信息安全風(fēng)險(xiǎn)評(píng)估

***軟件有限公司信息平安風(fēng)險(xiǎn)評(píng)估指南編號(hào)：***狀態(tài)：受控編寫：***20**年**月**日審核：20**年**月**日批準(zhǔn)：20**年**月**日發(fā)布版次：第*/*版20**年**月**日生效日期：20**年**月**日變更記錄變更日期版本變更說(shuō)明編寫審核批準(zhǔn)20**-**-***/*初始版本***********

信息平安風(fēng)險(xiǎn)評(píng)估指南本指南在編制過(guò)程中主要依據(jù)了國(guó)家政策法規(guī)、技術(shù)標(biāo)準(zhǔn)、規(guī)范與管理要求、行業(yè)標(biāo)準(zhǔn)并得到了無(wú)錫新世紀(jì)信息科技有限公司的大力支持。1.1政策法規(guī)：《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的看法》（中辦發(fā)[2003]27號(hào)）《國(guó)家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組關(guān)于開展信息平安風(fēng)險(xiǎn)評(píng)估工作的看法》（國(guó)信辦[2006]5號(hào)）1.2國(guó)際標(biāo)準(zhǔn)：ISO/IEC17799：2005《信息平安管理實(shí)施指南》ISO/IEC27001：2005《信息平安管理體系要求》ISO/IECTR13335《信息技術(shù)平安管理指南》1.3國(guó)內(nèi)標(biāo)準(zhǔn)：《信息平安風(fēng)險(xiǎn)評(píng)估指南》（國(guó)信辦綜[2006]9號(hào)）《重要信息系統(tǒng)災(zāi)難復(fù)原指南》（國(guó)務(wù)院信息化工作辦公室2005年4月）GB17859—1999《計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)等級(jí)劃分準(zhǔn)則》GB/T183361-3：2001《信息技術(shù)平安性評(píng)估準(zhǔn)則》GB/T5271.8--2001《信息技術(shù)詞匯第8部分：平安》GB/T19715.1—2005《信息技術(shù)平安管理指南第1部分：信息技術(shù)平安概念和模型》GB/T19716—2005《信息平安管理好用規(guī)則》1.4其它《信息平安風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用》（國(guó)家863高技術(shù)探討發(fā)展安排資助項(xiàng)目(2004AA147070)）風(fēng)險(xiǎn)評(píng)估2.1、風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型風(fēng)險(xiǎn)評(píng)估的動(dòng)身點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析。下圖中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性，也是風(fēng)險(xiǎn)評(píng)估要素的一部分。風(fēng)險(xiǎn)評(píng)估的工作是圍繞其基本要素綻開的，在對(duì)這些要素的評(píng)估過(guò)程中須要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、平安事務(wù)、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類因素。如下模型表示了各因素的關(guān)系：風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型圖中這些要素之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略依靠于資產(chǎn)去完成；資產(chǎn)擁有價(jià)值，單位的業(yè)務(wù)戰(zhàn)略越重要，對(duì)資產(chǎn)的依靠度越高，資產(chǎn)的價(jià)值則就越大；資產(chǎn)的價(jià)值越大則風(fēng)險(xiǎn)越大；風(fēng)險(xiǎn)是由威逼發(fā)起的，威逼越大則風(fēng)險(xiǎn)越大，并可能演化成平安事務(wù)；威逼都要利用脆弱性，脆弱性越大則風(fēng)險(xiǎn)越大；脆弱性使資產(chǎn)暴露，是未被滿意的平安需求，威逼要通過(guò)利用脆弱性來(lái)危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；資產(chǎn)的重要性和對(duì)風(fēng)險(xiǎn)的意識(shí)會(huì)導(dǎo)出平安需求;平安需求要通過(guò)平安措施來(lái)得以滿意，且是有成本的；平安措施可以抗擊威逼，降低風(fēng)險(xiǎn)，減弱平安事務(wù)的影響；風(fēng)險(xiǎn)不行能也沒有必要降為零，在實(shí)施了平安措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn)，—部分殘余風(fēng)險(xiǎn)來(lái)自于平安措施可能不當(dāng)或無(wú)效，在以后須要接著限制這部分風(fēng)險(xiǎn)，另一部分殘余風(fēng)險(xiǎn)則是在綜合考慮了平安的成本與資產(chǎn)價(jià)值后，有意未去限制的風(fēng)險(xiǎn)，這部分風(fēng)險(xiǎn)是可以被接受的；殘余風(fēng)險(xiǎn)應(yīng)受到親密監(jiān)視，因?yàn)樗赡軙?huì)在將來(lái)誘發(fā)新的平安事務(wù)。2.2風(fēng)險(xiǎn)計(jì)算模型風(fēng)險(xiǎn)計(jì)算模型是對(duì)通過(guò)風(fēng)險(xiǎn)分析計(jì)算風(fēng)險(xiǎn)值的過(guò)程的抽象，它主要包括資產(chǎn)評(píng)估、威逼評(píng)估、脆弱性評(píng)估以及風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)計(jì)算模型如下圖所示：風(fēng)險(xiǎn)計(jì)算模型示意圖風(fēng)險(xiǎn)計(jì)算模型中包含：資產(chǎn)、威逼、脆弱性等基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威逼的屬性可以是威逼主體、影響對(duì)象、發(fā)生的可能性、動(dòng)機(jī)等；脆弱性的屬性是脆弱性被威逼利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)峻程度。2.3風(fēng)險(xiǎn)計(jì)算的過(guò)程如下：對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；對(duì)威逼進(jìn)行識(shí)別，描述威逼的屬性，并對(duì)威逼出現(xiàn)的頻率賦值；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)峻程度賦值；依據(jù)威逼及威逼利用弱點(diǎn)的難易程度推斷平安事務(wù)發(fā)生的可能性；依據(jù)脆弱性的嚴(yán)峻程度及平安事務(wù)所作用資產(chǎn)的價(jià)值計(jì)算平安事務(wù)的損失；依據(jù)平安事務(wù)發(fā)生的可能性以及平安事務(wù)的損失，計(jì)算平安事務(wù)一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。