風(fēng)險評估實施方案

1、一、風(fēng)險評估概述1、風(fēng)險服務(wù)的重要性對于構(gòu)建一套良好的信息安全系統(tǒng)，需要對整個系統(tǒng)的安全風(fēng)險有一個清晰的認(rèn)識。只有清晰的了解了自身的弱點和風(fēng)險的來源，才能夠真正的解決和削弱它，并以此來構(gòu)建有著對性的、合理有效的安全策略，而風(fēng)險評估既是安全策略規(guī)劃的第一步，同時也是實施其他安全策略的必要前提。近幾年隨著幾次計算機(jī)蠕蟲病毒的大規(guī)模肆虐攻擊，很對用戶的網(wǎng)絡(luò)都遭受了不同程度的攻擊，仔細(xì)分析就會發(fā)現(xiàn)，幾乎所有的用戶都部署了防病毒軟件和類似的安全防護(hù)系統(tǒng)，越來越多的用戶發(fā)現(xiàn)淡村的安全產(chǎn)品已經(jīng)不能滿足現(xiàn)在的安全防護(hù)體系的需求了。安全是整體的體系建設(shè)過程，根據(jù)安全的木桶原理，組織網(wǎng)絡(luò)的整個安全最大強(qiáng)度取決于最

2、短最脆弱的那根木頭，所以說在安全建設(shè)的過程中，如果不仔細(xì)的找到最短的那根木頭，而盲目的在外面加釘子，并不能改善整體強(qiáng)度。信息安全風(fēng)險評估是信息安全保障體系建立過程中的重要的評價方法和決策機(jī)制，只有通過全面的風(fēng)險評估，才能讓客戶對自身信息安全的狀況做出準(zhǔn)確的判斷。2、風(fēng)險評估服務(wù)的目的及其意義信息安全風(fēng)險是指人為或自然的威脅利用信息系統(tǒng)及其團(tuán)里體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。他要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能

3、性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組造成的影響。信息安全風(fēng)險評估是信息系統(tǒng)安全保障機(jī)制建立過程中的一種評價方法，其結(jié)果為信息安全更顯管理提供依據(jù)。3、風(fēng)險評估服務(wù)機(jī)制在信息系統(tǒng)生命周期里，有許多種情況必須對信息系統(tǒng)所涉及的人員、技術(shù)環(huán)境、物理環(huán)境進(jìn)行風(fēng)險評估：l 在設(shè)計規(guī)劃或升級新的信息系統(tǒng)時；l 給目前的信息系統(tǒng)增加新應(yīng)用時；l 在與其他組織（部門）進(jìn)行網(wǎng)絡(luò)互聯(lián)時；l 在技術(shù)平臺進(jìn)行大規(guī)模更新（例如，從Linux系統(tǒng)移植到Sliaris系統(tǒng)）時；l 在發(fā)生計算機(jī)安全事件之后，或懷疑可能會發(fā)生安全事件時；l 關(guān)心組織現(xiàn)有的信息安全措施是否充分或食后具有相應(yīng)的安全效力時；

4、l 在組織具有結(jié)構(gòu)變動（例如：組織合并）時：l 在需要對信息系統(tǒng)的安全狀況進(jìn)行定期或不定期的聘雇、已查看是否滿足組織持續(xù)運(yùn)營需要時等。4、風(fēng)險評估服務(wù)的收益l 風(fēng)險評估可以幫助客戶：l 準(zhǔn)確了解租住的信息安全現(xiàn)狀；l 明晰組織的信息安全需求；l 制定組織信息系統(tǒng)的安全策略和風(fēng)險解決方案；l 指導(dǎo)組織未來的信息安全建設(shè)和投入；l 建立組織自身的信息安全管理框架。二、風(fēng)險評估服務(wù)介紹本公司遵循公認(rèn)的ISO 27001、GB/T 20984-2007信息安全風(fēng)險評估規(guī)范以及國際信息安全等級保護(hù)指南等安全標(biāo)準(zhǔn)知道風(fēng)險評估的工作，針對資產(chǎn)重要程度分別提供不同的頻率和方式的風(fēng)險評估，幫助客戶了解客觀真實的

