稅務(wù)系統(tǒng)信息安全風(fēng)險評估評估指南

稅務(wù)系統(tǒng)信息安全風(fēng)險評估評估指南稅務(wù)系統(tǒng)信息安全風(fēng)險評估評估指南稅務(wù)系統(tǒng)信息安全風(fēng)險評估評估指南“稅務(wù)系統(tǒng)信息安全風(fēng)險評估指南”編制說明稅務(wù)系統(tǒng)信息安全風(fēng)險評估指南就是為了對全稅務(wù)系統(tǒng)的信息安全風(fēng)險評估工作提供實施的指導(dǎo)，從而統(tǒng)一整個稅務(wù)系統(tǒng)風(fēng)險評估工作的實施辦法和工作流程，產(chǎn)生相同的工作成果，確保各地稅務(wù)系統(tǒng)信息安全風(fēng)險評估工作結(jié)果的可比性。稅務(wù)系統(tǒng)信息安全風(fēng)險評估指南對稅務(wù)系統(tǒng)信息安全風(fēng)險評估的過程、關(guān)鍵點以及工作成果等方面提出了具體的實施方法和產(chǎn)生的文檔類別和內(nèi)容。稅務(wù)系統(tǒng)信息安全風(fēng)險評估的內(nèi)容包括:資產(chǎn)分析，漏洞、脆弱性及弱點評估、威脅評估、影響與可能性分析和系統(tǒng)分析等方面。風(fēng)險評估過程分為三個階段：確定資產(chǎn)的威脅概況、確定基礎(chǔ)設(shè)施風(fēng)險和制定安全策略和計劃。本風(fēng)險評估指南規(guī)定了風(fēng)險評估項目組織、跟進工作等。限定了風(fēng)險評估的前提和分工。本風(fēng)險評估指南共提供了六個附錄，附錄A為術(shù)語表，對本指南內(nèi)的專業(yè)術(shù)語進行解釋，附錄B為調(diào)查問卷，對稅務(wù)系統(tǒng)信息安全風(fēng)險評估的調(diào)查問卷種類和內(nèi)容進行規(guī)定，附錄C為交付文檔范例，確定了稅務(wù)系統(tǒng)信息安全風(fēng)險評估工作需完成的工作文檔，附錄D資產(chǎn)分類清單，對稅務(wù)系統(tǒng)內(nèi)的資產(chǎn)進行了分類，附錄E資產(chǎn)脆弱性清單列舉了各類資產(chǎn)可能存在的脆弱性，附錄F為資產(chǎn)威脅清單，列舉了資產(chǎn)所面臨的威脅。稅務(wù)系統(tǒng)信息安全風(fēng)險評估指南（征求意見稿）〖作者，單位〗〖本頁是封面，按要求制作〗版號：1.0發(fā)布日期：200制定：審核：批準：國家稅務(wù)總局信息中心安全處二〇〇四年六月說明〖關(guān)于本文檔的說明，留空?！侥夸浶畔⑾到y(tǒng)安全風(fēng)險評估指南 1目錄 31 前言 11.1 關(guān)于本文檔 11.2 目標讀者 11.3 文檔結(jié)構(gòu) 21.3.1 相關(guān)標準 21.3.2 相關(guān)文檔 21.4 關(guān)于術(shù)語與縮略語的約定 32 風(fēng)險評估概述 32.1 基本概念 32.2 意義與作用 42.3 過程概述 42.4 工具 52.5 成功的關(guān)鍵因素 52.6 收益 62.7 面臨的挑戰(zhàn) 63 風(fēng)險評估的內(nèi)容 73.1 資產(chǎn)分析 73.1.1 資產(chǎn)定義 73.1.2 資產(chǎn)類別 73.1.3 資產(chǎn)評估 83.1.4 資產(chǎn)評估的目的 83.1.5 資產(chǎn)的重要性 83.1.6 資產(chǎn)級別 93.1.7 評估實例 103.2 漏洞/脆弱性/弱點評估 103.2.1 弱點評估的目的 103.2.2 弱點評估的內(nèi)容 103.2.3 弱點評估手段 113.3 威脅評估 123.3.1 威脅定義 123.3.2 威脅分類 133.3.3 威脅屬性 133.3.4 威脅的獲取方法 143.3.5 威脅評估手段 153.3.6 威脅評估實例 153.4 影響與可能性分析 153.5 系統(tǒng)分析 163.5.1 系統(tǒng)結(jié)構(gòu)及邊界 163.5.2 信息的敏感度評估 163.6 調(diào)查問卷的結(jié)構(gòu) 173.6.1 調(diào)查系統(tǒng)控制 173.6.2 系統(tǒng)確認 173.6.3 目的和評估者信息 173.6.4 信息的決定性 183.7 利用問卷調(diào)查結(jié)果 183.7.1 調(diào)查問卷分析 183.7.2 行動計劃 183.8 綜合風(fēng)險分析 183.8.1 風(fēng)險分析矩陣 193.8.2 風(fēng)險評估層面 203.8.3 風(fēng)險評估實例 203.8.4 ISO17799十個域 203.9 可交付的文檔 213.9.1 信息網(wǎng)絡(luò) 213.9.2 文檔一覽 224 風(fēng)險評估過程 224.1 評估過程 224.1.1 階段1：提取基于資產(chǎn)的威脅概況 224.1.2 階段2：確定基礎(chǔ)設(shè)施漏洞 234.1.3 階段3：制訂安全策略和計劃 234.2 風(fēng)險評估的輸入 244.3 各階段的一般過程 244.3.1 調(diào)查與分析 244.3.2 數(shù)據(jù)/信息收集與處理 244.3.3 撰寫評估報告 244.4 風(fēng)險控制 244.4.1 風(fēng)險控制的方式 244.4.2 風(fēng)險控制措施舉例： 254.5 風(fēng)險評估項目 264.5.1 計劃 264.5.2 監(jiān)控與執(zhí)行 265 風(fēng)險評估人員組織 285.1 評估方人員組織 285.2 被評估方人員組織 296 風(fēng)險評估的跟進工作 316.1 跟進的重要性 316.2 有效的，合格的建議 316.3 委托事項 316.3.1 安全審計師 316.3.2 員工 326.3.3 管理層 326.4 監(jiān)督與跟進 326.4.1 建立監(jiān)督與跟進機制 326.4.2 標識推薦并制定跟進計劃 336.4.3 執(zhí)行主動監(jiān)督與報告 337 風(fēng)險評估的前提與分工 347.1 假設(shè)與限制 347.2 客戶責(zé)任 347.3 服務(wù)資質(zhì) 347.4 安全審計師的職責(zé) 34附錄A術(shù)語表 i附錄B調(diào)查問卷 iv附錄C交付文檔范例 vi附錄D資產(chǎn)分類清單 xiv附錄E資產(chǎn)脆弱性清單 xvi附錄F資產(chǎn)威脅清單 xviiiPAGE35前言關(guān)于本文檔信息安全風(fēng)險評估是信息安全管理的主要內(nèi)容之一。本文檔不覆蓋信息安全管理的每一方面。它介紹了一個關(guān)于信息安全風(fēng)險評估的一般過程。在了解這個過程后，管理層人員、IT經(jīng)理、系統(tǒng)管理員以及其他技術(shù)與運行人員能更好地理解安全風(fēng)險評估。他們應(yīng)該能夠知道需要準備什么、在哪些方面應(yīng)該加以注意、會得到什么樣的結(jié)果。本文檔的目標并不是集中在如何進行風(fēng)險評估，它更側(cè)重于提供一個參考過程來幫助核對由獨立的安全咨詢師與審計師所提供的服務(wù)的覆蓋面、方法論、交付的文檔。目標讀者本指南為那些在其信息系統(tǒng)中支持或?qū)嵤╋L(fēng)險評估的人員提供關(guān)于風(fēng)險評估基礎(chǔ)，無論他們是否有經(jīng)驗，是不是技術(shù)人員。這些人包括：高級管理人員，業(yè)務(wù)的擁有者，那些IT安全預(yù)算的決策者。信息總監(jiān)，確保為其機構(gòu)IT系統(tǒng)部署風(fēng)險管理并為這些IT系統(tǒng)提供安全的人員。負責(zé)最終決策是否允許IT系統(tǒng)的運行的人員。IT安全規(guī)劃經(jīng)理，部署安全規(guī)劃的人員。信息系統(tǒng)安全管理員（ISSO），負責(zé)IT安全的人員。用以支持IT功能的系統(tǒng)軟、硬件這些IT系統(tǒng)的擁有者。存儲的數(shù)據(jù)，進程以及在IT系統(tǒng)中傳輸?shù)男畔⒌膿碛姓摺Ｘ撠?zé)IT生產(chǎn)的業(yè)務(wù)或功能管理人員。管理IT系統(tǒng)安全的技術(shù)支持人員（如，網(wǎng)絡(luò)，系統(tǒng)，應(yīng)用以及數(shù)據(jù)庫管理員，計算機專業(yè)人員，數(shù)據(jù)安全分析人員）。開發(fā)并維護可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的IT系統(tǒng)和應(yīng)用程序員。測試并確保IT系統(tǒng)和數(shù)據(jù)完整性的IT類的保險人員。審計IT系統(tǒng)的信息系統(tǒng)審計員。在風(fēng)險管理中支持客戶的IT顧問。文檔結(jié)構(gòu)本文檔展示了關(guān)于信息安全風(fēng)險評估的一個通用框架。它包括下面的內(nèi)容：風(fēng)險評估概述風(fēng)險評估的內(nèi)容風(fēng)險評估過程風(fēng)險評估人員組織風(fēng)險評估的跟進工作資質(zhì)要求與職責(zé)劃分相關(guān)標準以下列出一些國際、國內(nèi)關(guān)于信息安全風(fēng)險評估的相關(guān)標準和規(guī)范。如：國際標準ISO17799ISO15408/CC2.1ISO13335SSE-CMMRFC2196國家標準GB/T18336-2001行業(yè)通用標準BS7799-2AS/NZS4360CVE或CN-CVE參考文獻C.JAlberts，S.G.Behrens，R.D.Pethia，andW.R.Wilson.Operationallycriticalthreat，asset，andvulnerabilityevaluation(octave)framework，version1.0.Technicalreport，CarnegieMellonUniversity，SoftwareEngineeringInstitute，Pittsburgh，PA，June1999.Australian/NewZealandStandardAS/NZS4360:1999:RiskManagement.Strath_eld:StandardsAustralia.CORASIST-2000-25031WebSite.http://www.nr.no/coras.24February2003.CommonCriteria.CommonCriteriaforInformationTechnologySecurityEvaluation，1999./.24February2003.ISO/IEC13335:InformationTechnology-GuidelinesforthemanagementofITSecurity.http://www.iso.ch.ISO/IEC17799:2000Informationtechnology-Codeofpractiseforinformationsecuritymanagement.