信息安全風險評估指南

XXXX光伏電站

“xxxx光伏電站信息安全風險評估指南”

編制說明

“XXXX光伏電站信息安全風險評估指南”

編制說明

《xxxx光伏電站信息安全風險評估指南》就是為了對xxxx光伏

電站信息系統(tǒng)的信息安全風險評估工作提供實施的指導，從而統(tǒng)一

xxxx光伏電站信息系統(tǒng)風險評估工作的實施辦法和工作流程，產(chǎn)生

相同格式的工作成果，確保xxxx光伏電站信息安全風險評估工作結(jié)

果的可比性。

?xxxx光伏電站信息安全風險評估指南》對xxxx光伏電站信息

安全風險評估的過程、關(guān)鍵點以及工作成果等方面提出了具體的實施

方法和產(chǎn)生的文檔類別和內(nèi)容。

xxxx光伏電站信息安全風險評估的內(nèi)容包括：資產(chǎn)分析，漏洞、

脆弱性及弱點評估，威脅評估，影響與可能性分析和系統(tǒng)分析等方面。

風險評估過程分為三個階段：確定資產(chǎn)的威脅概況，確定基礎(chǔ)設(shè)施風

險和制定安全策略及計劃。

本風險評估指南規(guī)定了風險評估項目組織、跟進工作等。限定了

風險評估的前提和分工。

本風險評估指南共提供了六個附錄，附錄A為術(shù)語表，對本指南

內(nèi)的專業(yè)術(shù)語進行解釋，附錄B為調(diào)查問卷，對XXXX光伏電站信息

安全風險評估的調(diào)查問卷種類和內(nèi)容進行規(guī)定，附錄C為交付文檔范

例，確定了xxxx光伏電站信息安全風險評估工作需完成的工作文檔，

附錄D資產(chǎn)分類清單，對XXXX光伏電站系統(tǒng)內(nèi)的信息資產(chǎn)進行了分

類，附錄E資產(chǎn)脆弱性清單列舉了各類資產(chǎn)可能存在的脆弱性，附錄

F為資產(chǎn)威脅清單，列舉了資產(chǎn)所面臨的威脅。

.2-

XXXX光伏電站

信息安全風險評估指南

制定：_______________________

審核：_______________________

批準：______________________

目錄

1前言..........................................................................1

1.1關(guān)于本文檔...............................................................1

1.2目標讀者..................................................................I

1.3文檔結(jié)構(gòu).................................................................1

1.3.1相關(guān)標準............................................................2

1.3.2參考文獻............................................................2

1.4關(guān)于術(shù)語與縮略語的約定..................................................3

2風險評估概述..................................................................4

2.1基本概念.................................................................4

2.2意義與作用...............................................................5

2.3過程概述.................................................................5

2.4工具......................................................................5

2.4.1調(diào)杳問卷............................................................5

2.4.2遠程漏洞掃描工具...................................................6

2.4.3人工審計檢查列表...................................................6

2.4.4安全風險評估信息庫.................................................6

2.5成功的關(guān)鍵因素...........................................................6

2.6收益......................................................................6

2.7面臨的挑戰(zhàn)...............................................................7

3風險評估內(nèi)容..................................................................8

3.1資產(chǎn)分析.................................................................8

3.1.1資產(chǎn)定義............................................................8

3.1.2資產(chǎn)類別............................................................8

3.1.3資產(chǎn)評估............................................................9

3.1.4資產(chǎn)評估的目的.....................................................9

3.1.5資產(chǎn)的重要性........................................................9

3.1.6資產(chǎn)級別...........................................................10

3.1.7評估實例...........................................................11

3.2漏洞/脆弱性/弱點評估....................................................11

3.2.1弱點評估的目的.....................................................11

3.2.2弱點評估的內(nèi)容....................................................11

3.2.3弱點評估手段.......................................................12

3.3威脅評估.................................................................13

3.3.1威脅定義...........................................................13

3.3.2威脅分類...........................................................14

3.3.3威脅屬性...........................................................15

3.3.4威脅的獲取方法....................................................16

3.3.5威脅評估手段.......................................................16

3.3.6威脅評估實例.......................................................16

3.4影響與可能性分析........................................................17

3.5系統(tǒng)分析.................................................................17

3.5.1系統(tǒng)結(jié)構(gòu)及邊界.....................................................17

.2-

3.5.2信息的敏感度評估...................................................18

3.6調(diào)查問卷的結(jié)構(gòu)..........................................................18

3.6.1調(diào)查系統(tǒng)控制.......................................................18

3.6.2系統(tǒng)確認...........................................................18

3.6.3目的和評估者信息...................................................19

3.6.4信息的決定性.......................................................19

3.7利用問卷調(diào)查結(jié)果........................................................19

3.7.1調(diào)查問卷分析.......................................................19

3.7.2行動計劃...........................................................19

3.8綜合風險分析............................................................20

3.8.1風險分析矩陣.......................................................20

3.8.2風險評估層面......................................................21

3.8.3風險評估實例......................................................21

3.8.4ISO17799十個域...................................................21

3.9可交付的文檔............................................................22

3.9.1信息網(wǎng)絡(luò)...........................................................22

