计算机网络安全风险管理.课件.ppt

1、 风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预报有雨时带伞或将事情记录下来以免遗忘，这些日常活动都可以归入风险管理的范畴。人们会意识到针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。 风险管理是安全性的一个重要方面，但风险管理不只是包含恐惧、不确定性和怀疑（FUD）。在评判一个安全计划时，应重点考虑直接在资产负债表上导致美元收入的安全收益，它是相对于风险管理的重要对应物。 本课程为各种类型的客户计划、建立和维护一个成功的安全风险管理计划。说明如何在四

2、阶段流程中实施风险管理计划中的各个阶段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。 （一）风险管理的核心作用 所谓风险管理就是识别风险、选择对策、实施对策以消减风险.最终保证信息资产的保密性、完整性、可用性能够满足目标要求的这样一个过程。 简单的说风险管理就是识别风险、评估风险，采取措施将风险减到可接受水平，并维持这个风险水平的过程。个人隐私经营状况资产知识产权资产识别资产识别商务联系管理制度资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级有形资产有形资产物理基础结构物理基础结构数据中心数据中心5有形资产有形资产物理基础结构物理基础结构Server

3、s3有形资产有形资产物理基础结构物理基础结构台式计算机台式计算机1有形资产有形资产物理基础结构物理基础结构移动计算机移动计算机3有形资产有形资产物理基础结构物理基础结构PDA1有形资产有形资产物理基础结构物理基础结构移动电话移动电话1有形资产有形资产物理基础结构物理基础结构服务器应用程序软件服务器应用程序软件1有形资产有形资产物理基础结构物理基础结构最终用户应用程序软件最终用户应用程序软件1有形资产有形资产物理基础结构物理基础结构开发工具开发工具3有形资产有形资产物理基础结构物理基础结构路由器路由器3有形资产有形资产物理基础结构物理基础结构网络交换机网络交换机3有形资产有形资产物理基础结构物理

4、基础结构传真机传真机1有形资产有形资产物理基础结构物理基础结构PBX3资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级有形资产有形资产物理基础结构物理基础结构可移动介质（如：磁带、软盘、可移动介质（如：磁带、软盘、CD-ROM、DVD、便携式硬盘、便携式硬盘、PC 卡存储设备、卡存储设备、USB 存储设备等）存储设备等）1有形资产有形资产物理基础结构物理基础结构电源电源3有形资产有形资产物理基础结构物理基础结构不间断电源不间断电源3有形资产有形资产物理基础结构物理基础结构消防系统消防系统3有形资产有形资产物理基础结构物理基础结构空调系统空调系统3有形资产有形资产物理基础

5、结构物理基础结构空气过滤系统空气过滤系统1有形资产有形资产物理基础结构物理基础结构其他环境控制系统其他环境控制系统3有形资产有形资产Intranet 数据数据源代码源代码5有形资产有形资产Intranet 数据数据人力资源数据人力资源数据5有形资产有形资产Intranet 数据数据财务数据财务数据5有形资产有形资产Intranet 数据数据营销数据营销数据5有形资产有形资产Intranet 数据数据雇员密码雇员密码5资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级有形资产有形资产Intranet 数据数据雇员私人密钥雇员私人密钥5有形资产有形资产Intranet 数据数

6、据计算机系统密钥计算机系统密钥5有形资产有形资产Intranet 数据数据智能卡智能卡5有形资产有形资产Intranet 数据数据知识产权知识产权5有形资产有形资产Intranet 数据数据适用于法规要求的数据（如适用于法规要求的数据（如 GLBA、HIPAA、CA SB1386 和和 EU Data Protection Directive等）。等）。5有形资产有形资产Intranet 数据数据美国美国 雇员社会保险号雇员社会保险号5有形资产有形资产Intranet 数据数据雇员驾驶证编号雇员驾驶证编号5有形资产有形资产Intranet 数据数据战略计划战略计划3资产类别资产类别总体总体 I

7、T 环境环境资产名称资产名称资产评级资产评级有形资产有形资产Intranet 数据数据客户消费信用报告客户消费信用报告5有形资产有形资产Intranet 数据数据客户医疗记录客户医疗记录5有形资产有形资产Intranet 数据数据雇员生物特征识别雇员生物特征识别5有形资产有形资产Intranet 数据数据雇员商务联络数据雇员商务联络数据1有形资产有形资产Intranet 数据数据雇员个人联络数据雇员个人联络数据3有形资产有形资产Intranet 数据数据采购单数据采购单数据5有形资产有形资产Intranet 数据数据网络基础结构设计网络基础结构设计3有形资产有形资产Intranet 数据数据内

