安全評(píng)估講師姓名機(jī)構(gòu)名稱版本：4.1課程內(nèi)容2信息安全評(píng)估知識(shí)域知識(shí)子域安全評(píng)估基礎(chǔ)信息系統(tǒng)審計(jì)安全評(píng)估實(shí)施知識(shí)子域：安全評(píng)估基礎(chǔ)安全評(píng)估概念了解安全評(píng)估的定義、價(jià)值、風(fēng)險(xiǎn)評(píng)估工作內(nèi)容及安全評(píng)估工具類型；了解安全評(píng)估標(biāo)準(zhǔn)的發(fā)展；3安全評(píng)估基本概念什么是安全評(píng)估也稱風(fēng)險(xiǎn)評(píng)估，是針對(duì)事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進(jìn)行識(shí)別、評(píng)價(jià)的過(guò)程對(duì)安全評(píng)估的理解狹義廣義4風(fēng)險(xiǎn)評(píng)估是確定安全需求的重要途徑！安全評(píng)估工作內(nèi)容確定保護(hù)的對(duì)象（保護(hù)資產(chǎn)）是什么？它們直接和間接價(jià)值？資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問(wèn)題所在？威脅發(fā)生的可能性有多大？資產(chǎn)中存在哪里弱點(diǎn)可能會(huì)被威脅所利用？利用的容易程序又如何？一旦威脅事件發(fā)生，組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響？組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降低到最低程序。5安全評(píng)估的價(jià)值安全建設(shè)的起點(diǎn)和基礎(chǔ)信息安全建設(shè)和管理的科學(xué)方法倡導(dǎo)適度安全保護(hù)網(wǎng)絡(luò)空間安全的核心要素和重要手段6風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估與管理工具一套集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓麸L(fēng)險(xiǎn)評(píng)估輔助工具實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)7知識(shí)子域：安全評(píng)估基礎(chǔ)安全評(píng)估標(biāo)準(zhǔn)了解TCSEC基本目標(biāo)和要求、分級(jí)等概念；了解ITSEC標(biāo)準(zhǔn)的適用范圍、功能準(zhǔn)則和評(píng)估準(zhǔn)則的級(jí)別；了解ISO15408標(biāo)準(zhǔn)的適用范圍、作用和使用中的局限性；了解GB/T18336結(jié)構(gòu)、作用及評(píng)估的過(guò)程；理解評(píng)估對(duì)象（TOE）、保護(hù)輪廓（PP）、安全目標(biāo)（ST）、評(píng)估保證級(jí)（EAL）等關(guān)鍵概念；了解信息安全等級(jí)測(cè)評(píng)的作用和過(guò)程。8安全評(píng)估標(biāo)準(zhǔn)9TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)）美國(guó)政府國(guó)防部（DoD）標(biāo)準(zhǔn)，為評(píng)估計(jì)算機(jī)系統(tǒng)內(nèi)置的計(jì)算機(jī)安全功能的有效性設(shè)定了基本要求國(guó)家安全局的國(guó)家計(jì)算機(jī)安全中心（NCSC）于1983年發(fā)布，1985年更新，作為國(guó)防部彩虹系列出版物的核心，TCSEC經(jīng)常被稱為橙皮書。TCSEC已被2005年最初公布的國(guó)際標(biāo)準(zhǔn)《通用準(zhǔn)則（CC）》所取代。10TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)）基本目標(biāo)和要求策略問(wèn)責(zé)保證文檔分級(jí)D-最小保護(hù)C-選擇保護(hù)（C1、C2）B-強(qiáng)制保護(hù)（B1、B2、B3）A-驗(yàn)證保護(hù)（A1）11TCSECD最小保護(hù)C自主保護(hù)C1--自主安全保護(hù)C2

