【正文】 ..........................................................41第 1 章第 1 章 風(fēng)險(xiǎn)評估的重要性. 風(fēng)險(xiǎn)評估背景隨著政府部門、企事業(yè)單位以及各行各業(yè)對信息系統(tǒng)依賴程度的日益增強(qiáng)，信息安全問題受到普遍關(guān)注。未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)有限公司。信息反饋如果任何寶貴意見，請反饋：信箱：北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)摟啟明大廈郵編：100193電話：01082779088您可以訪問啟明星辰網(wǎng)站：：//，獲得最新的技術(shù)和服務(wù)信息。信息安全風(fēng)險(xiǎn)評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段，是信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。2022 年? 原國信辦召開了信息安全風(fēng)險(xiǎn)評估推進(jìn)工作會(huì)議。 ”表1.. 風(fēng)險(xiǎn)評估目的風(fēng)險(xiǎn)評估是對網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過程，是依據(jù)國際/國家/地方有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，評估信息系統(tǒng)的脆弱性、面臨的威脅以及脆弱性被威脅源利用的可能性和利用后對信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性所產(chǎn)生的實(shí)際負(fù)面影響，并以此識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。? 委托評估 是由被評估信息系統(tǒng)的擁有者發(fā)起，委托專業(yè)的服務(wù)機(jī)構(gòu)，參照國家法規(guī)與標(biāo)準(zhǔn)，對其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。啟明星辰信息安全強(qiáng)調(diào)安全必須為業(yè)務(wù)服務(wù)，以最佳實(shí)踐作為信息安全工作的落腳點(diǎn)，通過有效的安全服務(wù)，讓安全技術(shù)有效地發(fā)揮作用。同時(shí)，應(yīng)用系統(tǒng)自身的安全性也是風(fēng)險(xiǎn)管理的重要組成部分。加強(qiáng)組織各層面對于信息安全工作的認(rèn)識(shí)和理解程度，提高組織各層面的信息安全保障意識(shí)，對于規(guī)范和系統(tǒng)化提高信息安全保障水平提供了有效的方法。. 威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。在威脅評估過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷，一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對不同的資產(chǎn)造成影響。在進(jìn)行脆弱性評估時(shí)，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。在完成資產(chǎn)、威脅和脆弱性的評估后，進(jìn)入安全風(fēng)險(xiǎn)的評估階段。風(fēng)險(xiǎn)分析原來如下圖所示：威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價(jià) 值風(fēng) 險(xiǎn) 值安 全 事 件 的 可 能 性安 全 事 件 造 成 損 失威 脅 識(shí) 別脆 弱 性 識(shí) 別資 產(chǎn) 識(shí) 別圖2. 風(fēng)險(xiǎn)處置計(jì)劃風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過程中對不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全12 / 53策略。? 風(fēng)險(xiǎn)降低：通過實(shí)現(xiàn)安全措施來降低風(fēng)險(xiǎn)，從而將脆弱性被威脅源利用 后可能帶來的不利影響最小化? 風(fēng)險(xiǎn)規(guī)避：不介入風(fēng)險(xiǎn)，通過消除風(fēng)險(xiǎn)的原因和/或后果來規(guī)避風(fēng)險(xiǎn)。. 威脅賦值列表綜合報(bào)告的子報(bào)告，描述總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。. 服務(wù)產(chǎn)品收益. 資產(chǎn)識(shí)別? 幫助客戶對組織內(nèi)資產(chǎn)進(jìn)行梳理，針對在傳統(tǒng)資產(chǎn)清理過程中，比較容易被忽略的數(shù)據(jù)資產(chǎn)，服務(wù)資產(chǎn)等，使客戶從原有的固定資產(chǎn)保護(hù)，提升為信息資產(chǎn)保護(hù)。. 