XX科技風(fēng)險評估服務(wù)工程指南_第1頁
XX科技風(fēng)險評估服務(wù)工程指南_第2頁
XX科技風(fēng)險評估服務(wù)工程指南_第3頁
XX科技風(fēng)險評估服務(wù)工程指南_第4頁
XX科技風(fēng)險評估服務(wù)工程指南_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、XX 科技風(fēng)險評估服務(wù)工程指南科技風(fēng)險評估服務(wù)工程指南 文檔編號文檔編號請輸入文檔編號 密級密級請輸入文檔密級 版本編號版本編號 日期日期 2022 XX 科技科技 版權(quán)聲明版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容,除另有特別注明,版權(quán)均屬XX 科技科技所有,受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機(jī)構(gòu)未經(jīng) XX 科技科技的書面授權(quán)許可,不得以任何方式復(fù)制或引用本文的任何片斷。 版本變更記錄版本變更記錄時間時間版本版本說明說明修改人修改人 適用性聲明適用性聲明本模板用于撰寫 XX 科技內(nèi)外各種正式文件,包括技術(shù)手冊、標(biāo)書、白皮書、會議通知、公司制度等文檔使用。 -

2、I -目錄目錄一. XX 科技風(fēng)險評估項目概述.11.1 風(fēng)險評估服務(wù)簡述 .11.2 風(fēng)險評估基本概念 .11.3 風(fēng)險評估各要素的關(guān)系 .21.4 風(fēng)險評估的目的和意義 .31.5 風(fēng)險評估的基本內(nèi)容 .4二. 風(fēng)險評估項目實施內(nèi)容.52.1 項目準(zhǔn)備階段.52.2 項目實施階段.72.3 風(fēng)險綜合分析階段.12三. 風(fēng)險評估項目剪裁.17四. 由風(fēng)險評估服務(wù)衍生的其它服務(wù) .184.1 等級保護(hù).184.2 SOX .184.3 ISMS 體系建立與 27001 認(rèn)證咨詢.194.4 安全域劃分.19五. 風(fēng)險評估在不同階段的應(yīng)用.205.1 信息系統(tǒng)生命周期概述 .205.2 信息系統(tǒng)

3、生命周期各階段中的風(fēng)險評估.20- II - 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 1 -一一. XX 科技風(fēng)險評估項目概述科技風(fēng)險評估項目概述1.1 風(fēng)險評估服務(wù)簡述風(fēng)險評估服務(wù)簡述信息系統(tǒng)安全風(fēng)險評估作為安全咨詢服務(wù)的一項重要內(nèi)容,是其他安全服務(wù)如體系建立、安全規(guī)劃、法規(guī)遵從等服務(wù)的基礎(chǔ),同時也是提升安全服務(wù)層次、深入了解用戶系統(tǒng)現(xiàn)狀、安全需求以及安全規(guī)劃的有力手段。風(fēng)險評估服務(wù)中所涉及的要素有業(yè)務(wù)、信息資產(chǎn)、脆弱性、威脅和風(fēng)險,對風(fēng)險衡量的因素主要有兩個:可能性和影響。1.2 風(fēng)險評估基本概念風(fēng)險評估基本概念信息安全的核心概念是安全風(fēng)險,即由于系統(tǒng)存在的脆弱

4、性,人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。信息安全的基本要素包括:業(yè)務(wù)承載:業(yè)務(wù)承載:即一個單位通過信息系統(tǒng)實現(xiàn)的工作任務(wù)。一個單位的主營業(yè)務(wù)對信息系統(tǒng)和信息的依賴程度越高,就越需要信息安全保障。信息資產(chǎn):信息資產(chǎn):通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。資產(chǎn)價值:資產(chǎn)價值:資產(chǎn)是有價值的,資產(chǎn)價值可通過資產(chǎn)的敏感程度、重要程度或關(guān)鍵程度來表示。威脅:威脅:一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫:威脅的主體(威脅源)、能力、資源、動機(jī)、途徑、可能性和后果等。脆弱性:脆弱性:信息資產(chǎn)及其安全措施在安全方面的不足和弱點

5、。脆弱性也常常被稱為漏洞。事件:事件:如果威脅主體能夠產(chǎn)生威脅,利用資產(chǎn)及其安全措施的脆弱性,那么實際產(chǎn)生危害的情況稱之為事件。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 2 -風(fēng)險:風(fēng)險:由于系統(tǒng)存在的脆弱性,人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響來衡量。殘余風(fēng)險:殘余風(fēng)險:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的風(fēng)險。安全需求:安全需求:為保證一個單位的使命能夠正常行使,在信息安全保障措施方面提出的要求。安全措施:安全措施:對付威脅,減少脆弱性,保護(hù)資產(chǎn),限制意外事件的影響,檢測、響應(yīng)意外事件

6、,促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種實踐、規(guī)程和機(jī)制的總稱。安全措施分為技術(shù)和管理兩大類。1.3 風(fēng)險評估各要素的關(guān)系風(fēng)險評估各要素的關(guān)系風(fēng)險評估相關(guān)要素的關(guān)系如圖1所示,這張圖出自ISO 13335,是進(jìn)行風(fēng)險評估服務(wù)的基礎(chǔ),它比較清晰地說明了風(fēng)險評估中所涉及的各個要素及相互關(guān)系。圖1-1 風(fēng)險評估相關(guān)要素的關(guān)系圖1-1中方框部分的內(nèi)容為風(fēng)險評估相關(guān)的基本要素,風(fēng)險評估的工作是圍繞其基本要素展開的,在對這些要素的評估過程中需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類因素。圖1-1中這些要素之間存在著以下關(guān)系:業(yè)務(wù)戰(zhàn)略依賴于信息資產(chǎn)去完成;信息資產(chǎn)擁有價值,

