing外部人員威脅內(nèi)部人員威脅其他人員的威脅Intranet人是最關(guān)鍵的威脅因素風(fēng)險評估與管理28對威脅來源的定位，其實是綜合了人為因素和系統(tǒng)自威脅不僅僅來自公司外部黑客雖然可怕，可更多時候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害據(jù)權(quán)威部門統(tǒng)計，內(nèi)部人員犯罪（或于內(nèi)部人員有關(guān)的犯罪）占到了計算機犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用風(fēng)險評估與管理29威脅不僅僅來自公司外部黑客雖然可怕，可更多時候，內(nèi)部人員練習(xí)2：識別并評價威脅針對剛才列舉的5項信息資產(chǎn)，分別指出各自面臨的最突出的威脅？單就威脅本身來說，其存在的可能性有多大(先不考慮現(xiàn)有的控制措施，也不考慮資產(chǎn)的弱點）？風(fēng)險評估與管理30練習(xí)2：識別并評價威脅針對剛才列舉的5項信息資產(chǎn)，分別指出各練習(xí)2續(xù)：威脅可能性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級可能性取值可能性描述（威脅發(fā)生的頻率）VeryHigh4每月發(fā)生一次或更多High3每個季度發(fā)生一次Middle2每半年發(fā)生一次Low1每年發(fā)生一次或更少31練習(xí)2續(xù)：威脅可能性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級可能性取值可能風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值CIA32風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值CIA32一個巴掌拍不響！外因是條件內(nèi)因才是根本！風(fēng)險評估與管理33一個巴掌拍不響！外因是條件風(fēng)險評估與管理33識別并評估弱點風(fēng)險評估與管理針對每一項需要保護的資產(chǎn)，找到可被威脅利用的弱點，包括：

技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。

操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。

管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告專業(yè)機構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試對弱點的評估需要結(jié)合威脅因素，主要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度），也可以用“高”、“中”、“低”三級來衡量。如果資產(chǎn)沒有弱點或者弱點很輕微，威脅源無論能力或動機如何，都很難對資產(chǎn)造成損害。34識別并評估弱點風(fēng)險評估與管理針對每一項需要保護的資產(chǎn)，找信息系統(tǒng)存在諸多危及安全的漏洞風(fēng)險評估與管理——摘自CERT/CC的統(tǒng)計報告2019年12月35信息系統(tǒng)存在諸多危及安全的漏洞風(fēng)險評估與管理——摘自CER人最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，泄漏敏感信息隨便在服務(wù)器上接Modem，或者隨意將服務(wù)器連入網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題風(fēng)險評估與管理36人最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁風(fēng)險評資產(chǎn)威脅A來源A1來源A2……威脅B來源B1來源B2……弱點A1弱點A2……弱點B1弱點B2……資產(chǎn)、威脅和弱點的關(guān)系弱點威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破壞軟件軟件，信譽竊取軟件數(shù)據(jù)完整性，信譽沒有應(yīng)急計劃火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存儲介質(zhì)、數(shù)據(jù)可用性、軟件、信譽竊取軟件數(shù)據(jù)完整性，信譽風(fēng)險評估與管理37資產(chǎn)威脅A來源A1來源A2……威脅B來源B1來源B2……弱點練習(xí)3(1)：識別并評價弱點考慮到面臨的威脅，找到每一項資產(chǎn)可能存在并被威脅利用的弱點？只選擇最明顯并最嚴(yán)重的。評價該弱點的嚴(yán)重性風(fēng)險評估與管理38練習(xí)3(1)：識別并評價弱點考慮到面臨的威脅，找到每一項資產(chǎn)練習(xí)3（2）：弱點嚴(yán)重性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級嚴(yán)重性取值嚴(yán)重性描述（弱點一旦被利用可能對資產(chǎn)造成的沖擊）VeryHigh4弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－立即停止為相關(guān)業(yè)務(wù)提供服務(wù)，半天內(nèi)無法恢復(fù)

－或者完全被威脅源所控制，使該資產(chǎn)完全不可信

－或者完全泄密High3弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－立即停止為相關(guān)業(yè)務(wù)提供服務(wù)，但半天內(nèi)可以恢復(fù)

