風(fēng)險評價實(shí)施方案

1、一、風(fēng)險評估概述1、風(fēng)險服務(wù)的重要性對于構(gòu)建一套良好的信息安全系統(tǒng)，需要對整個系統(tǒng)的安全風(fēng)險有一個清晰的認(rèn)識。 只有清晰的了解了自身的弱點(diǎn)和風(fēng)險的來源，才能夠真正的解決和削弱它， 并以此來構(gòu)建有著對性的、合理有效的安全策略，而風(fēng)險評估既是安全策略規(guī)劃的第一步，同時也是實(shí)施其他安全策略的必要前提。近幾年隨著幾次計算機(jī)蠕蟲病毒的大規(guī)模肆虐攻擊，很對用戶的網(wǎng)絡(luò)都遭受了不同程度的攻擊，仔細(xì)分析就會發(fā)現(xiàn)，幾乎所有的用戶都部署了防病毒軟件和類似的安全防護(hù)系統(tǒng)，越來越多的用戶發(fā)現(xiàn)淡村的安全產(chǎn)品已經(jīng)不能滿足現(xiàn)在的安全防護(hù)體系的需求了。安全是整體的體系建設(shè)過程，根據(jù)安全的木桶原理，組織網(wǎng)絡(luò)的整個安全最大強(qiáng)度取決

2、于最短最脆弱的那根木頭，所以說在安全建設(shè)的過程中，如果不仔細(xì)的找到最短的那根木頭，而盲目的在外面加釘子，并不能改善整體強(qiáng)度。信息安全風(fēng)險評估是信息安全保障體系建立過程中的重要的評價方法和決策機(jī)制， 只有通過全面的風(fēng)險評估，才能讓客戶對自身信息安全的狀況做出準(zhǔn)確的判斷。2、風(fēng)險評估服務(wù)的目的及其意義信息安全風(fēng)險是指人為或自然的威脅利用信息系統(tǒng)及其團(tuán)里體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、 傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評價的過程。 他要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全

3、事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組造成的影響。信息安全風(fēng)險評估是信息系統(tǒng)安全保障機(jī)制建立過程中的一種評價方法，其結(jié)果為信息安全更顯管理提供依據(jù)。3、風(fēng)險評估服務(wù)機(jī)制在信息系統(tǒng)生命周期里，有許多種情況必須對信息系統(tǒng)所涉及的人員、技術(shù)環(huán)境、物理環(huán)境進(jìn)行風(fēng)險評估：在設(shè)計規(guī)劃或升級新的信息系統(tǒng)時；給目前的信息系統(tǒng)增加新應(yīng)用時；在與其他組織（部門）進(jìn)行網(wǎng)絡(luò)互聯(lián)時；在技術(shù)平臺進(jìn)行大規(guī)模更新（例如，從Linux系統(tǒng)移植到Sliaris系統(tǒng)）時;在發(fā)生計算機(jī)安全事件之后，或懷疑可能會發(fā)生安全事件時；關(guān)心組織現(xiàn)有的信息安全措施是否充分或食后具有相應(yīng)的安全效力時；在組織具有結(jié)構(gòu)

4、變動（例如：組織合并）時：在需要對信息系統(tǒng)的安全狀況進(jìn)行定期或不定期的聘雇、已查看是否滿足組織持續(xù)運(yùn)營需要時等。4、風(fēng)險評估服務(wù)的收益風(fēng)險評估可以幫助客戶：準(zhǔn)確了解租住的信息安全現(xiàn)狀；明晰組織的信息安全需求；制定組織信息系統(tǒng)的安全策略和風(fēng)險解決方案；指導(dǎo)組織未來的信息安全建設(shè)和投入；建立組織自身的信息安全管理框架。二、風(fēng)險評估服務(wù)介紹本公司遵循公認(rèn)的ISO 27001、 GB/T 20984-2007信息安全風(fēng)險評估規(guī)范以及國際信息安全等級保護(hù)指南等安全標(biāo)準(zhǔn)知道風(fēng)險評估的工作，針對資產(chǎn)重要程度分別提供不同的頻率和方式的風(fēng)險評估，幫助客戶了解客觀真實(shí)的自身網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀，規(guī)劃適合自己網(wǎng)絡(luò)系統(tǒng)環(huán)

