風險評估策劃方案介紹

1、 HYPERLINK / 1. 總體概述1.1 項目概述為了更好的了解信息安全狀況，依照信息安全風險評估指南和GB/T 20984-2007要求，總體評估公司信息化建設(shè)風險。2.風險評估方案2.1風險評估現(xiàn)場實施流程風險評估的實施流程見下圖所示2.2 風險評估使用工具測評過程中所使用的工具見下表所示：序號名 稱功 能 描 述版 本用途1數(shù)據(jù)庫安全掃描系統(tǒng)可掃描Qracle、Sql Server、SybaseATX數(shù)據(jù)庫漏洞掃描2ISS網(wǎng)絡(luò)掃描器可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)7.0sp2網(wǎng)絡(luò)、主機漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)6.0網(wǎng)絡(luò)、主機漏洞掃描4極光遠程安全評估系統(tǒng)

2、可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)AURORA-200網(wǎng)絡(luò)、主機漏洞掃描5網(wǎng)絡(luò)綜合協(xié)議分析儀OptiView網(wǎng)絡(luò)透視與協(xié)議分析，網(wǎng)絡(luò)性能測評INA網(wǎng)絡(luò)流量監(jiān)控6網(wǎng)絡(luò)系統(tǒng)治理,HP OpenView自動發(fā)覺網(wǎng)絡(luò)拓撲圖、網(wǎng)絡(luò)性能與故障治理NNM6.0繪制網(wǎng)絡(luò)拓撲圖2.3 風險評估方法2.3.1資產(chǎn)識不資產(chǎn)分類首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當?shù)姆诸?，以此為基礎(chǔ)進行下一步的風險評估。依照資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。一種基于表現(xiàn)形式的資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行治理規(guī)程、打算、報告、用戶手冊等軟件

3、系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他：打印機、復(fù)印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的治理信息系統(tǒng)（MIS），包括各種內(nèi)部配置治理、文件流轉(zhuǎn)治理等服務(wù)網(wǎng)絡(luò)服

4、務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依靠該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報、財務(wù)報告、進展打算等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理等其它企業(yè)形象，客戶關(guān)系等資產(chǎn)賦值.1保密性賦值依照資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分不對應(yīng)資產(chǎn)在機密性上應(yīng)達成的不同程度或者機密性缺失時對整個組織的阻礙。資產(chǎn)機密性賦值表賦值標識定義5專門高包含組織最重要的秘密，關(guān)系以后進展的前途命運，對組織全然利益有著決定性的阻礙，假如泄露會造成災(zāi)難性的損害 4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴峻損害3中等組織的一

5、般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1專門低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等.2完整性賦值依照資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分不對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的阻礙。資產(chǎn)完整性賦值表賦值標識定義5專門高完整性價值特不關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法同意的阻礙，對業(yè)務(wù)沖擊重大，并可能造成嚴峻的業(yè)務(wù)中斷，難以彌補。4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大阻礙，對業(yè)務(wù)沖擊嚴峻，較難彌補。3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會

6、對組織造成阻礙，對業(yè)務(wù)沖擊明顯，但能夠彌補。2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微阻礙，對業(yè)務(wù)沖擊輕微，容易彌補。1專門低完整性價值特不低，未經(jīng)授權(quán)的修改或破壞對組織造成的阻礙能夠忽略，對業(yè)務(wù)沖擊能夠忽略。.3可用性賦值依照資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分不對應(yīng)資產(chǎn)在可用性上應(yīng)達成的不同程度。資產(chǎn)可用性賦值表賦值標識定義5專門高可用性價值特不高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不同意中斷。4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)同意中斷時刻小于10分鐘。3中等可用性價值中等，合法使用者

7、對信息及信息系統(tǒng)的可用度在正常工作時刻達到70%以上，或系統(tǒng)同意中斷時刻小于30分鐘。2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時刻達到25%以上，或系統(tǒng)同意中斷時刻小于60分鐘。1專門低可用性價值能夠忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時刻低于25%。.4資產(chǎn)重要性等級資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，通過綜合評定得出。依照最終賦值將資產(chǎn)劃分為五級，級不越高表示資產(chǎn)越重要，確定重要資產(chǎn)的范圍，并要緊圍繞重要資產(chǎn)進行下一步的風險評估。資產(chǎn)等級及含義描述等級標識描述5專門高特不重要，其安全屬性破壞后可能對組織造成特不嚴峻的損失。4高重要，

