风险分析内容

四、风险分析内容

1.评估风险，风险识别

搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。在风险分析过程中，最开始考虑的内容有两方面：一个是对资产的识别，另一个是对威胁的识别。对于每一个明确要保护的资产，都应该考虑到可能面临的威胁，以及威胁可能造成的影响。还要考虑的因素是在风险影响和防护措施花费之间的经济权衡。

2.分析风险，明确信息价值

要保护信息系统安全，首先要知道有哪些可识别的资产，哪些是最关键的、需要重点防护的，哪些是次要一些的但是也需要保护的，哪些是不需要专门关注的。从防御的角度来说，对于外来的威胁有时很难准确把握，但对“自己”，应该做到心中有数。当意识到资产的价值极可能面临的威胁时，才可以在保护这些资产的预算上作出明智的决定。如果信息没有任何价值，那么就没有意义保护这些无用的信息。所以一个很重要的问题是应当评估如果不保护此信息损失有多大。

3.建立风险管理机制

风险分析的成功执行需要医院领导的支持和指导。管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应该由不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。

4.风险分析资产确定

（1）硬件，包括服务器、工作站、路由器、交换机、防火墙、入侵检测系统、终端、打印机等整件设备，也包括主板、CPU、硬盘、显示器等散件设备。

（2）软件，包括源代码、应用程序、工具、分析测试软件、操作系统等。

（3）数据，包括软硬件运行中的中间数据、备份资料、系统状态、审计日志、数据库资料等。

（4）人员，包括用户、管理员、维护人员等。

（5）文档，包括软件程序、硬件设备、系统状态、本地管理过程的资料。

（6）消耗品，包括纸张、光盘、磁带等。

仅仅确定资产是不够的，对资产进行分类也是非常重要的。对有形资产（设备、应用软件等）及人（有形资产的用户或操作者、管理者）分别归类，同时在两者之间建立起对应关系。

有形资产可以通过资产的价值进行分类，如机密级、内部访问级、共享级、未保密级。对于人员的分类，类似于有形资产的分类。

5.风险分析威胁确定

鉴于网络本身的诸多特性，如共享性、开放性、复杂性等和信息系统自身的脆弱特质，如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等，具体的威胁来源可以分为：外部网络黑客攻击及非法访问；内部人员故意或无意的非授权访问或操作；系统自身的脆弱性，包括系统结构设计上的缺陷、配置的疏忽等；软件漏洞，包括操作系统的安全漏洞、网络协议的设计缺陷；软件的设计漏洞、数据库系统的安全漏洞等；系统开放性带来的威胁，包括病毒、蠕虫等；技术故障带来的威胁；物理环境的威胁。

可以看出，对威胁来源的定位综合了多种因素，最终还是人为因素起着决定性的作用。外部人员造成的威胁比较容易发现和控制，但很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。所以在确定威胁的时候，不能只看到那些比较直接容易分辨的外部威胁，来自内部的各种威胁也应该引起高度重视。

6.风险分析的方法与途径

（1）风险分析的方法与途径可以分为定量分析和定性分析。

①定量分析。定量分析是指试图从数字上对安全风险进行分析评估的方法。定量分析过程有两个基本指标作为参考：事件发生的概率及事件造成的损失。具体的分析方式有两种：年预期损失和单一预期损失。理论上讲，通过定量分析可以对安全风险进行准确的分级，但实际上，定量分析所依靠的数据往往都是不可靠的，这就给分析带来了很大的困难。

②定性分析。定性分析是被广泛采用的方法。通过列出各种威胁的清单，并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验，可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具等决定了在进行风险分析时采用哪种方式或是两者的结合。

（2）风险分析选择及部署防护措施。知道了处于风险之中，也知道了风险发生的可能性，下一步的工作就是识别当前的安全机制并评估它们的有效性。由于面临的威胁不仅仅是病毒和攻击，对于每一种威胁类型要分别对待。