公司信息安全風(fēng)險(xiǎn)評估實(shí)施指南

信息安全風(fēng)險(xiǎn)評估實(shí)施指南

目錄

1.范圍..........................................................................1

2.引用標(biāo)準(zhǔn)與規(guī)范..............................................................1

3.術(shù)語和定義..................................................................1

4.評估內(nèi)容與實(shí)施流程.........................................................4

4.1評估內(nèi)容...............................................................4

4.1.1資產(chǎn)評估.........................................................4

4.1.2威脅評估.........................................................9

4.1.3脆弱性評估......................................................10

4.1.4現(xiàn)有安全措施評估................................................13

4.2實(shí)施流程...............................................................13

5.評估實(shí)施方法.................................................................16

5.1評估準(zhǔn)備...............................................................16

5.1.1第1步：成立評估工作組.........................................16

5.1.2第2步：確定評估范圍...........................................16

5.1.3第3步：評估動(dòng)員會(huì)議...........................................17

5.1.4第4步；信息系統(tǒng)調(diào)研...........................................17

5.1.5第5步：評估工具準(zhǔn)備...........................................17

5.2現(xiàn)場評估...............................................................18

5.2.1第1步；資產(chǎn)評估................................................18

5.2.2第2步：網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評估.....................................19

5.2.3第3步：業(yè)務(wù)系統(tǒng)安全性評估.....................................20

5.2.4第4步：資產(chǎn)估值...............................................21

5.2.5第5步：威脅評估...............................................21

5.2.6第6步：主機(jī)安全性評估.........................................23

5.2.7第7步：現(xiàn)有安全措施審計(jì).......................................24

5.2.8第8步：信息安全管理評估.......................................24

5.3風(fēng)險(xiǎn)分析..............................................................25

5.3.1第1步：數(shù)據(jù)整理...............................................25

5.3.2第2步：風(fēng)險(xiǎn)計(jì)算...............................................26

5.3.3第3步：風(fēng)險(xiǎn)決策...............................................29

5.4安全建議..............................................................30

5.5安全整改及二次評估....................................................31

6.實(shí)施的風(fēng)險(xiǎn)控制.............................................................32

附錄1：信息安全風(fēng)險(xiǎn)評估工作票（范例）.........................................36

附錄2：信息安全風(fēng)險(xiǎn)評估操作票（范例）.........................................37

附錄3：典型威脅列表............................................................38

附錄4：現(xiàn)有安全措施審計(jì)記錄表..................................................40

附件一信息安全風(fēng)險(xiǎn)評估資料準(zhǔn)備說明

1.范圍

本指南提出了XXXX公司信息安全風(fēng)險(xiǎn)評估的評估方法、評估內(nèi)容、實(shí)施流程及其在

信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)，適用于電網(wǎng)企業(yè)開展的信息安全風(fēng)險(xiǎn)評估工作。

2.引用標(biāo)準(zhǔn)與規(guī)范

?GB"17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

■GBfT9361-2000《計(jì)算機(jī)場地安全要求》

■GBfT18336-2001《信息技術(shù)信息技術(shù)安全性評估準(zhǔn)則》

■GB"19715.1-2005《信息技術(shù)信息技術(shù)安全管理指南》

GB"19716-2005《信息技術(shù)信息安全管理實(shí)用規(guī)則》

?GB"xxxx-xxxx《信息安全風(fēng)險(xiǎn)評估指南（送審稿）》

《XXXX公司網(wǎng)絡(luò)與信息安全評估規(guī)范（試行）》

3.術(shù)語和定義

資產(chǎn)Asset

專指信息資產(chǎn)，是在信息化建設(shè)過程中積累起來的信息系統(tǒng)、信息數(shù)據(jù)、生產(chǎn)或服務(wù)能

力、人員能力和應(yīng)得的信譽(yù)，是安全策略保護(hù)的對象。

資產(chǎn)價(jià)值A(chǔ)ssetValue

指信息資產(chǎn)對信息系統(tǒng)的重要程度，以及對信息系統(tǒng)為完成組織使命的重要程度。資產(chǎn)

價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識別的主要內(nèi)容。

可用性Availability

資產(chǎn)能夠被經(jīng)過授權(quán)的實(shí)體所訪問或使用的特性。

業(yè)務(wù)戰(zhàn)略BusinessStrategy

為實(shí)現(xiàn)發(fā)展目標(biāo)而制定的一組規(guī)則、實(shí)踐或要求。

機(jī)密性Confidentiality

信息資產(chǎn)對未經(jīng)授權(quán)的個(gè)人、實(shí)體或程序是不可用、不可見的。

信息安全風(fēng)險(xiǎn)InformationSecurityRisk

人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生的

可能性及其潛在的影響

信息安全風(fēng)險(xiǎn)評估InformationSecurityRiskAssessment

依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及曰其處理、傳輸和存儲的信息佗機(jī)密

性、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆

弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的燙產(chǎn)價(jià)值來判斷安全事件?旦發(fā)生對

組織造成的影響。

信息系統(tǒng)InformationSystem

用于采集、創(chuàng)建、通省、計(jì)算、分發(fā)、處理、存儲和/或控制數(shù)據(jù)或信息的計(jì)算機(jī)便件、

軟件和/或固件的組合。在電網(wǎng)企業(yè)中，信息系統(tǒng)包括用于生產(chǎn)控制和管理的電力二次系統(tǒng)

和管理信息系統(tǒng)。

檢查評估InspectionAssessment

由被評估組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信

息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動(dòng)。

完整性Integrality

包括數(shù)據(jù)完整性和系統(tǒng)完整型兩部分內(nèi)容。數(shù)據(jù)完整性指數(shù)據(jù)資產(chǎn)未經(jīng)授權(quán)不可更改、

不可銷毀。系統(tǒng)完整性指系統(tǒng)資產(chǎn)可提供它預(yù)期的功能，未經(jīng)授權(quán)無法有意的或無意的操縱

系統(tǒng)。

殘余風(fēng)險(xiǎn)ResidualRisk

采取了安全防護(hù)措施，提高了防護(hù)能力后，仍然可能存在的風(fēng)險(xiǎn)。

自評估Self-assessment

由電網(wǎng)企業(yè)自身發(fā)起，參照有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。

