某信息安全技術(shù)公司風(fēng)險評估概述

風(fēng)險評估101藍(lán)盾信息平安技術(shù)股份有限公司程曉峰2024年11月1日什么是風(fēng)險評估？——從深夜一個回家的女孩開始講起……風(fēng)險評估3風(fēng)險風(fēng)險管理〔RiskManagement〕就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的平安風(fēng)險的過程。在信息平安領(lǐng)域，風(fēng)險〔Risk〕就是指各種威脅導(dǎo)致平安事件發(fā)生的可能性及其對組織所造成的負(fù)面影響。風(fēng)險管理風(fēng)險評估〔RiskAssessment〕就是對各方面風(fēng)險進(jìn)行辨識和分析的過程，它包括風(fēng)險分析和風(fēng)險評價，是確認(rèn)平安風(fēng)險及其大小的過程。風(fēng)險評估的根本概念資產(chǎn)影響威脅弱點風(fēng)險錢被偷100塊沒飯吃小偷打瞌睡效勞器黑客軟件漏洞被入侵?jǐn)?shù)據(jù)失密通俗的比喻風(fēng)險RISKRISKRISKRISK風(fēng)險原有風(fēng)險采取措施后的剩余風(fēng)險影響威脅脆弱性影響威脅脆弱性風(fēng)險管理的目標(biāo)風(fēng)險評估和風(fēng)險管理的關(guān)系風(fēng)險評估是風(fēng)險管理的關(guān)鍵環(huán)節(jié)，在風(fēng)險管理循環(huán)中，必須依靠風(fēng)險評估來確定隨后的風(fēng)險控制與改進(jìn)活動。信息平安屬性保密性CONFIDENTIALATY確保信息只能由那些被授權(quán)使用的人獲取完整性INTEGRITY保護信息及其處理方法的準(zhǔn)確性和完整性可用性AVAILABILITY確保被授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)可用性確保獲得授權(quán)的用戶可訪問信息并使用相關(guān)信息資產(chǎn)

完整性保護信息和處理方法的準(zhǔn)確和完整

確保只有獲得授權(quán)的人才能訪問信息

保密性進(jìn)不來拿不走改不了跑不了看不懂可審查不可抵賴曾經(jīng)完成的操作和承諾不可抵賴性可控制網(wǎng)絡(luò)信息傳播及內(nèi)容可控性確保硬件、軟件、環(huán)境各方面的可靠運行可靠性信息平安之屬性風(fēng)險計算體系風(fēng)險評價確定風(fēng)險的等級，有兩個關(guān)鍵因素要考慮〔定性風(fēng)險評估〕：威脅對信息資產(chǎn)造成的影響〔后果〕威脅發(fā)生的可能性影響可以通過資產(chǎn)的價值〔重要性〕評估來確定?？赡苄钥梢愿鶕?jù)對威脅因素和弱點因素的綜合考慮來確定。按照風(fēng)險分析模型計算得出風(fēng)險水平。風(fēng)險評價例如13確定風(fēng)險處置策略降低風(fēng)險〔ReduceRisk〕——采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險，包括技術(shù)手段和管理手段，如安裝防火墻，殺毒軟件，或是改善不標(biāo)準(zhǔn)的工作流程、制定業(yè)務(wù)連續(xù)性方案，等等。防止風(fēng)險〔AvoidRisk〕——通過消除可能導(dǎo)致風(fēng)險發(fā)生的條件來防止風(fēng)險的發(fā)生，如將公司內(nèi)外網(wǎng)隔離以防止來自互聯(lián)網(wǎng)的攻擊，或是將機房安置在不可能造成水患的位置，等等。轉(zhuǎn)移風(fēng)險〔TransferRisk〕——將風(fēng)險全部或者局部地轉(zhuǎn)移到其他責(zé)任方，例如購置商業(yè)保險。接受風(fēng)險〔AcceptRisk〕——在實施了其他風(fēng)險應(yīng)對措施之后，對于殘留的風(fēng)險，組織可以有意識地選擇接受。14評價殘留風(fēng)險絕對平安〔即零風(fēng)險〕是不可能的。實施平安控制后會有殘留風(fēng)險或殘存風(fēng)險〔ResidualRisk〕。為了確保信息平安，應(yīng)該確保殘留風(fēng)險在可接受的范圍內(nèi)：殘留風(fēng)險Rr＝原有的風(fēng)險R0－控制ΔR殘留風(fēng)險Rr≤可接受的風(fēng)險Rt對殘留風(fēng)險進(jìn)行確認(rèn)和評價的過程其實就是風(fēng)險接受的過程。決策者可以根據(jù)風(fēng)險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風(fēng)險的標(biāo)準(zhǔn)。ISO27001信息平安管理體系建立ISO17799:2024業(yè)務(wù)連續(xù)性管理〔Businesscontinuitymanagement〕信息平安事故管理〔Informationsecurityincidentmanagement〕訪問控制〔Accesscontrol〕人力資源平安〔Humanresources

