信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)手冊(cè)模板

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)手

冊(cè)模板

信息安全啟明星辰風(fēng)險(xiǎn)評(píng)估

帶格式的：字體（默認(rèn)）TimesNewRoman,（中文）宋體.

一號(hào),非加相

服務(wù)宮傳手冊(cè)帶格式的：字體:（默認(rèn)）TimesNewRoman」中文）宋儂

A，，一，-，，「，，.▲一號(hào).非加粗

啟明星后^

北京啟明星辰信息安全技術(shù)有限公司

費(fèi)科內(nèi)容僅供傷學(xué)習(xí)費(fèi)考，如有不當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

帶格式的：無(wú)項(xiàng)目符號(hào)或組號(hào)1

+文檔記錄信息

第1章....................................風(fēng)險(xiǎn)評(píng)估的重要性

錯(cuò)誤!一定義書(shū)簽.

1.1.風(fēng)險(xiǎn)評(píng)估背景..............................錯(cuò)誤味定義書(shū)簽.

L2.風(fēng)險(xiǎn)評(píng)估目的..............................錯(cuò)謖!未定義書(shū)簽.

1.3.風(fēng)險(xiǎn)評(píng)估方式..............................錯(cuò)誤!未定義書(shū)簽.

第2章.......................啟明星辰信息安全服務(wù)產(chǎn)品介紹

錯(cuò)誤!未定義書(shū)簽.

2.1.服務(wù)產(chǎn)品概述.............................錯(cuò)誤!未定義書(shū)簽.

2.2.服務(wù)產(chǎn)品功能.............................錯(cuò)誤!未定義書(shū)簽.

2.2./.資產(chǎn)評(píng)估.................................錯(cuò)誤!未定義書(shū)簽。

2.2.2.威脅評(píng)估................................錯(cuò)誤!未定義節(jié)簽.

2.2.3.脆弱性評(píng)估.............................錯(cuò)誤!未定義書(shū)簽。

2.2.4.風(fēng)險(xiǎn)綜合分析...........................錯(cuò)誤!未定義書(shū)簽.

2.2.5.風(fēng)險(xiǎn)處理計(jì)劃...........................錯(cuò)誤!未定義書(shū)簽。

23服務(wù)產(chǎn)品交付..............................錯(cuò)誤!未定義書(shū)簽.

2.3.1.風(fēng)險(xiǎn)評(píng)估綜合報(bào)告........................錯(cuò)誤!未定義書(shū)簽。

費(fèi)科內(nèi)容僅供傷學(xué)習(xí)費(fèi)考，如有不當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

2.3.2.資產(chǎn)賦值列表....................................錯(cuò)誤:未定義書(shū)簽。

2.3.3.威脅賦值列表....................................錯(cuò)誤!未定義節(jié)簽.

2.3.4.脆弱性賦值列表.................................錯(cuò)誤味定義書(shū)簽。

2.3.5.風(fēng)險(xiǎn)處理計(jì)劃....................................錯(cuò)誤1未定義書(shū)簽.

2.4.服務(wù)產(chǎn)品收益..............................錯(cuò)誤侏定義書(shū)簽。

2.4.1.資產(chǎn)識(shí)別...........................................錯(cuò)誤!未定義書(shū)簽.

2.4.2.平衡安全風(fēng)險(xiǎn)與成本............................錯(cuò)誤味定義書(shū)簽。

2.4.3.風(fēng)險(xiǎn)識(shí)別..........................................錯(cuò)誤!未定義書(shū)簽.

2.4.4.建設(shè)指導(dǎo)..........................................錯(cuò)誤:未定義書(shū)簽。

2.4.5.業(yè)務(wù)保障..........................................錯(cuò)誤?未定義書(shū)簽.

第3章......................啟明星辰信息安全服務(wù)產(chǎn)品規(guī)格

鉗誤!未定義書(shū)簽.

3.1.服務(wù)評(píng)估模型.............................錯(cuò)誤!未定義書(shū)簽.

3.1.1.評(píng)估模型...........................................錯(cuò)誤!未定義書(shū)簽。

3.1.2.評(píng)估標(biāo)準(zhǔn)...........................................錯(cuò)誤!未定義書(shū)簽。

3.2.服務(wù)評(píng)估方法.............................錯(cuò)謝未定義書(shū)簽.

3.2.7.訪談?wù){(diào)研...........................................錯(cuò)誤!未定義書(shū)簽。

3.2.2.人工審計(jì)..........................................錯(cuò)誤!未定義書(shū)簽,

3.2.3.工具掃描..........................................錯(cuò)誤I未定義書(shū)簽。

3.2.4.滲..........................................................透測(cè)試..錯(cuò)誤!未定義書(shū)簽.

3.3.服務(wù)評(píng)估范圍.............................錯(cuò)誤!未定義書(shū)簽.

3.3./.技術(shù)評(píng)估..........................................錯(cuò)誤!未定義卡簽.

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除,

3.3.2.管理評(píng)估.................................錯(cuò)誤!未定義節(jié)簽。

第4章.......................啟明星辰信息安全服務(wù)產(chǎn)品流程

錯(cuò)誤!未定義書(shū)卷，

4.1.服務(wù)流程藍(lán)圖.............................錯(cuò)誤!未定義書(shū)簽。

4.2.服務(wù)流程階段.............................錯(cuò)誤!未定義書(shū)簽.

4.2.1.服務(wù)啟動(dòng).................................錯(cuò)誤!未定義書(shū)簽。

4.2.2.資產(chǎn)評(píng)估.................................錯(cuò)誤!未定義書(shū)簽.

4.2.3.威脅評(píng)估.................................錯(cuò)誤:未定義書(shū)簽。

4.2.4.脆弱評(píng)估.................................錯(cuò)誤!未定義書(shū)簽.

4.2.5.風(fēng)險(xiǎn)分析.................................錯(cuò)誤!未定義書(shū)簽。

4.2.6.風(fēng)險(xiǎn)處理.................................錯(cuò)誤1未定義書(shū)簽.

42.7.服.............................................務(wù)驗(yàn)收..錯(cuò)誤!未定義書(shū)簽。

4.3.服務(wù)流程管理.............................錯(cuò)誤!未定義書(shū)簽.

4.3.1.管理概述.................................錯(cuò)誤!未定義書(shū)簽。

4.3.2.管理組成.................................錯(cuò)誤!未定義書(shū)簽。

第5章.....................啟明星辰信息安全服務(wù)產(chǎn)品優(yōu)勢(shì)

錯(cuò)誤!未定義書(shū)卷.

