軟件企業(yè)信息安全管理

前言：本站為你精心整理了軟件企業(yè)信息安全管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

編者按：本論文主要從信息是軟件企業(yè)的重要資源，是非常重要的“無(wú)形財(cái)富”等進(jìn)行講述，包括了網(wǎng)絡(luò)共享與惡意代碼防控、信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)、信息產(chǎn)品國(guó)外引進(jìn)與安全自主控制、IT產(chǎn)品單一性和大規(guī)模攻擊問(wèn)題、IT產(chǎn)品類型繁多和安全管理滯后矛盾、IT系統(tǒng)復(fù)雜性和漏洞管理等，具體資料請(qǐng)見(jiàn)：

論文摘要：隨著軟件行業(yè)特別是軟件外包行業(yè)在國(guó)內(nèi)的蓬勃發(fā)展，如何保證自身的信息安全成了擺在軟件企業(yè)面前的重要課題。文章通過(guò)對(duì)軟件企業(yè)現(xiàn)有信息安全問(wèn)題的分析，提出了采用信息安全體系建設(shè)系統(tǒng)解決信息安全問(wèn)題，著重闡述了信息安全風(fēng)險(xiǎn)管理的原理和方法在軟件行業(yè)中的應(yīng)用。

論文關(guān)鍵詞：軟件企業(yè)；信息安全；風(fēng)險(xiǎn)管理

隨著國(guó)家大力推動(dòng)軟件外包行業(yè)和IT行業(yè)的發(fā)展，軟件企業(yè)發(fā)展呈現(xiàn)良好態(tài)勢(shì)，在自身業(yè)務(wù)發(fā)展壯大的同時(shí)，軟件企業(yè)信息安全重要性日益凸顯?；ヂ?lián)網(wǎng)和IT技術(shù)的普及，使得應(yīng)用信息突破了時(shí)間和空間上的障礙，信息的價(jià)值在不斷提高。但與此同時(shí)，網(wǎng)頁(yè)篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2007年5月～2008年5月間，有62．7％的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為85．5％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占31．4％，垃圾郵件占25．4％。

信息是軟件企業(yè)的重要資源，是非常重要的“無(wú)形財(cái)富”，分析當(dāng)前的信息安全問(wèn)題，有如下典型的信息安全問(wèn)題急需解決。

(1)網(wǎng)絡(luò)共享與惡意代碼防控。

網(wǎng)絡(luò)共享方便了不同用戶、不同部門、不同單位等之間的信息交換，但是，惡意代碼利用信息共享、網(wǎng)絡(luò)環(huán)境擴(kuò)散等漏洞，影響越來(lái)越大。如果對(duì)惡意信息交換不加限制，將導(dǎo)致網(wǎng)絡(luò)的QoS下降，甚至系統(tǒng)癱瘓不可用。

(2)信息化建設(shè)超速與安全規(guī)范不協(xié)調(diào)。

網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)范操作，常常采取“亡羊補(bǔ)牢”之策，導(dǎo)致信息安全共享難度遞增，也留下安全隱患。

(3)信息產(chǎn)品國(guó)外引進(jìn)與安全自主控制。

國(guó)內(nèi)信息化技術(shù)嚴(yán)重依賴國(guó)外，從硬件到軟件都不同程度地受制于人。目前，國(guó)外廠商的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、辦公文字處理軟件、瀏覽器等基礎(chǔ)性軟件都大量地部署在國(guó)內(nèi)的關(guān)鍵信息系統(tǒng)中。但是這些軟件或多或少存在一些安全漏洞，使得惡意攻擊者有機(jī)可乘。目前，我們國(guó)家的大型網(wǎng)絡(luò)信息系統(tǒng)許多關(guān)鍵信息產(chǎn)品長(zhǎng)期依賴于國(guó)外，一旦出現(xiàn)特殊情況，后果就不堪設(shè)想。

(4)IT產(chǎn)品單一性和大規(guī)模攻擊問(wèn)題。

信息系統(tǒng)中軟硬件產(chǎn)品單一性，如同一版本的操作系統(tǒng)、同一版本的數(shù)據(jù)庫(kù)軟件等，這樣一來(lái)攻擊者可以通過(guò)軟件編程，實(shí)現(xiàn)攻擊過(guò)程的自動(dòng)化，從而常導(dǎo)致大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生，例如網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、”零日”攻擊等安全事件。

