【文章內(nèi)容簡介】 發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。. 工具方法. 風(fēng)險評估采用方法風(fēng)險評估常用方法如下：? 調(diào)查訪談物理安全訪談表、人員安全訪談表、網(wǎng)絡(luò)安全訪談表、系統(tǒng)安全訪談表等等；? 工具掃描網(wǎng)絡(luò)安全掃描、應(yīng)用安全掃描、系統(tǒng)安全掃描等等；? 人工檢查操作系統(tǒng) checklist、數(shù)據(jù)庫 checklist、網(wǎng)絡(luò)設(shè)備 checklist 等等；? 滲透測試由專業(yè)滲透測試工程師模擬黑客攻擊方式對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行非破壞性漏泀驗證性測試；? 文檔查閱管理制度查閱、管理策略查閱、安全指導(dǎo)方針查閱等等。. 風(fēng)險評估使用工具風(fēng)險評估常用工具主要有以下幾大類：? 資產(chǎn)發(fā)現(xiàn)類工具? 端口服務(wù)檢測類? 漏洞掃描檢測類? 網(wǎng)絡(luò)嗅探分析類7 / 51? 安全審計分析類? 系統(tǒng)驗證測試類? 合規(guī)遵循檢查類? 各種定制腳本類 ? 各種專項檢測類第 2 章 項目實施流程我們將整個項目的實施內(nèi)容分為 7 個階段。從項目啟動階段到項目驗收整個項目實施過程，我們用 WBS 圖中完整地描述了整個項目實施過程的重要工作任務(wù)。階 段 1 ： 服 務(wù) 啟 動 階 段 2 ： 資 產(chǎn) 評 估 階 段 3 ： 威 脅 評 估 階 段 4 ： 脆 弱 性 評 估 階 段 5 ： 風(fēng) 險 分 析 階 段 6 ： 處 置 計 劃 階 段 7 ： 服 務(wù) 驗 收項 目 實 施 風(fēng) 險 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實 施 計 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計 劃報 告 提 交成 果 匯 報服 務(wù) 驗 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識 別管 理 脆 弱 識 別控 制 措 施 識 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評 估 報 告 》《 服 務(wù) 實 施 計 劃 》 《 威 脅 評 估 報 告 》 《 脆 弱 性 評 估 報 告 》 《 風(fēng) 險 評 估 報 告 》 《 風(fēng) 險 處 置 計 劃 》 《 服 務(wù) 驗 收 報 告 》風(fēng) 險 綜 合 識 別風(fēng) 險 模 型 計 算風(fēng) 險 接 收 準(zhǔn) 則風(fēng) 險 綜 合 評 價安 全 目 標(biāo) 確 定安 全 措 施 選 擇實 施 內(nèi) 容 安 排制 定 處 置 計 劃圖 3 項目實施流程圖. 階段 1：項目啟動階段此階段是項目的啟動和計劃階段，是項目實施階段的開始，對項目整個過程的實施工作與項目管理工作都非常重要。8 / 51. 階段目標(biāo)在此階段的主要工作目標(biāo)是召開評估項目啟動會議，并就項目組的工作方式、日常流程、工作計劃、交付件藍(lán)圖進(jìn)行溝通和確認(rèn)。. 階段步驟評估項目啟動階段，是整個項目過程中，對項目的有效性的一種保證。實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。步驟一：項目組織，確定雙項目組織結(jié)構(gòu)及人員分工。步驟二：召開項目啟動會，包括項目中需要落實內(nèi)容：a) 獲得支持和配合；b) 確定項目的目標(biāo)；c) 確定項目的內(nèi)容；d) 組建項目服務(wù)團(tuán)隊；e) 對項目的對象、范圍進(jìn)行調(diào)研并確認(rèn)；f) 宣貫風(fēng)險評估方法和評估思想；g) 建立項目組的工作場所和環(huán)境；h) 確定項目組的工作流程，包括文檔交付流程、項目更改流程等；i) 確定項目組的工作方式，包括指定接口人，保密方式，資料保管和備份方式等。步驟三：確定各個細(xì)節(jié)后，項目啟動完成，進(jìn)入項目實施階段。. 階段輸出本階段完成后輸出如下文件：? 《項目實施計劃》? 《項目啟動會議紀(jì)要》? 《項目藍(lán)圖》? 《保密協(xié)議書》9 / 51? 《項目組織結(jié)構(gòu)和人員職責(zé)》? 《項目范圍確認(rèn)書》? 《培訓(xùn)計劃》 （針對風(fēng)險評估知識宣貫實施方法）. 階段 2：資產(chǎn)評估階段保護(hù)資產(chǎn)免受安全威脅是本項目實施的根本目標(biāo)。