计算机信息安全风险评估概述.ppt

1、信息安全风险评估概述,1 信息安全风险评估发展概况,信息技术的飞速发展，关系国计民生关键信息的基础设施的规模越来越大，极大地增加了信息系统的复杂程度。各个国家越来越重视信息安全风险评估工作，提倡信息安全风险评估制度化。,1.1 美国信息安全风险评估发展概况,1.1.1 美国信息安全风险评估发展概况 在国际上，美国是对信息安全风险评估研究历史最长和工作经验最丰富的国家，一直主导信息技术和信息安全的发展，信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障，大体经历了3个阶段，见表5-1。,表5-1 风险评估发展过程,1.1 美

2、国信息安全风险评估发展概况,1.1.2 其他国家信息安全评估发展概况 欧洲在信息化方面的优势不如美国，但作为多个老牌大国的联合群体，欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上，加强预防。,1 信息安全风险评估发展概况,1.2 我国信息安全风险评估的发展现状 我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密，通过保密检查来发现问题，改进提高。,2 信息安全风险评估的目的和意义,1信息安全风险评估是科学分析并确定风险的过程 2信息安全风险评估是信息安全建设的起点和基础 3信息安全风险评估是需求主导和突出

3、重点原则的具体体现 4信息安全风险评估是组织机构实现信息系统安全的重要步骤,2 信息安全风险评估的目的和意义,1. 信息安全风险评估是科学分析并确定风险的过程 任何系统的安全性都可以通过风险的大小来衡量，科学地分析系统的安全风险，综合平衡风险和代价构成了风险评估的基本过程。 2信息安全风险评估是信息安全建设的起点和基础 所有信息安全建设应该基于信息安全风险评估，只有正确地、全面地识别风险、分析风险，才能在预防风险、控制风险、减少风险、转移风险之间作出正确的决策，决定调动多少资源、以什么样的代价、采取什么样的应对措施化解风险、控制风险。,3信息安全风险评估是需求主导和突出重点原则的具体体现 风险

4、是客观存在的，试图完全消灭风险或完全避免风险是不现实的，要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度，以及在信息化建设不同阶段的信息安全要求，坚持从实际出发、需求主导、突出重点、分级防护，科学评估风险并有效地控制风险。 4信息安全风险评估是组织机构实现信息系统安全的重要步骤 通过信息安全风险评估，可全面、准确地了解组织机构的安全现状,发现系统的安全问题及其可能的危害，分析信息系统的安全需求,找出目前的安全策略和实际需求的差距，提供严谨的安全理论依据和完整、规范的指导模型。,3 信息安全风险评估的原则,1可控性原则 人员可控性 工具可控性 项目过程可控性 2完整性原则 严格按

5、照委托单位的评估要求和指定的范围进行全面的评估服务。,3最小影响原则 从项目管理层面和工具技术层面，力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。 4保密原则 与评估对象签署保密协议和非侵害性协议，要求参与评估的单位或个人对评估过程和结果数据严格保密，未经授权不得泄露给任何企业和个人。,4 信息安全风险评估的概念,4.1 信息安全风险评估的概念 信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安

6、全事件一旦发生对组织造成的影响。,4 信息安全风险评估的概念,4.2 信息安全风险评估和风险管理的关系 信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段。 4.3 信息安全风险评估的两种方式 根据风险评估发起者的不同，信息安全风险评估分为自评估、检查评估两种形式。自评估和检查评估可以依靠自身技术力量进行，也可以委托第三方专业机构进行。,4.3 信息安全风险评估的两种方式,4.3.1 自评估 自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估，以发现信息系统现有弱点、实施安全管理为目的，是信息安全风险评估的主要形式。 4.3

7、.2 检查评估 检查评估是指信息系统上级管理部门或信息安全职能部门组织的信息安全风险评估，是通过行政手段加强信息安全的重要措施。,4.4 信息安全风险评估的分类,在进行风险评估时，应当针对不同的环境和安全要求选择恰当的风险评估种类，目前，实际操作中经常使用的风险评估包括基线风险评估、详细风险评估、联合风险评估。 4.4.1 基线风险评估 基线评估的优点是需要的资源少、周期短、操作简单等。缺点是安全基线水平的高低难以设定、管理与安全相关的变更可能有困难等。,4.4 信息安全风险评估的分类,4.4.2 详细风险评估 详细风险评估的优点是对信息安全风险有一个精确的认识，从而可以更为精确地识别出组织目

