第八章计算机系统安全风险评估课件

主要内容主要内容n n计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义 n n安全风险评估途径安全风险评估途径安全风险评估途径安全风险评估途径 n n安全风险评估基本方法安全风险评估基本方法安全风险评估基本方法安全风险评估基本方法 n n安全风险评估工具安全风险评估工具安全风险评估工具安全风险评估工具 n n安全风险评估的依据和过程安全风险评估的依据和过程安全风险评估的依据和过程安全风险评估的依据和过程 7/14/20241计算机系统安全原理与技术(第2版)8.1计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义1.1.安全风险评估是科学分析并确定风险的过程安全风险评估是科学分析并确定风险的过程安全风险评估是科学分析并确定风险的过程安全风险评估是科学分析并确定风险的过程任任任任何何何何系系系系统统统统的的的的安安安安全全全全性性性性都都都都可可可可以以以以通通通通过过过过风风风风险险险险的的的的大大大大小小小小来衡量。来衡量。来衡量。来衡量。风风风风险险险险评评评评估估估估人人人人们们们们为为为为了了了了找找找找出出出出答答答答案案案案，分分分分析析析析确确确确定定定定系系系系统统统统风风风风险险险险及及及及风风风风险险险险大大大大小小小小，进进进进而而而而决决决决定定定定采采采采取取取取什什什什么么么么措措措措施施施施去去去去减减减减少少少少、转转转转移移移移、避避避避免免免免风风风风险险险险，把把把把风风风风险险险险控控控控制制制制在在在在可可可可以以以以容容容容忍忍忍忍的的的的范范范范围围围围内内内内，这这这这一一一一过过过过程程程程即即即即为为为为风险评估。风险评估。风险评估。风险评估。7/14/20242计算机系统安全原理与技术(第2版)信信信信息息息息安安安安全全全全风风风风险险险险评评评评估估估估从从从从风风风风险险险险管管管管理理理理的的的的角角角角度度度度，运运运运用用用用科科科科学学学学的的的的方方方方法法法法和和和和手手手手段段段段，系系系系统统统统地地地地分分分分析析析析网网网网络络络络与与与与信信信信息息息息系系系系统统统统所所所所面面面面临临临临的的的的威威威威胁胁胁胁及及及及其其其其存存存存在在在在的的的的脆脆脆脆弱弱弱弱性性性性，评评评评估估估估安安安安全全全全事事事事件件件件一一一一旦旦旦旦发发发发生生生生可可可可能能能能造造造造成成成成的的的的危危危危害害害害程程程程度度度度，提提提提出出出出有有有有针针针针对对对对性性性性的的的的抵抵抵抵御御御御威威威威胁胁胁胁的的的的防防防防护护护护对对对对策策策策和和和和整整整整改改改改措措措措施施施施，并并并并为为为为防防防防范范范范和和和和化化化化解解解解信信信信息息息息安安安安全全全全风风风风险险险险，将将将将风风风风险险险险控控控控制制制制在在在在可可可可接接接接受受受受水水水水平平平平，最最最最大大大大程程程程度度度度地地地地保保保保障障障障计计计计算算算算机机机机网网网网络络络络信信信信息息息息系系系系统统统统安安安安全全全全提提提提供供供供科科科科学学学学依据。依据。依据。依据。7/14/20243计算机系统安全原理与技术(第2版)2.2.信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设的起点和基础信信信信息息息息安安安安全全全全风风风风险险险险评评评评估估估估是是是是风风风风险险险险评评评评估估估估理理理理论论论论和和和和方方方方法法法法在在在在信信信信息息息息系系系系统统统统安安安安全全全全中中中中的的的的运运运运用用用用，是是是是科科科科学学学学地地地地分分分分析析析析理理理理解解解解信信信信息息息息和和和和信信信信息息息息系系系系统统统统在在在在机机机机密密密密性性性性、完完完完整整整整性性性性、可可可可用用用用性性性性等等等等方方方方面面面面所所所所面面面面临临临临的的的的风风风风险险险险，并并并并在在在在风风风风险险险险的的的的预预预预防防防防、控控控控制制制制、转转转转移移移移、补补补补偿偿偿偿以以以以及及及及分分分分散散散散等等等等之之之之间间间间作出决策的过程。作出决策的过程。作出决策的过程。作出决策的过程。7/14/20244计算机系统安全原理与技术(第2版)3.3.信信信信息息息息安安安安全全全全风风风风险险险险评评评评估估估估是是是是需需需需求求求求主主主主导导导导和和和和突突突突出出出出重重重重点点点点原原原原则则则则的具体体现的具体体现的具体体现的具体体现 如如如如果果果果说说说说信信信信息息息息安安安安全全全全建建建建设设设设必必必必须须须须从从从从实实实实际际际际出出出出发发发发，坚坚坚坚持持持持需需需需求求求求主主主主导导导导、突突突突出出出出重重重重点点点点、则则则则风风风风险险险险评评评评估估估估(需需需需求求求求分分分分析析析析)就就就就是是是是这这这这一一一一原原原原则则则则在在在在实实实实际际际际工工工工作作作作中中中中的的的的重重重重要要要要体体体体现现现现。从从从从理理理理论论论论上上上上讲讲讲讲风风风风险险险险总总总总是是是是客客客客观观观观存存存存在在在在的的的的，安安安安全全全全是是是是安安安安全全全全风风风风险险险险和和和和安安安安全全全全建建建建设设设设管管管管理代价的综合平衡。