信息安全风险评估

信息安全管理

（第二版）

授课内容：信息安全风险评估

信息安全管理Informationsecuritymanagement第3章信息安全风险评估3.1概述3.2信息安全风险评估策略3.3信息安全风险评估流程3.4信息安全风险评估方法3.5风险评估案例3.6本章小结3.7习题从一个故事开始认识“风险”3.1 概述

故事梗概傻根在外地打工挣了钱，随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢，而是坐在挤满了上百人的硬座车厢。有时候累了，就坐着打个瞌睡。一路上，葛优等小偷团伙频频出手，尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下，葛优等小偷团伙未能得逞。好险啊，如果这钱被偷走了，傻根就娶不上媳妇了。天下无贼？3.1 概述资产（asset）

------对组织具有价值的任何东西

[ISO/IECTR13335-1：2004]概念威胁（

threat）

------可能导致对系统或组织损害的不希望事故潜在起因

[ISO/IECTR13335-1：2004]脆弱性（vulnerability）（也称脆弱点、漏洞）

------可能会被威胁所利用的资产或若干资产的弱点

[ISO/IECTR13335-1：2004]3.1 概述风险管理（

riskmanagement）------在风险方面指挥或控制一个组织的协调活动，一般包括风险评估、风险处理、风险接受和风险传递

[ISOGuide73：2002]风险（

risk）

------事件的概率及其结果的组合

[ISOGuide73：2002]风险评价（riskevaluation）------对照风险准则比较被估计的风险，以确定风险严重性的过程

[ISOGuide73：2002]概念3.1 概述信息安全风险信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响的事件。风险值=资产价值×威胁可能性×脆弱性严重性（简单理解）3.1 概述对信息和信息处理设施的威胁、影响(Impact，指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。3.1 概述风险评估（RiskAssessment）故事分析

