信息安全風(fēng)險評估服務(wù)手冊

1、信息安全風(fēng)險評估服務(wù)手冊目錄第 1 章 風(fēng)險評估的重要性 51.1. 風(fēng)險評估背景 51.2. 風(fēng)險評估目的 61.3. 風(fēng)險評估方式 6第 2 章 信息安全服務(wù)產(chǎn)品介紹 72.1. 服務(wù)產(chǎn)品概述 72.2. 服務(wù)產(chǎn)品功能 82.2.1. 資產(chǎn)評估 82.2.2. 威脅評估 92.2.3. 脆弱性評估 92.2.4. 風(fēng)險綜合分析 102.2.5. 風(fēng)險處置計劃 102.3. 服務(wù)產(chǎn)品交付 112.3.1. 風(fēng)險評估綜合報告 112.3.2. 資產(chǎn)賦值列表 112.3.3. 威脅賦值列表 112.3.4. 脆弱性賦值列表 122.3.5. 風(fēng)險處置計劃 122.4. 服務(wù)產(chǎn)品收益 122.4.

2、1. 資產(chǎn)識別 122.4.2. 平衡安全風(fēng)險與成本 122.4.3. 風(fēng)險識別 132.4.4. 建設(shè)指導(dǎo) 132.4.5. 業(yè)務(wù)保障 14第 3 章 信息安全服務(wù)產(chǎn)品規(guī)格 153.1. 服務(wù)評估模型 153.1.1. 評估模型 153.1.2. 評估標(biāo)準(zhǔn) 163.2. 服務(wù)評估方法 173.2.1. 訪談?wù){(diào)研 173.2.2. 人工審計 173.2.3. 工具掃描 183.2.4. 滲透測試 183.3. 服務(wù)評估范圍 193.3.1. 技術(shù)評估 193.3.2. 管理評估 20第 4 章 信息安全服務(wù)產(chǎn)品流程 224.1. 服務(wù)流程藍(lán)圖 224.2. 服務(wù)流程階段 224.2.1. 服務(wù)

3、啟動 224.2.2. 資產(chǎn)評估 234.2.3. 威脅評估 244.2.4. 脆弱評估 264.2.5. 風(fēng)險分析 284.2.6. 風(fēng)險處置 294.2.7. 服務(wù)驗收 304.3. 服務(wù)流程管理 314.3.1. 管理概述 314.3.2. 管理組成 31第 5 章 信息安全服務(wù)產(chǎn)品優(yōu)勢 335.1. 公司整體優(yōu)勢 335.2. 服務(wù)發(fā)展優(yōu)勢 335.3. 服務(wù)資質(zhì)優(yōu)勢 345.4. 團隊保障優(yōu)勢 34第 6 章 信息安全服務(wù)成功案例 346.1. 重點案例列表 346.2. 重點案例簡介 356.2.1. 金融案例 356.2.2. 電信案例 356.2.3. 能源案例 356.2.4

4、. 政府案例 36第 7 章 附錄術(shù)語定義 36第1章風(fēng)險評估的重要性1.1.風(fēng)險評估背景隨著政府部門、企事業(yè)單位以及各行各業(yè)對信息系統(tǒng)依賴程度的日益增強， 信息安全問題受到普遍關(guān)注。運用風(fēng)險評估方法去識別安全風(fēng)險，解決信息安全 問題得到了廣泛的認(rèn)識和應(yīng)用。信息安全風(fēng)險評估就是從風(fēng)險管理角度， 運用科 學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安 全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整 改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限 度地保障信息安全提供科學(xué)依據(jù)。信息安全風(fēng)險評估作為信息安全保障工作的基礎(chǔ)性工作和

5、重要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護(hù)以及廢棄各個階段，是信息安全等級保 護(hù)制度建設(shè)的重要科學(xué)方法之一。國內(nèi)風(fēng)險評估推進(jìn)工作情況如下：時間具體推進(jìn)事件歷程2003 年關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）中明確提出“要重視信息安全風(fēng)險評估工作”。2004 年為貫徹落實27號文件精神，原國信辦組織有關(guān)單位和專家編寫了信 息安全風(fēng)險評估指南。2005 年原國信辦在北京、上海、云南、黑龍江2市2省區(qū)和銀行、電力、稅務(wù)3個行業(yè)組織了信息安全風(fēng)險評估試點。2006 年原國信辦召開了信息安全風(fēng)險評估推進(jìn)工作會議。國家部委、各省信息 辦依據(jù)中辦發(fā)2006 5號、9號文件，開展重

6、要行業(yè)安全風(fēng)險評估工作。2007 年為保障十七大，在國豕基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開 了自評估工作。（中國移動、電力、稅務(wù)、證券）至今經(jīng)過多年實踐，風(fēng)險評估是“一種度量信息安全狀況的科學(xué)方法”，通過對網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險要素的識別、分析、評價，發(fā)現(xiàn)網(wǎng)絡(luò)和信 息系統(tǒng)的安全風(fēng)險，通過安全加固，使高風(fēng)險降低到可接受的水平，從 而提高信息安全風(fēng)險管理的水平。”表-11.2. 風(fēng)險評估目的風(fēng)險評估是對網(wǎng)絡(luò)與信息系統(tǒng)相關(guān) 方面 風(fēng)險進(jìn)行辨識和分析的過程，是依據(jù) 國際/國家/地方有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，評估信息系統(tǒng)的脆弱性、面臨的威脅以 及脆弱性被威脅源利用的可能性和利用后對信息系統(tǒng)及由其處理

7、、 傳輸和存儲的 信息的保密性、 完整性和可用性所產(chǎn)生的實際負(fù)面影響， 并以此識別信息系統(tǒng)的 安全風(fēng)險的過程。風(fēng)險評估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的安全狀況， 全面 了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險， 明確采取何種有效措施， 降低威 脅事件發(fā)生的可能性或者其所造成的影響， 減少信息系統(tǒng)的脆弱性， 從而將風(fēng)險 降低到可接受的水平； 同時，可以定期了解信息系統(tǒng)的安全防護(hù)水平并為后期安 全規(guī)劃建設(shè)的提出提供原始依據(jù)，并作為今后其他工作的參考。1.3. 風(fēng)險評估方式自評估 是由被評估信息系統(tǒng)的擁有者發(fā)起，依靠自身的力量參照國家法規(guī)與標(biāo)準(zhǔn)， 對其自身的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。檢