5、自身網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀，規(guī)劃適合自己網(wǎng)絡(luò)系統(tǒng)環(huán)境的安全策略，并根據(jù)科學(xué)合理的安全策略來實施后續(xù)的安全服務(wù)、選型與部署安全產(chǎn)品以及建立有效的安全管理規(guī)章制度，從而全面完整的解決可能存在的各種風(fēng)險隱患。1、風(fēng)險評估服務(wù)遵循標(biāo)準(zhǔn)在整個評估過程中，本公司遵循和參照最新、最權(quán)威的信息安全標(biāo)準(zhǔn)，作為評估實施的依據(jù)。這些安全標(biāo)準(zhǔn)包括：安全技術(shù)標(biāo)準(zhǔn)：l GB 17859：計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則l GB 18336（ISO 15408）：信息技術(shù)-安全技術(shù)-信息技術(shù)風(fēng)險評估準(zhǔn)則（等同于Common Criteria for Information Technology Security Evaluat

6、ion V1.2，簡稱CC V1.2）l CVE：Common Vulnerabilities Exposures，通用脆弱性標(biāo)準(zhǔn)。CVE是個行業(yè)標(biāo)準(zhǔn)，為每個漏洞和弱點確定了惟一的名稱和標(biāo)準(zhǔn)化的描述，可以稱為評價響應(yīng)入侵檢測和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準(zhǔn)安全管理標(biāo)準(zhǔn)：l ISO/IEC 27001: 2005 Information Technology-Security techniques-Information security management systems-Requirements，信息技術(shù)-安全技術(shù)-信息安全管理體系要求l ISO/IEC 27005:2008 Infor

7、mation Technology- Security echniques-Information security risk management，信息技術(shù)-安全技術(shù)-信息安全風(fēng)險管理l GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求l 信息安全等級保護(hù) 信息系統(tǒng)安全管理要求（送審稿）l ISO 13335，信息技術(shù)-安全技術(shù)-IT安全管理指南l GB/Z 24364 2009 信息安全技術(shù) 信息安全風(fēng)險管理指南風(fēng)險評估實施方法：l GB/T 20984-2007：信息安全風(fēng)險評估規(guī)范（最新國家標(biāo)準(zhǔn)）l NIST SP 800-30：RiSk Management

8、 Guide for Information Technology Systems，信息技術(shù)系統(tǒng)風(fēng)險管理指南（美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會發(fā)布）l NSA IAM：INFOSED Assessment Methodology，信息風(fēng)險評估方法（美國國家安全局發(fā)布）l OCTAVW：The Operationally Critical Threat，Asset，and Vulnerability Evaluation，可操作的關(guān)機(jī)那威脅、資產(chǎn)和脆弱性評價l 信息技術(shù) 安全技術(shù) 信息系統(tǒng)安全保障等級評估準(zhǔn)則l SSE-CMM：The Systems Security Engineering Capabi

9、lity Maturity Model，安全系統(tǒng)工程能力成熟度模型2、風(fēng)險評估服務(wù)實施原則（1）保密性原則本公司對安全服務(wù)的實施過程和結(jié)果將嚴(yán)格保密，在未經(jīng)客戶授權(quán)的情況下不會泄漏給任何單位和個人，不會利用此數(shù)據(jù)并進(jìn)行熱呢侵害客戶權(quán)益的行為。（2）標(biāo)準(zhǔn)性原則服務(wù)設(shè)計和實施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。（3）規(guī)范性原則本公司在各項安全服務(wù)工作中的過程和文檔，都具有很好的規(guī)范性，可以便與項目的跟蹤和控制。（4）可控性原則服務(wù)所使用的工具、方法和過程都會在本公司與客戶雙方認(rèn)可的范圍之內(nèi)，服務(wù)進(jìn)度遵守進(jìn)度表的安排，保證雙方對服務(wù)工作的可控性。（5）整體性原則服務(wù)的范圍和內(nèi)桶整體全面，設(shè)計的I

