信息安全風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理ppt課件

1、信息安全風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理,一、風(fēng)險(xiǎn)評估中的概念及模型 二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評估流程與方法 四、風(fēng)險(xiǎn)評估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié),目錄,信息安全的定義,機(jī)密性（integrity）： 確保該信息僅對已授權(quán)訪問的人們才可訪問 只有擁有者許可，才可被其他人訪問 完整性（confidentiality）： 保護(hù)信息及處理方法的準(zhǔn)確性和完備性； 不因人為的因素改變原有的內(nèi)容，保證不被非法改動(dòng)和銷毀 可用性（availability）： 當(dāng)要求時(shí)，即可使用信息和相關(guān)資產(chǎn)。 不因系統(tǒng)故障或誤操作使資源丟失。 響應(yīng)時(shí)間要求、故障下的持續(xù)運(yùn)行。 其他：可控性、可審查性,Key words I,

2、信息安全：信息的保密性、完整性、可用性的保持。 風(fēng)險(xiǎn)評估：對信息和信息處理設(shè)施的威脅，影響和薄弱點(diǎn)以及威脅發(fā)生的可能性的評估。 風(fēng)險(xiǎn)管理：以可接受的費(fèi)用識別、控制、降低或消除可能影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過程。 威脅：是指某個(gè)人、物、事件或概念對某一資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。,Key word II,威脅(Threat): 是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。 薄弱點(diǎn)(Vulnerability): 是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。 風(fēng)險(xiǎn)(Risk): 特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后

3、果的結(jié)合。,風(fēng)險(xiǎn)評估的目的和意義,認(rèn)識現(xiàn)有的資產(chǎn)及其價(jià)值 對信息系統(tǒng)安全的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的評估 通過安全評估，能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)，清晰地了解信息系統(tǒng)的安全現(xiàn)狀 明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的差距 為下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況提供客觀和翔實(shí)的依據(jù),信息系統(tǒng)風(fēng)險(xiǎn)模型,風(fēng)險(xiǎn)計(jì)算依據(jù),一、風(fēng)險(xiǎn)評估中的概念及模型 二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評估流程與方法 四、風(fēng)險(xiǎn)評估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié),目錄,國外相關(guān)信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)簡介（1）,ISO 27001：信息安全管理體系規(guī)范、ISO 17799 信息安全管理實(shí)踐指南 基于風(fēng)險(xiǎn)管

4、理的理念，提出了11個(gè)控制大類、34個(gè)控制目標(biāo)和133個(gè)控制措施 ； 提出風(fēng)險(xiǎn)評估的要求，并未對適用于信息系統(tǒng)的風(fēng)險(xiǎn)評估方法和管理方法做具體的描述。 OCTAVE：Operationally Critical Threat, Asset, and Vulnerability Evaluation Framework 卡耐基梅隆大學(xué)軟件工程研究所（CMU/SEI）開發(fā)的一種綜合的、系統(tǒng)的信息安全風(fēng)險(xiǎn)評估方法 3個(gè)階段8個(gè)過程。3個(gè)階段分別是建立企業(yè)范圍內(nèi)的安全需求、識別基礎(chǔ)設(shè)施脆弱性、決定安全風(fēng)險(xiǎn)管理策略。 OCTAVE 實(shí)施指南（OCTAVESM Catalog of Practices, V

5、ersion 2.0），該實(shí)施指南闡述了具體的安全策略、威脅輪廓和實(shí)施調(diào)查表。,AS/NZS 4360：1999 風(fēng)險(xiǎn)管理 澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) 將對象定位在“信息系統(tǒng)”；在資產(chǎn)識別和評估時(shí)，采取半定量化的方法，將威脅、風(fēng)險(xiǎn)發(fā)生可能性、造成的影響劃分為不同的等級。 分為建立環(huán)境、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)處置等步驟。 ISO/IEC TR 13335信息技術(shù)安全管理指南 提出了風(fēng)險(xiǎn)評估的方法、步驟和主要內(nèi)容。 主要步驟包括：資產(chǎn)識別、威脅識別、脆弱性識別、已有控制措施確認(rèn)、風(fēng)險(xiǎn)計(jì)算等過程。 NIST SP800-30：信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南 提出了風(fēng)險(xiǎn)評估的方法論和