7、單位的業(yè)務(wù)戰(zhàn)略越重要,對信息資產(chǎn)的依賴度越高,信息資產(chǎn)的價值則就越大;信 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 3 -息資產(chǎn)的價值越大則風(fēng)險越大;風(fēng)險是由威脅發(fā)起的,威脅越大則風(fēng)險越大,并可能演變成安全事件;威脅都要利用脆弱性,脆弱性越大則風(fēng)險越大;脆弱性使資產(chǎn)暴露,是未被滿足的安全需求,威脅要通過利用脆弱性來危害資產(chǎn),從而形成風(fēng)險;資產(chǎn)的重要性和對風(fēng)險的意識會導(dǎo)出安全需求;安全需求要通過安全措施來得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風(fēng)險,減弱安全事件的影響;風(fēng)險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風(fēng)險一部分殘余風(fēng)險來自于安全措

8、施可能不當(dāng)或無效,在以后需要繼續(xù)控制這部分風(fēng)險,另一部分殘余風(fēng)險則是在綜合考慮了安全的成本與資產(chǎn)價值后,有意未去控制的風(fēng)險,這部分風(fēng)險是可以被接受的。殘余風(fēng)險應(yīng)受到密切監(jiān)視,因為它可能會在將來誘發(fā)新的安全事件。1.4 風(fēng)險評估的目的和意義風(fēng)險評估的目的和意義我們開展風(fēng)險評估服務(wù),主要目的有:了解用戶信息系統(tǒng)承載的業(yè)務(wù)、業(yè)務(wù)流程、行業(yè)特點;全面、系統(tǒng)的分析用戶信息系統(tǒng)面臨的風(fēng)險,為用戶設(shè)計符合用戶特點的個性化的安全方案打下良好基礎(chǔ);了解用戶信息系統(tǒng)安全需求、安全目標(biāo);將安全問題的解決轉(zhuǎn)變?yōu)橐韵到y(tǒng)安全風(fēng)險為導(dǎo)向的解決過程;發(fā)現(xiàn)系統(tǒng)中技術(shù)和管理等方面的問題;評價信息系統(tǒng)已有的安全建設(shè)的有效性;根據(jù)評

9、估結(jié)果,設(shè)計新的項目內(nèi)容;為信息安全保障體系投資建設(shè)決策提供參考;將單純的產(chǎn)品部署實施演變成與用戶業(yè)務(wù)結(jié)合更為緊密的、高層次的系統(tǒng)體系架構(gòu)安全的分析和設(shè)計。信息系統(tǒng)業(yè)已成為許多單位業(yè)務(wù)運(yùn)行的關(guān)鍵,尤其是黨政機(jī)關(guān)、運(yùn)營商、電力、稅務(wù)等掌握國家政治、經(jīng)濟(jì)命脈的部門,威脅因素及可利用的脆弱性的數(shù)量、危害、不確定性隨系統(tǒng)規(guī)模的擴(kuò)大而變得越來越難以預(yù)測,因此單位在信息系統(tǒng)方面花費(fèi)了大量的人力和物力來進(jìn)行信息安全保障體系的建設(shè)。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 4 -但是,單位進(jìn)行信息安全體系建設(shè)的目的決不是為了安全而安全,而是考慮到系統(tǒng)的不安全將會給單位帶來經(jīng)濟(jì)、信譽(yù)

10、、運(yùn)營等方面的不利影響才進(jìn)行的,因此信息安全體系建設(shè)必須符合單位盈利、業(yè)務(wù)的整體目標(biāo)和決策方向。對單位來說,不進(jìn)行系統(tǒng)安全體系建設(shè)會流失利潤,影響單位信譽(yù)或業(yè)務(wù)正常開展;但過分強(qiáng)調(diào)體系建設(shè)又會增大運(yùn)營成本。信息系統(tǒng)風(fēng)險評估是實現(xiàn)兩者之間平衡的一個手段。風(fēng)險評估能保證安全控制措施應(yīng)用在具有最大風(fēng)險的區(qū)域。風(fēng)險評估結(jié)果可作為對單位所實施的安全措施進(jìn)行優(yōu)先級排序的重要依據(jù)。風(fēng)險評估也將鑒別已有安全措施是否在單位持續(xù)運(yùn)營的過程中仍然具有相應(yīng)的效力,從而保障單位的已有安全投入。此外,通過風(fēng)險評估可以驗證一個機(jī)構(gòu)已進(jìn)行的信息安全建設(shè)的有效性。1.5 風(fēng)險評估的基本內(nèi)容風(fēng)險評估的基本內(nèi)容一個完整的風(fēng)險評估服

11、務(wù),將完成如下任務(wù):確定評估區(qū)域,進(jìn)行系統(tǒng)承載業(yè)務(wù)分析,從而識別關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)流程,確定評估對象;分析評估對象所承載的業(yè)務(wù)和信息資產(chǎn)遭到破壞后所造成的影響;通過技術(shù)手段、調(diào)研訪談等形式識別系統(tǒng)所存在的各種技術(shù)、管理以及架構(gòu)上的脆弱性,從而識別可能被各種威脅源(如內(nèi)部人員、外部人員、環(huán)境)利用的弱點;分析目前所實施的安全控制措施是否適當(dāng)或在單位運(yùn)營過程中是否仍然具有效力,從而確定是否需要進(jìn)行相應(yīng)的修正或增加其它安全措施,以保障已有的投入;在脆弱性識別和分析的基礎(chǔ)上,對可能面臨的威脅進(jìn)行可能性分析;通過對影響和可能性的分析,鑒別單位系統(tǒng)存在的風(fēng)險,從而識別單位信息系統(tǒng)存在著的不可接受的風(fēng)險;提

12、出管理不可接受風(fēng)險的安全控制措施,從而在今后的安全工作中可根據(jù)單位的實際情況進(jìn)行分階段、分步驟實施;為單位在信息安全方面的投資決策提供依據(jù),確保資源的最佳利用。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 5 -二二. 風(fēng)險評估項目實施內(nèi)容風(fēng)險評估項目實施內(nèi)容信息系統(tǒng)風(fēng)險評估項目實施實行項目經(jīng)理負(fù)責(zé)制,風(fēng)險評估實施的全過程納入公司項目管理,由項目經(jīng)理統(tǒng)籌安排。項目分為四個階段,分別是項目準(zhǔn)備階段、項目實施階段、風(fēng)險綜合分析階段、項目驗收階段。這些階段中前兩個階段沒有嚴(yán)格的順序關(guān)系,階段工作內(nèi)容可根據(jù)實際情況靈活處理,如在確定評估范圍過程中完成信息資產(chǎn)調(diào)研、。實施階段及各