要做好這項工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。. 階段目標(biāo)資產(chǎn)識別的目的就是要系統(tǒng)的相關(guān)資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價值和需要的保護(hù)層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性的進(jìn)行資產(chǎn)保護(hù)，最具策略性的進(jìn)行新的資產(chǎn)投入。. 階段步驟階段一：根據(jù)項目范圍進(jìn)行資產(chǎn)分類與識別，包括主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等等。階段二：進(jìn)行資產(chǎn)識別，分類并賦值。. 階段方法表格 3 資產(chǎn)評估方法項目名稱 資產(chǎn)分類調(diào)查簡要描述 采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級別及賦值；達(dá)成目標(biāo)采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級別及賦值；進(jìn)一步明確評估的范圍和重點。主要內(nèi)容? 采集資產(chǎn)信息，獲取資產(chǎn)清單；? 進(jìn)行資產(chǎn)分類劃分；10 / 51? 確定資產(chǎn)的重要級別，對資產(chǎn)進(jìn)行賦值。實現(xiàn)方式? 調(diào)查。? 填表式調(diào)查。? 《資產(chǎn)調(diào)查表》 ，包含計算機(jī)設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、信息、軟件等。? 交流。? 審閱已有的針對資產(chǎn)的安全管理規(guī)章、制度。? 與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。工作條件 23 人工作環(huán)境，2 臺筆記本，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合。工作結(jié)果 資產(chǎn)類別、資產(chǎn)重要級別。參加人員依據(jù)現(xiàn)場狀況，啟明星辰全體評估人員在客戶業(yè)務(wù)系統(tǒng)相關(guān)技術(shù)和管理人員的配合下進(jìn)行資產(chǎn)分類調(diào)查。. 階段輸出本階段完成后輸出文檔如下：? 《資產(chǎn)詳細(xì)清單》? 《資產(chǎn)賦值列表》. 階段 3：威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。為全面、準(zhǔn)確地了解系統(tǒng)所面臨的各種威脅，需采用威脅分析方法。 . 階段目標(biāo)通過威脅分析，找出系統(tǒng)目前存在的潛在風(fēng)險因素，并進(jìn)行統(tǒng)計，賦值，以便于列出風(fēng)險。11 / 51. 階段步驟威脅識別采用人工審計、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析。步驟一：把已經(jīng)發(fā)現(xiàn)的威脅進(jìn)行分類；步驟二：把發(fā)現(xiàn)的威脅事件進(jìn)行分析。. 階段方法表格 4 威脅調(diào)查評估項目名稱 威脅調(diào)查評估簡要描述 使用技術(shù)手段分析信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險。達(dá)成目標(biāo)全面了解掌握信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險。對威脅進(jìn)行賦值并確定威脅等級。主要內(nèi)容? 被動攻擊威脅與風(fēng)險：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。? 主動攻擊威脅與風(fēng)險：掃描目標(biāo)主機(jī)、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門等） 、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。? 鄰近攻擊威脅與風(fēng)險：毀壞設(shè)備和線路、竊取存儲介質(zhì)、偷窺口令等。? 分發(fā)攻擊威脅與風(fēng)險：在設(shè)備制造、安裝、維護(hù)過程中，在設(shè)備上設(shè)置隱藏的后門或攻擊途徑、? 內(nèi)部攻擊威脅與風(fēng)險：惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。