關(guān)于術(shù)語與縮略語的約定風(fēng)險評估：在本文中，風(fēng)險評估特指“信息系統(tǒng)安全風(fēng)險評估”。資產(chǎn)：在本文中，資產(chǎn)特指“信息系統(tǒng)本身作為固定資產(chǎn)的價值與它所承載的無形資產(chǎn)（數(shù)據(jù)、業(yè)務(wù)連續(xù)性等）的價值”。風(fēng)險評估概述在本節(jié)中，介紹了風(fēng)險評估的相關(guān)概念、一般過程、相關(guān)工具、成功的關(guān)鍵因素、收益以及面臨的挑戰(zhàn)?；靖拍铒L(fēng)險風(fēng)險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機構(gòu)的損害。因此，風(fēng)險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的弱點直接相關(guān)。威脅INFOSEC-99將威脅定義為“能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改和/或拒絕服務(wù)對系統(tǒng)造成潛在危害的任何環(huán)境或事件”。脆弱性系統(tǒng)資產(chǎn)在相關(guān)環(huán)境中體現(xiàn)出來的，可以被威脅利用從而引發(fā)資產(chǎn)或商業(yè)目標損害的弱點和漏洞。風(fēng)險的屬性風(fēng)險有兩個屬性：后果（Consequence）和可能性（Likelihood）。評價風(fēng)險對企業(yè)的影響，也就是對風(fēng)險的評估賦值是對上述兩個屬性權(quán)衡作用的結(jié)果。后果是指風(fēng)險帶來的損失，可以用損失占該資產(chǎn)價值的百分比來度量。可能性指風(fēng)險發(fā)生的概率，以百分比來表示。風(fēng)險評估風(fēng)險評估是對信息系統(tǒng)進行資產(chǎn)分析，并針對重要的資產(chǎn)進行威脅、脆弱性的可能性調(diào)查，從而估計對業(yè)務(wù)產(chǎn)生的影響，提供適當(dāng)?shù)姆椒▉砜刂骑L(fēng)險。從上述的定義可以看出，風(fēng)險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風(fēng)險、進而得出整個評估目標的風(fēng)險。意義與作用風(fēng)險管理是管理者權(quán)衡保護措施的運行和經(jīng)濟成本與獲得的收益之間關(guān)系的一個過程。這個過程并不是IT行業(yè)所獨有的，實際上它遍及我們?nèi)粘Ｉ钪行枰龀鰶Q定的任何事情。進行風(fēng)險管理的最終目的就是要將其最小化，這也是在當(dāng)今各行各業(yè)的IT系統(tǒng)應(yīng)用中需要實施信息安全措施的根本原因。所有與安全性相關(guān)的活動都是風(fēng)險管理的組成部分?？梢哉f，風(fēng)險管理貫穿于系統(tǒng)開發(fā)生命周期（SystemDevelopmentLifeCycle,SDLC）的整個過程，即初始階段、開發(fā)/獲取階段、實施階段、運行/維護階段、優(yōu)化配置階段。風(fēng)險評估則是風(fēng)險管理的基礎(chǔ)，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個SDLC中有關(guān)風(fēng)險級別的過程。這個過程的結(jié)果是殘留風(fēng)險和這個風(fēng)險是否達到可接受水平的一個明確界定，或者是一個是否應(yīng)當(dāng)實施額外的安全控制以進一步降低風(fēng)險的結(jié)論。過程概述風(fēng)險評估的過程分為3個階段共8個過程。階段1：提取基于資產(chǎn)的威脅概況過程1：確定高級管理層的認識過程2：確定運作管理層的認識過程3：確定全體職員的認識過程4：確定威脅輪廓階段2：確定基礎(chǔ)設(shè)施漏洞過程5：找出關(guān)鍵組件過程6：評估關(guān)鍵組件階段3：制訂安全策略和計劃過程7：實施風(fēng)險分析過程8：制訂保護策略工具調(diào)查問卷調(diào)查問卷（Questionnaire）由一組相關(guān)的封閉式或開放式問題組成，用于在評估過程中獲取信息系統(tǒng)在各個層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。遠程漏洞掃描工具遠程漏洞掃描工具（Scanner）是一個或一組自動化工具，用于遠程檢測系統(tǒng)可能存在的漏洞。人工審計檢查列表檢查列表（Checklist）用于人工檢查系統(tǒng)存在的各種安全弱點/脆弱性，它針對不同的系統(tǒng)列出待檢查的條目，以保證人工審計結(jié)果數(shù)據(jù)的完備性。安全風(fēng)險評估信息庫安全風(fēng)險評估信息庫用于存儲與處理在風(fēng)險評估過程中收集到的信息。成功的關(guān)鍵因素風(fēng)險評估過程總體來說是一個需要評估方與被評估方共同參與，便于被評估方理好地風(fēng)險管理。因此，風(fēng)險評估的成功需要雙方的良好協(xié)作。從某種程度上來說，被評估方的參與風(fēng)險評估過程的態(tài)度決定是否能取得成功。在風(fēng)險評估過程中，需要考慮以下方面：獲得高級管理的支持和參與確定重點定義過程業(yè)務(wù)和技術(shù)專家積極參與責(zé)任到人限定單次評估的范圍歸檔和維護合理利用工具考慮收益收益認識風(fēng)險通過風(fēng)險評估過程，被評估方能從資產(chǎn)的角度對風(fēng)險有全面、清晰的認識，通過相應(yīng)的分析與統(tǒng)計，這些結(jié)果能在某種程度加以量化，從而為風(fēng)險管理的后續(xù)過程提供決策支持。減免風(fēng)險在風(fēng)險評估過程的跟進行動中，被評估方有機會采取合適的風(fēng)險控制方式來減免風(fēng)險。保障業(yè)務(wù)連續(xù)性風(fēng)險評估是風(fēng)險管理的一個重要過程，風(fēng)險管理的最終目的之一還在于保障被評估方的業(yè)務(wù)連續(xù)性。面臨的挑戰(zhàn)可靠地評估信息安全風(fēng)險比評估其他類型的風(fēng)險要困難得多，因為信息安全風(fēng)險因素相關(guān)的可能性和花費的數(shù)據(jù)非常有限，也因為風(fēng)險因素在不斷地改變。例如：1、風(fēng)險因素方面的數(shù)據(jù)非常有限，如一個有經(jīng)驗的黑客攻擊的可能性，利用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失2、有些損失，象失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化3、盡管可以了解需要加強控制的硬件和軟件的成本，但常常不可能精確地估計相關(guān)的非直接的成本，如執(zhí)行新的控制時可能會導(dǎo)致生產(chǎn)力的喪失4、即使獲得了精確信息，但信息很快就會過期，因為技術(shù)發(fā)展很快，入侵者可獲得更先進的工具可靠性和即時數(shù)據(jù)的缺乏，使我們常常無法精確定義哪一個信息安全風(fēng)險是最重要的，也無法比較哪一個工具是最有效的。由于這些限制，機構(gòu)選擇采用的方法是否能有效地從風(fēng)險評估中受益，同時又避免花費很大的精力去開發(fā)看似精確卻可靠性成問題的工具，顯得非常重要。風(fēng)險評估的內(nèi)容風(fēng)險評估的主要內(nèi)容包括三個方面：基于資產(chǎn)的估值與分析、資產(chǎn)本身存在的脆弱性的識別與分析、資產(chǎn)受到的威脅識別以及它的影響與可能性分析。資產(chǎn)分析資產(chǎn)定義資產(chǎn)是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護價值。資產(chǎn)類別依據(jù)資產(chǎn)的屬性，主要分為以下幾個類別：信息資產(chǎn)信息資產(chǎn)主要包括各種設(shè)備以及數(shù)據(jù)庫系統(tǒng)中存儲的各類信息、設(shè)備和系統(tǒng)的配置信息、用戶存儲的各類電子文檔以及各種日志等等，信息資產(chǎn)也包括各種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。軟件資產(chǎn)軟件資產(chǎn)包括各種專門購進的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等）、隨設(shè)備贈送的各種配套軟件、以及自行開發(fā)的各種業(yè)務(wù)軟件等。物理資產(chǎn)物理資產(chǎn)主要包括各種主機設(shè)備（比如各類PC機、工作站、服務(wù)器等）、各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號設(shè)備等）、各種安全設(shè)備（比如防火墻設(shè)備、入侵檢測設(shè)備等）、數(shù)據(jù)存儲設(shè)備以及各類基礎(chǔ)物理設(shè)施（比如辦公樓、機房以及輔助的溫度控制、濕度控制、防火防盜報警設(shè)備等）。人員資產(chǎn)人員資產(chǎn)是各類資產(chǎn)中很難有效衡量甚至根本無法衡量的一部分，它主要包括企業(yè)內(nèi)部各類具備不同綜合素質(zhì)的人員，包括各層管理人員、技術(shù)人員以及其他的保障與維護人員等。