5.1.公司整體優(yōu)勢(shì).............................錯(cuò)誤!未定義書(shū)簽.

5.2.服務(wù)發(fā)展優(yōu)勢(shì).............................錯(cuò)誤!未定義書(shū)簽?

5.3.服務(wù)資質(zhì)優(yōu)勢(shì).............................錯(cuò)誤沫定義書(shū)簽.

5.4.團(tuán)隊(duì)保障優(yōu)勢(shì).............................錯(cuò)謖味定義書(shū)簽.

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除,

第6章..........................啟明星辰信息安全服務(wù)成功案例

錯(cuò)誤!未定義書(shū)簽.

6.1.重點(diǎn)案例列表...............................錯(cuò)誤:未定義書(shū)簽?

6.2.重點(diǎn)案例簡(jiǎn)介...............................錯(cuò)誤!未定義書(shū)簽。

6.2.1.金融案例.................................錯(cuò)誤!未定義節(jié)簽.

6.2.2.電信案例.................................錯(cuò)誤!未定義書(shū)簽。

6.2.3.能源案例.................................錯(cuò)誤!未定義書(shū)簽.

6.2.4.政府案例.................................錯(cuò)誤!未定義書(shū)簽。

第7章.............................................附錄術(shù)語(yǔ)定義

錯(cuò)誤!未定義書(shū)簽.

第1章風(fēng)險(xiǎn)評(píng)估的重要性

1.1.風(fēng)險(xiǎn)評(píng)估背景

隨著政府部門、企事業(yè)單,立以及各行各業(yè)對(duì)信息系統(tǒng)依賴程

度的日益增強(qiáng)，信息安全問(wèn)題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估方法去

識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。信息

安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)

始分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一

旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策

和整改措施；為防范和化解信息安全風(fēng)險(xiǎn),揩風(fēng)險(xiǎn)控制在可接受的

水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重

要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢

棄各個(gè)階段，是信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。

國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估推進(jìn)工作情況如下：

時(shí)間具體推進(jìn)事件歷程

￡關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[]27號(hào)）中明確提

出“要重視信息安全風(fēng)檢評(píng)估工作”。

為貫徹落實(shí)27號(hào)文件精神，原國(guó)信辦組織有關(guān)單位和專家編寫(xiě)了￡信

息安全風(fēng)臉過(guò)估指南》，

原國(guó)信辦在北京、上海、云南、黑龍江2市2省區(qū)和很行.電

力、稅務(wù)3個(gè)行業(yè)組引了信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)。

原國(guó)信辦召開(kāi)「信息安全風(fēng)險(xiǎn)評(píng)估推進(jìn)工作會(huì)議。國(guó)家部委、分省信

息辦依據(jù)中辦發(fā)5號(hào)、9號(hào)文件，開(kāi)展重要行業(yè)安全風(fēng)險(xiǎn)評(píng)估工

作。

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

為保障卜七大，在國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和肅要信息系統(tǒng)范圍內(nèi)，全面展

開(kāi)了自評(píng)估工作。（中國(guó)移動(dòng)、電力、稅務(wù)、證券）

?經(jīng)過(guò)多年實(shí)踐，風(fēng)險(xiǎn)評(píng)估是”?種度量信息安全狀況的科學(xué)方法”，

經(jīng)過(guò)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)要素的識(shí)別、分析、評(píng)價(jià)，發(fā)現(xiàn)網(wǎng)

至今

絡(luò)和信息系統(tǒng)的安全風(fēng)險(xiǎn)，經(jīng)過(guò)安全加固，使高風(fēng)險(xiǎn)降低到可接受的

水平，從而提高信息安全風(fēng)險(xiǎn)管理的水平，”

表-1

1.2.風(fēng)險(xiǎn)評(píng)估目的

風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的

過(guò)程,是依據(jù)國(guó)際/國(guó)家/地方有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),評(píng)估信息系統(tǒng)

的脆弱性、面臨的威脅以及脆弱性被威脅源利用的可能性和利用

后對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性

和可用性所產(chǎn)生的實(shí)際負(fù)面影響，并以此識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)

內(nèi)過(guò)程。

風(fēng)險(xiǎn)評(píng)估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的

安全狀況，全面了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn)，明

確采取何種有效措施，降低威脅事件發(fā)生的可能性或者其所造成的

影響,減少信息系統(tǒng)的脆弱性，從而將風(fēng)險(xiǎn)降低到可接受的水平:同

時(shí)，能夠定期了解信息系統(tǒng)的安全防護(hù)水平并為后期安全規(guī)劃建設(shè)

內(nèi)提出提供原始依據(jù)，并作為今后其它工作的參考。

1.3.風(fēng)險(xiǎn)評(píng)估方式

小自評(píng)估

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，依靠自身的力量參照國(guó)家

法規(guī)與標(biāo)準(zhǔn)，

對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。

,檢查評(píng)估

檢查評(píng)估則一般是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管機(jī)關(guān)或

業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具

有強(qiáng)制意味的檢查活動(dòng)，是經(jīng)過(guò)行政手段加強(qiáng)信息安全的重要措

施。

中委托評(píng)估

是由被評(píng)估信息系統(tǒng)的擁有者友起，委托專業(yè)的服務(wù)機(jī)徹，參照

國(guó)家法規(guī)與標(biāo)準(zhǔn)，對(duì)其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。

第2章啟明星辰信息安全服務(wù)產(chǎn)品介紹

2.1.服務(wù)產(chǎn)品概述

啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)

信息安全風(fēng)險(xiǎn)永遠(yuǎn)存在，安全產(chǎn)品不能解決所白的問(wèn)題。信息安

全工作本身是一個(gè)過(guò)程,它的本質(zhì)是風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理工作不但

僅是一個(gè)簡(jiǎn)單的理論、方法，更需要在實(shí)踐中檢驗(yàn)發(fā)展。啟明星

展信息安全強(qiáng)調(diào)安全必須為業(yè)務(wù)服務(wù),以最佳實(shí)踐作為信息安全工

作的落腳點(diǎn),經(jīng)過(guò)有效的安全服務(wù),讓安全技術(shù)有效地發(fā)揮作用。

啟明星展信息安全為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評(píng)估

服務(wù)。居明星展信息安全認(rèn)為,風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基石，安全

