信息安全测评复习(word版,不喜勿喷)

1、第二部分信息安全风险评估理论与方法2.1评估策略风险评估依据：（1）政策法规国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）；国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办20065号）。（2）国际标准BS 7799-1信息安全管理实施细则；BS 7799-2信息安全管理体系规范；ISO/IEC TR 13335信息技术安全管理指南；SSE-CMM系统安全工程能力成熟模型。（3）国家标准GB 17589-1999计算机信息系统安全保护等级划分准则；GB/T 18336：1-3：2001信息技术性评估准则；GB/Z信息安全风险评估指南（征求意见稿）；

2、GB/Z信息安全风险管理指南（征求意见稿）。（4）行业通用标准CVE公共漏洞数据库；信息安全应急响应机构公布的漏洞；国家信息安全主管部门公布的漏洞。（5）其他风险评估原则：（1）可控性原则人员可控性所有参与信息安全评估的人员工具可控性所使用的风险评估工具项目过程可控性依据项目管理方法学（2）完整性原则严格按照委托单位评估要求和指定范围进行全面评估服务（3）最小影响原则力求将评估对信息系统正常运行的影响降低到最低限度（4）保密原则与评估对象签署保密协议和非侵害性协议2.2 评估实施流程1、风险评估的准备重要性：风险评估的准备是实施风险评估的前提，其准备过程是组织进行风险评估的基础，是整个风险评估

3、过程有效性的保证。只有有效地进行了信息安全风险评估准备，才能更好地开展信息安全风险评估。准备活动包括： 确定风险评估的目标； 确定风险评估的范围； 组建评估管理团队和评估实施团队； 进行系统调研； 确定评估依据和方法； 获得支持。（1）确定风险评估的目标通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整性等方面的需求，来确定风险评估的目标。（2）确定风险评估的范围风险评估的范围包括组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、所处理的信息等各方面。（3）组建评估管理团队和评估实施团队组建风险评估实施团队具体执行组织的风险评估；除此以外，还需组

4、织管理层、相关业务骨干、信息安全运营管理人员等参与，组建评估管理团队，以利于风险评估的实施。（4）进行系统调研系统调研的目的是为了对此次风险评估的目标、范围做出初步判断，为撰写风险评估计划做必要的准备；并根据系统调研结果决定评估将采取的评估方法等技术手段。可以采取问卷调查、现场访谈等方式进行。（5）确定评估依据和方法分类示例数据保存在信息媒介上的各种数据资源，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：OS、DBMS、软件开发平台等应用软件：办公软件、数据库软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关

5、、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携式计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输介质：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设备等安全设备：防火墙、入侵检测设备、身份鉴别设备等其他：打印机、复印机、扫描仪、传真机等评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据系统调研所获得的用户的各种资料，向用户提交一份信息安风险评估计划，包括目标、范围、依据、技术路线、时间安排、人员安排、保障条件

6、、交付成果等。（6）获得支持形成完整的风险评估实施方案，并报组织最高管理者批准，以获得其对风险评估方案的支持；同时在组织范围就风险评估相关内容对管理者和技术人员进行培训，以明确有关人员在风险评估中的任务。2、资产识别资产识别的过程就是将组织的业务工作逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得能够科学地把握组织的业务安全需求及其变化。资产识别包括资产分类和资产赋值两个环节。（1）资产分类（WHY？）服务信息服务：该系统对外开展的各种服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理

7、等服务人员掌握重要形象和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等风险评估需要对资产的价值进行识别，因为价值不同将导致风险值不同。资产的价值不是指信息系统的经济价值，而是与组织的业务工作密切相关，以资产的机密性、完整性和可用性三个安全属性为基础进行衡量。资产有多种表现形式，同样的两个资产也因属于不同的信息系统而重要性不同。因此，需要将信息系统及相关的资产进行恰当的分类。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。（1）资产分类（HOW？）目前国内外关于资产分类的方法较多，归纳起来有两种，一是“自然形态”，二是“信息形

8、态”。自然形态按照系统组成成分和服务内容信息形态按照信息论、系统论的观点信息形态资产分类示意图注：无论哪种分类方式，都须将组织的资产与组织的“业务战略”映射起来！业务战略：一个组织通过信息技术手段实现的工作任务。包括组织的工作职能、业务范围、发展战略等。对资产进行分类，不是简单的“对帐”，统计有多少网络设备、安全设备、服务器和PC终端等，而是要和组织的业务战略挂钩。将业务战略与资产进行关联是风险评估工作中的重中之重，也是一个难点。如何将业务战略与资产映射起来？建议如下：被评估单位需向评估人员提供信息系统的各类软、硬件资料，网络承建商和软件供应商的相关资料及信息系统有关的各类管理体系文档等；根据