安全事件SecurityEvent

威脅利用脆弱性產(chǎn)生的危害情況。

安全措施SecurityMeasure

為保護(hù)資產(chǎn)，抵御威脅，減少脆弱點(diǎn)，降低安全事件的影響，檢測和響應(yīng)意外事件，打

擊信息犯罪而采取的各種實(shí)踐、規(guī)程和機(jī)制統(tǒng)稱為安全措施。

安全需求SecurityRequirement

為保證信息系統(tǒng)正常運(yùn)作，在信息安全防護(hù)措施方面的要求。

威脅Threat

信息資產(chǎn)可能受到的來自內(nèi)部和來自外部的安全侵害。

脆弱性Vulnerability

信息資產(chǎn)及其防護(hù)措施在安全方面的不足，通常也稱為漏洞。脆弱性可能被威脅利用，

并對信息資產(chǎn)造成損害。

4.評估內(nèi)容與實(shí)施流程

安全評估是信息安全風(fēng)險(xiǎn)管理的必要手段，只有有效評估了系統(tǒng)面臨的安全風(fēng)險(xiǎn)，才能

充分掌握信息系統(tǒng)安全狀態(tài)，才能確定安全防護(hù)的重:點(diǎn)與要點(diǎn)，并有針對性地采取控制措施,

使信息安全風(fēng)險(xiǎn)處于可控制的范圍內(nèi)。安全評估適用于XXXX公司信息系統(tǒng)全生命周期，

為信息系統(tǒng)的安全建設(shè)、穩(wěn)定運(yùn)行和改造提供重要依據(jù)，并且是信息系統(tǒng)安全等級確定過程

中不可或缺的技術(shù)手段。

為了規(guī)范安全評估工作，XXXX公司2004年頒布了《XXXX公司信息安全風(fēng)險(xiǎn)評估規(guī)

范（試行）》（以下簡稱《評估規(guī)范》）。為配合《評估規(guī)范》的落實(shí)，XXXX公司組織XXXX

公司內(nèi)外的專業(yè)機(jī)構(gòu)，參照國家和國際相關(guān)標(biāo)準(zhǔn)與規(guī)范，在總結(jié)XXXX公司以往安全評估

實(shí)踐的基礎(chǔ)上，編制本指南以有效指導(dǎo)、規(guī)范與幫助XXXX公司進(jìn)行安全評估工作。

信息系統(tǒng)的評估流程參照國內(nèi)外的電力行業(yè)標(biāo)準(zhǔn)、規(guī)范制定，包括項(xiàng)目實(shí)施流程和現(xiàn)場

工作流程兩部分。項(xiàng)目實(shí)施流程是一次評估工作整體的框架結(jié)構(gòu)，現(xiàn)場工作流程是評估的核

心部分。

4.1評估內(nèi)容

XXXX公司信息系統(tǒng)安全評估的主要內(nèi)容包括：資產(chǎn)評估、威脅評估、脆弱性評估和

現(xiàn)有安全措施評估。

4.1.1資產(chǎn)評估

資產(chǎn)評估是確定資產(chǎn)在信息安全屬性（機(jī)密性、完整性、可用性等）缺失時(shí)，對信息系

統(tǒng)造成的影響的過程。在實(shí)際的評估中，資產(chǎn)評估包含信息資產(chǎn)識別、資產(chǎn)賦值等內(nèi)容。

1）資產(chǎn)識別

資產(chǎn)識別是對信息資產(chǎn)分類、標(biāo)記的過程。在確定評估抽樣范圍后，需要對抽樣資

產(chǎn)進(jìn)行識別。資產(chǎn)識別是為了了解資產(chǎn)狀況、確定費(fèi)產(chǎn)價(jià)值而進(jìn)行的風(fēng)險(xiǎn)管理的準(zhǔn)備工

作。

在一個(gè)信息系統(tǒng)中，資產(chǎn)的形式和內(nèi)容各不相同，將資產(chǎn)進(jìn)行分類，按照資產(chǎn)類型

進(jìn)行具體的評估是評估的基本方法之一。參照《信息安全管理實(shí)施細(xì)則》（即ISO/IECTR

17799）對信息資產(chǎn)的描述和定義，將電網(wǎng)企業(yè)信息資產(chǎn)按照下面的方法分類：

表4.1信息資產(chǎn)分類表

類別解釋

以物理或電子的方式記錄的數(shù)據(jù)，或者用于完成組織任務(wù)的知識產(chǎn)權(quán).信

息資產(chǎn)本質(zhì)上是無形的，與系統(tǒng)資產(chǎn)緊密聯(lián)系。系統(tǒng)存儲、處理和傳輸驅(qū)

信息

動(dòng)組織的關(guān)鍵信息。因此，當(dāng)組織建立策略和計(jì)劃以保護(hù)系統(tǒng)資產(chǎn)時(shí)，同

時(shí)也保護(hù)了組織的關(guān)鍵信息，及其軟硬件資產(chǎn)。

軟件應(yīng)用程序和服務(wù)、如操作系統(tǒng)、數(shù)據(jù)庫應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)

軟件

用程序、客戶應(yīng)用程序等，用于處理、存儲和傳輸信息。

信息技術(shù)的物理設(shè)備，例如工作站、服務(wù)器等。通常強(qiáng)調(diào)單獨(dú)考慮這些物

硬件

理設(shè)備的替代價(jià)值。

指組織中捋有獨(dú)特技能、知識和經(jīng)驗(yàn)的，他人難以替代的人。當(dāng)人被標(biāo)識

人員為資產(chǎn)時(shí)，要確定是否還有更適于標(biāo)識的相關(guān)資產(chǎn)。例如，標(biāo)識他們使用、

維護(hù)、管理的關(guān)鍵系統(tǒng)，或者他們?yōu)槠渌褂谜咛峁┑男畔ⅰ?/p>

處理和存儲信息的信息系統(tǒng)，代表一組信息、軟件和硬件資產(chǎn)。系統(tǒng)是一

系統(tǒng)個(gè)整體出發(fā)，其任一組件都無法代表其整體，因此，對系統(tǒng)的評估需要完

整的考慮系統(tǒng)的各個(gè)部分，并進(jìn)行綜合考慮。

資產(chǎn)識別是評估的入口點(diǎn)。對評估范圍內(nèi)的資產(chǎn)進(jìn)行分類識別，是進(jìn)行系統(tǒng)的和結(jié)

構(gòu)化風(fēng)險(xiǎn)分析的基礎(chǔ)。按照信息資產(chǎn)分類將信息資產(chǎn)歸類、并根據(jù)資產(chǎn)的分類情況充分

了解評估范圍內(nèi)資產(chǎn)安全狀態(tài)是資產(chǎn)識別的主要內(nèi)容之一。

此外，資產(chǎn)總是分布于不同的業(yè)務(wù)系統(tǒng)中，是業(yè)務(wù)系統(tǒng)的組成部分，相同的資產(chǎn)在

不同的業(yè)務(wù)系統(tǒng)中會(huì)表現(xiàn)出不同的安全屬性，因此，資產(chǎn)的識別過程需要將資產(chǎn)按照所

屬業(yè)務(wù)系統(tǒng)的情況進(jìn)行標(biāo)記，并根據(jù)業(yè)務(wù)系統(tǒng)總體的安全屬性來調(diào)整對資產(chǎn)評估。

2）資產(chǎn)安全要求識別

根據(jù)資產(chǎn)組成確定各部分的安全性要求。流程如下:

將資產(chǎn)劃分成“系統(tǒng)”或“服i

務(wù)”，每個(gè)系統(tǒng)或服務(wù)包含與其j

相關(guān)的所有信息設(shè)施.!

