信息安全支持風(fēng)險評估過程的技術(shù)示例A.1信息安全風(fēng)險準(zhǔn)則A.1.1風(fēng)險評估相關(guān)準(zhǔn)則A.1.1.1風(fēng)險評估的一般考慮通常情況下，個人的不確定性會主導(dǎo)性地影響信息安全風(fēng)險評估，不同的分析師在解釋可能性和后果標(biāo)度程度時會表現(xiàn)出不同的不確定性傾向?；鶞?zhǔn)標(biāo)度宜將后果、可能性和風(fēng)險類別與共同明確規(guī)定的目標(biāo)價值聯(lián)系起來，盡可能用定量方法所特有的、以貨幣計量的經(jīng)濟損失和有限時間內(nèi)估計的發(fā)生頻率等來表示。特別是在采用定性方法的情況下，風(fēng)險分析師宜根據(jù)錨定的基準(zhǔn)標(biāo)度進行培訓(xùn)和定期實踐，以保持其判斷的標(biāo)定。A.1.1.2定性方法A.后果標(biāo)度表A.1給出了后果標(biāo)度示例。表A.1后果標(biāo)度示例后果描述5-災(zāi)難級影響超出組織范圍的行業(yè)或監(jiān)管后果嚴重影響行業(yè)生態(tài)系統(tǒng)，其后果可能會長期持續(xù)。和/或：政府部門難以甚至沒有能力確保履行監(jiān)管職能或完成至關(guān)重要的任務(wù)之一。和/或：對人身和財產(chǎn)安全造成嚴重后果（健康危機、重大環(huán)境污染、關(guān)鍵基礎(chǔ)設(shè)施破壞等）4-危重級對組織的災(zāi)難性后果組織無法確保開展全部或部分業(yè)務(wù)活動，可能對人身和財產(chǎn)安全造成嚴重后果。組織很可能無法克服這種情況（其生存受到威脅），其經(jīng)營所在地區(qū)的活動或政府部門可能會受到輕微影響，但不會造成任何的長期后果3-嚴重級對組織的重大后果組織活動能力嚴重下降，可能對人身和財產(chǎn)安全造成重大后果。組織可以克服嚴重困難的情況（以嚴重降級的模式運行），但不會對任何地區(qū)或政府部門產(chǎn)生影響2-一般級對組織重大但有限的后果組織活動能力下降，但不會對人身和財產(chǎn)安全造成后果。盡管有一些困難但組織可以克服（以降級模式運行）1-輕微級對組織可以忽略的后果沒有對運營、活動能力或人身和財產(chǎn)安全造成后果。組織可毫無困難的克服這種情況（利潤將被消耗）A.可能性標(biāo)度表A.2和表A.4給出了表示可能性標(biāo)度的可選方法示例?？赡苄阅苡帽鞟.2中的概率項或表A.4中的頻率項來表示。概率表示風(fēng)險事態(tài)在指定時間段內(nèi)發(fā)生的平均可能性，而頻率表示風(fēng)險事態(tài)在指定時間段內(nèi)預(yù)計平均發(fā)生的次數(shù)。由于這兩種方法只是從兩個不同的角度表達同一事情，因此兩種方法均能使用，這取決于組織認為哪種方式對給定的風(fēng)險類別最為方便。但是，如果這兩種方法在同一組織內(nèi)都被用作可選方案，重要的是，兩個標(biāo)度理論上等效的等級表示相同的實際可能性。否則，評估結(jié)果取決于使用的標(biāo)度，而不是所評估的風(fēng)險源的實際可能性。如果同時使用兩種方法，則每個理論上等級的概率水平宜根據(jù)等效等級的頻率值以數(shù)學(xué)方式計算得出，反之亦然，這取決于使用哪種方法來定義主要的標(biāo)度。如果單獨使用這兩種方法中的任何一種，則不必對標(biāo)度的增量進行嚴格定義，因為無論使用的絕對值如何，仍可以實現(xiàn)可能性的優(yōu)先級排序。盡管表A.2和表A.4根據(jù)組織的環(huán)境和被評估風(fēng)險類別，對可能性分析使用了完全不同的增量和范圍，但如果單獨使用，每一種方法都能等效地進行分析。然而，在同一環(huán)境下，它們之間的互換可能存在風(fēng)險，因為賦給等效等級的值是不相關(guān)的。表A.2和表A.4中使用的類別和數(shù)值僅為示例。給每個可能性等級最合適的賦值取決于組織的風(fēng)險狀況和風(fēng)險偏好。表A.2可能性標(biāo)度示例可能性描述5-幾乎確定風(fēng)險源通過使用一種經(jīng)過考慮的攻擊方法極其可能達到其目標(biāo)。風(fēng)險場景發(fā)生的可能性很高4-很可能風(fēng)險源通過使用一種經(jīng)過考慮的攻擊方法很可能達到其目標(biāo)。風(fēng)險場景發(fā)生的可能性高3-可能風(fēng)險源通過使用一種經(jīng)過考慮的攻擊方法有可能達到其目標(biāo)。風(fēng)險場景發(fā)生的可能性是值得注意的2-不太可能風(fēng)險源通過使用一種經(jīng)過考慮的攻擊方法達到其目標(biāo)的機會相對較小。風(fēng)險場景發(fā)生的可能性低1-幾乎不可能風(fēng)險源通過使用一種經(jīng)過考慮的攻擊方法達到其目標(biāo)的機會非常小。風(fēng)險場景發(fā)生的可能性很低在使用任何一種可能性評估方法時，可對等級賦予“低”、“中”和“高”等標(biāo)簽，這在與非專業(yè)風(fēng)險評估的相關(guān)方討論可能性級別時非常有用。