10、T運(yùn)行的各個層面，避免由于遺漏造成未來的安全隱患。（6）最小影響原則服務(wù)工作盡可能小的影響信息系統(tǒng)的正常運(yùn)行，不會對現(xiàn)有業(yè)務(wù)造成顯著影響。3、風(fēng)險評估對象及內(nèi)容本公司風(fēng)險評估服務(wù)主要包括以下內(nèi)容：（1） 物理環(huán)境安全性評估（2） 網(wǎng)絡(luò)架構(gòu)安全性評估（3） 主機(jī)系統(tǒng)設(shè)備安全性評估l 服務(wù)器系統(tǒng)l 桌面主機(jī)l 網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）（4） 應(yīng)用系統(tǒng)安全性評估l 通用應(yīng)用服務(wù)（WEB、FTP、Mail、DNS等）l 專用業(yè)務(wù)系統(tǒng)（B/S、C/S）l 數(shù)據(jù)庫（5） 機(jī)密數(shù)據(jù)安全控制保障評估（機(jī)密信息的生成、傳遞、存儲等過程）（6） 信息安全管理組織架構(gòu)和理性評估（7） 信息安全管理制度及安全性評估

11、（8） 人員安全管理狀況評估（9） 安全產(chǎn)品和技術(shù)應(yīng)用狀況有效性及合理性評（10） 對應(yīng)重大緊急安全事件的處理能力評估（11） 4、風(fēng)險評估方法為了確切、真實地反映信息系統(tǒng)現(xiàn)狀，本公司在風(fēng)險評估過程中使用到的方法有顧問訪談、工具掃描、專家經(jīng)驗分析、實地勘察、滲透測試、策略審查六種，如下圖所示：圖 風(fēng)險評估方法5、成果輸出l 風(fēng)險評估安全現(xiàn)狀綜合分析報告l 風(fēng)險評估安全解決方案四、風(fēng)險評估服務(wù)框架及流程1、風(fēng)險要素關(guān)系信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對信息資產(chǎn)進(jìn)行保護(hù)，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用那些弱點來破壞其安全性。風(fēng)險評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險大小。風(fēng)險

12、評估中各個要素的關(guān)系如下圖所示：圖 風(fēng)險要素關(guān)系示意圖圖中方框部分的內(nèi)容為風(fēng)險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險評估圍繞其基本要素展開，在對這些要素的評價過程中需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。圖中的風(fēng)險要素及屬性之間存在著以下關(guān)系：l 業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)趨去實現(xiàn)；l 析產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大；l 資產(chǎn)價值越大則其面臨的風(fēng)險越大；l 風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多測風(fēng)險越大，并可能演變成安全事件；l 弱點越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；l 脆弱性時未被滿

13、足的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從而形成風(fēng)險；l 風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；l 安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；l 安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；l 風(fēng)險不可能也沒有必要降為零，在實施了安全措施后還會有殘留下來的風(fēng)險，有些殘余風(fēng)險來自于安全措施可能不當(dāng)或無效，在以后需要繼續(xù)控制，而有些參與風(fēng)險則是在綜合考慮了安全成本與效益后為控制的風(fēng)險，是可以被接受的；l 參與風(fēng)險應(yīng)受到密切監(jiān)視，他可能會在將來有發(fā)心的安全事件。2、風(fēng)險分析風(fēng)險分析示意圖如下圖所示：圖風(fēng)險評估分析中主要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要

14、素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。風(fēng)險分析主要內(nèi)容為：對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的重要性進(jìn)行賦值；對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組的影響，即風(fēng)險值。3、風(fēng)險評估實施流程本公司在進(jìn)行風(fēng)險評估服務(wù)過程中，將嚴(yán)格參照GB/T 20984-2007信息安全風(fēng)險評估規(guī)范國家標(biāo)準(zhǔn)所定義的

