风险评估介绍.

1、风险评估风险评估的整体理论、流程和评估方法葛小亮目录：基本概念实施原则分析原理实施流程评估方法风险评估举例风险评估的基本概念依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 风险评估概念l可用性 availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。l机密性 confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或

2、其他实体的程度。l完整性 integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。安全的三个属性风险评估的实施原则标准性原则关键业务原则可控性原则最小影响原则信息系统的安全风险评估，应按照GB/T 20984-2007中规定的评估流程进行实施，包括各阶段性的评估工作。信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。a）服务可控性b）人员与信息可控性c）过程可控性 d）工具可控性对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的

3、稳定运行，而对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。风险评估的原理u 风险分析中要涉及资产、威胁、脆弱性三个基本要素：资产的属性是资产 价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程 度。u 风险分析的主要内容为：a）对资产进行识别，并对资产的价值进行赋值； b）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； c）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； d）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； e）根据脆弱性的严重程度及安全事件所作用的资产的价值计

4、算安全事件的损失； f） 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响， 即风险值。风险评估的框架方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属 性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估 过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要 素相关的各类属性。 图 1 中的风险要素及属性之间存在着以下关系： a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； c）风险是由威

5、胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； d）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大； e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； f）风险的存在及对风险的认识导出安全需求； g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； h）安全措施可抵御威胁，降低风险； i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全 成本与效益后不去控制的风险； j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件风险评估的要素的关系风险评估的流程风险评估的流程详细说明-评估准备确定目标确定范围

6、组建团队系统调研确定依据确定方案获得支持风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结 果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施 前，应考虑如下活动： 根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理 上的不足，以及可能造成的风险大小。 活动 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独 立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必

7、要时，可 组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和 技术骨干组成专家小组。 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保 密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人 保密协议。 系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法 的选择、评估内容的实施奠定基础。调研内容至少应包括： a）业务战略及管理制度 b）主要的业务功能和要求 c）网络结构与网络环境，包括内部连接和外部连接； d）系统边界； e）主要的硬件、软件；

8、f）数据和信息； g）系统和数据的敏感性； h）支持和使用系统的人员； i）其他。 根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）：a）现行国际标准、国家标准、行业标准； b）行业主管机关的业务系统的要求和制度； c）系统安全保护等级要求； d）系统互联单位的安全要求； e）系统本身的实时性或性能要求等。 根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）：a）现行国际标准、国家标准、行业标准； b）行业主管机关的业务系统的要求和制度； c）系统安全保护等级要求； d）系统互联单位的安全要求； e）系统本身的实时性或性能要求等。 上述所有内容确定后，应形成较

9、为完整的风险评估实施方案，得到组织最高管理者的支持、批准； 对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。 风险评估的流程详细说明-资产识别（1）资产分类：机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价 值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决 定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已 采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。举例数据 保存在信息媒介上的各

10、种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等 举例软件 系统软件：操作系统、数据库管理系统、语句包、开发系统等 应用软件：办公软件、数据库软件、各类工具软件等 源程序：各种共享源代码、自行或合作开发的各种代码等举例硬件 网络设备：路由器、网关、交换机等 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路：光纤、双绞线等 保障设备： UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备：防火墙、入侵检测系统、身份鉴别等 其他：打印机、复印

11、机、扫描仪、传真机等 服务和人员风险评估的流程详细说明-资产识别（2）资产赋值单一赋值单一赋值风险评估的流程详细说明-资产识别（3）资产赋值资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法 可以根据自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的 最终赋值结果；综合赋值单一赋值风险评估的流程详细说明-威胁识别（4）表表7 7 威胁赋值威胁赋值威威胁胁分分类类表表风险评估的流程详细说明-脆弱性识别脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。 而且如果系统足够强健，严重的威胁也不会导致

12、安全事件发生，并造成损失。即，威胁总是要利用资产 的脆弱性才可能造成危害。 主要形式问卷调查、工具检测、人工核查、文档查阅、渗透性测试主要内容类型类型识别对识别对象象识别内容识别内容 技术脆弱性 物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 系统软件 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别 应用中间件 件 从协议

13、安全、交易完整性、数据完整性等方面进行识别。 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 风险评估的流程详细说明-脆弱性识别 可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的 脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时 应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。 已有安全措

14、施确认 在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估 其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必 要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进 行修正，或用更合适的安全措施替代。 1 1、网络层面安全评估方法、网络层面安全评估方法网络架构分析网络架构分析网络安全架构分析网络的架构整体分析、网络建设规范性、网络边界安全、网络协议分析、网络流量分析、网络设备安全网络设备配置检查网络设备配置检查安全配置检查华为和思科网络设备配置检查等级保护网络安全测评等级保护网络安