在火车开动到停止这段时间内，综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是：因为10万元钱不是一笔小数目（资产），葛优等小偷能力很强且决心坚决（威胁），且傻根对钱的保管手段（技术）和意识（管理）都不足（脆弱性），差一点发生“娶不上媳妇”这样的结果（风险）。因好心人刘德华和刘若英等的保护到位（安全措施），最终钱保住了（风险消减）。3.1 概述以风险为核核心的安全全模型（ISO13335）风险安全措施信息资产威胁脆弱性安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足3.1概述信息安全风风险评估的的意义和作作用信息安全中中的风险评评估是传统统的风险理理论和方法法在信息系系统中的运运用，是科科学地分析析和理解信信息与信息息系统在保保密性、完完整性、可可用性等方方面所面临临的风险，，并在风险险的减少、、转移和规规避等风险险控制方法法之间做出出决策的过过程。风险评估将将导出信息息系统的安安全需求，，因此，所所有信息安安全建设都都应该以风风险评估为为起点。信信息安全建建设的最终终目的是服服务于信息息化，但其其直接目的的是为了控控制安全风风险。只有在正确确、全面地地了解和理理解安全风风险后，才才能决定如如何处理安安全风险，，从而在信信息安全的的投资、信信息安全措措施的选择择、信息安安全保障体体系的建设设等问题中中做出合理理的决策。。持续的风险险评估工作作可以成为为检查信息息系统本身身乃至信息息系统拥有有单位的绩绩效的有力力手段，风风险评估的的结果能够够供相关主主管单位参参考，并使使主管单位位通过行政政手段对信信息系统的的立项、投投资、运行行产生影响响，促进信信息系统拥拥有单位加加强信息安安全建设。。3.1概述3.1概概述3.1.1信息安全风风险评估相相关要素信息安全风风险评估的的对象是信信息系统，，信息系统统的资产、、信息系统统可能面对对的威胁、、系统中存存在的弱点点（脆弱性性）、系统统中已有的的安全措施施等是影响响信息安全全风险的基基本要素，，它们和安安全风险、、安全风险险对业务的的影响以及及系统安全全需求等构构成信息安安全风险评评估的要素素。1.资产根据ISO/IEC13335-1,资产是指任任何对组织织有价值的的东西，资资产包括：：物理资产产、信息/数据、软软件、提供供产品和服服务的能力力、人员、、无形资产产。《信息安全风风险评估规规范》——资产是指对对组织具有有价值的信信息资源，，是安全策策略保护的的对象。以以多种形式式存在，有有无形的、、有形的，，有硬件、、软件，有有文档、代代码，也有有服务、形形象等。根根据资产的的表现形式式，可将资资产分为数数据、软件件、硬件、、文档、服服务、人员员等类。3.1概概述2.威胁威胁是可能能对资产或或组织造成成损害的潜潜在原因。。威胁有潜潜力导致不不期望发生生的事件发发生，该事事件可能对对系统或组组织及其资资产造成损损害。这些些损害可能能是蓄意的的对信息系系统和服务务所处理信信息的直接接或间接攻攻击。也可可能是偶发发事件。根据威胁源源的不同，，威胁可分分为：自然威胁、、环境威胁胁、系统威威胁、人员员威胁3.脆弱性脆弱性是一一个或一组组资产所具具有的，可可能被威胁胁利用对资资产造成损损害的薄弱弱环节。4.风险根据ISO/IEC13335-1，信息安全全风险是指指威胁利用用利用一个个或一组资资产的脆弱弱性导致组组织受损的的潜在，并并以威胁利利用脆弱性性造成的一一系列不期期望发生的的事件（或或称为安全全事件）体体现3.1概概述5.影响影响是威胁胁利用资产产的脆弱性性导致不期期望发生事事件的后果果。这些后后果可能表表现为直接接形式，如如物理介质质或设备的的破坏、人人员的损伤伤、直接接的资金损损失等；也也可能表现现为间接的的损失如公公司信用、、形象受损损、市场分分额损失、、法律责任任等。6.安全措施施安全措施施是指为为保护资资产、抵抵御威胁胁、减少少脆弱性性、限制制不期望望发生事事件的影影响、加加速不期期望发生生事件的的检测及及响应而而采取的的各种实实践、规规程和机机制的总总称。7.安全需求求安全需求求是指为为保证组组织业务务战略的的正常运运作而在在安全措措施方面面提出的的要求。。3.1概概述3.1.2信息安全全风险评评估信息安全全风险评评估是指指依据有有关信息息安全技技术与管管理标准准，对信信息系统统及由其其处理、、传输和和存储的的信息的的机密性性、完整整性和可可用性等等安全属属性进行行评价的的过程。。3.1.3风险要素素相互间间的关系系资产、威威胁、脆脆弱性是是信息安安全风险险的基本本要素与与信息安安全风险险有关的的要素还还包括：：安全措措施、安安全需求求、影响响等。