9、实际情况，对被评估单位中心机房等要害部门进行实地调研，考察机房环境、核对网络拓扑、比对核心网络设备、各种服务器及安全设备的型号、版本等信息。“提纲契领”的科学识别方法：始终抓住信息安全的本质属性来进行资产分类，即保密性、完整性和可用性三个信息安全最基本的属性；对资产进行分类时，实际上就是结合组织的业务战略，并根据信息安全三个属性来一一评判每个资产。根据安全属性对信息资产进行分类：资产分类的流程图：（2）资产赋值（WHY？）在资产分类的基础上，进一步对资产进行定性半定量的分析，即进行资产赋值，从而对组织的资产价值有一个科学理性的认识。（2）资产赋值（HOW？）对资产的赋值不仅要考虑产的经济价值，

10、更重要的是要考虑资产的安全状况，即资产的机密性、完整性和可用性，对组织信息安全性的影响程度；资产赋值是对资产安全价值的估价，不是以资产的帐面价格来衡量。资产估价的过程就是对资产机密性、完整性和可用性影响进行分析，并在此基础上得出综合结果的过程；影响是由人为或突发引起的安全事件对资产破坏的后果；后果可能毁灭某些资产，危及信息系统并使其丧失机密性、完整性和可用性，最终还可能导致财政损失、市场份额或公司形象的损失。影响主要从以下几个方面来考虑： 违反有关法律或规章制度； 影响了业务执行； 造成了信誉、声誉损失； 侵犯个人隐私； 造成人身伤害； 侵犯商业机密； 对法律实施造成负面影响； 违反社会公共准

11、则； 造成经济损失； 破坏业务活动； 危害公共安全。资产首先被分解成详细的“机密性赋值”、“完整性赋值”、“可用性赋值”三个安全属性赋值，在些基础上综合分析得出资产重要性等级。为了使得不同安全属性的资产赋值具有归一性，国家标准统一采用“5级分级制”，即“很高”、“高”、“中等”、“低”、“很低”。资产机密性赋值表：注：具体的赋值情况由风险评估人员和被评估单位人员共同确定资产完整性赋值表：注：具体的赋值情况由风险评估人员和被评估单位人员共同确定资产可用性赋值表：注：具体的赋值情况由风险评估人员和被评估单位人员共同确定资产重要性等级：资产识别工作的最后一步是资产重要性等级赋值，即资产价值；资产价值

12、是对资产机密性、完整性和可用性的综合评定。评定方法有两种：根据机密性、完整性和可用性赋值中最高的最值来代表该资产重要性等级；对机密性、完整性和可用性赋值进行加权平均的方式来决定该资产的重要性等级。资产等级表：注：具体的赋值情况由风险评估人员和被评估单位人员共同确定至此，完成了“业务战略è资产识别è资产分类è资产安全性赋值è资产重要性赋值è对组织业务战略相关的安全认识”的螺旋上升的分析历程。换言之，完成了一个从“定性è半定性半定量è定量（如果可能的话）è更准确的定性”这样一个系统的、科学的资产识别过程。3、威胁识别安

13、全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。威胁识别指分析事故潜在起因的过程。威胁识别可以分为重点识别和全面识别。重点识别是按照资产重要性进行排序，从而决定威胁识别的巨细程度和投入多少识别资源；重点识别适用于以下信息系统：网络结构重心突出，层次分明；如一个大型信息系统被分为1、2、3级三个分系统，威胁识别重点放在3级分系统上系统结构具有较大的同质性；如总行、分行、总局、分局等。全面识别是对每一个资产可能面临的所有威胁都要进行详细分析，而不管资产本身重要程度的高低；全面识别适用于以下信息系统：信

14、息系统本身处于变化和调整阶段；如系统进行根本性升级换代时期安全等级较高（4、5级）的核心信息系统；如国家要害部门信息系统。从可操作性的角度讲，重点识别是风险评估工作的主要方法，符合“有所为，有所不为”的系统科学思想；此外，进行了全面识别的系统，如果变化不大，以后进行定期威胁识别时可以进行抽查，从而转化成重点识别；无论重点识别还是全面识别，它们遵循的是相同的识别流程。威胁识别也分为威胁分类和威胁赋值两个环节；威胁识别的方法形象地讲就是“植树、剪枝、统计”；（1）威胁分类植树和剪枝对信息系统所面临的威胁进行合理的分类是准确赋值的前提。产生安全威胁的主要因素可以分为人为因素和环境因素。可以用“威胁树