6、一般原則， 風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評估概念：風(fēng)險(xiǎn)就是不利事件發(fā)生的可能性。風(fēng)險(xiǎn)管理是評估風(fēng)險(xiǎn)、采取步驟將風(fēng)險(xiǎn)消減到可接受的水平并且維持這一風(fēng)險(xiǎn)級別的過程。,國外相關(guān)信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)簡介（2）,我國信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)發(fā)展歷程,2001年，隨著GB/T 18336的正式發(fā)布，從風(fēng)險(xiǎn)的角度來認(rèn)識、理解信息安全也逐步得到了業(yè)界的認(rèn)可。 2003年，國務(wù)院信息化辦公室成立了風(fēng)險(xiǎn)評估研究課題組，對風(fēng)險(xiǎn)評估相關(guān)問題進(jìn)行研究。 2004年，提出了信息安全風(fēng)險(xiǎn)評估指南標(biāo)準(zhǔn)草案 ，其規(guī)定了風(fēng)險(xiǎn)評估的一些內(nèi)容和流程，基本與SP800-30中的內(nèi)容一致。 2005年，國信辦在全國4個(gè)省市和3個(gè)行業(yè)進(jìn)行風(fēng)險(xiǎn)評估的試點(diǎn)工作，根

7、據(jù)試點(diǎn)結(jié)果對信息安全風(fēng)險(xiǎn)評估指南 進(jìn)行了修改。 20052006年，通過了國家標(biāo)準(zhǔn)立項(xiàng)的一系列程序，目前已進(jìn)入正式發(fā)布階段。正式定名為：信息技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范。,信息安全風(fēng)險(xiǎn)評估規(guī)范標(biāo)準(zhǔn)操作的主要內(nèi)容,引言 定義與術(shù)語 風(fēng)險(xiǎn)評估概述 風(fēng)險(xiǎn)評估流程及模型 風(fēng)險(xiǎn)評估實(shí)施 資產(chǎn)識別 脆弱性識別 威脅識別 已有安全措施確認(rèn) 風(fēng)險(xiǎn)評估在信息系統(tǒng)生命周期中的不同要求 風(fēng)險(xiǎn)評估的形式及角色 附錄,標(biāo)準(zhǔn)內(nèi)容：引言,提出了風(fēng)險(xiǎn)評估的作用、定位及目的。 作用： 過對信息系統(tǒng)的資產(chǎn)、面臨威脅、存在的脆弱性、采用的安全控制措施等進(jìn)行分析，確定信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，從技術(shù)和管理兩個(gè)層面綜合判斷信息系統(tǒng)面臨的風(fēng)

8、險(xiǎn)。 定位 建立信息安全保障機(jī)制中的一種科學(xué)方法。 目的 信息系統(tǒng)所有者：使用本標(biāo)準(zhǔn)為其選擇安全措施，實(shí)施信息系統(tǒng)保護(hù)提供技術(shù)支持，依據(jù)本標(biāo)準(zhǔn)中提出的安全風(fēng)險(xiǎn)理念選擇技術(shù)與管理控制措施； 風(fēng)險(xiǎn)評估的實(shí)施者：依據(jù)本標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評估，依據(jù)本標(biāo)準(zhǔn)的判定準(zhǔn)則，做出科學(xué)的判斷。 信息系統(tǒng)管理機(jī)構(gòu)：依據(jù)本標(biāo)準(zhǔn)對信息系統(tǒng)及其管理進(jìn)行安全檢查，推動(dòng)行業(yè)或地區(qū)信息安全風(fēng)險(xiǎn)管理的實(shí)施。,范圍 本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評估的要素、實(shí)施流程、評估內(nèi)容、評估方法及其在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于組織開展的風(fēng)險(xiǎn)評估工作。 規(guī)范性引用文件 說明標(biāo)準(zhǔn)中引用到其他的標(biāo)準(zhǔn)文件或條款。 術(shù)語和定義 對標(biāo)準(zhǔn)中涉及的一些術(shù)語進(jìn)行