15、全测评基本要求基本要求中网络层面安全测评2 2、主机层面安全评估方法、主机层面安全评估方法主机配置检查主机配置检查安全配置检查操作系统、数据库和中间件的安全配置检查漏洞扫描漏洞扫描安全漏洞扫描系统针对系统的漏洞进行扫描和评估等级保护主机安全测评等级保护主机安全测评基本要求基本要求中主机层面安全测评3 3、应用层面安全评估方法、应用层面安全评估方法渗透测试渗透测试工具和人工分析针对应用层面的安全评估应用安全开发技术规范应用安全开发技术规范编写相应的规范指导开发用于指导安全开发的编码规范等级保护应用安全测评等级保护应用安全测评基本要求基本要求中应用层面安全测评4 4、安全管理体系、安全管理体系Is

16、ms27001Isms27001参考27001标准管理体系等级保护管理部分等级保护管理部分基本要求基本要求中管理层面安全测评风险评估的流程详细说明-脆弱性识别（2）目前，对于信息系统的脆弱性进行识别，即安全评估的方法，主要采取以下多种方法：服务方式：本地扫描服务工具：远程安全评估系统服务内容：对目标设备的漏洞、用户名与口令、安全策略等方面进行评估，并对扫描报告进行分析并出具相应报告WindowsLinuxAIXHPSolarisNetWareBSD路由器交换机防火墙网络系统了解漏洞分布情况获知漏洞修补方法风险评估的流程详细说明-脆弱性识别（3）漏洞扫描漏洞扫描服务方式：本地登录系统服务工具：配

17、置核查系统、安全配置规范服务内容：抽样检查系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况，是否存在漏洞或后门等，根据检测结果出具相应报告安全配置规范手工检查了解系统安全状况解决安全防范短板充分满足合规要求风险评估的流程详细说明-脆弱性识别（4）配置检查配置检查服务方式：远程测试服务工具：远程安全评估系统web扫描、其他工具服务内容：通过真实模拟黑客使用的工具、分析方法来对网站进行模拟攻击，验证当前的安全防护措施，找出风险点，提供有价值的安全建议充分挖掘应用缺陷精细粒度威胁分析提升人员安全技能风险评估的流程详细说明-脆弱性识别（5）渗透测试渗透测试服务方式：非现场服务服务工具：f

18、ortify等服务内容：白盒测试，通过对获取到的系统源代码进行分析，检查在编码层面是否存在安全隐患，对发现的问题提供安全建议工具扫描人工确认抽查分析大幅提升代码质量控制事故发生源头降低安全运维成本风险评估的流程详细说明-脆弱性识别（6）代码审计代码审计u 判断安全技术方面与指标的符合程度判断安全技术方面与指标的符合程度通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的差距分析，准确记录分析结果，判断安全技术的各个方面与指标的符合程度，给出判断结论和评审报告。差距分析23u 判断安全管理方面与指标的符合程度判断安全管理方面与指标的符合程度通过观察现场

19、、询问人员、查询资料、检查记录等方式进行安全管理方面的差距分析，准确记录分析结果，判断安全管理的各个方面与指标的符合程度，给出评审报告。u 综合分析系统总体安全的符合程度综合分析系统总体安全的符合程度根据安全管理方面、安全技术方面与差距分析指标的符合程度的判断结论，重点考虑安全控制间、层面间以及区域间的相互关联关系，以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等，最终给出信息系统差距分析报告，并形成等级保护安全建设建议方案，指导后续等级保护安全建设工作。1风险评估的流程详细说明-脆弱性识别（7）差距分析差距分析a）

20、计算安全事件发生的可能性 根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致安全事件发生的可能性，风险评估的流程详细说明-风险分析和计算风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va ) R 表示安全风险计算函数；A 表示资产；T 表示威胁；V 表示脆弱性； Ia 表示安全事件所作 用的资产价值；Va 表示脆弱性严重程度；L 表示威胁利用资产的脆弱性导致安全事件发生的可能性；F 表示安全事件发生后产生的损失即： 安全事件发生的可能性=L(威胁出现频率，脆弱性)L(T，V ) b）根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失，即： 安全事件的损失=F(资产价值，脆弱

