信息安全风险评估服务手册(共31页).doc

《信息安全风险评估服务手册(共31页).doc》由会员分享，可在线阅读，更多相关《信息安全风险评估服务手册(共31页).doc（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上_信息安全风险评估服务手册_目录专心-专注-专业第1章 风险评估的重要性1.1. 风险评估背景随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估方法去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工

2、作的基础性工作和重要环节，贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。国内风险评估推进工作情况如下：时间具体推进事件历程2003年v 关于加强信息安全保障工作的意见（中办发200327号）中明确提出“要重视信息安全风险评估工作”。2004年v 为贯彻落实27号文件精神，原国信办组织有关单位和专家编写了信息安全风险评估指南。2005年v 原国信办在北京、上海、云南、黑龙江2市2省区和银行、电力、税务3个行业组织了信息安全风险评估试点。2006年v 原国信办召开了信息安全风险评估推进工作会议。国家部委、各省信息办依据中办发2006 5号

3、、9号文件，开展重要行业安全风险评估工作。 2007年v 为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展开了自评估工作。（中国移动、电力、税务、证券）至今v 经过多年实践，风险评估是“一种度量信息安全状况的科学方法”，通过对网络和信息系统潜在风险要素的识别、分析、评价，发现网络和信息系统的安全风险，通过安全加固，使高风险降低到可接受的水平，从而提高信息安全风险管理的水平。”表-11.2. 风险评估目的风险评估是对网络与信息系统相关方面风险进行辨识和分析的过程，是依据国际/国家/地方有关信息安全技术标准，评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性和利用后对信息系

4、统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响，并以此识别信息系统的安全风险的过程。风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况，全面了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降低威胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而将风险降低到可接受的水平；同时，可以定期了解信息系统的安全防护水平并为后期安全规划建设的提出提供原始依据，并作为今后其他工作的参考。1.3. 风险评估方式v 自评估是由被评估信息系统的拥有者发起，依靠自身的力量参照国家法规与标准，对其自身的信息系统进行的风险评估活动。 v 检查评估 检查

5、评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。v 委托评估 是由被评估信息系统的拥有者发起，委托专业的服务机构，参照国家法规与标准，对其维护的信息系统进行的风险评估活动。第2章 信息安全服务产品介绍2.1. 服务产品概述 信息安全风险评估服务 信息安全风险永远存在，安全产品不能解决所有的问题。信息安全工作本身是一个过程，它的本质是风险管理。风险管理工作不仅仅是一个简单的理论、方法，更需要在实践中检验发展。信息安全强调安全必须为业务服务，以最佳实践作为信息安全工作的落脚点，通

6、过有效的安全服务，让安全技术有效地发挥作用。 信息安全为客户提供全面的信息安全咨询与风险评估服务。信息安全认为，风险评估是风险管理的基石，安全管理监控是风险管理的过程化实施。单纯的技术评估不能全面揭示信息安全风险所在，脱离细致技术检查手段的管理评估也似无本之木，技术和管理是密不可分的两个方面。同时，应用系统自身的安全性也是风险管理的重要组成部分。信息安全风险评估服务基于技术方面的安全评估、基于管理方面管理评估和综合两者的全面评估，客户可以全面了解组织内部的信息安全状况，尽早发现存在的问题。同时，根据安全专家的建议，客户可以在降低风险、承受风险、转移风险等方面做出正确的选择。信息安全风险评估服务

7、综合国内外相关标准与业界最佳实践，为客户清晰的展现信息系统当前的安全现状、安全风险，提供公正、客观数据作为决策参考，为客户下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据，从而引起相关领导关注和重视，为客户后续信息安全工作争取支持，为客户后续信息安全顺利开展争取资源和地位，风险评估能够帮助客户从技术、管理方面或全面摸清家底、做到知己知彼，顺利进行信息系统安全规划、设计、建设。加强组织各层面对于信息安全工作的认识和理解程度，提高组织各层面的信息安全保障意识，对于规范和系统化提高信息安全保障水平提供了有效的方法。2.2. 服务产品功能图-12.2.1. 资产评估资产是构成整个