3風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程依據(jù)風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型，進(jìn)行風(fēng)險(xiǎn)評(píng)估須要分析評(píng)價(jià)各要素，依據(jù)各要素關(guān)系，風(fēng)險(xiǎn)評(píng)估的過(guò)程主要包括：風(fēng)險(xiǎn)評(píng)估的打算，即信息收集與整理、對(duì)資產(chǎn)、威逼、脆弱性的分析、已有實(shí)行平安措施的確認(rèn)以及風(fēng)險(xiǎn)評(píng)價(jià)等環(huán)節(jié)，風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程可用下圖表示：風(fēng)險(xiǎn)評(píng)估實(shí)施流程（見下頁(yè)）以下對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程中包括的具體步驟進(jìn)行具體描述：3.1風(fēng)險(xiǎn)評(píng)估的打算風(fēng)險(xiǎn)評(píng)估的打算過(guò)程是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效的保證和基礎(chǔ)。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、平安需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。否否是否風(fēng)險(xiǎn)評(píng)估流程框圖是風(fēng)險(xiǎn)評(píng)估的打算已有平安措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的限制措施施施施選擇適當(dāng)?shù)南拗拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識(shí)別威逼識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)識(shí)別評(píng)估過(guò)程文檔評(píng)估過(guò)程文檔風(fēng)險(xiǎn)評(píng)估結(jié)果記錄評(píng)估結(jié)果文檔…3.2資產(chǎn)價(jià)值3.2.1資產(chǎn)分類在一般的風(fēng)險(xiǎn)評(píng)估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)，網(wǎng)管系統(tǒng)，業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對(duì)于供應(yīng)多種業(yè)務(wù)的機(jī)構(gòu)，業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)量還可能會(huì)許多。這時(shí)首先須要將信息系統(tǒng)及其中的信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，才能在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估工作。在實(shí)際項(xiàng)目中，具體的資產(chǎn)分類方法可以依據(jù)具體環(huán)境，由評(píng)估者來(lái)敏捷把握。依據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型，表3.2為一個(gè)資產(chǎn)分類示例。分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、安排、報(bào)告、用戶手冊(cè)等軟件系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)言包、工具軟件、各種庫(kù)等應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等平安保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施供應(yīng)的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依靠該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展安排等人員駕馭重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象，客戶關(guān)系等表3.2資產(chǎn)種類資產(chǎn)識(shí)別方式及階段成果：在資產(chǎn)識(shí)別過(guò)程中，本公司信息平安管理委員會(huì)可以通過(guò)問卷調(diào)查、人員問詢的方式識(shí)別每一項(xiàng)資產(chǎn)，在本階段結(jié)束后本公司信息平安管理委員會(huì)將向信息系統(tǒng)全部者供應(yīng)《資產(chǎn)識(shí)別清單》，清單中應(yīng)明確各資產(chǎn)的負(fù)責(zé)人/部門，并由信息系統(tǒng)全部者進(jìn)行書面確認(rèn)。3.2.2資產(chǎn)賦值本指南所指資產(chǎn)賦值是對(duì)資產(chǎn)平安價(jià)值的估價(jià)，而不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的平安重要性，即依據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)確定。為確保資產(chǎn)估價(jià)時(shí)的一樣性和精確性，本公司信息平安管理委員會(huì)應(yīng)依據(jù)上述原則，建立一個(gè)資產(chǎn)價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)），以明確如何對(duì)資產(chǎn)進(jìn)行賦值。資產(chǎn)估價(jià)的過(guò)程也就是對(duì)資產(chǎn)機(jī)密性、完整性和可用性影響分析的過(guò)程。影響就是由人為或突發(fā)性引起的平安事務(wù)對(duì)資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其丟失機(jī)密性、完整性和可用性，最終還會(huì)導(dǎo)致財(cái)產(chǎn)損失、市場(chǎng)份額或公司形象的損失。特殊重要的是，即使每一次影響引起的損失并不大，但長(zhǎng)期積累的眾多意外事務(wù)的影響總和則可造成嚴(yán)峻損失。一般狀況下，影響主要從以下幾方面來(lái)考慮：違反了有關(guān)法律或（和）規(guī)章制度影響了業(yè)務(wù)執(zhí)行造成了信譽(yù)、聲譽(yù)損失侵?jǐn)_了個(gè)人隱私造成了人身?yè)p害對(duì)法律實(shí)施造成了負(fù)面影響侵?jǐn)_了商業(yè)機(jī)密違反了社會(huì)公共準(zhǔn)則造成了經(jīng)濟(jì)損失破壞了業(yè)務(wù)活動(dòng)危害了公共平安資產(chǎn)平安屬性的不同通常也意味著平安限制、愛護(hù)功能需求的不同。風(fēng)險(xiǎn)評(píng)估小組應(yīng)當(dāng)通過(guò)考察三種不同平安屬性，能夠基本反映資產(chǎn)的價(jià)值。機(jī)密性賦值依據(jù)資產(chǎn)機(jī)密性屬性的不同，將它分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性方面的價(jià)值或者在機(jī)密性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響。