【正文】 客攻擊的可能性，利用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失有些損失，象失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化盡管可以了解需要加強(qiáng)控制的硬件和軟件的成本，但常常不可能精確地估計(jì)相關(guān)的非直接的成本，如執(zhí)行新的控制時(shí)可能會(huì)導(dǎo)致生產(chǎn)力的喪失即使獲得了精確信息，但信息很快就會(huì)過(guò)期，因?yàn)榧夹g(shù)發(fā)展很快，入侵者可獲得更先進(jìn)的工具可靠性和即時(shí)數(shù)據(jù)的缺乏，使我們常常無(wú)法精確定義哪一個(gè)信息安全風(fēng)險(xiǎn)是最重要的，也無(wú)法比較哪一個(gè)工具是最有效的。 減免風(fēng)險(xiǎn)在風(fēng)險(xiǎn)評(píng)估過(guò)程的跟進(jìn)行動(dòng)中，被評(píng)估方有機(jī)會(huì)采取合適的風(fēng)險(xiǎn)控制方式來(lái)減免風(fēng)險(xiǎn)。 合理利用工具216。 業(yè)務(wù)和技術(shù)專家積極參與216。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，需要考慮以下方面：216。安全風(fēng)險(xiǎn)評(píng)估信息庫(kù)安全風(fēng)險(xiǎn)評(píng)估信息庫(kù)用于存儲(chǔ)與處理在風(fēng)險(xiǎn)評(píng)估過(guò)程中收集到的信息。 階段2：確定基礎(chǔ)設(shè)施漏洞l 過(guò)程5：找出關(guān)鍵組件l 過(guò)程6：評(píng)估關(guān)鍵組件216。這個(gè)過(guò)程的結(jié)果是殘留風(fēng)險(xiǎn)和這個(gè)風(fēng)險(xiǎn)是否達(dá)到可接受水平的一個(gè)明確界定，或者是一個(gè)是否應(yīng)當(dāng)實(shí)施額外的安全控制以進(jìn)一步降低風(fēng)險(xiǎn)的結(jié)論。進(jìn)行風(fēng)險(xiǎn)管理的最終目的就是要將其最小化，這也是在當(dāng)今各行各業(yè)的IT系統(tǒng)應(yīng)用中需要實(shí)施信息安全措施的根本原因。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是對(duì)信息系統(tǒng)進(jìn)行資產(chǎn)分析，并針對(duì)重要的資產(chǎn)進(jìn)行威脅、脆弱性的可能性調(diào)查，從而估計(jì)對(duì)業(yè)務(wù)產(chǎn)生的影響，提供適當(dāng)?shù)姆椒▉?lái)控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的屬性風(fēng)險(xiǎn)有兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。 基本概念風(fēng)險(xiǎn)風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。 SSECMM216。如：國(guó)際標(biāo)準(zhǔn)216。 風(fēng)險(xiǎn)評(píng)估過(guò)程216。 文檔結(jié)構(gòu)本文檔展示了關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的一個(gè)通用框架。216。216。216。216。216。216。本文檔的目標(biāo)并不是集中在如何進(jìn)行風(fēng)險(xiǎn)評(píng)估，它更側(cè)重于提供一個(gè)參考過(guò)程來(lái)幫助核對(duì)由獨(dú)立的安全咨詢師與審計(jì)師所提供的服務(wù)的覆蓋面、方法論、交付的文檔。本文檔不覆蓋信息安全管理的每一方面。限定了風(fēng)險(xiǎn)評(píng)估的前提和分工。稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估指南對(duì)稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程、關(guān)鍵點(diǎn)以及工作成果等方面提出了具體的實(shí)施方法和產(chǎn)生的文檔類別和內(nèi)容。稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容包括:資產(chǎn)分析，漏洞、脆弱性及弱點(diǎn)評(píng)估、威脅評(píng)估、影響與可能性分析和系統(tǒng)分析等方面。 