－或者被威脅源獲得部分控制權(quán)，基本上不可信

－或者大部分泄密Middle2弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－降低為相關(guān)業(yè)務(wù)提供服務(wù)的效率，但服務(wù)仍可繼續(xù)

－或者基本上還可信，只是在控制上不大便利

－或者小部分泄密Low1弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－對繼續(xù)為相關(guān)業(yè)務(wù)提供服務(wù)沒有影響

－仍然可信

－不會泄密39練習(xí)3（2）：弱點嚴(yán)重性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級嚴(yán)重性取值風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值CIA40風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值CI風(fēng)險評估過程與方法(3)

--風(fēng)險評價和控制措施制定41風(fēng)險評估過程與方法(3)

--風(fēng)險評價和控制措施制定41風(fēng)險評價風(fēng)險評估與管理確定風(fēng)險的等級，有兩個關(guān)鍵因素要考慮（定性風(fēng)險評估）：威脅對信息資產(chǎn)造成的影響（后果）威脅發(fā)生的可能性影響可以通過資產(chǎn)的價值（重要性）評估來確定?？赡苄钥梢愿鶕?jù)對威脅因素和弱點因素的綜合考慮來確定。最終通過風(fēng)險評估矩陣或者直接的簡單運算得出風(fēng)險水平。

威脅可能性1234弱點嚴(yán)重性1234123412341234資產(chǎn)價值1123424683691248121622468481216612182481624323369126121824918273612243648448121681624321224364816324864RiskLevelRiskValueVeryHigh48，64High24，27，32，36Medium9,12，16，18Low1，2，3，4，6，842風(fēng)險評價風(fēng)險評估與管理確定風(fēng)險的等級，有兩個關(guān)鍵因素要考風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。確定風(fēng)險因子：資產(chǎn)為2，弱點值為3，威脅值為3評估風(fēng)險：套用風(fēng)險分析矩陣，該風(fēng)險被定為高風(fēng)險（18）應(yīng)對風(fēng)險：根據(jù)公司風(fēng)險評估計劃中確定的風(fēng)險接受水平，應(yīng)該對該風(fēng)險采取措施予以消減。風(fēng)險評價示例風(fēng)險評估與管理

威脅可能性1234弱點嚴(yán)重性1234123412341234資產(chǎn)價值112342468369124812162246848121661218248162432336912612182491827361224364844812168162432122436481632486443風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解練習(xí)4：進行風(fēng)險評估資產(chǎn)、威脅、弱點，構(gòu)成一個風(fēng)險場景從資產(chǎn)價值去考慮影響因素從威脅和弱點去考慮可能性因素用風(fēng)險評估矩陣評估風(fēng)險風(fēng)險評估與管理44練習(xí)4：進行風(fēng)險評估資產(chǎn)、威脅、弱點，構(gòu)成一個風(fēng)險場景風(fēng)險評練習(xí)4續(xù)：風(fēng)險評估矩陣風(fēng)險評估與管理

威脅可能性1234弱點嚴(yán)重性1234123412341234資產(chǎn)價值112342468369124812162246848121661218248162432336912612182491827361224364844812168162432122436481632486445練習(xí)4續(xù)：風(fēng)險評估矩陣風(fēng)險評估與管理威脅可能性1234弱點風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值風(fēng)險值CIA46風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值風(fēng)險風(fēng)險評估與管理從針對性和實施方式來看，控制措施包括三類：

管理性（Administrative）：對系統(tǒng)的開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風(fēng)險管理、安全保障、系統(tǒng)生命周期管理等。

操作性（Operational）：用來保護系統(tǒng)和應(yīng)用操作的流程和機制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。