然而，它們是主觀的描述，不可避免地模棱兩可。因此，在實施評估或報告評估時不宜將它們用作主要描述詞。A.風(fēng)險級別定性標(biāo)度的效用和由此產(chǎn)生的風(fēng)險評估的一致性完全取決于所有相關(guān)方對分類標(biāo)簽解釋的一致性。任何定性標(biāo)度的級別都宜是明確的，其增量宜清晰定義，每個級別的定性描述宜采用客觀性語言表達，類別不宜相互重疊。因此，在使用可能性、后果或風(fēng)險的語言描述時，宜正式引用數(shù)值參考點（如表A.4中所示）或比值參考點（如表A.2中所示）所錨定的明確標(biāo)度。所有相關(guān)方宜了解基準(zhǔn)標(biāo)度，以確保對定性評估數(shù)據(jù)和結(jié)果的解釋是一致的。表A.3給出了一個定性方法的示例。表A.3風(fēng)險準(zhǔn)則的定性方法示例可能性后果災(zāi)難級危重級嚴重級重要級輕微級幾乎確定很高很高高高中很可能很高高高中低可能高高中低低不太可能中中低低很低幾乎不可能低低低很低很低定性風(fēng)險矩陣的設(shè)計宜以組織的風(fēng)險接受準(zhǔn)則(見6.4.2和A.1.2)為指導(dǎo)。組織有時更關(guān)注幾乎不可能發(fā)生的極端后果，或者主要關(guān)注后果較小的高頻事件。在設(shè)計風(fēng)險矩陣時，無論是定性的還是定量的，一個組織的風(fēng)險狀況通常是不對稱的。微小的事態(tài)通常是最頻繁的，而預(yù)期的頻率通常隨著后果的增加而降低，最終導(dǎo)致極端后果的可能性很低。高可能性/低后果事態(tài)所表示的業(yè)務(wù)風(fēng)險與低可能性/高后果事態(tài)所表示的業(yè)務(wù)風(fēng)險相等也是不常見的。盡管一個低/低至高/高對角線對稱的風(fēng)險矩陣很容易創(chuàng)建并且從直覺上可接受，但它不太可能準(zhǔn)確地代表組織的真實風(fēng)險狀況，因此可能會產(chǎn)生無效的結(jié)果。為確保風(fēng)險矩陣切合實際并能滿足持續(xù)改進的要求（見GB/T22080-XXXX的10.2），當(dāng)定義和修改標(biāo)度和矩陣時，宜文件化記錄將每個風(fēng)險類別分配到可能性標(biāo)度、后果標(biāo)度和風(fēng)險矩陣的推論，以及這些分類如何符合組織的風(fēng)險狀況。至少，使用增量標(biāo)度矩陣所固有的不確定性宜在描述時對其用戶給予應(yīng)有的注意。定性標(biāo)度的效用和由此獲得風(fēng)險評估的一致性完全取決于所有相關(guān)方對類別標(biāo)簽的解釋的一致性。任何定性標(biāo)度的級別都宜明確無誤，其增量宜明確定義，每個級別的定性描述宜以客觀語言表達，類別不宜互重疊。A.1.1.3定量方法A.限定標(biāo)度風(fēng)險等級可使用任何方法并考慮任何相關(guān)因素來計算，但它一般通過可能性乘以后果來表示?？赡苄员硎驹诮o定時間段內(nèi)事態(tài)發(fā)生的概率或頻率。這個時間段通常是以年為單位（每年），或者根據(jù)組織的需要取更長（例如，每世紀）或更短（例如，每秒）的單位?？赡苄詷?biāo)度宜以反映組織環(huán)境的實際情況來定義，以幫助其管理風(fēng)險并便于所有相關(guān)方理解。這主要意味著對所表示的可能性范圍設(shè)定實現(xiàn)的限制。如果標(biāo)度的最大和最小限值相差太大，其中的每個類別都包含范圍過大的可能性，將使評估變得不確定。標(biāo)度上可能性的上限能根據(jù)組織通常響應(yīng)事態(tài)所需的時間來有效定義，而下限則根據(jù)組織長期戰(zhàn)略規(guī)劃的持續(xù)時間來有效定義。高于和低于所定義的標(biāo)度限度的可能性能有用地表示為“大于標(biāo)度最大值”和“小于標(biāo)度最小值”，從而清楚地表明，超出所定義標(biāo)度限度的可能性是需要例外考慮的極端情況（可能使用特殊的“越界”準(zhǔn)則）。在這些限制之外，特定的可能性不如指定方向上的例外情況重要。通常，使用財務(wù)數(shù)據(jù)測量后果是有用的，因其允許匯總風(fēng)險報告。貨幣化后果標(biāo)度通?；?0的倍數(shù)(100到1000；1000到10000等)?？赡苄詷?biāo)度類別的范圍宜參考所選后果標(biāo)度來選擇，以避免每一類風(fēng)險范圍過大。如果可能性和后果使用指數(shù)標(biāo)度的指標(biāo)來表示（如標(biāo)度中的數(shù)值對數(shù)），則宜將其相加求和?？砂匆韵路绞接嬎泔L(fēng)險值：反對數(shù)[log（可能性值）+log（后果值）]。表A.4對數(shù)型可能性標(biāo)度示例近似平均頻率對數(shù)表達式標(biāo)度值每小時（約105)5每8小時（約104)4每周兩次（約103)3每月一次（約102)2每年一次(101)1每10年一次(100)0在表A.4中，高頻事態(tài)如口令攻擊或來自僵尸網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊。實際上，攻擊的頻率可能會高得多。在表A.4中，低頻事態(tài)如火山爆發(fā)。即使預(yù)測某個事態(tài)每世紀只發(fā)生一次，但是并不意味著它在ISMS的生命周期內(nèi)不會發(fā)生。表A.5給出了對數(shù)型后果標(biāo)度的示例?？紤]頻率的目的之一是確保防護措施足夠強大以承受高頻攻擊序列，即使這種攻擊序列的可能性很低。表A.5對數(shù)型后果標(biāo)度示例后果（損失）對數(shù)表達式值￡1000000(106)6￡100000(105)5￡10000(104)4￡1000(103)3￡100(102)2不到￡100(101)1如果可能性和后果標(biāo)度都使用以10為底的對數(shù)來分配級別，則風(fēng)險分析師可能得出大量的風(fēng)險屬于同一風(fēng)險級別，以致于可能無法做出適當(dāng)?shù)膬?yōu)先級排序或安全投資決策。在這種情況下，減少底數(shù)并增加級別的數(shù)量可能是有用的。宜注意，如果可能性和后果選擇了不同的底數(shù)，則不能應(yīng)用指數(shù)相加的公式。如果可能性從一個級別到下一個級別只是增加了一倍，而后果增加了10倍，則當(dāng)風(fēng)險b)的后果是風(fēng)險a)的10倍，但其可能性只有風(fēng)險a)的一半，上述公式推導(dǎo)出的風(fēng)險a)和b)處于同一風(fēng)險級別。這在經(jīng)濟上是錯誤的。表A.4和表A.5列出了涵蓋不同組織中的大多數(shù)可能性和后果的范圍。沒有單個組織可能遇到所有這些示例標(biāo)度中所表示的風(fēng)險范圍。宜使用組織的環(huán)境和ISMS范圍來定義可能性和后果的現(xiàn)實的上限和下限，同時記住風(fēng)險的量化范圍超出1至1000時，其實際價值是有限的。A.1.2風(fēng)險接受準(zhǔn)則風(fēng)險接受準(zhǔn)則可能是一個值，超過這個值的風(fēng)險被認為是不可接受的。在表A.3中，如果選擇的值為中，則組織認為所有很低、低或中的風(fēng)險都是可接受的，而所有高或很高的風(fēng)險是不可接受的。通過使用顏色標(biāo)注的風(fēng)險矩陣來反映后果和可能性標(biāo)度，組織能圖形地呈現(xiàn)一個或多個風(fēng)險評估的風(fēng)險分布。這種風(fēng)險矩陣也可用于表明組織對風(fēng)險值的態(tài)度，并表明在正常情況下風(fēng)險是接受還是處置。使用三種顏色（例如，紅色、橙黃色和綠色）的風(fēng)險矩陣，能用于表示三個風(fēng)險評價級別，如表A.6所示。風(fēng)險矩陣也能受益于選擇其他顏色模型。如果風(fēng)險矩陣被用來比較同一風(fēng)險的初次風(fēng)險評估結(jié)果和再評估結(jié)果，則使用更多的顏色來表示風(fēng)險等級，更易于呈現(xiàn)風(fēng)險降低的情況。還可能在模型中增加授權(quán)各層級的管理人員決定接受特定風(fēng)險值的風(fēng)險。表A.6給出了一個評價標(biāo)度示例。表A.6使用三色風(fēng)險矩陣的評價標(biāo)度示例風(fēng)險級別風(fēng)險評價描述低（綠色）接受無需采取進一步措施即可接受風(fēng)險可被接受中（橙色）控制下可接受宜在中長期持續(xù)改進的框架內(nèi)開展風(fēng)險管理方面的后續(xù)行動，并采取措施高（紅色）不可接受宜在短期內(nèi)一定采取降低風(fēng)險的措施。否則，宜拒絕全部或部分活動A.2實踐技術(shù)A.2.1信息安全風(fēng)險組成部分當(dāng)識別和評估信息安全風(fēng)險時，宜考慮以下組成部分?！c過去有關(guān)的：安全事態(tài)和事件（包括組織內(nèi)的和組織外的）；風(fēng)險源；被利用的脆弱性；測量出的后果?！c未來有關(guān)的：威脅；脆弱性；后果；風(fēng)險場景。圖A.1展示了信息安全風(fēng)險組成部分之間的關(guān)系，并在A.2.2至A.2.7討論。圖A.1信息安全風(fēng)險組成部分關(guān)于“預(yù)期最終狀態(tài)”的詳細信息，參見A.2.3b)。A.2.2資產(chǎn)當(dāng)使用基于資產(chǎn)的方法進行風(fēng)險識別時，宜對資產(chǎn)進行識別。風(fēng)險評估過程中，識別風(fēng)險場景中的事態(tài)、后果、威脅、脆弱性宜關(guān)聯(lián)到資產(chǎn)。風(fēng)險處置過程中，每項控制都適用于一組資產(chǎn)。這些資產(chǎn)可分為兩類。主要或業(yè)務(wù)資產(chǎn)：對組織有價值的信息或過程。支撐性資產(chǎn)：一個或多個業(yè)務(wù)資產(chǎn)所依賴的信息系統(tǒng)組成部分。