8、系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。资产评估是与风险评估相关联的重要任务之一，资产评估主要是对资产进行相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁的严重程度；这样，威胁评估就成了对资产所受威胁发生可能性的评估，主要从发生的可能性、发生成功的可能性以及发生成功后的严重性三方面安全属性进行分析；目的是要对组织的归类资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使组织更合理的利用现有资产

9、，更有效地进行资产管理，更有针对性的进行资产保护，更有合理性的进行新的资产投入。2.2.2. 威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过程中，首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁评估过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和客体。2.2.3. 脆弱性

10、评估脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，就是对脆弱性被威胁利用的可能性进行评估，最终为其赋相对等级值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。在评估中，从技术脆弱性和安全管理脆弱性两个方面进行脆弱性检查。2.2.4. 风险综合分析风险是

11、指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险只能预防、避免、降低、转移和接受，但不可能完全被消灭。在完成资产、威胁和脆弱性的评估后，进入安全风险的评估阶段。在这个过程中，采用最新的方法表述威胁源采用何种威胁方法，利用了系统的何种脆弱性，对哪一类资产，产生了什么样的影响，并描述采取何种对策来防范威胁，减少脆弱性。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析原来如下图所示：图-22.

12、2.5. 风险处置计划风险处置目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑风险处置是一种系统化方法，可通过多种方式实现：v 风险接受：接受潜在的风险并继续运行信息系统，不对风险进行处理。v 风险降低：通过实现安全措施来降低风险，从而将脆弱性被威胁源利用 后可能带来的不利影响最小化v 风险规避：不介入风险，通过消除风险的原因和/或后果来规避风险。v 风险转移：通过使用其它措施来补偿损失，从而

13、转移风险，如购买保险。2.3. 服务产品交付图-32.3.1. 风险评估综合报告主体报告，描述被评估信息系统得信息安全现状，对评估范围内的业务资产进行风险分析，明确出威胁源采用何种威胁方法，利用了哪些脆弱性，对范围内的哪些资产产生了什么影响，采取何种对策进行防范威胁，减少脆弱性；并对风险评估作出总结，总结出哪些问题需要当前解决，哪些问题可以分步分期解决。2.3.2. 资产赋值列表综合报告的子报告，描述了在资产识别后，对资产进行分类整理，并依据其所受破坏后所造成的影响，分析出其影响权值及其重要性。2.3.3. 威胁赋值列表综合报告的子报告，描述总结出评估范围内业务资产所面临的威胁源，以及其所采用

14、的方法。2.3.4. 脆弱性赋值列表综合报告的子报告，描述出通过安全管理调查、工具扫描、手工检查进行专业分析后，总结出评估范围内业务资产自身存在的脆弱性。通过工具扫描之后，对评估范围内的资产脆弱性进行统计，重在描述高风险、中风险、低风险的数量以及百分比等情况。2.3.5. 风险处置计划综合报告后的辅助报告，通过综合分析，了解了当前的安全现状，提出了针对当前问题的信息系统总体安全解决方案。2.4. 服务产品收益2.4.1. 资产识别v 帮助客户对组织内资产进行梳理，针对在传统资产清理过程中，比较容易被忽略的数据资产，服务资产等，使客户从原有的固定资产保护，提升为信息资产保护。v 帮助客户进行组织

15、内资产的分级管理，通过定量分析，明确各信息系统对客户的重要程度，通过有效整合信息系统的安全需求，在有限的资源环境下，更好的提高客户的信息安全水平。2.4.2. 平衡安全风险与成本v 帮助客户在安全建设过程中综合平衡安全风险与成本代价，信息安全工作的核心目标就是实现在最低资源消耗的情况下，达到最大的安全水平。通过对发现的问题和风险进行管理，并最优化的方案建议，使客户避免投入大量资源，但安全工作仍迟迟不见起色的现象。2.4.3. 风险识别v 对客户的关键信息资产进行全面梳理，识别资产的重要性；清晰自身所面临的威胁及其威胁方式方法，便于有针对性地防护。认识自身存在的脆弱性不足，能够有目的性的进行补遗

