1、第七章 信息安全风险评估的基本过程信息安全风险评估的基本过程 信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价,是组织确定信息安全需求的过程。7.1 信息安全风险评风险评估的过过程 依据GB/T 209842007信息安全技术 信息安全风险评估规范,同时参照ISO/IEC TR 13335-3、NIST SP800-30等标准,风险评估过程都会涉及到以下阶段:识别要评估的资产,确定资产的威胁、脆弱点及相关问题,评价风险,推荐对策。信息安全风险评估完整的过程如图7-1所示 7.2 评评估准备备 信息安全风险评估的准备,是实
2、施风险评估的前提。为了保证评估过程的可控性以及评估结果的客观性,在信息安全风险评估实施前应进行充分的准备和计划,信息安全风险评估的准备活动包括:确定信息安全风险评估的目标;确定信息安全风险评估的范围;组建适当的评估管理与实施团队;进行系统调研;确定信息安全风险评估依据和方法;制定信息安全风险评估方案;获得最高管理者对信息安全风险评估工作的支持。7.2.1 确定信息安全风险评风险评估的目标标 在信息安全风险评估准备阶段应明确风险评估在信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息的目标,为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常
3、、有效运转而安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来确定信息安密性、完整性、可用性等方面的需求,来确定信息安全风险评估的目标。全风险评估的目标。7.2.2 确定信息安全风险评风险评估的范围围 既定的信息安全风险评估可能只针对组织全部既定的信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。资产的一个子集,评估范围必须明确。描述范围最重要的是对于评估边界的描
4、述。评描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。估的范围可能是单个系统或者是多个关联的系统。比较好的方法是按照物理边界和逻辑边界来描比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。述某次风险评估的范围。7.2.3 组组建适当当的评评估管理与实与实施团队团队 在评估的准备阶段,评估组织应成立专门的评在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评估。团队成估团队,具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技员应包括评估单位领导、信息安全风险评估专家、技术专家,还应该包括管理
5、层、业务部门、人力资源、术专家,还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。系统和来自用户的代表。7.2.4 进进行系统调研统调研 系统调研是确定被评估对象的过程。风险评估团队应进系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研,为信息安全风险评估依据和方法的选择、行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:评估内容的实施奠定基础。调研内容至少应包括:业务战略及管理制度;业务战略及管理制度;主要的业务功能和要求;主要的业务功能和要求;网络结构与网络环境,包括内部连接和外部连接;网络结构与网络环境,包括内部
6、连接和外部连接;系统边界;系统边界;主要的硬件、软件;主要的硬件、软件;数据和信息;数据和信息;系统和数据的敏感性;系统和数据的敏感性;支持和使用系统的人员。支持和使用系统的人员。7.2.5 确定信息安全风险评风险评估依据和方法 信息安全风险评估依据包括现有国际或国家有信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据,
7、并综合考虑信息根据信息安全评估风险依据,并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员安全风险评估的目的、范围、时间、效果、评估人员素质等因素,选择具体的风险计算方法,并依据组织素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求,确定相关的评估判业务实施对系统安全运行的需求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。断依据,使之能够与组织环境和安全要求相适应。7.2.6 制定信息安全风险评风险评估方案 信息安全风险评估方案的内容一般包括:信息安全风险评估方案的内容一般包括:团队组织:包括评估团队成员、组织结构、角色、团队组织:包括评估团队
