風(fēng)險評估介紹

1、風(fēng)險評估風(fēng)險評估的整體理論、流程和評估方法葛小亮目錄：基本概念實施原則分析原理實施流程評估方法風(fēng)險評估舉例風(fēng)險評估的基本概念依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性 和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。 風(fēng)險評估概念l可用性 availability 數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。l機密性 confidentiality 數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個人、過程或

2、其他實體的程度。l完整性 integrity 保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性。安全的三個屬性風(fēng)險評估的實施原則標(biāo)準(zhǔn)性原則關(guān)鍵業(yè)務(wù)原則可控性原則最小影響原則信息系統(tǒng)的安全風(fēng)險評估，應(yīng)按照GB/T 20984-2007中規(guī)定的評估流程進(jìn)行實施，包括各階段性的評估工作。信息安全風(fēng)險評估應(yīng)以被評估組織的關(guān)鍵業(yè)務(wù)作為評估工作的核心，把涉及這些業(yè)務(wù)的相關(guān)網(wǎng)絡(luò)與系統(tǒng)，包括基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、應(yīng)用基礎(chǔ)平臺、業(yè)務(wù)應(yīng)用平臺等作為評估的重點。a）服務(wù)可控性b）人員與信息可控性c）過程可控性 d）工具可控性對于在線業(yè)務(wù)系統(tǒng)的風(fēng)險評估，應(yīng)采用最小影響原則，即首要保障業(yè)務(wù)系統(tǒng)的

3、穩(wěn)定運行，而對于需要進(jìn)行攻擊性測試的工作內(nèi)容，需與用戶溝通并進(jìn)行應(yīng)急備份，同時選擇避開業(yè)務(wù)的高峰時間進(jìn)行。風(fēng)險評估的原理u 風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素：資產(chǎn)的屬性是資產(chǎn) 價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程 度。u 風(fēng)險分析的主要內(nèi)容為：a）對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價值進(jìn)行賦值； b）對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值； c）對脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值； d）根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性； e）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價值計

4、算安全事件的損失； f） 根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響， 即風(fēng)險值。風(fēng)險評估的框架方框部分的內(nèi)容為風(fēng)險評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬 性。風(fēng)險評估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估 過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要 素相關(guān)的各類屬性。 圖 1 中的風(fēng)險要素及屬性之間存在著以下關(guān)系： a）業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越??； b）資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大； c）風(fēng)險是由威

5、脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成為安全事件； d）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的弱點越多則風(fēng)險越大； e）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)； f）風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求； g）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本； h）安全措施可抵御威脅，降低風(fēng)險； i）殘余風(fēng)險有些是安全措施不當(dāng)或無效,需要加強才可控制的風(fēng)險；而有些則是在綜合考慮了安全 成本與效益后不去控制的風(fēng)險； j）殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件風(fēng)險評估的要素的關(guān)系風(fēng)險評估的流程風(fēng)險評估的流程詳細(xì)說明-評估準(zhǔn)備確定目標(biāo)確定范圍

6、組建團(tuán)隊系統(tǒng)調(diào)研確定依據(jù)確定方案獲得支持風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。組織實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié) 果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險評估實施 前，應(yīng)考慮如下活動： 根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理 上的不足，以及可能造成的風(fēng)險大小。 活動 風(fēng)險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨 立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。 風(fēng)險評估實施團(tuán)隊，由管理層、相關(guān)業(yè)務(wù)骨干、信息技術(shù)等人員組成的風(fēng)險評估小組。必

