企業(yè)信息安全風(fēng)險評估方案

1、企業(yè)信息安全風(fēng)險評估方案知識域：信息安全風(fēng)險評估知識子域：風(fēng)險評估流程和方法掌握國家對開展風(fēng)險評估工作的政策要求理解風(fēng)險評估、檢查評估和等級保護測評之間的關(guān)系掌握風(fēng)險評估的實施流程：風(fēng)險評估準(zhǔn)備、資產(chǎn)識別、威脅評估、脆弱性評估、已有安全措施確認、風(fēng)險分析、風(fēng)險評估文檔記錄理解定量風(fēng)險分析和定性風(fēng)險分析的區(qū)別及優(yōu)缺點理解自評估和檢查評估的區(qū)別及優(yōu)缺點掌握典型風(fēng)險計算方法：年度損失值（ALE）、矩陣法、相乘法掌握風(fēng)險評估工具：風(fēng)險評估與管理工具、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具、風(fēng)險評估輔助工具2國家對開展風(fēng)險評估工作的政策要求1、國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）中

2、明確提出：“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進行相應(yīng)等級的安全建設(shè)和管理” 3國家對開展風(fēng)險評估工作的政策要求2、國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦【2006】5號文）中明確規(guī)定了風(fēng)險評估工作的相關(guān)要求：風(fēng)險評估的基本內(nèi)容和原則風(fēng)險評估工作的基本要求開展風(fēng)險評估工作的有關(guān)安排4關(guān)于開展信息安全風(fēng)險評估工作的意見的實施要求1、信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計階段，通過信息安全風(fēng)險評估工作，可以明確信息

3、系統(tǒng)的安全需求及其安全目標(biāo)，有針對性地制定和部署安全措施，從而避免產(chǎn)生欠保護或過保護的情況。2、在信息系統(tǒng)建設(shè)完成驗收時，通過風(fēng)險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達到預(yù)期的安全目標(biāo)。5關(guān)于開展信息安全風(fēng)險評估工作的意見的實施要求3、由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安全環(huán)境的變化，會不斷出現(xiàn)新的信息安全風(fēng)險，因此，在信息系統(tǒng)的運行階段，應(yīng)當(dāng)定期進行信息安全風(fēng)險評估，以檢驗安全措施的有效性以及對安全環(huán)境的適應(yīng)性。當(dāng)安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時，應(yīng)及時進行信息安全風(fēng)險評估。4、信息安全風(fēng)險評估也是落實等級保護制度的重要手段，

4、應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。6關(guān)于開展信息安全風(fēng)險評估工作的意見的管理要求1、信息安全風(fēng)險評估工作敏感性強，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險，意見強調(diào)，必須高度重視信息安全風(fēng)險評估的組織管理工作 2、為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險，意見提出以下要求：1）參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。2）風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。3

5、）對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進行。 7關(guān)于開展信息安全風(fēng)險評估工作的意見的管理要求3、加快制定和完善信息安全風(fēng)險評估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南等國家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)范。4、要加強信息安全風(fēng)險評估核心技術(shù)、方法和工具的研究與攻關(guān)。 5、要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，用三年左右的時間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工作，全面提高我國信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進我國信息化

6、發(fā)展服務(wù)。 82071號文件對電子政務(wù)提出要求3、為落實國家電子政務(wù)工程建設(shè)項目管理暫行辦法（發(fā)改委200755號令）對風(fēng)險評估的要求， 發(fā)改高技【2008】2071號文件關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知提出了具體要求：（相當(dāng)于“信息安全審計”）電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風(fēng)險評估工作評估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險的影響等項目建設(shè)單位應(yīng)在試運行期間開展風(fēng)險評估工作，作為項目驗收的重要依據(jù)項目驗收申請時，應(yīng)提交信息安全風(fēng)險評估報告系統(tǒng)投入運行后，應(yīng)定期開展信息安全風(fēng)險評估9風(fēng)險評估工作承擔(dān)單位國家保密局涉密信息系統(tǒng)安全保密測評中

7、心涉密系統(tǒng)非涉密系統(tǒng)中國信息安全測評中心國家信息技術(shù)安全研究中心公安部信息安全等級保護中心風(fēng)險評估專業(yè)隊伍10需要強調(diào)：一次測評兩個報告發(fā)改委要求：一次測評工作，提交兩個測評報告，即風(fēng)險評估報告和等保測評報告風(fēng)險評估報告的格式由中國信息安全測評中心和國家信息技術(shù)安全研究中心牽頭制定，基本格式參照原國信辦檢查評估的報告等保測評報告的格式由等級保護的主管部門負責(zé)制定11風(fēng)險評估、檢查評估和等級保護測評之間的關(guān)系等保測評、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評。而風(fēng)險評估是在國家、行業(yè)安全要求的基礎(chǔ)上，以被

