XXXXCIS信息安全风险管理-v

信息安全风险管理培训机构名称讲师姓名版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容2知识体知识域知识子域信息安全风险管理信息安全风险管理主要内容信息安全风险管理的基本内容和过程信息安全风险管理概述风险相关基本概念信息系统生命周期与信息安全风险管理信息安全风险管理基础信息安全风险相关政策与标准信息安全风险评估风险评估工作形式风险评估方法风险评估的实施流程风险评估工具知识域：信息安全风险管理基础知识子域：风险相关基础概念理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风险评估的概念理解风险相关要素之间的关系3风险，指事态的概率及其结果的组合

（——GB/Z24364-2009《信息安全风险管理指南》）信息安全风险，指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响（——GB/T20984-2007《信息安全风险评估规范》）信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性风险、信息安全风险的概念4风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）和后果（影响）风险的构成5风险相关术语资产（Asset）威胁（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,control）6业务战略安全事件安全需求风险准则风险评估风险处理风险管理残余风险（ResidentalRisk）信息安全风险评估资产资产是任何对组织有价值的东西，是要保护的对象资产以多种形式存在（多种分类方法）物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文件等）硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、工具软件和应用软件等）有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）静态的（如设施和规程等）和动态的（如人员和过程等）技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员等）等7威胁可能导致对系统或组织危害的不希望事故潜在起因引起风险的外因威胁源采取恰当的威胁方式才可能引发风险威胁举例操作失误滥用授权行为抵赖身份假冒口令攻击密钥分析8漏洞利用拒绝服务窃取数据物理破坏社会工程脆弱性可能被威胁所利用的资产或若干资产的薄弱环节造成风险的内因脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害脆弱性举例系统程序代码缺陷系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足9可能性某件事发生的机会威胁源利用脆弱性造成不良后果的机会举例脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会很小系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的机会较小互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大10对风险险概念念的理理解威胁源源采用用某种种威胁胁方式式利用用脆弱弱性造造成不不良后后果的的可能能性网站存存在SQL注入漏漏洞，普通攻攻击者者利用自自动化化攻击击工具具很容容易控制网网站，，修改改网站站内容容，从从而损损害国国家政政府部部门声声誉11威胁源源威胁方