—??

將“系統(tǒng)”或“服務(wù)”分斛成j

子系統(tǒng)、信息、軟件或硬件等i

部分.

對“系統(tǒng)”或“服務(wù)”操技的j

數(shù)據(jù)進(jìn)行分析和分類，并與分i

解的資產(chǎn)進(jìn)行關(guān)聯(lián)i

根據(jù)數(shù)據(jù)分析明確分解后系統(tǒng)I

如成部分的安全屬性.!

根據(jù)系統(tǒng)分解、數(shù)據(jù)安全屬性！

對資產(chǎn)的各如成部分提出安全；

要求i

圖4-1貨產(chǎn)安全要求識別流程

3）資產(chǎn)賦值

綜合考慮了資產(chǎn)的使命、資產(chǎn)本身的價(jià)值、資產(chǎn)對于應(yīng)用系統(tǒng)的重要程度、業(yè)務(wù)系

統(tǒng)對于資產(chǎn)的依賴程度、位置及其影響范圍等囚索估定信息資產(chǎn)價(jià)值。評估中，對不同

類型資產(chǎn)考慮其機(jī)密性、完整性和可用性安全要求，通過對資產(chǎn)的安全要求的判定，確

定其重:要程度。

資產(chǎn)價(jià)值的確定可以為合理配置保護(hù)資源，減少保護(hù)成本，以及采用分等級的保護(hù)

措施提供有力的支持。對不同類型資產(chǎn)考慮的安全屬性的定義如下：

?系統(tǒng)

表4.2系統(tǒng)安全屬性說明

資產(chǎn)屬性說明

機(jī)密性未經(jīng)授權(quán)不能使用、瀏覽、查看系統(tǒng)上的信息

完整性系統(tǒng)上的信息只能由獲得授權(quán)的人進(jìn)行修改、刪除等操作

可用性在任何需要的時(shí)候，系統(tǒng)中的信息都必須是可用的

信息

表4.3信息資產(chǎn)安全屬性說明

資產(chǎn)屬性說明

機(jī)密性未經(jīng)授權(quán)不能使用、瀏覽、查看信息

完整性信息只能由獲得授權(quán)的人進(jìn)行修改、刪除等操作

可用性在任何需要的時(shí)候，信息都必須是可用的

?軟件

表4.4軟件資產(chǎn)安全屬性說明

資產(chǎn)屬性說明

機(jī)密性未經(jīng)授權(quán)不能使用軟件

完整性只有經(jīng)過授權(quán)才能對軟件進(jìn)行修改、刪除等操作

可用性在需要的時(shí)候，軟件必須是可用的

?硬件

表4.5硬件資產(chǎn)安全屬性說明

資產(chǎn)屬性說明

完整性指硬件的完整性，不被毀壞或盜竊，不被非授權(quán)更改配置

可用性在需要時(shí)，獲得授權(quán)的客體和主體可以使用、訪問硬件

?人員

表4.6人員安全屬性說明

資產(chǎn)屬性說明

可用性在需要時(shí)，人員能夠憑借其掌握的技能提供網(wǎng)絡(luò)與系統(tǒng)的管理、運(yùn)維服務(wù)

資產(chǎn)賦值是對資產(chǎn)在機(jī)密性、完整性和可用性三個(gè)屬性上的保持程度的要求進(jìn)行評

定的過程，對資產(chǎn)各屬性賦值按如下規(guī)定進(jìn)行：

.資產(chǎn)機(jī)密性賦值

表4.7資產(chǎn)機(jī)密性賦值

賦值標(biāo)識定義

包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織

5極高

根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害

包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)

4高

重?fù)p害

3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害

僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)

2低

散有可能對組織的利益造成輕微損害

1可忽略可對社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等

?資產(chǎn)完整性賦值

表4.8資產(chǎn)完整性賦值

賦值標(biāo)識定義

完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成

極高

5重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)

重的業(yè)務(wù)中斷，難以彌補(bǔ)

完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成重大

4高

影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)

完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成影響，

3中等

對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)

完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對組織造成輕微

2低

影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)

完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影

1可忽略

響可以忽略，對業(yè)務(wù)沖擊可以忽略

?資產(chǎn)可用性賦值

表4.9資產(chǎn)可用性賦值

賦值標(biāo)識定義

可用性價(jià)值非常高，合法使用者對信息及信息系統(tǒng)的可用度

5極高

達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷；

可用性價(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)

4高

到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘；

可用性價(jià)值中等，合法使用者對信息及信息系統(tǒng)的可用度在

3中等正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30分

鐘；

可用性價(jià)值較低，合法使用者對信息及信息系統(tǒng)的可用度在

2低正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60分

鐘；

1可忽略可用性價(jià)值可以忽略，合法使用者對信息及信息系統(tǒng)的可用

度在正常工作時(shí)間低于25%；

解釋：資產(chǎn)的賦值是評估中由定性化判斷到定量化賦值的關(guān)鍵環(huán)節(jié)。具體的評估中，也

可根據(jù)具體情況采用3級或更多級別的賦值規(guī)定，規(guī)定中必須對每一級別進(jìn)行明確的定義、

各級別間應(yīng)當(dāng)有顯著的差異。

4.1.2威脅評估

威脅評估是通過技術(shù)手段、統(tǒng)計(jì)數(shù)據(jù)和經(jīng)驗(yàn)判斷來確定信息系統(tǒng)面臨的威脅的過程。威

脅評估中的主要工作包括兩個(gè)方面，一是要根據(jù)特定資產(chǎn)運(yùn)行環(huán)境來確定其所面臨的威脅來

源，另一方面要確定這些城脅的嚴(yán)重程度和發(fā)生的頻率。

每個(gè)資產(chǎn)由于所處的環(huán)境不同，面臨的威脅也不盡相同，因此對評估范圍內(nèi)的資產(chǎn)需要

根據(jù)資產(chǎn)評估的分類結(jié)果，進(jìn)行單獨(dú)的或整體的威脅評估。實(shí)際的評估過程中，可按照網(wǎng)絡(luò)

和物理環(huán)境、以及資產(chǎn)的俁護(hù)等級將資產(chǎn)劃分為若干部分,對這幾部分進(jìn)行統(tǒng)一的威脅判斷。

1）威脅識別

威脅識別過程包括了威脅統(tǒng)計(jì)和威脅資產(chǎn)關(guān)聯(lián)兩個(gè)過程。威脅統(tǒng)計(jì)采用了威脅列

表、口志信息審計(jì)、歷史事件調(diào)查等手段統(tǒng)計(jì)信息系統(tǒng)面臨的最大威脅集合；威脅資產(chǎn)