8、部网站内部网站3有形资产有形资产Intranet 数据数据雇员种族数据雇员种族数据3有形资产有形资产Extranet 数据数据合作伙伴合同数据合作伙伴合同数据5有形资产有形资产Extranet 数据数据合作伙伴财务数据合作伙伴财务数据5有形资产有形资产Extranet 数据数据合作伙伴联络数据合作伙伴联络数据3资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级有形资产有形资产Extranet 数据数据合作伙伴协同应用程序合作伙伴协同应用程序3有形资产有形资产Extranet 数据数据合作伙伴密钥合作伙伴密钥5有形资产有形资产Extranet 数据数据合作伙伴信用报告合作伙

9、伴信用报告3有形资产有形资产Extranet 数据数据合作伙伴采购单数据合作伙伴采购单数据3有形资产有形资产Extranet 数据数据供应商合同数据供应商合同数据5有形资产有形资产Extranet 数据数据供应商财务数据供应商财务数据5有形资产有形资产Extranet 数据数据供应商联络数据供应商联络数据3有形资产有形资产Extranet 数据数据供应商合作应用程序供应商合作应用程序3有形资产有形资产Extranet 数据数据供应商密钥供应商密钥5有形资产有形资产Extranet 数据数据供应商信用报告供应商信用报告3有形资产有形资产Extranet 数据数据供应商采购单数据供应商采购单数据3

10、资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级有形资产有形资产Internet 数据数据网站销售应用程序网站销售应用程序5有形资产有形资产Internet 数据数据网站营销数据网站营销数据3有形资产有形资产Internet 数据数据客户信用卡数据客户信用卡数据5有形资产有形资产Internet 数据数据客户联络数据客户联络数据3有形资产有形资产Internet 数据数据公开密钥公开密钥1有形资产有形资产Internet 数据数据新闻发布新闻发布1有形资产有形资产Internet 数据数据白皮书白皮书1有形资产有形资产Internet 数据数据产品文档产品文档1有形资产

11、有形资产Internet 数据数据培训资料培训资料3资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级无形资产无形资产名誉名誉 5无形资产无形资产友好关系友好关系 3无形资产无形资产雇员道德雇员道德 3无形资产无形资产雇员生产力雇员生产力 3IT 服务服务邮件邮件电子邮件电子邮件/计划（如计划（如 Microsoft Exchange）3IT 服务服务邮件邮件即时消息即时消息1IT 服务服务邮件邮件Microsoft Outlook Web Access (OWA)1IT 服务服务核心基础结构核心基础结构Microsoft Active Directory3IT 服务服务

12、核心基础结构核心基础结构域名系统域名系统 (DNS)3IT 服务服务核心基础结构核心基础结构动态主机配置协议动态主机配置协议 (DHCP)3资产类别资产类别总体总体 IT 环境环境资产名称资产名称资产评级资产评级IT 服务服务核心基础结构核心基础结构企业管理工具企业管理工具3IT 服务服务核心基础结构核心基础结构文件共享文件共享3IT 服务服务核心基础结构核心基础结构存储器存储器3IT 服务服务核心基础结构核心基础结构拨号远程访问拨号远程访问3IT 服务服务核心基础结构核心基础结构电话服务电话服务3IT 服务服务核心基础结构核心基础结构虚拟专用网虚拟专用网 (VPN) 访问访问3IT 服务服务

13、核心基础结构核心基础结构Microsoft Windows Internet 命名服务命名服务 (WINS)1IT 服务服务其他基础结构其他基础结构合作服务（如合作服务（如 Microsoft SharePoint）1威胁威胁 示例示例灾难性事件灾难性事件火灾火灾灾难性事件灾难性事件洪水洪水灾难性事件灾难性事件地震地震灾难性事件灾难性事件严重风暴严重风暴灾难性事件灾难性事件恐怖分子袭击恐怖分子袭击灾难性事件灾难性事件平民骚乱平民骚乱/暴动暴动灾难性事件灾难性事件山崩山崩灾难性事件灾难性事件雪崩雪崩灾难性事件灾难性事件工业意外工业意外威胁威胁 示例示例机械故障机械故障电力中断电力中断机械故障机械