理代价的综合平衡。理代价的综合平衡。理代价的综合平衡。7/14/20245计算机系统安全原理与技术(第2版)4.4.重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验2020世世世世纪纪纪纪7070年年年年代代代代，美美美美国国国国政政政政府府府府就就就就颁颁颁颁布布布布了了了了自自自自动动动动化化化化数数数数据据据据处处处处理理理理风风风风险险险险评评评评估估估估指指指指南南南南，其其其其后后后后颁颁颁颁布布布布的的的的信信信信息息息息安安安安全全全全基基基基本本本本政政政政策策策策文文文文件件件件联联联联邦邦邦邦信信信信息息息息资资资资源源源源安安安安全全全全明明明明确确确确提提提提出出出出了了了了信信信信息息息息安安安安全全全全风风风风险险险险评评评评估估估估的的的的要要要要求求求求要要要要求求求求联联联联邦邦邦邦政政政政府府府府部部部部门门门门依依依依据据据据信信信信息息息息和和和和信信信信息息息息系系系系统统统统所所所所面面面面临临临临的的的的风风风风险险险险，根根根根据据据据信信信信息息息息丢丢丢丢失失失失、滥滥滥滥用用用用、泄泄泄泄露露露露、未未未未授授授授权权权权访访访访问问问问等等等等造造造造成成成成损损损损失失失失的的的的大大大大小小小小，制制制制定定定定、实实实实施施施施信信信信息息息息安安安安全计划，以保证信息和信息系统应有的安全。全计划，以保证信息和信息系统应有的安全。全计划，以保证信息和信息系统应有的安全。全计划，以保证信息和信息系统应有的安全。7/14/20246计算机系统安全原理与技术(第2版)8.2 安全风险评估途径安全风险评估途径1.1.基线评估基线评估基线评估基线评估(Baseline Risk Assessment)(Baseline Risk Assessment)2.2.详细评估详细评估详细评估详细评估3.3.组合评估组合评估组合评估组合评估风险评估途径是指风险评估途径是指规定风险评估应该遵循的规定风险评估应该遵循的操作过程和方式。操作过程和方式。7/14/20247计算机系统安全原理与技术(第2版)n n基线评估基线评估基线评估基线评估(Baseline Risk Assessment)(Baseline Risk Assessment)安安全全基基线线在在诸诸多多标标准准规规范范中中规规定定的的一一组组安安全全控控制制措措施施或或者者惯惯例例，这这些些措措施施和和惯惯例例适适用用于于特特定定环环境境下下的的所所有有系系统统，可可以以满满足足基基本本的的安安全全需需求求，能能使使系系统统达达到到一定的安全防护水平。一定的安全防护水平。采采用用基基线线风风险险评评估估，组组织织根根据据自自己己的的实实际际情情况况，对对信信息息系系统统进进行行安安全全基基线线检检查查，即即拿拿现现有有的的安安全全措措施施与与安安全全基基线线规规定定的的措措施施进进行行比比较较，找找出出其其中中的的差差距距，得得出出基基本本的的安安全全需需求求，通通过过选选择择并并实实施施标标准准的的安安全全措措施施来来消减和控制风险。消减和控制风险。7/14/20248计算机系统安全原理与技术(第2版)优点优点n所所需需资资源源少少、周周期期短短、操操作作简简单单，对对于于环环境境相相似似且且安安全全需需求求相相当当的的诸诸多多组组织织，基基线线评评估估显显然然是是最最经经济济有效地风险评估途径。有效地风险评估途径。缺点缺点n基基线线水水平平的的高高低低难难以以设设定定。如如果果过过高高，可可能能导导致致资资源源浪浪费费和和限限制制过过度度；如如果果过过低低，可可能能难难以以达达到到充充分分的安全。的安全。n在管理安全相关的变化方面，基线评估比较困难。在管理安全相关的变化方面，基线评估比较困难。7/14/20249计算机系统安全原理与技术(第2版)n n详细评估详细评估详细评估详细评估要要求求对对资资产产进进行行详详细细识识别别和和评评估估，对对可可能能引引起起风风险险的的威威胁胁和和脆脆弱弱点点进进行行评评估估，根根据据风风险险评评估估的的结结果果来来识识别别和和选选择择安安全全措措施施。这这种种评评估估途途径径集集中中体体现现了了风风险险管管理理的的思思想想，即即识识别别资资产产的的风风险险并并将将风风险险降降到到可可接接受受的的水水平平，以以此此证证明明管管理理者者采采用用的的安安全全控控制制措措施施是恰当的。是恰当的。优优点点：通通过过此此途途径径可可以以对对信信息息安安全全风风险险有有一一个个精精确确的的认认识识，并并且且准准确确定定义义出出组组织织目目前前的的安安全全水水平平和和安安全需求。全需求。缺点：缺点：非常耗费资源，包括时间、精力、技术等。非常耗费资源，包括时间、精力、技术等。7/14/202410计算机系统安全原理与技术(第2版)n n组合评估组合评估组合评估组合评估将前面二者相结合！将前面二者相结合！优点：优点：既既节节省省评评估估所所耗耗费费的的资资源源，又又能能确确保保获获得得一一个个全全面面系系统的评估结果。统的评估结果。组组织织的的资资源源和和资资金金能能够够应应用用到到最最能能发发挥挥作作用用的的地地方方，具有高风险的信息系统能够被预先关注。