信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)手冊(cè).doc

信息安全信息安全啟明星辰啟明星辰風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估 服務(wù)服務(wù)宣傳宣傳手冊(cè)手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司北京啟明星辰信息安全技術(shù)有限公司 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司2 2 文檔記錄信息文檔記錄信息 文檔名稱啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)白皮書 制作部門 前線技術(shù)中心 服務(wù)產(chǎn)品化管理部 版本修正歷史日期作者聯(lián)系方式 文檔核準(zhǔn)信息文檔核準(zhǔn)信息 版本核準(zhǔn)日期核準(zhǔn)人所屬部門備注 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司3 3 版權(quán)聲明版權(quán)聲明 北京啟明星辰信息安全技術(shù)有限公司版權(quán)所有 并保留對(duì)本文檔及本 聲明的最終解釋權(quán)和修改權(quán) 本文檔中出現(xiàn)的任何文字?jǐn)⑹?文檔格式 插圖 照片 方法 過(guò)程 等內(nèi)容 除另有特別注明外 其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星 辰信息安全技術(shù)有限公司 未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書面 同意 任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制 摘 錄 備份 修改 傳播 翻譯 成其它語(yǔ)言 將其全部或部分用于商業(yè)用途 免責(zé)條款免責(zé)條款 本文檔依據(jù)現(xiàn)有信息制作 其內(nèi)容如有更改 恕不另行通知 北京啟明星辰信息安全技術(shù)有限公司在編寫該文檔的時(shí)候已盡最 大努力保證其內(nèi)容準(zhǔn)確可靠 但北京啟明星辰信息安全技術(shù)有限公司不對(duì) 本文檔中的遺漏 不準(zhǔn)確 或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任 信息反饋信息反饋 如果任何寶貴意見 請(qǐng)反饋 信箱 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)摟啟明大廈 郵編 100193 電話 010 82779088 您可以訪問(wèn)啟明星辰網(wǎng)站 http 獲得最新的 技術(shù)和服務(wù)信息 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司4 4 目錄目錄 第第 1 章章風(fēng)險(xiǎn)評(píng)估的重要性風(fēng)險(xiǎn)評(píng)估的重要性 5 1 1 風(fēng)險(xiǎn)評(píng)估背景 5 1 2 風(fēng)險(xiǎn)評(píng)估目的 6 1 3 風(fēng)險(xiǎn)評(píng)估方式 7 第第 2 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品介紹服務(wù)產(chǎn)品介紹 7 2 1 服務(wù)產(chǎn)品概述 7 2 2 服務(wù)產(chǎn)品功能 9 2 2 1 資產(chǎn)評(píng)估 9 2 2 2 威脅評(píng)估 10 2 2 3 脆弱性評(píng)估 10 2 2 4 風(fēng)險(xiǎn)綜合分析 10 2 2 5 風(fēng)險(xiǎn)處置計(jì)劃 11 2 3 服務(wù)產(chǎn)品交付 12 2 3 1 風(fēng)險(xiǎn)評(píng)估綜合報(bào)告 12 2 3 2 資產(chǎn)賦值列表 12 2 3 3 威脅賦值列表 12 2 3 4 脆弱性賦值列表 12 2 3 5 風(fēng)險(xiǎn)處置計(jì)劃 13 2 4 服務(wù)產(chǎn)品收益 13 2 4 1 資產(chǎn)識(shí)別 13 2 4 2 平衡安全風(fēng)險(xiǎn)與成本 13 2 4 3 風(fēng)險(xiǎn)識(shí)別 13 2 4 4 建設(shè)指導(dǎo) 14 2 4 5 業(yè)務(wù)保障 15 第第 3 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品規(guī)格服務(wù)產(chǎn)品規(guī)格 15 3 1 服務(wù)評(píng)估模型 15 3 1 1 評(píng)估模型 15 3 1 2 評(píng)估標(biāo)準(zhǔn) 16 3 2 服務(wù)評(píng)估方法 17 3 2 1 訪談?wù){(diào)研 17 3 2 2 人工審計(jì) 17 3 2 3 工具掃描 18 3 2 4 滲透測(cè)試 18 3 3 服務(wù)評(píng)估范圍 19 3 3 1 技術(shù)評(píng)估 19 3 3 2 管理評(píng)估 20 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司5 5 第第 4 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品流程服務(wù)產(chǎn)品流程 21 4 1 服務(wù)流程藍(lán)圖 22 4 2 服務(wù)流程階段 22 4 2 1 服務(wù)啟動(dòng) 22 4 2 2 資產(chǎn)評(píng)估 23 4 2 3 威脅評(píng)估 24 4 2 4 脆弱評(píng)估 26 4 2 5 風(fēng)險(xiǎn)分析 27 4 2 6 風(fēng)險(xiǎn)處置 29 4 2 7 服務(wù)驗(yàn)收 30 4 3 服務(wù)流程管理 30 4 3 1 管理概述 30 4 3 2 管理組成 31 第第 5 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品優(yōu)勢(shì)服務(wù)產(chǎn)品優(yōu)勢(shì) 33 5 1 公司整體優(yōu)勢(shì) 33 5 2 服務(wù)發(fā)展優(yōu)勢(shì) 34 5 3 服務(wù)資質(zhì)優(yōu)勢(shì) 35 5 4 團(tuán)隊(duì)保障優(yōu)勢(shì) 36 第第 6 章章啟明星辰啟明星辰信息安全信息安全服務(wù)成功案例服務(wù)成功案例 37 6 1 重點(diǎn)案例列表 38 6 2 重點(diǎn)案例簡(jiǎn)介 39 6 2 1 金融案例 39 6 2 2 電信案例 39 6 2 3 能源案例 40 6 2 4 政府案例 40 第第 7 章章附錄術(shù)語(yǔ)定義附錄術(shù)語(yǔ)定義 41 第第 1 1 章章 第第 1 1 章章風(fēng)險(xiǎn)評(píng)估的重要性風(fēng)險(xiǎn)評(píng)估的重要性 1 1 風(fēng)險(xiǎn)評(píng)估背景風(fēng)險(xiǎn)評(píng)估背景 隨著政府部門 企事業(yè)單位以及各行各業(yè)對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng) 信息安全問(wèn)題受到普遍關(guān)注 運(yùn)用風(fēng)險(xiǎn)評(píng)估方法去識(shí)別安全風(fēng)險(xiǎn) 解決信息安 全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用 信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度 運(yùn) 用科學(xué)的方法和手段 系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性 評(píng)估安全事件一旦發(fā)生可能造成的危害程度 提出有針對(duì)性的抵御威脅的防護(hù) 對(duì)策和整改措施 為防范和化解信息安全風(fēng)險(xiǎn) 將風(fēng)險(xiǎn)控制在可接受的水平 從而最大限度地保障信息安全提供科學(xué)依據(jù) 信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié) 貫穿 于信息系統(tǒng)的規(guī)劃 設(shè)計(jì) 實(shí)施 運(yùn)行維護(hù)以及廢棄各個(gè)階段 是信息安全等 級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一 國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估推進(jìn)工作情況如下 時(shí)間具體推進(jìn)事件歷程 2003 年 關(guān)于加強(qiáng)信息安全保障工作的意見 中辦發(fā) 2003 27 號(hào) 中明確提 出 要重視信息安全風(fēng)險(xiǎn)評(píng)估工作 2004 年 為貫徹落實(shí) 27 號(hào)文件精神 原國(guó)信辦組織有關(guān)單位和專家編寫了 信 息安全風(fēng)險(xiǎn)評(píng)估指南 2005 年 原國(guó)信辦在北京 上海 云南 黑龍江 2 市 2 省區(qū)和銀行 電力 稅 務(wù) 3 個(gè)行業(yè)組織了信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn) 2006 年 原國(guó)信辦召開了信息安全風(fēng)險(xiǎn)評(píng)估推進(jìn)工作會(huì)議 國(guó)家部委 各省信 息辦依據(jù)中辦發(fā) 2006 5 號(hào) 9 號(hào)文件 開展重要行業(yè)安全風(fēng)險(xiǎn)評(píng)估工 作 2007 年 為保障十七大 在國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi) 全面展 開了自評(píng)估工作 中國(guó)移動(dòng) 電力 稅務(wù) 證券 至今 經(jīng)過(guò)多年實(shí)踐 風(fēng)險(xiǎn)評(píng)估是 一種度量信息安全狀況的科學(xué)方法 