方式脆弱性性风险采取利用造成对信息息安全全风险险的理理解信息安安全风风险是是指一一种特特定的的威胁胁利用用一种种或一一组脆脆弱性性造成成组织织的信信息相相关资资产损损失或或损害害的可可能性性信息安安全风风险是是指信信息资资产的的保密密性、、完整整性和和可用用性遭遭到破破坏的的可能能性信息安安全风风险只只考虑虑那些些对组组织有有负面面影响响的事事件12信息安安全风风险评评估13是依据据有关关信息息安全全技术术与管管理标标准，，对信信息系系统及及由其其处理理、传传输和和存储储的信信息的的保密密性、、完整整性和和可用用性等等安全全属性性进行行评价价的过过程它要评评估资资产面面临的的威胁胁以及及威胁胁利用用脆弱弱性导导致安安全事事件的的可能能性，，并结结合安安全事事件所所涉及及的资资产价价值来来判断断安全全事件件一旦旦发生生对组组织造造成的的影响响风险处处理、、风险险管理理14风险处处理是是选择择并且且执行行措施施来更更改风风险的的过程程风险管管理是是识别别、控控制、、消除除或最最小化化可能能影响响系统统资源源不确确定因因素的的过程程安全措措施/控制制措施施保护资资产，，抵御御威胁胁，减减少脆脆弱性性，降降低安安全事事件的的影响响，以以及打打击信信息犯犯罪而而实施施的各各种实实践、、规程程和机机制，，它是是管理理风险险的具具体手手段和和方法法根据安安全需需求部部署，，用来来防范范威胁胁，降降低风风险的的措施施举例部署防防火墙墙、入入侵检检测、、审计计系统统测试环环节操作审审批环环节应急体体系终端U盘管理理制度度15残余风风险采取了了安全全措施施后，，信息息系统统仍然然可能能存在在的风风险有些残残余风风险是是在综综合考考虑了了安全全成本本与效效益后后不去去控制制的风风险残余风风险应应受到到密切切监视视，它它可能能会在在将来来诱发发新的的安全全事件件举例风险列列表中中有10项风险险，根根据风风险成成本效效益分分析，，只有有前8项需要要控制制，则则前8项处理理后剩剩余的的风险险加上上另2项风险险为残残余风风险，，一段段时间间内系系统处处于风风险可可接受受水平平16风险相相关要要素之之间的的关系系17知识域域：信信息安安全风风险管管理基基础知识子子域：：信息安安全风风险管管理概概述理解实实施风风险管管理的的主要要原则则理解风风险管管理的的范围围和对对象18实施风风险管管理的的主要要原则则风险管管理创创造和和保护护价值值风险管管理是是所有有组织织过程程不可可分割割的一一个部部分，，促进进组织织的持持续改改进风险管管理是是透明明的，，参与与人员员应包包含广广泛，，同时时考虑虑人员员和文文化因因素风险管管理是是定制制的，，并具具有体体系化化、结结构化化的特特点风险管管理是是动态态的、、反复复的和和响应应变化化的19风险管管理的的范围围和对对象信息安安全的的概念念涵盖盖了信信息、、信息息载体体和信信息环环境三三个方方面的的安全全信息载载体指指承载载信息息的媒媒介，，即用用于记记录、、传输输、积积累和和保存存信息息的实实体，，如纸纸张、、硬盘盘、网网线等等信息环环境指指信息息及信信息载载体所所处的的环境境，包包括物物理平平台、、系统统平台台、网网络平平台和和应用用平台台等硬硬环境境和软软环境境信息安安全风风险管管理涉涉及信信息安安全上上述三三个方方面包包含的的所有有相关关对象象对于一一个具具体的的信息息系统统，风风险管管理选选择的的范围围和对对象重重点应应有所所不同同20知识域域：信信息安安全风风险管管理基基础知识子子域：：信息安安全风风险相相关政政策与与标准准了解我我国有有关信信息安安全风风险管管理的的政策策要求求了解信信息安安全风风险管管理相相关的的国内内外标标准21我国有有关信信息安安全风风险管管理的的政策策要求求《国家家信息息化领领导小小组关关于加加强信信息安安全保保障工工作的的意见见》（（中办办发［［2003］27号）明明确提提出要要重视