8、查評估 檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管機關(guān)或業(yè)務(wù)主管機 關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強制意味的檢查活動， 是通過行政手段加強信息安全的重要措施。委托評估是由被評估信息系統(tǒng)的擁有者發(fā)起， 委托專業(yè)的服務(wù)機構(gòu)， 參照國家法規(guī)與 標(biāo)準(zhǔn)，對其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。第 2章 信息安全服務(wù)產(chǎn)品介紹2.1. 服務(wù)產(chǎn)品概述信息安全風(fēng)險評估服務(wù)信息安全風(fēng)險永遠(yuǎn)存在，安全產(chǎn)品不能解決所有的問題。信息安全工作本身 是一個過程，它的本質(zhì)是風(fēng)險管理。 風(fēng)險管理工作不僅僅是一個簡單的理論、 方法，更需要在實踐中檢驗發(fā)展。信息安全強調(diào)安全必須為業(yè)務(wù)服務(wù)，以最佳 實踐作為信

9、息安全工作的落腳點，通過有效的安全服務(wù)，讓安全技術(shù)有效地發(fā) 揮作用。信息安全為客戶提供全面的信息安全咨詢與風(fēng)險評估服務(wù)。信息安全認(rèn) 為，風(fēng)險評估是風(fēng)險管理的基石，安全管理監(jiān)控是風(fēng)險管理的過程化實施。單 純的技術(shù)評估不能全面揭示信息安全風(fēng)險所在，脫離細(xì)致技術(shù)檢查手段的管理 評估也似無本之木，技術(shù)和管理是密不可分的兩個方面。同時，應(yīng)用系統(tǒng)自身 的安全性也是風(fēng)險管理的重要組成部分。信息安全風(fēng)險評估服務(wù)基于技術(shù)方面的安全評估、 基于管理方面管理評估和 綜合兩者的全面評估， 客戶可以全面了解組織內(nèi)部的信息安全狀況， 盡早發(fā)現(xiàn)存 在的問題。同時，根據(jù)安全專家的建議，客戶可以在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移 風(fēng)險

10、等方面做出正確的選擇。信息安全風(fēng)險評估服務(wù)綜合國內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最佳實踐， 為客戶清晰的 展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀、安全風(fēng)險，提供公正、客觀數(shù)據(jù)作為決策參考， 為客戶下一步控制和降低安全風(fēng)險、 改善安全狀況、 實施信息系統(tǒng)的風(fēng)險管理提 供依據(jù)， 從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視， 為客戶后續(xù)信息安全工作爭取支持， 為客戶后續(xù)信息安全順利開展?fàn)幦≠Y源和地位， 風(fēng)險評估能夠幫助客戶從技術(shù)、管 理方面或全面摸清家底、做到知己知彼，順利進(jìn)行信息系統(tǒng)安全規(guī)劃、設(shè)計、建 設(shè)。加強組織各層面對于信息安全工作的認(rèn)識和理解程度，提高組織各層面的信息安全保障意識，對于規(guī)范和系統(tǒng)化提高信息安全保障水平提供了有效的方法

11、。2.2.服務(wù)產(chǎn)品功能3脆弱性評估技術(shù)脆弱性識別管理脆弱性識別脆弱性賦值7£7圖-14）風(fēng)險綜合分析風(fēng)險綜合識別風(fēng)險模型計算風(fēng)險接收準(zhǔn)則風(fēng)險綜合評價2.2.1.資產(chǎn)評估資產(chǎn)是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價值。資產(chǎn)評估是與風(fēng)險評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評估主要是對資產(chǎn)進(jìn)行 相對估價，而其估價準(zhǔn)則就是依賴于對其影響的分析，主要從保密性、完整性、可用性三方面的安全屬性進(jìn)行影響分析， 從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴(yán)重 程度；這樣，威脅評估就成了對資產(chǎn)所受威脅發(fā)生可能性的評估， 主要從發(fā)生的 可能性、發(fā)生成

12、功的可能性以及發(fā)生成功后的嚴(yán)重性三方面安全屬性進(jìn)行分析； 目的是要對組織的歸類資產(chǎn)做潛在價值分析， 了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。 明確各類資產(chǎn)具備的保護(hù)價值和需要的保護(hù)層次， 從而使組織更合理的利用現(xiàn)有 資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理， 更有針對性的進(jìn)行資產(chǎn)保護(hù)，更有合理性的進(jìn)行 新的資產(chǎn)投入。2.2.2. 威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險評估的重 要因素，威脅是一個客觀存在的事物， 無論對于多么安全的信息系統(tǒng)， 它都存在。威脅評估采用的方法是問卷調(diào)查、問詢、數(shù)據(jù)取樣、日志分析。在這一過程 中，首先要對組織需要保護(hù)的每一項關(guān)鍵資產(chǎn)進(jìn)行威脅識別。 在威脅評估過程中

13、， 應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷， 一項資產(chǎn)可 能面臨著多個威脅， 同樣一個威脅可能對不同的資產(chǎn)造成影響。 識別出威脅由誰 或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。2.2.3. 脆弱性評估脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組 織機構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可 能被各種安全威脅利用來侵害一個組織機構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的 業(yè)務(wù)系統(tǒng)。脆弱性評估將針對每一項需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用 的脆弱性， 并對脆弱性的嚴(yán)重程度進(jìn)行評估， 就是對脆弱性被威脅利用的可能性