通 過(guò)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)要素的識(shí)別 分析 評(píng)價(jià) 發(fā)現(xiàn)網(wǎng)絡(luò)和 信息系統(tǒng)的安全風(fēng)險(xiǎn) 通過(guò)安全加固 使高風(fēng)險(xiǎn)降低到可接受的水平 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司7 7 從而提高信息安全風(fēng)險(xiǎn)管理的水平 表 1 1 2 1 2 風(fēng)險(xiǎn)評(píng)估目的風(fēng)險(xiǎn)評(píng)估目的 風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程 是依 據(jù)國(guó)際 國(guó)家 地方有關(guān)信息安全技術(shù)標(biāo)準(zhǔn) 評(píng)估信息系統(tǒng)的脆弱性 面臨的威脅 以及脆弱性被威脅源利用的可能性和利用后對(duì)信息系統(tǒng)及由其處理 傳輸和存 儲(chǔ)的信息的保密性 完整性和可用性所產(chǎn)生的實(shí)際負(fù)面影響 并以此識(shí)別信息 系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程 風(fēng)險(xiǎn)評(píng)估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的安全狀況 全 面了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn) 明確采取何種有效措施 降 低威脅事件發(fā)生的可能性或者其所造成的影響 減少信息系統(tǒng)的脆弱性 從而 將風(fēng)險(xiǎn)降低到可接受的水平 同時(shí) 可以定期了解信息系統(tǒng)的安全防護(hù)水平并 為后期安全規(guī)劃建設(shè)的提出提供原始依據(jù) 并作為今后其他工作的參考 1 3 風(fēng)險(xiǎn)評(píng)估方式風(fēng)險(xiǎn)評(píng)估方式 自評(píng)估自評(píng)估 是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起 依靠自身的力量參照國(guó)家法規(guī)與標(biāo)準(zhǔn) 對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng) 檢查評(píng)估檢查評(píng)估 檢查評(píng)估則通常是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī) 關(guān)發(fā)起的 旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的 具有強(qiáng)制意味的檢查活動(dòng) 是通過(guò)行政手段加強(qiáng)信息安全的重要措施 委托評(píng)估委托評(píng)估 是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起 委托專業(yè)的服務(wù)機(jī)構(gòu) 參照國(guó)家法規(guī) 與標(biāo)準(zhǔn) 對(duì)其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng) 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品介紹服務(wù)產(chǎn)品介紹 2 1 服務(wù)產(chǎn)品概述服務(wù)產(chǎn)品概述 啟明星辰啟明星辰信息安全信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)風(fēng)險(xiǎn)評(píng)估服務(wù) 信息安全風(fēng)險(xiǎn)永遠(yuǎn)存在 安全產(chǎn)品不能解決所有的問(wèn)題 信息安全工作本身信息安全風(fēng)險(xiǎn)永遠(yuǎn)存在 安全產(chǎn)品不能解決所有的問(wèn)題 信息安全工作本身 是一個(gè)過(guò)程 它的本質(zhì)是風(fēng)險(xiǎn)管理 是一個(gè)過(guò)程 它的本質(zhì)是風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)管理工作不僅僅是一個(gè)簡(jiǎn)單的理論 方法 更需要在實(shí)踐中檢驗(yàn)發(fā)展 啟明星辰信息安全強(qiáng)調(diào)安全必須為業(yè)務(wù)服務(wù) 以最佳實(shí)踐作為信息安全工作的落腳點(diǎn) 通過(guò)有效的安全服務(wù) 讓安全技術(shù)有 效地發(fā)揮作用 啟明星辰信息安全為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評(píng)估服務(wù) 啟明 星辰信息安全認(rèn)為 風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基石 安全管理監(jiān)控是風(fēng)險(xiǎn)管理的 過(guò)程化實(shí)施 單純的技術(shù)評(píng)估不能全面揭示信息安全風(fēng)險(xiǎn)所在 脫離細(xì)致技術(shù) 檢查手段的管理評(píng)估也似無(wú)本之木 技術(shù)和管理是密不可分的兩個(gè)方面 同時(shí) 應(yīng)用系統(tǒng)自身的安全性也是風(fēng)險(xiǎn)管理的重要組成部分 啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)基于技術(shù)方面的安全評(píng)估 基于管理方面 管理評(píng)估和綜合兩者的全面評(píng)估 客戶可以全面了解組織內(nèi)部的信息安全狀況 盡早發(fā)現(xiàn)存在的問(wèn)題 同時(shí) 根據(jù)安全專家的建議 客戶可以在降低風(fēng)險(xiǎn) 承 受風(fēng)險(xiǎn) 轉(zhuǎn)移風(fēng)險(xiǎn)等方面做出正確的選擇 啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)綜合國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最佳實(shí)踐 為 客戶清晰的展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀 安全風(fēng)險(xiǎn) 提供公正 客觀數(shù)據(jù)作 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司9 9 為決策參考 為客戶下一步控制和降低安全風(fēng)險(xiǎn) 改善安全狀況 實(shí)施信息系 統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù) 從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視 為客戶后續(xù)信息安全 工作爭(zhēng)取支持 為客戶后續(xù)信息安全順利開展?fàn)幦≠Y源和地位 風(fēng)險(xiǎn)評(píng)估能夠 幫助客戶從技術(shù) 管理方面或全面摸清家底 做到知己知彼 順利進(jìn)行信息系 統(tǒng)安全規(guī)劃 設(shè)計(jì) 建設(shè) 加強(qiáng)組織各層面對(duì)于信息安全工作的認(rèn)識(shí)和理解程 度 提高組織各層面的信息安全保障意識(shí) 對(duì)于規(guī)范和系統(tǒng)化提高信息安全保 障水平提供了有效的方法 2 2 服務(wù)產(chǎn)品功能服務(wù)產(chǎn)品功能 資資產(chǎn)產(chǎn)分分類類 資資產(chǎn)產(chǎn)賦賦值值 業(yè)業(yè)務(wù)務(wù)調(diào)調(diào)研研 資資產(chǎn)產(chǎn)評(píng)評(píng)估估 威威脅脅分分析析 威威脅脅賦賦值值 威威脅脅識(shí)識(shí)別別 威威脅脅評(píng)評(píng)估估 脆脆弱弱性性評(píng)評(píng)估估 技技術(shù)術(shù)脆脆弱弱性性識(shí)識(shí)別別 管管理理脆脆弱弱性性識(shí)識(shí)別別 12 風(fēng)風(fēng)險(xiǎn)險(xiǎn)綜綜合合分分析析 3 脆脆弱弱性性賦賦值值 4 風(fēng)風(fēng)險(xiǎn)險(xiǎn)綜綜合合識(shí)識(shí)別別風(fēng)風(fēng)險(xiǎn)險(xiǎn)接接收收準(zhǔn)準(zhǔn)則則風(fēng)風(fēng)險(xiǎn)險(xiǎn)模模型型計(jì)計(jì)算算 風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處置置計(jì)計(jì)劃劃 5 風(fēng)風(fēng)險(xiǎn)險(xiǎn)綜綜合合評(píng)評(píng)價(jià)價(jià) 控控制制措措施施預(yù)預(yù)期期效效果果實(shí)實(shí)施施條條件件進(jìn)進(jìn)度度安安排排責(zé)責(zé)任任部部門門 圖 1 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司10 10 2 2 1 資產(chǎn)評(píng)估資產(chǎn)評(píng)估 資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合 它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù) 或任務(wù)的重要性 這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值 資產(chǎn)評(píng)估是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一 資產(chǎn)評(píng)估主要是對(duì)資產(chǎn)進(jìn) 行相對(duì)估價(jià) 而其估價(jià)準(zhǔn)則就是依賴于對(duì)其影響的分析 主要從保密性 完整 性 可用性三方面的安全屬性進(jìn)行影響分析 從資產(chǎn)的相對(duì)價(jià)值中體現(xiàn)了威脅 的嚴(yán)重程度 這樣 