風(fēng)險評估實施方案

XXXXX-0002

XXXXX

(XXXXX)

風(fēng)險評估實施方案

XXXXX

信息安全中心

2016年12月

文檔說明

文件編號：XXXXX-0002版本號：VI.0

編寫人：編寫日期：

審批人：審批日期：

Copyright?XXXXX保留所有版權(quán)，嚴(yán)禁非授權(quán)的使用或修改。

XXXXX風(fēng)險評估實施方案

目錄

1總體概述..................................................1

1.1項目概述.............................................1

1.2評估內(nèi)容.............................................1

1.3評估檢測原則.........................................2

2風(fēng)險評估方案..............................................3

2.1風(fēng)險評估現(xiàn)場實施流程.................................3

2.2風(fēng)險評估準(zhǔn)備.........................................4

2.2.1概述............................................4

2.2.2確定評估目標(biāo)....................................4

2.2.3確定評估范圍....................................5

2.3風(fēng)險評估工作組織管理.................................5

2.3.1風(fēng)險評估組織體系結(jié)構(gòu)............................5

2.3.2風(fēng)險評估小組職責(zé)................................6

2.3.3風(fēng)險評估小組人員構(gòu)成............................9

2.3.4被評估組織成員及職責(zé)說明......................10

2.3.5被評估組織人員構(gòu)成.............................11

2.4風(fēng)險評估框架模型....................................12

2.5風(fēng)險計算模型........................................13

2.6風(fēng)險評估標(biāo)準(zhǔn)依據(jù)....................................14

XXXXXI

XXXXX風(fēng)險評估實施方案

2.7風(fēng)險評估測評工具14

2.8評估時間安排........................................16

2.9風(fēng)險評估方法........................................16

2.9.1資產(chǎn)識別及賦值.................................16

2.9.2威脅識別及賦值................................21

2.9.3脆弱性識別及賦值...............................25

2.9.4滲透測試、代碼審計............................28

2.9.5現(xiàn)有控制措施...................................29

2.9.6風(fēng)險分析.......................................30

2.9.7風(fēng)險準(zhǔn)則的確定.................................31

2.9.8風(fēng)險處置計劃...................................32

2.9.9風(fēng)險評估報告...................................32

2.10服務(wù)保障措施........................................32

2.10.1過程保障.......................................32

2.10.2周期服務(wù)總結(jié)..................................32

2.10.3風(fēng)險評估管理制度..............................33

2.11服務(wù)質(zhì)量管理規(guī)范....................................38

2.11.1項目風(fēng)險管理..................................39

2.11.2項目干系人管理................................40

2.11.3客戶投訴管理..................................40

XXXXXII

XXXXX風(fēng)險評估實施方案

2.11.4客戶滿意度管理42

XXXXXIII

XXXXX風(fēng)險評估實施方案

1總體概述

L1項目概述

XXXXXXXXXX是一個簡潔、靈活、可視化的門戶應(yīng)用框架，它簡化了XXXXX

的資源配置和頁面編輯。同時集成了功能管理、門戶管理、資源管理、組件

管理、權(quán)限管理、系統(tǒng)管理，對大部分與XXXXX行業(yè)相關(guān)的系統(tǒng)做了單點集

成，最大程度應(yīng)對業(yè)務(wù)需求，使用戶能夠根據(jù)自己的需求選擇應(yīng)用。

本次對XXXXXXXXXX風(fēng)險評估的目的便是評估其風(fēng)險狀況，提出風(fēng)險控

制建議，同時為下一步制定的網(wǎng)站安全管理規(guī)范以及今后系統(tǒng)平臺的安全

建設(shè)和風(fēng)險管理提供依據(jù)和建議。

需要指出的是，本評估報告中所指出的安全風(fēng)險是針對現(xiàn)階段平臺的

風(fēng)險狀況，反映的是系統(tǒng)當(dāng)前的安全狀態(tài)。

為了充分了解XXXXXXXXXX的安全現(xiàn)狀，XXXXX公司安全顧問將依據(jù)

GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》和GB/T31509-

2015《信息安全技術(shù)信息安全風(fēng)險評估實施指南》要求對XXXXXXXXXX提

供風(fēng)險評估。

L2評估內(nèi)容

本次風(fēng)險評估工作需要完成以下工作：

1.項目立項階段

與XXXXXXXXXX網(wǎng)絡(luò)負(fù)責(zé)人及XXXXX管理負(fù)責(zé)人確立風(fēng)險評估范圍及內(nèi)

XXXXX1

XXXXX風(fēng)險評估實施方案

容。

2.項目啟動階段

風(fēng)險評估工作啟動，確定風(fēng)險評估小組成員及評測工具。

3.項目前期階段

進行系統(tǒng)調(diào)研，收集相關(guān)信息內(nèi)容，出具系統(tǒng)調(diào)研報告。

4.項目設(shè)計階段

根據(jù)系統(tǒng)調(diào)研報告結(jié)合風(fēng)險評估方案及風(fēng)險評估模板進行具體的實施

方案設(shè)計。

5.項目實施階段

針對XXXXXXXXXX用關(guān)應(yīng)用系統(tǒng)進行資產(chǎn)識別、脆弱性識別、威脅識別、

已有安全措施確認(rèn)，針對識別內(nèi)容根據(jù)GB/T20984-2007《信息安全技術(shù)