關(guān)聯(lián)是根據(jù)資產(chǎn)的物理、網(wǎng)絡(luò)和人員等環(huán)境從威脅統(tǒng)計(jì)結(jié)果中提取具體資產(chǎn)面臨的主要

威脅列表的過程。

2）威脅賦值

威脅評估的聿要內(nèi)容是對威脅進(jìn)行賦值，為風(fēng)險(xiǎn)分析提供確定的等級數(shù)據(jù)，確保風(fēng)

險(xiǎn)分析結(jié)果的科學(xué)性，威脅按照其對安全屬性的影響分為涉及機(jī)密性的威脅、涉及可用

性的威脅和涉及完整性的威脅，分別進(jìn)行賦值。

威脅的賦值需要綜合考慮威脅發(fā)生的口J能性和威脅產(chǎn)生后的嚴(yán)重程發(fā)。評估中，對

威脅的兩個(gè)屬性按照如下定義進(jìn)行賦值：

?威脅可能性

表4.10威脅可能性賦值表

標(biāo)識賦值解釋

大5威脅發(fā)生幾乎不可避免

較大4威脅發(fā)生可能性很大

中3威脅有可能發(fā)生

較低2威脅發(fā)生的可能性很小

低1威脅發(fā)生可能性很低

?威脅嚴(yán)重程度

表4.11威脅嚴(yán)重程度賦值表

標(biāo)識賦值解釋

大5威脅后果所產(chǎn)生的負(fù)面影響無法容忍，難以接受

較大4威脅后果所產(chǎn)生的負(fù)面影響很嚴(yán)重，損失難以彌補(bǔ)

中3威脅后果所產(chǎn)生的負(fù)面影響較大，但損失可以彌補(bǔ)

較低2威脅后果所產(chǎn)生的負(fù)面影響可以容忍，損失較容易彌補(bǔ)

低1威脅后果產(chǎn)生不了什么負(fù)面影響

解釋：威脅賦值的過程是一個(gè)交流、觀察與調(diào)查的過程。有充分經(jīng)驗(yàn)的評估人員和待評

系統(tǒng)管理人員的積極配合是準(zhǔn)確進(jìn)行威脅賦值的關(guān)鍵條件。同時(shí)，威脅賦值規(guī)定同資產(chǎn)賦值

規(guī)定相同，可以采取3級和更多級別的賦值方法，但在一次評估中，資產(chǎn)、威脅、脆強(qiáng)性賦

值的級別數(shù)最應(yīng)一致。

4.1.3脆弱性評估

脆弱性評估包括脆弱性識別和賦值兩個(gè)步驟，是對信息系統(tǒng)中存在的可被威脅利用的缺

陷的發(fā)現(xiàn)與分析的過程?，F(xiàn)場階段的大部分工作內(nèi)容是圍繞脆弱性評估開展的。

1）脆弱性識別

脆弱性的識別以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識別其存在的弱點(diǎn)，然后綜合評

價(jià)該資產(chǎn)或資產(chǎn)組（系統(tǒng)）的脆弱性。

在電力系統(tǒng)深度防護(hù)體系中，按照信息系統(tǒng)的運(yùn)作方式，將與信息系統(tǒng)的安全性相

關(guān)的內(nèi)容劃分成技術(shù)、運(yùn)維和管理三個(gè)方面（見下圖）。對信息系統(tǒng)脆弱性的識另!從這

三個(gè)方面出發(fā)，進(jìn)行綜合的考察，并確定其相互作用程度。

補(bǔ)充技術(shù)、運(yùn)維和管理三個(gè)方面的關(guān)系。！！!

圖4-2技術(shù)、運(yùn)維和管理相關(guān)情況

解釋：技術(shù)方面的脆弱性識別主要采用工具掃描和人工審計(jì)的方式進(jìn)行，運(yùn)維和管

理缺陷主要通過訪談和調(diào)查問卷來發(fā)現(xiàn)。此外，對以往的安全事件的統(tǒng)計(jì)和分析也是確

定脆弱性的主要方法。

脆弱性識別的內(nèi)容根據(jù)評估選擇的策略（見《評估規(guī)范》中的定義）或和目的的不

同進(jìn)行調(diào)整，具體的內(nèi)容可參照相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)，以及評估發(fā)起方的要求實(shí)施。

下表中是根據(jù)《深度防護(hù)體系》中的要求整理出的一種脆弱性識別內(nèi)容的參考：

表4.12脆弱性識別內(nèi)容

防護(hù)對象技術(shù)漏洞運(yùn)維缺陷管理缺陷

網(wǎng)絡(luò)結(jié)構(gòu)配置記錄管理目標(biāo)

網(wǎng)絡(luò)設(shè)備變更記錄安全策略

基礎(chǔ)通信設(shè)施

網(wǎng)管措施安全策略執(zhí)行證據(jù)人員技能

人員安排、職責(zé)安全意識

邊界設(shè)備配置記錄管理目標(biāo)

訪問控制機(jī)制變更記錄安全策略

安全域邊界設(shè)施

設(shè)備部署情況安全策略執(zhí)行證據(jù)人員技能

人員安排、職責(zé)安全意識

業(yè)務(wù)系統(tǒng)安全機(jī)制配置記錄管理目標(biāo)

業(yè)務(wù)局域網(wǎng)絡(luò)環(huán)境變更記錄安全策略

內(nèi)部業(yè)務(wù)運(yùn)行環(huán)境主機(jī)安全安全策略執(zhí)行證據(jù)人員技能

通用應(yīng)用配置人員安排、職責(zé)安全意識

安全防護(hù)措施

資產(chǎn)管理配置記錄管理目標(biāo)

工程項(xiàng)目審核變更記錄安全策略

評估機(jī)制安全策略執(zhí)行證據(jù)人員技能

基礎(chǔ)性安全管理應(yīng)急機(jī)制人員安排、職責(zé)

物理環(huán)境安全機(jī)制

蛆織機(jī)構(gòu)設(shè)置

安全策略體系

2）脆弱性賦值

脆弱性賦值包含嚴(yán)重程度和對系統(tǒng)安全屬性的影響兩部分內(nèi)容，即確定脆弱性對信

息資產(chǎn)的暴露程度（包括被威脅利用的可能性和難易程度），和脆弱性對安全屬性的哪

方面產(chǎn)生了破壞。

此外，技術(shù)、運(yùn)維和管理三方面之間存在相互的影響，脆弱性賦值過程中還需要根

據(jù)信息資產(chǎn)的特性，確定其技術(shù)、運(yùn)維和管理脆弱性間的相互影響程度，從而為解決系

統(tǒng)安全問題提供合理、科學(xué)的手段提供數(shù)據(jù)基礎(chǔ)。

口表是脆弱性賦值表:

表4.13脆弱性賦值表

標(biāo)識等級定義

很高5如果被威脅利用，將對資產(chǎn)造成完全損害

高4如果被威脅利用，將對資產(chǎn)造成重大損害

中3如果被威脅利用，將對資產(chǎn)造成一般損害

低2如果被威脅利用，將對資產(chǎn)造成較小損害

很低1如果被威脅利用，將對資產(chǎn)造成的損害可以忽略

威脅和脆弱性是相互關(guān)聯(lián)的，一方面，脆弱性不被威脅利用就不會(huì)產(chǎn)生風(fēng)險(xiǎn)；另一

方面，嚴(yán)重的脆弱性會(huì)引起威脅源的注意，進(jìn)而產(chǎn)生風(fēng)險(xiǎn)。由于威脅相對于脆弱性具有

.主動(dòng)性（威脅利用脆弱性），所以在脆弱性賦值過程中需要對相關(guān)的威脅因素進(jìn)行考慮。

技術(shù)、運(yùn)維和管理三方面脆弱性的相互.影響和關(guān)聯(lián)程度的量化定義如下:

表4.14技術(shù)、運(yùn)維和管理相關(guān)性量化表

標(biāo)識賦值解釋

兩類脆弱性相互影響很大,修正A類缺陷將直接使B類缺陷

大1

消失

兩類脆弱性相互影響較大，修EA類的缺陷將大量減少B類

較大1.5

缺陷的數(shù)量

兩類脆弱性有一定的相互影響，長遠(yuǎn)來說，修正A類的缺陷

中2

將明顯減少B類缺陷的數(shù)量

兩類脆弱性相互影響較小，修EA類的缺陷能少量減少B類

較弱2.5

跳陷的數(shù)量

兩類脆弱性相互影響很小，修正A類的缺陷幾乎不會(huì)減少B

弱3

類缺陷的數(shù)量

技術(shù)、運(yùn)維和管理相關(guān)性從一定程度上可以反映出企業(yè)信息安全管理的理念，對建

立有效的安全保障機(jī)制有較大的促進(jìn)作用。

4.1.4現(xiàn)有安全措施評估

通過對系統(tǒng)中現(xiàn)有的安全措施的評估可判別出已部署的和已經(jīng)規(guī)劃的安全防護(hù)措施是

否合理，以及這些安全措施的使用是否達(dá)到了部署的目的，能否真實(shí)地降低了系統(tǒng)的脆弱性,

抵御了威脅。

對現(xiàn)有安全措施的評估主要包括三個(gè)方面：

?評估安全措施的部署、使用和管理情況（可在脆弱性評估中進(jìn)行）；

?確定這些措施所保護(hù)的資產(chǎn)范圍；

?評估這些防護(hù)措施對系統(tǒng)面臨風(fēng)險(xiǎn)的消除程度。

?????

對現(xiàn)有安全措施進(jìn)行列表，并審核它們的執(zhí)行和使用狀況是現(xiàn)有安全措施評估采用的主

要方法。

4.2實(shí)施流程

信息安全風(fēng)險(xiǎn)評估實(shí)施流程分為四個(gè)階段，分別是：啟動(dòng)準(zhǔn)備階段、現(xiàn)場階段、風(fēng)險(xiǎn)分

析階段和安全建議。在評估實(shí)施完畢后，需要根據(jù)評估結(jié)論進(jìn)行安全整改。下面是實(shí)施流程

圖和說明：

啟斑毓

閔0

蝌僦

數(shù)據(jù)

網(wǎng)沸斤風(fēng)險(xiǎn)分析報(bào)告

安全評估報(bào)告

安全建議安全建議

風(fēng)險(xiǎn)管理計(jì)劃

圖4?3信息安全風(fēng)險(xiǎn)評估實(shí)施流程

1)準(zhǔn)備階段

評估工作的前期準(zhǔn)備和交流，包括：確定評估的范圍、制定評估方案和工作計(jì)劃、

進(jìn)行人員的培訓(xùn)、評估工具的準(zhǔn)備等工作內(nèi)容。

2)現(xiàn)場階段

現(xiàn)場階段由評估人員完成對評估范圍內(nèi)信息系統(tǒng)的風(fēng)險(xiǎn)數(shù)據(jù)采集工作。現(xiàn)場評估階

段包括了資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估等內(nèi)容。

現(xiàn)場階段根據(jù)評估工作方案和工作計(jì)劃，對確定的評估范圍按照以下流程進(jìn)行評估

工作:

圖4?4現(xiàn)場階段工作流

3)風(fēng)險(xiǎn)分析

評估人員根據(jù)風(fēng)給理論，對收集到的風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行分析判斷，確定信息系統(tǒng)面臨的

風(fēng)險(xiǎn)狀況，并做出怎樣減緩風(fēng)險(xiǎn)的決策。

4)安全建議

安全建議是根據(jù)風(fēng)險(xiǎn)決策中提出的解決辦法形成防護(hù)需求，經(jīng)過合理的統(tǒng)計(jì)和歸

納，形成安全解決方案建議的過程。

5)安全整改

根據(jù)安全建議，有選擇、有步驟的對信息系統(tǒng)的安全保障體系進(jìn)行改進(jìn)與完善的過

程。

5.評估實(shí)施方法

5.1評估準(zhǔn)備

5.1.1第1步：成立評估工作組

在一個(gè)評估工作下達(dá)后，需要組織人員來實(shí)施評估二作的內(nèi)容。評估工作組通常包括如

下兩方面的人員：

評估人員：外部專業(yè)評估機(jī)構(gòu)的人員，或由內(nèi)部專業(yè)人員組成的評估隊(duì)伍。

系統(tǒng)管理人員：待評系統(tǒng)的運(yùn)維管理人員。

以上兩部份人員形成一個(gè)完整的評估項(xiàng)目組，根據(jù)項(xiàng)目組成員的職能，項(xiàng)目組包括如下

角色：

表5.1評估工作組人員角色安排

角色職責(zé)評估人員系統(tǒng)管理人員

評估項(xiàng)目負(fù)責(zé)人負(fù)責(zé)總體協(xié)調(diào)、項(xiàng)目管理**

人工評估**

現(xiàn)場評估

工具檢測**

工程師

人員訪談**

審計(jì)工程師數(shù)據(jù)分析、整理*

咨詢顧問風(fēng)險(xiǎn)處置、方案建議*

文檔工程師文檔編制、維護(hù)*

5.1.2第2步：確定評估范圍

評估范圍界定是對待評系統(tǒng)資產(chǎn)的抽樣。在成立了評估工作組后，評估范圍可通過評估

組的工作會(huì)議進(jìn)行確定。

確定的評估范圍應(yīng)能代表待評估系統(tǒng)的所有關(guān)鍵資產(chǎn)，包括：網(wǎng)絡(luò)范圍、主機(jī)范圍、應(yīng)