實現(xiàn)方式? 調(diào)查交流? 工具檢測? 人工檢測工作條件 23 人工作環(huán)境，2 臺筆記本，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果 根據(jù)分析結(jié)果列出系統(tǒng)所面臨的威脅，對威脅賦值并確定威脅級別12 / 51參加人員 啟明星辰評估小組，網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員. 階段輸出本階段完成主要輸出文檔如下：? 《威脅調(diào)查表》? 《威脅賦值列表》. 階段 4：脆弱性評估脆弱性是對一個或多個資產(chǎn)弱點的總稱，脆弱性評估是對技術(shù)脆弱性和管理脆性進(jìn)行識別和賦值的過程。. 階段目標(biāo)技術(shù)脆弱性主要是采用工具掃描、人工檢查（checklist） 、滲透測試、訪談等方式對物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用軟件、業(yè)務(wù)流程等進(jìn)行脆弱性識別并賦值。管理脆弱性主要是通過管理訪談、文檔查閱等方式對安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、安全建設(shè)管理、安全運維管理等進(jìn)行脆弱性識別并賦值。. 實施步驟脆弱性識別步驟主要是通過技術(shù)脆弱性和管理脆弱性來進(jìn)行識別。. 技術(shù)脆弱性物理環(huán)境物理安全是一切系統(tǒng)安全的基礎(chǔ)。對物理安全的評估將從機(jī)房選址、建設(shè)；員工、外來訪問者進(jìn)入機(jī)房的權(quán)限控制；機(jī)房的報警、電子監(jiān)控以及防火、防13 / 51水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報警及消防措施、內(nèi)部裝修、供配電系統(tǒng)等方面進(jìn)行。表格 5 物理安全評估項目名稱 物理安全評估簡要描述 分析物理安全是否滿足相關(guān)的安全標(biāo)準(zhǔn)。達(dá)成目標(biāo) 準(zhǔn)確把握物理安全中的安全隱患，提出安全建議。主要內(nèi)容? 評估環(huán)境安全：機(jī)房選址、建設(shè)、防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報警及消防措施、內(nèi)部裝修、供配電系統(tǒng)是否滿足相關(guān)國家標(biāo)準(zhǔn)；內(nèi)部及外來人員對機(jī)房的訪問權(quán)限控制；安全審查及管理制度。? 評估設(shè)備安全：門控系統(tǒng)、網(wǎng)絡(luò)專用設(shè)備（路由器，交換機(jī)等）和主機(jī)設(shè)備（終端計算機(jī)，打印機(jī)、服務(wù)器等） 。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)、維修、報廢等；設(shè)備冗余備份。? 評估介質(zhì)安全：軟盤、硬盤、光盤、磁帶等媒體的管理，信息媒體的維修將保證所存儲的信息不被泄漏，不再需要的媒體，將按規(guī)定及時安全地予以銷毀。實現(xiàn)方式? 問詢? 現(xiàn)場檢查? 資料收集工作條件 客戶人員和資料配合工作結(jié)果 依據(jù)相關(guān)的物理安全標(biāo)準(zhǔn)，結(jié)合客戶的實際需求，協(xié)助客戶改進(jìn)安全措施參加人員 客戶機(jī)房、設(shè)備管理員、維護(hù)人員，啟明星辰評估小組網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別。網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險評估中對業(yè)務(wù)系統(tǒng)安全性進(jìn)行全面了解的基礎(chǔ)，一個14 / 51業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個業(yè)務(wù)系統(tǒng)評估的重要環(huán)節(jié)。對評估對象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Inter 接入、地理分布方式和網(wǎng)絡(luò)管理。)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，對于成功地一個實施基于網(wǎng)絡(luò)的風(fēng)險管理方案是很關(guān)鍵的。網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到：? 