ISO/IEC13335-1对它们之之间的关关系描述述如图2-1所示3.1概概述《信息安全全风险评评估规范范》GB/T20984对ISO/IEC13335-1提出风险险要素关关系模型型进行了了扩展我国提出出的信息息风险要要素关系系图3.2信信息安安全风险险评估策策略3.2.1基线风险险评估要求组织织根据自自己的实实际情况况（所在在行业、、业务环环境与性性质等）），对信信息系统统进行基基线安全全检查（（将现有的的安全措措施与安安全基线线规定的的措施进进行比较较，找出出其中的的差距），得出出基本的的安全需需求，通通过选择择并实施施标准的的安全措措施来消消减和控控制风险险。可以根据据以下资资源来选选择安全全基线：：(1)国际标准准和国家家标准(2)行业标准准或推荐荐(3)来自其他他有类似似商务目目标和规规模的组组织的惯惯例3.2信信息安安全风险险评估策策略基线评估估的优点点是：(1)风险分析析和每个个防护措措施的实实施管理理只需要要最少数数量的资资源，并并且在选选择防护护措施时时花费更更少的时时间和努努力(2)如果组织织的大量量系统都都在普通通环境下下运行并并且如果果安全需需要类似似，那么么很多系系统都可可以采用用相同或或相似的的基线防防护措施施而不需需要太多多的努力力基线评估估的的缺缺点是：：(1)基线水平平难以设设置(2)风险评估估不全面面、不透透彻，且且不易处处理变更更3.2信信息安安全风险险评估策策略3.2.2详细风险险评估详细风险险评估要要求对资资产、威威胁和脆脆弱性进进行详细细识别和和评价，，并对可可能引起起风险的的水平进进行评估估通过不期期望事件件的潜在在负面业业务影响响评估和和他们发发生的可可能性来来完成。。根据风险险评估的的结果来来识别和和选择安安全措施施，将风风险降低低到可接接受的水水平详细评估估的优点点是：(1)有可能为为所有系系统识别别出适当当的安全全措施(2)详细分析析的结果果可用于于安全变变更管理理。详细评估估的缺点点：需要更多多的时间间、努力力和专业业知识3.2信信息安安全风险险评估策策略3.2.3综合风险险评估基线风险险评估耗耗费资源源少、周周期短、、操作简简单，但但不够准准确，适适合一般般环境的的评估详细风险险评估准准确而细细致，但但耗费资资源较多多，适合合严格限限定边界界的较小小范围内内的评估估实践中，，多采用用二者结结合的综综合评估估方式3.3信信息安安全风险险评估流流程3.3.1风险评估估流程概概述风险评估估四个阶阶段:阶段1:评估准备备阶段2:风险识别别阶段3:风险评价价阶段4:风险处理理3.3信信息安安全风险险评估流流程3.3.2风险评估估的准备备风险评估估的准备备是整个个风险评评估过程程有效性性的保证证包括：1．确定风风险评估估目标2．确定风风险评估估的对象象和范围围3．组建团团队。组建适当当的风险险评估管管理与实实施团队队，以支支持整个个过程的的推进4．选择方方法应考虑评评估的目目的、范范围、时时间、效效果、人人员素质质等因素素来选择择具体的风险判判断方法法，使之之能够与与组织环环境和安安全要求求相适应应。5．获得支支持6．准备相相关的评评估工具具3.3信信息安安全风险险评估流流程3.3.3资产识别别与评估估1．资产识识别资产识别别是风险险识别的的必要环环节。资资产识别别的任务务就是对对确定的的评估对对象所涉涉及或包包含的资资产进行行详细的的标识资产识别别过程中中要特别别注意无无形资产产的遗漏漏，同时时还应注注意不同同资产间间的相互互依赖关关系，关关系紧密密的资产产可作为为一个整整体来考考虑，同同一中类类型的资资产也应应放在一一起考虑虑。资产识别别方法:访谈、现现场调查查、问卷卷、文档档查阅3.3信信息安安全风险险评估流流程2．资产评评估资产的评评价是对对资产的的价值或或重要程程度进行行评估，，资产本本身的货货币价值值是资产产价值的的体现，，但更重重要的是是资产产对对组组织织关关键键业业务务的的顺顺利利开开展展乃乃至至组组织织目目标标实实现现的的重重要要程程度度。由由于于多多数数资资产产不不能能以以货货币币形形式式的的价价值值来来衡衡量量，，资资产产评评价价很很难难以以定定量量的的方方式式来来进进行行，，多数数情情况况下下只只能能以以定定性性的的形形式式，，依依据据重重要要程程度度的的不不同同划划分分等等级级定性性：：非常常重重要要→→重重要要→→比比较较重重要要→→不不太太重重要要→→不不重重要要（（5级划划分分）定量量：：54321信息息资资产产的的机密密性性、、完完整整性性、、可可用用性性、、可可审审计计性性和和不不可可抵抵赖赖性性等是是评评价价资资产产的的安安全全属属性性可以以先分分别别对对资资产产在在以以上上各各方方面面的的重重要要程程度度进进行行评评估估，然然后后通通过过一一定定的的方方法法进行行综综合合,可得得资资产产的的综合合价价值值2.