--受控訪問(wèn)保護(hù)B強(qiáng)制保護(hù)B1--標(biāo)簽安全B2--結(jié)構(gòu)化保護(hù)B3--安全域A驗(yàn)證保護(hù)A1--驗(yàn)證設(shè)計(jì)ITSEC（信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)）以超越TCSEC為目的，將安全概念分為功能與功能評(píng)估兩部分功能準(zhǔn)則：在測(cè)定上分F1-F10共10級(jí)1－5級(jí)對(duì)應(yīng)于TCSEC的D到A6－10級(jí)加上了以下概念：F6：數(shù)據(jù)和程序的完整性F7：系統(tǒng)可用性F8：數(shù)據(jù)通信完整性F9：數(shù)據(jù)通信保密性F10：包括機(jī)密性和完整性的網(wǎng)絡(luò)安全評(píng)估準(zhǔn)則：分為6級(jí)：E1：測(cè)試E2：配置控制和可控的分配E3：能訪問(wèn)詳細(xì)設(shè)計(jì)和源碼E4：詳細(xì)的脆弱性分析E5：設(shè)計(jì)與源碼明顯對(duì)應(yīng)E6：設(shè)計(jì)與源碼在形式上一致。12FC（聯(lián)邦（最低安全要求）評(píng)估準(zhǔn)則）美國(guó)信息技術(shù)安全聯(lián)邦準(zhǔn)則(FC)1992年12月公布，是對(duì)TCSEC的升級(jí)引入了“保護(hù)輪廓（PP）”這一重要概念保護(hù)輪廓包括功能部分開(kāi)發(fā)保證部分測(cè)評(píng)部分分級(jí)方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)供美國(guó)政府用，民用和商用。13CC(信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn))目前最全面的信息技術(shù)安全評(píng)估準(zhǔn)則主要思想和框架取自ITSEC和FC，充分突出“保護(hù)輪廓”，將評(píng)估過(guò)程分“功能”和“保證”兩部分CC強(qiáng)調(diào)將安全的功能與保障分離，并將功能需求分為九類63族，將保障分為七類29族。14國(guó)際標(biāo)準(zhǔn)組織于1999年批準(zhǔn)CC標(biāo)準(zhǔn)以“ISO/IEC15408-1999”編號(hào)正式列入國(guó)際標(biāo)準(zhǔn)系列！CC(信息技術(shù)安全評(píng)估通用準(zhǔn)則)我國(guó)在2008年等同采用《ISO/IEC15408：2005信息技術(shù)-安全技術(shù)-信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)》形成的國(guó)家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編號(hào)為GB/T18336結(jié)構(gòu)GB/T18336.1-2008 簡(jiǎn)介和一般模型定義了IT安全評(píng)估的一般概念和原理，并提出了評(píng)估的一般模型GB/T18336.2-2008 安全功能要求建立一系列功能組件作為表達(dá)TOE功能要求的標(biāo)準(zhǔn)方法GB/T18336.3-2008 安全保證要求建立一系列保證組件作為表達(dá)TOE保證要求的標(biāo)準(zhǔn)方法15GB/T18336（CC）的目標(biāo)讀者TOE（評(píng)估對(duì)象）的客戶CC從寫作安排上確保評(píng)估滿足用戶的需求，因?yàn)檫@是評(píng)估過(guò)程的根本目的和理由。TOE的開(kāi)發(fā)者為開(kāi)發(fā)者在準(zhǔn)備和協(xié)助評(píng)估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足的安全需求方面提供支持。TOE的評(píng)估者CC包含評(píng)估者判定TOE與其安全需求一致時(shí)所使用的準(zhǔn)則。16CC的關(guān)鍵概念17評(píng)估對(duì)象（TargetofEvaluation，TOE）作為評(píng)估主體（產(chǎn)品、系統(tǒng)、子系統(tǒng)等）的IT產(chǎn)品及系統(tǒng)以及相關(guān)的指導(dǎo)性文檔。保護(hù)輪廓（PP）滿足特定用戶需求的、一類TOE的、一組與實(shí)現(xiàn)無(wú)關(guān)的安全要求。安全目標(biāo)（SecurityTarget，ST）作為指定的TOE評(píng)估基礎(chǔ)的一組安全要求和規(guī)范。CC的關(guān)鍵概念功能規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事。