風(fēng)險(xiǎn)識(shí)別? 對客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理，識(shí)別資產(chǎn)的重要性；清晰自身所面臨的威脅及其威脅方式方法，便于有針對性地防護(hù)。. 建設(shè)指導(dǎo)? 通過專業(yè)的安全技術(shù)和專業(yè)人員及時(shí)全面的掌握客戶 IT 環(huán)境的安全現(xiàn)狀和面臨的風(fēng)險(xiǎn)，并提出改進(jìn)建議，降低風(fēng)險(xiǎn)。? 定期風(fēng)險(xiǎn)評估，幫助客戶了解組織信息安全改進(jìn)情況與發(fā)展方向，為以后的信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考。. 業(yè)務(wù)保障? 可以幫助客戶及時(shí)發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問題，使安全風(fēng)險(xiǎn)降低到可以接受并且可以被有效管理的范圍內(nèi)，保障客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)連續(xù)性。. 評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型 參考標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)? ISO15408 信息技術(shù)安全評估準(zhǔn)則? ISO/IEC TR 13335 信息和通信技術(shù)安全管理? ISO/TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南? ISO/IEC 27000 信息安全管理體系系列標(biāo)準(zhǔn)? AS/NZS 4360 風(fēng)險(xiǎn)管理? NIST SP 80030 IT系統(tǒng)風(fēng)險(xiǎn)管理指南國內(nèi)標(biāo)準(zhǔn)? GB17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則? GBT 20984 信息安全風(fēng)險(xiǎn)評估規(guī)范? GBT 22239 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求? GBZ 20985 信息技術(shù)安全技術(shù)信息安全事件管理指南? GBZ 20986 信息安全技術(shù)信息安全事件分類分級(jí)指南? 各個(gè)組織或行業(yè)內(nèi)相關(guān)要求表118 / 53. 服務(wù)評估方法評 估 方 法問 卷 訪 談 人 工 審 計(jì)工 具 掃 描滲 透 測 試圖5注：滲透測試模塊為可選模塊. 訪談?wù){(diào)研? 收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT 規(guī)劃、管理制度、原有項(xiàng)目安全成果等信息文檔。人員訪談可以了解人員安全意識(shí)、對安全管理獲知的程度、對安全技術(shù)的掌握程度，并且收集大量有用信息，全面了解信息系統(tǒng)的安全需求，深入了解客戶各層面的安全現(xiàn)狀。人工安全評估對實(shí)施人員的安全知識(shí)、安全技術(shù)和安全經(jīng)驗(yàn)要求很高，因?yàn)樗麄儽仨毩私庾钚碌陌踩┒?、掌握多種先進(jìn)的安全技術(shù)和積累豐富的評估經(jīng)驗(yàn)，這樣才能對本地安全評估中位于物理層、網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層和用戶層的所有安全對19 / 53象目標(biāo)進(jìn)行最有效和最完整的安全評估，并提供最合理和最及時(shí)的安全建議。工具評估部分將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類的掃描軟件來分別進(jìn)行。滲透測試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。? 滲透測試是工具掃描和人工評估的重要補(bǔ)充。主機(jī)及數(shù)據(jù)系統(tǒng)評估? 評估對象：操作及數(shù)據(jù)庫系統(tǒng)（Windows、Linux、Unix 、 Oracle、 informix、ibm db sql server、my sql等)? 評估內(nèi)容：從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別評估。對安全管理制度的制定、發(fā)布、評審、修訂進(jìn)行評估。工作人員直接運(yùn)行、管理和維護(hù)信息系統(tǒng)的各種設(shè)備、設(shè)施和相關(guān)技術(shù)手段，與他們直接發(fā)生關(guān)聯(lián)關(guān)系。只有在信息系統(tǒng)安全建設(shè)的各個(gè)階段確保安全，才能使得運(yùn)行中的信息系統(tǒng)有安全保證。