8、前的安全水平和安全需求；可以从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益。详细风险评估的缺点是非常耗费资源。,5 国外信息安全风险评估标准,目前，国际上信息安全风险评估与管理的标准有英国BSI的BS 7799、美国的OCTAVE、澳大利亚/新西兰的AS/NZS 4360、ISO/IEC TR 13335、NIST SP800-30等，其中BS 7799和ISO/IEC TR 13335 在第2章、AS/NZS 4360和NIST SP800-30在第4章已进行了介绍，这里介绍OCTAVE方法、SSE-CMM和GAO/AIMD-99-139。,5.1 OCTAVE,5.1.1

9、OCTAVE简介 OCTAVE（Operationally Critical Treat，Asset and Vulnerability Evaluation，可操作的关键威胁、资产和弱点评估）是由美国卡耐基梅隆大学软件工程研究所下属的CERT协调中心，开发的信息安全风险评估的方法。 OCTAVE信息安全风险评估方法的基本原则是：自主、适应度量、已定义的过程、连续过程的基础，它由一系列循序渐进的讨论会组成，每个讨论会都需要其参与者之间的交流和沟通。,其核心是自主原则，即由组织内部的人员管理和指导该组织的信息安全风险评估。信息安全是组织内每个人的职责，而不只是IT部门的职责。组织内部的人员需要负

10、责信息安全评估活动，并对改进信息安全的工作做出决策。 OCTAVE使组织能够理清复杂的组织问题和技术问题，了解安全问题，改善组织的安全状况并解决信息安全风险，而无需过分依赖外部专家和厂商。OCTAVE包括两种具体方法：面向大型组织的OCTAVE Method和面向小型组织的OCTAVE-S。,5.1.2 OCTAVE Method,OCTAVE Method是为大型组织（有300名以上员工的公司或组织）而设计的，但可以以此为基线或起点，对该方法进行开发剪裁，使它适合于不同规模的组织、业务环境或工业部门。,OCTAVE Method包括3个阶段8个过程： 第1阶段：建立基于资产的威胁配置文件 第

11、2阶段：识别基础设施的薄弱点 第3阶段：开发安全策略和计划,第一阶段主要由4个过程组成： 过程1：收集高层管理部门的观点。参与者为组织的高层管理人员； 过程2：收集业务区域管理部门的观点。参与者为组织业务区域（即中层管理部门）的经理； 过程3：收集员工的观点。参与者是组织的一般员工，信息技术部门的员工通常与一般的员工分开，参与一个独立的讨论会； 过程4: 建立威胁配置文件。包括整理过程1过程3中所收集的信息、选择关键资产、提炼关键资产的安全需求、标识对关键资产构成影响的威胁等工作。 通用的配置文件是基于关键资产的威胁树。,第二阶段中，对当前信息基础设施的评价，包括数据收集和分析活动。 本阶段主

12、要由2个过程组成： 过程5：识别关键单元，包括识别结构单元的种类、识别要分析的基础设施的结构单元等； 过程6：评估选定的单元，包括对选定的基础设施的结构单元进行薄弱点检查、对技术薄弱点进行评审并总结。,第三阶段：开发安全策略和计划 第3阶段旨在理解迄今为止在评估过程中收集到的信息，即分析风险。 本阶段主要由2个过程组成： 过程7：执行风险分析，包括识别关键资产的威胁所产生的影响、制定风险评估标准、评估关键资产的威胁所产生的影响等； 过程8：开发保护策略，评估小组开发整个组织的保护策略，该策略注重于提高组织的安全实践，以及关键资产的重要风险的削减计划。,5.1.3 OCTAVE-S,OCTAVE

