【正文】 同時更為重要的是各種資源必須要與客戶存在的各種信息安全問題或者說信息安全風(fēng)險相結(jié)合。目前，公司在全國各省市自治區(qū)設(shè)立三十多家分支機(jī)構(gòu)，擁有覆蓋全國的渠道和售后服務(wù)體系 。啟明星辰信息安全擁有全球領(lǐng)先的項(xiàng)目實(shí)施和管理方法論－PMM4? 。1 很低 一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)。 29 / 53表83. 階段成果輸出：《脆弱性賦值列表》. 風(fēng)險分析1) 服務(wù)目標(biāo)風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。脆弱性識別可以以資產(chǎn)為核心，針對每一項(xiàng)需要保護(hù)的資產(chǎn),識別可能被威脅利用的弱點(diǎn)，并對脆弱性的嚴(yán)重程度進(jìn)行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別，然后與資產(chǎn)、威脅對應(yīng)起來。26 / 532) 服務(wù)內(nèi)容? 威脅識別威脅識別要從威脅的主體、威脅途徑和威脅方式三個方面來進(jìn)行：威脅主體：分為人為因素和環(huán)境因素。風(fēng)險評估計(jì)劃的內(nèi)容一般包括：? 團(tuán)隊(duì)組織：包括評估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容；? 工作計(jì)劃：風(fēng)險評估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；? 時間進(jìn)度安排：項(xiàng)目實(shí)施的時間進(jìn)度安排。工作人員直接運(yùn)行、管理和維護(hù)信息系統(tǒng)的各種設(shè)備、設(shè)施和相關(guān)技術(shù)手段，與他們直接發(fā)生關(guān)聯(lián)關(guān)系。滲透測試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。. 評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型 參考標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)? ISO15408 信息技術(shù)安全評估準(zhǔn)則? ISO/IEC TR 13335 信息和通信技術(shù)安全管理? ISO/TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南? ISO/IEC 27000 信息安全管理體系系列標(biāo)準(zhǔn)? AS/NZS 4360 風(fēng)險管理? NIST SP 80030 IT系統(tǒng)風(fēng)險管理指南國內(nèi)標(biāo)準(zhǔn)? GB17859 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則? GBT 20984 信息安全風(fēng)險評估規(guī)范? GBT 22239 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求? GBZ 20985 信息技術(shù)安全技術(shù)信息安全事件管理指南? GBZ 20986 信息安全技術(shù)信息安全事件分類分級指南? 各個組織或行業(yè)內(nèi)相關(guān)要求表118 / 53. 服務(wù)評估方法評 估 方 法問 卷 訪 談 人 工 審 計(jì)工 具 掃 描滲 透 測 試圖5注：滲透測試模塊為可選模塊. 訪談?wù){(diào)研? 收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT 規(guī)劃、管理制度、原有項(xiàng)目安全成果等信息文檔。. 風(fēng)險識別? 對客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理，識別資產(chǎn)的重要性；清晰自身所面臨的威脅及其威脅方式方法，便于有針對性地防護(hù)。風(fēng)險分析原來如下圖所示：威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價 值風(fēng) 險 值安 全 事 件 的 可 能 性安 全 事 件 造 成 損 失威 脅 識 別脆 弱 性 識 別資 產(chǎn) 識 別圖2. 風(fēng)險處置計(jì)劃風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全12 / 53策略。. 威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。? 