资产产评评估估资产产价价值值应应依依据据资资产产在保保密密性性、、完完整整性性和和可可用用性性上上的的赋赋值值等等级级，经经过过综综合合评评定定得得出出电子子信信息息资资产产纸介介资资产产软件件资资产产物理理资资产产人员员服务务性性资资产产公司司形形象象和和名名誉誉3.3信息息安安全全风风险险评评估估流流程程2.资产产评评估估资产产价价值值应应依依据据资资产产在保保密密性性、、完完整整性性和和可可用用性性上上的的赋赋值值等等级级，经过综合评评定得出最大原则：取取5个属性中最大大的那个属性性赋值作为综综合评价值VA=Max(VAc,VAi,VAa,VAac,VAn)加权原则：根根据属性保护护对业务开展展影响赋权重重Wc+Wi+Wa+Wac+Wn=1，VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn3.3信息安全风险险评估流程2.资产评估《信息安全风险险评估规范》GB/T20984推荐方法：首先，对资产产的机密性、、完整性、可可用性定性赋赋值其次，用一定定方法进行综综合，基本属属于最大原则则机密性赋值表表2-3（P28）完整性赋值表表2-4（P29）资产可用性赋赋值表2-5（P29）对关键资产进进行风险评估估是重点3.3信息安全风险险评估流程2.资产评估3.3信息安全风险险评估流程赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等资产机密性赋赋值表《信息安全风险险评估规范》GB/T209842.资产评估3.3信息安全风险险评估流程资产完整性赋赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略《信息安全风险险评估规范》GB/T209842.资产评估3.3信息安全风险险评估流程资产可用性赋赋值表赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断《信息安全风险险评估规范》GB/T209842.资产评估3.3信息安全风险险评估流程资产等级及含含义描述等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计《信息安全风险险评估规范》GB/T209843.3 信息息安全风险评评估流程3.3.4威胁识别与评评估1．威胁识别威胁识别的任任务是对组织织资产面临的的威胁进行全全面的标识威胁识别可从从威胁源进行行分析，也可可根据有关标标准、组织所所提供的威胁胁参考目录进进行分析。如威胁树（P30）系统故障威威胁树（P31）2．威胁评估安全风险的大大小是由安全全事件发生的的可能性以及及它造成的影影响决定，安安全事件发生生的可能性与与威胁出现的的频率有关，，而安全事件件的影响则与与威胁的强度度或破坏能力力有关威胁评估就是是对威胁出现现的频率及强强度进行评估估，这是风险险评估的重要要环节评估者应根据据经验和（或或）有关的统统计数据来分分析威胁出现现的频率及其其强度或破坏坏能力威胁评估的通通用方法为威胁列表中中的全部可赋赋值威胁类进进行赋值3.3信息安全风险险评估流程等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过3中出现的频率中等（或>1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生威胁赋值表《信息安全风险险评估规范》GB/T20984威胁评估的通通用方法判断威胁出现现的频率是威威胁赋值的重重要内容，应应根据经验和和（或）有关关的统计数据据来进行判断断。需要综合合考虑以下三三个方面，以以形成在某种种评估环境中中各种威胁出出现的频率：：--以往安全事件件报告中出现现过的威胁及及其频率的统统计；--实际环境中通通过检测工具具以及各种日日志发现的威威胁及其频率率的统计；--近一两年来国国际组织发布布的对于整个个社会或特定定行业的威胁胁及其频率统统计，以及发发布的威胁预预警。为简化后续的的风险计算过过程，避免不不必要的计算算工作，仅采采用TOP5或者TOP10威胁参与风险险计算3.3信息安全风险险评估流程威胁举例3.3信息安全风险险评估流程外部威胁发展展网络欺骗或讹讹诈感染恶意代码码泄露重要信息息手机攻击网络仿冒网页篡改网页恶意代码垃圾邮件拒绝服务攻击病毒蠕虫木马3.3信息安全风险险评估流程3.3 信息息安全风险评评估流程3.3.5脆弱性识别与与评估1．脆弱性识别别也称为弱点识识别。弱点是是资产本身存存在的，如果果没有相应的的威胁发生，，单纯的弱点点本身不会对对资产造成损损害。而且如如果系统足够够强健，再严严重的威胁也也不会导致安安全事件，并并造成损失。。即,威胁总是要利利用资产的脆脆弱性才可能能造成危害脆弱性识别时时的数据应来来自于资产的的所有者、使使用者，以及及相关业务领领域和软硬件件方面的专业业人员等脆弱性识别所所采用的方法法主要有：问卷调查、工工具检测、人人工核查、文文档查阅、渗渗透性测试等等3.3 信息息安全风险评评估流程3.3.5脆弱性识别与与评估1．