公司風(fēng)險評估標(biāo)準(zhǔn)概述

風(fēng)險評估標(biāo)準(zhǔn)1.0目的建立風(fēng)險評估標(biāo)準(zhǔn)的目的在于為IT安全解決方案提供依據(jù)和參考。2.0適用范圍適用于公司所有IT安全的風(fēng)險分析和評估。3.0參考《Informationtechnology-Securitytechniques--EvaluationcriteriaITsecurity》ISO/IEC15408-3《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-19994.0定義保密性(confidentiality):使信息不泄露給非授權(quán)的個人、實體或進程，不為其所用完整性(integrity):信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同，未遭受偶然或惡意修改/破壞時所具有的性質(zhì)；或者信息系統(tǒng)中的系統(tǒng)不能被非授權(quán)破壞或修改的性質(zhì)可用性(Availability):被授權(quán)實體所需的資源可被訪問與使用，即攻擊者不能占用相關(guān)資源而阻礙授權(quán)者的工作加了該通信可審查性：有依據(jù)、有手段地對出現(xiàn)的信息安全問題提供跟蹤和調(diào)查5.0內(nèi)容5.1安全風(fēng)險評估的基本步驟確定需保護的資源，找出該資源的安全弱點和可能有的安全威脅，得出安全風(fēng)險等級。然后列舉可采取的降低風(fēng)險的對策，直至風(fēng)險減小至安全需求允許的范圍。下圖顯示了風(fēng)險評估中的各要素和工作步驟的關(guān)系：5.1.2評估脆弱性，包括：場所安全安全流程系統(tǒng)安全網(wǎng)絡(luò)安全應(yīng)用安全評估威脅列舉安全對策損失評估確定風(fēng)險等級5.2細(xì)則明確需安全保護資源網(wǎng)絡(luò)設(shè)備：交換機、路由器、HUB、網(wǎng)絡(luò)布線等計算機設(shè)備：個人計算機、便攜機、網(wǎng)絡(luò)服務(wù)器、文件服務(wù)器、工作站等存儲介質(zhì)；軟盤、硬盤、磁帶、光盤、MO等軟件：操作系統(tǒng)、數(shù)據(jù)庫、工具軟件、辦公平臺軟件、開發(fā)用軟件等網(wǎng)上應(yīng)用系統(tǒng)：EMail系統(tǒng)、InternetProxy服務(wù)、Notes系統(tǒng)、MRPII、SAP、HR、WWW、FTP等網(wǎng)絡(luò)服務(wù)：DNS、DHCP、WINS、網(wǎng)絡(luò)路由服務(wù)等數(shù)據(jù)資料：電子文檔、數(shù)據(jù)庫等評估脆弱性使用最好的測試工具和技術(shù)、使用不同的工作方法，對公司的整體資源系統(tǒng)的安全進行評估和審查(從技術(shù)和管理兩方面)，找出存在的安全隱患。場所安全評估對公司場所安全評估，信息安全監(jiān)控須包含硬件監(jiān)控。對公司信息安全部安全措施及相關(guān)文件評估，包括：場所安全、存儲介質(zhì)安全、硬件安全、緊急事故處理和信息保護等。分析公司安全標(biāo)準(zhǔn)并與業(yè)界最佳實踐標(biāo)準(zhǔn)進行比較?？偨Y(jié)安全措施優(yōu)缺點及措施實用性。安全流程評估評估公司的安全管理流程的效率及效用，評估查安全信息保障系統(tǒng)是否真正保護了至關(guān)重要的業(yè)務(wù)信息，評估管理流程和安全技術(shù)是否同時在各方面發(fā)揮作用。針對已有的信息安全標(biāo)準(zhǔn)或規(guī)則，通過相關(guān)安全接口人員了解情況，審查各監(jiān)控環(huán)節(jié)以確認(rèn)該環(huán)節(jié)能夠履行監(jiān)控職責(zé)。