视信息息安全全风险险评估估工作作，将将风险险评估估作为为提高高我国国信息息安全全保障障水平平的一一项重重要举举措《关于于开展展信息息安全全风险险评估估工作作的意意见》》（国国信办办[2006]5号），，就信信息安安全风风险评评估工工作的的基本本内容容和原原则，，以及及开展展信息息安全全风险险评估估工作作的有有关安安排等等做出出规定定和部部署《关于于加强强国家家电子子政务务工程程建设设项目目信息息安全全风险险评估估工作作的通通知》》（发发改高高技[2008]2071号），，规范范了国家电电子政政务工工程建建设项项目信信息安安全风风险评评估工工作22《关于开开展信信息安安全风风险评评估工工作的的意见见》（国信信办[2006]5号）的实施施要求求信息安安全风风险评评估工工作应应当贯贯穿信信息系系统全全生命命周期期。规规划设设计阶阶段、、验收收时均均应实实施风风险评评估；；运行行后应应定期期实施施应通过过信息息安全全风险险评估估为信信息系系统确确定安安全等等级提提供依依据，，根据据风险险评估估的结结果检检验网网络与与信息息系统统的防防护水水平是是否符符合等等级保保护的的要求求23《关于开开展信信息安安全风风险评评估工工作的的意见见》（国信信办[2006]5号）的管理理要求求为规避避由于于风险险评估估工作作而引引入新新的安安全风风险，，必须须高度度重视视信息息安全全风险险评估估的组组织管管理工工作。。要求求：参与信信息安安全风风险评评估工工作的的单位位及其其有关关人员员必须须遵守守国家家有关关信息息安全全的法法律法法规，，并承承担相相应的的责任任和义义务风险评评估工工作的的发起起方必必须采采取相相应保保密措措施，，并与与参与与评估估的有有关单单位或或人员员签订订具有有法律律约束束力的的保密密协议议对关系系国计计民生生和社社会稳稳定的的基础础信息息网络络和重重要信信息系系统的的信息息安全全风险险评估估工作作必须须遵循循国家家的有有关规规定进进行24《关于加加强国国家电电子政政务工工程建建设项项目信信息安安全风风险评评估工工作的的通知知》（发改高高技【【2008】2071号）电子政政务工工程建建设项项目应应开展展信息息安全全风险险评估估工作作项目建建设单单位应应在试试运行行期间间开展展风险险评估估工作作，作作为项项目验验收的的重要要依据据项目验验收申申请时时，应应提交交信息息安全全风险险评估估报告告系统投投入运运行后后，应应定期期开展展信息息安全全风险险评估估25信息安安全风风险管管理相相关的的国内内外标标准GB/T20984-2007《信息息安全全风险险评估估规范范》GB/Z24364-2009《信息息安全全风险险管理理指南南》ISO/IEC27005:2011《信息息安全全风险险管理理》ISOGUIDE73:2009《风险险管理理－术术语》》ISO31000:2009《风险险管理理－主主要原原则和和指南南》IEC/ISO31010:2009《风险险管理理－风风险评评估技技术》》NISTSP800-30(2012)《实施施风险险评估估指南南》NISTSP800-39(2011)《管理理信息息安全全风险险：组组织、、使命命和信信息系系统梗梗概》》NISTSP800-37(2010)《联邦邦信息息系统统应用用风险险管理理框架架指南南：安安全生生命周周期方方法》》NISTSP800-53(2010)《为联联邦信信息系系统和和组织织推荐荐的安安全控控制措措施》》NISTSP800-53A(2010)《联邦信信息系统统和组织织安全控控制措施施评估指指南：建建立有效效的安全全评估计计划》26知识域：：信息安安全风险险管理主主要内容容知识子域域：信息安全全风险管管理的基基本内容容和过程程理解背景景建立的的主要工工作内容容理解风险险评估的的主要工工作内容容理解风险险处理的的主要工工作内容容理解批准准监督的的主要工工作内容容理解监控控审查的的主要工工作