本風(fēng)險(xiǎn)評(píng)估指南共提供了六個(gè)附錄，附錄A為術(shù)語(yǔ)表，對(duì)本指南內(nèi)的專業(yè)術(shù)語(yǔ)進(jìn)行解釋，附錄B為調(diào)查問(wèn)卷，對(duì)稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的調(diào)查問(wèn)卷種類和內(nèi)容進(jìn)行規(guī)定，附錄C為交付文檔范例，確定了稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估工作需完成的工作文檔，附錄D資產(chǎn)分類清單，對(duì)稅務(wù)系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行了分類，附錄E資產(chǎn)脆弱性清單列舉了各類資產(chǎn)可能存在的脆弱性，附錄F為資產(chǎn)威脅清單，列舉了資產(chǎn)所面臨的威脅。它介紹了一個(gè)關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的一般過(guò)程。 目標(biāo)讀者本指南為那些在其信息系統(tǒng)中支持或?qū)嵤╋L(fēng)險(xiǎn)評(píng)估的人員提供關(guān)于風(fēng)險(xiǎn)評(píng)估基礎(chǔ)，無(wú)論他們是否有經(jīng)驗(yàn)，是不是技術(shù)人員。 信息總監(jiān)，確保為其機(jī)構(gòu)IT系統(tǒng)部署風(fēng)險(xiǎn)管理并為這些IT系統(tǒng)提供安全的人員。 IT安全規(guī)劃經(jīng)理，部署安全規(guī)劃的人員。 用以支持IT功能的系統(tǒng)軟、硬件這些IT系統(tǒng)的擁有者。 負(fù)責(zé)IT生產(chǎn)的業(yè)務(wù)或功能管理人員。 開(kāi)發(fā)并維護(hù)可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的IT系統(tǒng)和應(yīng)用程序員。 審計(jì)IT系統(tǒng)的信息系統(tǒng)審計(jì)員。它包括下面的內(nèi)容：216。 風(fēng)險(xiǎn)評(píng)估人員組織216。 ISO 17799216。 RFC 2196國(guó)家標(biāo)準(zhǔn)GB/T 183362001行業(yè)通用標(biāo)準(zhǔn)BS77992AS/NZS 4360CVE或CNCVE 參考文獻(xiàn)[1]. C. J Alberts， S. G. Behrens， R. D. Pethia， and W. R. Wilson. Operationally critical threat， asset， and vulnerability evaluation (octave) framework， version . Technical report，Carnegie Mellon University， Software Engineering Institute， Pittsburgh， PA， June 1999.[2]. Australian/New Zealand Standard AS/NZS 4360:1999: Risk Management. Strath_eld: Standards Australia. [3]. CORAS IST200025031 Web Site. [4]. Common Criteria. Common Criteria for Information Technology Security Evaluation， 1999.[5]. ISO/IEC 13335: Information Technology Guidelines for the management of IT Security. .[6]. ISO/IEC 17799: 2000 Information technology Code of practise for information security management. 關(guān)于術(shù)語(yǔ)與縮略語(yǔ)的約定風(fēng)險(xiǎn)評(píng)估：在本文中，風(fēng)險(xiǎn)評(píng)估特指“信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估”。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級(jí)以及相關(guān)的弱點(diǎn)直接相關(guān)。