資產(chǎn)評估資產(chǎn)評估是與風(fēng)險評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評估通過分析評估對象——資產(chǎn)的各種屬性（包括經(jīng)濟影響、時間敏感性、客戶影響、社會影響和法律爭端等方面），進而對資產(chǎn)進行確認、價值分析和統(tǒng)計報告，簡單的說資產(chǎn)評估是一種為資產(chǎn)業(yè)務(wù)提供價值尺度的行為。資產(chǎn)評估的目的資產(chǎn)評估的目的就是要對企業(yè)的歸類資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護價值和需要的保護層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進行資產(chǎn)管理，更有針對性的進行資產(chǎn)保護，最具策略性地進行新的資產(chǎn)投入。資產(chǎn)的重要性按照what-if模型，資產(chǎn)的重要性可以分為經(jīng)濟影響、時間敏感性、客戶影響、社會影響和法律影響。級別定義經(jīng)濟影響(F)時間敏感性(T)對客戶影響(C)社會影響(S)法律影響（L）導(dǎo)致直接經(jīng)濟損失（￥）可接受的中斷時間不滿意的客戶數(shù)量會引起如下機構(gòu)的注意將涉及不同程度的法律問題510,000,000以上1小時以下50,000以上國家或國際的媒體、機構(gòu)被迫面對復(fù)雜的法律訴訟，案情由級別相當(dāng)高的法院審理，控方提出的賠付數(shù)額巨大41,000,001-10,000,0001-24小時10,001-50,000省、市級媒體、機構(gòu)提交更高級別法院立案，訴訟過程漫長3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部門會有人就法律問題提出交涉150，000以下10天以上100以下幾人或工作組幾乎沒有法律問題資產(chǎn)級別依據(jù)資產(chǎn)的潛在價值以及資產(chǎn)對時間的敏感性、對客戶的影響、資產(chǎn)的社會影響和可能造成的法律爭端等各個方面，資產(chǎn)按重要性可分為五類：超核心資產(chǎn)超核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟損失一般在1000萬元以上；超核心資產(chǎn)的時間敏感性是非常強的，一般來說，在其運行過程中可接受的中斷時間是在一個小時以內(nèi)的，有的甚至只能是幾秒鐘；超核心資產(chǎn)癱瘓對客戶和社會造成的影響都是十分巨大的，可能會導(dǎo)致5萬以上的客戶不滿意，并引起國家甚至國際媒體的廣泛關(guān)注，而且超核心資產(chǎn)癱瘓將會使得企業(yè)被迫面對復(fù)雜的法律訴訟，并且案情將有級別相當(dāng)高的法院審理，控方提出的賠付數(shù)額異常巨大。核心資產(chǎn)核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟損失一般在100萬元至1000萬元之間；核心資產(chǎn)的時間敏感性同樣是非常強的，一般其運行過程中可接受的中斷時間在１-24小時之內(nèi)；核心資產(chǎn)癱瘓對客戶和社會造成的影響很巨大，可能會導(dǎo)致數(shù)萬客戶的不滿意，并引起省市級媒體和機構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法律爭端可能提交很高級別的法院立案，訴訟過程可能很漫長。高級資產(chǎn)高級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失一般在10萬元至100萬元之間；高級資產(chǎn)的時間敏感性很強，可接受的中斷時間大概在1-3天之間；高級資產(chǎn)的癱瘓可能導(dǎo)致數(shù)千客戶的不滿意，其造成的社會影響主要集中在企業(yè)或公司的內(nèi)部，但是高級資產(chǎn)的癱瘓引起的法律爭端同樣會正式提交法院立案審理。中級資產(chǎn)中級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失一般在5-10萬元之間，其時間敏感性一般，可接受的中斷時間一般在3-10天左右；中級資產(chǎn)的癱瘓可能造成數(shù)百客戶的不滿意，造成的社會影響主要集中在企業(yè)或公司的某個部門內(nèi)部，但是中級資產(chǎn)的癱瘓有一定的可能會引出法律爭端。一般資產(chǎn)一般資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失一般少于5萬元，其時間敏感性很弱，可接受的中斷時間在10天以上；一般資產(chǎn)的癱瘓最多可能導(dǎo)致數(shù)十客戶的不滿意，而其造成的社會影響更是微乎其微，幾乎只是在幾個人或工作組內(nèi)部，而且?guī)缀醪粫鹑魏蔚姆蔂幎恕Ｔu估實例一臺Cisco7513路由器，是某省省網(wǎng)出口核心，IP地址為7，OS版本為11.1（22）CC，購入單價1,100,810元。由于是全省電信IP網(wǎng)的核心路由，不允許發(fā)生中斷（中斷時間限制在秒級），一旦發(fā)生故障將造成約10,000,000元的經(jīng)濟損失，導(dǎo)致全省用戶無法訪問（用戶數(shù)>5萬），并導(dǎo)致國家及國際上的不良影響，并可能遭受客戶的控訴，帶來巨額賠償。資產(chǎn)屬性等級經(jīng)濟影響F5（>10,000,000元）時間敏感性T5（<1小時）客戶影響C5（>5萬）社會影響S5（引起國家及國際影響）法律影響L5（導(dǎo)致對客戶損失的巨額賠償）資產(chǎn)等級＝5漏洞/脆弱性/弱點評估弱點評估的目的弱點評估的目的是給出有可能被潛在威脅源利用的系統(tǒng)缺陷或弱點列表。所謂威脅源是指能夠通過系統(tǒng)缺陷和弱點對系統(tǒng)安全策略造成危害的主體。弱點評估的信息通常通過控制臺評估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等手段收集和獲取。弱點評估的內(nèi)容技術(shù)漏洞的評估技術(shù)漏洞主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計和實現(xiàn)缺陷。技術(shù)漏洞的標號以CVE漏洞列表的編號為標準；如果存在某些CVE沒有標號的漏洞，則以國際通用的BUGTRAGID號為標號；如果以上兩種編號都無法滿足標號要求，則以本次統(tǒng)一的ISS漏洞入庫編號中關(guān)于無法準確定義的漏洞編號為準。非技術(shù)漏洞的評估非技術(shù)性漏洞主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問控制、組織安全、運行安全、系統(tǒng)開發(fā)和維護、業(yè)務(wù)連續(xù)性管理、遵循性等方面存在的不足或者缺陷。弱點評估手段弱點評估可以采取多種手段，下面建議了常用的四種。即：網(wǎng)絡(luò)掃描主機審計網(wǎng)絡(luò)審計滲透測試其中，需要注意滲透測試的風(fēng)險較其它幾種手段要大得多，在實際評估中需要斟酌使用。網(wǎng)絡(luò)掃描項目名稱漏洞掃描評估簡要描述利用掃描工具檢查整個網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況達成目標發(fā)掘網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，提出漏洞修補建議主要內(nèi)容采用多種漏洞掃描系統(tǒng)軟件實現(xiàn)方式大規(guī)模的漏洞掃描工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評估結(jié)果報告，所需時間80臺/工作日參加人員評估小組、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員主機審計項目名稱主機審計簡要描述作為網(wǎng)絡(luò)掃描的輔助手段，登陸系統(tǒng)控制臺檢查系統(tǒng)的安全配置情況達成目標檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容操作系統(tǒng)控制臺審計數(shù)據(jù)庫系統(tǒng)控制臺審計實現(xiàn)方式手工登錄操作工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)抽樣主機審計報告所需時間10臺/工作日參加人員評估小組、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員網(wǎng)絡(luò)審計項目名稱網(wǎng)絡(luò)安全審計簡要描述IDS作為一個實時入侵檢測工具，是安全威脅信息收集過程中的一種重要手段，其數(shù)據(jù)是網(wǎng)絡(luò)的整體安全的重要的參考依據(jù)之一。達成目標檢測網(wǎng)絡(luò)的安全運行情況，發(fā)掘配置隱患主要內(nèi)容入侵檢測系統(tǒng)在關(guān)鍵點部署入侵檢測系統(tǒng)試運行入侵檢測系統(tǒng)報告匯兌及分析實現(xiàn)方式在網(wǎng)絡(luò)關(guān)鍵節(jié)點部署IDS，集中監(jiān)控工作條件每個部署點2-3人工作環(huán)境，1臺Win2000PC作為IDS控制臺，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險評估項目IDS分析報告所需時間5工作日參加人員評估小組、網(wǎng)絡(luò)管理人員滲透測試項目名稱滲透測試簡要描述利用人工模擬黑客攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)的漏洞達成目標檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容后門利用測試DDos強度測試強口令攻擊測試實現(xiàn)方式全手工實現(xiàn)工作條件2-3人工作環(huán)境，電源和網(wǎng)絡(luò)環(huán)境工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險評估項目白客報告所需時間3工作日參加人員評估小組威脅評估威脅定義威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對企業(yè)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用企業(yè)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯誤、以及設(shè)施/設(shè)備錯誤等。