9、定義。,風(fēng)險(xiǎn)評估框架及流程,風(fēng)險(xiǎn)評估中各要素的關(guān)系,風(fēng)險(xiǎn)分析原理,（1）對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價(jià)值進(jìn)行賦值； （2）對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值； （3）對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值； （4）根據(jù)威脅及威脅利用弱點(diǎn)的難易程度判斷安全事件發(fā)生的可能性； （5）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的價(jià)值計(jì)算安全事件的損失； （6）根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算安全事件一旦發(fā)生對組織的影響，即風(fēng)險(xiǎn)值。,風(fēng)險(xiǎn)評估實(shí)施 (1),風(fēng)險(xiǎn)評估的準(zhǔn)備 （1）確定風(fēng)險(xiǎn)評估的目標(biāo)； （2）確定風(fēng)險(xiǎn)評估的范圍； （3）組建適當(dāng)?shù)脑u估管理

10、與實(shí)施團(tuán)隊(duì)； （4）進(jìn)行系統(tǒng)調(diào)研； （5）確定評估依據(jù)和方法； （6）獲得最高管理者對風(fēng)險(xiǎn)評估工作的支持。,資產(chǎn)識別 資產(chǎn)分類 資產(chǎn)賦值 :機(jī)密性、完整性、可用性三方面的賦值 資產(chǎn)重要性等級 威脅識別 威脅分類 威脅來源分類 威脅賦值 脆弱性識別 識別內(nèi)容 ：技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。 脆弱性賦值 ：等級賦值，技術(shù)脆弱性與管理脆弱性的結(jié)合。,風(fēng)險(xiǎn)評估實(shí)施 (2),已有安全措施確認(rèn) 安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。 安全措施確認(rèn)并不需要和脆弱性識別過程那樣具體

11、到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。 風(fēng)險(xiǎn)分析 計(jì)算安全事件發(fā)生的可能性 計(jì)算安全事件發(fā)生后的損失 計(jì)算風(fēng)險(xiǎn)值 風(fēng)險(xiǎn)等級判定,風(fēng)險(xiǎn)評估實(shí)施 (3),風(fēng)險(xiǎn)評估文件記錄 風(fēng)險(xiǎn)評估文件記錄的要求 風(fēng)險(xiǎn)評估文件 的類型、多少 風(fēng)險(xiǎn)評估方案 資產(chǎn)識別清單 重要資產(chǎn)清單 威脅列表 脆弱性列表 風(fēng)險(xiǎn)評估報(bào)告 風(fēng)險(xiǎn)處理計(jì)劃,風(fēng)險(xiǎn)評估實(shí)施 (4),信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估,規(guī)劃階段的風(fēng)險(xiǎn)評估 設(shè)計(jì)階段的風(fēng)險(xiǎn)評估 實(shí)施階段的風(fēng)險(xiǎn)評 運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估 廢棄階段的風(fēng)險(xiǎn)評估 每個(gè)階段的實(shí)施內(nèi)容稍有不同，目的和方法一致。,風(fēng)險(xiǎn)評估的工作形式,自評估 適用于對自

12、身的信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)的識別、評價(jià) 自評估可以委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施，也可以自行實(shí)施 檢查評估 ： 一般由主管機(jī)關(guān)發(fā)起，通常都是定期的、抽樣進(jìn)行的評估模式 旨在檢查關(guān)鍵領(lǐng)域、或關(guān)鍵點(diǎn)的信息安全風(fēng)險(xiǎn)是否在可接受的范圍內(nèi) 風(fēng)險(xiǎn)評估應(yīng)以自評估為主，檢查評估對自評估過程記錄與評估結(jié)果的基礎(chǔ)上，驗(yàn)證和確認(rèn)系統(tǒng)存在的技術(shù)、管理和運(yùn)行風(fēng)險(xiǎn)，以及用戶實(shí)施自評估后采取風(fēng)險(xiǎn)控制措施取得的效果。,附錄,風(fēng)險(xiǎn)的計(jì)算方法 矩陣法 ：通過構(gòu)造兩兩要素計(jì)算矩陣，得到第三個(gè)要素的判斷值，是一種基于經(jīng)驗(yàn)的判斷方法。 相乘法 ：直接使用兩個(gè)要素值進(jìn)行相乘得到另一個(gè)要素的值。相乘法的特點(diǎn)是簡單明確，直接按照統(tǒng)一公式計(jì)算