13、-S（OCTAVE简化版）是为规模较小的组织而开发的，这里将2080名员工的组织视为小规模的组织。通过这种方法，35人的评估小组就可以完成整个评估活动。与OCTAVE Method一样，OCTAVE-S评估方法同样包括3个阶段，但其中的过程有些不同。,1第1阶段：建立资产的威胁描述文件 本阶段主要由2个过程组成： 过程S1：收集组织信息。分析小组应识别与组织重要信息相关的资产，确定一组评估标准，并定义组织当前的安全实践状况； 过程S2: 建立威胁描述。分析小组应选择35个关键信息资产，并为每个关键信息资产定义相应的安全要求和威胁描述文件。,2第2阶段：识别基础设施的薄弱点 本阶段主要由1个过程

14、组成： 过程S3：检查与关键信息资产相关的的计算基础设施。分析小组对关键资产的支持系统中的访问路径进行分析，并确定这些技术措施对关键资产的保护程度；,3第3阶段：开发安全策略和计划 本阶段主要由2个过程组成： 过程S4：确定和分析风险。分析小组就风险所产生的影响、发生的可能性进行评估； 过程S5：开发保护策略和风险降低计划。评估小组根据实际情况，开发一个整个组织范围的的保护策略和风险削减计划。,5.2 SSE-CMM,5.2.1 SSE-CMM概述 SSE-CMM是系统安全工程能力成熟度模型（SystemSecurity Engineering Capability Maturity Mode

15、1）的缩写，它源于CMM（能力成熟度模型）的思想和方法，是CMM在系统安全工程领域的应用，SSE-CMM是偏向于对组织的系统安全工程能力的评估标准。,SSE-CMM模型将信息系统安全工程分为3个相互联系的部分：风险评估、工程实施和可信度评估。针对这三个部分SSE-CMM定义了11项关键过程（PA），并为每个过程定义了一组完成该过程必不可少的确定的基本实践（BP）。同时模型还定义了5个能力成熟度等级.,从整体上看，SSE-CMM模型定义了一个“二维”架构，横轴上是11个系统安全工程的过程域，纵轴上是5个能力成熟度等级，如果给每个过程域赋予一个能力成熟度等级的评定，所得到的“二维”图形便形象地反映

16、了安全工程的质量以及工程在安全上的可信度，也间接地反映了工程队伍实施安全系统工程的能力成熟性。,5.2.2 安全工程过程,1风险过程 风险是潜在的威胁，这种威胁利用有用资源的脆弱性造成资源的破坏和损失。风险事件有三个组成部分：威胁，系统脆弱性，事件造成的影响。 安全机制在系统中存在的根本目的是将风险控制在可接受的程度内，SSE-CMM模型定义了四种风险过程：评估威胁过程（PA04），评估脆弱性过程（PA05），评估风险事件影响过程（PA02）以及在前三种过程基础上的评估安全风险过程（PA03）。,2工程过程 安全工程是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。针对工程实

17、施管理，SSE-CMM模型定义了安全需求说明过程（PA10），安全方案制定过程（PA09），安全控制实施过程（PA01），安全状态监测过程（PA08）。安全工程不是一个独立的实体，而是整个信息系统工程的一个组成部分，模型强调系统安全工程与其它工程的合作和协调并定义了专门的协调安全过程（PA07）。,3保证过程 保证是指安全需求得到满足的信任程度。用可信度描述对建立的安全系统正确执行其安全功能的信心究竟有多大度。SSE-CMM模型在信任度问题上强调对安全工程结果可重复性的信任程度，它通过对现有系统安全体系真实性和有效性的测试（PA11）来构造系统安全可信度论据（PA06）。,5.2.3 能力成熟

18、度等级,SSE-CMM模型定义了五个能力级别，它们分别是： 1级：非正式执行的过程。仅仅要求一个过程域的所有基本实践都被执行，而对执行的结果并无明确要求。 2级：计划并跟踪的过程。这一级强调过程执行前的计划和执行中的检查。这使工程组织可以基于最终结果的质量来管理其实践活动。,3级：完好定义的过程。过程域的所有基本实践均应依照一组完善定义的操作规范来进行。这组规范是实施队伍根据以往经验制订出来的，其合理性是验证过的。 4级：定量控制的过程。能够对实施队伍的表现进行定量的度量和预测。过程管理成为客观的和准确的实践活动。 5级：持续改善的过程。为过程行为的高效和实用建立定量的目标。可以准确地度量过程