技術(shù)性（Technical）：身份識別與認(rèn)證、邏輯訪問控制、日志審計、加密等。從功能來看，控制措施類型包括：威懾性（Deterrent）預(yù)防性（Preventive）檢測性（Detective）糾正性（Corrective）對于現(xiàn)有的控制措施，可以取消、替換或保持。威脅弱點威脅事件防止威懾性控制影響利用引發(fā)造成保護發(fā)現(xiàn)減小預(yù)防性控制檢測性控制糾正性控制識別現(xiàn)有的控制措施47風(fēng)險評估與管理從針對性和實施方式來看，控制措施包括三類：練習(xí)5：識別現(xiàn)有的控制措施之前我們識別并評價的風(fēng)險，是否存在相關(guān)的控制措施？各屬于什么類型？風(fēng)險評估與管理48練習(xí)5：識別現(xiàn)有的控制措施之前我們識別并評價的風(fēng)險，是否存在確定風(fēng)險消減策略降低風(fēng)險（ReduceRisk）——實施有效控制，將風(fēng)險降低到可接受的程度，實際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，建立并實施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機會。減少弱點：例如，通過安全教育和意識培訓(xùn)，強化職員的安全意識與安全操作能力。降低影響：例如，制定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份。規(guī)避風(fēng)險（AvoidRisk）——或者RejectingRisk。有時候，組織可以選擇放棄某些可能引來風(fēng)險的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風(fēng)險（TransferRisk）——也稱作RiskAssignment。將風(fēng)險全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購買商業(yè)保險。接受風(fēng)險（AcceptRisk）——在實施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以選擇接受，即所謂的無作為。風(fēng)險評估與管理49確定風(fēng)險消減策略降低風(fēng)險（ReduceRisk）——風(fēng)險評估與管理選擇控制措施依據(jù)風(fēng)險評估的結(jié)果來選擇安全控制措施。選擇安全措施（對策）時需要進行成本效益分析（cost/benefitanalysis）：基本原則：實施安全措施的代價不應(yīng)該大于所要保護資產(chǎn)的價值控制成本：購買費用，對業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費用，維護費用等控制價值＝?jīng)]有實施控制前的損失－控制的成本－實施安全控制之后的損失除了成本效益，還應(yīng)該考慮：控制的易用性對用戶的透明度控制自身的強度控制的功能類型（預(yù)防、威懾、檢測、糾正）可以從BS7799規(guī)定的控制目標(biāo)范圍中選擇控制。確定所選安全措施的效力，就是看實施新措施之后還有什么殘留風(fēng)險。50風(fēng)險評估與管理選擇控制措施依據(jù)風(fēng)險評估的結(jié)果來選擇安全控評價殘留風(fēng)險絕對安全（即零風(fēng)險）是不可能的。實施安全控制后會有殘留風(fēng)險或殘存風(fēng)險（ResidualRisk）。為了確保信息安全，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)：殘留風(fēng)險Rr＝原有的風(fēng)險R0－控制ΔR殘留風(fēng)險Rr≤可接受的風(fēng)險Rt對殘留風(fēng)險進行確認(rèn)和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。風(fēng)險評估與管理51評價殘留風(fēng)險絕對安全（即零風(fēng)險）是不可能的。風(fēng)險評估與管風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。實施控制之前：后果為2，威脅值是3，弱點值為3，風(fēng)險為18。實施控制之后：后果為2，威脅值降為2，弱點值降為1，殘留風(fēng)險為4（低風(fēng)險）。應(yīng)對殘留風(fēng)險：殘留風(fēng)險在可接受范圍內(nèi)，說明控制措施的應(yīng)用是成功的。風(fēng)險評估與管理殘留風(fēng)險示例

風(fēng)險可能性威脅值123弱點值123123123風(fēng)險影響/資產(chǎn)價值112324636922464812612183369612189182752風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解練習(xí)6：選擇控制，評價殘留風(fēng)險首先，要確定一個風(fēng)險接受的標(biāo)準(zhǔn)針對之前識別出來的風(fēng)險，選擇最合適的控制措施評價實施控制措施之后的殘留風(fēng)險風(fēng)險評估與管理53練習(xí)6：選擇控制，評價殘留風(fēng)險首先，要確定一個風(fēng)險接受的標(biāo)準(zhǔn)練習(xí)6續(xù)：風(fēng)險評估矩陣風(fēng)險評估與管理