内容容理解沟通通咨询的的主要工工作内容容27信息安全全风险管管理工作作内容背景建立立风险评估估风险处理理批准监督督监控审查沟通咨询GB/Z24364《信息安全全风险管管理指南南》：四个阶阶段，两两个贯穿穿28背景建立立背景建立立是信息息安全风风险管理理的第一一步骤，，确定风风险管理理的对象象和范围围，确立立实施风风险管理理的准备备，进行行相关信信息的调调查和分分析风险管理理准备：：确定对对象、组组建团队队、制定定计划、、获得支支持信息系统统调查：：信息系系统的业业务目标标、技术术和管理理上的特特点信息系统统分析：：信息系系统的体体系结构构、关键键要素信息安全全分析：：分析安安全要求求、分析析安全环环境29背景建立立过程30风险评估估信息安全全风险管管理要依依靠风险险评估的的结果来来确定随随后的风风险处理理和批准准监督活活动风险评估估准备：：制定风风险评估估方案、、选择评评估方法法风险要素素识别：：发现系系统存在在的威胁胁、脆弱弱性和控控制措施施风险分析析：判断断风险发发生的可可能性和和影响的的程度风险结果果判定：：综合分分析结果果判定风风险等级级31风险评估估过程32风险处理理风险处理理是为了了将风险险始终控控制在可可接受的的范围内内。现存风险险判断：：判断信信息系统统中哪些些风险可可以接受受，哪些些不可以以处理目标标确认：：不可接接受的风风险需要要控制到到怎样的的程度处理措施施选择：：选择风风险处理理方式，，确定风风险控制制措施处理措施施实施：：制定具具体安全全方案，，部署控控制措施施33风险处理理过程34减低风险险转移风险险规避风险险接受风险险常用的四四类风险险处置方方法35减低风险险通过对面面临风险险的资产产采取保保护措施施来降低低风险首先应当当考虑的的风险处处置措施施，通常常在安全全投入小小于负面面影响价价值的情情况下采采用保护措施施可以从从构成风风险的五五个方面面（即威威胁源、、威胁行行为、脆脆弱性、、资产和和影响））来降低低风险36减低风险险的具体体办法减少威胁胁源采用法律律的手段段制裁计计算机犯犯罪，发发挥法律律的威慑慑作用，，从而有有效遏制制威胁源源的动机机减低威胁胁能力采取身份份认证措措施，从从而抵制制身份假假冒这种种威胁行行为的能能力减少脆弱弱性及时给系系统打补补丁，关关闭无用用的网络络服务端端口，从从而减少少系统的的脆弱性性，降低低被利用用的可能能性防护资产产采用各种种防护措措施，建建立资产产的安全全域，从从而保证证资产不不受侵犯犯，其价价值得到到保持降低负面面影响采取容灾灾备份、、应急响响应和业业务连续续计划等等措施，，从而减减少安全全事件造造成的影影响程度度37转移风险险通过将面面临风险险的资产产或其价价值转移移到更安安全的地地方来避避免或降降低风险险通常只有有当风险险不能被被降低或或避免、、且被第第三方（（被转嫁嫁方）接接受时才才被采用用。一般般用于那那些低概概率、但但一旦风风险发生生时会对对组织产产生重大大影响的的风险38购买保险险服务外包包规避风险险通过不使使用面临临风险的的资产来来避免风风险。比比如：在没有足足够安全全保障的的信息系系统中，，不处理理特别敏敏感的信信息，从从而防止止敏感信信息的泄泄漏对于只处处理内部部业务的的信息系系统，不不使用互互联网，，从而避避免外部部的有害害入侵和和不良攻攻击通常在风风险的损损失无法法接受，，又难以以通过控控制措施施减低风风险的情情况下39接受风险险接受风险险是选择择对风险险不采取取进一步步的处理理措施，，接受风风险可能能带来的的结果用于那些些在采取取了降低低风险和和避免风风险措施施后，出出于实际际和经济济方面的的原因，，只要组组织进行行运营，，就必然然存在并并必须接接受的风风险接受风险险不意味味着不闻闻不问，，需要对对风险态态势变化化进行持持续的监监控，一一旦发展展为无法法接受的的风险就就要进一一步采取取措施40批准监督督批准：是是指机构构的决策策层