主要或業(yè)務(wù)資產(chǎn)通常用于基于事態(tài)的方法（識別事態(tài)及其對業(yè)務(wù)資產(chǎn)的影響）。支撐性資產(chǎn)通常用于基于資產(chǎn)的方法（識別和分析這些資產(chǎn)的脆弱性和威脅）和風(fēng)險處置過程（指定資產(chǎn)所采取的控制）。業(yè)務(wù)資產(chǎn)和支撐性資產(chǎn)是相關(guān)的，支撐性資產(chǎn)所識別的風(fēng)險源同樣會影響業(yè)務(wù)資產(chǎn)。因此，確定資產(chǎn)之間的關(guān)系，并了解它們對組織的價值是重要的。對資產(chǎn)價值的錯誤判斷會導(dǎo)致對其風(fēng)險有關(guān)的后果的錯誤判斷，同時影響對所考慮的威脅的可能性的理解。支撐性資產(chǎn)正承載一項業(yè)務(wù)資產(chǎn)（本例中為信息）。信息受內(nèi)部和外部控制保護，以防止風(fēng)險源通過利用支撐性資產(chǎn)的脆弱性達到其對業(yè)務(wù)資產(chǎn)的企圖。在區(qū)分不同類型的資產(chǎn)時，宜記錄資產(chǎn)之間的依賴關(guān)系并對風(fēng)險傳遞進行評估，宜保證同一風(fēng)險不被二次評估：一次是風(fēng)險發(fā)生在支撐性資產(chǎn)上，另一次是風(fēng)險影響到業(yè)務(wù)資產(chǎn)時?？墒褂觅Y產(chǎn)依賴關(guān)系圖表示這種依賴關(guān)系，并宜確?？紤]了所有依賴關(guān)系。圖A.2展示了“顯示訂單和發(fā)票處理”業(yè)務(wù)資產(chǎn)所依賴的資產(chǎn)，解釋如下：“管理員”（類型：人力資源），如果沒有經(jīng)過適當(dāng)?shù)呐嘤?xùn)，把風(fēng)險帶給資產(chǎn)。“信息技術(shù)運維”（類型：服務(wù)），把風(fēng)險帶給資產(chǎn)?！胺?wù)器”（類型：硬件）或“網(wǎng)絡(luò)”資產(chǎn)（類型：網(wǎng)絡(luò)連接）。服務(wù)器因停止運行或網(wǎng)絡(luò)異常影響資產(chǎn)?！伴T戶網(wǎng)站”（類型：應(yīng)用程序），停止運行或不可用。如果“門戶網(wǎng)站”不可用，“顯示訂單和發(fā)票處理”的業(yè)務(wù)過程就不能向客戶提供預(yù)期的服務(wù)。圖A.2資產(chǎn)依賴關(guān)系圖的示例A.2.3風(fēng)險源和預(yù)期最終狀態(tài)本條描述風(fēng)險源的特征。這種描述性方法有兩個主要準(zhǔn)則：動機；行動能力。識別風(fēng)險源表A.7給出了風(fēng)險源示例及常用攻擊方法。表A.7風(fēng)險源示例及常用攻擊方法風(fēng)險源風(fēng)險源示例及常用攻擊方法國家相關(guān)國家、情報機構(gòu)方法：攻擊通常由專業(yè)人員實施，按照預(yù)先設(shè)定的時間和攻擊方法開展。該類攻擊者的特點是能在很長一段時間內(nèi)（穩(wěn)定的資源、規(guī)程）執(zhí)行攻擊操作，并根據(jù)目標(biāo)的拓撲結(jié)構(gòu)調(diào)整其工具和方法。此外，該類攻擊者有途徑購買或者發(fā)現(xiàn)零日漏洞，并且有些攻擊者能滲透到隔離的網(wǎng)絡(luò)中進行深入攻擊，以達到一個或多個目標(biāo)（例如，通過攻擊供應(yīng)鏈）有組織的犯罪網(wǎng)絡(luò)犯罪組織（黑手黨、幫派、犯罪團伙）方法：通過建立虛假網(wǎng)站、病毒勒索、僵尸網(wǎng)絡(luò)等信息網(wǎng)絡(luò)方式實施違法犯罪活動。特別是由于容易從網(wǎng)上獲得的攻擊工具包激增，網(wǎng)絡(luò)犯罪正通過日益復(fù)雜且有組織的行動來達到獲取利益或欺詐的目的。有些攻擊者具備購買或發(fā)現(xiàn)零日漏洞的能力恐怖分子網(wǎng)絡(luò)恐怖分子，網(wǎng)絡(luò)民兵方法：攻擊通常不是很復(fù)雜，但以干擾和破壞為目的：拒絕服務(wù)（例如，使醫(yī)院中心的應(yīng)急服務(wù)不可用，突然關(guān)閉能源生產(chǎn)工業(yè)系統(tǒng)），利用互聯(lián)網(wǎng)網(wǎng)站脆弱性并篡改意識形態(tài)激進分子網(wǎng)絡(luò)黑客，利益集團，派別方法：攻擊的方法和攻擊的復(fù)雜性與網(wǎng)絡(luò)恐怖分子相似，但其破壞意圖不明顯。一些攻擊者是為了傳達一種意識形態(tài)，一種信息(例如，大規(guī)模使用社交網(wǎng)絡(luò)作為宣傳媒介)專業(yè)團隊“網(wǎng)絡(luò)雇傭兵”的信息技術(shù)能力從技術(shù)角度來看通常都很高。盡管他們與“腳本小子”同樣有挑戰(zhàn)和尋求認可的精神，但其目的是追逐利益，需與“腳本小子”區(qū)分開，其能被組織成專門的團體，提供黑客服務(wù)。方法：這類有經(jīng)驗的黑客通常設(shè)計和創(chuàng)建攻擊工具和工具包并在線上發(fā)布（可能需要收費），然后可交由其他攻擊團體作為“一站式解決方案”使用。