19、的持续改善所收到的效益。,5.3 GAO/AIMD-99-139,1998年5月美国审计总署(GAO)出版了信息安全管理指南一向先进公司学习(GAO/AIMD-98-68)，并出版了其支持性文件信息安全风险评估指南 向先进公司学习(GAO/AIMD-99-139)，GAO/AIMD-99-139风险评估指南有针对性的对风险评估过程进行了分析和阐述，是在开展类似公司风险评估工作的过程中可以参考和借鉴的标准。,5.3.1 GAO/AIMD-99-139的组成,GAO/AIMD-99-139由三部分组成： 第一部分引言，介绍了风险评估指南的产生背景、风险评估在风险管理中的地位、风险评估过程的基本要素

20、以及信息安全风险评估过程中的难点； 第二部分给出了第3部分案例研究的概述，分析了风险评估过程中关键的成功因素、风险评估工具以及风险评估带来的益处； 第三部分案例分析，美国审计总署从调查的众多组织中挑选了有代表性的4个组织，对他们的风险评估过程进行了分析和阐述。 附录给出了风险评估指南的目标和方法论。,5.3.2 风险评估过程的基本要素,风险评估过程通常要包括下列要素： 1识别可能危害关键运作和资产并对其造成负面影响的威胁。 2在历史信息以及有经验的人员的判断基础上，估计此类威胁发生的现实可能性,3识别并评价可能受到此类威胁发生影响的运作和资产的价值、敏感度和关键度，以确定哪些运作和资产是重要的

21、。 4对最关键、最敏感的资产和运作，估计威胁发生可能造成的潜在损失或破坏，包括恢复成本。 5识别经济有效的措施以减轻或降低风险。 6将结果形成文件并建立活动计划。,6 我国信息安全风险评估标准GB/T 20984-2007,6.1 GB/T 20984-2007简介 随着我国信息化应用的逐步深入，信息安全问题也日益受到关注，针对我国没有信息安全风险评估标准的现状，2004年，国信办组织专家启动信息安全了风险评估的研究与标准的编制工作，标准编制工作于2004年3月正式启动，2007年7月通过了国家标准化管理委员会的审查批准，标准编号和名称为GB/T 20984-2007信息安全技术 信息安全风险

22、评估规范于2007年11月正式实施。,2 GB/T 20984-2007的内容,GB/T 20984-2007信息安全技术 信息安全风险评估规范包括正文和附录两部分，正文由前言、引言和七章内容组成，附录部分包括附录A和附录B，均为资料性附录。,前言：对本标准的制定作了简单介绍； 引言：简单介绍了信息安全风险评估的重要性； 第 1章 范围：阐述了本标准的范围； 第2章 规范性引用文件：阐述了本标准的规范性引用文件； 第3章 术语和定义：给出了本标准中所用的术语和定义； 第4章 风险评估框架及流程：阐述了信息安全风险评估中各要素的关系、风险分析的原理、风险评估的实施流程；,第5章 风险评估实施：详

23、细介绍了信息安全风险评估的实施过程及每一阶段的具体任务和职能； 第6章 信息系统生命周期各阶段的风险评估：阐述了信息安全风险评估在信息系统生命周期各阶段中的不同要求； 第7章 风险评估的工作方式：介绍了风险评估的两种形式（即自评估和检查评估）； 附录A 风险的计算方法：详细介绍了目前比较常用的两种风险计算方法（即矩阵法和相乘法）； 附录B 风险评估工具：对当前的风险评估工具进行了分类和综述,6.3 GB/T 20984-2007的风险 评估实施过程,1风险评估的准备 这是整个风险评估过程有效性的保证。在这个阶段要完成以下任务：确定风险评估的目标和范围，组建评估团队，进行系统调研，确定评估依据和