信息安全風(fēng)險評估規(guī)范》和GB/T31509-2015《信息安全技術(shù)信息安全風(fēng)

險評估實施指南》給出相應(yīng)賦值，根據(jù)賦值進行具體評估，填寫相應(yīng)評估表

單。

6.項目驗收階段

根據(jù)實際評估情無出具風(fēng)險評估報告，根據(jù)網(wǎng)站系統(tǒng)實際的風(fēng)險評估

情況給出相應(yīng)的整改建議。

1.3評估檢測原則

＞標(biāo)準(zhǔn)性原則

依據(jù)國際國內(nèi)標(biāo)準(zhǔn)開展工作是本次評估工作的指導(dǎo)原則，也是XXXXX公

xxxxx2

XXXXX風(fēng)險評估實施方案

司提供信息安全服務(wù)的一貫原則。在提供的評估服務(wù)中，依據(jù)相關(guān)的國內(nèi)和

國際標(biāo)準(zhǔn)進行。

＞可控性原則

人員可控性：XXXXX公司將派遣數(shù)名經(jīng)驗豐富的工程師參加本項目的評

估工作，有足夠的經(jīng)驗應(yīng)對評估工程中的突發(fā)事件。

工具可控性：在使用技術(shù)評測工具前都事先通告。并且在必要時可以應(yīng)

客戶要求，介紹主要工具的使用方法，并進行一些實驗。

＞完整性原則

按照評估范圍進行全面的評估，實施的安全評估將涉及全部內(nèi)網(wǎng)可以

訪問到的設(shè)備、全面覆蓋安全需求的各個點。

＞最小影響原則

XXXXX公司會從項目管理層面和工具使用層面，將評估工作對系統(tǒng)和網(wǎng)

絡(luò)正常運行的可能影響降低到最低限度，不會對現(xiàn)有運行業(yè)務(wù)產(chǎn)生顯著影

響。

2風(fēng)險評估方案

2.1風(fēng)險評估現(xiàn)場實施流程

風(fēng)險評估的實施流程見下圖所示。

XXXXX3

XXXXX風(fēng)險評估實施方案

圖2-1風(fēng)險評估實施流程

2.2風(fēng)險評估準(zhǔn)備

2.2.1概述

風(fēng)險評估準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。由于風(fēng)險評估受到

組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響，因

此，在風(fēng)險評估實施前，應(yīng)充分做好評估前的各項準(zhǔn)備工作。

2.2.2確定評估目標(biāo)

在信息安全風(fēng)險評估準(zhǔn)備階段首先明確目標(biāo)，為整個信息安全風(fēng)險評

XXXXX4

XXXXX風(fēng)險評估實施方案

估的過程提供正確的導(dǎo)向，也為下一步完善管理制度以及今后的安全建設(shè)

和風(fēng)險管理提供第一手資料。

風(fēng)險評估應(yīng)全面、準(zhǔn)確的了解被評估信息系統(tǒng)的安全現(xiàn)狀、發(fā)現(xiàn)系統(tǒng)可

能會出現(xiàn)的安全問題，保證系統(tǒng)處于一個高度可信任的狀態(tài)。

2.2.3確定評估范圍

在確定風(fēng)險評估的目標(biāo)后，應(yīng)進一步明確風(fēng)險評估的評估范圍，在確定

評估范圍時，應(yīng)結(jié)合已確定的評估目標(biāo)和組織的實際信息系統(tǒng)建設(shè)，合理定

義被評估對象和評估范圍邊界。

通過前期調(diào)研問詢可以確定XXXXX風(fēng)險評估的范圍是：XXXXX涉及的服

務(wù)器（應(yīng)用及數(shù)據(jù)庫）、中間件、數(shù)據(jù)庫、數(shù)據(jù)資產(chǎn)及平臺管理及使用人員、

平臺已建立的安全管理制度，另外由于網(wǎng)絡(luò)部分的一致性，網(wǎng)絡(luò)部分的安全

評估將在整體評估完畢后，集中評估。

2.3風(fēng)險評估工作組織管理

XXXXX公司針對XXXXXXXXXX項目專門成立了評估工作小組負(fù)責(zé)開展本

次評估工作，評估工作小組組長由寧潞紅擔(dān)任，工作小組下設(shè)安全技術(shù)評估、

安全管理評估、質(zhì)量管控、應(yīng)急響應(yīng)、文檔支撐五個業(yè)務(wù)小組。

2.3.1風(fēng)險評估組織體系結(jié)構(gòu)

XXXXX5

XXXXX風(fēng)險評估實施方案

圖2-2風(fēng)險評估組織體系結(jié)構(gòu)

2.3.2風(fēng)險評估小組職責(zé)

項目組長：是風(fēng)險評估項目中實施方的管理者、責(zé)任人，具體工作職責(zé)

包括：

1.根據(jù)項目情況組建評估項目實施團隊；

2.根據(jù)項目情況與被評估方一起確定評，‘古目標(biāo)和評估范圍，并組織項

目組成員對被評估方實施系統(tǒng)調(diào)研；

3.根據(jù)評估目標(biāo)、評估范圍及系統(tǒng)調(diào)研的情況確定評估依據(jù)，并組織

編寫評估方案；

4.組織項目組成員開展風(fēng)險評估各階段的工作，并對實施過程進行監(jiān)