15、”来逐一细化各种威胁因素。威胁树：（1）威胁分类（HOW？） 在进行威胁分类之前，首先需要弄清楚产生威胁的“土壤”，即威胁来源。 威胁分类根据威胁表现形式以上指导性分类表格，在实际应用中要根据具体情况加以细化；即，种植了威胁树后，下一步工作是对其进行“剪枝”；剪枝有两层含义。剪枝含义：第一层，不是所有威胁均需要加以考虑；例如，一个与Internet隔离的业务内网，无须考虑来自于Internet的DDOS威胁第二层，对于那些有可能存在的威胁，则需要尽量细化。例如，一个对外提供服务的数据中心，需要考虑的威胁既有供电方面的物理环境威胁，又有来自设备故障和人为攻击的威胁等（2）威胁赋值统计威胁赋值的依

16、据是对各种威胁发生的频率进行统计。评估者应根据经验和有关的统计数据来判断威胁发生的频率或者发生的概率。威胁发生的可能性受下列因素影响：资产的吸引力；威胁的技术力量；资产转化成报酬的难易程度；脆弱性被利用的难易程度。实际评估过程中，需要综合考虑三个方面内容来计算对具体组织信息系统所面临的各种威胁的频率。历史记录：以往安全事件报告中出现过的威胁及其频率的统计；例如，重要的数据库系统要重点关注针对数据安全的威胁，有无进行缓冲区溢出的攻击迹象及频率是多少；有无猜测口令的攻击痕迹及频率是多少等。现场取证：实际环境中通过检测工具及各种日志发现的威胁及其频率统计；可以通过检测工具和日志分析工具进行现场取证工

17、作。Sniffer协议分析工具，广泛用于网络流量分析、协议分析和网络监控等领域；逆火IIS日志分析工具，支持自动日志分析，具有计划器，可设置在服务器上自动运行。权威发布：近一两年来国际国内权威组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警报告。例如，美国的CERT/CC、FIRST、SANS、我国的CNCERT等。在进行威胁赋值时，也采用分级的方式。4、脆弱性识别脆弱性是资产本身的固有属性，任何资产都有其脆弱性。威胁总是要利用资产的脆弱性才可能造成危害。寻找、分析和度量脆弱性，是风险评估中最重要，也往往是最困难的环节。实际工作中，往往有一大部分关于脆弱性的内容没有引起人

18、们足够的重视，即“管理脆弱性”。管理脆弱性可以分为两类：一是结构脆弱性，即信息安全管理体系不完备；二是操作脆弱性，各种管理制度虽然完整，但并没有真正得到执行。资产的脆弱性可以分为“显形”和“隐形”两种；前者包括权威机构已经公布的操作系统漏洞，比较容易发现；后者只有在一定条件和环境下才会显现出来，这是脆弱性识别中最为困难的部分。脆弱性识别指分析和度量可能被威胁利用的资产薄弱环节的过程。脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性严重程度进行评估，最终为其赋相对等级值。脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值四个环节。（1）脆弱性发现脆弱

19、性识别第一步是根据每一个具体的资产来寻找其脆弱性。可以利用各种漏洞扫描设备来发现其脆弱性，是发现系统脆弱性最常用的方法之一。根据经验，利用漏洞扫描设备进行脆弱性发现的时候要注意一些问题。建议一：谨慎挑选扫描工具。对初学者而言，Nessus、X-Scan等扫描软件是常用工具之一。Nessus是功能比较齐全而又易于使用的远程扫描软件，主要功能是对指定网络进行安全检查，找出该网络是否存在安全隐患。由于这些软件本身带有诸多攻击性渗透测试包，如果使用不当，在评估一个信息系统安全隐患时，可能带来新风险；一种避免方法是使用前关闭那些带有攻击性、破坏性的测试选项及不明选项；另一种方法是采用那些通过国家权威测评