8、評估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險識別、風(fēng)險分析、風(fēng)險評價活動。12風(fēng)險評估實施流程13風(fēng)險評估是“健康體檢+專項檢查”14資產(chǎn)威脅脆弱性現(xiàn)有控制措施人病毒身體情況預(yù)防措施風(fēng)險評估健康體檢風(fēng)險優(yōu)先級和風(fēng)險控制建議病情診斷和藥方 準(zhǔn)備 識別 計算 報告 一個簡化的風(fēng)險評估流程：準(zhǔn)備（Readiness）、識別（Realization）、 計算（Calculation）、報告（Report） 識別 資產(chǎn) 威脅 漏洞 準(zhǔn)備 資料審核 SLA 工作計劃 組隊 計算 威脅概率 事件影響 風(fēng)險定級 報告 整改建議 各類文檔 15 風(fēng)險評估準(zhǔn)備工作 準(zhǔn)備工作中要注意的問題 相親：前期交流（成功案例簡介、

9、測評機構(gòu)資質(zhì)簡介、被 測系統(tǒng) 大致規(guī)模、 測評服務(wù)費用測算） 訂婚：服務(wù)水平協(xié)議SLA（獲取詳細資料的前提，對方的 授權(quán)、 雙方的義務(wù)，可和保密協(xié)議整合） 甲方禮單：資料審核（明確系統(tǒng)范圍、為現(xiàn)場測評制訂問卷清單） 乙方禮單：工作計劃（案例分析 綜合組、管理組、網(wǎng)絡(luò)組） 迎親：進場準(zhǔn)備（進場通知，如對方或第三方人員；設(shè)備 準(zhǔn)備， 如工具等，標(biāo)識佩戴） 16 現(xiàn)場測評 17現(xiàn)場測評工作要注意的問題 首次會議（必須），聽取對方高管的情況簡介，向被測單位有關(guān)人員說明此次任務(wù)、測評計劃介紹、雙方測評人 員的相互認識 問詢技巧（直接提問，如業(yè)務(wù)重要性；間接提問，如安全 事件；反向提問，適合于所有方面）

10、資料核對（拓撲核對，管理體系文檔，設(shè)計文檔，設(shè)備臺 賬） 現(xiàn)場檢測（測試過程記錄、抓屏、數(shù)據(jù)提?。?末次會議（必須），向?qū)Ψ礁吖芎喴偨Y(jié)現(xiàn)場測評的初步結(jié)論，但切忌做最終結(jié)論 18資產(chǎn)識別 資產(chǎn)識別在整個風(fēng)險評估中起什么作用？ 兩點：是整個風(fēng)險評估工作的起點和終點 資產(chǎn)識別的重點和難點是什么？ 一線：業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特征（管理/技術(shù)） 資產(chǎn)識別的方法有哪些？ 資產(chǎn)分類：樹狀法。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù)逐步往下細化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 19按信息形態(tài)分類 資產(chǎn)識別2021威脅識別 威脅識別與資產(chǎn)識別是何關(guān)系？ 點和面：重點識別和全面識別 威脅識別的重

11、點和難點是什么？ 三問：“敵人”在哪兒？效果如何？如何取證？ 威脅識別的方法有哪些？ 日志分析歷史安全事件專家經(jīng)驗互聯(lián)網(wǎng)信息檢索威脅分類分為：人為故意威脅威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估人為非故意威脅判定威脅源、評估威脅源特點、評估威脅源環(huán)境、評估事故發(fā)生時間自然威脅地震、海嘯、洪水。2223脆弱性識別 脆弱性識別的難點是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 脆弱性識別的方法有哪些？ 脆弱性分類：管理脆弱性。 結(jié)構(gòu)脆弱性（如安全域劃分不當(dāng)），操作脆弱性（如安全審計員業(yè)務(wù)生疏）；技術(shù)脆弱性。 脆弱性識別與威脅識別是何關(guān)系？ 驗證：以資產(chǎn)為對象，對威脅識別進行驗證 脆弱性識

