【正文】 5 調(diào)查問卷 5 遠(yuǎn)程漏洞掃描工具 6 人工審計檢查列表 6 安全風(fēng)險評估信息庫 6 成功的關(guān)鍵因素 6 收益 6 面臨的挑戰(zhàn) 73 風(fēng)險評估內(nèi)容 8 資產(chǎn)分析 8 資產(chǎn)定義 8 資產(chǎn)類別 8 資產(chǎn)評估 9 資產(chǎn)評估的目的 9 資產(chǎn)的重要性 9 資產(chǎn)級別 10 評估實例 11 漏洞/脆弱性/弱點評估 11 弱點評估的目的 11 弱點評估的內(nèi)容 11 弱點評估手段 12 威脅評估 13 威脅定義 13 威脅分類 14 威脅屬性 14 威脅的獲取方法 15 威脅評估手段 16 威脅評估實例 16 影響與可能性分析 16 系統(tǒng)分析 17 系統(tǒng)結(jié)構(gòu)及邊界 17 信息的敏感度評估 17 調(diào)查問卷的結(jié)構(gòu) 18 調(diào)查系統(tǒng)控制 18 系統(tǒng)確認(rèn) 18 目的和評估者信息 18 信息的決定性 19 利用問卷調(diào)查結(jié)果 19 調(diào)查問卷分析 19 行動計劃 19 綜合風(fēng)險分析 19 風(fēng)險分析矩陣 20 風(fēng)險評估層面 21 風(fēng)險評估實例 21 ISO 17799十個域 21 可交付的文檔 22 信息網(wǎng)絡(luò) 22 文檔一覽 234 風(fēng)險評估過程 24 評估過程 24 階段1：提取基于資產(chǎn)的威脅概況 24 階段2：確定基礎(chǔ)設(shè)施漏洞 25 階段3：制訂安全策略和計劃 25 各階段的一般過程 25 調(diào)查與分析 25 數(shù)據(jù)/信息收集與處理 25 撰寫評估報告 25 風(fēng)險控制 26 風(fēng)險控制的方式 26 風(fēng)險控制措施舉例： 26 風(fēng)險評估項目 27 計劃 27 監(jiān)控與執(zhí)行 275 風(fēng)險評估人員組織 30 評估方人員組織 30 被評估方人員組織 316 風(fēng)險評估的跟進工作 33 跟進的重要性 33 有效的，合格的建議 33 委托事項 33 安全評估人員 33 工作人員 33 管理層 34 監(jiān)督與跟進 34 建立監(jiān)督與跟進機制 34 標(biāo)識推薦并制定跟進計劃 34 執(zhí)行主動監(jiān)督與報告 347 風(fēng)險評估的前提與分工 36 假設(shè)與限制 36 客戶責(zé)任 36 服務(wù)資質(zhì) 36 安全評估人員的職責(zé) 36附錄A 術(shù)語表 38附錄B 調(diào)查問卷 41調(diào)查問卷類別 41調(diào)查問卷內(nèi)容 41問題的方式 42附錄C 交付文檔范例 43《資產(chǎn)評估部分》目錄 43《漏洞評估部分》目錄 44《威脅評估部分》目錄 45《風(fēng)險評估部分》目錄 46《安全策略建議部分》目錄 47《安全解決方案部分》目錄 49附錄D 資產(chǎn)分類清單 51附錄E 資產(chǎn)脆弱性清單 53附錄F 資產(chǎn)威脅清單 551 前言 關(guān)于本文檔信息安全風(fēng)險評估是信息安全管理的主要內(nèi)容之一。風(fēng)險評估過程分為三個階段：確定資產(chǎn)的威脅概況，確定基礎(chǔ)設(shè)施風(fēng)險和制定安全策略及計劃?！抖悇?wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險評估指南》編制說明稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險評估指南就是為了對全國稅務(wù)系統(tǒng)的信息安全風(fēng)險評估工作提供實施的指導(dǎo)，從而統(tǒng)一全國稅務(wù)系統(tǒng)風(fēng)險評估工作的實施辦法和工作流程，產(chǎn)生相同格式的工作成果，確保各地稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險評估工作結(jié)果的可比性。本風(fēng)險評估指南規(guī)定了風(fēng)險評估項目組織、跟進工作等。本文檔不覆蓋信息安全管理的全部方面。本文檔的目標(biāo)并不是集中在如何進行風(fēng)險評估，它更側(cè)重于提供一個參考過程來幫助核對由獨立的安全評估單位所提供服務(wù)的覆蓋面、方法論、交付的文檔。216。216。216。216。216。 風(fēng)險評估概述216。 風(fēng)險評估的跟進工作216。 