督、協(xié)調(diào)和控制，確保各階段工作的有效實施；

5.與被評估組織進行及時有效的溝通，及時商討項目進展?fàn)顩r及可能

XXXXX6

XXXXX風(fēng)險評估實施方案

發(fā)生問題的預(yù)測等；

6.組織項目組成員將風(fēng)險評估各階段的工作成果進行匯總，編寫《風(fēng)

險評估報告》與《安全整改建議書》等項目成果物；

7.負(fù)責(zé)將項目成昊物移交被評估組織，向被評估組織匯報項目成果，

并提請項目驗收

安全技術(shù)評估人員：負(fù)責(zé)項目中技術(shù)方面評估工作的實施人員，具體工

作職責(zé)包括：

1.根據(jù)評估目標(biāo)與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《系統(tǒng)調(diào)研

報告》的技術(shù)部分內(nèi)容；

2.參與編寫《評估方案》；

3.遵照《評估方案》實施各階段具體的技術(shù)性評估工作，主要包括：

信息資產(chǎn)調(diào)查、威脅調(diào)查、安全技術(shù)脆弱性核查等；

4.對評估工作中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的

資源；

5.將各階段的技術(shù)性評估工作成果進行匯總，參與編寫《風(fēng)險評估報

告》與《安全整改建議書》等項目成果物；

6.負(fù)貢向被評估方解答項目成果物中有關(guān)技術(shù)性細(xì)節(jié)問題。

安全管理評估人員：負(fù)責(zé)風(fēng)險評估項目中管理方面評估工作的實施人

員，具體工作職責(zé)包括：

1.根據(jù)評估目標(biāo)與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《系統(tǒng)調(diào)研

XXXXX7

XXXXX風(fēng)險評估實施方案

報告》的管理部分內(nèi)容；

2.參與編寫《評估方案》；

3.遵照《評估方案》實施各階段具體的管理性評估工作，主要包括：

信息資產(chǎn)調(diào)查、威脅調(diào)查、安全技術(shù)脆弱性核查等；

4.對評估工作中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的

資源；

5.將各階段的技術(shù)性評估工作成果進行匯總，參與編寫《風(fēng)險評估報

告》與《安全整改建議書》等項目成果物；

6.負(fù)責(zé)向被評估方解答項目成果物中有關(guān)技術(shù)性細(xì)節(jié)問題。

應(yīng)急響應(yīng)人員：負(fù)責(zé)對項目實施過程中系統(tǒng)發(fā)生的意外安全事故進行

緊急處理，具體工作職責(zé)包括：

1.在項目實施過程中出現(xiàn)與當(dāng)前不相符的情況，或由于各種因素導(dǎo)致

項目無法正常進行的情況，應(yīng)急響應(yīng)人員應(yīng)當(dāng)立即與項目經(jīng)理確認(rèn)

并提出相應(yīng)的應(yīng)急響應(yīng)方法；

2.負(fù)責(zé)整個項目過程中的應(yīng)急響應(yīng)；

文檔支撐人員：負(fù)責(zé)支撐測評人員出具的測評過程文檔校對工作。具體

工作職責(zé)包括：

1.根據(jù)項目中要求出具的文檔進行校對，包括文檔格式是否正確、文

檔內(nèi)容是否符合當(dāng)前實際情況、是否需要新加其它文檔。提出文檔整改建議

并且參與文檔的編寫。

XXXXX8

XXXXX風(fēng)險評估實施方案

質(zhì)量把控人員：負(fù)責(zé)風(fēng)險評估項目中質(zhì)量管理的人員，具體工作職責(zé)包

括：

1.監(jiān)督審計各階段工作的實施進度與時間進度，對可能出現(xiàn)影響項目

進度的問提及時通告項目組長；

2.負(fù)責(zé)對項目文揩進行管控。

2.3.3風(fēng)險評估小組人員構(gòu)成

表2-1風(fēng)險評估小組人員構(gòu)成

序號單位成員負(fù)責(zé)方向備注

項目組長，負(fù)責(zé)風(fēng)險評估項目的進

1

度把控、過程監(jiān)督、整體協(xié)調(diào)。

安全技術(shù)評估人員，負(fù)責(zé)項目中技

2

術(shù)方面評估工作的實施。

安全技術(shù)評估人員，負(fù)責(zé)項目中技

3

術(shù)方面評估工作的實施。

安全管理評估人員，負(fù)責(zé)項目中管

4

XXXXX理方面評估工作的實施。

信息安全中心文檔支撐人員，負(fù)責(zé)支撐測評人員

5

出具的測評過程文檔校對工作。

安全技術(shù)評估人員，負(fù)責(zé)項目中技

6

術(shù)方面評估工作的實施。

文檔支撐人員，負(fù)責(zé)支撐測評人員

7

出具的測評過程文檔校對工作。

質(zhì)量管控員，應(yīng)急響應(yīng)人員。負(fù)責(zé)