20、机构检测的专用扫描工具。建议二：多方验证扫描结果。条件允许情况下，建议评估人员对同一对象使用不同的扫描设备，特别是对组织业务战略起到核心作用的信息资产进行扫描并对比结果；不同的扫描工具设计思想有所不同或者在扫描结果输出方面有一些细微的差异，这有助于测评人员从不同角度来发现系统存在的安全隐患。建议三：不要盲从扫描结论。在许多情况下，扫描工具会出具“海量”的扫描结果，特别是使用者启用了所有扫描选项时；面对这些扫描结果，测评人员应当用“怀疑”的态度去科学地对待；扫描输出结果是否真正代表被检测系统存在令人眼花缭乱的脆弱性，需要进行实际验证。建议四：既要树木也要森林。测评人员往往“满足”于发现各种操作系

21、统的CVE，但是要注意一个信息系统还包括由多家厂商提供的各种设备；在许多国际权威组织发布的CVE信息中，也包括了大量网络设备所存在的脆弱性信息；建议评估人员根据资产的实际情况（设备型号、软件版本等）来核查该资产是否存在相应的脆弱性。（2）脆弱性分类在今天的信息系统，是一个“人-机合一”的复杂系统，在信息环境资产、公用信息载体资产和专用信息及信息载体资产中，实际上可以分为技术资产和管理资产。根植于资产之上的脆弱性也分为“技术脆弱性”和“管理脆弱性”。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面；前者与具体技术活动相关，后

22、者与管理环境相关。脆弱性分类注意：对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施；分类表仅是在进行资产脆弱性识别时的指导性分类表，评估人员应当结合组织的实际情况进行脆弱性识别。（3）脆弱性验证对于一个高质量的风险评估工作而言，在进行脆弱性发现的同时，实际上也需要对所采集的脆弱性进行验证；脆弱性验证牵涉的问题不仅是脆弱性的核查和落实，还包括更深层面的含义。建议一：脆弱性的在线验证。评估时，被评估对象往往是在线运行的关键系统，所以对脆弱性验证工作要考虑到尽量不影响被评估单位信息系统的正常运行；因此，评估人员可以选择被测系统不太繁忙的时候进行脆弱性验证；同时要注意验验之前做好

23、各种应急预案，特别是牵涉到核心业务数据时，要有备份恢复方案。建议二：脆弱性的仿真验证。对于业务连续性很强的组织（如金融电力等），建议评估人员选择仿真验证方式；仿真验证一个好处就是可以“放开手脚”地进行各种破坏性、渗透性测试，从而尽量发现CVE对被测评单位业务的影响；仿真可以选择对组织业务既关键、又容易实现的仿真方案，如OS、DBMS的CVE仿真验证。建议三：对待脆弱性的客观态度。并不是所有脆弱性都需要加以关注，并不是所有漏洞都需要打上补丁，这是在风险评估完成之后提出安全解决方案时往往会出现的情况；原因：安装补丁尽管封堵了某个设备或软件的漏，但使得整个系统运行效率急剧下降；有不少脆弱性可以通过系

24、统整体的防御能力来予以化解。（4）脆弱性赋值赋值时应该从以下角度进行综合考虑： 脆弱性对资产的暴露程度；若某服务器存在弱口令漏洞，一旦被破译就能轻松控制这台设备，暴露程度就很高 脆弱性利用的难易程度；要成功利用某脆弱性，攻击者需要的技术实力有多高？需调动的其他资源有多大？ 脆弱性的流行程度。有些脆弱性是目前公认的“高危漏洞”，如核心服务器操作系统存在的缓冲区溢出漏洞。脆弱性严重程度也可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。5、已有安全措施的确认安全性措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如IDS。保

25、护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行检查；检查安全措施是否有效发挥了作用，即是否真正降低了系统的脆弱性，抵御了威胁；对于已经有效发挥了其作用的安全措施应继续保持，而不用重复建设；对于不适当的安全措施，应对其进行改进，或采用理合适的安全措施替代。6、风险分析相关概念： 风险分析依据国家有关标准对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

26、 风险管理确定、控制、消除可缩减影响系统资源的不定事件的总过程，它包括风险分析、费效分析、选择、实现与测试、安全防护评估及所有的安全检查等。 残余风险采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。 风险分析与风险评估在信息安全领域，风险分析与风险评估是两个等同的概念，经常可以互换使用。前者更学术化一些，后者更工程化一些。风险分析与前四步各种识别的关系：风险分析将在前面的识别工作基础上进行风险计算，对风险进行定级，提出相应的风险控制措施（即安全解决方案），最后再次评估残余风险，从而使得人们对信息系统所面临的风险从模糊的感觉上升到更为科学、理性的认识。风险分析包括内容： 风险计算； 风