13、。 風(fēng)險(xiǎn)評估的工具 風(fēng)險(xiǎn)評估與管理工具 系統(tǒng)基礎(chǔ)平臺風(fēng)險(xiǎn)評估工具 風(fēng)險(xiǎn)評估輔助工具,一、風(fēng)險(xiǎn)評估中的概念及模型 二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評估流程與方法 四、風(fēng)險(xiǎn)評估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié),目錄,現(xiàn)有風(fēng)險(xiǎn)評估方法綜述（1）,定性分析方法：針對某個(gè)被評估對象，確定其潛在的風(fēng)險(xiǎn)，描述可能引起風(fēng)險(xiǎn)的原因。 定量分析方法：在某個(gè)基準(zhǔn)上，建立不同資產(chǎn)的等級化評價(jià)模型，定量描述某個(gè)資產(chǎn)的風(fēng)險(xiǎn)值，可以做到不同資產(chǎn)之間風(fēng)險(xiǎn)狀況的對比。 基于系統(tǒng)安全模型體系的分析方法：針對某個(gè)典型的（或固定）的系統(tǒng)，建立其安全要素的模型，以及判定某個(gè)要素的條件和內(nèi)容，有相對完善、固定的評估模型體系。,現(xiàn)有風(fēng)險(xiǎn)評估方

14、法綜述（2）,定性分析方法 定性分析方法一般適用于： a）風(fēng)險(xiǎn)識別； b）造成風(fēng)險(xiǎn)的原因分析； c）威脅發(fā)生所造成的影響分析等。 例如： 針對操作系統(tǒng)，采用掃描工具，發(fā)現(xiàn)其漏洞，指明漏洞的嚴(yán)重程度；,現(xiàn)有風(fēng)險(xiǎn)評估方法綜述（3）,定量分析方法 以獲取到或采取一定方法量化后得到的被調(diào)查對象的定量數(shù)據(jù)為基本材料，依據(jù)一定的算法進(jìn)行分析、計(jì)算、綜合，然后得出結(jié)果數(shù)據(jù)。定量分析方法一般適用于： a）確立威脅發(fā)生概率； b）預(yù)測系統(tǒng)風(fēng)險(xiǎn)發(fā)生概率； c）確立系統(tǒng)總體風(fēng)險(xiǎn)評價(jià)等。 例如： 對運(yùn)行在某個(gè)平臺上的不同主機(jī)、應(yīng)用系統(tǒng)分別進(jìn)行等價(jià)化的賦值，綜合分析每個(gè)資產(chǎn)的威脅、脆弱性，得到各資產(chǎn)的風(fēng)險(xiǎn)量化值。,現(xiàn)有

15、風(fēng)險(xiǎn)評估方法綜述（4）,基于系統(tǒng)安全模型體系的分析方法 在一般風(fēng)險(xiǎn)評估原理的指導(dǎo)下，針對被評估信息系統(tǒng)實(shí)際情況（包括：系統(tǒng)技術(shù)特性、組織特性、資產(chǎn)情況、安全假設(shè)、脆弱點(diǎn)、威脅、保護(hù)措施等）建立有針對性、合理的評估安全需求； 同時(shí)建立評估指標(biāo)體系、評估流程、評估模型，通過系統(tǒng)對評估要求的滿足程度進(jìn)行判斷風(fēng)險(xiǎn)評估的指導(dǎo)作用。 例如： 網(wǎng)上政務(wù)安信息系統(tǒng)安全保障要求 HIS系統(tǒng)安全保障要求 實(shí)際固化了前期的資產(chǎn)識別、威脅分析，僅做審核、結(jié)論性判斷。,1）資產(chǎn)識別與賦值2）資產(chǎn)的安全屬性賦值及權(quán)重計(jì)算；3）威脅分析；4）薄弱點(diǎn)分析；5）已有控制措施分析；6）影響分析；7）可能性分析；8）風(fēng)險(xiǎn)計(jì)算；9）