(5)IT產(chǎn)品類型繁多和安全管理滯后矛盾。

目前，信息系統(tǒng)部署了眾多的IT產(chǎn)品，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)平臺(tái)、應(yīng)用系統(tǒng)。但是，不同類型的信息產(chǎn)品之間缺乏協(xié)同，特別是不同廠商的產(chǎn)品，不僅產(chǎn)品之問(wèn)安全管理數(shù)據(jù)缺乏共享，而且各種安全機(jī)制缺乏協(xié)同，各產(chǎn)品缺乏統(tǒng)一的服務(wù)接口，從而造成信息安全工程建設(shè)困難，系統(tǒng)中安全功能重復(fù)開(kāi)發(fā)，安全產(chǎn)品難以管理，也給信息系統(tǒng)管理留下安全隱患。

(6)IT系統(tǒng)復(fù)雜性和漏洞管理。

多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，復(fù)雜性高，存在難以避免的安全漏洞。由于管理、軟件工程難度等問(wèn)題，新的漏洞不斷地引入到網(wǎng)絡(luò)環(huán)境中，所有這些漏洞都將可能成為攻擊切入點(diǎn)，攻擊者可以利用這些漏洞入侵系統(tǒng)，竊取信息。為了解決來(lái)自漏洞的攻擊，一般通過(guò)打補(bǔ)丁的方式來(lái)增強(qiáng)系統(tǒng)安全。但是，由于系統(tǒng)運(yùn)行不可間斷性及漏洞修補(bǔ)風(fēng)險(xiǎn)不可確定性，即使發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)存在安全漏洞，系統(tǒng)管理員也不敢輕易地安裝補(bǔ)丁。特別是大型的信息系統(tǒng)，漏洞修補(bǔ)是一件極為困難的事。因?yàn)槁┒醇纫龅叫扪a(bǔ)，又要能夠保證在線系統(tǒng)正常運(yùn)行。

(7)攻擊突發(fā)性和防范響應(yīng)滯后。

網(wǎng)絡(luò)攻擊者常常掌握主動(dòng)權(quán)，而防守者被動(dòng)應(yīng)付。攻擊者處于暗處，而攻擊目標(biāo)則處于明處。以漏洞的傳播及利用為例，攻擊者往往先發(fā)現(xiàn)系統(tǒng)中存在的漏洞，然后開(kāi)發(fā)出漏洞攻擊工具，最后才是防守者提出漏洞安全對(duì)策。

(8)口令安全設(shè)置和口令易記性難題。

在一個(gè)網(wǎng)絡(luò)系統(tǒng)中．每個(gè)網(wǎng)絡(luò)服務(wù)或系統(tǒng)都要求不同的認(rèn)證方式，用戶需要記憶多個(gè)口令，據(jù)估算，用戶平均至少需要四個(gè)口令，特別是系統(tǒng)管理員，需要記住的口令就更多，例如開(kāi)機(jī)口令、系統(tǒng)進(jìn)入口令、數(shù)據(jù)庫(kù)口令、郵件口令、telnet口令、FTP口令、路由器口令、交換機(jī)口令等。按照安全原則，口令設(shè)置既要求復(fù)雜，而且口令長(zhǎng)度要足夠長(zhǎng)，但是口令復(fù)雜則記不住，因此，用戶選擇口令只好用簡(jiǎn)單的、重復(fù)使用的口令，以便于保管，這樣一來(lái)攻擊者只要猜測(cè)到某個(gè)用戶的口令，就極有可能引發(fā)系列口令泄露事件。

(9)遠(yuǎn)程移動(dòng)辦公和內(nèi)網(wǎng)安全。

隨著網(wǎng)絡(luò)普及，移動(dòng)辦公人員在大量時(shí)間內(nèi)需要從互聯(lián)網(wǎng)上遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)。由于互聯(lián)網(wǎng)是公共網(wǎng)絡(luò)，安全程度難以得到保證，如果內(nèi)部網(wǎng)絡(luò)直接允許遠(yuǎn)程訪問(wèn)，則必然帶來(lái)許多安全問(wèn)題，而且移動(dòng)辦公人員計(jì)算機(jī)又存在失竊或被非法使用的可能性?！凹纫构ぷ魅藛T能方便地遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)，又要保證內(nèi)部網(wǎng)絡(luò)的安全”就成了一個(gè)許多單位都面臨的問(wèn)題。