24、方法，并获得最高管理者对评估工作的支持。,2资产识别 依据资产的分类，对评估范围内的资产逐一识别，完成对资产机密性、完整性和可用性的赋值，最后经过综合评定得出资产重要性等级。 3威胁识别 对资产可能遭受的威胁进行识别，并依据威胁出现的频率对威胁进行赋值。,4脆弱性识别 脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。从技术和管理两个方面对评估对象存在的脆弱性进行识别并赋值。 5已有安全措施的确认 在识别脆弱性的同时，对评估对象已采取的安全措施的有效性进行确认，评估其有效性。,6风险分析 采用适当的方法与

25、工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。 7风险评估文件记录 形成风险评估过程中的相关文档，包括风险评估报告。 GB/T 20984-2007详细的风险评估过程在第7章介绍。,7 信息安全风险评估方法,7.1 概述 信息安全风险评估综合分析资产、威胁、脆弱性、安全措施，判断系统风险，为安全管理单位识别安全重点、选择合理适用安全对策提供依据，是信息安全风险管理的基础。下面将从不同的角度比较现有的信息安全风险评估方法。,1.2 技术评估和整体评估 技术评估 是指对组织的技术基础结构和程序进行系统

26、的、及时的检查，包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击 优点：技术评估强调组织的技术脆弱性，评估整个系统的计算基础结构并对检测到的技术弱点提出解决措施。 缺点：疏漏了组织的安全性遵循“木桶原则”，组织内最薄弱的环节多半是组织中的某个人。,2. 整体评估 扩展了技术评估的范围，着眼于分析组织内部与安全相关的风险，包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列，关注的焦点主要集中在安全的以下4个方面： 检查与安全相关的组织实践，标识当前安全实践的优点和弱点； 对系统进行技术分析、对政策进

27、行评审，以及对物理安全进行审查； 检查IT的基础结构，以确定技术上的弱点； 帮助决策制订者综合平衡风险以选择成本效益对策。,7.1.3 定性评估和定量评估 1. 定性评估 是最广泛使用的风险分析方法 ，一般只关注威胁事件所带来的损失，而忽略事件发生的概率 。 多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，往往带有很强的主观性，需要凭借分析者的经验和直觉进行定性分级，如设定每种风险的影响值和概率值为“高”、“中”、“低”，有时单纯使用期望值，并不能明显区别风险值之间的差别。 常用的定性评估方法有故障分析树（FTA）、事件树分析

28、（ETA）、德尔菲法（DELPHI）。,2定量评估 是对构成风险的各个要素和潜在的损失的水平赋予数值或货币值。 根据上述三个参数，计算损失估算值。 优点：结果直观，容易理解 ； 缺点：它要求特别关注资产的价值和威胁的量化数据，但是资产价值的确定、发生概率的确定、最终数值的界定是比较困难的 。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的，这使得定量评估过程非常耗时和困难。,5.7.1.4 基于知识的评估和基于模型的评估 1基于知识的评估 主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题 。它涉及到对来自类似组织的“最佳惯例”的重用

29、。通过各种途径采集相关信息，识别组织的风险和当前的安全措施，与特定的标准或最佳惯例进行比较，找出不当之处，并按照标准或最佳惯例的推荐，选择安全措施，从而消减和控制风险。 优点：能够直接提供推荐的保护措施、结构框架和实施计划。基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。 缺点：组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。,2基于模型的评估 可以分析出系统自身内部机制中存在的危险性因素，同

30、时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析，比较热门的基于建模的安全风险评估方法主要有基于图的建模方法和模型检测等。 2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了CORAS项目安全危机系统的风险分析平台，为安全要求较高的安全关键系统进行准确、清晰和高效的信息安全风险评估，提供一个框架规范和标准。CORAS风险评估的显著特点是UML建模语言规范描述风险评估过程和综合采用多种互为补充的风险分析技术。,7 信息安全风险评估方法,7.2 典型的信息安全风险评估方法 7.2.1 风险矩阵测量法 风险矩阵测量法是事先建

