【正文】 ..........................................................41第 1 章第 1 章 風(fēng)險評估的重要性. 風(fēng)險評估背景隨著政府部門、企事業(yè)單位以及各行各業(yè)對信息系統(tǒng)依賴程度的日益增強，信息安全問題受到普遍關(guān)注。未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途。本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)有限公司。信息反饋如果任何寶貴意見，請反饋：信箱：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號摟啟明大廈郵編：100193電話：01082779088您可以訪問啟明星辰網(wǎng)站：：//，獲得最新的技術(shù)和服務(wù)信息。信息安全風(fēng)險評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護以及廢棄各個階段，是信息安全等級保護制度建設(shè)的重要科學(xué)方法之一。2022 年? 原國信辦召開了信息安全風(fēng)險評估推進工作會議。 ”表1.. 風(fēng)險評估目的風(fēng)險評估是對網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)方面風(fēng)險進行辨識和分析的過程，是依據(jù)國際/國家/地方有關(guān)信息安全技術(shù)標準，評估信息系統(tǒng)的脆弱性、面臨的威脅以及脆弱性被威脅源利用的可能性和利用后對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性所產(chǎn)生的實際負面影響，并以此識別信息系統(tǒng)的安全風(fēng)險的過程。? 委托評估 是由被評估信息系統(tǒng)的擁有者發(fā)起，委托專業(yè)的服務(wù)機構(gòu)，參照國家法規(guī)與標準，對其維護的信息系統(tǒng)進行的風(fēng)險評估活動。啟明星辰信息安全強調(diào)安全必須為業(yè)務(wù)服務(wù)，以最佳實踐作為信息安全工作的落腳點，通過有效的安全服務(wù)，讓安全技術(shù)有效地發(fā)揮作用。同時，應(yīng)用系統(tǒng)自身的安全性也是風(fēng)險管理的重要組成部分。加強組織各層面對于信息安全工作的認識和理解程度，提高組織各層面的信息安全保障意識，對于規(guī)范和系統(tǒng)化提高信息安全保障水平提供了有效的方法。. 威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。在威脅評估過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷，一項資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。在進行脆弱性評估時，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。在完成資產(chǎn)、威脅和脆弱性的評估后，進入安全風(fēng)險的評估階段。風(fēng)險分析原來如下圖所示：威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴 重 程 度資 產(chǎn) 價 值風(fēng) 險 值安 全 事 件 的 可 能 性安 全 事 件 造 成 損 失威 脅 識 別脆 弱 性 識 別資 產(chǎn) 識 別圖2. 風(fēng)險處置計劃風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全12 / 53策略。? 風(fēng)險降低：通過實現(xiàn)安全措施來降低風(fēng)險，從而將脆弱性被威脅源利用 后可能帶來的不利影響最小化? 風(fēng)險規(guī)避：不介入風(fēng)險，通過消除風(fēng)險的原因和/或后果來規(guī)避風(fēng)險。. 威脅賦值列表綜合報告的子報告，描述總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。. 服務(wù)產(chǎn)品收益. 資產(chǎn)識別? 幫助客戶對組織內(nèi)資產(chǎn)進行梳理，針對在傳統(tǒng)資產(chǎn)清理過程中，比較容易被忽略的數(shù)據(jù)資產(chǎn)，服務(wù)資產(chǎn)等，使客戶從原有的固定資產(chǎn)保護，提升為信息資產(chǎn)保護。. 風(fēng)險識別? 對客戶的關(guān)鍵信息資產(chǎn)進行全面梳理，識別資產(chǎn)的重要性；清晰自身所面臨的威脅及其威脅方式方法，便于有針對性地防護。. 建設(shè)指導(dǎo)? 通過專業(yè)的安全技術(shù)和專業(yè)人員及時全面的掌握客戶 IT 環(huán)境的安全現(xiàn)狀和面臨的風(fēng)險，并提出改進建議，降低風(fēng)險。? 定期風(fēng)險評估，幫助客戶了解組織信息安全改進情況與發(fā)展方向，為以后的信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考。. 業(yè)務(wù)保障? 可以幫助客戶及時發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問題，使安全風(fēng)險降低到可以接受并且可以被有效管理的范圍內(nèi)，保障客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運行和業(yè)務(wù)連續(xù)性。. 