14、 進(jìn)行評估，最終為其賦相對等級值。 在進(jìn)行脆弱性評估時， 提供的數(shù)據(jù)應(yīng)該來自 于這些資產(chǎn)的擁有者或使用者， 來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng) 方面的專業(yè)人員。 在評估中， 從技術(shù)脆弱性和安全管理脆弱性兩個方面進(jìn)行脆弱 性檢查。224.風(fēng)險綜合分析風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害 的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。在完成資產(chǎn)、威脅和脆弱性的評 估后，進(jìn)入安全風(fēng)險的評估階段。在這個過程中，采用最新的方法表述威脅源采 用何種威脅方法，利用了系統(tǒng)的何種脆弱性， 對哪一類資產(chǎn)，產(chǎn)生了

15、什么樣的影 響，并描述采取何種對策來防范威脅，減少脆弱性。風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬 性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、 動機等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。風(fēng)險分析原來如下圖所示：圖-22.2.5.風(fēng)險處置計劃風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。風(fēng)險處理計劃中應(yīng)明確采取的彌補脆弱性的安全措施、預(yù)期效果、實施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮風(fēng)險處置是一種系統(tǒng)化方法，可通過多種方式實現(xiàn)

16、：風(fēng)險接受：接受潛在的風(fēng)險并繼續(xù)運行信息系統(tǒng)，不對風(fēng)險進(jìn)行處理。風(fēng)險降低：通過實現(xiàn)安全措施來降低風(fēng)險，從而將脆弱性被威脅源利用后可能帶來的不利影響最小化風(fēng)險規(guī)避：不介入風(fēng)險，通過消除風(fēng)險的原因和 /或后果來規(guī)避風(fēng)險風(fēng)險轉(zhuǎn)移：通過使用其它措施來補償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險2.3.服務(wù)產(chǎn)品交付資產(chǎn)評估威脅評估脆弱性評估風(fēng)險綜合分析風(fēng)險處置計劃資產(chǎn)賦值列表脆弱性賦值列表威脅賦值列表風(fēng)險評估綜合報告風(fēng)險處置計劃圖-32.3.1.風(fēng)險評估綜合報告主體報告，描述被評估信息系統(tǒng)得信息安全現(xiàn)狀， 對評估范圍內(nèi)的業(yè)務(wù)資產(chǎn) 進(jìn)行風(fēng)險分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對范圍內(nèi)的哪些資產(chǎn)產(chǎn)生

17、了什么影響，采取何種對策進(jìn)行防范威脅，減少脆弱性；并對風(fēng)險評估作出總結(jié)，總結(jié)出哪些問題需要當(dāng)前解決，哪些問題可以分步分期解決。2.3.2.資產(chǎn)賦值列表綜合報告的子報告，描述了在資產(chǎn)識別后，對資產(chǎn)進(jìn)行分類整理，并依據(jù)其 所受破壞后所造成的影響，分析出其影響權(quán)值及其重要性。2.3.3.威脅賦值列表綜合報告的子報告，描述總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。2.3.4. 脆弱性賦值列表綜合報告的子報告， 描述出通過安全管理調(diào)查、工具掃描、手工檢查進(jìn)行專 業(yè)分析后，總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。通過工具掃描之后， 對評估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計，重在描述高風(fēng)險、中風(fēng)

18、險、 低風(fēng)險的數(shù)量 以及百分比等情況。2.3.5. 風(fēng)險處置計劃綜合報告后的輔助報告， 通過綜合分析， 了解了當(dāng)前的安全現(xiàn)狀， 提出了針 對當(dāng)前問題的 信息系統(tǒng) 總體安全解決方案。2.4. 服務(wù)產(chǎn)品收益2.4.1. 資產(chǎn)識別幫助客戶對組織內(nèi)資產(chǎn)進(jìn)行梳理，針對在傳統(tǒng)資產(chǎn)清理過程中，比較容易被 忽略的數(shù)據(jù)資產(chǎn)，服務(wù)資產(chǎn)等，使客戶從原有的固定資產(chǎn)保護(hù)，提升為信息 資產(chǎn)保護(hù)。幫助客戶進(jìn)行組織內(nèi)資產(chǎn)的分級管理，通過定量分析，明確各信息系統(tǒng)對客 戶的重要程度，通過有效整合信息系統(tǒng)的安全需求，在有限的資源環(huán)境下， 更好的提高客戶的信息安全水平。2.4.2. 平衡安全風(fēng)險與成本幫助客戶在安全建設(shè)過程中綜合平衡

19、安全風(fēng)險與成本代價，信息安全工作的 核心目標(biāo)就是實現(xiàn)在最低資源消耗的情況下，達(dá)到最大的安全水平。通過對 發(fā)現(xiàn)的問題和風(fēng)險進(jìn)行管理，并最優(yōu)化的方案建議，使客戶避免投入大量資 源，但安全工作仍遲遲不見起色的現(xiàn)象。2.4.3. 風(fēng)險識別對客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理，識別資產(chǎn)的重要性；清晰自身所面臨 的威脅及其威脅方式方法，便于有針對性地防護(hù)。認(rèn)識自身存在的脆弱性不 足，能夠有目的性的進(jìn)行補遺整改。幫助客戶了解網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況，通過如工具掃描，滲透測試，人 工審計等多種技術(shù)手段， 全面分析客戶信息系統(tǒng)和網(wǎng)絡(luò)中存在的各種安全問 題，同時將發(fā)現(xiàn)的安全問題與信息資產(chǎn)的重要程度相關(guān)聯(lián)，明確當(dāng)前的安

