1、目錄【最新資料，WORD文檔，可編輯修改】一、信息安全風(fēng)險(xiǎn)評(píng)估簡(jiǎn)介二、信息安全風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別風(fēng)險(xiǎn)分析三、信息安全風(fēng)險(xiǎn)評(píng)估策略方法1）定量分析方法2）定性分析方法3）綜合分析方法四、信息安全風(fēng)險(xiǎn)評(píng)估的注意事項(xiàng)1、各級(jí)領(lǐng)導(dǎo)對(duì)評(píng)估工作的重視2、加強(qiáng)評(píng)估工作的組織和管理3、注意評(píng)估過(guò)程中的風(fēng)險(xiǎn)控制。4、做好各方的協(xié)調(diào)配合工作。5、提供評(píng)估所必須的保障條件。信息安全風(fēng)險(xiǎn)評(píng)估一、信息安全風(fēng)險(xiǎn)評(píng)估簡(jiǎn)介信息安全風(fēng)險(xiǎn)評(píng)估的概念涉及資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)4個(gè)主要因素。信息安 全風(fēng)險(xiǎn)評(píng)估就是從管理的角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所 面臨的威脅及存在的脆弱性。

2、評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針 對(duì)性地抵御安全威脅的防護(hù)措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可以接 受的水平，最大限度地保障網(wǎng)絡(luò)正常運(yùn)行和信息安全提供科學(xué)依據(jù)。二、信息安全風(fēng)險(xiǎn)評(píng)估流程信息安全風(fēng)險(xiǎn)評(píng)估的典型過(guò)程主要分為風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆 弱性識(shí)別和風(fēng)險(xiǎn)分析5個(gè)階段。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備該階段的主要任務(wù)是制訂評(píng)估工作計(jì)劃，包括評(píng)估目標(biāo)、評(píng)估范圍、制訂信息安 全風(fēng)險(xiǎn)評(píng)估工作方案，并根據(jù)評(píng)估工作需要，組建評(píng)估團(tuán)隊(duì)，明確各方職責(zé)。在風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段，需要多次與被評(píng)估方磋商，了解被評(píng)估方關(guān)注的重點(diǎn)，明 確風(fēng)險(xiǎn)評(píng)估的范圍和目標(biāo)，為整個(gè)風(fēng)險(xiǎn)評(píng)估工作提供向?qū)АＴ诖_定評(píng)估范圍

3、和目標(biāo)之 后，根據(jù)被評(píng)估對(duì)象的網(wǎng)絡(luò)規(guī)模、復(fù)雜度、特殊性，成立評(píng)估工作小組，明確各方人 員組成及職責(zé)分工。建立評(píng)估團(tuán)隊(duì)后，由評(píng)估工作人員進(jìn)行現(xiàn)場(chǎng)調(diào)研，由被評(píng)估方介 紹網(wǎng)絡(luò)構(gòu)建情況，安全管理制度和采取的安全防護(hù)措施以及業(yè)務(wù)運(yùn)行情況。評(píng)估工作 小組根據(jù)調(diào)研情況撰寫(xiě)信息安全風(fēng)險(xiǎn)評(píng)估工作方案。資產(chǎn)識(shí)別做好風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的相關(guān)工作之后，需要通過(guò)多種途徑采集評(píng)估對(duì)象的資產(chǎn) 信息，為風(fēng)險(xiǎn)評(píng)估后續(xù)各階段的工作提供基本素材。資產(chǎn)識(shí)別主要通過(guò)向被評(píng)估方發(fā)放資產(chǎn)調(diào)查表來(lái)完成。在識(shí)別資產(chǎn)時(shí)，以被評(píng)估 方提供的資產(chǎn)清單為依據(jù)，對(duì)重要和關(guān)鍵資產(chǎn)進(jìn)行標(biāo)注，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)詳細(xì)分 類(lèi)，防止遺漏，劃入風(fēng)險(xiǎn)評(píng)估范圍和邊界內(nèi)的每