3.9.2文檔一覽...........................................................23

4風險評估過程................................................................24

4.1評估過程................................................................24

4.1.1階段1：提取基于資產(chǎn)的威脅概況....................................24

4.1.2階段2：確定基礎(chǔ)設(shè)施漏洞..........................................25

4.1.3階段3：制訂安全策略和計劃........................................25

4.2各階段的一般過程........................................................25

4.2.1調(diào)查與分析.........................................................25

4.2.2數(shù)據(jù)/信息收集與處理...............................................25

4.2.3撰寫評估報告......................................................25

4.3風險控制................................................................26

4.3.1風險控制的方式.....................................................26

4.3.2風險控制措施舉例：................................................27

4.4風險評估項目............................................................27

4.4.1計劃...............................................................27

4.4.2監(jiān)控與執(zhí)行.........................................................27

5風險評估人員組織............................................................30

5.1評估方人員組織..........................................................30

5.2被評估方人員組織........................................................31

6風險評估的跟進工作..........................................................33

6.1跟進的重要性............................................................33

6.2有效的，合格的建議......................................................33

6.3委托事項................................................................33

6.3.1安全評估人員.......................................................33

6.3.2工作人員...........................................................33

6.3.3管理層.............................................................34

6.4監(jiān)督與跟進..............................................................34

6.4.1建立監(jiān)督與跟進機制................................................34

-3-

6.4.2標識推薦并制定跟進計劃............................................34

6.4.3執(zhí)行主動監(jiān)督與報告................................................34

7風險評估的前提與分工........................................................36

7.1假設(shè)與限制..............................................................36

7.2客戶責任................................................................36

7.3服務(wù)資質(zhì)................................................................36

7.4安全評估人員的職責......................................................36

附錄A術(shù)語表...................................................................38

附錄B調(diào)查問卷................................................................40

調(diào)查問卷類別................................................................40

調(diào)查問卷內(nèi)容................................................................40

問題的方式..................................................................41

附錄C交付文檔范例............................................................42

《資產(chǎn)評估部分》目錄........................................................42

《漏洞評估部分》目錄........................................................43

《威脅評估部分》目錄........................................................44

《風險評估部分》目錄........................................................45

《安全策略建議部分》目錄....................................................46

《安全解決方案部分》目錄...................................................48

附錄D資產(chǎn)分類清單.............................................................50

附錄E資產(chǎn)脆弱性清單...........................................................52

附錄F資產(chǎn)威脅清單.............................................................54

-4-

1前言

1.1關(guān)于本文檔

信息安全風險評估是信息安全管理的主要內(nèi)容之一。

本文檔不覆蓋信息安全管理的全部方面。它介紹了一個關(guān)于信息安全風險評

估的一般過程。

在了解這個過程后，管理人員、信息中心主管、系統(tǒng)管理員以及其他技術(shù)與

運行人員能更好地理解安全風險評估。他們應(yīng)該能夠知道需要準備什么、在哪些

方面應(yīng)該加以注意、會得到什么樣的結(jié)果。本文檔的目標并不是集中在如何進行

風險評估，它更側(cè)重于提供一個參考過程來幫助核對由獨立的安全評估單位所提

供服務(wù)的覆蓋面、方法論、交付的文檔。

1.2目標讀者

本指南為那些在其信息系統(tǒng)中支持或?qū)嵤╋L險評估的人員提供關(guān)于風險評

估基礎(chǔ)，無論他們是否有經(jīng)驗，是不是技術(shù)人員。這些人包括：

＞高級管理人員，業(yè)務(wù)的擁有者，信息安全預算的決策者。

＞信息部門主管，確保為XXX行業(yè)系統(tǒng)部署風險管理并為XXX行業(yè)系統(tǒng)

提供安全的人員。

＞負責最終決策是否允許XXX行業(yè)系統(tǒng)運行的人員。

＞信息安全規(guī)劃主管，部署安全規(guī)劃的人員。

＞信息系統(tǒng)安全管理員，負責信息安全的人員。

＞管理信息系統(tǒng)安全的技術(shù)支持人員（如，網(wǎng)絡(luò)，系統(tǒng)，應(yīng)用以及數(shù)據(jù)庫

管理員，計算機專業(yè)人員，數(shù)據(jù)安全分析人員）。

＞開發(fā)并維護可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的應(yīng)用程序員。

＞測試并確保信息系統(tǒng)和數(shù)據(jù)完整性的信息技術(shù)人員。

＞審計信息系統(tǒng)的信息系統(tǒng)審計員。

＞在風險管理中支持客戶的安全顧問。

1.3文檔結(jié)構(gòu)

本文檔展示了關(guān)于信息安全風險評估的一個通用框架。它包括下面的內(nèi)容：

第1頁共62頁

A風險評估概述

A風險評估內(nèi)容

>風險評估過程

>風險評估人員組織

>風險評估的跟進工作

>資質(zhì)要求與職責劃分

131相關(guān)標準

以下列出一些國際、國內(nèi)關(guān)于信息安全風險評估的相關(guān)標準和規(guī)范。如:

國際標準

>ISO17799

>ISO15408/CC2.1

>ISO13335

>SSE-CMM

>RFC2196

國家標準

GB/T18336-2001

行業(yè)通用標準

BS7799-2

AS/NZS4360

CVE或CN-CVE

132參考文獻

[1].C.JAlberts,S.G.Behrens,R.D.Pethia,andW.R.Wilson.

