信息安全風(fēng)險(xiǎn)評估

1、信息安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估過程分為6基本活動(dòng)：風(fēng)險(xiǎn)評估準(zhǔn)備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施的確認(rèn)、風(fēng)險(xiǎn)分析和交付風(fēng)險(xiǎn)評估記錄。風(fēng)險(xiǎn)評估雙方之間的溝通與洽談應(yīng)貫穿整個(gè)風(fēng)險(xiǎn)評估過程。風(fēng)險(xiǎn)評估準(zhǔn)備階段確定風(fēng)險(xiǎn)評估的目標(biāo)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險(xiǎn)大小。確定風(fēng)險(xiǎn)評估的范圍風(fēng)險(xiǎn)評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)風(fēng)險(xiǎn)評估實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)等人員組成風(fēng)險(xiǎn)

2、評估小組。必要時(shí)，可組建由評估方、被評估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險(xiǎn)評估領(lǐng)導(dǎo)小組，聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家小組。評估實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評估前的表格、文檔、檢測工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險(xiǎn)評估技術(shù)培訓(xùn)和保密教育，制定風(fēng)險(xiǎn)評估過程管理相關(guān)規(guī)定。可根據(jù)被評估方要求，雙方簽署保密合同，適情簽署個(gè)人保密協(xié)議。進(jìn)行系統(tǒng)調(diào)研建立評估團(tuán)隊(duì)后,由評估工作人員進(jìn)行現(xiàn)場調(diào)研，由被評估方介紹網(wǎng)絡(luò)構(gòu)建情況，安全管理制度和采取的安全防護(hù)措施以及業(yè)務(wù)運(yùn)行情況。評估工作小組根據(jù)調(diào)研情況撰寫信息安全風(fēng)險(xiǎn)評估工作方案。確定評估依據(jù)和方法現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；系統(tǒng)安全

3、保護(hù)等級要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實(shí)時(shí)性或性能要求等。6.制定風(fēng)險(xiǎn)評估方案對信息系統(tǒng)風(fēng)險(xiǎn)評估項(xiàng)目目標(biāo)、范圍、項(xiàng)目交付文件、項(xiàng)目實(shí)施方案、工作方式、評估成果提交形式討論確定。形成完整的風(fēng)險(xiǎn)評估實(shí)施方案。7.獲得最高管理者對風(fēng)險(xiǎn)評估工作的支持務(wù)必請指定業(yè)務(wù)實(shí)施負(fù)責(zé)人作為項(xiàng)目接口和協(xié)調(diào)人；列出人員的電話號碼和電子郵件賬號以備聯(lián)絡(luò)。=工作輸出1業(yè)務(wù)安全評估相關(guān)成員列表（包括雙方人員） 2. 風(fēng)險(xiǎn)評估實(shí)施方案資產(chǎn)識別階段1資產(chǎn)分類資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。通常信息資產(chǎn)的保

4、密性、完整性和可用性是公認(rèn)的能夠反映資產(chǎn)安全特性的三個(gè)要素。評估團(tuán)隊(duì)將調(diào)研到的資產(chǎn)可分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員、其他（企業(yè)形象、客戶關(guān)系等）等類型。在實(shí)際工作中，具體的資產(chǎn)分類方法可根據(jù)具體的評估對象和要求，由評估者靈活把握。2資產(chǎn)賦值根據(jù)資產(chǎn)在保密性、完整性、可用性上的不同要求，對資產(chǎn)進(jìn)行保密性賦值、完整性賦值、可用性賦值。資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性、可用性上的賦值等級，經(jīng)過綜合評定得出。=工作輸出1資產(chǎn)表（包括人工評估標(biāo)記和資產(chǎn)值）2. 資產(chǎn)分類報(bào)告3. 資產(chǎn)三性登記表4. 重要資產(chǎn)賦值表威脅識別階段在識別威脅時(shí)，應(yīng)根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷，威脅識別主

5、要通過采集入侵檢測系統(tǒng)(IDS)的報(bào)警信息、威脅問卷調(diào)查和對技術(shù)人員做顧問訪談的方式。為了確保收集到的威脅信息客觀準(zhǔn)確，威脅問卷調(diào)查的對象要覆蓋被評估對象的領(lǐng)導(dǎo)層、技術(shù)主管、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、安全管理人員和普通員工等。顧問訪談要針對不同的訪談對象制訂不同的訪談提綱。威脅識別的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，威脅源可能是蓄意也可能是 偶然的因素，通常包括人、系統(tǒng)和自然環(huán)境等。一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，而一個(gè)威脅也可能對不同的資產(chǎn)造成影響。威脅識別完成后還應(yīng)該對威脅發(fā)生的可能性進(jìn)行評估，列出威脅清單，描述威脅屬性，并對威脅出現(xiàn)的頻率賦值。威脅分類在威脅評估過程中，首先就要對組織需要保護(hù)的