管理監(jiān)控是風(fēng)險(xiǎn)管理的過(guò)程化實(shí)施。單純的技術(shù)評(píng)估不能全面揭

示信息安全風(fēng)險(xiǎn)所在，脫離細(xì)致技術(shù)檢查手段的管理評(píng)估也似無(wú)本

之木，技術(shù)和管理是空不可分的兩個(gè)方面。同時(shí)，應(yīng)用系統(tǒng)自身的

安全性也是風(fēng)險(xiǎn)管理的重要組成部分。

啟明星展信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)基于技術(shù)方面的安全評(píng)住、

基于管理方面管理評(píng)估和綜合兩者的全面評(píng)估.客戶能夠全面了解

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

組織內(nèi)部的信息安全狀況，盡早發(fā)現(xiàn)存在的問(wèn)題。同時(shí)，根據(jù)安全

專家的建議，客戶能夠在降低風(fēng)險(xiǎn)、承受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面

做出正確的選擇。

啟明星展信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)綜合國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界

最佳實(shí)踐，為客戶清晰的展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀、安全風(fēng)

險(xiǎn)，提供公正、客觀數(shù)據(jù)作為決策參考，為客戶下一步控制和降低

安全風(fēng)險(xiǎn)、改進(jìn)安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù),

從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視,為客戶后續(xù)信息安全工作爭(zhēng)取支持,

為客戶后續(xù)信息安全順利開(kāi)展?fàn)幦≠Y源和地位，風(fēng)險(xiǎn)評(píng)估能夠帚助

客戶從技木、管埋萬(wàn)面或全面受清家底、做到知己知彼，腴利進(jìn)

行信息系統(tǒng)安全規(guī)劃、設(shè)計(jì)、建設(shè)。加強(qiáng)組織各層面對(duì)于信息安

全工作的認(rèn)識(shí)和理解程度，提高組織各層面的信息安全保障意識(shí),

對(duì)于規(guī)范和系統(tǒng)化提高信息安全保障水平提供了有效的方法。

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

2.2.服務(wù)產(chǎn)品功能

風(fēng)險(xiǎn)綠合以別風(fēng)齡鐵型計(jì)算風(fēng)險(xiǎn)接收海0風(fēng)險(xiǎn)綠合訐侑

5風(fēng)險(xiǎn)處?計(jì)劃

拄謂期效果實(shí)■條件進(jìn)度安排責(zé)任警門

圖-1

2.2.1.資產(chǎn)評(píng)估

資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)

系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的

保護(hù)價(jià)值。

資產(chǎn)評(píng)估是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評(píng)估主要

是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，而其估價(jià)準(zhǔn)則就是依賴于對(duì)其影響的分析,

士要從?？招浴⑼暾?、可用性三方面的安全屬性進(jìn)行影響分析,

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

從資產(chǎn)的相對(duì)價(jià)值中體現(xiàn)了威脅的嚴(yán)重程度；這樣，威脅評(píng)估就成

了對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估，主要從發(fā)生的可能性、發(fā)

生成功的可能性以及發(fā)生成功后的嚴(yán)重性三方面安全屬性進(jìn)行分

析；目的是要對(duì)組織的歸類資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利

用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保

護(hù)層次，從而使組織更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管

理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，更有合理性的進(jìn)行新的資產(chǎn)投

Ao

2.2.2.威脅評(píng)估

威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。沱為

風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無(wú)論對(duì)于多么

安全的信息系統(tǒng),它都存在。

威脅評(píng)估采用的方法是問(wèn)卷調(diào)查、問(wèn)詢、數(shù)據(jù)取樣、日志

分析。在這一過(guò)程中，首先要對(duì)組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)

行威脅識(shí)別。在威脅評(píng)估過(guò)程中.應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和冷

產(chǎn)以前遭受威脅損害的情況來(lái)判斷，一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅,

同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響。識(shí)別出威脅由誰(shuí)或什

么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客

體。

資料內(nèi)容僅供您學(xué)習(xí)參考，如有K當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除.

2.2.3,脆弱性評(píng)估

脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括

物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及

通訊設(shè)施等各個(gè)方面，這些都可能被各種安全威脅利用來(lái)侵害一個(gè)

組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。

脆弱性評(píng)估將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種

威脅所能利用的脆弱性，并對(duì)脆弱性的產(chǎn)重程度進(jìn)行評(píng)估，就是對(duì)

脆弱性被威脅利用的可能性進(jìn)行評(píng)估，最終為其賦相對(duì)等級(jí)值c在

進(jìn)行脆弱性評(píng)估時(shí)，提供的數(shù)據(jù)應(yīng)該來(lái)自于這些資產(chǎn)的擁有者或使

用者.來(lái)自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)

人員。在評(píng)估中，從技術(shù)脆弱性和安全管理脆弱性兩個(gè)方面進(jìn)行脆

弱性檢查。

2.2.4.風(fēng)險(xiǎn)綜合分析

風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)

的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果

的結(jié)合。風(fēng)險(xiǎn)只能預(yù)防、避免、降低、轉(zhuǎn)移和接受,但不可能完

全被消滅。在完成資產(chǎn)、威脅和脆弱性的評(píng)估后，進(jìn)入安全風(fēng)險(xiǎn)

的評(píng)估階段。在這個(gè)過(guò)程中，采用最新的方法表述威脅源采用何種

威脅方法,利用了系統(tǒng)的何種脆弱性,對(duì)哪一類資產(chǎn)，產(chǎn)生了什么樣

的影響,并描述采取何種對(duì)策來(lái)防范威脅,減少脆弱性。

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性能夠是威

脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱

點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析原來(lái)如下圖所示：

圖-2

2.2.5.風(fēng)險(xiǎn)處理計(jì)劃

風(fēng)險(xiǎn)處理目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比較,以

確定組織安全策略。對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱

性制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性

的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。

安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮

風(fēng)險(xiǎn)處理是一種系統(tǒng)化方法，可經(jīng)過(guò)多種方式實(shí)現(xiàn)：

?：?風(fēng)險(xiǎn)接受：接受潛在的風(fēng)險(xiǎn)并繼續(xù)運(yùn)行信息系統(tǒng),不對(duì)風(fēng)險(xiǎn)進(jìn)

行處理。

?風(fēng)險(xiǎn)降低:經(jīng)過(guò)實(shí)現(xiàn)安全措施來(lái)降低風(fēng)險(xiǎn),從而將脆弱性被威

脅源利用

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

后可能帶來(lái)的不利影響最小化

風(fēng)險(xiǎn)規(guī)避：不介入風(fēng)險(xiǎn)，經(jīng)過(guò)消除風(fēng)險(xiǎn)的原因和/或后果來(lái)規(guī)避