(10)內(nèi)外網(wǎng)絡(luò)隔離安全和數(shù)據(jù)交換方便性。

由于網(wǎng)絡(luò)攻擊技術(shù)不斷增強(qiáng)，惡意入侵內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)性也相應(yīng)急劇提高。網(wǎng)絡(luò)入侵者可以涉透到內(nèi)部網(wǎng)絡(luò)系統(tǒng)，竊取數(shù)據(jù)或惡意破壞數(shù)據(jù)。同時(shí)，內(nèi)部網(wǎng)的用戶因?yàn)榘踩庾R(shí)薄弱，可能有意或無(wú)意地將敏感數(shù)據(jù)泄漏出去。為了實(shí)現(xiàn)更高級(jí)別的網(wǎng)絡(luò)安全，有的安全專家建議，“內(nèi)外網(wǎng)及上網(wǎng)計(jì)算機(jī)實(shí)現(xiàn)物理隔離，以求減少來(lái)自外網(wǎng)的威脅?！钡牵瑥哪壳熬W(wǎng)絡(luò)應(yīng)用來(lái)說(shuō)，許多企業(yè)或機(jī)構(gòu)都需要從外網(wǎng)采集數(shù)據(jù)，同時(shí)內(nèi)網(wǎng)的數(shù)據(jù)也需要到外網(wǎng)上。因此，要想完全隔離開(kāi)內(nèi)外網(wǎng)并不太現(xiàn)實(shí)，網(wǎng)絡(luò)安全必須既要解決內(nèi)外網(wǎng)數(shù)據(jù)交換需求，又要能防止安全事件出現(xiàn)。

(11)業(yè)務(wù)快速發(fā)展與安全建設(shè)滯后。

在信息化建設(shè)過(guò)程中，由于業(yè)務(wù)急需要開(kāi)通，做法常常是“業(yè)務(wù)優(yōu)先，安全滯后”，使得安全建設(shè)缺乏規(guī)劃和整體設(shè)計(jì)，留下安全隱患。安全建設(shè)只能是亡羊補(bǔ)牢，出了安全事件后才去做。這種情況，在企業(yè)中表現(xiàn)得更為突出，市場(chǎng)環(huán)境的動(dòng)態(tài)變化，使得業(yè)務(wù)需要不斷地更新，業(yè)務(wù)變化超過(guò)了現(xiàn)有安全保障能力。

(12)網(wǎng)絡(luò)資源健康應(yīng)用與管理手段提升。

復(fù)雜的網(wǎng)絡(luò)世界，充斥著各種不良信息內(nèi)容，常見(jiàn)的就是垃圾郵件。在一些企業(yè)單位中，網(wǎng)絡(luò)的帶寬資源被員工用來(lái)在線聊天，瀏覽新聞娛樂(lè)、股票行情、色情網(wǎng)站，這些網(wǎng)絡(luò)活動(dòng)嚴(yán)重消耗了帶寬資源，導(dǎo)致正常業(yè)務(wù)得不到應(yīng)有的資源保障。但是，傳統(tǒng)管理手段難以適應(yīng)虛擬世界，網(wǎng)絡(luò)資源管理手段必須改進(jìn)，要求能做到“可信、可靠、可視、可控”。

(13)信息系統(tǒng)用戶安全意識(shí)差和安全整體提高困難。

目前，普遍存在“重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理，重業(yè)務(wù)、輕安全”的思想，“安全就是安裝防火墻，安全就是安裝殺毒軟件”，人員整體信息安全意識(shí)不平衡，導(dǎo)致一些安全制度或安全流程流于形式。典型的事例如下：用戶選取弱口令，使得攻擊者可以從遠(yuǎn)程直接控制主機(jī)；用戶開(kāi)放過(guò)多網(wǎng)絡(luò)服務(wù)，例如：網(wǎng)絡(luò)邊界沒(méi)有過(guò)濾掉惡意數(shù)據(jù)包或切斷網(wǎng)絡(luò)連接，允許外部網(wǎng)絡(luò)的主機(jī)直接“ping”內(nèi)部網(wǎng)主機(jī)，允許建立空連接；用戶隨意安裝有漏洞的軟件包；用戶直接利用廠家缺省配置；用戶泄漏網(wǎng)絡(luò)安全敏感信息，如DNS服務(wù)配置信息。