27、险定级； 风险控制； 残余风险。（1）风险计算在完成资产识别、威胁识别和脆弱性识别之后，将采用适当的计算方法来确定威胁利用脆弱性导致安全事件发生的可能性，并且根据资产价值及脆弱性的严重程度，最终判断安全事件一旦发生之后对组织造成的影响。这个影响值称为“风险值”。风险值计算关系图：风险值计算的形式化表示方法：风险值= R(A,T,V)= R(L(T,V),F(Ia,Va)R风险计算函数，A(Asset)资产；T（Threat）威胁出现频率；V(Vulnerability)脆弱性；L威胁利用资产的脆弱性导致安全事件发生的可能性；F安全事件发生后产生的损失；Ia安全事件所施加的资产的价值；Va这个资

28、产的脆弱性严重程度。风险值= R(A,T,V)= R(L(T,V),F(Ia,Va) 这个等式表明风险值是由资产值、威胁值和脆弱性值这3个基本值综合确定。 为了计算R，在实际工作中采用的是风险值的第二个计算公式。 风险值的计算需要经过三步。第一步：计算安全事件发生的可能性 L(T,V)=L(威胁出现频率，脆弱性) 从理论上来中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。第二步：计算安全事件发生后的损失 F(Ia,Va)=F(资产价值，脆弱性严重程度) 部分安全事件的发生造成的损失

29、不仅是针对资产本身，还可能影响业务的连续性；不同安全事件对组织造成的影响也是不一样的；在计算某个安全事件的损失时，应将对组织的影响也考虑在内。第三步：计算风险值R R = R(L(T,V),F(Ia,Va) 指出两点：计算结果的相对性，即计算出来的风险值R是一个相对的概念；计算方法的相对性，即不同的计算方法对同一对象风险值的计算应该是相对一致的。 评估者可根据自身情况选择择相应的风险计算方法计算风险值，如矩阵法或相乘法； 矩阵法通过构造一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系； 相乘法通过构造经验函数，将安全事件发生的可能性与安全事件的损失进行运算得到风险值。相乘法

30、常用的风险值算法使用相乘法来分别计算安全事件发生的可能性L(T,V)、安全事件造成的损失F(Ia,Va)和综合两者之后的风险值R；相乘法适用于由两个或两个以上要素值确定一个要素值的情形；采用一种定量的计算方法，直接利用两个（或两个以上）要素值进行相乘得到另一个要素值。相乘法原理： 设二元函数式中，算子（即运算方式）可以事先加以定义；如对安全事件发生可能性最自然的理解为：安全事件可能性=威胁发生频率×脆弱性严重程度所以直接定义为：但在实际工作中，如果上述直接相乘的值“跳跃性”较大，所有安全事件可能性值计算完之后，其值域从1-10000；所以，常常对这些值进行“柔化”处理，使其符合我们的

31、常识，也有利于最后进行风险等级的划分。常见的柔化处理方式包括：式中，和分别表示取整下界和上界。风险值计算示例：设某资产的重要性赋值是A1=5，它面临两个威胁，其威胁发生频率值分别为T1=25和T2=17；T1可以利用A1存在的两个脆弱性，其赋值分别是V1=2和V2=3；T2可以利用A1存在的另外三个脆弱性，其赋值分别为V3=1、V4=4和V5=2；下面以A1面临的威胁发生频率值T1及T1可以利用的脆弱性赋值V1为例，来计算A1面临的风险值。 这里采用公式：计算安全事件发生的可能性L(T,V)：计算安全事件造成的损失F(Ia,Va)：计算风险值R：（2）风险定级为实现对风险的有效控制，可以像前面

32、对资产、威胁和脆弱性那样，对风险评估的结果进行等级化处理。评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据自身工程经验、被评估单位的实际情况和风险值的分布状况，为每个风险等级设定风险值范围，并对所有风险结果进行等级化处理。风险可划分为5个等级，每个等级代表了风险的严重程度；等级越高，风险越高。前面风险值示例中，已经得到了A1的一个风险值，设现在需要确定威胁发生频率值T1及T1可以利用的脆弱性赋值V1给A1带来的风险等级。需要根据自身的工程经验和被评估单位的实际情况先制定一个风险值与风险等级的对照表：风险等级划分是为了在风险管理过程中对不同风险进行直观的比较，以确定组织安全策略；

