登陆注册
2859500000013

第13章 组织安全管理(1)

89.什么是信息安全风险评估?

信息安全风险评估是从风险管理角度,运用定性、定量的科学分析方法和手段,依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁,以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。从而有针对性地提出抵御威胁的安全防护对策和整改措施,最大限度地减少经济损失和负面影响。

信息安全风险评估是信息安全管理的基础和关键环节。通过开展信息安全风险评估,对网络与信息系统的资产价值、潜在的安全威胁、薄弱环节、防护措施等进行分析,可以做到心中有数,可以发现信息系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性地进行管理。图9.1是风险评估的实施流程图。

90.风险评估的要素有哪些?

风险评估的基本要素包括:需保护的信息资产、信息资产的脆弱性、信息资产面临的威胁、存在的可能风险、安全防护措施等。

风险评估围绕着这些基本要素展开,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。在对这些要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事公务人员信息安全知识读本件、残余风险等,以及与这些基本要素相关的各类属性。图9.2显示了风险评估各要素之间的关系,其中方框中的内容为风险评估的基本要素,椭圆中的内容是与这些要素相关的属性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。

91.风险分析的主要内容是什么?

风险分析原理如图9.3所示。风险分析涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性。资产的属性是资产价值,威胁的属性可以是威胁主体、影响对象、出现频率、动机等,脆弱性的属性是资产弱点的严重程度。

风险分析的主要内容为:

①对资产进行识别并对资产的价值进行赋值。

②对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。

③对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。

④根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性。

⑤根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失。

⑥根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。

92.开展信息安全风险评估有哪些方式?

风险评估可分为自评估、检查评估两种方式。自评估是信息安全风险评估的主要形式,是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,以发现信息系统现有弱点、实施安全管理为目的。检查评估是指信息系统上级管理部门或信息安全职能部门组织的信息安全风险评估,检查评估是通过行政手段加强信息安全管理的重要措施。

风险评估应以自评估为主,检查评估是在自评估过程记录与评估结果的基础上,验证和确认系统存在的技术、管理和运行风险,以及用户实施自评估后采取风险控制措施取得的效果。自评估和检查评估应相互结合、互为补充。

自评估和检查评估都可依托自身技术力量进行,也可委托具有相应资质的第三方机构提供技术支持。

93.信息系统在什么时候要进行风险评估?

风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得风险评估的对象、目的、要求等各方面也有所不同。具体而言,在规划设计阶段,通过风险评估以确定系统的安全目标;在建设验收阶段,通过风险评估以确定系统的安全目标达到与否;在运行维护阶段,要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。

94.开展风险评估要做哪些准备?

(1)确定目标

根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。

(2)确定范围

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

(3)组建团队

由管理层、相关业务骨干、IT技术人员等组成风险评估实施小组。必要时,可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。

评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理的相关规定。此外,还可根据被评估方要求,双方签署保密合同,依据情况签署个人保密协议。

(4)系统调研

系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括业务战略及管理制度、主要的业务功能和要求、网络结构与网络环境(包括内部连接和外部连接)、系统边界、主要的硬件和软件、数据和信息、系统和数据的敏感性、支持和使用系统的人员等。

系统调研可以采取问卷调查与现场面谈相结合的方式进行。

调查问卷是提供一套关于管理或操作控制的问题表格,供系统技术人员或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。

(5)确定依据

根据系统调研结果,确定评估依据和评估方法。评估依据包括(但不限于)现有国际标准、国家标准、行业标准,行业主管机关业务系统的要求和制度,系统安全保护等级要求,系统互联单位的安全要求,系统本身的实时性或性能要求等。

根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。

(6)制定方案

制定风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。风险评估方案的内容一般包括(但不限于)团队组织(包括评估团队成员、组织结构、角色、责任等)、工作计划(风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等)和时间进度安排。

(7)获得支持

上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持和批准;对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。

95.如何进行资产识别?