改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要? 提供有關(guān)擴(kuò)充網(wǎng)絡(luò)、增加 IT 投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息? 幫助用戶降低風(fēng)險,改善網(wǎng)絡(luò)運行效率,提高網(wǎng)絡(luò)的穩(wěn)定性? 確保網(wǎng)絡(luò)系統(tǒng)的安全運行? 對網(wǎng)絡(luò)環(huán)境、性能、故障和配置進(jìn)行檢查在本項目安全工程中，網(wǎng)絡(luò)體系既起著支撐正常業(yè)務(wù)的作用，本身也作為提供給用戶使用的信息基礎(chǔ)設(shè)施的一部分。在評估過程中，主要針對網(wǎng)絡(luò)拓?fù)?、訪問控制策略與措施、網(wǎng)絡(luò)設(shè)備配置、安全設(shè)備配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個方面進(jìn)行調(diào)查與分析。系統(tǒng)軟件系統(tǒng)軟件指對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等采用訪談、checklist、漏洞掃描工具等方式對用戶帳號、口令策略、資源共享、訪問控制、新系統(tǒng)配置（初始化） 、網(wǎng)絡(luò)安全等脆弱性方面進(jìn)行識別，并賦值。應(yīng)用軟件應(yīng)用軟件是指應(yīng)用系統(tǒng)本身或者中間平臺，進(jìn)行脆弱性分析主要包括身份簽別、訪問控制策略、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行。15 / 51業(yè)務(wù)流程依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估客戶的業(yè)務(wù)流程，從信息產(chǎn)生到信息消亡整個過程所涉及的業(yè)務(wù)系統(tǒng)。目的是了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助客戶進(jìn)行業(yè)務(wù)流程的安全防護(hù)。表格 6 業(yè)務(wù)流程評估項目名稱 業(yè)務(wù)流程評估（數(shù)據(jù)流程）簡要描述 依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估客戶的業(yè)務(wù)流程達(dá)成目標(biāo)了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助河北移動管理信息系統(tǒng)進(jìn)行業(yè)務(wù)流程的優(yōu)化主要內(nèi)容? 業(yè)務(wù)數(shù)據(jù)流向，輸入、傳輸、存儲、輸出? 策略：業(yè)務(wù)要求、使用范圍、安全等級? 業(yè)務(wù)實現(xiàn)方式? 業(yè)務(wù)安全要求? 各時段業(yè)務(wù)負(fù)載量? 業(yè)務(wù)流程優(yōu)化建議? 授權(quán)和認(rèn)證、審計、加密、完整性、不可否認(rèn)性等實現(xiàn)方式? 調(diào)查? 檢查工作結(jié)果 數(shù)據(jù)流圖、業(yè)務(wù)關(guān)系圖、報告參加人員 啟明星辰評估人員，客戶相關(guān)主管和業(yè)務(wù)人員. 管理脆弱性安全管理制度項目中的安全管理制度要從安全管理制度的安全要求、安全管理制度的制定和發(fā)布、安全管理制度的評審和修訂三部分根據(jù)等級保護(hù)的具體內(nèi)容來進(jìn)行管理部分的脆弱性識別。16 / 51安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)的脆弱性識別要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查五個方面，根據(jù)等級保護(hù)的安全要求的具體內(nèi)容來進(jìn)行安全管理機(jī)構(gòu)的脆弱性發(fā)現(xiàn)。人員安全管理人員安全管理的脆弱性識別是按照人員錄用、人員離崗、人員考核、人員的安全意識教育和培訓(xùn)、外部人員的管理這五個部分內(nèi)容，根據(jù)等級保護(hù)級別和各個類別的安全要求來進(jìn)行脆弱性發(fā)現(xiàn)。安全建設(shè)管理安全建設(shè)管理主要是從安全邊界和定級、安全方案設(shè)計、安全產(chǎn)品采購和使用、自主研發(fā)環(huán)境安全、外包軟件研發(fā)環(huán)境安全、工程實施安全、測試驗收、交付、安全服務(wù)商的選擇、安全網(wǎng)絡(luò)定級備案安全 10 個方面來進(jìn)行安全建設(shè)的