8

風(fēng)險評估項目質(zhì)量管理，負(fù)責(zé)對整

XXXXX9

XXXXX風(fēng)險評估實施方案

序號單位成員負(fù)責(zé)方向備注

個項目生成的過程文檔、實施過程

進行技術(shù)指導(dǎo)。負(fù)責(zé)對項目實施過

程中系統(tǒng)發(fā)生的意外安全事故進行

緊急處理。

2.3.4被評估組織成員及職責(zé)說明

為保障項目的順利進行，需要被評估方共同參與到評估的過程中，建議

被評估組織確定項目組長一名，組員若干名，具體職責(zé)如下：

項目組長：是風(fēng)險評估項目中被評估組織的管理者.具體工作職責(zé)包括:

(1)與評估機構(gòu)的項目組長進行工作協(xié)調(diào)；

(2)組織本單位的項目組成員在風(fēng)險評估各個階段活動中的配合工

作；

(3)組織本單位的項目組成員對項目過程中實施方提交的評估信息、

數(shù)據(jù)及文檔資料等進行確認(rèn)，對出現(xiàn)的偏離及時指正；

(4)組織本單位的項目組成員對評估機構(gòu)提交的《風(fēng)險評估報告》

與《安全整改建議書》等項目成果物進行審閱；

(5)組織對風(fēng)險評估項目進行驗收；

(6)可授權(quán)項目協(xié)調(diào)人負(fù)責(zé)各階段性工作，代理實施自己的職責(zé)；

項目協(xié)調(diào)人：風(fēng)險評估項目中被評估組織的工作協(xié)調(diào)人員，具體工作職

責(zé)是負(fù)責(zé)與被評估組織各部門之間的信息溝通，及時協(xié)調(diào)、調(diào)動相關(guān)部門的

資源，包括工作場地、物資、人員等，以保跑項目的順利開展。

XXXXX10

XXXXX風(fēng)險評估實施方案

運維人員：被評估組織的信息系統(tǒng)運行維護人員，在風(fēng)險評估項目中的

具體工作職責(zé)包括：

(1)在項目組長的安排下，配合評估機構(gòu)在風(fēng)險評估各階段中的工

作；

(2)參與對評估機構(gòu)提交的《評估方案》進行研討；

(3)參與對項目過程中實施方案提交的評估信息、數(shù)據(jù)及文檔資料

等進行確認(rèn)，及時指正出現(xiàn)的偏離；

(4)參與對評估機構(gòu)提交的《風(fēng)險評估報告》與《安全整改建議書》

等項目成果物進行審閱；

(5)參與對風(fēng)險評估項目的驗收。

2.3.5被評估組織人員構(gòu)成

表2-2被評估組織人員構(gòu)成

序號單位成員負(fù)責(zé)方向備注

項目組長，負(fù)責(zé)與評估組織項目組

1長進行工作協(xié)調(diào)，組織項目驗收，

制度檢驗過程

使用維護人員，負(fù)責(zé)協(xié)助評估組成員

XXXXX

2完成設(shè)備信息的調(diào)研以及后期相關(guān)

問題的解決

數(shù)據(jù)庫專責(zé)，負(fù)責(zé)協(xié)助評估組成員

3

完成數(shù)據(jù)庫安全審查

XXXXX11

XXXXX風(fēng)險評估實施方案

2.4風(fēng)險評估框架模型

圖2-3風(fēng)險評估框架模型

方框部分的內(nèi)容為風(fēng)險評估的基本要素，橢圓部分的內(nèi)容是與這些要

素相關(guān)的屬性，也是風(fēng)險評估要素的一部分。風(fēng)險評估的工作是圍繞其基本

要素展開的，在對這些要素的評估過程中需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、

安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類因素。各要素之間的關(guān)系

如下：

業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實現(xiàn)；資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的

依賴度越高，資產(chǎn)價值就越大；資產(chǎn)價值越大則其面臨的風(fēng)險越大；風(fēng)險是

由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成安全事件；

弱點越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；脆弱性是未被滿足

XXXXX12

XXXXX風(fēng)險評估實施方案

的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從而形成風(fēng)險；風(fēng)險的存

在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；安全需求可通過安全措施得以滿足，需要

結(jié)合資產(chǎn)價值考慮實施成本；安全措施可抵御威脅，降低安全事件的發(fā)生的

可能性，并減少影響；風(fēng)險不可能也沒有必要降為零，在實施了安全措施后

還會有殘留下來的風(fēng)險。有些殘余風(fēng)險來自于安全措施可能不當(dāng)或無效，在

以后需要繼續(xù)控制，而有些殘余風(fēng)險則是在綜合考慮了安全成本與效益后

未控制的風(fēng)險，是可以被接受的；殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將

來誘發(fā)新的安全事件。

2.5風(fēng)險計算模型

通過對風(fēng)險評估指南的理解、分析和總結(jié)，我們認(rèn)為在風(fēng)險評估的整個

過程中，主要包含三個要素，這三個要素之間相互作用和影響，他們之間的

信

系

無

A

&

.僵

風(fēng)險分析涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性,

XXXXX13

XXXXX風(fēng)險評估實施方案

資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資

產(chǎn)弱點的嚴(yán)重程度。風(fēng)險分析主要內(nèi)容為：

?對資產(chǎn)進行識別，并對資產(chǎn)的重要性進行賦值；

?對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；

?對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值;