(14)安全崗位設(shè)置和安全管理策略實(shí)施難題。

根據(jù)安全原則，一個(gè)系統(tǒng)應(yīng)該設(shè)置多個(gè)人員來(lái)共同負(fù)責(zé)管理，但是受成本、技術(shù)等限制，一個(gè)管理員既要負(fù)責(zé)系統(tǒng)的配置，又要負(fù)責(zé)安全管理，安全設(shè)置和安全審計(jì)都是“一肩挑”。這種情況使得安全權(quán)限過(guò)于集中，一旦管理員的權(quán)限被人控制，極易導(dǎo)致安全失控。

(15)信息安全成本投入和經(jīng)濟(jì)效益回報(bào)可見(jiàn)性。

由于網(wǎng)絡(luò)攻擊手段不斷變化，原有的防范機(jī)制需要隨著網(wǎng)絡(luò)系統(tǒng)環(huán)境和攻擊適時(shí)而變，因而需要不斷地進(jìn)行信息安全建設(shè)資金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所產(chǎn)生的經(jīng)濟(jì)效益往往是間接的，不容易讓人清楚明白，從而造成企業(yè)領(lǐng)導(dǎo)人的誤判，進(jìn)而造成信息安全建設(shè)資金投入困難。這樣一來(lái)，信息安全建設(shè)投入往往是“事后”進(jìn)行，即當(dāng)安全事件產(chǎn)生影響后，企業(yè)領(lǐng)導(dǎo)人才會(huì)意識(shí)安全的重要性。這種做法造成信息安全建設(shè)缺乏總體規(guī)劃，基本上是“頭痛醫(yī)頭，腳痛醫(yī)腳”，信息網(wǎng)絡(luò)工作人員整天疲于奔命，成了“救火隊(duì)員”。

為了解決信息安全問(wèn)題，保護(hù)企業(yè)信息的安全，建立實(shí)施信息安全管理體系是非常有效的途徑。無(wú)論是自身發(fā)展需求還是國(guó)際國(guó)內(nèi)客戶的要求，越來(lái)越多的軟件企業(yè)希望或已經(jīng)建立實(shí)施信息安全管理體系。如何提高組織的信息安全，通過(guò)建設(shè)信息安全管理體系中降低組織存在的信息安全風(fēng)險(xiǎn)的方法，來(lái)提高組織信息的安全性。由此可見(jiàn)信息安全風(fēng)險(xiǎn)管理，是我們建立信息安全管理體系的一個(gè)重要環(huán)節(jié)，也是信息安全管理體系建立的基礎(chǔ)。下面我們著重探討在軟件企業(yè)中的信息安全風(fēng)險(xiǎn)管理。

1．信息安全風(fēng)險(xiǎn)管理概述

我們將標(biāo)識(shí)、控制和消除可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過(guò)程稱之為風(fēng)險(xiǎn)管理，風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分，

2．確定范圍

在建立信息安全管理體系之初，根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，我們確定了組織ISMS的范圍，那么風(fēng)險(xiǎn)管理的范圍應(yīng)該和我們確定的ISMS的范圍相一致。在軟件企業(yè)中，我們要將企業(yè)的業(yè)務(wù)流程、組織架構(gòu)、覆蓋地址、信息系統(tǒng)、相關(guān)資產(chǎn)等都納入到風(fēng)險(xiǎn)管理的范圍當(dāng)中

3．風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是標(biāo)識(shí)安全風(fēng)險(xiǎn)，確定其大小和標(biāo)識(shí)需要保護(hù)措施地區(qū)域的過(guò)程，其目的是分離可接受的小風(fēng)險(xiǎn)和不能接受的大風(fēng)險(xiǎn)，為風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處置提供數(shù)據(jù)。風(fēng)險(xiǎn)分析主要有定性分析方法和定量分析方法兩種。定性分析方法是最廣泛使用的風(fēng)險(xiǎn)分析方法，主要采用文字形式或敘述性的數(shù)值范圍來(lái)描述潛在后果的大小程度及這些后果發(fā)生的可能性，相對(duì)于威脅發(fā)生的可能性，該方法通常更關(guān)注威脅事件帶來(lái)的損失。定性分析方法在后果和可能性分析中采用數(shù)值(不是定性分析中所使用的敘述性數(shù)值范圍)，并采用從不同來(lái)源中得到的數(shù)據(jù)進(jìn)行分析，其主要步驟集中在現(xiàn)場(chǎng)調(diào)查階段，針對(duì)系統(tǒng)關(guān)鍵資產(chǎn)進(jìn)行定量的調(diào)查、分析，為后續(xù)評(píng)估工作提供參考數(shù)據(jù)。在軟件企業(yè)進(jìn)行風(fēng)險(xiǎn)分析時(shí)，因?yàn)槎糠治龇椒ㄖ械臄?shù)值、數(shù)據(jù)不易獲取，我們通常采用定性分析方法。風(fēng)險(xiǎn)分析又包括以下4個(gè)方面，針對(duì)定性分析方法，具體過(guò)程如下：