5、境的安全策略，并根據(jù)科學(xué)合理的安全策略來實(shí)施后續(xù)的安全服務(wù)、選型與部署安全產(chǎn)品以及建立有效的安全管理規(guī)章制度，從而全面完整的解決可能存在的各種風(fēng)險隱患。1、風(fēng)險評估服務(wù)遵循標(biāo)準(zhǔn)在整個評估過程中，本公司遵循和參照最新、最權(quán)威的信息安全標(biāo)準(zhǔn)，作為評估實(shí)施的依據(jù)。這些安全標(biāo)準(zhǔn)包括：安全技術(shù)標(biāo)準(zhǔn)：GB 17859：計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 18336（ ISO 15408） ： 信息技術(shù)-安全技術(shù)-信息技術(shù)風(fēng)險評估準(zhǔn)則（等同于 Common Criteria for Information Technology Security Evaluation V1.2，簡稱 CC V1.2）CV

6、E Common Vulnerabilities & Exposures 通用脆弱性標(biāo)準(zhǔn)。CVE是個行業(yè)標(biāo)準(zhǔn)，為每個漏洞和弱點(diǎn)確定了惟一的名稱和標(biāo)準(zhǔn)化的描述，可以稱為評價響應(yīng)入侵檢測和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準(zhǔn)安全管理標(biāo)準(zhǔn)：ISO/IEC 27001: 2005 Information Technology-Securitytechniques-Information security management systems-Requirements， 信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC 27005:2008 Information Technology- Se

7、curityechniques-Information security risk management, 信息技術(shù)-安全技術(shù)-信息安全風(fēng)險管理GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求信息安全等級保護(hù)信息系統(tǒng)安全管理要求（送審稿）ISO 13335信息技術(shù)-安全技術(shù)-IT安全管理指南GB/Z 24364 2009信息安全技術(shù)信息安全風(fēng)險管理指南風(fēng)險評估實(shí)施方法：GB/T 20984-2007：信息安全風(fēng)險評估規(guī)范（最新國家標(biāo)準(zhǔn)）NIST SP 800-30： RiSk Management Guide for Information TechnologySyst

8、ems,信息技術(shù)系統(tǒng)風(fēng)險管理指南（美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會發(fā)布）NSA IAM： INFOSED Assessment Methodology 信息風(fēng)險評估方法（美國 國家安全局發(fā)布）OCTAVW： The Operationally Critical Threat， Asset， and Vulnerability Evaluation,可操作的關(guān)機(jī)那威脅、資產(chǎn)和脆弱性評價 信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障等級評估準(zhǔn)則SSE-CMM： The Systems Security Engineering Capability Maturity Mode， l 安全系統(tǒng)工程能力成熟度模型2、風(fēng)險評估

9、服務(wù)實(shí)施原則（ 1）保密性原則本公司對安全服務(wù)的實(shí)施過程和結(jié)果將嚴(yán)格保密，在未經(jīng)客戶授權(quán)的情況下不會泄漏給任何單位和個人，不會利用此數(shù)據(jù)并進(jìn)行熱呢侵害客戶權(quán)益的行為。（ 2）標(biāo)準(zhǔn)性原則服務(wù)設(shè)計和實(shí)施的全過程均依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。（ 3）規(guī)范性原則本公司在各項(xiàng)安全服務(wù)工作中的過程和文檔，都具有很好的規(guī)范性，可以便與項(xiàng)目的跟蹤和控制。（ 4）可控性原則服務(wù)所使用的工具、方法和過程都會在本公司與客戶雙方認(rèn)可的范圍之內(nèi)，服務(wù)進(jìn)度遵守進(jìn)度表的安排，保證雙方對服務(wù)工作的可控性。（ 5）整體性原則服務(wù)的范圍和內(nèi)桶整體全面，設(shè)計的IT 運(yùn)行的各個層面，避免由于遺漏造成未來的安全隱患。（ 6）最小影響

10、原則服務(wù)工作盡可能小的影響信息系統(tǒng)的正常運(yùn)行，不會對現(xiàn)有業(yè)務(wù)造成顯著影響。3、風(fēng)險評估對象及內(nèi)容本公司風(fēng)險評估服務(wù)主要包括以下內(nèi)容：（ 1） 物理環(huán)境安全性評估（ 2） 網(wǎng)絡(luò)架構(gòu)安全性評估（ 3） 主機(jī)系統(tǒng)設(shè)備安全性評估服務(wù)器系統(tǒng)桌面主機(jī)網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）（ 4） 應(yīng)用系統(tǒng)安全性評估通用應(yīng)用服務(wù)（WEB FTR Mail、DNS等）專用業(yè)務(wù)系統(tǒng)(B/S、C/S)數(shù)據(jù)庫(5)機(jī)密數(shù)據(jù)安全控制保障評估(機(jī)密信息的生成、傳遞、存儲等過程)(6)信息安全管理組織架構(gòu)和理性評估(7)信息安全管理制度及安全性評估(8)人員安全管理狀況評估(9)安全產(chǎn)品和技術(shù)應(yīng)用狀況有效性及合理性評(10)對應(yīng)重大