具有高风险的信息系统能够被预先关注。缺缺点点：如如果果初初步步的的高高级级风风险险评评估估不不够够准准确确，某某些些本本来来需要详细评估的系统也会被忽略，最终导致结果失准。需要详细评估的系统也会被忽略，最终导致结果失准。7/14/202411计算机系统安全原理与技术(第2版)8.3 安全风险评估基本方法安全风险评估基本方法目标目标目标目标找出组织信息资产面临的风险及其影响找出组织信息资产面临的风险及其影响找出组织信息资产面临的风险及其影响找出组织信息资产面临的风险及其影响n n基于知识的评估方法基于知识的评估方法基于知识的评估方法基于知识的评估方法 n n基于模型的评估方法基于模型的评估方法基于模型的评估方法基于模型的评估方法n n定量评估方法定量评估方法定量评估方法定量评估方法n n定性分析方法定性分析方法定性分析方法定性分析方法n n定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法7/14/202412计算机系统安全原理与技术(第2版)n n基于知识的评估方法基于知识的评估方法基于知识的评估方法基于知识的评估方法又又称称为为经经验验法法，采采用用这这种种方方法法，组组织织不不需需要要付付出出很很多多精精力力、时时间间和和资资源源，只只要要通通过过多多种种途途径径采采集集相相关关信信息息，识识别别组组织织的的风风险险所所在在和和当当前前的的安安全全措措施施，与与特特定定的的标标准准或或最最佳佳惯惯例例进进行行比比较较，从从中中找找出出不不符符合合的的地地方方，并并按按照照标标准准或或最最佳佳惯惯例例的的推推荐荐选选择择安安全全措措施施，最最终终达达到到消减和控制风险的目的。消减和控制风险的目的。信信息息源源包包括括：会会议议讨讨论论；对对当当前前的的信信息息安安全全策策略略和和相相关关文文档档进进行行复复查查；制制作作问问卷卷，进进行行调调查查；对对相相关关人人员员进行访谈；进行实地考察。进行访谈；进行实地考察。7/14/202413计算机系统安全原理与技术(第2版)n n基于模型的评估方法基于模型的评估方法基于模型的评估方法基于模型的评估方法CORAS安安全全危危急急系系统统的的风风险险分分析析平平台台，2019年年1月月，由由希希腊腊、德德国国、英英国国、挪挪威威等等国国的的多多家家商商业业公公司和研究机构共同组织开发。司和研究机构共同组织开发。目目的的：开开发发一一个个机机遇遇面面向向对对象象建建模模，特特别别是是UML技技术的风险评估框架。术的风险评估框架。评评估估对对象象：对对安安全全要要求求很很高高的的一一般般性性系系统统，特特别别是是IT系统的安全。系统的安全。7/14/202414计算机系统安全原理与技术(第2版)优点优点 提提高高了了对对安安全全相相关关特特性性描描述述的的精精确确性性，改改善善了了分分析析结结果果的质量；的质量；图形化的建模机制便于沟通，减少了理解上的偏差；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率。加强了不同评估方法互操作的效率。7/14/202415计算机系统安全原理与技术(第2版)n n定量评估方法定量评估方法定量评估方法定量评估方法指指运运用用数数量量指指标标来来对对风风险险进进行行评评估估，即即对对构构成成风风险险的的各各个个要要素素和和潜潜在在损损失失的的水水平平赋赋予予数数值值或或货货币币金金额额，当当度度量量风风险险的的所所有有要要素素都都被被赋赋值值，如如资资产产价价值值、威威胁胁频频率率、弱弱点点利利用用程程度度、安安全全措措施施的的效效率率和和成成本本等等，风险评估的整个过程和结果就都可以被量化了。风险评估的整个过程和结果就都可以被量化了。7/14/202416计算机系统安全原理与技术(第2版)优点优点n用用直直观观的的数数据据来来表表述述评评估估的的结结果果，可可以以对对安安全全风风险险进进行行准准确确的的分分级级，但但这这有有个个前前提提，即即可可供供参参考考的数据指标是准确的。的数据指标是准确的。缺点：缺点：n定量分析所依赖的数据的可靠性很难保证；定量分析所依赖的数据的可靠性很难保证；n为为了了量量化化，常常常常将将本本来来比比较较复复杂杂的的事事物物简简单单化化、模模糊糊化化了了，有有的的风风险险因因素素被被量量化化后后还还可可能能被被误误解解和曲解。和曲解。7/14/202417计算机系统安全原理与技术(第2版)几个概念几个概念几个概念几个概念n暴暴露露因因子子EF：特特定定威威胁胁对对特特定定资资产产造造成成损损失失的的百分比，即损失的程度。百分比，即损失的程度。n单单一一损损失失期期望望SLE：即即特特定定威威胁胁可可能能造造成成的的潜潜在在损失总量。损失总量。n年年度度发发生生率率ARO：在在一一年年内内估估计计会会发发生生威威胁胁的的频率。频率。n年年度度损损失失期期望望ALE：表表示示特特定定资资产产在在一一年年内内遭遭受受损失的预期值。损失的预期值。