賦值標(biāo)識(shí)定義5極高包含組織最重要的機(jī)密，關(guān)系組織將來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著確定性影響，假如泄漏會(huì)造成災(zāi)難性的損害4高包含組織的重要隱私，其泄露會(huì)使組織的平安和利益遭遇嚴(yán)峻損害3中等組織的一般性隱私，其泄露會(huì)使組織的平安和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴(kuò)散有可能對(duì)組織的利益造成稍微損害1很低可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等表3.3資產(chǎn)機(jī)密性賦值完整性賦值依據(jù)資產(chǎn)完整性屬性的不同，將它分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性方面的價(jià)值或者在完整性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響。賦值標(biāo)識(shí)定義5極高完整性價(jià)值特別關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大的或無(wú)法接受、特殊不愿接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)峻的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)峻，比較難以彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成稍微影響，可以忍受，對(duì)業(yè)務(wù)沖擊稍微，簡(jiǎn)潔彌補(bǔ)1很低完整性價(jià)值特別低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成的影響可以忽視，對(duì)業(yè)務(wù)沖擊可以忽視。表3.4資產(chǎn)完整性賦值資產(chǎn)可用性賦值依據(jù)資產(chǎn)可用性屬性的不同，將它分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)整個(gè)評(píng)估系統(tǒng)的影響。賦值標(biāo)識(shí)定義5極高可用性價(jià)值特別高，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘3中等可用性價(jià)值中等，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到90%以上，或系統(tǒng)允許中斷時(shí)間小于30分鐘2低可用性價(jià)值較低，合法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60分鐘1可忽視可用性價(jià)值可以忽視，法運(yùn)用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%。表3.5資產(chǎn)可用性賦值3.2.3資產(chǎn)重要性等級(jí)最終資產(chǎn)價(jià)值可以通過(guò)違反資產(chǎn)的機(jī)密性、完整性和可用性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采納定性的相對(duì)等級(jí)的方式。與以上平安屬性的等級(jí)相對(duì)應(yīng)，資產(chǎn)價(jià)值的等級(jí)可分為五級(jí)，從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大，資產(chǎn)越重要。由于資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)機(jī)密性、完整性、可用性的賦值級(jí)別經(jīng)過(guò)綜合評(píng)定得出的，本標(biāo)準(zhǔn)的評(píng)定準(zhǔn)則選擇“最高的屬性級(jí)別”為綜合資產(chǎn)賦值準(zhǔn)則的方法。當(dāng)然，風(fēng)險(xiǎn)評(píng)估小組也可以依據(jù)被評(píng)估系統(tǒng)的實(shí)際狀況自定義資產(chǎn)的等級(jí)，但該評(píng)定方法必需在事先得到信息系統(tǒng)全部者認(rèn)可。等級(jí)標(biāo)識(shí)資產(chǎn)價(jià)值定義5很高特別重要，其平安屬性破壞后可能對(duì)組織造成特別嚴(yán)峻的損失4高重要，其平安屬性破壞后可能對(duì)組織造成比較嚴(yán)峻的損失3中比較重要，其平安屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其平安屬性破壞后可能對(duì)組織造成較低的損失1很低不重要，其平安屬性破壞后可能對(duì)組織造成很小的損失，甚至忽視不計(jì)表3.6資產(chǎn)重要性等級(jí)劃分表階段成果：風(fēng)險(xiǎn)評(píng)估小組確定在信息平安方面對(duì)組織業(yè)務(wù)發(fā)展（考慮相關(guān)方要求）起到關(guān)鍵作用的資產(chǎn)，依據(jù)本規(guī)則，對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值與計(jì)算，并依據(jù)資產(chǎn)賦值結(jié)果得出《重要資產(chǎn)清單》，該清單一般應(yīng)包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門，應(yīng)依據(jù)預(yù)先制定的規(guī)則，對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值與計(jì)算。在本階段結(jié)束時(shí)應(yīng)由本公司信息平安管理委員會(huì)向信息系統(tǒng)全部者供應(yīng)《重要資產(chǎn)清單》，并由信息系統(tǒng)全部者進(jìn)行書面確認(rèn)，然后主要圍繞重要資產(chǎn)綻開以下實(shí)施步驟。資產(chǎn)識(shí)別階段小結(jié)如表3.7所示：資產(chǎn)識(shí)別階段工作任務(wù)依據(jù)資產(chǎn)的表現(xiàn)形式對(duì)資產(chǎn)進(jìn)行分類；依據(jù)對(duì)資產(chǎn)平安價(jià)值的估價(jià)對(duì)資產(chǎn)進(jìn)行三性（機(jī)密性、完整性、可用性）賦值；依據(jù)資產(chǎn)賦值結(jié)果，采納“最高的屬性級(jí)別”法評(píng)價(jià)出重要資產(chǎn)。工作方式問卷調(diào)查、人員問詢參加人員信息系統(tǒng)全部者項(xiàng)目負(fù)責(zé)人及相關(guān)技術(shù)人員，評(píng)估小組階段成果《資產(chǎn)識(shí)別清單》、《重要資產(chǎn)清單》表3.7資產(chǎn)識(shí)別階段小結(jié)3.3威逼識(shí)別平安威逼是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事務(wù)。無(wú)論對(duì)于多么平安的信息系統(tǒng)，平安威逼是一個(gè)客觀存在的事物，它是風(fēng)險(xiǎn)評(píng)估的重要因素之一。產(chǎn)生平安威逼的主要因素可以分為人為因素和環(huán)境因素。人為因素又可區(qū)分為惡意和非惡意兩種。環(huán)境因素包括自然界的不行抗的因素和其它物理因素。