14、故障硬件故障硬件故障机械故障机械故障网络中断网络中断机械故障机械故障环境控制措施失效环境控制措施失效机械故障机械故障结构意外结构意外非恶意人员非恶意人员未获通知的雇员未获通知的雇员非恶意人员非恶意人员未获通知的用户未获通知的用户威胁威胁 示例示例恶意人员恶意人员黑客、解密高手黑客、解密高手恶意人员恶意人员计算机犯罪计算机犯罪恶意人员恶意人员行业间谍行业间谍恶意人员恶意人员政府资助的间谍政府资助的间谍恶意人员恶意人员社会工程社会工程恶意人员恶意人员心存不满的现雇员心存不满的现雇员恶意人员恶意人员心存不满的前雇员心存不满的前雇员恶意人员恶意人员恐怖分子恐怖分子恶意人员恶意人员疏忽的雇员疏忽的雇员恶

15、意人员恶意人员不诚实的雇员（受贿者或被勒索者）不诚实的雇员（受贿者或被勒索者）恶意人员恶意人员恶意移动代码恶意移动代码高级漏高级漏洞分类洞分类漏洞简短说明漏洞简短说明具体示例（如果适用）具体示例（如果适用）物理物理未上锁的门未上锁的门 物理物理未受保护的计算机应用设施访问权限未受保护的计算机应用设施访问权限 物理物理不充分的消防系统不充分的消防系统 物理物理设计低劣的建筑设计低劣的建筑 物理物理施工低劣的建筑施工低劣的建筑 物理物理施工中使用的易燃材料施工中使用的易燃材料 物理物理装修中使用的易燃材料装修中使用的易燃材料 物理物理未上锁的窗未上锁的窗 物理物理易受物理袭击的墙易受物理袭击的墙

16、物理物理内墙未能在天花板和地板处完全密封房间内墙未能在天花板和地板处完全密封房间 自然自然设备位于故障线路上设备位于故障线路上 自然自然设备位于水灾区域设备位于水灾区域 自然自然设备位于雪崩区域设备位于雪崩区域 高级漏高级漏洞分类洞分类漏洞简短说明漏洞简短说明具体示例（如果适用）具体示例（如果适用）硬件硬件缺少修补程序缺少修补程序 硬件硬件过期的固件过期的固件 硬件硬件配置错误的系统配置错误的系统 硬件硬件未受物理保护的系统未受物理保护的系统 硬件硬件在公共接口上允许的管理协议在公共接口上允许的管理协议 软件软件过期的防病毒软件过期的防病毒软件 软件软件缺少修补程序缺少修补程序 软件软件编写低

17、劣的应用程序编写低劣的应用程序跨站点脚本跨站点脚本软件软件编写低劣的应用程序编写低劣的应用程序SQL 注入注入软件软件编写低劣的应用程序编写低劣的应用程序代码弱点，如缓冲区溢出代码弱点，如缓冲区溢出软件软件故意设置的弱点故意设置的弱点用于管理或系统恢复的供应商后门用于管理或系统恢复的供应商后门软件软件故意设置的弱点故意设置的弱点Spyware，如，如 keyloggers软件软件故意设置的弱点故意设置的弱点特洛伊木马特洛伊木马 软件软件故意设置的弱点故意设置的弱点 软件软件配置错误配置错误导致配置不一致的手工供应导致配置不一致的手工供应软件软件配置错误配置错误未强化系统未强化系统软件软件配置错

18、误配置错误未审核系统未审核系统软件软件配置错误配置错误未监视系统未监视系统媒体媒体电子干扰电子干扰 高级漏高级漏洞分类洞分类漏洞简短说明漏洞简短说明具体示例（如果适用）具体示例（如果适用）通信通信未加密的网络协议未加密的网络协议 通信通信到多个网络的连接到多个网络的连接 通信通信允许不必要的协议允许不必要的协议 通信通信在网络分段之间无过滤在网络分段之间无过滤 人为人为定义低劣的程序定义低劣的程序不充分的意外响应准备不充分的意外响应准备人为人为定义低劣的程序定义低劣的程序手工供应手工供应人为人为定义低劣的程序定义低劣的程序不充分的灾难恢复规划不充分的灾难恢复规划人为人为定义低劣的程序定义低劣的