7/14/202418计算机系统安全原理与技术(第2版)定量分析的过程定量分析的过程n识别资产并为资产赋值；识别资产并为资产赋值；n通通过过威威胁胁和和弱弱点点评评估估，评评估估特特定定威威胁胁作作用用于于特特定定资产所造成的影响，即资产所造成的影响，即EF（0%100%）；）；n计算特定威胁发生的频率计算特定威胁发生的频率ARO；n计算资产的计算资产的SLE：SLE=总资产总资产*EFn计算资产的计算资产的ALE：ALE=SLE*AROn对对定定量量分分析析来来说说，有有两两个个指指标标最最为为关关键键：EF和和ARO7/14/202419计算机系统安全原理与技术(第2版)n n定性分析方法定性分析方法定性分析方法定性分析方法主主要要依依据据评评估估者者的的知知识识、经经验验、历历史史教教训训、政政策策走走向向及及特特殊殊情情况况等等非非量量化化资资料料，对对系系统统风风险险状状况况作作出出判判断断的的过过程程。操操作作方方法法有有：小小组组讨讨论论、检检查查列列表表、问问卷卷、人人员员访访谈谈、调调查查等等。在在此此基基础础上上，通通过过一一个个理理论论推推导导演绎的分析框架作出调查结论。演绎的分析框架作出调查结论。优优点点：避避免免了了定定量量方方法法的的缺缺点点，可可挖挖掘掘出出一一些些蕴蕴藏藏很很深的思想，使评估的结论更全面、深刻。深的思想，使评估的结论更全面、深刻。缺缺点点：主主观观性性很很强强，往往往往需需要要凭凭借借分分析析者者的的经经验验和和直直觉觉，或或是是业业界界的的标标准准和和惯惯例例，为为风风险险管管理理主主要要素素的的大大小或高低程度定性分级。小或高低程度定性分级。7/14/202420计算机系统安全原理与技术(第2版)n定量分析与定性分析比较：定量分析与定性分析比较：定定性性分分析析的的精精确确度度不不够够，定定量量分分析析则则比比价价精精确确，但但前前期建立风险模型较困难；期建立风险模型较困难；定定性性分分析析没没有有定定量量分分析析那那么么繁繁多多的的计计算算负负担担，但但要要求求分析者有一定的经验和能力；分析者有一定的经验和能力；定定性性分分析析不不依依赖赖于于大大量量的的统统计计数数据据，而而定定量量分分析析则则不不同；同；定性分析较为主观，定量分析基于客观；定性分析较为主观，定量分析基于客观；定定性性分分析析的的结结果果很很难难有有统统一一的的解解释释，但但是是定定量量分分析析的的结果很直观，任意理解。结果很直观，任意理解。7/14/202421计算机系统安全原理与技术(第2版)n n定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定定量量分分析析是是定定性性分分析析的的基基础础和和前前提提，定定性性分分析析应应建建立立在在定定量量分分析析的的基基础础上上才才能能揭揭示示客客观观事事物物的的内内在在规规律律。所所以以在在复复杂杂的的信信息息系系统统风风险评估过程中，应该将这两种方法融合起来。险评估过程中，应该将这两种方法融合起来。7/14/202422计算机系统安全原理与技术(第2版)8.4 安全风险评估工具安全风险评估工具n n风风险险评评估估工工具具是是风风险险评评估估的的辅辅助助手手段段，是是保保证证风风险险评评估估结结果果可可信信度度的的重重要要因因素素。它它的的使使用用不不仅仅在在一一定定程程度度上上解解决决了了手手动动评评估估的的局局限限性性，最最主主要要的的是是它它能能够够将将专专家家知知识识进进行行集集中中，使使专专家家经经验验知知识识被被广广泛应用。泛应用。7/14/202423计算机系统安全原理与技术(第2版)n n1风险评估与管理工具风险评估与管理工具一套集成了风险评估各类知识一套集成了风险评估各类知识一套集成了风险评估各类知识一套集成了风险评估各类知识和和和和判据的管理信判据的管理信判据的管理信判据的管理信息系统，以规范风险评估的过程和操作方法；或者息系统，以规范风险评估的过程和操作方法；或者息系统，以规范风险评估的过程和操作方法；或者息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经是用于收集评估所需要的数据和资料，基于专家经是用于收集评估所需要的数据和资料，基于专家经是用于收集评估所需要的数据和资料，基于专家经验、对输入输出进行模型分析。验、对输入输出进行模型分析。验、对输入输出进行模型分析。验、对输入输出进行模型分析。分类分类分类分类n n1 1）基于信息安全标准的风险评估与管理工具。）基于信息安全标准的风险评估与管理工具。）基于信息安全标准的风险评估与管理工具。）基于信息安全标准的风险评估与管理工具。n n2 2）基于知识的风险评估与管理工具。）基于知识的风险评估与管理工具。）基于知识的风险评估与管理工具。）基于知识的风险评估与管理工具。n n3 3）基于模型的风险评估与管理工具。）基于模型的风险评估与管理工具。）基于模型的风险评估与管理工具。）基于模型的风险评估与管理工具。7/14/202424计算机系统安全原理与技术(第2版)n n2系统基础平台风险评估工具系统基础平台风险评估工具系系系系统统统统基基基基础础础础平平平平台台台台风风风风险险险险评评评评估估估估工工工工具具具具包包包包括括括括脆脆脆脆弱弱弱弱性性性性扫扫扫扫描描描描工具和渗透性测试工具。工具和渗透性测试工具。工具和渗透性测试工具。工具和渗透性测试工具。脆脆脆脆弱弱弱弱性性性性扫扫扫扫描描描描工工工工具具具具主主主主要要要要用用用用于于于于对对对对信信信信息息息息系系系系统统统统的的的的主主主主要要要要部部部部件件件件（如如如如操操操操作作作作系系系系统统统统、数数数数据据据据库库库库系系系系统统统统、网网网网络络络络设设设设备备备备等）的脆弱性进行分析。