風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)轉(zhuǎn)移：經(jīng)過(guò)使用其它措施來(lái)補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)

買保險(xiǎn)。

2.3.服務(wù)產(chǎn)品交付

2.3.1.風(fēng)險(xiǎn)評(píng)估綜合報(bào)告

主體報(bào)告，描述被評(píng)估信息系統(tǒng)得信息安全現(xiàn)狀，對(duì)評(píng)估范圍

內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析，明確出威脅源采用何種威脅方法，利

用了哪些脆弱性，對(duì)范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種

對(duì)策進(jìn)行防范威脅,減少脆弱性;并對(duì)風(fēng)險(xiǎn)評(píng)估作出總結(jié)，總結(jié)出哪

些問(wèn)題需要當(dāng)前解決,哪些問(wèn)題能夠分步分期解決。

資料內(nèi)容僅供您學(xué)習(xí)參考，如有K當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

23.2.資產(chǎn)賦值列表

綜合報(bào)告的子報(bào)告，描述了在資產(chǎn)識(shí)別后，對(duì)資產(chǎn)進(jìn)行分類整

理，并依據(jù)其所受破壞后所造成的影響，分析出其影響權(quán)值及其重

要性。

2.3.3.威脅賦值列表

綜合報(bào)告的子報(bào)告，描述總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的

威脅源,以及其所采用的方法。

2.3.4.脆弱性賦值列表

綜合報(bào)告的子報(bào)告，描述出經(jīng)過(guò)安全管理調(diào)查、工具掃描、

手工檢查進(jìn)行專業(yè)分析后，總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的

脆弱性。經(jīng)過(guò)工具掃描之后，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計(jì),

重在描述高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)的數(shù)量以及百分比等情況。

2.3.5.風(fēng)險(xiǎn)處理計(jì)劃

綜合報(bào)告后的輔助報(bào)告，經(jīng)過(guò)綜合分析,了解了當(dāng)前的安全現(xiàn)狀,

提出了針對(duì)當(dāng)前問(wèn)題的信息系統(tǒng)總體安全解決方案。

2.4.服務(wù)產(chǎn)品收益

2.4.1,資產(chǎn)識(shí)別

中幫助客廣對(duì)組織內(nèi)資產(chǎn)進(jìn)行梳理，針對(duì)在傳統(tǒng)資產(chǎn)清理過(guò)程中,

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

比較容易被忽略的數(shù)據(jù)資產(chǎn)，服務(wù)資產(chǎn)等,使客戶從原有的固定

資產(chǎn)保護(hù),提升為信息資產(chǎn)保護(hù)。

?幫助客戶進(jìn)行組織內(nèi)資產(chǎn)的分級(jí)管理,經(jīng)過(guò)定量分析，明確各信

息系統(tǒng)對(duì)客戶的重要程度，經(jīng)過(guò)有效整合信息系統(tǒng)的安全需求,

在有限的資源環(huán)境下，更好的提高客戶的信息安全水平。

2.4.2,平衡安全風(fēng)險(xiǎn)與成本

幫助客戶在安全建設(shè)過(guò)程中綜合平衡安全風(fēng)險(xiǎn)與成本代價(jià)，信

息安全工作的核心目標(biāo)就是實(shí)現(xiàn)在最低資源消耗的情況下，達(dá)

到最大的安全水平。經(jīng)過(guò)對(duì)發(fā)現(xiàn)的問(wèn)題和風(fēng)險(xiǎn)進(jìn)行管理，并最

優(yōu)化的方案建議,使客戶避免投入大量資源,但安全工作仍遲遲

不見(jiàn)起色的現(xiàn)象。

2.4.3.風(fēng)險(xiǎn)識(shí)別

中對(duì)客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理,識(shí)別資產(chǎn)的重要性；清晰

自身所面臨的威脅及其威脅方式方法，便于有針對(duì)性地防護(hù)。

認(rèn)識(shí)自身存在的脆弱性不足,能夠有目的性的進(jìn)行補(bǔ)遺整改。

“幫助客戶了解網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況,經(jīng)過(guò)如工具掃描,滲

透測(cè)試，人工審計(jì)等多種技術(shù)手段，全面分析客戶信息系統(tǒng)和網(wǎng)

絡(luò)中存在的各種安全問(wèn)題，同時(shí)將發(fā)現(xiàn)的安全問(wèn)題與信息資產(chǎn)

的重要程度相關(guān)聯(lián),明確當(dāng)前的安全風(fēng)險(xiǎn)。

幫助客戶了解自身存在信息安全管理漏洞，再好的設(shè)備，也是由

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

人進(jìn)行操作的，經(jīng)過(guò)訪談、問(wèn)卷等多種手段，啟明招協(xié)助客戶

管理層了解當(dāng)前的信息安全管理制度是否存在漏洞，已經(jīng)正式

發(fā)布的安全管理制度是否得到了落實(shí)和執(zhí)行。

2.4.4.建設(shè)指導(dǎo)

?>經(jīng)過(guò)專業(yè)的安全技術(shù)和專業(yè)人員及時(shí)全面的掌握客戶IT環(huán)

境的安全現(xiàn)狀和

面臨的風(fēng)險(xiǎn),并提出改進(jìn)建議，降低風(fēng)險(xiǎn)。

?：?為客戶進(jìn)行信息安全規(guī)劃建設(shè)、安全技術(shù)體系建設(shè)、安全管

理體系建設(shè)、安全風(fēng)險(xiǎn)管理費(fèi)定基石。

經(jīng)過(guò)對(duì)網(wǎng)絡(luò)與信息系統(tǒng)漏洞產(chǎn)生的威脅進(jìn)行分析，能夠提供有

效的安全加固和改進(jìn)措施建議。在啟明信息安全服務(wù)團(tuán)隊(duì)L如

ADkb■等國(guó)際國(guó)內(nèi)專業(yè)技術(shù)分析的支持下，啟明安全服務(wù)團(tuán)隊(duì)

能夠獲得第一手的信息系統(tǒng)或網(wǎng)絡(luò)的漏洞信息，在此基礎(chǔ)上,

為客戶提供及時(shí)、有效地網(wǎng)絡(luò)和信息系統(tǒng)的漏洞發(fā)掘服務(wù).并

針對(duì)漏洞,提供有效的加固建議和改進(jìn)措施建議。

由定期風(fēng)險(xiǎn)評(píng)估，幫助客戶了解組織信息安全改進(jìn)情況與發(fā)展方

向，為以后的信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考。經(jīng)過(guò)對(duì)