信息资产是具有价值的信息或资源,以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。保密性、完整性和可用性是评价信息资产的三个安全属性。风险评估中资产的价值不仅以资产的经济价值来衡量,而且由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度决定。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

信息资产作为信息系统的构成元素分布十分广泛,不同信息资产的功能、重要程度也互不相同。因此,需要对信息资产进行合理分类,分析安全需求,确定资产的重要程度。资产识别的主要工作是在评估实施方案确定的范围内,按照评估方案约定的方式进行如下四项工作。

(1)回顾评估范围内的业务

回顾这些信息的主要目的是帮助资产识别小组对其所评估的业务和应用系统有一个大致了解,为后续的资产识别活动作准备。如果在准备阶段已就这部分信息进行过交流并生成了相应的描述性文档,这部分工作不必重复进行,直接阅读上述文档即可。

(2)识别信息资产,进行合理分类

针对前一个活动中识别出来的每个主要业务或系统,识别完成业务或保证系统正常运转所必需的资产,并注明资产的类别。

资产分类的目的是降低后续分析和赋值活动的工作量。

(3)确定每类信息资产的安全需求

在对资产进行合理分类之后,便可从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析,而不是对每个资产进行安全需求分析。

(4)为每类信息资产的重要性赋值

在上述安全需求分析的基础上,按照一定方法确定资产的价值或重要程度等级。

96.如何进行威胁识别?

威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。

威胁是构成信息安全风险不可缺少的要素之一。在信息资产及其相关资产存在脆弱性和相应的安全控制措施缺失或薄弱的条件下,威胁总是通过某种具体的途径或方式作用到特定的信息资产上,并破坏该资产一个或多个安全属性,从而产生信息安全风险。

威胁识别主要是识别被评估组织关键资产直接或间接面临的威胁,以及相应的分类和赋值等活动。威胁识别活动的主要目的是建立风险分析需要的威胁场景。威胁识别主要包括以下具体活动:

(1)威胁识别

威胁识别包括实际威胁识别和潜在威胁识别。实际威胁识别即通过访谈和检测工具识别并记录被评估组织近期实际出现过的威胁;潜在威胁识别即根据被评估组织的特点,结合当前信息安全总体的威胁统计和趋势,分析被评估组织面临的潜在威胁。

(2)威胁分类

对上述实际发生过的和潜在的威胁进行分类。与资产分类的目的类似,对威胁进行分类可以简化后续分析、赋值和计算等活动的工作量。

(3)构建威胁的场景

在前面威胁识别和威胁分类的基础上,为每个或每类关键资产构建威胁场景图。

(4)威胁赋值

某些具体的风险需要在这个阶段对威胁进行赋值。因此,需要对具体威胁或威胁类别进行赋值,作为后续计算的输入。

97.如何进行脆弱性识别?

资产识别和威胁识别完成之后,就是脆弱性识别。脆弱性识别是风险评估的关键环节,包括物理、系统、网络、应用和管理五个方面。

脆弱性识别主要包括以下具体活动:

(1)脆弱性识别

通过扫描工具或手工等不同方式,识别当前系统中存在的脆弱性。

(2)识别结果整理与展示

实际评估项目中,被评估组织往往要求评估单位提交脆弱性识别活动的阶段成果,所以在脆弱性识别阶段,还应将脆弱性识别结果以合理的方式展现给被评估组织。

公务人员信息安全知识读本127(3)脆弱性赋值

某些具体的风险分析、计算方法,需要对脆弱性赋值,方能完成后续的风险计算活动。如果评估活动选用了上述类型的风险分析、计算方法,应根据一定的赋值准则,对被识别的脆弱性进行赋值。

98.如何识别与确认安全措施?

有效的安全控制措施既可降低安全事件发生的可能性,也可减轻安全事件造成的不良影响。因此,在进行风险分析计算之前,有必要识别被评估组织目前已有的安全控制措施,并对措施的有效性进行分析,为后续的风险分析提供参考依据。安全控制措施大致可分为技术控制措施、管理和操作控制措施两大类。

(1)技术控制措施的识别与确认

识别已有的技术控制措施,并对其有效性进行分析和确认。

(2)管理和操作控制措施的识别与确认

识别已有的管理和操作控制措施,并对其有效性进行分析和确认。

99.如何进行风险分析?