風(fēng)險可能性威脅值123弱點值123123123風(fēng)險影響/資產(chǎn)價值112324636922464812612183369612189182754練習(xí)6續(xù)：風(fēng)險評估矩陣風(fēng)險評估與管理風(fēng)險可能性威脅值123風(fēng)險評估與管理資產(chǎn)名稱價值威脅弱點風(fēng)險處理前控制措施風(fēng)險處理后CIA威脅值弱點值風(fēng)險值威脅值弱點值風(fēng)險值風(fēng)險接受水平：____55風(fēng)險評估與管理資產(chǎn)名稱價值威脅弱點風(fēng)險處理前控制措施風(fēng)險處理風(fēng)險評估與管理接下來。。。。。。制定風(fēng)險處理計劃：控制實施人員、時間、實施效果復(fù)查計劃編寫配套的指導(dǎo)文件：信息安全策略和程序文件、作業(yè)指導(dǎo)書和記錄等按照計劃實施Review和內(nèi)部審核，檢查控制實施效果如果發(fā)生重大變化，或者按照既定計劃，重新再做一次風(fēng)險評估，找到新的風(fēng)險點56風(fēng)險評估與管理接下來。。。。。。制定風(fēng)險處理計劃：控制實5757Q&A?58?58風(fēng)險評估過程與方法(1)

---資產(chǎn)識別與賦值59風(fēng)險評估過程與方法(1)

---資產(chǎn)識別與賦值1風(fēng)險評估與管理風(fēng)險

風(fēng)險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。在信息安全領(lǐng)域，風(fēng)險（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險評估風(fēng)險管理

風(fēng)險評估（RiskAssessment）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。60風(fēng)險評估與管理風(fēng)險風(fēng)險管理（RiskManagem風(fēng)險評估與管理風(fēng)險評估和管理的目標(biāo)低影響高可能性高影響高可能性高影響低可能性低影響低可能性威脅帶來的影響威脅發(fā)生的可能性目標(biāo)采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險消減到可接受的水平。61風(fēng)險評估與管理風(fēng)險評估和管理的目標(biāo)低影響高影響高影響低影響威風(fēng)險RISKRISKRISKRISK風(fēng)險基本的風(fēng)險采取措施后剩余的風(fēng)險資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞風(fēng)險評估與管理風(fēng)險管理目標(biāo)更形象的描述62風(fēng)險RISKRISKRISKRISK風(fēng)險基本的風(fēng)險采取措施后絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

絕對的安全是不存在的！

在計算機安全領(lǐng)域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。”顯然，這樣的計算機是無法使用的。風(fēng)險評估與管理63絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；關(guān)鍵是實現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平風(fēng)險評估與管理64關(guān)鍵是實現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的與風(fēng)險管理相關(guān)的概念資產(chǎn)（Asset）——任何對組織具有價值的東西，包括計算機硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風(fēng)險（Risk）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）——對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風(fēng)險的機制、方法和措施。殘留風(fēng)險（ResidualRisk）——在實施安全措施之后仍然存在的風(fēng)險。風(fēng)險評估與管理65與風(fēng)險管理相關(guān)的概念資產(chǎn)（Asset）——任何對組織安全措施安全需求防范采取提出減少威脅弱點資產(chǎn)資產(chǎn)價值利用導(dǎo)致導(dǎo)致暴露增加具有風(fēng)險風(fēng)險要素關(guān)系模型風(fēng)險評估與管理66安全措施安全需求防范采取提出減少威脅弱點資產(chǎn)資產(chǎn)價值利用導(dǎo)致風(fēng)險管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap（）風(fēng)險評估與管理67風(fēng)險管理概念的公式化描述Risk=AssetValue×T風(fēng)險評估與管理風(fēng)險管理過程識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認(rèn)評估風(fēng)險（測量與等級劃分）接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實施選定的控制YesNo確認(rèn)并評估殘留風(fēng)險定期評估風(fēng)險評估風(fēng)險消減風(fēng)險接受風(fēng)險管理68風(fēng)險評估與管理風(fēng)險管理過程識別并評價資產(chǎn)識別并評估威脅識別并風(fēng)險評估與管理定量與定性風(fēng)險評估方法定性風(fēng)險分析優(yōu)點計算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價值和威脅頻率不必精確計算推薦的安全措施的成本流程和報告形式比較有彈性缺點本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗和能力，很難客觀地跟蹤風(fēng)險管理的效果對關(guān)鍵資產(chǎn)財務(wù)價值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風(fēng)險分析優(yōu)點評估結(jié)果是建立在獨立客觀地程序或量化指標(biāo)之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價值和預(yù)期損失易理解可利用自動化工具幫助分析缺點信息量大，計算量大，方法復(fù)雜沒有一種標(biāo)準(zhǔn)化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商投入大，費時費力定量風(fēng)險評估：試圖從數(shù)字上對安全風(fēng)險進行分析評估的一種方法。定性風(fēng)險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或高低程度定性分級。69風(fēng)險評估與管理定量與定性風(fēng)險評估方法定性風(fēng)險分析優(yōu)點計算方式信息資產(chǎn)是我們要保護的對象！風(fēng)險評估與管理70信息資產(chǎn)是我們要保護的對象！風(fēng)險評估與管理12識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全和風(fēng)險管理的首要目標(biāo)。劃入風(fēng)險評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，可以根據(jù)業(yè)務(wù)流程來識別信息資產(chǎn)。