依据据风险评评估和风风险处理理的结果果是否满满足信息息系统的的安全要要求，做做出是否否认可风风险管理理活动的的决定监督：是是指检查查机构及及其信息息系统以以及信息息安全相相关的环环境有无无变化，，监督变变化因素素是否有有可能引引入新风风险41批准监督督过程42监控审查查的意义义监控与审审查可以以及时发发现已经经出现或或即将出出现的变变化、偏偏差和延延误等问问题，并并采取适适当的措措施进行行控制和和纠正，，从而减减少因此此造成的的损失，，保证信信息安全全风险管管理主循循环的有有效性43类似信息息系统工工程中的的监理监控审查查过程44沟通咨询询通过畅通通的交流流和充分分的沟通通，保持持行动的的协调和和一致；；通过有有效的培培训和方方便的咨咨询，保保证行动动者具有有足够的的知识和和技能，，就是沟沟通咨询询的意义义所在沟通咨询与领导沟通，以得到理解和批准单位内部各有关部门相互沟通，以得到理解和协作与支持单位和系统用户沟通，以得到了解和支持

为所有层面的相关人员提供咨询和培训等，以提高人员的安全意识、知识和技能45沟通咨询询过程46知识域：：信息安安全风险险管理主主要内容容知识子域域：信息系统统使命周周期与信信息安全全风险管管理理解信息息系统生生命周期期与信息息安全风风险管理理的关系系理解系统统规划阶阶段的风风险管理理工作内内容理解系统统设计阶阶段的风风险管理理工作内内容理解系统统实施阶阶段的风风险管理理工作内内容理解系统统运行维维护阶段段的风险险管理工工作内容容理解系统统废弃阶阶段的风风险管理理工作内内容47信息系统统生命周周期与信信息安全全风险管管理的关关系信息系统统生命周周期的每每个阶段段，有不同的的信息安安全目标标为了达到到其安全全目标，，每一阶段段都需要相相应的风风险管理理手段作作为支持持信息安全目目标就是要要实现信息息系统的基基本安全特特性（即信信息安全基基本属性）），并达到到所需的保保障级别48规划设计实施运维废弃系统规划阶阶段的安全全目标49明确信息系系统安全建建设的目的的,对信息系统统安全建设设实现的可可能性进行行分析论证证并设计出出总体安全全规划方案案为了保证安安全目标的的实现，需需要对信息息系统规划划阶段中可可能引入安安全风险的的环节进行行风险管理理，从而降降低在项目目后期处理理相同安全全风险所带带来的高额额成本序号风险管理活动风险管理工作内容1明确安全总体方针背景建立2安全需求分析背景建立4风险评估准则达成一致风险评估5安全实现论证分析风险处理、批准监督系统规划阶阶段的信息息安全风险险管理50系统设计阶阶段的安全全目标51规划设计实施运维废弃依据规划阶阶段输出的的总体安全全规划方案案来设计信息系系统安全的的实现结构构（包括功能能划分、接接口协议和和性能指标标等）和实施方案案（包括实现现技术、设设备选型和和系统集成成等）在设计信息息系统的实实现结构和和实施方案案时，在技技术的选择择、配合、、管理等众众多的环节节均容易引引入安全风风险，因此此对关键的的环节应提提出必要的的安全要求求并有针对对性地进行行安全风险险管理系统设计阶阶段的信息息安全风险险管理序号风险管理活动风险管理工作内容1设计方案分析论证背景建立、风险评估2安全技术选择风险处理3安全产品选择风险处理4自开发软件设计风险处理风险处理52系统实施阶阶段的安全全目标53规划设计实施运维废弃按照规划和和设计阶段段所定义的的信息系统统安全实施施方案采购设备和软件件，开发定制功能集成、部署署、配置和和测试信息系统的的安全机制制培训人员对是否允许系系统投入运运行进行批准监监督系统实施阶阶段的信息息安全风险险管理序号风险管理活动风险管理工作内容1安全测试风险评估2检查与配置风险处理3人员培训风险处理4授权系统运行批准监督54在信息系统统经过授权权投入运行行之后，确确保在运行行过程中，，以及信息息系统或其其运行环境境发生变化化时维持系系统的正常常运行和安安全性系统运维阶