【正文】 ，填寫《服務(wù)成果提交確認(rèn)書》 ，并由項(xiàng)目經(jīng)理認(rèn)可后客戶提供，同時(shí)為客戶進(jìn)行成果匯報(bào)。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。表93) 成果輸出： 《風(fēng)險(xiǎn)評(píng)估綜合報(bào)告》. 風(fēng)險(xiǎn)處置1) 服務(wù)目標(biāo)風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。4 高 一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害。根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法，計(jì)算每種資產(chǎn)面臨的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍，并對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。在這個(gè)過程中，將采用最新的方法進(jìn)行綜合分析，表述出威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對(duì)哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對(duì)策來防范威脅，減少脆弱性。3 中 如果被威脅利用，將對(duì)資產(chǎn)造成一般損害 。并依據(jù)其脆弱性被利用的難易程度和被成功利用后所產(chǎn)生的影響進(jìn)行賦值量化。? 人工審計(jì)? 工具掃描應(yīng)用系統(tǒng)? 含應(yīng)用中間件，從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識(shí)別評(píng)估。脆弱性識(shí)別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。1 很低 ? 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。威脅主要依據(jù)其出現(xiàn)頻率來賦值：等級(jí) 標(biāo)識(shí) 定義5 很高 ? 出現(xiàn)的頻率很高（或≥1 次/周） ；或在大多數(shù)情況下幾乎不可避27 / 53免；或可以證實(shí)經(jīng)常發(fā)生過。威脅識(shí)別的方法有：人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。1 很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)。等級(jí) 標(biāo)識(shí) 描述5 很高 非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。? 資產(chǎn)分析在資產(chǎn)識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)在遭受泄密、中斷、損害等破壞時(shí)對(duì)系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所產(chǎn)生的影響。? 獲得支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險(xiǎn)評(píng)估實(shí)施方案，得到客戶管理者的支持、批準(zhǔn)；對(duì)管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險(xiǎn)評(píng)估中的任務(wù)。? 系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。組織實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。系統(tǒng)運(yùn)維管理評(píng)估? 系統(tǒng)運(yùn)維管理包括運(yùn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備使用管理、運(yùn)行監(jiān)控管理、惡意代碼防護(hù)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置和應(yīng)急計(jì)劃管理等方面內(nèi)容。因此，他們的知識(shí)結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的安全。安全管理機(jī)構(gòu)評(píng)估? 評(píng)估內(nèi)容：安全管理機(jī)構(gòu)包括安全管理的崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作等方面內(nèi)容，嚴(yán)格的安全管理應(yīng)該由相對(duì)獨(dú)立的職能部門和崗位來完成。21 / 53應(yīng)用系統(tǒng)評(píng)估? 評(píng)估對(duì)象：應(yīng)用中間件（IIS、APACHE、TOMCAT、Weblogic 等）和應(yīng)用系統(tǒng)軟件? 評(píng)估內(nèi)容：從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識(shí)別評(píng)估。工具掃描具有很好的效率和20 / 53速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。該方法也越來越受到國際/國內(nèi)信息安全業(yè)界的認(rèn)可和重視。掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。. 工具掃描? 工具自動(dòng)評(píng)估是用各種商用安全評(píng)估系統(tǒng)或掃描器，根據(jù)其內(nèi)置的評(píng)估內(nèi)容、測(cè)試方法、評(píng)估策略及相關(guān)數(shù)據(jù)庫信息，從系統(tǒng)內(nèi)部對(duì)主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫等系統(tǒng)進(jìn)行一系列的設(shè)置檢查，使其可預(yù)防潛在安全風(fēng)險(xiǎn)問題，如弱口令、用戶權(quán)限設(shè)置、用戶帳戶設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑點(diǎn)等。. 人工審計(jì)? 人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會(huì)對(duì)現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對(duì)被評(píng)估對(duì)象的資源占用也小于工具評(píng)估。對(duì)進(jìn)行收集文檔進(jìn)行深入分析，梳理業(yè)務(wù)系統(tǒng)安全現(xiàn)狀。? 預(yù)防信息安全事故，保證客戶業(yè)務(wù)的連續(xù)性，使客戶的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，防止系統(tǒng)入侵安全隱患再次被破壞或惡意利用，避免業(yè)務(wù)經(jīng)濟(jì)損失數(shù)量持續(xù)增加。通過對(duì)安全風(fēng)險(xiǎn)的分析和識(shí)別，同時(shí)平衡安全風(fēng)險(xiǎn)與安全成本，啟明公司提供專業(yè)的信息安全規(guī)劃和建設(shè)建議，對(duì)于客戶未來的信息安全工作，提供重要參考和依據(jù)。? 為客戶進(jìn)行信息安全規(guī)劃建設(shè)、安全技術(shù)體系建設(shè)、安全管理體系建設(shè)、安全風(fēng)險(xiǎn)管理奠定基石。認(rèn)識(shí)自身存在的脆弱性不足，能夠有目的性的進(jìn)行補(bǔ)遺整改。? 幫助客戶進(jìn)行組織內(nèi)資產(chǎn)的分級(jí)管理，通過定量分析，明確各信息系統(tǒng)對(duì)客戶的重要程度，通過有效整合信息系統(tǒng)的安全需求，在有限的資源環(huán)境下，更好的提高客戶的信息安全水平。. 脆弱性賦值列表綜合報(bào)告的子報(bào)告，描述出通過安全管理調(diào)查、工具掃描、手工檢查進(jìn)行專業(yè)分析后，總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。? 風(fēng)險(xiǎn)轉(zhuǎn)移：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)。對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處理計(jì)劃。