安全風(fēng)險(xiǎn)的分析和識(shí)別，同時(shí)平衡安全風(fēng)險(xiǎn)與安全成本，居明

公司提供專業(yè)的信息安全規(guī)劃和建設(shè)建議，對(duì)于客戶未來(lái)的信

息安全工作,提供重要參考和依據(jù)。

+幫助客戶建立信息安全風(fēng)險(xiǎn)管理機(jī)制。為客戶對(duì)網(wǎng)絡(luò)與信息

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)管理奠定基石,幫助客戶在降低風(fēng)險(xiǎn)、承受

風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等方面作出最佳的選擇。

2.4.5.業(yè)務(wù)保障

?＞能夠幫助客戶及時(shí)發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問(wèn)題，使

安全風(fēng)險(xiǎn)降低到能夠接受而且能夠被有效管理的范圍內(nèi)，保障

客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)連續(xù)性。

辦預(yù)防信息安全事故,保證客戶業(yè)務(wù)的連續(xù)性,使客戶的重要信

息資產(chǎn)受到與

其價(jià)值相符的保擴(kuò)\防止系統(tǒng)入侵安全隱患再次被破壞或總意

利用.避免業(yè)務(wù)經(jīng)濟(jì)損失數(shù)量持續(xù)增加。

第3章啟明星展信息安全服務(wù)產(chǎn)品規(guī)格

3.1?服務(wù)評(píng)估模型

3.1.1.評(píng)估模型

圖-4

風(fēng)險(xiǎn)評(píng)估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要

素展開(kāi)，在對(duì)基本要素的評(píng)估過(guò)程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資

產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相

美的各類屬性。在上圖中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：

引業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有農(nóng)賴性，依賴程度越高，要求其風(fēng)險(xiǎn)

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

越??；

立資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)

價(jià)值就越大；

小風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能

演變成為安全事件；

資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的脆弱性越多則

風(fēng)險(xiǎn)越大；

脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產(chǎn)；

小風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；

+安全需求經(jīng)過(guò)安全措施得以滿足，需要結(jié)合貨產(chǎn)價(jià)值考慮實(shí)

施成本；

+安全措施可抵御威脅，降低風(fēng)險(xiǎn)；

?＞殘余風(fēng)險(xiǎn)有些是安全措施不當(dāng)或無(wú)效.需要加強(qiáng)才可控制的風(fēng)

險(xiǎn)；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)

-＞殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的安全事

件。

3.1.2.評(píng)估標(biāo)準(zhǔn)

標(biāo)準(zhǔn)類型參考標(biāo)準(zhǔn)

?ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則

?：?ISO/1ECTR13335信息和通信技術(shù)安全管理

國(guó)際標(biāo)準(zhǔn)?ISOTR13569銀行和相關(guān)金融服務(wù)信息安全指南

?：?IS0/1EC27000信息安全管理體系系列標(biāo)準(zhǔn)

?AS/NNS436U用險(xiǎn)管理

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除,

?：?NISTSP800-30IT系統(tǒng)風(fēng)險(xiǎn)管理指南

?GBI7859計(jì)兌機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

?GBT20984信息安全風(fēng)險(xiǎn)評(píng)怙規(guī)范

?：?GBT22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基木要求

國(guó)內(nèi)標(biāo)準(zhǔn)

?GBZ20985信息技術(shù)安全技術(shù)信息安全事件管理指南

?：?GBZ20986信息安全技術(shù)信息安全事件分類分級(jí)指南

?各個(gè)組織或行業(yè)內(nèi)相關(guān)要求

表J

3.2.服務(wù)評(píng)估方法

圖-5

注:滲透測(cè)試模塊為可選模塊

3.2.1.訪談?wù){(diào)研

-＞收集現(xiàn)有業(yè)務(wù)系統(tǒng)費(fèi)產(chǎn)組成、IT規(guī)劃、管理制度、原有I頁(yè)口

安全成果等信息文檔。對(duì)進(jìn)行收集文檔進(jìn)行深入分析，梳理業(yè)

務(wù)系統(tǒng)安全現(xiàn)狀。根據(jù)現(xiàn)有文檔分析整理結(jié)果，制定相關(guān)調(diào)研

表進(jìn)行信息資產(chǎn)調(diào)研信息補(bǔ)充。

中制定訪談提綱，對(duì)相關(guān)人員進(jìn)行訪談。人員訪談能夠了解人員

安全意識(shí)、對(duì)安全管理獲知的程度、對(duì)安全技術(shù)的掌握程度,

而且收集大量有用信息，全面了解信息系統(tǒng)的安全需求，深入了

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

解客戶各層面的安全現(xiàn)狀。

3.2.2.人工審計(jì)

?＞人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會(huì)

對(duì)現(xiàn)有信息系統(tǒng)上的其它設(shè)備和資源帶來(lái)任何影響，而對(duì)被評(píng)

估對(duì)象的資源占用也小于工具評(píng)估。人工評(píng)估完成后將產(chǎn)生人

工評(píng)估報(bào)告，也將作為整體的安全評(píng)估報(bào)告的一個(gè)重要的來(lái)源

和依據(jù)。

?＞人工評(píng)估對(duì)本地安全評(píng)估而言是必不可少的。人工安全評(píng)估對(duì)

實(shí)施人員的安全知識(shí)、安全技術(shù)和安全經(jīng)驗(yàn)要求很高，因?yàn)樗?/p>

們必須了解最新的安全漏洞、掌握多種先進(jìn)的安全技術(shù)和積

累豐富的評(píng)估經(jīng)驗(yàn)，這樣才能對(duì)本地安全評(píng)估中位于物理層、

網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層和用戶層的所有安全對(duì)象目標(biāo)進(jìn)行

最有效和最完整的安全評(píng)估，并提供最合理和最及時(shí)的安全建

議。

3.2.3.工具掃描

工具自動(dòng)評(píng)估是用各種商用安全評(píng)估系統(tǒng)或掃描器，根據(jù)其內(nèi)

置的評(píng)估內(nèi)容、測(cè)試方法、評(píng)估策略及相關(guān)數(shù)據(jù)庫(kù)信息，從系

統(tǒng)內(nèi)部對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等系統(tǒng)進(jìn)行一系列的設(shè)置檢查.