委托評估 是由被評估信息系統(tǒng)的擁有者發(fā)起，委托專業(yè)的服務(wù)機(jī)構(gòu)，參照國家法規(guī)與標(biāo)準(zhǔn)，對其維護(hù)的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。信息反饋如果任何寶貴意見，請反饋：信箱：北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號摟啟明大廈郵編：100193電話：01082779088您可以訪問啟明星辰網(wǎng)站：：//，獲得最新的技術(shù)和服務(wù)信息。國內(nèi)風(fēng)險評估推進(jìn)工作情況如下：時間 具體推進(jìn)事件歷程2022 年? 《關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā)[2022]27 號）中明確提出“要重視信息安全風(fēng)險評估工作” 。 啟明星辰信息安全為客戶提供全面的信息安全咨詢與風(fēng)險評估服務(wù)。識別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。? 風(fēng)險轉(zhuǎn)移：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險。? 為客戶進(jìn)行信息安全規(guī)劃建設(shè)、安全技術(shù)體系建設(shè)、安全管理體系建設(shè)、安全風(fēng)險管理奠定基石。. 人工審計(jì)? 人工評估只對被評估對象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會對現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對被評估對象的資源占用也小于工具評估。工具掃描具有很好的效率和20 / 53速度，但是存在一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試需要投入的人力資源較大、對測試者的專業(yè)技能要求很高，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。系統(tǒng)運(yùn)維管理評估? 系統(tǒng)運(yùn)維管理包括運(yùn)行環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備使用管理、運(yùn)行監(jiān)控管理、惡意代碼防護(hù)管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置和應(yīng)急計(jì)劃管理等方面內(nèi)容。? 資產(chǎn)分析在資產(chǎn)識別的基礎(chǔ)上，進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)在遭受泄密、中斷、損害等破壞時對系統(tǒng)所承載的業(yè)務(wù)系統(tǒng)所產(chǎn)生的影響。威脅識別的方法有：人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析等。? 人工審計(jì)? 工具掃描應(yīng)用系統(tǒng)? 含應(yīng)用中間件，從審計(jì)機(jī)制、審計(jì)存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)、腳本漏洞等方面進(jìn)行識別評估。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險值。風(fēng)險處理計(jì)劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。啟明星辰信息安全通過落實(shí)有效的溝通管理方法和反饋機(jī)制，確保項(xiàng)目相關(guān)信息被及時、正確的提取、收集、傳播和存儲，保證項(xiàng)目各相關(guān)方之間信息暢通。在電信領(lǐng)域，啟明星辰為中國移動、中國電信、中國聯(lián)通三大運(yùn)營商提供安全產(chǎn)品、安全服務(wù)和解決方案。第 5 章 。對于開展信息安全管理工作來說，勢必會大大增加客戶的行政成本，通過啟明在業(yè)界的長期信息安全工作實(shí)踐經(jīng)驗(yàn)證明：如果在開展信息安全管理工作的過程中，行政管理資源投入不足，將會導(dǎo)致管理工作失效，組織的安全管理不可控；同樣對于信息安全技術(shù)產(chǎn)品來說，也存在需要投入大量資金成本，但在資金有限的情況下，又存在著產(chǎn)品功能冗余，廠商產(chǎn)品眾多，難以維護(hù)等問題。? 《服務(wù)會議紀(jì)要》服務(wù)文檔管理? 在項(xiàng)目過程中會產(chǎn)生數(shù)量眾多的各種類型文檔，為了確保項(xiàng)目內(nèi)文檔傳遞的順暢、信息溝通的便捷，在實(shí)施過程中必須遵循一定的文檔管理規(guī)范。3) 成果輸出：《風(fēng)險處置計(jì)劃》. 