為一個(gè)新系統(tǒng)設(shè)計(jì)信息安全保障系統(tǒng)的過(guò)程

1、擬定新系統(tǒng)的功能、目標(biāo)

2、風(fēng)險(xiǎn)識(shí)別，對(duì)現(xiàn)有系統(tǒng)、業(yè)務(wù)流程分析

3、風(fēng)險(xiǎn)評(píng)估，對(duì)識(shí)別的風(fēng)險(xiǎn)預(yù)估出可能造成的后果

4、控制風(fēng)險(xiǎn)，按照風(fēng)險(xiǎn)大小和主次、設(shè)計(jì)相應(yīng)的對(duì)策

5、對(duì)設(shè)計(jì)的對(duì)策進(jìn)行投入產(chǎn)出評(píng)估

6、設(shè)計(jì)實(shí)施方案

7、實(shí)施

安全風(fēng)險(xiǎn)識(shí)別就是把安全威脅找出來(lái)。

有形資產(chǎn)指銀行的賬戶、存折、信用卡、商家的商品證券、債券、股票，產(chǎn)品，產(chǎn)品生產(chǎn)的工藝、工藝參數(shù)，無(wú)形資產(chǎn)指誠(chéng)信、可靠的信譽(yù)，以及產(chǎn)品的商標(biāo)、商家的專(zhuān)利、知識(shí)產(chǎn)權(quán)等。從計(jì)算機(jī)信息應(yīng)用信息系統(tǒng)安全威脅的分析來(lái)看，無(wú)形資產(chǎn)是在有形資產(chǎn)破壞之后才引發(fā)的結(jié)果。因此，信息安全保障系統(tǒng)首先要考慮有形資產(chǎn)的保護(hù)。

由于風(fēng)險(xiǎn)具有不確定性，因此完全消除風(fēng)險(xiǎn)是不切實(shí)際的。

按性質(zhì)分為靜態(tài)風(fēng)險(xiǎn)和動(dòng)態(tài)風(fēng)險(xiǎn)。靜態(tài)風(fēng)險(xiǎn)是自然力的不規(guī)則作用和人們的錯(cuò)誤判斷和錯(cuò)誤行為導(dǎo)致的風(fēng)險(xiǎn)，動(dòng)態(tài)風(fēng)險(xiǎn)是由于人們欲望的變化、生產(chǎn)方式和生產(chǎn)技術(shù)的變化以及企業(yè)組織的變化導(dǎo)致的風(fēng)險(xiǎn)。

按風(fēng)險(xiǎn)引起的結(jié)果分為純粹風(fēng)險(xiǎn)和投機(jī)風(fēng)險(xiǎn)。純粹風(fēng)險(xiǎn)是當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)，僅會(huì)造成損害的風(fēng)險(xiǎn)，投機(jī)風(fēng)險(xiǎn)是當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)，可能產(chǎn)生利潤(rùn)也可能造成損失的風(fēng)險(xiǎn)。

按風(fēng)險(xiǎn)源可分為自然事件風(fēng)險(xiǎn)、人為事件風(fēng)險(xiǎn)、軟件風(fēng)險(xiǎn)、軟件過(guò)程風(fēng)險(xiǎn)、項(xiàng)目管理風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、用戶使用風(fēng)險(xiǎn)。

1、自然事件風(fēng)險(xiǎn)：地震、雷擊、洪災(zāi)

2、人為事件風(fēng)險(xiǎn)：分為意外人為事件風(fēng)險(xiǎn)和有意的人為事件風(fēng)險(xiǎn)
意外人為事件風(fēng)險(xiǎn)：不正確的操作、配置、設(shè)計(jì)或人員的疏忽大意
有意人為事件風(fēng)險(xiǎn)：內(nèi)部竊密和破壞、惡意的黑客行為、工（商）業(yè)間諜、惡意代碼

3、軟件系統(tǒng)風(fēng)險(xiǎn)：兼容風(fēng)險(xiǎn)、維護(hù)風(fēng)險(xiǎn)、使用風(fēng)險(xiǎn)（指軟件被用戶接受的程度而產(chǎn)生的風(fēng)險(xiǎn)）

4、軟件過(guò)程風(fēng)險(xiǎn)：需求階段的風(fēng)險(xiǎn)、設(shè)計(jì)階段的風(fēng)險(xiǎn)、實(shí)施階段風(fēng)險(xiǎn)、維護(hù)階段的風(fēng)險(xiǎn)

5、項(xiàng)目管理風(fēng)險(xiǎn)：缺少開(kāi)發(fā)標(biāo)準(zhǔn)、缺少正規(guī)開(kāi)發(fā)程序、

6、應(yīng)用風(fēng)險(xiǎn)：安全性、未授權(quán)訪問(wèn)和改變數(shù)據(jù)

安全威脅的對(duì)象就是一個(gè)單位的有形資產(chǎn)和無(wú)形資產(chǎn)，而且主要是有形資產(chǎn)。一個(gè)信息系統(tǒng)中的資產(chǎn)不僅僅是軟件和硬件，還包括其他內(nèi)容，一個(gè)信息系統(tǒng)中的資產(chǎn)包括：信息或數(shù)據(jù)、硬件、軟件、文檔資料、各種服務(wù)、環(huán)境、工作人員、單位的形象、產(chǎn)品的商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)等

資產(chǎn)評(píng)估鑒定：確定各類(lèi)資產(chǎn)的不同價(jià)值和重要級(jí)別以區(qū)別對(duì)待。一般可以分為可忽略的、較低的、中等的、較高的、非常高的

威脅、脆弱性、影響之間存在著一定的對(duì)應(yīng)關(guān)系，威脅可看成從系統(tǒng)外部對(duì)系統(tǒng)產(chǎn)生的作用而導(dǎo)致系統(tǒng)功能及目標(biāo)受阻的所有現(xiàn)象。脆弱性是系統(tǒng)內(nèi)部的薄弱點(diǎn)，脆弱性是客觀存在的，并且本身沒(méi)有實(shí)際的傷害，但威脅可以利用脆弱性發(fā)揮作用。如果系統(tǒng)不存在脆弱性，那么威脅就不存在，風(fēng)險(xiǎn)也就沒(méi)有了。影響是威脅與脆弱性的特殊組合，受時(shí)間、地域、行業(yè)、性質(zhì)的影響，系統(tǒng)面臨的威脅不一樣，風(fēng)險(xiǎn)發(fā)生的頻率、概率不盡相同，因此影響程度也很難確定。

風(fēng)險(xiǎn)識(shí)別常用的方法：頭腦風(fēng)暴法、面談法、德?tīng)柗品?、流程圖法、類(lèi)比法歷史資料。

安全風(fēng)險(xiǎn)的量化是按公式：風(fēng)險(xiǎn)值=威脅 * 脆弱性 * 影響計(jì)算出來(lái)的，因此在定量的計(jì)算風(fēng)險(xiǎn)時(shí)需要將威脅、脆弱性、影響進(jìn)行量化，最簡(jiǎn)單的量化方法是將這三個(gè)要素分成高（3分）、中（2分）、低（1分）或零（0）等幾個(gè)等級(jí)，事件發(fā)生的概率在0~1之間，產(chǎn)生的風(fēng)險(xiǎn)分值在0~6之間。