使其可預(yù)防潛在安全風(fēng)險(xiǎn)問(wèn)題，如弱口令、用戶權(quán)限設(shè)置、用

戶帳戶設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其它含有

攻擊隱患的可疑點(diǎn)等。它也能夠找出黑客攻破系統(tǒng)的跡象，并

提出修補(bǔ)建議。

由工具評(píng)估最突出的優(yōu)點(diǎn)是評(píng)估工作可由軟件來(lái)自動(dòng)進(jìn)行，速度

快，效率高。工具評(píng)估部分將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類的掃

描軟件來(lái)分別進(jìn)行。掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)

庫(kù)，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種

信息資產(chǎn)所存在的安全隱患和漏洞。網(wǎng)絡(luò)掃描主要依靠帶有安

全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)系統(tǒng)進(jìn)行安全掃描，其特

點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)彳丁覆蓋面廣泛的安全漏洞查找，而且評(píng)

估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，能較真實(shí)地反

映系統(tǒng)所存在的安全隱患和面臨的安全威脅。

3.2.4,滲透測(cè)試

滲透測(cè)試,也叫白客攻擊測(cè)試，它是一種從攻擊者的角度來(lái)對(duì)主

機(jī)系統(tǒng)的安全程度進(jìn)行安全評(píng)估的手段，在對(duì)現(xiàn)有信息系統(tǒng)不

造成任何損害的前提下，模擬入侵者對(duì)指定系統(tǒng)迸行攻擊測(cè)

試。滲透測(cè)試一般能以非常明顯，直觀的結(jié)果來(lái)反映出系統(tǒng)的

安全現(xiàn)狀。該方法也越來(lái)越受到國(guó)際/國(guó)內(nèi)信息安全業(yè)界的認(rèn)

可和重視。為了解服務(wù)系統(tǒng)的安全現(xiàn)狀，在許可和控制的冠國(guó)

內(nèi)，將對(duì)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試。滲透測(cè)試將作為安全評(píng)估的

一個(gè)重要組成部分。

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

*>滲透測(cè)試是工具掃描和人工評(píng)估的重要補(bǔ)充。工具掃描具有很

好的效率和速度，可是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、

復(fù)雜的安全問(wèn)題；滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試

者的專業(yè)技能要求很高，可是非常準(zhǔn)確，能夠發(fā)現(xiàn)邏輯性更混、

更深層次的弱點(diǎn)。

3.3.1.技術(shù)評(píng)估

評(píng)估類型評(píng)估范圍

?評(píng)估對(duì)象：

物理環(huán)境基礎(chǔ)設(shè)施

?評(píng)估內(nèi)容：

物理環(huán)境評(píng)估

從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接

地與防宙、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)

房設(shè)備管理等方面進(jìn)行識(shí)別評(píng)估。

?評(píng)估對(duì)象：

網(wǎng)絡(luò)及安全設(shè)備(交換機(jī)、路由器、防火墻、入侵檢測(cè)設(shè)、安

全審計(jì)等)

網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估

評(píng)估內(nèi)容：

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問(wèn)控制策略、內(nèi)部訪問(wèn)控

制策略、網(wǎng)絡(luò)設(shè)備安全配翼等方面進(jìn)行識(shí)別評(píng)估。

?:?評(píng)估對(duì)象：

操作及數(shù)據(jù)庫(kù)系統(tǒng)(Windows、Linux、Unix、Oracle%

informix>ibmdb2,sqlserver、mysql等)

?評(píng)估內(nèi)容：

主機(jī)及數(shù)據(jù)系統(tǒng)

從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、

評(píng)估

事件審

計(jì)、訪問(wèn)控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)

管理等

方面進(jìn)行識(shí)別評(píng)估，

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

?評(píng)估對(duì)象：

應(yīng)用中間件（HS、APACHE,TOMCAT.Weblogic等）和應(yīng)用

系統(tǒng)軟件

應(yīng)用系統(tǒng)評(píng)估

?:?評(píng)估內(nèi)容：

從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通

信、鑒別機(jī)制、密碼保護(hù)、腳木漏洞等方面進(jìn)行識(shí)別評(píng)估。

?評(píng)怙對(duì)象：業(yè)務(wù)流程

?評(píng)估內(nèi)容：

業(yè)務(wù)流程評(píng)估

依據(jù)業(yè)務(wù)過(guò)程的數(shù)據(jù)流程評(píng)估客戶的業(yè)務(wù)流程，識(shí)別客戶業(yè)務(wù)流程

的安全隱患.

表-2

3.3.2.管理評(píng)估

評(píng)估類型評(píng)估范圍

?>評(píng)估內(nèi)容，安全警理制度一般是文檔化的,被正式制定、評(píng)

審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和

安全管理制度評(píng)估

記錄等，構(gòu)成?個(gè)塔字結(jié)構(gòu)的文檔體系。對(duì)安全管理制度的

制定、發(fā)布、評(píng)審、修訂進(jìn)行評(píng)估。

?評(píng)估內(nèi)容：安全管理機(jī)構(gòu)包括安全管理的崗位設(shè)置、人員配

備、授權(quán)和審批、溝通和合作等方面內(nèi)容，嚴(yán)格的安全管

安全管理機(jī)構(gòu)評(píng)估

理應(yīng)該由相對(duì)獨(dú)立的職能部門和崗位來(lái)完成。安全管理機(jī)構(gòu)

從組織上保證了信息系統(tǒng)的安全。

評(píng)估內(nèi)容：人員安全管理包括信息系統(tǒng)用戶、安全管理人員

和第三方人足的管理，覆蓋人員錄用、人處離崗、人M考

核、安全意識(shí)教育和培訓(xùn)、第三方人員管理等方面內(nèi)容。

人員安全管理評(píng)估工作人員直接運(yùn)行、哲理和維護(hù)信息系統(tǒng)的各種設(shè)備、設(shè)

施和相關(guān)技術(shù)手段,與她們直接發(fā)生關(guān)聯(lián)關(guān)系。因此，她們

的知識(shí)結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其它層面的安

全。

?：?系統(tǒng)建設(shè)管理包括系統(tǒng)定線、安全風(fēng)險(xiǎn)分析、安全方案設(shè)

計(jì)、產(chǎn)品采購(gòu)、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)

施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全測(cè)評(píng)、系統(tǒng)備案等信息

系統(tǒng)安全等級(jí)逑設(shè)的各個(gè)方面。信息系統(tǒng)的安全是一個(gè)過(guò)程，

系統(tǒng)建設(shè)管理評(píng)估

是一項(xiàng)工程，它不但涉及到當(dāng)前的運(yùn)行狀態(tài)，而且還關(guān)系到

信息系統(tǒng)安全建設(shè)的各個(gè)階段。只有在信息系統(tǒng)安全建設(shè)的

各個(gè)階段確保安全，才能使得運(yùn)行中的信息系統(tǒng)有安全保

證。

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

系統(tǒng)運(yùn)維管理包括運(yùn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、

設(shè)備使用管理,運(yùn)行監(jiān)控管理、惡意代碼防護(hù)管理、網(wǎng)絡(luò)