服務(wù)驗(yàn)收1) 服務(wù)目標(biāo)在以上幾個階段完成后，向客戶匯報風(fēng)險評估情況，詳細(xì)介紹被評估信息系統(tǒng)所面臨的風(fēng)險，清晰的表達(dá)所面臨的威脅狀況、威脅所利用的脆弱性、產(chǎn)生的影響等狀況，并在描述安全風(fēng)險之后表述出采取何種對策防范威脅、減少脆弱性。每個等級代表了相應(yīng)風(fēng)險的嚴(yán)重程度。脆弱性嚴(yán)重程度的賦值方法如下：等級 標(biāo)識 定義5 很高 如果被威脅利用，將對資產(chǎn)造成完全損害。3 中? 出現(xiàn)的頻率中等（或 1 次/半年） ；或在某種情況下可能會發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。3 中 比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2) 服務(wù)內(nèi)容24 / 53? 確定風(fēng)險評估的目標(biāo)與范圍根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險大小。表2. 管理評估評估類型 評估范圍安全管理制度評估? 評估內(nèi)容：安全管理制度一般是文檔化的，被正式制定、評審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu)成一個塔字結(jié)構(gòu)的文檔體系。? 工具評估最突出的優(yōu)點(diǎn)是評估工作可由軟件來自動進(jìn)行，速度快，效率高。為客戶對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全風(fēng)險管理奠定基石，幫助客戶在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面作出最佳的選擇。. 風(fēng)險處置計(jì)劃綜合報告后的輔助報告，通過綜合分析，了解了當(dāng)前的安全現(xiàn)狀，提出了針對當(dāng)前問題的信息系統(tǒng)總體安全解決方案。風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。啟明星辰信息安全風(fēng)險評估服務(wù)綜合國內(nèi)外相關(guān)標(biāo)準(zhǔn)與業(yè)界最佳實(shí)踐，為客戶清晰的展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀、安全風(fēng)險，提供公正、客觀數(shù)據(jù)作9 / 53為決策參考，為客戶下一步控制和降低安全風(fēng)險、改善安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險管理提供依據(jù)，從而引起相關(guān)領(lǐng)導(dǎo)關(guān)注和重視，為客戶后續(xù)信息安全工作爭取支持，為客戶后續(xù)信息安全順利開展?fàn)幦≠Y源和地位，風(fēng)險評估能夠幫助客戶從技術(shù)、管理方面或全面摸清家底、做到知己知彼，順利進(jìn)行信息系統(tǒng)安全規(guī)劃、設(shè)計(jì)、建設(shè)。 （中國移動、電力、稅務(wù)、證券）至今? 經(jīng)過多年實(shí)踐，風(fēng)險評估是“一種度量信息安全狀況的科學(xué)方法” ，通過對網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險要素的識別、分析、評價，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)的安全風(fēng)險，通過安全加固，使高風(fēng)險降低到可接受的水平，7 / 53從而提高信息安全風(fēng)險管理的水平。____________________________信息安全啟明星辰風(fēng)險評估服務(wù)宣傳手冊____________________________北京啟明星辰信息安全技術(shù)有限公司2 / 53文檔記錄信息文檔名稱 啟明星辰風(fēng)險評估服務(wù)技術(shù)白皮書制作部門 前線技術(shù)中心服務(wù)產(chǎn)品化管理部版本 修正歷史 日期 作者 聯(lián)系方式文檔核準(zhǔn)信息版本 核準(zhǔn)日期 核準(zhǔn)人 所屬部門 備注3 / 53版權(quán)聲明北京啟明星辰信息安全技術(shù)有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。 2022 年? 為保障十七大，在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開了自評估工作。同時，根據(jù)安全專家的建議，客戶可以在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面做出正確的選擇。. 風(fēng)險綜合分析風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。