13、階段的任務(wù)如圖所示: 2.1 項目準(zhǔn)備階段項目準(zhǔn)備階段2.1.1 主要工作主要工作在這個階段,完成的主要工作如上圖,首先應(yīng)根據(jù)合同內(nèi)容成立評估項目組,項目組應(yīng)對合同進(jìn)行分析,對項目內(nèi)容、具體實施重點以及在實施過程中可能出現(xiàn)的問題進(jìn)行溝通, 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 6 -在這個工作過程中,建議項目組召開一個專門針對本次評估項目的會議,售前人員與商務(wù)人員均能夠參加,完成售前和售后的工作交接。交接工作完成后,項目組應(yīng)制定項目實施計劃,并與用戶確認(rèn),進(jìn)一步明確本次評估的范圍、內(nèi)容和各階段工作的完成時間。向客戶宣貫 XX 科技的評估方法論并根據(jù)合同的具體要求組

14、織培訓(xùn),同時可向用戶提出評估過程中需用戶的配合事項以及所需占用客戶的時間。與客戶簽署保密協(xié)議,對在評估中所需的系統(tǒng)資料與用戶商定提交方式,并對這些資料進(jìn)行接收,并填寫客戶資料接收清單。在以上工作完成后組織召開項目啟動會,項目啟動會除邀請我方全部項目參與人員、客戶發(fā)起方配合人員參加外,最好有一個或者多個客戶高層管理人員到場,以聽取高層管理人員對該項目的意見和期望,獲得高層管理人員對評估項目的支持。該階段的結(jié)束標(biāo)志為項目啟動會的召開。2.1.2 主要解決問題主要解決問題通過這個階段,主要解決如下問題: 售前售后工作交接 項目組確立,人員分工 項目計劃制定并經(jīng)用戶確認(rèn) 評估范圍最終確定 保密協(xié)議的簽

15、署 客戶信息系統(tǒng)相關(guān)資料的接收 XX 科技風(fēng)險評估方法宣講 項目啟動會 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 7 -2.2 項目實施階段項目實施階段2.2.1 主要工作主要工作2.2.1.1 業(yè)務(wù)調(diào)研業(yè)務(wù)調(diào)研業(yè)務(wù)談不清楚,只給用戶一個模板化的評估實施方案,這種方案即沒有說服力和針對性,各家方案又高度雷同,越來越難以取得用戶認(rèn)可。作為一個風(fēng)險評估的實施人員,應(yīng)該即熟悉信息系統(tǒng)安全知識,也擁有良好的溝通技巧和說服能力,同時更重要的是還應(yīng)具備被評估單位的業(yè)務(wù)背景。很難想象一個沒有連信息系統(tǒng)承載業(yè)務(wù)都談不清楚的評估實施人員可以有效把握企業(yè)安全需求和打動對我們本質(zhì)上都保持狐

16、疑的潛在客戶。 現(xiàn)在有很多企業(yè)都希望評估能和業(yè)務(wù)結(jié)合的更緊密一些,能夠圍繞業(yè)務(wù)提出針對性安全建議,但最有經(jīng)驗的人也不可能了解所有的行業(yè),有無其它行業(yè)經(jīng)驗只是成功調(diào)研的一個積極因素而已,我們應(yīng)按照正確的過程組織調(diào)研工作,通過調(diào)研工作將一些陌生的行業(yè)調(diào)研清楚。 業(yè)務(wù)調(diào)研主要任務(wù)是了解信息系統(tǒng)承載的業(yè)務(wù)情況,以及由此帶來的業(yè)務(wù)風(fēng)險,在現(xiàn)場測試之前,應(yīng)該對系統(tǒng)承載的關(guān)鍵業(yè)務(wù)和業(yè)務(wù)流程進(jìn)行比較詳細(xì)的調(diào)研,一定要有比較清晰的認(rèn)識。業(yè)務(wù)調(diào)研是提升我們目前服務(wù)和產(chǎn)品層次的一個有效過程,風(fēng)險評估項目中如果缺少對客戶業(yè)務(wù)及業(yè)務(wù)流程安全風(fēng)險的詳細(xì)了解和分析是不完善的。2.2.1.2 信息資產(chǎn)調(diào)研信息資產(chǎn)調(diào)研 信息資

17、產(chǎn)調(diào)研主要通過調(diào)研和資產(chǎn)調(diào)查表詳細(xì)了解測試對象組成,比如主機(jī)、終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備等,以及所安裝的系統(tǒng)軟件、數(shù)據(jù)庫、在業(yè)務(wù)系統(tǒng)的作用等,目的是建立比較詳細(xì)的信息資產(chǎn)列表,確認(rèn)關(guān)鍵的信息資產(chǎn),明確評估中的技術(shù)測試對象,對它們遭受損壞或攻擊對承載業(yè)務(wù)所造成的影響進(jìn)行分析;同時在這個過程也要確認(rèn)系統(tǒng)拓?fù)鋱D,通過拓?fù)?2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 8 -圖的確認(rèn)也是確定評估范圍的一種常用方法,目前主要還是通過用戶信息系統(tǒng)拓?fù)鋱D的確立來確定評估中的技術(shù)測試對象。 在現(xiàn)階段,對人員、影響等無形信息資產(chǎn)如的調(diào)研 我們是通過信息資產(chǎn)調(diào)研具體、有形的系統(tǒng)組成的調(diào)研過程以及