威脅分類對安全威脅進行分類的方式有多種多樣，最常見的分類方法主要有根據(jù)安全威脅的性質(zhì)進行劃分和對安全威脅產(chǎn)生的來源和原因進行劃分。參照國際通行做法和專家經(jīng)驗，本項目中我們將采用上述兩種方法進行安全威脅分析。根據(jù)威脅的性質(zhì)和類型劃分分類一將嚴格參照ISO-15408/GB/T-18336中的定義對安全威脅的性質(zhì)和類型進行劃分，可以分為以下幾個方面：威脅分類威脅描述Backdoor各種后門和遠程控制軟件，例如BO、Netbus等BruteForce通過各種途徑對密碼進行暴力破解Daemons服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點，例如amd,nntp等Firewalls各種防火墻及其代理產(chǎn)生的安全弱點，例如GauntletFirewallCyberPatrol內(nèi)容檢查弱點InformationGathering各種由于協(xié)議或配置不當(dāng)造成信息泄露弱點，例如finger或rstat的輸出NTRelated微軟公司NT操作系統(tǒng)相關(guān)安全弱點ProtocolSpoofing協(xié)議中存在的安全弱點，例如TCP序列號猜測弱點Management與管理相關(guān)的安全弱點根據(jù)威脅產(chǎn)生的來源劃分參照BS-7799/ISO-17799中的定義對安全威脅的產(chǎn)生來源和原因進行劃分，可以分為以下幾個方面：IDThreatByDescription1非授權(quán)故意行為Deliberateunauthorizedactionsbypeople2人為錯誤Errorsbypeople3軟件、設(shè)備、線路故障Software/equipment/linefailure4不可抗力ActsofGod威脅屬性威脅具有兩個屬性：可能性（Likelihood）、影響（Impact）。進一步，可能性和影響可以被賦予一個數(shù)值，來表示該屬性。參照下表。表一：可能性屬性賦值參考表賦值簡稱說明4VH不可避免（>90%）3H非常有可能（70%~90%）2M可能（20%~70%）1L可能性很?。?lt;20%）0N不可能（~0%）表二：影響賦值參考表賦值簡稱說明4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（>75%）3H資產(chǎn)遭受重大損失（50%~75%）2M資產(chǎn)遭受明顯損失（25%~50%）1L損失可忍受（<25%）0N損失可忽略（~0%）可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點。而影響也依賴于具體資產(chǎn)的價值、分類屬性。并且，這兩個屬性都和時間有關(guān)系，也就是說，具體的威脅評估結(jié)果會隨著時間的變動而需要重新審核。在威脅評估中，評估者的專家經(jīng)驗非常重要。參照下面的矩陣進行威脅賦值：表三：威脅分析矩陣影響可能性可忽略0可忍受1明顯損失2重大損失3全部損失4不可避免401234非?？赡?01233可能201122可能性很小100111不可能000001威脅的獲取方法威脅獲取的方法有：滲透測試（PenetrationTesting）、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析等。評審員（專家）可以根據(jù)具體的評估對象、評估目的選擇具體的安全威脅獲取方式。威脅發(fā)現(xiàn)方法列表如下：IDFindModeDescription1訪談通過和資產(chǎn)所有人、負責(zé)管理人員進行訪談2人工分析根據(jù)專家經(jīng)驗，從已知的數(shù)據(jù)中進行分析3IDS通過入侵監(jiān)測系統(tǒng)在一段時間內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事件來獲得數(shù)據(jù)4滲透測試通過滲透測試方法來測試弱點，證實威脅5安全策略文檔分析安全策略文檔分析6安全審計依照IS017799,通過一套審計問題列表問答的方式來分析弱點7事件記錄對已有歷史安全事件記錄進行分析威脅評估手段歷史事件審計網(wǎng)絡(luò)威脅評估系統(tǒng)威脅評估業(yè)務(wù)威脅評估威脅評估實例某資產(chǎn)（服務(wù)類）面臨攻擊和訪問類威脅；同時存在遠程緩沖區(qū)溢出弱點，該弱點可以導(dǎo)致遠程攻擊者直接獲得服務(wù)所在宿主機的超級用戶權(quán)限；該弱點的利用程序（Exploit）于互聯(lián)網(wǎng)上面發(fā)表已經(jīng)多個星期，幾乎可以認為所有攻擊者都可以得到該利用程序；該攻擊利用程序運行簡單，可以認為大多數(shù)攻擊者都可以成功地執(zhí)行該利用程序；該資產(chǎn)當(dāng)前的安全控制中，沒有對該弱點的保護；所以可以認為該資產(chǎn)面臨的威脅的影響為VH（資產(chǎn)全部損失）、可能性為H（非常有可能）。整體上，資產(chǎn)處于高度威脅之中。影響與可能性分析風(fēng)險也存在兩個屬性：后果（Consequence）和可能性（Likelihood）。最終風(fēng)險對企業(yè)的影響，也就是對風(fēng)險的評估賦值是對上述兩個屬性權(quán)衡作用的結(jié)果。不同的資產(chǎn)面臨的主要威脅各不相同。而隨著威脅可以利用的、資產(chǎn)存在的弱點數(shù)量的增加會增加風(fēng)險的可能性，隨著弱點類別的提高會增加該資產(chǎn)面臨風(fēng)險的后果。在許多情況下，某資產(chǎn)風(fēng)險的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆弱性的函數(shù)，而風(fēng)險的后果是資產(chǎn)的價值和威脅的影響的函數(shù)。目前采用的算式如下：風(fēng)險值=資產(chǎn)價值×威脅影響×威脅可能性×資產(chǎn)弱點等級從資產(chǎn)面臨的若干個子風(fēng)險中，評估者從自己的經(jīng)驗出發(fā)得出該資產(chǎn)面臨的整體風(fēng)險。系統(tǒng)分析系統(tǒng)結(jié)構(gòu)及邊界網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險評估中對業(yè)務(wù)系統(tǒng)安全性進行全面了解的基礎(chǔ)，一個業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個業(yè)務(wù)系統(tǒng)評估的重要環(huán)節(jié)。對評估對象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Internet接入、地理分布方式和網(wǎng)絡(luò)管理)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓撲，對于成功地實施基于網(wǎng)絡(luò)的風(fēng)險管理方案是很關(guān)鍵的。網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到：改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要提供有關(guān)擴充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息幫助用戶降低風(fēng)險,改善網(wǎng)絡(luò)運行效率,提高網(wǎng)絡(luò)的穩(wěn)定性確保網(wǎng)絡(luò)系統(tǒng)的安全運行對網(wǎng)絡(luò)環(huán)境、性能、故障和配置進行檢查信息的敏感度評估信息是一種重要的無形資產(chǎn)，它與有形資產(chǎn)一起構(gòu)成資產(chǎn)的全體。對于信息資產(chǎn)的保護首先需要進行分級處理，即按信息的敏感度來劃分。因此，信息的敏感度評估可以大致劃分為如下步驟：調(diào)查是否對數(shù)據(jù)根據(jù)其敏感程度進行了必要的分級分級是否合理不同敏感程度的數(shù)據(jù)是否得到了適當(dāng)?shù)谋Ｗo是否定義了數(shù)據(jù)泄漏或破壞的事后處理措施調(diào)查問卷的結(jié)構(gòu)調(diào)查問卷包括三部分：封面目錄，問題和注釋。調(diào)查系統(tǒng)可以從描述被評估的主要應(yīng)用程序和通用支持系統(tǒng)或一組相互關(guān)聯(lián)的系統(tǒng)開始。調(diào)查系統(tǒng)控制所有完成的調(diào)查問卷都應(yīng)該根據(jù)機構(gòu)政策決定的敏感性程度來評論，處理和控制。要注意到的是，包含在完成調(diào)查問卷中的信息能很容易描述一個系統(tǒng)或是一組系統(tǒng)容易受到攻擊的地方。系統(tǒng)確認調(diào)查問卷的封面是由被評估系統(tǒng)的名稱和主題開始的。如NIST特別出版物800-18中所提到的，每一個主要應(yīng)用程序或普遍支持系統(tǒng)都應(yīng)該被安排一個唯一的名稱/標志符。為每一個系統(tǒng)安排唯一的標志符確立和系統(tǒng)相適應(yīng)的安全需要，還有助于分配的資源能夠被充分的利用。在很多情況下，主要應(yīng)用程序和一般支持系統(tǒng)包括互相關(guān)聯(lián)的系統(tǒng)?；ハ嚓P(guān)聯(lián)的系統(tǒng)都應(yīng)該被列出來。一旦評估完成，就應(yīng)該做一個關(guān)于邊界控制是否起作用的判定，并且把它記錄在封皮目錄中。邊界控制是評估的一部分，如果邊界控制不合適，對于相互關(guān)聯(lián)系統(tǒng)的評估也會不合適。在系統(tǒng)名稱和題目下面的橫線上需要評估員寫上系統(tǒng)類型，（普遍支持還是主要應(yīng)用）。如果一個政府機構(gòu)有新增設(shè)的系統(tǒng)樣式或是系統(tǒng)類型，也就是說決定性目標或者非決定性目標。