在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施的识别与确认后,应进入风险分析阶段。风险分析阶段的主要工作就是完成风险的分析和计算。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。

(1)风险计算原理

风险值=R(A,T,V)=R[L(T,V),F(Ia,Va)]。

其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。

(2)风险结果判定

为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理,将风险划分为若干级,等级越高,风险越高。

评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。

风险等级处理的目的是在风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险评估值在可接受的范围外,即风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制风险。另一种确定不可接受风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。

(3)风险处理计划

对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划,风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑,安全措施的选择与实施应参照信息安全的相关标准进行。

(4)残余风险评估

在对不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已降低到可接受的水平。残余风险的评估可依据所采用标准提出的风险评估流程实施,也可做适当裁减。一般来说,安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。

某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。

100.什么是信息安全等级保护?

同类推荐
  • 群众工作力

    群众工作力

    《群众工作力》由洪向华主编。围绕保持党的先进性和纯洁性,在全党深入开展以为民务实清廉为主要内容的党的群众路线教育实践活动,着力解决人民群众反映强烈的突出问题,提高做好新形势下群众工作的能力。党在自己的工作中实行群众路线,一切为了群众,一切依靠群众,从群众中来,到群众中去,把党的正确主张变为群众的自觉行动。我们党的最大政治优势是密切联系群众,党执政后的最大危险是脱离群众。党风问题、党同人民群众联系问题是关系党生死存亡的问题。人民是历史的创造者,群众是真正的英雄。人民群众是我们力量的源泉。我们深深知道,每个人的力量是有限的,但只要我们万众一心、众志成城,就没有克服不了的困难;
  • 外国政要答记者问

    外国政要答记者问

    本书收录的内容,或摘自《参考资料》、《人民日报》等报刊、杂志,或摘自公开出版的相关图书,或摘自人民网、新华网等官方网站,或根据电视访谈文字记录稿整理而成。其中对个别文字做了订正。由于本书中选录的外国政要都是广大读者所熟知的,因此在编辑过程中我们除了个别的人物、地名之外,书中未作专门的注释或说明。
  • 反腐与走向现代治理

    反腐与走向现代治理

    聚焦两会,各路权威专家聚焦两年反腐成果,破局现代治理新思路。大规模反腐败能否破权贵除恶政?中国政治体制改革路在何方?
  • 天下大势

    天下大势

    这是一部颇具新意的政治讽刺小说。辛亥武昌首义,浪荡公子边义夫身不由已卷入革命洪流,因在混乱中三炮轰城,意外成了革命新贵。不料,官瘾尚未过足,即被政变推翻.边义夫无路可走,旋即发动二次革命,立志以革命的名义去做窃国大盗。于是,一支号称为人民不吃土而努力奋斗的“四民主义”的队伍横空出世,本来就形迹可疑的“革命”变成了一场国内鸦片战争。战争结束,边义夫成了一方诸侯,靠林立的枪杆子成了北京段祺瑞政府的政治贸易伙伴。
  • 做优秀的共产党员:谈谈共产党员形象

    做优秀的共产党员:谈谈共产党员形象

    对每一个共产党员来说,“形象”问题是一个伴随终身的大问题,它不但关系到个人的成长进步,而且也关系到整个党的生命。因为共产党员形象是党的形象的具体体现,党员的形象如何,直接关系到党的形象和威信。所以,在党员个人修养中,应该而且必须始终注重“形象”这个问题,真正树立起党员的良好形象。本书就是一本专门探讨“共产党员为什么要重视自身形象”、“共产党员应该具有什么样的形象”、“共产党员应该如何塑造并提升自身形象”等问题的专著。
热门推荐
  • 小妾有点坏

    小妾有点坏

    她替姐姐嫁入轩辕府当轩辕老爷的第八房小妾,喝了点酒,晕忽忽的进了一间房。轩辕彻出外谈成生意回来没通知任何人!以为她是娘给他找来的小妾。于是,就这么将错就错下去。
  • 美女战队