安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份

和恢電管理、安全事件處理和應(yīng)急計(jì)劃管理等方面內(nèi)容。系

統(tǒng)運(yùn)維各個(gè)方面部直接關(guān)系到相關(guān)安全控制技術(shù)的正確、安

系統(tǒng)運(yùn)維管理評(píng)估

全配置和合理使用。對(duì)信息系統(tǒng)運(yùn)維各個(gè)方面提出具體的安

全要求，能的為工作人員進(jìn)行正確管理和運(yùn)行提供工作掛繩，

直接影響到整個(gè)信息系統(tǒng)的安全。

表-3

第4章啟明星展信息安全服務(wù)產(chǎn)品流程

4.1.服務(wù)流程藍(lán)圖

11<JT

(1多地HD<KT*MM>(MMtMD

MWCOflmm,1tJttttkMBM)

圖-6

4.2.服務(wù)流程階段

4.2.1.服務(wù)啟動(dòng)

1)服務(wù)目標(biāo)

風(fēng)險(xiǎn)評(píng)估啟動(dòng)是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。組織實(shí)施

風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮,其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、

業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)瑛和結(jié)構(gòu)等方面的影響。因此，在

風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)與范圍、進(jìn)行系統(tǒng)調(diào)

研、制定風(fēng)險(xiǎn)評(píng)估計(jì)劃、獲得客戶管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作支持。

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

2)服務(wù)內(nèi)容

中確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)與范圍

根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法粉的

規(guī)定等內(nèi)容,識(shí)別現(xiàn)有信息系統(tǒng)及管理上的不足,以及可能造成的

風(fēng)險(xiǎn)大小。風(fēng)險(xiǎn)評(píng)估范圍可能是組織全部的信息及與信息處理相

關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵

業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。

寸系統(tǒng)調(diào)研

系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程,風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分

E勺系統(tǒng)調(diào)研,為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠

定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括:業(yè)務(wù)戰(zhàn)略及管理制度、主要的業(yè)

務(wù)功能和要求、網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連

接、系統(tǒng)邊界、主要的硬件、軟件、數(shù)據(jù)和信息、系統(tǒng)和數(shù)據(jù)

內(nèi)敏感性、支持和使用系統(tǒng)的人員、其它。

。制定風(fēng)險(xiǎn)評(píng)估計(jì)劃

風(fēng)險(xiǎn)評(píng)估計(jì)劃的目的是為后面的風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)提供個(gè)

總體計(jì)劃,用于指導(dǎo)實(shí)施方開(kāi)展后續(xù)工作。風(fēng)險(xiǎn)評(píng)估計(jì)劃的內(nèi)容一

般包括：

＞團(tuán)隊(duì)組織:包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)

容；

＞工作計(jì)劃:風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工乍

形式、工作成果等內(nèi)容;

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

＞時(shí)間進(jìn)度安排:項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。

,獲得支持

上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案,得

到客戶管理者的支持、批準(zhǔn);對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，在組

織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn),以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估

中的任務(wù)。

3)成果輸出：《服務(wù)實(shí)施綜合計(jì)劃》

4.2.2.資產(chǎn)評(píng)估

D服務(wù)目標(biāo)

對(duì)被評(píng)估信息系統(tǒng)的關(guān)鍵資產(chǎn)進(jìn)行識(shí)別，并合理分類；在資產(chǎn)識(shí)

別過(guò)程中，需要詳細(xì)識(shí)別關(guān)鍵資產(chǎn)的安全屬性，重點(diǎn)識(shí)別出資產(chǎn)在

遭受泄密、中斷、損害等破壞時(shí)所遭受的影響，并根據(jù)資產(chǎn)在遭

受泄密、中斷、損害等破壞時(shí)所遭受的影響，對(duì)資產(chǎn)的價(jià)值進(jìn)行

賦值。

2)服務(wù)內(nèi)容

。資產(chǎn)識(shí)別

資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)

系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的

保護(hù)價(jià)值。信息系統(tǒng)資能夠分為硬件、軟件、數(shù)據(jù)、人員、服

務(wù)、其它類資產(chǎn)等。

?資產(chǎn)分析

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

在資產(chǎn)識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資

產(chǎn)在遭受泄密、中斷、損害等破壞時(shí)對(duì)系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所

產(chǎn)生的影響。并迸行賦值量化。從而為最后綜合風(fēng)險(xiǎn)分析提供參

考數(shù)據(jù)。

資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上

的達(dá)成程度進(jìn)行分析,并在此基潮上得出綜合結(jié)果的過(guò)程。

等級(jí)標(biāo)識(shí)描述

5很高非常重要，其安全網(wǎng)性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。

4高重要，其安全屬性破以后可能對(duì)組織造成比較嚴(yán)肅的損失。

3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失。

2低不太重要，箕安全屬性破壞后可能對(duì)組織造成較低的損失。

不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失,甚至忽略不

1很低

計(jì)。

表-4

3)階段成果輸出：《資產(chǎn)賦值列表》

4.2.3.威脅評(píng)估

1)服務(wù)目標(biāo)

經(jīng)過(guò)威脅調(diào)查、取樣等手段識(shí)別被評(píng)估信息系統(tǒng)的關(guān)鍵資產(chǎn)

所面臨的威脅源，及其威脅所竟采用的威脅方法，對(duì)資產(chǎn)所產(chǎn)生的

影響。并為后續(xù)威脅分析及綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。

2)服務(wù)內(nèi)容

。威脅識(shí)別

威脅識(shí)別要從威脅的主體、威脅途徑和威脅方式三個(gè)方面來(lái)

進(jìn)行:

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為

因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然災(zāi)害和設(shè)施

故障。

威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡(luò)訪

問(wèn)、語(yǔ)音、視頻訪問(wèn)等形式，直接接觸指威脅主體能夠直接物理

接觸到信息資產(chǎn)。

威脅方式：主要有傳播計(jì)算機(jī)病毒、傳播異常信息（垃吸郵

件、反動(dòng)、色情、敏感信息）、掃描監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊（后門、漏