威脅評(píng)估就成了對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估 主要 從發(fā)生的可能性 發(fā)生成功的可能性以及發(fā)生成功后的嚴(yán)重性三方面安全屬性 進(jìn)行分析 目的是要對(duì)組織的歸類資產(chǎn)做潛在價(jià)值分析 了解其資產(chǎn)利用 維 護(hù)和管理現(xiàn)狀 明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次 從而使組織 更合理的利用現(xiàn)有資產(chǎn) 更有效地進(jìn)行資產(chǎn)管理 更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù) 更有合理性的進(jìn)行新的資產(chǎn)投入 2 2 2 威脅評(píng)估威脅評(píng)估 威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因 作為風(fēng)險(xiǎn)評(píng)估的重 要因素 威脅是一個(gè)客觀存在的事物 無(wú)論對(duì)于多么安全的信息系統(tǒng) 它都存 在 威脅評(píng)估采用的方法是問(wèn)卷調(diào)查 問(wèn)詢 數(shù)據(jù)取樣 日志分析 在這一過(guò) 程中 首先要對(duì)組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識(shí)別 在威脅評(píng)估過(guò) 程中 應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來(lái)判斷 一 項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅 同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響 識(shí)別 出威脅由誰(shuí)或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么 即確認(rèn)威脅的主體和 客體 2 2 3 脆弱性評(píng)估脆弱性評(píng)估 脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn) 它包括物理環(huán)境 組 織機(jī)構(gòu) 業(yè)務(wù)流程 人員 管理 硬件 軟件及通訊設(shè)施等各個(gè)方面 這些都 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司11 11 可能被各種安全威脅利用來(lái)侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持 的業(yè)務(wù)系統(tǒng) 脆弱性評(píng)估將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn) 找出每一種威脅所能利用 的脆弱性 并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估 就是對(duì)脆弱性被威脅利用的可能 性進(jìn)行評(píng)估 最終為其賦相對(duì)等級(jí)值 在進(jìn)行脆弱性評(píng)估時(shí) 提供的數(shù)據(jù)應(yīng)該 來(lái)自于這些資產(chǎn)的擁有者或使用者 來(lái)自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信 息系統(tǒng)方面的專業(yè)人員 在評(píng)估中 從技術(shù)脆弱性和安全管理脆弱性兩個(gè)方面 進(jìn)行脆弱性檢查 2 2 4 風(fēng)險(xiǎn)綜合分析風(fēng)險(xiǎn)綜合分析 風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性 導(dǎo)致資產(chǎn)的丟失或損 害的潛在可能性 即特定威脅事件發(fā)生的可能性與后果的結(jié)合 風(fēng)險(xiǎn)只能預(yù)防 避免 降低 轉(zhuǎn)移和接受 但不可能完全被消滅 在完成資產(chǎn) 威脅和脆弱性 的評(píng)估后 進(jìn)入安全風(fēng)險(xiǎn)的評(píng)估階段 在這個(gè)過(guò)程中 采用最新的方法表述威 脅源采用何種威脅方法 利用了系統(tǒng)的何種脆弱性 對(duì)哪一類資產(chǎn) 產(chǎn)生了什 么樣的影響 并描述采取何種對(duì)策來(lái)防范威脅 減少脆弱性 風(fēng)險(xiǎn)分析中要涉及資產(chǎn) 威脅 脆弱性三個(gè)基本要素 每個(gè)要素有各自的 屬性 資產(chǎn)的屬性是資產(chǎn)價(jià)值 威脅的屬性可以是威脅主體 影響對(duì)象 出現(xiàn) 頻率 動(dòng)機(jī)等 脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度 風(fēng)險(xiǎn)分析原來(lái)如下圖所 示 威威脅脅出出現(xiàn)現(xiàn)的的頻頻率率 脆脆弱弱性性的的嚴(yán)嚴(yán)重重程程度度 資資產(chǎn)產(chǎn)價(jià)價(jià)值值 風(fēng)風(fēng)險(xiǎn)險(xiǎn)值值 安安全全事事件件的的可可能能性性 安安全全事事件件造造成成損損失失 威威脅脅識(shí)識(shí)別別 脆脆弱弱性性識(shí)識(shí)別別 資資產(chǎn)產(chǎn)識(shí)識(shí)別別 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司12 12 圖 2 2 2 5 風(fēng)險(xiǎn)處置計(jì)劃風(fēng)險(xiǎn)處置計(jì)劃 風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比較 以確定組織安全 策略 對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃 風(fēng)險(xiǎn) 處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施 預(yù)期效果 實(shí)施條件 進(jìn)度 安排 責(zé)任部門等 安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮 風(fēng)險(xiǎn)處置是一種系統(tǒng)化方法 可通過(guò)多種方式實(shí)現(xiàn) 風(fēng)險(xiǎn)接受 接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng) 不對(duì)風(fēng)險(xiǎn)進(jìn)行處理 風(fēng)險(xiǎn)降低 通過(guò)實(shí)現(xiàn)安全措施來(lái)降低風(fēng)險(xiǎn) 從而將脆弱性被威脅源利用 后可能帶來(lái)的不利影響最小化 風(fēng)險(xiǎn)規(guī)避 不介入風(fēng)險(xiǎn) 通過(guò)消除風(fēng)險(xiǎn)的原因和 或后果來(lái)規(guī)避風(fēng)險(xiǎn) 風(fēng)險(xiǎn)轉(zhuǎn)移 通過(guò)使用其它措施來(lái)補(bǔ)償損失 從而轉(zhuǎn)移風(fēng)險(xiǎn) 如購(gòu)買保險(xiǎn) 2 3 服務(wù)產(chǎn)品交付服務(wù)產(chǎn)品交付 資資產(chǎn)產(chǎn)評(píng)評(píng)估估 資資產(chǎn)產(chǎn)賦賦值值列列表表 威威脅脅賦賦值值列列表表 脆脆弱弱性性賦賦值值列列表表 風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估綜綜合合報(bào)報(bào)告告 風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處置置計(jì)計(jì)劃劃 威威脅脅評(píng)評(píng)估估脆脆弱弱性性評(píng)評(píng)估估風(fēng)風(fēng)險(xiǎn)險(xiǎn)綜綜合合分分析析風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處置置計(jì)計(jì)劃劃 圖 3 2 3 1 風(fēng)險(xiǎn)評(píng)估綜合報(bào)告風(fēng)險(xiǎn)評(píng)估綜合報(bào)告 主體報(bào)告 描述被評(píng)估信息系統(tǒng)得信息安全現(xiàn)狀 對(duì)評(píng)估范圍內(nèi)的業(yè)務(wù)資 產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析 明確出威脅源采用何種威脅方法 利用了哪些脆弱性 對(duì)范 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司13 13 圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響 采取何種對(duì)策進(jìn)行防范威脅 減少脆弱性 并對(duì)風(fēng)險(xiǎn)評(píng)估作出總結(jié) 總結(jié)出哪些問(wèn)題需要當(dāng)前解決 哪些問(wèn)題可以分步分 期解決 2 3 2 資產(chǎn)賦值列表資產(chǎn)賦值列表 綜合報(bào)告的子報(bào)告 描述了在資產(chǎn)識(shí)別后 對(duì)資產(chǎn)進(jìn)行分類整理 并依據(jù) 其所受破壞后所造成的影響 分析出其影響權(quán)值及其重要性 2 3 3 威脅賦值列表威脅賦值列表 綜合報(bào)告的子報(bào)告 描述總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源 以及 其所采用的方法 2 3 4 脆弱性賦值列表脆弱性賦值列表 綜合報(bào)告的子報(bào)告 描述出通過(guò)安全管理調(diào)查 工具掃描 手工檢查進(jìn)行 專業(yè)分析后 總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性 通過(guò)工具掃描之 后 對(duì)評(píng)估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計(jì) 重在描述高風(fēng)險(xiǎn) 中風(fēng)險(xiǎn) 低風(fēng)險(xiǎn) 