19、程序在生产系统上测试在生产系统上测试人为人为定义低劣的程序定义低劣的程序未报告的违规未报告的违规人为人为定义低劣的程序定义低劣的程序低劣的更改控制低劣的更改控制人为人为被盗凭据被盗凭据 风险管理周期模型 （二）风险管理的基本概念 资产资产（Asset） 任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。对资产的评估要从价值、重要性或敏感度等方面来考虑。 威胁威胁（Threat） 就是可能对资产或组织造成损害的意外事件的潜在原因，即某种威胁源（threat source）或威胁代理（threat agent）成功利用

20、特定弱点对资产造成负面影响的潜在可能。威胁类型包括人为威胁（故意和无意）和非人为威胁（自然和环境）。识别并评估威胁时需要考虑威胁源的动机和能力。风险管理关心的是威胁发生的可能性。 弱点弱点（Vulnerability） 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。风险管理过程中要识别弱点，并评估弱点的严重性和可被利用的容易程度。 风险风险（Risk） 特定威胁利用资产的弱点给资产或资产组带来损害的潜在可能性.单个或者多个威胁可以利用单个或者多个弱点。风险是威胁事件发生的可能性与

21、影响综合作用的结果。 可能性可能性（Likelihood） 对威胁事件发生的几率（Probability）或频率（Frequency）的定性描述。 影响影响（Impact） 或者是后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施安全措施（Safeguard） 也称作控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险残留风险（Residual Risk） 在实施安全措施之后仍然存在的风险。风险管理各要素之间的关系风险管理各要素之间的关系 弱点暴露了

22、具有价值的资产,威胁对弱点加以利用，从而造成负面影响，由此导致风险.正是因为风险的存在，我们才提出了安全需求，为了实现需求，必须采取安全措施，以便防范威胁并减少风险。风险管理的整个过程就是在这些要素间相互制约相互作用的关系中得以进展的。 （一）确定信息安全目标和战略 安全目标决定了组织能够接受的风险水平和所满足的安全程度。应该考虑的问题应该考虑的问题组织承担着哪些重点活动组织承担着哪些重点活动哪些任务只能在哪些任务只能在IT的帮助下完成的帮助下完成必须依赖信息的保密性、完整性和可用性必须依赖信息的保密性、完整性和可用性哪些机密信息需要保护哪些机密信息需要保护意外发生后对组织的影响意外发生后对组

23、织的影响目标目标信心信心产品产品信誉信誉服务服务信息信息资料资料雇员雇员消费者消费者客户客户受益人受益人保护保护数据数据保密性恶意恶意使用使用误用误用欺诈欺诈法规法规主题主题风险评估战略和方法风险评估战略和方法信息安全策略的需求信息安全策略的需求系统安全操系统安全操作程序的需作程序的需求求信息敏感性分类方案信息敏感性分类方案连接时需要满足的条连接时需要满足的条件和检查方法件和检查方法事件处事件处理方案理方案只有事先确定了风险评估的途径，风险评估和风险分析才能有据而行只有事先确定了风险评估的途径，风险评估和风险分析才能有据而行 （二）建立信息安全策略（Information Security P

24、olicy）总体方针总体方针特定问题策略特定问题策略（Issue-Specific Policy）特定系统策略特定系统策略（System-Specific Policy）组织对信息安全的基本认识组织对信息安全的基本认识组织的安全目标和战略，包括对法律法规遵守的考虑组织的安全目标和战略，包括对法律法规遵守的考虑组织信息安全所涉及的范围组织信息安全所涉及的范围信息安全的组织构架和责任认定信息安全的组织构架和责任认定信息资产的分类模式信息资产的分类模式风险管理的途径风险管理的途径信息资产分类方案信息资产分类方案关于信息安全管理的其他全局约定关于信息安全管理的其他全局约定 （一）风险评估的概念 1、概

25、念 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 2、作用 风险评估（Risk Assessment）是组织确定信息安全需求的一个重要途径，属于组织安全管理策划的过程。风险评估的任务风险评估的任务识别组织面临的各识别组织面临的各种风险种风险评估风险概率和可评估风险概率和可能带来的负面影响能带来的负面影响确定组织承受风险确定组织承受风险的能力的能力确定风险消减和控确定风险消减和控制的优先等级制的优先等级推荐风险消减对策推荐风险消减对策 首先、要确定保护的对象（保护资产）是什么？它们直接和间接价值？首先、要确定保护的对象（保护资产）是什么？它们

