信息安全风险评估简介.docxVIP

信息安全风险评估

信息安全管理体系建设过程中，信息安全风险评估是其最主要的技术路线和信息安全管理体系（ISMS）建设效果评估的依据。在信息安全领域，信息安全风险评估也形成了诸多国际标准和国内标准。

信息安全风险评估包括四个主要方面的内容，即资产识别、威胁识别、脆弱性识别和风险评估。

风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。

资产识别

安全的目的始终都是保障组织业务的正常运行。因此，资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得我们能够科学的把握组织的业务安全需求及其变化。资产识别包括资产分类和资产赋值两个环节。

威胁识别

与资产识别相类似，威胁识别分为威胁分类和威胁赋值两个环节。

威胁

—恶意

——人为因素——

—非恶意一?

—”然界

—外境因素—

—其他物理脱因一

拒绝假务ftJi（Iif用性）蓄意器窃（保密性）故意篡改（完整性）

软件故障（保密/完整/可用性）操作失误L保密，操作失I用性文件去失《保密性）

地震〈可用性）

洪灾L叮用性）

雷山C可用性）

设境老化LM用性）元器件质量（可用性〉电力中断＜M用性）

脆弱性识别

与资产识别和威胁识别略有不同，脆弱性识别分为脆弱性发

现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。

类型

识别

对象

识别内容

技术

脆弱

性

物理

环境

从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别

网络

结构

从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别

系统

软件

从补丁安装、物理防护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别

应用

中间

件

从协议安全、交易完整性、数据完整性等方面进行识别

应用

系统

从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别

机制、密码保护等方面进行识别

管理

脆弱

性

技术

管理

从物理和环境安全、通信与操作管理、访问控制、系统开发与维

护、业务连续性等方面进行识别

组织

管理

从安全策略、组织安全、资产分类与控制、人员安全、符合性等方

面进行识别