阶段的安全全目标55规划设计实施运维废弃系统运维阶阶段的信息息安全风险险管理序号风险管理活动风险管理工作内容1安全运行和管理风险评估、风险处理2变更管理风险评估、风险处理3风险再评估风险评估、风险处理4定期重新审批批准监督56确保对信息息系统的过过时或无用用部分进行行安全报废废处理，防防止信息系系统的安全全要求和安安全功能遭遭到破坏系统废弃阶阶段的安全全目标57规划设计实施运维废弃信息系统废废弃阶段的的风险管理理序号风险管理活动风险管理工作内容1确定废弃对象背景建立2废弃对象的风险评估风险评估3废弃过程的风险处理风险处理4废弃后的评审批准监督58知识域：信信息安全风风险评估知识子域：：风险评估工工作形式理解自评估估和检查评评估的风险险评估工作作形式理解自评估估和检查评评估的区别别及优缺点点理解风险评评估、检查查评估和等等级保护测测评之间的的关系59风险评估工工作形式信息安全风风险评估分分为自评估估、检查评评估两种形形式自评估为主主，自评估估和检查评评估相互结结合、互为为补充自评估和检检查评估可可依托自身身技术力量量进行，也也可委托第第三方机构构提供技术术支持60自评估信息系统拥拥有、运营营或使用单单位发起的的对本单位位信息系统统进行的风风险评估61由发起方实实施优点有利于降低实施的的费用有利于保密密有利于发挥挥行业和部部门内人员员的业务特特长有利于提高相关人人员的安全全意识和评估能力力缺点可能结果不不够深入准准确客观性易受受影响由受委托方实施施优点过程比较规规范客观性比较较好缺点对业务了解解存在局限限性不利于保密密检查评估信息系统上上级管理部部门组织的的或国家有有关职能部部门依法开开展的风险险评估62优点具权威性通过行政手手段加强信信息安全，，具强制性缺点间隔时间较较长，难以以贯穿信息息系统的生生命周期一般是以抽抽样的方式式进行，难难以覆盖全全部评估对对象风险评估、、检查评估估和等级保保护测评之之间的关系系等保测评、、安全检查查都是在既既定安全基基线的基础础上开展的的符合性测测评，其中中等保测评评是符合国国家安全要要求的测评评，安全检检查是符合合行业主管管安全要求求的符合性性测评而风险评估估是在国家家、行业安安全要求的的基础上，，以被评估估系统特定定安全要求求为目标而而开展的风风险识别、、风险分析析、风险评评价活动63知识域：信信息安全风风险评估知识子域：：风险评估方方法理解定性风风险分析方法理解定量风风险分析方方法，掌握握年度预期期损失（ALE）的计算方方法理解半定量量风险分析析方法理解定性和和定量风险险分析方法法的优缺点点64定性风险分分析定性风险分分析在风险险评价时，，往往需要要凭借分析析者的经验验和直觉，，或者业界界的标准和和惯例，为为风险诸要要素的大小小或高低程程度定性分分级定性风险分分析更具主主观性后果或影响响的定性量量度（示例例）65等级描述

详细情形1可以忽略无伤害，低财务损失2

较小立即受控制，中等财务损失3

中等

受控，高财务损失4

较大大伤害，失去生产能力有较大财务损失5灾难性持续能力中断，巨大财务损失可能性的定定性量度（（示例）等级描述

详细情形A几乎肯定预期在大多数情况发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生定性风险分分析66根据预设的的等级划分分规则判定定风险结果果依此类推，，得到所有有重要资产产的风险值值，并根据据风险等级级划分表，，确定风险险等级

可能性