對各環(huán)節(jié)中所使用的IT安全監(jiān)控系統(tǒng)評估：安全決策，組織結(jié)構(gòu)，硬件監(jiān)控，資產(chǎn)評估及控制，系統(tǒng)安全監(jiān)控，網(wǎng)絡(luò)和計算機管理，業(yè)務(wù)連續(xù)性，應(yīng)用程序發(fā)展和維護，以及服從性。與業(yè)界相比對，對所收集到的信息進行分析?？偨Y(jié)系統(tǒng)優(yōu)勢及弱勢，推薦改進方法，以完善安全系統(tǒng)，降低風(fēng)險。系統(tǒng)安全評估評估公司一系列全面辦公解決方案、數(shù)據(jù)庫服務(wù)器、文件和打印服務(wù)器、應(yīng)用程序服務(wù)器，找出系統(tǒng)弱點。找出公司主要系統(tǒng)平臺(如：UNIX,Windows/NT)和一些捆綁銷售的組件(如：MicrosoftExchange,LotusNotes,COBRA,Tivol)的弱點所在。從技術(shù)和管理兩方面進行評估：技術(shù)審查對每一個組件的機制進行真實性、可靠性、可審查性、保密性、適用性檢驗，并根據(jù)公司書面文件對其進行核查及預(yù)警。管理審查包括聽取管理員意見，對該組件相關(guān)的書面文件、標(biāo)準(zhǔn)和措施進行審查。這將保證公司能夠發(fā)現(xiàn)來自于公司內(nèi)部或外部的能越過安全監(jiān)控的潛在威脅。對系統(tǒng)軟件和組件的配置文件是否能讓授權(quán)用戶正常登錄進行審查，同時阻止和發(fā)現(xiàn)非授權(quán)用戶的登錄企圖。對安全管理監(jiān)控作以下方面的綜合審查：計劃、組織、人事、資產(chǎn)分類和監(jiān)控、硬件監(jiān)控、資產(chǎn)監(jiān)控、網(wǎng)絡(luò)及計算機管理、業(yè)務(wù)連續(xù)性、系統(tǒng)發(fā)展和維護、適用性等。網(wǎng)絡(luò)安全評估對公司網(wǎng)絡(luò)平臺的安全設(shè)計情況(路由器、防火墻、網(wǎng)絡(luò)服務(wù)器、應(yīng)用程序服務(wù)器等)進行審查，以確定是否有些功能會存在安全問題。將不受信任的、外部的網(wǎng)絡(luò)與內(nèi)部的、受信任的網(wǎng)絡(luò)和系統(tǒng)隔離開來。(根據(jù)情況需要)模擬入侵者的攻擊，必須以可控制的安全的方式進行。模擬三個方面非法進入內(nèi)部網(wǎng)絡(luò)：低水平的單個黑客，有一定能力的黑客小分隊，有高度動機的專家黑客隊伍。檢查系統(tǒng)的配置和管理以及可能在將來引起新的安全問題的因素。評估內(nèi)容可以根據(jù)需要裁剪，包括系統(tǒng)平臺、網(wǎng)絡(luò)連接、軟件和數(shù)據(jù)庫。在技術(shù)和管理層面綜合性地檢查網(wǎng)絡(luò)方案。技術(shù)檢查包括多方面的入侵測試和配置分析，全面了解網(wǎng)絡(luò)解決方案的長處和不足。管理檢查包括訪問管理者和檢查安全文件。應(yīng)用安全評估全面評估應(yīng)用程序的：體系結(jié)構(gòu)、設(shè)計及功能；開發(fā)和維護過程；運行過程及包括運行平臺在內(nèi)的技術(shù)組件；使用的網(wǎng)絡(luò)服務(wù)及數(shù)據(jù)庫或使用的運行平臺服務(wù)。對應(yīng)用所采用的過程和技術(shù)進行審核，以保證主應(yīng)用程序的安全性和保密性要求。對應(yīng)用程序新的安全代碼和支持基礎(chǔ)結(jié)構(gòu)的服務(wù)進行審核，檢查影響生產(chǎn)環(huán)境完整性的一般錯誤。復(fù)查應(yīng)用程序安全和保密的要求、體系結(jié)構(gòu)規(guī)范、功能規(guī)范和測試計劃。分析所選擇應(yīng)用程序代碼，找出有關(guān)代碼中的脆弱性。