威逼作用形式可以是對(duì)信息系統(tǒng)干脆或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。也可能是偶發(fā)的、或蓄意的事務(wù)。一般來(lái)說(shuō)，威逼總是要利用網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或數(shù)據(jù)的弱點(diǎn)才可能勝利地對(duì)資產(chǎn)造成損害。平安事務(wù)及其后果是分析威逼的重要依據(jù)。但是有相當(dāng)一部分威逼發(fā)生時(shí)，由于未能造成后果，或者沒有意識(shí)到，而被平安管理人員忽視。這將導(dǎo)致對(duì)平安威逼的相識(shí)出現(xiàn)偏差。在威逼識(shí)別過(guò)程中，本公司信息平安管理委員會(huì)通過(guò)問卷調(diào)查、人員問詢的方式對(duì)信息系統(tǒng)全部者須要愛護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威逼識(shí)別，并依據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭遇威逼損害的狀況來(lái)推斷威逼的程度。一項(xiàng)資產(chǎn)可能面臨著多個(gè)威逼，同樣一個(gè)威逼可能對(duì)不同的資產(chǎn)造成影響。3.3.1威逼分類分析存在哪些威逼種類，首先要考慮威逼的來(lái)源，信息系統(tǒng)的平安威逼來(lái)源可參考如下表。威逼來(lái)源威逼來(lái)源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)難；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采納自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲得利益。外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲得利益或炫耀實(shí)力。非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)切和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。表3.8威逼來(lái)源列表對(duì)平安威逼進(jìn)行分類的方式有多種多樣，針對(duì)上表威逼來(lái)源，可以將威逼分為以下種類。威逼種類威逼描述威逼子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響。設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)難無(wú)作為或操作失誤由于應(yīng)當(dāng)執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無(wú)意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成的影響。維護(hù)錯(cuò)誤、操作失誤管理不到位平安管理無(wú)法落實(shí)，不到位，造成平安管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。惡意代碼和病毒具有自我復(fù)制、自我傳播實(shí)力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件越權(quán)或?yàn)E用通過(guò)采納一些措施，超越自己的權(quán)限訪問了原來(lái)無(wú)權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露隱私信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)，例如偵察、密碼破譯、安裝后門、嗅探、偽造和欺瞞、拒絕服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺瞞、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的限制和破壞物理攻擊通過(guò)物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄漏給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性，使系統(tǒng)的平安性降低或信息不行用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改平安配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴表3.9：威逼種類列表3.3.2威逼賦值評(píng)估確定威逼發(fā)生的可能性是威逼評(píng)估階段的重要工作，評(píng)估者采納閱歷法推斷法，參考有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)推斷威逼發(fā)生的頻率或者發(fā)生的概率。其中，威逼發(fā)生的可能性受以下因素影響：資產(chǎn)的吸引力；資產(chǎn)轉(zhuǎn)化成酬勞的難易程度；威逼的技術(shù)力氣；脆弱性被利用的難易程度。操作過(guò)程中，威逼的可能性賦值，除了考慮上面幾個(gè)因素，還須要參考下面三方面的資料和信息來(lái)源，如這些資料或者信息能夠供應(yīng)具體數(shù)值的，則這些數(shù)值就是在特定評(píng)估環(huán)境中各種威逼發(fā)生的可能性。通過(guò)過(guò)去的平安事務(wù)報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過(guò)的威逼和其發(fā)生頻率；在評(píng)估體實(shí)際環(huán)境中，通過(guò)IDS（IntrusionDetectionSystems，入侵檢測(cè)系統(tǒng)）獲得的威逼發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析，各種日志中威逼發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；過(guò)去一年或兩年來(lái)國(guó)際機(jī)構(gòu)發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)平安威逼發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。威逼的評(píng)估就是針對(duì)重要信息資產(chǎn)，比對(duì)威逼來(lái)源列表和種類列表后得到的威逼列表，依據(jù)閱歷對(duì)列表中的威逼發(fā)生可能性進(jìn)行的評(píng)估。最終威逼的賦值依照威逼賦值表采納定性的相對(duì)等級(jí)的方式。威逼的等級(jí)劃分為五級(jí)，從1到5分別代表五個(gè)級(jí)別的威逼發(fā)生可能性。等級(jí)數(shù)值越大，威逼發(fā)生的可能性越大。當(dāng)然，評(píng)估者也可以依據(jù)被評(píng)估系統(tǒng)的實(shí)際狀況自定義威逼的等級(jí)，但該評(píng)定方法必需在事先得到信息系統(tǒng)全部者認(rèn)可。等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周），或在大多數(shù)狀況下幾乎不行避開；或可以證明常常發(fā)生過(guò)。4高出現(xiàn)的頻率較高（或≥1次/月），或在大多數(shù)狀況下很有可能會(huì)發(fā)生；或可以證明多次發(fā)生過(guò)。