評估標準標準類型 參考標準國際標準? ISO15408 信息技術(shù)安全評估準則? ISO/IEC TR 13335 信息和通信技術(shù)安全管理? ISO/TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南? ISO/IEC 27000 信息安全管理體系系列標準? AS/NZS 4360 風(fēng)險管理? NIST SP 80030 IT系統(tǒng)風(fēng)險管理指南國內(nèi)標準? GB17859 計算機信息系統(tǒng)安全保護等級劃分準則? GBT 20984 信息安全風(fēng)險評估規(guī)范? GBT 22239 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求? GBZ 20985 信息技術(shù)安全技術(shù)信息安全事件管理指南? GBZ 20986 信息安全技術(shù)信息安全事件分類分級指南? 各個組織或行業(yè)內(nèi)相關(guān)要求表118 / 53. 服務(wù)評估方法評 估 方 法問 卷 訪 談 人 工 審 計工 具 掃 描滲 透 測 試圖5注：滲透測試模塊為可選模塊. 訪談?wù){(diào)研? 收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT 規(guī)劃、管理制度、原有項目安全成果等信息文檔。人員訪談可以了解人員安全意識、對安全管理獲知的程度、對安全技術(shù)的掌握程度，并且收集大量有用信息，全面了解信息系統(tǒng)的安全需求，深入了解客戶各層面的安全現(xiàn)狀。人工安全評估對實施人員的安全知識、安全技術(shù)和安全經(jīng)驗要求很高，因為他們必須了解最新的安全漏洞、掌握多種先進的安全技術(shù)和積累豐富的評估經(jīng)驗，這樣才能對本地安全評估中位于物理層、網(wǎng)絡(luò)層、主機層、數(shù)據(jù)層和用戶層的所有安全對19 / 53象目標進行最有效和最完整的安全評估，并提供最合理和最及時的安全建議。工具評估部分將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類的掃描軟件來分別進行。滲透測試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。? 滲透測試是工具掃描和人工評估的重要補充。主機及數(shù)據(jù)系統(tǒng)評估? 評估對象：操作及數(shù)據(jù)庫系統(tǒng)（Windows、Linux、Unix 、 Oracle、 informix、ibm db sql server、my sql等)? 評估內(nèi)容：從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別評估。對安全管理制度的制定、發(fā)布、評審、修訂進行評估。工作人員直接運行、管理和維護信息系統(tǒng)的各種設(shè)備、設(shè)施和相關(guān)技術(shù)手段，與他們直接發(fā)生關(guān)聯(lián)關(guān)系。只有在信息系統(tǒng)安全建設(shè)的各個階段確保安全，才能使得運行中的信息系統(tǒng)有安全保證。表3第 4 章第 4 章 啟明星辰信息安全服務(wù)產(chǎn)品流程. 服務(wù)流程藍圖階 段 1 ： 服 務(wù) 啟 動 階 段 2 ： 資 產(chǎn) 評 估 階 段 3 ： 威 脅 評 估 階 段 4 ： 脆 弱 性 評 估 階 段 5 ： 風(fēng) 險 分 析 階 段 6 ： 處 置 計 劃 階 段 7 ： 服 務(wù) 驗 收項 目 實 施 風(fēng) 險 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實 施 計 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計 劃報 告 提 交成 果 匯 報服 務(wù) 驗 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識 別管 理 脆 弱 識 別控 制 措 施 識 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評 估 報 告 》《 服 務(wù) 實 施 計 劃 》 《 威 脅 評 估 報 告 》 《 脆 弱 性 評 估 報 告 》 《 風(fēng) 險 評 估 報 告 》 《 風(fēng) 險 處 置 計 劃 》 《 服 務(wù) 驗 收 報 告 》風(fēng) 險 綜 合 識 別風(fēng) 險 模 型 計 算風(fēng) 險 接 收 準 則風(fēng) 險 綜 合 評 價安 全 目 標 確 定安 全 措 施 選 擇實 施 內(nèi) 容 安 排制 定 處 置 計 劃圖6. 服務(wù)流程階段. 服務(wù)啟動1) 服務(wù)目標風(fēng)險評估啟動是整個風(fēng)險評估過程有效性的保證。風(fēng)險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu)，也可能是某個獨立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。風(fēng)險評估計劃的內(nèi)容一般包括：? 團隊組織：包括評估團隊成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；? 工作計劃：風(fēng)險評估各階段的工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；? 時間進度安排：項目實施的時間進度安排。信息系統(tǒng)資可以分為硬件、軟件、數(shù)據(jù)、人員、服務(wù)、其他類資產(chǎn)等。