評(píng)價(jià)風(fēng)險(xiǎn)對(duì)企業(yè)的影響，也就是對(duì)風(fēng)險(xiǎn)的評(píng)估賦值是對(duì)上述兩個(gè)屬性權(quán)衡作用的結(jié)果。從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。所有與安全性相關(guān)的活動(dòng)都是風(fēng)險(xiǎn)管理的組成部分。 過(guò)程概述風(fēng)險(xiǎn)評(píng)估的過(guò)程分為3個(gè)階段共8個(gè)過(guò)程。 階段3：制訂安全策略和計(jì)劃l 過(guò)程7：實(shí)施風(fēng)險(xiǎn)分析l 過(guò)程8：制訂保護(hù)策略 工具調(diào)查問(wèn)卷調(diào)查問(wèn)卷（Questionnaire）由一組相關(guān)的封閉式或開(kāi)放式問(wèn)題組成，用于在評(píng)估過(guò)程中獲取信息系統(tǒng)在各個(gè)層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。 成功的關(guān)鍵因素風(fēng)險(xiǎn)評(píng)估過(guò)程總體來(lái)說(shuō)是一個(gè)需要評(píng)估方與被評(píng)估方共同參與，便于被評(píng)估方理好地風(fēng)險(xiǎn)管理。 獲得高級(jí)管理的支持和參與216。 責(zé)任到人216。 考慮收益 收益216。216。由于這些限制，機(jī)構(gòu)選擇采用的方法是否能有效地從風(fēng)險(xiǎn)評(píng)估中受益，同時(shí)又避免花費(fèi)很大的精力去開(kāi)發(fā)看似精確卻可靠性成問(wèn)題的工具，顯得非常重要。軟件資產(chǎn)軟件資產(chǎn)包括各種專門購(gòu)進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等）、隨設(shè)備贈(zèng)送的各種配套軟件、以及自行開(kāi)發(fā)的各種業(yè)務(wù)軟件等。 資產(chǎn)評(píng)估的目的資產(chǎn)評(píng)估的目的就是要對(duì)企業(yè)的歸類資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。核心資產(chǎn)核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一般在100萬(wàn)元至1000萬(wàn)元之間；核心資產(chǎn)的時(shí)間敏感性同樣是非常強(qiáng)的，一般其運(yùn)行過(guò)程中可接受的中斷時(shí)間在１24小時(shí)之內(nèi)；核心資產(chǎn)癱瘓對(duì)客戶和社會(huì)造成的影響很巨大，可能會(huì)導(dǎo)致數(shù)萬(wàn)客戶的不滿意，并引起省市級(jí)媒體和機(jī)構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法律爭(zhēng)端可能提交很高級(jí)別的法院立案，訴訟過(guò)程可能很漫長(zhǎng)。 評(píng)估實(shí)例一臺(tái)Cisco7513路由器，是某省省網(wǎng)出口核心，（22）CC，購(gòu)入單價(jià)1,100,810元。弱點(diǎn)評(píng)估的信息通常通過(guò)控制臺(tái)評(píng)估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等手段收集和獲取。 弱點(diǎn)評(píng)估手段弱點(diǎn)評(píng)估可以采取多種手段，下面建議了常用的四種。 網(wǎng)絡(luò)審計(jì)216。 大規(guī)模的漏洞掃描工作條件46人工作環(huán)境，2臺(tái)Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評(píng)估結(jié)果報(bào)告，所需時(shí)間80臺(tái)/工作日參加人員評(píng)估小組、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫(kù)管理人員表2. 主機(jī)審計(jì)項(xiàng)目名稱主機(jī)審計(jì)簡(jiǎn)要描述作為網(wǎng)絡(luò)掃描的輔助手段，登陸系統(tǒng)控制臺(tái)檢查系統(tǒng)的安全配置情況達(dá)成目標(biāo)檢測(cè)系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容178。