【正文】 建設(shè)的起點(diǎn)和基礎(chǔ)，是直接識(shí)別客戶安全問題的關(guān)鍵環(huán)節(jié)，同時(shí)風(fēng)險(xiǎn)評(píng)估工作也貫穿于信息系統(tǒng)生命周期全過程。第 5 章 。在資金較為充裕的情況下，以產(chǎn)品采購為主，管理體系建設(shè)為輔；在資金較為緊張，但行政成本較39 / 53充裕的時(shí)候，可以適當(dāng)進(jìn)行信息安全管理體系的深入建設(shè)，同時(shí)輔以信息安全管理平臺(tái)等工具。在電信領(lǐng)域，啟明星辰為中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通三大運(yùn)營(yíng)商提供安全產(chǎn)品、安全服務(wù)和解決方案。2022 年 6 月 23 日，啟明星辰在深交所中小板正式掛牌上市，成為國(guó)內(nèi)唯一一家登陸資本市場(chǎng)的專業(yè)信息安全企業(yè)。啟明星辰信息安全通過落實(shí)有效的溝通管理方法和反饋機(jī)制，確保項(xiàng)目相關(guān)信息被及時(shí)、正確的提取、收集、傳播和存儲(chǔ)，保證項(xiàng)目各相關(guān)方之間信息暢通。2) 服務(wù)內(nèi)容? 交付簽收簽收是對(duì)交付品行為的確認(rèn)，當(dāng)向客戶提交工作成果時(shí)，填寫《服務(wù)成果提交確認(rèn)書》 ，并由項(xiàng)目經(jīng)理認(rèn)可后客戶提供，同時(shí)為客戶進(jìn)行成果匯報(bào)。風(fēng)險(xiǎn)處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。4 高 一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害。矩陣法通過構(gòu)造一個(gè)二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。3 中 如果被威脅利用，將對(duì)資產(chǎn)造成一般損害 。? 人工審計(jì)? 工具掃描應(yīng)用系統(tǒng)? 含應(yīng)用中間件，從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識(shí)別評(píng)估。1 很低 ? 威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。威脅識(shí)別的方法有：人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。1 很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)。? 資產(chǎn)分析在資產(chǎn)識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)在遭受泄密、中斷、損害等破壞時(shí)對(duì)系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所產(chǎn)生的影響。? 系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。系統(tǒng)運(yùn)維管理評(píng)估? 系統(tǒng)運(yùn)維管理包括運(yùn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備使用管理、運(yùn)行監(jiān)控管理、惡意代碼防護(hù)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置和應(yīng)急計(jì)劃管理等方面內(nèi)容。安全管理機(jī)構(gòu)評(píng)估? 評(píng)估內(nèi)容：安全管理機(jī)構(gòu)包括安全管理的崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作等方面內(nèi)容，嚴(yán)格的安全管理應(yīng)該由相對(duì)獨(dú)立的職能部門和崗位來完成。工具掃描具有很好的效率和20 / 53速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。. 人工審計(jì)? 人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會(huì)對(duì)現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對(duì)被評(píng)估對(duì)象的資源占用也小于工具評(píng)估。? 預(yù)防信息安全事故，保證客戶業(yè)務(wù)的連續(xù)性，使客戶的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，防止系統(tǒng)入侵安全隱患再次被破壞或惡意利用，避免業(yè)務(wù)經(jīng)濟(jì)損失數(shù)量持續(xù)增加。? 為客戶進(jìn)行信息安全規(guī)劃建設(shè)、安全技術(shù)體系建設(shè)、安全管理體系建設(shè)、安全風(fēng)險(xiǎn)管理奠定基石。? 幫助客戶進(jìn)行組織內(nèi)資產(chǎn)的分級(jí)管理，通過定量分析，明確各信息系統(tǒng)對(duì)客戶的重要程度，通過有效整合信息系統(tǒng)的安全需求，在有限的資源環(huán)境下，更好的提高客戶的信息安全水平。? 風(fēng)險(xiǎn)轉(zhuǎn)移：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)。在這個(gè)過程中，采用最新的方法表述威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對(duì)哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對(duì)策來防范威脅，減少脆弱性。識(shí)別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。. 服務(wù)產(chǎn)品功能資 產(chǎn) 分 類資 產(chǎn) 賦 值業(yè) 務(wù) 調(diào) 研 資 產(chǎn) 評(píng) 估威 脅 分 析威 脅 賦 值威 脅 識(shí) 別 威 脅 評(píng) 估 脆 弱 性 評(píng) 估技 術(shù) 脆 弱 性 識(shí) 別管 理 脆 弱 性 識(shí) 別1 2風(fēng) 險(xiǎn) 綜 合 分 析3 脆 弱 性 賦 值4風(fēng) 險(xiǎn) 綜 合 識(shí) 別 風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 處 置 計(jì) 劃5風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)控 制 措 施 預(yù) 期 效 果 實(shí) 施 條 件 進(jìn) 度 安 排 責(zé) 任 部 門圖1. 