的數(shù)量以及百分比等情況 2 3 5 風(fēng)險(xiǎn)處置計(jì)劃風(fēng)險(xiǎn)處置計(jì)劃 綜合報(bào)告后的輔助報(bào)告 通過(guò)綜合分析 了解了當(dāng)前的安全現(xiàn)狀 提出了 針對(duì)當(dāng)前問(wèn)題的信息系統(tǒng)總體安全解決方案 2 4 服務(wù)產(chǎn)品收益服務(wù)產(chǎn)品收益 2 4 1 資產(chǎn)識(shí)別資產(chǎn)識(shí)別 幫助客戶對(duì)組織內(nèi)資產(chǎn)進(jìn)行梳理 針對(duì)在傳統(tǒng)資產(chǎn)清理過(guò)程中 比較容易 被忽略的數(shù)據(jù)資產(chǎn) 服務(wù)資產(chǎn)等 使客戶從原有的固定資產(chǎn)保護(hù) 提升為 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司14 14 信息資產(chǎn)保護(hù) 幫助客戶進(jìn)行組織內(nèi)資產(chǎn)的分級(jí)管理 通過(guò)定量分析 明確各信息系統(tǒng)對(duì) 客戶的重要程度 通過(guò)有效整合信息系統(tǒng)的安全需求 在有限的資源環(huán)境 下 更好的提高客戶的信息安全水平 2 4 2 平衡安全風(fēng)險(xiǎn)與成本平衡安全風(fēng)險(xiǎn)與成本 幫助客戶在安全建設(shè)過(guò)程中綜合平衡安全風(fēng)險(xiǎn)與成本代價(jià) 信息安全工作 的核心目標(biāo)就是實(shí)現(xiàn)在最低資源消耗的情況下 達(dá)到最大的安全水平 通 過(guò)對(duì)發(fā)現(xiàn)的問(wèn)題和風(fēng)險(xiǎn)進(jìn)行管理 并最優(yōu)化的方案建議 使客戶避免投入 大量資源 但安全工作仍遲遲不見起色的現(xiàn)象 2 4 3 風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別 對(duì)客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理 識(shí)別資產(chǎn)的重要性 清晰自身所面 臨的威脅及其威脅方式方法 便于有針對(duì)性地防護(hù) 認(rèn)識(shí)自身存在的脆弱 性不足 能夠有目的性的進(jìn)行補(bǔ)遺整改 幫助客戶了解網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況 通過(guò)如工具掃描 滲透測(cè)試 人工審計(jì)等多種技術(shù)手段 全面分析客戶信息系統(tǒng)和網(wǎng)絡(luò)中存在的各種安 全問(wèn)題 同時(shí)將發(fā)現(xiàn)的安全問(wèn)題與信息資產(chǎn)的重要程度相關(guān)聯(lián) 明確當(dāng)前 的安全風(fēng)險(xiǎn) 幫助客戶了解自身存在信息安全管理漏洞 再好的設(shè)備 也是由人進(jìn)行操 作的 通過(guò)訪談 問(wèn)卷等多種手段 啟明將協(xié)助客戶管理層了解當(dāng)前的信 息安全管理制度是否存在漏洞 已經(jīng)正式發(fā)布的安全管理制度是否得到了 落實(shí)和執(zhí)行 2 4 4 建設(shè)指導(dǎo)建設(shè)指導(dǎo) 通過(guò)專業(yè)的安全技術(shù)和專業(yè)人員及時(shí)全面的掌握客戶 IT 環(huán)境的安全現(xiàn)狀和 面臨的風(fēng)險(xiǎn) 并提出改進(jìn)建議 降低風(fēng)險(xiǎn) 為客戶進(jìn)行信息安全規(guī)劃建設(shè) 安全技術(shù)體系建設(shè) 安全管理體系建設(shè) 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司15 15 安全風(fēng)險(xiǎn)管理奠定基石 通過(guò)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)漏洞產(chǎn)生的威脅進(jìn)行分析 能夠提供有效的安全加 固和改進(jìn)措施建議 在啟明信息安全服務(wù)團(tuán)隊(duì) 如 ADlab 等國(guó)際國(guó)內(nèi)專業(yè) 技術(shù)分析的支持下 啟明安全服務(wù)團(tuán)隊(duì)能夠獲得第一手的信息系統(tǒng)或網(wǎng)絡(luò) 的漏洞信息 在此基礎(chǔ)上 為客戶提供及時(shí) 有效地網(wǎng)絡(luò)和信息系統(tǒng)的漏 洞發(fā)掘服務(wù) 并針對(duì)漏洞 提供有效的加固建議和改進(jìn)措施建議 定期風(fēng)險(xiǎn)評(píng)估 幫助客戶了解組織信息安全改進(jìn)情況與發(fā)展方向 為以后 的信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考 通過(guò)對(duì)安全風(fēng)險(xiǎn)的分析和識(shí)別 同時(shí)平衡安全風(fēng)險(xiǎn)與安全成本 啟明公司提供專業(yè)的信息安全規(guī)劃和建設(shè) 建議 對(duì)于客戶未來(lái)的信息安全工作 提供重要參考和依據(jù) 幫助客戶建立信息安全風(fēng)險(xiǎn)管理機(jī)制 為客戶對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全 風(fēng)險(xiǎn)管理奠定基石 幫助客戶在降低風(fēng)險(xiǎn) 承受風(fēng)險(xiǎn) 轉(zhuǎn)移風(fēng)險(xiǎn)等方面作 出最佳的選擇 2 4 5 業(yè)務(wù)保障業(yè)務(wù)保障 可以幫助客戶及時(shí)發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問(wèn)題 使安全風(fēng)險(xiǎn)降 低到可以接受并且可以被有效管理的范圍內(nèi) 保障客戶組織內(nèi)信息系統(tǒng)穩(wěn) 定運(yùn)行和業(yè)務(wù)連續(xù)性 預(yù)防信息安全事故 保證客戶業(yè)務(wù)的連續(xù)性 使客戶的重要信息資產(chǎn)受到 與 其價(jià)值相符的保護(hù) 防止系統(tǒng)入侵安全隱患再次被破壞或惡意利用 避免 業(yè)務(wù)經(jīng)濟(jì)損失數(shù)量持續(xù)增加 第第 3 3 章章 第第 3 3 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品規(guī)格服務(wù)產(chǎn)品規(guī)格 3 1 服務(wù)評(píng)估模型服務(wù)評(píng)估模型 3 1 1 評(píng)估模型評(píng)估模型 脆弱性資產(chǎn)價(jià)值 威脅 資產(chǎn) 風(fēng)險(xiǎn)安全需求 業(yè)務(wù)戰(zhàn)略 安全事件殘余風(fēng)險(xiǎn)安全措施 利用 暴露具有 成本 被滿足 未控制可能誘發(fā) 演變 增加導(dǎo)出 依賴 增加 降低 抵御 未被滿足 圖 4 風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn) 威脅 脆弱性和安全措施這些基本要素展開 在對(duì) 基本要素的評(píng)估過(guò)程中 需要充分考慮業(yè)務(wù)戰(zhàn)略 資產(chǎn)價(jià)值 安全需求 安全 事件 殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性 在上圖中的風(fēng)險(xiǎn)要素及屬 性之間存在著以下關(guān)系 業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性 依賴程度越高 要求其風(fēng)險(xiǎn)越小 資產(chǎn)是有價(jià)值的 組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高 資產(chǎn)價(jià)值就越 大 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司17 17 風(fēng)險(xiǎn)是由威脅引發(fā)的 資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大 并可能演變成為 安全事件 資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值 資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大 脆弱性是未被滿足的安全需求 威脅利用脆弱性危害資產(chǎn) 風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求 安全需求可通過(guò)安全措施得以滿足 需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本 安全措施可抵御威脅 降低風(fēng)險(xiǎn) 殘余風(fēng)險(xiǎn)有些是安全措施不當(dāng)或無(wú)效 需要加強(qiáng)才可控制的風(fēng)險(xiǎn) 而有些則 是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn) 殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視 它可能會(huì)在將來(lái)誘發(fā)新的安全事件 3 1 2 評(píng)估標(biāo)準(zhǔn)評(píng)估標(biāo)準(zhǔn) 標(biāo)準(zhǔn)類型參考標(biāo)準(zhǔn) 國(guó)際標(biāo)準(zhǔn) ISO15408 信息技術(shù)安全評(píng)估準(zhǔn)則 ISO IEC TR 13335 信息和通信技術(shù)安全管理 ISO TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南 ISO IEC 27000 信息安全管理體系系列標(biāo)準(zhǔn) AS NZS 4360 風(fēng)險(xiǎn)管理 NIST SP 800 30 IT系統(tǒng)風(fēng)險(xiǎn)管理指南 國(guó)內(nèi)標(biāo)準(zhǔn) GB17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GBT 