(1)識(shí)別評(píng)估資產(chǎn)。

在ISMS中所識(shí)別評(píng)估的資產(chǎn)有別于常見(jiàn)的固定資產(chǎn)，這里的資產(chǎn)主要指信息、信息處理設(shè)施和信息使用者。在識(shí)別資產(chǎn)時(shí)，我們需要選擇適合的分類原則和識(shí)別粒度。在軟件企業(yè)中，通常把資產(chǎn)劃分為硬件、軟件等方面，還需要對(duì)這些方面進(jìn)行細(xì)分，也就是進(jìn)行二級(jí)分類。

在評(píng)估資產(chǎn)時(shí)，我們要從信息的三個(gè)屬性即保密性、完整性和可用性來(lái)評(píng)估資產(chǎn)的重要度等級(jí)。資產(chǎn)的重要度等級(jí)是我們進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)的依據(jù)之一。資產(chǎn)重要度等級(jí)可以按如下定義和賦值：

①資產(chǎn)屬于“高”等級(jí)重要度，賦值為“3”，該類信息資產(chǎn)若發(fā)生泄露、損壞、丟失或無(wú)法使用，會(huì)給公司造成嚴(yán)重或無(wú)法挽回的經(jīng)濟(jì)損失；

②資產(chǎn)屬于“中”等級(jí)重要度，賦值為“2”，該類信息資產(chǎn)若發(fā)生泄露、損壞、丟失或無(wú)法使用，會(huì)給公司造成一定的經(jīng)濟(jì)損失；

③資產(chǎn)屬于“低”等級(jí)重要度，賦值為“1”，該類信息資產(chǎn)若發(fā)生泄露、損壞、丟失或無(wú)法使用，會(huì)給公司造成輕微的經(jīng)濟(jì)損失。

(2)識(shí)別評(píng)估威脅。

我們應(yīng)該清楚威脅一定是與資產(chǎn)相對(duì)應(yīng)的，某一資產(chǎn)可能面臨多個(gè)威脅。在識(shí)別威脅時(shí)，我們主要從威脅源來(lái)識(shí)別出相對(duì)應(yīng)的資產(chǎn)所面臨的威脅。識(shí)別出威脅后，綜合考慮威脅源的動(dòng)機(jī)、能力和行為，對(duì)威脅進(jìn)行評(píng)估。例如軟件企業(yè)中計(jì)算機(jī)面臨病毒、木馬攻擊的威脅，這種威脅動(dòng)機(jī)、能力較強(qiáng)。

(3)識(shí)別評(píng)估脆弱性。

脆弱性可以理解為資產(chǎn)可以被某種威脅所利用的屬性，一種威脅可能利用一種或多種脆弱性而產(chǎn)生風(fēng)險(xiǎn)。我們從管理和技術(shù)兩個(gè)方面來(lái)識(shí)別脆弱性，通常采用文檔審核、人員訪談、現(xiàn)場(chǎng)檢查等方法。針對(duì)“識(shí)別評(píng)估威脅”中所舉例的威脅，軟件企業(yè)計(jì)算機(jī)可能存在未安裝殺毒軟件、防火墻或使用人員未及時(shí)升級(jí)病毒庫(kù)等脆弱性。

(4)識(shí)別評(píng)估控制措施。

在我們識(shí)別出威脅和脆弱性之后，我們要針對(duì)威脅利用脆弱性產(chǎn)生的風(fēng)險(xiǎn)，來(lái)識(shí)別組織自身是否已經(jīng)采取控制措施，并采取敘述性數(shù)值的方式來(lái)描述已采取控制措施的有效性，評(píng)估的標(biāo)準(zhǔn)由組織進(jìn)行制定，例如控制措施有效性可以定義進(jìn)行如下定義和賦值：