達(dá)成目標(biāo)檢測(cè)網(wǎng)絡(luò)的安全運(yùn)行情況，發(fā)掘配置隱患主要內(nèi)容178。 后門利用測(cè)試178。威脅也可能源于偶發(fā)的、或蓄意的事件。參照國(guó)際通行做法和專家經(jīng)驗(yàn)，本項(xiàng)目中我們將采用上述兩種方法進(jìn)行安全威脅分析。表一：可能性屬性賦值參考表賦值簡(jiǎn)稱說(shuō)明4VH不可避免（90%）3H非常有可能（70% ~ 90%）2M可能（20% ~ 70%）1L可能性很?。?0%）0N不可能（~0%）表二：影響賦值參考表賦值簡(jiǎn)稱說(shuō)明4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（75%）3H資產(chǎn)遭受重大損失（50% ~ 75%）2M資產(chǎn)遭受明顯損失（25% ~ 50%）1L損失可忍受（25%）0N損失可忽略（~0%）可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點(diǎn)。參照下面的矩陣進(jìn)行威脅賦值：表三：威脅分析矩陣 影響可能性可忽略0可忍受1明顯損失2重大損失3全部損失4不可避免401234非常可能301233可能201122可能性很小100111不可能000001 威脅的獲取方法威脅獲取的方法有：滲透測(cè)試（Penetration Testing）、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。 影響與可能性分析風(fēng)險(xiǎn)也存在兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。在許多情況下，某資產(chǎn)風(fēng)險(xiǎn)的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆弱性的函數(shù)，而風(fēng)險(xiǎn)的后果是資產(chǎn)的價(jià)值和威脅的影響的函數(shù)。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對(duì)于保持網(wǎng)絡(luò)的安全是非常重要的。 提供有關(guān)擴(kuò)充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息216。對(duì)于信息資產(chǎn)的保護(hù)首先需要進(jìn)行分級(jí)處理，即按信息的敏感度來(lái)劃分。要注意到的是，包含在完成調(diào)查問(wèn)卷中的信息能很容易描述一個(gè)系統(tǒng)或是一組系統(tǒng)容易受到攻擊的地方。在很多情況下，主要應(yīng)用程序和一般支持系統(tǒng)包括互相關(guān)聯(lián)的系統(tǒng)。在系統(tǒng)名稱和題目下面的橫線上需要評(píng)估員寫上系統(tǒng)類型，（普遍支持還是主要應(yīng)用）。例如，評(píng)估進(jìn)行了很多細(xì)節(jié)檢查要得到一個(gè)高級(jí)別的系統(tǒng)安全指示或是為了完善行動(dòng)計(jì)劃增強(qiáng)系統(tǒng)的徹底性和可信度。完成評(píng)估所需要的資源和時(shí)間取決于系統(tǒng)的大小和復(fù)雜程度，系統(tǒng)和用戶數(shù)據(jù)的親和性，以及評(píng)估員可以利用多少信息進(jìn)行評(píng)估。如果一個(gè)機(jī)構(gòu)設(shè)計(jì)了它們自己的判定系統(tǒng)的決定性或是敏感性的方法，就要用機(jī)構(gòu)的決定性或是敏感性的類型代替表格。一個(gè)集中的機(jī)構(gòu)，比如說(shuō)，一個(gè)政府機(jī)構(gòu)信息系統(tǒng)安全程序辦公室也可以處理對(duì)存在的支持文件的分析工作。在找出系統(tǒng)弱點(diǎn)的行動(dòng)計(jì)劃的狀況盒子員需要等方面，還需要遵循以前管理員的經(jīng)驗(yàn)。如果按遞升次序?qū)⑦@些分析的復(fù)雜性和成本加以排列的話，將會(huì)是：定性分析、半定量、定量。建議立即采取措施，進(jìn)行“避免/轉(zhuǎn)移/減小”等風(fēng)險(xiǎn)處置。《本地風(fēng)險(xiǎn)評(píng)估報(bào)告》，包括以下內(nèi)容：1)資產(chǎn)評(píng)估，至少包含以下資產(chǎn)的評(píng)估：信息資產(chǎn)、物質(zhì)資產(chǎn)、軟件資產(chǎn)、服務(wù)、設(shè)備、人員。