31、立资产价值、威胁等级和脆弱性等级的一个对应矩阵，预先将风险等级进行了确定，然后根据不同资产的赋值从矩阵中确定不同的风险。 使用本方法需要首先确定资产、威胁和脆弱性的赋值，要完成这些赋值，需要组织内部的管理人员、技术人员、后勤人员等方面的配合。 假设威胁发生的可能性定性划分为3级，脆弱性被利用的可能性也定性划分为3级，受到威胁的资产值定性划分为5级，资产风险判别矩阵如表5-2所示。风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。,表5-2 资产风险判别矩阵 对于每一资产的风险，都将考虑资产价值、威胁等级和脆弱性等级 。,例1：如果某资产的资产值为3，威胁等级为“高”，脆弱性等

32、级为“低”。查表5-2可知此威胁利用此脆弱性对资产所造成的风险值为5。 如果某资产的资产值为2，威胁等级为“低”，脆弱性等级为“高”，查表5-2可知风险值为4。 当一个系统是由若干个资产构成时，先分别计算资产所面临的风险，然后计算总值，即ST=，其中，Ai是系统S的组成，T是其面临的威胁。 例2：假设系统S有3个重要资产，资产A1、资产A2和资产A3，资产所面临的威胁以及威胁可利用资产的脆弱性见表5-3，括号内是其相应的资产值或等级值。 根据表5-2，可知相应的风险值，见表5-3，风险总值ST=4+5+7=16。,表5-3 资产、威胁、脆弱性表,7.2.2威胁分级法 威胁分级法通过直接考虑威胁

33、、威胁对资产产生的影响以及威胁发生的可能性来确定风险，其过程如下： 1确定威胁对资产的影响 确定威胁对资产的影响，可用等级15来表示。识别威胁的过程可以通过两种方式来完成：一是准备威胁列表，让系统所有者去选择相应的资产的威胁；二是由评估团队的人员识别相关的威胁，进行分析和归类。 2评价威胁发生的可能性 用等级15来表示。 3计算风险值 风险的计算方法，可以是影响值与可能性之积，也可以是 之和， 具体算法由用户来定，只要满足是增函数即可。 根据风险值的大小，可对资产面临的不同威胁进行排序。,例3：某资产所面临的威胁有AF，通过判断，其影响值和发生可能性（均采用5个等级确定）如表5-4所示，而风险

34、的测量采用以上两值的乘积，计算结果如表5-4所示。 表5-4 风险计算表 经过计算后，风险被分为25个等级。在具体评估中，可以根据这种方法明确表示“资产威胁风险”的关系。,7.2.3 风险综合评价 风险由威胁产生的可能性、威胁对资产的影响程度以及已采用的控制措施三个方面来确定。与风险矩阵法和威胁分级法不同，风险综合评价法对控制措施的采用进行了单独的考虑。 风险值=影响值-控制措施 求出风险值。 例4：对风险评估表5-5，使用风险综合评价法，计算影响值和风险值。 这里将控制措施的有效性从小到大分为5个等级：15。,表5-5 风险评估表,7.2.4 快速风险评估法 1风险二值法 只区分可接受风险和

35、不可接受风险。当风险测度只被用于划分极为严重活动和较小付出即可实现安全情况下的活动时，可采用此方法。该方法中，矩阵简化为只包含T和V两个等级，表示可接受风险和不可接受风险，如表5-6所示。,2风险矩阵 该方法将资产的三个安全属性（完整性、保密性、可用性）与两个安全风险（意外行为、故意行为）联系到一起，形成一个风险矩阵，如图5-1所示。 图5-1 风险矩阵,通过该矩阵，能够在风险分析过程中识别风险，并同时识别控制措施。评估中，首先识别要评估的资产，接着对影响资产的完整性、保密性和可用性的威胁进行识别，形成一个风险列表（风险矩阵），然后再根据这个风险矩阵形成控制措施的矩阵，如图5-2、5-3所示。