8、成员、组织结构、角色、责任等内容。责任等内容。工作计划:信息安全风险评估各阶段的工作计工作计划:信息安全风险评估各阶段的工作计 划,包括工作内容、工作形式、工作成果等内容。划,包括工作内容、工作形式、工作成果等内容。时间进度安排:项目实施的时间进度安排。时间进度安排:项目实施的时间进度安排。7.2.7 获获得最高管理者对对信息安全风险评风险评估工作的支持 信息安全风险评估需要相关的财力和人力的支信息安全风险评估需要相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,持,管理层必须以明示的方式表明对评估活动的支持,对资源调配作出承诺,并对信息安全风险评估小组赋对资源调配作出承诺,
9、并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺利进行。予足够的权利,信息安全风险评估活动才能顺利进行。7.3 识别并评识别并评价资产资产7.3.1 识别资产识别资产 在信息安全风险评风险评估的过过程中,应清应清晰地识别识别其所有的资产资产,不能遗遗漏,划划入风险评风险评估范围围和边边界内内的每一项资产项资产都应该应该被确认认和评评估。资产识别活动中,可能会用到工具有以下几种。资产识别活动中,可能会用到工具有以下几种。1资产资产管理工具 2主动动探测测工具 3手工记录记录表格7.3.2 资产资产分类类 资产的分类并没有严格的标准,在实际工作中,资产的分类并没有严格的标准,在实
10、际工作中,具体的资产分类方法可以根据具体的评估对象和要求,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握,表由评估者灵活把握,表7-2列出了一种根据资产的表列出了一种根据资产的表现形式的资产分类方法。现形式的资产分类方法。分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语言包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作
11、站、台式计算机、便携式算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象,客户关系等表7-2 一种基于表现形式的资产分类方法7.3.3.1 定性分析 定性风险
12、评估一般将资产按其对于业务的重要性进行赋值,结果是资产的重要度列表。资产的重要度一般定义为“高”、“中”、“低”等级别,或直接用数字13表示。组织可以按照自己的实际情况选择3个级别、5个级别等,表7-3给出了5级分法的资产重要性等级划分表。等级标识定义5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4高重要,其安全属性破坏后可能对组织造成比较严重的损失3中比较重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计表7-3 资产等级及含义描述 信息安全风险评估中资产的价值
13、不是以资产的经济价值来衡量,而是以资产的保密性、完整性和可用性三个安全属性为基础进行衡量。资产在保密性、完整性和可用性三个属性上的要求不同,则资产的最终价值也不同,表7-4、表7-5、表7-6分别给出了资产的保密性、完整性和可用性的赋值表。赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织的根本利益有着决定性的影响,如果泄漏会造成灾难性的损害 4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1很低可对社会公开的信息,
14、公用的信息处理设备和系统资源等表7-4 资产保密性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补1很低完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略表7-5 资产完整性赋值表 赋值标识定义5很
15、高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min1很低可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%表7-6 资产可用性赋值表7.3.3.2 定量分析 定量风险评估对资产进行赋值,应
16、该确定资产的货币价定量风险评估对资产进行赋值,应该确定资产的货币价值,但这个价值并不是资产的购置价值或帐面价值,而是相值,但这个价值并不是资产的购置价值或帐面价值,而是相对价值。在定义相对价值时,需要考虑:对价值。在定义相对价值时,需要考虑:1信息资产因为受损而对商务造成的直接损失;信息资产因为受损而对商务造成的直接损失;2信息资产恢复到正常状态所付出的代价,包括检测、控制、信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力;修复时的人力和物力;3信息资产受损对其他部门的业务造成的影响;信息资产受损对其他部门的业务造成的影响;4组织在公众形象和名誉上的损失;组织在公众形象和