33、对某些资产的风险，如果风险计算值在可接受范围内，则该风险是可接受的，应保持已有安全措施；对某些资产的风险，如果风险计算值在可接受范围外，是不可接受的风险，需要采取安全措施以降低、控制风险。（3）风险控制风险控制是为完成风险状况评估之后，如何转嫁、减缓直至承担风险的过程。风险控制本质上就是在获得了信息系统所面临的风险分布情况之后，应该提出相应的解决办法，即安全解决方案，以规避、降低、转嫁直至承担相应的风险。风险控制（安全解决方案）四原则： 论证充分要避免“围绕产品说方案”的落后思维方式；安全解决方案不是安全产品推销方案；应严格遵循国家标准，获得基础数据。 循序渐进在充分论证的基础上坚持“有所为，

34、有所不为”的指导思想，循序渐进地控制风险；要让用户明确“没有绝对的安全和零风险”。 结合国情评估人员应当将“风险评估”与“等级保护”结合起来；要围绕提高信息系统安全等级保护水平来思考风险控制方案。 应急联动风险控制的制定要与组织的信息安全应急响应方案结合起来，不要出现风险控制方案与应急响应方案“两张皮”的现象。（4）残余风险对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，即确认残余的风险状况。残余风险的评估可以依据国家标准提出的风险评估流程实施，也可以做适当裁剪，即直接利用前面资产识别和威胁识别的结论，从脆弱性评估这个环节开始分析残

35、余风险。7、风险评估文件记录根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。评估报告是风险评估结果的记录文件，是机构实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料。报告内容一般包括风险评估范围、风险计算方法、安全问题归纳及描述、风险级数、安全建议等。（1）文件类型风险评估文件是指在整个风险评估过程中产生的评估过程文档和评估结果文档；风险评估过程应形成的文件有：风险评估方案：阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进程等；风险评估程序：明确评估的目的、职责、过程、相关的文件要求，以及实施本次评估所需要的各

36、种资产、威胁、脆弱性识别和判断依据；资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，明确资产的责任人/部门；重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机出现的频率等；脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、类型及严重程度等；已有安全措施确认表：根据对已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；风险评估报

37、告：对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容；风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性；风险评估记录：根据风险评估程度，要求风险评估过程中的各种现场记录可复现评估过程，并作为产生歧义后解决问题的依据。（2）文件要求评估文件一致性要求：评估项目执行过程中，项目组应设置项目文档输出的基准线；评估文件保管要求：评估工作过程中，评估工作组形成的书面文字材料和数据应安全妥善存放，其安全要求应符合机密

38、协议规定；评估文件使用要求：评估所形成的文档和数据是风险管理的依据，属于最高安全等级的信息资产，使用人员经过主管人员授权许可。（3）文件控制文件发布前得到批准，以确保文件充分；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用时，可获得有关版本适用文件；确保文件保持清晰、易于识别；确保外来文件得到识别；确保文件的分发得到适当的控制；防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文进行适当标识。本节小结2.2 评估实施流程（实例分析一）某OA系统信息安全风险评估方案目标：某OA系统风险评估的目的是评估办公自动化系统的风险状况，提出风险控制建议

39、，同时为下一步要制定的OA系统安全管理规范以及今后OA系统的安全建设和风险管理提供依据和建议。范围：包括OA网络、管理制度、使用或管理OA系统的相关人员以及由其办公所产生的文档、数据。评估方式：评估依据国际标准、国家标准和地方标准，从识别信息系统的资产入手，着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。资产识别依据资产机密性、完整性和可用性三个安全属性，综合判定资产重要性程度并将其划分为核心、关键、中等、普通和次要5个等级；其中核心、关键和中等等级的资产都被列为重要资产，并分析其面临的安全威胁。脆弱性识别从技术和管理两个层面，采取人工访谈、现场核查、扫描

40、检测、渗透性测试等方法。对重要资产已识别的威胁、脆弱性，判断威胁发生的可能性和严重性，综合评估重要信息资产的安全风险。OA系统概况调研：OA系统背景办公自动化正在成为信息化建设的一个重要组成组分，通过建设规范化和程序化来改变传统的工作模式，建立一种以高效为特征的新型业务模式。在此背景下决定建设该OA系统，建立规范化、程序化工作模式，最终提高工作效率。应用系统和业务流程分析该OA系统使用电子邮件系统作为信息传递与共享的工具和手段，以电子邮件信箱作为统一入口的设计思想。电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。每一个工作人员通过关注自己的电子邮件信箱了解需要处理

