《信息安全管理與風(fēng)險(xiǎn)評(píng)估》全套教學(xué)課件

第1章信息安全風(fēng)險(xiǎn)評(píng)估的基本概念

第2章信息安全風(fēng)險(xiǎn)評(píng)估的流程與分析方法

第3章信息風(fēng)險(xiǎn)相關(guān)技術(shù)標(biāo)準(zhǔn)和工具

第4章基于層次分析法的信息安全風(fēng)險(xiǎn)評(píng)估

第5章基于網(wǎng)絡(luò)層次分析法的信息安全風(fēng)險(xiǎn)分析研究

第6章基于風(fēng)險(xiǎn)因子的信息安全風(fēng)險(xiǎn)評(píng)估模型

第7章基于三角模糊數(shù)信息安全風(fēng)險(xiǎn)評(píng)估模型

第8章基于灰關(guān)聯(lián)分析方法的風(fēng)險(xiǎn)評(píng)估

全套可編輯PPT課件1.1信息安全

1.2信息安全風(fēng)險(xiǎn)評(píng)估的概念

1.3信息安全風(fēng)險(xiǎn)管理體系

1.4信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀1631.1信息安全信息安全是指為數(shù)據(jù)處理系統(tǒng)采取的技術(shù)和管理上的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。這里既包含了層面的概念，又包含了屬性的概念。1.1.1信息安全技術(shù)為了保障信息的機(jī)密性、完整性、可用性和可控性，必須采用相關(guān)的技術(shù)手段。這些技術(shù)手段是信息安全體系中直觀的部分，任何一方面薄弱都會(huì)產(chǎn)生巨大的危險(xiǎn)。因此，應(yīng)該合理部署、互相聯(lián)動(dòng)，使其成為一個(gè)有機(jī)的整體。具體用到的信息安全技術(shù)介紹如下：(1)加解密技術(shù)。在傳輸過(guò)程或存儲(chǔ)過(guò)程中進(jìn)行信息數(shù)據(jù)的加解密，典型的加密體制可采用對(duì)稱加密和非對(duì)稱加密。(2)VPN技術(shù)。VPN即虛擬專用網(wǎng)，通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。(3)防火墻技術(shù)。防火墻在某種意義上可以說(shuō)是一種訪問(wèn)控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，防止外界對(duì)內(nèi)部資源的非法訪問(wèn)，以及內(nèi)部對(duì)外部的不安全訪問(wèn)。(4)入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是防火墻的合理補(bǔ)充，幫助系統(tǒng)防御網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)技術(shù)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并進(jìn)行分析，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。(5)安全審計(jì)技術(shù)。安全審計(jì)包含日志審計(jì)和行為審計(jì)。日志審計(jì)協(xié)助管理員在受到攻擊后查看網(wǎng)絡(luò)日志，從而評(píng)估網(wǎng)絡(luò)配置的合理性和安全策略的有效性，追溯、分析安全攻擊軌跡，并能為實(shí)時(shí)防御提供手段。通過(guò)對(duì)員工或用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)，可確認(rèn)行為的規(guī)范性，確保管理的安全。1.1.2信息安全管理信息安全管理是指通過(guò)維護(hù)信息的機(jī)密性、完整性和可用性來(lái)管理及保護(hù)信息資產(chǎn)，是對(duì)信息安全保障進(jìn)行指導(dǎo)、規(guī)范和管理的一系列活動(dòng)與過(guò)程，具體包括以下幾個(gè)方面。1.信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，而不是一個(gè)產(chǎn)品，其本質(zhì)是風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理可以看成是一個(gè)不斷降低安全風(fēng)險(xiǎn)的過(guò)程，最終目的是使安全風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，使用戶和決策者可以接受剩余的風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過(guò)程。信息系統(tǒng)生命周期包括規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄五個(gè)階段。每個(gè)階段都存在相關(guān)風(fēng)險(xiǎn)，需要采用同樣的信息安全風(fēng)險(xiǎn)管理的方法加以控制。信息安全風(fēng)險(xiǎn)管理是為保護(hù)信息及其相關(guān)資產(chǎn)，指導(dǎo)和控制一個(gè)組織相關(guān)信息安全風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。我國(guó)《信息安全風(fēng)險(xiǎn)管理指南》指出，信息安全風(fēng)險(xiǎn)管理包括對(duì)象確立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、審核批準(zhǔn)、監(jiān)控與審查、溝通與咨詢六個(gè)方面，其中前四項(xiàng)是信息安全風(fēng)險(xiǎn)管理的基本步驟，監(jiān)控與審查和溝通與咨詢則貫穿于前四個(gè)步驟中。2.設(shè)施的安全管理設(shè)施的安全管理包括網(wǎng)絡(luò)的安全管理、保密設(shè)備的安全管理、硬件設(shè)施的安全管理、場(chǎng)地設(shè)施的安全管理等。（1）網(wǎng)絡(luò)的安全管理。網(wǎng)絡(luò)管理系統(tǒng)是一個(gè)用于收集、傳輸、處理和存儲(chǔ)有關(guān)信息系統(tǒng)與網(wǎng)絡(luò)的維護(hù)、運(yùn)行和管理信息的、高度自動(dòng)化網(wǎng)絡(luò)化的綜合管理系統(tǒng)。它包括性能管理、配置管理、故障管理、計(jì)費(fèi)管理、安全管理等功能。而安全管理又包括系統(tǒng)的安全管理、安全服務(wù)管理、安全機(jī)制管理、安全事件處理管理、安全審計(jì)管理、安全恢復(fù)管理等。（2）保密設(shè)備的安全管理。保密設(shè)備的安全管理主要包括保密性能指標(biāo)的管理，工作狀態(tài)的管理，保密設(shè)備類型、數(shù)量、分配、使用者狀況的管理及密鑰的管理。（3）硬件設(shè)施的安全管理。對(duì)硬件設(shè)施的安全管理主要考慮配置管理、使用管理、維修管理、存儲(chǔ)管理、網(wǎng)絡(luò)連接管理。常見(jiàn)的網(wǎng)絡(luò)設(shè)備需要防止電磁輻射、電磁泄漏和自然老化；對(duì)集線器、交換機(jī)、網(wǎng)關(guān)設(shè)備或路由器，還需防止受到拒絕服務(wù)、訪問(wèn)控制、后門缺陷等威脅；對(duì)傳輸介質(zhì)還需防止電磁干擾、搭線竊聽(tīng)和人為破壞；對(duì)衛(wèi)星信道、微波接力信道等需防止對(duì)信道的竊聽(tīng)及人為破壞。（4）場(chǎng)地設(shè)施的安全管理。機(jī)房和場(chǎng)地設(shè)施的安全管理需滿足防水、防火、防靜電、防雷擊、防輻射、防盜竊等國(guó)家標(biāo)準(zhǔn)。其中：人員出入控制需要根據(jù)安全等級(jí)和涉密范圍，采取必要的技術(shù)與行政措施，對(duì)人員進(jìn)入和退出的時(shí)間及進(jìn)入理由進(jìn)行登記等；電磁輻射防護(hù)需要根據(jù)技術(shù)上的可行性與經(jīng)濟(jì)上的合理性，采取設(shè)備防護(hù)、建筑物防護(hù)、區(qū)域性防護(hù)和磁場(chǎng)防護(hù)等防護(hù)手段。3.信息的安全管理根據(jù)信息化建設(shè)發(fā)展的需要，信息包括三個(gè)層次的內(nèi)容：一是在網(wǎng)絡(luò)和系統(tǒng)中被采集、傳輸、處理和存儲(chǔ)的對(duì)象，如技術(shù)文檔、存儲(chǔ)介質(zhì)、各種信息等；二是指使用的各種軟件；三是安全管理手段的密鑰和口令等信息。目前使用最廣泛的網(wǎng)絡(luò)通信協(xié)議是TCP/IP協(xié)議。由于存在許多安全設(shè)計(jì)缺陷，網(wǎng)絡(luò)信息常常面臨許多威脅。網(wǎng)絡(luò)管理軟件是安全管理的重要組成部分，常用的有HP公司的OpenView、IBM公司的NetView、SUN公司的NetManager等，當(dāng)然也需要額外的安全措施。（1）存儲(chǔ)介質(zhì)的安全管理。存儲(chǔ)介質(zhì)的安全對(duì)信息系統(tǒng)的恢復(fù)、信息的保密、防病毒起著十分關(guān)鍵的作用。對(duì)存儲(chǔ)介質(zhì)的安全管理主要考慮存儲(chǔ)管理、使用管理、復(fù)制和銷毀管理、涉密介質(zhì)的安全管理。（2）技術(shù)文檔的安全管理。技術(shù)文檔是系統(tǒng)或網(wǎng)絡(luò)在設(shè)計(jì)、開(kāi)發(fā)、運(yùn)行和維護(hù)中所有技術(shù)問(wèn)題的文字描述。技術(shù)文檔按其內(nèi)容的涉密程度進(jìn)行分級(jí)管理，一般分為絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和公開(kāi)級(jí)。對(duì)技術(shù)文檔的安全管理主要考慮文檔的使用、備份、借閱、銷毀等方面，需要建立嚴(yán)格的管理制度并指定相關(guān)負(fù)責(zé)人。（3）軟件設(shè)施的安全管理。對(duì)軟件設(shè)施的安全管理主要考慮配置管理、使用和維護(hù)管理、開(kāi)發(fā)管理和病毒管理。軟件設(shè)施主要包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)管理軟件以及網(wǎng)絡(luò)協(xié)議等。操作系統(tǒng)是整個(gè)計(jì)算機(jī)系統(tǒng)的基石，由于它的安全等級(jí)不高，需要提供不同安全等級(jí)的保護(hù)。對(duì)數(shù)據(jù)庫(kù)系統(tǒng)，需要加強(qiáng)數(shù)據(jù)庫(kù)的安全性，并采用加密技術(shù)對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)加密。（4）密鑰和口令的安全管理。密鑰是加密解密算法的關(guān)鍵，密鑰管理就是對(duì)密鑰的生成、檢驗(yàn)、分配、保存、使用、注入、更換和銷毀等過(guò)程所進(jìn)行的管理?？诹钍沁M(jìn)行設(shè)備管理的一種有效手段，對(duì)口令的產(chǎn)生、傳送、使用、存儲(chǔ)、更換均需要進(jìn)行有效的管理和控制。4.運(yùn)行的安全管理信息系統(tǒng)和網(wǎng)絡(luò)在運(yùn)行中的安全狀態(tài)也是需要考慮的問(wèn)題，目前常常關(guān)注安全審計(jì)和安全恢復(fù)兩個(gè)安全管理問(wèn)題。（1）安全審計(jì)。安全審計(jì)是指對(duì)系統(tǒng)或網(wǎng)絡(luò)運(yùn)行中有關(guān)安全的情況和事件進(jìn)行記錄、分析并采取相應(yīng)措施的管理活動(dòng)。目前主要對(duì)操作系統(tǒng)及各種關(guān)鍵應(yīng)用軟件進(jìn)行審計(jì)。安全審計(jì)工作應(yīng)該由各級(jí)安全機(jī)構(gòu)負(fù)責(zé)實(shí)施管理，安全審計(jì)可以采用人工審計(jì)、半自動(dòng)審計(jì)或自動(dòng)智能審計(jì)三種方式。（2）安全恢復(fù)。安全恢復(fù)是指網(wǎng)絡(luò)和信息系統(tǒng)在受到災(zāi)難性打擊或破壞時(shí)，為使網(wǎng)絡(luò)和信息系統(tǒng)迅速恢復(fù)正常，并使損失降低到最小而進(jìn)行的一系列活動(dòng)。安全恢復(fù)的管理主要包括安全恢復(fù)策略的確立、安全恢復(fù)計(jì)劃的制訂、安全恢復(fù)計(jì)劃的測(cè)試和維護(hù)及安全恢復(fù)計(jì)劃的執(zhí)行。1.2信息安全風(fēng)險(xiǎn)評(píng)估的概念信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可以接受的水平，制訂有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。1.2.1信息安全風(fēng)險(xiǎn)的相關(guān)概念信息系統(tǒng)是用于采集信息、組織信息、存儲(chǔ)信息、傳輸信息的有組織的系統(tǒng)。更具體地說(shuō)，它是研究人員和組織用于收集、過(guò)濾、處理、創(chuàng)建和分發(fā)數(shù)據(jù)的互補(bǔ)網(wǎng)絡(luò)。