7、要時，可 組建由評估方、被評估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險評估領(lǐng)導(dǎo)小組，聘請相關(guān)專業(yè)的技術(shù)專家和 技術(shù)骨干組成專家小組。 評估實施團(tuán)隊?wèi)?yīng)做好評估前的表格、文檔、檢測工具等各項準(zhǔn)備工作，進(jìn)行風(fēng)險評估技術(shù)培訓(xùn)和保 密教育，制定風(fēng)險評估過程管理相關(guān)規(guī)定?？筛鶕?jù)被評估方要求，雙方簽署保密合同，必要時簽署個人 保密協(xié)議。 系統(tǒng)調(diào)研是確定被評估對象的過程，風(fēng)險評估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險評估依據(jù)和方法 的選擇、評估內(nèi)容的實施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括： a）業(yè)務(wù)戰(zhàn)略及管理制度 b）主要的業(yè)務(wù)功能和要求 c）網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接； d）系統(tǒng)邊界； e）主要的硬件、軟件；

8、f）數(shù)據(jù)和信息； g）系統(tǒng)和數(shù)據(jù)的敏感性； h）支持和使用系統(tǒng)的人員； i）其他。 根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評估依據(jù)和評估方法。評估依據(jù)包括（但不限于）：a）現(xiàn)行國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)； b）行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度； c）系統(tǒng)安全保護(hù)等級要求； d）系統(tǒng)互聯(lián)單位的安全要求； e）系統(tǒng)本身的實時性或性能要求等。 根據(jù)系統(tǒng)調(diào)研結(jié)果，確定評估依據(jù)和評估方法。評估依據(jù)包括（但不限于）：a）現(xiàn)行國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)； b）行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度； c）系統(tǒng)安全保護(hù)等級要求； d）系統(tǒng)互聯(lián)單位的安全要求； e）系統(tǒng)本身的實時性或性能要求等。 上述所有內(nèi)容確定后，應(yīng)形成較

9、為完整的風(fēng)險評估實施方案，得到組織最高管理者的支持、批準(zhǔn)； 對管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。 風(fēng)險評估的流程詳細(xì)說明-資產(chǎn)識別（1）資產(chǎn)分類：機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價 值來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決 定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已 采用的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對組織中的資產(chǎn)進(jìn)行識別。舉例數(shù)據(jù) 保存在信息媒介上的各

10、種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等 舉例軟件 系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等 應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件等 源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等舉例硬件 網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等 計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等 存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等 傳輸線路：光纖、雙絞線等 保障設(shè)備： UPS、變電設(shè)備等、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等 安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份鑒別等 其他：打印機、復(fù)印

11、機、掃描儀、傳真機等 服務(wù)和人員風(fēng)險評估的流程詳細(xì)說明-資產(chǎn)識別（2）資產(chǎn)賦值單一賦值單一賦值風(fēng)險評估的流程詳細(xì)說明-資產(chǎn)識別（3）資產(chǎn)賦值資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在機密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法 可以根據(jù)自身的特點，選擇對資產(chǎn)機密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的 最終賦值結(jié)果；綜合賦值單一賦值風(fēng)險評估的流程詳細(xì)說明-威脅識別（4）表表7 7 威脅賦值威脅賦值威威脅脅分分類類表表風(fēng)險評估的流程詳細(xì)說明-脆弱性識別脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。 而且如果系統(tǒng)足夠強健，嚴(yán)重的威脅也不會導(dǎo)致

12、安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn) 的脆弱性才可能造成危害。 主要形式問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試主要內(nèi)容類型類型識別對識別對象象識別內(nèi)容識別內(nèi)容 技術(shù)脆弱性 物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機房區(qū)域防護(hù)、機房設(shè)備管理等方面進(jìn)行識別 網(wǎng)絡(luò)結(jié)構(gòu) 從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別 系統(tǒng)軟件 從補丁安裝、物理保護(hù)、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別 應(yīng)用中間件 件 從協(xié)議

13、安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別。 應(yīng)用系統(tǒng) 從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護(hù)等方面進(jìn)行識別 管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別 風(fēng)險評估的流程詳細(xì)說明-脆弱性識別 可以根據(jù)對資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度、弱點的流行程度，采用等級方式對已識別的 脆弱性的嚴(yán)重程度進(jìn)行賦值。由于很多弱點反映的是同一方面的問題，或可能造成相似的后果，賦值時 應(yīng)綜合考慮這些弱點，以確定這一方面脆弱性的嚴(yán)重程度。 已有安全措