16、風(fēng)險(xiǎn)控制措施制定；,評估步驟,1、資產(chǎn)的識別,資產(chǎn)識別之前必須界定范圍 識別資產(chǎn)最簡單的方法就是列出對組織或組織的特定部門的業(yè)務(wù)過程有價(jià)值的任何事物 資產(chǎn)包括: 數(shù)據(jù)與文檔/書面文件/軟件/實(shí)物資產(chǎn)/人員/服務(wù),資產(chǎn)識別的類型,2、資產(chǎn)的安全屬性賦值及權(quán)重計(jì)算,信息資產(chǎn)分別具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個(gè)不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過考察三種不同安全屬性，可以得出一個(gè)能夠基本反映資產(chǎn)價(jià)值的數(shù)值。對信息資產(chǎn)進(jìn)行賦值的目的是為了更好地反映資產(chǎn)的價(jià)值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性，并進(jìn)行量化。,資產(chǎn)價(jià)值與信

17、息安全特性的關(guān)系,例：對應(yīng)用軟件，其機(jī)密性表現(xiàn)在配置數(shù)據(jù)失密、賬號口令信息失密、關(guān)鍵算法失密等。,資產(chǎn)價(jià)值與信息安全特性的關(guān)系,例：對應(yīng)用軟件，其完整性表現(xiàn)在配置數(shù)據(jù)被修改、軟件被修改、數(shù)據(jù)被修改,資產(chǎn)價(jià)值與信息安全特性的關(guān)系,例：對應(yīng)用軟件，其完整性表現(xiàn)在軟件故障、喪失控制權(quán)。,3、威脅分析與評價(jià),對組織需要保護(hù)的每一項(xiàng)重要信息資產(chǎn)進(jìn)行威脅識別應(yīng)考慮: 資產(chǎn)所處的環(huán)境條件 資產(chǎn)以前遭受威脅損害的情況來判斷: 一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅 一個(gè)威脅可能對不同的資產(chǎn)造成影響 威脅識別應(yīng)確認(rèn)威脅由誰或什么事物引發(fā) 威脅可能來源于意外的，或有預(yù)謀的事件,威脅的識別與評價(jià),威脅列表: 空氣中的懸浮顆粒/

18、灰塵 維護(hù)錯(cuò)誤 空調(diào)故障 惡意軟件 存儲(chǔ)媒體的老化 用戶身份的偽裝 電子郵件炸彈 未授權(quán)網(wǎng)絡(luò)訪問 地震 操作人員的錯(cuò)誤 竊聽 供電波動(dòng) 環(huán)境污染 否定或抵賴 極端的溫度和濕度 軟件故障 通信服務(wù)故障 員工短缺,威脅的識別與評價(jià),威脅列表(續(xù)): 火災(zāi) 傳輸錯(cuò)誤 洪水 軟件未授權(quán)使用 硬件故障 存儲(chǔ)媒體未授權(quán)使用 軟件的非法進(jìn)/出口 軟件被未授權(quán)用戶使用 軟件的非法使用 軟件以未經(jīng)許可的方法使用 工業(yè)活動(dòng) 用戶錯(cuò)誤 閃電 故意破壞 通信電纜損壞 資源濫用 網(wǎng)絡(luò)組件的故障 盜竊 電力供應(yīng)故障 颶風(fēng) 供應(yīng)故障 通信量超載,分析威脅與C,I,A之間的關(guān)系,例如:電腦遭遇黒客入侵 資產(chǎn)是電腦 威脅是黒客

