風險評估實施方案

一、風險評估概述1、風險服務(wù)的重要性對于構(gòu)建一套良好的信息安全系統(tǒng)，需要對整個系統(tǒng)的安全風險有一個清楚的結(jié)識。只有清楚的了解了自身的弱點和風險的來源，才可以真正的解決和削弱它，并以此來構(gòu)建有著對性的、合理有效的安全策略，而風險評估既是安全策略規(guī)劃的第一步，同時也是實行其他安全策略的必要前提。近幾年隨著幾次計算機蠕蟲病毒的大規(guī)模肆虐襲擊，很對用戶的網(wǎng)絡(luò)都遭受了不同限度的襲擊，仔細分析就會發(fā)現(xiàn)，幾乎所有的用戶都部署了防病毒軟件和類似的安全防護系統(tǒng)，越來越多的用戶發(fā)現(xiàn)淡村的安全產(chǎn)品已經(jīng)不能滿足現(xiàn)在的安全防護體系的需求了。安全是整體的體系建設(shè)過程，根據(jù)安全的木桶原理，組織網(wǎng)絡(luò)的整個安全最大強度取決于最短最脆弱的那根木頭，所以說在安全建設(shè)的過程中，假如不仔細的找到最短的那根木頭，而盲目的在外面加釘子，并不能改善整體強度。信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制，只有通過全面的風險評估，才干讓客戶對自身信息安全的狀況做出準確的判斷。2、風險評估服務(wù)的目的及其意義信息安全風險是指人為或自然的威脅運用信息系統(tǒng)及其團里體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織導(dǎo)致的影響。信息安全風險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其解決、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。他要評估資產(chǎn)面臨的威脅以及威脅運用脆弱性導(dǎo)致安全事件的也許性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組導(dǎo)致的影響。信息安全風險評估是信息系統(tǒng)安全保障機制建立過程中的一種評價方法，其結(jié)果為信息安全更顯管理提供依據(jù)。3、風險評估服務(wù)機制在信息系統(tǒng)生命周期里，有許多種情況必須對信息系統(tǒng)所涉及的人員、技術(shù)環(huán)境、物理環(huán)境進行風險評估：在設(shè)計規(guī)劃或升級新的信息系統(tǒng)時；給目前的信息系統(tǒng)增長新應(yīng)用時；在與其他組織（部門）進行網(wǎng)絡(luò)互聯(lián)時；在技術(shù)平臺進行大規(guī)模更新（例如，從Linux系統(tǒng)移植到Sliaris系統(tǒng)）時；在發(fā)生計算機安全事件之后，或懷疑也許會發(fā)生安全事件時；關(guān)心組織現(xiàn)有的信息安全措施是否充足或食后具有相應(yīng)的安全效力時；在組織具有結(jié)構(gòu)變動（例如：組織合并）時：在需要對信息系統(tǒng)的安全狀況進行定期或不定期的聘雇、已查看是否滿足組織連續(xù)運營需要時等。4、風險評估服務(wù)的收益風險評估可以幫助客戶：準確了解租住的信息安全現(xiàn)狀；明晰組織的信息安全需求；制定組織信息系統(tǒng)的安全策略和風險解決方案；指導(dǎo)組織未來的信息安全建設(shè)和投入；建立組織自身的信息安全管理框架。二、風險評估服務(wù)介紹本公司遵循公認的ISO27001、GB/T20984-2023信息安全風險評估規(guī)范以及國際信息安全等級保護指南等安全標準知道風險評估的工作，針對資產(chǎn)重要限度分別提供不同的頻率和方式的風險評估，幫助客戶了解客觀真實的自身網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀，規(guī)劃適合自己網(wǎng)絡(luò)系統(tǒng)環(huán)境的安全策略，并根據(jù)科學合理的安全策略來實行后續(xù)的安全服務(wù)、選型與部署安全產(chǎn)品以及建立有效的安全管理規(guī)章制度，從而全面完整的解決也許存在的各種風險隱患。1、風險評估服務(wù)遵循標準在整個評估過程中，本公司遵循和參照最新、最權(quán)威的信息安全標準，作為評估實行的依據(jù)。