20、全 風(fēng)險。幫助客戶了解自身存在信息安全管理漏洞，再好的設(shè)備，也是由人進(jìn)行操作 的，通過訪談、問卷等多種手段，協(xié)助客戶管理層了解當(dāng)前的信息安全管理 制度是否存在漏洞，已經(jīng)正式發(fā)布的安全管理制度是否得到了落實和執(zhí)行。2.4.4. 建設(shè)指導(dǎo)通過專業(yè)的安全技術(shù)和專業(yè)人員及時全面的掌握客戶 IT 環(huán)境的安全現(xiàn)狀和 面臨的風(fēng)險，并提出改進(jìn)建議，降低風(fēng)險。為客戶進(jìn)行信息安全規(guī)劃建設(shè)、安全技術(shù)體系建設(shè)、安全管理體系建設(shè)、安 全風(fēng)險管理奠定基石。通過對網(wǎng)絡(luò)與信息系統(tǒng)漏洞產(chǎn)生的威脅進(jìn)行分析，能夠提供有效的安全加固 和改進(jìn)措施建議。在國際國內(nèi)專業(yè)技術(shù)分析的支持下，安全服務(wù)團隊能夠獲 得第一手的信息系統(tǒng)或網(wǎng)絡(luò)的漏洞信

21、息，在此基礎(chǔ)上，為客戶提供及時、有 效地網(wǎng)絡(luò)和信息系統(tǒng)的漏洞發(fā)掘服務(wù)，并針對漏洞，提供有效的加固建議和 改進(jìn)措施建議。定期風(fēng)險評估，幫助客戶了解組織信息安全改進(jìn)情況與發(fā)展方向，為以后的 信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考。通過對安全風(fēng)險的分析和識別，同 時平衡安全風(fēng)險與安全成本，提供專業(yè)的信息安全規(guī)劃和建設(shè)建議，對于客 戶未來的信息安全工作，提供重要參考和依據(jù)。幫助客戶建立信息安全風(fēng)險管理機制。 為客戶對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全風(fēng) 險管理奠定基石，幫助客戶在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面作出最佳的選擇2.4.5. 業(yè)務(wù)保障可以幫助客戶及時發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問題，使安全風(fēng)險降低 到

22、可以接受并且可以被有效管理的范圍內(nèi)， 保障客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運 行和業(yè)務(wù)連續(xù)性。預(yù)防信息安全事故，保證客戶業(yè)務(wù)的連續(xù)性，使客戶的重要信息資產(chǎn)受到與 其價值相符的保護(hù)，防止系統(tǒng)入侵安全隱患再次被破壞或惡意利用，避免業(yè) 務(wù)經(jīng)濟損失數(shù)量持續(xù)增加。第3章信息安全服務(wù)產(chǎn)品規(guī)格3.1.服務(wù)評估模型3.1.1.評估模型依賴暴露7未被滿足利用成本增加A安全需求降低被滿足'氐御殘余風(fēng)險未控制導(dǎo)出演變脆弱性威脅增加風(fēng)險安全事件一可能誘發(fā)V 丿資產(chǎn) 具有 資產(chǎn)價值圖-4A安全措施風(fēng)險評估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基 本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需

23、求、安全事件、 殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。在上圖中的風(fēng)險要素及屬性之間存 在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越?。?資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越 大；風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成為 安全事件；資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大；脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低風(fēng)險；殘余風(fēng)險有些是安全措施不當(dāng)或無效，需要加強

24、才可控制的風(fēng)險；而有些則 是在綜合考慮了安全成本與效益后不去控制的風(fēng)險；殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。3.1.2.評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型參考標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ISO15408信息技術(shù)安全評估準(zhǔn)則ISO/IEC TR 13335信息和通信技術(shù)安全管理ISO/TR 13569銀行和相關(guān)金融服務(wù)信息安全指南ISO/IEC 27000信息安全管理體系系列標(biāo)準(zhǔn)AS/NZS 4360風(fēng)險管理NIST SP 800-30 IT系統(tǒng)風(fēng)險管理指南國內(nèi)標(biāo)準(zhǔn)GB17859計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GBT 20984信息安全風(fēng)險評估規(guī)范GBT 22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求G

25、BZ 20985信息技術(shù)安全技術(shù)信息安全事件管理指南GBZ 20986信息安全技術(shù)信息安全事件分類分級指南 各個組織或行業(yè)內(nèi)相關(guān)要求表-132服務(wù)評估方法圖-5注：滲透測試模塊為可選模塊3.2.1.訪談?wù){(diào)研收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT規(guī)劃、管理制度、原有項目安全成果等信息 文檔。對進(jìn)行收集文檔進(jìn)行深入分析，梳理業(yè)務(wù)系統(tǒng)安全現(xiàn)狀。根據(jù)現(xiàn)有文 檔分析整理結(jié)果，制定相關(guān)調(diào)研表進(jìn)行信息資產(chǎn)調(diào)研信息補充。制定訪談提綱，對相關(guān)人員進(jìn)行訪談。人員訪談可以了解人員安全意識、對 安全管理獲知的程度、對安全技術(shù)的掌握程度，并且收集大量有用信息，全 面了解信息系統(tǒng)的安全需求，深入了解客戶各層面的安全現(xiàn)狀。3.2.

26、2.人工審計人工評估只對被評估對象進(jìn)行運行狀態(tài)和配置檢查，因此不會對現(xiàn)有信息系 統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對被評估對象的資源占用也小于工 具評估。人工評估完成后將產(chǎn)生人工評估報告，也將作為整體的安全評估報 告的一個重要的來源和依據(jù)。人工評估對本地安全評估而言是必不可少的。人工安全評估對實施人員的安 全知識、安全技術(shù)和安全經(jīng)驗要求很高，因為他們必須了解最新的安全漏洞、 掌握多種先進(jìn)的安全技術(shù)和積累豐富的評估經(jīng)驗，這樣才能對本地安全評估 中位于物理層、網(wǎng)絡(luò)層、主機層、數(shù)據(jù)層和用戶層的所有安全對象目標(biāo)進(jìn)行最有效和最完整的安全評估，并提供最合理和最及時的安全建議。3.2.3. 工具掃描工具自