26、直接和间接价值？ 其次、资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有其次、资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？多大？ 第三、资产中存在哪里弱点可能会被威胁所利用？利用的容易程序又如何？第三、资产中存在哪里弱点可能会被威胁所利用？利用的容易程序又如何？ 第四、一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？第四、一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？ 最后、组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序最后、组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序 3、风险评估的几个对应关系 （

27、1）每项资产可能面临多种威胁 （2）威胁源（威胁代理）可能不止一个 （3）每种威胁可能利用一个或多个弱点 （二）风险评估的可行途径 1、基线评估（Baseline Risk Assessment）： （1）适用范围：组织的商业运作不是很复杂，对信息处理和网络的依赖性不是很高，或者组织信息系统多采用普遍且标准化的模式。 （2）评估策略：根据组织实际的情况，对信息系统进行基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出差距），得出基本的安全需求。通过选择并实施标准的安全措施来消减风险和控制风险。 （3）什么是安全基线： 在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用

28、于特定环境下的所有系统，可以满足基本的安全需求，使系统能达到一定的安全防护水平。 （4）可选择标准： 国际标准和国家标准，例如BS 7799-1、ISO 13335-4 行业标准或推荐，例如德国联邦安全局IT基线保护手册 来自其他有类似商务目标和规模的组织的惯例。 （5）优点： 需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估是最经济有效的风险评估途径。 （6）缺点： 基线的高低水平难以设定，过高可能导致资源浪费限制过度；过低又会造成难以达到充分的安全。 在管理安全相关的变化方面，基线评估比较困难。 2、详细评估： （1）概念： 对资产进行详细识别和评价，对可能引

29、起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。即识别资产的风险并将风险降到可接受的水平，以此证明管理者所采用的安全措施是恰当的。 （2）优点： 组织对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求。 详细评估的结果可以用来管理安全变化。 （3）缺点： 可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。 3、组合评估： （1）方式： 采用基于基线评估与详细评估两者之间的评估方式。 （2）方法： 组织应先对所有系统进行一次初步的高级风险评估。着眼与信息系统的商务价值和可

30、能面临的风险，识别出组织内具有高风险或对其商务运作极为关键的信息资产（或系统），这些资产或系统应划分在详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。 （3）优点： 节省详细评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。 （4）缺点： 如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。 （三）风险评估的常用方法 1、基于知识（Knowledge-based）的分析方法 基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径

31、采集相关的信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比例，从中找出不符合的地方，并按照标准或最佳惯例的推荐安全措施，最终达到消减和控制风险的目的。 基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括： 会议讨论 对当前的信息安全策略和相关文档进行复查 制作问卷，进行调查 对相关人员进行访谈 进行实地考察 2、基于模型（Model-based）的分析方法 2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发CORAS项目。 CORAS沿用了识别风险、分析风险、评价并处理风险这样的过程，但其试题风险的方法则完全不同，所有的分析过程都是

32、基于面向对象的模型来进行的。 优点：提高对安全相关我描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加了不同评估方法互操作的效率。 3、定量（Quantitative）分析 对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当试题风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被值，风险评估的整个过程和结果都可以被量化。 定量分析的几个概念 1、暴露因子（Exposure Factor, EF）:特定威胁对特定资产靠损失的百分比，或者说损失的程度。 2、单一损失期望（single Loss Expectancy, SLE）:也

33、称作SOC（Single Occurrence Costs）,即特定威胁可能造成的潜在损失总量。 3、年度损失期望（Annualized Loss Expectancy, ALE）：或者称作EAC（Estimated Annual Cost），表示特定资产在一年内遭受损失的预期值。 几个概念的关系 （1）首先，识别资产并为资产赋值 （2）通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0%100%之间） （3）计算特定威胁发生的频率，即ARO （4）计算资产的SLE： （5）计算资产的ALE： 4、定性（Qualitative）分析 定性分析方法是目前采用最为广泛的一