信息安全即保護(hù)組織的數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問(wèn)或修改，以確保其保密性、完整性和可用性。保密性意味著系統(tǒng)上可用的信息對(duì)于未經(jīng)授權(quán)的人員應(yīng)該是安全的，比如客戶的信用卡、醫(yī)保卡中的信息等；完整性則意味著可用的信息應(yīng)該是完整的，任何未經(jīng)授權(quán)的人都不能夠改變它，如果信息由于某種攻擊而受到嚴(yán)重?fù)p害，那么這個(gè)信息將由于完整性受損而變得不可靠；可用性同前兩種屬性一樣重要，即授權(quán)用戶請(qǐng)求或要求的信息應(yīng)該始終可用。除此之外，信息安全可能還涉及保護(hù)和保存信息的真實(shí)性與可靠性，并確保實(shí)體可以追究責(zé)任。信息安全風(fēng)險(xiǎn)評(píng)估是發(fā)現(xiàn)、糾正和預(yù)防安全問(wèn)題的持續(xù)過(guò)程。風(fēng)險(xiǎn)評(píng)估作為風(fēng)險(xiǎn)管理流程的一個(gè)組成部分，旨在為信息系統(tǒng)提供適當(dāng)級(jí)別的安全性，幫助機(jī)構(gòu)確定可接受的風(fēng)險(xiǎn)水平以及由此產(chǎn)生的每個(gè)系統(tǒng)的安全性要求。1.2.2信息安全風(fēng)險(xiǎn)的基本要素從信息安全的角度來(lái)講，風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者的綜合作用在當(dāng)前安全措施控制下所帶來(lái)的與安全需求不符合的風(fēng)險(xiǎn)的可能性進(jìn)行評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織進(jìn)一步確定信息安全需求和改進(jìn)信息安全策略的重要途徑，屬于組織信息安全管理體系策劃的過(guò)程。信息系統(tǒng)是信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)象，信息系統(tǒng)中的資產(chǎn)、信息系統(tǒng)面臨的可能威脅、系統(tǒng)中存在的脆弱性、安全風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響，以及系統(tǒng)中已有的安全控制措施和系統(tǒng)的安全需求等構(gòu)成了信息安全風(fēng)險(xiǎn)評(píng)估的基本要素。1.資產(chǎn)(Asset)資產(chǎn)是指對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)能夠以多種形式存在，包括有形的或無(wú)形的、硬件或軟件、文檔或代碼，以及服務(wù)或形象等諸多表現(xiàn)形式。2.威脅（Threat）威脅是指可能對(duì)組織或資產(chǎn)造成損害的潛在原因，即威脅有可能導(dǎo)致不期望發(fā)生的安全事件發(fā)生，從而對(duì)系統(tǒng)、組織、資產(chǎn)造成損害。這種損害可能是偶然性事件，但更多的可能是蓄意的對(duì)信息系統(tǒng)和服務(wù)所處理信息的直接或間接的攻擊行為，例如非授權(quán)的泄露、修改、停機(jī)等。威脅主要來(lái)源于環(huán)境因素和人為因素，其中人為因素包括惡意攻擊和非惡意攻擊。(1)環(huán)境因素：指地震、火災(zāi)、水災(zāi)、電磁干擾、靜電、灰塵、潮濕等環(huán)境危害，以及軟件、硬件、數(shù)據(jù)、通信線路等方面的故障。(2)惡意攻擊：對(duì)組織不滿的或有目的的人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞，會(huì)對(duì)信息的機(jī)密性、完整性和可用性等造成損害。(3)非惡意攻擊：由于缺乏責(zé)任心、安全意識(shí)或?qū)I(yè)技能不足等原因而導(dǎo)致信息系統(tǒng)故障、被破壞或被攻擊，本身無(wú)惡意企圖。3.脆弱性（Vulnerability）脆弱性是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)，例如操作系統(tǒng)存在漏洞、對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)沒(méi)有訪問(wèn)控制機(jī)制、系統(tǒng)機(jī)房沒(méi)有門禁系統(tǒng)等。脆弱性是資產(chǎn)本身存在的，如果沒(méi)有相應(yīng)的威脅，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害，而且如果系統(tǒng)足夠強(qiáng)健，則再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生，從而造成損失。這說(shuō)明，威脅總是要利用資產(chǎn)的脆弱性來(lái)產(chǎn)生危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只在一定條件和環(huán)境下才能顯現(xiàn)，這也是脆弱性識(shí)別中最為困難的部分。要注意的是，不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全控制措施本身就可能是一種脆弱性。脆弱性主要表現(xiàn)在技術(shù)和管理兩個(gè)方面。其中技術(shù)脆弱性是指信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行時(shí)，涉及的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面在技術(shù)上存在的缺陷或弱點(diǎn)；管理脆弱性則是指組織管理制度、流程等方面存在的缺陷或不足。1.3信息安全風(fēng)險(xiǎn)管理體系信息安全管理體系（InformationSecurityManagementSystem，ISMS）是1998年前后從英國(guó)發(fā)展起來(lái)的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系（ManagementSystem，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來(lái)，伴隨著ISMS國(guó)際標(biāo)準(zhǔn)的修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國(guó)、各種類型、各種規(guī)模的組織解決信息安全問(wèn)題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。信息安全管理體系是組織機(jī)構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。信息安全管理體系是按照ISO/IEC27001標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全管理體系要求》建立的，ISO/IEC27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來(lái)的。信息安全管理體系ISMS是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的方法、控制目標(biāo)及控制方式和需要的保證程度。1.3.1ISMS的范圍ISMS的范圍可以根據(jù)整個(gè)組織或者組織的一部分進(jìn)行定義，包括相關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和用于過(guò)程中的技術(shù)、存儲(chǔ)以及通信的信息等，ISMS的范圍包括：（1）組織所有的信息系統(tǒng)；（2）組織的部分信息系統(tǒng)；（3）特定的信息系統(tǒng)。此外，為了保證不同的業(yè)務(wù)利益，組織需要為業(yè)務(wù)的不同方面定義不同的ISMS。組織內(nèi)部成功實(shí)施信息安全管理的關(guān)鍵因素在于：（1）反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)；（2）與組織文化一致的實(shí)施安全的方法；（3）來(lái)自管理層的有形支持與承諾；（4）對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的良好理解；（5）向所有管理者及雇員推行安全意識(shí)；（6）向所有雇員和承包商分發(fā)有關(guān)信息安全方針和準(zhǔn)則的導(dǎo)則；（7）提供適當(dāng)?shù)呐嘤?xùn)與教育；（8）用于評(píng)價(jià)信息安全管理績(jī)效及反饋改進(jìn)建議，并有利于綜合平衡的測(cè)量系統(tǒng)。1.3.2信息安全管理體系的作用信息安全管理體系是一個(gè)系統(tǒng)化、程序化和文件化的管理體系。該體系具有以下特點(diǎn)：（1）體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律法規(guī)及其他合同方的要求；（2）強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；（3）強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性。組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用：（1）強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；（2）對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；（3）在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；（4）使組織的生意伙伴和客戶對(duì)組織充滿信心；（5）如果通過(guò)體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保證重要信息，提高組織的知名度與信任度；（6）促使管理層貫徹信息安全保障體系；（7）組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)BS7799建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性。1.3.3PDCA原則PDCA循環(huán)的概念最早是由美國(guó)質(zhì)量管理專家戴明提出來(lái)的，所以又稱為“戴明環(huán)”，它在質(zhì)量管理中應(yīng)用廣泛。PDCA代表的含義如下：P(Plan)：計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；D(Do)：實(shí)施，實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；C(Check)：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問(wèn)題；A(Action)：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問(wèn)題放到下一個(gè)PDCA循環(huán)。PDCA循環(huán)的四個(gè)階段具體內(nèi)容如下：(1)計(jì)劃階段：制訂具體工作計(jì)劃，提出總的目標(biāo)。具體來(lái)講又分為以下四個(gè)步驟。①分析目前現(xiàn)狀，找出存在的問(wèn)題；②分析產(chǎn)生問(wèn)題的各種原因以及影響因素；③分析并找出管理中的主要問(wèn)題；④制訂管理計(jì)劃，確定管理要點(diǎn)。根據(jù)管理體制中出現(xiàn)的主要問(wèn)題，制訂管理的措施、方案，明確管理的重點(diǎn)。制定管理方案時(shí)要注意整體的詳盡性、多選性、全面性。(2)實(shí)施階段：指按照制訂的方案去執(zhí)行。在管理工作中全面執(zhí)行制訂的方案。制訂的管理方案在管理工作中執(zhí)行的情況，直接影響全過(guò)程。所以在實(shí)施階段要堅(jiān)持按照制訂的方案去執(zhí)行。(3)檢查階段：檢查實(shí)施計(jì)劃的結(jié)果。檢查工作這一階段是比較重要的一個(gè)階段，它是對(duì)實(shí)施方案是否合理，是否可行有何不妥的檢查，是為下一個(gè)階段工作提供條件，是檢驗(yàn)上一階段工作好壞的檢驗(yàn)期。(4)行動(dòng)階段：根據(jù)調(diào)查效果進(jìn)行處理。對(duì)已解決的問(wèn)題，加以標(biāo)準(zhǔn)化，即把已成功的可行的條文進(jìn)行標(biāo)準(zhǔn)化，將這些納入制度、規(guī)定中，防止以后再發(fā)生類似問(wèn)題。找出尚未解決的問(wèn)題，轉(zhuǎn)入下一個(gè)循環(huán)中，以便解決。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。之所以叫PDCA循環(huán)，是因?yàn)檫@四個(gè)過(guò)程不是運(yùn)行一次就完結(jié)，而是周而復(fù)始地進(jìn)行，其特點(diǎn)是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)”。