11、緊急安全事件的處理能力評估(11)4、風(fēng)險評估方法為了確切、真實(shí)地反映信息系統(tǒng)現(xiàn)狀，本公司在風(fēng)險評估過程中使用到的方 法有顧問訪談、工具掃描、專家經(jīng)驗(yàn)分析、實(shí)地勘察、滲透測試、策略審查六種, 如下圖所示:圖風(fēng)險評估方法5、成果輸出風(fēng)險評估安全現(xiàn)狀綜合分析報告風(fēng)險評估安全解決方案四、風(fēng)險評估服務(wù)框架及流程1、風(fēng)險要素關(guān)系信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對信息資產(chǎn)進(jìn)行保護(hù)， 通過分析信息資產(chǎn)的 脆弱性來確定威脅可能利用那些弱點(diǎn)來破壞其安全性。風(fēng)險評估要識別資產(chǎn)相關(guān) 要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險大小。風(fēng)險評估中各個要素的關(guān)系如下圖所示：圖中方框部分的內(nèi)容為風(fēng)險評估的基本要素， 橢圓部分的內(nèi)容是與這

12、些要素 相關(guān)的屬性。風(fēng)險評估圍繞其基本要素展開，在對這些要素的評價過程中需要充 分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素 相關(guān)的各類屬性。圖中的風(fēng)險要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)趨去實(shí)現(xiàn)；析產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越 大；資產(chǎn)價值越大則其面臨的風(fēng)險越大；風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多測風(fēng)險越大，并可能演變成 安全事件；弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；脆弱性時未被滿足的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從 而形成風(fēng)險；風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；安全需求可通過安全措施得以滿

13、足，需要結(jié)合資產(chǎn)價值考慮實(shí)施成本； 安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響； 風(fēng)險不可能也沒有必要降為零，在實(shí)施了安全措施后還會有殘留下來的 風(fēng)險，有些殘余風(fēng)險來自于安全措施可能不當(dāng)或無效，在以后需要繼續(xù) 控制，而有些參與風(fēng)險則是在綜合考慮了安全成本與效益后為控制的風(fēng) 險，是可以被接受的；參與風(fēng)險應(yīng)受到密切監(jiān)視，他可能會在將來有發(fā)心的安全事件。2、風(fēng)險分析風(fēng)險分析示意圖如下圖所示:圖風(fēng)險評估分析中主要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自 的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性 是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險分析主要內(nèi)容為:對資產(chǎn)進(jìn)行識

14、別，并對資產(chǎn)的重要性進(jìn)行賦值；對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值;對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件；根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損 失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組的影響，即風(fēng)險值。3、風(fēng)險評估實(shí)施流程本公司在進(jìn)行風(fēng)險評估服務(wù)過程中,將嚴(yán)格參照 GB/T 20984-2007信息安全風(fēng) 險評估規(guī)范國家標(biāo)準(zhǔn)所定義的服務(wù)流程規(guī)范來實(shí)施，整個實(shí)施流程如下圖所示：足險坪怙的帶備I資產(chǎn)M別階段江沼記錄.但茹斑產(chǎn)梢單、隹 平時應(yīng)為喊制君單.怩后性稿

15、工網(wǎng)匐怦福加日士林柞說明 131f風(fēng)電評可報苦：包其窗田 環(huán)境慌相、四蟒.半就用格、± 機(jī)薪削評拈.府用裁統(tǒng)印出. 效符交必需為至愫復(fù)國歸、安 空餐理ITM等四卷.LH內(nèi)容工取分所同產(chǎn)，購，mrr安全搭篇的確認(rèn)成總評估.卷南件印括的第 S,舞弊i弁班:白安里沖切鐳葩 和風(fēng)同對北弄的整嗝性分新， 0舞硝定華總系處的妙拿風(fēng) 隨，開的用唇件的鳳鶴量注安空解決方黑31恢錦風(fēng)電bM結(jié)果好行曜國二所，：.一+,信息蜜至整體解決方第.信息安全風(fēng)險評估實(shí)施流程(1)準(zhǔn)備階段風(fēng)險評估的準(zhǔn)備過程是進(jìn)行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的 保證。風(fēng)險評估作為一種戰(zhàn)略型的考慮，其結(jié)果將受到組織的業(yè)務(wù)需