這些安全標準涉及：安全技術(shù)標準：GB17859：計算機信息系統(tǒng)安全保護等級劃分準則GB18336（ISO15408）：信息技術(shù)-安全技術(shù)-信息技術(shù)風險評估準則（等同于CommonCriteriaforInformationTechnologySecurityEvaluationV1.2，簡稱CCV1.2）CVE：CommonVulnerabilities＆Exposures，通用脆弱性標準。CVE是個行業(yè)標準，為每個漏洞和弱點擬定了惟一的名稱和標準化的描述，可以稱為評價響應(yīng)入侵檢測和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準安全管理標準：ISO/IEC27001:2023InformationTechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements，信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定ISO/IEC27005:2023InformationTechnology-Securityechniques-Informationsecurityriskmanagement，信息技術(shù)-安全技術(shù)-信息安全風險管理GB/T22239-2023信息安全技術(shù)信息系統(tǒng)安全等級保護基本規(guī)定信息安全等級保護信息系統(tǒng)安全管理規(guī)定（送審稿）ISO13335，信息技術(shù)-安全技術(shù)-IT安全管理指南GB/Z243642023信息安全技術(shù)信息安全風險管理指南風險評估實行方法：GB/T20984-2023：信息安全風險評估規(guī)范（最新國家標準）NISTSP800-30：RiSkManagementGuideforInformationTechnologySystems，信息技術(shù)系統(tǒng)風險管理指南（美國國家標準和技術(shù)學會發(fā)布）NSAIAM：INFOSEDAssessmentMethodology，信息風險評估方法（美國國家安全局發(fā)布）OCTAVW：TheOperationallyCriticalThreat，Asset，andVulnerabilityEvaluation，可操作的關(guān)機那威脅、資產(chǎn)和脆弱性評價信息技術(shù)安全技術(shù)信息系統(tǒng)安全保障等級評估準則SSE-CMM：TheSystemsSecurityEngineeringCapabilityMaturityModel，安全系統(tǒng)工程能力成熟度模型2、風險評估服務(wù)實行原則（1）保密性原則本公司對安全服務(wù)的實行過程和結(jié)果將嚴格保密，在未經(jīng)客戶授權(quán)的情況下不會泄漏給任何單位和個人，不會運用此數(shù)據(jù)并進行熱呢侵害客戶權(quán)益的行為。（2）標準性原則服務(wù)設(shè)計和實行的全過程均依據(jù)國內(nèi)或國際的相關(guān)標準進行。（3）規(guī)范性原則本公司在各項安全服務(wù)工作中的過程和文檔，都具有很好的規(guī)范性，可以便與項目的跟蹤和控制。（4）可控性原則服務(wù)所使用的工具、方法和過程都會在本公司與客戶雙方認可的范圍之內(nèi)，服務(wù)進度遵守進度表的安排，保證雙方對服務(wù)工作的可控性。（5）整體性原則服務(wù)的范圍和內(nèi)桶整體全面，設(shè)計的IT運營的各個層面，避免由于漏掉導(dǎo)致未來的安全隱患。（6）最小影響原則服務(wù)工作盡也許小的影響信息系統(tǒng)的正常運營，不會對現(xiàn)有業(yè)務(wù)導(dǎo)致顯著影響。3、風險評估對象及內(nèi)容本公司風險評估服務(wù)重要涉及以下內(nèi)容：物理環(huán)境安全性評估網(wǎng)絡(luò)架構(gòu)安全性評估主機系統(tǒng)設(shè)備安全性評估服務(wù)器系統(tǒng)桌面主機網(wǎng)絡(luò)設(shè)備（路由器、互換機）應(yīng)用系統(tǒng)安全性評估通用應(yīng)用服務(wù)（WEB、FTP、Mail、DNS等）專用業(yè)務(wù)系統(tǒng)（B/S、C/S）數(shù)據(jù)庫機密數(shù)據(jù)安全控制保障評估（機密信息的生成、傳遞、存儲等過程）信息安全管理組織架構(gòu)和理性評估信息安全管理制度及安全性評估人員安全管理狀況評估安全產(chǎn)品和技術(shù)應(yīng)用狀況有效性及合理性評相應(yīng)重大緊急安全事件的解決能力評估……4、風險評估方法為了確切、真實地反映信息系統(tǒng)現(xiàn)狀，本公司在風險評估過程中使用到的方法有顧問訪談、工具掃描、專家經(jīng)驗分析、實地勘察、滲透測試、策略審查六種，如下圖所示：圖風險評估方法5、成果輸出《風險評估安全現(xiàn)狀綜合分析報告》《風險評估安全解決方案》四、風險評估服務(wù)框架及流程1、風險要素關(guān)系信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對信息資產(chǎn)進行保護，通過度析信息資產(chǎn)的脆弱性來擬定威脅也許運用那些弱點來破壞其安全性。