每個(gè)循環(huán)系統(tǒng)包括PDCA四個(gè)階段螺旋式上升和發(fā)展，每循環(huán)一次要求提高一步。建立和管理一個(gè)信息安全管理體系需要像其他任何管理體系一樣的方法。這里描述的過(guò)程模型遵循一個(gè)連續(xù)的活動(dòng)循環(huán)：計(jì)劃、實(shí)施、檢查和處置。之所以可以描述為一個(gè)有效的循環(huán)，是因?yàn)樗哪康氖潜ＷC組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)間改進(jìn)。信息安全管理體系的PDCA過(guò)程如圖1-1所示。1.3.4ISMS的PDCA1.計(jì)劃階段計(jì)劃階段的主要任務(wù)在于確定控制目標(biāo)與控制方式，目的是保證正確地建立ISMS的內(nèi)容和范圍、識(shí)別和評(píng)估所有的信息安全風(fēng)險(xiǎn)，開(kāi)發(fā)合適的風(fēng)險(xiǎn)處理計(jì)劃。該階段的要點(diǎn)在于：1）確定信息安全方針安全方針是在一個(gè)組織內(nèi)，指導(dǎo)如何對(duì)信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則、指示，是組織信息安全管理體系的基本法。組織的信息安全方針，描述信息安全在組織內(nèi)的重要性，表明管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。2）確定信息安全管理體系的范圍信息安全管理體系可以覆蓋組織的全部或者部分。無(wú)論是全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍。3）制定風(fēng)險(xiǎn)識(shí)別和評(píng)估計(jì)劃確定信息安全風(fēng)險(xiǎn)評(píng)估方法，并確定風(fēng)險(xiǎn)等級(jí)準(zhǔn)則。評(píng)估方法應(yīng)該和組織既定的信息安全管理體系范圍、信息安全需求、法律法規(guī)要求相適應(yīng)，兼顧效果和效率。組織需要建立風(fēng)險(xiǎn)評(píng)估文件，解釋所選擇的風(fēng)險(xiǎn)評(píng)估方法、說(shuō)明為什么該方法適合組織的安全要求和業(yè)務(wù)環(huán)境，介紹所采用的技術(shù)和工具，以及使用這些技術(shù)和工具的原因。4）制定風(fēng)險(xiǎn)控制計(jì)劃根據(jù)資產(chǎn)保密性、完整性和可用性丟失的潛在影響，評(píng)估由于安全失?。╢ailure）可能引起的商業(yè)影響；根據(jù)與資產(chǎn)相關(guān)的主要威脅、薄弱點(diǎn)及其影響，以及目前實(shí)施的控制，評(píng)估此類失敗發(fā)生的現(xiàn)實(shí)可能性；根據(jù)既定的風(fēng)險(xiǎn)等級(jí)準(zhǔn)則，確定風(fēng)險(xiǎn)等級(jí)。2.實(shí)施階段本階段的主要任務(wù)在于實(shí)施組織所選的控制目標(biāo)與控制措施，同時(shí)，還需要分配適當(dāng)?shù)馁Y源運(yùn)行信息安全管理體系以及所有的安全控制。這包括將所有已實(shí)施控制文件化，以及信息安全管理體系文件的積極維護(hù)。該階段的要點(diǎn)在于：1）保證資源，提供培訓(xùn)，提高安全意識(shí)提高信息安全意識(shí)的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化，保證意識(shí)和控制活動(dòng)的同步，還必須安排針對(duì)信息安全意識(shí)的培訓(xùn)，并檢查意識(shí)培訓(xùn)的效果，以確保其持續(xù)有效和實(shí)時(shí)性。如有必要應(yīng)對(duì)相關(guān)方實(shí)施有針對(duì)性的安全培訓(xùn)，保證所有相關(guān)方能按照要求完成安全任務(wù)。2）風(fēng)險(xiǎn)管理以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作，執(zhí)行所選擇的控制，管理在策劃階段所識(shí)別的信息安全風(fēng)險(xiǎn)。對(duì)于評(píng)估認(rèn)為是可接受的風(fēng)險(xiǎn)，不需要采取進(jìn)一步的措施。對(duì)于不可接受的風(fēng)險(xiǎn)，需要實(shí)施所選擇的控制，這應(yīng)該與策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃同步進(jìn)行。計(jì)劃的成功實(shí)施需要有一個(gè)有效的管理系統(tǒng)，其中要規(guī)定所選擇方法、分配職責(zé)和職責(zé)分離，并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動(dòng)。在不可接受的風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后，還會(huì)有一部分剩余風(fēng)險(xiǎn)。應(yīng)對(duì)這部分風(fēng)險(xiǎn)進(jìn)行控制，確保不期望的影響和破壞被快速識(shí)別并得到適當(dāng)管理。3.行動(dòng)階段經(jīng)過(guò)了策劃、實(shí)施、檢查之后，組織在行動(dòng)階段必須對(duì)所策劃的方案給以結(jié)論，是應(yīng)該繼續(xù)執(zhí)行，還是應(yīng)該放棄重新進(jìn)行新的策劃。當(dāng)然該循環(huán)會(huì)給管理體系帶來(lái)明顯的業(yè)績(jī)提升，組織可以考慮將成果擴(kuò)大到其他的部門或領(lǐng)域，這就開(kāi)始了新一輪的PDCA循環(huán)。該階段的主要任務(wù)在于評(píng)價(jià)信息安全管理體系，尋求改進(jìn)機(jī)會(huì)，采取相應(yīng)措施。其要點(diǎn)在于：以檢查階段采集的不符合項(xiàng)信息為基礎(chǔ)，通過(guò)糾正措施和預(yù)防措施對(duì)其進(jìn)行調(diào)整與改進(jìn)。糾正措施是為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。一個(gè)不符合可能有若干個(gè)原因，采取糾正措施就是要找出問(wèn)題的原因，消除原因，防止再發(fā)生。預(yù)防措施是為消除潛在不符合的原因，防止其發(fā)生而采取的措施。預(yù)防措施是在問(wèn)題出現(xiàn)之前采取的措施，是為了防止系統(tǒng)或流程中的正常項(xiàng)發(fā)展為不符合項(xiàng)。預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)。1.3.5ISMS建設(shè)整體思路ISMS的構(gòu)建思路是將PDCA持續(xù)改進(jìn)的信息安全管理模型作為體系建設(shè)過(guò)程的主要指導(dǎo)思想（見(jiàn)圖1-2），以保證整個(gè)體系可以不斷地改進(jìn)和循環(huán)。1.建立ISMS1）建立前準(zhǔn)備工作建立一套適用于企業(yè)的ISMS，首先需從風(fēng)險(xiǎn)控制、效率、業(yè)務(wù)優(yōu)勢(shì)三個(gè)方面定義ISMS的目標(biāo)，即如何更好地控制信息安全風(fēng)險(xiǎn)、如何提高處理信息安全的效率和如何創(chuàng)造業(yè)務(wù)優(yōu)勢(shì)。同時(shí)對(duì)管理目標(biāo)進(jìn)行分析考慮。定義ISMS目標(biāo)后，須定義ISMS的初始范圍，明確ISMS建立過(guò)程中的相關(guān)角色和職責(zé)。對(duì)于定義這些角色職責(zé)應(yīng)結(jié)合企業(yè)實(shí)際進(jìn)行考慮，角色的人員數(shù)量與結(jié)構(gòu)復(fù)雜度應(yīng)結(jié)合企業(yè)的規(guī)模、類型和結(jié)構(gòu)進(jìn)行考慮。2）定義ISMS范圍和方針通過(guò)對(duì)企業(yè)關(guān)鍵業(yè)務(wù)流程、物理環(huán)境以及組織結(jié)構(gòu)等基本信息的分析，從業(yè)務(wù)邊界、信息通信技術(shù)邊界及物理邊界三方面分析形成ISMS的范圍邊界。ISMS方針需考慮：實(shí)現(xiàn)企業(yè)業(yè)務(wù)要求和信息安全需求ISMS目標(biāo)的指導(dǎo)；強(qiáng)調(diào)所需遵守的法律法規(guī)及合同義務(wù)要求；建立評(píng)價(jià)風(fēng)險(xiǎn)和定義風(fēng)險(xiǎn)評(píng)估結(jié)構(gòu)準(zhǔn)則；高層管理者的職責(zé)及承諾。3）風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估初期應(yīng)建立在相關(guān)標(biāo)準(zhǔn)需求控制點(diǎn)上的差距分析，完成對(duì)企業(yè)現(xiàn)有的信息安全框架的評(píng)估，并產(chǎn)生相應(yīng)的符合度報(bào)告。對(duì)企業(yè)所擁有的資產(chǎn)分類，依據(jù)重要程度分級(jí)，最后根據(jù)現(xiàn)有的信息安全措施識(shí)別出其中可能被威脅利用的資產(chǎn)脆弱性和發(fā)生概率。由此評(píng)估企業(yè)信息安全面臨的風(fēng)險(xiǎn)。4）風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)被識(shí)別后，通常有四種處理風(fēng)險(xiǎn)的方式：（1）降低風(fēng)險(xiǎn)：實(shí)施控制措施將風(fēng)險(xiǎn)降低到可接受的等級(jí)。（2）接受風(fēng)險(xiǎn)：計(jì)算出風(fēng)險(xiǎn)值并了解風(fēng)險(xiǎn)帶來(lái)的影響。（3）回避風(fēng)險(xiǎn)：忽略風(fēng)險(xiǎn)并非正確的解決方法，但可以通過(guò)將資產(chǎn)移出風(fēng)險(xiǎn)區(qū)域來(lái)避免風(fēng)險(xiǎn)發(fā)生或完全放棄可能產(chǎn)生安全脆弱點(diǎn)的活動(dòng)來(lái)回避風(fēng)險(xiǎn)。（4）轉(zhuǎn)移風(fēng)險(xiǎn)：可通過(guò)購(gòu)買保險(xiǎn)或外包來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)。大多情況下，企業(yè)應(yīng)該選擇相應(yīng)的控制措施降低風(fēng)險(xiǎn)，企業(yè)可以選擇能夠承受對(duì)應(yīng)控制措施中建議的保護(hù)方案來(lái)防護(hù)面臨的威脅。在最終風(fēng)險(xiǎn)處置計(jì)劃制訂前，企業(yè)也可以接受或拒絕建議的保護(hù)方案。一旦選定控制措施，應(yīng)制訂相應(yīng)的風(fēng)險(xiǎn)處置計(jì)劃，落實(shí)相關(guān)管理任務(wù)、職責(zé)、管理責(zé)任人、風(fēng)險(xiǎn)管理的優(yōu)先級(jí)等，保證風(fēng)險(xiǎn)處置計(jì)劃的實(shí)施。5）編寫體系文件ISMS建立的最后一步是編寫體系文件。ISO/IEC27001中明確規(guī)定了ISMS實(shí)施必需文件化，因此對(duì)于ISMS的目標(biāo)、方針、范圍及各種控制措施的要求規(guī)定都應(yīng)形成文件。編寫ISMS文件時(shí)必須具備以下三個(gè)要素：（1）符合性：ISMS文件應(yīng)符合標(biāo)準(zhǔn)的相應(yīng)條款要求，即ISO/IEC27001的相關(guān)條款要求。（2）可操作性：符合企業(yè)的實(shí)際情況，具體的控制要求以滿足企業(yè)實(shí)際需要為主，應(yīng)具有統(tǒng)一格式、鮮明層級(jí)且簡(jiǎn)單適用、避免復(fù)雜性，不敘述不在該文件范圍內(nèi)的活動(dòng)。（3）一致性：同一文件中，上下文不能有不一致的地方，同一體系的不同文件之間不能有矛盾之處，同體系的文件之間不應(yīng)有不一致的地方。2.實(shí)施與運(yùn)行ISMS經(jīng)歷了ISMS建立后，實(shí)施與運(yùn)行ISMS階段主要是對(duì)體系的推廣，具體包含以下三個(gè)階段。1）批準(zhǔn)體系文件并發(fā)布ISMS建立階段完成了滿足標(biāo)準(zhǔn)要求、體現(xiàn)各類控制措施的體系文件，在本階段中，首先應(yīng)將文件發(fā)布給相關(guān)員工。2）體系文件的推廣ISMS運(yùn)行過(guò)程中，控制措施的實(shí)施是解決問(wèn)題的關(guān)鍵。員工往往因業(yè)務(wù)繁忙、安全意識(shí)淡薄等原因忽視對(duì)體系文件的學(xué)習(xí)和理解，從而導(dǎo)致ISMS實(shí)施不通暢。因此，ISMS建立后，對(duì)員工進(jìn)行體系文件實(shí)施方面的培訓(xùn)，安全意識(shí)的宣貫等推廣手段在ISMS的實(shí)施與運(yùn)行過(guò)程中至關(guān)重要。3）確保體系文件的實(shí)施這是ISMS實(shí)施運(yùn)行階段中最關(guān)鍵的過(guò)程，也是其目的所在。