20984 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 GBT 22239 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GBZ 20985 信息技術(shù)安全技術(shù)信息安全事件管理指南 GBZ 20986 信息安全技術(shù)信息安全事件分類分級(jí)指南 各個(gè)組織或行業(yè)內(nèi)相關(guān)要求 表 1 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司18 18 3 2 服務(wù)評(píng)估方法服務(wù)評(píng)估方法 評(píng)評(píng)估估方方法法 問(wèn)問(wèn)卷卷訪訪談?wù)勅巳斯す弻徲?jì)計(jì)工工具具掃掃描描滲滲透透測(cè)測(cè)試試 圖 5 注 滲透測(cè)試模塊為可選模塊注 滲透測(cè)試模塊為可選模塊 3 2 1 訪談?wù){(diào)研訪談?wù){(diào)研 收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成 IT 規(guī)劃 管理制度 原有項(xiàng)目安全成果等信 息文檔 對(duì)進(jìn)行收集文檔進(jìn)行深入分析 梳理業(yè)務(wù)系統(tǒng)安全現(xiàn)狀 根據(jù)現(xiàn) 有文檔分析整理結(jié)果 制定相關(guān)調(diào)研表進(jìn)行信息資產(chǎn)調(diào)研信息補(bǔ)充 制定訪談提綱 對(duì)相關(guān)人員進(jìn)行訪談 人員訪談可以了解人員安全意識(shí) 對(duì)安全管理獲知的程度 對(duì)安全技術(shù)的掌握程度 并且收集大量有用信息 全面了解信息系統(tǒng)的安全需求 深入了解客戶各層面的安全現(xiàn)狀 3 2 2 人工審計(jì)人工審計(jì) 人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查 因此不會(huì)對(duì)現(xiàn)有信息 系統(tǒng)上的其他設(shè)備和資源帶來(lái)任何影響 而對(duì)被評(píng)估對(duì)象的資源占用也小 于工具評(píng)估 人工評(píng)估完成后將產(chǎn)生人工評(píng)估報(bào)告 也將作為整體的安全 評(píng)估報(bào)告的一個(gè)重要的來(lái)源和依據(jù) 人工評(píng)估對(duì)本地安全評(píng)估而言是必不可少的 人工安全評(píng)估對(duì)實(shí)施人員的 安全知識(shí) 安全技術(shù)和安全經(jīng)驗(yàn)要求很高 因?yàn)樗麄儽仨毩私庾钚碌陌踩?漏洞 掌握多種先進(jìn)的安全技術(shù)和積累豐富的評(píng)估經(jīng)驗(yàn) 這樣才能對(duì)本地 安全評(píng)估中位于物理層 網(wǎng)絡(luò)層 主機(jī)層 數(shù)據(jù)層和用戶層的所有安全對(duì) 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司19 19 象目標(biāo)進(jìn)行最有效和最完整的安全評(píng)估 并提供最合理和最及時(shí)的安全建 議 3 2 3 工具掃描工具掃描 工具自動(dòng)評(píng)估是用各種商用安全評(píng)估系統(tǒng)或掃描器 根據(jù)其內(nèi)置的評(píng)估內(nèi) 容 測(cè)試方法 評(píng)估策略及相關(guān)數(shù)據(jù)庫(kù)信息 從系統(tǒng)內(nèi)部對(duì)主機(jī) 網(wǎng)絡(luò) 數(shù)據(jù)庫(kù)等系統(tǒng)進(jìn)行一系列的設(shè)置檢查 使其可預(yù)防潛在安全風(fēng)險(xiǎn)問(wèn)題 如 弱口令 用戶權(quán)限設(shè)置 用戶帳戶設(shè)置 關(guān)鍵文件權(quán)限設(shè)置 路徑設(shè)置 密碼設(shè)置 網(wǎng)絡(luò)服務(wù)配置 應(yīng)用程序的可信性 服務(wù)器設(shè)置以及其他含有 攻擊隱患的可疑點(diǎn)等 它也可以找出黑客攻破系統(tǒng)的跡象 并提出修補(bǔ)建 議 工具評(píng)估最突出的優(yōu)點(diǎn)是評(píng)估工作可由軟件來(lái)自動(dòng)進(jìn)行 速度快 效率高 工具評(píng)估部分將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類的掃描軟件來(lái)分別進(jìn)行 掃描 評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫(kù) 檢測(cè)網(wǎng)絡(luò)協(xié)議 網(wǎng)絡(luò)服務(wù) 網(wǎng)絡(luò) 設(shè)備 應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞 網(wǎng)絡(luò)掃描主要 依靠帶有安全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)系統(tǒng)進(jìn)行安全掃描 其特 點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找 并且評(píng)估環(huán)境與被 評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致 能較真實(shí)地反映系統(tǒng)所存在的安全隱 患和面臨的安全威脅 3 2 4 滲透測(cè)試滲透測(cè)試 滲透測(cè)試 也叫白客攻擊測(cè)試 它是一種從攻擊者的角度來(lái)對(duì)主機(jī)系統(tǒng)的 安全程度進(jìn)行安全評(píng)估的手段 在對(duì)現(xiàn)有信息系統(tǒng)不造成任何損害的前提 下 模擬入侵者對(duì)指定系統(tǒng)進(jìn)行攻擊測(cè)試 滲透測(cè)試通常能以非常明顯 直觀的結(jié)果來(lái)反映出系統(tǒng)的安全現(xiàn)狀 該方法也越來(lái)越受到國(guó)際 國(guó)內(nèi)信息 安全業(yè)界的認(rèn)可和重視 為了解服務(wù)系統(tǒng)的安全現(xiàn)狀 在許可和控制的范 圍內(nèi) 將對(duì)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試 滲透測(cè)試將作為安全評(píng)估的一個(gè)重要 組成部分 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司20 20 滲透測(cè)試是工具掃描和人工評(píng)估的重要補(bǔ)充 工具掃描具有很好的效率和 速度 但是存在一定的誤報(bào)率 不能發(fā)現(xiàn)高層次 復(fù)雜的安全問(wèn)題 滲透 測(cè)試需要投入的人力資源較大 對(duì)測(cè)試者的專業(yè)技能要求很高 但是非常 準(zhǔn)確 可以發(fā)現(xiàn)邏輯性更強(qiáng) 更深層次的弱點(diǎn) 3 3 3 3 服務(wù)評(píng)估服務(wù)評(píng)估范圍范圍 3 3 1 技術(shù)評(píng)估技術(shù)評(píng)估 評(píng)估類型評(píng)估范圍 物理環(huán)境評(píng)估 評(píng)估對(duì)象 物理環(huán)境基礎(chǔ)設(shè)施 評(píng)估內(nèi)容 從機(jī)房場(chǎng)地 機(jī)房防火 機(jī)房供配電 機(jī)房防靜電 機(jī)房接地與 防雷 電磁防護(hù) 通信線路的保護(hù) 機(jī)房區(qū)域防護(hù) 機(jī)房設(shè)備管 理等方面進(jìn)行識(shí)別評(píng)估 網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估 評(píng)估對(duì)象 網(wǎng)絡(luò)及安全設(shè)備 交換機(jī) 路由器 防火墻 入侵檢測(cè)設(shè) 安全審 計(jì)等 評(píng)估內(nèi)容 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 邊界保護(hù) 外部訪問(wèn)控制策略 內(nèi)部訪問(wèn)控制 策略 網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別評(píng)估 主機(jī)及數(shù)據(jù)系統(tǒng) 評(píng)估 評(píng)估對(duì)象 操作及數(shù)據(jù)庫(kù)系統(tǒng) Windows Linux Unix Oracle informix ibm db2 sql server my sql等 評(píng)估內(nèi)容 從補(bǔ)丁安裝 物理保護(hù) 用戶帳號(hào) 口令策略 資源共享 事件 審 計(jì) 訪問(wèn)控制 新系統(tǒng)配置 注冊(cè)表加固 網(wǎng)絡(luò)安全 系統(tǒng)管理 等 方面進(jìn)行識(shí)別評(píng)估 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司21 21 應(yīng)用系統(tǒng)評(píng)估 評(píng)估對(duì)象 應(yīng)用中間件 IIS APACHE TOMCAT Weblogic等 和應(yīng)用系 統(tǒng)軟件 評(píng)估內(nèi)容 從審計(jì)機(jī)制 審計(jì)存儲(chǔ) 訪問(wèn)控制策略 數(shù)據(jù)完整性 通信 鑒 別機(jī)制 密碼保護(hù) 腳本漏洞等方面進(jìn)行識(shí)別評(píng)估 業(yè)務(wù)流程評(píng)估 評(píng)估對(duì)象 業(yè)務(wù)流程 評(píng)估內(nèi)容 依據(jù)業(yè)務(wù)過(guò)程的數(shù)據(jù)流程評(píng)估客戶的業(yè)務(wù)流程 識(shí)別客戶業(yè)務(wù)流 程的安全隱患 表 2 3 3 2 管理評(píng)估管理評(píng)估 評(píng)估類型評(píng)估范圍 安全管理制度評(píng)估 評(píng)估內(nèi)容 安全管理制度一般是文檔化的 被正式制定 評(píng) 審 發(fā)布和修訂 內(nèi)容包括策略 制度 規(guī)程 