18、管理調(diào)研、咨詢等過程中完成的。2.2.1.3 技術(shù)測試技術(shù)測試2.2.1.3.1 漏洞掃描漏洞掃描脆弱性掃描是評估活動中一項重要的技術(shù)手段,它是對被測信息系統(tǒng)進(jìn)行檢查,了解被測信息現(xiàn)狀,發(fā)現(xiàn)其中可被利用的漏洞,其掃描結(jié)果是對被測信息系統(tǒng)安全現(xiàn)狀的一個反映,是信息系統(tǒng)安全評估的一個重要組成部分,也可為進(jìn)一步對被測對象進(jìn)行配置檢查做前期的數(shù)據(jù)收集和技術(shù)準(zhǔn)備。安全掃描器是信息安全脆弱性掃描中的一個重要產(chǎn)品,安全掃描器可以根據(jù)不斷完善的漏洞資料庫,檢測出系統(tǒng)中終端、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等的弱點并進(jìn)行安全風(fēng)險分析,同時對發(fā)現(xiàn)的安全隱患提出針對性的解決方案和建議,對發(fā)現(xiàn)的安全弱點采取加固措施,這樣可以

19、提高信息系統(tǒng)的安全性,增強(qiáng)對入侵和病毒的防御能力。系統(tǒng)安全掃描系統(tǒng)作為主要的安全測試工具之一,在現(xiàn)場測試中主要應(yīng)用于以下四個方面:網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。對一個信息系統(tǒng)進(jìn)行評估前,首先要對系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)有個全面的了解。安全掃描系統(tǒng)可以根據(jù)需要,對被測網(wǎng)絡(luò)進(jìn)行基于 IP 地址、網(wǎng)段或指定地址范圍的探測掃描,迅速發(fā)現(xiàn)被測網(wǎng)絡(luò)中接入的主機(jī),使測試人員對網(wǎng)絡(luò)整體結(jié)構(gòu)有個清晰的了解。主機(jī)信息收集及漏洞掃描。安全掃描系統(tǒng)可以有效的識別被測主機(jī)的操作系統(tǒng)類型,如 Windows、UNIX、Linux 等,并可獲得主機(jī)名、用戶帳號等信息?;谝阎穆┒磶欤踩珤呙柘到y(tǒng)可以對目標(biāo)主機(jī)進(jìn)行有選擇的漏洞檢測掃描。基于預(yù)定策略模

20、板進(jìn)行安全配置檢查。安全掃描系統(tǒng)可利用管理員權(quán)限對被測系統(tǒng)進(jìn)行深入掃描,獲取被測系統(tǒng)更為詳細(xì)的配置信息,根據(jù)安全要求對配置信息進(jìn)行分析,指出安全配置存在的漏洞并提出相應(yīng)的改進(jìn)建議。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 9 -網(wǎng)絡(luò)設(shè)備、安全設(shè)備端口掃描。是否存在多余開放端口或服務(wù)是對網(wǎng)絡(luò)安全設(shè)備的一項重要測試項目,安全掃描系統(tǒng)可以對被測目標(biāo)進(jìn)行可定制的端口掃描,通過多種端口掃描方式,基本可以探測被測目標(biāo)全部開放端口。 這項工作目前主要是利用我們公司的極光掃描器完成,也可通過其他工具進(jìn)行輔助檢查。2.2.1.3.2 功能驗證功能驗證 在實際的項目中,很多系統(tǒng)尤其是應(yīng)

21、用系統(tǒng)所承諾的安全功能經(jīng)常會出現(xiàn)并沒有如界面所表現(xiàn)的那樣實現(xiàn)或?qū)崿F(xiàn)的強(qiáng)度不夠。如果這些系統(tǒng)或產(chǎn)品自身的安全性得不到保證,或是其安全功能的實現(xiàn)不是有效的,則其保護(hù)的信息系統(tǒng)的安全性就無從談起,也使配置檢查結(jié)果失去其價值和意義。因此,系統(tǒng)和產(chǎn)品自身的安全性及安全功能的有效性是保障整個信息系統(tǒng)安全的基礎(chǔ)。這項檢查內(nèi)容對單純的配置檢查是一個比較好的補(bǔ)充,功能驗證可采用多種方法,典型的是采用黑盒測試手段進(jìn)行,采用各類驗證腳本和測試用例完成。2.2.1.3.3 配置檢查配置檢查 配置檢查主要是基于對成熟商業(yè)產(chǎn)品安全功能認(rèn)可的基礎(chǔ)上,根據(jù)系統(tǒng)安全策略要求,檢查安全功能的配置情況,對其安全功能配置的合理性進(jìn)行

22、的符合性檢測。檢測人員使用腳本或手工檢查方式,檢查系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的安全配置情況。對被測對象實施全面而周到的安全配置檢查,確定系統(tǒng)的安全配置現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)中存在的安全配置問題(漏洞)。檢查過程中,主要采用的測試手段包括查看相關(guān)安全配置、檢測系統(tǒng)運(yùn)行狀況、手工或使用自動腳本對安全配置情況加以驗證。 與其他測試方法相比,配置檢查可以獲得系統(tǒng)較為真實的安全配置現(xiàn)狀,而且?guī)缀醪粫Ρ粶y系統(tǒng)的運(yùn)行造成負(fù)面影響。2.2.1.3.4 網(wǎng)絡(luò)流量及內(nèi)容分析網(wǎng)絡(luò)流量及內(nèi)容分析這部分內(nèi)容主要是通過入侵檢測系統(tǒng)來進(jìn)行測試的。對各種網(wǎng)絡(luò)訪問進(jìn)行監(jiān)控和測試,入侵檢測系統(tǒng)的使用對于外界防御和內(nèi)部控管的檢測

23、都是比較有意義的。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 10 -通過對一段時間內(nèi)入侵檢測設(shè)備采集的數(shù)據(jù),可判斷、分析是否有安全問題產(chǎn)生,總結(jié)出惡意攻擊行為的方式和特征,對于各種外部的入侵行為,入侵檢測系統(tǒng)即可以通過識別行為模式的方式進(jìn)行識別,從而為安全風(fēng)險的處理提供早期預(yù)警。入侵檢測系統(tǒng)所獲得的信息能夠有效的應(yīng)用于風(fēng)險評估工作,并直觀的展現(xiàn)當(dāng)前應(yīng)用環(huán)境下發(fā)生及尚在潛藏狀態(tài)的安全威脅。入侵檢測系統(tǒng)不但是系統(tǒng)安全防護(hù)的重要手段,在評估的技術(shù)測試中也可起到很好的作用,它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,