21、性严重程度)F(Ia，Va )风险评估的流程详细说明-风险处置计划目前，风险结果赋值后，如何直白的表现出来？ 风险处理计划 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥 补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两 个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。 风险评估举例风险评估目标 风险评估目标风险评估目标 协助某证券公司对六个信息系统（集中交易、网上交易、门户网站、资产管理、固定收益和网上交易系统）依照证券期货业信息系统安全等级保护基本要求（JRT0060-2010）进行系统自查以明

22、确各个信息系统的安全现状。对信息系统进行安全评估以准确地了解自身的网络、应用和数据安全以及管理制度规范的现状，从而明晰公司的安全需求。 确定某证券公司信息系统的主要安全风险。根据这些安全风险结合某证券公司的实际情况与各技术领域的负责人进行反复讨论，出具信息系统安全等级保护整改建议报告。指导集成商对信息系统进行整改，以降低信息系统的安全风险。风险评估范围 风险评估范围风险评估范围 本次风险评估范围为某证券公司五个已备案的信息系统：三个三级系统分别为集中交易、网上交易系统和资产管理系统，三个二级系统分别为门户网站、固定收益和网上交易系统。 风险评估评覆盖某证券公司的全部网络信息系统。包括： 物理环

23、境和网络、安全基础设施 服务器设备 操作系统 数据库系统 业务系统 安全管理策略风险评估原则为了最小化风险评估工作给某证券公司信息系统带来的风险，本次风险评估遵循以下原则：标准性原则：评估方案的设计和具体实施依据国内和行业的相关标准进行及理论模型。规范性原则：提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。可控性原则：评估过程和所使用的工具具有可控性。评估项目所采用的工具应经过多次评估项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有很好的可控性。整体性原则：评估服务从组织的实际需求出发，从业务及流程角度进行评估，而不是局限于网络、主机等单个的安全层面

24、，涉及到安全管理和业务运营，保障整体性和全面性。最小影响原则：评估工作做到充分的计划性，不对现有网络系统的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行。保密性原则，从公司、人员、过程三个方面进行保密控制，公司双方签署保密协议，保证不使用评估中的任何数据进行其他有损甲方利益的用途；人员保密，公司内部签订保密协议；在评估过程中对评估数据严格保密。风险评估概述风险评估要素关系图风险分析的原理风险评估流程风险评估准备内容包括确定风险评估范围可能涉及的组织全部的信息及与信息处理相关的各类资产、管理机构，准备风险评估工作中使用的表格、文档、检测工具等以及制定风险评估进度计划和安排人

25、员计划等工作，是顺利实施风险评估工作的基础。赋值赋值标识标识定义定义5非常高非常重要，其安全属性破坏后可能对组织造成非常严重的损失。非常重要，其安全属性破坏后可能对组织造成非常严重的损失。4高重要，其安全属性破坏后可能对组织造成比较严重的损失。重要，其安全属性破坏后可能对组织造成比较严重的损失。3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失。比较重要，其安全属性破坏后可能对组织造成中等程度的损失。2低不太重要，其安全属性破坏后可能对组织造成较低的损失。不太重要，其安全属性破坏后可能对组织造成较低的损失。1很低很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计不重要，其

26、安全属性破坏后对组织造成导很小的损失，甚至忽略不计来源来源描述描述环境因素环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障。自然灾害，以及软件、硬件、数据、通讯线路等方面的故障。人为因素人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益行篡改，获取利益

27、外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力。坏，以获取利益或炫耀能力。非恶意人员非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。攻击。脆弱性类别脆弱性因素

28、物理环境从机房场地、机房失火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。网络结构从网络结构设计、边界防护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、系统配置、网络安全、恶意代码防范等方面进行识别。数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用中间件从协议安全、交易完整性、数据完整性等方面进行识别。应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信安全、

29、身份鉴别、密码保护等方面进行识别。风险评估流程在识别脆弱性的同时，评估人员对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。本次评估我们采用如下算式来得到资产的风险赋值：风险值=（风险发生的可能性风险产生后果）其中：风险发生的可能性=SQRT（威胁频率脆弱性严重程度）风险产生后果SQRT（资产价值脆弱性严重程度）实际评估结果-资产识别序号序号设备名称设备名称IP地址地址OS名称

30、名称/版本版本/补丁补丁安装应用系统软件安装应用系统软件名称名称服务器重要服务器重要程度程度责任部门责任部门1某证券公司行情站一210.51.9.74/24redhat linux AS5.4hostl tdxdt关键信息技术部2某证券公司行情站二210.51.9.71/24redhat linux AS5.4hostl tdxdt关键信息技术部3某证券公司行情站三210.51.9.73/24redhat linux AS5.4hostl tdxdt关键信息技术部4某证券公司北方联通行情站221.194.44.67/24redhat linux AS5.4hostl tdxdt关键信息技术部5