執(zhí)行風(fēng)險(xiǎn)處理計(jì)劃和相關(guān)體系文件屬于體系的正式實(shí)施階段，該階段需要執(zhí)行所選擇的控制措施，因此需要相關(guān)人員的參與和執(zhí)行。要確保體系文件的實(shí)施，企業(yè)必須保證分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力，上一階段中已考慮了對(duì)實(shí)施人員能力的加強(qiáng)。確保體系實(shí)施和運(yùn)行的另一方面是考慮其他資源的供應(yīng)，以確保信息安全程序支持業(yè)務(wù)要求。這個(gè)問(wèn)題更多取決于管理者的態(tài)度，在其他階段同樣需要管理者的支持。因此，在ISMS建立和實(shí)施的整個(gè)過(guò)程中取得高層管理者的大力支持也是體系有效實(shí)施的前提。3.監(jiān)視與評(píng)審ISMS監(jiān)視與評(píng)審ISMS階段的活動(dòng)主要有三個(gè)：日常監(jiān)視和檢查、內(nèi)部審核和管理評(píng)審。1）日常監(jiān)視和檢查日常監(jiān)視和檢查是監(jiān)視和評(píng)審ISMS的常規(guī)性活動(dòng)，是在各人員運(yùn)行ISMS時(shí)發(fā)現(xiàn)存在的問(wèn)題和所采取的有效手段。它應(yīng)達(dá)到以下目的：①迅速檢測(cè)過(guò)程運(yùn)行結(jié)果中的錯(cuò)誤；②迅速識(shí)別試圖的和得逞的安全違規(guī)和事故；③使管理者確定分配給人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行；④通過(guò)使用指標(biāo)，幫助檢測(cè)安全事件并預(yù)防安全事故；⑤確定解決安全違規(guī)的措施是否有效。2）內(nèi)部審核為周期性全面審核，主要以標(biāo)準(zhǔn)的符合性、法律法規(guī)要求以及企業(yè)的信息安全方針的要求為準(zhǔn)則，保證其有效地實(shí)施和保持。企業(yè)應(yīng)根據(jù)審核的過(guò)程、區(qū)域的狀況和重要性以及以往審核的結(jié)果確定審核的準(zhǔn)則、范圍、頻次和方法。同時(shí)，對(duì)于執(zhí)行每次內(nèi)審，應(yīng)對(duì)審核方案進(jìn)行策劃，規(guī)定審核的目標(biāo)、范圍、內(nèi)容、步驟、時(shí)間及人員安排等，審核完成后應(yīng)形成審核報(bào)告。3）管理評(píng)審ISMS管理評(píng)審是管理者按照計(jì)劃的時(shí)間間隔組織實(shí)施的ISMS評(píng)審，目標(biāo)是要檢查ISMS是否有效，識(shí)別可以改進(jìn)的地方，并采取措施，以保證ISMS保持持續(xù)的適宜性、充分性和有效性。管理評(píng)審以會(huì)議為主，在管理者的主持下就ISMS運(yùn)行中存在的問(wèn)題提出解決方法，并制定糾正與預(yù)防措施。4.保持和改進(jìn)ISMS保持和改進(jìn)ISMS階段的主要目的是實(shí)施監(jiān)視和評(píng)審ISMS階段所識(shí)別的改進(jìn)措施，以實(shí)現(xiàn)體系的持續(xù)改進(jìn)。改進(jìn)措施包括糾正和預(yù)防措施。1）糾正和預(yù)防措施采取糾正措施是為消除與ISMS要求不符合的原因，以防止再發(fā)生。預(yù)防措施是指為消除潛在的不符合的原因，防止其發(fā)生采取的措施。糾正措施與預(yù)防措施有所區(qū)別，糾正措施是為了防止不符合的再發(fā)生，而預(yù)防措施是為了防止不符合的發(fā)生。在監(jiān)視和評(píng)審ISMS階段，通過(guò)日常的監(jiān)視與檢查、內(nèi)部審核以及管理評(píng)審等識(shí)別出與ISMS要求不符合的事項(xiàng)以及潛在的不符合項(xiàng)，進(jìn)而識(shí)別出不符合發(fā)生和潛在的不符合發(fā)生的原因。管理評(píng)審的輸出結(jié)果中會(huì)確定要實(shí)施的糾正措施及預(yù)防措施，保持和改進(jìn)ISMS階段就是實(shí)施措施、記錄措施采取的結(jié)果并對(duì)其評(píng)審。2）持續(xù)改進(jìn)企業(yè)應(yīng)通過(guò)使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評(píng)審持續(xù)地改進(jìn)ISMS的有效性。1.4信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。信息安全就是要防止非法的攻擊和病毒的傳播，以保證計(jì)算機(jī)系統(tǒng)和通信系統(tǒng)的正常運(yùn)作。信息安全主要包括四方面的內(nèi)容，即需保證信息的保密性、完整性、可用性和可控性。綜合起來(lái)，就是要保障電子信息的有效性。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)中的不安全因素也在逐漸增加，所以，強(qiáng)化網(wǎng)絡(luò)的信息安全，解決信息安全，才能使信息化持續(xù)，向健康的方向發(fā)展。為了應(yīng)對(duì)目前出現(xiàn)的信息系統(tǒng)的各種安全問(wèn)題，并且使人們對(duì)系統(tǒng)安全性有更詳盡的認(rèn)識(shí)，需要對(duì)信息系統(tǒng)進(jìn)行一個(gè)相對(duì)全面的、正確的安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估是完善信息系統(tǒng)安全性的一個(gè)重要環(huán)節(jié)。1.4.1國(guó)內(nèi)現(xiàn)狀相對(duì)于歐美等發(fā)達(dá)國(guó)家，我國(guó)的信息安全發(fā)展相對(duì)滯后，所做的工作多是在對(duì)信息安全問(wèn)題的認(rèn)識(shí)過(guò)程中發(fā)展起來(lái)的。早期通過(guò)檢查發(fā)現(xiàn)問(wèn)題之后提高信息安全，20世紀(jì)80年代后，隨著計(jì)算機(jī)的推廣與應(yīng)用，計(jì)算機(jī)安全問(wèn)題開(kāi)始引起重視，但由于缺乏風(fēng)險(xiǎn)意識(shí)，多去尋求絕對(duì)安全的措施。到20世紀(jì)90年代后，互聯(lián)網(wǎng)的應(yīng)用逐漸廣泛，信息安全環(huán)境日益嚴(yán)峻，我國(guó)也開(kāi)始加大對(duì)信息安全風(fēng)險(xiǎn)分析技術(shù)的研究，并在此基礎(chǔ)上制定了相關(guān)的信息安全技術(shù)標(biāo)準(zhǔn)和信息管理規(guī)范。我國(guó)信息安全標(biāo)準(zhǔn)的研究基本上從20世紀(jì)90年代末開(kāi)始，主要是等同采用或修改相關(guān)的國(guó)際標(biāo)準(zhǔn)。典型標(biāo)準(zhǔn)如下：GB/T18336——2001《信息技術(shù)安全技術(shù)信息技術(shù)信息安全評(píng)估標(biāo)準(zhǔn)》GB/T20984——2007《信息安全技術(shù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估規(guī)范》GB/T19716——2005《信息技術(shù)信息安全管理實(shí)用規(guī)則》GB/T9361——2000《計(jì)算機(jī)場(chǎng)地安全要求》GB/T22239——2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GB/T18336.1——2015《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型》（等同采用ISO/IEC15408.1：2008）GB/T18336.2——2015《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求》（等同采用ISO/IEC15408.2：2008）GB/T18336.3——2015《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求》（等同采用ISO/IEC15408.3:2008）另外，在國(guó)際標(biāo)準(zhǔn)的基礎(chǔ)上,也制定了一些針對(duì)我國(guó)信息化建設(shè)特點(diǎn)的信息安全技術(shù)和信息安全評(píng)估的國(guó)家、地方標(biāo)準(zhǔn)，并逐漸形成了適應(yīng)我國(guó)國(guó)情的信息安全風(fēng)險(xiǎn)評(píng)估體系。1.4.2國(guó)外現(xiàn)狀信息安全的研究始于軍事領(lǐng)域，而后信息安全的研究在各行各業(yè)的其他領(lǐng)域也開(kāi)始發(fā)展，并逐漸發(fā)展成一門學(xué)科。在有信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)的國(guó)家中，美國(guó)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估研究的歷史最長(zhǎng)，工作經(jīng)驗(yàn)也最為豐富，并在信息技術(shù)和信息安全的發(fā)展中占有主導(dǎo)地位。信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展?fàn)顩r在一定程度上也代表了風(fēng)險(xiǎn)評(píng)估的國(guó)際發(fā)展情況。從最初關(guān)注計(jì)算機(jī)保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障，大體經(jīng)歷了3個(gè)階段：第一階段（20世紀(jì)60——70年代）——以計(jì)算機(jī)為對(duì)象的保密階段；第二階段（20世紀(jì)80——90年代）——將網(wǎng)絡(luò)作為對(duì)象進(jìn)行信息保護(hù)；第三階段（20世紀(jì)90年代末至21世紀(jì)初）——以信息基礎(chǔ)設(shè)施為對(duì)象的信息安全保障階段。相應(yīng)的評(píng)估對(duì)象由計(jì)算機(jī)發(fā)展到計(jì)算機(jī)和網(wǎng)絡(luò)，到信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施，大體的發(fā)展歷程如表1-4所示。因?yàn)槲鞣桨l(fā)達(dá)國(guó)家對(duì)信息技術(shù)的研究和應(yīng)用比較早，信息化程度較高，所以更為重視信息安全問(wèn)題，較早地開(kāi)展了風(fēng)險(xiǎn)評(píng)估工作。最初，風(fēng)險(xiǎn)評(píng)估主要致力于操作系統(tǒng)和網(wǎng)絡(luò)環(huán)境，包括薄弱點(diǎn)評(píng)估和滲透性測(cè)試。隨著人們對(duì)信息系統(tǒng)中資產(chǎn)形式的進(jìn)一步認(rèn)識(shí)，發(fā)現(xiàn)它除了包括存儲(chǔ)在計(jì)算機(jī)中的數(shù)據(jù)、文檔以外，還包括承載信息的各種載體。因此，信息系統(tǒng)的安全問(wèn)題涉及的范圍也隨之?dāng)U大。信息安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)從網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)發(fā)展到整個(gè)管理體系。此外，信息安全研究者發(fā)現(xiàn)維護(hù)信息安全的工作重點(diǎn)在于防御潛在風(fēng)險(xiǎn)的發(fā)生。許多國(guó)家和組織相繼建立了一系列針對(duì)于預(yù)防安全事件發(fā)生的風(fēng)險(xiǎn)評(píng)估指南和方法，如圖1-3所示?；趪?guó)家或政府頒布的信息安全管理標(biāo)準(zhǔn)或指南建立風(fēng)險(xiǎn)評(píng)估工具。目前世界上存在多種不同的風(fēng)險(xiǎn)分析指南和方法，例如NIST(NationalInstituteofStandardsandTechnology)的FIPS65、DoJ(DepartmentofJustice)的SRAG和GAO(GovernmentAccountingOffice)的信息安全管理的實(shí)施指南。針對(duì)這些方法，美國(guó)開(kāi)發(fā)了自動(dòng)化風(fēng)險(xiǎn)評(píng)估工具；英國(guó)推行基于BS7799的認(rèn)證產(chǎn)業(yè)，在建立信息安全管理體系過(guò)程中要進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)PD3000中提供的風(fēng)險(xiǎn)評(píng)估方法，建立了CRAMM、RA等風(fēng)險(xiǎn)分析工具。許多國(guó)家也在國(guó)際標(biāo)準(zhǔn)化組織的ISO/IECJTC/SC27信息技術(shù)安全管理指南的基礎(chǔ)上建立了自己的風(fēng)險(xiǎn)評(píng)估工具。2.1信息安全風(fēng)險(xiǎn)評(píng)估的分類