用系統(tǒng)范圍、制度與管理范圍。

評估范圍確定后，待評系統(tǒng)管理人員需要根據(jù)選定的內(nèi)容進(jìn)行資料的準(zhǔn)備工作，包括:

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、信息資產(chǎn)清單、應(yīng)用系統(tǒng)的說明穩(wěn)當(dāng)、組織機(jī)構(gòu)設(shè)置說明等內(nèi)容。本實(shí)施

指南的附件《信息安全風(fēng)驗(yàn)評估資料準(zhǔn)備說明》中給出「評估前需要準(zhǔn)備的清單。

5.1.3第3步：評估動(dòng)員會(huì)議

安全評估工作是一個(gè)挑毛病、找問題的過程，一般情況下帶評估系統(tǒng)的管理和運(yùn)行維護(hù)

人員都會(huì)有一定的抵觸情緒，因此，需要通過評估動(dòng)員讓所有工作人員明臼評估的目的和意

義。評估動(dòng)員會(huì)議應(yīng)由較高層的領(lǐng)導(dǎo)出席，并表明對評估工作的支持態(tài)度。

評估動(dòng)員會(huì)議要完成以下的議題:評估的時(shí)間和人員安排、評估工作中的風(fēng)險(xiǎn)防范措施。

5.1.4第4步：信息系統(tǒng)調(diào)研

為了確保評估工作的全面性、提高評估工作的效率，在評估實(shí)施前，組織評估工作組成

員對確定的實(shí)施范圍進(jìn)行走訪,通過前期快速的調(diào)研，評估工作組可以基本掌握評估范圍內(nèi)

信息系統(tǒng)和人員的實(shí)際情況，并與配合人員進(jìn)行初步的溝通，確定評估實(shí)施中必須具備的技

術(shù)工具和手段，以及基本的時(shí)間安排和必要的工作準(zhǔn)備。

5.1.5第5步：評估工具準(zhǔn)備

評估工作組根據(jù)收到的評估資料，進(jìn)行評估工具的準(zhǔn)備，這包括威脅列表、網(wǎng)絡(luò)評估工

具、主機(jī)評估工具、資產(chǎn)統(tǒng)計(jì)工具、安全管理訪談表等內(nèi)容。

評估工具中大部份內(nèi)容需要根據(jù)評估范圍和評估的主要目的進(jìn)行定制，例如：威脅列表

需要根據(jù)信息系統(tǒng)實(shí)際的物理、網(wǎng)絡(luò)環(huán)境來進(jìn)行定制；安全管理訪談表需要根據(jù)待評估系統(tǒng)

的管理結(jié)構(gòu)、管理方式進(jìn)行定制。

在評估工具中，網(wǎng)絡(luò)、主機(jī)脆弱性評估的通用性較強(qiáng)，目前可找到的商用和免費(fèi)工具較

多。下表是目前常用的脆弱性評估工具列表：

表5.2脆弱性評估工具

名稱用途說明

ISS-6.2.I漏洞掃描工具主機(jī)安全漏洞掃描、網(wǎng)絡(luò)設(shè)備安全漏洞掃描

Xscan-3.0漏洞掃描工具主機(jī)安全漏洞掃描、網(wǎng)絡(luò)設(shè)備安全漏洞掃描

Fport端口分析Windows系統(tǒng)主機(jī)端口分析工具

SniffcrPro協(xié)議分析工具網(wǎng)絡(luò)協(xié)議分析

SecureCRT人工審計(jì)工具用來進(jìn)行遠(yuǎn)程主機(jī)登錄，可方便存取人工審計(jì)數(shù)

據(jù)

Nessus漏洞掃描分布式漏洞掃描工具

SolarWinds網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)可用于網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、網(wǎng)絡(luò)設(shè)備配置下載

5.2現(xiàn)場評估

現(xiàn)場階段工作流程圖［圖4一）中給出了信息安全風(fēng)險(xiǎn)評估的主要內(nèi)容，下面根據(jù)流程圖

所示流程，對每一步的工作內(nèi)容進(jìn)行詳細(xì)的說明。

5.2.1第1步：資產(chǎn)評估

資產(chǎn)評估是評估的起點(diǎn)，做好資產(chǎn)評估能有效保證評估的完整性和科學(xué)性。資產(chǎn)評估包

括了資產(chǎn)統(tǒng)計(jì)、業(yè)務(wù)系統(tǒng)分解和資產(chǎn)估值三部分內(nèi)容，其中資產(chǎn)估值需要在對業(yè)務(wù)系統(tǒng)進(jìn)行

充分了解和分析的基礎(chǔ)上進(jìn)行。

資產(chǎn)評估中采用以業(yè)務(wù)系統(tǒng)為主線的方法，將每一項(xiàng)信息資產(chǎn)按照所屬業(yè)務(wù)系統(tǒng)進(jìn)行歸

類，在業(yè)務(wù)系統(tǒng)劃分的基礎(chǔ)上評估信息系統(tǒng)的的安全性。

?資產(chǎn)統(tǒng)計(jì)

表5.3資產(chǎn)統(tǒng)計(jì)

輸入輸出

信息資產(chǎn)統(tǒng)計(jì)表、網(wǎng)絡(luò)拓?fù)浜驼f明、

信息資產(chǎn)清單列表

信息系統(tǒng)描述與系統(tǒng)分析報(bào)告

資產(chǎn)統(tǒng)計(jì)輸出的《信息資產(chǎn)清單列表》是評估中需要進(jìn)行分析的資產(chǎn)，具體的列表

情況參見附件一中的附錄A。

?業(yè)務(wù)系統(tǒng)分解

較簡單的業(yè)務(wù)系統(tǒng)直接分解為功能模塊，大的業(yè)務(wù)系統(tǒng)先分為相對獨(dú)立的子系統(tǒng),

再對這些子系統(tǒng)進(jìn)行功能分解。功能模塊的分解參考如下功能模塊定義:

表5.4業(yè)務(wù)系統(tǒng)分解表

類別說明

數(shù)據(jù)存儲信息系統(tǒng)中負(fù)責(zé)數(shù)據(jù)存儲的子系統(tǒng)或功能模塊。如數(shù)據(jù)庫服務(wù)器

業(yè)務(wù)處理信息系統(tǒng)中負(fù)責(zé)進(jìn)行數(shù)據(jù)處理運(yùn)算的子系統(tǒng)或模塊，如應(yīng)用服務(wù)器

服務(wù)提供信息系統(tǒng)中負(fù)責(zé)對用戶提供服務(wù)的子系統(tǒng)或模塊，如web服務(wù)器

由用戶或客戶直接使用、操縱的模塊，包括：工作站、客戶機(jī)等，如應(yīng)

客戶端

用客戶端、web瀏覽器

*注：以上的子系統(tǒng)（功能模塊）分類可能存在于一臺主機(jī)上，也可能分布在多臺主機(jī)