①控制措施影響程度為“好”，賦值為“1”，該類控制措施已經(jīng)對(duì)信息資產(chǎn)威脅和脆弱性起到良好的控制效果，能夠滿足公司的信息安全管理要求；

②控制措施影響程度為“中”，賦值為“2”，該類控制措施已經(jīng)對(duì)信息資產(chǎn)威脅和脆弱性起到一定的控制效果，需要增加輔助的控制措施滿足公司信息安全管理要求；

③控制措施影響程度為“低”，賦值為“3”，該類控制措施已經(jīng)對(duì)信息資產(chǎn)威脅和脆弱性未起到控制效果，需要重新制定新的控制措施滿足公司信息安全管理要求。

控制措施的有效性是我們風(fēng)險(xiǎn)評(píng)價(jià)的依據(jù)之一。

4．風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)評(píng)價(jià)是將風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程，其結(jié)果是具有不同等級(jí)的風(fēng)險(xiǎn)列表，目的是判斷特定的風(fēng)險(xiǎn)是否可接受或者是否需采取其他措施處置。風(fēng)險(xiǎn)評(píng)價(jià)主要包括以下幾個(gè)過(guò)程：

(1)分析評(píng)估可能性和影響。

“可能性”指威脅利用脆弱性的可能性，“影響”指威脅利用脆弱性后，對(duì)組織資產(chǎn)造成的影響。在分析可能性時(shí)，我們主要考慮威脅源的動(dòng)機(jī)、能力和脆弱性的性質(zhì)。在評(píng)估可能性時(shí)，依據(jù)組織制定的評(píng)估準(zhǔn)則，對(duì)可能性進(jìn)行描述，例如將可能性進(jìn)行如下定義和賦值：

①可能性級(jí)別“高”，賦值為“1”，威脅源具有強(qiáng)烈動(dòng)機(jī)和足夠的能力，防止脆弱性被利用的防護(hù)措施是無(wú)效的；

②可能性級(jí)別“中”，賦值為“0．5”，威脅源具有一定的動(dòng)機(jī)和能力，但是已經(jīng)部署的安全防護(hù)措施可以阻止對(duì)脆弱性的成功利用；

③可能性級(jí)別“低”，賦值為“0”，威脅源缺少動(dòng)機(jī)和能力，或者已經(jīng)部署的安全防護(hù)措施能夠防止——至少能大大地阻止對(duì)脆弱性的利用。

在分析影響時(shí)，我們主要考慮威脅源的能力、脆弱性的性質(zhì)以及威脅利用脆弱性對(duì)組織資產(chǎn)保密性、可用性、完整性造成的損失。在評(píng)估影響時(shí)，同樣依據(jù)組織制定的評(píng)估準(zhǔn)則，對(duì)影響進(jìn)行描述，例如將影響進(jìn)行如下定義和賦值：

①影響級(jí)別“高”，賦值為“l(fā)00”，該級(jí)別影響對(duì)脆弱性的利用：a．可能導(dǎo)致有形資產(chǎn)或資源的高成本損失；b．可能嚴(yán)重違犯、危害或阻礙單位的使命、聲譽(yù)或利益；c．可能導(dǎo)致人員死亡或者嚴(yán)重傷害；

②影響級(jí)別“中”，賦值為“50”，該級(jí)別影響對(duì)脆弱性的利用：a．可能導(dǎo)致有形資產(chǎn)或資源的損失．b．可能違犯、危害或阻礙單位使命、聲譽(yù)或利益-c．可能導(dǎo)致人員傷害。

③影響級(jí)別“低”，賦值為“10”，該級(jí)別影響對(duì)脆弱性的利用：a．可能導(dǎo)致某些有形資產(chǎn)或資源的損失；b．可能導(dǎo)致單位的使命、聲譽(yù)或利益造成值得注意的影響。

參考“風(fēng)險(xiǎn)分析”中的例子，病毒、木馬攻擊的動(dòng)機(jī)、能力很強(qiáng)，員工很容易忽略對(duì)殺毒軟件病毒庫(kù)的升級(jí)，病毒、木馬攻擊很可能導(dǎo)致公司重要數(shù)據(jù)的丟失或損壞，那么這種威脅利用脆弱性的可能性就比較高，影響也比較高，均屬于“高”等級(jí)。