資產(chǎn)評(píng)估資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)10 / 53或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。 啟明星辰信息安全為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評(píng)估服務(wù)。風(fēng)險(xiǎn)評(píng)估目的是分析信息系統(tǒng)及其所依托的網(wǎng)絡(luò)信息系統(tǒng)的安全狀況，全面了解和掌握該系統(tǒng)面臨的信息安全威脅和風(fēng)險(xiǎn)，明確采取何種有效措施，降低威脅事件發(fā)生的可能性或者其所造成的影響，減少信息系統(tǒng)的脆弱性，從而將風(fēng)險(xiǎn)降低到可接受的水平；同時(shí)，可以定期了解信息系統(tǒng)的安全防護(hù)水平并為后期安全規(guī)劃建設(shè)的提出提供原始依據(jù)，并作為今后其他工作的參考。國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估推進(jìn)工作情況如下：時(shí)間 具體推進(jìn)事件歷程2022 年? 《關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)[2022]27 號(hào)）中明確提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作” 。未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途。信息反饋如果任何寶貴意見，請(qǐng)反饋：信箱：北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)摟啟明大廈郵編：100193電話：01082779088您可以訪問啟明星辰網(wǎng)站：：//，獲得最新的技術(shù)和服務(wù)信息。2022 年? 原國(guó)信辦召開了信息安全風(fēng)險(xiǎn)評(píng)估推進(jìn)工作會(huì)議。? 委托評(píng)估 是由被評(píng)估信息系統(tǒng)的擁有者發(fā)起，委托專業(yè)的服務(wù)機(jī)構(gòu)，參照國(guó)家法規(guī)與標(biāo)準(zhǔn)，對(duì)其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。同時(shí)，應(yīng)用系統(tǒng)自身的安全性也是風(fēng)險(xiǎn)管理的重要組成部分。. 威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。在進(jìn)行脆弱性評(píng)估時(shí)，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。風(fēng)險(xiǎn)分析原來如下圖所示：威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價(jià) 值風(fēng) 險(xiǎn) 值安 全 事 件 的 可 能 性安 全 事 件 造 成 損 失威 脅 識(shí) 別脆 弱 性 識(shí) 別資 產(chǎn) 識(shí) 別圖2. 風(fēng)險(xiǎn)處置計(jì)劃風(fēng)險(xiǎn)處置目的是為風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全12 / 53策略。. 威脅賦值列表綜合報(bào)告的子報(bào)告，描述總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。. 風(fēng)險(xiǎn)識(shí)別? 對(duì)客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理，識(shí)別資產(chǎn)的重要性；清晰自身所面臨的威脅及其威脅方式方法，便于有針對(duì)性地防護(hù)。? 定期風(fēng)險(xiǎn)評(píng)估，幫助客戶了解組織信息安全改進(jìn)情況與發(fā)展方向，為以后的信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考。. 評(píng)估標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型 參考標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)? ISO15408 信息技術(shù)安全評(píng)估準(zhǔn)則? ISO/IEC TR 13335 信息和通信技術(shù)安全管理? ISO/TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南? ISO/IEC 27000 信息安全管理體系系列標(biāo)準(zhǔn)? AS/NZS 4360 風(fēng)險(xiǎn)管理? NIST SP 80030 IT系統(tǒng)風(fēng)險(xiǎn)管理指南國(guó)內(nèi)標(biāo)準(zhǔn)? GB17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則? GBT 20984 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范? GBT 22239 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求? GBZ 20985 信息技術(shù)安全技術(shù)信息安全事件管理指南? GBZ 20986 信息安全技術(shù)信息安全事件分類分級(jí)指南? 各個(gè)組織或行業(yè)內(nèi)相關(guān)要求表118 / 53. 服務(wù)評(píng)估方法評(píng) 估 方 法問 卷 訪 談 人 工 審 計(jì)工 具 掃 描滲 透 測(cè) 試圖5注：滲透測(cè)試模塊為可選模塊. 訪談?wù){(diào)研? 收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT 規(guī)劃、管理制度、原有項(xiàng)目安全成果等信息文檔。人工安全評(píng)估對(duì)實(shí)施人員的安全知識(shí)、安全技術(shù)和安全經(jīng)驗(yàn)要求很高，因?yàn)樗麄儽仨毩私庾钚碌陌踩┒?