風險評估要辨認資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風險大小。風險評估中各個要素的關(guān)系如下圖所示：圖風險要素關(guān)系示意圖圖中方框部分的內(nèi)容為風險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風險評估圍繞其基本要素展開，在對這些要素的評價過程中需要充足考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要素相關(guān)的各類屬性。圖中的風險要素及屬性之間存在著以下關(guān)系：業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)趨去實現(xiàn)；析產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大；資產(chǎn)價值越大則其面臨的風險越大；風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多測風險越大，并也許演變成安全事件；弱點越多，威脅運用脆弱性導(dǎo)致安全事件的也許性越大；脆弱性時未被滿足的安全需求，威脅要通過運用脆弱性來危害資產(chǎn)，從而形成風險；風險的存在及對風險的結(jié)識導(dǎo)出安全需求；安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實行成本；安全措施可抵御威脅，減少安全事件的發(fā)生的也許性，并減少影響；風險不也許也沒有必要降為零，在實行了安全措施后還會有殘留下來的風險，有些殘余風險來自于安全措施也許不妥或無效，在以后需要繼續(xù)控制，而有些參與風險則是在綜合考慮了安全成本與效益后為控制的風險，是可以被接受的；參與風險應(yīng)受到密切監(jiān)視，他也許會在將來有發(fā)心的安全事件。2、風險分析風險分析示意圖如下圖所示：圖風險評估分析中重要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點的嚴重限度。風險分析重要內(nèi)容為：對資產(chǎn)進行辨認，并對資產(chǎn)的重要性進行賦值；對威脅進行辨認，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對資產(chǎn)的脆弱性進行辨認，并對具體資產(chǎn)的脆弱性的嚴重限度賦值；根據(jù)威脅和脆弱性的辨認結(jié)果判斷安全事件；根據(jù)脆弱性的嚴重限度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失；根據(jù)安全事件發(fā)生的也許性以及安全事件的損失，計算安全事件一旦發(fā)生對組的影響，即風險值。3、風險評估實行流程本公司在進行風險評估服務(wù)過程中，將嚴格參照GB/T20984-2023《信息安全風險評估規(guī)范》國家標準所定義的服務(wù)流程規(guī)范來實行，整個實行流程如下圖所示：信息安全風險評估實行流程準備階段風險評估的準備過程是進行風險評估的基礎(chǔ)，是整個風險評估過程有效性的保證。風險評估作為一種戰(zhàn)略型的考慮，其結(jié)果將受到組織的業(yè)務(wù)需求及戰(zhàn)略目的、文化、業(yè)務(wù)流程、安全規(guī)定/規(guī)模和結(jié)構(gòu)的影響。不同組織對于風險評估的實行過程也許存在不同的規(guī)定，因此在風險評估實行前，需要做好以下準備工作：a）擬定風險評估的范圍；b）擬定風險評估的目的；c）建立適當?shù)慕M織結(jié)構(gòu)；d）建立系統(tǒng)性的風險評估方法；e）獲得高層管理者對風險評估策劃的批準。（2）風險辨認階段a）信息資產(chǎn)辨認資產(chǎn)是組織直接賦予了價值因而需要保護的東西。