可能性和影響都是我們進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)的依據(jù)。

(2)評(píng)價(jià)風(fēng)險(xiǎn)。

在評(píng)價(jià)風(fēng)險(xiǎn)時(shí)，我們需要考慮資產(chǎn)的重要度等級(jí)、已采取控制措施的有效性、可能性和影響，通?？梢圆扇⑹鲂再x值后依據(jù)組織制定的評(píng)價(jià)方法進(jìn)行計(jì)算的方式，計(jì)算出風(fēng)險(xiǎn)值，并根據(jù)組織制定的準(zhǔn)則，將風(fēng)險(xiǎn)進(jìn)行分級(jí)，例如將風(fēng)險(xiǎn)進(jìn)行如下分級(jí)：

①“高”等級(jí)風(fēng)險(xiǎn)：如果被評(píng)估為高風(fēng)險(xiǎn)，那么便強(qiáng)烈要求有糾正措施。一個(gè)現(xiàn)有系統(tǒng)可能要繼續(xù)運(yùn)行，但是必須盡快部署針對(duì)性計(jì)劃；

②“中”等級(jí)風(fēng)險(xiǎn)：如果被評(píng)估為中風(fēng)險(xiǎn)，那么便要求有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來(lái)實(shí)施這些行動(dòng)；

③“低”等級(jí)風(fēng)險(xiǎn)：如果被評(píng)估為低風(fēng)險(xiǎn)，那么單位的管理層就必須確定是否還需要采取糾正行動(dòng)或者是否接受風(fēng)險(xiǎn)。

5．風(fēng)險(xiǎn)處置。

風(fēng)險(xiǎn)處置是選擇并執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程，其目的是將評(píng)價(jià)出的不可接受風(fēng)險(xiǎn)降低，包括以下幾個(gè)過(guò)程：

①行動(dòng)優(yōu)先級(jí)排序。

行動(dòng)優(yōu)先級(jí)排序主要依據(jù)風(fēng)險(xiǎn)級(jí)別進(jìn)行，對(duì)于不可接受的高等級(jí)風(fēng)險(xiǎn)應(yīng)最優(yōu)先。

②評(píng)估建議的安全選項(xiàng)

評(píng)估建議的安全選項(xiàng)主要考慮安全選項(xiàng)的可行性和有效性。

③實(shí)施成本效益分析。

對(duì)建議的安全選項(xiàng)進(jìn)行成本效益分析，幫助組織的管理人員找出成本有效性最好的安全控制措施。

④選擇控制措施。

在成本效益分析的基礎(chǔ)上，組織的管理人員應(yīng)確定成本有效性最好的控制措施，來(lái)降低組織的風(fēng)險(xiǎn)。

⑤責(zé)任分配。

根據(jù)確定的控制措施，選擇擁有合適的專長(zhǎng)和技能，能實(shí)現(xiàn)相應(yīng)控制措施的人員，并賦以相關(guān)責(zé)任。

⑥制定控制措施的實(shí)施計(jì)劃。

明確控制措施的具體行動(dòng)時(shí)間表。

⑦實(shí)現(xiàn)所選擇的安全防護(hù)措施。

根據(jù)各自不同的情況，所實(shí)現(xiàn)的安全防護(hù)措施可以降低風(fēng)險(xiǎn)級(jí)但不會(huì)根除風(fēng)險(xiǎn)，實(shí)現(xiàn)安全防護(hù)措施后仍然存在的風(fēng)險(xiǎn)為殘余風(fēng)險(xiǎn)，殘余風(fēng)險(xiǎn)需經(jīng)過(guò)組織管理者批示，若組織管理者批準(zhǔn)即為風(fēng)險(xiǎn)接受，若組織管理者批示不接受，則針對(duì)該風(fēng)險(xiǎn)重新進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置直到組織管理者表示風(fēng)險(xiǎn)接受為止。

6．總結(jié)

經(jīng)過(guò)對(duì)信息安全風(fēng)險(xiǎn)管理整個(gè)過(guò)程的解析我們可以看出，風(fēng)險(xiǎn)管理主要包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置兩個(gè)過(guò)程，而風(fēng)險(xiǎn)評(píng)估又包括風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)兩個(gè)過(guò)程。風(fēng)險(xiǎn)管理最終針對(duì)評(píng)估出的風(fēng)險(xiǎn)采取相應(yīng)的控制措施，所以說(shuō)風(fēng)險(xiǎn)管理是建立ISMS基礎(chǔ)，也是建立ISMS的最重要環(huán)節(jié)之一。