結(jié)構(gòu):類、族、組件保證實(shí)體達(dá)到其安全性目的的信任基礎(chǔ)，是對(duì)功能產(chǎn)生信心的方法包為滿足一組確定的安全目的而組合在一起的，一組可重用的功能或保證組件18評(píng)估保證級(jí)別（EAL）19評(píng)估流程20CC的意義CC的意義通過(guò)評(píng)估有助于增強(qiáng)用戶對(duì)于IT產(chǎn)品的安全信心促進(jìn)IT產(chǎn)品和系統(tǒng)的安全性消除重復(fù)的評(píng)估優(yōu)勢(shì)國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；已有安全準(zhǔn)則的總結(jié)和兼容，是目前最全面的評(píng)價(jià)準(zhǔn)則；通用的表達(dá)方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴(kuò)展CC要求CC的局限性CC標(biāo)準(zhǔn)采用半形式化語(yǔ)言，比較難以理解；CC不包括那些與IT安全措施沒(méi)有直接關(guān)聯(lián)的、屬于行政性管理安全措施的評(píng)估準(zhǔn)則，即該標(biāo)準(zhǔn)并不關(guān)注于組織、人員、環(huán)境、設(shè)備、網(wǎng)絡(luò)等方面的具體的安全措施；CC重點(diǎn)關(guān)注人為的威脅，對(duì)于其他威脅源并沒(méi)有考慮；并不針對(duì)IT安全性的物理方面的評(píng)估（如電磁干擾）；CC并不涉及評(píng)估方法學(xué)；CC不包括密碼算法固有質(zhì)量的評(píng)估。22信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)信息系統(tǒng)安全等級(jí)測(cè)評(píng)重要性檢測(cè)評(píng)估信息系統(tǒng)安全等級(jí)保護(hù)狀況是否達(dá)到相應(yīng)等級(jí)基本要求的過(guò)程落實(shí)信息安全等級(jí)保護(hù)制度的重要環(huán)節(jié)等級(jí)測(cè)評(píng)過(guò)程測(cè)評(píng)準(zhǔn)備活動(dòng)方案編制活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)分析與報(bào)告編制活動(dòng)23知識(shí)子域：安全評(píng)估實(shí)施風(fēng)險(xiǎn)評(píng)估相關(guān)要素理解資產(chǎn)、威脅、脆弱性、安全風(fēng)險(xiǎn)、安全措施、殘余風(fēng)險(xiǎn)等風(fēng)險(xiǎn)評(píng)估相關(guān)要素及相互關(guān)系。風(fēng)險(xiǎn)評(píng)估途徑與方法了解基線評(píng)估等風(fēng)險(xiǎn)評(píng)估途徑及自評(píng)估、檢查評(píng)估等風(fēng)險(xiǎn)評(píng)估方法并掌握定量分析中量化風(fēng)險(xiǎn)的方法。24風(fēng)險(xiǎn)評(píng)估相關(guān)要素-資產(chǎn)構(gòu)成風(fēng)險(xiǎn)評(píng)估的資產(chǎn)是建立對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。25風(fēng)險(xiǎn)評(píng)估相關(guān)要素-威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。引起風(fēng)險(xiǎn)的外因造成威脅的因素人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。26風(fēng)險(xiǎn)評(píng)估相關(guān)要素-脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒(méi)有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。27風(fēng)險(xiǎn)評(píng)估相關(guān)要素-信息安全風(fēng)險(xiǎn)、安全措施信息安全風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件安全措施保護(hù)資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制。殘余風(fēng)險(xiǎn)采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)28風(fēng)險(xiǎn)評(píng)估要素之間關(guān)系29風(fēng)險(xiǎn)評(píng)估途徑與方式風(fēng)險(xiǎn)評(píng)估途徑基線評(píng)估詳細(xì)評(píng)估組合評(píng)估風(fēng)險(xiǎn)評(píng)估方式自評(píng)估與檢查評(píng)估自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持30風(fēng)險(xiǎn)評(píng)估的常用方法基于知識(shí)分析基于模型分析定量分析定性分析31風(fēng)險(xiǎn)評(píng)估常用方法-定量分析基本概念暴露因子（ExposureFactor,EF）:特定威脅對(duì)特定資產(chǎn)靠損失的百分比，或者說(shuō)損失的程度。