表3第 4 章第 4 章 啟明星辰信息安全服務(wù)產(chǎn)品流程. 服務(wù)流程藍(lán)圖階 段 1 ： 服 務(wù) 啟 動(dòng) 階 段 2 ： 資 產(chǎn) 評 估 階 段 3 ： 威 脅 評 估 階 段 4 ： 脆 弱 性 評 估 階 段 5 ： 風(fēng) 險(xiǎn) 分 析 階 段 6 ： 處 置 計(jì) 劃 階 段 7 ： 服 務(wù) 驗(yàn) 收項(xiàng) 目 實(shí) 施 風(fēng) 險(xiǎn) 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實(shí) 施 計(jì) 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識(shí) 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識(shí) 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計(jì) 劃報(bào) 告 提 交成 果 匯 報(bào)服 務(wù) 驗(yàn) 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識(shí) 別管 理 脆 弱 識(shí) 別控 制 措 施 識(shí) 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評 估 報(bào) 告 》《 服 務(wù) 實(shí) 施 計(jì) 劃 》 《 威 脅 評 估 報(bào) 告 》 《 脆 弱 性 評 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 評 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 處 置 計(jì) 劃 》 《 服 務(wù) 驗(yàn) 收 報(bào) 告 》風(fēng) 險(xiǎn) 綜 合 識(shí) 別風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 綜 合 評 價(jià)安 全 目 標(biāo) 確 定安 全 措 施 選 擇實(shí) 施 內(nèi) 容 安 排制 定 處 置 計(jì) 劃圖6. 服務(wù)流程階段. 服務(wù)啟動(dòng)1) 服務(wù)目標(biāo)風(fēng)險(xiǎn)評估啟動(dòng)是整個(gè)風(fēng)險(xiǎn)評估過程有效性的保證。風(fēng)險(xiǎn)評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個(gè)獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識(shí)產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。風(fēng)險(xiǎn)評估計(jì)劃的內(nèi)容一般包括：? 團(tuán)隊(duì)組織：包括評估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；? 工作計(jì)劃：風(fēng)險(xiǎn)評估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；? 時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。信息系統(tǒng)資可以分為硬件、軟件、數(shù)據(jù)、人員、服務(wù)、其他類資產(chǎn)等。資產(chǎn)賦值的過程也就是對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。2 低 不太重要，其安全屬性破壞后可能對組織造成較低的損失。26 / 532) 服務(wù)內(nèi)容? 威脅識(shí)別威脅識(shí)別要從威脅的主體、威脅途徑和威脅方式三個(gè)方面來進(jìn)行：威脅主體：分為人為因素和環(huán)境因素。威脅方式：主要有傳播計(jì)算機(jī)病毒、傳播異常信息(垃圾郵件、反動(dòng)、色情、敏感信息)、掃描監(jiān)聽、網(wǎng)絡(luò)攻擊(后門、漏洞、口令、拒絕服務(wù)等)、越權(quán)或?yàn)E用、行為抵賴、濫用網(wǎng)絡(luò)資源(P2P 下載等)、人為災(zāi)害(水、火等)、人為基礎(chǔ)設(shè)施故障(電力、網(wǎng)絡(luò)等)、竊取、破壞硬件、軟件和數(shù)據(jù)等。同時(shí)為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。2 低 ? 出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過。脆弱性識(shí)別可以以資產(chǎn)為核心，針對每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn)，并對脆弱性的嚴(yán)重程度進(jìn)行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對應(yīng)起來。? 