小师妹聊一聊安全标准(2)

2.工作保障

(二)识别阶段

这个阶段差不多是整个风险评估工作中很重要的一个阶段了，首先还是先画一个结构图来了解一下。

1.资产识别

风险的重要因素是以资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。

一般识别流程如下：

(1)资产分类：一般来说，我们把资产分为硬件、软件、数据、服务、人员以及其他6大类。

(2)资产调查：识别组织和信息系统中资产(包括资产属性)的重要途径。一般情况下，可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手册、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图以及访谈相关人员等，识别组织和信息系统的资产。

(3)资产赋值：依据资产保密性、完整性和可用性等安全属性为资产赋值。一般来说，根据以下几个因素综合来为资产资产赋值:

a) 资产所承载信息系统的重要性;

b) 资产所承载信息系统的安全等级;

c) 资产对所承载信息安全正常运行的重要程度;

d) 资产保密性、完整性、可用性等安全属性对信息系统，以及相关业务的重要程度。

(4)资产赋值报告：根据资产赋值情况，形成资产列表和资产赋值报告。

2.威胁识别

威胁是指可能导致危害系统或组织的不希望事故的潜在起因。在信息安全领域，不存在绝对的安全。

威胁的一般识别流程如下：

(1)威胁分类：威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。如果根据威胁产生的起因、表现和后果不同，威胁又可分为有害程序、网络攻击、信息破坏、信息内容攻击、设备设施故障、灾害性破坏、其他威胁7类。

(2)威胁调查：调查工作包括威胁源动机及其能力、威胁途径、威胁可能性及其影响;威胁调查的方法是多样化的，根据组织和信息系统自身的特点，发生的历史安全事件记录(数据)，面临威胁分析等方法进行调查。

(3)威胁分析：基于前面的威胁调查作出分析。同样也可对威胁的可能性进行赋值，威胁赋值分为很高、高、中等、低、很低5个级别，级别越高表示威胁发生的可能性越高。

(4)威胁分析报告：报告内容包括威胁名称、威胁类型、威胁源攻击能力、攻击动机、威胁发生概率、影响程度、威胁发生的可能性、威胁赋值以及严重威胁说明等。

3.脆弱性识别

脆弱性可从技术和管理两个方面进行识别。

技术方面，可从物理环境、网络、主机系统、应用系统、数据等方面识别资产的脆弱性;管理方面，可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆弱性，技术管理脆弱性与具体技术活动相关，，组织管理脆弱性与管理环境相关。

脆弱性识别所采用的方法主要有：文档查阅、问卷调查、人工核查、工具检测、渗透性测试等。

(1)安全技术脆弱性核查

(2)安全管理脆弱性核查

安全管理核查主要通过查阅文档、抽样调查和询问等方法，并核查信息安全规章制度的合理性、完整性、适用性等。

4.工作保障

(三)风险分析阶段

1.信息安全风险分析原理：

2.风险值的计算方法

风险计算方法一般分为定性计算方法和定量计算方法两大类。

(1)定性计算方法：将风险的各要素资产、威胁、脆弱性等的相关属性进行量化(或等级化)赋值，然后选用具体的计算方法(如相乘法或矩阵法)进行风险计算;

(2)定量计算方法：通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。由于定量计算法需要等量化财务价值，在实际操作中往往难以实现，所以一般不采用该计算方法。

3.风险分析与评价

通过对风险的等级划分，来确定总体的风险状况。

4.风险评估报告

报告内容包括：风险对组织、业务及系统的影响范围、影响程度;依据的法规和证据;风险评价结论。

（编辑：ASP站长网）