8、其安全屬性破壞后可能對組織造成比較嚴峻的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對組織造成較低的損失。1專門低不重要，其安全屬性破壞后對組織造成導(dǎo)專門小的損失，甚至忽略不計。2.3.2威脅識不威脅分類對威脅進行分類的方式有多種，針對上表的威脅來源，能夠依照其表現(xiàn)形式將威脅分為以下幾類。一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對業(yè)務(wù)實施、系統(tǒng)穩(wěn)定運行的阻礙。設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境阻礙斷

9、電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)難。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的阻礙。維護錯誤、操作失誤治理不到位安全治理無法落實，不到位，造成安全治理不規(guī)范，或者治理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件越權(quán)或濫用通過采納一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)

10、據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對信息系統(tǒng)進行攻擊和入侵。網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的操縱和破壞物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵

11、賴、第三方抵賴威脅賦值推斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，依照有關(guān)的統(tǒng)計數(shù)據(jù)來進行推斷。對威脅出現(xiàn)的頻率進行等級化處理，不同等級分不代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。威脅賦值表等級標識定義5專門高出現(xiàn)的頻率專門高（或1 次/周）；或在大多數(shù)情況下幾乎不可幸免；或能夠證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或 1 次/月）；或在大多數(shù)情況下專門有可能會發(fā)生；或能夠證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或 1 次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1專門低威脅幾乎不可能發(fā)生，僅可能在特不罕見和例

12、外的情況下發(fā)生。2.3.3脆弱性識不脆弱性識不內(nèi)容脆弱性識不是風險評估中最重要的一個環(huán)節(jié)。脆弱性識不能夠以資產(chǎn)為核心，針對每一項需要愛護的資產(chǎn),識不可能被威脅利用的弱點，并對脆弱性的嚴峻程度進行評估；從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識不，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識不所采納的方法要緊有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識不內(nèi)容表類型識不對象識不內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的愛護、機房區(qū)域防護、機房設(shè)備治理等方面進行識不。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界愛護、外部訪問操縱策略、內(nèi)部訪問操縱策

13、略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識不。系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務(wù)）從補丁安裝、物理愛護、用戶賬號、口令策略、資源共享、事件審計、訪問操縱、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)治理等方面進行識不。數(shù)據(jù)庫軟件從補丁安裝、鑒不機制、口令機制、訪問操縱、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進行識不。應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識不。應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問操縱策略、數(shù)據(jù)完整性、通信、鑒不機制、密碼愛護等方面進行識不。治理脆弱性技術(shù)治理從物理和環(huán)境安全、通信與操作治理、訪問操縱、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識不。組織治理從安全策略、組織安

14、全、資產(chǎn)分類與操縱、人員安全、符合性等方面進行識不。脆弱性賦值能夠依照對資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度、弱點的流行程度，采納等級方式對已識不的脆弱性的嚴峻程度進行賦值。脆弱性嚴峻程度能夠進行等級化處理，不同的等級分不代表資產(chǎn)脆弱性嚴峻程度的高低。等級數(shù)值越大，脆弱性嚴峻程度越高。脆弱性嚴峻程度賦值表等級標識定義5專門高假如被威脅利用，將對資產(chǎn)造成完全損害。4高假如被威脅利用，將對資產(chǎn)造成重大損害。3中假如被威脅利用，將對資產(chǎn)造成一般損害 。2低假如被威脅利用，將對資產(chǎn)造成較小損害。1專門低假如被威脅利用，將對資產(chǎn)造成的損害能夠忽略。 2.3.4已有安全措施確認在識不脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進行確認。安全措施的確認應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施接著保持，以幸免不必要的工作和費用，防止安全措施的重復(fù)實施。對確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。2.3.5風險分析為實現(xiàn)對風險的操縱與治理，能夠?qū)︼L險評估的結(jié)果進行等級化處理。能夠?qū)L險劃分為五級，等級越高，風險越高。依照所采納的風險計算方法，計算每種資產(chǎn)面臨的風險值，依照風險值的分布狀況，為每個等級設(shè)定風險值范圍，并對所有風險計算結(jié)果進行等級處理。每個等級