6、每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識別。威脅類別包含軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。在威脅識別過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷。一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對不同的資產(chǎn)造成影響。威脅賦值賦值參考：以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；近一兩年來國際組織發(fā)布的對于整個(gè)社會或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。=工作輸出1威脅分析報(bào)告和賦值表四、脆弱性識別階段也稱為弱點(diǎn)評估，是安全風(fēng)險(xiǎn)評估中重要的

7、內(nèi)容。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。 弱點(diǎn)包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。 。脆弱性主要從技術(shù)和管理兩個(gè)方面進(jìn)行評估，涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等各個(gè)層面的安全問題。其中；。1.脆弱性識別內(nèi)容技術(shù)脆弱性：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等。在技術(shù)方面主要是通過遠(yuǎn)程和本地兩種方式進(jìn)行系統(tǒng)掃描、對網(wǎng)絡(luò)設(shè)備和主機(jī)等進(jìn)行人工抽查，以保證技術(shù)脆弱性評估的全面性和有效性。通過提出掃描申請并進(jìn)行掃描評估（每次掃描完成后，應(yīng)有掃描確認(rèn)，需用戶方簽字），在整個(gè)項(xiàng)目技術(shù)部分基本結(jié)束時(shí)，雙方協(xié)商進(jìn)行

8、滲透測試。管理脆弱性：技術(shù)管理組織管理管理脆弱性評估方面可以按照BS 7799、ISO17799等標(biāo)準(zhǔn)的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和不足，進(jìn)行人工評估（每次人工評估完成后，應(yīng)有人工評估確認(rèn)，需用戶方簽字）。脆弱性評估所采用的方法主要為：問卷調(diào)查、人員問詢、工具掃描、手動(dòng)檢查、文檔審查、滲透測試等。 2.脆弱性賦值根據(jù)對資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度，采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。五、已有措施安全分析階段安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能

9、性，如入侵檢測系統(tǒng)；保護(hù)性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響。機(jī)構(gòu)應(yīng)對已采取的控制措施進(jìn)行識別并對控制措施的有效性進(jìn)行確認(rèn)，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止控制措施的重復(fù)實(shí)施。對于那些確認(rèn)為不適當(dāng)?shù)目刂茟?yīng)核查是否應(yīng)被取消，或者用更合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施（如業(yè)務(wù)持續(xù)性計(jì)劃、商業(yè)保險(xiǎn)等）兩種，預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性，而保護(hù)性控制措施可以減少因威脅發(fā)生所造成的影響。=工作輸出1風(fēng)險(xiǎn)評估與應(yīng)對措施表2安全措施有效性分析表3網(wǎng)絡(luò)安全建議報(bào)告六、風(fēng)險(xiǎn)分析階段1風(fēng)險(xiǎn)計(jì)算：1.1計(jì)算安全事件

10、發(fā)生可能性構(gòu)建安全事件發(fā)生可能性矩陣；根據(jù)威脅賦值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對照，確定安全事件發(fā)生可能性值；3）對計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級劃分1.2計(jì)算安全事件的損失構(gòu)建安全事件損失矩陣；根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對照，確定安全事件損失值；對計(jì)算得到的安全事件損失進(jìn)行等級劃分。1.3計(jì)算風(fēng)險(xiǎn)值構(gòu)建風(fēng)險(xiǎn)矩陣；根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對照，確定安全事件風(fēng)險(xiǎn)值。然后在風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級表中可以找到相應(yīng)的風(fēng)險(xiǎn)等級。2.風(fēng)險(xiǎn)結(jié)果判定根據(jù)安全事件發(fā)生可能性等級和安全事件損失等級在矩陣中進(jìn)行對照，確定風(fēng)險(xiǎn)值。然后在風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級表中可以找到相應(yīng)的風(fēng)險(xiǎn)等級。3.風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。4.殘余風(fēng)險(xiǎn)評估。5.安全整改建議 安全風(fēng)險(xiǎn)整改是根據(jù)風(fēng)險(xiǎn)決策提出的風(fēng)險(xiǎn)處理計(jì)劃，結(jié)合資產(chǎn)面臨的威脅和存在的脆弱性，經(jīng)過合理的統(tǒng)計(jì)歸納，形成安全解決方案建議報(bào)告的過程。 安全建議報(bào)告應(yīng)包含安全建議階段的所有工作內(nèi)容，具體如下：需求分析：需求分析根據(jù)風(fēng)險(xiǎn)分析的結(jié)論將北京市