問卷訪談? 人工審計(jì)? 工具掃描主機(jī)及數(shù)據(jù)庫系統(tǒng)? 從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別評估。 ? 問卷訪談表7? 脆弱性分析在脆弱性識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)所存在的各方面脆弱性即基礎(chǔ)環(huán)境脆弱性、安全管理脆弱性、技術(shù)脆弱性。4 高 如果被威脅利用，將對資產(chǎn)造成重大損害。 29 / 53表83. 階段成果輸出：《脆弱性賦值列表》. 風(fēng)險(xiǎn)分析1) 服務(wù)目標(biāo)風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。 ） 可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值，如矩陣法或相乘法?？蓪L(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。風(fēng)險(xiǎn)等級(jí)劃分方法如下所示：等級(jí) 標(biāo)識(shí) 描述5 很高 一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣。1 很低 一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)。根據(jù)安全需求的輕重緩急以及相關(guān)標(biāo)準(zhǔn)和安全技術(shù)保障框架，制定出適合客戶的風(fēng)險(xiǎn)處置計(jì)劃方案。應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。最后對項(xiàng)目依據(jù)驗(yàn)收方案進(jìn)行項(xiàng)目最終驗(yàn)收。啟明星辰信息安全擁有全球領(lǐng)先的項(xiàng)目實(shí)施和管理方法論－PMM4? 。? 《工作范圍說明書》服務(wù)溝通管理? 及時(shí)準(zhǔn)確順暢的信息溝通，是保障項(xiàng)目在有效的協(xié)調(diào)和管理下，順利實(shí)施的重要手段。? 《風(fēng)險(xiǎn)管理措施》服務(wù)質(zhì)量管理? 基于明確的質(zhì)量管理原則，在項(xiàng)目實(shí)施過程中執(zhí)行有效的質(zhì)量管理流程，這包括制定質(zhì)量管理計(jì)劃、執(zhí)行質(zhì)量保證計(jì)劃、監(jiān)控質(zhì)量保證執(zhí)行三大步驟，從而最終實(shí)現(xiàn)對交付質(zhì)量的有效控制，降低令客戶不滿意可能性。? 《文檔管理規(guī)范》表1034 / 53第 5 章 啟明星辰服務(wù)產(chǎn)品優(yōu)勢第 5 章 公司整體優(yōu)勢第 5 章 啟明星辰公司成立于 1996 年，由留美博士嚴(yán)望佳女士創(chuàng)建，是國內(nèi)最具實(shí)力的、擁有完全自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信安全管理平臺(tái)、安全服務(wù)與解決方案的綜合提供商。目前，公司在全國各省市自治區(qū)設(shè)立三十多家分支機(jī)構(gòu)，擁有覆蓋全國的渠道和售后服務(wù)體系 。通過不斷耕耘，已經(jīng)成為在政府、電信、金融、能源、交通、軍隊(duì)、軍工、制造等國內(nèi)高端企業(yè)級(jí)客戶的首選品牌 ：啟明星辰在政府和軍隊(duì)擁有 80%的市場占有率，為世界五百強(qiáng)中 60%的中國企業(yè)客戶提供安全產(chǎn)品及服務(wù)；在金融領(lǐng)域，啟明星辰對政策性銀行、國有控股商業(yè)銀行、全國性股份制商業(yè)銀行實(shí)現(xiàn) 90%的覆蓋率。第 5 章 服務(wù)發(fā)展優(yōu)勢38 / 53第 5 章 啟明星辰為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評估服務(wù)。啟明星辰認(rèn)為，最合理的信息安全保障體系建設(shè)方案是要在明確客戶自身資源優(yōu)勢的情況下，在管理與技術(shù)之間進(jìn)行平衡。同時(shí)更為重要的是各種資源必須要與客戶存在的各種信息安全問題或者說信息安全風(fēng)險(xiǎn)相結(jié)合。啟明星辰的風(fēng)險(xiǎn)評估工作目標(biāo)就是從業(yè)務(wù)實(shí)際需求出發(fā)，分析資產(chǎn)、弱點(diǎn)、威脅、安全措施和安全風(fēng)險(xiǎn)等各要素的關(guān)系（見下圖） ，運(yùn)用風(fēng)險(xiǎn)評估理論和結(jié)構(gòu)化的科學(xué)分析方法，理解網(wǎng)絡(luò)和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)和客戶信息安全工作中存在的問題，并在此基礎(chǔ)上提供最優(yōu)化的解決方案和加固建議。第 5 章 研發(fā)團(tuán)隊(duì):啟