等）的脆弱性进行分析。等）的脆弱性进行分析。等）的脆弱性进行分析。7/14/202425计算机系统安全原理与技术(第2版)目前常见的目前常见的目前常见的目前常见的脆弱性扫描工具脆弱性扫描工具脆弱性扫描工具脆弱性扫描工具有以下几种类型。有以下几种类型。有以下几种类型。有以下几种类型。n n1 1）基基基基于于于于网网网网络络络络的的的的扫扫扫扫描描描描器器器器。在在在在网网网网络络络络中中中中运运运运行行行行，能能能能够够够够检检检检测测测测如如如如防防防防火火火火墙墙墙墙错错错错误误误误配配配配置置置置或或或或连连连连接接接接到到到到网网网网络络络络上上上上的的的的易易易易受受受受攻攻攻攻击击击击的的的的网网网网络服务器的关键漏洞。络服务器的关键漏洞。络服务器的关键漏洞。络服务器的关键漏洞。n n2 2）基基基基于于于于主主主主机机机机的的的的扫扫扫扫描描描描器器器器。发发发发现现现现主主主主机机机机的的的的操操操操作作作作系系系系统统统统、特特特特殊殊殊殊服服服服务务务务和和和和配配配配置置置置的的的的细细细细节节节节，发发发发现现现现潜潜潜潜在在在在的的的的用用用用户户户户行行行行为为为为风风风风险险险险，如密码强度不够，也可实施对文件系统的检查。如密码强度不够，也可实施对文件系统的检查。如密码强度不够，也可实施对文件系统的检查。如密码强度不够，也可实施对文件系统的检查。7/14/202426计算机系统安全原理与技术(第2版)n n3 3）分分分分布布布布式式式式网网网网络络络络扫扫扫扫描描描描器器器器。由由由由远远远远程程程程扫扫扫扫描描描描代代代代理理理理、对对对对这这这这些些些些代代代代理理理理的的的的即即即即插插插插即即即即用用用用更更更更新新新新机机机机制制制制、中中中中心心心心管管管管理理理理点点点点三三三三部部部部分分分分构构构构成成成成，用用用用于于于于企企企企业业业业级级级级网网网网络络络络的的的的脆脆脆脆弱弱弱弱性性性性评评评评估估估估，分分分分布布布布和和和和位位位位于于于于不不不不同同同同的的的的位置、城市甚至不同的国家。位置、城市甚至不同的国家。位置、城市甚至不同的国家。位置、城市甚至不同的国家。n n4 4）数数数数据据据据库库库库脆脆脆脆弱弱弱弱性性性性扫扫扫扫描描描描器器器器。对对对对数数数数据据据据库库库库的的的的授授授授权权权权、认认认认证证证证和和和和完完完完整整整整性性性性进进进进行行行行详详详详细细细细的的的的分分分分析析析析，也也也也可可可可以以以以识识识识别别别别数数数数据据据据库库库库系系系系统统统统中潜在的脆弱性。中潜在的脆弱性。中潜在的脆弱性。中潜在的脆弱性。7/14/202427计算机系统安全原理与技术(第2版)渗透性测试工具渗透性测试工具渗透性测试工具渗透性测试工具n n是根据脆弱性扫描工具扫描的结果进行模拟攻击是根据脆弱性扫描工具扫描的结果进行模拟攻击是根据脆弱性扫描工具扫描的结果进行模拟攻击是根据脆弱性扫描工具扫描的结果进行模拟攻击测试，判断被非法访问者利用的可能性。这类工测试，判断被非法访问者利用的可能性。这类工测试，判断被非法访问者利用的可能性。这类工测试，判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件。具通常包括黑客工具、脚本文件。具通常包括黑客工具、脚本文件。具通常包括黑客工具、脚本文件。n n渗透性测试的目的渗透性测试的目的渗透性测试的目的渗透性测试的目的是检测已发现的脆弱性是否真是检测已发现的脆弱性是否真是检测已发现的脆弱性是否真是检测已发现的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与正会给系统或网络带来影响。通常渗透性工具与正会给系统或网络带来影响。通常渗透性工具与正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用，并可能会对被评估系脆弱性扫描工具一起使用，并可能会对被评估系脆弱性扫描工具一起使用，并可能会对被评估系脆弱性扫描工具一起使用，并可能会对被评估系统的运行带来一定影响。统的运行带来一定影响。统的运行带来一定影响。统的运行带来一定影响。7/14/202428计算机系统安全原理与技术(第2版)n n3风险评估辅助工具风险评估辅助工具风险评估需要大量的实践和经验数据的支风险评估需要大量的实践和经验数据的支持，这些数据的积累是风险评估科学性的持，这些数据的积累是风险评估科学性的基础。基础。风险评估辅助工具可以实现对数据的采集、风险评估辅助工具可以实现对数据的采集、现状分析和趋势分析等单项功能，为风险现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据。评估各要素的赋值、定级提供依据。7/14/202429计算机系统安全原理与技术(第2版)常用的辅助工具有：常用的辅助工具有：n n检检查查列列表表基基于于特特定定标标准准或或基基线线建建立立的的，对特定系统进行审查的项目条款。对特定系统进行审查的项目条款。n n入入侵侵检检测测系系统统通通过过部部署署检检测测引引擎擎，收收集集、处处理理整整个个网网络络中中的的通通信信信信息息，以以获获取取可可能能对对网网络络或或主主机机造造成成危危害害的的入入侵侵攻攻击击事事件件；帮帮助助检检测测各各种种攻攻击击试试探探和和误误操操作；也可以作为警报器以提醒管理员。