第八期 風(fēng)險評估基本流程和技術(shù)方法

第八期風(fēng)險評估基本流程和技術(shù)方法第八期風(fēng)險評估基本流程和技術(shù)方法第八期風(fēng)險評估基本流程和技術(shù)方法xxx公司第八期風(fēng)險評估基本流程和技術(shù)方法文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設(shè)計，管理制度第八期風(fēng)險評估基本流程和技術(shù)方法一、風(fēng)險評估的基本實施流程是什么風(fēng)險評估的實施流程主要包括風(fēng)險評估準備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認、風(fēng)險分析和風(fēng)險評估文檔記錄七個階段（如圖所示）。二、開展風(fēng)險評估需要做哪些準備風(fēng)險評估準備是整個風(fēng)險評估過程有效性的保證。因此，在風(fēng)險評估實施前，應(yīng)：（1）確定風(fēng)險評估的目標；（2）確定風(fēng)險評估的范圍；（3）組建適當(dāng)?shù)脑u估管理與實施團隊；（4）進行系統(tǒng)調(diào)研；（5）確定評估依據(jù)和方法；（6）制定風(fēng)險評估方案；（7）獲得最高管理者對風(fēng)險評估工作的支持。三、如何進行資產(chǎn)識別保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。資產(chǎn)識別過程主要包括以下具體活動：（1）回顧評估范圍內(nèi)的業(yè)務(wù)。回顧這些信息的主要目的是讓資產(chǎn)識別人員對所評估的業(yè)務(wù)和應(yīng)用系統(tǒng)有一個大致的了解，為后續(xù)的資產(chǎn)識別活動做準備。（2）識別信息資產(chǎn)，進行合理分類。資產(chǎn)分類的目的是降低后續(xù)分析和賦值活動的工作量。（3）確定每類信息資產(chǎn)的安全需求?？梢詮谋Ｃ苄?、完整性和可用性三個方面對每個資產(chǎn)類別進行安全需求分析。（4）為每類信息資產(chǎn)的重要性賦值。在上述安全需求分析的基礎(chǔ)上，按照一定的方法確定資產(chǎn)的價值或重要程度等級。四、如何進行威脅識別威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。在對威脅進行分類前，應(yīng)考慮威脅的來源。威脅識別主要包括以下具體活動：（1）威脅識別。威脅識別包括實際威脅識別和潛在威脅識別。（2）威脅分類。對上述實際發(fā)生過的和潛在的威脅進行分類。（3）構(gòu)建威脅的場景。在上述工作基礎(chǔ)上，為每個或每類關(guān)鍵資源構(gòu)建威脅場景圖。（4）威脅賦值。對具體威脅或威脅類別進行賦值。五、如何進行脆弱性識別脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)，包括物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和管理五個方面。脆弱性識別主要包括以下具體活動：（1）脆弱性識別。通過掃描工具或手工等不同方式，識別當(dāng)前系統(tǒng)中存在的脆弱性。（2）識別結(jié)果整理與展示。在脆弱性識別階段，應(yīng)將脆弱性識別結(jié)果以合理的方式展現(xiàn)給被評估的組織。（3）脆弱性賦值。某些具體的風(fēng)險分析、計算方法，需要對脆弱性賦值，方能完成后續(xù)的風(fēng)險計算活動，因此，若有此需要，應(yīng)根據(jù)一定的賦值準則，對被識別的脆弱性進行賦值。六、如何識別與確認已有安全措施在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進行確認。安全措施的確認應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對確認為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。安全控制措施大致可以分為技術(shù)控制措施、管理和操作控制措施兩大類。（1）技術(shù)控制措施的識別與確認識別已有的技術(shù)控制措施，并對其有效性進行分析和確認。（2）管理和操作控制措施的識別與確認識別已有的管理和操作控制措施，并對其有效性進行分析和確認。七、如何進行風(fēng)險分析在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。風(fēng)險計算的原理是：風(fēng)險值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。為實現(xiàn)對風(fēng)險的控制與管理，可以對風(fēng)險評估的結(jié)果進行等級化處理，等級越高，風(fēng)險越高。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮。安全措施的選擇與實施應(yīng)參照信息安全的相關(guān)標準進行。在對不可接受的風(fēng)險選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進行再評估，以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。殘余風(fēng)險的評估可以依據(jù)本標準提出的風(fēng)險評估流程實施，也可做適當(dāng)裁減。某些風(fēng)險可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險的結(jié)果仍處于不可接受的風(fēng)險范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進一步增加相應(yīng)的安全措施。八、風(fēng)險評估的技術(shù)方法主要包括哪些在風(fēng)險評估的實施過程中，主要包括工具檢測、人工檢查、滲透性測試三大技術(shù)方法。1、工具檢測工具檢測是風(fēng)險評估的輔助手段，是保證風(fēng)險評估結(jié)果可信度的一個重要因素，在一定程度上解決了手動評估的局限性。脆弱性掃描工具是目前應(yīng)用最廣泛的風(fēng)險評估工具，主要完成操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全脆弱性檢測功能，目前常見的脆弱性掃描工具有以下幾種類型：a）基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運行，能夠檢測如防火墻錯誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。b）基于主機的掃描器：發(fā)現(xiàn)主機的操作系統(tǒng)、特殊服務(wù)和配置的細節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險，如密碼強度不夠，也可實施對文件系統(tǒng)的檢查。c）分布式網(wǎng)絡(luò)掃描器：由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構(gòu)成，用于企業(yè)級網(wǎng)絡(luò)的脆弱性評估，分布和位于不同的位置、城市甚至不同的國家。d）數(shù)據(jù)庫脆弱性掃描器：對數(shù)據(jù)庫的授權(quán)、認證和完整性進行詳細的分析，也可以識別數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。2、人工檢查考慮到風(fēng)險評估工具本身具有一定的風(fēng)險，同時還存在漏報和誤報的問題，對于可用性要求較高的重要系統(tǒng)進行風(fēng)險評估時，一般會采用人工檢查的方式。在進行具體的人工檢查活動前，應(yīng)準備風(fēng)險評估所需的各種檢查列表，并將檢查結(jié)果按要求進行詳細記錄。3、滲透性測試滲透性測試工具是根據(jù)脆弱性掃描工具