風(fēng)險(xiǎn)評(píng)估策劃方案介紹

1、 HYPERLINK / 1. 總體概述1.1 項(xiàng)目概述為了更好的了解信息安全狀況，依照信息安全風(fēng)險(xiǎn)評(píng)估指南和GB/T 20984-2007要求，總體評(píng)估公司信息化建設(shè)風(fēng)險(xiǎn)。2.風(fēng)險(xiǎn)評(píng)估方案2.1風(fēng)險(xiǎn)評(píng)估現(xiàn)場(chǎng)實(shí)施流程風(fēng)險(xiǎn)評(píng)估的實(shí)施流程見下圖所示2.2 風(fēng)險(xiǎn)評(píng)估使用工具測(cè)評(píng)過程中所使用的工具見下表所示：序號(hào)名 稱功 能 描 述版 本用途1數(shù)據(jù)庫(kù)安全掃描系統(tǒng)可掃描Qracle、Sql Server、SybaseATX數(shù)據(jù)庫(kù)漏洞掃描2ISS網(wǎng)絡(luò)掃描器可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)7.0sp2網(wǎng)絡(luò)、主機(jī)漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)6.0網(wǎng)絡(luò)、主機(jī)漏洞掃描4極光遠(yuǎn)程安全評(píng)估系統(tǒng)

2、可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)AURORA-200網(wǎng)絡(luò)、主機(jī)漏洞掃描5網(wǎng)絡(luò)綜合協(xié)議分析儀OptiView網(wǎng)絡(luò)透視與協(xié)議分析，網(wǎng)絡(luò)性能測(cè)評(píng)INA網(wǎng)絡(luò)流量監(jiān)控6網(wǎng)絡(luò)系統(tǒng)治理,HP OpenView自動(dòng)發(fā)覺網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)性能與故障治理NNM6.0繪制網(wǎng)絡(luò)拓?fù)鋱D2.3 風(fēng)險(xiǎn)評(píng)估方法2.3.1資產(chǎn)識(shí)不資產(chǎn)分類首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。依照資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。一種基于表現(xiàn)形式的資產(chǎn)分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行治理規(guī)程、打算、報(bào)告、用戶手冊(cè)等軟件

3、系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)句包、工具軟件、各種庫(kù)等應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的治理信息系統(tǒng)（MIS），包括各種內(nèi)部配置治理、文件流轉(zhuǎn)治理等服務(wù)網(wǎng)絡(luò)服

4、務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依靠該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、進(jìn)展打算等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象，客戶關(guān)系等資產(chǎn)賦值.1保密性賦值依照資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分不對(duì)應(yīng)資產(chǎn)在機(jī)密性上應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的阻礙。資產(chǎn)機(jī)密性賦值表賦值標(biāo)識(shí)定義5專門高包含組織最重要的秘密，關(guān)系以后進(jìn)展的前途命運(yùn)，對(duì)組織全然利益有著決定性的阻礙，假如泄露會(huì)造成災(zāi)難性的損害 4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)峻損害3中等組織的一

5、般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1專門低可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等.2完整性賦值依照資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分不對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的阻礙。資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定義5專門高完整性價(jià)值特不關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無法同意的阻礙，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)峻的業(yè)務(wù)中斷，難以彌補(bǔ)。4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大阻礙，對(duì)業(yè)務(wù)沖擊嚴(yán)峻，較難彌補(bǔ)。3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)

6、對(duì)組織造成阻礙，對(duì)業(yè)務(wù)沖擊明顯，但能夠彌補(bǔ)。2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微阻礙，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。1專門低完整性價(jià)值特不低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的阻礙能夠忽略，對(duì)業(yè)務(wù)沖擊能夠忽略。.3可用性賦值依照資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分不對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5專門高可用性價(jià)值特不高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不同意中斷。4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)同意中斷時(shí)刻小于10分鐘。3中等可用性價(jià)值中等，合法使用者

7、對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)刻達(dá)到70%以上，或系統(tǒng)同意中斷時(shí)刻小于30分鐘。2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)刻達(dá)到25%以上，或系統(tǒng)同意中斷時(shí)刻小于60分鐘。1專門低可用性價(jià)值能夠忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)刻低于25%。.4資產(chǎn)重要性等級(jí)資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，通過綜合評(píng)定得出。依照最終賦值將資產(chǎn)劃分為五級(jí)，級(jí)不越高表示資產(chǎn)越重要，確定重要資產(chǎn)的范圍，并要緊圍繞重要資產(chǎn)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。資產(chǎn)等級(jí)及含義描述等級(jí)標(biāo)識(shí)描述5專門高特不重要，其安全屬性破壞后可能對(duì)組織造成特不嚴(yán)峻的損失。4高重要，

