9.6.3计算机犯罪的防范

9.7 安全分析

1风险：指某种破坏或损失发生的可能性。

2风险管理：指识别、评估、降低风险到可以接受的程度，并实施适当机制控制风险保持在此程度之内的过程。

9.7.1 识别和评估风险

1有形资产可以通过资产的价值进行分类，如机密级、内部访问级、共享级、未保密级。

2考虑信息安全时，必须重视的7种风险：①物理破坏、②人为错误、③设备故障、④内外部攻击、⑤数据误用、⑥数据丢失、⑦程序错误、⑧网络本身的诸多特性（共享性、开放性、复杂性）、⑨网络信息系统自身的脆弱性（操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素）。

3风险分析的方法与途径可分为：①定量分析和②定性分析。

4定性分析通过列出各种威胁的清单，对威胁的严重程度及资产的敏感程度进行分级，是被广泛采用的方法。

5定性分析技术包括：判断、直觉和经验。

6风险小组应由企业中不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员。

9.7.2 控制风险

1风险管理方式：①降低风险、②避免风险、③转嫁风险、④接受风险。

2在采取防护措施时，要考虑9个方面：①产品费用、②设计计划费用、③实施费用、④环境的改变、⑤与其他防护措施的兼容性、⑥维护需求、⑦测试需求、⑧修复替换更新费用、⑨操作支持费用。

3、控制风险的方法：①对动作进行优先级排序，风险高的优先考虑；②评价风险评估过程中的建议，分析建议的可行性和有效性；③实施成本收益分析；④结合技术、操作和管理类的控制元素，选择性价比最好的安全控制；⑤责任分配；⑥制定一套安全措施实现计划；⑦实现选择的安全控制。