24、在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。它可以防止或減輕上述的網(wǎng)絡(luò)威脅。 有效性測試。網(wǎng)絡(luò)入侵檢測設(shè)備可對網(wǎng)絡(luò)典型攻擊行為進(jìn)行探測、記錄和報警,為測試入侵檢測系統(tǒng)能否對攻擊行為進(jìn)行及時報警,測試人員可使用安全掃描系統(tǒng)對監(jiān)控網(wǎng)絡(luò)進(jìn)行模擬掃描攻擊,以驗證入侵檢測系統(tǒng)是否對攻擊行為進(jìn)行記錄和報警。2.2.1.3.5 滲透測試滲透測試 滲透測試是指盡可能真實的模擬攻擊者所使用的方法和技術(shù)對目標(biāo)系統(tǒng)進(jìn)行測試,以檢驗系統(tǒng)在真實環(huán)境中的安全性。很多情況下,單純的進(jìn)行策略文檔的評估和執(zhí)行自動化安全評估工具往往無法發(fā)現(xiàn)一些潛在的安全問題,進(jìn)行滲透測試工作是非常必要的。 滲透測試完全的模擬了真實的攻擊,可以綜合

25、考察單位信息安全工作的運(yùn)轉(zhuǎn)情況,對檢驗工作人員在安全事件響應(yīng)和處理方面的成效很有幫助。滲透測試分為內(nèi)網(wǎng)測試、外網(wǎng)測試和網(wǎng)間測試。 在風(fēng)險評估中滲透測試完成的是點的工作,它可以從一個側(cè)面反應(yīng)系統(tǒng)的安全情況,但對于強(qiáng)調(diào)系統(tǒng)和全面發(fā)現(xiàn)信息系統(tǒng)安全問題的風(fēng)險評估服務(wù)來說,不應(yīng)過分強(qiáng)調(diào)該項測試的必要性和重要性,因為對一個信息系統(tǒng)來說,滲透測試成功與否并不能說明該系統(tǒng)的安全程度。2.2.1.4 管理現(xiàn)狀調(diào)研管理現(xiàn)狀調(diào)研 信息安全管理是對計算機(jī)網(wǎng)絡(luò)應(yīng)用體系中各個方面的安全技術(shù)、產(chǎn)品和人員進(jìn)行統(tǒng)一的管理和協(xié)調(diào),進(jìn)而從整體上提高計算機(jī)網(wǎng)絡(luò)的防范入侵、抵抗攻擊的能力。信息安全管理是信息安全技術(shù)發(fā)揮功效的重要保障和

26、支撐。如果說,安全技術(shù)是信息安全的構(gòu)筑材料,那么, 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 11 -信息安全管理就是粘合劑和催化劑,只有將安全管理有效地貫徹落實于信息安全的方方面面,信息安全的長期性和有效性才能有所保證。因此要重視信息系統(tǒng)安全管理現(xiàn)狀調(diào)研在系統(tǒng)風(fēng)險評估中的作用。 目前我們的安全管理調(diào)研主要通過問卷調(diào)研、查閱用戶管理制度文檔、訪談?wù){(diào)查等方法進(jìn)行的,問卷的設(shè)計是參照信息安全標(biāo)準(zhǔn)部分所提及的國際、國內(nèi)標(biāo)準(zhǔn)以及在項目實施中的經(jīng)驗所確定的,針對被評估單位在信息安全方面制定規(guī)章制度的合理性、完整性、適用性等進(jìn)行評估,主要包括以下幾方面:安全策略組織信息安全資產(chǎn)分

27、類和控制資產(chǎn)管理人力資源安全物理和環(huán)境的安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和保持信息安全事故管理業(yè)務(wù)連續(xù)性管理符合性2.2.2 主要解決問題主要解決問題 這個階段應(yīng)理解為是整個風(fēng)險評估項目的數(shù)據(jù)收集過程,收集的數(shù)據(jù)包括:系統(tǒng)承載的業(yè)務(wù)及業(yè)務(wù)流程系統(tǒng)安全需求單位的組織架構(gòu)單位的制度體系 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 12 -信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)信息資產(chǎn)的詳細(xì)信息確認(rèn)關(guān)鍵信息資產(chǎn)信息系統(tǒng)脆弱性信息系統(tǒng)面臨威脅已有的安全控制措施這個階段大部分工作是在用戶現(xiàn)場完成的,這個階段應(yīng)是 XX 體現(xiàn)技術(shù)優(yōu)勢的地方,應(yīng)采用豐富的技術(shù)手段和管理工具,盡可能全面地收集用戶

28、脆弱性信息,這是 XX 公司與其他公司所作風(fēng)險評估的一個重要區(qū)別所在。2.3 風(fēng)險綜合分析階段風(fēng)險綜合分析階段2.3.1 主要工作主要工作2.3.1.1 體系結(jié)構(gòu)分析體系結(jié)構(gòu)分析體系結(jié)構(gòu)分析部分主要是從整體上評價被評估系統(tǒng)的整體安全狀況,主要是從組織體系、技術(shù)體系、管理體系的制定執(zhí)行情況進(jìn)行的綜合分析。這部分內(nèi)容是從系統(tǒng)的角度對被評估對象的總體評價。這部分的分析內(nèi)容應(yīng)盡可能結(jié)合系統(tǒng)承載業(yè)務(wù)進(jìn)行分析。2.3.1.2 業(yè)務(wù)綜合分析業(yè)務(wù)綜合分析業(yè)務(wù)分析是對系統(tǒng)業(yè)務(wù)及安全需求的認(rèn)識、分析過程,目的是認(rèn)識并深入理解被評估系統(tǒng)的業(yè)務(wù),這是正確識別安全風(fēng)險的基礎(chǔ)。業(yè)務(wù)分析在系統(tǒng)相關(guān)文檔和現(xiàn)場系統(tǒng)調(diào)查基礎(chǔ)上,