security〕物理和環(huán)境平安〔Physicaland

environmental

security〕通信和操作平安〔Communications

andoperationsManagement〕信息系統(tǒng)采集開發(fā)和維護〔Informationsystem

acquisition,development

andmaintenance〕資產(chǎn)管理〔Assetmanagement〕信息平安的組織〔Organizinginformationsecurity〕平安策略〔SecurityPolicy〕基于ISO27001的信息平安管理體系架構(gòu)A15合規(guī)性相關(guān)方要求實施(D)策劃(P)改進(jìn)(A)檢查(C)相關(guān)方滿意A14業(yè)務(wù)連續(xù)性管理A13信息安全事件管理A7資產(chǎn)管理A6組織信息安全A5安全方針A11訪問控制A8人力資源安全A9物理/環(huán)境安全A10通訊運營管理A12信息系統(tǒng)獲取、開發(fā)及維護人員技術(shù)信息流程環(huán)境注：11控制域，39控制目標(biāo)，133控制措施等保測評與風(fēng)險評估的區(qū)別目的不同等級測評：以是否符合等級保護根本要求為目的照方抓藥風(fēng)險評估：以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險管理為目的對癥下藥等保測評與風(fēng)險評估的區(qū)別參照標(biāo)準(zhǔn)不同等級測評：GB17859-1999?計算機信息系統(tǒng)平安保護等級劃分準(zhǔn)那么?GA/T387-2024?計算機信息系統(tǒng)平安等級保護網(wǎng)絡(luò)技術(shù)要求?GA388-2024?計算機信息系統(tǒng)平安等級保護操作系統(tǒng)技術(shù)要求?GA/T389-2024?計算機信息系統(tǒng)平安等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求?GA/T390-2024?計算機信息系統(tǒng)平安等級保護通用技術(shù)要求?GA391-2024?計算機信息系統(tǒng)平安等級保護管理要求?…風(fēng)險評估：BS7799ISO17799ISO27001ISO27002GBT20984-2024?信息平安技術(shù)信息平安風(fēng)險評估標(biāo)準(zhǔn)?…等保測評與風(fēng)險評估的區(qū)別可以簡單的理解為等保是標(biāo)準(zhǔn)或體系，風(fēng)險評估是一種針對性的手段。為什么需要進(jìn)行風(fēng)險評估？——該買辣椒水呢還是請保鏢？什么樣的信息系統(tǒng)才是平安的?如何確保信息系統(tǒng)的平安?兩個根本問題什么樣的信息系統(tǒng)才是平安的?如何確保信息系統(tǒng)的平安?風(fēng)險分析風(fēng)險管理根本問題的答案潛在損失在可以承受范圍之內(nèi)的系統(tǒng)風(fēng)險分析平安決策風(fēng)險管理兩個答案的相關(guān)性信息平安的演化概念的演化和技術(shù)的演化同步可信是保障概念的延續(xù)信息平安的事實廣泛平安是一個廣泛的主題，它涉及到許多不同的區(qū)域〔物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等〕，每個區(qū)域都有其相關(guān)的風(fēng)險、威脅及解決方法。動態(tài)相對絕對的信息平安是不存在的。信息平安問題的解決只能通過一系列的規(guī)劃和措施，把風(fēng)險降低到可被接受的程度，同時采取適當(dāng)?shù)臋C制使風(fēng)險保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)當(dāng)重新規(guī)劃和實施來適應(yīng)新的平安需求。人信息系統(tǒng)的平安往往取決于系統(tǒng)中最薄弱的環(huán)節(jié)-人。人是信息平安中最關(guān)鍵的因素，同時也應(yīng)該清醒的認(rèn)識到人也是信息平安中最薄弱的環(huán)節(jié)。僅僅依賴于平安產(chǎn)品的堆積來應(yīng)對迅速開展變化的各種攻擊手段是不能持續(xù)有效的。信息平安建設(shè)是一項復(fù)雜的系統(tǒng)工程，要從觀念上進(jìn)行轉(zhuǎn)變，規(guī)劃、管理、技術(shù)等多種因素相結(jié)合使之成為一個可持續(xù)的動態(tài)開展的過程。