15、服務(wù)流程規(guī)范來實施，整個實施流程如下圖所示：信息安全風(fēng)險評估實施流程（1） 準(zhǔn)備階段風(fēng)險評估的準(zhǔn)備過程是進(jìn)行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的保證。風(fēng)險評估作為一種戰(zhàn)略型的考慮，其結(jié)果將受到組織的業(yè)務(wù)需求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、安全要求/規(guī)模和結(jié)構(gòu)的影響。不同組織對于風(fēng)險評估的實施過程可能存在不同的要求，因此在風(fēng)險評估實施前，需要做好以下準(zhǔn)備工作：a）確定風(fēng)險評估的范圍；b）確定風(fēng)險評估的目標(biāo)；c）建立適當(dāng)?shù)慕M織結(jié)構(gòu)；d）建立系統(tǒng)性的風(fēng)險評估方法；e）獲得高層管理者對風(fēng)險評估策劃的批準(zhǔn)。（2）風(fēng)險識別階段a）信息資產(chǎn)識別資產(chǎn)是組織直接賦予了價值因而需要保護(hù)的東西。他可能是以多種形式

16、存在，有無形的、有有型的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、組織形象等。他們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。組織的信息資產(chǎn)是組織資產(chǎn)中與信息開發(fā)、存儲、轉(zhuǎn)移、分發(fā)等過程直接、密切相關(guān)的部分。不同的信息資產(chǎn)具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。此階段的工作就是通過考察組織信息資產(chǎn)的三種不同的安全屬性，從而更好地反映信息資產(chǎn)的價值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點、威脅和風(fēng)險屬性，并進(jìn)行量化。b）威脅識別威脅是可能導(dǎo)致對系統(tǒng)或組織危害的不

17、希望事故潛在起因。威脅可能源于對組織信息直接或間接地攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成傷害。威脅也可能源于偶發(fā)的/或蓄意的事件。一般來說，威脅總是要利用組織中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。c）脆弱性識別脆弱性和信息資產(chǎn)緊密相連，它可能被威脅利用/引起資產(chǎn)損失或傷害。值得注意的是，脆弱性本身不會造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。脆弱性的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是，他們的共同特性就是給攻擊者提供了機(jī)會。d）已有安全措施確認(rèn)在本階

18、段，本公司將對采取的控制措施進(jìn)行識別并對控制措施的有效性進(jìn)行確認(rèn)，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止控制措施的重復(fù)實施。對于那些卻認(rèn)為不適當(dāng)?shù)目刂坪瞬槭欠駪?yīng)被取消，火星和用更合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施（如業(yè)務(wù)持續(xù)性計劃、商業(yè)保險等）兩種，預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性，而保護(hù)性控制措施可以減少因猥褻發(fā)生所造成的影響。已有安全措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合。比較明顯的例子是

19、防火墻的訪問控制措施。（3）風(fēng)險分析階段a）殘余風(fēng)險分析殘余風(fēng)險分析將根據(jù)在識別階段對資產(chǎn)、脆弱性、威脅識別的結(jié)果，結(jié)合現(xiàn)有安全控制措施分析的結(jié)果，確定信息系統(tǒng)的殘余風(fēng)險；然后結(jié)合殘余風(fēng)險對業(yè)務(wù)影響性的分析，確定殘余風(fēng)險的處置計劃并給出合理的風(fēng)險處置建議。b）綜合風(fēng)險分析風(fēng)險是一種潛在可能性，是指某分威脅利用脆弱性引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起組織或機(jī)構(gòu)的損害。因此，風(fēng)險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的脆弱性直接相關(guān)。從上述的定義可以看出，風(fēng)險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的脆弱性、評估該資產(chǎn)的風(fēng)險、進(jìn)而得出整個評估目標(biāo)的風(fēng)險。（4）風(fēng)險處置階段根據(jù)項目文檔中對信息系統(tǒng)網(wǎng)絡(luò)風(fēng)險評估的主要目標(biāo)，依照安全風(fēng)險中獲得的階段性結(jié)果和風(fēng)險評估安全現(xiàn)狀綜合分析報告，參考安全體系和框架，得出針對客戶的風(fēng)險評估安全解決方案。4、評估過程中的風(fēng)險控制在評估過程中，不可避免地會對平復(fù)對象