34、种方法，它带有很强的主观性，往往凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级。 （四）风险评估工具 1、调查问卷 2、检查列表 3、人员访谈 4、漏洞扫描器 5、渗透测试 （五）风险评估的基本过程 风险评估是组织确定信息安全需求的过程，包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。 （五）风险评估的基本过程 1、计划和准备 （1）目标：开展风险评估活动的目有，期望得到的输出结果，关键的约束条件（时间、成本、技术、策略、资源等） （2）范围和边界：既寂的风险

35、评估可能只针对组织全部资产（包括其弱点、威胁事件和威胁源等）的一个子集，评估范围必须首先明确。 此外，必须定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深度，而物理系统边界则定义了一个系统起于哪里止于何处。 （3）系统描述：进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识，必须识别评估边界内所有的系统。 （4）角色和责任：组织应该成产一个专门的风险评估小组。 （5）风险评估行动计划：确定风险评估的途径和方法，计划评估步骤。 （6）风险接受标准：事先明确组织能够接受的风险的水平或者等级 （7）风险评估适用表格：为风险评估过程拟订标准化

36、的表格、模板、问卷等材料。 风险评估计划应该包括以下内容： （1）目标：开展风险评估活动的目的，期望得到的输出结果，关键的约束条件（时间、成本、技术、策略、资源等） （2）范围和边界： （3）系统描述： （4）角色和责任： （5）风险评估行动计划： （6）风险接受标准 （7）风险评估适用表格： 信息采集途径： （1）专家经验 （2）集体讨论或小组讨论 （3）人员访谈 （4）调查问卷 （5）文件审核（包括政策法规、安全策略、设计文档、操作指南、审计记录等） （6）以前的审计和评估结果 （7）对外部案例和场景的分析 （8）现场戡查 2、识别并评价资产 资产识别考虑的问题 （1）数据与文档：数据库和

37、数据文件、系统文件、用户手册、培训资料、运作和支持程序、应急计划等。 （2）书面文件：合同、策略方针、企业文件、保持重要商业结果的文件。 （3）软件资产：应用软件、系统软件、企业文件、保持重要商业结果的文件。 （4）实物资产：计算机和通信设备，磁介质（磁带和磁盘），其他的技术型设备（电源、空调），家具，场所。 （5）人员：承但特定职能责任的人员。 （6）服务：计算和通信服务，其他技术型服务（供热、照明、动力等）。 （7）组织形象与声誉：这是一种无形资产 列入评估清单的信息资产，一定要是在评估范围内且与商务过程相关的资产，否则，一方面清单过于庞大不便分析，另一方面，分析结果也会失去准确性和本应有

38、的意义。 按照定量分析的思想，应该确定资产的货币价值，在定义相对价值时，需要考虑。 （1）信息资产因为受损而对商务造成的直接损失。 （2）信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力。 （3）信息资产受损对其他部门的业务造成的损失。 （4）组织在公众形象和名誉上的损失。 （5）因为商务受损导致优势降级而引发的间接损失。 （6）其他损失，例如保险费用的增加。 3、识别并评估威胁 （1）人员威胁：包括故意破坏（网络攻击、恶意代码传播、邮件炸弹、非授权访问等）和无意失误（比如误操作、维护错误） （2）系统威胁：系统、网络或服务的故障（软件故障、硬件故障、介质老化） （3）环

39、境威胁：电源故障、污染、液体泄漏、火灾等。 （4）自然威胁：洪水、地震、台风、滑坡、雷电 4、识别并评估弱点 （1）技术性弱点：系统、程序设备中存在的漏洞或缺陷，比如结构设计问题和编程漏洞； （2）操作性弱点：软件和系统在配置、操作、使用中的缺陷。包括人员日常工作中的不良习惯，审计或备份的缺乏。 （3）管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。 5、识别并评估现有的安全措施 目标和针对性 （1）管理性：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期 （2）操作性：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应

40、、事件处理、意识培训、系统支持和操作、物理和环境安全等。 （3）技术性：身份识别与认证、逻辑访问控制、日志审计、加密等。 从控制功能分类： （1）威慑性：可以降低蓄意攻击的可能性，实际上针对的是威胁源的动机。 （2）预防性：保护弱点，使攻击难以成功，或者降低攻击造成的影响。 （3）检测性：可以检测并及时发现攻击活动，还可以激活纠正性或预防性控制 （4）纠正性：可以使攻击造成的影响减到最小 安全措施（控制）应对风险各要素的情况 6、评估风险 威胁的可能性： 风险等级 风险分析矩阵 7、推荐控制措施 风险评估结束后，应该提供详细的评估报告，内容包括： （1）概述，包括评估目的、方法、过程等 （2）