Operationallycriticalthreat,asset,andvulnerabilityevaluation(octave)

framework,version1.0.Technicalreport,CarnegieMellonUniversity,

SoftwareEngineeringInstitute,Pittsburgh,PA,June1999.

[2].Australian/NewZealandStandardAS/NZS4360:1999:Risk

Management.Strath_eld:StandardsAustralia.

[3].CORASIST-2000-25031WebSite.http://www.nr.no/coras.24February

2003.

[4].CommonCriteria.CommonCriteriaforInformationTechnology

SecurityEvaluation,1999./.24February

第2頁共62頁

2003.

[5].ISO/IEC13335:InformationTechnology-Guidelinesforthe

managementofITSecurity,hltp:〃www.isa.ch.

[61，ISO/IEC17799:2000Informationtechnology-Codeofpractisefor

informationsecuritymanagement.

1.4關(guān)于術(shù)語與縮略語的約定

風險評估

在本文中，風險評估特指“信息系統(tǒng)安全風險評估”。

資產(chǎn)

在本文中，資產(chǎn)特指“信息系統(tǒng)本身作為固定資產(chǎn)的價值與它所承載的無形

資產(chǎn)（數(shù)據(jù)、業(yè)務(wù)連續(xù)性等）的價值”。

第3頁共62頁

2風險評估概述

在本節(jié)中，介紹了風險評估的相關(guān)概念、一般過程、相關(guān)工具、成功的關(guān)鍵

因素、收益以及面臨的挑戰(zhàn)。

2.1基本概念

風險

風險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的

損害，從而直接地或間接地引起對XXX行業(yè)系統(tǒng)的損害。

因此，風險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的弱點直接相關(guān)。

威脅

INFOSEC-99將威脅定義為“能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改

和/或拒絕服務(wù)對系統(tǒng)造成潛在危害的任何環(huán)境或事件”。

脆弱性

系統(tǒng)資產(chǎn)在相關(guān)環(huán)境中體現(xiàn)出來的，可以被威脅利用從而引發(fā)資產(chǎn)或商業(yè)目

標損害的弱點和漏洞。

風險的屬性

風險有兩個屬性:后果(Consequence)和可能性(Likelihood)?評價風險

對XXX行業(yè)系統(tǒng)的影響，也就是對風險的評估賦值是對上述兩個屬性權(quán)衡作用

的結(jié)果。

后果(Consequence)是指風險帶來的損失，可以用損失占該資產(chǎn)價值的百

分比來度量。

可能性(Likelihood)是指風險發(fā)生的概率，以百分比來表示。

風險評估

風險評估是對信息系統(tǒng)進行資產(chǎn)分析，并針對重要的資產(chǎn)進行威脅、脆弱性

的可能性調(diào)查，從而估計對業(yè)務(wù)產(chǎn)生的影響，提供適當?shù)姆椒▉砜刂骑L險。

從上述的定義可以看出，風險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價

值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風

險、進而得出整個評估目標的風險。

第4頁共62頁

2.2意義與作用

風險管理是管理者權(quán)衡保護措施的運行和經(jīng)濟成本與獲得的收益之間關(guān)系

的一個過程。進行風險管理的最終目的就是要將其最小化，這也是在當今各行各

業(yè)的信息系統(tǒng)應(yīng)用中需要實施信息安全措施的根本原因。所有與安全性相關(guān)的活

動都是風險管理的組成部分?？梢哉f，風險管理貫穿于系統(tǒng)開發(fā)生命周期(System

DevelopmentLifeCycle,SDLC)的整個過程，即初始階段、開發(fā)/獲取階段、實

施階段、運行/維護階段、優(yōu)化配置階段。

風險評估則是風險管理的基礎(chǔ)，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的

整個SDLC中有關(guān)風險級別的過程。這個過程的結(jié)果是殘留風險以及這個風險是

否達到可接受水平的一個明確界定，或者是一個是否應(yīng)當實施額外的安全控制以

進一步降低風險的結(jié)論。

2.3過程概述

風險評估的過程分為3個階段共8個過程。

＞階段1：提取基于資產(chǎn)的威脅概況

?過程1：確定高級管理層的認識

?過程2：確定運作管理層的認識

?過程3：確定全體職員的認識

?過程4：確定威脅輪廓

＞階段2：確定基礎(chǔ)設(shè)施漏洞

?過程5：找出關(guān)鍵組件

?過程6：評估關(guān)鍵組件

＞階段3：制訂安全策略和計劃

?過程7：實施風險分析

?過程8：制訂保護策略

2.4工具

241調(diào)查問卷

調(diào)查問卷(Questionnaire)由一組相關(guān)的封閉式或開放式問題組成，用于在

評估過程中獲取信息系統(tǒng)在各個層面的安全狀況，包括安全策略、組織制度、執(zhí)