除了經(jīng)濟利益之外，沒有什么特別的動機業(yè)余愛好者出于追求社會認可、樂趣和挑戰(zhàn)的“腳本小子”或具有良好信息技術(shù)知識的人員。方法：基本攻擊，但有能力使用網(wǎng)上在線攻擊工具包報復(fù)者攻擊動機由強烈的報復(fù)情緒或者不公正感所引導(dǎo)（例如，員工因嚴重過錯被解雇，服務(wù)提供者因未續(xù)簽合同而不滿等）。方法：攻擊者的特征是其決心，以及對系統(tǒng)和組織流程的了解。這使其變得更難對付，并具備制造傷害的巨大力量病態(tài)攻擊者攻擊動機是病態(tài)的或者具有機會主義性質(zhì)，有時受利益驅(qū)使進行(例如，不公平的競爭對手，不誠信的客戶，詐騙犯和欺詐者)。方法：這種情況下，攻擊者有計算機方面的基礎(chǔ)知識，從而把破壞信息系統(tǒng)作為其目標(biāo)，或者使用在線可用的攻擊工具包，或者委托給專業(yè)團隊進行攻擊。某些情況下，攻擊者能將關(guān)注點轉(zhuǎn)向內(nèi)部資源（不滿的員工、不道德的服務(wù)提供者），并試圖進行腐蝕描述風(fēng)險源的動機——預(yù)期最終狀態(tài)。攻擊動機范圍較廣：它們即是政治的、經(jīng)濟的、意識形態(tài)的，也是社會性的，甚至是機會主義性質(zhì)的或病態(tài)的心理狀態(tài)。當(dāng)不能直接表達動機時，能通過風(fēng)險源的意圖來說明，并以預(yù)期最終狀態(tài)（DES）的形式來描述，即風(fēng)險源在攻擊對抗后想達到的總體狀況。一種與通用措施分類相關(guān)的系統(tǒng)性情境分類方法，可用來指導(dǎo)情境分析。表A.8給出了用DES表述的攻擊動機分類的示例。表A.8用預(yù)期最終狀態(tài)表述動機分類的示例攻擊動機預(yù)期最終狀態(tài)描述征服長期獲取資源或經(jīng)濟市場，獲得政治權(quán)力或施加價值觀念獲取掠奪的方法，堅決的進攻，以獲取資源或利益為動力防范限制第三方行為的進攻方法維護維持一種意識形態(tài)、政治、經(jīng)濟或社會狀況的努力防御采取嚴格的防御性退守姿態(tài)，或明確的威脅態(tài)度(如恐嚇)，以防止明確指定的對手的攻擊行為，或減緩他們的行動等生存不惜一切代價保護實體，這能導(dǎo)致極端攻擊的行動最終目標(biāo)為了達成DES，風(fēng)險源專注于影響目標(biāo)系統(tǒng)業(yè)務(wù)資產(chǎn)的一個或多個目標(biāo)。這些都是風(fēng)險源的最終目標(biāo)。表A.9給出了最終目標(biāo)的示例。表A.9最終目標(biāo)的示例最終目標(biāo)描述搜集情報情報行動（與國家相關(guān)、經(jīng)濟相關(guān)）。多數(shù)情況下，攻擊者的目標(biāo)是在信息系統(tǒng)中進行長期潛伏，并完全可以自行決定。武器、航天、航空、制藥、能源和國家的某些活動（經(jīng)濟、金融和外交事務(wù)）是優(yōu)先目標(biāo)戰(zhàn)略預(yù)先部署預(yù)先部署行動。通常是沒有明確的最終目的的長期攻擊(例如，破壞電信運營商網(wǎng)絡(luò)，滲透到大量信息互聯(lián)網(wǎng)網(wǎng)站以發(fā)動具有強烈反響的政治或經(jīng)濟影響力的行動)。為了形成僵尸網(wǎng)絡(luò)而突然大規(guī)模入侵計算機的行為可歸于此類影響散布虛假信息或篡改信息、組織社交網(wǎng)絡(luò)上意見領(lǐng)袖、破壞名譽、披露保密信息、損害組織或國家形象的行動。最終目的通常是引起不穩(wěn)定或改變看法阻礙運行破壞行動，例如使互聯(lián)網(wǎng)網(wǎng)站不可用，導(dǎo)致信息飽和，阻止數(shù)字資源使用，使物理設(shè)施不可用。工業(yè)系統(tǒng)通過其互聯(lián)的信息技術(shù)網(wǎng)絡(luò)，可能特別容易被暴露并具有脆弱性(例如，發(fā)送命令以產(chǎn)生硬件損壞或需要大量維修的故障)。分布式拒絕服務(wù)攻擊（DDoS）是阻止使用數(shù)字資源的常用技術(shù)有利可圖以直接或間接的經(jīng)濟利益為目的的行動。通常與有組織的犯罪有關(guān)：網(wǎng)絡(luò)詐騙、洗錢、敲詐勒索或挪用公款、操縱金融市場、偽造行政文件、身份盜竊等。某些以營利為目的的行動可以利用上述類別的攻擊方法(例如，搜集情報和數(shù)據(jù)盜竊，以勒索軟件的形式使活動無效)，但最終都是以經(jīng)濟利益為目的挑戰(zhàn)，樂趣以實現(xiàn)社會認可、挑戰(zhàn)或單純的樂趣為目的的行動。雖然目的主要是為了獲得樂趣，而且沒有任何特別的傷害欲望，但這種行為的特征可能會對受害者帶來嚴重的后果DES和最終目標(biāo)之間的區(qū)別能通過一個風(fēng)險源的例子來說明，該風(fēng)險源的目標(biāo)是贏得一項交易（DES），試圖竊取競爭對手的談判保密信息（戰(zhàn)略目標(biāo)）。