16、整改。v 帮助客户了解网络与信息系统的安全状况，通过如工具扫描，渗透测试，人工审计等多种技术手段，全面分析客户信息系统和网络中存在的各种安全问题，同时将发现的安全问题与信息资产的重要程度相关联，明确当前的安全风险。v 帮助客户了解自身存在信息安全管理漏洞，再好的设备，也是由人进行操作的，通过访谈、问卷等多种手段，协助客户管理层了解当前的信息安全管理制度是否存在漏洞，已经正式发布的安全管理制度是否得到了落实和执行。2.4.4. 建设指导v 通过专业的安全技术和专业人员及时全面的掌握客户IT环境的安全现状和面临的风险，并提出改进建议，降低风险。v 为客户进行信息安全规划建设、安全技术体系建设、安全

17、管理体系建设、安全风险管理奠定基石。v 通过对网络与信息系统漏洞产生的威胁进行分析，能够提供有效的安全加固和改进措施建议。在国际国内专业技术分析的支持下，安全服务团队能够获得第一手的信息系统或网络的漏洞信息，在此基础上，为客户提供及时、有效地网络和信息系统的漏洞发掘服务，并针对漏洞，提供有效的加固建议和改进措施建议。v 定期风险评估，帮助客户了解组织信息安全改进情况与发展方向，为以后的信息系统安全规划建设提供依据和参考。通过对安全风险的分析和识别，同时平衡安全风险与安全成本，提供专业的信息安全规划和建设建议，对于客户未来的信息安全工作，提供重要参考和依据。v 帮助客户建立信息安全风险管理机制。

18、为客户对网络与信息系统进行安全风险管理奠定基石，帮助客户在降低风险、承受风险、转移风险等方面作出最佳的选择。2.4.5. 业务保障v 可以帮助客户及时发现和修复网络与信息系统的安全问题，使安全风险降低到可以接受并且可以被有效管理的范围内，保障客户组织内信息系统稳定运行和业务连续性。v 预防信息安全事故，保证客户业务的连续性，使客户的重要信息资产受到与其价值相符的保护，防止系统入侵安全隐患再次被破坏或恶意利用，避免业务经济损失数量持续增加。第3章 信息安全服务产品规格3.1. 服务评估模型3.1.1. 评估模型图-4 风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估

19、过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。在上图中的风险要素及属性之间存在着以下关系：v 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；v 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；v 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；v 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；v 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；v 风险的存在及对风险的认识导出安全需求；v 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；v 安全

20、措施可抵御威胁，降低风险；v 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；v 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。3.1.2. 评估标准标准类型参考标准国际标准v ISO15408 信息技术安全评估准则v ISO/IEC TR 13335信息和通信技术安全管理v ISO/TR 13569 银行和相关金融服务信息安全指南v ISO/IEC 27000 信息安全管理体系系列标准v AS/NZS 4360 风险管理v NIST SP 800-30 IT系统风险管理指南国内标准v GB17859计算机信息系统安全保

21、护等级划分准则v GBT 20984信息安全风险评估规范v GBT 22239信息安全技术信息系统安全等级保护基本要求v GBZ 20985信息技术安全技术信息安全事件管理指南v GBZ 20986信息安全技术信息安全事件分类分级指南v 各个组织或行业内相关要求表-13.2. 服务评估方法图-5注：渗透测试模块为可选模块3.2.1. 访谈调研v 收集现有业务系统资产组成、IT规划、管理制度、原有项目安全成果等信息文档。对进行收集文档进行深入分析，梳理业务系统安全现状。根据现有文档分析整理结果，制定相关调研表进行信息资产调研信息补充。v 制定访谈提纲，对相关人员进行访谈。人员访谈可以了解人员安全

22、意识、对安全管理获知的程度、对安全技术的掌握程度，并且收集大量有用信息，全面了解信息系统的安全需求，深入了解客户各层面的安全现状。3.2.2. 人工审计v 人工评估只对被评估对象进行运行状态和配置检查，因此不会对现有信息系统上的其他设备和资源带来任何影响，而对被评估对象的资源占用也小于工具评估。人工评估完成后将产生人工评估报告，也将作为整体的安全评估报告的一个重要的来源和依据。v 人工评估对本地安全评估而言是必不可少的。人工安全评估对实施人员的安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地安全评估中位于物理层、网