17、名誉上的损失;5因为商务受损导致竞争优势降级而引发的间接损失;因为商务受损导致竞争优势降级而引发的间接损失;6其他损损失,例如保险费险费用的增加。7.3.4 输输出结结果 在资产划分的基础上,再进行资产的统计、汇总,形成完备的资产及评价报告。7.4 识别并评识别并评估威胁胁7.4.1 威胁识别胁识别 识别并评价资产后,组织应该识别每项(类)资产可能面临的威胁,识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。一项资产可能面临多个威胁,一个威胁也可能对不同的资产造成影响。威胁识别活动中,可能会用到工具有以下几种:1IDS采样样分析 2日志分析 3人员访谈员访谈 7.4.2 威胁胁
18、分类类 在对威胁进行分类前,首先要考虑威胁的来源。表7-8 威胁来源列表 来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益;外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备
19、岗位技能要求而导致信息系统故障或被攻击 对威胁进行分类的方式有多种多样,针对上表威胁来源,可以根据其表现形式将威胁分为以下种类。1.软硬件故障 2.物理环境影响 3.无作为或操作失误 4.管理不到位 5.恶意代码 6.越权或滥用 7.网络攻击 8.物理攻击 9.泄密 10.篡改 11.抵赖 7.4.3 威胁赋值胁赋值 识别资产面临的威胁后,还应该评估威胁出现的频率。威胁出现的频率是衡量威胁严重程度的重要因素。表7-10 威胁赋值表 等级标识定义5很高出现的频率很高(或1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过4高出现的频率较高(或1次/月);在大多数情况下很有可能会发生;或
20、可以证实多次发生过3中出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过2低出现的频率较小;或一般不太可能发生;或没有被证实发生过1很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生7.4.4 输输出结结果 表7-11 威胁列表示例1 威胁编号威胁类别威胁赋值描述表7-12 威胁列表示例2威胁编号威胁类别具体威胁威胁描述威胁来源后果威胁赋值受影响的设备名称(IP)7.5 识别并评识别并评估脆弱性7.5.1 脆弱性识别识别 1漏洞扫扫描工具 绝大部分的评估项目中,都会使用到漏洞扫描工具。利用脆弱性扫描绝大部分的评估项目中,都会使用到漏洞扫描工具。利用脆弱性扫描工
21、具对评估范围内的系统和网络进行扫描,从内部和外部两个角度查找网工具对评估范围内的系统和网络进行扫描,从内部和外部两个角度查找网络结构、网络设备、服务器主机、数据和用户帐号络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对象目标口令等安全对象目标存在的安全风险、漏洞、威胁。存在的安全风险、漏洞、威胁。2渗透测试测试 渗透测试可以非常有效地发现安全隐患。利用渗透测试可以非常有效地发现安全隐患。利用6.2节描述的渗透测试工节描述的渗透测试工具对重要资产进行全面检查,发现漏洞。具对重要资产进行全面检查,发现漏洞。3各类检查类检查列表 检查表用于手工识别信息系统中常见的组件中存在的安全漏洞。检查
22、表用于手工识别信息系统中常见的组件中存在的安全漏洞。7.5.2 脆弱性分类类 脆弱性识别主要从技术和管理两个方面进行,脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关,表与管理环境相关,表7-14提供了一种脆弱性分类方提供了一种脆弱性分类方法。法。表7-14 脆弱性分类表类型识别对象识别内容技术脆弱性物理环境从机房场
23、地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器(含操作系统)从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理脆弱性技术管理物理和环境安
24、全、通信与操作管理、访问控制、系统开发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性7.5.3 脆弱性赋值赋值 可以根据对资产损害程度、技术实现的难易程可以根据对资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的脆弱性度、弱点流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。的严重程度进行赋值。对某个资产,其技术脆弱性的严重程度受到组对某个资产,其技术脆弱性的严重程度受到组织的管理脆弱性的影响,因此,资产的脆弱性赋值还织的管理脆弱性的影响,因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。应参考技术管理和组织管理脆弱