他也許是以多種形式存在，有無形的、有有型的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、組織形象等。他們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。組織的信息資產(chǎn)是組織資產(chǎn)中與信息開發(fā)、存儲、轉(zhuǎn)移、分發(fā)等過程直接、密切相關(guān)的部分。不同的信息資產(chǎn)具有不同的安全屬性，機密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。此階段的工作就是通過考察組織信息資產(chǎn)的三種不同的安全屬性，從而更好地反映信息資產(chǎn)的價值，以便于進一步考察資產(chǎn)相關(guān)的弱點、威脅和風險屬性，并進行量化。b）威脅辨認威脅是也許導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。威脅也許源于對組織信息直接或間接地襲擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面導(dǎo)致傷害。威脅也也許源于偶發(fā)的/或蓄意的事件。一般來說，威脅總是要運用組織中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才也許成功地對資產(chǎn)導(dǎo)致傷害。c）脆弱性辨認脆弱性和信息資產(chǎn)緊密相連，它也許被威脅運用/引起資產(chǎn)損失或傷害。值得注意的是，脆弱性自身不會導(dǎo)致?lián)p失，它只是一種條件或環(huán)境、也許導(dǎo)致被威脅運用而導(dǎo)致資產(chǎn)損失。脆弱性的出現(xiàn)有各種因素，例如也許是軟件開發(fā)過程中的質(zhì)量問題，也也許是系統(tǒng)管理員配置方面的，也也許是管理方面的。但是，他們的共同特性就是給襲擊者提供了機會。d）已有安全措施確認在本階段，本公司將對采用的控制措施進行辨認并對控制措施的有效性進行確認，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費用，防止控制措施的反復(fù)實行。對于那些卻認為不適當?shù)目刂坪瞬槭欠駪?yīng)被取消，火星和用更合適的控制代替。安全控制可以分為防止性控制措施和保護性控制措施（如業(yè)務(wù)連續(xù)性計劃、商業(yè)保險等）兩種，防止性控制措施可以減少威脅發(fā)生的也許性和減少安全脆弱性，而保護性控制措施可以減少因猥褻發(fā)生所導(dǎo)致的影響。已有安全措施的確認與脆弱性辨認存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安全措施的確認并不需要與脆弱性辨認過程那樣具體到每個資產(chǎn)、組件的弱點，而是一類具體措施的集合。比較明顯的例子是防火墻的訪問控制措施。（3）風險分析階段a）殘余風險分析殘余風險分析將根據(jù)在辨認階段對資產(chǎn)、脆弱性、威脅辨認的結(jié)果，結(jié)合現(xiàn)有安全控制措施分析的結(jié)果，擬定信息系統(tǒng)的殘余風險；然后結(jié)合殘余風險對業(yè)務(wù)影響性的分析，擬定殘余風險的處置計劃并給出合理的風險處置建議。b）綜合風險分析風險是一種潛在也許性，是指某分威脅運用脆弱性引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起組織或機構(gòu)的損害。因此，風險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的脆弱性直接相關(guān)。從上述的定義可以看出，風險評估的策略是一方面選定某項資產(chǎn)、評估資產(chǎn)價值挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的脆弱性、評估該資產(chǎn)的風險、進而得出整個評估目的的風險。（4）風險處置階段根據(jù)項目文檔中對信息系統(tǒng)網(wǎng)絡(luò)風險評估的重要目的，依照安全風險中獲得的階段性結(jié)果和《風險評估安全現(xiàn)狀綜合分析報告》，參考安全體系和框架，得出針對客戶的《風險評估安全解決方案》。4、評估過程中的風險控制在評估過程中，不可避免地會對平復(fù)對象導(dǎo)致影響，相應(yīng)地也許會導(dǎo)