14、施確認(rèn) 在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評估 其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必 要的工作和費用，防止安全措施的重復(fù)實施。對確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M(jìn) 行修正，或用更合適的安全措施替代。 1 1、網(wǎng)絡(luò)層面安全評估方法、網(wǎng)絡(luò)層面安全評估方法網(wǎng)絡(luò)架構(gòu)分析網(wǎng)絡(luò)架構(gòu)分析網(wǎng)絡(luò)安全架構(gòu)分析網(wǎng)絡(luò)的架構(gòu)整體分析、網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)設(shè)備配置檢查網(wǎng)絡(luò)設(shè)備配置檢查安全配置檢查華為和思科網(wǎng)絡(luò)設(shè)備配置檢查等級保護(hù)網(wǎng)絡(luò)安全測評等級保護(hù)網(wǎng)絡(luò)安

15、全測評基本要求基本要求中網(wǎng)絡(luò)層面安全測評2 2、主機層面安全評估方法、主機層面安全評估方法主機配置檢查主機配置檢查安全配置檢查操作系統(tǒng)、數(shù)據(jù)庫和中間件的安全配置檢查漏洞掃描漏洞掃描安全漏洞掃描系統(tǒng)針對系統(tǒng)的漏洞進(jìn)行掃描和評估等級保護(hù)主機安全測評等級保護(hù)主機安全測評基本要求基本要求中主機層面安全測評3 3、應(yīng)用層面安全評估方法、應(yīng)用層面安全評估方法滲透測試滲透測試工具和人工分析針對應(yīng)用層面的安全評估應(yīng)用安全開發(fā)技術(shù)規(guī)范應(yīng)用安全開發(fā)技術(shù)規(guī)范編寫相應(yīng)的規(guī)范指導(dǎo)開發(fā)用于指導(dǎo)安全開發(fā)的編碼規(guī)范等級保護(hù)應(yīng)用安全測評等級保護(hù)應(yīng)用安全測評基本要求基本要求中應(yīng)用層面安全測評4 4、安全管理體系、安全管理體系Is

16、ms27001Isms27001參考27001標(biāo)準(zhǔn)管理體系等級保護(hù)管理部分等級保護(hù)管理部分基本要求基本要求中管理層面安全測評風(fēng)險評估的流程詳細(xì)說明-脆弱性識別（2）目前，對于信息系統(tǒng)的脆弱性進(jìn)行識別，即安全評估的方法，主要采取以下多種方法：服務(wù)方式：本地掃描服務(wù)工具：遠(yuǎn)程安全評估系統(tǒng)服務(wù)內(nèi)容：對目標(biāo)設(shè)備的漏洞、用戶名與口令、安全策略等方面進(jìn)行評估，并對掃描報告進(jìn)行分析并出具相應(yīng)報告WindowsLinuxAIXHPSolarisNetWareBSD路由器交換機防火墻網(wǎng)絡(luò)系統(tǒng)了解漏洞分布情況獲知漏洞修補方法風(fēng)險評估的流程詳細(xì)說明-脆弱性識別（3）漏洞掃描漏洞掃描服務(wù)方式：本地登錄系統(tǒng)服務(wù)工具：配

17、置核查系統(tǒng)、安全配置規(guī)范服務(wù)內(nèi)容：抽樣檢查系統(tǒng)的策略配置、服務(wù)配置、保護(hù)措施以及系統(tǒng)和軟件升級、更新情況，是否存在漏洞或后門等，根據(jù)檢測結(jié)果出具相應(yīng)報告安全配置規(guī)范手工檢查了解系統(tǒng)安全狀況解決安全防范短板充分滿足合規(guī)要求風(fēng)險評估的流程詳細(xì)說明-脆弱性識別（4）配置檢查配置檢查服務(wù)方式：遠(yuǎn)程測試服務(wù)工具：遠(yuǎn)程安全評估系統(tǒng)web掃描、其他工具服務(wù)內(nèi)容：通過真實模擬黑客使用的工具、分析方法來對網(wǎng)站進(jìn)行模擬攻擊，驗證當(dāng)前的安全防護(hù)措施，找出風(fēng)險點，提供有價值的安全建議充分挖掘應(yīng)用缺陷精細(xì)粒度威脅分析提升人員安全技能風(fēng)險評估的流程詳細(xì)說明-脆弱性識別（5）滲透測試滲透測試服務(wù)方式：非現(xiàn)場服務(wù)服務(wù)工具：f