信息資產(chǎn)的存在形式有多種，物理的、邏輯的、無形的。

數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等

書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果

軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序

實物資產(chǎn)：計算機和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所

人員：承擔(dān)特定職能和責(zé)任的人員

服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、UPS等

組織形象與聲譽：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn)風(fēng)險評估與管理71識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全和風(fēng)險管理的首要目標(biāo)信息資產(chǎn)的屬性-CIA屬性72信息資產(chǎn)的屬性-CIA屬性14CIA屬性—機密性等級保密性Confidentiality一般資產(chǎn)人員VeryHigh4TopSecret

絕密最高敏感性的數(shù)據(jù)文件、信息處理設(shè)施和系統(tǒng)資源，僅能被極少數(shù)人知道。一旦泄漏會給公司帶來特別嚴(yán)重的損害后果可以接觸/存取各個級別的信息High3Secret

機密重要的信息、信息處理設(shè)施和系統(tǒng)資源，只能給少數(shù)必須知道者（特定的任務(wù)群體）。一旦泄漏會對公司造成嚴(yán)重的損害可以接觸/存取最高到機密級的信息Middle2Confidential

秘密一般性的公司秘密，泄漏后會給公司造成一定的損害可以接觸/存取公司一般性的秘密信息和內(nèi)部公開信息Low1InternalUseOnly

內(nèi)部公開并非敏感信息，主要限于公司內(nèi)部使用。一旦泄漏，并不會對公司造成顯著的影響可以接觸/存取內(nèi)部公開的信息73CIA屬性—機密性等級保密性Confidentiality一CIA屬性—完整性等級完整性Integrity一般資產(chǎn)人員VeryHigh4未經(jīng)授權(quán)的破壞或更改將會對信息系統(tǒng)有非常重大的影響，可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成公司級業(yè)務(wù)運作效率大大降低或停頓High3未經(jīng)授權(quán)的破壞或更改對信息系統(tǒng)有重大影響，而且（或者）對業(yè)務(wù)造成嚴(yán)重沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成單位/部門之業(yè)務(wù)運作效率降低或停頓Middle2未經(jīng)授權(quán)的破壞或更改會對信息系統(tǒng)造成一定的影響，而且（或者）給業(yè)務(wù)帶來明顯沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成相關(guān)工作任務(wù)效率降低或停頓Low1未經(jīng)授權(quán)的破壞或更改不會對信息系統(tǒng)有重大影響，也不會對業(yè)務(wù)有明顯沖擊如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，不會對業(yè)務(wù)運作造成影響74CIA屬性—完整性等級完整性Integrity一般資產(chǎn)人員VCIA屬性—可用性等級可用性Availability一般資產(chǎn)人員VeryHigh4合法使用者對信息系統(tǒng)及信息的存取可用度達到年度每天99.9%以上（7*24）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席不得超過1天，否則會對公司級業(yè)務(wù)造成影響High3合法使用者對信息系統(tǒng)及信息的存取可用度達到每天95%以上（7*24）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席不得超過3天Middle2合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間達到100%（5*8）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席超過3天，但不能超過10天Low1合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間至少達到50%以上（5*8）如果要維持業(yè)務(wù)正常運作，可以容忍該人員所承擔(dān)職務(wù)突然缺席超過10天75CIA屬性—可用性等級可用性Availability一般資產(chǎn)關(guān)鍵活動OwnerInputOutput度量改進？