在這個(gè)過程中，采用最新的方法表述威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對(duì)哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對(duì)策來防范威脅，減少脆弱性。在評(píng)估中，從技術(shù)脆弱性和安全管理脆弱性兩個(gè)方面進(jìn)行脆弱性檢查。識(shí)別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無論對(duì)于多么安全的信息系統(tǒng)，它都存在。. 服務(wù)產(chǎn)品功能資 產(chǎn) 分 類資 產(chǎn) 賦 值業(yè) 務(wù) 調(diào) 研 資 產(chǎn) 評(píng) 估威 脅 分 析威 脅 賦 值威 脅 識(shí) 別 威 脅 評(píng) 估 脆 弱 性 評(píng) 估技 術(shù) 脆 弱 性 識(shí) 別管 理 脆 弱 性 識(shí) 別1 2風(fēng) 險(xiǎn) 綜 合 分 析3 脆 弱 性 賦 值4風(fēng) 險(xiǎn) 綜 合 識(shí) 別 風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 處 置 計(jì) 劃5風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)控 制 措 施 預(yù) 期 效 果 實(shí) 施 條 件 進(jìn) 度 安 排 責(zé) 任 部 門圖1. 資產(chǎn)評(píng)估資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)10 / 53或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)基于技術(shù)方面的安全評(píng)估、基于管理方面管理評(píng)估和綜合兩者的全面評(píng)估，客戶可以全面了解組織內(nèi)部的信息安全狀況，盡早發(fā)現(xiàn)存在的問題。 啟明星辰信息安全為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評(píng)估服務(wù)。第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章 啟明星辰信息安全服務(wù)產(chǎn)品介紹. 服務(wù)產(chǎn)品概述 啟明星辰信息安全風(fēng)險(xiǎn)評(píng)估服務(wù) 信息安全風(fēng)險(xiǎn)永遠(yuǎn)存在，安全產(chǎn)品不能解決所有的問題。風(fēng)險(xiǎn)評(píng)估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的安全狀況，全面了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn)，明確采取何種有效措施，降低威脅事件發(fā)生的可能性或者其所造成的影響，減少信息系統(tǒng)的脆弱性，從而將風(fēng)險(xiǎn)降低到可接受的水平；同時(shí)，可以定期了解信息系統(tǒng)的安全防護(hù)水平并為后期安全規(guī)劃建設(shè)的提出提供原始依據(jù)，并作為今后其他工作的參考。國家部委、各省信息辦依據(jù)中辦發(fā) 2022 5 號(hào)、9 號(hào)文件，開展重要行業(yè)安全風(fēng)險(xiǎn)評(píng)估工作。國內(nèi)風(fēng)險(xiǎn)評(píng)估推進(jìn)工作情況如下：時(shí)間 具體推進(jìn)事件歷程2022 年? 《關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)[2022]27 號(hào)）中明確提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作” 。4 / 53目錄第 1 章 風(fēng)險(xiǎn)評(píng)估的重要性 ..................................................................................................................5. 風(fēng)險(xiǎn)評(píng)估背景 ..............................................................................................................................5. 風(fēng)險(xiǎn)評(píng)估目的 ..............................................................................................................................6. 風(fēng)險(xiǎn)評(píng)估方式 ..............................................................................................................................7第 2 章 啟明星辰信息安全服務(wù)產(chǎn)品介紹 ..........................................................................................7. 服務(wù)產(chǎn)品概述 ..............................................................................................................................7. 服務(wù)產(chǎn)品功能 ..............................................................................................................................9. 資產(chǎn)評(píng)估 ............................................................................................................................9. 威脅評(píng)估 ..........................................................................................................................10. 脆弱性評(píng)估 ......................................................................................................................10. 風(fēng)險(xiǎn)綜合分析 ..................................................................................................................10. 風(fēng)險(xiǎn)處置計(jì)劃 ..................................................................................................................11. 服務(wù)產(chǎn)品交付 ............................................................................................................................12. 風(fēng)險(xiǎn)評(píng)估綜合報(bào)告 ..........................................................................................................12. 資產(chǎn)賦值列表 ..................................................................................................................12. 威脅賦值列表 ..................................................................................................................12. 脆弱性賦值列表 ..