?根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件發(fā)生的可能性；

?根據(jù)脆弱性嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計算安全事件

的損失；

根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦

發(fā)生對組織的影響，即風(fēng)險值。

2.6風(fēng)險評估標(biāo)準(zhǔn)依據(jù)

風(fēng)險評估的測評標(biāo)準(zhǔn)采用GB/T20984《信息安全技術(shù)信息安全風(fēng)險評

估規(guī)范》、GB/T31509-2015《信息安全技術(shù)信息安全風(fēng)險評估實施指南》、。

2.7風(fēng)險評估測評工具

測評過程中可能使用的工具見下表所示：

表2-3測評工具

序號名稱功能描述版本備注

XXXXX14

XXXXX風(fēng)險評估實施方案

Metasploit是一款開源的安全漏洞檢測工

具，同時Metasploit■是免費的工具，因此

安全工作人員常用Metasploit工具來檢測

系統(tǒng)的安全性。MetasploitFrameworkMetasploi

Metasploi

1(MSF)在2003年以開放源碼方式發(fā)布，是t開源

l

可以自由獲取的開發(fā)框架。它是一個強大的Community

開源平臺，供開發(fā)，測試和使用惡意代碼，

這個環(huán)境為滲透測試、shellcode編寫和漏

洞研究提供了一個可靠平臺。

nmap是一個網(wǎng)絡(luò)連接端掃描軟件，用來掃描

網(wǎng)上主機開放的網(wǎng)絡(luò)連接端。確定哪些服務(wù)

運行在哪些連接端，并且推斷計算機運行哪

2Nmap7.12開源

個操作系統(tǒng)(這是亦稱fingerprinting)。

它是網(wǎng)絡(luò)管理員必用的軟件之一，以及用以

評估網(wǎng)絡(luò)系統(tǒng)安全。

網(wǎng)絡(luò)/操作系統(tǒng)(Linux,Windows)弱點掃描

3Nessus3.0開源

工具

4SqlmapSQL注入分析工具2.0開源

5Burpsuite滲透測試集成化平臺1.6.17開源

無需

6D盾后「查殺分析工具V2.0.8

安裝

免費版/專

7Splunk日志分析工具開源

業(yè)版

XXXXX15

XXXXX風(fēng)險評估實施方案

2.8評估時間安排

表2-4評估時間安排

序號實施流程實施時間安排

1風(fēng)險評估準(zhǔn)備2016.12.19-2016.12.19

2資產(chǎn)識別2016.12.20-2016.12.20

3威脅識別2016.12.22-2016.11.22

4脆弱性識別2016.12.23-2016.12.23

5已有安全措施確認(rèn)2016.12.23-2016.12.25

6提交風(fēng)險報告2016.12.26

2.9風(fēng)險評估方法

2.9.1資產(chǎn)識別及賦值

2.9.1.1基本概念

資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西。它可能是以多

種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有

服務(wù)、企業(yè)形象等。它們分別具有不同的價值屬性和存在特點，存在的弱點、

面臨的威脅、需要進行的保護和安全控制都各不相同。為此，有必要對企業(yè)、

機構(gòu)中的信息資產(chǎn)進行科學(xué)分類，以便于進行后期的信息資產(chǎn)抽樣、制定風(fēng)

險評估策略、分析安全功能需求等活動。

資產(chǎn)還具有很強的時間特性，它的價值和安全屬性都會隨著時間的推

移發(fā)生變化，所以應(yīng)該根據(jù)時間變化的頻度制定資產(chǎn)相關(guān)的評估和安全策

略的頻度。例如，某公司重要的市場活動策劃方案（數(shù)據(jù)資產(chǎn)），在活動開

XXXXX16

XXXXX風(fēng)險評估實施方案

始之前，為達成市場目標(biāo)，需要對該數(shù)據(jù)資產(chǎn)進行保密性、完整性和可用性

方面的保護。但是在該活動之后，策劃已經(jīng)基本上都傳達給了大眾，所以資

產(chǎn)價值已經(jīng)大部分消失，相關(guān)的安全屬性也失去保護意義。

因此在本方案定義的評估工作內(nèi)容，其中信息資產(chǎn)（Information

Assets）的界定和賦值是整個階段（現(xiàn)場測試和評估階段）的前提，是信息

資產(chǎn)抽樣的基礎(chǔ)和重要依據(jù)。為此，有必要實現(xiàn)信息資產(chǎn)界定和賦值過程的

標(biāo)準(zhǔn)化，以便在所有項目參與者中形成一個共同的知識基礎(chǔ)。

2.9.1.2資產(chǎn)分類

1）數(shù)據(jù)：保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)

