第八期 風(fēng)險(xiǎn)評(píng)估基本流程和技術(shù)方法

第八期風(fēng)險(xiǎn)評(píng)估基本流程和技術(shù)方法第八期風(fēng)險(xiǎn)評(píng)估基本流程和技術(shù)方法第八期風(fēng)險(xiǎn)評(píng)估基本流程和技術(shù)方法xxx公司第八期風(fēng)險(xiǎn)評(píng)估基本流程和技術(shù)方法文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度第八期風(fēng)險(xiǎn)評(píng)估基本流程和技術(shù)方法一、風(fēng)險(xiǎn)評(píng)估的基本實(shí)施流程是什么風(fēng)險(xiǎn)評(píng)估的實(shí)施流程主要包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估文檔記錄七個(gè)階段（如圖所示）。二、開(kāi)展風(fēng)險(xiǎn)評(píng)估需要做哪些準(zhǔn)備風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程有效性的保證。因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)：（1）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；（2）確定風(fēng)險(xiǎn)評(píng)估的范圍；（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；（4）進(jìn)行系統(tǒng)調(diào)研；（5）確定評(píng)估依據(jù)和方法；（6）制定風(fēng)險(xiǎn)評(píng)估方案；（7）獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。三、如何進(jìn)行資產(chǎn)識(shí)別保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。資產(chǎn)識(shí)別過(guò)程主要包括以下具體活動(dòng)：（1）回顧評(píng)估范圍內(nèi)的業(yè)務(wù)?；仡欉@些信息的主要目的是讓資產(chǎn)識(shí)別人員對(duì)所評(píng)估的業(yè)務(wù)和應(yīng)用系統(tǒng)有一個(gè)大致的了解，為后續(xù)的資產(chǎn)識(shí)別活動(dòng)做準(zhǔn)備。（2）識(shí)別信息資產(chǎn)，進(jìn)行合理分類。資產(chǎn)分類的目的是降低后續(xù)分析和賦值活動(dòng)的工作量。（3）確定每類信息資產(chǎn)的安全需求?？梢詮谋Ｃ苄?、完整性和可用性三個(gè)方面對(duì)每個(gè)資產(chǎn)類別進(jìn)行安全需求分析。（4）為每類信息資產(chǎn)的重要性賦值。在上述安全需求分析的基礎(chǔ)上，按照一定的方法確定資產(chǎn)的價(jià)值或重要程度等級(jí)。四、如何進(jìn)行威脅識(shí)別威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。在對(duì)威脅進(jìn)行分類前，應(yīng)考慮威脅的來(lái)源。威脅識(shí)別主要包括以下具體活動(dòng)：（1）威脅識(shí)別。威脅識(shí)別包括實(shí)際威脅識(shí)別和潛在威脅識(shí)別。（2）威脅分類。對(duì)上述實(shí)際發(fā)生過(guò)的和潛在的威脅進(jìn)行分類。（3）構(gòu)建威脅的場(chǎng)景。在上述工作基礎(chǔ)上，為每個(gè)或每類關(guān)鍵資源構(gòu)建威脅場(chǎng)景圖。（4）威脅賦值。對(duì)具體威脅或威脅類別進(jìn)行賦值。五、如何進(jìn)行脆弱性識(shí)別脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)，包括物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和管理五個(gè)方面。脆弱性識(shí)別主要包括以下具體活動(dòng)：（1）脆弱性識(shí)別。通過(guò)掃描工具或手工等不同方式，識(shí)別當(dāng)前系統(tǒng)中存在的脆弱性。（2）識(shí)別結(jié)果整理與展示。在脆弱性識(shí)別階段，應(yīng)將脆弱性識(shí)別結(jié)果以合理的方式展現(xiàn)給被評(píng)估的組織。（3）脆弱性賦值。某些具體的風(fēng)險(xiǎn)分析、計(jì)算方法，需要對(duì)脆弱性賦值，方能完成后續(xù)的風(fēng)險(xiǎn)計(jì)算活動(dòng)，因此，若有此需要，應(yīng)根據(jù)一定的賦值準(zhǔn)則，對(duì)被識(shí)別的脆弱性進(jìn)行賦值。六、如何識(shí)別與確認(rèn)已有安全措施在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。安全控制措施大致可以分為技術(shù)控制措施、管理和操作控制措施兩大類。（1）技術(shù)控制措施的識(shí)別與確認(rèn)識(shí)別已有的技術(shù)控制措施，并對(duì)其有效性進(jìn)行分析和確認(rèn)。（2）管理和操作控制措施的識(shí)別與確認(rèn)識(shí)別已有的管理和操作控制措施，并對(duì)其有效性進(jìn)行分析和確認(rèn)。七、如何進(jìn)行風(fēng)險(xiǎn)分析在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)計(jì)算的原理是：風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理，可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理，等級(jí)越高，風(fēng)險(xiǎn)越高。對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。安全措施的選擇應(yīng)從管理與技術(shù)兩個(gè)方面考慮。安全措施的選擇與實(shí)施應(yīng)參照信息安全的相關(guān)標(biāo)準(zhǔn)進(jìn)行。在對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)安全措施后，為確保安全措施的有效性，可進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。殘余風(fēng)險(xiǎn)的評(píng)估可以依據(jù)本標(biāo)準(zhǔn)提出的風(fēng)險(xiǎn)評(píng)估流程實(shí)施，也可做適當(dāng)裁減。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。八、風(fēng)險(xiǎn)評(píng)估的技術(shù)方法主要包括哪些在風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程中，主要包括工具檢測(cè)、人工檢查、滲透性測(cè)試三大技術(shù)方法。1、工具檢測(cè)工具檢測(cè)是風(fēng)險(xiǎn)評(píng)估的輔助手段，是保證風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的一個(gè)重要因素，在一定程度上解決了手動(dòng)評(píng)估的局限性。脆弱性掃描工具是目前應(yīng)用最廣泛的風(fēng)險(xiǎn)評(píng)估工具，主要完成操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全脆弱性檢測(cè)功能，目前常見(jiàn)的脆弱性掃描工具有以下幾種類型：a）基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運(yùn)行，能夠檢測(cè)如防火墻錯(cuò)誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。b）基于主機(jī)的掃描器：發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險(xiǎn)，如密碼強(qiáng)度不夠，也可實(shí)施對(duì)文件系統(tǒng)的檢查。c）分布式網(wǎng)絡(luò)掃描器：由遠(yuǎn)程掃描代理、對(duì)這些代理的即插即用更新機(jī)制、中心管理點(diǎn)三部分構(gòu)成，用于企業(yè)級(jí)網(wǎng)絡(luò)的脆弱性評(píng)估，分布和位于不同的位置、城市甚至不同的國(guó)家。d）數(shù)據(jù)庫(kù)脆弱性掃描器：對(duì)數(shù)據(jù)庫(kù)的授權(quán)、認(rèn)證和完整性進(jìn)行詳細(xì)的分析，也可以識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)中潛在的脆弱性。2、人工檢查考慮到風(fēng)險(xiǎn)評(píng)估工具本身具有一定的風(fēng)險(xiǎn)，同時(shí)還存在漏報(bào)和誤報(bào)的問(wèn)題，對(duì)于可用性要求較高的重要系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，一般會(huì)采用人工檢查的方式。在進(jìn)行具體的人工檢查活動(dòng)前，應(yīng)準(zhǔn)備風(fēng)險(xiǎn)評(píng)估所需的各種檢查列表，并將檢查結(jié)果按要求進(jìn)行詳細(xì)記錄。3、滲透性測(cè)試滲透性測(cè)試工具是根據(jù)脆弱性掃描工具