表格和記錄 等 構(gòu)成一個(gè)塔字結(jié)構(gòu)的文檔體系 對(duì)安全管理制度的制定 發(fā)布 評(píng)審 修訂進(jìn)行評(píng)估 安全管理機(jī)構(gòu)評(píng)估 評(píng)估內(nèi)容 安全管理機(jī)構(gòu)包括安全管理的崗位設(shè)置 人員配 備 授權(quán)和審批 溝通和合作等方面內(nèi)容 嚴(yán)格的安全管理 應(yīng)該由相對(duì)獨(dú)立的職能部門和崗位來(lái)完成 安全管理機(jī)構(gòu)從 組織上保證了信息系統(tǒng)的安全 人員安全管理評(píng)估 評(píng)估內(nèi)容 人員安全管理包括信息系統(tǒng)用戶 安全管理人員 和第三方人員的管理 覆蓋人員錄用 人員離崗 人員考核 安全意識(shí)教育和培訓(xùn) 第三方人員管理等方面內(nèi)容 工作人 員直接運(yùn)行 管理和維護(hù)信息系統(tǒng)的各種設(shè)備 設(shè)施和相關(guān) 技術(shù)手段 與他們直接發(fā)生關(guān)聯(lián)關(guān)系 因此 他們的知識(shí)結(jié) 構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的安全 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司22 22 系統(tǒng)建設(shè)管理評(píng)估 系統(tǒng)建設(shè)管理包括系統(tǒng)定級(jí) 安全風(fēng)險(xiǎn)分析 安全方案設(shè)計(jì) 產(chǎn)品采購(gòu) 自行軟件開發(fā) 外包軟件開發(fā) 工程實(shí)施 測(cè)試 驗(yàn)收 系統(tǒng)交付 安全測(cè)評(píng) 系統(tǒng)備案等信息系統(tǒng)安全等級(jí) 建設(shè)的各個(gè)方面 信息系統(tǒng)的安全是一個(gè)過(guò)程 是一項(xiàng)工程 它不但涉及到當(dāng)前的運(yùn)行狀態(tài) 而且還關(guān)系到信息系統(tǒng)安全 建設(shè)的各個(gè)階段 只有在信息系統(tǒng)安全建設(shè)的各個(gè)階段確保 安全 才能使得運(yùn)行中的信息系統(tǒng)有安全保證 系統(tǒng)運(yùn)維管理評(píng)估 系統(tǒng)運(yùn)維管理包括運(yùn)行環(huán)境管理 資產(chǎn)管理 介質(zhì)管理 設(shè) 備使用管理 運(yùn)行監(jiān)控管理 惡意代碼防護(hù)管理 網(wǎng)絡(luò)安全 管理 系統(tǒng)安全管理 密碼管理 變更管理 備份和恢復(fù)管 理 安全事件處置和應(yīng)急計(jì)劃管理等方面內(nèi)容 系統(tǒng)運(yùn)維各 個(gè)方面都直接關(guān)系到相關(guān)安全控制技術(shù)的正確 安全配置和 合理使用 對(duì)信息系統(tǒng)運(yùn)維各個(gè)方面提出具體的安全要求 可以為工作人員進(jìn)行正確管理和運(yùn)行提供工作準(zhǔn)繩 直接影 響到整個(gè)信息系統(tǒng)的安全 表 3 第第 4 4 章章 第第 4 4 章章啟明星辰啟明星辰信息安全信息安全服務(wù)產(chǎn)品流程服務(wù)產(chǎn)品流程 4 1 服務(wù)流程藍(lán)圖服務(wù)流程藍(lán)圖 階階段段1 1 服服務(wù)務(wù)啟啟動(dòng)動(dòng)階階段段2 2 資資產(chǎn)產(chǎn)評(píng)評(píng)估估階階段段3 3 威威脅脅評(píng)評(píng)估估階階段段4 4 脆脆弱弱性性評(píng)評(píng)估估階階段段5 5 風(fēng)風(fēng)險(xiǎn)險(xiǎn)分分析析階階段段6 6 處處置置計(jì)計(jì)劃劃階階段段7 7 服服務(wù)務(wù)驗(yàn)驗(yàn)收收 項(xiàng)項(xiàng)目目實(shí)實(shí)施施風(fēng)風(fēng)險(xiǎn)險(xiǎn)及及規(guī)規(guī)避避措措施施 服服務(wù)務(wù)管管理理 服服務(wù)務(wù)組組織織結(jié)結(jié)構(gòu)構(gòu) 實(shí)實(shí)施施計(jì)計(jì)劃劃 質(zhì)質(zhì)量量管管理理 保保密密控控制制 資產(chǎn)識(shí)別 資產(chǎn)分類 資產(chǎn)清單 資產(chǎn)分析 資產(chǎn)賦值 威脅識(shí)別 威脅分類 范圍確定 系統(tǒng)調(diào)研 制定計(jì)劃 報(bào)告提交 成果匯報(bào) 服務(wù)驗(yàn)收威脅分析 威脅賦值 獲得支持 技術(shù)脆弱識(shí)別 管理脆弱識(shí)別 控制措施識(shí)別 脆弱性分析 脆弱性賦值 資資產(chǎn)產(chǎn)評(píng)評(píng)估估報(bào)報(bào)告告 服服務(wù)務(wù)實(shí)實(shí)施施計(jì)計(jì)劃劃 威威脅脅評(píng)評(píng)估估報(bào)報(bào)告告 脆脆弱弱性性評(píng)評(píng)估估報(bào)報(bào)告告 風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估報(bào)報(bào)告告 風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處置置計(jì)計(jì)劃劃 服服務(wù)務(wù)驗(yàn)驗(yàn)收收?qǐng)?bào)報(bào)告告 風(fēng)險(xiǎn)綜合識(shí)別 風(fēng)險(xiǎn)模型計(jì)算 風(fēng)險(xiǎn)接收準(zhǔn)則 風(fēng)險(xiǎn)綜合評(píng)價(jià) 安全目標(biāo)確定 安全措施選擇 實(shí)施內(nèi)容安排 制定處置計(jì)劃 圖 6 4 2 服務(wù)流程階段服務(wù)流程階段 4 2 1 服務(wù)啟動(dòng)服務(wù)啟動(dòng) 1 服務(wù)目標(biāo)服務(wù)目標(biāo) 風(fēng)險(xiǎn)評(píng)估啟動(dòng)是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證 組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一 種戰(zhàn)略性的考慮 其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略 業(yè)務(wù)流程 安全需求 系統(tǒng) 規(guī)模和結(jié)構(gòu)等方面的影響 因此 在風(fēng)險(xiǎn)評(píng)估實(shí)施前 應(yīng)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo) 與范圍 進(jìn)行系統(tǒng)調(diào)研 制定風(fēng)險(xiǎn)評(píng)估計(jì)劃 獲得客戶管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作 支持 2 服務(wù)內(nèi)容服務(wù)內(nèi)容 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司24 24 確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)與范圍確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)與范圍 根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要 法律法規(guī)的規(guī)定等內(nèi)容 識(shí)別現(xiàn)有信息系統(tǒng)及管理上的不足 以及可能造成的風(fēng)險(xiǎn)大小 風(fēng)險(xiǎn)評(píng)估范圍 可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn) 管理機(jī)構(gòu) 也可能是某 個(gè)獨(dú)立的信息系統(tǒng) 關(guān)鍵業(yè)務(wù)流程 與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等 系統(tǒng)調(diào)研系統(tǒng)調(diào)研 系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程 風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研 為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇 評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ) 調(diào)研內(nèi)容至少應(yīng)包 括 業(yè)務(wù)戰(zhàn)略及管理制度 主要的業(yè)務(wù)功能和要求 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境 包 括內(nèi)部連接和外部連接 系統(tǒng)邊界 主要的硬件 軟件 數(shù)據(jù)和信息 系統(tǒng)和 數(shù)據(jù)的敏感性 支持和使用系統(tǒng)的人員 其他 制定風(fēng)險(xiǎn)評(píng)估計(jì)劃制定風(fēng)險(xiǎn)評(píng)估計(jì)劃 風(fēng)險(xiǎn)評(píng)估計(jì)劃的目的是為后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供一個(gè)總體計(jì)劃 用 于指導(dǎo)實(shí)施方開展后續(xù)工作 風(fēng)險(xiǎn)評(píng)估計(jì)劃的內(nèi)容一般包括 團(tuán)隊(duì)組織 包括評(píng)估團(tuán)隊(duì)成員 組織結(jié)構(gòu) 角色 責(zé)任等內(nèi)容 工作計(jì)劃 風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃 包括工作內(nèi)容 工作形式 工作 成果等內(nèi)容 時(shí)間進(jìn)度安排 項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排 獲得支持 上述所有內(nèi)容確定后 