3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種狀況下可能會(huì)發(fā)生；或被證明曾經(jīng)發(fā)生過(guò)。2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生；或沒有被證明發(fā)生過(guò)。1很低威逼幾乎不行能發(fā)生，僅可能在特別罕見和例外的狀況下發(fā)生。表3.10：威逼賦值表階段成果：在本階段結(jié)束后本公司信息平安管理委員會(huì)應(yīng)依據(jù)組織的重要信息資產(chǎn)、環(huán)境等因素，形成威逼的分類方法及具體的威逼列表，并向信息系統(tǒng)全部者供應(yīng)《威逼列表》，為風(fēng)險(xiǎn)評(píng)估供應(yīng)支持（可附在風(fēng)險(xiǎn)評(píng)估程序中，也可單獨(dú)形成文件）。《威逼列表》通常包括威逼名稱、種類、來(lái)源、動(dòng)機(jī)及出現(xiàn)的頻率等，須由信息系統(tǒng)全部者書面確認(rèn)。威逼識(shí)別階段小結(jié)如表3.11所示：威逼識(shí)別階段工作任務(wù)對(duì)信息系統(tǒng)全部者須要愛護(hù)的每一項(xiàng)重要信息資產(chǎn)進(jìn)行威逼識(shí)別；推斷威逼發(fā)生的頻率或者發(fā)生的概率，進(jìn)行威逼賦值。工作方式問卷調(diào)查、人員問詢參加人員信息系統(tǒng)全部者項(xiàng)目負(fù)責(zé)人及相關(guān)技術(shù)人員，評(píng)估小組階段成果《信息平安風(fēng)險(xiǎn)評(píng)估表》中的威逼識(shí)別部分表3.11威逼識(shí)別階段小結(jié)3.4脆弱性識(shí)別脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性識(shí)別也稱為弱點(diǎn)識(shí)別，是風(fēng)險(xiǎn)評(píng)估中重要的內(nèi)容。弱點(diǎn)是資產(chǎn)本身固有的缺陷，任何一種資產(chǎn)均具有脆弱性，并非“不合格”品，它可以被威逼利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。值得留意的是，弱點(diǎn)雖然是資產(chǎn)本身固有的，但它本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威逼利用而造成資產(chǎn)損失。所以假如沒有相應(yīng)的威逼發(fā)生，單純的弱點(diǎn)并不會(huì)對(duì)資產(chǎn)造成損害。那些沒有平安威逼的弱點(diǎn)可以不須要實(shí)施平安愛護(hù)措施，但它們必需記錄下來(lái)以確保當(dāng)環(huán)境、條件有所變更時(shí)能隨之加以變更。須要留意的是不正確的、起不到應(yīng)有作用的或沒有正的確施的平安愛護(hù)措施本身就可能是一個(gè)平安薄弱環(huán)節(jié)。脆弱性識(shí)別將針對(duì)每一項(xiàng)須要愛護(hù)的信息資產(chǎn)，找出每一種威逼所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)峻程度進(jìn)行評(píng)估，即對(duì)脆弱性被威逼利用的可能性進(jìn)行評(píng)估，最終為其賦相應(yīng)等級(jí)值。在進(jìn)行脆弱性評(píng)估時(shí)，供應(yīng)的數(shù)據(jù)應(yīng)當(dāng)來(lái)自于這些資產(chǎn)的擁有者或運(yùn)用者，來(lái)自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。3.4.1脆弱性識(shí)別內(nèi)容脆弱性的識(shí)別可以以資產(chǎn)為核心，即依據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性；也可以分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威逼結(jié)合起來(lái)。脆弱性主要從技術(shù)和管理兩個(gè)方面進(jìn)行評(píng)估，涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等各個(gè)層面的平安問題。表3.12列出了脆弱性的分類。脆弱性分類名稱包含內(nèi)容技術(shù)和操作脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的愛護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界愛護(hù)、外部訪問限制策略、內(nèi)部訪問限制策略、網(wǎng)絡(luò)設(shè)備平安配置等方面進(jìn)行識(shí)別。系統(tǒng)環(huán)境（含操作系統(tǒng)及系統(tǒng)服務(wù)）從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問限制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份復(fù)原機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。應(yīng)用中間件從協(xié)議平安、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問限制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼愛護(hù)等方面進(jìn)行識(shí)別操作方面軟件和系統(tǒng)在配置、操作、運(yùn)用中的缺陷，包括人員日常工作中的不良習(xí)慣，審計(jì)或備份的缺乏進(jìn)行識(shí)別。管理脆弱性技術(shù)管理從物理和環(huán)境平安、通信與操作管理、訪問限制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從平安策略、組織平安、資產(chǎn)分類與限制、人員平安、符合性等方面進(jìn)行識(shí)別表3.12脆弱性分類脆弱性的分類具體描述如下：物理平安信息系統(tǒng)的物理平安是指包括計(jì)算機(jī)、網(wǎng)絡(luò)在內(nèi)的全部與信息系統(tǒng)平安相關(guān)的環(huán)境、設(shè)備、存儲(chǔ)介質(zhì)的平安。物理平安的評(píng)估內(nèi)容包括：物理環(huán)境平安包括機(jī)房物理位置的選擇、防火、防水和防潮、防靜電、防雷擊、電磁防護(hù)、溫濕度限制、電力供應(yīng)、物理訪問限制等。設(shè)備平安包括設(shè)備選購(gòu) 、安裝、訪問、廢棄等方面的平安。存儲(chǔ)介質(zhì)平安包括介質(zhì)管理、運(yùn)用、銷毀等方面的平安。網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安是指包括路由器、交換機(jī)、通信線路在內(nèi)的，及由其組成信息系統(tǒng)網(wǎng)絡(luò)環(huán)境的平安。網(wǎng)絡(luò)平安的評(píng)估內(nèi)容包括：網(wǎng)絡(luò)邊界平安；網(wǎng)絡(luò)系統(tǒng)平安設(shè)計(jì)；網(wǎng)絡(luò)設(shè)備平安功能及運(yùn)用；網(wǎng)絡(luò)訪問限制；網(wǎng)絡(luò)平安檢測(cè)分析；網(wǎng)絡(luò)連接；網(wǎng)絡(luò)可用性。