16、求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、安全要求/規(guī)模和結(jié)構(gòu)的影響。不同組織對于風(fēng)險評估的實(shí)施過程可能存在不同的要求，因此在風(fēng)險評估實(shí)施前，需要做好以下準(zhǔn)備工作：a）確定風(fēng)險評估的范圍；b）確定風(fēng)險評估的目標(biāo)；c）建立適當(dāng)?shù)慕M織結(jié)構(gòu)；d）建立系統(tǒng)性的風(fēng)險評估方法；e）獲得高層管理者對風(fēng)險評估策劃的批準(zhǔn)。（ 2）風(fēng)險識別階段a）信息資產(chǎn)識別資產(chǎn)是組織直接賦予了價值因而需要保護(hù)的東西。他可能是以多種形式存在，有無形的、有有型的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、組織形象等。他們分別具有不同的價值屬性和存在特點(diǎn)，存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。組織的信息資產(chǎn)是組織資產(chǎn)中與信息

17、開發(fā)、存儲、轉(zhuǎn)移、分發(fā)等過程直接、密切相關(guān)的部分。不同的信息資產(chǎn)具有不同的安全屬性，機(jī)密性、 完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。此階段的工作就是通過考察組織信息資產(chǎn)的三種不同的安全屬性，從而更好地反映信息資產(chǎn)的價值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險屬性，并進(jìn)行量化。b）威脅識別威脅是可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。威脅可能源于對組織信息直接或間接地攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成傷害。威脅也可能源于偶發(fā)的/或蓄意的事件。一般來說， 威脅總是要利用組織中的系統(tǒng)、

18、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對資產(chǎn)造成傷害。c）脆弱性識別脆弱性和信息資產(chǎn)緊密相連，它可能被威脅利用/引起資產(chǎn)損失或傷害。值得注意的是，脆弱性本身不會造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。脆弱性的出現(xiàn)有各種原因，例如可能是軟件開發(fā)過程中的質(zhì)量問題，也可能是系統(tǒng)管理員配置方面的，也可能是管理方面的。但是， 他們的共同特性就是給攻擊者提供了機(jī)會。d）已有安全措施確認(rèn)在本階段，本公司將對采取的控制措施進(jìn)行識別并對控制措施的有效性進(jìn)行確認(rèn)， 將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止控制措施的重復(fù)實(shí)施。對于那些卻認(rèn)為不適當(dāng)?shù)目刂坪瞬槭欠駪?yīng)被取消，火星和用更

19、合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施（如業(yè)務(wù)持續(xù)性計劃、商業(yè)保險等）兩種， 預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性，而保護(hù)性控制措施可以減少因猥褻發(fā)生所造成的影響。已有安全措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要與脆弱性識別過程那樣具體到每個資產(chǎn)、 組件的弱點(diǎn)，而是一類具體措施的集合。比較明顯的例子是防火墻的訪問控制措施。（ 3）風(fēng)險分析階段a）殘余風(fēng)險分析殘余風(fēng)險分析將根據(jù)在識別階段對資產(chǎn)、脆弱性、 威脅識別的結(jié)果，結(jié)合現(xiàn)有安全控制措施分析的結(jié)果，確定信息系統(tǒng)的殘余風(fēng)險；然后結(jié)合殘余風(fēng)險對業(yè)

20、務(wù)影響性的分析，確定殘余風(fēng)險的處置計劃并給出合理的風(fēng)險處置建議。b）綜合風(fēng)險分析風(fēng)險是一種潛在可能性，是指某分威脅利用脆弱性引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害， 從而直接地或間接地引起組織或機(jī)構(gòu)的損害。因此， 風(fēng)險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的脆弱性直接相關(guān)。從上述的定義可以看出，風(fēng)險評估的策略是首先選定某項(xiàng)資產(chǎn)、評估資產(chǎn)價值挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的脆弱性、評估該資產(chǎn)的風(fēng)險、進(jìn)而得出整個評估目標(biāo)的風(fēng)險。（4）風(fēng)險處置階段根據(jù)項(xiàng)目文檔中對信息系統(tǒng)網(wǎng)絡(luò)風(fēng)險評估的主要目標(biāo)， 依照安全風(fēng)險中獲得 的階段性結(jié)果和風(fēng)險評估安全現(xiàn)狀綜合分析報告，參考安全體系和框架，得 出針對客戶的風(fēng)險評估安全解決方案。4、評估過程中的風(fēng)險控制在評估過程中，不可避免地會對平復(fù)