27、動評估是用各種商用安全評估系統(tǒng)或掃描器，根據(jù)其內(nèi)置的評估內(nèi) 容、測試方法、評估策略及相關(guān)數(shù)據(jù)庫信息，從系統(tǒng)內(nèi)部對主機、網(wǎng)絡(luò)、數(shù) 據(jù)庫等系統(tǒng)進(jìn)行一系列的設(shè)置檢查，使其可預(yù)防潛在安全風(fēng)險問題，如弱口 令、用戶權(quán)限設(shè)置、用戶帳戶設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè) 置、網(wǎng)絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患 的可疑點等。它也可以找出黑客攻破系統(tǒng)的跡象，并提出修補建議。 工具評估最突出的優(yōu)點是評估工作可由軟件來自動進(jìn)行，速度快，效率高。 工具評估部分將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類的掃描軟件來分別進(jìn)行。掃描評 估主要是根據(jù)已有的安全漏洞知識庫， 檢測網(wǎng)絡(luò)協(xié)議、 網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備

28、、 應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。網(wǎng)絡(luò)掃描主要依靠帶有 安全漏洞知識庫的網(wǎng)絡(luò)安全掃描工具對系統(tǒng)進(jìn)行安全掃描，其特點是能對被 評估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線 運行的環(huán)境完全一致， 能較真實地反映系統(tǒng)所存在的安全隱患和面臨的安全 威脅。3.2.4. 滲透測試滲透測試，也叫白客攻擊測試，它是一種從攻擊者的角度來對主機系統(tǒng)的安 全程度進(jìn)行安全評估的手段，在對現(xiàn)有信息系統(tǒng)不造成任何損害的前提下， 模擬入侵者對指定系統(tǒng)進(jìn)行攻擊測試。滲透測試通常能以非常明顯，直觀的 結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。該方法也越來越受到國際 / 國內(nèi)信息安全業(yè) 界的認(rèn)可和重視。為

29、了解服務(wù)系統(tǒng)的安全現(xiàn)狀，在許可和控制的范圍內(nèi)，將 對應(yīng)用系統(tǒng)進(jìn)行滲透測試。滲透測試將作為安全評估的一個重要組成部分。 滲透測試是工具掃描和人工評估的重要補充。工具掃描具有很好的效率和速 度，但是存在一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試 需要投入的人力資源較大、對測試者的專業(yè)技能要求很高，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點3.3.服務(wù)評估范圍331技術(shù)評估評估類型評估范圍物理環(huán)境評估評估對象：物理環(huán)境基礎(chǔ)設(shè)施評估內(nèi)容：從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防 雷、電磁防護(hù)、通信線路的保護(hù)、機房區(qū)域防護(hù)、機房設(shè)備管理等 方面進(jìn)行識別評估。網(wǎng)絡(luò)結(jié)構(gòu)評

30、估評估對象：網(wǎng)絡(luò)及安全設(shè)備（交換機、路由器、防火墻、入侵檢測設(shè)、安全審 計等）評估內(nèi)容：從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策 略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別評估。主機及數(shù)據(jù)系統(tǒng)評估評估對象：操作及數(shù)據(jù)庫系統(tǒng)（Windows、Linux、Unix、 Oracle、informix、 ibm db2、sql server、my sql 等）評估內(nèi)容：從補丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審 計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等 方面進(jìn)行識別評估。應(yīng)用系統(tǒng)評估評估對象：應(yīng)用中間件（IIS、APACHE、TOMCAT、Weblogic等

31、）和應(yīng)用系統(tǒng)軟件評估內(nèi)容：從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識別評估。業(yè)務(wù)流程評估評估對象：業(yè)務(wù)流程評估內(nèi)容：依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估客戶的業(yè)務(wù)流程，識別客戶業(yè)務(wù)流程的安全隱患。表-23.3.2.管理評估評估類型評估范圍安全管理制度評估評估內(nèi)容：安全管理制度一般是文檔化的，被正式制定、評審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu) 成一個塔字結(jié)構(gòu)的文檔體系。對安全管理制度的制定、發(fā)布、 評審、修訂進(jìn)行評估。安全管理機構(gòu)評估評估內(nèi)容：安全管理機構(gòu)包括安全管理的崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作等方面內(nèi)容，嚴(yán)格的安全

32、管理應(yīng)該由 相對獨立的職能部門和崗位來完成。安全管理機構(gòu)從組織上保證了信息系統(tǒng)的安全。人員安全管理評估評估內(nèi)容：人員安全管理包括信息系統(tǒng)用戶、安全管理人員和第三方人員的管理，覆蓋人員錄用、人員離崗、人員考核、安 全意識教育和培訓(xùn)、第三方人員管理等方面內(nèi)容。工作人員直 接運行、管理和維護(hù)信息系統(tǒng)的各種設(shè)備、設(shè)施和相關(guān)技術(shù)手段，與他們直接發(fā)生關(guān)聯(lián)關(guān)系。因此，他們的知識結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的安全。系統(tǒng)建設(shè)管理評估系統(tǒng)建設(shè)管理包括系統(tǒng)定級、安全風(fēng)險分析、安全方案設(shè)計、 產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗 收、系統(tǒng)交付、安全測評、 系統(tǒng)備案等信息系統(tǒng)安全等級建設(shè)

33、的各個方面。信息系統(tǒng)的安全是一個過程，是一項工程，它不但涉及到當(dāng)前的運行狀態(tài)，而且還關(guān)系到信息系統(tǒng)安全建設(shè)的 各個階段。只有在信息系統(tǒng)安全建設(shè)的各個階段確保安全，才能使得運行中的信息系統(tǒng)有安全保證。系統(tǒng)運維管理評估系統(tǒng)運維管理包括運行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備使用管理、運行監(jiān)控管理、惡意代碼防護(hù)管理、網(wǎng)絡(luò)安全管理、 系統(tǒng)安全管理、密碼管理、變更管理、備份和恢復(fù)管理、安全 事件處置和應(yīng)急計劃管理等方面內(nèi)容。系統(tǒng)運維各個方面都直接關(guān)系到相關(guān)安全控制技術(shù)的正確、安全配置和合理使用。對信息系統(tǒng)運維各個方面提出具體的安全要求，可以為工作人員進(jìn)行正確管理和運行提供工作準(zhǔn)繩，直接影響到整個信息系統(tǒng)的