單一預(yù)期損失（singleLossExpectancy,SLE）:也稱作SOC（SingleOccurrenceCosts）,即特定威脅可能造成的潛在損失總量年度預(yù)期損失（AnnualizedLossExpectancy,ALE）：或者稱作EAC（EstimatedAnnualCost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值32風(fēng)險(xiǎn)評(píng)估常用方法-定量分析概念的關(guān)系首先，識(shí)別資產(chǎn)并為資產(chǎn)賦值通過(guò)威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%~100%之間）計(jì)算特定威脅發(fā)生的頻率，即ARO計(jì)算資產(chǎn)的SLE；計(jì)算資產(chǎn)的ALE；定量風(fēng)險(xiǎn)分析的一種方法就是計(jì)算年度損失預(yù)期值（ALE）。計(jì)算公式如下：年度損失預(yù)期值（ALE）=SLEx年度發(fā)生率（ARO）單次損失預(yù)期值（SLE）=暴露因素（EF）x資產(chǎn)價(jià)值（AV）33風(fēng)險(xiǎn)評(píng)估常用方法-定量分析定量評(píng)估計(jì)算案例計(jì)算由于人員疏忽或設(shè)備老化對(duì)一個(gè)計(jì)算機(jī)機(jī)房所造成火災(zāi)的風(fēng)險(xiǎn)。假設(shè)：組織在3年前計(jì)算機(jī)機(jī)房資產(chǎn)價(jià)值100萬(wàn)，當(dāng)年曾經(jīng)發(fā)生過(guò)一次火災(zāi)導(dǎo)致?lián)p失10萬(wàn)；組織目前計(jì)算機(jī)機(jī)房資產(chǎn)價(jià)值為1000萬(wàn)；經(jīng)過(guò)和當(dāng)?shù)叵啦块T溝通以及組織歷史安全事件記錄發(fā)現(xiàn)，組織所在地及周邊在5年來(lái)發(fā)生過(guò)3次火災(zāi)；該組織額定的財(cái)務(wù)投資收益比是30%由上述條件可計(jì)算風(fēng)險(xiǎn)組織的年度預(yù)期損失及ROSI，為組織提供一個(gè)良好的風(fēng)險(xiǎn)管理財(cái)務(wù)清單34風(fēng)險(xiǎn)評(píng)估常用方法-定量分析根據(jù)歷史數(shù)據(jù)獲得EF：10萬(wàn)÷100萬(wàn)×100%=10%根據(jù)EF計(jì)算目前組織的SLE1000萬(wàn)×10%=100萬(wàn)根據(jù)歷史數(shù)據(jù)中ARO計(jì)算ALE100萬(wàn)×（3÷5）=60萬(wàn)此時(shí)獲得年度預(yù)期損失值，組織需根據(jù)該損失衡量風(fēng)險(xiǎn)可接受度，如果風(fēng)險(xiǎn)不可接受則需進(jìn)一步計(jì)算風(fēng)險(xiǎn)的處置成本及安全收益；ROSI=(實(shí)施控制前的ALE）–（實(shí)施控制后的ALE）–（年控制成本）組織定義安全目標(biāo)，假如組織希望火災(zāi)發(fā)生后對(duì)組織的損失降低70%，則，實(shí)施控制后的ALE應(yīng)為：60萬(wàn)×（1-70%）=18萬(wàn)年控制成本=（60-18）×30%=12.6萬(wàn)則：ROSI=60-18-12.8=29.4萬(wàn)至此，組織通過(guò)年投入12.6萬(wàn)獲得每年29.4萬(wàn)的安全投資收益35風(fēng)險(xiǎn)評(píng)估常用方法-定量分析案例假設(shè)1：某人在某城市可能遭受隕石襲擊，一旦被隕石擊中可能導(dǎo)致身亡，根據(jù)當(dāng)?shù)靥煳臄?shù)據(jù)，該城市100年內(nèi)為曾遭受過(guò)隕石襲擊，通過(guò)風(fēng)險(xiǎn)評(píng)估矩陣可以獲得如下結(jié)果假設(shè)2：某人在某城市可能在馬路上被電動(dòng)車碰撞導(dǎo)致受傷，根據(jù)當(dāng)?shù)亟煌C(jī)構(gòu)統(tǒng)計(jì)，平均每100人就有一人曾經(jīng)被電動(dòng)車擦傷，通過(guò)風(fēng)險(xiǎn)評(píng)估矩陣可以獲得如下結(jié)果36可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）風(fēng)險(xiǎn)評(píng)估常用方法-定量分析根據(jù)風(fēng)險(xiǎn)評(píng)估矩陣圖獲得風(fēng)險(xiǎn)能力，故：隕石襲擊雖然損失嚴(yán)重，但由于屬于低概率事件，因此可列為低風(fēng)險(xiǎn)，接受風(fēng)險(xiǎn)電動(dòng)車碰撞產(chǎn)生的影響遠(yuǎn)遠(yuǎn)低于隕石襲擊，但由于屬于高概率事件，因此被評(píng)價(jià)為嚴(yán)重風(fēng)險(xiǎn)，需要資產(chǎn)（受體）關(guān)注，不可接受37等級(jí)取值范圍名稱描述H25,20High，高風(fēng)險(xiǎn)最高等級(jí)的風(fēng)險(xiǎn)，需要立即采取應(yīng)對(duì)措施。