41、的工作；各个业务系统通过电子邮件信箱来实现信息的交互和流转。网络结构图与拓扑图该OA系统网络是一个专用网络，与Internet隔离。该网络包含OA服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。该OA系统网络通过一台高性能路由器连接上级部门网络，通过一台千兆以太网交换机连接到下级部门网络。其中内部骨干网络采用千兆位以太网，两台千兆以太网交换机为骨干交换机，网络配备百兆桌面交换机用来连接用户终端。OA系统网络拓扑结构示意图：OA系统边界示意图：OA系统边界表：1、资产识别 资产清单该OA系统的中资产主要分为硬件资产、文档和数据、人员、管理制度等；其中，着重针对硬件资产进行

42、风险评估，人员主要分析其安全职责，IT网络服务和软件结合其涉及的硬件资产进行综合评估。具体资产清单见后。文档和数据资产清单：制度资产清单：人员资产清单： 资产赋值根据资产的不同安全属性，即机密性、完整性和可用性的等级划分原则，采用专家指定的方法对所有的资产三个安全属性予以赋值；赋值后的资产清单见后表。资产安全性属性等级表 资产分级资产价值应依据资产机密性、完整性和可用性上的赋值等级，经过综合评定得。根据本系统的业务特点，采取相乘法决定资产的价值。计算公式如下：其中，v表示资产价值，x表示机密性，y表示完整性，z表示可用性。资产价值表资产重要性程度判断准则：资产价值等级表2、威胁识别 OA系统威

43、胁识别对OA系统的安全威胁分析着重对于重要威胁识别，分析其威胁来源和种类；本次评估中主要采用了问卷法和技术检测来获得威胁的信息。问卷法主要收集一些管理相关方面的威胁；技术检测主要通过分析IDS的日志信息来获取系统面临的威胁。OA系统潜在的安全威胁来源列表：OA系统面临的安全威胁种类：3、脆弱性识别该OA系统的脆弱性评估采用工具扫描、配置核查、策略文档分析、安全审计、网络架构分析、业务流程分析、应用软件分析等方法；脆弱性识别主要从技术和管理两个方面进行评估。技术脆弱性识别主要从现有安全技术措施的合理性和有效性来分析。技术脆弱性识别结果：4、风险分析 风险计算方法第一步：计算安全事件发生的可能性；

44、L（T，V）=L（威胁出现频率，脆弱性）第二步：计算安全事件发生后的损失；F（Ia,Va）=F（资产价值，脆弱性严重程度）第三步：计算风险值。R = R（L，V）这里采用矩阵法进行风险值计算。安全事件可能性计算二维矩阵表：根据计算得到安全事件发生可能性值的不同，将它分为5个不同等级，分别对应安全事件发生可能性的程度。安全事件损失计算二维矩阵表：根据计算得到安全事件损失的不同，将它分为5个不同等级，分别对应安全事件的损失程度。风险值计算二维矩阵表：根据计算得到风险值的不同，将它分为5个不同等级。 硬件资产风险分析利用得到的资产识别、威胁识别和脆弱性识别结果，根据风险分析原理，评估得到本系统的硬件

45、资产风险。硬件资产风险分析表：硬件资产风险分析结果表： 其他资产风险分析利用得到的资产识别、威胁识别和脆弱性识别结果，根据风险分析原理，评估得到本系统的其他资产风险。其他资产风险分析表： 风险统计综合风险分析的结果，得到本系统风险的统计表。2.2 评估实施流程（实例分析二）被评估组织：兰曦电子科技（集团）有限公司，隶属中国电子工业集团。专业测评机构：“深海”信息安全测评中心。见教课书P228-P327 即第7、8、9、10章。2.3 评估基本方法1、手动评估和工具辅助评估在各种信息安全风险评估工具出现以前，对信息系统进行安全管理，一切工作只能手工进行。对于安全风险分析人员而言，工作包括识别重要

46、资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言，工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。对于系统管理员而言，工作包括基于风险评估的风险管理等。风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具，包括全面的风险评估工具，并且完全遵循BS 7799规范。1991年，C&A System Security 公司推出了COBRA工具，用来进行信息安全风险评估。它提供了一个完整的风险分析服务，并且兼容许多风险评估方法学。2、技术评估和整体评估技术评估是指对机构的技术基

47、础结构和程序进行系统的、及时的检查，包括对机构内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。技术驱动的评估通常包括：评估整个计算基础结构；使用软件工具分析基础结构及其全部组件；提供详细的分析报告，说明检测到的技术弱点，并且可能为解决这些弱点建议具体的措施。整体评估扩展了上述技术评估的范围，着眼于分析机构内部与安全相关的风险，包括内部和外部的风险源、技术基础和机构结构以及基于电子的和基于人的风险。关注的焦点主要集中在安全的以下4个方面：检查与安全相关的机构实践，标识当前安全实践的优点和弱点；对系统进行技术分析，对政策进行评审，以及对物理安全进行审查；检查IT的基础结构，以确定技术上的弱点

