【文章內(nèi)容簡介】 每一項關(guān)鍵資產(chǎn)進(jìn)行威脅識別。在威脅評估過程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷，一項資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。識別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。. 脆弱性評估脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。脆弱性評估將針對每一項需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估，就是對脆弱性被威脅利用的可能11 / 53性進(jìn)行評估，最終為其賦相對等級值。在進(jìn)行脆弱性評估時，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。在評估中，從技術(shù)脆弱性和安全管理脆弱性兩個方面進(jìn)行脆弱性檢查。. 風(fēng)險綜合分析風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。在完成資產(chǎn)、威脅和脆弱性的評估后，進(jìn)入安全風(fēng)險的評估階段。在這個過程中，采用最新的方法表述威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對策來防范威脅，減少脆弱性。風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。風(fēng)險分析原來如下圖所示：威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價 值風(fēng) 險 值安 全 事 件 的 可 能 性安 全 事 件 造 成 損 失威 脅 識 別脆 弱 性 識 別資 產(chǎn) 識 別圖2. 風(fēng)險處置計劃風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全12 / 53策略。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。風(fēng)險處理計劃中應(yīng)明確采取的彌補(bǔ)脆弱性的安全措施、預(yù)期效果、實施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮風(fēng)險處置是一種系統(tǒng)化方法，可通過多種方式實現(xiàn)：? 風(fēng)險接受：接受潛在的風(fēng)險并繼續(xù)運(yùn)行信息系統(tǒng)，不對風(fēng)險進(jìn)行處理。? 風(fēng)險降低：通過實現(xiàn)安全措施來降低風(fēng)險，從而將脆弱性被威脅源利用 后可能帶來的不利影響最小化? 風(fēng)險規(guī)避：不介入風(fēng)險，通過消除風(fēng)險的原因和/或后果來規(guī)避風(fēng)險。? 風(fēng)險轉(zhuǎn)移：通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險。. 服務(wù)產(chǎn)品交付資 產(chǎn) 評 估 《 資 產(chǎn) 賦 值 列 表 》 《 威 脅 賦 值 列 表 》 《 脆 弱 性 賦 值 列 表 》 《 風(fēng) 險 評 估 綜 合 報 告 》 《 風(fēng) 險 處 置 計 劃 》威 脅 評 估 脆 弱 性 評 估 風(fēng) 險 綜 合 分 析 風(fēng) 險 處 置 計 劃圖3. 風(fēng)險評估綜合報告主體報告，描述被評估信息系統(tǒng)得信息安全現(xiàn)狀，對評估范圍內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行風(fēng)險分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對策進(jìn)行防范威脅，減少脆弱性；并對風(fēng)險評估作出總結(jié)，總結(jié)出哪些問題需要當(dāng)前解決，哪些問題可以分步分期解決。13 / 53. 資產(chǎn)賦值列表綜合報告的子報告，描述了在資產(chǎn)識別后，對資產(chǎn)進(jìn)行分類整理，并依據(jù)其所受破壞后所造成的影響，分析出其影響權(quán)值及其重要性。. 威脅賦值列表綜合報告的子報告，描述總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。. 脆弱性賦值列表綜合報告的子報告，描述出通過安全管理調(diào)查、工具掃描、手工檢查進(jìn)行專業(yè)分析后，總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。通過工具掃描之后，對評估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計，重在描述高風(fēng)險、中風(fēng)險、低風(fēng)險的數(shù)量以及百分比等情況。. 風(fēng)險處置計劃綜合報告后的輔助報告，通過綜合分析，了解了當(dāng)前的安全現(xiàn)狀，提出了針對當(dāng)前問題的信息系統(tǒng)總體安全解決方案。. 服務(wù)產(chǎn)品收益. 資產(chǎn)識別? 幫助客戶對組織內(nèi)資產(chǎn)進(jìn)行梳理，針對在傳統(tǒng)資產(chǎn)清理過程中，比較容易被忽略的數(shù)據(jù)資產(chǎn)，服務(wù)資產(chǎn)等，使客戶從原有的固定資產(chǎn)保護(hù)，提升為信息資產(chǎn)保護(hù)。? 幫助客戶進(jìn)行組織內(nèi)資產(chǎn)的分級管理，通過定量分析，明確各信息系統(tǒng)對客戶的重要程度，通過有效整合信息系統(tǒng)的安全需求，在有限的資源環(huán)境下，更好的提高客戶的信息安全水平。14 / 53. 平衡安全風(fēng)險與成本? 幫助客戶在安全建設(shè)過程中綜合平衡安全風(fēng)險與成本代價，信息安全工作的核心目標(biāo)就是實現(xiàn)在最低資源消耗的情況下，達(dá)到最大的安全水平。