29、分析并描述系組織結(jié)構(gòu)、業(yè)務(wù)功能、業(yè)務(wù)流程、數(shù)據(jù)信息和用戶情況。業(yè)務(wù)分析應(yīng)識別決定系統(tǒng)安全性的關(guān)鍵數(shù)據(jù)和服務(wù),并分析這些信息資產(chǎn)安全性受到破壞后對機(jī)構(gòu)業(yè)務(wù)等方面的影響。在業(yè)務(wù)分析過程中,我們還有一個重要的目的是要把基本的業(yè)務(wù)安全目標(biāo)轉(zhuǎn)換成特定的信息系統(tǒng)安全目標(biāo),即將平臺無關(guān)的業(yè)務(wù)安全需求轉(zhuǎn)換為平臺相關(guān)的信息系統(tǒng)安全需求,例如,對財務(wù)系統(tǒng),內(nèi)部業(yè)務(wù)控制目標(biāo)可能是保證交易數(shù)據(jù)正確地傳送給了總帳系統(tǒng),但落實到信 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 13 -息系統(tǒng)安全目標(biāo)時,就是審核交易系統(tǒng)的輸入、處理、輸出等功能應(yīng)增加控制措施,以保證在交易處理發(fā)生錯誤時,及時檢測出錯誤

30、及做適當(dāng)?shù)奶幚怼?.3.1.3 信息資產(chǎn)分析信息資產(chǎn)分析信息資產(chǎn)分析主要是針對所評估的信息系統(tǒng)進(jìn)行的,識別關(guān)鍵系統(tǒng)組成單元,即我們在現(xiàn)場測試過程中的測試對象,重點是重要服務(wù)器和網(wǎng)絡(luò)設(shè)備,其他有形資產(chǎn)如終端、電子數(shù)據(jù)融入到對服務(wù)器和網(wǎng)絡(luò)設(shè)備之中,分析其遭到破壞對業(yè)務(wù)和數(shù)據(jù)所造成的影響。2.3.1.4 脆弱性分析脆弱性分析脆弱性主要指技術(shù)脆弱性和管理脆弱性分析。涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等各個層面的安全問題,對各測試類中所發(fā)現(xiàn)的問題進(jìn)行描述并生成技術(shù)和管理脆弱性列表。技術(shù)脆弱性的來源主要是我們在實施階段的測試數(shù)據(jù),如配置檢查、漏洞掃描、IDS網(wǎng)絡(luò)檢測和滲透測試等;管理脆弱性主要是根

31、據(jù)管理問卷、威脅調(diào)查及管理執(zhí)行情況調(diào)研所收集到的信息。技術(shù)脆弱性分析主要針對關(guān)鍵資產(chǎn)所對應(yīng)的系統(tǒng)單元及相關(guān)測試對象進(jìn)行,技術(shù)脆弱性分析的最終形式是圍繞關(guān)鍵資產(chǎn)的脆弱性列表。管理脆弱性分析是依據(jù)各類安全管理要求對現(xiàn)有的安全管理制度的制定和執(zhí)行情況進(jìn)行檢查,發(fā)現(xiàn)其中的管理漏洞和不足。以上對系統(tǒng)脆弱性的分析結(jié)果是后面系統(tǒng)威脅分析、風(fēng)險分析的基礎(chǔ),也是導(dǎo)出風(fēng)險列表的重要依據(jù)。2.3.1.5 已有安全控制措施分析已有安全控制措施分析在風(fēng)險評估中應(yīng)對系統(tǒng)已采取的安全控制措施進(jìn)行識別,并對控制措施有效性進(jìn)行核查,核查包括對防火墻、IDS、交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全配置檢查,操作系統(tǒng)、數(shù)據(jù)庫安全功能檢查,應(yīng)用軟件

32、安全功能驗證等,將有效的安全控制措施繼續(xù)保持,并進(jìn)行優(yōu)化,以避免不 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 14 -必要的工作和費(fèi)用,防止控制措施的重復(fù)實施。對于那些確認(rèn)為不適當(dāng)?shù)目刂茟?yīng)取消,或者用更合適的控制代替。2.3.1.6 威脅可能性分析威脅可能性分析對威脅的分析是建立在業(yè)務(wù)分析、資產(chǎn)分析、脆弱性分析和已有安全控制措施分析基礎(chǔ)之上的,威脅分析主要分析其可能性可能性,評估確定威脅發(fā)生的可能性是這一階段的重要工作。可能性的判斷是評估組根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來判斷的。2.3.1.6.1 威脅的種類威脅的種類威脅種類是指威脅主體對系統(tǒng)目標(biāo)造成破壞的所采取的主

33、要手段,具體分類包括十五種,威脅的主體包括:系統(tǒng)合法用戶、系統(tǒng)非法用戶、系統(tǒng)組件和物理環(huán)境。 下面分別對這些威脅及其可能發(fā)生的各種情形進(jìn)行簡單描述。威脅列表威脅列表威脅主體威脅主體威脅類別威脅類別威脅描述威脅描述操作錯誤合法用戶工作失誤或疏忽的可能性濫用授權(quán)合法用戶利用自己的權(quán)限故意或非故意破壞系統(tǒng)的可能性系統(tǒng)合法用戶(包括系統(tǒng)管理員和其他授權(quán)用戶)行為抵賴合法用戶對自己操作行為否認(rèn)的可能性身份假冒非法用戶冒充合法用戶進(jìn)行操作的可能性密碼猜測非法用戶對系統(tǒng)密碼猜測的可能性漏洞利用非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)的可能性拒絕服務(wù)非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性惡意代碼病毒、特洛伊木馬、蠕蟲、

34、邏輯炸彈等感染的可能性數(shù)據(jù)竊聽非法用戶通過竊聽等手段盜取重要數(shù)據(jù)的可能性物理破壞非法用戶利用各種手段對資產(chǎn)物理破壞的可能性系統(tǒng)非法用戶(包括權(quán)限較低用(包括權(quán)限較低用戶和外部攻擊者)戶和外部攻擊者)社會工程非法用戶利用社交等手段獲取重要信息的可能性意外故障系統(tǒng)的硬件、軟件發(fā)生意外故障的可能性系統(tǒng)組件通信中斷數(shù)據(jù)通信傳輸過程中發(fā)生意外中斷的可能性電源中斷電源發(fā)生中斷的可能性物理環(huán)境災(zāi)難火災(zāi)、水災(zāi)、雷擊、鼠害、地震等發(fā)生的可能性 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 15 -2.3.1.6.2 威脅分析方法威脅分析方法威脅分析可從威脅來源、威脅動機(jī)、威脅路徑等方面入手