19、攻擊 薄弱點(diǎn)是口令強(qiáng)度不夠等 在考慮此威脅發(fā)生時(shí),對此資產(chǎn)而言,最先遭破壞的是完整性,其次才是保密性或可用性。,4、薄弱點(diǎn)分析與評價(jià),由于組織缺乏充分的安全控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)。 來自組織結(jié)構(gòu)/人員/管理/程序/資產(chǎn)本身的缺陷 應(yīng)針對每一項(xiàng)信息資產(chǎn)，找出每一種威脅所能利用的薄弱點(diǎn),有關(guān)實(shí)物和環(huán)境安全方面的薄弱點(diǎn)列表,例：常見系統(tǒng)薄弱點(diǎn)及其對應(yīng)威脅,5、已有安全控制分析與確認(rèn),識別已經(jīng)存在和策劃了的安全控制 對現(xiàn)有的和已計(jì)劃好的控制加以確定，可以避免不必要的工作和費(fèi)用 應(yīng)核查控制是否有效。移除？替換？增加？保留？ 現(xiàn)有的或已計(jì)劃好的控制是否和將要采取的安

20、全控制相一致？,6、威脅影響分析,評價(jià)威脅發(fā)生所造成的后果或潛在影響 不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對價(jià)值(或重要度)為限。 對影響的評估，應(yīng)在脆弱性嚴(yán)重程度的基礎(chǔ)上考慮。脆弱性越嚴(yán)重，表明被威脅利用后產(chǎn)生的后果越嚴(yán)重；被某個(gè)威脅利用的脆弱性越多，其造成的影響也越大。 采用5個(gè)等級來描述影響程度，對不同的資產(chǎn)有不同評價(jià)原則。 參考威脅影響程度判斷準(zhǔn)則,威脅影響程度判斷準(zhǔn)則,7、威脅的可能性分析,組織應(yīng)根據(jù)專家意見或有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。,威脅發(fā)生的可能性受下列因素的影響: 資產(chǎn)的吸引力 資產(chǎn)轉(zhuǎn)化成報(bào)酬

21、的容易程度 威脅的技術(shù)含量 薄弱點(diǎn)被利用的難易程度,8、風(fēng)險(xiǎn)值的計(jì)算,威脅的風(fēng)險(xiǎn)值（RT）威脅的影響值(I)威脅發(fā)生的可能性(P),9、風(fēng)險(xiǎn)控制措施確定,組織根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，確定不可接受風(fēng)險(xiǎn)的范圍，制定風(fēng)險(xiǎn)處理計(jì)劃，增加控制措施，從而降低風(fēng)險(xiǎn)。,安全控制的識別和選擇： 依據(jù)-風(fēng)險(xiǎn)評估的結(jié)果 原則-費(fèi)用與風(fēng)險(xiǎn)平衡 構(gòu)成-技術(shù)控制措施或管理控制措施,確定風(fēng)險(xiǎn)的等級和組織的可接受水平：,實(shí)施風(fēng)險(xiǎn)控制,風(fēng)險(xiǎn)確認(rèn)與接受 為確保組織的信息安全，殘余風(fēng)險(xiǎn)應(yīng)在可接受范圍內(nèi),殘余風(fēng)險(xiǎn)R(r)=原有風(fēng)險(xiǎn)R(0)-控制R 殘余風(fēng)險(xiǎn)R（r）=可接受風(fēng)險(xiǎn)R(t),安全控制 實(shí)施,風(fēng)險(xiǎn)確認(rèn),接受,不接受,增加控制,風(fēng)