34、安全。表-3第4章信息安全服務(wù)產(chǎn)品流程4.1.服務(wù)流程藍(lán)圖資產(chǎn)評估報告技術(shù)脆弱識別管理脆弱識別控制措施識別脆弱性分析脆弱性賦,服務(wù)實施計劃風(fēng)險綜合識:風(fēng)險模型計風(fēng)險接收準(zhǔn)則風(fēng)險綜合評價安全目標(biāo)確定安全措施選擇實施內(nèi)容安排制定處置計劃威脅評估報告丿脆弱性評估報告風(fēng)險評估報告風(fēng)險處置計劃服務(wù)驗收報告階段1：服務(wù)啟動階段2：資產(chǎn)評估階段3:威脅評估階段4:脆弱性評估階段5：風(fēng)險分析階段6：處置計劃階段7：服務(wù)驗收項目實施風(fēng)險及規(guī)避措施服務(wù)管理（服務(wù)組織結(jié)構(gòu)、實施計劃、質(zhì)量管理、保密控制）圖-642服務(wù)流程階段4.2.1.服務(wù)啟動1）服務(wù)目標(biāo)風(fēng)險評估啟動是整個風(fēng)險評估過程有效性的保證。組織實施風(fēng)險評估

35、是一種 戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模 和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險評估實施前，應(yīng)確定風(fēng)險評估的目標(biāo)與范圍、 進(jìn)行系統(tǒng)調(diào)研、制定風(fēng)險評估計劃、獲得客戶管理者對風(fēng)險評估工作支持。2）服務(wù)內(nèi)容確定風(fēng)險評估的目標(biāo)與范圍根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識 別現(xiàn)有信息系統(tǒng)及管理上的不足， 以及可能造成的風(fēng)險大小。 風(fēng)險評估范圍可能 是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、 管理機構(gòu)， 也可能是某個獨立 的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。系統(tǒng)調(diào)研 系統(tǒng)調(diào)研是確定被評估對象的過程，風(fēng)險評估小組應(yīng)進(jìn)行充分

36、的系統(tǒng)調(diào)研， 為風(fēng)險評估依據(jù)和方法的選擇、 評估內(nèi)容的實施奠定基礎(chǔ)。 調(diào)研內(nèi)容至少應(yīng)包括： 業(yè)務(wù)戰(zhàn)略及管理制度、主要的業(yè)務(wù)功能和要求、 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境， 包括內(nèi)部 連接和外部連接、系統(tǒng)邊界、主要的硬件、軟件、數(shù)據(jù)和信息、系統(tǒng)和數(shù)據(jù)的敏 感性、支持和使用系統(tǒng)的人員、其他。制定風(fēng)險評估計劃風(fēng)險評估計劃的目的是為后面的風(fēng)險評估實施活動提供一個總體計劃， 用于 指導(dǎo)實施方開展后續(xù)工作。風(fēng)險評估計劃的內(nèi)容一般包括：團隊組織：包括評估團隊成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容； 工作計劃：風(fēng)險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成 果等內(nèi)容；時間進(jìn)度安排：項目實施的時間進(jìn)度安排。獲得支持 上述

37、所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險評估實施方案，得到客戶管理 者的支持、批準(zhǔn)； 對管理層和技術(shù)人員進(jìn)行傳達(dá)， 在組織范圍就風(fēng)險評估相關(guān)內(nèi) 容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。3) 成果輸出： 服務(wù)實施綜合計劃4.2.2. 資產(chǎn)評估1) 服務(wù)目標(biāo)對被評估信息系統(tǒng)的關(guān)鍵資產(chǎn)進(jìn)行識別，并合理分類；在資產(chǎn)識別過程 中，需要詳細(xì)識別關(guān)鍵資產(chǎn)的安全屬性，重點識別出資產(chǎn)在遭受泄密、中斷、 損害等破壞時所遭受的影響，并根據(jù)資產(chǎn)在遭受泄密、中斷、損害等破壞時所 遭受的影響，對資產(chǎn)的價值進(jìn)行賦值。2）服務(wù)內(nèi)容資產(chǎn)識別資產(chǎn)是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù) 或任務(wù)的重要性，這種

38、重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價值。信息系統(tǒng)資 可以分為硬件、軟件、數(shù)據(jù)、人員、服務(wù)、其他類資產(chǎn)等。資產(chǎn)分析在資產(chǎn)識別的基礎(chǔ)上，進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)在遭受泄 密、中斷、損害等破壞時對系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所產(chǎn)生的影響。并進(jìn)行賦值量化。從而為最后綜合風(fēng)險分析提供參考數(shù)據(jù)。資產(chǎn)賦值的過程也就是對資產(chǎn)在機密性、完整性和可用性上的達(dá)成程度進(jìn)行 分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。等級標(biāo)識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失。4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安

39、全屬性破壞后可能對組織造成較低的損失。1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計。表-43）階段成果輸出：資產(chǎn)賦值列表4.2.3.威脅評估1）服務(wù)目標(biāo)通過威脅調(diào)查、取樣等手段識別被評估信息系統(tǒng)的關(guān)鍵資產(chǎn)所面臨的威脅源，及其威脅所常采用的威脅方法， 對資產(chǎn)所產(chǎn)生的影響。并為后續(xù)威脅分析及 綜合風(fēng)險分析提供參考數(shù)據(jù)。2）服務(wù)內(nèi)容威脅識別 威脅識別要從威脅的主體、威脅途徑和威脅方式三個方面來進(jìn)行：威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為 惡意和非惡意兩種。環(huán)境因素包括自然災(zāi)害和設(shè)施故障。威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡(luò)訪問、語音、