ISO 15408/CC 216。資產(chǎn)在本文中，資產(chǎn)特指“信息系統(tǒng)本身作為固定資產(chǎn)的價值與它所承載的無形資產(chǎn)（數(shù)據(jù)、業(yè)務(wù)連續(xù)性等）的價值”。威脅INFOSEC99將威脅定義為“能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改和/或拒絕服務(wù)對系統(tǒng)造成潛在危害的任何環(huán)境或事件”。后果（Consequence）是指風(fēng)險帶來的損失，可以用損失占該資產(chǎn)價值的百分比來度量。 意義與作用風(fēng)險管理是管理者權(quán)衡保護措施的運行和經(jīng)濟成本與獲得的收益之間關(guān)系的一個過程。風(fēng)險評估則是風(fēng)險管理的基礎(chǔ)，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個SDLC中有關(guān)風(fēng)險級別的過程。 階段1：提取基于資產(chǎn)的威脅概況l 過程1：確定高級管理層的認(rèn)識l 過程2：確定運作管理層的認(rèn)識l 過程3：確定全體職員的認(rèn)識l 過程4：確定威脅輪廓216。 人工審計檢查列表檢查列表（Checklist）用于人工檢查系統(tǒng)存在的各種安全弱點/脆弱性，它針對不同的系統(tǒng)列出待檢查的條目，以保證人工審計結(jié)果數(shù)據(jù)的完備性。從某種程度上來說，被評估方的參與風(fēng)險評估過程的態(tài)度決定是否能取得成功。 定義過程216。 歸檔和維護216。216。 面臨的挑戰(zhàn)可靠地評估信息安全風(fēng)險比評估其他類型的風(fēng)險要困難得多，因為信息安全風(fēng)險因素相關(guān)的可能性和花費的數(shù)據(jù)非常有限，也因為風(fēng)險因素在不斷地改變。3 風(fēng)險評估內(nèi)容風(fēng)險評估的主要內(nèi)容包括三個方面：基于資產(chǎn)的估值與分析、資產(chǎn)本身存在的脆弱性的識別與分析、資產(chǎn)受到的威脅識別以及它的影響與可能性分析。物理資產(chǎn)物理資產(chǎn)主要包括各種主機設(shè)備（比如各類PC機、工作站、服務(wù)器等）、各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號設(shè)備等）、各種安全設(shè)備（比如防火墻設(shè)備、入侵檢測設(shè)備等）、數(shù)據(jù)存儲設(shè)備以及各類基礎(chǔ)物理設(shè)施（比如辦公樓、機房以及輔助的溫度控制、濕度控制、防火防盜報警設(shè)備等）。明確各類資產(chǎn)具備的保護價值和需要的保護層次，從而使稅務(wù)系統(tǒng)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進行資產(chǎn)管理，更有針對性的進行資產(chǎn)保護，最具策略性地進行新的資產(chǎn)投入。高級資產(chǎn)高級資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟損失一般在10萬元至100萬元之間；高級資產(chǎn)的時間敏感性很強，可接受的中斷時間大概在13天之間；高級資產(chǎn)的癱瘓可能導(dǎo)致數(shù)千客戶的不滿意，其造成的社會影響主要集中在稅務(wù)系統(tǒng)的內(nèi)部，但是高級資產(chǎn)的癱瘓引起的法律爭端同樣會正式提交法院立案審理。由于是全省電信IP網(wǎng)的核心路由，不允許發(fā)生中斷（中斷時間限制在秒級），一旦發(fā)生故障將造成約10,000,000元的經(jīng)濟損失，導(dǎo)致全省用戶無法訪問（用戶數(shù)5萬），并導(dǎo)致國家及國際上的不良影響，并可能遭受客戶的控訴，帶來巨額賠償。 弱點評估的內(nèi)容技術(shù)漏洞的評估技術(shù)漏洞主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計和實現(xiàn)缺陷。即：216。 滲透測試其中，需要注意滲透測試的風(fēng)險較其它幾種手段要大得多，在實際評估中需要斟酌使用。一般來說，威脅總是要利用稅務(wù)系統(tǒng)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。