平安保障體系建設(shè)安全本錢效率平安-效率曲線平安-本錢曲線要研究建設(shè)信息平安的綜合本錢與信息平安風(fēng)險之間的平衡，而不是要片面追求不切實際的平安不同的信息系統(tǒng)，對于平安的要求不同，不是“越平安越好〞信息平安保障能力成長階段成熟度時間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%能力成長階段的劃分盲目自信階段普遍缺乏平安意識，對企業(yè)平安狀況不了解，未意識到信息平安風(fēng)險的嚴(yán)重性認(rèn)知階段通過信息平安風(fēng)險評估等，企業(yè)意識到自身存在的信息平安風(fēng)險，開始采取一些措施提升信息平安水平改進(jìn)階段意識到局部的、單一的信息平安控制措施難以明顯改善企業(yè)信息平安狀況，開始進(jìn)行全面的信息平安架構(gòu)設(shè)計，有方案的建設(shè)信息平安保障體系卓越運營階段信息平安改進(jìn)工程完成后，在擁有較為全面的信息平安控制能力根底上，建立持續(xù)改進(jìn)的機制，以應(yīng)對平安風(fēng)險的變化，不斷提升平安控制能力各個階段的主要工作任務(wù)成熟度時間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%根本平安產(chǎn)品部署主要人員的培訓(xùn)教育建立平安團隊制定平安方針政策評估并了解現(xiàn)狀各個階段的主要工作任務(wù)成熟度時間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%啟動信息平安戰(zhàn)略工程設(shè)計信息平安架構(gòu)建立信息平安流程完成信息平安改進(jìn)工程各個階段的主要工作任務(wù)成熟度時間盲目自信階段認(rèn)知階段改進(jìn)階段卓越運營階段福布斯2000強企業(yè)在不同階段的百分比分布來源：GartnerInc.2006年1月30%50%15%5%信息平安流程的持續(xù)改進(jìn)追蹤技術(shù)和業(yè)務(wù)的變化怎么做風(fēng)險評估？——可能的攻擊信息的價值可能的損失風(fēng)險評估簡要版資產(chǎn)威脅影響弱點控制可能性+=當(dāng)前的危險級別風(fēng)險分析方法示意圖損失的量化必須圍繞用戶的核心價值，用戶的核心業(yè)務(wù)流程如何量化損失風(fēng)險管理趨勢IT平安風(fēng)險成為企業(yè)運營風(fēng)險中最為重要的一個組成局部，業(yè)務(wù)連續(xù)性逐漸與平安并行考慮來源：Gartner否是否是風(fēng)險評估的準(zhǔn)備已有平安措施確實認(rèn)風(fēng)險計算風(fēng)險是否接受保持已有的控制措施施施施選擇適當(dāng)?shù)目刂拼胧┎⒃u估剩余風(fēng)險實施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受剩余風(fēng)險

風(fēng)險識別評估過程文檔評估過程文檔風(fēng)險評估結(jié)果記錄評估結(jié)果文檔…等級保護下風(fēng)險評估實施框架保護對象劃分和定級網(wǎng)絡(luò)系統(tǒng)劃分和定級資產(chǎn)脆弱性威脅風(fēng)險分析根本平安要求等級保護管理方法、指南信息平安政策、標(biāo)準(zhǔn)、法律法規(guī)平安需求風(fēng)險列表平安規(guī)劃風(fēng)險評估4242風(fēng)險評估工程實施過程計劃準(zhǔn)備實施報告跟蹤4343評估工作各角色的責(zé)任評估組長評估員電網(wǎng)公司安全專責(zé)負(fù)責(zé)管理問卷訪談和運維問卷訪談；組織評估活動，控制協(xié)調(diào)進(jìn)度，保證按計劃完成評估任務(wù)；組織召開評估會議；代表評估小組與受評估方管理層接觸；組織撰寫風(fēng)險評估報告、現(xiàn)狀報告和安全改進(jìn)建議提交評估報告。

負(fù)責(zé)風(fēng)險評估技術(shù)部分的內(nèi)容包括：網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用和數(shù)據(jù)庫評估熟悉必要的文件和程序；準(zhǔn)備風(fēng)險評估技術(shù)評估工具；撰寫每單位的評估報告；配合支持評估組長的工作，有效完成評估任務(wù)；收存和保護與評估有關(guān)的文件。