泡、口令、拒絕服務(wù)等）、越權(quán)或?yàn)E用、行為抵賴、濫用網(wǎng)絡(luò)資

源（P2P下載等）、人為災(zāi)害（水、火等）、人為基礎(chǔ)設(shè)施故障（電

力、網(wǎng)絡(luò)等）、竊取、破壞硬件、軟件和數(shù)據(jù)等。

威脅識(shí)別的方法有：人工審計(jì)、安全策略文檔審閱、人員面

談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。威脅識(shí)別方法列表

如下：

編號(hào)威脅識(shí)別方法描述

1訪談?經(jīng)過(guò)和資產(chǎn)所有人、負(fù)貢管理人員進(jìn)行訪談

2人工分析*根據(jù)專家經(jīng)驗(yàn)，從已知的數(shù)據(jù)中進(jìn)行分析

3IDS?：?經(jīng)過(guò)入侵監(jiān)測(cè)系統(tǒng)在?段時(shí)間內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事

件來(lái)獲得數(shù)據(jù)

4人工審計(jì)經(jīng)過(guò)人工審計(jì)方法來(lái)測(cè)試弱點(diǎn)，證實(shí)城脅

5安全策略文檔分析?安全策略文檔分析

6安全審計(jì)*經(jīng)過(guò)一套審計(jì)問(wèn)題列表問(wèn)答的方式來(lái)分析弱點(diǎn)

7事件記錄?對(duì)已有歷史安全事件記錄進(jìn)行分析

表-5

寸威脅分析

在威脅識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法。并依據(jù)其發(fā)生

的可能性進(jìn)行賦值量化。同時(shí)為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)

據(jù)。

威脅主要依據(jù)其出現(xiàn)頻率來(lái)賦值:

等級(jí)標(biāo)識(shí)定義

出現(xiàn)的頻率很高（或次/周）;或在大多數(shù)情況下幾乎不可避

5很高

免；或能夠證實(shí)經(jīng)常發(fā)生過(guò)。

?出現(xiàn)的頻率較高（或分1次/月）:或在大多數(shù)情況下很有可能

4高

會(huì)發(fā)生：或能夠證實(shí)多次發(fā)生過(guò).

?出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會(huì)發(fā)

3中

生；或被證實(shí)曾經(jīng)發(fā)生過(guò)。

2低?出現(xiàn)的頻率較?。夯蛞话悴惶赡馨l(fā)生：或沒(méi)看被證實(shí)發(fā)生過(guò).

1很低-:?或脅幾乎不可能發(fā)生，儀可能在非常罕見(jiàn)和例外的情況下發(fā)生，

表-6

3）階段成果輸出：《威脅賦值列表》

4.2.4.脆弱評(píng)估

1.服務(wù)目標(biāo)

采用安全掃描、手動(dòng)檢查、問(wèn)卷調(diào)查、人工問(wèn)詢等方式對(duì)

評(píng)估工作范圍內(nèi)的物理環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操隹系

統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用中間件系統(tǒng)、應(yīng)用系統(tǒng)軟件和安全管理進(jìn)

行脆弱性評(píng)估，同時(shí)為后續(xù)脆弱性分析及綜合風(fēng)險(xiǎn)分析提供參考數(shù)

據(jù)。

2.階段服務(wù)內(nèi)容

。脆弱性識(shí)別

胞弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)c脆弱性識(shí)別

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

能夠以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威

脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估;也能夠從物

理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅

對(duì)應(yīng)起來(lái)。脆弱性識(shí)別的依據(jù)能夠是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也

能夠是行業(yè)規(guī)范、應(yīng)用流程的安全要求。

脆弱性識(shí)別類型技術(shù)施弱性識(shí)別內(nèi)容識(shí)別方法

?對(duì)信息系統(tǒng)所處的物理環(huán)境即機(jī)房、線

路、客戶端的支控設(shè)施等進(jìn)行脆弱性識(shí)別，

內(nèi)容主要有：'】禁系統(tǒng)、報(bào)警系統(tǒng)、監(jiān)控?＞問(wèn)卷訪談

物理環(huán)境

系統(tǒng)、防雷擊接地、防靜電、UPS、消?人工審計(jì)

防系統(tǒng)、防電磁泄露、弱電系統(tǒng)、防

塵、溫室控制和機(jī)房容災(zāi)備份等。

?網(wǎng)絡(luò)結(jié)構(gòu)安全、訪問(wèn)控制策略與措施、網(wǎng)?問(wèn)卷訪談

網(wǎng)絡(luò)結(jié)構(gòu)絡(luò)設(shè)備策略與配咫、安全設(shè)備策珞與配?人工審計(jì)

置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)我分析評(píng)估等。?工具掃描

?從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口

令策略、資源共享、事件審計(jì)、訪問(wèn)控?人工審計(jì)

主機(jī)及數(shù)據(jù)庫(kù)系統(tǒng)

制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安?工具掃描

全、系統(tǒng)管理等方面進(jìn)行識(shí)別評(píng)估。

含應(yīng)用中間件，從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、

?人工審計(jì)

訪問(wèn)控制策略.數(shù)據(jù)完整性、通信、鑒

應(yīng)用系統(tǒng)?工具掃描

別機(jī)制、密砰保護(hù)、腳本漏洞等方面進(jìn)行

?滲透測(cè)試

識(shí)別評(píng)估。

業(yè)務(wù)數(shù)據(jù)流向（輸入、傳輸、存儲(chǔ)、輸出）

業(yè)務(wù)策略（業(yè)務(wù)要求、使用范圉、安全等

級(jí)）業(yè)務(wù)實(shí)現(xiàn)方式'業(yè)務(wù)安全要求、各時(shí)段?問(wèn)卷訪談

業(yè)務(wù)流程

業(yè)務(wù)負(fù)載員、授權(quán)和認(rèn)證、審計(jì)、加密、?人工審計(jì)

完整性、不可否認(rèn)性等進(jìn)行業(yè)務(wù)流程評(píng)

估。

?從以卜幾方面分析被評(píng)估信息系統(tǒng)安全管理

安全管理狀況：管理機(jī)構(gòu)、管理制度、人員管理、?問(wèn)卷訪談

系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理。

表?7

?脆弱性分析

費(fèi)料內(nèi)容僅供您學(xué)習(xí)參考，如ffK當(dāng)或者侵權(quán)，請(qǐng)聯(lián)系改正或者刪除，

在脆弱性識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵

資產(chǎn)所存在的各方面脆弱性即基礎(chǔ)環(huán)境脆弱性、安全管理脆弱

性、技術(shù)脆弱性。并依據(jù)其脆弱性被利用的難易程度和被成功利

用后所產(chǎn)生的影響進(jìn)行賦