通過對發(fā)現(xiàn)的問題和風(fēng)險進(jìn)行管理，并最優(yōu)化的方案建議，使客戶避免投入大量資源，但安全工作仍遲遲不見起色的現(xiàn)象。. 風(fēng)險識別? 對客戶的關(guān)鍵信息資產(chǎn)進(jìn)行全面梳理，識別資產(chǎn)的重要性；清晰自身所面臨的威脅及其威脅方式方法，便于有針對性地防護(hù)。認(rèn)識自身存在的脆弱性不足，能夠有目的性的進(jìn)行補(bǔ)遺整改。? 幫助客戶了解網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況，通過如工具掃描，滲透測試，人工審計等多種技術(shù)手段，全面分析客戶信息系統(tǒng)和網(wǎng)絡(luò)中存在的各種安全問題，同時將發(fā)現(xiàn)的安全問題與信息資產(chǎn)的重要程度相關(guān)聯(lián)，明確當(dāng)前的安全風(fēng)險。? 幫助客戶了解自身存在信息安全管理漏洞，再好的設(shè)備，也是由人進(jìn)行操作的，通過訪談、問卷等多種手段，啟明將協(xié)助客戶管理層了解當(dāng)前的信息安全管理制度是否存在漏洞，已經(jīng)正式發(fā)布的安全管理制度是否得到了落實和執(zhí)行。. 建設(shè)指導(dǎo)? 通過專業(yè)的安全技術(shù)和專業(yè)人員及時全面的掌握客戶 IT 環(huán)境的安全現(xiàn)狀和面臨的風(fēng)險，并提出改進(jìn)建議，降低風(fēng)險。? 為客戶進(jìn)行信息安全規(guī)劃建設(shè)、安全技術(shù)體系建設(shè)、安全管理體系建設(shè)、安全風(fēng)險管理奠定基石。? 通過對網(wǎng)絡(luò)與信息系統(tǒng)漏洞產(chǎn)生的威脅進(jìn)行分析，能夠提供有效的安全加固和改進(jìn)措施建議。在啟明信息安全服務(wù)團(tuán)隊，如 ADlab 等國際國內(nèi)專業(yè)技術(shù)分析的支持下，啟明安全服務(wù)團(tuán)隊能夠獲得第一手的信息系統(tǒng)或網(wǎng)絡(luò)的漏洞信息，在此基礎(chǔ)上，為客戶提供及時、有效地網(wǎng)絡(luò)和信息系統(tǒng)的漏15 / 53洞發(fā)掘服務(wù)，并針對漏洞，提供有效的加固建議和改進(jìn)措施建議。? 定期風(fēng)險評估，幫助客戶了解組織信息安全改進(jìn)情況與發(fā)展方向，為以后的信息系統(tǒng)安全規(guī)劃建設(shè)提供依據(jù)和參考。通過對安全風(fēng)險的分析和識別，同時平衡安全風(fēng)險與安全成本，啟明公司提供專業(yè)的信息安全規(guī)劃和建設(shè)建議，對于客戶未來的信息安全工作，提供重要參考和依據(jù)。? 幫助客戶建立信息安全風(fēng)險管理機(jī)制。為客戶對網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行安全風(fēng)險管理奠定基石，幫助客戶在降低風(fēng)險、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面作出最佳的選擇。. 業(yè)務(wù)保障? 可以幫助客戶及時發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)與信息系統(tǒng)的安全問題，使安全風(fēng)險降低到可以接受并且可以被有效管理的范圍內(nèi)，保障客戶組織內(nèi)信息系統(tǒng)穩(wěn)定運(yùn)行和業(yè)務(wù)連續(xù)性。? 預(yù)防信息安全事故，保證客戶業(yè)務(wù)的連續(xù)性，使客戶的重要信息資產(chǎn)受到與其價值相符的保護(hù)，防止系統(tǒng)入侵安全隱患再次被破壞或惡意利用，避免業(yè)務(wù)經(jīng)濟(jì)損失數(shù)量持續(xù)增加。第 3 章第 3 章 啟明星辰信息安全服務(wù)產(chǎn)品規(guī)格. 服務(wù)評估模型. 評估模型脆弱性 資產(chǎn)價值威脅資產(chǎn)風(fēng)險 安全需求業(yè)務(wù)戰(zhàn)略安全事件 殘余風(fēng)險 安全措施利用暴露 具有成本被滿足未控制可能誘發(fā)演變增加 導(dǎo)出依賴增加降低抵御未被滿足圖4 風(fēng)險評估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。在上圖中的風(fēng)險要素及屬性之間存在著以下關(guān)系：? 業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越小；? 資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；17 / 53? 風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成為安全事件；? 資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大；? 脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；? 風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；? 安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；? 安全措施可抵御威脅，降低風(fēng)險；? 殘余風(fēng)險有些是安全措施不當(dāng)或無效,需要加強(qiáng)才可控制的風(fēng)險；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)險；? 殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。. 