作；也可以作为警报器以提醒管理员。7/14/202430计算机系统安全原理与技术(第2版)安全审计工具安全审计工具安全审计工具安全审计工具用于记录网络行为，分析系统用于记录网络行为，分析系统或网络安全现状；其审计记录可作为风险评估或网络安全现状；其审计记录可作为风险评估中的安全现状数据，并可用于判断被评估对象中的安全现状数据，并可用于判断被评估对象威胁信息的来源。威胁信息的来源。拓扑发现工具拓扑发现工具拓扑发现工具拓扑发现工具主要是完成网络硬件设备的识主要是完成网络硬件设备的识别、发现功能。通过接入点接入被评估网络，别、发现功能。通过接入点接入被评估网络，完成被评估网络中的资产发现功能，并提供网完成被评估网络中的资产发现功能，并提供网络资产的相关信息，包括操作系统版本、型号络资产的相关信息，包括操作系统版本、型号等。等。7/14/202431计算机系统安全原理与技术(第2版)资产信息收集系统资产信息收集系统资产信息收集系统资产信息收集系统通过提供调查表形式，完通过提供调查表形式，完成被评估信息系统数据、管理、人员等资产信成被评估信息系统数据、管理、人员等资产信息的收集功能，了解到组织的主要业务、重要息的收集功能，了解到组织的主要业务、重要资产、威胁、管理缺陷、控制措施和安全策略资产、威胁、管理缺陷、控制措施和安全策略的执行情况。的执行情况。其他其他其他其他如用于评估过程参考的评估指标库、知如用于评估过程参考的评估指标库、知识库、漏洞库、算法库、模型库等。识库、漏洞库、算法库、模型库等。一些专用的自动化的风险评估工具：一些专用的自动化的风险评估工具：一些专用的自动化的风险评估工具：一些专用的自动化的风险评估工具：COBRACOBRA、CRAMMCRAMM、ASSETASSET、CORACORA、CC toolsCC tools7/14/202432计算机系统安全原理与技术(第2版)8.5 安全风险评估的依据和过程安全风险评估的依据和过程n n8.5.1 8.5.1 风险评估依据风险评估依据风险评估依据风险评估依据 风险评估应该依据国家政策法规、技术规范与风险评估应该依据国家政策法规、技术规范与风险评估应该依据国家政策法规、技术规范与风险评估应该依据国家政策法规、技术规范与管理要求、行业标准或国际标准进行。管理要求、行业标准或国际标准进行。管理要求、行业标准或国际标准进行。管理要求、行业标准或国际标准进行。1 1）政策法规。）政策法规。）政策法规。）政策法规。2 2）国际标准。）国际标准。）国际标准。）国际标准。3 3）国家标准。）国家标准。）国家标准。）国家标准。4 4）行业通用标准。）行业通用标准。）行业通用标准。）行业通用标准。5 5）其他。）其他。）其他。）其他。7/14/202433计算机系统安全原理与技术(第2版)n n8.5.2 8.5.2 风险要素风险要素风险要素风险要素7/14/202434计算机系统安全原理与技术(第2版)n n8.5.3 8.5.3 风险评估过程风险评估过程风险评估过程风险评估过程7/14/202435计算机系统安全原理与技术(第2版)1 1风险评估准备风险评估准备风险评估准备风险评估准备n n风险评估准备是整个风险评估过程有效性的保证。风险评估准备是整个风险评估过程有效性的保证。风险评估准备是整个风险评估过程有效性的保证。风险评估准备是整个风险评估过程有效性的保证。在正式进行风险评估之前，阻止应该制定一个有在正式进行风险评估之前，阻止应该制定一个有在正式进行风险评估之前，阻止应该制定一个有在正式进行风险评估之前，阻止应该制定一个有效的风险评估计划，确定安全风险评估的目标、效的风险评估计划，确定安全风险评估的目标、效的风险评估计划，确定安全风险评估的目标、效的风险评估计划，确定安全风险评估的目标、范围，建立相关的组织机构，并选择系统性的安范围，建立相关的组织机构，并选择系统性的安范围，建立相关的组织机构，并选择系统性的安范围，建立相关的组织机构，并选择系统性的安全风险评估方法来收集风险评估所需的信息和数全风险评估方法来收集风险评估所需的信息和数全风险评估方法来收集风险评估所需的信息和数全风险评估方法来收集风险评估所需的信息和数据。据。据。据。7/14/202436计算机系统安全原理与技术(第2版)n n具体主要包括以下内容。具体主要包括以下内容。具体主要包括以下内容。具体主要包括以下内容。1 1）确定风险评估的目标。）确定风险评估的目标。）确定风险评估的目标。）确定风险评估的目标。2 2）确定风险评估的范围。）确定风险评估的范围。）确定风险评估的范围。）确定风险评估的范围。3 3）组建适当的评估管理与实施团队。）组建适当的评估管理与实施团队。）组建适当的评估管理与实施团队。）组建适当的评估管理与实施团队。4 4）进行系统调研。）进行系统调研。）进行系统调研。）进行系统调研。5 5）确定评估依据和方法。）确定评估依据和方法。）确定评估依据和方法。）确定评估依据和方法。6 6）制定风险评估方案。）制定风险评估方案。）制定风险评估方案。）制定风险评估方案。7 7）获得最高管理者对风险评估工作的支）获得最高管理者对风险评估工作的支）获得最高管理者对风险评估工作的支）获得最高管理者对风险评估工作的支持。持。持。