影响可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险险H：高风险M：中等风险险L:低风险定性风险分分析——矩阵法67定量风险分分析定量风险分分析试图是是在风险评评估与成本本效益分析析期间收集集的各个组组成部分计计算客观数数字值，定定量风险分分析更具客客观性例如，用替替换成本、、生产率损损失成本、、品牌名誉誉成本以及及其他直接接和间接商商业价值来来估计各项项资产的真真实价值定量分析主主要试图从从财务数字字上对安全全风险进行行评估，得得出可以量量化的风险险分析结果果，准确度度量风险的的可能性和和损失量因为定量分分析处理数数字和金额额价值，它它必须有公公式68定量风险分分析——年年度预期损损失法步骤1-评估资产：：根据资产产价值（AV）清单,计算资产总总价值及资资产损失对对财务的直直接和间接接影响步骤2-确定单一预预期损失SLESLE是指发生一一次风险引引起的收入入损失总额额SLE是分配给单单个事件的的金额，代代表一个具具体威胁利利用漏洞时时将面临的的潜在损失失（SLE类似于定性性风险分析析的影响））将资产价值值与暴露系系数相乘(EF)计算出SLE。暴露系数数表示为现现实威胁对对某个资产产造成的损损失百分比比步骤3-确定年发生生率AROARO是一年中风风险发生的的次数69步骤4-确定年预期期损失ALEALE是不采取任任何减轻风风险的措施施在一年中中可能损失失的总金额额。SLE乘以ARO即可计算出出该值（ALE类似于定性性风险分析析的相对级级别）步骤5-确定控制成成本控制成本就就是为了规规避企业所所存在风险险的发生而而应投入的的费用步骤6-安全投资收收益ROSIROSI=(实施控制前前的ALE）–（实施控制制后的ALE）–（年控制成成本）70定量风险分分析——年年度预期损损失法（续续）定性分析与与定量分析析71

定量定性优点结果可用货币值和具体数据（如百分比）来表达按财务影响确定风险优先级；按财务价值确定资产优先级通过安全投资收益分析推动风险管理随着组织建立的历史数据记录而获得经验，其精确度将随时间的推移而提高可以对风险的处置排定优先顺序更容易达成一致意见无需量化威胁频率无需确定资产的财务价值更便于非安全或计算机专业人员的参与缺点分配给风险的影响值以参与者的主观意见为基础达成可靠结果和一致意见的流程非常耗时计算可能会非常复杂且耗时流程专业技术性强，参与者若未获指导则无法轻松执行流程在重要的风险之间没有足够的区别没有为成本效益分析，难以证明投资控制措施是否正确结果取决于风险管理团队的素质、经验和知识技能在风险分析析过程中综综合使用定定性和定量量风险分析析技术对风风险要素赋赋值的方式式，实现对对风险各要要素的度量量数值化在实际的风风险分析活活动中，经经常采用半半定量的风风险分析方方法72半定量风险险分析半定量风险险分析———相乘法73

可能性影响可以忽略1较小2中等3较大4灾难性55（几乎肯定）5101520254（很可能）481216203(可能）36912152（不太可能）2468101（罕见）12345知识域：信信息安全风风险评估知识子域：：风险评估的的实施流程程掌握风险评评估准备阶阶段的工作作内容掌握风险要要素识别阶阶段的工作作内容掌握风险分分析阶段的的工作内容容和工作步步骤掌握风险结结果判定阶阶段的工作作内容74风险评估准准备风险要素识识别风险分析风险结果判判定75风险评估实实施流程76风险评估准准备77风险要素识识别78资产识别资产识别在在整个风险险评估中起起什么作用用？两点：是整整个风险评评估工作的的起点和终终点资产识别的的重点和难难点是什么么？一线：业务务战略→信信息化战战略→系系统特征（（管理/技术）资产识别的的方法有哪哪些？资产分类：：树状法。。自然形态态分类（勾勾画资产树树：管理、、技术…逐步往下细细化）；信信息形态分分类（信息息环境、信信息载载体、信息息）79按信息形态态分类资产识别8081威胁识别威胁识别与与资产识别别是何关系系？点和面：重重点识别和和全面识别别威胁识别的的重点和难难点是什么么？三问：“敌敌人”在哪哪儿？效果果如何？如如何取证？？威胁识别的的方法有哪哪些？