應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案 得到客戶管理 者的支持 批準(zhǔn) 對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá) 在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān) 內(nèi)容進(jìn)行培訓(xùn) 以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù) 3 成果輸出 成果輸出 服務(wù)實(shí)施綜合計(jì)劃 4 2 2 資產(chǎn)評(píng)估資產(chǎn)評(píng)估 1 服務(wù)目標(biāo)服務(wù)目標(biāo) 對(duì)被評(píng)估信息系統(tǒng)的關(guān)鍵資產(chǎn)進(jìn)行識(shí)別 并合理分類 在資產(chǎn)識(shí)別過(guò)程中 需要詳細(xì)識(shí)別關(guān)鍵資產(chǎn)的安全屬性 重點(diǎn)識(shí)別出資產(chǎn)在遭受泄密 中斷 損害 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司25 25 等破壞時(shí)所遭受的影響 并根據(jù)資產(chǎn)在遭受泄密 中斷 損害等破壞時(shí)所遭受 的影響 對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值 2 服務(wù)內(nèi)容服務(wù)內(nèi)容 資產(chǎn)識(shí)別資產(chǎn)識(shí)別 資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合 它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù) 或任務(wù)的重要性 這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值 信息系統(tǒng)資 可以分為硬件 軟件 數(shù)據(jù) 人員 服務(wù) 其他類資產(chǎn)等 資產(chǎn)分析資產(chǎn)分析 在資產(chǎn)識(shí)別的基礎(chǔ)上 進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)在遭受泄 密 中斷 損害等破壞時(shí)對(duì)系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所產(chǎn)生的影響 并進(jìn)行賦值 量化 從而為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù) 資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性 完整性和可用性上的達(dá)成程度進(jìn) 行分析 并在此基礎(chǔ)上得出綜合結(jié)果的過(guò)程 等級(jí)標(biāo)識(shí)描述 5 很高非常重要 其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失 4 高重要 其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失 3 中比較重要 其安全屬性破壞后可能對(duì)組織造成中等程度的損失 2 低不太重要 其安全屬性破壞后可能對(duì)組織造成較低的損失 1 很低 不重要 其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失 甚至忽略不計(jì) 表 4 3 階段成果輸出 階段成果輸出 資產(chǎn)賦值列表 4 2 3 威脅評(píng)估威脅評(píng)估 1 服務(wù)目標(biāo)服務(wù)目標(biāo) 通過(guò)威脅調(diào)查 取樣等手段識(shí)別被評(píng)估信息系統(tǒng)的關(guān)鍵資產(chǎn)所面臨的威脅 源 及其威脅所常采用的威脅方法 對(duì)資產(chǎn)所產(chǎn)生的影響 并為后續(xù)威脅分析 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司26 26 及綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù) 2 服務(wù)內(nèi)容服務(wù)內(nèi)容 威脅識(shí)別威脅識(shí)別 威脅識(shí)別要從威脅的主體 威脅途徑和威脅方式三個(gè)方面來(lái)進(jìn)行 威脅主體 分為人為因素和環(huán)境因素 根據(jù)威脅的動(dòng)機(jī) 人為因素又可分 為惡意和非惡意兩種 環(huán)境因素包括自然災(zāi)害和設(shè)施故障 威脅途徑 分為間接接觸和直接接觸 間接接觸主要有網(wǎng)絡(luò)訪問(wèn) 語(yǔ)音 視頻訪問(wèn)等形式 直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn) 威脅方式 主要有傳播計(jì)算機(jī)病毒 傳播異常信息 垃圾郵件 反動(dòng) 色情 敏感信息 掃描監(jiān)聽 網(wǎng)絡(luò)攻擊 后門 漏洞 口令 拒絕服務(wù)等 越權(quán)或?yàn)E 用 行為抵賴 濫用網(wǎng)絡(luò)資源 P2P 下載等 人為災(zāi)害 水 火等 人為基礎(chǔ) 設(shè)施故障 電力 網(wǎng)絡(luò)等 竊取 破壞硬件 軟件和數(shù)據(jù)等 威脅識(shí)別的方法有 人工審計(jì) 安全策略文檔審閱 人員面談 入侵檢測(cè) 系統(tǒng)收集的信息和人工分析等 威脅識(shí)別方法列表如下 編號(hào)威脅識(shí)別方法描述 1 訪談 通過(guò)和資產(chǎn)所有人 負(fù)責(zé)管理人員進(jìn)行訪談 2 人工分析 根據(jù)專家經(jīng)驗(yàn) 從已知的數(shù)據(jù)中進(jìn)行分析 3IDS 通過(guò)入侵監(jiān)測(cè)系統(tǒng)在一段時(shí)間內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事 件來(lái)獲得數(shù)據(jù) 4 人工審計(jì) 通過(guò)人工審計(jì)方法來(lái)測(cè)試弱點(diǎn) 證實(shí)威脅 5 安全策略文檔分析 安全策略文檔分析 6 安全審計(jì) 通過(guò)一套審計(jì)問(wèn)題列表問(wèn)答的方式來(lái)分析弱點(diǎn) 7 事件記錄 對(duì)已有歷史安全事件記錄進(jìn)行分析 表 5 威脅分析威脅分析 在威脅識(shí)別的基礎(chǔ)上 進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪 一方面的威脅及其所采用的威脅方法 并依據(jù)其發(fā)生的可能性進(jìn)行賦值量化 同時(shí)為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù) 威脅主要依據(jù)其出現(xiàn)頻率來(lái)賦值 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司27 27 等級(jí)標(biāo)識(shí)定義 5 很高 出現(xiàn)的頻率很高 或 1 次 周 或在大多數(shù)情況下幾乎不可避 免 或可以證實(shí)經(jīng)常發(fā)生過(guò) 4 高 出現(xiàn)的頻率較高 或 1 次 月 或在大多數(shù)情況下很有可能會(huì) 發(fā)生 或可以證實(shí)多次發(fā)生過(guò) 3 中 出現(xiàn)的頻率中等 或 1 次 半年 或在某種情況下可能會(huì)發(fā)生 或被證實(shí)曾經(jīng)發(fā)生過(guò) 2 低 出現(xiàn)的頻率較小 或一般不太可能發(fā)生 或沒有被證實(shí)發(fā)生過(guò) 1 很低 威脅幾乎不可能發(fā)生 僅可能在非常罕見和例外的情況下發(fā)生 表 6 3 階段成果輸出 階段成果輸出 威脅賦值列表 4 2 4 脆弱評(píng)估脆弱評(píng)估 1 服務(wù)目標(biāo)服務(wù)目標(biāo) 采用安全掃描 手動(dòng)檢查 問(wèn)卷調(diào)查 人工問(wèn)詢等方式對(duì)評(píng)估工作范圍內(nèi) 的物理環(huán)境 網(wǎng)絡(luò)設(shè)備 安全設(shè)備 操作系統(tǒng) 數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用中間件系統(tǒng) 應(yīng)用系統(tǒng)軟件和安全管理進(jìn)行脆弱性評(píng)估 同時(shí)為后續(xù)脆弱性分析及綜合風(fēng)險(xiǎn) 分析提供參考數(shù)據(jù) 2 階段服務(wù)內(nèi)容階段服務(wù)內(nèi)容 脆弱性識(shí)別 脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié) 脆弱性識(shí)別可以以資產(chǎn) 為核心 針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn) 識(shí)別可能被威脅利用的弱點(diǎn) 并對(duì)脆 弱性的嚴(yán)重程度進(jìn)行評(píng)估 也可以從物理 網(wǎng)絡(luò) 系統(tǒng) 應(yīng)用等層次進(jìn)行 識(shí)別 然后與資產(chǎn) 威脅對(duì)應(yīng)起來(lái) 脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家 安全標(biāo)準(zhǔn) 也可以是行業(yè)規(guī)范 應(yīng)用流程的安全要求 脆弱性識(shí)別類型技術(shù)脆弱性識(shí)別內(nèi)容識(shí)別方法 物理環(huán)境 對(duì)信息系統(tǒng)所處的物理環(huán)境即機(jī)房 線路 客戶端的支撐設(shè)施等進(jìn)行脆弱性識(shí)別 內(nèi)容 主要有 門禁系統(tǒng) 報(bào)警系統(tǒng) 監(jiān)控系統(tǒng) 問(wèn)卷訪談 人工審計(jì) 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司28 28 防雷擊接地 防靜電 UPS 消防系統(tǒng) 