上，對信息系統(tǒng)的分解不需要特別注明子系統(tǒng)的分布情況，只需詳細(xì)說明功能作用卻

構(gòu)成。

這一步的工作說明如下:

表5.5業(yè)務(wù)系統(tǒng)分解

輸入輸出

信息資產(chǎn)清單列表、網(wǎng)絡(luò)拓?fù)浜驼f明、

業(yè)務(wù)系統(tǒng)功能分解表

信息系統(tǒng)描述與系統(tǒng)分析報(bào)告

一個(gè)示例的業(yè)務(wù)系統(tǒng)功能分解表如下:

系統(tǒng)名稱系統(tǒng)功能系統(tǒng)設(shè)備

數(shù)據(jù)存儲

業(yè)務(wù)處理營銷系統(tǒng)服務(wù)器

服務(wù)提供

營銷系統(tǒng)營銷Web服務(wù)器

系統(tǒng)管理員桌面機(jī)

客戶端

普通用戶桌面機(jī)

業(yè)務(wù)系統(tǒng)功能分解是為了輔助判斷業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)、操作、處理等功能是在構(gòu)

成系統(tǒng)的那些設(shè)備上完成的，確定出系統(tǒng)中的關(guān)鍵與核心設(shè)備。

522第2步：網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評估

網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評估是對業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)中的部署情況進(jìn)行的審計(jì)，以判斷業(yè)務(wù)系統(tǒng)的

部署是否跨越不同等級的安全區(qū)域。

表5.6網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評估

輸入輸出

網(wǎng)絡(luò)拓?fù)鋱D、業(yè)務(wù)系統(tǒng)邏輯結(jié)構(gòu)說明網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架安全性記錄

這里網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架的評估結(jié)果主要是輔助對相關(guān)網(wǎng)絡(luò)設(shè)備、主機(jī)安全性進(jìn)行判

斷，并且對網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)結(jié)構(gòu)的缺陷進(jìn)行判斷，輸出的記錄內(nèi)容主要包括：

?網(wǎng)絡(luò)結(jié)構(gòu)與業(yè)務(wù)構(gòu)架是否相適合

?網(wǎng)絡(luò)關(guān)鍵點(diǎn)的鏈路是否安全可鴕

?業(yè)務(wù)結(jié)構(gòu)和業(yè)務(wù)流是否安全

5.2.3第3步：業(yè)務(wù)系統(tǒng)安全性評估

?業(yè)務(wù)系統(tǒng)通信關(guān)系審計(jì)

業(yè)務(wù)通信關(guān)系審計(jì)是對業(yè)務(wù)系統(tǒng)間,以及業(yè)務(wù)系統(tǒng)內(nèi)部子系統(tǒng)間的通信安全性進(jìn)行

的審計(jì)，對于已有安全要求的業(yè)務(wù)系統(tǒng)可按照安全要求進(jìn)行審計(jì)，沒有安全要求的'業(yè)務(wù)

系統(tǒng)可參照業(yè)務(wù)系統(tǒng)評估方法定義安全要求。

表5.7業(yè)務(wù)系統(tǒng)通信關(guān)系審計(jì)

輸入輸出

信息系統(tǒng)描述與系統(tǒng)分析報(bào)告、'業(yè)務(wù)業(yè)務(wù)系統(tǒng)通信關(guān)系與通信安全性

系統(tǒng)功能分解表記錄

業(yè)務(wù)通信關(guān)系審計(jì)的輸出記錄是對關(guān)鍵業(yè)務(wù)通信信道、通信方式的判斷結(jié)果，主要

的記錄內(nèi)容示例如下：

系統(tǒng)名稱1系統(tǒng)名稱2主機(jī)1主機(jī)2通信方式傳輸數(shù)據(jù)內(nèi)容

TCP/IP電費(fèi)數(shù)據(jù)，帳務(wù)

CIS服務(wù)器前置機(jī)

客戶信息銀行聯(lián)網(wǎng)SQL*nct信息

系統(tǒng)系統(tǒng)TCP/IP

前置機(jī)銀行前置機(jī)帳務(wù)信息

TUXEDO(S/C)

客戶信息TCP/IP客戶信息，業(yè)擴(kuò)

9559895598WebCIS服務(wù)器

系統(tǒng)SQL*net信息

在數(shù)據(jù)分析過程中，由此上表結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)安全性可以判斷出兩個(gè)系統(tǒng)間目

前的通信方式是否安全。

業(yè)務(wù)操作安全審計(jì)

業(yè)務(wù)操作安全審計(jì)是對業(yè)務(wù)系統(tǒng)使用情況進(jìn)行的審計(jì)，以確保不會(huì)由于非法操作或

惡意操作導(dǎo)致信息安全事件，對業(yè)務(wù)操作的審計(jì)可參考相應(yīng)的業(yè)務(wù)系統(tǒng)運(yùn)維管理?xiàng)l例和

職責(zé)劃分制度等內(nèi)容。

表5.8業(yè)務(wù)操作安全審計(jì)

輸入輸出

業(yè)務(wù)系統(tǒng)功能分解表、業(yè)務(wù)系統(tǒng)數(shù)據(jù)

業(yè)務(wù)系統(tǒng)操作審計(jì)記錄

流圖、業(yè)務(wù)運(yùn)維相關(guān)管理制度文檔

業(yè)務(wù)操作審計(jì)是對業(yè)務(wù)系統(tǒng)客戶端業(yè)務(wù)軟件和用關(guān)人員的審計(jì)，輸出的業(yè)務(wù)系統(tǒng)操

作審計(jì)記錄主要包括一下內(nèi)容：

.客戶端安全配置

?客戶端業(yè)務(wù)功能是否符合業(yè)務(wù)安全策略要求

?客戶端軟件的基本安全功能，包括：輸入驗(yàn)證、數(shù)據(jù)緩存等

?業(yè)務(wù)人員的安全意識等

5.2.4第4步：資產(chǎn)估值

資產(chǎn)估值需要根據(jù)資產(chǎn)所處網(wǎng)絡(luò)環(huán)境、資產(chǎn)中的數(shù)據(jù)、資產(chǎn)對業(yè)務(wù)系統(tǒng)的重要程度等內(nèi)

容進(jìn)行。

表5?9資產(chǎn)估值

輸入輸出

信息資產(chǎn)清單列表、信息系統(tǒng)描述與系統(tǒng)

分析報(bào)告、網(wǎng)絡(luò)拓?fù)鋱D、業(yè)務(wù)系統(tǒng)邏輯結(jié)

資產(chǎn)賦值表

構(gòu)說明、業(yè)務(wù)功能系統(tǒng)分解表、業(yè)務(wù)系統(tǒng)