41、评估结果，包括资产、威胁、弱点和现有控制措施的评估等级，以及最终的风险评价等级。 （3）推荐安全控制措施，提出建议性的解决方案 （一）确定风险消减策略 1、降低风险（Reduce Risk）减少威胁减少弱点降低影响2、规避风险（Avoid Risk）3、转嫁风险（Transfer Risk）4、接受风险（Accept Risk） （二）选择安全措施 1、约束条件 （1）经济约束 （2）时间约束 （3）技术约束 （4）社会约束 （5）环境约束 （6）法律约束 2、安全措施选择列表 （三）制定安全计划 1、包含内容：p 安全目标p 风险管理战略和风险评估途径p 已识别的风险和风险等级（包括对威胁和

42、弱点的叙述）p 推荐的安全措施（包括现有的措施）p 风险消减策略和残留风险的接受标准p 选定的安全措施，确定措施的优先级p 预期实施成本（包括人力、所需资源等）p 列举责任人员p 确定时间期限（按优先级可分为短期、中期、长期）和里程碑p 报告程序的定义跟进活动，例如相关的培训、维护建议等。p 对可能困难的考虑 2、安全措施选择列表 （四）实施安全计划 （五）检查和测试 （一）维护（Maintenance） 1、检查日志文件 2、修改调整必要的参数，以反应变化需求 3、更新版本 4、安装补丁 （二）监视（Monitoring） 1、监视资产 引起资产变化的原因：组织商务目标的变动系统中运行的应用

43、程序的变化受处理的信息变化设备的变化 2、监视威胁 3、监视弱点 4、监视安全措施 （三）事件响应（Incident Response） 也称作应急响应，就是对计算机系统中出现的突发事件作出响应。所谓突发事件，就是突然干扰或打断系统的正常运行，使其陷入某种级别危机的事件，比如黑客入侵、拒绝服务攻击、未经授权的网络通信和系统操作等。 目标：u鉴别突发事件的发生和性质，确定响应战略u采集准确的信息进行分析u对信息获取和证据管理加以控制u保护法律和政策中规定的相关内容，比如隐私权u使系统、网络和业务操作过程客观存在到的影响最小u必要时对事件发起者提起诉讼u提供准确的报告和合理建议 事件响应过程经历的

44、几个阶段u准备u检测u初始响应u通知u评估u处理u恢复u报告u后续行动 （四）安全意识、培训和教育 1、三个层次 安全意识（Security Awareness）： 安全培训（Security Training） 安全教育（Security Education） 2、过程 需求分析培训教师获取支持开发程序开发程序实施程序维护程序监督考察 （五）再评估与认证 （一）配置管理（Configuration Management） 目标：识别、控制、维持并校验已确定的配置项目的数据和状况，并对系统及其配置项目的变化进行分析和控制。 确保系统中出现的偶然或者恶意的变化不会降低安全措施的效力和组织整体上的

45、安全。 （二）变更管理 作用：用来识别由于系统发生变化而引发新的安全需求的过程。 目的：为了将变化造成的影响减到最小，使用标准化的方法和程序，确保有效而及时地处理的有的变化，从而改善组织的日常操作。 过程：请示（request）复查（review）批准（approval）文档（documentation）测试（testing）实施（implementation）报告（reporting） （三）业务连续性计划和灾难恢复计划 应急计划（Contingency Plan）是在信息系统和商务活动发生紧急情况或破坏后所采取的过渡恢复措施，涉及到包括计划、程序和安全措施在内的协调策略，这此策略使中断的信息系统、操作和数据得以恢复，以免商务活动遭受故障或灾难的影响。 组织制定业务连续性计划（Business Continuity Plan, BCP）：为消除商务活动所出现的中断，保护关键商务过程免受重大故障或灾难的影响，通过预防和恢复控制相结合的方式，使由灾难和安全故障所引起的破坏减至可接受的水平。 灾难恢复计划（Discaster Recovery Plan, DRP）：强调对支持组织商务活动的IT系统的恢复，通常指得是紧急事件后在备用站点恢复目标系统、应用或计算机设施操作性的计划。 计划制定的过程： 定义计划的范围和策略 进行商务影响分析 开发计划 测试计划 实施计划 维护计划