2.2信息安全風(fēng)險(xiǎn)評(píng)估的四個(gè)階段

2.3信息安全風(fēng)險(xiǎn)分析方法

2.4信息安全風(fēng)險(xiǎn)分析流程2.1信息安全風(fēng)險(xiǎn)評(píng)估的分類信息安全風(fēng)險(xiǎn)評(píng)估可大致分為三類：基本風(fēng)險(xiǎn)評(píng)估，詳細(xì)風(fēng)險(xiǎn)評(píng)估，聯(lián)合風(fēng)險(xiǎn)評(píng)估。2.1.1基本風(fēng)險(xiǎn)評(píng)估基本風(fēng)險(xiǎn)評(píng)估又稱基線風(fēng)險(xiǎn)評(píng)估（BaselineRiskAssessment），是指應(yīng)用直接和簡(jiǎn)易的方法達(dá)到基本的安全水平，就能滿足組織及其業(yè)務(wù)環(huán)境的所有要求?；€風(fēng)險(xiǎn)評(píng)估適用于組織的業(yè)務(wù)環(huán)境不是很復(fù)雜，并且組織對(duì)信息處理和網(wǎng)絡(luò)的依賴程度不是很高，或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化模式的情形。采用基線風(fēng)險(xiǎn)評(píng)估，組織根據(jù)自己的實(shí)際情況，對(duì)信息系統(tǒng)進(jìn)行安全基線檢查，得出基本的安全需求，通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。組織可以根據(jù)以下資源來(lái)選擇安全基線。安全基線可以有多種選擇，可分為如下幾類：（1）國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)，例如BS7799-1、ISO13335-4；（2）行業(yè)標(biāo)準(zhǔn)或推薦，例如德國(guó)聯(lián)邦安全局IT基線保護(hù)手冊(cè)；（3）其他有類似業(yè)務(wù)目標(biāo)和規(guī)模的組織的慣例?；€評(píng)估的優(yōu)點(diǎn)是需要的資源少，周期短，操作簡(jiǎn)單，對(duì)于環(huán)境相似且安全需求相當(dāng)?shù)闹T多組織，基線評(píng)估顯然是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估途徑。當(dāng)然，基線評(píng)估也有其難以避免的缺點(diǎn)，比如基線水平的高低難以設(shè)定，如果過(guò)高，可能導(dǎo)致資源浪費(fèi)和限制過(guò)度；如果過(guò)低，可能難以達(dá)到充分的安全。此外，在管理安全相關(guān)的變化方面，基線評(píng)估比較困難?；€評(píng)估的目標(biāo)是建立一套滿足信息安全基本目標(biāo)的最小的對(duì)策集合，它可以在全組織范圍內(nèi)實(shí)行，如果有特殊需要，應(yīng)該在此基礎(chǔ)上，對(duì)特定系統(tǒng)進(jìn)行更詳細(xì)的評(píng)估。2.1.2詳細(xì)風(fēng)險(xiǎn)評(píng)估詳細(xì)的風(fēng)險(xiǎn)評(píng)估實(shí)際上就是對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行詳細(xì)的識(shí)別與評(píng)價(jià)，詳細(xì)的風(fēng)險(xiǎn)評(píng)估結(jié)果被用于風(fēng)險(xiǎn)評(píng)估和安全控制措施的識(shí)別和選擇。詳細(xì)風(fēng)險(xiǎn)評(píng)估要求對(duì)資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)識(shí)別和選擇安全措施。這種評(píng)估途徑集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想，即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當(dāng)?shù)?。詳?xì)風(fēng)險(xiǎn)評(píng)估的流程主要有兩步：(1)對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行識(shí)別和賦值。(2)使用合適的風(fēng)險(xiǎn)評(píng)估方法完成風(fēng)險(xiǎn)計(jì)算得出結(jié)果。詳細(xì)評(píng)估的優(yōu)點(diǎn)在于組織可以通過(guò)詳細(xì)的風(fēng)險(xiǎn)評(píng)估對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)精確的認(rèn)識(shí)，并且準(zhǔn)確定義出組織目前的安全水平和安全需求；詳細(xì)評(píng)估的結(jié)果可用來(lái)管理安全變化。當(dāng)然，詳細(xì)的風(fēng)險(xiǎn)評(píng)估可能是非常耗費(fèi)資源的過(guò)程，包括時(shí)間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評(píng)估的信息系統(tǒng)范圍，明確商務(wù)環(huán)境、操作和信息資產(chǎn)的邊界。但詳細(xì)評(píng)估也有其缺點(diǎn)，詳細(xì)評(píng)估需要花費(fèi)大量的時(shí)間、精力以及對(duì)技術(shù)的要求過(guò)高。2.1.3聯(lián)合風(fēng)險(xiǎn)評(píng)估聯(lián)合風(fēng)險(xiǎn)評(píng)估首先使用基本的風(fēng)險(xiǎn)評(píng)估方法，識(shí)別信息安全管理體系范圍內(nèi)具有潛在高風(fēng)險(xiǎn)或?qū)I(yè)務(wù)運(yùn)作極為關(guān)鍵的資產(chǎn)，然后根據(jù)基本的風(fēng)險(xiǎn)評(píng)估的結(jié)果，將信息安全管理體系范圍內(nèi)的資產(chǎn)分為兩類，一類需要應(yīng)用詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法以達(dá)到適當(dāng)?shù)谋Ｗo(hù)；另一類通過(guò)基本的風(fēng)險(xiǎn)評(píng)估方法就可以滿足組織對(duì)安全的需求。聯(lián)合風(fēng)險(xiǎn)評(píng)估將基線和詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)勢(shì)結(jié)合起來(lái)，既節(jié)省了評(píng)估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)估結(jié)果，而且，組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。當(dāng)然，聯(lián)合風(fēng)險(xiǎn)評(píng)估也有缺點(diǎn)：如果初步的高級(jí)風(fēng)險(xiǎn)評(píng)估不夠準(zhǔn)確，某些本來(lái)需要詳細(xì)評(píng)估的系統(tǒng)也許會(huì)被忽略，最終導(dǎo)致結(jié)果失準(zhǔn)。2.2信息安全風(fēng)險(xiǎn)評(píng)估的四個(gè)階段2.2.1評(píng)估準(zhǔn)備階段風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。故此，在風(fēng)險(xiǎn)評(píng)估正式實(shí)施之前，要做如下準(zhǔn)備。1.確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)根據(jù)組織的業(yè)務(wù)戰(zhàn)略，有關(guān)法律法規(guī)和文件精神等，確定此次風(fēng)險(xiǎn)評(píng)估的目標(biāo)。2.確定風(fēng)險(xiǎn)評(píng)估的范圍風(fēng)險(xiǎn)評(píng)估的范圍可能是組織全部的信息及其與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是組織所屬的一個(gè)或幾個(gè)子機(jī)構(gòu)或子部門。3.組建評(píng)估團(tuán)隊(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)可大致分為委托評(píng)估機(jī)構(gòu)和自評(píng)估機(jī)構(gòu)兩種形式。無(wú)論是委托評(píng)估還是自評(píng)估，風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)都必須要由管理層、業(yè)務(wù)骨干（及業(yè)務(wù)專家，指被評(píng)估單位的業(yè)務(wù)骨干）和信息安全技術(shù)骨干組成。4.系統(tǒng)調(diào)研系統(tǒng)調(diào)研的目的是為了對(duì)此次風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍做出初步判斷，為撰寫風(fēng)險(xiǎn)評(píng)估計(jì)劃做必要的準(zhǔn)備。測(cè)評(píng)機(jī)構(gòu)進(jìn)行系統(tǒng)調(diào)研可以通過(guò)與被測(cè)評(píng)機(jī)構(gòu)的初步交流來(lái)實(shí)現(xiàn)。調(diào)研內(nèi)容有：（1）業(yè)務(wù)戰(zhàn)略和管理制度；（2）主要的業(yè)務(wù)功能和要求；（3）網(wǎng)絡(luò)結(jié)構(gòu)；（4）系統(tǒng)邊界；（5）主要的硬件和軟件；（6）數(shù)據(jù)和信息。5.制訂方案根據(jù)系統(tǒng)調(diào)研所獲得的用戶的各種資料，測(cè)評(píng)機(jī)構(gòu)應(yīng)該向用戶提交一份《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》，包括此次評(píng)估的目標(biāo)、范圍、依據(jù)、技術(shù)路線、時(shí)間安排、人員安排、保障條件、交付成果等內(nèi)容。6.意識(shí)培訓(xùn)向用戶事先進(jìn)行有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí)教育非常必要，它有助于測(cè)評(píng)人員在風(fēng)險(xiǎn)評(píng)估過(guò)程中獲得用戶的理解和支持。2.2.2評(píng)估識(shí)別階段評(píng)估識(shí)別階段的任務(wù)是對(duì)資產(chǎn)、威脅、脆弱性識(shí)別和已有安全措施的確認(rèn)。1.資產(chǎn)識(shí)別保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，應(yīng)對(duì)組織中的資產(chǎn)進(jìn)行識(shí)別。在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾源藶榛A(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。2.威脅識(shí)別威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害;也可能是偶發(fā)的或蓄意的事件。3.脆弱性識(shí)別脆弱性是資產(chǎn)本身存在的，如果沒(méi)有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全措施本身可能就是一個(gè)脆弱性。脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估;也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對(duì)應(yīng)用在不同環(huán)境中的相同的弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來(lái)自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有:問(wèn)卷調(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。4.已有安全措施的確認(rèn)在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng);保護(hù)性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響。安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來(lái)說(shuō)，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的脆弱性，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的脆弱性，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制訂提供依據(jù)和參考。2.2.3風(fēng)險(xiǎn)評(píng)價(jià)階段1.風(fēng)險(xiǎn)計(jì)算原理在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)計(jì)算原理，以下面的范式形式化加以說(shuō)明:風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(la,Va))其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；la表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。2.風(fēng)險(xiǎn)結(jié)果判定為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理，可將風(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。評(píng)估者應(yīng)根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度。表2-1提供了一種等級(jí)劃分的方法。2.2.4風(fēng)險(xiǎn)處理階段風(fēng)險(xiǎn)等級(jí)處理的目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級(jí)化處理的結(jié)果，設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對(duì)達(dá)到相應(yīng)等級(jí)的風(fēng)險(xiǎn)都進(jìn)行處理。對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮。安全措施的選擇與實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。2.3信息安全風(fēng)險(xiǎn)分析方法常見(jiàn)的安全風(fēng)險(xiǎn)分析方法主要有定量分析、定性分析和綜合分析法。1.定量分析定量分析法對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平用數(shù)值或貨幣的形式來(lái)描述。在度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅可能性、弱點(diǎn)利用程度、安全措施的效率和成本等）都被進(jìn)行賦值之后，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就可以進(jìn)行量化。通過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí)，能夠獲得很好的風(fēng)險(xiǎn)評(píng)估結(jié)果。但是，對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)的前提是可供參考的數(shù)據(jù)指標(biāo)正確性，而這個(gè)前提在于信息系統(tǒng)日益復(fù)雜的今天是難以保證的。由于數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過(guò)程又極易出錯(cuò)，定量分析的細(xì)化非常困難。常見(jiàn)的定量分析方法有：聚類分析法、因子分析法、時(shí)序模型等。2.定性分析作為目前使用最為廣泛的方法，定性分析需要評(píng)估分析者的經(jīng)驗(yàn)、知識(shí)和直覺(jué)，結(jié)合標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)評(píng)估因素的大小或高低程度進(jìn)行定性分級(jí)，帶有很強(qiáng)的主觀性。定性分析的操作可以通過(guò)檢查列表、問(wèn)卷調(diào)查、人員訪談等來(lái)完成。定性分析操作簡(jiǎn)單，但可能因?yàn)樵u(píng)估分析者在經(jīng)驗(yàn)和直覺(jué)上的偏差而導(dǎo)致分析結(jié)果失準(zhǔn)。常用的定性分析法有：專家評(píng)價(jià)法、故障樹(shù)分析法、事件樹(shù)分析法、因果分析法等。3.綜合方法綜合方法主要是將定量和定性兩者相結(jié)合，最大程度上降低兩個(gè)缺點(diǎn)對(duì)風(fēng)險(xiǎn)評(píng)估所造成的影響。目前比較先進(jìn)的綜合方法有：模糊綜合評(píng)判法、網(wǎng)絡(luò)層次分析法。各種方法比較如下表2-2所示。2.4信息安全風(fēng)險(xiǎn)分析流程基于不同風(fēng)險(xiǎn)分析標(biāo)準(zhǔn)和評(píng)估方法，風(fēng)險(xiǎn)分析過(guò)程可能多種多樣。以GB/T20984——2007為例，該標(biāo)準(zhǔn)下風(fēng)險(xiǎn)分析的過(guò)程大致如圖2-1所示，以下對(duì)信息安全風(fēng)險(xiǎn)分析過(guò)程進(jìn)行簡(jiǎn)單的介紹。2.4.1資產(chǎn)識(shí)別資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種要素的組合，直觀地表達(dá)了系統(tǒng)業(yè)務(wù)的重要性。這種重要性即代表資產(chǎn)應(yīng)有的保護(hù)價(jià)值。在對(duì)一個(gè)信息系統(tǒng)進(jìn)行資產(chǎn)識(shí)別的時(shí)候，因?yàn)橄到y(tǒng)往往是龐大的，與之相關(guān)聯(lián)的資產(chǎn)數(shù)量眾多，故要依據(jù)相關(guān)的分類法對(duì)這些資產(chǎn)進(jìn)行分類。1.資產(chǎn)類別確認(rèn)評(píng)估范圍后首要任務(wù)就是對(duì)組織被評(píng)估系統(tǒng)涉及的資產(chǎn)進(jìn)行識(shí)別，合理分類。分類的目的是直觀的反映資產(chǎn)在被評(píng)估系統(tǒng)中的重要程度。信息系統(tǒng)資產(chǎn)主要分為信息資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)和人員資產(chǎn)。1）信息資產(chǎn)信息資產(chǎn)是保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、各類系統(tǒng)文檔、設(shè)備和系統(tǒng)的配置信息、計(jì)劃、報(bào)告、用戶手冊(cè)等，管理制度、運(yùn)行維護(hù)管理規(guī)范等也屬于信息資產(chǎn)的范疇。2）軟件資產(chǎn)軟件資產(chǎn)包括各類系統(tǒng)軟件、應(yīng)用軟件和源程序。3）物理資產(chǎn)物理資產(chǎn)主要包括網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、存儲(chǔ)設(shè)備、安全設(shè)備、傳輸線路、保障設(shè)備、各類基礎(chǔ)物理設(shè)施和其他設(shè)備。4）人員資產(chǎn)人員資產(chǎn)是組織內(nèi)部具備不同綜合素質(zhì)的人員，他們掌握重要信息和核心業(yè)務(wù)，如高、中級(jí)管理人員、技術(shù)人員和其他運(yùn)行維護(hù)保障人員等。2.資產(chǎn)價(jià)值風(fēng)險(xiǎn)分析的基礎(chǔ)工作和首要任務(wù)是資產(chǎn)分析。資產(chǎn)分析通過(guò)對(duì)資產(chǎn)的各種屬性進(jìn)行分析，再進(jìn)行資產(chǎn)確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)表。一般來(lái)說(shuō)資產(chǎn)分析就是資產(chǎn)業(yè)務(wù)行為的價(jià)值尺度。常見(jiàn)的資產(chǎn)價(jià)值表達(dá)方式有以下幾種：（1）有形價(jià)值，比如硬件資產(chǎn)價(jià)值等；（2）無(wú)形價(jià)值，比如企業(yè)聲譽(yù)、品牌價(jià)值等；（3）信息價(jià)值，比如信息的完整性、可用性、保密性等。3.資產(chǎn)管理資產(chǎn)的定義從宏觀上講是組織內(nèi)所有需要保護(hù)的對(duì)象，它是風(fēng)險(xiǎn)分析的基本對(duì)象。資產(chǎn)包括有形資產(chǎn)和無(wú)形資產(chǎn)。在具體項(xiàng)目實(shí)施過(guò)程中，對(duì)于具有共同屬性或者共同服務(wù)于某一特定業(yè)務(wù)功能區(qū)的多個(gè)獨(dú)立資產(chǎn)看成一個(gè)組。制作資產(chǎn)清單的步驟是資產(chǎn)識(shí)別和賦值。資產(chǎn)清單反映了資產(chǎn)的相應(yīng)價(jià)值，或以有形價(jià)值和無(wú)形價(jià)值，或以完整性、可用性和保密性體現(xiàn)資產(chǎn)的信息價(jià)值。資產(chǎn)識(shí)別與賦值所需時(shí)間的長(zhǎng)度與清單中資產(chǎn)價(jià)值的精確程度是成正比的，精確程度越高，所需時(shí)間越長(zhǎng)。資產(chǎn)的相關(guān)信息對(duì)于資產(chǎn)的后續(xù)管理有很大的幫助。通過(guò)風(fēng)險(xiǎn)分析管理系統(tǒng)對(duì)資產(chǎn)進(jìn)行單獨(dú)、有效的管理，同時(shí)可以與資產(chǎn)管理系統(tǒng)相結(jié)合，加強(qiáng)對(duì)資產(chǎn)安全屬性的管理。資產(chǎn)管理包含三部分的內(nèi)容：資產(chǎn)歸屬管理、資產(chǎn)價(jià)值管理和資產(chǎn)基本信息管理。2.4.2威脅識(shí)別我們把可能導(dǎo)致對(duì)系統(tǒng)或者組織危害的事故潛在的原因定義為威脅。威脅可以直接或間接地對(duì)信息系統(tǒng)進(jìn)行攻擊。在進(jìn)行風(fēng)險(xiǎn)分析的時(shí)候，威脅識(shí)別不僅僅需要對(duì)潛在的威脅進(jìn)行識(shí)別，并且那些已經(jīng)發(fā)生過(guò)的也需要進(jìn)行記錄。威脅主體分為環(huán)境因素和人為因素。人為因素又分為惡意和非惡意兩種。環(huán)境因素分為自然災(zāi)害和設(shè)備故障。威脅途徑分為直接接觸和間接接觸，直接接觸是威脅主體能夠物理接觸到資產(chǎn)，間接接觸是可以通過(guò)網(wǎng)絡(luò)、語(yǔ)音、視頻等形式接觸到資產(chǎn)。1.威脅源識(shí)別威脅對(duì)資產(chǎn)造成的損害，可能是人為因素，也可能是環(huán)境因素；可能是惡意的，也可能是非惡意的；可能是自然災(zāi)害，也可能是設(shè)備故障。組織資產(chǎn)可能因地理位置和自身特點(diǎn)不同而面對(duì)不同的威脅源。常見(jiàn)的威脅源如下：（1）不可抗力:由于環(huán)境、自然、政治等因素造成的威脅。（2）組織弱點(diǎn)：由于管理制度、組織結(jié)構(gòu)等因素造成的威脅。（3）人為失誤：由于操作人員的無(wú)意識(shí)行為、經(jīng)驗(yàn)、知識(shí)、技能等原因造成的威脅。（4）技術(shù)缺陷：由于產(chǎn)品的運(yùn)行、設(shè)計(jì)、實(shí)現(xiàn)、編碼、配置、規(guī)劃等造成的安全威脅。（5）惡意行為：掃描監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊、越權(quán)或?yàn)E用、行為抵賴、濫用網(wǎng)絡(luò)資源造成的安全威脅。2.威脅分析手段威脅獲取方式有：人員訪談、問(wèn)卷調(diào)查、入侵檢測(cè)系統(tǒng)、資料查看和人工分析等。如果組織信息系統(tǒng)存在的脆弱性被潛在的威脅源利用，就會(huì)導(dǎo)致安全事件。因此，對(duì)威脅的分析是與組織存在的脆弱性相結(jié)合的。2.4.3脆弱性識(shí)別脆弱性是資產(chǎn)自身所具備的，是可能被威脅所利用的弱點(diǎn)，也就是我們常說(shuō)的漏洞。脆弱性在未被威脅利用的情況下是不會(huì)對(duì)系統(tǒng)造成任何損壞的，而威脅要利用脆弱性才能對(duì)信息系統(tǒng)造成危害。作為脆弱性所具有的一大特點(diǎn)，并且要在一定條件下才能顯現(xiàn)出來(lái)，隱蔽性導(dǎo)致脆弱性的識(shí)別具有一定的難度。脆弱性分析的目的是分析出對(duì)可能被潛在威脅源所利用的缺陷或弱點(diǎn)，這些缺陷和弱點(diǎn)可能是技術(shù)上的也可能是管理上的。1.脆弱性源脆弱性又稱弱點(diǎn)，是指組織的資產(chǎn)的弱點(diǎn)被威脅所利用，它不僅僅包括在物理環(huán)境、軟件、硬件、通信設(shè)施、人員等方面，同樣在管理、組織機(jī)構(gòu)、業(yè)務(wù)流程方面也存在脆弱性。所以脆弱性包括了兩部分：技術(shù)脆弱性和非技術(shù)脆弱性。技術(shù)脆弱性是指操作系統(tǒng)和應(yīng)用系統(tǒng)在開(kāi)發(fā)設(shè)計(jì)和實(shí)現(xiàn)方面存在缺陷和不足。技術(shù)脆弱性廣泛的分布在操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、通信協(xié)議等系統(tǒng)和設(shè)備中。非技術(shù)脆弱性是指物理環(huán)境、訪問(wèn)控制、人員安全、安全方針策略、組織安全、系統(tǒng)開(kāi)發(fā)維護(hù)、運(yùn)行維護(hù)安全、業(yè)務(wù)連續(xù)性管理等方面存在的缺陷和不足。非技術(shù)脆弱性分析的方式有：人員訪談、資料查看、問(wèn)卷調(diào)查和現(xiàn)場(chǎng)檢査等手段。2.脆弱性分析手段技術(shù)脆弱性識(shí)別的類型包括網(wǎng)絡(luò)結(jié)構(gòu)脆弱性識(shí)別、主機(jī)系統(tǒng)脆弱性識(shí)別、數(shù)據(jù)庫(kù)系統(tǒng)脆弱性識(shí)別和應(yīng)用中間件脆弱性識(shí)別。技術(shù)脆弱性分析方式一般采用：網(wǎng)絡(luò)掃描、主機(jī)審計(jì)、滲透測(cè)試和系統(tǒng)分析等手段。其中滲透測(cè)試風(fēng)險(xiǎn)相對(duì)于其他幾種方法風(fēng)險(xiǎn)概率會(huì)高一些，所以在實(shí)際評(píng)估中要結(jié)合組織的實(shí)際情況選擇性的實(shí)施。2.4.4已有安全措施確定在風(fēng)險(xiǎn)分析的時(shí)候已有的安全措施往往是不容忽視的因素，因?yàn)橐延械陌踩胧┠軌蚪档拖到y(tǒng)的脆弱性，抵御威脅。在進(jìn)行威脅識(shí)別和脆弱性識(shí)別的時(shí)候考慮到已有的安全措施，可以避免不必要的人力和物力。已有的安全措施常常被分為預(yù)防性安全措施和保護(hù)性安全措施。風(fēng)險(xiǎn)分析過(guò)程中，對(duì)控制措施的有效性進(jìn)行詳細(xì)的核查，并對(duì)已采取的安全控制措施進(jìn)行識(shí)別，是保障風(fēng)險(xiǎn)分析結(jié)果全面性、準(zhǔn)確性的基本條件。通過(guò)問(wèn)卷調(diào)査、人工檢查等方式識(shí)別被評(píng)估信息系統(tǒng)有效對(duì)抗風(fēng)險(xiǎn)的防護(hù)措施，可以為后續(xù)綜合風(fēng)險(xiǎn)分析提供有力的參考數(shù)據(jù)。2.4.5風(fēng)險(xiǎn)分析1.風(fēng)險(xiǎn)分析過(guò)程在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析原理如圖2-2所示，具體分析步驟如下：第一步：識(shí)別和分析系統(tǒng)中信息資產(chǎn)、威脅、資產(chǎn)的脆弱性這三個(gè)要素，對(duì)其進(jìn)行分類并賦值。賦值是一般采用五級(jí)制，其中等級(jí)最小的為1，最大的為5。信息資產(chǎn)、威脅和脆弱性都是采用這種賦值方法。對(duì)風(fēng)險(xiǎn)影響越大的賦值越大。第二步：計(jì)算風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)可能造成的損失。風(fēng)險(xiǎn)發(fā)生的可能性與威脅出現(xiàn)的頻率和脆弱性嚴(yán)重程度有關(guān)，風(fēng)險(xiǎn)造成的損失與資產(chǎn)價(jià)值和脆弱性的嚴(yán)重程度有關(guān)。第三步：計(jì)算風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)值是關(guān)于風(fēng)險(xiǎn)發(fā)生的可能性和風(fēng)險(xiǎn)可能造成的損失的函數(shù)。風(fēng)險(xiǎn)值計(jì)算的原理是：