不可接受。S12,15,16Significant，嚴(yán)重風(fēng)險(xiǎn)需要高級(jí)管理層注意。不可接受。M6,8,9,10Moderate，中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風(fēng)險(xiǎn)可以通過(guò)例行程序來(lái)處理?？山邮?。風(fēng)險(xiǎn)評(píng)估常用方法-定性分析目前采用最為廣泛的一種方法帶有很強(qiáng)的主觀性，往往憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)38可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見(jiàn)1（L）2（L）3（L）4（L）5（L）風(fēng)險(xiǎn)評(píng)估的常用方法比較39風(fēng)險(xiǎn)評(píng)估常用方法優(yōu)點(diǎn)缺點(diǎn)基于模型的分析方法提高對(duì)安全相關(guān)描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加了不同評(píng)估方法互操作的效率。實(shí)施對(duì)人員素質(zhì)要求高；需要大量的工具與模板；定量分析按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級(jí)。結(jié)果通過(guò)安全投資收益推動(dòng)風(fēng)險(xiǎn)管理。結(jié)果可用因管理而異的術(shù)語(yǔ)來(lái)表達(dá)（例如貨幣值和表達(dá)為具體百分比的可能性）。隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高。分配給風(fēng)險(xiǎn)的影響值以參與者的主觀意見(jiàn)為基礎(chǔ)。達(dá)成可靠結(jié)果和一致意見(jiàn)的流程非常耗時(shí)。計(jì)算可能會(huì)非常復(fù)雜且耗時(shí)。結(jié)果只用財(cái)務(wù)術(shù)語(yǔ)來(lái)表達(dá)，對(duì)非技術(shù)性人員而言可能難以解釋。流程要求專業(yè)技術(shù)，因此參與者無(wú)法輕松通過(guò)流程獲得指導(dǎo)。定性分析使可見(jiàn)性和了解風(fēng)險(xiǎn)排列成為可能。更容易達(dá)成一致意見(jiàn)。無(wú)需量化威脅頻率。無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值。更便于不是安全或計(jì)算機(jī)專家的人員參與。在重要的風(fēng)險(xiǎn)之間沒(méi)有足夠的區(qū)別。難以證明投資控制措施實(shí)施是否正確，因?yàn)闆](méi)有為成本效益分析提供基礎(chǔ)。結(jié)果取決于建立的風(fēng)險(xiǎn)管理小組的素質(zhì)。知識(shí)子域：風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)評(píng)估的基本過(guò)程了解風(fēng)險(xiǎn)評(píng)估基本過(guò)程；理解風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作內(nèi)容；掌握風(fēng)險(xiǎn)識(shí)別中資產(chǎn)的賦值方法；理解風(fēng)險(xiǎn)分析的方法；了解風(fēng)險(xiǎn)結(jié)果判定、風(fēng)險(xiǎn)處理計(jì)劃、殘余風(fēng)險(xiǎn)評(píng)估等階段工作內(nèi)容。風(fēng)險(xiǎn)評(píng)估文檔了解風(fēng)險(xiǎn)評(píng)估文檔化工作的重要性及對(duì)文檔的相關(guān)要求；40風(fēng)險(xiǎn)評(píng)估的基本過(guò)程風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的過(guò)程，包括資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定在內(nèi)的一系列活動(dòng)。