23、络层、主机层、数据层和用户层的所有安全对象目标进行最有效和最完整的安全评估，并提供最合理和最及时的安全建议。3.2.3. 工具扫描v 工具自动评估是用各种商用安全评估系统或扫描器，根据其内置的评估内容、测试方法、评估策略及相关数据库信息，从系统内部对主机、网络、数据库等系统进行一系列的设置检查，使其可预防潜在安全风险问题，如弱口令、用户权限设置、用户帐户设置、关键文件权限设置、路径设置、密码设置、网络服务配置、应用程序的可信性、服务器设置以及其他含有攻击隐患的可疑点等。它也可以找出黑客攻破系统的迹象，并提出修补建议。v 工具评估最突出的优点是评估工作可由软件来自动进行，速度快，效率高。工具评估

24、部分将采用基于应用和网络系统类的扫描软件来分别进行。扫描评估主要是根据已有的安全漏洞知识库，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对系统进行安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映系统所存在的安全隐患和面临的安全威胁。3.2.4. 渗透测试v 渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常

25、能以非常明显，直观的结果来反映出系统的安全现状。该方法也越来越受到国际/国内信息安全业界的认可和重视。为了解服务系统的安全现状，在许可和控制的范围内，将对应用系统进行渗透测试。渗透测试将作为安全评估的一个重要组成部分。v 渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高，但是非常准确，可以发现逻辑性更强、更深层次的弱点。3.3. 服务评估范围3.3.1. 技术评估评估类型评估范围物理环境评估v 评估对象：物理环境基础设施v 评估内容：从机房场地、机房防火、机房供

26、配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别评估。网络结构评估v 评估对象：网络及安全设备(交换机、路由器、防火墙、入侵检测设、安全审计等)v 评估内容：从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别评估。主机及数据系统评估v 评估对象：操作及数据库系统（Windows、Linux、Unix、 Oracle、informix、ibm db2、sql server、my sql等)v 评估内容：从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安

27、全、系统管理等方面进行识别评估。应用系统评估v 评估对象：应用中间件（IIS、APACHE、TOMCAT、Weblogic等）和应用系统软件v 评估内容：从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护、脚本漏洞等方面进行识别评估。业务流程评估v 评估对象：业务流程v 评估内容：依据业务过程的数据流程评估客户的业务流程，识别客户业务流程的安全隐患。表-23.3.2. 管理评估评估类型评估范围安全管理制度评估v 评估内容：安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔字结构的文档体系。对安全管理制度的制定、发布

28、、评审、修订进行评估。安全管理机构评估v 评估内容：安全管理机构包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容，严格的安全管理应该由相对独立的职能部门和岗位来完成。安全管理机构从组织上保证了信息系统的安全。人员安全管理评估v 评估内容：人员安全管理包括信息系统用户、安全管理人员和第三方人员的管理，覆盖人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员管理等方面内容。工作人员直接运行、管理和维护信息系统的各种设备、设施和相关技术手段，与他们直接发生关联关系。因此，他们的知识结构和工作能力直接影响到信息系统其他层面的安全。系统建设管理评估v 系统建设管理包括系统定级、

29、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统备案等信息系统安全等级建设的各个方面。信息系统的安全是一个过程，是一项工程，它不但涉及到当前的运行状态，而且还关系到信息系统安全建设的各个阶段。只有在信息系统安全建设的各个阶段确保安全，才能使得运行中的信息系统有安全保证。系统运维管理评估v 系统运维管理包括运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急计划管理等方面内容。系统运维各个方面都直接关系到相关安全控制技术的正确

30、、安全配置和合理使用。对信息系统运维各个方面提出具体的安全要求，可以为工作人员进行正确管理和运行提供工作准绳，直接影响到整个信息系统的安全。表-3第4章 信息安全服务产品流程4.1. 服务流程蓝图图-64.2. 服务流程阶段4.2.1. 服务启动1) 服务目标风险评估启动是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应确定风险评估的目标与范围、进行系统调研、制定风险评估计划、获得客户管理者对风险评估工作支持。2) 服务内容v 确定风险评估的目标与范围根据满足组织业务持续发展