40、視 頻訪問等形式，直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。威脅方式：主要有傳播計算機病毒、傳播異常信息（垃圾郵件、反動、色情、 敏感信息）、掃描監(jiān)聽、網(wǎng)絡(luò)攻擊（后門、漏洞、口令、拒絕服務(wù)等）、越權(quán)或濫 用、行為抵賴、濫用網(wǎng)絡(luò)資源（P2P下載等）、人為災(zāi)害（水、火等）、人為基礎(chǔ)設(shè) 施故障（電力、網(wǎng)絡(luò)等）、竊取、破壞硬件、軟件和數(shù)據(jù)等。威脅識別的方法有：人工審計、安全策略文檔審閱、人員面談、入侵檢測系 統(tǒng)收集的信息和人工分析等。威脅識別方法列表如下：編號威脅識別方法描述1訪談通過和資產(chǎn)所有人、負(fù)責(zé)管理人員進(jìn)行訪談2人工分析根據(jù)專家經(jīng)驗，從已知的數(shù)據(jù)中進(jìn)行分析3IDS通過入侵監(jiān)測系統(tǒng)在一段時間

41、內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事 件來獲得數(shù)據(jù)4人工審計通過人工審計方法來測試弱點，證實威脅5安全策略文檔分析安全策略文檔分析6安全審計通過一套審計問題列表問答的方式來分析弱點7事件記錄對已有歷史安全事件記錄進(jìn)仃分析表-5威脅分析在威脅識別的基礎(chǔ)上，進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法。 并依據(jù)其發(fā)生的可能性進(jìn)行賦值量化。 同時 為最后綜合風(fēng)險分析提供參考數(shù)據(jù)。威脅主要依據(jù)其出現(xiàn)頻率來賦值:等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或1次/周）；或在大多數(shù)情況下幾乎不可避免； 或可以證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較咼（或1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實

42、多次發(fā)生過。3中出現(xiàn)的頻率中等（或 1次/半年）；或在某種情況下可能會發(fā)生； 或被證實曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。表-63）階段成果輸出：威脅賦值列表4.2.4.脆弱評估1. 服務(wù)目標(biāo)采用安全掃描、手動檢查、問卷調(diào)查、人工問詢等方式對評估工作范圍內(nèi) 的物理環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用中間件系 統(tǒng)、應(yīng)用系統(tǒng)軟件和安全管理進(jìn)行脆弱性評估，同時為后續(xù)脆弱性分析及綜合 風(fēng)險分析提供參考數(shù)據(jù)。2. 階段服務(wù)內(nèi)容脆弱性識別脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以

43、資產(chǎn)為 核心，針對每一項需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱 性的嚴(yán)重程度進(jìn)行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別,然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn), 也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。脆弱性識別類型技術(shù)脆弱性識別內(nèi)容識別方法物理環(huán)境對信息系統(tǒng)所處的物理環(huán)境即機房、線路、 客戶端的支撐設(shè)施等進(jìn)行脆弱性識別，內(nèi)容 主要有：門禁系統(tǒng)、報警系統(tǒng)、監(jiān)控系統(tǒng)、 防雷擊接地、防靜電、UPS消防系統(tǒng)、防電磁泄露、弱電系統(tǒng)、防塵、溫室控制和機房 容災(zāi)備份等。問卷訪談人工審計網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)安全、訪問控制策略與措施、網(wǎng)絡(luò) 設(shè)備策略與配置、安全設(shè)備

44、策略與配置、網(wǎng) 絡(luò)性能與業(yè)務(wù)負(fù)載分析評估等。問卷訪談人工審計工具掃描主機及數(shù)據(jù)庫系統(tǒng)從補丁安裝、物理保護(hù)、用戶帳號、口令策 略、資源共享、事件審計、訪問控制、新系 統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理 等方面進(jìn)行識別評估。人工審計工具掃描應(yīng)用系統(tǒng)含應(yīng)用中間件，從審計機制、審計存儲、訪 問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、 密碼保護(hù)、腳本漏洞等方面進(jìn)行識別評估。人工審計工具掃描滲透測試業(yè)務(wù)流程業(yè)務(wù)數(shù)據(jù)流向（輸入、傳輸、存儲、輸出） 業(yè)務(wù)策略（業(yè)務(wù)要求、使用范圍、安全等級） 業(yè)務(wù)實現(xiàn)方式、業(yè)務(wù)安全要求、各時段業(yè)務(wù) 負(fù)載量、授權(quán)和認(rèn)證、審計、加密、完整性、 不可否認(rèn)性等進(jìn)行業(yè)務(wù)流程評估。問卷訪

45、談人工審計安全管理從以下幾方面分析被評估信息系統(tǒng)安全管理狀況：管理機構(gòu)、管理制度、人員管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理。問卷訪談表-7脆弱性分析在脆弱性識別的基礎(chǔ)上，進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)所存在的各方面脆弱性即基礎(chǔ)環(huán)境脆弱性、安全管理脆弱性、技術(shù)脆弱性。 并依據(jù)其脆弱 性被利用的難易程度和被成功利用后所產(chǎn)生的影響進(jìn)行賦值量化。 從而為最后綜 合風(fēng)險分析提供參考數(shù)據(jù)。脆弱性嚴(yán)重程度的賦值方法如下:等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害。4高如果被威脅利用，將對資產(chǎn)造成重大損害。3中如果被威脅利用，將對資產(chǎn)造成一般損害。2低如果被威脅利用，將對資產(chǎn)造成較小損害。1很低

46、如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。表-83.階段成果輸出：脆弱性賦值列表4.2.5. 風(fēng)險分析1) 服務(wù)目標(biāo)風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性， 導(dǎo)致資產(chǎn)的丟失或損害 的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在這個過程中，將 采用最新的方法進(jìn)行綜合分析， 表述出威脅源采用何種威脅方法， 利用了系統(tǒng)的 何種脆弱性，對哪一類資產(chǎn)， 產(chǎn)生了什么樣的影響， 并描述采取何種對策來防范 威脅，減少脆弱性。2) 服務(wù)內(nèi)容風(fēng)險計算在完成以上各項階段評估工作后， 進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn) 將面臨哪一方面的威脅及其所采用的威脅方法 , 利用了系統(tǒng)的何種脆弱性，對哪 一