表單需要重新指定來包含它們。目的和評估者信息評估的目的和對象應(yīng)該是確定的。例如，評估進行了很多細節(jié)檢查要得到一個高級別的系統(tǒng)安全指示或是為了完善行動計劃增強系統(tǒng)的徹底性和可信度。名字，題目和從事評估的機構(gòu)也要被列出來，機構(gòu)應(yīng)該重新制定相應(yīng)的替代頁。評估開始和完成時候的數(shù)據(jù)也要列出來。完成評估所需要的時間是可變的。完成評估所需要的資源和時間取決于系統(tǒng)的大小和復(fù)雜程度，系統(tǒng)和用戶數(shù)據(jù)的親和性，以及評估員可以利用多少信息進行評估。例如，一個系統(tǒng)進行了廣泛的測試，認證，和證據(jù)資源的自我評估，在以后的評估中就可以很容易把他作為主線使用和服務(wù)。如果一個系統(tǒng)只經(jīng)過有限的測試和只有很好的證據(jù)資源，完成調(diào)查系統(tǒng)則需要更長的時間。信息的決定性由程序員和系統(tǒng)所有者決定的信息的敏感級別應(yīng)該在調(diào)查表單中的表格形成文件。如果一個機構(gòu)設(shè)計了它們自己的判定系統(tǒng)的決定性或是敏感性的方法，就要用機構(gòu)的決定性或是敏感性的類型代替表格。文件敏感性的程度是建立在支持高風(fēng)險操作系統(tǒng)要比支持低風(fēng)險操作系統(tǒng)有更多嚴格控制的基礎(chǔ)上的。利用問卷調(diào)查結(jié)果調(diào)查問卷分析完成評估的人員也可以處理對完成的調(diào)查問卷的分析工作。和系統(tǒng)很類似，支持文件，評估結(jié)果，和評估者下一步要做的也是一個總結(jié)了調(diào)查結(jié)果的分析。一個集中的機構(gòu)，比如說，一個政府機構(gòu)信息系統(tǒng)安全程序辦公室也可以處理對存在的支持文件的分析工作。分析結(jié)果將寫在行動計劃中，而且為了反映每一個控制對象和手法的決策，也應(yīng)該創(chuàng)建或是更新系統(tǒng)安全計劃。行動計劃一個決定性因素是如何被應(yīng)用的，也就是說，具體步驟的記錄，設(shè)備的安裝調(diào)試和員工的培訓(xùn)都應(yīng)該被納入到行動計劃的檔案管理中。行動計劃必須包括計劃數(shù)據(jù)，資源分配，和補充的復(fù)查以保證修改后的行動能起作用。在找出系統(tǒng)弱點的行動計劃的狀況盒子員需要等方面，還需要遵循以前管理員的經(jīng)驗。綜合風(fēng)險分析從風(fēng)險的定義可以看出，風(fēng)險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風(fēng)險、進而得出整個評估目標的風(fēng)險。安全風(fēng)險評估需要明確：需要保護的資源保護這些資源免除哪些威脅威脅方威脅的可能性威脅所造成的（直接）損失消除威脅所需消耗的資源風(fēng)險模型如下：風(fēng)險分析矩陣可以根據(jù)風(fēng)險信息和數(shù)據(jù)，對風(fēng)險分析予以不同程度的改進。視情況而定，風(fēng)險分析可以是定性分析、半定量分析或定量分析，或者是這些分析的結(jié)合。如果按遞升次序?qū)⑦@些分析的復(fù)雜性和成本加以排列的話，將會是：定性分析、半定量、定量。實際上，定性分析往往首先被采用，來得到風(fēng)險程度的總的提示。根據(jù)半定量分析方法，來獲得總體風(fēng)險程度。采用下面的賦值矩陣來獲得最終的風(fēng)險風(fēng)險程度和措施數(shù)值符號含義建議處置、措施備注128-256E極度風(fēng)險要求立即采取措施：避免？轉(zhuǎn)移？減??？需要具體資產(chǎn)信息64-127H高風(fēng)險需要高級管理部門的注意：避免？轉(zhuǎn)移？減小？需要具體資產(chǎn)信息4-63M中等風(fēng)險必須規(guī)定管理責(zé)任：避免？接受？轉(zhuǎn)移？減小？需要具體資產(chǎn)信息0-3L低風(fēng)險用日常程序處理：避免？接受？轉(zhuǎn)移？減?。啃枰唧w資產(chǎn)信息風(fēng)險評估層面技術(shù)風(fēng)險評估資產(chǎn)風(fēng)險評估系統(tǒng)風(fēng)險評估業(yè)務(wù)風(fēng)險評估管理風(fēng)險評估風(fēng)險評估實例IOS12.0-r1-s-shsh-1（服務(wù)類）經(jīng)過資產(chǎn)評估被賦值（3.7：很高價值）；面臨的威脅之為：未授權(quán)的惡意的路由更新,路由更新欺詐；存在較高等級弱點（3）：BGP和IS-IS沒有進行neighbourauthentication；綜合各種因素，威脅可能性被賦值為（2）；威脅的影響被賦值為（3）；按照前述算法可以得出：風(fēng)險值＝3.7x3.0x2.0x3=66.6風(fēng)險后果=3.7x3.0=11.1風(fēng)險可能性=2.0x3=6整體風(fēng)險最終被賦值：66.6，從前面的風(fēng)險矩陣可以查得該資產(chǎn)處于高風(fēng)險之中。建議立即采取措施，進行“避免/轉(zhuǎn)移/減小”等風(fēng)險處置。ISO17799十個域安全策略安全組織資產(chǎn)分類和控制人員安全物理與環(huán)境的安全通訊與操作的安全訪問控制系統(tǒng)開發(fā)與維護業(yè)務(wù)連續(xù)性管理遵循性可交付的文檔信息網(wǎng)絡(luò)《遠程風(fēng)險評估報告》，包括以下內(nèi)容。1)網(wǎng)絡(luò)及系統(tǒng)漏洞統(tǒng)計歸納分析，按設(shè)備種類（網(wǎng)絡(luò)設(shè)備、服務(wù)器、其他主機）進行總結(jié)歸納，并給出圖形化的分析結(jié)果，并按IP地址給出具體的漏洞列表。2)給出詳細的漏洞信息描述，包含所有已知漏洞的名稱、描述、風(fēng)險級別、演變過程、受影響系統(tǒng)、危害、詳細的解決辦法和操作步驟等?！侗镜仫L(fēng)險評估報告》，包括以下內(nèi)容：1)資產(chǎn)評估，至少包含以下資產(chǎn)的評估：信息資產(chǎn)、物質(zhì)資產(chǎn)、軟件資產(chǎn)、服務(wù)、設(shè)備、人員。2)漏洞評估，至少包括以下方面的漏洞分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略。3)威脅評估，至少包括以下方面的威脅分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管實現(xiàn)方式、計費實現(xiàn)方式、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略。4)風(fēng)險評估，說明風(fēng)險計算方法，至少包括以下方面的風(fēng)險分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管實現(xiàn)方式、計費實現(xiàn)方式、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略?！栋踩呗越ㄗh》：根據(jù)網(wǎng)絡(luò)安全現(xiàn)狀，提供安全策略建議，要求至少包括如下方面的建議：人員組織、安全管理（包括工程建設(shè)期間）、訪問控制、網(wǎng)絡(luò)管理、數(shù)據(jù)安全、緊急響應(yīng)。請應(yīng)答方說明策略制訂、修改的依據(jù)，供需求方參考?！栋踩鉀Q方案建議》：對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)提出全面的安全解決方案建議，至少包括如下方面：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理（包括工程建設(shè)期間）制度、安全策略。要求對所建議的方案進行投資估算，并說明所提供方案對現(xiàn)有網(wǎng)絡(luò)的改動情況，對服務(wù)和性能的影響程度。如需使用安全產(chǎn)品，請描述所需產(chǎn)品的功能和性能要求，但不能限定產(chǎn)品的廠家和型號。文檔一覽《資產(chǎn)評估部分》《漏洞評估部分》《威脅評估部分》《風(fēng)險評估部分》《安全策略建議部分》《安全解決方案部分》風(fēng)險評估過程風(fēng)險評估的過程也是圍繞這三個方面來展開，經(jīng)歷調(diào)查與分析、數(shù)據(jù)/信息收集與處理、撰寫評估報告三個階段。此外，風(fēng)險評估通常還包括一個非常重要的跟進過程，在這個過程中根據(jù)風(fēng)險評估的結(jié)果給出安全建設(shè)方面的建議并監(jiān)督執(zhí)行。評估過程評估過程分為3個階段共8個過程。階段1：提取基于資產(chǎn)的威脅概況確定高級管理層的認識(P1)目的：明確企業(yè)高層管理人員對企業(yè)重要資產(chǎn)的認識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護措施以及和保護該資產(chǎn)相關(guān)的問題。人員：風(fēng)險評估小組以及企業(yè)高層管理人員確定運作管理層的認識(P2)目的：明確企業(yè)運作管理人員對企業(yè)重要資產(chǎn)的認識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護措施以及和保護該資產(chǎn)相關(guān)的問題。人員：風(fēng)險評估小組以及企業(yè)運作管理人員確定全體職員的認識(P3)目的：明確企業(yè)職員對企業(yè)重要資產(chǎn)的認識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護措施以及和保護該資產(chǎn)相關(guān)的問題。人員：風(fēng)險評估小組以抽選的企業(yè)職員代表建立威脅輪廓(P4)目的：根據(jù)階段1－3明確企業(yè)的關(guān)鍵資產(chǎn)，描述關(guān)鍵資產(chǎn)的安全需求，標識關(guān)鍵資產(chǎn)面臨的威脅。