資源規(guī)范記錄ISMS范圍生產(chǎn)管理生產(chǎn)倉庫物流技術(shù)開發(fā)銷售/市場通過業(yè)務(wù)流程的分析來識別資產(chǎn)風(fēng)險評估與管理76關(guān)鍵活動OwnerInputOutput度量改進？資源規(guī)范記信息資產(chǎn)登記表圖例風(fēng)險評估與管理77信息資產(chǎn)登記表圖例風(fēng)險評估與管理19資產(chǎn)評價時應(yīng)該考慮：信息資產(chǎn)因為受損而對業(yè)務(wù)造成的直接損失；信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力；信息資產(chǎn)受損對其他部門的業(yè)務(wù)造成的影響；組織在公眾形象和名譽上的損失；因為業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢降級而引發(fā)的間接損失；其他損失，例如保險費用的增加。定性分析時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或后果?？梢愿鶕?jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級。應(yīng)該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。評價信息資產(chǎn)風(fēng)險評估與管理78資產(chǎn)評價時應(yīng)該考慮：評價信息資產(chǎn)風(fēng)險評估與管理20練習(xí)1：識別并評價信息資產(chǎn)以我們現(xiàn)在的培訓(xùn)環(huán)境和培訓(xùn)活動（業(yè)務(wù)）為風(fēng)險評估的范圍請舉出5種信息資產(chǎn)的例子描述這些信息資產(chǎn)對你組織的價值風(fēng)險評估與管理79練習(xí)1：識別并評價信息資產(chǎn)以我們現(xiàn)在的培訓(xùn)環(huán)境和培訓(xùn)活動（業(yè)高（4）：非常重要，缺了這個資產(chǎn)（CIA的喪失），業(yè)務(wù)活動將中斷并且遭受不可挽回的損失中（3）：比較重要，缺了這個資產(chǎn)（CIA的喪失或受損），業(yè)務(wù)活動將被迫延緩，造成明顯損失低（2）：不太重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上影響不大很低(1):不重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上影響很低練習(xí)1續(xù)：資產(chǎn)重要性等級標(biāo)準(zhǔn)風(fēng)險評估與管理80高（4）：非常重要，缺了這個資產(chǎn)（CIA的喪失），業(yè)務(wù)活動將風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）CIA81風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）CIA23風(fēng)險評估過程與方法(2)

--弱點和威脅查找82風(fēng)險評估過程與方法(2)

--弱點和威脅查找24我們的信息資產(chǎn)面臨諸多外在威脅

信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門病毒和蠕蟲社會工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震風(fēng)險評估與管理83我們的信息資產(chǎn)面臨諸多外在威脅信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客識別并評估威脅風(fēng)險評估與管理識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅可能是蓄意也可能是偶然的因素（不同的性質(zhì)），通常包括（來源）：