持。7/14/202437计算机系统安全原理与技术(第2版)2 2资产识别资产识别资产识别资产识别n n在这一过程中确定信息系统的资产，并明确资产在这一过程中确定信息系统的资产，并明确资产在这一过程中确定信息系统的资产，并明确资产在这一过程中确定信息系统的资产，并明确资产的价值。资产是组织的价值。资产是组织的价值。资产是组织的价值。资产是组织(企业、机构企业、机构企业、机构企业、机构)赋予了价值因赋予了价值因赋予了价值因赋予了价值因而需要保护的东西。资产的确认应当从关键业务而需要保护的东西。资产的确认应当从关键业务而需要保护的东西。资产的确认应当从关键业务而需要保护的东西。资产的确认应当从关键业务开始，最终覆盖所有的关键资产。在确定资产时开始，最终覆盖所有的关键资产。在确定资产时开始，最终覆盖所有的关键资产。在确定资产时开始，最终覆盖所有的关键资产。在确定资产时一定要防止遗漏，划入风险评估范围的每一项资一定要防止遗漏，划入风险评估范围的每一项资一定要防止遗漏，划入风险评估范围的每一项资一定要防止遗漏，划入风险评估范围的每一项资产都应该被确认和评估。产都应该被确认和评估。产都应该被确认和评估。产都应该被确认和评估。1 1）资产分类）资产分类）资产分类）资产分类数据、软件、硬件、服务、数据、软件、硬件、服务、数据、软件、硬件、服务、数据、软件、硬件、服务、文档、人员、其它等。文档、人员、其它等。文档、人员、其它等。文档、人员、其它等。2 2）资产赋值）资产赋值）资产赋值）资产赋值三个安全属性：保密性、三个安全属性：保密性、三个安全属性：保密性、三个安全属性：保密性、完整性、可用性。完整性、可用性。完整性、可用性。完整性、可用性。7/14/202438计算机系统安全原理与技术(第2版)3 3威胁识别威胁识别威胁识别威胁识别n n在这一步骤中，组织应该识别每项在这一步骤中，组织应该识别每项在这一步骤中，组织应该识别每项在这一步骤中，组织应该识别每项(类类类类)资产可能面资产可能面资产可能面资产可能面临的威胁。安全威胁是一种对组织及其资产构成潜临的威胁。安全威胁是一种对组织及其资产构成潜临的威胁。安全威胁是一种对组织及其资产构成潜临的威胁。安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全在破坏的可能性因素或者事件。无论对于多么安全在破坏的可能性因素或者事件。无论对于多么安全在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁时一个客观存在的事实，它的信息系统，安全威胁时一个客观存在的事实，它的信息系统，安全威胁时一个客观存在的事实，它的信息系统，安全威胁时一个客观存在的事实，它是风险评估的重要因素之一。是风险评估的重要因素之一。是风险评估的重要因素之一。是风险评估的重要因素之一。1 1）威胁分类。威胁来源）威胁分类。威胁来源）威胁分类。威胁来源）威胁分类。威胁来源引发威胁的人或事引发威胁的人或事引发威胁的人或事引发威胁的人或事物，可分为环境因素和人为因素。物，可分为环境因素和人为因素。物，可分为环境因素和人为因素。物，可分为环境因素和人为因素。2 2）威胁赋值）威胁赋值）威胁赋值）威胁赋值对威胁出现的频率进行评估。对威胁出现的频率进行评估。对威胁出现的频率进行评估。对威胁出现的频率进行评估。在评估中对出现的频率进行等级划分，等级数在评估中对出现的频率进行等级划分，等级数在评估中对出现的频率进行等级划分，等级数在评估中对出现的频率进行等级划分，等级数值越大，威胁出现的频率越高。值越大，威胁出现的频率越高。值越大，威胁出现的频率越高。值越大，威胁出现的频率越高。7/14/202439计算机系统安全原理与技术(第2版)4 4脆弱性识别脆弱性识别脆弱性识别脆弱性识别n n光光光光有有有有威威威威胁胁胁胁还还还还构构构构不不不不成成成成风风风风险险险险，威威威威胁胁胁胁只只只只有有有有利利利利用用用用了了了了特特特特定定定定的的的的弱弱弱弱点点点点才才才才可可可可能能能能对对对对资资资资产产产产造造造造成成成成影影影影响响响响，所所所所以以以以，组组组组织织织织应应应应该该该该针针针针对对对对每每每每一一一一项项项项需需需需要要要要保保保保护护护护的的的的信信信信息息息息资资资资产产产产，找找找找到到到到可可可可被被被被威威威威胁胁胁胁利利利利用用用用的的的的脆脆脆脆弱弱弱弱点点点点，并并并并对对对对脆脆脆脆弱弱弱弱性性性性的的的的严严严严重重重重程程程程度度度度进进进进行行行行评评评评估估估估，即即即即对对对对脆脆脆脆弱弱弱弱性性性性被被被被威威威威胁胁胁胁利利利利用用用用的的的的可可可可能能能能性性性性进进进进行行行行评评评评估估估估，最最最最终终终终为其赋予相对等级值。为其赋予相对等级值。为其赋予相对等级值。为其赋予相对等级值。7/14/202440计算机系统安全原理与技术(第2版)n n1 1）脆弱性识别内容）脆弱性识别内容）脆弱性识别内容）脆弱性识别内容 数数数数据据据据来来来来源源源源资资资资产产产产的的的的所所所所有有有有者者者者、使使使使用用用用者者者者、相相相相关关关关业业业业务务务务领域和软硬件方面的专业人员等。领域和软硬件方面的专业人员等。领域和软硬件方面的专业人员等。领域和软硬件方面的专业人员等。