脆弱性识别别脆弱性识别主主要从技术和和管理两个方方面进行技术脆弱性涉涉及物理层、、网络层、系系统层、应用用层等各个层层面的安全问问题管理脆弱性又又可分为技术术管理和组织织管理两方面面，前者与具具体技术活动动相关，后者者与管理环境境相关1．脆弱性识别别类型识别对象识别内容技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别3.3信息安全风险险评估流程脆弱性识别内内容表3.3 信息息安全风险评评估流程2.脆弱性评估对脆弱性被利利用后对资产产损害程度、技术实现的的难易程度、、弱点流行程程度进行评估估，评估的结结果一般都是是定性等级划划分形式，综综合的标识脆脆弱性的严重重程度。也可对脆弱性性被利用后对对资产的损害害程度以及被被利用的可能能性分别评估估，然后以一一定方式综合合。若多个脆弱性性反映同一个个问题，应综综合考虑这些些脆弱性，确确定该类脆弱弱性严重程度度脆弱性评估3.3信息安全风险险评估流程等级标识定义5很高如果被威胁利用，将对资产造成完全损害。4高如果被威胁利用，将对资产造成重大损害。3中等如果被威胁利用，将对资产造成一般损害。2低如果被威胁利用，将对资产造成较小损害。1很低如果被威胁利用，将对资产造成的损害可以忽略。脆弱性严重程程度赋值表脆弱性严重程程度可以进行行等级化处理理，不同的等等级分别代表表资产脆弱性性严重程度的的高低。等级级数值越大，，脆弱性严重重程度越高《信息安全风险险评估规范》GB/T209843.3 信息息安全风险评评估流程3.3.6已有安全措施施的确认安全措施可以以分为预防性安全措措施和保护性安全措措施两种预防性安全措措施可以降低低威胁利用脆脆弱性导致安安全事件发生生的可能性，，如入侵检测测系统通过两个方面面的作用来实实现（1）减少威胁出出现的频率，，如通过立法法或健全制度度加大对员工工恶意行为的的惩罚，可以以减少员工故故意行为威胁胁出现的频率率，通过安全全培训可以减减少无意行为为导致安全事事件出现的频频率；（2）减少脆弱性性，如及时为为系统打补丁丁、对硬件设设备定期检查查能够减少系系统的技术脆脆弱性等。保护性安全措措施可以减少少因安全事件件发生后对组组织或系统造造成的影响。。3.3信信息安全风风险评估流流程3.3.6已有安全措措施的确认认对已采取的的安全措施施进行确认认，至少有有两个方面面的意义（1）有助于对当当前信息系统统面临的风险险进行分析（2）通过对当前前安全措施的的确认，分析析其有效性，，对有效的安安全措施继续续保持，以避避免不必要的的工作和费用用，防止安全全措施的重复复实施3.3 信息息安全风险评评估流程3.3.7风险分析风险分析就是是利用资产、、威胁、脆弱弱性识别与评评估结果以及及对已有安全全措施确认后后，采用适当当的方法与工工具确定威胁利用用脆弱性导致致安全事件发发生的可能性性。综合安全事事件所作用的的资产价值及及脆弱性的严严重程度，判断安全事件件造成的损失失对组织的影影响，即安全全风险3.3信息安全风险险评估流程3.3.7风险分析1．风险计算如前所述，风风险可形式化化的表示为R=(A,T,V)，其中R表示风险、A表示资产、T表示威胁、V表示脆弱性。。相应的风险险值由A、T、V的取值决定，，是它们的函函数，可以表表示为：风险值=R（（A，T，V）=R(L(T，V)，F(Ia，Va))Va表示脆弱弱性严重程度度；L表示威胁利利用资产的脆脆弱性导致安安全事件发生生的可能性；；F表示安全事事件发生后产产生的损失3.3信息安全风险险评估流程3.3.7风险分析1．风险计算三个关键计算算环节：a）计算安全事事件发生的可可能性根据威胁出现现频率及弱点点的状况，计计算威胁利用用脆弱性导致致安全事件发发生的可能性性，即：安全事件发生生的可能性=L(威胁出现频率率，脆弱性)=L(T，V)在具体评估中中，应综合攻攻击者技术能能力（专业技技术程度、攻攻击设备等））、脆弱性被被利用的难易易程度（可访访问时间、设设计和操作知知识公开程度度等）、资产产吸引力等因因素来判断安安全事件发生生的可能性。。3.3信息安全风险险评估流程3.3.7风险分析1．风险计算三个关键计算算环节：b）计算安全全事件发生后后的损失根据资产价值值及脆弱性严严重程度，计计算安全事件件一旦发生后后的损失，即即：安全事件的损损失=F(资资产价值，脆脆弱性严重程程度)=F(Ia，Va)部分安全事件件的发生造成成的损失不仅仅仅是针对该该资产本身，，还可能影响响业务的连续续性；不同安安全事件的发发生对组织造造成的影响也也是不一样的的。在计算某某个安全事件件的损失时，，应将对组织织的影响也考考虑在内。