4、一項(xiàng)資產(chǎn)都應(yīng)經(jīng)過(guò)仔細(xì)確認(rèn)。威脅識(shí)別在識(shí)別威脅時(shí)，應(yīng)根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來(lái)判斷，威脅 識(shí)別主要通過(guò)采集入侵檢測(cè)系統(tǒng)（IDS）的報(bào)警信息、威脅問(wèn)卷調(diào)查和對(duì)技術(shù)人員做顧 問(wèn)訪談的方式。為了確保收集到的威脅信息客觀準(zhǔn)確，威脅問(wèn)卷調(diào)查的對(duì)象要覆蓋被 評(píng)估對(duì)象的領(lǐng)導(dǎo)層、技術(shù)主管、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、安全管理人員和普通 員工等。顧問(wèn)訪談要針對(duì)不同的訪談對(duì)象制訂不同的訪談提綱。威脅識(shí)別的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，威脅源可能是蓄意也可能是偶然 的因素，通常包括人、系統(tǒng)和自然環(huán)境等。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，而一個(gè)威脅 也可能對(duì)不同的資產(chǎn)造成影響。威脅識(shí)別完成后還應(yīng)該對(duì)威脅發(fā)生

5、的可能性進(jìn)行評(píng) 估，列出威脅清單，描述威脅屬性，并對(duì)威脅出現(xiàn)的頻率賦值。脆弱性識(shí)別脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估工作過(guò)程中最為復(fù)雜、較難把握的環(huán)節(jié)，同時(shí)也是非常重 要的環(huán)節(jié)，對(duì)評(píng)估工作小組成員的專(zhuān)業(yè)技術(shù)水平要求較高。脆弱性分為管理脆弱性和 技術(shù)脆弱性。管理脆弱性調(diào)查主要通過(guò)發(fā)放管理脆弱性調(diào)查問(wèn)卷、顧問(wèn)訪談以及收集 分析現(xiàn)有的管理制度來(lái)完成；技術(shù)脆弱性檢測(cè)主要借助專(zhuān)業(yè)的脆弱性檢測(cè)工具和對(duì)評(píng) 估范圍內(nèi)的各種軟硬件安全配置進(jìn)行檢查來(lái)識(shí)別。在工作過(guò)程中，應(yīng)注意脆弱性識(shí)別的全面性，包括物理、網(wǎng)絡(luò)、應(yīng)用和管理等方 面。為了分析脆弱性影響的嚴(yán)重程度，最好對(duì)關(guān)鍵資產(chǎn)的脆弱性進(jìn)行深度檢測(cè)和驗(yàn) 證，比如關(guān)鍵服務(wù)的身份認(rèn)證等

6、。識(shí)別完成之后，還要對(duì)具體資產(chǎn)的脆弱性嚴(yán)重程度 進(jìn)行賦值。脆弱性嚴(yán)重程度可以等級(jí)化處理，不同等級(jí)分別表示資產(chǎn)脆弱性嚴(yán)重程度 的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。風(fēng)險(xiǎn)分析構(gòu)成風(fēng)險(xiǎn)的要素主要有資產(chǎn)、威脅和脆弱性，在識(shí)別了這些要素之后，就可以確 定存在什么風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析階段需要完成的工作主要有3項(xiàng)：風(fēng)險(xiǎn)計(jì)算、形成風(fēng)險(xiǎn)評(píng) 估報(bào)告和給出風(fēng)險(xiǎn)控制建議。風(fēng)險(xiǎn)計(jì)算是針對(duì)每一項(xiàng)信息資產(chǎn)、根據(jù)其自身存在的脆 弱性列表、所面臨的威脅列表，考慮資產(chǎn)自身在信息系統(tǒng)中的重要程度（資產(chǎn)賦值）， 依據(jù)風(fēng)險(xiǎn)計(jì)算公式，計(jì)算出該信息資產(chǎn)的風(fēng)險(xiǎn)值，最終形成風(fēng)險(xiǎn)列表。風(fēng)險(xiǎn)評(píng)估報(bào)告 主要結(jié)合風(fēng)險(xiǎn)評(píng)估工作過(guò)程中采集到的中間數(shù)據(jù)，對(duì)信