第5頁共62頁

行情況等。

242遠程漏洞掃描工具

遠程漏洞掃描工具(Scanner)是一個或一組自動化工具，用于遠程檢測系

統(tǒng)可能存在的漏洞。

2.4.3人工審計檢查列表

檢查列表(Checklist)用于人工檢查系統(tǒng)存在的各種安全弱點/脆弱性，它針

對不同的系統(tǒng)列出待檢查的條目，以保證人工審計結(jié)果數(shù)據(jù)的完備性。

2.4.4安全風險評估信息庫

安全風險評估信息庫用于存儲與處理在風險評估過程中收集到的信息。

2.5成功的關(guān)鍵因素

風險評估過程總體來說是一個需要評估方與被評估方共同參與，便于被評估

方更好地風險管理。因此，風險評估的成功需要雙方的良好協(xié)作。從某種程度上

來說，被評估方的參與風險評估過程的態(tài)度決定是否能取得成功。

在風險評估過程中，需要考慮以下方面：

＞獲得高級管理的支持和參與

＞確定重點

＞定義過程

＞業(yè)務(wù)和技術(shù)專家積極參與

＞責任到人

＞限定單次評估的范圍

＞歸檔和維護

＞合理利用工具

＞考慮收益

2.6收益

＞認識風險

通過風險評估過程，被評估方能從資產(chǎn)的角度對風險有全面、清晰的認

識，通過相應(yīng)的分析與統(tǒng)計，這些結(jié)果能在某種程度加以量化，從而為風險

管理的后續(xù)過程提供決策支持。

第6頁共62頁

A減免風險

在風險評估過程的跟進行動中，被評估方有機會采取合適的風險控制方

式來減免風險。

＞保障業(yè)務(wù)連續(xù)性

風險評估是風險管理的一個重要過程，風險管理的最終0的之一還在于

保障被評估方的業(yè)務(wù)連續(xù)性。

2.7面臨的挑戰(zhàn)

可靠地評估信息安全風險比評估其他類型的風險要困難得多，因為信息安全

風險因素相關(guān)的可能性和花費的數(shù)據(jù)非常有限，也因為風險因素在不斷地改變。

例如：

1、風險因素方面的數(shù)據(jù)非常有限，如?個有經(jīng)驗的黑客攻擊的可能性，利

用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失；

2、有些損失，如失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化；

3、盡管可以了解需要加強控制的硬件和軟件的成本，但常常不可能精確地

估計相關(guān)的非直接的成本，如執(zhí)行新的控制時可能會導致生產(chǎn)力的喪失；

4、即使獲得了精確信息，但信息很快就會過期，因為技術(shù)發(fā)展很快，入侵

者可獲得更先進的工具。

可靠性和即時數(shù)據(jù)的缺乏，使我們常常無法精確定義哪一個信息安全風險是

最重要的，也無法比較哪一個工具是最有效的。曰于這些限制，機構(gòu)選擇采用的

方法是否能有效地從風險評估中受益，顯得非常重要。

第7頁共62頁

3風險評估內(nèi)容

風險評估的主要內(nèi)容包括三個方面：基于資產(chǎn)的估值與分析、資產(chǎn)本身存在

的脆弱性的識別與分析、資產(chǎn)受到的威脅識別以及它的影響與可能性分析工

3.1資產(chǎn)分析

3.1.1資產(chǎn)定義

資產(chǎn)是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或

任務(wù)的重要性，這種重要性進而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護價值。

3.1.2資產(chǎn)類別

依據(jù)資產(chǎn)的屬性，主要分為以下幾個類別：

信息資產(chǎn)

信息資產(chǎn)主要包括各種設(shè)備以及數(shù)據(jù)庫系統(tǒng)中存儲的各類信息、設(shè)備和系統(tǒng)

的配置信息、系統(tǒng)中存儲的各類電子文檔以及各種日志等等，信息資產(chǎn)也包括各

種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。

軟件資產(chǎn)

軟件資產(chǎn)包括各種專門購進的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、

辦公軟件、防火墻系統(tǒng)軟件等）、隨產(chǎn)品贈送的各種配套軟件、以及自行開發(fā)的

各種業(yè)務(wù)軟件等。

物理資產(chǎn)

物理資產(chǎn)主要包括各種主機設(shè)備（比如各類PC機、工作站、服務(wù)器等）、

各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號設(shè)備等）、各種安全設(shè)備（比如防火墻設(shè)

備、入侵檢測設(shè)備等）、數(shù)據(jù)存儲設(shè)備以及各類基礎(chǔ)物理設(shè)施（比如辦公樓、機

房以及輔助的溫度控制、濕度控制、防火防盜報警設(shè)備等）。

人員資產(chǎn)

人員資產(chǎn)是各類資產(chǎn)中很難有效衡量甚至根本無法衡量的一部分，它主要包

括XXX行業(yè)系統(tǒng)內(nèi)部各類具備不同綜合素質(zhì)的人員，包括各層管理人員、技術(shù)