據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、運行手冊、各類紙質(zhì)的

文檔等（數(shù)據(jù)大做數(shù)量統(tǒng)計）；

2）軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具等；

3）硬件：計算機設(shè)備、通訊設(shè)備、可移動介質(zhì)和其他設(shè)備；

4）其他：公司其他的信息資產(chǎn)。

2.9.1.3資產(chǎn)調(diào)查

資產(chǎn)調(diào)查是識別組織和信息系統(tǒng)中資產(chǎn)的重要途徑，風(fēng)險評估小組將

采用訪談的方式，按照信息資產(chǎn)的類別識別在本部門所管轄的信息資產(chǎn)，對

于在范圍內(nèi)的每一項資產(chǎn)按照《信息資產(chǎn)識別表》進行登記。

XXXXX17

XXXXX風(fēng)險評估實施方案

2.9.1.4資產(chǎn)識別范圍

由于XXXXX內(nèi)部網(wǎng)絡(luò)特殊性，對于本次XXXXX風(fēng)險評估資產(chǎn)識別范圍

只包括平臺有關(guān)的主機服務(wù)器、操作系統(tǒng)、中間件、數(shù)據(jù)庫、管理制度等，

對于網(wǎng)絡(luò)安全將在整體測評結(jié)束后進行統(tǒng)一風(fēng)險評估。

2.9.1.5資產(chǎn)重要性識別

信息資產(chǎn)分別具有不同的安全屬性，保密性、完整性和可用性分別反映

了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保

護功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反

映資產(chǎn)價值的數(shù)值。對信息資產(chǎn)進行賦值的目的是為了更好地反映資產(chǎn)的

價值，以便于進一步考察資產(chǎn)相關(guān)的弱點、威脅和風(fēng)險屬性，并進行量化。

2.9.1.6資產(chǎn)安全屬性賦值表

表2-5資產(chǎn)安全屬性賦值表

安全屬性

賦值標(biāo)識

保密性完整性可用性

完整性價值非常低，可用性價值可以忽

包含可對社會公開

未經(jīng)授權(quán)的修改或破略，合法使用者對信

的信息，公用的信

1很低壞對組織造成的影響息及信息系統(tǒng)的可用

息處理設(shè)備和系統(tǒng)

可以忽略，對業(yè)務(wù)沖度在正常工作時間低

資源等

擊可以忽略于30%

包含僅能在組織內(nèi)完整性價值較低，未可用性價值較低，合

2低部或在組織某一部經(jīng)授權(quán)的修改或破壞法使用者對信息及信

門內(nèi)部公開的信會對組織造成輕微影息系統(tǒng)的可用度在正

XXXXX18

XXXXX風(fēng)險評估實施方案

息，向外擴散有可響，可以忍受，對業(yè)常工作時間達到30%

能對組織的利益造務(wù)沖擊輕微，容易彌以上

成損害補

完整性價值中等，未可用性價值中等，合

包含組織的一般性

經(jīng)授權(quán)的修改或破壞法使用者對信息及信

秘密，其泄露會使

3中會對組織造成影響，息系統(tǒng)的可用度在正

組織的安全和利益

對業(yè)務(wù)沖擊明顯，但常工作時間達到70%

受到損害

可以彌補以上

完整性價值較高，未

包含組織的重要秘可用性價值較高，合

經(jīng)授權(quán)的修改或破壞

密，其泄露會使組法使用者對信息及信

4高會對組織造成重大

織的安全和利益遭息系統(tǒng)的可用度達到

影，對業(yè)務(wù)沖擊嚴(yán)

受嚴(yán)重?fù)p害每天90%以上

重，比較難以彌補

完整性價值非常關(guān)

包含組織最重要的

鍵，未經(jīng)授權(quán)的修改

秘密，關(guān)系未來發(fā)