人員：風(fēng)險評估小組階段2：確定基礎(chǔ)設(shè)施漏洞找出關(guān)鍵組件(P5)目的：識別和劃分需要評估的基礎(chǔ)資產(chǎn)的類別，并從每個類別中抽樣選擇一個或多個基礎(chǔ)資產(chǎn)，然后選用適當(dāng)?shù)姆椒ê陀行У墓ぞ邔ζ溥M行脆弱性評估。人員：風(fēng)險評估小組以及企業(yè)核心IT技術(shù)人員。評估關(guān)鍵組件(P6)目的：識別技術(shù)上的脆弱性，并對結(jié)果進行總結(jié)和概括。人員：風(fēng)險評估小組以及企業(yè)核心IT技術(shù)人員。階段3：制訂安全策略和計劃實施風(fēng)險分析(P7)目的：定義威脅產(chǎn)生的影響（標識風(fēng)險），制定評估標準，對每個風(fēng)險進行分級（高、中、低）。人員：風(fēng)險評估小組制訂保護策略(P8)目的：為企業(yè)制定保護策略，降低關(guān)鍵資產(chǎn)風(fēng)險的方案，以及短期內(nèi)的措施清單。人員：風(fēng)險評估小組風(fēng)險評估的輸入各階段的一般過程調(diào)查與分析調(diào)查與分析是參與風(fēng)險評估的雙方就資產(chǎn)、弱點、威脅達成一致認識的重要手段。調(diào)查與分析需要花費大量的時間用于確認相關(guān)信息，因此，合理利用調(diào)查問卷可以事半功倍。數(shù)據(jù)/信息收集與處理在評估過程中，有大量的數(shù)據(jù)需要以合理的結(jié)構(gòu)存儲并利用自動化的工具來處理。安全信息庫是進行數(shù)據(jù)/信息收集與處理的一種非常有效的工具。撰寫評估報告在正確地處理各種評估數(shù)據(jù)的基礎(chǔ)上，根據(jù)統(tǒng)計與分析的初步結(jié)果，利用風(fēng)險計算矩陣計算各資產(chǎn)的風(fēng)險值以及整個系統(tǒng)的綜合風(fēng)險值。撰寫評估報告需要在這種定量分析的基礎(chǔ)上找出風(fēng)險的屬性之間的關(guān)系，陳述綜合分析結(jié)果。風(fēng)險控制風(fēng)險控制的目的是保護資產(chǎn)，提高企業(yè)的業(yè)務(wù)連續(xù)性和價值，達到企業(yè)的安全目標和業(yè)務(wù)目標。風(fēng)險控制可能需要付出一定代價或者增加成本。風(fēng)險控制的方式風(fēng)險控制的方式有如下幾種：消除風(fēng)險：在某些情況下，可以決定通過管理或技術(shù)控制措施完全消除風(fēng)險的可能性或風(fēng)險的后果，從而能夠完全避免風(fēng)險。這主要適用于一些技術(shù)性弱點而引起的風(fēng)險。降低風(fēng)險可能性：在某些情況下，可以決定通過合同、要求、規(guī)范、法律、監(jiān)察、管理、測試、技術(shù)開發(fā)、技術(shù)控制等措施來減小風(fēng)險的可能性，來達到減小風(fēng)險的目的。減小風(fēng)險的后果或影響：在某些情況下，可以決定通過制定實施應(yīng)變計劃、合同、災(zāi)難恢復(fù)計劃、資產(chǎn)重新布置等手段來減小資產(chǎn)價值本身或風(fēng)險的后果/影響。這和“降低風(fēng)險可能性”一樣，可以達到減小風(fēng)險的目的?；乇茱L(fēng)險：在某些情況下，可以決定不繼續(xù)進行可能產(chǎn)生風(fēng)險的活動來回避風(fēng)險。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會因此而喪失機會。轉(zhuǎn)移風(fēng)險：這涉及承擔(dān)或分擔(dān)部分風(fēng)險的另一方。手段包括合同、保險安排、合伙、資產(chǎn)轉(zhuǎn)移等。接受風(fēng)險：無論采取什么措施，通常資產(chǎn)面臨的風(fēng)險總是在一定程度上存在。決策者可以在進一步控制所需要的成本和風(fēng)險之間進行權(quán)衡。在適當(dāng)?shù)那闆r下，決策者可以選擇接受/承受風(fēng)險。選擇風(fēng)險控制方式的原則是權(quán)衡利弊：權(quán)衡每種選擇的成本與其得到的利益。例如，如果以相對較低的花費可以大大減小風(fēng)險的程度，則應(yīng)選擇實施這樣的控制方式。風(fēng)險控制措施舉例：安全加固建議這是一種有針對性的資產(chǎn)點對點風(fēng)險減免。主要是通過各種技術(shù)手段來補救單個資產(chǎn)的弱點。安全體系結(jié)構(gòu)建議這是從系統(tǒng)的角度來重要設(shè)計更安全的系統(tǒng)。主要通過更合理的網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)邏輯關(guān)系設(shè)計來補救整個系統(tǒng)的弱點。安全管理建議這是從管理的角度來保護資產(chǎn)不受威脅。主要通過把具有弱點而且難以補救的資產(chǎn)保護起來，不受威脅的影響，也就起到了減免風(fēng)險的作用。風(fēng)險評估項目通常一個項目包括計劃與執(zhí)行兩個階段。在執(zhí)行過程中，為了確保風(fēng)險評估的有效性，還需要監(jiān)控計劃的執(zhí)行情況。計劃風(fēng)險評估項目的計劃至少但不限于包括如下內(nèi)容：項目描述質(zhì)量保障措施進度安排資源需求（不含人員與時間）人員與時間要求風(fēng)險控制預(yù)案驗收（日期與方式）監(jiān)控與執(zhí)行項目管理方法在項目的實施過程中，根據(jù)項目的具體要求，整個項目的管理參考美國項目管理協(xié)會PMI提出的項目管理方法學(xué)，以及一些安全專業(yè)領(lǐng)域的專家、顧問對項目的實施進行規(guī)范管理實施。同時通過規(guī)范化的項目管理，保證項目進程中的過程的質(zhì)量。變更控制管理不受控制的項目變更，包括目標變更，范圍變更，人員變更，環(huán)境變化，文檔修改等等是對整個項目質(zhì)量的重大威脅。在項目實施過程中，將以實施方案的維護為核心，對實施方案及其衍生文檔進行正規(guī)的變更控制管理。項目溝通管理采用正規(guī)的項目溝通程序，保證參與項目的各方能夠保持對項目的了解和支持。這些管理和溝通措施將對項目過程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。項目協(xié)調(diào)會項目總負責(zé)人定期組織項目協(xié)調(diào)會，就上次例會所確立的事項進行監(jiān)督檢查，并對存在的項目實施問題予以協(xié)調(diào)，確定解決方案和進度安排；遇有緊急情況，項目總協(xié)調(diào)人可隨時召集項目協(xié)調(diào)會議。每次會議應(yīng)出具會議紀要，交各相關(guān)單位備案。次數(shù)所處階段主要內(nèi)容參加人員1準備期項目組成立確定雙方項目組成員確定整體實施計劃確定下一階段的詳細實施計劃甲方評估小組全體人員乙方項目組全體成員雙方的有關(guān)領(lǐng)導(dǎo)1準備期對準備期所做的工作進行溝通，及時發(fā)現(xiàn)問題，確定解決方式。甲方評估小組組長及主要成員乙方項目組組長及主要成員1準備期對準備期階段的工作進行總結(jié)，確定實施的詳細計劃雙方項目組全體成員1實施期：現(xiàn)場評估過程中對現(xiàn)場評估的工作，進行溝通，及時發(fā)現(xiàn)問題，確定解決方式。甲方評估小組組長及主要成員2．乙方項目組組長及主要成員1實施期：現(xiàn)場評估完成時對現(xiàn)場評估進行總結(jié)，及時發(fā)現(xiàn)問題，確定解決方式。確定下一階段的工作重點雙方項目組全體成員1實施期：評估報告基本完成時對評估報告進行總結(jié)，確定需要細化和修改的內(nèi)容。雙方項目組全體成員不定在整個項目的實施過程中，根據(jù)情況安排對影響項目進程的問題進行溝通，確定解決方式雙方項目組組長及相關(guān)人員評估過程控制為了保證在評估項目實施過程中評估方能有效地開展工作，并保證整個項目的可控，需要雙方共同組成項目協(xié)調(diào)小組并在項目正式實施前召開會議，討論相關(guān)事項并形成正式的書面材料，確定雙方在項目中的責(zé)任和義務(wù)。風(fēng)險評估人員組織評估方人員組織項目領(lǐng)導(dǎo)小組由評估方和被評估方的相關(guān)負責(zé)人組成，主要是對項目實施的整個過程中的重大問題進行決策。風(fēng)險評估項目經(jīng)理風(fēng)險評估項目實施隊伍自組建之日起，承擔(dān)雙方以合同或其它形式明確的各項任務(wù)。項目總負責(zé)人須做好日常資源管理工作，并直接控制項目管理計劃(PMP)的各個要素，具體說來主要包括以下幾個方面：項目執(zhí)行——對以下幾方面工作提供指導(dǎo)：總體方案設(shè)計、工程及應(yīng)用系統(tǒng)設(shè)計；設(shè)備配置確認；工程質(zhì)量和進度保證；系統(tǒng)驗收，培訓(xùn)等。項目檢查——通過其下屬實施小組提供的工程進展匯報，將項目進展狀態(tài)與項目計劃進度進行比較，發(fā)現(xiàn)過程誤差，提出調(diào)整措施。項目控制——審核項目進展狀態(tài)，必要時調(diào)集各種備用資源，確保項目按計劃進度實施。項目協(xié)調(diào)——與各級單位進行協(xié)調(diào)，解決工程組織接口及技術(shù)接口問題；定期主持整個系統(tǒng)專題協(xié)調(diào)會，及時解決各系統(tǒng)間出現(xiàn)的相關(guān)問題。項目技術(shù)顧問組由評估方的安全專家組成，主要職責(zé)是會同項目組完成以下各項工程任務(wù)：系統(tǒng)總體設(shè)計對系統(tǒng)深化設(shè)計進行審核并提出優(yōu)化建議對系統(tǒng)進行技術(shù)協(xié)調(diào)對系統(tǒng)的設(shè)備配置予以確認工程文檔的審核協(xié)助項目總負責(zé)人制訂本項目的質(zhì)量工作計劃，并貫徹實施貫徹公司的質(zhì)量方針、目標和質(zhì)量體系文件的有關(guān)規(guī)定和要求負責(zé)對工程任務(wù)全過程的質(zhì)量活動進行監(jiān)督檢查，參與設(shè)計評審風(fēng)險評估小組負責(zé)對試點分行進行風(fēng)險評估安全體系小組負責(zé)協(xié)助被評估方建立安全管理體系安全服務(wù)小組負責(zé)評估后期的技術(shù)支持，主要包括安全加固支持指導(dǎo)、安全通告等服務(wù)。