人員以及其他的保障與維護人員等。

第8頁共62頁

3.1.3資產(chǎn)評估

資產(chǎn)評估是與風險評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評估通過分析評估對象

——資產(chǎn)的各種屬性(包括經(jīng)濟影響、時間敏感性、客戶影響、社會影響和法律

爭端等方面)，進而對資產(chǎn)進行確認、價值分析和統(tǒng)計報告，簡單的說資產(chǎn)評估

是一種為資產(chǎn)業(yè)務(wù)提供價值尺度的行為。

3.1.4資產(chǎn)評估的目的

資產(chǎn)評估的目的就是要對系統(tǒng)的各類資產(chǎn)做潛在價值分析，了解其資產(chǎn)利

用、維護和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護價值和需要的保護層次，從而使

XXX行業(yè)系統(tǒng)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進行資產(chǎn)管理，更有針對

性的進行資產(chǎn)保護，最具策略性地進行新的資產(chǎn)投入。

3.1.5資產(chǎn)的重要性

按照What-lf模型，資產(chǎn)的重要性可以分為經(jīng)濟影響、時間敏感性、客戶影

響、社會影響和法律影響。

經(jīng)濟影響時間敏感性對客戶影響社會影響法律影響

級別(F)(T)(C)(S)(L)

定義導致直接經(jīng)可接受的中不滿意的客會引起如下將涉及不同程度的法

濟損失(￥)斷時間戶數(shù)量機構(gòu)的注意律問題

被迫而對復雜的法律

訴訟，案情由級別相

10,000,000以國家或國際

51小時以下50,000以上當高的法院審理，控

上的媒體、機構(gòu)

方提出的賠付數(shù)額巨

大

1,000,001-10,001-省、市級媒提交更高級別法院立

41-24小時

10,000,00050,000體、機構(gòu)案，訴訟過程漫長

100,001-1,001-

31-3天公司正式提交法院立案

1,000,00010,000

50,001-會有人就法律問題提

23-10天101-1,000公司部門

100,000出交涉

幾人或工作

150,000以下10天以上100以下幾乎沒有法律問題

組

第9頁共62頁

3.1.6資產(chǎn)級別

依據(jù)資產(chǎn)的潛在價值以及資產(chǎn)對時間的敏感性、對客戶的影響、資產(chǎn)的社會

影響和可能造成的法律爭端等各個方面，資產(chǎn)按重要性可分為五類：

超核心資產(chǎn)

超核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟損失一般在1000萬元以上；超核心

資產(chǎn)的時間敏感性是非常強的，一般來說，在其運行過程中可接受的中斷時間是

在一個小時以內(nèi)的，有的甚至只能是兒秒鐘；超核心資產(chǎn)癱瘓對客戶和社會造成

的影響都是十分巨大的，可能會導致5萬以上的客戶不滿意，并引起國家甚至國

際媒體的廣泛關(guān)注，而且超核心資產(chǎn)癱瘓將會使得XXX行業(yè)系統(tǒng)被迫面對復雜

的法律訴訟，并且案情將由級別相當高的法院審理，控方提出的賠付數(shù)額異常巨

大。

核心資產(chǎn)

核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟損失一般在1()0萬元至10()()萬元之間;

核心資產(chǎn)的時間敏感性同樣是非常強的，一般其運行過程中可接受的中斷時間在

1-24小時之內(nèi)；核心資產(chǎn)癱瘓對客戶和社會造成的影響很巨大，可能會導致數(shù)

萬客戶的不滿意，并引起省市級媒體和機構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法

律爭端可能提交很高級別的法院立案，訴訟過程可能很漫長。

高級資產(chǎn)

高級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失一般在10萬元至1()0萬元之間;

高級資產(chǎn)的時間敏感性很強，可接受的中斷時間大概在1-3天之間；高級資產(chǎn)的

癱瘓可能導致數(shù)千客戶的不滿意，其造成的社會影響主要集中在XXX行業(yè)系統(tǒng)

的內(nèi)部，但是高級資產(chǎn)的癱瘓引起的法律爭端同樣會正式提交法院立案審理。

中級資產(chǎn)

中級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失般在5-10萬元之間，其時間

敏感性一般，可接受的中斷時間一般在3-10天左右；中級資產(chǎn)的癱瘓可能造成

數(shù)百客戶的不滿意,造成的社會影響主要集中在XXX行業(yè)系統(tǒng)的某個部門內(nèi)部,

但是中級資產(chǎn)的癱瘓有一定的可能會引出法律爭端。

一般資產(chǎn)