或破壞會對組織造成可用性價值非常高，

展的前途命運，對

重大的或無法接受的合法使用者對信息及

5很高組織根本利益有著

影響，對業(yè)務(wù)沖擊重信息系統(tǒng)的可用度達

決定性影響，如果

大，并可能造成嚴(yán)重到年度99.9%以上

泄漏會造成災(zāi)難性

的業(yè)務(wù)中斷，難以彌

的損害

補

2.9.1.7資產(chǎn)價值計算

資產(chǎn)價值用于反映某個資產(chǎn)作為一個整體的價值，綜合了保密性、完整

性和可用性三個屬性。通常，考察實際經(jīng)驗，三個安全屬性中最高的一個對

最終的資產(chǎn)價值影響最大。換而言之，整體安全屬性的賦值并不隨著三個屬

XXXXX19

XXXXX風(fēng)險評估實施方案

性值的增加而線性增加，較高的屬性值具有較大的權(quán)重。

為此，使用下面的經(jīng)驗公式來計算資產(chǎn)價值賦值：

AssetValue={Max(C,I,A)}

其中，Conf代表俁密性賦值；Int代表完整性賦值；Avail代表可用性

賦值；由于XXXXXXXXXX的資產(chǎn)在這三個安全屬性中具有統(tǒng)一性，為了簡化

計算，統(tǒng)一取其最大值作為資產(chǎn)的價值屬性。

這里需要聲明的是：該算式屬于經(jīng)驗算式，使用與否、使用的方式都由

評估者根據(jù)經(jīng)驗來決定。

信息資產(chǎn)共分為5級，包括：很高、高、中等、低、很低。其中很高、

高、中等都被列為重要資產(chǎn)，并分析其面臨的安全風(fēng)險。下表劃分表明了不

同等級的重要性的綜合描述。

表2-6資產(chǎn)等級及含義描述

資產(chǎn)價值資產(chǎn)等級資產(chǎn)等級值定義

價值非常關(guān)鍵，損壞或破壞會影響全局，造成

5很高5重大或無法接受的損失，對業(yè)務(wù)沖擊重大，并

可能造成嚴(yán)重的業(yè)務(wù)中斷，損失難以彌補

價值非常重要，損壞或破壞會對該部門造成重

4高4

大影響，對業(yè)務(wù)沖擊嚴(yán)重，損失比較難以彌補

價值中等，損壞或破壞會對該部門造成影響，

3中3

對業(yè)務(wù)沖擊明顯，損失可以彌補

價值較低，損壞或破壞會對該部門造成輕微影

2低2響，可以忍受，對業(yè)務(wù)沖擊輕微，損失容易彌

補

XXXXX20

XXXXX風(fēng)險評估實施方案

價值非常低，屬于普通資產(chǎn)，損壞或破壞會對

1很低1該部門造成的影響可以忽略，對業(yè)務(wù)沖擊可以

忽略

2.9.1.8資產(chǎn)賦值報告

經(jīng)過資產(chǎn)識別和資產(chǎn)分析，確定了組織和信息系統(tǒng)中的資產(chǎn)，明確了資

產(chǎn)價值以及相應(yīng)的保密性、完整性、可用性等安全屬性情況，連接資產(chǎn)之間

的相互關(guān)系和影響，識別出重要資產(chǎn)，在此基礎(chǔ)上，生成資產(chǎn)列表和資產(chǎn)賦

值報告。資產(chǎn)賦值報告是進行威脅識別和脆弱性識別的重要依據(jù)。

2.9.2威脅識別及賦值

2.9.2.1基本概念

威脅是一種對系統(tǒng)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無

論對于多么安全的信息系統(tǒng)，安全威脅是一個客觀存在的事物，它是風(fēng)險評

估的重要因素之一。

2.9.2.2威脅的識別

威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素

可分為人為因素和環(huán)境因素。人為因素又可區(qū)分為有意和無意兩種，環(huán)境因

素包括自然界不可抗拒因素和其他物理因素C威脅作用形式可以是對信息

系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在保密性、完

整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。

本項目對威脅的識別主要采取人員訪談結(jié)合人工分析的方式，人員訪

XXXXX21

XXXXX風(fēng)險評估實施方案

談可以快速了解到被評估單位近期發(fā)生過何種威脅，通過面對面訪談關(guān)鍵

資產(chǎn)的負(fù)責(zé)人，威脅識別小組的人員可以直接獲得關(guān)鍵資產(chǎn)曾經(jīng)遭受到的

破壞，或在對一些安全事件進行分析后，間接得到威脅的源頭。評估組成員

還將在實際環(huán)境中，手工分析操作系統(tǒng)的日志，進一步分析信息系統(tǒng)所面臨

的威脅。

2.9.2.3威脅分類

在對威脅分類之前，應(yīng)考慮威脅的來源。造成威脅的因素可分為人為因

素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)

境因素包括自然界不可抗的因素和其他物理因素，下表是根據(jù)威脅來源的

分類。

表2-7威脅來源列表

來源描述

斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、

環(huán)境因素洪災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟

件、硬件、數(shù)據(jù)、通信線路等方面的故障

不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采

用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取

惡意人員利益。

人為因素外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的俁密

性、完整性和可用性進行破壞，以獲取利益或炫耀能力

內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專江，或

非惡意人員

者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損失；

XXXXX22

XXXXX風(fēng)險評估實施方案

內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能

要求而導(dǎo)致信息系統(tǒng)故障或被攻擊

威脅可基于表現(xiàn)形式分類。例如可分為軟硬件故障、物理環(huán)境威脅、無

作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、

黑客攻擊技術(shù)、物理攻擊、泄密信息、篡改、抵賴等。

各部門根據(jù)資產(chǎn)本身所處的環(huán)境條件，依據(jù)下列威脅識別表識別每個

資產(chǎn)所面臨的威脅,識別出最主要的威脅（可能威脅是多方面的，但我們只

用最主要的）。

表2-8基于表現(xiàn)形式的威脅分類表

種類描述威脅子類

由于設(shè)備硬件故障、通訊鏈路設(shè)備硬件故障、傳輸設(shè)備故障、

中斷，系統(tǒng)本身或軟件缺陷造存儲媒體故障、系統(tǒng)軟件故障、

軟硬件故障

成對業(yè)務(wù)實施，系統(tǒng)穩(wěn)定運行應(yīng)用軟件故障、數(shù)據(jù)庫軟件故

的影響。障、開發(fā)環(huán)境故障。

斷電、靜電、灰塵、潮濕、溫

度、鼠蚊蟲害、電磁干擾、洪

物理環(huán)境影響

災(zāi)、火災(zāi)、地震等環(huán)境問題或

自然災(zāi)害

由于應(yīng)該執(zhí)行而沒有執(zhí)行相

應(yīng)的操作，或無意地執(zhí)行了錯

無作為或操作失誤維護錯誤、操作失誤

誤的操作，對系統(tǒng)造成的影

響。

安全管理無法落實，不到位，

管理不到位造成安全管理不規(guī)范，或者管

理混亂，從而破壞信息系統(tǒng)正

XXXXX23

XXXXX風(fēng)險評估實施方案

常有序運行。

具窄自我復(fù)制、自我傳播能

惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、

惡意代碼和病毒力，對信息系統(tǒng)構(gòu)成破壞的程

間諜軟件、竊聽軟件

序代碼。

通過采用一些措施，超越自己未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪

的權(quán)限訪問了本來無權(quán)訪問問系統(tǒng)資源、濫用權(quán)限非正常修

越權(quán)或濫用

的資源，或者濫用自己的職改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄

權(quán)，做出破壞信息系統(tǒng)的行為露秘密信息

網(wǎng)絡(luò)探測和信息采集、漏洞探

利用工具和技術(shù)，如偵察、密

測、嗅探（賬戶、口令、權(quán)限等）

碼破譯、安裝后門、嗅探、偽

網(wǎng)絡(luò)攻擊用戶身份偽造和欺騙、用戶或業(yè)