22、險(xiǎn)控制曲線圖,風(fēng)險(xiǎn)R,資產(chǎn)序列,原有風(fēng)險(xiǎn)曲線,可接受風(fēng)險(xiǎn)曲線,殘余風(fēng)險(xiǎn)曲線,風(fēng)險(xiǎn)控制要點(diǎn),風(fēng)險(xiǎn)是一個(gè)變數(shù)! 要定期進(jìn)行風(fēng)險(xiǎn)評估 在以下情況進(jìn)行臨時(shí)評估 當(dāng)組織新增信息資產(chǎn)時(shí) 當(dāng)系統(tǒng)發(fā)生重大變更時(shí) 發(fā)生嚴(yán)重信息安全事故時(shí),一、風(fēng)險(xiǎn)評估中的概念及模型 二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評估流程與方法 四、風(fēng)險(xiǎn)評估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié),目錄,風(fēng)險(xiǎn)評估的輸出結(jié)果,資產(chǎn)識別,4.1 資產(chǎn)識別表,資產(chǎn)賦值,威脅分析,4.3 資產(chǎn)威脅表,4.2 重要資產(chǎn)賦值表,脆弱性分析,4.6不可接受風(fēng)險(xiǎn)處理計(jì)劃表,影響、可能性分析,4.5信息資產(chǎn)綜合風(fēng)險(xiǎn)值表,風(fēng)險(xiǎn)計(jì)算及評估結(jié)果,4.4 脆弱性匯總表,風(fēng)險(xiǎn)評估報(bào)告

23、,反映了： 資產(chǎn)名稱 描述范圍 重要性程度 部門 所屬業(yè)務(wù)流程,4. 1 資產(chǎn)識別表,風(fēng)險(xiǎn)評估的輸出結(jié)果資產(chǎn)識別表,反映了： 資產(chǎn)名稱 描述范圍 機(jī)密性、可用性、完整性評分等級 資產(chǎn)與信息安全系數(shù)關(guān)系 所屬業(yè)務(wù)流程,4.2 重要資產(chǎn)賦值表,風(fēng)險(xiǎn)評估的輸出結(jié)果重要資產(chǎn)列表,反映了： 資產(chǎn)名稱 面臨的威脅類 具體可能的威脅,4.3 資產(chǎn)威脅表,風(fēng)險(xiǎn)評估的輸出結(jié)果威脅列表,反映了： 脆弱性分類（網(wǎng)絡(luò)、操作系統(tǒng)、管理、數(shù)據(jù)庫等） 脆弱性的詳細(xì)描述 脆弱性的嚴(yán)重程度 與威脅的對應(yīng)關(guān)系 可能影響的資產(chǎn),4.4 脆弱性匯總表,風(fēng)險(xiǎn)評估的輸出結(jié)果脆弱性識別表,反映了： 資產(chǎn)名稱 資產(chǎn)面臨的威脅 可能被威脅利用

24、的脆弱電 威脅發(fā)生的可能性 威脅的影響程度,4.5信息資產(chǎn)綜合風(fēng)險(xiǎn)值表,風(fēng)險(xiǎn)評估的輸出結(jié)果資產(chǎn)風(fēng)險(xiǎn)表,反映了： 資產(chǎn)名稱 威脅/薄弱點(diǎn) 風(fēng)險(xiǎn)系數(shù) 風(fēng)險(xiǎn)處理措施 優(yōu)先處理等級，等。,4.6不可接受風(fēng)險(xiǎn)處理計(jì)劃表,風(fēng)險(xiǎn)評估的輸出結(jié)果風(fēng)險(xiǎn)處理計(jì)劃,風(fēng)險(xiǎn)評估報(bào)告 評估方法 信息系統(tǒng)分析與描述 業(yè)務(wù)信息流分析 資產(chǎn)識別與劃分 威脅分析 安全風(fēng)險(xiǎn)分析與統(tǒng)計(jì) 信息系統(tǒng)脆弱性評估報(bào)告：以資產(chǎn)為主線，描述各資產(chǎn)存在的脆弱性，包括： 主要服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng) 應(yīng)用系統(tǒng) 網(wǎng)絡(luò)與交換設(shè)備 安全管理體系 物理環(huán)境,4.7 風(fēng)險(xiǎn)評估報(bào)告,風(fēng)險(xiǎn)評估的輸出結(jié)果風(fēng)險(xiǎn)評估報(bào)告,一、風(fēng)險(xiǎn)評估中的概念及模型 二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn) 三、風(fēng)險(xiǎn)評估流程與方法 四、風(fēng)險(xiǎn)評估的輸出結(jié)果 五、風(fēng)險(xiǎn)管理 六、總結(jié),目錄,風(fēng)險(xiǎn)管理的目的和意義,信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作。 1、信息安全風(fēng)險(xiǎn)管