采采采采用用用用方方方方法法法法问问问问卷卷卷卷调调调调查查查查法法法法、工工工工具具具具检检检检测测测测法法法法、人人人人工工工工核核核核查查查查法、文档查阅法、渗透性测试等。法、文档查阅法、渗透性测试等。法、文档查阅法、渗透性测试等。法、文档查阅法、渗透性测试等。脆脆脆脆弱弱弱弱性性性性识识识识别别别别主主主主要要要要从从从从技技技技术术术术和和和和管管管管理理理理两两两两个个个个方方方方面面面面进进进进行行行行。管管管管理脆弱性又分为技术管理脆弱性和组织管理脆弱性。理脆弱性又分为技术管理脆弱性和组织管理脆弱性。理脆弱性又分为技术管理脆弱性和组织管理脆弱性。理脆弱性又分为技术管理脆弱性和组织管理脆弱性。n n2 2）脆脆脆脆弱弱弱弱性性性性赋赋赋赋值值值值根根根根据据据据脆脆脆脆弱弱弱弱性性性性对对对对资资资资产产产产的的的的暴暴暴暴露露露露程程程程度度度度、技技技技术术术术实实实实现现现现的的的的难难难难易易易易程程程程度度度度、流流流流行行行行程程程程度度度度等等等等，采采采采用用用用等等等等级级级级划划划划分分分分对对对对已已已已识别的脆弱性的严重程度进行赋值。识别的脆弱性的严重程度进行赋值。识别的脆弱性的严重程度进行赋值。识别的脆弱性的严重程度进行赋值。7/14/202441计算机系统安全原理与技术(第2版)5 5已有安全控制措施确认已有安全控制措施确认已有安全控制措施确认已有安全控制措施确认n n在在在在影影影影响响响响威威威威胁胁胁胁发发发发生生生生的的的的外外外外部部部部条条条条件件件件中中中中，除除除除了了了了资资资资产产产产的的的的错错错错弱弱弱弱点点点点外外外外，另另另另一一一一个个个个就就就就是是是是组组组组织织织织现现现现有有有有的的的的安安安安全全全全措措措措施施施施。识识识识别别别别已已已已有有有有的的的的(或或或或已已已已计计计计划划划划的的的的)安安安安全全全全控控控控制制制制措措措措施施施施，分分分分析析析析安安安安全全全全措措措措施施施施的的的的效效效效力力力力，确确确确定定定定威威威威胁胁胁胁利利利利用用用用弱弱弱弱点点点点的的的的实实实实际际际际可可可可能能能能性性性性，一一一一方方方方面面面面可可可可以以以以指指指指出出出出当当当当前前前前安安安安全全全全措措措措施施施施的的的的不不不不足足足足，另另另另一方面也可以避免重复投资。一方面也可以避免重复投资。一方面也可以避免重复投资。一方面也可以避免重复投资。7/14/202442计算机系统安全原理与技术(第2版)n n安全控制措施可以分为：安全控制措施可以分为：安全控制措施可以分为：安全控制措施可以分为：管管管管理理理理性性性性对对系系统统的的开开发发、维维护护和和使使用用实实施施管管理理的措施。的措施。操操操操作作作作性性性性用用来来保保护护系系统统和和应应用用操操作作的的流流程程和和机机制。制。技技技技术术术术性性性性身身份份识识别别与与认认证证、逻逻辑辑访访问问控控制制、日日志审计、加密等。志审计、加密等。7/14/202443计算机系统安全原理与技术(第2版)n n从控制的功能看，又可分为：从控制的功能看，又可分为：从控制的功能看，又可分为：从控制的功能看，又可分为：威慑性威慑性威慑性威慑性此类控制可以降低蓄意攻击的可能性。此类控制可以降低蓄意攻击的可能性。预预预预防防防防性性性性此此类类控控制制可可以以保保护护脆脆弱弱点点，使使攻攻击击难难以以成功，或者降低攻击造成的影响。成功，或者降低攻击造成的影响。检检检检测测测测性性性性此此类类控控制制可可以以检检测测并并及及时时发发现现攻攻击击活活动动，还可以激活纠正性或预防性控制。还可以激活纠正性或预防性控制。纠纠纠纠正正正正性性性性此此类类控控制制可可以以使使攻攻击击造造成成的的影影响响减减到到最最小。小。7/14/202444计算机系统安全原理与技术(第2版)n n6 6风险分析风险分析风险分析风险分析7/14/202445计算机系统安全原理与技术(第2版)风险等级风险等级7/14/202446计算机系统安全原理与技术(第2版)n n7 7风险评估文档记录风险评估文档记录风险评估文档记录风险评估文档记录风险评估文档是指在整个风险评估过程中产生的评风险评估文档是指在整个风险评估过程中产生的评风险评估文档是指在整个风险评估过程中产生的评风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括估过程文档和评估结果文档，包括估过程文档和评估结果文档，包括估过程文档和评估结果文档，包括(但不仅限于此但不仅限于此但不仅限于此但不仅限于此)：n n风险评估方案风险评估方案风险评估方案风险评估方案n n风险评估程序风险评估程序风险评估程序风险评估程序n n资产识别清单资产识别清单资产识别清单资产识别清单n n重要资产清单重要资产清单重要资产清单重要资产清单n n威胁列表威胁列表威胁列表威胁列表n n脆弱性列表脆弱性列表脆弱性列表脆弱性列表n n已有安全措施确认表已有安全措施确认表已有安全措施确认表已有安全措施确认表n n风险评估报告风险评估报告风险评估报告风险评估报告n n风险处理计划风险处理计划风险处理计划风险处理计划n n风险评估记录风险评估记录风险评估记录风险评估记录7/14/202447计算机系统安全原理与技术(第2版)更多精品资请访问更多精品资请访问 更多品资源请访问更多品资源请访问