25、性的严重程度。7.5.4 输输出结结果 评估脆弱性后的输出结果有原始漏洞检测、识评估脆弱性后的输出结果有原始漏洞检测、识别报告文件,别报告文件,漏洞分析报告漏洞分析报告,表,表7-16提供了一提供了一种脆弱性列表的示例。种脆弱性列表的示例。表7-16 脆弱性列表示例资产ID脆弱性ID脆弱性名称脆弱性赋值脆弱性描述7.6 识别识别安全措施7.6.1 识别识别安全措施 要得到威胁利用脆弱性的可能性大小和产生的影要得到威胁利用脆弱性的可能性大小和产生的影响,必须先识别目前的安全措施和评价安全措施的有响,必须先识别目前的安全措施和评价安全措施的有效性。效性。识别已有的安全措施,分析安全措施的效力,确识
26、别已有的安全措施,分析安全措施的效力,确定威胁利用脆弱性的实际可能性,一方面可以指出当定威胁利用脆弱性的实际可能性,一方面可以指出当前安全措施的不足,另一方面也可以避免重复投资。前安全措施的不足,另一方面也可以避免重复投资。安全措施大致可以分为技术控制措施、管理和操安全措施大致可以分为技术控制措施、管理和操作控制措施两大类。作控制措施两大类。识别出来的控制措施,一般不必做直接的评价,识别出来的控制措施,一般不必做直接的评价,在分析影响和可能性的过程中作为其中一个重要因素在分析影响和可能性的过程中作为其中一个重要因素一起评价。一起评价。安全措施识别活动中,可能会用到工具有以下几种。1技术术控制措
27、施调查调查表 用于调查和记录被评估组织已经部署的安全控制措施。2管理和操作控制措施调查调查表 对照安全管理标准,调查和记录组织已经采取的安全管理和操作控制措施。3符合性检查检查工具 用于检查被评估组织当前对安全标准或策略的符合程度。7.6.2 输输出结结果 安全控制措施识别与确认过程后,应提交以下安全控制措施识别与确认过程后,应提交以下输出结果:输出结果:1技术控制措施识别与确认结果;技术控制措施识别与确认结果;2管理与与操作措施识别与识别与确认结认结果。构成风险的要素有4个:资产、威胁、脆弱性和安全措施,在识别了这4个要素之后,存在什么风险就可以显现了。评价风险有2个关键因素:一个是威胁对信
28、息资产造成的影响,另一个是威胁发生的可能性。定性的分析产生影响和可能性的级别,定量的分析产生相应的损失大小和发生概率。7.7 分析可能性和影响响7.7.1 分析可能性 根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:安全事件发生的可能性=L(威胁出现频率,脆弱性)L(T,V)目前,定量分析可能性要用到的数据贫乏,很难实现,多采用定性分析的方法。表7-17 可能性级别定义可能性级别可能性描述高3每个月或不到一个月可能发生一次中2每六个月或不到六个月可能发生一次低1每一年或不到一年可能发生一次7.7.2 分析影响响 根据资产重要程度及脆弱性严重程度,计算安全事件一旦发
29、生后的损失,即:安全事件的影响=F(资产重要程度,脆弱性严重程度)F(Ia,Va)影响级别是威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级。表7-18 影响级别定义 影响级别影响定义高3可引起重要系统的中断,或连接客户损失或商业信任损失中2能引起系统声望的损害,或是对系统资源或服务的信任程度的降低,需要支付重要资源维修费低1对系统有一些很小的影响,只须很小的努力就可恢复系统7.8 风险计风险计算 根据威胁利用资产的脆弱性导致安全事件发生的可能性、安全事件发生后造成的损失,计算风险值,即:风险值=R(A,T,V)=R(安全事件发生的可能性,安全事件的损失)R(L(T,V),F
30、(Ia,Va)其中,R表示风险计算函数,A表示资产,T表示威胁,V表示脆弱性,Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性、F表示安全事件发生后造成的损失。7.8 风险计风险计算 根据威胁利用资产的脆弱性导致安全事件发生的可能性、安全事件发生后造成的损失,计算风险值,即:风险值=R(A,T,V)=R(安全事件发生的可能性,安全事件的损失)R(L(T,V),F(Ia,Va)其中,R表示风险计算函数,A表示资产,T表示威胁,V表示脆弱性,Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发
31、生的可能性、F表示安全事件发生后造成的损失。常用的风险评估方法有矩阵法和相乘法。注:实际上,L不仅与威胁和脆弱性有关部门,还与采取的控制措施Ct有关;F亦与Ct有关。有效的控制措施可以减少或降低L和F的值或等级,为简单起见,这里不考虑控制措施的影响。7.8.1 使用矩阵阵法计计算风险风险 矩阵法主要适用于由两个要素值确定一个要素矩阵法主要适用于由两个要素值确定一个要素值的情形,假设:值的情形,假设:x=x1,x2,xi,xm,1im,xi为为正整数数 y=y1,y2,yj,yn,1jn,yj为正整数为正整数 函数函数z=f(x,y)可以使用矩阵法计算,即以可以使用矩阵法计算,即以x和和y的的取
