本文共 1555 字，大约阅读时间需要 5 分钟。

安全风险识别

按照目前项目管理称谓，安全威胁也叫安全风险。风险是值特定的威胁或单位资产的脆弱性而导致单位资产损失或伤害的可能性，包括三方面内容：1.对信息或资产产生威胁；2.威胁的发生对资产产生影响；3.威胁具有发生的概率。

从风险来源划分，可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险等。

自然事件风险是不以人的一直未转移的不可抗的天灾人祸。

人为事件风险分为：意外人为事件风险和有意人为事件风险。有意人为事件风险包括：1.内部窃密和破坏；2.恶意的黑客行为；3.工业（商业）间谍；4.恶意代码；5.侵犯个人隐私；6.其他有意的人为事件威胁。

软件系统风险主要由软件系统体系结构的合理程度及其对外界变化的适应能力产生的各种风险，包括：1.兼容风险；2.维护风险；3.使用风险。

软件过程风险是在软件开发周期过程中可能出现的风险及软件实施过程中外部环境的变化可能引起的风险，包括：1.软件需求阶段的风险；2.设计阶段的风险；3.实施阶段的风险；4.维护阶段的风险。

项目管理风险主要来源于：1.应用软件产品的不可预见性；2.软件的生产过程不存在绝对正确的过程形式；3.信息系统应用项目的独特性。

应用风险主要是在应用系统或软件过程中，尤其在网络环境下，因网络连接或操作而产生的风险，主要包括：

1.安全性；2.未授权访问和改变数据；3.未授权远程访问；4.不精确的信息；5.错误或虚假的信息输入；6.授权的终端用户滥用；7.不完整的处理；8.重复数据处理；9.不及时处理；10.通信系统失败；11.不充分的测试；12.不充分的培训；13.不充分的支持；14.不充分的文档。

用户使用风险是指终端用户进行开发和应用过程中产生的风险，包括：1.不充分的使用资源；2.不兼容的系统分；3.冗余系统；4.无效的应用；5.职责不明；6.用户对开发阶段分析不全面；7.非授权访问数据与程序；8.侵犯版权；9.病毒破坏信息

安全威胁的对象是一个单位的有形资产和无形资产，主要是有形资产。资产的价值体现了它对一个单位业务的重要程度。资产的评估有利于区分资产的价值，根据资产价值进行保护性设置成为可能。

资产评估的步骤：

1.根据单位业务的横向和纵向，逐级划分资产的界限和交换界面

2.确定各个级别的资产隶属部门的岗位、责任人、干系人，核实各自责任、权限和落实情况，进行有限的监督和监管

3.确定各个级别资产的价值和重要性，以及可能受到威胁的强弱程度

4.确定获取、维护各个级别资产的费用。

资产的重要性程度：可忽略；较低；中等；较高；非常高

资产评估的最后一步是列出一个所有被评估坚定的资产清单，其中包括每种资产各方面的价值和重要性。

弱点是系统本身的因素，威胁是外界对系统的作用，影响是威胁对系统本身造成的后果，风险受这三者的影响，基本的模型是： 风险=威胁*弱点*影响

威胁只有利用弱点才可以对系统造成影响。

风险识别的常用方法：

1.问询法

2.财务报表法

3.流程图法

4.现场观察法

5.历史资料法

6.环境分析法

7.类比法

8.专家咨询

风险评估

风险评估是对确定的风险因素进行的整体性评估，会详细的描述系统信息资源的相关威胁、脆弱性、出现概率。常用的评估方法有：

1.概率分布

2.外推法

3.定性评估

4.矩阵图分析

5.风险发展趋势评价方法

6.项目假设前提评价及数据准确度评估

进行风险定量评估的步骤：

1.将各种评估得到的结果制成矩阵，并分析得到一个综合的风险评估结果

2.通过测量安全风险的级别来划分安全威胁的级别

3.关注意外事故造成的影响，决定哪些系统给予较高的优先级

4.确定某一项资产或系统的安全风险是否在可接受范围内

选择性考察，客观性考察

转载地址：http://uwvdi.baihongyu.com/