信息系统风险评估有哪些环节
信息系统风险评估有以下环节:
资产识别实际上就是一种确定评估对象范围的过程。测评人员首先确定风险评估对象的物理边界和信息系统边界,然后识别评估范围内的信息资产集合。这些信息系统资产包括软硬件系统、数据、物理环境、人员等。资产识别过程的输出为信息系统资产清单。在资产清单中,信息资产可以被赋予重要性评级,或者被估算出定量的资产价值,为后期风险评估结果的生成做准备。
威胁分析是一种结合给定被测评对象系统,调研并分析其可能面临的安全威胁类型和概率的过程。不同地理环境和社会环境的信息系统,所面临的安全威胁类型与概率也不同。例如,处于地震带的信息系统,面临的地震威胁要高于非地震带的系统。威胁分析的输出为信息系统的威胁清单。
弱点识别基本与信息系统安全检测过程相对应。测评人员通过访谈、检查和测试等多种手段,识别形成并输出系统的安全弱点清单。在安全弱点清单中,安全弱点可以被赋予不同危险级别,比如“高”“中”“低”等,借此来表示安全弱点的危险程度。
既有安全措施识别是一种发现已经部署和落实的措施的过程。常见的安全措施包括部署防恶意代码软件、防火墙、入侵检测系统(IDS)、入侵防御系统(IP S)和安全补丁服务器等。这些安全措施可以在一定程度上对系统可能存在的安全弱点起到保护作用,并针对安全风险形成对冲。既有安全措施识别过程的输出是既有安全措施清单。
风险度量是结合上述各个过程的输出,通过一定的计算方法,来生成系统最终安全风险的过程。风险度量可分为定性和定量两类方法。定性的方法主要指凭借分析者的经验和直觉,以及业界的标准和惯例,为风险管理诸要素(资产价值、威胁的可能性、薄弱点被利用的容易度以及现有控制措施的效力等)的大小或高低程度定性分级,例如“高”“中”“低”三级,最终通过不同的风险计算矩阵进行风险的评估。定量的方法主要指以数值的度量形式,对构成风险的各个要素(资产价值、威胁发生的频率、薄弱点被利用的程度、安全措施的效率和成本等)和潜在损失的水平进行估算,赋予风险以数值或货币金额。