日志分析历史安全事事件专家经验互联网信息息检索威胁分类分为：人为故意威威胁威胁意图评评估、威胁胁能力评估估、操作限限制评估、、威胁源特特点评估人为非故意意威胁判定威胁源源、评估威威胁源特点点、评估威威胁源环境境、评估事事故发生时时间自然威胁地震、海啸啸、洪水8283脆弱性识别别脆弱性识别别的难点是是什么？三性：隐蔽蔽性、欺骗骗性、复杂杂性脆弱性识别的的方法有哪些些？脆弱性分类管理脆弱性（（如缺少管理理制度）结构脆弱性（（如安全域划划分不当）操作脆弱性（（如安全审计计员业务生疏疏）技术脆弱性（（如系统有bug）物理脆弱性（（如一层的窗窗子没有防护护栏）脆弱性识别与与威胁识别是是何关系？验证：以资产产为对象，对对威胁识别进进行验证脆弱性识别内内容84常见脆弱性识识别工作方式式85脆弱性识别方式工作对象安全配置核查服务器、网络设备、终端、中间件、应用软件漏洞扫描主机、应用程序渗透测试系统各个层面安全架构分析系统各个层面数据流分析网络中的数据流访谈管理人员及系统开发、运维技术人员......确认已有的安安全控制考虑：预防性措施检测性措施纠正性措施威慑性措施8687风险分析风险分析GB/T20984-2007《《信息安全风险险评估规范》给出信息安全全风险分析思思路88风险值=R（A，T，V）=R（L（T，V），F（Ia，Va））R表示安全风险险计算函数A表示资产T表示威胁V表示脆弱性Ia表示安全事件件所作用的资资产价值Va表示脆弱性严严重程度L表示威胁利用用资产的脆弱弱性导致安全全事件的可能能性F表示安全事件件发生后造成成的损失89风险结果判定定知识域：信息息安全风险评评估知识子域：风险评估工具具了解风险评估估工具的分类类了解常用风险险评估工具90风险评估工具具风险评估与管管理工具一套集成了风风险评估各类类知识和判据据的管理信息息系统，以规规范风险评估估的过程和操操作方法；或或者是用于收收集评估所需需要的数据和和资料，基于于专家经验，，对输入输出出进行模型分分析系统基础平台台风险评估工工具主要用于对信信息系统的主主要部件（如如操作系统、、数据库系统统、网络设备备等）的脆弱弱性进行分析析，或实施基基于脆弱性的的攻击风险评估辅助助工具实现对数据的的采集、现状状分析和趋势势分析等单项项功能，为风风险评估各要要素的赋值、、定级提供依依据9192风险评估工具具风险评估与管管理工具基于标准的工工具，如基于NISTSP800-30或ISO27005开发的工具基于知识的工工具，综合各种风风险分析方法法，形成知识识库，以此为为基础完成综综合评估基于模型的工工具，对典型系统统的资产、威威胁、脆弱性性建立量化或或半量化的模模型系统基础平台台风险评估工工具脆弱性扫描工工具：基于网络的扫扫描器、基于于主机的扫描描器、分布式式网络扫描器器、数据库脆弱性性扫描器渗透性测试工工具：黑客工具、脚脚本文件风险评估辅助助工具检查列表、入入侵检测系统统、安全审计计工具、拓扑扑发现工具和和资产信息收收集系统，用用于评估过程程参考的评估估指标库、知知识库、漏洞洞库、算法库库和模型库谢谢，请提问问题！9、静夜四无邻邻，荒居旧业业贫。。1月-231月-23Thursday,January5,202310、雨中黄叶叶树，灯下下白头人。。。00:56:4700:56:4700:561/5/202312:56:47AM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。1月月-2300:56:4700:56Jan-2305-Jan-2312、故人江江海别，，几度隔隔山川。。。00:56:4700:56:4700:56Thursday,January5,202313、乍见见翻疑疑梦，，相悲悲各问问年。。。1月-231月-2300:56:4700:56:47January5,202314、他乡生白白发，旧国国见青山。。。05一月月202312:56:47上上午00:56:471月-2315、比不了了得就不不比，得得不到的的就不要要。。。。一月2312:56上