評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型 參考標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)? ISO15408 信息技術(shù)安全評估準(zhǔn)則? ISO/IEC TR 13335 信息和通信技術(shù)安全管理? ISO/TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南? ISO/IEC 27000 信息安全管理體系系列標(biāo)準(zhǔn)? AS/NZS 4360 風(fēng)險管理? NIST SP 80030 IT系統(tǒng)風(fēng)險管理指南國內(nèi)標(biāo)準(zhǔn)? GB17859 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則? GBT 20984 信息安全風(fēng)險評估規(guī)范? GBT 22239 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求? GBZ 20985 信息技術(shù)安全技術(shù)信息安全事件管理指南? GBZ 20986 信息安全技術(shù)信息安全事件分類分級指南? 各個組織或行業(yè)內(nèi)相關(guān)要求表118 / 53. 服務(wù)評估方法評 估 方 法問 卷 訪 談 人 工 審 計工 具 掃 描滲 透 測 試圖5注：滲透測試模塊為可選模塊. 訪談?wù){(diào)研? 收集現(xiàn)有業(yè)務(wù)系統(tǒng)資產(chǎn)組成、IT 規(guī)劃、管理制度、原有項目安全成果等信息文檔。對進(jìn)行收集文檔進(jìn)行深入分析，梳理業(yè)務(wù)系統(tǒng)安全現(xiàn)狀。根據(jù)現(xiàn)有文檔分析整理結(jié)果，制定相關(guān)調(diào)研表進(jìn)行信息資產(chǎn)調(diào)研信息補(bǔ)充。? 制定訪談提綱，對相關(guān)人員進(jìn)行訪談。人員訪談可以了解人員安全意識、對安全管理獲知的程度、對安全技術(shù)的掌握程度，并且收集大量有用信息，全面了解信息系統(tǒng)的安全需求，深入了解客戶各層面的安全現(xiàn)狀。. 人工審計? 人工評估只對被評估對象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會對現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對被評估對象的資源占用也小于工具評估。人工評估完成后將產(chǎn)生人工評估報告，也將作為整體的安全評估報告的一個重要的來源和依據(jù)。? 人工評估對本地安全評估而言是必不可少的。人工安全評估對實施人員的安全知識、安全技術(shù)和安全經(jīng)驗要求很高，因為他們必須了解最新的安全漏洞、掌握多種先進(jìn)的安全技術(shù)和積累豐富的評估經(jīng)驗，這樣才能對本地安全評估中位于物理層、網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層和用戶層的所有安全對19 / 53象目標(biāo)進(jìn)行最有效和最完整的安全評估，并提供最合理和最及時的安全建議。. 工具掃描? 工具自動評估是用各種商用安全評估系統(tǒng)或掃描器，根據(jù)其內(nèi)置的評估內(nèi)容、測試方法、評估策略及相關(guān)數(shù)據(jù)庫信息，從系統(tǒng)內(nèi)部對主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫等系統(tǒng)進(jìn)行一系列的設(shè)置檢查，使其可預(yù)防潛在安全風(fēng)險問題，如弱口令、用戶權(quán)限設(shè)置、用戶帳戶設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑點等。它也可以找出黑客攻破系統(tǒng)的跡象，并提出修補(bǔ)建議。? 工具評估最突出的優(yōu)點是評估工作可由軟件來自動進(jìn)行，速度快，效率高。工具評估部分將采用基于應(yīng)用和網(wǎng)絡(luò)系統(tǒng)類的掃描軟件來分別進(jìn)行。掃描評估主要是根據(jù)已有的安全漏洞知識庫，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。網(wǎng)絡(luò)掃描主要依靠帶有安全漏洞知識庫的網(wǎng)絡(luò)安全掃描工具對系統(tǒng)進(jìn)行安全掃描，其特點是能對被評估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運(yùn)行的環(huán)境完全一致，能較真實地反映系統(tǒng)所存在的安全隱患和面臨的安全威脅。. 滲透測試? 滲透測試，也叫白客攻擊測試，它是一種從攻擊者的角度來對主機(jī)系統(tǒng)的安全程度進(jìn)行安全評估的手段，在對現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，模擬入侵者對指定系統(tǒng)進(jìn)行攻擊測試。滲透測試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。該方法也越來越受到國際/國內(nèi)信息安全業(yè)界的認(rèn)可和重視。為了解服務(wù)系統(tǒng)的安全現(xiàn)狀，在許可和控制的范圍內(nèi)，將對應(yīng)用系統(tǒng)進(jìn)行滲透測試。滲透測試將作為安全評估的一個重要組成部分。? 滲透測試是工具掃描和人工評估的重要補(bǔ)充。工具掃描具有很好的效率和20 / 53速度，但是存在一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試需要投入的人力資源較大、對測試者的專業(yè)技能要求很高，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點。.. 服務(wù)評估范圍. 技術(shù)評估評估類型 評估范圍物理環(huán)境評估? 評估對象：物理環(huán)境基礎(chǔ)設(shè)施? 評估內(nèi)容：從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別評估。網(wǎng)絡(luò)結(jié)構(gòu)評估? 評估對象：網(wǎng)絡(luò)及安全設(shè)備(交換機(jī)、路由器、防火墻、入侵檢測設(shè)、安全審計等)? 評估內(nèi)容：從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別評估。主機(jī)及數(shù)據(jù)系統(tǒng)評估? 評估對象：操作及數(shù)據(jù)庫