31、在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。v 系统调研系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：业务战略及管理制度、主要的业务功能和要求、网络结构与网络环境，包括内部连接和外部连接、系统边界、主要的硬件、软件、数据和信息、系统和数据的敏感性、支持和使用系统的人员、其他。v 制定风险评估计划风险评估计划的

32、目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。风险评估计划的内容一般包括： 团队组织：包括评估团队成员、组织结构、角色、责任等内容； 工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容； 时间进度安排：项目实施的时间进度安排。v 获得支持上述所有内容确定后，应形成较为完整的风险评估实施方案，得到客户管理者的支持、批准；对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。3) 成果输出：服务实施综合计划4.2.2. 资产评估1) 服务目标 对被评估信息系统的关键资产进行识别，并合理分类；在资产识

33、别过程中，需要详细识别关键资产的安全属性，重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响，并根据资产在遭受泄密、中断、损害等破坏时所遭受的影响，对资产的价值进行赋值。2) 服务内容v 资产识别资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。信息系统资可以分为硬件、软件、数据、人员、服务、其他类资产等。v 资产分析在资产识别的基础上，进一步分析被评估信息系统及其关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响。并进行赋值量化。从而为最后综合风险分析提供参考数据。资产赋值的过程也就是对资产在

34、机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失。4高重要，其安全属性破坏后可能对组织造成比较严重的损失。3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失。2低不太重要，其安全属性破坏后可能对组织造成较低的损失。1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计。表-43) 阶段成果输出：资产赋值列表4.2.3. 威胁评估1) 服务目标通过威胁调查、取样等手段识别被评估信息系统的关键资产所面临的威胁源，及其威胁所常采用的威胁方法，对资产所产生的影响。并为后续威胁分析及综

35、合风险分析提供参考数据。2) 服务内容v 威胁识别威胁识别要从威胁的主体、威胁途径和威胁方式三个方面来进行：威胁主体：分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。威胁途径：分为间接接触和直接接触，间接接触主要有网络访问、语音、视频访问等形式，直接接触指威胁主体可以直接物理接触到信息资产。威胁方式：主要有传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源(P2P下载等)、人为灾害(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏

36、硬件、软件和数据等。威胁识别的方法有：人工审计、安全策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析等。威胁识别方法列表如下：编号威胁识别方法描述1访谈v 通过和资产所有人、负责管理人员进行访谈2人工分析v 根据专家经验，从已知的数据中进行分析3IDSv 通过入侵监测系统在一段时间内监视网络上的安全事件来获得数据4人工审计v 通过人工审计方法来测试弱点，证实威胁5安全策略文档分析v 安全策略文档分析6安全审计v 通过一套审计问题列表问答的方式来分析弱点7事件记录v 对已有历史安全事件记录进行分析表-5v 威胁分析在威胁识别的基础上，进一步分析被评估信息系统及其关键资产将面临哪一方面的威

37、胁及其所采用的威胁方法。并依据其发生的可能性进行赋值量化。同时为最后综合风险分析提供参考数据。威胁主要依据其出现频率来赋值：等级标识定义5很高v 出现的频率很高（或1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。4高v 出现的频率较高（或 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。3中v 出现的频率中等（或 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低v 出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低v 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。表-63) 阶段成果输出：威胁赋值列表4.2.4. 脆

38、弱评估1. 服务目标采用安全扫描、手动检查、问卷调查、人工问询等方式对评估工作范围内的物理环境、网络设备、安全设备、操作系统、数据库系统和应用中间件系统、应用系统软件和安全管理进行脆弱性评估，同时为后续脆弱性分析及综合风险分析提供参考数据。2. 阶段服务内容v 脆弱性识别脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。脆弱性识别类型技术脆弱性识

39、别内容识别方法物理环境v 对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别，内容主要有：门禁系统、报警系统、监控系统、防雷击接地、防静电、UPS、消防系统、防电磁泄露、弱电系统、防尘、温室控制和机房容灾备份等。v 问卷访谈v 人工审计网络结构v 网络结构安全、访问控制策略与措施、网络设备策略与配置、安全设备策略与配置、网络性能与业务负载分析评估等。v 问卷访谈v 人工审计v 工具扫描主机及数据库系统v 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别评估。v 人工审计v 工具扫描应用系统v 含