防 電磁泄露 弱電系統(tǒng) 防塵 溫室控制和機(jī) 房容災(zāi)備份等 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)結(jié)構(gòu)安全 訪問(wèn)控制策略與措施 網(wǎng)絡(luò) 設(shè)備策略與配置 安全設(shè)備策略與配置 網(wǎng) 絡(luò)性能與業(yè)務(wù)負(fù)載分析評(píng)估等 問(wèn)卷訪談 人工審計(jì) 工具掃描 主機(jī)及數(shù)據(jù)庫(kù)系統(tǒng) 從補(bǔ)丁安裝 物理保護(hù) 用戶帳號(hào) 口令策 略 資源共享 事件審計(jì) 訪問(wèn)控制 新系 統(tǒng)配置 注冊(cè)表加固 網(wǎng)絡(luò)安全 系統(tǒng)管理 等方面進(jìn)行識(shí)別評(píng)估 人工審計(jì) 工具掃描 應(yīng)用系統(tǒng) 含應(yīng)用中間件 從審計(jì)機(jī)制 審計(jì)存儲(chǔ) 訪 問(wèn)控制策略 數(shù)據(jù)完整性 通信 鑒別機(jī)制 密碼保護(hù) 腳本漏洞等方面進(jìn)行識(shí)別評(píng)估 人工審計(jì) 工具掃描 滲透測(cè)試 業(yè)務(wù)流程 業(yè)務(wù)數(shù)據(jù)流向 輸入 傳輸 存儲(chǔ) 輸出 業(yè)務(wù)策略 業(yè)務(wù)要求 使用范圍 安全等級(jí) 業(yè)務(wù)實(shí)現(xiàn)方式 業(yè)務(wù)安全要求 各時(shí)段業(yè)務(wù) 負(fù)載量 授權(quán)和認(rèn)證 審計(jì) 加密 完整性 不可否認(rèn)性等進(jìn)行業(yè)務(wù)流程評(píng)估 問(wèn)卷訪談 人工審計(jì) 安全管理 從以下幾方面分析被評(píng)估信息系統(tǒng)安全管理 狀況 管理機(jī)構(gòu) 管理制度 人員管理 系 統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理 問(wèn)卷訪談 表 7 脆弱性分析脆弱性分析 在脆弱性識(shí)別的基礎(chǔ)上 進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)所存在 的各方面脆弱性即基礎(chǔ)環(huán)境脆弱性 安全管理脆弱性 技術(shù)脆弱性 并依據(jù)其 脆弱性被利用的難易程度和被成功利用后所產(chǎn)生的影響進(jìn)行賦值量化 從而為 最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù) 脆弱性嚴(yán)重程度的賦值方法如下 等級(jí)標(biāo)識(shí)定義 5 很高如果被威脅利用 將對(duì)資產(chǎn)造成完全損害 4 高如果被威脅利用 將對(duì)資產(chǎn)造成重大損害 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司29 29 3 中如果被威脅利用 將對(duì)資產(chǎn)造成一般損害 2 低如果被威脅利用 將對(duì)資產(chǎn)造成較小損害 1 很低如果被威脅利用 將對(duì)資產(chǎn)造成的損害可以忽略 表 8 3 階段成果輸出 階段成果輸出 脆弱性賦值列表 4 2 5 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析 1 服務(wù)目標(biāo)服務(wù)目標(biāo) 風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性 導(dǎo)致資產(chǎn)的丟失或損 害的潛在可能性 即特定威脅事件發(fā)生的可能性與后果的結(jié)合 在這個(gè)過(guò)程中 將采用最新的方法進(jìn)行綜合分析 表述出威脅源采用何種威脅方法 利用了系 統(tǒng)的何種脆弱性 對(duì)哪一類資產(chǎn) 產(chǎn)生了什么樣的影響 并描述采取何種對(duì)策 來(lái)防范威脅 減少脆弱性 2 服務(wù)內(nèi)容服務(wù)內(nèi)容 風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算 在完成以上各項(xiàng)階段評(píng)估工作后 進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資 產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法 利用了系統(tǒng)的何種脆弱性 對(duì) 哪一類資產(chǎn) 產(chǎn)生了什么樣的影響 并描述采取何種對(duì)策來(lái)防范威脅 減少脆 弱性 同時(shí)將風(fēng)險(xiǎn)量化 風(fēng)險(xiǎn)計(jì)算方法 綜合風(fēng)險(xiǎn)計(jì)算方法 根據(jù)風(fēng)險(xiǎn)計(jì)算公式 R f A V T f Ia L Va T 即 風(fēng)險(xiǎn)值 資產(chǎn)價(jià)值 威脅可能性 弱點(diǎn)嚴(yán)重性 注 R表示風(fēng)險(xiǎn) A表示資產(chǎn) V表示脆弱性 T表示威脅 Ia表示資產(chǎn)發(fā)生安 全事件后對(duì)組織業(yè)務(wù)的影響 也稱為資產(chǎn)的重要程度 Va表示某一資產(chǎn)本身的 脆弱性 L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性 可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值 如矩陣法或相乘法 矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣 形成安全事件的可能性與安全事件造成的損失 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司30 30 之間的二維關(guān)系 相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù) 將安全事件的可能性與安全事件 造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值 風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià) 將估計(jì)的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)準(zhǔn)則比較確定風(fēng)險(xiǎn)的嚴(yán)重性 為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與 管理 可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理 可將風(fēng)險(xiǎn)劃分為五級(jí) 等級(jí)越 高 風(fēng)險(xiǎn)越高 根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法 計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值 根據(jù)風(fēng)險(xiǎn)值的 分布狀況 為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍 并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理 每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度 每個(gè)等級(jí)代表了相應(yīng)風(fēng)險(xiǎn)的嚴(yán)重程度 風(fēng)險(xiǎn)等級(jí)劃分方法如下所示 等級(jí)標(biāo)識(shí)描述 5 很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響 如組織信譽(yù)嚴(yán)重破壞 嚴(yán)重影響組織的正常 經(jīng)營(yíng) 經(jīng)濟(jì)損失重大 社會(huì)影響惡劣 4 高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響 在 一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損 害 3 中一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì) 社會(huì)或生產(chǎn)經(jīng) 營(yíng)影響 但影響面和影響程度不大 2 低一旦發(fā)生造成的影響程度較低 一般僅限于 組織內(nèi)部 通過(guò)一定手段很快能解決 1 很低一旦發(fā)生造成的影響幾乎不存在 通過(guò)簡(jiǎn)單 的措施就能彌補(bǔ) 表 9 3 成果輸出 成果輸出 風(fēng)險(xiǎn)評(píng)估綜合報(bào)告 4 2 6 風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置 1 服務(wù)目標(biāo)服務(wù)目標(biāo) 啟明星辰風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)宣傳手冊(cè) 北京啟明星辰信息安全技術(shù)有限公司31 31 風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比較 以確定組織安全 策略 對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃 2 服務(wù)內(nèi)容服務(wù)內(nèi)容 在分析階段完成之后 將根據(jù)風(fēng)險(xiǎn)分析的結(jié)果 結(jié)合國(guó)家有關(guān)的法律 法 規(guī) 總結(jié)出客戶當(dāng)前的安全需求 根據(jù)安全需求的輕重緩急以及相關(guān)標(biāo)準(zhǔn)和安 全技術(shù)保障框架 制定出適合客戶的風(fēng)險(xiǎn)處置計(jì)劃方案 風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施 預(yù)期效果 實(shí)施條 件 進(jìn)度安排 責(zé)任部門等 安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮 安全