有時，相關(guān)的目標(biāo)（期望得到的信息）最終不能得出DES。從風(fēng)險源的角度來看，最終目標(biāo)的價值來自于其對DES的貢獻。總的來說，風(fēng)險源的最終目標(biāo)分為兩大類：——利用目標(biāo)資源為自己謀利，如收集情報、盜竊、詐騙、欺詐、非法交易；——阻止目標(biāo)使用其資源（對抗總是相對的），如戰(zhàn)爭、恐怖主義、蓄意毀壞、顛覆、破壞穩(wěn)定。A.2.4基于事態(tài)的方法A.2.4.1生態(tài)系統(tǒng)在基于事態(tài)的方法中，宜通過分析與組織及各相關(guān)方之間的不同的互動路徑來構(gòu)建場景，這些路徑形成一個生態(tài)系統(tǒng)，風(fēng)險源能通過這個生態(tài)系統(tǒng)接觸到業(yè)務(wù)資產(chǎn)并達到其DES。越來越多的攻擊方法利用這種生態(tài)系統(tǒng)中最薄弱的環(huán)節(jié)，以達到其目標(biāo)。在分析風(fēng)險情景時宜考慮到ISMS范圍的各相關(guān)方，其可以分為兩種類型。——外部各方，包括：客戶；合作伙伴、聯(lián)合承包商；服務(wù)提供商（分包商、供應(yīng)商）?！獌?nèi)部各方，包括：與技術(shù)相關(guān)的服務(wù)提供者(例如，由信息技術(shù)管理部門提供的支持服務(wù))；與業(yè)務(wù)相關(guān)的服務(wù)提供者(例如，使用業(yè)務(wù)數(shù)據(jù)的商業(yè)實體)；子公司（尤其是位于其他國家的）。識別相關(guān)方的目的是對生態(tài)系統(tǒng)有清晰的認識，以識別最脆弱的點。了解生態(tài)系統(tǒng)宜作為初步的風(fēng)險研究來應(yīng)對。圖A.3顯示了如何識別生態(tài)系統(tǒng)各相關(guān)方。圖A.3生態(tài)系統(tǒng)中相關(guān)方的識別A.2.4.2戰(zhàn)略場景根據(jù)有關(guān)風(fēng)險源和事態(tài)的信息，可以設(shè)想出實現(xiàn)的高級別場景（戰(zhàn)略場景），表明風(fēng)險源可以以何種方式達到其DES。例如，它可以檢查生態(tài)系統(tǒng)或改變某些業(yè)務(wù)過程。從風(fēng)險源和他們的DES開始，通過推理識別這些場景：對于每個場景，可以從風(fēng)險源的角度提出以下問題：——為了達到其DES，風(fēng)險源需要針對組織的哪些業(yè)務(wù)資產(chǎn)？——為了使他們的攻擊成為可能或為攻擊提供便利，他們是否可能攻擊生態(tài)系統(tǒng)中對業(yè)務(wù)資產(chǎn)有訪問特權(quán)的關(guān)鍵相關(guān)方？一旦識別了暴露程度最高的要素，可通過描述風(fēng)險源為達到DES產(chǎn)生事態(tài)的過程來構(gòu)建戰(zhàn)略場景。對業(yè)務(wù)資產(chǎn)的侵害行為是最終事態(tài)，而與生態(tài)系統(tǒng)相關(guān)的事態(tài)則是中間事態(tài)。戰(zhàn)略場景反映的是直接從有關(guān)事態(tài)繼承下來的后果評估。這些場景能以攻擊圖的形式表示，也可以通過疊加攻擊路徑直接在信息系統(tǒng)映射的生態(tài)系統(tǒng)視圖上表示。戰(zhàn)略場景需要額外考慮事態(tài)的可能性。基于資產(chǎn)的方法和相關(guān)的運行場景能用于定義事態(tài)的可能性。在A.2.5.1中給出的威脅實例能用于收集必要的評估項。A.2.5基于資產(chǎn)的方法A.2.5.1威脅示例表A.10給出了典型威脅示例。該列表可以在威脅評估過程中使用。威脅作為風(fēng)險源能分為故意的、意外的或環(huán)境的（自然因素），并能導(dǎo)致后果，如基礎(chǔ)服務(wù)的損害或損失。該表列舉了與D（故意的）、A（意外的）、E（環(huán)境的）相關(guān)的每種威脅類型。D表示所有針對信息和信息相關(guān)資產(chǎn)的故意行為，A表示可能意外損害信息和信息相關(guān)資產(chǎn)的其他所有人為行為，E表示所有非人為行為的事件。該表沒有優(yōu)先順序?？刂颇芡ㄟ^威脅或阻止這些威脅起作用或發(fā)生來降低威脅。選擇降低風(fēng)險的控制，還需要考慮識別、響應(yīng)、遏制和恢復(fù)事態(tài)的監(jiān)測和響應(yīng)控制。監(jiān)測和響應(yīng)的控制與后果有關(guān)，與威脅無關(guān)。日志和監(jiān)控可以實現(xiàn)安全事態(tài)的識別和響應(yīng)。