資產(chǎn)賦值的過程也就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。2 低 不太重要，其安全屬性破壞后可能對組織造成較低的損失。26 / 532) 服務(wù)內(nèi)容? 威脅識別威脅識別要從威脅的主體、威脅途徑和威脅方式三個方面來進行：威脅主體：分為人為因素和環(huán)境因素。威脅方式：主要有傳播計算機病毒、傳播異常信息(垃圾郵件、反動、色情、敏感信息)、掃描監(jiān)聽、網(wǎng)絡(luò)攻擊(后門、漏洞、口令、拒絕服務(wù)等)、越權(quán)或濫用、行為抵賴、濫用網(wǎng)絡(luò)資源(P2P 下載等)、人為災(zāi)害(水、火等)、人為基礎(chǔ)設(shè)施故障(電力、網(wǎng)絡(luò)等)、竊取、破壞硬件、軟件和數(shù)據(jù)等。同時為最后綜合風(fēng)險分析提供參考數(shù)據(jù)。2 低 ? 出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn),識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。? 問卷訪談? 人工審計? 工具掃描主機及數(shù)據(jù)庫系統(tǒng)? 從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別評估。 ? 問卷訪談表7? 脆弱性分析在脆弱性識別的基礎(chǔ)上，進一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)所存在的各方面脆弱性即基礎(chǔ)環(huán)境脆弱性、安全管理脆弱性、技術(shù)脆弱性。4 高 如果被威脅利用，將對資產(chǎn)造成重大損害。 29 / 53表83. 階段成果輸出：《脆弱性賦值列表》. 風(fēng)險分析1) 服務(wù)目標風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。 ） 可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值，如矩陣法或相乘法?？蓪L(fēng)險劃分為五級，等級越高，風(fēng)險越高。風(fēng)險等級劃分方法如下所示：等級 標識 描述5 很高 一旦發(fā)生將產(chǎn)生非常嚴重的經(jīng)濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣。1 很低 一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補。根據(jù)安全需求的輕重緩急以及相關(guān)標準和安全技術(shù)保障框架，制定出適合客戶的風(fēng)險處置計劃方案。應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。最后對項目依據(jù)驗收方案進行項目最終驗收。啟明星辰信息安全擁有全球領(lǐng)先的項目實施和管理方法論－PMM4? 。? 《工作范圍說明書》服務(wù)溝通管理? 及時準確順暢的信息溝通，是保障項目在有效的協(xié)調(diào)和管理下，順利實施的重要手段。? 《風(fēng)險管理措施》服務(wù)質(zhì)量管理? 基于明確的質(zhì)量管理原則，在項目實施過程中執(zhí)行有效的質(zhì)量管理流程，這包括制定質(zhì)量管理計劃、執(zhí)行質(zhì)量保證計劃、監(jiān)控質(zhì)量保證執(zhí)行三大步驟，從而最終實現(xiàn)對交付質(zhì)量的有效控制，降低令客戶不滿意可能性。? 《文檔管理規(guī)范》表1034 / 53第 5 章 啟明星辰服務(wù)產(chǎn)品優(yōu)勢第 5 章 公司整體優(yōu)勢第 5 章 啟明星辰公司成立于 1996 年，由留美博士嚴望佳女士創(chuàng)建，是國內(nèi)最具實力的、擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信安全管理平臺、安全服務(wù)與解決方案的綜合提供商。目前，公司在全國各省市自治區(qū)設(shè)立三十多家分支機構(gòu)，擁有覆蓋全國的渠道和售后服務(wù)體系 。通過不斷耕耘，已經(jīng)成為在政府、電信、金融、能源、交通、軍隊、軍工、制造等國內(nèi)高端企業(yè)級客戶的首選品牌 ：啟明星辰在政府和軍隊擁有 80%的市場占有率，為世界五百強中 60%的中國企業(yè)客戶提供安全產(chǎn)品及服務(wù)；在金融領(lǐng)域，啟明星辰對政策性銀行、國有控股商業(yè)銀行、全國性股份制商業(yè)銀行實現(xiàn) 90%的覆蓋率。第 5 章 服務(wù)發(fā)展優(yōu)勢38 / 53第 5 章 啟明星辰為客戶提供全面的信息安全咨詢與風(fēng)險評估服務(wù)。啟明星辰認為，最合理的信息安全保障體系建設(shè)方案是要在明確客戶自身資源優(yōu)勢的情況下，在管理與技術(shù)之間進行平衡。同時更為重要的是各種資源必須要與客戶存在的各種信息安全問題或者說信息安全風(fēng)險相結(jié)合。啟明星辰的風(fēng)險評估工作目標就是從業(yè)務(wù)實際需求出發(fā)，分析資產(chǎn)、弱點、威脅、安全措施和安全風(fēng)險等各要素的關(guān)系（見下圖） ，運用風(fēng)險評估理論和結(jié)構(gòu)化的科學(xué)分析方法，理解網(wǎng)絡(luò)和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風(fēng)險和客戶信息安全工作中存在的問題，并在此基礎(chǔ)上提供最優(yōu)化的解決方案和加固建議。第 5 章 研發(fā)團隊:啟