一般資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失一般少于5萬元，其時間敏感性

第10頁共62頁

很弱，可接受的中斷時間在10天以.匕一般資產(chǎn)的癱瘓最多可能導致數(shù)十客戶

的不滿意，而其造成的社會影響更是微乎其微，兒乎只是在幾個人或工作組內(nèi)部,

而且兒乎不會引起任何的法律爭端。

3.1.7評估實例

一臺Cisco7513路由器，是某省省網(wǎng)出口核心，IP地址為192.168.X.X,OS

版本為11.1（22）CC,購入單價1,100,81（）元。由于是全省電信IP網(wǎng)的核心路

由，不允許發(fā)生中斷（中斷時間限制在秒級），一旦發(fā)生故障將造成約10,000,000

元的經(jīng)濟損失，導致全省用戶無法訪問（用戶數(shù)＞5萬），并導致國家及國際上的

不良影響，并可能遭受客戶的控訴，帶來巨額賠償。

資產(chǎn)屬性等級

經(jīng)濟影響F5(>10,000,000元)

時間敏感性T5（＜1小時）

客戶影響C5(>5萬)

社會影響S5（引起國家及國際影響）

法律影響L5（導致對客戶損失的巨額賠償）

FTcsL

資產(chǎn)等級V=log2（（2+2+2+2+2）/5）=5

3.2漏洞/脆弱性/弱點評估

321弱點評估的目的

弱點評估的目的是給出有可能被潛在威脅源利用的系統(tǒng)缺陷或弱點列表。所

謂威脅源是指能夠通過系統(tǒng)缺陷或弱點對系統(tǒng)安全策略造成危害的主體。

弱點評估的信息通常通過控制臺評估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等

手段收集和獲取。

3.2.2弱點評估的內(nèi)容

技術(shù)漏洞的評估

技術(shù)漏洞主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計和實現(xiàn)缺陷。

技術(shù)漏洞的標號以CVE漏洞列表的編號為標準；如果存在某些CVE沒有標

號的漏洞，則以國際通用的BUGTRAQID號為標號；如果以上兩種編號都無法

滿足標號要求，則以本次統(tǒng)一的ISS漏洞入庫編號中關(guān)于無法準確定義的漏洞編

號為準。

第11頁共62頁

非技術(shù)漏洞的評估

非技術(shù)性漏洞主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問

控制、組織安全、運行安全、系統(tǒng)開發(fā)和維護、業(yè)務(wù)連續(xù)性管理、遵循性等方面

存在的不足或者缺陷。

323弱點評估手段

弱點評估可以采取多種手段，下面建議了常用的四種。即：

＞網(wǎng)絡(luò)掃描

＞主機審計

＞網(wǎng)絡(luò)審計

＞滲透測試

其中，需要注意滲透測試的風險較其它幾種手段要大得多，在實際評估中需

要斟酌使用C

表1網(wǎng)絡(luò)掃描

項目名稱漏洞掃描評估

簡要描述利用掃描工具檢查整個網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況

達成目標發(fā)掘網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，提出漏洞修補建議

主要內(nèi)容采用多種漏洞掃描系統(tǒng)軟件

實現(xiàn)方式大規(guī)模的漏洞掃描

工作條件4-6人工作環(huán)境，2臺Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合

工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評估結(jié)果報告，

所需時間80臺/工作日

參加人員評估小組、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員

表2主機目可計

項目名稱主機審計

簡要描述作為網(wǎng)絡(luò)掃描的輔助手段，登陸系統(tǒng)控制臺檢查系統(tǒng)的安全配置情況

達成目標檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患

操作系統(tǒng)控制臺審計

主要內(nèi)容

數(shù)據(jù)庫系統(tǒng)控制臺審計

實現(xiàn)方式手工登錄操作

工作條件4-6人工作環(huán)境，2臺Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合

工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)抽樣主機審計報告

第12頁共62頁

所需時間10臺/工作日

參加人員評估小組、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員

表3網(wǎng)絡(luò)審計

項目名稱網(wǎng)絡(luò)安全審計

IDS作為一個實時入侵檢測工具，是安全威脅信息收集過程中的?種重要手段，

簡要描述

其數(shù)據(jù)是網(wǎng)絡(luò)的整體安全的重要的參考依據(jù)之一

達成目標檢測網(wǎng)絡(luò)的安全運行情況，發(fā)掘配置隱患

入侵檢測系統(tǒng)在關(guān)鍵點部署

主要內(nèi)容入侵檢測系統(tǒng)試運行

入侵檢測系統(tǒng)報告匯兌及分析

實現(xiàn)方式在網(wǎng)絡(luò)關(guān)鍵節(jié)點部署IDS,集中監(jiān)控

每個部署點2-3人工作環(huán)境，1臺Win2000PC作為IDS控制臺，電源和網(wǎng)絡(luò)環(huán)

工作條件

境，客戶人員和資料配合

工作結(jié)果網(wǎng)絡(luò)安全風險評估項目IDS分析報告

所需時間5工作日

參加人員評估小組、網(wǎng)絡(luò)管理人員

表4滲透測試

項目名稱滲透測試

簡要描述利用人工模擬黑客攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)的漏洞

達成目標檢測系統(tǒng)的安仝配置情況，發(fā)掘配置隱患

后門利用測試

主要內(nèi)容DDos強度測試

強口令攻擊測試

實現(xiàn)方式全手工實現(xiàn)