12、別內(nèi)容24常見脆弱性識別工作方式25脆弱性識別方式工作對象安全配置核查服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件漏洞掃描主機、應(yīng)用程序滲透測試系統(tǒng)各個層面安全架構(gòu)分析系統(tǒng)各個層面數(shù)據(jù)流分析網(wǎng)絡(luò)中的數(shù)據(jù)流訪談管理人員及系統(tǒng)開發(fā)、運維技術(shù)人員。現(xiàn)有安全控制措施識別考慮：防護性措施威懾性措施預(yù)警性措施檢測性措施應(yīng)急處理性措施26（二）風(fēng)險分析GB/T 20984-2007 信息安全風(fēng)險評估規(guī)范給出信息安全風(fēng)險分析思路 27風(fēng)險值=R（A，T，V）= R(L(T，V)，F(xiàn)(Ia，Va )。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性； Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱

13、性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。方法優(yōu)點缺點定性簡易的計算方式不必精確算出資產(chǎn)價值不需得到量化的威脅發(fā)生率非技術(shù)或非安全背景的員工也能輕易參與流程和報告形式比較有彈性本質(zhì)上是非常主觀的對關(guān)鍵資產(chǎn)的財務(wù)價值評估參考性較低缺乏對風(fēng)險降低的成本分析定量 1. 結(jié)果建立在獨立客觀的程序或量化指標(biāo)上大部分的工作集中在制定資產(chǎn)價值和減緩可能風(fēng)險主要目的是做成本效益的審核風(fēng)險計算方法復(fù)雜需要自動化工具及相當(dāng)?shù)幕A(chǔ)知識投入大個人難以執(zhí)行定量分析與定性分析28定量分析方法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和

14、間接影響步驟2-確定單一預(yù)期損失SLESLE 是指發(fā)生一次風(fēng)險引起的收入損失總額。 SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失。 （SLE 類似于定性風(fēng)險分析的影響。）將資產(chǎn)價值與暴露系數(shù)相乘 (EF) 計算出 SLE。暴露系數(shù)表示為現(xiàn)實威脅對某個資產(chǎn)造成的損失百分比。 步驟3-確定年發(fā)生率AROARO 是一年中風(fēng)險發(fā)生的次數(shù).29定量分析方法（續(xù)）步驟4-確定年預(yù)期損失ALE（財務(wù)價值*頻率）ALE 是不采取任何減輕風(fēng)險的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計算出該值。 ALE 類似于定量風(fēng)險分析的相對級別。步驟5-確定控制成本控制成本就

15、是為了規(guī)避企業(yè)所存在風(fēng)險的發(fā)生而應(yīng)投入的費用.步驟6-安全投資收益ROSI(實施控制前的 ALE）（實施控制后的 ALE）（年控制成本）= ROSI30后果或影響的定性量度（示例）等級描述 詳細情形 1可以忽略無傷害，低財務(wù)損失 2 較小立即受控制，中等財務(wù)損失 3 中等 受控，高財務(wù)損失 4 較大大傷害，失去生產(chǎn)能力有較大財務(wù)損失 5災(zāi)難性持續(xù)能力中斷，巨大財務(wù)損失定性分析方法31可能性的定性量度（示例）等級描述 詳細情形 A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生 B很可能在大多數(shù)情況下很可能會發(fā)生 C可能在某個時間可能會發(fā)生 D不太可能在某個時間能夠發(fā)生 E罕見僅在例外的情況下可能發(fā)生定性分析方法3

16、2風(fēng)險分析矩陣風(fēng)險程度 可能性 后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見）LLMHH E：極度風(fēng)險 H：高風(fēng)險 M：中等風(fēng)險 L: 低風(fēng)險定性分析方法33定性分析方法-矩陣法根據(jù)預(yù)設(shè)的等級劃分規(guī)則判定風(fēng)險結(jié)果。依此類推，得到所有重要資產(chǎn)的風(fēng)險值，并根據(jù)風(fēng)險等級劃分表，確定風(fēng)險等級。 34定性分析方法-相乘法（1）計算安全事件發(fā)生可能性威脅發(fā)生頻率：威脅T1=1；脆弱性嚴重程度：脆弱性V1=3。安全事件發(fā)生可能性=（2）計算安全事件的損失資產(chǎn)價值：資產(chǎn)A1=4；脆弱性嚴重程度：脆弱性V1=