《安全策略建議》：根據(jù)網(wǎng)絡(luò)安全現(xiàn)狀，提供安全策略建議，要求至少包括如下方面的建議：人員組織、安全管理（包括工程建設(shè)期間）、訪問(wèn)控制、網(wǎng)絡(luò)管理、數(shù)據(jù)安全、緊急響應(yīng)。如需使用安全產(chǎn)品，請(qǐng)描述所需產(chǎn)品的功能和性能要求，但不能限定產(chǎn)品的廠家和型號(hào)。 階段1：提取基于資產(chǎn)的威脅概況確定高級(jí)管理層的認(rèn)識(shí)(P1)目的：明確企業(yè)高層管理人員對(duì)企業(yè)重要資產(chǎn)的認(rèn)識(shí)，對(duì)資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問(wèn)題。人員：風(fēng)險(xiǎn)評(píng)估小組 階段2：確定基礎(chǔ)設(shè)施漏洞找出關(guān)鍵組件(P5)目的：識(shí)別和劃分需要評(píng)估的基礎(chǔ)資產(chǎn)的類別，并從每個(gè)類別中抽樣選擇一個(gè)或多個(gè)基礎(chǔ)資產(chǎn)，然后選用適當(dāng)?shù)姆椒ê陀行У墓ぞ邔?duì)其進(jìn)行脆弱性評(píng)估。 階段3：制訂安全策略和計(jì)劃實(shí)施風(fēng)險(xiǎn)分析(P7)目的：定義威脅產(chǎn)生的影響（標(biāo)識(shí)風(fēng)險(xiǎn)），制定評(píng)估標(biāo)準(zhǔn)，對(duì)每個(gè)風(fēng)險(xiǎn)進(jìn)行分級(jí)（高、中、低）。 數(shù)據(jù)/信息收集與處理在評(píng)估過(guò)程中，有大量的數(shù)據(jù)需要以合理的結(jié)構(gòu)存儲(chǔ)并利用自動(dòng)化的工具來(lái)處理。 風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制的目的是保護(hù)資產(chǎn)，提高企業(yè)的業(yè)務(wù)連續(xù)性和價(jià)值，達(dá)到企業(yè)的安全目標(biāo)和業(yè)務(wù)目標(biāo)。[2]. 降低風(fēng)險(xiǎn)可能性：在某些情況下，可以決定通過(guò)合同、要求、規(guī)范、法律、監(jiān)察、管理、測(cè)試、技術(shù)開(kāi)發(fā)、技術(shù)控制等措施來(lái)減小風(fēng)險(xiǎn)的可能性，來(lái)達(dá)到減小風(fēng)險(xiǎn)的目的。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會(huì)因此而喪失機(jī)會(huì)。決策者可以在進(jìn)一步控制所需要的成本和風(fēng)險(xiǎn)之間進(jìn)行權(quán)衡。 風(fēng)險(xiǎn)控制措施舉例：安全加固建議這是一種有針對(duì)性的資產(chǎn)點(diǎn)對(duì)點(diǎn)風(fēng)險(xiǎn)減免。安全管理建議這是從管理的角度來(lái)保護(hù)資產(chǎn)不受威脅。 計(jì)劃風(fēng)險(xiǎn)評(píng)估項(xiàng)目的計(jì)劃至少但不限于包括如下內(nèi)容：216。 資源需求（不含人員與時(shí)間）216。同時(shí)通過(guò)規(guī)范化的項(xiàng)目管理，保證項(xiàng)目進(jìn)程中的過(guò)程的質(zhì)量。這些管理和溝通措施將對(duì)項(xiàng)目過(guò)程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。 甲方評(píng)估小組組長(zhǎng)及主要成員 乙方項(xiàng)目組組長(zhǎng)及主要成員1準(zhǔn)備期對(duì)準(zhǔn)備期階段的工作進(jìn)行總結(jié)，確定實(shí)施的詳細(xì)計(jì)劃雙方項(xiàng)目組全體成員1實(shí)施期：現(xiàn)場(chǎng)評(píng)估過(guò)程中對(duì)現(xiàn)場(chǎng)評(píng)估的工作，進(jìn)行溝通，及時(shí)發(fā)現(xiàn)問(wèn)題，確定解決方式。5 風(fēng)險(xiǎn)評(píng)估人員組織 評(píng)估方人員組織216。項(xiàng)目總負(fù)責(zé)人須做好日常資源管理工作，并直接控制項(xiàng)目管理計(jì)劃(PMP)的各個(gè)要素，具體說(shuō)來(lái)主要包括以下幾個(gè)