对发生可能性性极小的安全全事件，可以以不计算其损损失3.3信息安全风险险评估流程3.3.7风险分析1．风险计算三个关键计算算环节：c）计算风险值根据计算出的的安全事件发发生的可能性性以及安全事事件的损失，，计算风险值值，即：风险值=R(安全事件发生生的可能性，，安全事件造造成的损失)=R(L(T，V)，F(Ia，Va))可根据自身情情况选择相应应的风险计算算方法计算风风险值，如矩矩阵法或相乘乘法。矩阵法通过构构造一个二维维矩阵，形成成安全事件发发生的可能性性与安全事件件的损失之间间的二维关系系相乘法通过构构造经验函数数，将安全事事件发生的可可能性与安全全事件的损失失进行运算得得到风险值。。3.3 信息息安全风险评评估流程2．影响分析安全事件对组组织的影响可可体现在以下下方面：直接经济损失失、物理资产产的损坏、业业务影响、法律责任、人人员安全危害害、信誉（形形象）损失上述损失有些些容易定量表表示，有些则则很难3．可能性分析析安全事件发生生的可能性的的因素有：资产吸引力、、威胁出现的的可能性、脆弱性的属性性、安全措施施的效能等。。根据威胁源的的分类，引起起安全事件发发生的原因可可能自然灾害、环环境及系统威威胁、人员无意行为为、人员故意意行为等不同类型的安安全事件，其其可能性影响响因素也有点点不同3.3 信息息安全风险评评估流程4.风险结果判定定为实现对风险险的控制与管管理，可以对对风险评估的的结果进行等等级化处理。。可以将风险险划分为五级级，等级越高高，风险越高高根据所采用的的风险计算方方法，计算每每种资产面临临的风险值根据风险值的的分布状况，，为每个等级级设定风险值值范围，并对对所有风险计计算结果进行行等级处理。。每个等级代表表了相应风险险的严重程度度等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害3中等一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补风险等级划分分表3.3 信息息安全风险评评估流程3.3.8安全措施的选选取风险评估的目目的不仅是获获取组织面临临的有关风险险信息，更重重要的是采取取适当的措施施将安全风险险控制在可接接受的范围内内。安全措施可以以降低安全事事件造成的影影响，也可以以降低安全事事件发生的可可能性，在对对组织面临的的安全风险有有全面认识后后，应根据风风险的性质选选取合适的安安全措施，并并对对可能的的残余风险进进行分析，直直到残余风险险为可接受风风险为止。3.3 信息息安全风险评评估流程3.3.9风险评评估文文件记记录风险评评估文文件包包括在在整个个风险险评估估过程程中产产生的的评估估过程程文档档和评评估结结果文文档，，这些些文档档包括括：(1)风险评评估方方案(2)风险评评估程程序(3)资产识识别清清单(4)重要资资产清清单(5)威胁列列表(6)脆弱性性列表表(7)已有安安全措措施确确认表表(8)风险评评估报报告(9)风险处处理计计划(10)风险评评估记记录3.3信信息安安全风风险评评估流流程3.3.10信息系系统生生命周周期各各阶段段评估估风险评评估应应贯穿穿于信信息系系统生生命周周期的的各阶阶段中中信息系系统生生命周周期各各阶段段中涉涉及的的风险险评估估的原原则和和方法法是一一致的的，但但由于于各阶阶段实实施的的内容容、对对象、、安全全需求求不同同，使使得风风险评评估的的对象象、目目的、、要求求等各各方面面也有有所不不同。。规划设设计阶阶段，，通过过风险险评估估以确确定系系统的的安全全目标标；建设验验收阶阶段，，通过过风险险评估估以确确定系系统的的安全全目标标达成成与否否；运行维维护阶阶段，，要不不断地地实施施风险险评估估以识识别系系统面面临的的不断断变化化的风风险和和脆弱弱性，，从而而确定定安全全措施施的有有效性性，确确保安安全目目标得得以实实现。。每个阶阶段风风险评评估的的具体体实施施应根根据该该阶段段的特特点有有所侧侧重有条件件时，，应采采用风风险评评估工工具开开展风风险评评估活活动3.3信信息安安全风风险评评估流流程3.3.10信息系系统生生命周周期各各阶段段评估估规划阶阶段的的风险险评估估（详详见GB/T20984—2007）设计阶段的的风险评估估（详见GB/T20984—2007）实施阶段的的风险评估估（详见GB/T20984—2007）运行维护阶阶段的风险险评估（详详见GB/T20984—2007）废弃阶段的的风险评估估（详见GB/T20984—2007）3.3信信息安全风风险评估流流程3.3.11风险评估的的工作形式式分为自评估估和检查评评估两种形形式。