8、其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)峻的損失。3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失。1專門低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)專門小的損失，甚至忽略不計(jì)。2.3.2威脅識(shí)不威脅分類對(duì)威脅進(jìn)行分類的方式有多種，針對(duì)上表的威脅來源，能夠依照其表現(xiàn)形式將威脅分為以下幾類。一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的阻礙。設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障、開發(fā)環(huán)境故障。物理環(huán)境阻礙斷

9、電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)難。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成的阻礙。維護(hù)錯(cuò)誤、操作失誤治理不到位安全治理無法落實(shí)，不到位，造成安全治理不規(guī)范，或者治理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件越權(quán)或?yàn)E用通過采納一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)

10、據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的操縱和破壞物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認(rèn)收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵

11、賴、第三方抵賴威脅賦值推斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，依照有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行推斷。對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分不代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。威脅賦值表等級(jí)標(biāo)識(shí)定義5專門高出現(xiàn)的頻率專門高（或1 次/周）；或在大多數(shù)情況下幾乎不可幸免；或能夠證實(shí)經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或 1 次/月）；或在大多數(shù)情況下專門有可能會(huì)發(fā)生；或能夠證實(shí)多次發(fā)生過。3中出現(xiàn)的頻率中等（或 1 次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過。1專門低威脅幾乎不可能發(fā)生，僅可能在特不罕見和例

12、外的情況下發(fā)生。2.3.3脆弱性識(shí)不脆弱性識(shí)不內(nèi)容脆弱性識(shí)不是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)不能夠以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要愛護(hù)的資產(chǎn),識(shí)不可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)峻程度進(jìn)行評(píng)估；從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)不，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。脆弱性識(shí)不所采納的方法要緊有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性識(shí)不內(nèi)容表類型識(shí)不對(duì)象識(shí)不內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的愛護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備治理等方面進(jìn)行識(shí)不。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界愛護(hù)、外部訪問操縱策略、內(nèi)部訪問操縱策

13、略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)不。系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務(wù)）從補(bǔ)丁安裝、物理愛護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審計(jì)、訪問操縱、新系統(tǒng)配置（初始化）、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)治理等方面進(jìn)行識(shí)不。數(shù)據(jù)庫(kù)軟件從補(bǔ)丁安裝、鑒不機(jī)制、口令機(jī)制、訪問操縱、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)不。應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)不。應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問操縱策略、數(shù)據(jù)完整性、通信、鑒不機(jī)制、密碼愛護(hù)等方面進(jìn)行識(shí)不。治理脆弱性技術(shù)治理從物理和環(huán)境安全、通信與操作治理、訪問操縱、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)不。組織治理從安全策略、組織安

14、全、資產(chǎn)分類與操縱、人員安全、符合性等方面進(jìn)行識(shí)不。脆弱性賦值能夠依照對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度，采納等級(jí)方式對(duì)已識(shí)不的脆弱性的嚴(yán)峻程度進(jìn)行賦值。脆弱性嚴(yán)峻程度能夠進(jìn)行等級(jí)化處理，不同的等級(jí)分不代表資產(chǎn)脆弱性嚴(yán)峻程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)峻程度越高。脆弱性嚴(yán)峻程度賦值表等級(jí)標(biāo)識(shí)定義5專門高假如被威脅利用，將對(duì)資產(chǎn)造成完全損害。4高假如被威脅利用，將對(duì)資產(chǎn)造成重大損害。3中假如被威脅利用，將對(duì)資產(chǎn)造成一般損害 。2低假如被威脅利用，將對(duì)資產(chǎn)造成較小損害。1專門低假如被威脅利用，將對(duì)資產(chǎn)造成的損害能夠忽略。 2.3.4已有安全措施確認(rèn)在識(shí)不脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施接著保持，以幸免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。2.3.5風(fēng)險(xiǎn)分析為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的操縱與治理，能夠?qū)︼L(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理。能夠?qū)L(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。依照所采納的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，依照風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。每個(gè)等級(jí)