通過工具掃描之后，對評估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計(jì)，重在描述高風(fēng)險、中風(fēng)險、低風(fēng)險的數(shù)量以及百分比等情況。? 幫助客戶建立信息安全風(fēng)險管理機(jī)制。它也可以找出黑客攻破系統(tǒng)的跡象，并提出修補(bǔ)建議。業(yè)務(wù)流程評估? 評估對象：業(yè)務(wù)流程? 評估內(nèi)容：依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估客戶的業(yè)務(wù)流程，識別客戶業(yè)務(wù)流程的安全隱患。因此，在風(fēng)險評估實(shí)施前，應(yīng)確定風(fēng)險評估的目標(biāo)與范圍、進(jìn)行系統(tǒng)調(diào)研、制定風(fēng)險評估計(jì)劃、獲得客戶管理者對風(fēng)險評估工作支持。4 高 重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失。4 高? 出現(xiàn)的頻率較高（或≥ 1 次/月） ；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實(shí)多次發(fā)生過。從而為最后綜合風(fēng)險分析提供參考數(shù)據(jù)。每個等級代表了相應(yīng)風(fēng)險的嚴(yán)重程度。另一種確定不可接受的風(fēng)險的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險值的基準(zhǔn)，對達(dá)到相應(yīng)等級的風(fēng)險都進(jìn)行處理。在項(xiàng)目實(shí)施過程中，需要通過一系列相關(guān)的會議對項(xiàng)目過程中的關(guān)鍵問題進(jìn)行交流、討論和決策，根據(jù)會議召開時間的不同，具體可以分為定期會議和非定期會議兩大類。但以上兩部分的工作開展都需要消耗客戶的資源。41 / 53第 5 章第 5 章 圖7第 5 章 多年來，啟明星辰公司承擔(dān)了千余項(xiàng)大中型安全風(fēng)險評估、安全管理與監(jiān)控、安全管理咨詢、等級保護(hù)咨詢、安全審計(jì)咨詢及綜合性安全服務(wù)等方面的項(xiàng)目，公司的安全服務(wù)發(fā)展經(jīng)過了一個輝煌的歷程 ：第 5 章42 / 53第 5 章 圖8第 5 章 服務(wù)資質(zhì)優(yōu)勢第 5 章 啟明星辰擁有全面的安全資質(zhì)，其中安全服務(wù)資產(chǎn)包括如下所示第 5 章 編號第 5 章 資質(zhì)名稱第 5 章 1第 5 章 《信息安全服務(wù)資質(zhì)（一級風(fēng)險評估服務(wù)） 》 第 5 章 2第 5 章 《信息安全服務(wù)資質(zhì)（一級應(yīng)急處理服務(wù)） 》第 5 章 3第 5 章 《北京市信息安全服務(wù)能力等級證書一級》第 5 章 4第 5 章 《國家信息安全認(rèn)證信息安全服務(wù)資質(zhì)證書（安全工程類二級） 》第 5 章 5第 章 《國家信息安全認(rèn)證信息安全服務(wù)資質(zhì)證書（安全開發(fā)類一級） 》43 / 53第 5 章 6第 5 章 《計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)二級》 第 5 章 7第 5 章 《國家級網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位》第 5 章 8第 5 章 《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書（甲級）第 5 章 9第 5 章 《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書（軟件開發(fā)單項(xiàng)）第 5 章 10第 5 章 《CMMI3 認(rèn)證證書》第 5 章 11第 5 章 《質(zhì)量管理體系認(rèn)證證書》第 5 章 表1144 / 53第 5 章16圖9第 5 章 團(tuán)隊(duì)保障優(yōu)勢第 5 章 　 啟明星辰公司擁有國內(nèi)最具實(shí)力的安全產(chǎn)品開發(fā)隊(duì)伍，國際一流的黑客攻防技術(shù)研究團(tuán)隊(duì) —積極防御實(shí)驗(yàn)室（ADLAB） ，國際一流的安全運(yùn)營服務(wù)團(tuán)隊(duì) —M2S 安全運(yùn)營中心，國內(nèi)一流的安全體系設(shè)計(jì)及咨詢團(tuán)隊(duì) —前線技術(shù)專家團(tuán)（VF） ，國內(nèi)一流的安全系統(tǒng)集成團(tuán)隊(duì)和國內(nèi)首家企業(yè)網(wǎng)絡(luò)安全博士后工作站。37 / 53第 5 章 作為北京奧組委獨(dú)家中標(biāo)的核心信息安全產(chǎn)品、服務(wù)及解決方案提供商，奧帆委唯一信息安全供應(yīng)商，啟明星辰受到獨(dú)家官方授權(quán)