表A.10典型威脅示例類別編號威脅描述風(fēng)險源類型1物理威脅TP01火A，D，ETP02水A，D，ETP03污染、有害輻射A，D，ETP04重大事故A，D，ETP05爆炸A，D，ETP06灰塵、腐蝕、冰凍A，D，E自然災(zāi)害TN01氣候現(xiàn)象ETN02地震現(xiàn)象ETN03火山現(xiàn)象ETN04氣象現(xiàn)象ETN05洪水ETN06流行病/疫情現(xiàn)象E基礎(chǔ)設(shè)施故障TI01供應(yīng)系統(tǒng)故障A，DTI02冷卻或通風(fēng)系統(tǒng)故障A，DTI03供電故障A，D，ETI04電信網(wǎng)絡(luò)故障A，D，ETI05電信設(shè)備故障A，DTI06電磁輻射A，D，ETI07熱輻射A，D，ETI08電磁脈沖A，D，E技術(shù)失效TT01設(shè)備或系統(tǒng)故障ATT02信息系統(tǒng)飽和A，DTT03信息系統(tǒng)可維護性破壞A，D人為行為TH01恐怖活動、攻擊、破壞DTH02社會工程DTH03設(shè)備電磁監(jiān)聽/對阻止干擾信號的攔截DTH04遠程情報收集DTH05竊聽DTH06介質(zhì)或文件偷竊DTH07設(shè)備偷竊DTH08數(shù)字身份或憑證竊取DTH09回收或廢棄介質(zhì)的檢索DTH10信息泄露A，DTH11不可信來源的數(shù)據(jù)輸入A，DTH12硬件篡改DTH13軟件篡改A，DTH14使用基于web通信的漏洞DTH15重放攻擊，中間人攻擊DTH16個人數(shù)據(jù)的未授權(quán)處理A，DTH17場所的未授權(quán)進入DTH18設(shè)備的未授權(quán)使用DTH19設(shè)備的不當(dāng)使用A，DTH20設(shè)備或介質(zhì)的損壞A，DTH21軟件的偽造復(fù)制DTH22假冒或盜版軟件使用A，DTH23數(shù)據(jù)損壞DTH24數(shù)據(jù)的非法處理DTH25惡意軟件的發(fā)送或傳播A，D，ETH26位置探測D功能或服務(wù)缺陷TC01使用錯誤ATC02權(quán)限或許可濫用A，DTC03權(quán)限或許可偽造DTC04行為否認D組織威脅TO01人員缺失A，ETO02資源缺失A，ETO03服務(wù)提供者失效A，ETO04違法違規(guī)行為A，D1D=故意的；A=意外的；E=環(huán)境的。A.2.5.2脆弱性示例表A.11給出了多種安全領(lǐng)域的脆弱性示例，包括可以利用這些脆弱性的威脅示例。該表能在威脅和脆弱性評估中提供幫助，來確定相關(guān)的風(fēng)險場景。在某些場合，其他威脅同樣可能利用這些脆弱性。表A.11典型脆弱性示例類別編號脆弱性示例硬件VH01存儲介質(zhì)的維護不足/錯誤安裝VH02定期更換計劃的缺乏VH03對潮濕、灰塵、污染的敏感性VH04對電磁輻射的敏感性VH05有效配置變更控制的缺乏VH06對電壓變化的敏感性VH07對溫度變化的敏感性VH08未保護的存儲器VH09廢物謹慎處置的缺乏VH10未控制的復(fù)制軟件VS01軟件測試的缺失或不足VS02軟件中眾所周知的缺陷VS03離開工作站時未"退出"VS04未適當(dāng)擦除的存儲介質(zhì)的廢棄或再使用VS05審計跟蹤的缺乏VS06訪問權(quán)限的錯誤分配VS07廣泛分布的軟件VS08應(yīng)用程序使用了錯誤的時鐘數(shù)據(jù)VS09復(fù)雜的用戶界面VS10文件化不充分或缺失VS11不正確的參數(shù)設(shè)置VS12不正確的日期VS13標(biāo)識與鑒別機制（如用戶鑒別）不充分VS14未保護的口令表VS15糟糕的口令管理VS16不必要的服務(wù)開啟VS17不成熟或新的軟件VS18不清晰或不完整的開發(fā)者規(guī)范VS19有效變更控制的缺乏VS20軟件未受控的下載和使用VS21備份的缺乏或不完整VS22未能生成管理報告網(wǎng)絡(luò)VN01發(fā)送或接收消息的證據(jù)機制不完整VN02未保護的通信線路VN03未保護的敏感通信VN04糟糕的綜合布線VN05單點故障VN06發(fā)送者和接收者的標(biāo)識與鑒別機制不充分或缺失VN07不安全的網(wǎng)絡(luò)架構(gòu)VN08口令明文傳輸VN09網(wǎng)絡(luò)管理不足（路由彈性）VN10未保護的公共網(wǎng)絡(luò)連接人員VP01人員脫崗VP02招聘規(guī)程不足VP03安全培訓(xùn)不充分VP04軟件和硬件的不正確使用VP05安全意識缺乏VP06監(jiān)視機制缺乏VP07對外部人員或清潔人員的工作無監(jiān)督VP08無效或不正確使用電信介質(zhì)和通訊策略場所VS01建筑物和房間物理訪問控制使用不當(dāng)或疏忽VS02位于洪水多發(fā)地區(qū)VS03不穩(wěn)定的電網(wǎng)VS04建筑物和門窗物理保護的不充分組織VO01未制定用戶注冊和注銷的正式規(guī)程，或?qū)嵤o效VO02未制定訪問權(quán)限審查（監(jiān)督）的正式過程，或?qū)嵤o效VO03與客戶和（或）第三方合同中的規(guī)定（關(guān)于安全）缺乏或不足VO04未制定信息處理設(shè)施的監(jiān)視規(guī)程，或?qū)嵤o效VO05未定期審計（監(jiān)督）VO06未制定風(fēng)險識別和評估規(guī)程，或?qū)嵤o效VO07管理員和操作員日志中記錄的故障報告缺乏或不充分VO08設(shè)備維