18、ortify等服務(wù)內(nèi)容：白盒測試，通過對獲取到的系統(tǒng)源代碼進(jìn)行分析，檢查在編碼層面是否存在安全隱患，對發(fā)現(xiàn)的問題提供安全建議工具掃描人工確認(rèn)抽查分析大幅提升代碼質(zhì)量控制事故發(fā)生源頭降低安全運維成本風(fēng)險評估的流程詳細(xì)說明-脆弱性識別（6）代碼審計代碼審計u 判斷安全技術(shù)方面與指標(biāo)的符合程度判斷安全技術(shù)方面與指標(biāo)的符合程度通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的差距分析，準(zhǔn)確記錄分析結(jié)果，判斷安全技術(shù)的各個方面與指標(biāo)的符合程度，給出判斷結(jié)論和評審報告。差距分析23u 判斷安全管理方面與指標(biāo)的符合程度判斷安全管理方面與指標(biāo)的符合程度通過觀察現(xiàn)場

19、、詢問人員、查詢資料、檢查記錄等方式進(jìn)行安全管理方面的差距分析，準(zhǔn)確記錄分析結(jié)果，判斷安全管理的各個方面與指標(biāo)的符合程度，給出評審報告。u 綜合分析系統(tǒng)總體安全的符合程度綜合分析系統(tǒng)總體安全的符合程度根據(jù)安全管理方面、安全技術(shù)方面與差距分析指標(biāo)的符合程度的判斷結(jié)論，重點考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等，最終給出信息系統(tǒng)差距分析報告，并形成等級保護(hù)安全建設(shè)建議方案，指導(dǎo)后續(xù)等級保護(hù)安全建設(shè)工作。1風(fēng)險評估的流程詳細(xì)說明-脆弱性識別（7）差距分析差距分析a）

20、計算安全事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，風(fēng)險評估的流程詳細(xì)說明-風(fēng)險分析和計算風(fēng)險值=R（A，T，V）= R(L(T，V)，F(xiàn)(Ia，Va ) R 表示安全風(fēng)險計算函數(shù)；A 表示資產(chǎn)；T 表示威脅；V 表示脆弱性； Ia 表示安全事件所作 用的資產(chǎn)價值；Va 表示脆弱性嚴(yán)重程度；L 表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F 表示安全事件發(fā)生后產(chǎn)生的損失即： 安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)L(T，V ) b）根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度，計算安全事件一旦發(fā)生后的損失，即： 安全事件的損失=F(資產(chǎn)價值，脆弱

21、性嚴(yán)重程度)F(Ia，Va )風(fēng)險評估的流程詳細(xì)說明-風(fēng)險處置計劃目前，風(fēng)險結(jié)果賦值后，如何直白的表現(xiàn)出來？ 風(fēng)險處理計劃 對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。風(fēng)險處理計劃中明確應(yīng)采取的彌 補弱點的安全措施、預(yù)期效果、實施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩 個方面考慮。安全措施的選擇與實施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。 風(fēng)險評估舉例風(fēng)險評估目標(biāo) 風(fēng)險評估目標(biāo)風(fēng)險評估目標(biāo) 協(xié)助某證券公司對六個信息系統(tǒng)（集中交易、網(wǎng)上交易、門戶網(wǎng)站、資產(chǎn)管理、固定收益和網(wǎng)上交易系統(tǒng)）依照證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)基本要求（JRT0060-2010）進(jìn)行系統(tǒng)自查以明