工作條件2-3人工作環(huán)境，電源和網(wǎng)絡(luò)環(huán)境

工作結(jié)果網(wǎng)絡(luò)安全風險評估項目白客報告

所需時間3工作日

參加人員評估小組

3.3威脅評估

3.3.1威脅定義

威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對

XXX行業(yè)系統(tǒng)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在

第13頁共62頁

機密性、完整性或可用性等方面造成損害。威脅乜可能源于偶發(fā)的、或蓄意的事

件。一般來說，威脅總是要利用XXX行業(yè)系統(tǒng)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱

點才可能成功地對資產(chǎn)造成傷害。

從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人

為錯誤、以及設(shè)施/設(shè)備錯誤等。

332威脅分類

對安全威脅進行分類的方式有多種多樣，最常見的分類方法主要有根據(jù)安全

威脅的性質(zhì)進行劃分以及根據(jù)安全威脅產(chǎn)生的來源和原因進行劃分。參照國際通

行做法和專家經(jīng)驗，本項目中將采用上述兩種方法進行安全威脅分析。

根據(jù)威脅的性質(zhì)劃分

參照ISO-15408/GB/T-18336中的定義對安全威脅的性質(zhì)和類型進行劃分,

可以分為以下幾個方面：

表5威脅分類（按性質(zhì)）

威脅分類威脅描述

Backdoor各種后門和遠程控制軟件，例如BO、Netbus等

BruteForce通過各種途徑對密碼進行暴力破解

Daemons服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點，例如amd,nnlp等

各和防火墻及其代理產(chǎn)生的安全弱點，例如GctunllelFirewcill

Firewalls

CybcrPatrol內(nèi)容檢查弱點

Information各種由于協(xié)議或配置不當造成信息泄露弱點，例如finger或rstat的

Gathering輸出

NTRelated微軟公司NT操作系統(tǒng)相關(guān)安全弱點

ProtocolSpoofing協(xié)議中存在的安全弱點，例如TCP序列號猜測弱點

Management與管理相關(guān)的安全弱點

根據(jù)威脅產(chǎn)生的來源和原因劃分

參照BS-7799/ISO-17799中的定義對安全威脅的產(chǎn)生來源和原因進行劃分,

可以分為以下幾個方面：

表6威脅分類（按產(chǎn)生來源和原因）

ID威脅來源威脅描述

第14頁共62頁

1ID威脅來源威脅描述

1非授權(quán)故意行為人的有預謀的非授杈行為

1

2人為錯誤人為的錯誤

3軟件、設(shè)備、線路故障軟件、設(shè)備、線路造成的故障

4不可抗力不可抗力

3.3.3威脅屬性

威脅具有兩個屬性：可能性（Likelihood）＞影響（Impact）0

進一步，可能性和影響可以被賦予一個數(shù)值，來表示該屬性。參照下表。

表7可能性屬性賦值參考表

簡稱說明

4VH不可避免（＞90%）

3H非常有可能（70%?90%）

2M可能（20%~70%）

1L可能性很?。ǎ?0%）

0N不可能（~0%）

表8影響賦值參考表

簡稱說明

4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（＞75%）

3H資產(chǎn)遭受重大損失（50%~75%）

2M資產(chǎn)遭受明顯損失（25%?50%）

1L損失可忍受（＜25%）

0N損失可忽略（~0%）

可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點。而影響也依賴于具

體資產(chǎn)的價值、分類屬性。并且，這兩個屬性都和時間有關(guān)系，也就是說，具體

的威脅評估結(jié)果會隨著時間的變動而需要重新審核。

在威脅評估中，評估者的專家經(jīng)驗非常重要。

參照下面的矩陣進行威脅賦值：

表9威脅分析矩陣

影響

可渝可忽略0可忍受1明顯損失2重大損失3全部損失4

第15頁共62頁

不可避免401234

非?？赡?01233

可能201122

可能性很小1001I1

不可能000001

3.3.4威脅的獲取方法

威脅獲取的方法有：滲透測試(PenetrationTesting)^安全策略文檔審閱、

人員訪談、入侵檢測系統(tǒng)收集的信息和人工分析等。評審員(專家)可以根據(jù)具

體的評估對象、評估目的選擇具體的安全威脅獲取方式。

表10威脅發(fā)現(xiàn)方法列表

IDFindModeDescription

1人員訪談通過和資產(chǎn)所有人、負責管理人員進行訪談

2人工分析根據(jù)專家經(jīng)驗，從已知的數(shù)據(jù)中進行分析

3IDS系統(tǒng)通過入侵監(jiān)測系統(tǒng)在一段時間內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事件來獲得數(shù)據(jù)