護響應(yīng)不足VO09服務(wù)級別協(xié)議缺乏或不充分VO10未制定變更控制規(guī)程，或?qū)嵤o效VO11未制定ISMS文件化控制的正式規(guī)程，或?qū)嵤o效VO12未制定ISMS記錄監(jiān)督的正式規(guī)程，或?qū)嵤o效VO13未制定公開可用信息授權(quán)的正式過程，或?qū)嵤o效VO14信息安全責(zé)任分配不當(dāng)VO15連續(xù)性計劃不存在、不完整或過時VO16未制定電子郵件使用策略，或?qū)嵤o效VO17未制定在運行系統(tǒng)中引入軟件的規(guī)程，或?qū)嵤o效VO18未制定保密信息處理的規(guī)程，或?qū)嵤o效VO19職位描述中缺乏信息安全責(zé)任VO20員工合同中的規(guī)定（關(guān)于信息安全）缺乏或不充分VO21未制定信息安全事件違規(guī)處理過程，或不能正確運行VO22未制定移動計算機使用的正式策略，或?qū)嵤o效VO23外部資產(chǎn)控制不充分VO24“清理桌面和屏幕"策略缺乏或不充分VO25信息處理設(shè)施授權(quán)未實施，或不能正確運行VO26安全違規(guī)的監(jiān)視機制未正確實施VO27未制定報告安全弱點的規(guī)程，或?qū)嵤o效VO28未制定符合知識產(chǎn)權(quán)規(guī)定的規(guī)程，或?qū)嵤o效A.2.5.3技術(shù)脆弱性評估方法根據(jù)信息和通信技術(shù)（ICT）系統(tǒng)的關(guān)鍵性和可用資源（例如，已分配的資金、現(xiàn)有技術(shù)、具備專業(yè)知識的測試人員），可以使用信息系統(tǒng)測試等主動的方法來識別脆弱性。測試方法包括：——自動脆弱性掃描工具；——安全測試和評價；——滲透測試；——代碼審查。自動脆弱性掃描工具被用于掃描一組主機或網(wǎng)絡(luò)中已知的易受攻擊服務(wù)(例如，系統(tǒng)允許匿名文件傳輸協(xié)議(FTP)、郵件中繼）。然而，宜注意到自動掃描工具識別的潛在脆弱性在系統(tǒng)環(huán)境中可能并非真正的脆弱性。（例如，這些掃描工具中的一些在評估潛在脆弱性時并沒有考慮場所的環(huán)境和要求）。被自動掃描軟件標(biāo)記的一些脆弱性對特定場所可能實際上不是脆弱性，而可能是其環(huán)境需要那種配置。因此，這種測試方法可能產(chǎn)生誤報。安全測試與評價（STE）是另一種可被用于風(fēng)險評估過程中識別ICT系統(tǒng)脆弱性的技術(shù)。它包括測試計劃（例如，測試腳本、測試規(guī)程和期望的測試結(jié)果）的開發(fā)和執(zhí)行。系統(tǒng)安全測試的目的是測試ICT系統(tǒng)的安全控制被應(yīng)用在運行環(huán)境中的有效性。目標(biāo)是確保所應(yīng)用的控制符合被批準(zhǔn)的軟件和硬件安全規(guī)范，并執(zhí)行組織的安全策略或符合行業(yè)標(biāo)準(zhǔn)。滲透測試可被用于補充安全控制的審查和確保ICT系統(tǒng)的不同方面是安全的。當(dāng)用在風(fēng)險評估過程中時，滲透測試可被用于評估ICT系統(tǒng)抵御故意繞過系統(tǒng)安全企圖的能力。其目標(biāo)是從威脅源的視角測試ICT系統(tǒng)，并識別ICT系統(tǒng)保護方案中的潛在問題。代碼審查是最徹底的（但也是最昂貴的）脆弱性評估方法。這些類型的安全測試結(jié)果將有助于識別系統(tǒng)的脆弱性。除非脆弱性被成功利用，否則滲透工具和技術(shù)可能給出錯誤的結(jié)果，除非脆弱性被成功利用。為了利用特定脆弱性，需要知道被測系統(tǒng)上確切的系統(tǒng)/應(yīng)用/補丁設(shè)置。如果在測試時不知道這些數(shù)據(jù)，就不太可能成功地利用特定脆弱性（例如，獲得遠程反向shell）。然而，仍可能使被測試的進程或系統(tǒng)損毀或重。在這種情況下，被測對象宜同樣被視為脆弱的。方法可以包括以下活動：——訪談人員和用戶；——問卷調(diào)查；——物理檢查；——文件分析。A.2.5.4運行場景在基于資產(chǎn)的方法中，可以通過分析風(fēng)險源接觸到業(yè)務(wù)資產(chǎn)或達到其DES有關(guān)聯(lián)支撐性資產(chǎn)和不同路徑來構(gòu)建運行場景。。分析這些場景能幫助深入研究基于事態(tài)的方法。成功的攻擊通常是利用多個脆弱性的結(jié)果。故意的攻擊通常遵循一種序列化的方法，這種方法會以協(xié)調(diào)一致的方式利用信息技術(shù)、組織或物理的多個脆弱性。盡管這些被利用的脆弱性在單獨考慮時可能微不足道，但同時利用多個脆弱性的方法可能會帶來嚴重的后果。所分析的場景能根據(jù)典型的攻擊序列進行結(jié)構(gòu)化。多種模型存在并能使用(例如，網(wǎng)絡(luò)殺傷鏈模型1）網(wǎng)絡(luò)殺傷鏈模型是由洛克希德·馬丁公司提供的一種模型的名稱。給出這一信息是為了方便本文件使用者，并不表示對該模型的認可。