人員威脅：故意破壞和無意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺風(fēng)、雷電等威脅對資產(chǎn)的侵害，表現(xiàn)在CIA某方面或者多個方面的受損上。對威脅的評估，主要考慮其發(fā)生的可能性。評估威脅可能性時要考慮威脅源的動機（Motivation）和能力（Capability）這兩個因素，可以用“高”、“中”、“低”三級來衡量，但更多時候是和弱點結(jié)合起來考慮。84識別并評估威脅風(fēng)險評估與管理識別每項（類）資產(chǎn)可能面臨的威脅評估表圖例風(fēng)險評估與管理85威脅評估表圖例風(fēng)險評估與管理27對威脅來源的定位，其實是綜合了人為因素和系統(tǒng)自身邏輯與物理上諸多因素在一起的，但歸根結(jié)底，還是人在起著決定性的作用，無論是系統(tǒng)自身的缺陷，還是配置管理上的不善，都是因為人的參與（訪問操作或攻擊破壞），才給網(wǎng)絡(luò)的安全帶來了種種隱患和威脅。InternetDMZ遠(yuǎn)程辦公惡意者商業(yè)伙伴Extranet供應(yīng)商HRR&DFinanceMarketing外部人員威脅內(nèi)部人員威脅其他人員的威脅Intranet人是最關(guān)鍵的威脅因素風(fēng)險評估與管理86對威脅來源的定位，其實是綜合了人為因素和系統(tǒng)自威脅不僅僅來自公司外部黑客雖然可怕，可更多時候，內(nèi)部人員威脅卻更易被忽略，但卻更容易造成危害據(jù)權(quán)威部門統(tǒng)計，內(nèi)部人員犯罪（或于內(nèi)部人員有關(guān)的犯罪）占到了計算機犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用風(fēng)險評估與管理87威脅不僅僅來自公司外部黑客雖然可怕，可更多時候，內(nèi)部人員練習(xí)2：識別并評價威脅針對剛才列舉的5項信息資產(chǎn)，分別指出各自面臨的最突出的威脅？單就威脅本身來說，其存在的可能性有多大(先不考慮現(xiàn)有的控制措施，也不考慮資產(chǎn)的弱點）？風(fēng)險評估與管理88練習(xí)2：識別并評價威脅針對剛才列舉的5項信息資產(chǎn)，分別指出各練習(xí)2續(xù)：威脅可能性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級可能性取值可能性描述（威脅發(fā)生的頻率）VeryHigh4每月發(fā)生一次或更多High3每個季度發(fā)生一次Middle2每半年發(fā)生一次Low1每年發(fā)生一次或更少89練習(xí)2續(xù)：威脅可能性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級可能性取值可能風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值CIA90風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值CIA32一個巴掌拍不響！外因是條件內(nèi)因才是根本！風(fēng)險評估與管理91一個巴掌拍不響！外因是條件風(fēng)險評估與管理33識別并評估弱點風(fēng)險評估與管理針對每一項需要保護的資產(chǎn)，找到可被威脅利用的弱點，包括：

技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。

操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。

管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告專業(yè)機構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試對弱點的評估需要結(jié)合威脅因素，主要考慮其嚴(yán)重程度（Severity）或暴露程度（Exposure，即被利用的容易度），也可以用“高”、“中”、“低”三級來衡量。如果資產(chǎn)沒有弱點或者弱點很輕微，威脅源無論能力或動機如何，都很難對資產(chǎn)造成損害。92識別并評估弱點風(fēng)險評估與管理針對每一項需要保護的資產(chǎn)，找信息系統(tǒng)存在諸多危及安全的漏洞風(fēng)險評估與管理——摘自CERT/CC的統(tǒng)計報告2019年12月93信息系統(tǒng)存在諸多危及安全的漏洞風(fēng)險評估與管理——摘自CER人最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，泄漏敏感信息隨便在服務(wù)器上接Modem，或者隨意將服務(wù)器連入網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題風(fēng)險評估與管理94人最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁風(fēng)險評資產(chǎn)威脅A來源A1來源A2……威脅B來源B1來源B2……弱點A1弱點A2……弱點B1弱點B2……資產(chǎn)、威脅和弱點的關(guān)系弱點威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破壞軟件軟件，信譽竊取軟件數(shù)據(jù)完整性，信譽沒有應(yīng)急計劃火災(zāi)、颶風(fēng)、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存儲介質(zhì)、數(shù)據(jù)可用性、軟件、信譽竊取軟件數(shù)據(jù)完整性，信譽風(fēng)險評估與管理95資產(chǎn)威脅A來源A1來源A2……威脅B來源B1來源B2……弱點練習(xí)3(1)：識別并評價弱點考慮到面臨的威脅，找到每一項資產(chǎn)可能存在并被威脅利用的弱點？只選擇最明顯并最嚴(yán)重的。評價該弱點的嚴(yán)重性風(fēng)險評估與管理96練習(xí)3(1)：識別并評價弱點考慮到面臨的威脅，找到每一項資產(chǎn)練習(xí)3（2）：弱點嚴(yán)重性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級嚴(yán)重性取值嚴(yán)重性描述（弱點一旦被利用可能對資產(chǎn)造成的沖擊）VeryHigh4弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－立即停止為相關(guān)業(yè)務(wù)提供服務(wù)，半天內(nèi)無法恢復(fù)