負(fù)責(zé)配合顧問提供風(fēng)險評估相關(guān)的工作環(huán)境、評估實現(xiàn)條件；備份系統(tǒng)數(shù)據(jù);配合評估顧問完成資產(chǎn)分類、賦值、弱點威脅發(fā)現(xiàn)和賦值、風(fēng)險處理意見等工作；掌握風(fēng)險評估方法；收存和保護與評估有關(guān)的文件。完成掃描后,檢查風(fēng)險評估后系統(tǒng)的安全性和穩(wěn)定性4444風(fēng)險評估工程實施過程計劃準(zhǔn)備實施報告跟蹤4545制定評估方案評估方案分年度方案和具體的實施方案，前者通常是評估籌劃階段就需要完成的，是整個評估活動的總綱，而具體的評估實施方案那么是遵照年度評估方案而對每次的評估活動所作的實施安排。評估方案通常應(yīng)該包含以下內(nèi)容：目的：申明組織實施內(nèi)部評估的目標(biāo)。時間安排：評估時間防止與重要業(yè)務(wù)活動發(fā)生沖突。評估類型：集中方式〔本次工程采用集中評估方式〕其他考慮因素：范圍、評估組織、評估要求、特殊情況等。評估實施方案是對特定評估活動的具體安排，內(nèi)容通常包括：目的、范圍、準(zhǔn)那么、評估組成員及分工、評估時間和地點、首末次會議及報告時間評估方案應(yīng)以文件形式頒發(fā)，評估實施方案應(yīng)該有評估組長簽名并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。4646風(fēng)險評估方案例如評估目的評價信息安全管理體系運行的符合性和有效性評估范圍××××××××××××××××××評估準(zhǔn)則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估小組評估組長×××評估組員×××××××××××××××評估活動

時間負(fù)責(zé)人備注填寫信息資產(chǎn)采集表X月上旬×××

實施風(fēng)險評估過程X月中旬×××

不符合項及高危風(fēng)險糾正X月末各相關(guān)部門負(fù)責(zé)人

跟蹤驗證X月上旬評估小組

召開風(fēng)險評估整改會議X月下旬信息部領(lǐng)導(dǎo)

編制編寫者×××?xí)r間×××年×月×日評估評估者×××（信息按照專責(zé)簽字）時間×××年×月×日批準(zhǔn)批準(zhǔn)者×××（信息部門領(lǐng)導(dǎo)簽字）時間×××年×月×日4747風(fēng)險評估實施方案例如評估目的對ISMS進(jìn)行內(nèi)部評估，為體系糾正提供依據(jù)，為管理評審提供輸入評估范圍××××××××××××××評估準(zhǔn)則《廣東電網(wǎng)公司信息安全管理辦法》《ISO27001信息安全管理體系》。評估方式集中式評估評估時間X年X月X－X月X日評估組織評估組長×××評估組員第一小組×××××××××第二小組×××××××××評估安排日期時間評估區(qū)域評估內(nèi)容第一小組第二小組第一小組第二小組X9:00-9:30會議室首次會議9:30-12:00