32、值构造一个二维矩阵,如表取值构造一个二维矩阵,如表7-19所示,矩阵行值所示,矩阵行值为为y的所有取值,矩阵列值为的所有取值,矩阵列值为x的所有取值,矩阵内的所有取值,矩阵内mn个值即为函数个值即为函数z的值。的值。表7-19 矩阵构造yxy1y2yjynx1z11z12z1jz1nx2z21z22z2jz2nxizi1zi2zijzinxmzm1zm2zmjzmn 对于zij的计算,可以采用zij=xi+yj、zij=xiyj或zij=xi+yj,其中和为正常数。zij的计算可根据实际情况确定,不一定要遵循统一的计算公式,但必须具有统一的增减趋势。7.8.2 使用相乘法计计算风险风险 相乘法
33、主要适用于由两个要素值确定一个要素相乘法主要适用于由两个要素值确定一个要素值的情形,即函数值的情形,即函数z=f(x,y),函数,函数f可以使用相乘法计可以使用相乘法计算,算,z=f(x,y)=xy,如,如z=xy,或,或z=等。等。7.9 风险处风险处理7.9.1 现现存风险风险判断断 依据信息安全风险评估结果,确定系统可接受的依据信息安全风险评估结果,确定系统可接受的风险等级,把信息安全风险评估得出的风险等级划分风险等级,把信息安全风险评估得出的风险等级划分为可接受和不可接受两种,形成风险接受等级划分表,为可接受和不可接受两种,形成风险接受等级划分表,表表7-31是一种风险接受等级划分表的
34、示例。是一种风险接受等级划分表的示例。资产编号资产名称风险等级风险接受等级表7-31 风险接受等级划分表示例7.9.2 控制目标标确定 7.9.2.1 风险风险控制需求分析 按照系统的风险等级接受程度,通过对信息系统技术层按照系统的风险等级接受程度,通过对信息系统技术层面的安全功能、组织层面的安全控制和管理层面的安全对策面的安全功能、组织层面的安全控制和管理层面的安全对策进行分析描述,形成已有安全措施的需求分析结果,表进行分析描述,形成已有安全措施的需求分析结果,表7-32是一种风险控制需求分析表的示例。是一种风险控制需求分析表的示例。编号控制需求说明表7-32 风险控制需求分析表示例7.9.
35、2.2 风险风险控制目标标 依据依据风险接受等级划分表风险接受等级划分表、风险控制需求分析风险控制需求分析表表,确定风险控制目标,表,确定风险控制目标,表7-33是一种控制目标表的示例。是一种控制目标表的示例。编号控制目标需求表7-33 控制目标表示例7.9.3 控制措施选择选择 依据依据风险控制需求分析表风险控制需求分析表、控制目标表控制目标表,制定,制定控制措施的优先级别,控制措施的优先级别定义参见表控制措施的优先级别,控制措施的优先级别定义参见表7-34。控制措施优先级定义高控制成本低和/或对控制目标的安全状况影响大,建议优先落实中控制成本较低和/或对控制目标的安全状况影响较大,建议制定
36、计划,在短时间内落实低控制成本高和/或对控制目标的安全状况影响较低,建议制定计划,在一定时间内落实表7-34 控制措施优先级定义 针对控制目标,综合考虑控制成本和实际的风险控制需求,建议采取适当的控制措施,表7-35是一种安全控制措施选择表的示例。编号控制措施对应控制目标优先级表7-35 安全控制措施选择表示例7.10 编写编写信息安全风险评风险评估报报告 通过信息安全风险评估,风险评估小组对组织的风险状况有一个非常清晰的理解,有关风险状况的信息必须以清晰有效的方式传达给组织,因此,需要编写记录评估过程所得结果的风险评估报告,供高层管理人员阅读,高层管理人员据此报告决定控制措施的选择和风险接受
37、等问题。习题习题7 一计算题 1假设有3个重要资产,资产A1、资产A2和资产 A3,资产所面临的威胁以及威胁可利用资产的脆弱性见表7-37,括号内是其等级值。表7-37 资产、威胁、脆弱性表 资产威胁脆弱性资产A1(2)威胁T1(2)脆弱性V1(2)脆弱性V2(3)威胁T2(1)脆弱性V3(1)脆弱性V4(4)脆弱性V5(2)资产A2(3)威胁T3(2)脆弱性V6(4)脆弱性V7(2)资产A3(5)威胁T4(5)脆弱性V8(3)威胁T5(4)脆弱性V9(5)使用矩阵法,计算资产的风险值及风险等级。2假设有2个重要资产,资产A1和资产A2,资产所面临的威胁以及威胁可利用资产的脆弱性见表 7-38,括号内是其等级值。表7-38 资产、威胁、脆弱性表资产威胁脆弱性资产A1(4)威胁T1(1)脆弱性V1(3)威胁T2(5)脆弱性V2(1)脆弱性V3(5)威胁T3(4)脆弱性V4(4)资产A2(5)威胁T4(3)脆弱性V5(4)威胁T5(4)脆弱性V6(3)使用相乘法,计算资产的风险值及风险等级。二.论述题 1论述信息安全风险评估的实施过程。2查找资料,找出若干风险的计算方法。