根據(jù)威脅的性質(zhì)劃分參照ISO15408 / GB/T18336中的定義對安全威脅的性質(zhì)和類型進行劃分，可以分為以下幾個方面：表5 威脅分類（按性質(zhì)）威脅分類威脅描述Backdoor各種后門和遠(yuǎn)程控制軟件，例如BO、Netbus等Brute Force通過各種途徑對密碼進行暴力破解Daemons服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點，例如amd, nntp等Firewalls各種防火墻及其代理產(chǎn)生的安全弱點，例如Gauntlet Firewall CyberPatrol內(nèi)容檢查弱點Information Gathering各種由于協(xié)議或配置不當(dāng)造成信息泄露弱點，例如finger或rstat的輸出NT Related微軟公司NT操作系統(tǒng)相關(guān)安全弱點Protocol Spoofing協(xié)議中存在的安全弱點，例如TCP序列號猜測弱點Management與管理相關(guān)的安全弱點根據(jù)威脅產(chǎn)生的來源和原因劃分參照BS7799 / ISO17799中的定義對安全威脅的產(chǎn)生來源和原因進行劃分，可以分為以下幾個方面：表6 威脅分類（按產(chǎn)生來源和原因）ID威脅來源威脅描述1非授權(quán)故意行為人的有預(yù)謀的非授權(quán)行為2人為錯誤人為的錯誤3軟件、設(shè)備、線路故障軟件、設(shè)備、線路造成的故障4不可抗力不可抗力 威脅屬性威脅具有兩個屬性：可能性（Likelihood）、影響（Impact）。而影響也依賴于具體資產(chǎn)的價值、分類屬性。評審員（專家）可以根據(jù)具體的評估對象、評估目的選擇具體的安全威脅獲取方式。 系統(tǒng)威脅評估216。最終風(fēng)險對稅務(wù)系統(tǒng)的影響，也就是對風(fēng)險的評估賦值是對上述兩個屬性權(quán)衡作用的結(jié)果。目前采用的算式如下：風(fēng)險值 = 資產(chǎn)價值威脅影響威脅可能性資產(chǎn)弱點等級從資產(chǎn)面臨的若干個子風(fēng)險中，評估者從自己的經(jīng)驗出發(fā)得出該資產(chǎn)面臨的整體風(fēng)險。另外，確定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，對于成功地實施基于網(wǎng)絡(luò)的風(fēng)險管理方案是很關(guān)鍵的。 幫助用戶降低風(fēng)險,改善網(wǎng)絡(luò)運行效率,提高網(wǎng)絡(luò)的穩(wěn)定性；216。對于信息資產(chǎn)的保護首先需要進行分級處理，即按信息的敏感度來劃分。 不同敏感程度的數(shù)據(jù)是否得到了適當(dāng)?shù)谋Ｗo；216。 調(diào)查系統(tǒng)控制所有完成的調(diào)查問卷都應(yīng)該根據(jù)機構(gòu)政策決定的敏感性程度來評論，處理和控制。為每一個系統(tǒng)安排唯一的標(biāo)志符確立與系統(tǒng)相適應(yīng)的安全需要，還有助于分配的資源能夠被充分的利用。邊界控制是評估的一部分，如果邊界控制不合適，對于相互關(guān)聯(lián)系統(tǒng)的評估也會不合適。名字，題目和從事評估的機構(gòu)也要被列出來，機構(gòu)應(yīng)該重新制定相應(yīng)的替代頁。例如，一個系統(tǒng)進行了廣泛的測試，認(rèn)證，和證據(jù)資源的自我評估，在以后的評估中就可以很容易把他作為主線使用和服務(wù)。文件敏感性程度的建立前提是支持高風(fēng)險操作系統(tǒng)要比支持低風(fēng)險操作系統(tǒng)有更多的嚴(yán)格控制。分析結(jié)果將寫在行動計劃中，而且為了反映每一個控制對象和手法的決策，也應(yīng)該創(chuàng)建或是更新系統(tǒng)安全計劃。 綜合風(fēng)險分析從風(fēng)險的定義可以看出，風(fēng)險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風(fēng)險、進而得出整個評估目標(biāo)的風(fēng)險。 威脅方；216。風(fēng)險模型如下： 風(fēng)險分析矩陣可以根據(jù)風(fēng)險信息和數(shù)據(jù)，對風(fēng)險分析予以不同程度的改進。采用下面的賦值矩陣來獲得最終的風(fēng)險表11 風(fēng)險程度和措施數(shù)值符號含義建議處置、措施備注128256E極度風(fēng)險要求立即采取措施：避免？轉(zhuǎn)移？減??？需要具體資產(chǎn)信息64127H高風(fēng)險需要高級管理部門的注意：避免？轉(zhuǎn)移？減??？需要具體資產(chǎn)信息463M中等風(fēng)險必須規(guī)定管理責(zé)任：避免？