第2讲第二章信息安全风险评估.pptVIP

威胁评估 以下三个方面的内容，对威胁评估很有帮助。 （1) 以往安全事件报告中出现过的威胁、威胁出现频率、破坏力的统计； （2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； （3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁出现频率及其破坏力的统计。 第六十页，共一百零六页。 威胁评估的结果一般都是定性的，我国的《信息安全风险评估指南》将威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。如表4－4所示。 第六十一页，共一百零六页。 等级 标识 定义 5 很高 威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过 4 高 威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过 3 中 威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过 2 低 威胁出现的频率较小，一般不太可能发生，也没有被证实发生过 1 很低 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生 第六十二页，共一百零六页。 3.5 脆弱点识别与评估 脆弱点识别 脆弱点识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。 脆弱点识别主要从技术和管理两个方面进行，技术脆弱点涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱点又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。 第六十三页，共一百零六页。 对不同的对象，其脆弱点识别的具体要求应参照相应的技术或管理标准实施。例如： 对物理环境的脆弱点识别可以参照《GB/T　9361－2000　计算机场地安全要求》中的技术指标实施； 对操作系统、数据库可以参照《GB　17859－1999 计算机信息系统安全保护等级划分准则》中的技术指标实施。 管理脆弱点识别方面可以参照《ISO/IEC 17799-2005 Code of practice for information security management》的要求对安全管理制度及其执行情况进行检查，发现管理漏洞和不足。 第六十四页，共一百零六页。 我国的《信息安全风险评估指南》列举了不同对象的脆弱点识别内容参考，如表3-7所示 第六十五页，共一百零六页。 类型　 识别对象 识别内容 技术脆弱点 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。 服务器（含操作系统） 从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。 数据库 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。 应用系统 审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。 管理脆弱点 技术管理 物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。 组织管理 安全策略、组织安全、资产分类与控制、人员安全、符合性 第六十六页，共一百零六页。 资产的脆弱点具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱点识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。 脆弱点识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱点的严重程度进行评估。脆弱点识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。 脆弱点识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 第六十七页，共一百零六页。 脆弱点评估 脆弱点评估就是是对脆弱点被利用后对资产损害程度、技术实现的难易程度、弱点流行程度进行评估，评估的结果一般都是定性等级划分形式，综合的标识脆弱点的严重程度。也可以对脆弱点被利用后对资产的损害程度以及被利用的可能性分别评估，然后以一定方式综合。若很多弱点反映的是同一方面的问题，应综合考虑这些脆弱点，最终确定这一方面的脆弱点严重程度。 第六十八页，共一百零六页。 我国的《信息安全风险评估指南》依据脆弱点被利用后，对资产造成的危害程度，将脆弱点严重程度的等级划分为五级，分别代表资产脆弱点严重程度的高低。等级数值越大，脆弱点严重程度越高。如表3-8所示。 等级 标识 定义 5 很高 如果被威胁利