風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(la，Va))（2-1）其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；la表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。2.常見(jiàn)風(fēng)險(xiǎn)分析方式1）脆弱性識(shí)別與風(fēng)險(xiǎn)分析（忽略業(yè)務(wù)處理能力的安全掃描類評(píng)估方法）由于威脅是信息系統(tǒng)之外的因素，在風(fēng)險(xiǎn)分析的初期，大家關(guān)心的是脆弱性。為此，將A和T固定，利用各種方式挖掘、分析和確定系統(tǒng)的脆弱性，并根據(jù)成功利用脆弱性后所能獲得的系統(tǒng)控制權(quán)設(shè)定脆弱性的級(jí)別，于是，脆弱性的賦值也就被當(dāng)做“風(fēng)險(xiǎn)值”。眾多的系統(tǒng)掃描工具以及直接利用掃描結(jié)果作為風(fēng)險(xiǎn)分析結(jié)果的方法，正是對(duì)此種風(fēng)險(xiǎn)計(jì)算原理的實(shí)踐。這樣的方法在實(shí)踐中有著快速、簡(jiǎn)潔的優(yōu)點(diǎn)。但其缺點(diǎn)也很明顯，未考慮系統(tǒng)“資產(chǎn)賦值”上的差異，導(dǎo)致風(fēng)險(xiǎn)分析結(jié)果不能深入體現(xiàn)擁有相同系統(tǒng)設(shè)備和不同業(yè)務(wù)應(yīng)用的信息系統(tǒng)之間的風(fēng)險(xiǎn)值的差別。這樣的方法適合于小范圍、業(yè)務(wù)重要性差別不大的信息系統(tǒng)風(fēng)險(xiǎn)分析，或者是部件脆弱性發(fā)掘中。當(dāng)然，也可固定其他自變量，分別單獨(dú)研究資產(chǎn)、威脅的賦值情況，并將其當(dāng)做風(fēng)險(xiǎn)值。2）風(fēng)險(xiǎn)三要素關(guān)系模擬方法（考慮資產(chǎn)價(jià)值）——即《信息安全風(fēng)險(xiǎn)分析規(guī)范》（GB/T20984-2007）的方法風(fēng)險(xiǎn)分析需求和研究與實(shí)踐的發(fā)展要求對(duì)公式做深入的處理，《規(guī)范》提供了借鑒方法，該方法的特點(diǎn)如下：（1）任意選擇A、V、T中的一個(gè)自變量，然后分別固定其他兩個(gè)自變量，為所選擇的自變量賦值（相對(duì)值）。（2）根據(jù)攻防的特點(diǎn)，考慮自變量間的兩兩組合，包括〈V，T〉和〈A，V〉，前者表示威脅對(duì)脆弱性的利用，后者表示資產(chǎn)A上所寄生的脆弱性可能對(duì)資產(chǎn)造成的損害。兩對(duì)組合中變量間的相互影響關(guān)系用查表法來(lái)定義，大致呈正比關(guān)系，〈V，T〉查表得到的是風(fēng)險(xiǎn)的可能性，〈A，V〉查表得到的是影響值。（3）進(jìn)一步建立“可能性”和“影響值”間的影響關(guān)系，可以將二者合二為一，得到“風(fēng)險(xiǎn)度”。（4）所有值均是相對(duì)值，《規(guī)范》方法嚴(yán)格意義上仍然是一種定性方法。理論上，這種方法比掃描方法有進(jìn)步，綜合考慮了風(fēng)險(xiǎn)三要素的變化，但缺點(diǎn)亦很明顯，基本不考慮資產(chǎn)的結(jié)構(gòu)，如業(yè)務(wù)流程結(jié)構(gòu)、威脅利用脆弱性的實(shí)際路線等，幾乎將信息系統(tǒng)當(dāng)做一個(gè)結(jié)構(gòu)簡(jiǎn)單的“質(zhì)點(diǎn)”來(lái)看待，通常適用于小范圍、業(yè)務(wù)重要性差別不大的信息系統(tǒng)風(fēng)險(xiǎn)分析，或者是重要性和構(gòu)成均衡的信息系統(tǒng)的風(fēng)險(xiǎn)分析。3)安全態(tài)勢(shì)和基于圖的威脅分析方法（考慮資產(chǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)）在較大范圍的信息系統(tǒng)，或者構(gòu)成差異極大的信息系統(tǒng)中，需要在研究信息系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上給出更為精確的判斷結(jié)果，這樣的方法通常可歸入到“安全態(tài)勢(shì)和基于圖的威脅分析方法”的方法之列，具有特點(diǎn)如下：（1）重點(diǎn)關(guān)注網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不太重視業(yè)務(wù)流程結(jié)構(gòu)。（2）在實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的路線上，用基于樹(shù)的方法分析威脅對(duì)脆弱性的利用關(guān)系，分析和展示威脅發(fā)生的實(shí)際過(guò)程。（3）考慮了脆弱性間的關(guān)聯(lián)關(guān)系，包括同一個(gè)節(jié)點(diǎn)內(nèi)部脆弱性間的關(guān)系和威脅路線上相鄰節(jié)點(diǎn)間的脆弱性關(guān)系。（4）威脅和脆弱性的分析可以是實(shí)時(shí)和動(dòng)態(tài)的，但需要對(duì)大量數(shù)據(jù)實(shí)時(shí)分析，一般需要采用數(shù)據(jù)挖掘方法。該類方法對(duì)攻擊技術(shù)、節(jié)點(diǎn)內(nèi)部結(jié)構(gòu)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)研究很深入，適用于評(píng)價(jià)大范圍系統(tǒng)的攻防狀態(tài)判斷，缺點(diǎn)是對(duì)業(yè)務(wù)流程結(jié)構(gòu)研究不夠多，很難精確反映威脅的動(dòng)態(tài)變化對(duì)業(yè)務(wù)處理能力的影響，其結(jié)果是不完善的“風(fēng)險(xiǎn)值”。4)基于業(yè)務(wù)流程分析的方法（考慮業(yè)務(wù)流程結(jié)構(gòu)及其運(yùn)行狀況）上述1)~3)中包含的方法分別對(duì)脆弱性、資產(chǎn)賦值、節(jié)點(diǎn)內(nèi)的脆弱性關(guān)聯(lián)關(guān)系、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、威脅與脆弱性關(guān)系等做出了或深入或粗略的研究，簡(jiǎn)言之，是對(duì)資產(chǎn)的低層結(jié)構(gòu)及威脅與這些結(jié)構(gòu)間的關(guān)系做出了大量的研究，但對(duì)資產(chǎn)的高層結(jié)構(gòu)——業(yè)務(wù)流程研究尚不夠深入，由此帶來(lái)的問(wèn)題包括：（1）風(fēng)險(xiǎn)缺乏深入的、實(shí)用的標(biāo)度，該標(biāo)度應(yīng)與業(yè)務(wù)處理能力的評(píng)價(jià)要求一致。標(biāo)度首先指絕對(duì)值，然后才是基于絕對(duì)值上的相對(duì)值。（2）風(fēng)險(xiǎn)分析結(jié)果對(duì)業(yè)務(wù)管理層的決策沒(méi)有什么實(shí)際意義，因?yàn)樵摻Y(jié)果不能精確反映業(yè)務(wù)流程運(yùn)行狀態(tài)的變化和業(yè)務(wù)處理能力的變化。（3）風(fēng)險(xiǎn)值是靜態(tài)的，不能體現(xiàn)業(yè)務(wù)處理能力隨威脅和脆弱性的變化而變化的情況。2.4.6風(fēng)險(xiǎn)處置所謂風(fēng)險(xiǎn)處置就是依據(jù)風(fēng)險(xiǎn)分析的結(jié)果，結(jié)合組織現(xiàn)有的安全控制措施和國(guó)家相關(guān)的法律、法規(guī)，總結(jié)當(dāng)前的安全需求。根據(jù)安全需求的輕重緩急以及相關(guān)行業(yè)、企業(yè)標(biāo)準(zhǔn)制定出適合的風(fēng)險(xiǎn)處置方案。在風(fēng)險(xiǎn)處置之前，組織需要制定一個(gè)可接受風(fēng)險(xiǎn)的規(guī)則。例如，級(jí)別較低而處置成本較高的風(fēng)險(xiǎn)，由于投入和收益不合適，對(duì)組織而言此類風(fēng)險(xiǎn)可視為可接受風(fēng)險(xiǎn)。對(duì)風(fēng)險(xiǎn)分析所識(shí)別出的每一個(gè)風(fēng)險(xiǎn)都做出風(fēng)險(xiǎn)處置決定，并記錄備案。因?yàn)轱L(fēng)險(xiǎn)是客觀存在的，想要完全消除風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不可能。必須在安全措施和成本之間進(jìn)行權(quán)衡找到一個(gè)平衡點(diǎn)，將風(fēng)險(xiǎn)控制在能接受的水平，使得負(fù)面影響降到最低。風(fēng)險(xiǎn)處置是一種系統(tǒng)化方法，可通過(guò)多種方式實(shí)現(xiàn)：（1）風(fēng)險(xiǎn)轉(zhuǎn)移：使用相關(guān)措施來(lái)彌補(bǔ)或減小損失，以達(dá)到轉(zhuǎn)移風(fēng)險(xiǎn)的目的，如設(shè)備托管、購(gòu)買保險(xiǎn)等。（2）風(fēng)險(xiǎn)規(guī)避：通過(guò)對(duì)風(fēng)險(xiǎn)原因或后果的消除來(lái)規(guī)避風(fēng)險(xiǎn)，如刪除系統(tǒng)某個(gè)功能模塊或關(guān)閉系統(tǒng)。（3）風(fēng)險(xiǎn)接受：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng)，不對(duì)風(fēng)險(xiǎn)進(jìn)行處理。（4）風(fēng)險(xiǎn)降低：通過(guò)相關(guān)安全措施的實(shí)現(xiàn)去降低風(fēng)險(xiǎn)，將威脅利用資產(chǎn)脆弱性造成的影響或不利后果降到最低，比如使用入侵檢測(cè)防御系統(tǒng)、安全管理平臺(tái)等安全產(chǎn)品。風(fēng)險(xiǎn)處置并不能解決所有的安全風(fēng)險(xiǎn)，對(duì)那些可能對(duì)企業(yè)造成嚴(yán)重威脅的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)的排序，優(yōu)先解決嚴(yán)重、緊急的風(fēng)險(xiǎn)。同時(shí)，不同企業(yè)的文化和使命各不相同，企業(yè)特定的環(huán)境和目標(biāo)也不相同，風(fēng)險(xiǎn)的處理方式和安全處理措施也不相同。3.1信息風(fēng)險(xiǎn)相關(guān)技術(shù)標(biāo)準(zhǔn)