47、類資產(chǎn)，產(chǎn)生了什么樣的影響， 并描述采取何種對策來防范威脅， 減少脆弱性， 同時將風(fēng)險量化。風(fēng)險計算方法：? 綜合風(fēng)險計算方法：? 根據(jù)風(fēng)險計算公式 R= f(A,V,T)=f(Ia,L(Va,T) ，? 即：風(fēng)險值=資產(chǎn)價值X威脅可能性X弱點嚴(yán)重性(注：R表示風(fēng)險；A表示資產(chǎn)；V表示脆弱性；T表示威脅；la表示資產(chǎn)發(fā)生安 全事件后對組織業(yè)務(wù)的影響(也稱為資產(chǎn)的重要程度)；Va表示某一資產(chǎn)本身的脆 弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。) 可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值，如矩陣法或相乘法。 矩陣法通過構(gòu)造一個二維矩陣， 形成安全事件的可能性與安全事件造成的損

48、失之 間的二維關(guān)系； 相乘法通過構(gòu)造經(jīng)驗函數(shù)， 將安全事件的可能性與安全事件造成 的損失進(jìn)行運算得到風(fēng)險值。風(fēng)險評價將估計的風(fēng)險與風(fēng)險準(zhǔn)則比較確定風(fēng)險的嚴(yán)重性。 為實現(xiàn)對風(fēng)險的控制與管 理，可以對風(fēng)險評估的結(jié)果進(jìn)行等級化處理?？蓪L(fēng)險劃分為五級，等級越高， 風(fēng)險越高。根據(jù)所采用的風(fēng)險計算方法，計算每種資產(chǎn)面臨的風(fēng)險值，根據(jù)風(fēng)險值的 分布狀況，為每個等級設(shè)定風(fēng)險值范圍，并對所有風(fēng)險計算結(jié)果進(jìn)行等級處理。 每個等級代表了相應(yīng)風(fēng)險的嚴(yán)重程度。每個等級代表了相應(yīng)風(fēng)險的嚴(yán)重程度。風(fēng) 險等級劃分方法如下所示：等級標(biāo)識描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟或社會影響， 如組織信譽嚴(yán)重破壞、嚴(yán)重影響組織的正常

49、經(jīng) 營，經(jīng)濟損失重大、社會影響惡劣。4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在一 定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害。3中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營 影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的 措施就能彌補。表-93）成果輸出：風(fēng)險評估綜合報告426.風(fēng)險處置1）服務(wù)目標(biāo)風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。2）服務(wù)內(nèi)容在分析階段完成之后，將根據(jù)風(fēng)險分析的結(jié)果，結(jié)合國家有關(guān)的法

50、律、法規(guī), 總結(jié)出客戶當(dāng)前的安全需求。根據(jù)安全需求的輕重緩急以及相關(guān)標(biāo)準(zhǔn)和安全技術(shù) 保障框架，制定出適合客戶的風(fēng)險處置計劃方案。風(fēng)險處理計劃中應(yīng)明確采取的彌補脆弱性的安全措施、預(yù)期效果、實施條 件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮。安 全措施的選擇與實施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范 圍。對某些資產(chǎn)的風(fēng)險， 如果風(fēng)險計算值在可接受的范圍內(nèi)， 則該風(fēng)險是可接受 的，應(yīng)保持已有的安全措施； 如果風(fēng)險評估值在可接受的范圍外， 即風(fēng)險計算值 高于可接受范圍的上限值，則該風(fēng)險是不可接受的，需要采取安全措施以降低

51、、 控制風(fēng)險。 另一種確定不可接受的風(fēng)險的辦法是根據(jù)等級化處理的結(jié)果， 不設(shè)定 可接受風(fēng)險值的基準(zhǔn)，對達(dá)到相應(yīng)等級的風(fēng)險都進(jìn)行處理 。3) 成果輸出： 風(fēng)險處置計劃4.2.7. 服務(wù)驗收1) 服務(wù)目標(biāo)在以上幾個階段完成后， 向客戶匯報風(fēng)險評估情況， 詳細(xì)介紹被評估信息系 統(tǒng)所面臨的風(fēng)險，清晰的表達(dá)所面臨的威脅狀況、威脅所利用的脆弱性、 產(chǎn)生的 影響等狀況，并在描述安全風(fēng)險之后表述出采取何種對策防范威脅、 減少脆弱性。 最后對項目依據(jù)驗收方案進(jìn)行項目最終驗收。2) 服務(wù)內(nèi)容交付簽收簽收是對交付品行為的確認(rèn)， 當(dāng)向客戶提交工作成果時，填寫 服務(wù)成果提 交確認(rèn)書，并由項目經(jīng)理認(rèn)可后客戶提供，同時為客

52、戶進(jìn)行成果匯報。服務(wù)驗收當(dāng)客戶履行內(nèi)部驗收程序，認(rèn)為提供的咨詢成果可以通過驗收后，填寫服 務(wù)驗收報告，由客戶項目負(fù)責(zé)人簽字后，表示服務(wù)成果已通過驗收。3) 階段成果輸出： 服務(wù)驗收報告4.3.服務(wù)流程管理4.3.1. 管理概述為確保服務(wù)的順利實施，需要一整套科學(xué)、有效的項目管理方法，對項目 的目標(biāo)、時間、成本、質(zhì)量等關(guān)鍵因素進(jìn)行有效的控制，為項目中具體任務(wù)的 開展提供支持和保障。信息安全擁有全球領(lǐng)先的項目實施和管理方法論- PMM4?采用此方法對項目進(jìn)行監(jiān)控與管理，能夠幫助項目經(jīng)理對項目整體進(jìn)行最充分的全局把握，有效提高工作效率并且更易于進(jìn)行項目質(zhì)量控制和項目風(fēng)險管理。PMM4從工作流程和關(guān)鍵領(lǐng)域兩個維度明確提供了項目管理過程中的主要工作過程和關(guān)注內(nèi) 容，并提供了大量的