41風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)確定風(fēng)險(xiǎn)評(píng)估的范圍組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)進(jìn)行系統(tǒng)調(diào)研確定評(píng)估依據(jù)和方法制定風(fēng)險(xiǎn)評(píng)估方案獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持42風(fēng)險(xiǎn)評(píng)估準(zhǔn)備確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識(shí)別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。確定風(fēng)險(xiǎn)評(píng)估的范圍風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。43風(fēng)險(xiǎn)評(píng)估準(zhǔn)備組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風(fēng)險(xiǎn)評(píng)估小組。評(píng)估實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評(píng)估前的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險(xiǎn)評(píng)估技術(shù)培訓(xùn)和保密教育，制定風(fēng)險(xiǎn)評(píng)估過(guò)程管理相關(guān)規(guī)定。進(jìn)行系統(tǒng)調(diào)研；系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：業(yè)務(wù)戰(zhàn)略及管理制度；主要的業(yè)務(wù)功能和要求；網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接；系統(tǒng)邊界；主要的硬件、軟件；數(shù)據(jù)和信息；系統(tǒng)和數(shù)據(jù)的敏感性；支持和使用系統(tǒng)的人員。系統(tǒng)調(diào)研可以采取問(wèn)卷調(diào)查、現(xiàn)場(chǎng)面談相結(jié)合的方式進(jìn)行。44風(fēng)險(xiǎn)評(píng)估準(zhǔn)備確定評(píng)估依據(jù)和方法根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評(píng)估依據(jù)和評(píng)估方法。評(píng)估依據(jù)包括（但不僅限于）：現(xiàn)有國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；系統(tǒng)安全保護(hù)等級(jí)要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實(shí)時(shí)性或性能要求等。據(jù)組織機(jī)構(gòu)自身的業(yè)務(wù)特點(diǎn)、信息系統(tǒng)特點(diǎn)，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法并加以明確，如定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析，或是半定量風(fēng)險(xiǎn)分析。根據(jù)評(píng)估依據(jù)，應(yīng)考慮評(píng)估的目的、范圍、時(shí)間、效果、人員素質(zhì)等因素來(lái)選擇具體的風(fēng)險(xiǎn)計(jì)算方法，并依據(jù)業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求，確定相關(guān)的判斷依據(jù)，使之能夠與組織環(huán)境和安全要求相適應(yīng)。45風(fēng)險(xiǎn)評(píng)估準(zhǔn)備制定風(fēng)險(xiǎn)評(píng)估方案風(fēng)險(xiǎn)評(píng)估方案的目的是為后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃，用于指導(dǎo)實(shí)施方開(kāi)展后續(xù)工作。風(fēng)險(xiǎn)評(píng)估方案的內(nèi)容一般包括（但不僅限于）：團(tuán)隊(duì)組織：包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；工作計(jì)劃：風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，得到組織最高管理者的支持、批準(zhǔn)；對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。