14:00-17:00

17:00-18:00

X9:00-11:00

11:00-12:00會議室評估小組會議14:00-15:00會議室末次會議編制編寫者×××?xí)r間×××年×月×日評估評估者×××（信息安全專責(zé)簽字）時間×××年×月×日批準(zhǔn)批準(zhǔn)者×××（信息部管理者簽字）時間×××年×月×日4848風(fēng)險評估工程實施過程計劃準(zhǔn)備實施報告跟蹤4949檢查列表的四要素去哪里？找誰？查什么？如何查？5050風(fēng)險評估常用方法檢查列表：評估員根據(jù)自己的需要，事先編制針對某方面問題的檢查列表，然后逐項檢查符合性，在確認(rèn)檢查列表應(yīng)答時，評估員可以采取調(diào)查問卷、文件審查、現(xiàn)場觀察和人員訪談等方式。文件評估：評估員在現(xiàn)場評估之前，應(yīng)該對受評估方與信息平安管理活動相關(guān)的所有文件進(jìn)行審查，包括平安方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)書和記錄文件。現(xiàn)場觀察：評估員到現(xiàn)場參觀，可以觀察并獲取關(guān)于現(xiàn)場物理環(huán)境、信息系統(tǒng)的平安操作和各類平安管理活動的第一手資料。人員訪談：與受評估方人員進(jìn)行面談，評估員可以了解其職責(zé)范圍、工作陳述、根本平安意識、對平安管理獲知的程度等信息。評估員進(jìn)行人員訪談時要做好記錄和總結(jié)，必要時要和訪談對象進(jìn)行確認(rèn)。技術(shù)評估：評估員可以采用各種技術(shù)手段，對技術(shù)性控制的效力及符合性進(jìn)行評估。這些技術(shù)性措施包括：自動化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、本地主機審查、滲透測試等。5151評估員檢查工具——檢查列表檢查列表〔Checklist〕是評估員進(jìn)行評估時必備的自用工具，是評估前需準(zhǔn)備的一個重要工作文件。在實施評估之前，評估員將根據(jù)分工情況來準(zhǔn)備各自在現(xiàn)場評估所需的檢查列表，檢查列表的內(nèi)容，取決于評估主題和被評估部門的職能、范圍、評估方法及要求。檢查列表在信息平安管理體系內(nèi)部評估中起著以下重要作用：明確與評估目標(biāo)有關(guān)的抽樣問題；使評估程序標(biāo)準(zhǔn)化，減少評估工作的隨意性和盲目性；保證評估目標(biāo)始終明確，突出重點，防止在評估過程中因迷失方向而浪費時間；更好地控制評估進(jìn)度；檢查列表、評估方案和評估報告一起，都作為評估記錄而存檔。5252檢查列表編寫的依據(jù)，是評估準(zhǔn)那么，也就是信息平安管理標(biāo)準(zhǔn)、組織信息平安方針手冊等文件的要求針對受評估部門的特點，重點選擇某些應(yīng)該格外關(guān)注的信息平安問題信息的收集和驗證的方法應(yīng)該多種多樣，包括面談、觀察、文件和記錄的收集和匯總分析、從其他信息源〔客戶反響、外部報告等〕收集信息等檢查列表應(yīng)該具有可操作性檢查列表內(nèi)容應(yīng)該能夠覆蓋體系所涉及的全部范圍和平安要求如果采用了技術(shù)性評估，可在檢查列表中列出具體方法和工具檢查列表的形式和詳略程度可采取靈活方式檢查列表要經(jīng)過信息平安主管人員審查無誤后才能使用檢查列表編寫本卷須知53風(fēng)險評估技術(shù)工具清單

技術(shù)漏洞掃描工具綠盟漏洞掃描器安信通數(shù)據(jù)庫掃描器

Nessus掃描器RatioanlAppscan5454風(fēng)險評估工程實施過程計劃準(zhǔn)備實施報告跟蹤5555召開首次會議在完成全部評估準(zhǔn)備工作之后，評估小組就可以按照預(yù)先的方案實施現(xiàn)場評估了，現(xiàn)場評估開始于首次會議，評估小組全體成員和受評估方領(lǐng)導(dǎo)及相關(guān)人員共同參加。首次會議由評估組長主持，評估小組要向組織的相關(guān)人員介紹評估方案、具體內(nèi)容、評估方法，并協(xié)調(diào)、澄清有關(guān)問題。召開首次會議時，與會者應(yīng)該做好正式記錄。5656首次會議議程及內(nèi)容57風(fēng)險評估原那么

在風(fēng)險評估前，需要對技術(shù)評估的風(fēng)險進(jìn)行重審。

被評估方應(yīng)在接受技術(shù)評估前對業(yè)務(wù)系統(tǒng)備份。

在技術(shù)掃描過程中，需要系統(tǒng)管理員全程陪同。參考最近一年的風(fēng)險評估記錄.

在遇到異常情況時，及時通知管理員，并且停止評估。

技術(shù)評估安排在對系統(tǒng)影響較小的時間進(jìn)行5858實施現(xiàn)場評估首次會議之后，即可進(jìn)入現(xiàn)場評估?，F(xiàn)場評估按方案進(jìn)行，評估內(nèi)容參照事先準(zhǔn)備好的檢查列表。評估期間，評估員應(yīng)該做好筆記和記錄，這些記錄是評估員提出報告的真憑實據(jù)。記錄的格式可以是“筆記式〞，也可以是“記錄表式〞，一般來說，內(nèi)審活動都應(yīng)該有統(tǒng)一的“現(xiàn)場評估記錄表〞，便于標(biāo)準(zhǔn)化管理。評估進(jìn)行到適當(dāng)階段，評估組長應(yīng)該主持召開評估小組會議，借此了解各個評估員的工作進(jìn)展，提出下一步工作要求，協(xié)調(diào)有關(guān)活動，并對已獲得的評估證據(jù)和評估發(fā)現(xiàn)展開分析和討論。5959對不符合項進(jìn)行描述無論是嚴(yán)重不符合項還是輕微不符合項，評估員都應(yīng)該將其記錄到不符合項