48、；帮助决策制订者综合平衡风险以选择成本效益对策。1999年，卡内基梅隆大学的SEI发布了OCTAVE框架，是一种自主型信息安全风险评估方法。它是一种从系统的、机构的角度开发的新型信息安全保护方法，主要针对大型机构，中小型机构也可以对其适当裁剪，以满足自身需要。其实施分为三个阶段：建立基于资产的威胁配置文件（Threat Profile）；标识基础结构的弱点；开发安全策略和计划。3、定性评估和定量评估定性分析方法是最广泛使用的风险分析方法，它通常只关注威胁事件所带来的损失，而忽略事件发生的概率；该方法带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或

49、高低程度定性分级；在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”；有时单纯使用期望值并不能明显区别风险值之间的差别，所以考虑为定性数据指定数值，如高的值设为“3”、中的值设为“2”，低的值设为“1”；定性分析的操作方法可以多种多样，包括小组讨论、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。定量分析方法就是对风险的程度用直观的数据表示出来；定量分析方法的思路：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、脆弱性严重程度、安

50、全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化。定量分析方法利用两个基本元素：威胁事件发生的概率和可能造成的损失；把这两个元素简单相乘的结果称为ALE或EAC；定量分析试图从数字上对安全风险进行分析评估，对安全风险进行准确的分级，其前提条件是可供参考的数据指标必须是准确的。事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难。两种方法比较：与定量分析相比较，定性分析的准确性稍好但精确度不细；定性分析消除了繁烦的容易引起争议的赋值，实施流程和工期大为降低，只是对相关咨询

51、人员的经验和能力提出了更高的要求；定性分析过程相对较主观，定量分析基于客观；而且定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。当前最常用的分析方法一般都是定量和定性的混合方法；具体方法：对一些可以明确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法；好处：这样不仅更清晰的分析了单位资产的风险情况，也极大简化了分析的过程，加快了分析进度。4、基于知识和基于模型的评估基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题，因此也称作经验方法；为了能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库，存储了30

52、年来的上千个事例；同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的机构安全策略。基于知识的分析方法，最重要的还在于完整详细的收集和评估信息；收集方法包括：（1）会议讨论；（2）对当前的信息安全策略和相关文档进行复查；（3）制作问卷，进行调查；（4）对相关人员进行访谈；（5）进行实地考察。采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。为了简化评估工作，组织可以采用一些辅助性的自动

53、化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目，即Platform for Risk Analysis of Security Critical Systems，安全危急系统的风险分析平台。目的：开发一个基于面向对象建模特别是UML技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS 风险评估，组织可以定义

54、、获取并维护IT系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性；基于模型的评估方法可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常和有害的行为，从而完成系统脆弱点和安全威胁的定性分析。但是由于目前没有非常完善的模型，因此这种方法较少使用。5、典型的风险评估方法（1）FTA故障树法故障树分析（Fault Tree Analysis,FTA）于1961年提出，由美国贝尔实验室首先用于分析“民兵”导弹发射控制系统，后来推广应用至各类武器装备及核能、化工等许多领域，成为复杂系统可靠性和安全性分析的一种有力工具，也是事故分析的一个重要手段。197

55、4年美国原子能委员会发表WASH-1400关于压水反应堆事故风险评价报告，其核心方法就是故障树分析和事件树分析，引起了世界重视；1975年美国可靠性学术会议把FTA技术和可靠性理论并列为两大进展；我国从20世纪80年代初引入FTA方法，国家标准和国家军用标新准都已颁行，包括GB7829-87故障树分析程序，GJB768.1-89建造故障树的基本规则和方法，GJB768.2-89故障树表述，GJB768.3-89正规故障树定性分析。FTA故障树法原理故障树分析是一种自上而下（top-down）的方法，通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析，画出故障原因的各种可能组合方法或其发生概率，由总体至部分，按树状结构，逐层细化；故障树分析首先以系统不希望发生的事件作为目标（称为顶事件）；然后按照演绎分析的原则，从顶事件逐级向下分析各自的直接原因事件（称为基本事件），根据彼此间的逻辑关系，用逻辑门符号连接上下事件，直至所要