40、应用中间件，从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护、脚本漏洞等方面进行识别评估。v 人工审计v 工具扫描v 渗透测试业务流程v 业务数据流向（输入、传输、存储、输出）业务策略（业务要求、使用范围、安全等级）业务实现方式、业务安全要求、各时段业务负载量、授权和认证、审计、加密、完整性、不可否认性等进行业务流程评估。v 问卷访谈v 人工审计安全管理v 从以下几方面分析被评估信息系统安全管理状况：管理机构、管理制度、人员管理、系统建设管理和系统运维管理。 v 问卷访谈表-7v 脆弱性分析在脆弱性识别的基础上，进一步分析被评估信息系统及其关键资产所存在的各方面脆弱性即

41、基础环境脆弱性、安全管理脆弱性、技术脆弱性。并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化。从而为最后综合风险分析提供参考数据。脆弱性严重程度的赋值方法如下：等级标识定义5很高如果被威胁利用，将对资产造成完全损害。4高如果被威胁利用，将对资产造成重大损害。3中如果被威胁利用，将对资产造成一般损害 。2低如果被威胁利用，将对资产造成较小损害。1很低如果被威胁利用，将对资产造成的损害可以忽略。 表-83. 阶段成果输出：脆弱性赋值列表4.2.5. 风险分析1) 服务目标风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与

42、后果的结合。在这个过程中，将采用最新的方法进行综合分析，表述出威胁源采用何种威胁方法，利用了系统的何种脆弱性，对哪一类资产，产生了什么样的影响，并描述采取何种对策来防范威胁，减少脆弱性。2) 服务内容v 风险计算在完成以上各项阶段评估工作后，进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性，对哪一类资产，产生了什么样的影响，并描述采取何种对策来防范威胁，减少脆弱性，同时将风险量化。风险计算方法： 综合风险计算方法： 根据风险计算公式R= f(A,V,T)=f(Ia,L(Va,T)， 即：风险值=资产价值威胁可能性弱点严重性 （注：R表示风险；

43、A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度)；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。） 可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。矩阵法通过构造一个二维矩阵，形成安全事件的可能性与安全事件造成的损失之间的二维关系；相乘法通过构造经验函数，将安全事件的可能性与安全事件造成的损失进行运算得到风险值。v 风险评价将估计的风险与风险准则比较确定风险的严重性。为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可将风险划分为五级，等级越高，风险越高。根据所采用的风险计

44、算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。每个等级代表了相应风险的严重程度。风险等级划分方法如下所示：等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。1很低一旦发生造成的影响几

45、乎不存在，通过简单的措施就能弥补。表-93) 成果输出： 风险评估综合报告4.2.6. 风险处置1) 服务目标风险处置目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。2) 服务内容在分析阶段完成之后，将根据风险分析的结果，结合国家有关的法律、法规，总结出客户当前的安全需求。根据安全需求的轻重缓急以及相关标准和安全技术保障框架，制定出适合客户的风险处置计划方案。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。安全措施的选择与实施应参照信息安

46、全的相关标准进行。应当综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。对某些资产的风险，如果风险计算值在可接受的范围内，则该风险是可接受的，应保持已有的安全措施；如果风险评估值在可接受的范围外，即风险计算值高于可接受范围的上限值，则该风险是不可接受的，需要采取安全措施以降低、控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果，不设定可接受风险值的基准，对达到相应等级的风险都进行处理。3) 成果输出：风险处置计划4.2.7. 服务验收1) 服务目标在以上几个阶段完成后，向客户汇报风险评估情况，详细介绍被评估信息系统所面临的风险，清晰的表达所面临的威胁状况、威胁所利用的脆弱性、产生的影响等状况，并在描述安全风险之后表述出采取何种对策防范威胁、减少脆弱性。最后对项目依据验收方案进行项目最终验收。2) 服务内容v 交付签收签收是对交付品行为的确认，当