應(yīng)急響應(yīng)小組負責(zé)風(fēng)險評估實施過程中緊急安全事件的應(yīng)急響應(yīng)和災(zāi)難恢復(fù)。其中，緊急安全事件的范圍應(yīng)以書面形式進行明確。安全培訓(xùn)小組負責(zé)對被評估方進行實施前后的相關(guān)知識與配合要求培訓(xùn)。被評估方人員組織作為風(fēng)險管理的一個重要部分，風(fēng)險評估是一項管理責(zé)任。在本節(jié)中對需要支持和參與風(fēng)險評估過程的關(guān)鍵人員角色進行了描述。高級管理人員在應(yīng)該關(guān)心并對完成使命負最終責(zé)任的標準下，高級管理人員必須保證那些必要的資源被有效地運用在完成使命所需能力的開發(fā)方面。他們必須對風(fēng)險評估活動的結(jié)果進行評估并將其融入到?jīng)Q策過程中。一個有效的風(fēng)險管理程序（用來對IT相關(guān)的使命風(fēng)險進行評估并減緩這類風(fēng)險）離不開高級管理人員的參與和支持。首席技術(shù)官（CIO）CIO負責(zé)機構(gòu)的IT計劃、預(yù)算以及性能，其中也包括信息安全部分。在這些領(lǐng)域的決策應(yīng)該基于有效的風(fēng)險管理程序。系統(tǒng)和信息所有者系統(tǒng)和信息所有者負責(zé)部署適當(dāng)?shù)陌踩刂撇⒈Ｗo他們所擁有的IT系統(tǒng)和數(shù)據(jù)的完整性、保密性和可用性。一般來說系統(tǒng)和信息所有者要負責(zé)對其IT系統(tǒng)的變更，因此他們通常得要批準或中止對其IT系統(tǒng)的變更（如系統(tǒng)的增強，對系統(tǒng)軟件或硬件的重大變更等）。系統(tǒng)和信息所有者因此必須清楚他們在風(fēng)險管理過程中的角色并完全支持這一過程。業(yè)務(wù)和職能主管負責(zé)業(yè)務(wù)運行和IT采購過程的主管必須在風(fēng)險管理過程中擔(dān)當(dāng)一個主動角色。這些主管有權(quán)作出對完成使命來講是必不可少折衷決定，并對其負責(zé)。他們對風(fēng)險管理過程的參有助于實現(xiàn)IT的適度，如果管理得當(dāng)?shù)脑?，可以用最小的資源代價完成使命。信息系統(tǒng)安全官（ISSO）IT安全程序經(jīng)理和計算機安全官員負責(zé)機構(gòu)的安全程序，包括風(fēng)險管理。因此，他們會主導(dǎo)引入一個適當(dāng)?shù)?、結(jié)構(gòu)化的方法來幫助對支持機構(gòu)使命的IT系統(tǒng)所面臨的風(fēng)險進行識別、評價、并將它們最小化。在支持高級管理人員方面，ISSO擔(dān)當(dāng)?shù)氖且粋€主要的顧問角色，從而保證這項活動持續(xù)不斷的進行下去。IT安全實施人員IT安全從業(yè)人員（如網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、和數(shù)據(jù)庫管理員，計算機專業(yè)人員，安全分析員，安全顧問等）負責(zé)其IT系統(tǒng)中安全要求得到正確地實現(xiàn)。當(dāng)現(xiàn)有的IT系統(tǒng)環(huán)境發(fā)生變化時（如網(wǎng)絡(luò)連接的擴展，現(xiàn)有基礎(chǔ)設(shè)施和機構(gòu)政策的變化，新技術(shù)的引入等），IT安全從業(yè)人員必須支持或運用風(fēng)險管理過程，以對新的潛在風(fēng)險進行識別和評價，并實現(xiàn)新的安全控制來保護其IT系統(tǒng)。安全意識培訓(xùn)人員（安全/主題專家）機構(gòu)人員是IT系統(tǒng)的用戶。按照機構(gòu)策略、指導(dǎo)、和行為規(guī)則來使用IT系統(tǒng)和數(shù)據(jù)對于減緩風(fēng)險和保護機構(gòu)IT資源而言是非常關(guān)鍵的。為了將IT系統(tǒng)的風(fēng)險最小化，必須為系統(tǒng)和應(yīng)用用戶提供安全意識培訓(xùn)。因此，IT安全培訓(xùn)人員或安全/主題專家必須了解風(fēng)險管理過程，這樣他們可以制作出適當(dāng)?shù)呐嘤?xùn)材料，并將風(fēng)險評估融入到培訓(xùn)程序中，對最終用戶進行培訓(xùn)。被評估方負責(zé)人正式實施風(fēng)險評估前，被評估方需指定風(fēng)險評估項目的負責(zé)人，主要負責(zé)與評估方的項目經(jīng)理協(xié)作，協(xié)調(diào)組織內(nèi)的資源，解決項目中需要配合的問題，保障項目順利進行。風(fēng)險評估的跟進工作風(fēng)險評估之后的跟進工作是對評估以及相應(yīng)的安全建議方案的跟進。根據(jù)第一次評估結(jié)果和第二次評估結(jié)果的對比進行綜合分析，以挖掘在管理、運行、維護中的主要風(fēng)險分布。跟進的重要性安全是一個循環(huán)迭代的過程。安全的狀態(tài)會隨時間的推移而變化，系統(tǒng)的每一部分的變化都可能導(dǎo)致新的安全問題。因此，跟進評估是保證持續(xù)安全的必要措施。有效的，合格的建議要求安全審計師給出有效的，合格的建議，應(yīng)該具備如下性質(zhì)：具體、清楚、可理解、可標識證據(jù)充足，說服力強意義重大可行，可實施委托事項個人與部門承擔(dān)的責(zé)任對建議的實現(xiàn)非常重要。安全審計師，員工與管理層對建議有不同的期望、側(cè)重點與優(yōu)先級。安全審計師安全審計師最先引入改進建議，他們：應(yīng)該為自己推薦的方案提供足夠的證據(jù)，后面可以附上期望的改善；應(yīng)該理解客戶部門的環(huán)境與約束，如時間、資源與文化；應(yīng)該以一種合適的、有效的渠道來進行溝通并給出建議方案員工這里，員工指直接或者間接受建議方案影響的人員。他們可能需要為建議方案的實現(xiàn)提供支持，或者就是可能不得不改變?nèi)粘２僮鬟^程的用戶。應(yīng)該鼓勵他們與安全審計師合作應(yīng)該給他們足夠的時間和資源來執(zhí)行增強措施應(yīng)該保證他們能從建議方案中有所收獲管理層管理層在強制加強安全性的過程中起著非常重要的作用。他們應(yīng)該積極主動而不是消極被動地關(guān)注安全事務(wù)；應(yīng)該在整個風(fēng)險評估與審計過程中給予足夠的支持；應(yīng)該給安全性增強分配足夠的資源；應(yīng)該理解跟進是非常有價值的意義重大的責(zé)任；應(yīng)該鼓勵為安全性增強工作制定計劃，進行控制并充分地溝通；應(yīng)該提高員工的安全意識并加強培訓(xùn)。監(jiān)督與跟進監(jiān)督與跟進主要有3個步驟：建立監(jiān)督與跟進機制標識推薦并制定跟進計劃執(zhí)行主動監(jiān)督與報告建立監(jiān)督與跟進機制管理層應(yīng)該建立監(jiān)督與跟進機制以便跟進建議方案。除了對安全審計負責(zé)外，管理層可以指定其余員工來檢查監(jiān)督機制的整體效果。標識推薦并制定跟進計劃要執(zhí)行有效的、即時的安全性增強方案，必須完成下列工作：找出關(guān)鍵的、意義重大而且至關(guān)緊要的建議方案，在方案中應(yīng)該盡力而且需要額外的監(jiān)督；為所有建議方案制定跟進計劃；這可能包括實施計劃、預(yù)計實施時間、事項清單、驗收方法與過程強調(diào)這些關(guān)鍵的建議應(yīng)該在跟進過程中報告并多加注意所有的建議方案應(yīng)該根據(jù)計劃來跟進執(zhí)行主動監(jiān)督與報告積極主動地監(jiān)督并報告行動的進度與狀態(tài)，并對所有要求的建議采取跟進行動直到完成實施。行動的進度與狀態(tài)行動有幾種不同的進度和狀態(tài)：尚未開始已完成行動已開展，有預(yù)定完成日期行動未開展，有原因如果與建議方案不同時，可以代替的行動。跟進行動下面給出幾種建議的跟進行動，以供參考：審閱實施計劃、文檔與計劃行動的時間段找出未開展的行動背后的原因建立額外的步驟或任務(wù)來處理技術(shù)、運行與管理上的困難找出由于意外的環(huán)境或需求變更引起的替代建議方案判斷建議方案的“結(jié)束”，當(dāng)證明它們已經(jīng)成功地實施并測試通過，因而不再有效，或者即使采取進一步的行動也不會有效。評價正確的行動的效果向管理層報告完成情況、狀態(tài)與進度一有機會就加強管理，尤其是關(guān)鍵建議的實施不夠或延期時。風(fēng)險評估的前提與分工假設(shè)與限制在考慮安全風(fēng)險評估或?qū)徲嫊r，做如下假定：時間與資源有限盡可能地減小和管理安全風(fēng)險執(zhí)行安全控制的用戶理解越深刻，效果就越好客戶責(zé)任由獨立的第三方執(zhí)行安全風(fēng)險評估與審計時，客戶應(yīng)該負責(zé)下列行動：檢查評估方的背景與人員資質(zhì)，看他們是否具備必要的經(jīng)驗與專業(yè)知識準備技術(shù)承諾協(xié)議書與保密協(xié)議指定評估方的第一聯(lián)系人與第二聯(lián)系人積極合作，思想開放如果需要更好的安全性就制定改善計劃服務(wù)資質(zhì)提供風(fēng)險評估服務(wù)的一方需具備提供信息安全服務(wù)的綜合能力。包括技術(shù)能力組織結(jié)構(gòu)與管理資源配置安全工程過程能力業(yè)績和質(zhì)量保證等多個方面。安全審計師的職責(zé)在實施安全評估或?qū)徲嫊r，安全審計師應(yīng)該：具備必要的技能與專業(yè)知識清楚每種工作的影響并估計它們對客戶業(yè)務(wù)的影響獲得合適的授權(quán)。記錄每次測試，不管成功與否確保報告反映客戶的策略與需求PAGExx附錄A術(shù)語表可接受的風(fēng)險，由于費用和執(zhí)行控制的數(shù)量，所以可接受的風(fēng)險是一種對責(zé)任管理來說是可接受的利害關(guān)系。確認，確認與授權(quán)處理術(shù)語是同義詞，確認是授予一個主程序或一般維護系統(tǒng)在一個操作環(huán)境中作處理的應(yīng)允和同意，它是建立在由指派的技術(shù)人員作出保證的基礎(chǔ)之上的，該技術(shù)人員要符合系統(tǒng)達到充分安全的明確的技術(shù)要求。資源，資源是一種主程序，一般維護系統(tǒng)，高沖擊程序，物理設(shè)備，應(yīng)急任務(wù)系統(tǒng)或一組邏輯上相聯(lián)系的系統(tǒng)。