4滲透測試通過滲透測試方法來測試弱點，證實威脅

5安全策略文檔分析安全策略文檔分析

6安全審計依照IS017799,通過一套審計問題列表問答的方式來分析弱點

7事件記錄對已有歷史安全事件記錄進行分析

335威脅評估手段

＞歷史事件審計

＞網(wǎng)絡(luò)威脅評估

＞系統(tǒng)威脅評估

＞業(yè)務(wù)威脅評估

3.3.6威脅評估實例

某資產(chǎn)(服務(wù)類)面臨攻擊和訪問類威脅同時存在遠程緩沖區(qū)溢出弱點，

該弱點可以導致遠程攻擊者直接獲得服務(wù)所在宿主機的超級用戶權(quán)限；該弱點的

利用程序(Exploit)于互聯(lián)網(wǎng)上面發(fā)表已經(jīng)多個星期，幾乎可以認為所有攻擊者

都可以得到該利用程序；該攻擊利用程序運行簡單，可以認為大多數(shù)攻擊者都可

以成功地執(zhí)行該利用程序；該資產(chǎn)當前的安全控制中，沒有對該弱點的保護；所

第16頁共62頁

以可以認為該資產(chǎn)面臨的威脅的影響為VH（資產(chǎn)全部損失）、可能性為H（非

常有可能）。整體上，資產(chǎn)處于高度威脅之中。

3.4影響與可能性分析

風險也存在兩個屬性：后果（Consequence）和可能性（Likelihood）。最終

風險對XXX行業(yè)系統(tǒng)的影響，也就是對風險的評估賦值是對上述兩個屬性權(quán)衡

作用的結(jié)果。

不同的資產(chǎn)面臨的主要威脅各不相同。而隨著威脅可以利用的、資產(chǎn)存在的

弱點數(shù)量的增加會增加風險的可能性，隨著弱點類別的提高會增加該資產(chǎn)面臨風

險的后果。

在許多情況下，某資產(chǎn)風險的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆

弱性的函數(shù)，而風險的后果是資產(chǎn)的價值和威脅的影響的函數(shù)。目前采用的算式

如下：

風險值二資產(chǎn)價值X威脅影響X威脅可能性義資產(chǎn)弱點等級

從資產(chǎn)面臨的若干個子風險中，評估者從自己的經(jīng)驗出發(fā)得出該資產(chǎn)面臨的

整體風險。

3.5系統(tǒng)分析

351系統(tǒng)結(jié)構(gòu)及邊界

網(wǎng)絡(luò)結(jié)構(gòu)分析是風險評估中對業(yè)務(wù)系統(tǒng)安全性進行全面了解的基礎(chǔ)，一個業(yè)

務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全

性、網(wǎng)絡(luò)負載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個業(yè)務(wù)系統(tǒng)評估

的重要環(huán)節(jié)。

對評估對象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估（基

本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、因特網(wǎng)接入、地理分布方式和網(wǎng)絡(luò)管理），

發(fā)現(xiàn)存在的安全性、合理性、使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系

結(jié)構(gòu)來檢查邏輯網(wǎng)絡(luò)結(jié)構(gòu)，物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)關(guān)鍵設(shè)備等，對于保持網(wǎng)絡(luò)安

全是非常重要的。另外，確定關(guān)鍵網(wǎng)絡(luò)拓撲，對于成功地實施基于網(wǎng)絡(luò)的風給管

理方案是很關(guān)鍵的。

網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到:

第17頁共62頁

A改善網(wǎng)絡(luò)性能和利用率，使之滿足業(yè)務(wù)系統(tǒng)需要；

＞提供有關(guān)擴充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息；

＞幫助用戶降低風險，改善網(wǎng)絡(luò)運行效率，提高網(wǎng)絡(luò)的穩(wěn)定性；

＞確保網(wǎng)絡(luò)系統(tǒng)的安全運行；

＞對網(wǎng)絡(luò)環(huán)境、性能、故障和配置進行檢查。

352信息的敏感度評估

信息是一種重要的無形資產(chǎn)，它與有形資產(chǎn)一起構(gòu)成資產(chǎn)的全體。對于信息

資產(chǎn)的保護首先需要進行分級處理，即按信息的敏感度來劃分。

因此，信息的敏感度評估可以大致劃分為如下步驟：

＞調(diào)查是否對數(shù)據(jù)根據(jù)其敏感程度進行了必要的分級；

＞分級是否合理；

＞不同敏感程度的數(shù)據(jù)是否得到了適當?shù)谋Ｗo：

＞是否定義了數(shù)據(jù)泄漏或破壞的事后處理措施。

3.6調(diào)查問卷的結(jié)構(gòu)

調(diào)查問卷包括三部分：封面目錄，問題和注釋。調(diào)查系統(tǒng)可以從描述被評估

的主要應(yīng)用程序和通用支持系統(tǒng)或一組相互關(guān)聯(lián)的系統(tǒng)開始。

361調(diào)查系統(tǒng)控制

所有完成的調(diào)查問卷都應(yīng)該根據(jù)機構(gòu)政策決定的敏感性程度來評論，處理和

控制。要注意到的是，包含在完成調(diào)查問卷中的信息能很容易描述一個系統(tǒng)或是

一組系統(tǒng)容易受到攻擊的地方。

362系統(tǒng)確認

調(diào)查問卷的封面是由被評估系統(tǒng)的名稱和主題開始的。如NIST特別出扳物

SP800-18中所提到的，每一個主要應(yīng)用程序或普遍支持系統(tǒng)都應(yīng)該被安排一個

唯一的名稱/標志符。