信息安全管理实务 风险评估软件使用、风险评估的流程 信息安全风险评估流程演示系统操作说明.docVIP

目录 TOC \o 1-3 \h \z \u 4.1软件简介 2 4.2风险评估准备 3 4.3资产识别过程 7 4.4威胁识别过程 11 4.5脆弱性识别 14 4.6已有安全措施的确认 17 4.7风险分析 18 4.7.1威胁的脆弱性关联 19 4.7.2计算安全事件发生可能性 21 4.7.3计算安全事件损失 23 4.7.4计算风险值 24 4.7.5确定风险等级 26 4.7.6图形分析 27 4.7.7形成风险分析报告 27 4.7.8 风险评估文件记录 28 信息安全风险评估流程演示系统操作说明 4.1软件简介 图4－1是“风险评估”模拟软件的主操作界面。 图4－1“风险评估”模拟软件的主界面 新建一个风险评估过程，”系统功能”－》”创建评估工程”，在“请输入新评估工程名称”文本框中，输入“某某信息系统”的评估工程。如图4－2所示。单击“创建”按钮，出现如图4－3。 图4－2“新建评估工程”界面 图4－3 新创建的工程界面 4.2风险评估准备 选择“风险评估的准备”－》“评估准备向导”，出现如图4－5所示的界面，根据屏幕提示，在文本框中输入相关信息； 不断单击“下一步”，出现如图4－6，4－7，4－8，4－9，4－10的界面，并填入相关信息。 图4－5 确定风险评估目标 图4－6 确定风险评估的范围 图4－7 确定风险评估的团队 图4－8 进行系统调研 图4－9 确定评估的依据和方法 图4－10获得最高管理者支持 上述信息确认无误后，单击“生成风险评估方案”，如图4－11所示，自动生成“某某信息系统风险评估方案”文档。 图4－11某某信息系统风险评估方案 4.3资产识别过程 单击“评估要素识别”－》“资产识别”，如图4－12所示。 单击“添加”按钮，出现如图4－13所示。 在“资产名称”文本框中，添加资产记录“资产1”，如图4－14所示。该资产使用“最高等级法”对三种权重进行衡量，选取最为重要的一个属性的赋值等级作为资产的最终赋值结果。 在“资产名称”文本框中，添加资产记录“资产2”，如图4－15所示。该资产使用“权重方法”对三种权重进行衡量，对三种属性根据权重和其赋值计算得资产的最终赋值结果。 在“资产名称”文本框中，添加资产记录“资产3”，如图4－16所示。该资产使用“权重方法”计算得到资产的最终赋值结果。 添加了三个资产记录后的资产列表如图4－17所示。 如果需要对资产3的资产信息进行修改，可以选中列表中的相应列，单击“修改”按钮，出现如图4－18所示的“修改资产记录”对话框。 图4－12 资产识别主界面 图4－13 “添加资产记录”界面 图4－14使用最高等级法创建资产记录 图4－15使用权重法创建资产记录 图4－16使用权重法创建另外一条资产记录 图4－17 资产列表 图4－18 “修改资产记录”对话框 单击“评估要素识别”－》“生成阶段文档”－》“生成资产识别清单”，系统自动生成资产识别清单。 图4－19资产识别清单 4.4威胁识别过程 单击“评估要素识别”－》“威胁识别”，出现如图4－20。 单击“添加”按钮，出现如图4－21所示的“添加威胁记录”的界面，在“威胁名称”文本框中，添加“威胁T1”，单击“添加记录按钮”，出现如图4－22。 接着添加“威胁T2”，“威胁T3”，“威胁T4”，“威胁T5”4个威胁记录，添加完成后如图4－23所示。 单击“评估要素识别”－》“生成阶段文档”－》“生成威胁识别清单”，系统自动生成威胁识别清单。图4－24所示。 图4－20威胁识别主界面 图4－21 “添加威胁记录”对话框 图4－22 添加一条威胁记录后的威胁列表 图4－23 添加了新记录后的威胁列表 图4－24威胁列表文档 4.5脆弱性识别 单击“评估要素识别”－》“脆弱性识别”，出现如图4－25。 单击“添加”按钮，出现如图4－26所示的“添加脆弱性记录”的界面。 由于脆弱性识别是以资产为核心，并且脆弱性又会被威胁利用，因此，脆弱性是威胁与资产发生联系的重要渠道。在进行脆弱性识别的过程中，将重要资产列出来，以便脆弱性与资产进行关联。 在“添加脆弱性记录”的界面的 ““脆弱性名称”的文本框中，添加“脆弱性V1”，如图4－27所示。“脆弱性V1”的脆弱性等级为很低，并且它是资产1存在的一个脆弱性。 单击“添加记录按钮”，出现如图4－28所示的脆弱性列表，列表中有一条脆弱性记录。其中{1}表示“脆弱性V1” 的关联资产是序号1，即“资产1”。一个脆弱性也可能关联多个资产，这时，可能表示成{n1,n1,…}，其中，ni是所关联资产的序号。 接着添加脆弱性V2 ―脆弱性V9，添加完成后的脆弱性列表如图4－29所示。单击“评估