信息息安全风险险评估应以以自评估为为主，自评评估和检查查评估相结结合、互为为补充自评估是指信息系系统拥有、、运营或使使用单位发发起的对本本单位信息息系统进行行的风险评评估自评估应在在本标准的的指导下，，结合系统统特定的安安全要求进进行实施周期性进行行的自评估估可以在评评估流程上上适当简化化，重点考考察自上次次评估后系系统发生变变化后引入入的新威胁胁，以及系系统脆弱性性的完整识识别，以便便于两次评评估结果的的对比但系统发生生重大变更更时，应依依据本标准准进行完整整的评估3.3信信息安全风风险评估流流程3.3.11风险评估的的工作形式式分为自评估估和检查评评估两种形形式。信息息安全风险险评估应以以自评估为为主，自评评估和检查查评估相结结合、互为为补充检查评估是指信息系系统上级管管理部门组组织或国家家有关职能能部门依法法开展的风风险评估。。检查评估可可依据本标标准的要求求，实施完完整的风险险评估过程程。检查评估也也可在自评评估实施的的基础上，，对关键环环节或重点点内容实施施抽样评估估3.3信信息安全风风险评估流流程3.3.11风险评估的的工作形式式检查评估包括以下内内容a）自评估队队伍及技术术人员审查查；b）自评估方方法的检查查；c）自评估过过程控制与与文档记录录检查；d）自评估资资产列表审审查；e）自评估威威胁列表审审查；f）自评估脆脆弱性列表表审查；g）现有安全全措施有效效性检查；；h）自评估结结果审查与与采取相应应措施的跟跟踪检查；；i）自评估技技术技能限限制未完成成项目的检检查评估；；j）上级关注注或要求的的关键环节节和重点内内容的检查查评估；k）软硬件维维护制度及及实施管理理的检查；；l）突发事件件应对措施施的检查；；3.4信信息安全风风险评估方方法3.4.1概述信息安全风风险评估是是通过采用用一定的方方法对组织织面临的风风险进行识识别，并分分析风险对对组织带来来的影响以以及其发生生的可能性性大小，然然后通过一一定的综合合评价方法法来评估组组织面临的的风险，并并选取适当当的措施来来控制风险险。风险评评估的复杂杂性决定了了风险评估估方法的多多样性。从理论上看看，风险评评估方法的的理论基础础包括：概概率风险分分析方法、、模糊决策策方法、人人工智能、、定性推理理方法、灰灰色决策理理论、综合合评价方法法等。从风险评估估过程整体体上看，风风险评估方方法有：基基于资产驱驱动的风险险评估方法法、威胁驱驱动的风险险评估方法法、脆弱性性驱动的风风险评估方方法、基于于案例的风风险评估方方法等。从风险分析析方法来看看，风险评评估方法可可分为两大大类：定量量方法与定定性方法。。3.4信信息安全风风险评估方方法3.4.2信息安全风风险评估理理论基础1.概率风险分分析概率风险分分析方法的的思想是利利用概率论论方法来识识别和分析析风险，这这类方法主主要包括：：故障树分分析法（FTA），故障模模式影响和和危害程度度分析方法法（FMECA），危害及及可操作性性研究分析析方法（HazOp）和Markov分析法。2.模糊决策方方法风险评估的的对象以及及信息系统统的状态具具有不确定定性，经典典的数学模模型由于其其精确性特特点使得它它很难很好好的把握问问题的实质质，模糊决决策方法填填补了这方方面的不足足。模糊决策理理论不是把把问题变成成模糊不清清的东西，，相反，它它具有数学学的共性：：条理分明明、一丝不不苟，它是是通过规范范化的理论论体系来描描述模糊的的对象，使使模糊对象象能清晰的的呈现在决决策者面前前，这是经经典的数学学理论所不不能做到的的。3.4信信息安全风风险评估方方法3.人工智能人工智能是是20世纪中期产产生的并正正在迅速发发展的新兴兴边缘学科科,它是探索和和模拟人的的智能和思思维过程的的规律,并进而设计计出类似人人的某些智智能化的科科学。信息系统状状态变化规规律的复杂杂性决定了了很难用一一确定的数数学模型来来描述，应应综合神经经网络、智智能推理，，知识库等等多方面知知识，建立立一个具有有自学习能能力的专家家系统，目目前基于案案例的风险险评估方法法就是这一一理论的具具体应用。。6.灰色系统理理论部分信息已已知、部分分信息未知知的系统称称为灰色系系统。灰色色系统理论论是研究和和解决灰色色系统分析析、建模、、预测和控控制的理论论。在信息息世界，由由于数据的的短缺或事事物本身的的特性，很很多现象是是“灰色””的，其意意义是指其其中含有已已知的、未未知的与非非确定的种种种信息。。3.4信信息安全风风险评估方方法7.综合评价方方法信息安全风风险评估对对象是多指指标的复杂杂系统，对对于多指标标系统，评评价指标有有多个，不不同指标有有不同的量量纲，多指指标系统的的评价过程程中必须解解决以下两两个问题：：其一是采采用什么方方法将不同同量纲指标标无量纲化化，其二是是采用何种种方式确定定不同指标标的相对重重要性，通通常是引入入权向量来来描述。不不同综合评评价方法有有不同的处处理方法，，常用的综综合评价方方法有综合合指数法、、功效评分分法、TOPSIS法、、层层次次分分析析法法、、主主成成份份分分析析法法、、聚聚类类分分析析法法等等(1)综合合指指数数法法是是多多指指标标系系统统的的一一种种评评价价方方法法。。