17、3。計算安全事件的損失，安全事件損失=（3）計算風(fēng)險值安全事件發(fā)生可能性=2；安全事件損失=3。安全事件風(fēng)險值=（4）確定風(fēng)險等級 35定性分析與定量分析36方法優(yōu)點缺點定量按經(jīng)濟影響排列風(fēng)險優(yōu)先級；按經(jīng)濟價值排列資產(chǎn)價值風(fēng)險管理的效果以投資回報率衡量結(jié)果可用因管理而異的術(shù)語來表達（例如貨幣值和表達為具體百分比隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗，其精確度將隨時間的推移而提高 風(fēng)險影響值以參與者的主觀意見為基礎(chǔ)取得風(fēng)險一致意見的過程非常耗時。 計算可能會非常復(fù)雜且耗時。 風(fēng)險結(jié)果以財務(wù)術(shù)語表達，對非技術(shù)性人員而言可能難以解釋。 流程要求專業(yè)技術(shù)，因此參與者無法輕松通過流程獲得指導(dǎo)。定性風(fēng)險排名

18、具有可見性，易于理解。 更容易達成一致意見。 無需量化威脅發(fā)生頻率。 無需確定資產(chǎn)的財務(wù)價值。 更便于不是安全或計算機專家的人員參與。 重要風(fēng)險之間沒有顯著區(qū)別。因為沒有成本效益分析，很難證明控制措施的投資是合理的。 結(jié)果取決于風(fēng)險管理小組人員的主觀判斷。（三）風(fēng)險評估工作形式 信息安全風(fēng)險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結(jié)合、互為補充。自評估和檢查評估可依托自身技術(shù)力量進行，也可委托第三方機構(gòu)提供技術(shù)支持。37 風(fēng)險評估的工作形式自評估由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施。優(yōu)點：有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長有利于降低風(fēng)險評估的費用

19、有利于提高本單位的風(fēng)險評估能力與信息安全知識缺點可能由于缺乏風(fēng)險評估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。建議方法委托風(fēng)險評估服務(wù)技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風(fēng)險因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進行控制。38風(fēng)險評估的工作形式檢查評估檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險評估。 優(yōu)點：最具權(quán)威性。通過行政手

20、段加強信息安全的重要措施。缺點：間隔時間較長，一般是抽樣進行，難于貫穿信息系統(tǒng)的生命周期。39（四）風(fēng)險評估工具風(fēng)險評估與管理工具一套集成了風(fēng)險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進行模型分析。系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進行分析，或?qū)嵤┗诖嗳跣缘墓?。風(fēng)險評估輔助工具實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風(fēng)險評估各要素的賦值、定級提供依據(jù)。40知識域：信息安全風(fēng)險評估實踐知識子域：風(fēng)險分析實例了解典型信息系統(tǒng)風(fēng)險評估實

21、踐過程41評估依據(jù)國家標(biāo)準(zhǔn)規(guī)范XX行業(yè)安全要求GB/T 20274-2006 信息系統(tǒng)安全保障評估框架GB/T 20984-2007 信息安全風(fēng)險評估規(guī)范GB/T 18336-2001 信息技術(shù)安全性評估準(zhǔn)則xx系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)（試行稿）xx系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略xx系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險評估工作管理規(guī)定（試行稿）xx系統(tǒng)電子數(shù)據(jù)處理管理辦法（試行）首期網(wǎng)絡(luò)與信息安全防護體系運行管理辦法42評估范圍-被評估單位選擇本次風(fēng)險評估工作的對象為省級國家xx局及其兩個下屬的地市級國家xx局的信息系統(tǒng)直轄市： 市國家xx局+區(qū)國家xx局 北京市x局 海淀區(qū)x局省級： 省國家xx局+2地市x局 浙江省x局 杭州市x局 XX市x局單列市： 市國家xx局 寧波市x局 43評估范圍-評估對象選擇基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境內(nèi)網(wǎng)應(yīng)用橫向連接區(qū)域內(nèi)部業(yè)務(wù)互聯(lián)網(wǎng)服務(wù)44評估范圍-評估內(nèi)容信息資產(chǎn)數(shù)據(jù)系統(tǒng)主機系統(tǒng)安全系統(tǒng)應(yīng)用支撐系統(tǒng)應(yīng)用系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境業(yè)務(wù)系統(tǒng)安全管理45實施內(nèi)容評估準(zhǔn)備成立風(fēng)險評估團隊形成風(fēng)險評估方案：xx信息系統(tǒng)風(fēng)險評估技術(shù)方案形成統(tǒng)一的評估方法：檢測工具集和測試用例庫集成，評估標(biāo)準(zhǔn)、規(guī)范的學(xué)習(xí)工作。確定評估范