接受？轉(zhuǎn)移？減?。啃枰唧w資產(chǎn)信息03L低風(fēng)險用日常程序處理：避免？接受？轉(zhuǎn)移？減??？需要具體資產(chǎn)信息 風(fēng)險評估層面216。 業(yè)務(wù)風(fēng)險評估216。 安全策略216。 物理與環(huán)境的安全216。 業(yè)務(wù)連續(xù)性管理216。2）漏洞評估，至少包括以下方面的漏洞分析：物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、網(wǎng)管系統(tǒng)、主機系統(tǒng)、數(shù)據(jù)、應(yīng)用系統(tǒng)、安全系統(tǒng)、安全相關(guān)人員、處理流程、安全管理制度、安全策略。并說明策略制訂、修改的依據(jù)，供稅務(wù)系統(tǒng)參考。 文檔一覽216。 《風(fēng)險評估部分》216。 評估過程評估過程分為3個階段共8個過程。人員：風(fēng)險評估小組以抽選的稅務(wù)系統(tǒng)人員代表建立威脅輪廓（P4）目的：根據(jù)階段1－3明確稅務(wù)系統(tǒng)的關(guān)鍵資產(chǎn)，描述關(guān)鍵資產(chǎn)的安全需求，標(biāo)識關(guān)鍵資產(chǎn)面臨的威脅。人員：風(fēng)險評估小組以及稅務(wù)系統(tǒng)信息中心和業(yè)務(wù)部門技術(shù)人員。調(diào)查與分析需要花費大量的時間用于確認(rèn)相關(guān)信息，因此，合理利用調(diào)查問卷可以事半功倍。撰寫評估報告需要在這種定量分析的基礎(chǔ)上找出風(fēng)險的屬性之間的關(guān)系，陳述綜合分析結(jié)果。這主要適用于一些技術(shù)性弱點而引起的風(fēng)險。[4]. 回避風(fēng)險：在某些情況下，可以決定不繼續(xù)進行可能產(chǎn)生風(fēng)險的活動來回避風(fēng)險。[6]. 接受風(fēng)險：無論采取什么措施，通常資產(chǎn)面臨的風(fēng)險總是在一定程度上存在。例如，如果以相對較低的花費可以大大減小風(fēng)險的程度，則應(yīng)選擇實施這樣的控制方式。主要通過更合理的網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)邏輯關(guān)系設(shè)計來補救整個系統(tǒng)的弱點。在執(zhí)行過程中，為了確保風(fēng)險評估的有效性，還需要監(jiān)控計劃的執(zhí)行情況。 進度安排216。 驗收（日期與方式） 監(jiān)控與執(zhí)行項目管理方法在項目的實施過程中，根據(jù)項目的具體要求，整個項目的管理參考美國項目管理協(xié)會PMI提出的項目管理方法學(xué)，以及一些安全專業(yè)領(lǐng)域的專家、顧問對項目的實施進行規(guī)范管理實施。項目溝通管理采用正規(guī)的項目溝通程序，保證參與項目的各方能夠保持對項目的了解和支持。次數(shù)所處階段主要內(nèi)容參加人員1準(zhǔn)備期1． 項目組成立2． 確定雙方項目組成員3． 確定整體實施計劃4． 確定下一階段的詳細(xì)實施計劃1． 甲方評估小組全體人員2． 乙方項目組全體成員3． 雙方的有關(guān)領(lǐng)導(dǎo)1準(zhǔn)備期對準(zhǔn)備期所做的工作進行溝通，及時發(fā)現(xiàn)問題，確定解決方式。雙方項目組全體成員不定在整個項目的實施過程中，根據(jù)情況安排對影響項目進程的問題進行溝通，確定解決方式雙方項目組組長及相關(guān)人員評估過程控制為了保證在評估項目實施過程中評估方能有效地開展工作，并保證整個項目的可控，需要雙方共同組成項目協(xié)調(diào)小組并在項目正式實施前召開會議，討論相關(guān)事項并形成正式的書面材料，確定雙方在項目中的責(zé)任和義務(wù)。 風(fēng)險評估項目經(jīng)理風(fēng)險評估項目實施隊伍自組建之日起，承擔(dān)雙方以合同或其它形式明確的各項任務(wù)。(4) 項目協(xié)調(diào)——與各級單位進行協(xié)調(diào)，解決工程組織接口及技術(shù)接口問題；定期主持整個系統(tǒng)專題協(xié)調(diào)會，及時解決各系統(tǒng)間出現(xiàn)的相關(guān)問題。216。216。 安全培訓(xùn)小組負(fù)責(zé)對被評估方進行實施前后的相關(guān)知識與配合要求培訓(xùn)。 高級管理人員在應(yīng)該關(guān)心并對完成使命負(fù)最終責(zé)任的標(biāo)準(zhǔn)下，高級管理