分析操作系統(tǒng)平臺、數(shù)據(jù)庫、網(wǎng)絡(luò)、以及該應(yīng)用程序可能調(diào)用的安全和保密服務(wù)。對現(xiàn)有基礎(chǔ)結(jié)構(gòu)中的部件和過程的安全和保密性進行確認(rèn)。復(fù)查客戶與安全和保密政策以及相關(guān)標(biāo)準(zhǔn)的程序和過程。評估威脅當(dāng)需要保護的資源被確定后，進一步則需確定所需保護資源存在的威脅。1.查非授權(quán)訪問：如沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計算機資源被看作是非授權(quán)訪問。如：有意避開系統(tǒng)訪問控制機制，擅自擴大權(quán)限，越權(quán)訪問信息。2.查信息泄漏：是否敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失。如：信息在傳輸中或在存儲介質(zhì)中丟失或泄漏，通過隱蔽通道竊取機密信息等。查數(shù)據(jù)完整性：如非法竊得數(shù)據(jù)使用權(quán)，修改或重發(fā)某些重要信息，惡意添加、修改數(shù)據(jù)，干擾用戶的正常使用。查拒絕服務(wù)攻擊：查潛在的對網(wǎng)絡(luò)服務(wù)進行干擾的活動，該活動可能造成系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶進入網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。列舉降低風(fēng)險的對策為保護公司網(wǎng)絡(luò)資源，采取怎樣的控制措施，應(yīng)根據(jù)損失的風(fēng)險概率、控制的費用、控制后的變化率以及公司在安全防護上所能投入的財力確定。降低風(fēng)險的對策主要從三個方面考慮：嚴(yán)格的安全管理、運用先進的安全技術(shù)、一套威嚴(yán)的管理制度和標(biāo)準(zhǔn)。1.風(fēng)險對策舉例：采用一些復(fù)合安全技術(shù)，如防火墻，單點登錄方案，中央安全管理方案以及公共秘鑰等。每周進行策略順應(yīng)性測試檢查與方針相符的網(wǎng)絡(luò)服務(wù)是否可用，尋找一般的網(wǎng)絡(luò)漏洞并檢查提供互連網(wǎng)連接的域名系統(tǒng)（DNS）的內(nèi)容。每月進行脆弱性測試用一切方法搜尋所有已知的漏洞和未被授權(quán)的服務(wù)，使用各種專門的安全工具來模仿黑客的攻擊方法。在進行每周和每月測試的同時，選購一些強有力的補充監(jiān)控服務(wù)，以顯著減少處理互連網(wǎng)不速之客侵入的響應(yīng)時間。對惡意活動進行24x7x365的監(jiān)視。1）在網(wǎng)絡(luò)和主服務(wù)器中配置、布置監(jiān)視測試儀。使用工業(yè)上領(lǐng)先的入侵偵察軟件，擴大安全策略，防止安全侵犯。2）培訓(xùn)專業(yè)的安全管理人員，當(dāng)有懷疑的活動發(fā)生時，進行調(diào)查和警告，有效的事故處理，及時的安全預(yù)警和協(xié)調(diào)。在關(guān)鍵業(yè)務(wù)服務(wù)器上建立入侵偵察軟件，分析運行記錄和系統(tǒng)文件，偵察安全侵犯或濫用。與安全事故反應(yīng)機構(gòu)建立聯(lián)系，以便盡快得到良好的安全服務(wù)。建立拒絕服務(wù)告警系統(tǒng)，對拒絕服務(wù)攻擊、潛在的入侵和類似問題作出快速反響，同時，檢查配置和系統(tǒng)管理，防止可能導(dǎo)致的信息泄露和拒絕服務(wù)。損失評估在通過分析資源存在的威脅和隱患并確定出其安全等級后，根據(jù)公司對安全要求的側(cè)重點，列出相應(yīng)的損失及代價。在采取控制措施之前，預(yù)估可能發(fā)生的損失及可能發(fā)生損失的概率，預(yù)估通過采取控制措施