31、某证券公司北方电信行情站222.222.148.131/24redhat linux AS5.4hostl tdxdt关键信息技术部6某证券公司南方电信行情站119.145.21.209/24redhat linux AS5.4hostl tdxdt关键信息技术部7某证券公司交易站一61.152.159.176/24win 2003TC50关键信息技术部8某证券公司电信站点222.222.150.52/24win2003 pack2 关键信息技术部9某证券公司联通站点221.192.220.164/24win2003 pack2 关键信息技术部10某证券公司深圳电信119.145.21.195

32、/24win2003 pack2 关键信息技术部11某证券公司北京联通114.247.64.165/24win2003 pack2 关键信息技术部12某证券公司交易站二61.152.159.177/24win 2003TC50关键信息技术部13某证券公司交易站三61.152.159.179/24win 2003TC50关键信息技术部14某证券公司北方联通交易站221.192.220.163/24win 2003TC50关键信息技术部15某证券公司北方电信交易站222.222.150.51/24win 2003TC50关键信息技术部16某证券公司南方电信交易站119.145.21.193/24w

33、in 2003TC50关键信息技术部资产清单：实际评估结果-资产识别资产赋值：序号序号设备名称设备名称IP地址地址保密性保密性完整性完整性可用性可用性资产价值资产价值1某证券行情站一210.51.9.74/2433442某证券行情站二210.51.9.71/2433443某证券行情站三210.51.9.73/2433444某证券北方联通行情站221.194.44.67/2433445某证券北方电信行情站222.222.148.131/2433446某证券南方电信行情站119.145.21.209/2433447某证券交易站一61.152.159.176/2433448某证券电信站点222.22

34、2.150.52/2433449某证券联通站点221.192.220.164/24334410某证券深圳电信119.145.21.195/24334411某证券北京联通114.247.64.165/24334412某证券交易站二61.152.159.177/24334413某证券交易站三61.152.159.179/24334414某证券北方联通交易站221.192.220.163/24334415某证券北方电信交易站222.222.150.51/24334416某证券南方电信交易站119.145.21.193/243344实际评估结果-威胁识别威胁分析1操作错误这种威胁的主体为管理员用户或其

35、他合法用户，威胁的客体为整个网上交易系统的所有资产。这种威胁是非故意行为，主要是由于网上交易业务系统的主机分布在不同地方，管理员相对分散，导致这种威胁发生的可能性的存在。2滥用授权这种威胁的主体为管理员用户或其他合法用户，威胁的客体为整个网上交易系统的所有资产。这种威胁是合法用户的故意行为，可能是由于同一帐号多人使用或一人使用多个帐号，且权限划分不明确，导致威胁发生的可能性还是存在的。滥用授权如果达到一定程度，将会对某些重要应用系统带来危害，甚至导致重要数据丢失或泄密。3行为抵赖这种威胁的主体为系统管理员用户或其他合法用户，威胁的客体为整个网上交易系统评估范围内的所有资产。这种威胁是合法用户对

36、自己所作操作的否认，由于日志审计并未完全记录，且帐号权限管理不严格，可能导致出现行为抵赖的情况。同时，部分设备的管理划分不清，有可能造成操作行为无法追究。.举例举例实际评估结果-威胁识别威胁赋值序号序号威胁类别威胁类别出现频率出现频率威胁赋值威胁赋值威胁描述威胁描述1操作错误低2合法用户工作失误或疏忽的可能性2滥用授权低2合法用户利用自己的权限故意或非故意破坏系统的可能性3行为抵赖低2合法用户对自己操作行为否认的可能性4身份假冒低2非法用户冒充合法用户进行操作的可能性5密码分析中3非法用户对系统密码分析的可能性6利用漏洞中3非法用户利用系统漏洞侵入系统的可能性7拒绝服务中3非法用户利用拒绝服务手段攻击系统的可能性8恶意代码中3病毒、特洛伊木马、蠕虫、逻辑炸弹等感染的可能性9窃听数据低2非法用户通过窃听等手段盗取重要数据的可能性10物理破坏很低1非法用户利用各种手段对资产物理破坏的可能性11社会工程很低1非法用户利用社交等手段获取重要信息的可能性12意外故障高4系统的硬件、软件发生意外故障的可能性13通信中断高4数据通信传输过程中发生意