22、確各個信息系統(tǒng)的安全現(xiàn)狀。對信息系統(tǒng)進(jìn)行安全評估以準(zhǔn)確地了解自身的網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)安全以及管理制度規(guī)范的現(xiàn)狀，從而明晰公司的安全需求。 確定某證券公司信息系統(tǒng)的主要安全風(fēng)險。根據(jù)這些安全風(fēng)險結(jié)合某證券公司的實際情況與各技術(shù)領(lǐng)域的負(fù)責(zé)人進(jìn)行反復(fù)討論，出具信息系統(tǒng)安全等級保護(hù)整改建議報告。指導(dǎo)集成商對信息系統(tǒng)進(jìn)行整改，以降低信息系統(tǒng)的安全風(fēng)險。風(fēng)險評估范圍 風(fēng)險評估范圍風(fēng)險評估范圍 本次風(fēng)險評估范圍為某證券公司五個已備案的信息系統(tǒng)：三個三級系統(tǒng)分別為集中交易、網(wǎng)上交易系統(tǒng)和資產(chǎn)管理系統(tǒng)，三個二級系統(tǒng)分別為門戶網(wǎng)站、固定收益和網(wǎng)上交易系統(tǒng)。 風(fēng)險評估評覆蓋某證券公司的全部網(wǎng)絡(luò)信息系統(tǒng)。包括： 物理環(huán)

23、境和網(wǎng)絡(luò)、安全基礎(chǔ)設(shè)施 服務(wù)器設(shè)備 操作系統(tǒng) 數(shù)據(jù)庫系統(tǒng) 業(yè)務(wù)系統(tǒng) 安全管理策略風(fēng)險評估原則為了最小化風(fēng)險評估工作給某證券公司信息系統(tǒng)帶來的風(fēng)險，本次風(fēng)險評估遵循以下原則：標(biāo)準(zhǔn)性原則：評估方案的設(shè)計和具體實施依據(jù)國內(nèi)和行業(yè)的相關(guān)標(biāo)準(zhǔn)進(jìn)行及理論模型。規(guī)范性原則：提供規(guī)范的服務(wù)。工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制?？煽匦栽瓌t：評估過程和所使用的工具具有可控性。評估項目所采用的工具應(yīng)經(jīng)過多次評估項目考驗，或者是根據(jù)具體要求和組織的具體網(wǎng)絡(luò)特點定制的，具有很好的可控性。整體性原則：評估服務(wù)從組織的實際需求出發(fā)，從業(yè)務(wù)及流程角度進(jìn)行評估，而不是局限于網(wǎng)絡(luò)、主機等單個的安全層面

24、，涉及到安全管理和業(yè)務(wù)運營，保障整體性和全面性。最小影響原則：評估工作做到充分的計劃性，不對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響，盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行。保密性原則，從公司、人員、過程三個方面進(jìn)行保密控制，公司雙方簽署保密協(xié)議，保證不使用評估中的任何數(shù)據(jù)進(jìn)行其他有損甲方利益的用途；人員保密，公司內(nèi)部簽訂保密協(xié)議；在評估過程中對評估數(shù)據(jù)嚴(yán)格保密。風(fēng)險評估概述風(fēng)險評估要素關(guān)系圖風(fēng)險分析的原理風(fēng)險評估流程風(fēng)險評估準(zhǔn)備內(nèi)容包括確定風(fēng)險評估范圍可能涉及的組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，準(zhǔn)備風(fēng)險評估工作中使用的表格、文檔、檢測工具等以及制定風(fēng)險評估進(jìn)度計劃和安排人

25、員計劃等工作，是順利實施風(fēng)險評估工作的基礎(chǔ)。賦值賦值標(biāo)識標(biāo)識定義定義5非常高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失。非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失。4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失。重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對組織造成較低的損失。不太重要，其安全屬性破壞后可能對組織造成較低的損失。1很低很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計不重要，其