35、,具體內(nèi)容包括:這個系統(tǒng)究竟會受到哪些威脅(威脅來源)?可能有哪些類攻擊(攻擊種類)?攻擊的具體方法是什么(攻擊方法)?威脅發(fā)生的路徑。圍繞著以上列出的15種威脅,針對具體的測試單元,分別確定威脅主體,威脅來源、攻擊種類、攻擊方法、攻擊路徑。威脅來源可以通過威脅主體、威脅動機(jī)、攻擊來源等角度來進(jìn)行分析。在這一過程中,首先要對組織需要保護(hù)的每一項關(guān)鍵資產(chǎn)進(jìn)行威脅識別。在威脅識別過程中,應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷,一項資產(chǎn)可能面臨著多個威脅,同樣一個威脅可能對不同的資產(chǎn)造成影響。從威脅主體來看,可以將威脅分為非人為的和人為的。對信息系統(tǒng)的非人為的安全威脅主要是自然災(zāi)

36、難,另外,由于技術(shù)的局限性,造成系統(tǒng)不穩(wěn)定、不可靠等情況,也會引發(fā)安全事件,這也是非人為的安全威脅。人為的安全威脅的主體是一些個人和組織對信息系統(tǒng)造成的安全威脅。從威脅動機(jī)來看,人為的安全威脅可分為惡意攻擊和非惡意行為。區(qū)分威脅的惡意或非惡意目的是非常重要的。惡意攻擊是指出于各種目的而對所使用的信息系統(tǒng)實施的攻擊。惡意攻擊具有明顯的目的性,一般經(jīng)過精心策略和準(zhǔn)備,并可能是有組織的,投入一定的資源和時間。主要的非惡意攻擊包括粗心或未受到良好培訓(xùn)的管理員和用戶,由于特殊原因而導(dǎo)致的無意行為,造成對信息系統(tǒng)的破壞。從攻擊來源來看,可以分為內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊來自于內(nèi)部人員,由于內(nèi)部人員知道系

37、統(tǒng)的部署、有價值的數(shù)據(jù)在何處以及系統(tǒng)采取的安全措施,因而可能具有更強(qiáng)的破壞性。同時由于內(nèi)部攻擊來自應(yīng)用環(huán)境內(nèi)部,常常難于檢測和防范。在以上分析的基礎(chǔ)上,還建議在條件允許的話進(jìn)行攻擊路徑分析,主要是在對威脅靜態(tài)分析的基礎(chǔ)上,通過系統(tǒng)拓?fù)浣Y(jié)構(gòu)、管理架構(gòu)和業(yè)務(wù)流程對威脅的實現(xiàn)途徑進(jìn)行威脅動態(tài)分析,這樣將靜態(tài)的威脅和具體系統(tǒng)結(jié)合起來,使威脅分析更具實際的指導(dǎo)意義。對威脅的具體分析結(jié)果是完成威脅分析列表(參見實施指南)。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 16 -2.3.1.7 風(fēng)險分析風(fēng)險分析 我們認(rèn)為風(fēng)險主要由兩個因素決定:威脅發(fā)生(或脆弱點被利用)的可能性和對信息

38、系統(tǒng)所承載業(yè)務(wù)造成的影響,即R= F(C, L)注:R表示風(fēng)險; C表示資產(chǎn)發(fā)生安全事件后對單位業(yè)務(wù)的影響(與資產(chǎn)的重要程度一致),L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。可能性的來源有三個部分:面臨的威脅、系統(tǒng)脆弱性、已有的安全控制措施。通過對系統(tǒng)結(jié)構(gòu)和威脅路徑的分析可以確定關(guān)鍵的系統(tǒng)單元,安全威脅導(dǎo)致安全事件的可能性通過綜合分析這些關(guān)鍵系統(tǒng)單元相關(guān)的安全威脅、脆弱性、安全措施(包括技術(shù)、管理措施和物理的保護(hù)措施)三個方面的因素來確定。數(shù)學(xué)表示為:C= p(T, V, S),其中P代表可能性,T代表威脅,V代表脆弱性,S代表安全措施。 其中影響分析是在資產(chǎn)分析過程中完成的,而可能

39、性的綜合分析是在威脅可能性分析過程中完成的。2.3.1.8 生成報告生成報告風(fēng)險評估中我們完成的主要文檔和報告包括:測試文檔 信息系統(tǒng)網(wǎng)絡(luò)設(shè)備手工檢查分析報告 信息系統(tǒng)服務(wù)器手工檢查分析報告 信息系統(tǒng) IDS 日志分析報告 信息系統(tǒng)安全漏洞掃描報告 信息系統(tǒng)滲透測試報告最終報告 信息系統(tǒng)安全現(xiàn)狀分析報告 信息系統(tǒng)安全風(fēng)險評估報告 信息系統(tǒng)安全建議報告這些報告只是在風(fēng)險評估過程中所需要完成的基本報告,還可根據(jù)實際情況靈活設(shè)計報告,如業(yè)務(wù)調(diào)研報告、業(yè)務(wù)安全需求分析報告、系統(tǒng)安全管理現(xiàn)狀報告等。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 17 -2.3.2 主要解決問題主要