综综合合指指数数法法通通过过计计算算各各评评价价对对象象对对每每个个指指标标折折算算指指数数值值来来实实现现不不同同指指标标值值的的无无量量纲纲化化，，并并通通过过加加权权平平均均方方法法计计算算综综合合指指数数值值3.4信信息息安安全全风风险险评评估估方方法法(2)功效效评评分分法法通通过过功功效效系系数数来来实实现现不不同同指指标标的的无无量量纲纲化化，，然然后后在在利利用用其其他他方方法法来来确确定定功功效效权权值值，，如如均均权权法法、、层层次次分分析析法法、、离离差差权权法法等等。。(3)TOPSIS法3.4信信息息安安全全风风险险评评估估方方法法3.4信信息息安安全全风风险险评评估估方方法法(4)层次次分分析析法法是是将将决决策策问问题题的的有有关关元元素素分分解解成成目目标标、、准准则则、、方方案案等等层层次次，，在在此此基基础础上上进进行行定定量量和和定定性性分分析析的的一一种种决决策策方方法法。。层层次次分分析析法法的的决决策策过过程程如如下下：：a)分析析各各影影响响因因素素间间的的关关系系，，建建立立层层次次模模型型b)构建建两两两两比比较较判判断断矩矩阵阵c)计算算单单个个判判断断矩矩阵阵对对应应的的权权重重向向量量d)计算算各各层层元元素素对对目目标标层层的的合合成成权权重重向向量量(5)主成成分分分分析析是是一一种种多多元元统统计计分分析析方方法法，，对对于于多多指指标标的的复复杂杂评评价价系系统统，，由由于于指指标标多多，，数数据据处处理理相相当当复复杂杂，，由由于于指指标标之之间间存存在在一一定定的的关关系系，，可可以以适适当当简简化化。。主主成成分分分分析析的的思思想想是是通通过过一一定定的的变变换换，，用用较较少少的的指指标标来来代代替替原原先先较较多多的的指指标标，，从从而而达达到到简简化化问问题题的的处处理理与与分分析析的的目目的的。。(6)聚类类分分析析法法是是解解决决““物物以以类类聚聚””，，解解决决事事务务分分类类的的一一种种数数学学方方法法。。它它是是在在没没有有或或不不用用样样品品所所述述类类别别信信息息的的情情况况下下，，依依据据对对样样品品采采集集的的数数据据的的内内在在结结构构以以及及相相互互间间的的关关系系，，在在样样品品间间相相似似性性度度量量的的基基础础上上，，对对样样品品进进行行分分类类的的一一种种方方法法3.4信信息息安安全全风风险险评评估估方方法法3.4.3定量量方方法法定量量方方法法试试图图用用具具体体的的货货币币表表示示形形式式的的损损失失值值来来分分析析和和度度量量风风险险，，定定量量方方法法主主要要有有基基于于期期望望损损失失的的风风险险评评估估方方法法与与基基于于期期望望损损失失效效用用的的风风险险评评估估方方法法等等。。1．基基于于期期望望损损失失的的风风险险评评估估方方法法类似似的的定定义义还还有有期期望望年年损损失失ALE（AnnualLossExpectancy），，它它是是以以组织在目前安安全状态下平平均年损失作作为风险度量的标准准。若风险事事件E造成的相对损失为loss，其发生的可可能性为L，loss和L均为取值在[0,1]区间定量值。。若依据期望损失理论论，将根据loss×L值大小划分等级，等级级划分方法结结果如图2-9所示3.4 信息息安全风险评评估方法2．基于期望损损失效用的风风险评估方法法若经过风险评评估，风险事事件E造成的相对损失为loss，其发生的可可能性为L，loss和L均为取值在[0,1]区间定量值。建立立风险等级划划分方法，结果见图所示示这种方法的好好处就是能够够更好的区分“高损损失、低可能能性”及“低损失、高可可能性”两种种不同安全事件的风险。。3.4 信息息安全风险评评估方法3.4.4定性方法定性方法不是是给出具体的的货币形式的的损失，而是是用诸如“极极为严重、严严重、一般、、可忽略”等等定性方法来来度量风险。。定性方法一一般基于一定定的定量方法法，在定量方方法的基础上上进行裁剪和和简化。典型型的定性风险险分析与评价价方法有风险险矩阵测量、、威胁分级法法、风险综合合评价等。1．风险矩阵测测量这种方法的特特点是事先建建立资产价值值、威胁等级级和脆弱性等等级的一个对对应矩阵，预预先将风险等等级进行了确确定。然后根根据不同资产产的赋值从矩矩阵中确定不不同的风险。。2．威胁分级法法这种方法是直直接考虑威胁胁、威胁导致致的安全事件件对资产产生生的影响以及及威胁导致安安全事件发生生的可能性来来确定风险。。3．风险综合评评价这种方法中风风险由威胁导导致的安全事事件发生的可可能性、对资资产的影响程程度以及已经经存在的控制制措施三个方方面来确定。。与风险矩阵阵法和威胁分分级法不同，，本方法将控控制措施的采采用引入风险险的评价之中中。3.5 风险险评估标准、、方法与民航航案例国