26、安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計來源來源描述描述環(huán)境因素環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。人為因素人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進(jìn)不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進(jìn)行篡改，獲取利益行篡改，獲取利益

27、外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機密性、完整性和可用性進(jìn)行破外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力。壞，以獲取利益或炫耀能力。非惡意人員非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。攻擊。脆弱性類別脆弱性因素

28、物理環(huán)境從機房場地、機房失火、機房供配電、機房防靜電、機房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機房區(qū)域防護(hù)、機房設(shè)備管理等方面進(jìn)行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界防護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。系統(tǒng)軟件從補丁安裝、物理保護(hù)、用戶賬號、口令策略、資源共享、事件審計、訪問控制、系統(tǒng)配置、網(wǎng)絡(luò)安全、惡意代碼防范等方面進(jìn)行識別。數(shù)據(jù)庫軟件從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進(jìn)行識別。應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別。應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信安全、

29、身份鑒別、密碼保護(hù)等方面進(jìn)行識別。風(fēng)險評估流程在識別脆弱性的同時，評估人員對已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。本次評估我們采用如下算式來得到資產(chǎn)的風(fēng)險賦值：風(fēng)險值=（風(fēng)險發(fā)生的可能性風(fēng)險產(chǎn)生后果）其中：風(fēng)險發(fā)生的可能性=SQRT（威脅頻率脆弱性嚴(yán)重程度）風(fēng)險產(chǎn)生后果SQRT（資產(chǎn)價值脆弱性嚴(yán)重程度）實際評估結(jié)果-資產(chǎn)識別序號序號設(shè)備名稱設(shè)備名稱IP地址地址OS名稱

30、名稱/版本版本/補丁補丁安裝應(yīng)用系統(tǒng)軟件安裝應(yīng)用系統(tǒng)軟件名稱名稱服務(wù)器重要服務(wù)器重要程度程度責(zé)任部門責(zé)任部門1某證券公司行情站一210.51.9.74/24redhat linux AS5.4hostl tdxdt關(guān)鍵信息技術(shù)部2某證券公司行情站二210.51.9.71/24redhat linux AS5.4hostl tdxdt關(guān)鍵信息技術(shù)部3某證券公司行情站三210.51.9.73/24redhat linux AS5.4hostl tdxdt關(guān)鍵信息技術(shù)部4某證券公司北方聯(lián)通行情站221.194.44.67/24redhat linux AS5.4hostl tdxdt關(guān)鍵信息技術(shù)部5

31、某證券公司北方電信行情站222.222.148.131/24redhat linux AS5.4hostl tdxdt關(guān)鍵信息技術(shù)部6某證券公司南方電信行情站119.145.21.209/24redhat linux AS5.4hostl tdxdt關(guān)鍵信息技術(shù)部7某證券公司交易站一61.152.159.176/24win 2003TC50關(guān)鍵信息技術(shù)部8某證券公司電信站點222.222.150.52/24win2003 pack2 關(guān)鍵信息技術(shù)部9某證券公司聯(lián)通站點221.192.220.164/24win2003 pack2 關(guān)鍵信息技術(shù)部10某證券公司深圳電信119.145.21.195

32、/24win2003 pack2 關(guān)鍵信息技術(shù)部11某證券公司北京聯(lián)通114.247.64.165/24win2003 pack2 關(guān)鍵信息技術(shù)部12某證券公司交易站二61.152.159.177/24win 2003TC50關(guān)鍵信息技術(shù)部13某證券公司交易站三61.152.159.179/24win 2003TC50關(guān)鍵信息技術(shù)部14某證券公司北方聯(lián)通交易站221.192.220.163/24win 2003TC50關(guān)鍵信息技術(shù)部15某證券公司北方電信交易站222.222.150.51/24win 2003TC50關(guān)鍵信息技術(shù)部16某證券公司南方電信交易站119.145.21.193/24w