40、解決問題 在這個階段,主要完成如下工作內(nèi)容:各類分析工作的完成各個主要報告的完成完成根據(jù)用戶要求和實際需要所設(shè)計的額外項目內(nèi)容完成與用戶的報告修改與確認(rèn)完成與用戶的項目溝通,解決項目評審可能會遇到的問題三三. 風(fēng)險評估項目剪裁風(fēng)險評估項目剪裁上述信息系統(tǒng)安全風(fēng)險評估過程主要是按照一個完整的風(fēng)險評估模式設(shè)計描述的,而在實際的項目過程中,信息系統(tǒng)風(fēng)險評估過程與方法是與具體客戶業(yè)務(wù)環(huán)境極其相關(guān),客戶實施風(fēng)險評估的投入、目的、過程與方法都可能不同,因此決定我們采用的風(fēng)險評估方式和過程也不是一成不變的,應(yīng)基于每個單位具體的業(yè)務(wù)特征和資金投入情況對風(fēng)險評估每個單獨(dú)階段和過程進(jìn)行剪裁,以滿足客戶的需要。對風(fēng)

41、險評估過程與方法進(jìn)行的剪裁主要涉及以下方面:風(fēng)險評估中各工作內(nèi)容的過程順序在評估實施過程中,以上介紹的內(nèi)容不是串行的,而且有些工作可以合并進(jìn)行,比如 在準(zhǔn)備階段和現(xiàn)場實施階段的各項工作。現(xiàn)場溝通、調(diào)研會的數(shù)量和形式;舉行現(xiàn)場溝通和調(diào)研會的數(shù)量和形式應(yīng)不局限于以上所介紹的幾種形式,對于比較重要的項目實施過程,應(yīng)根據(jù)實際需要增加調(diào)研和與用戶溝通的次數(shù),這樣對于充分了解客戶要求,使整個項目少走彎路是必要的,而且通過這些溝通可加深對客戶的了解,為后期其他項目的設(shè)計和實施作好準(zhǔn)備。一定重視每次與客戶的溝通機(jī)會,保證每次溝通前應(yīng)作好足夠的準(zhǔn)備,溝通目標(biāo)及解決的問題應(yīng)明確,盡量避免就同一問題或主題與客戶多次

42、溝通;也應(yīng)避免由于準(zhǔn)備的不充分,使工作效率不高。 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 18 -現(xiàn)場工作的內(nèi)容;這一部份靈活性比較強(qiáng),如可引導(dǎo)客戶設(shè)計以技術(shù)為主、管理為輔的技術(shù)評估;管理為主、技術(shù)為輔的管理評估;在技術(shù)脆弱性測試階段可根據(jù)實際情況靈活采用所需的技術(shù)手段。使用工具的種類和數(shù)量;在評估測試階段,使用工具可根據(jù)合同進(jìn)行采用,一般來說掃描器、配置檢查由于實施簡單、使用周期短,一般是采用的;而滲透測試、功能驗證、IDS 數(shù)據(jù)分析等測試手段可根據(jù)實際情況進(jìn)行取舍。風(fēng)險分析的內(nèi)容和方法;對于簡單的風(fēng)險評估,可省略風(fēng)險的打分、計算過程,而全部采用定性的描述。對業(yè)務(wù)

43、分析、威脅分析等過程也可簡化。四四. 由風(fēng)險評估服務(wù)衍生的其它服務(wù)由風(fēng)險評估服務(wù)衍生的其它服務(wù)應(yīng)該說,風(fēng)險評估服務(wù)是公司目前開展的大部分安全控制、安全運(yùn)維、安全規(guī)劃等咨詢服務(wù)的基礎(chǔ),因此完善的、具有自己特點和優(yōu)勢的風(fēng)險評估是其他服務(wù)有效展開和實施的基礎(chǔ),應(yīng)高度重視風(fēng)險評估的內(nèi)容和質(zhì)量。 下面簡單介紹以風(fēng)險評估為基礎(chǔ)的典型服務(wù),詳細(xì)內(nèi)容請參照相關(guān)的服務(wù)文檔。4.1 等級保護(hù)等級保護(hù) 等級保護(hù)是指導(dǎo)我國信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則,是圍繞信息安全保障全過程的一項基礎(chǔ)性管理制度,其核心內(nèi)容是對信息系統(tǒng)分等級進(jìn)行建設(shè)、管理和監(jiān)督。在以后的幾年內(nèi),等級保護(hù)服務(wù)很可能成為用戶安全服務(wù)的一項重要內(nèi)

44、容。 在信息系統(tǒng)等級保護(hù),風(fēng)險評估是信息系統(tǒng)等級保護(hù)中(不同等級不同安全需求)的基礎(chǔ)。在等級保護(hù)中定級、系統(tǒng)安全建設(shè)方案、系統(tǒng)建設(shè)和運(yùn)維、系統(tǒng)等級測評等各個階段均可以實施風(fēng)險評估服務(wù),只是重點和內(nèi)容不同,比如定級階段的風(fēng)險評估應(yīng)著重于信息系統(tǒng)承載業(yè)務(wù)的分析以及安全需求的導(dǎo)出評估,即以業(yè)務(wù)安全評估、資產(chǎn)分析為主要內(nèi)容,而技 2008 XX 科技科技密級:密級:請輸入文檔密級請輸入文檔密級- 19 -術(shù)和管理評估則為次要內(nèi)容或者可以不做;而在建設(shè)階段,我們可以通過風(fēng)險評估來指導(dǎo)系統(tǒng)安全方案的設(shè)計、系統(tǒng)的安全建設(shè)等。4.2 SOX 2002 年,美國國會通過了 Sarbanes-Oxley 法案(Sarbanes-Oxley Act, 簡稱 SOX 法案),該法案要求組織機(jī)構(gòu)使用文檔化的財務(wù)政策和流程來改善可審計性,并更快地拿出財務(wù)報告。SOX 要求企業(yè)針對產(chǎn)生財務(wù)交易的所有作業(yè)流程,都做到能見度/透明度、控制、通訊、風(fēng)險管理和詐欺防治,且這些流程必須詳加記錄到可追查交易源頭的地步。凡在美國上市的公司都要受此法案約束。 “薩班斯法案”的出臺,對企業(yè)的公司治理、IT 治理及 IT 內(nèi)控提出了更嚴(yán)格的要求,IT 在內(nèi)部控制方面扮演一個至關(guān)重要的角色。IT 專家,尤其是處于經(jīng)理級職位上的專家,需要非常精通內(nèi)部控制理論和實踐來迎

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論