通信關(guān)系與通信安全性記錄

資產(chǎn)估值結(jié)合了第I步到第3步的評估結(jié)果，通過對資產(chǎn)清單中具體資產(chǎn)上信息（數(shù)據(jù)）、

軟件和硬件，以及相關(guān)人員的安全屬性判斷綜合獲得。

5.2.5第5步：威脅評估

威脅評估是通過對業(yè)務(wù)系統(tǒng)整體環(huán)境的判斷和掌握，確認(rèn)系統(tǒng)所受到的威脅情況的過

程，威脅評估主要包含以下三項(xiàng)內(nèi)容:

?威脅統(tǒng)計(jì)

威脅統(tǒng)計(jì)是對信息系統(tǒng)面臨的威脅的確認(rèn)過程，威脅數(shù)據(jù)來源的方式較為多樣，評

估中可根據(jù)情況先進(jìn)行威脅列表的維護(hù)，再根據(jù)實(shí)際環(huán)境進(jìn)行判斷和分析。

表5.10威脅統(tǒng)計(jì)

輸入輸出

威脅列表、信息系統(tǒng)日志、系統(tǒng)環(huán)境

系統(tǒng)威脅統(tǒng)計(jì)表

說明

威脅統(tǒng)計(jì)是根據(jù)信息系統(tǒng)的實(shí)際情況對威脅列表進(jìn)行增加、刪除的過程。附錄3

中給出了一個(gè)典型的成脅列表。

?資產(chǎn)威脅關(guān)聯(lián)性分析

資產(chǎn)威脅關(guān)聯(lián)性分析是對具體資產(chǎn)或業(yè)務(wù)系統(tǒng)建立其威脅列表，以判斷對具體資產(chǎn)

或業(yè)務(wù)系統(tǒng)究竟有哪些威脅較為嚴(yán)重。根據(jù)評估的規(guī)?？芍粚﹃P(guān)鍵資產(chǎn)進(jìn)行威脅分析。

表5?11資產(chǎn)威脅關(guān)聯(lián)性分析

輸入輸出

信息資產(chǎn)清單列表、系統(tǒng)威脅統(tǒng)

計(jì)表、信息系統(tǒng)描述與系統(tǒng)分析

報(bào)告、網(wǎng)絡(luò)拓?fù)鋱D、業(yè)務(wù)系統(tǒng)邏資產(chǎn)威脅關(guān)聯(lián)表

輯結(jié)構(gòu)說明、業(yè)務(wù)系統(tǒng)通信關(guān)系

與通信安全性記錄

資產(chǎn)威脅關(guān)聯(lián)表是對每一個(gè)評估資產(chǎn)根據(jù)威脅統(tǒng)計(jì)表挑出其所面臨的威脅的過程。

這一過程需要評估人員和信息系統(tǒng)的運(yùn)行維護(hù)人員一起進(jìn)行討論、分析和判斷。

?威脅賦值與計(jì)算

表5.12威脅賦值與計(jì)算

輸入輸出

資產(chǎn)威脅關(guān)聯(lián)表資產(chǎn)威脅賦值表

威脅賦值過程對每一個(gè)信息資產(chǎn)面臨的威脅的可能性和嚴(yán)重程度都進(jìn)行判斷，賦值

的依據(jù)參考4.1.2節(jié)中的規(guī)定。威脅賦值過程可以配合資產(chǎn)威脅關(guān)聯(lián)性分析過程由評估

人員和系統(tǒng)運(yùn)行維護(hù)人員?起討論決定。

對于較大規(guī)模的評估，針對每一個(gè)資產(chǎn)進(jìn)行威脅判斷會(huì)導(dǎo)致工作量劇增，這在實(shí)際的評

估操作中往往導(dǎo)致威脅評估不了了之。因此，為簡化威脅評估，可針對具體的應(yīng)用系統(tǒng)或安

全域進(jìn)行威脅評估工作，將對應(yīng)用系統(tǒng)或安全域整體的威脅視為對其中每一個(gè)資產(chǎn)的威脅。

5.2.6第6步：主機(jī)安全性評估

主機(jī)安全性評估是對業(yè)務(wù)系統(tǒng)范圍內(nèi)的主機(jī)的安全漏洞進(jìn)行發(fā)現(xiàn)的過程,包括如下的內(nèi)

容：

?設(shè)備安全漏洞掃描

設(shè)備安全漏洞掃描是采用漏洞掃描工具對系統(tǒng)技術(shù)漏洞的發(fā)現(xiàn)過程，在漏洞攔描的

過程中可能會(huì)對業(yè)務(wù)系統(tǒng)的運(yùn)行產(chǎn)生影響，因此需要得到操作許可，并準(zhǔn)備應(yīng)急預(yù)案以

避免由風(fēng)險(xiǎn)評估產(chǎn)生的風(fēng)險(xiǎn)C

表5.13設(shè)備安全漏洞掃描

輸入輸出

信息資產(chǎn)清單列表設(shè)備漏洞掃描結(jié)果

?設(shè)備審計(jì)

設(shè)備審計(jì)是采用人，登錄主機(jī)或網(wǎng)絡(luò)設(shè)備的方式對設(shè)備的安全配置情況進(jìn)行的審

計(jì)，由于設(shè)備配置數(shù)據(jù)是信息系統(tǒng)的敏感數(shù)據(jù)，因此在審計(jì)前需要得到操作許可。

表5.14設(shè)備審計(jì)

輸入輸出

信息資產(chǎn)清單列表，主機(jī)或網(wǎng)絡(luò)審

設(shè)備審計(jì)結(jié)果

計(jì)檢查列表

設(shè)備審計(jì)主要依據(jù)相應(yīng)的檢查列表，由人工進(jìn)行操作。檢查列表是由評估機(jī)構(gòu)根據(jù)

各類設(shè)備的安全配置和使用經(jīng)驗(yàn)總結(jié)、整理出的評估工具。

5.2.7第7步：現(xiàn)有安全措施審計(jì)

對現(xiàn)有安全措施的審計(jì)主要評估這些安全措施是否發(fā)揮了作用，以及配套的管理策略是

否到位。

表5.15現(xiàn)有安全措施審計(jì)

輸入輸出

信息資產(chǎn)清單列表、（現(xiàn)有安全措

現(xiàn)有安全措施審計(jì)記錄

施部署方案）

現(xiàn)有安全措施審計(jì)記錄中主要包括的內(nèi)容有：

.部署方式記錄

?策略配置記錄

?相關(guān)日志的記錄

附錄4中給出了防火墻和防病毒審計(jì)的記錄表，在評估中可以參考使用。

5.2.8第8步：信息安全管理評估

?安全管理制度文檔分析

文檔分析主要是對信息系統(tǒng)管理中已制定和采用的安全管理制度文檔以及制度的

執(zhí)行情況進(jìn)行分析，通過分析發(fā)現(xiàn)現(xiàn)有制度中的缺陷。本部分的工作可以先期展開。

表5.16安全管理制度文檔分析