7、息系統(tǒng)中的安全風(fēng)險(xiǎn)進(jìn)行定性 和定量分析。風(fēng)險(xiǎn)控制建議主要由評(píng)估工作小組在對(duì)被評(píng)估對(duì)象的安全現(xiàn)狀進(jìn)行綜合 分析的基礎(chǔ)上，有針對(duì)性地給出。風(fēng)險(xiǎn)只能被預(yù)防、避免、降低、轉(zhuǎn)移或接受，而不可能完全消除。高風(fēng)險(xiǎn)和嚴(yán)重 風(fēng)險(xiǎn)是不可接受的，必須選擇實(shí)施相應(yīng)的對(duì)策來(lái)消減。對(duì)于中等風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)，可以 選擇接受，一般評(píng)估工作小組應(yīng)針對(duì)被評(píng)估對(duì)象的中低風(fēng)險(xiǎn)給出風(fēng)險(xiǎn)控制建議。此階段的輸出主要包括：信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)列表、信息安全風(fēng)險(xiǎn)評(píng)估 報(bào)告、信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)控制建議等。三、信息安全風(fēng)險(xiǎn)評(píng)估策略方法目前，信息安全風(fēng)險(xiǎn)評(píng)估的方法層出不窮，這些方法在很大程度上縮短了信息安 全風(fēng)險(xiǎn)評(píng)估所花費(fèi)的資源、時(shí)間，提高了評(píng)估的效

8、率，改善了評(píng)估的效果。按照各 因素計(jì)算數(shù)據(jù)要求的程度，可以將這些方法分為為定量分析方法、定性分析方法和綜 合分析方法。1）定量分析方法定量分析方法是指對(duì)度量風(fēng)險(xiǎn)的所有要素賦予一定的數(shù)值，依據(jù)這些數(shù)據(jù)，建立 數(shù)學(xué)模型，把整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程和結(jié)果進(jìn)行量化，然后對(duì)各項(xiàng)指標(biāo)進(jìn)行計(jì) 算分析，通過(guò)這些被量化的數(shù)值對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估判定。簡(jiǎn)單地說(shuō)， 定量分析就是用數(shù)量化的指標(biāo)數(shù)值來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。比較常見(jiàn)的定量分析方法有 Markov分析法、時(shí)序序列分析法、因子分析法、決策樹(shù)法、聚類(lèi)分析法、熵權(quán)系數(shù) 法等。定量分析方法的優(yōu)點(diǎn)是分類(lèi)清楚，比較客觀；缺點(diǎn)是容易簡(jiǎn)單化、模糊化， 造成誤解和曲解。

9、2）定性分析方法定性分析方法不需要嚴(yán)格量化各個(gè)屬性，只是采用人為的判斷，依賴于分析者的 經(jīng)驗(yàn)、直覺(jué)等一些非量化的指標(biāo)，主觀性很強(qiáng)，對(duì)風(fēng)險(xiǎn)評(píng)估者的經(jīng)驗(yàn)等要求很高。 它可以較好的挖掘出一些蘊(yùn)藏很深的思想，使做出的評(píng)估結(jié)論更全面、更深刻。在 采用定性分析方法進(jìn)行評(píng)估時(shí)，不使用具體的數(shù)量化的數(shù)據(jù)，而是對(duì)各個(gè)指標(biāo)給出一 定的指定期望值，利用這樣一種非量化的形式對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)做出判斷。常見(jiàn) 的定性分析方法有德?tīng)柗品ǎ―elphi Method）、可操作的關(guān)鍵威脅、資產(chǎn)和脆弱評(píng)估 方法（OCTAVE，Operationally Critical Threat， Asset and Vulnerabil

