评估流程

步骤1：描述体系特征

在对信息系统的风险进行评估中，第一步是定义工作范围。在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统的进行授权运行（或认可）的边界，并为风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。

步骤1.1  系统相关信息

识别信息系统风险时，要求对系统的运行环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息，通常这些信息分为如下几类：

· 硬件

·  软件

· 系统接口（如内部和外部连接）

·  数据和信息

· 信息系统的支持和使用人员

· 系统使命（例如信息系统实施的处理过程）

· 系统和数据的关键性（例如系统对于单位的价值或重要性）

· 系统和数据的敏感性

·         与信息系统及其数据的运行环境相关的其它信息还包括——但不限于——以下信息：

· 信息系统的功能需求

· 系统的用户（例如为信息系统提供技术支持的系统用户，使用信息系统完成业务功能的应用用户等）

· 信息系统的系统安全策略（机构策略、政府要求、法律、行业惯例等）

· 系统安全体系结构

· 当前的网络拓扑（例如网络图示）

· 信息系统中的信息流（例如系统接口、系统输入和输出的流程图）

· 信息系统的安全措施

· 信息系统的物理安全环境（例如设施安全、数据中心策略等）

· 针对信息系统处理环境而实现的环境安全（例如对湿度、水、电、污染、温度和化学物品的控制）

对于处在启动或规划阶段的系统，系统信息可以从设计或需求文档中获得。对于处于开发阶段的系统，有必要为未来的信息系统定义关键的安全规则和属性。系统设计文档和系统安全计划可以为开发阶段的信息系统提供有用的安全信息。

对于运行中的信息系统，要从其运行环境中收集信息系统的数据，包括系统配置、连接、流程方面的数据。

步骤1.2  信息收集技术

可以使用下列一项或多项技术在其运行边界内获取相关的系统信息：

·   调查问卷：要收集相关信息，风险评估人员可以设计一套关于信息系统中的安全措施的调查问卷。可将这套调查问卷发给信息系统的管理和使用人员。调查问卷也可以在现场参观和面谈时使用。

·  现场面谈：和信息系统的管理或使用人员面谈有助于风险评估人员收集有用的系统信息（例如系统是如何运行和管理的）。现场参观也能让风险评估人员观察并收集到信息系统在物理、环境和运行方面的信息。

·  文档审查：政策文档（例如法律文档、规章等）、系统文档（例如系统用户指南、系统管理员手册、系统设计和需求文档等）、安全相关的文档（例如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等）可以提供关于信息系统的安全措施方面的有用信息。对机构使命的影响进行分析或评估资产的关键性后，可以得到系统和数据的关键性和敏感性方面的信息。

·  使用自动扫描工具：一些主动的技术方法可以用来有效地收集系统信息。例如，网络映射工具可以识别出运行在一大群主机上的服务，并提供一个快速的方法来为目标信息系统建立轮廓。

信息收集工作可以贯穿于整个风险评估过程，从第1步（系统特征描述）一直到第9步（结果记录）。

步骤2：识别威胁

如果没有脆弱性，威胁源无法造成风险；在确定威胁的可能性时，应该考虑威胁源、潜在的脆弱性和现有的安全措施。

步骤2.1识别威胁源

本步的目标是识别出潜在的威胁源，并且编辑出一份威胁声明，其中要列出被评估的信息系统面临的潜在威胁源。

威胁源被定义为任何可能危害一个信息系统的环境或事件。

威胁源按照其性质一般可分为自然威胁和人为威胁。信息系统根据自身应用的特点和地理位置可能会面对不同的威胁源。

在评估威胁源时，要考虑可能危害信息系统及其处理环境的所有潜在威胁源。

步骤2.2动机和行为

攻击的动机和资源使得人成为了潜在的危险威胁源之一。表3概括了许多常见的人为威胁、其可能的动机、可能的攻击方法和威胁行为。这些信息对一个单位研究其面临的人为威胁环境并制定人为威胁声明非常有用。另外，以下方法也有助于标识人为威胁：审查系统的破坏历史、安全违规报告、事故报告；在信息收集过程中与系统管理员、技术支持人员、用户面谈。

表3 人为威胁：威胁源、动机和威胁行为

为了确定脆弱性被利用的可能性，在识别出潜在的威胁源后，要对其发起一次成功攻击所需的动机、资源和能力作出估计。

应该为单位及其处理环境制定威胁声明或潜在威胁源的清单。关于威胁的信息来源一般包括——但不限于——以下方面：

· 信息咨询机构

·  事件响应或应急响应中心

·  大众媒体，尤其是基于Web的资源，例如安全网站