36、 图5-2 风险分析矩阵,图5-3 风险控制矩阵,8 信息系统生命周期各阶段的风险评估,信息安全风险评估应贯穿于信息系统的整个生命周期的各阶段中。信息系统生命周期是某一系统从无到有，再到扬弃的整个过程，包括规划、设计、实施、运维和废弃5个基本阶段，各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。,8.1 规划阶段的信息安全风险评估 在信息系统的规划阶段，确定信息系统的目的、范围和需求，分析和论证可行性，提出总体方案。 目的 ：识别系统的业务战略，用以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信

37、息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标。 本阶段评估中，资产、脆弱性不需要识别；威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。评估着重以下几方面： 1是否依据相关规则，建立了业务战略相一致的信息系统安全规划，并得到最高管理者的认可；,2系统规划中是否明确信息系统开发的组织、业务变更的管理、开发优先级； 3系统规划中是否考虑信息系统的威胁、环境，并制定总体的安全方针； 4系统规划中是否描述信息系统预期使用的信息，包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等； 5系统规划中是否

38、描述所有与信息系统安全相关的运行环境，包括物理和人员的安全配置，以及明确相关的法规、组织安全政策、专门技术和知识等。 规划阶段的评估结果应体现在信息系统整体规划或项目建议书中。,8 信息系统生命周期各阶段的风险评估,8.2 设计阶段的信息安全风险评估 在信息系统的设计阶段：依据总体方案，设计信息系统的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。,本阶段评估中，应详细评估设计方案中对系统面临威胁的描述、将使用的具体设备、软件等资产及其安全功能需求列表。对设计方案的评估着重以下几方面： 1设计方案是否符合系统建设规划，并得到最高管理者的认可； 2

39、设计方案是否对系统建设后面临的威胁进行了分析。重点分析来自物理环境和自然的威胁，以及由于内、外部入侵等造成的威胁； 3设计方案中的安全需求是否符合规划阶段的安全目标，并基于威胁的分析，制定信息系统的总体安全策略； 4设计方案是否采取了一定的手段来应对系统可能的故障； 5设计方案是否对设计原型中的技术实现以及人员、组织管理等各方面的脆弱性进行评估，包括设计过程中的管理脆弱性和技术平台固有的脆弱性；,6设计方案是否考虑随着其他系统接入而可能产生的风险； 7系统性能是否满足用户需求，并考虑到峰值的影响，是否在技术上考虑了满足系统性能要求的方法； 8应用系统（含数据库）是否根据业务需要进行了安全设计；

40、 9设计方案是否根据开发的规模、时间及系统的特点选择开发方法，并根据设计开发计划及用户需求，对系统涉及的软件、硬件与网络进行分析和选型； 10设计活动中所采用的安全控制措施、安全技术保障手段对风险结果的影响。在安全需求变更和设计变更后，也需要重复这项评估。 设计阶段的评估可以以安全建设方案评审的方式进行，判定方案所提供的安全功能与信息技术安全技术标准的符合性。评估结果应体现在信息系统需求分析报告或建设实施方案中。,8 信息系统生命周期各阶段的风险评估,8.3 实施阶段的信息安全风险评估 在信息系统实施阶段，按照实施方案，购买和检测设备，开发定制功能，集成、部署、配置和测试系统，培训人员等。 目

41、的：是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和建立的安全控制措施，在实施及验收时进行质量控制。,开发与技术/产品获取过程的评估要点包括： 1法律、政策、适用标准和指导方针：直接或间接影响信息系统安全需求的特定法律；影响信息系统安全需求、产品选择的政府政策、国际或国家标准； 2信息系统的功能需要：安全需求是否有效地支持系统的功能； 3成本效益风险 ：是否根据信息系统的资产、威胁和脆弱性的分析结果，确定在符合相关法律、政策、标准和功能需要的前提下选择最合适的安全措施； 4评估保证级别，是否明确系统建设后应进行怎样的测试和检查，从而确定是否满足项目建设、实施规范的要求。,系统交付实施过程的评估要点包括： 1根据实际建设的系统，详细分析资产、面临的威胁和脆弱性； 2根据系统建设目标和安全需求，对系统的安全功能进行验收测试；评价安全措施能否抵御安全威胁； 3评估是否建立了