46資產(chǎn)識(shí)別資產(chǎn)分類、分級(jí)、形態(tài)及資產(chǎn)價(jià)值評(píng)估資產(chǎn)分類數(shù)據(jù)、軟件、硬件、服務(wù)、人員、其他（（GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》））資產(chǎn)形態(tài)有形資產(chǎn)、無(wú)形資產(chǎn)資產(chǎn)分級(jí)保密性分級(jí)、完整性分級(jí)、可用性分級(jí)資產(chǎn)重要性分級(jí)47資產(chǎn)識(shí)別制定資產(chǎn)重要性分級(jí)準(zhǔn)則依據(jù)資產(chǎn)價(jià)值大小對(duì)資產(chǎn)的重要性劃分不同的等級(jí)。資產(chǎn)價(jià)值依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出。48賦值重要性等級(jí)定義5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性破壞后對(duì)組織造成很小的損失，甚至忽略不計(jì)威脅識(shí)別威脅類型自然因素、人為因素威脅頻率級(jí)別49賦值威脅出現(xiàn)頻率級(jí)別定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見(jiàn)和例外的情況下發(fā)生脆弱性識(shí)別脆弱性識(shí)別與威脅識(shí)別是何關(guān)系？驗(yàn)證：以資產(chǎn)為對(duì)象，對(duì)威脅識(shí)別進(jìn)行驗(yàn)證脆弱性識(shí)別的難點(diǎn)是什么？三性：隱蔽性、欺騙性、復(fù)雜性脆弱性識(shí)別的方法有哪些？技術(shù)脆弱性管理脆弱性50賦值脆弱性嚴(yán)重程度級(jí)別定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略確認(rèn)已有的控制措施依據(jù)三個(gè)報(bào)告《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)息告》和《信系統(tǒng)的安全要求報(bào)告》確認(rèn)已有的安全措施，包括：技術(shù)層面（物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制管理層面（策略、規(guī)章和制度）的安全對(duì)策形成《已有安全措施列表》?？刂拼胧╊愋皖A(yù)防性、檢測(cè)性和糾正性在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止重復(fù)實(shí)施。51風(fēng)險(xiǎn)分析GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》給出信息安全風(fēng)險(xiǎn)分析思路52風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)A表示資產(chǎn)T表示威脅V表示脆弱性Ia表示安全事件所作用的資產(chǎn)價(jià)值Va表示脆弱性嚴(yán)重程度L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性F表示安全事件發(fā)生后造成的損失風(fēng)險(xiǎn)分析計(jì)算安全事件發(fā)生的可能性安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)計(jì)算安全事件發(fā)生后造成的損失安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)＝F(Ia，Va)計(jì)算風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值=R(安全事件的可能性，安全事件造成的損失)＝R(L(T，V)，F(xiàn)(Ia，Va))53風(fēng)險(xiǎn)結(jié)果判定評(píng)估風(fēng)險(xiǎn)的等級(jí)評(píng)估風(fēng)險(xiǎn)的等級(jí)依據(jù)《風(fēng)險(xiǎn)計(jì)算報(bào)告》，根據(jù)已經(jīng)制定的風(fēng)險(xiǎn)分級(jí)準(zhǔn)則，對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，形成《風(fēng)險(xiǎn)程度等級(jí)列表》。綜合評(píng)估風(fēng)險(xiǎn)狀況匯總各項(xiàng)輸出文檔和《風(fēng)險(xiǎn)程度等級(jí)列表》，綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》54等級(jí)取值范圍名稱描述H25,20高風(fēng)險(xiǎn)最高等級(jí)的風(fēng)險(xiǎn)，需要立即采取應(yīng)對(duì)措施。不可接受。S12,15,16嚴(yán)重風(fēng)險(xiǎn)需要高級(jí)管理層注意。不可接受M6,8,9,10中等風(fēng)險(xiǎn)必須規(guī)定管理責(zé)任。通常