33、in 2003TC50關(guān)鍵信息技術(shù)部資產(chǎn)清單：實際評估結(jié)果-資產(chǎn)識別資產(chǎn)賦值：序號序號設(shè)備名稱設(shè)備名稱IP地址地址保密性保密性完整性完整性可用性可用性資產(chǎn)價值資產(chǎn)價值1某證券行情站一210.51.9.74/2433442某證券行情站二210.51.9.71/2433443某證券行情站三210.51.9.73/2433444某證券北方聯(lián)通行情站221.194.44.67/2433445某證券北方電信行情站222.222.148.131/2433446某證券南方電信行情站119.145.21.209/2433447某證券交易站一61.152.159.176/2433448某證券電信站點222.22

34、2.150.52/2433449某證券聯(lián)通站點221.192.220.164/24334410某證券深圳電信119.145.21.195/24334411某證券北京聯(lián)通114.247.64.165/24334412某證券交易站二61.152.159.177/24334413某證券交易站三61.152.159.179/24334414某證券北方聯(lián)通交易站221.192.220.163/24334415某證券北方電信交易站222.222.150.51/24334416某證券南方電信交易站119.145.21.193/243344實際評估結(jié)果-威脅識別威脅分析1操作錯誤這種威脅的主體為管理員用戶或其

35、他合法用戶，威脅的客體為整個網(wǎng)上交易系統(tǒng)的所有資產(chǎn)。這種威脅是非故意行為，主要是由于網(wǎng)上交易業(yè)務(wù)系統(tǒng)的主機分布在不同地方，管理員相對分散，導(dǎo)致這種威脅發(fā)生的可能性的存在。2濫用授權(quán)這種威脅的主體為管理員用戶或其他合法用戶，威脅的客體為整個網(wǎng)上交易系統(tǒng)的所有資產(chǎn)。這種威脅是合法用戶的故意行為，可能是由于同一帳號多人使用或一人使用多個帳號，且權(quán)限劃分不明確，導(dǎo)致威脅發(fā)生的可能性還是存在的。濫用授權(quán)如果達(dá)到一定程度，將會對某些重要應(yīng)用系統(tǒng)帶來危害，甚至導(dǎo)致重要數(shù)據(jù)丟失或泄密。3行為抵賴這種威脅的主體為系統(tǒng)管理員用戶或其他合法用戶，威脅的客體為整個網(wǎng)上交易系統(tǒng)評估范圍內(nèi)的所有資產(chǎn)。這種威脅是合法用戶對

36、自己所作操作的否認(rèn)，由于日志審計并未完全記錄，且?guī)ぬ枡?quán)限管理不嚴(yán)格，可能導(dǎo)致出現(xiàn)行為抵賴的情況。同時，部分設(shè)備的管理劃分不清，有可能造成操作行為無法追究。.舉例舉例實際評估結(jié)果-威脅識別威脅賦值序號序號威脅類別威脅類別出現(xiàn)頻率出現(xiàn)頻率威脅賦值威脅賦值威脅描述威脅描述1操作錯誤低2合法用戶工作失誤或疏忽的可能性2濫用授權(quán)低2合法用戶利用自己的權(quán)限故意或非故意破壞系統(tǒng)的可能性3行為抵賴低2合法用戶對自己操作行為否認(rèn)的可能性4身份假冒低2非法用戶冒充合法用戶進(jìn)行操作的可能性5密碼分析中3非法用戶對系統(tǒng)密碼分析的可能性6利用漏洞中3非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)的可能性7拒絕服務(wù)中3非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性8惡意代碼中3病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染的可能性9竊聽數(shù)據(jù)低2非法用戶通過竊聽等手段盜取重要數(shù)據(jù)的可能性10物理破壞很低1非法用戶利用各種手段對資產(chǎn)物理破壞的可能性11社會工程很低1非法用戶利用社交等手段獲取重要信息的可能性12意外故障高4系統(tǒng)的硬件、軟件發(fā)生意外故障的可能性13通信中斷高4數(shù)據(jù)通信傳輸過程中發(fā)生意