造和欺騙、拒絕服務(wù)等手段，

務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行

對信息系統(tǒng)進行攻擊和入侵。

的控制和破壞

通過物理的接觸造成對軟件、

物理攻擊物理接觸、物理破壞、盜竊

硬件、數(shù)據(jù)的破壞

泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露

篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配

非法修改信息，破壞信息的完

置信息、篡改安全配置信息、篡

篡改整性使系統(tǒng)的安全性降低或

改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信

信息不可用

息

不承認(rèn)收到的信息和所作的原發(fā)抵賴、接收抵賴、第三方抵

抵賴

操作和交易賴

2.9.2.4威脅賦值

依據(jù)威脅發(fā)生的可能性對威脅進行賦值:

XXXXX24

XXXXX風(fēng)險評估實施方案

表2-9威脅賦值表

標(biāo)

等級評判標(biāo)準(zhǔn)

識

很出現(xiàn)的頻率很高（或21次/周）；或在大多數(shù)情況下幾乎不可避免；

5

高或可以證實經(jīng)常發(fā)生過。

出現(xiàn)的頻率較高（或21次/月）；或在大多數(shù)情況下很有可能會發(fā)

4高

生；或可以證實多次發(fā)生過。

中出現(xiàn)的頻率中等（或》1次/半年）；或在某種情況下可能會發(fā)生；或

3

等被證實曾經(jīng)發(fā)生過。

2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實發(fā)生過。

很

1威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。

低

2.9.3脆弱性識別及賦值

2.9.3.1基本概念

脆弱性是資產(chǎn)自身存在的，如沒有被威脅利用，脆弱性本身不會對資產(chǎn)

造成損害。而且如果系統(tǒng)足夠強健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件，并

造成損失。即，威脅總是要利用資產(chǎn)的弱點才可能造成危害。

資產(chǎn)的脆弱性具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯

現(xiàn)，這是脆弱性識別中最為困難的部分。需要注意的是，不正確的、起不到

應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。

XXXXX25

XXXXX風(fēng)險評估實施方案

2.93.2脆弱性識別

脆弱性識別將針對每一項需要保護的資產(chǎn)，找出可能被威脅利用的脆

弱性，并對脆弱性的嚴(yán)重程度進行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)

的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的專業(yè)人員。

脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、

網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)

管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。

本次脆弱性識別主要采取以下方法：

1.人員訪談；

2.工具測試；

3.人工檢查；

4.文檔查閱；

5.滲透性測試；

2.9.3.3脆弱性分類

各部門根據(jù)資產(chǎn)本身所處的環(huán)境條件，依據(jù)下列脆弱性識別表識別每

個資產(chǎn)最主要的脆弱性。

表2T0脆弱性識別內(nèi)容表

類型識別對象識別內(nèi)容

從機房場地、機房防火、機房供配電、機房防靜電、機

技術(shù)脆弱性物理環(huán)境房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域

防護、機房設(shè)備管理等方面進行識別。

XXXXX26

XXXXX風(fēng)險評估實施方案

類型識別對象識別內(nèi)容

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部

網(wǎng)絡(luò)結(jié)構(gòu)

訪問控制策略、網(wǎng)絡(luò)沒備安全配置等方面進行識別

系統(tǒng)軟件［含從補丁安裝、物理保護、用戶賬號、口令策略、資源共

操作系統(tǒng)及系享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注

統(tǒng)服務(wù)）冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。

從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和

數(shù)據(jù)庫軟件

服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進行識別。

應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別。

從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、

應(yīng)用系統(tǒng)

通信、鑒別機制、密碼保護等方面進行識別。

從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)

技術(shù)管理

開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別

管理脆弱性

從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、

組織管理

符合性等方面進行識別

2.9.3.4脆弱性賦值

根據(jù)脆弱性被威脅利用所產(chǎn)生的后果對脆弱性進行賦值，脆弱性嚴(yán)重程

度越低，則等級數(shù)值越??；同理，脆弱性嚴(yán)重程度越高，則等級數(shù)值越大。

表271脆弱性嚴(yán)重程度賦值表

等級標(biāo)識評判標(biāo)準(zhǔn)

5很高資產(chǎn)被完全損害，或者極其嚴(yán)重

4高對資產(chǎn)的損害程度很大

3中等對資產(chǎn)損害的程度中等

2低對資產(chǎn)的損害的程度較小

1很低對資產(chǎn)的損害的程度微小，可以忽略

XXXXX27

XXXX