系統(tǒng)環(huán)境中主機(jī)平安主機(jī)平安主要是指基于主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及應(yīng)用平臺(tái)層面的平安，對(duì)主機(jī)平安的評(píng)估內(nèi)容包括：賬號(hào)平安；文件系統(tǒng)平安；網(wǎng)絡(luò)（系統(tǒng)）服務(wù)平安；系統(tǒng)訪問限制；日志及監(jiān)控審計(jì)；拒絕服務(wù)愛護(hù)；補(bǔ)丁管理；病毒及惡意代碼防護(hù)；系統(tǒng)備份與復(fù)原；數(shù)據(jù)庫(kù)賬號(hào)平安；數(shù)據(jù)庫(kù)訪問限制；數(shù)據(jù)庫(kù)存儲(chǔ)過(guò)程平安;數(shù)據(jù)庫(kù)備份與復(fù)原；數(shù)據(jù)庫(kù)系統(tǒng)日志審計(jì)。應(yīng)用平安應(yīng)用平安主要是指應(yīng)用系統(tǒng)設(shè)計(jì)、開發(fā)平安。對(duì)應(yīng)用平安的評(píng)估內(nèi)容包括：應(yīng)用系統(tǒng)架構(gòu)與設(shè)計(jì)平安身份鑒別；訪問限制；交易的平安性；數(shù)據(jù)的平安性；密碼支持；異樣處理；備份與故障復(fù)原；平安審計(jì)；資源利用；平安管理。應(yīng)用系統(tǒng)實(shí)現(xiàn)平安賬戶平安；輸入合法性檢測(cè)；口令揣測(cè)；應(yīng)用層拒絕服務(wù)（DOS）。B/S應(yīng)用實(shí)現(xiàn)平安網(wǎng)站探測(cè)；已知漏洞攻擊；參數(shù)操控；跨站腳本；指令注入；HTTP方法利用。管理平安管理平安主要包括組織架構(gòu)、平安策略、平安運(yùn)行制度等方面，其評(píng)估的內(nèi)容包括：組織和人員平安；平安評(píng)估；第三方組織與外包平安；信息資產(chǎn)分類、分級(jí)；日常操作與維護(hù)管理；變更；備份與故障復(fù)原；應(yīng)急處理；業(yè)務(wù)持續(xù)性管理；認(rèn)證/認(rèn)可。3.4.2脆弱性識(shí)別方法脆弱性識(shí)別所采納的方法主要為：?jiǎn)柧碚{(diào)查、人員問詢、工具掃描、手動(dòng)檢查、文檔審查、滲透測(cè)試等。脆弱性識(shí)別在技術(shù)方面主要是通過(guò)遠(yuǎn)程和本地兩種方式進(jìn)行系統(tǒng)測(cè)試、對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)等進(jìn)行人工檢查，以保證技術(shù)脆弱性評(píng)估的全面性和有效性。通常狀況下包括現(xiàn)場(chǎng)手工檢查與審核、設(shè)備工具測(cè)試、滲透測(cè)試等活動(dòng)，這些活動(dòng)都是為了發(fā)覺資產(chǎn)的弱點(diǎn)。為了不影響業(yè)務(wù)的開展，削減評(píng)估帶來(lái)的風(fēng)險(xiǎn)，本標(biāo)準(zhǔn)規(guī)定：本公司信息平安管理委員會(huì)必需事先書面說(shuō)明自動(dòng)工具掃描或滲透測(cè)試的風(fēng)險(xiǎn)和不行復(fù)原性，除非得到信息系統(tǒng)全部者的書面認(rèn)可，不得進(jìn)行自動(dòng)工具掃描或滲透測(cè)試。此外，脆弱性識(shí)別進(jìn)行平安檢查與測(cè)試時(shí)會(huì)涉及被檢測(cè)對(duì)象的核心隱私，如：系統(tǒng)配置、平安漏洞等，具有肯定的風(fēng)險(xiǎn)，在實(shí)施這些檢測(cè)活動(dòng)前須要獲得相關(guān)部門的授權(quán)，明確檢測(cè)時(shí)間、檢測(cè)對(duì)象、本公司信息平安管理委員會(huì)與信息系統(tǒng)全部者雙方的權(quán)利、責(zé)任與義務(wù)，并簽字認(rèn)可。平安檢查與測(cè)試的方法主要如下：手工平安檢測(cè)參照重要資產(chǎn)清單，運(yùn)用檢查表（Checklist）逐一手工檢查測(cè)試服務(wù)或系統(tǒng)類資產(chǎn)的管理或技術(shù)弱點(diǎn)，包括：網(wǎng)絡(luò)設(shè)備（路由器/交換機(jī)等）平安檢測(cè)、操作系統(tǒng)/服務(wù)平安檢測(cè)、數(shù)據(jù)庫(kù)管理系統(tǒng)平安檢測(cè)、應(yīng)用系統(tǒng)平安檢測(cè)、平安設(shè)備（防火墻等）平安檢測(cè)等。須要留意的是，由于業(yè)務(wù)信息、軟件、硬件資產(chǎn)本身存在弱點(diǎn)無(wú)法變更，因此對(duì)這三類資產(chǎn)只針對(duì)資產(chǎn)所處環(huán)境進(jìn)行弱點(diǎn)檢測(cè)，如：對(duì)硬件設(shè)備物理環(huán)境弱點(diǎn)檢測(cè)，對(duì)軟件處應(yīng)用平臺(tái)、傳輸網(wǎng)絡(luò)環(huán)境進(jìn)行弱點(diǎn)檢測(cè)等。為了保證手工平安檢測(cè)的順當(dāng)完成，本公司信息平安管理委員會(huì)事前須要制定具體的實(shí)施安排，在檢測(cè)完成后要形成平安檢測(cè)報(bào)告。設(shè)備工具測(cè)試參照重要資產(chǎn)清單，運(yùn)用設(shè)備及測(cè)試工具逐一比對(duì)資產(chǎn)的配置或技術(shù)弱點(diǎn)，包括網(wǎng)絡(luò)平安測(cè)試、系統(tǒng)平安測(cè)試、數(shù)據(jù)庫(kù)平安測(cè)試、應(yīng)用平安測(cè)試等。由于儀器設(shè)備在測(cè)試過(guò)程中具有肯定的攻擊性，因此須要審慎實(shí)施測(cè)試活動(dòng)，包括嚴(yán)格規(guī)定測(cè)試的時(shí)間/范圍/內(nèi)容等，并作好應(yīng)急打算，使測(cè)試活動(dòng)對(duì)業(yè)務(wù)的影響降到最低。為了保證設(shè)備工具測(cè)試的順當(dāng)完成，本公司信息平安管理委員會(huì)事前須要制定具體的測(cè)試安排和突發(fā)平安事務(wù)的應(yīng)急處理安排，并得到信息系統(tǒng)全部者的許可。在測(cè)試完成后要匯總測(cè)試報(bào)告。滲透測(cè)試滲透測(cè)試是模擬黑客行為對(duì)目標(biāo)對(duì)象進(jìn)行入侵，目的是發(fā)覺目標(biāo)對(duì)象的管理與技術(shù)弱點(diǎn)以及這些弱點(diǎn)被勝利利用的可能。滲透測(cè)試對(duì)測(cè)試人員的技術(shù)實(shí)力要求較高，相比設(shè)備工具測(cè)試，滲透測(cè)試則具有較強(qiáng)的攻擊性，因此信息系統(tǒng)全部者可以依據(jù)自己的技術(shù)實(shí)力，以及其它實(shí)際狀況確定是否實(shí)施滲透測(cè)試，假如實(shí)施，須要嚴(yán)格限制測(cè)試的時(shí)間/范圍等，并作好應(yīng)急打算。在信息系統(tǒng)平安運(yùn)行的前提下，本公司信息平安管理委員會(huì)事前須要制定具體的滲透測(cè)試安排和突發(fā)平安事務(wù)的應(yīng)急處理安排，在得到信息系統(tǒng)全部者許可的同時(shí)，由信息系統(tǒng)全部者技術(shù)負(fù)責(zé)人現(xiàn)場(chǎng)監(jiān)督下實(shí)施開展。在滲透測(cè)試完成后由本公司信息平安管理委員會(huì)形成滲透測(cè)試報(bào)告。3.4.3脆弱性賦值脆弱性評(píng)估將針對(duì)每一項(xiàng)須要愛護(hù)的信息資產(chǎn)，找出每一種威逼可能利用的脆弱性，并對(duì)脆弱性的嚴(yán)峻程度進(jìn)行評(píng)估，換句話說(shuō)，就是對(duì)脆弱性被威逼利用的可能性進(jìn)行評(píng)估。