10、ity Evaluation）等。 定性分析方法的優(yōu)點(diǎn)是可以挖掘出一些蘊(yùn)藏很深的思想，使評(píng)估的結(jié)論更全面深 刻；缺點(diǎn)是主觀性強(qiáng)，對(duì)評(píng)估者要求很高。3）綜合分析方法定量分析方法和定性分析方法是相輔相成、相互聯(lián)系的。定量分析法是定性分析 法的基礎(chǔ)和前提，反過(guò)來(lái)，定性分析法又是建立在定量分析法基礎(chǔ)上揭示客觀事物內(nèi) 在規(guī)律的。在復(fù)雜的校園信息化信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中，要將定量分析法和定性分析法 融合起來(lái)使用，這就是綜合分析方法。在本文中針對(duì)數(shù)字化校園的信息安全風(fēng)險(xiǎn)評(píng) 估中也采用綜合分析方法。四、信息安全風(fēng)險(xiǎn)評(píng)估的注意事項(xiàng)做好風(fēng)險(xiǎn)評(píng)估工作，特別要注意以下5方面的工作。1、各級(jí)領(lǐng)導(dǎo)對(duì)評(píng)估工作的重視風(fēng)險(xiǎn)評(píng)估工作

11、只有得到各級(jí)領(lǐng)導(dǎo)的廣泛認(rèn)同和支持，才能順利地開(kāi)展并卓有成效 地進(jìn)行，獲得客觀、真實(shí)和有效的評(píng)估結(jié)果，作為今后信息安全建設(shè)的重要參考依 據(jù)。2、加強(qiáng)評(píng)估工作的組織和管理信息安全風(fēng)險(xiǎn)評(píng)估工作啟動(dòng)后，應(yīng)及時(shí)組建評(píng)估項(xiàng)目組，加強(qiáng)對(duì)整個(gè)評(píng)估工作的 組織和管理。項(xiàng)目組主要包括項(xiàng)目領(lǐng)導(dǎo)小組、項(xiàng)目負(fù)責(zé)人和項(xiàng)目工作小組。3、注意評(píng)估過(guò)程中的風(fēng)險(xiǎn)控制。評(píng)估工作過(guò)程中所面臨的風(fēng)險(xiǎn)，主要是敏感信息泄露和評(píng)估過(guò)程中的各種技術(shù)性 評(píng)估帶來(lái)的。規(guī)避敏感信息泄露風(fēng)險(xiǎn)，主要應(yīng)該注意幾點(diǎn)：一是參與評(píng)估的人員必須 遵守國(guó)家有關(guān)信息安全的法律法規(guī)以及總行關(guān)于信息安全的相關(guān)管理規(guī)定，承擔(dān)相應(yīng) 的義務(wù)和責(zé)任；二是被評(píng)估方應(yīng)與參與評(píng)估的所

12、有人員簽訂具有法律約束力的保密協(xié) 議；三是評(píng)估過(guò)程中做好審核確認(rèn)工作。對(duì)于規(guī)避技術(shù)性評(píng)估所帶來(lái)的風(fēng)險(xiǎn)，例如進(jìn) 行漏洞掃描有時(shí)引起掃描對(duì)象宕機(jī)等，在制訂各種技術(shù)性評(píng)估方案時(shí)，應(yīng)當(dāng)由被評(píng)估 方和評(píng)估方共同審核確認(rèn)，盡量避免采取可能造成不良影響的操作，最好事先經(jīng)過(guò)測(cè) 試。4、做好各方的協(xié)調(diào)配合工作。信息安全風(fēng)險(xiǎn)評(píng)估工作涉及信息系統(tǒng)的主管部門(mén)、建設(shè)單位或上級(jí)機(jī)關(guān)、運(yùn)行維 護(hù)部門(mén)、使用部門(mén)、安全管理部門(mén)和保密部門(mén)以及技術(shù)支持單位和產(chǎn)品或服務(wù)提供 商。因此需要高層領(lǐng)導(dǎo)直接組織，需要被評(píng)估方和評(píng)估方的密切配合，相互支持。5、提供評(píng)估所必須的保障條件。在評(píng)估過(guò)程中，要考慮完成信息安全風(fēng)險(xiǎn)評(píng)估工作的相關(guān)保障條件，包括人員、 時(shí)間和經(jīng)費(fèi)等。人員保障主要涉及完成風(fēng)險(xiǎn)評(píng)估工