3.2信息安全風(fēng)險(xiǎn)評(píng)估工具3.1信息風(fēng)險(xiǎn)相關(guān)技術(shù)標(biāo)準(zhǔn)隨著信息技術(shù)的快速發(fā)展，信息技術(shù)的應(yīng)用日益滲透到政府、企業(yè)、團(tuán)體、軍隊(duì)、家庭、個(gè)人等社會(huì)和經(jīng)濟(jì)的各個(gè)角落，并日益深刻地改變著人們傳統(tǒng)的工作模式、商業(yè)模式、管理模式和生活模式。伴隨著信息技術(shù)的快速發(fā)展和全面應(yīng)用，信息安全的重要性也日益凸顯出來(lái)。IT產(chǎn)品和系統(tǒng)擁有的信息資產(chǎn)是能使組織完成其任務(wù)的關(guān)鍵資源。因此，人們要求IT產(chǎn)品和系統(tǒng)具備充分的安全性來(lái)保護(hù)IT產(chǎn)品和系統(tǒng)內(nèi)信息資產(chǎn)的保密性、完整性和可用性。隨著技術(shù)的飛速發(fā)展、社會(huì)分工的進(jìn)一步細(xì)化，加劇了組織與顧客之間的信息不對(duì)稱。許多IT用戶缺乏判斷其IT產(chǎn)品和系統(tǒng)的安全性是否恰當(dāng)?shù)闹R(shí)、經(jīng)驗(yàn)和資源，他們并不希望僅僅依賴開(kāi)發(fā)者的聲明。用戶可借助對(duì)IT產(chǎn)品和系統(tǒng)的安全分析（即安全評(píng)估）來(lái)增加他們對(duì)其安全措施的信心。由此產(chǎn)生了對(duì)于IT產(chǎn)品和系統(tǒng)的安全性評(píng)估準(zhǔn)則的需求。以下對(duì)常見(jiàn)的幾種風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)進(jìn)行介紹。3.1.1BS7799/ISO17799/ISO27002BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BIS）制定的信息安全管理標(biāo)準(zhǔn)，全名是BS7799CodeofPracticeforInformationSecurity，是目前國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，其發(fā)展過(guò)程及簡(jiǎn)要內(nèi)容如圖3-1和圖3-2所示。標(biāo)準(zhǔn)包括兩部分:BS7799-1:1999《信息安全管理實(shí)施細(xì)則》和BS7799-2:1999《信息安全管理體系規(guī)范》。2000年12月1日，國(guó)際標(biāo)準(zhǔn)化組織（ISO）將BS7799-1:1999修改為國(guó)際標(biāo)準(zhǔn)，編號(hào)為ISO/IEC17799-1《信息安全管理實(shí)施細(xì)則》。該標(biāo)準(zhǔn)被信息界喻為“滴水不漏的信息安全管理標(biāo)準(zhǔn)”。2005年6月，ISO/IEC17799-1《信息安全管理實(shí)施細(xì)則》再次修改，成為新的國(guó)際標(biāo)準(zhǔn)，即ISO17799:2005——信息技術(shù)——安全技術(shù)——信息安全管理體系實(shí)施細(xì)則。2007年時(shí)被重新編號(hào)為ISO/IEC27002以便與其他ISO/IEC27000系列一致。ISO/IEC27002提供了一種最佳實(shí)踐方式用來(lái)初始化、實(shí)施以及管理的一套信息安全系統(tǒng)。最新版本為ISO27002:2013信息技術(shù)——安全技術(shù)——信息安全控制實(shí)用規(guī)則。不論ISO/IEC27001還是ISO/IEC27002目前都正在更新為ISO/IECJTC1/SC27。ISO/IEC27001:2013是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)。從原本的11個(gè)控制域調(diào)整為14個(gè)，新增了密碼學(xué)和供應(yīng)關(guān)系兩個(gè)控制域，并將原本的通信及操作管理拆分為操作安全和通信安全兩個(gè)控制域。3.1.2ISO/IECTR13335ISO/IECTR13335是一個(gè)信息安全管理指南，其風(fēng)險(xiǎn)管理模型如圖3-3所示。第一部分：IT安全的概念和模型（ConceptsandmodelsforITSecurity），發(fā)布于1996年12月15日。該部分包括了對(duì)IT安全和安全管理的一些基本概念和模型的介紹。其主要內(nèi)容包括IT安全管理概念；資產(chǎn)、威脅、脆弱點(diǎn)、影響、風(fēng)險(xiǎn)、防護(hù)措施、殘余風(fēng)險(xiǎn)、限制條件、安全要素之間的關(guān)系、風(fēng)險(xiǎn)管理的關(guān)系等安全要素；此外還包括風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)分析、可審計(jì)性、監(jiān)視、安全意識(shí)、配置管理、變更管理、業(yè)務(wù)連續(xù)性計(jì)劃、IT安全要素、IT安全管理過(guò)程等信息技術(shù)安全管理的過(guò)程。第二部分：IT安全的管理和計(jì)劃（ManagingandplanningITSecurity），發(fā)布于1997年12月15日。這一部分建議性地描述了IT安全管理和計(jì)劃的方式和要點(diǎn)，決定IT安全目標(biāo)戰(zhàn)略和策略。其主要內(nèi)容包括決定組織IT安全需求；管理IT安全風(fēng)險(xiǎn)；計(jì)劃適當(dāng)IT安全防護(hù)措施的實(shí)施；開(kāi)發(fā)安全教育計(jì)劃；策劃跟進(jìn)的程序，如監(jiān)控復(fù)查和維護(hù)安全服務(wù)；開(kāi)發(fā)事件處理計(jì)劃。第三部分：IT安全的技術(shù)管理（TechniquesforthemanagementofITSecurity），發(fā)布于1998年6月15日。這一部分覆蓋了風(fēng)險(xiǎn)管理技術(shù)IT安全計(jì)劃的開(kāi)發(fā)以及實(shí)施和測(cè)試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。其中提出了IT安全目標(biāo)、戰(zhàn)略和公司IT安全策略；提供了基線方法、非正式方法、詳細(xì)風(fēng)險(xiǎn)分析和綜合方法來(lái)進(jìn)行公司風(fēng)險(xiǎn)分析。在綜合方法里詳細(xì)闡述了風(fēng)險(xiǎn)分析的步驟，即建立評(píng)審邊界、識(shí)別資產(chǎn)、資產(chǎn)賦值和建立資產(chǎn)之間的依賴關(guān)系，進(jìn)行威脅評(píng)估、脆弱點(diǎn)評(píng)估，識(shí)別已經(jīng)存在的/計(jì)劃的防護(hù)措施、風(fēng)險(xiǎn)評(píng)估等步驟。在安全計(jì)劃的實(shí)施方面闡述了防護(hù)措施的實(shí)施、安全意識(shí)、安全培訓(xùn)、IT系統(tǒng)的批準(zhǔn)等內(nèi)容。第四部分：防護(hù)的選擇（Selectionofsafeguards），發(fā)布于2000年3月1日。這一部分主要探討如何針對(duì)一個(gè)組織的特定環(huán)境和安全需求來(lái)選擇防護(hù)措施。這些措施不僅僅包括技術(shù)措施，還有：首先是對(duì)一個(gè)系統(tǒng)的基本評(píng)估，包括識(shí)別IT系統(tǒng)類型、識(shí)別物理/環(huán)境條件、評(píng)估已存在/計(jì)劃的防護(hù)措施；在組織和物理的防護(hù)層面提出了IT安全管理和策略、安全符合性檢查、事故處置、人員、操作性問(wèn)題、業(yè)務(wù)中斷計(jì)劃、物理安全等措施；在IT系統(tǒng)特有的防護(hù)層面提出識(shí)別和鑒定、邏輯訪問(wèn)控制和審計(jì)、防范惡意代碼、網(wǎng)絡(luò)管理、加密等防護(hù)措施。第五部分：網(wǎng)絡(luò)安全管理指南（Managementguidanceonnetworksecurity），發(fā)布于2001年。這一部分闡述了三個(gè)簡(jiǎn)單的準(zhǔn)則以保證負(fù)責(zé)I