信息安全风险评估实施流程.pptVIP

表5- 7 一种基于表现形式的威胁分类表 种类 描 述 威 胁 子 类 泄密 信息泄露给不应该了解的人员 内部信息泄露、外部信息泄露 篡改 非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、系统配置信息、安全配置信息、用户身份信息或业务数据信息 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖 　　5.3 威胁识别5.3.2 威胁赋值 威胁出现的频率是衡量威胁严重程度的重要要素，因此威胁识别后需要对威胁频率进行赋值，已带入最后的风险计算中。 评估者应根据经验和（或）有关的统计数据来对威胁频率进行赋值，威胁赋值中需要综合考虑以下三个方面因素。 　　5.3 威胁识别5.3.2 威胁赋值1） 以往安全事件报告中出现过的威胁及其频率的统计2） 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；3） 近年来国际组织发布的对与整个社会或特定的行业的威胁及其频率统计，以及发布的威胁预警。 可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。 表5- 8 威胁赋值表 等级 标识 定 义 5 很高 出现频率很高（或 =1 次 / 周）；或在大多数情况下几乎不可能避免；或可以证实经常发生过 4 高 出现频率较高（或 =1 次 / 月）；或在大多数情况下很有可能会发生；或可以证实多次经常发生过 3 中等 出现频率中等（或 =1 次 / 半年）；或在某种情况下可能会发生；或被证实曾经发生过 2 低 出现频率较小；或一般不太可能发生；或没有被证实发生过 1 很低 威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生 　　表5-8 提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的判断应根据历史统计或行业判断，在评估准备阶段确定，并得到被评估方的认可。 5.4 脆弱性识别 脆弱性是资产本身存在的， 如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生进而带来损失。即，威胁总是要利用资产的脆弱性才可能造成危害。  资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件下和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的，起不到应有作用的或没有正确实施安全措施本身就可能存在脆弱性。  脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱的严重程度进行评估，也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。 脆弱识别的依据可以是国际国家安全标准，也可以是行业规范、应用流程的安全要求。  对应用在不同的环境中的相同弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。 信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。 脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。   脆弱性识别主要从技术和管理两个方面进行， 技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。 管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。  对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施 例如，对物理环境的脆弱性识别可以参照GB/T 9361-2000《计算机场地安全要求》中的技术指标实施； 对操作系统、数据库可以参照GB 17859-1999《计算机信息系统安全保护等级划分准则》中的技术指标 实施管理脆弱性识别方面可以参照GB/T 19716-2005《信息技术　信息安全管理实用规则》的要求对安全管理制度及及执行情况进行检查，发现管理漏洞和不足。表5－９提供一种脆弱性识别内容的参考。 表5- 9 脆弱性识别内容表 类型 识别对象 识 别 内 容 技 术 脆 弱 性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方