    美女战队

    他是杀戮的象征,他是死亡的代名词,他是敌人的噩梦,他就是“张冲”几年前的王者天下,曾流传着这样一句话“宁见阎罗哭,莫见冥王怒”,在他的带领下,修罗军团所向披靡,即将登顶这片奇异大陆的顶峰……
  • 实习老公

    实习老公

    《实习老公》(单身公害之白羊座)“你是我的,只有我不要的,没有我要不到的!”精明强势的女主,百般手段,终将男主纳入羽翼,调教出贴心老公。女主:北堂烟,北堂集团总裁,精明,强势,商业天才,一个天生就注定被追随的存在,无数神话的缔造者。男主:炎烈,北堂集团实习生,阳光,帅气,成熟内敛,皇家学院首席生的他拥有众多的追求者,平日里洁身自好,却仍旧一不小心将自己的清白葬送在了一个“公害”手中。她第一眼看到他的照片时,就已经注定了他们之间的结局!这就是属于她的霸道与强势!当他放弃一切坚持,与她在一起时,他就知道他这一生终究是败给了这个女人,霸道却也温柔的女人。强势的她对他一见钟情,虽然有那么点小麻烦,但对于她来说都不是问题,她想要的还没有得不到的!……《溺爱》(单身公害之处女座)她是医学界的奇葩,闻名世界的心理医生,上百家连锁医院的院长!她的世界完美无瑕,不沾染任何灰尘,她不喜欢的东西统统毁灭。只不过,完美的人生遇到了不算完美的爱情,但却也成就了梦幻中的爱情童话。一个男人,年过三十,相貌普通,被妻子抛弃带着有轻微弱智的孩子在工地打工,皴裂的双手,沧桑的眼神,懦弱的气息,似乎在彰显着一个失败的人生。只是,这个平凡到不能再平凡的男人却有着一个不平凡的奢望,他爱上了一个不该爱的人。一个几近完美的女人,一个普通到让人厌恶的男人。一个有着洁癖的女人,一个天天生活在肮脏工地的男人。她从未想过她会爱上这样一个男人。他也从未想过她会爱上他!她用一种看着狗的眼神看着他,挑战人类心理承受的极限。他用一种看着神的眼神看着她,听从她的一切安排!……单身公害系列是以十二个不同星座的女人为主题写的系列文,这些女人美丽且充满智慧,拥有权势,同时也拥有爱情,都市一对一专情文,希望朋友们喜欢!
  • 空中奇景(走进科学)

    空中奇景(走进科学)

    本套书全面而系统地介绍了当今世界各种各样的难解之谜和科学技术,集知识性、趣味性、新奇性、疑问性与科普性于一体,深入浅出,生动可读,通俗易懂,目的是使广大读者在兴味盎然地领略世界难解之谜和科学技术的同时,能够加深思考,启迪智慧,开阔视野,增加知识,能够正确了解和认识这个世界,激发求知的欲望和探索的精神,激起热爱科学和追求科学的热情,不断掌握开启人类世界的金钥匙,不断推动人类社会向前发展,使我们真正成为人类社会的主人。
  • 最受欢迎下饭菜

    最受欢迎下饭菜

    《美食天下第1辑:最受欢迎下饭菜》集结了营养师的权威营养知识,烹饪大师曹广泉等几十年的烹调经验,讲解烹饪知识,介绍家常食材家常菜。营养保健及食疗部分根据最新的营养学研究成果,本着有助健康和疾病康复的原则选取菜品,对大众的食疗有着较好的指导意义。不同人群的营养保健及食疗部分根据不同年龄段及不同性别的生理特点,本着对特殊人群关爱的原则选取营养知识和菜品,给不同年龄段及性别的人群进行饮食指导。
  • 中国古代高僧传

    中国古代高僧传

    在波澜壮阔的中国历史长河中,在富饶广袤的神州大地上,数千年来,曾经涌现出了一批批叱咤风云、扭转乾坤的英雄豪杰。他们如夜空中的群星,交相辉映,璀璨夺目。岁月的流逝,冲刷不掉他们的英名;朝代的兴废,也改变不了他们不朽的业绩。他们中间,有雄才大略、举贤任能的国君;有变法图强、励精图治的名相;有横刀立马、席卷千军的将帅;有运筹帷幄、料事如神的谋士;有忧国忧民、忠言直谏的贤臣……他们是我们民族的精英、祖国的脊梁。
  • 傻子王爷无情妃