－或者完全被威脅源所控制，使該資產(chǎn)完全不可信

－或者完全泄密High3弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－立即停止為相關(guān)業(yè)務(wù)提供服務(wù)，但半天內(nèi)可以恢復(fù)

－或者被威脅源獲得部分控制權(quán)，基本上不可信

－或者大部分泄密Middle2弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－降低為相關(guān)業(yè)務(wù)提供服務(wù)的效率，但服務(wù)仍可繼續(xù)

－或者基本上還可信，只是在控制上不大便利

－或者小部分泄密Low1弱點一旦被威脅利用，會造成存在此弱點的信息資產(chǎn)：

－對繼續(xù)為相關(guān)業(yè)務(wù)提供服務(wù)沒有影響

－仍然可信

－不會泄密97練習(xí)3（2）：弱點嚴(yán)重性等級標(biāo)準(zhǔn)風(fēng)險評估與管理等級嚴(yán)重性取值風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值CIA98風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值CI風(fēng)險評估過程與方法(3)

--風(fēng)險評價和控制措施制定99風(fēng)險評估過程與方法(3)

--風(fēng)險評價和控制措施制定41風(fēng)險評價風(fēng)險評估與管理確定風(fēng)險的等級，有兩個關(guān)鍵因素要考慮（定性風(fēng)險評估）：威脅對信息資產(chǎn)造成的影響（后果）威脅發(fā)生的可能性影響可以通過資產(chǎn)的價值（重要性）評估來確定。可能性可以根據(jù)對威脅因素和弱點因素的綜合考慮來確定。最終通過風(fēng)險評估矩陣或者直接的簡單運算得出風(fēng)險水平。

威脅可能性1234弱點嚴(yán)重性1234123412341234資產(chǎn)價值1123424683691248121622468481216612182481624323369126121824918273612243648448121681624321224364816324864RiskLevelRiskValueVeryHigh48，64High24，27，32，36Medium9,12，16，18Low1，2，3，4，6，8100風(fēng)險評價風(fēng)險評估與管理確定風(fēng)險的等級，有兩個關(guān)鍵因素要考風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。確定風(fēng)險因子：資產(chǎn)為2，弱點值為3，威脅值為3評估風(fēng)險：套用風(fēng)險分析矩陣，該風(fēng)險被定為高風(fēng)險（18）應(yīng)對風(fēng)險：根據(jù)公司風(fēng)險評估計劃中確定的風(fēng)險接受水平，應(yīng)該對該風(fēng)險采取措施予以消減。風(fēng)險評價示例風(fēng)險評估與管理

威脅可能性1234弱點嚴(yán)重性1234123412341234資產(chǎn)價值1123424683691248121622468481216612182481624323369126121824918273612243648448121681624321224364816324864101風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解練習(xí)4：進行風(fēng)險評估資產(chǎn)、威脅、弱點，構(gòu)成一個風(fēng)險場景從資產(chǎn)價值去考慮影響因素從威脅和弱點去考慮可能性因素用風(fēng)險評估矩陣評估風(fēng)險風(fēng)險評估與管理102練習(xí)4：進行風(fēng)險評估資產(chǎn)、威脅、弱點，構(gòu)成一個風(fēng)險場景風(fēng)險評練習(xí)4續(xù)：風(fēng)險評估矩陣風(fēng)險評估與管理

威脅可能性1234弱點嚴(yán)重性1234123412341234資產(chǎn)價值1123424683691248121622468481216612182481624323369126121824918273612243648448121681624321224364816324864103練習(xí)4續(xù)：風(fēng)險評估矩陣風(fēng)險評估與管理威脅可能性1234弱點風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值風(fēng)險值CIA104風(fēng)險評估與管理資產(chǎn)名稱價值（重要性）威脅威脅值弱點弱點值風(fēng)險風(fēng)險評估與管理從針對性和實施方式來看，控制措施包括三類：

管理性（Administrative）：對系統(tǒng)的開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風(fēng)險管理、安全保障、系統(tǒng)生命周期管理等。

操作性（Operational）：用來保護系統(tǒng)和應(yīng)用操作的流程和機制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、