最終脆弱性的賦值采納閱歷推斷法，依據(jù)脆弱性的種類列表綜合推斷一旦遭遇威逼列表中的威逼，定性出相對(duì)等級(jí)的方式。脆弱性的等級(jí)劃分為五級(jí)，從1到5分別代表五個(gè)級(jí)別的某種資產(chǎn)脆弱程度。等級(jí)越大，脆弱程度越高。同樣，評(píng)估者也可以依據(jù)被評(píng)估系統(tǒng)的實(shí)際狀況自定義脆弱性的等級(jí)。但該評(píng)定方法必需在事先得到信息系統(tǒng)全部者認(rèn)可。資產(chǎn)的脆弱性與組織對(duì)其所實(shí)行的平安限制有關(guān)，因此判定威逼發(fā)生的可能性時(shí)應(yīng)特殊關(guān)注已有的平安限制對(duì)資產(chǎn)脆弱性的影響。階段成果：在本階段結(jié)束后本公司信息平安管理委員會(huì)應(yīng)針對(duì)不同分類的評(píng)估對(duì)象自身的弱點(diǎn)，形成脆弱性列表，并向信息系統(tǒng)全部者供應(yīng)（列表可附在風(fēng)險(xiǎn)評(píng)估程序中，也可單獨(dú)形成文件），為風(fēng)險(xiǎn)評(píng)估供應(yīng)支持。《脆弱性列表》一般包括具體弱點(diǎn)的名稱、描述、類型及嚴(yán)峻程度等，須由信息系統(tǒng)全部者書面確認(rèn)。脆弱性識(shí)別階段小結(jié)如表3.14所示:脆弱性識(shí)別階段工作任務(wù)以資產(chǎn)為核心，從技術(shù)和管理兩個(gè)方面識(shí)別其存在的弱點(diǎn)；對(duì)脆弱性被威逼利用的可能性進(jìn)行評(píng)估，對(duì)脆弱性進(jìn)行賦值工作方式問卷調(diào)查、人員問詢、手動(dòng)檢查、文檔審查等參加人員信息系統(tǒng)全部者項(xiàng)目負(fù)責(zé)人及相關(guān)技術(shù)人員，評(píng)估小組階段成果《信息平安風(fēng)險(xiǎn)評(píng)估表》中的脆弱性部分表3.14脆弱性識(shí)別階段小結(jié)3.5已有平安措施的確認(rèn)風(fēng)險(xiǎn)評(píng)估小組在識(shí)別資產(chǎn)脆弱性的同時(shí)，還應(yīng)當(dāng)具體分析針對(duì)該資產(chǎn)的已有或已規(guī)劃的平安措施，并評(píng)價(jià)這些平安措施針的有效性。該部分不但要對(duì)技術(shù)措施進(jìn)行分析，而且對(duì)系統(tǒng)現(xiàn)有管理制度的分析也要予以充分重視。在風(fēng)險(xiǎn)評(píng)估中應(yīng)對(duì)系統(tǒng)已實(shí)行的技術(shù)平安限制措施進(jìn)行識(shí)別，并對(duì)限制措施有效性進(jìn)行核查。核查包括對(duì)防火墻、IDS、交換機(jī)等網(wǎng)絡(luò)設(shè)備的平安配置檢查；操作系統(tǒng)、數(shù)據(jù)庫(kù)平安功能檢查；應(yīng)用軟件平安功能驗(yàn)證等；將有效的平安限制措施接著保持，并進(jìn)行優(yōu)化，以避開不必要的工作和費(fèi)用，防止限制措施的重復(fù)實(shí)施。對(duì)于那些確認(rèn)為不適當(dāng)?shù)南拗茟?yīng)取消，或者用更合適的限制代替。現(xiàn)行平安管理制度分析分為兩個(gè)部分：一個(gè)是對(duì)平安產(chǎn)品統(tǒng)一管理分析，避開平安盲區(qū)的產(chǎn)生；另一個(gè)是對(duì)平安管理制度規(guī)范和平安意識(shí)的分析。希望通過(guò)現(xiàn)行管理制度分析，把分散的技術(shù)因素、人的因素，通過(guò)政策規(guī)則、運(yùn)作流程協(xié)調(diào)整合成為一體。風(fēng)險(xiǎn)評(píng)估小組應(yīng)對(duì)已實(shí)行的限制措施進(jìn)行識(shí)別并對(duì)限制措施的有效性進(jìn)行確認(rèn)，將有效的平安限制措施接著保持，以避開不必要的工作和費(fèi)用，防止限制措施的重復(fù)實(shí)施。對(duì)于那些確認(rèn)為不適當(dāng)?shù)南拗茟?yīng)核查是否應(yīng)被取消，或者用更合適的限制代替。平安措施分類包含的內(nèi)容管理性對(duì)系統(tǒng)的開發(fā)、維護(hù)和運(yùn)用實(shí)施管理的措施，包括平安策略、程序管理、風(fēng)險(xiǎn)管理、平安保障、系統(tǒng)生命周期管理等。操作性用來(lái)愛護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事務(wù)處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境平安等。技術(shù)性身份識(shí)別與認(rèn)證、邏輯訪問限制、日志審計(jì)、加密等。表3.15平安措施分類階段成果：在本階段結(jié)束后本公司信息平安管理委員會(huì)將向信息系統(tǒng)全部者供應(yīng)《已有平安措施確認(rèn)表》，并由信息系統(tǒng)全部者書面確認(rèn)?！兑延衅桨泊胧┐_認(rèn)表》：依據(jù)對(duì)已實(shí)行的平安措施確認(rèn)的結(jié)果，形成已有平安措施確認(rèn)表，包括已有平安措施名稱、類型、功能描述及實(shí)施效果等。已有平安措施確認(rèn)階段小結(jié)如表3.16所示：已有平安措施確認(rèn)階段工作任務(wù)對(duì)系統(tǒng)已實(shí)行的技術(shù)平安限制措施進(jìn)行識(shí)別，并對(duì)限制措施有效性進(jìn)行核查；對(duì)現(xiàn)行平安管理制度進(jìn)行分析。工作方式問卷調(diào)查、人員問詢、現(xiàn)場(chǎng)勘查、文檔復(fù)查參加人員信息系統(tǒng)全部者項(xiàng)目負(fù)責(zé)人及相關(guān)技術(shù)人員，評(píng)估小組階段成果《信息平安風(fēng)險(xiǎn)評(píng)估表》中的已有平安措施部分表3.16已有平安措施確認(rèn)階段小結(jié)3.6風(fēng)險(xiǎn)分析該階段工作主要由本公司信息平安管理委員會(huì)完成。3.6.1風(fēng)險(xiǎn)計(jì)算原理在完成了資產(chǎn)識(shí)別、威逼識(shí)別、脆弱性識(shí)別，以及對(duì)已有平安措施確認(rèn)后，將采納適當(dāng)?shù)姆椒ㄅc工具確定威逼利用脆弱性導(dǎo)致平安事務(wù)發(fā)生的可能性。綜合平安事務(wù)所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)峻程度，推斷平安事務(wù)造成的損失對(duì)組織的影響，即平安風(fēng)險(xiǎn)。本指南給出了風(fēng)險(xiǎn)計(jì)算的原理：對(duì)資產(chǎn)的重要性進(jìn)行識(shí)別；對(duì)資產(chǎn)的脆弱性進(jìn)行識(shí)別；針對(duì)每一個(gè)弱點(diǎn)，識(shí)別可能利用此弱點(diǎn)造成平安事務(wù)的威逼；分析威逼利用資產(chǎn)脆弱性發(fā)生平安事務(wù)的可能性；依據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)峻程度計(jì)算平安事務(wù)一旦發(fā)生后的損失；依據(jù)平安事務(wù)的損失以及平安事務(wù)發(fā)生的可能性計(jì)算風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)計(jì)算有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：1.