    傻子王爷无情妃

    一只毒蝎子,彻底断送了她年轻的生命!别人只知道,那个软弱没主见的女人被迫嫁给一个痴傻呆闷的七皇子。殊不知,她早已不再是“她”!面对痴傻只会憨笑的美男,她气愤难填!你傻,本美女就医好你,谁知医好后,遭到嫌弃,却换来一纸休书,气愤之下,她恨不得与他同归于尽……
  • 康若文琴的诗

    康若文琴的诗

    诗集共收录108首诗。,《康若文琴诗》具有强烈的主观色彩。 呈现出非常鲜明的个性以及语言极具特色的魅力
  • 无敌大小姐

    无敌大小姐

    当现代阴狠毒辣,手段极多的火家大小姐火无情,穿越到一个好色如命,花痴草包大小姐身上,会发生怎样的化学反应?火无情一醒过来就发现,自己竟然在众目睽睽之下上演脱衣秀。周围还有一群围观者。这一发现,让她极为不爽。刚刚穿好衣服,便看到一个声称是自家老头的老不死气势汹汹的跑来问罪。刚上来,就要打她。这还得了?她火无情从生自死,都是王者。敢动她的人,都在和阎王喝茶。于是,她一怒之下,打了老爹。众人皆道:火家小姐阴狠毒辣,竟然连老爹都不放在眼里。就这样,她的罪名又多了一条。蛇蝎美人。穿越后,火无情的麻烦不断。第一天,打了爹。第二天,毁了姐姐的容。第三天,骂了二娘。第四天,当众轻薄了天下第一公子。第五天,火家贴出招亲启事:但凡愿意娶火家大小姐者,皆可去火府报名。来者不限。不怕死,不想活的,欢迎前来。警示:但凡来此,生死皆与火家无关。若有残病者火家一律不负法律责任。本以为无人敢到,岂料是桃花朵朵。美男个个很妖娆一号美人:火无炎。火家大少爷。为人不清楚,手段不清楚。容貌不清楚。唯一清楚的是,他有钱。有多多的钱。火无情语录:钱是好东西。娶了。(此美男,由美瞳掩饰不了你眼神的空洞领养。)火老爷一气之下,昏了过去。家门不幸,家门不幸啊。二号美人:竹清月。江湖人称天上神仙,地上无月。大国师一枚。美得惊天动地。火无情语录:美人好,尤其是自带嫁妆又会预测未来的美人,娶了。(此美男,由东de琳琳领养)三号美人:轩辕子玉。当朝七皇子,游历四国。一张可爱无敌的脸。单纯至极。火无情语录:可爱的孩子好,可爱又乖巧的孩子更好。可爱乖巧又不用给钱的孩子,娶了。(此美男,由刘千绮领养)皇帝听闻,两眼一抹黑。他的儿啊。怎么就这么不争气呢。四号美人:天下第一美男。性格不详,籍贯不详。火无情语录:谜一样的美人,她喜欢。每天都有新鲜感。娶了。(此美男,由告别的爱情li领养。)五号美人:天下第一名伶。火无情语录:解风情的美男,如果没钱花把他卖了都不用调教。娶了。(此美男由伊眸领养。)六号美男:解忧楼楼主。相貌不详,身世不详。爱好杀人。火无情语录:凶恶的美人,她喜欢。娶了。(此美男由陈铭铭领养)七号美男:琴圣。貌如谪仙,琴音杀人。冷清眸子中,百转千回,说尽风流。(此美男由伊眸领养)夜杀:天下第一杀手。(此美男由静寂之夜领养)
  • 御龙圣心

    御龙圣心

    草根逆袭,乱世枭雄,闯出一片天!集奇幻修真、浴血奋战、斗智斗勇于一体,在山河破碎的不利形势中勇挑重担,救民于水火,还百姓一片安宁天下。