授權(quán)過程，授權(quán)過程發(fā)生在管理允許在評估操作和技術(shù)控制基礎(chǔ)上寫系統(tǒng)的時候，通過一個系統(tǒng)里的授權(quán)過程，管理官員可接受與之相關(guān)的冒險。有效保護，有效保護要求對系統(tǒng)信息，偶爾附帶的設(shè)備，故障恢復(fù)設(shè)備和冗余作備份，需要有效保護的系統(tǒng)和信息樣本有時分系統(tǒng)，應(yīng)急任務(wù)系統(tǒng)，時間與維護，金融系統(tǒng)，收獲或人壽鑒定系統(tǒng)。認識，訓(xùn)練與教育，包括1）認識程序?qū)νㄟ^改變組織對安全及其失敗的不利結(jié)果的重要性的實現(xiàn)態(tài)度來進行的訓(xùn)練劃分了階段。2）訓(xùn)練的目的是教人們能更有效的工作的技能。3）教育比訓(xùn)練更深入，主要針對于專業(yè)人員和那些工作上需要信息技術(shù)安全方面專門技術(shù)的人。證明，證明與確認過程是同義的，證明是在授權(quán)前的一個主要考慮，但不僅僅是考慮，證明是一種技術(shù)評估，它建立了計算機系統(tǒng)，應(yīng)用程序或網(wǎng)絡(luò)設(shè)計和執(zhí)行符合這之前制定的安全要求的程序。一般維護系統(tǒng)，這是在相同的直接管理控制下的一種相互聯(lián)絡(luò)的信息資源，它們彼此共享一般功能，它一般包括硬件，軟件，信息，數(shù)據(jù)，應(yīng)用程序，通信，設(shè)備和人。并給各種各樣的用戶或申請者提供維護。單個應(yīng)用程序維護與相關(guān)聯(lián)的任務(wù)功能不同，用戶可能來自于相同或不同的組織。個人責(zé)任，個人責(zé)任要求單個用戶在已被告知使用系統(tǒng)的行為規(guī)則及違反那些規(guī)則的處罰后要對他們的行為負責(zé)。信息所有者有責(zé)任建立正確使用數(shù)據(jù)或信息和保護數(shù)據(jù)或信息的規(guī)則。甚至再和其他組織共享數(shù)據(jù)或信息時信息所有者仍保留這個職責(zé)。主程序，主程序是一個要求特別維護的應(yīng)用程序，這是由于存在丟失，誤用或未經(jīng)允許的登陸或應(yīng)用程序的改動引起的冒險和損失。對主程序的一個破壞可以包含很多單個應(yīng)用程序和硬件，軟件以及電子通信的各個部分。主程序可以是一個主要的軟件應(yīng)用程序或在系統(tǒng)唯一的目標是維護一個特定任務(wù)功能時指的是軟，硬件的結(jié)合。物質(zhì)的不足或重大的不足，這是用來鑒定控制的不足，控制不足會產(chǎn)生一個重大的冒險或?qū)σ粋€審計實體的操作或資源產(chǎn)生重大的威脅。物質(zhì)不足是一個非常具體的術(shù)語，一方面用來定義金融審計，另一方面用來定義在1982年的聯(lián)邦管理人員金融綜合行為準則中指出的不足。這種不足可由審計員或管理員來確定。網(wǎng)絡(luò)，網(wǎng)絡(luò)包括允許一個用戶或系統(tǒng)與另一用戶或系統(tǒng)連接的通信能力。它可以是一個系統(tǒng)或一個分立系統(tǒng)的一部分。網(wǎng)絡(luò)實例包括局域網(wǎng)和廣域網(wǎng)，也包括公共互聯(lián)網(wǎng)，例如，國際互聯(lián)網(wǎng)。操作控制，操作控制提出了致力于主要由人（相對于系統(tǒng)）來執(zhí)行的機制的安全方法。方針，方針是描繪安全管理框架的一種文件。它明確地分配了安全指責(zé)并設(shè)置了可靠地衡量處理和執(zhí)行情況所必須的基金。步驟，步驟包含于一個致力于安全控制范圍和管理位置的文件中。風(fēng)險，風(fēng)險是指在一個自動信息系統(tǒng)里或活動里，任何一個軟件，信息，硬件，管理上的，物理上的，通信或人員資源等的損失。風(fēng)險管理，風(fēng)險管理是對自動信息資源和信息的一個評估過程。它是作為用來確定一個系統(tǒng)的充分安全性的方法的一部分，這種確定方法是通過分析威脅和不足，選擇達到一個可接受的風(fēng)險水平并保持這一水平的合適的且劃算的控制而進行的。行為規(guī)則，行為規(guī)則是已建立的并被執(zhí)行的關(guān)于系統(tǒng)的使用，系統(tǒng)安全和可接受的風(fēng)險的規(guī)則。該規(guī)則清楚地描繪了經(jīng)系統(tǒng)允許登錄的所有個人的責(zé)任和被允許的行為。這些規(guī)則應(yīng)包括諸如在家辦公，撥號上網(wǎng)，連接互聯(lián)網(wǎng)，版權(quán)著作的使用，聯(lián)邦設(shè)備的非官方使用，系統(tǒng)特權(quán)的分配和限制，個人責(zé)任等方面。敏感信息，是指那些信息的丟失，誤用，未經(jīng)允許的登陸或其不利影響能引起全國關(guān)注的改動或聯(lián)合程序的引導(dǎo)或任何人都有權(quán)保留的秘密。敏感性，一個信息技術(shù)環(huán)境由系統(tǒng)，數(shù)據(jù)，和必須逐一的或整個的被檢查的應(yīng)用程序組成。所有系統(tǒng)和應(yīng)用程序都因為期機密性，綜合性和有效性，要求有一定水平的保護，其有效性是由對被處理的程序的敏感性，系統(tǒng)與組織任務(wù)的關(guān)系以及系統(tǒng)各部分的經(jīng)濟價值的一個評估來決定的。系統(tǒng)，系統(tǒng)是用來概括一個主程序或一個一般維護系統(tǒng)的通用術(shù)語。系統(tǒng)操作狀態(tài)，是指1）操作系統(tǒng)正在進行操作，2）正在開發(fā)的系統(tǒng)正處在設(shè)計，開發(fā)或執(zhí)行中，3）一個主修改程序正在經(jīng)歷一個主要的變換或過渡。技術(shù)控制，技術(shù)控制由用于對系統(tǒng)或應(yīng)用程序提供自動保護的硬件和軟件控制組成。技術(shù)控制是在技術(shù)系統(tǒng)和應(yīng)用程序中進行操作。威脅，是一種事件或行為，它會有意或無意的給信息系統(tǒng)或運行帶來潛在的損害。弱點，弱點是一種可能會給信息系統(tǒng)或運行帶來損害的缺陷或不足。附錄B調(diào)查問卷調(diào)查問卷類別填表式調(diào)查問卷《資產(chǎn)調(diào)查表》包含計算機設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、信息、軟件等。問詢式調(diào)查問卷《人員和安全管理調(diào)查表》《物理環(huán)境調(diào)查表》《安全技術(shù)保障措施調(diào)查表》《業(yè)務(wù)狀況調(diào)查表》面對面交流審閱已有的安全管理規(guī)章、制度與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進行交流調(diào)查問卷內(nèi)容對涉及安全的各個因素的詳細調(diào)查與分析.安全事件

事件的要素有：時間，地點，起因，描述，主體，客體，處理，備注安全素質(zhì)

內(nèi)部人員、外部網(wǎng)絡(luò)用戶；基本知識考核、專業(yè)技術(shù)、安全技術(shù)、應(yīng)急處理能力、管理、安全意識、培訓(xùn)狀況、人員管理情況（不滿、開除、離職）安全措施

分類為網(wǎng)絡(luò)的、應(yīng)用的、管理的；安全投資、目前實施安全措施后的效果安全需求

系統(tǒng)管理員們的想法物理環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)

物理、邏輯拓撲圖、協(xié)議與外單位及用戶互聯(lián)的網(wǎng)絡(luò)服務(wù)（撥號接入、專線接入）

接入服務(wù)器、路由器、交換機等的安全配置網(wǎng)管系統(tǒng)

軟件版本、配置、口令、管理范圍主機系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)安全系統(tǒng)：防火墻、防病毒（見資產(chǎn)調(diào)查）安全相關(guān)人員處理流程制度策略問題的方式調(diào)查問卷的問題設(shè)計可以結(jié)合以下兩種方式：開放式的問題封閉式的問題附錄C交付文檔范例《資產(chǎn)評估部分》目錄1. 定義、范圍和標準1.1. 資產(chǎn)的定義及分類1.1.1. 資產(chǎn)的定義1.1.2. 資產(chǎn)的分類1.2. 資產(chǎn)評估的定義及目的1.2.1. 資產(chǎn)評估的定義1.2.2. 資產(chǎn)評估的目的1.3. 資產(chǎn)評估的內(nèi)容1.4. 資產(chǎn)評估的方式和數(shù)據(jù)來源1.5. 資產(chǎn)的等級劃分1.6. 資產(chǎn)評估參照的標準和依據(jù)2. 資產(chǎn)歸類及價值分析2.1. 超核心資產(chǎn)列表與價值分析2.2. 核心資產(chǎn)列表與價值分析2.3. 高級資產(chǎn)列表與價值分析2.4. 中級資產(chǎn)列表與價值分析2.5. 一般資產(chǎn)列表與價值分析3. 資產(chǎn)的管理4. 資產(chǎn)的使用和維護4.1.1. 資產(chǎn)的實際利用情況4.1.2. 資產(chǎn)的維護5. 資產(chǎn)的保護6. 資產(chǎn)評估總結(jié)6.1. 資產(chǎn)保護的層次6.2. 需要保護的重點資產(chǎn)《漏洞評估部分》目錄1. 定義、范圍和標準1.1. 定義1.1.1. 漏洞的定義1.1.2. 漏洞評估的定義1.1.3. 漏洞級別的劃分1.2. 漏洞評估的目的1.3. 漏洞評估的內(nèi)容1.3.1. 技術(shù)漏洞的評估1.3.2. 非技術(shù)漏洞的評估1.4. 漏洞評估的方式1.4.1. 調(diào)查與問卷評估1.4.2. 系統(tǒng)評估1.5. 參考標準2. 基于資產(chǎn)的技術(shù)性漏洞列表2.1. 超核心資產(chǎn)存在的漏洞2.2. 核心資產(chǎn)存在的漏洞2.3. 高級資產(chǎn)存在的漏洞2.4. 中級資產(chǎn)存在的漏洞2.5. 一般資產(chǎn)存在的漏洞3. 技術(shù)性漏洞抽樣統(tǒng)計4. 非技術(shù)性漏洞統(tǒng)計分析4.1. 安全策略4.1.1