計(jì)算平安事務(wù)發(fā)生的可能性依據(jù)威逼出現(xiàn)頻率及脆弱性狀況，計(jì)算威逼利用脆弱性導(dǎo)致平安事務(wù)發(fā)生的可能性，即：平安事務(wù)發(fā)生的可能性=L(威逼出現(xiàn)頻率，脆弱性)在具體工作中，應(yīng)綜合攻擊者技術(shù)實(shí)力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作學(xué)問公開程度等）以及資產(chǎn)吸引力等因素來(lái)推斷平安事務(wù)發(fā)生的可能性。2.計(jì)算平安事務(wù)發(fā)生后的損失依據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)峻程度，計(jì)算平安事務(wù)一旦發(fā)生后的損失，即：平安事務(wù)的損失=F(資產(chǎn)重要程度，脆弱性嚴(yán)峻程度)部分平安事務(wù)的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同平安事務(wù)的發(fā)生對(duì)組織造成的影響也是不一樣的。在計(jì)算某個(gè)平安事務(wù)的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。3.風(fēng)險(xiǎn)值計(jì)算依據(jù)計(jì)算出的平安事務(wù)發(fā)生的可能性以及平安事務(wù)的損失，計(jì)算風(fēng)險(xiǎn)值，即：風(fēng)險(xiǎn)值=R(平安事務(wù)發(fā)生的可能性，平安事務(wù)的損失)評(píng)估人員可依據(jù)自身狀況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法。通過(guò)構(gòu)造閱歷函數(shù)，矩陣法可形成平安事務(wù)發(fā)生的可能性與平安事務(wù)的損失之間的二維關(guān)系；運(yùn)用相乘法可以將平安事務(wù)發(fā)生的可能性與平安事務(wù)的損失相乘得到風(fēng)險(xiǎn)值。附錄中列舉的幾種風(fēng)險(xiǎn)計(jì)算方法可做參考,但風(fēng)險(xiǎn)評(píng)估人員應(yīng)依據(jù)具體狀況選擇與本系統(tǒng)相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法。3.6.2風(fēng)險(xiǎn)結(jié)果的判定確定風(fēng)險(xiǎn)數(shù)值的大小不是組織風(fēng)險(xiǎn)評(píng)估的最終目的，重要的是明確不同威逼對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先安排資源進(jìn)行愛護(hù)。風(fēng)險(xiǎn)等級(jí)建議從1到5劃分為五級(jí)。等級(jí)越大，風(fēng)險(xiǎn)越高。風(fēng)險(xiǎn)評(píng)估小組也可以依據(jù)被評(píng)估系統(tǒng)的實(shí)際狀況自定義風(fēng)險(xiǎn)的等級(jí)。等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生特別嚴(yán)峻的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)峻破壞、嚴(yán)峻影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣。4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在肯定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害。3中一旦發(fā)生會(huì)造成肯定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過(guò)肯定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在，通過(guò)簡(jiǎn)潔的措施就能彌補(bǔ)。表3.17風(fēng)險(xiǎn)等級(jí)劃分風(fēng)險(xiǎn)評(píng)估小組可以采納依據(jù)風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采納區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí)，這包括將可接受風(fēng)險(xiǎn)與不行接受風(fēng)險(xiǎn)的劃分，接受與不行接受的界限應(yīng)當(dāng)考慮風(fēng)險(xiǎn)限制成本與風(fēng)險(xiǎn)（機(jī)會(huì)損失成本）的平衡。風(fēng)險(xiǎn)的等級(jí)應(yīng)得到信息系統(tǒng)全部者的評(píng)審并批準(zhǔn)。3.6.3限制措施的選擇風(fēng)險(xiǎn)評(píng)估小組在對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行劃分后，應(yīng)考慮法律法規(guī)的要求、機(jī)構(gòu)自身的發(fā)展要求、風(fēng)險(xiǎn)評(píng)估的結(jié)果確定平安水平，對(duì)不行接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊跋拗拼胧⑿纬娠L(fēng)險(xiǎn)處理安排。風(fēng)險(xiǎn)處理的方式包括：規(guī)避風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)（降低發(fā)生的可能性或減小后果），轉(zhuǎn)移風(fēng)險(xiǎn)，接受風(fēng)險(xiǎn)。限制措施的選擇應(yīng)兼顧管理與技術(shù)，具體針對(duì)各類風(fēng)險(xiǎn)應(yīng)依據(jù)組織的實(shí)際狀況考慮以下十個(gè)方面的限制：平安方針、組織平安、資產(chǎn)的分類與限制、人員平安、物理與環(huán)境平安、通訊與運(yùn)作管理、訪問限制、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、符合性。在風(fēng)險(xiǎn)處理方式及限制措施的選擇上，機(jī)構(gòu)應(yīng)考慮發(fā)展戰(zhàn)略、企業(yè)文化、人員素養(yǎng)，并特殊關(guān)注成本與風(fēng)險(xiǎn)的平衡，以處理平安風(fēng)險(xiǎn)以滿意法律法規(guī)及相關(guān)方的要求，管理性與技術(shù)性的措施均可以降低風(fēng)險(xiǎn)。3.6.4殘余風(fēng)險(xiǎn)的評(píng)價(jià)對(duì)于不行接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇了適當(dāng)?shù)南拗拼胧┖?，?duì)殘余風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理供應(yīng)輸入。殘余風(fēng)險(xiǎn)的評(píng)價(jià)可以依據(jù)本標(biāo)準(zhǔn)進(jìn)行，考慮選擇的限制措施和已有的限制措施對(duì)于威逼發(fā)生的可能性的降低。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)南拗拼胧┖笕蕴幱诓恍薪邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)通過(guò)信息系統(tǒng)全部者依據(jù)風(fēng)險(xiǎn)接受的