、掌握多種先進(jìn)的安全技術(shù)和積累豐富的評(píng)估經(jīng)驗(yàn)，這樣才能對(duì)本地安全評(píng)估中位于物理層、網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層和用戶層的所有安全對(duì)19 / 53象目標(biāo)進(jìn)行最有效和最完整的安全評(píng)估，并提供最合理和最及時(shí)的安全建議。滲透測(cè)試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。主機(jī)及數(shù)據(jù)系統(tǒng)評(píng)估? 評(píng)估對(duì)象：操作及數(shù)據(jù)庫系統(tǒng)（Windows、Linux、Unix 、 Oracle、 informix、ibm db sql server、my sql等)? 評(píng)估內(nèi)容：從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別評(píng)估。工作人員直接運(yùn)行、管理和維護(hù)信息系統(tǒng)的各種設(shè)備、設(shè)施和相關(guān)技術(shù)手段，與他們直接發(fā)生關(guān)聯(lián)關(guān)系。表3第 4 章第 4 章 啟明星辰信息安全服務(wù)產(chǎn)品流程. 服務(wù)流程藍(lán)圖階 段 1 ： 服 務(wù) 啟 動(dòng) 階 段 2 ： 資 產(chǎn) 評(píng) 估 階 段 3 ： 威 脅 評(píng) 估 階 段 4 ： 脆 弱 性 評(píng) 估 階 段 5 ： 風(fēng) 險(xiǎn) 分 析 階 段 6 ： 處 置 計(jì) 劃 階 段 7 ： 服 務(wù) 驗(yàn) 收項(xiàng) 目 實(shí) 施 風(fēng) 險(xiǎn) 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實(shí) 施 計(jì) 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識(shí) 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識(shí) 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計(jì) 劃報(bào) 告 提 交成 果 匯 報(bào)服 務(wù) 驗(yàn) 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識(shí) 別管 理 脆 弱 識(shí) 別控 制 措 施 識(shí) 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評(píng) 估 報(bào) 告 》《 服 務(wù) 實(shí) 施 計(jì) 劃 》 《 威 脅 評(píng) 估 報(bào) 告 》 《 脆 弱 性 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 處 置 計(jì) 劃 》 《 服 務(wù) 驗(yàn) 收 報(bào) 告 》風(fēng) 險(xiǎn) 綜 合 識(shí) 別風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)安 全 目 標(biāo) 確 定安 全 措 施 選 擇實(shí) 施 內(nèi) 容 安 排制 定 處 置 計(jì) 劃圖6. 服務(wù)流程階段. 服務(wù)啟動(dòng)1) 服務(wù)目標(biāo)風(fēng)險(xiǎn)評(píng)估啟動(dòng)是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。風(fēng)險(xiǎn)評(píng)估計(jì)劃的內(nèi)容一般包括：? 團(tuán)隊(duì)組織：包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；? 工作計(jì)劃：風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；? 時(shí)間進(jìn)度安排：項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。資產(chǎn)賦值的過程也就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。26 / 532) 服務(wù)內(nèi)容? 威脅識(shí)別威脅識(shí)別要從威脅的主體、威脅途徑和威脅方式三個(gè)方面來進(jìn)行：威脅主體：分為人為因素和環(huán)境因素。同時(shí)為最后綜合風(fēng)險(xiǎn)分析提供參考數(shù)據(jù)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。 ? 問卷訪談表7? 脆弱性分析在脆弱性識(shí)別的基礎(chǔ)上，進(jìn)一步分析被評(píng)估信息系統(tǒng)及其關(guān)鍵資產(chǎn)所存在的各方面脆弱性即基礎(chǔ)環(huán)境脆弱性、安全管理脆弱性、技術(shù)脆弱性。 29 / 53表83. 階段成果輸出：《脆弱性賦值列表》. 風(fēng)險(xiǎn)分析1) 服務(wù)目標(biāo)風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合?？蓪L(fēng)險(xiǎn)劃分為五級(jí)，等級(jí)越高，風(fēng)險(xiǎn)越高。1 很低 一旦發(fā)生造成的影響幾乎不存在，通過簡(jiǎn)單的措施就能彌補(bǔ)。應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。啟明星辰信息安全擁有全球領(lǐng)先的項(xiàng)目實(shí)施和管理方法論－PMM4? 。? 《風(fēng)險(xiǎn)管理措施》服務(wù)質(zhì)量管理? 基于明確的質(zhì)量管理原則，在項(xiàng)目實(shí)施過程中執(zhí)行有效的質(zhì)量管理流程，這包括制定質(zhì)量管理計(jì)劃、執(zhí)行質(zhì)量保證計(jì)劃、監(jiān)控質(zhì)量保證執(zhí)行三大步驟，從而最終實(shí)現(xiàn)對(duì)交付質(zhì)量的有效控制，降低令客戶不滿意可能性。目前，公司在全國(guó)各省市自治區(qū)設(shè)立三十多家分支機(jī)構(gòu)，擁有覆蓋全國(guó)的渠道和售后服務(wù)體系 。第 5 章 服務(wù)發(fā)展優(yōu)勢(shì)38 / 53第 5 章 啟明星辰為客戶提供全面的信息安全咨詢與風(fēng)險(xiǎn)評(píng)估服務(wù)。同時(shí)更為重要的是各種資源必須要與客戶存在的各種信息安全問題或者說信息安全風(fēng)險(xiǎn)相結(jié)合。第 5 章 研發(fā)團(tuán)隊(duì):啟