» 第二章  信息安全工程实践应用



               作用于网络空间，是指利用入侵检测系统对组织网络当前阶段所经受的内部和外部攻
               击或威胁进行分析。在入侵检测过程中，操作人员需编写检测方案，然后部署入侵检
               测系统，对来自内部和外部的攻击行为进行检测。入侵检测一般需持续20天左右，入
               侵检测完成后，分析人员根据入侵检测系统的日志完成分析报告。
                   （3）安全威胁综合分析

                   安全威胁综合分析是对前两项分析结果进行的综合分析，以便给出全面的威胁
               分析报告。威胁分析报告的内容与信息资产存在的漏洞相对应，并对威胁进行相应的
               赋值。

                   3.威胁评估
                   在威胁分析的基础上，对威胁进行评估，威胁评估主要包括以下内容。
                   （1）威胁识别与建立威胁列表
                   建立一个完整的威胁列表可以有许多不同的方法。例如，可以建立一个检查列

               表，但需要注意不要过分依赖这种列表，如果使用不当，这种列表可能会造成评估人
               员思路的任意发散，使问题变得庞杂，因此在使用检查列表之前首先需要确保所涉及
               的威胁已被确认且全部威胁得到了覆盖。
                   另外一种收集威胁的方法是对历史记录进行检查。看一下什么事件已经发生过且

               多长时间发生一次。一旦发现存在这样的威胁，那么有必要确定威胁的发生概率。此
               类数据可以从多个渠道获得，如对自然威胁，可以从气象中心得到相关的自然灾害发
               生概率；对故意威胁，可以咨询当地的法律机构；对环境威胁，可以从基础设施的管
               理部门得到相关的数据。

                   在识别和确定威胁的过程中，头脑风暴法是一种比较有效的方法。将企业内部的
               管理人员和有关人员集中在一起，并首先为其提供一个大体的框架，然后让他们识别
               出他们所能想到的所有威胁。在采用头脑风暴法的过程中，没有所谓错误的答案，应
               确保所有的威胁都被识别出来。在完成信息收集工作后，下一步就要对这些信息进行

               合并和删减。
                   （2）确定威胁发生的可能性
                   威胁列表建立并在评估人员中达成共识后，下一步就要确定威胁发生的可能性。
               对威胁发生的可能性有一种简单的定义方法：威胁发生的可能性高是指在下一年中这

               种威胁很可能发生；威胁发生的可能性中等是指在下一年中这种威胁可能发生；威胁
               发生的可能性低是指在下一年中这种威胁不太可能发生。
                   需要注意的是，当评估小组将这种定义确定后，一定要保证概率的时间跨度能够
               满足企业的需要。





                                                                                          • 45 •