【文章內(nèi)容簡(jiǎn)介】 脆弱性被利用的等級(jí)列表。 《 資產(chǎn)價(jià)值等級(jí)列表 》 資產(chǎn)價(jià)值的等級(jí)列表。 《 影響程度等級(jí)列表 》 影響程度的等級(jí)列表。 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 匯總上述分析報(bào)告和等級(jí)列表，綜合評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 34 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn) 溝通與咨詢 監(jiān)控與審查 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 35 風(fēng)險(xiǎn)控制概述 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理的第三步驟，依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。 風(fēng)險(xiǎn)控制方式主要有規(guī)避、轉(zhuǎn)移和降低三種方式 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 36 風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 PPDRR 風(fēng)險(xiǎn)控制需求 風(fēng)險(xiǎn)控制措施 策略 Policy 設(shè)備管理制度 建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。 機(jī)房出入守則 系統(tǒng)安全管理守則 系統(tǒng)安全配置明細(xì) 網(wǎng)絡(luò)安全管理守則 網(wǎng)絡(luò)安全配置明細(xì) 應(yīng)用安全管理守則 應(yīng)用安全配置明細(xì) 應(yīng)急響應(yīng)計(jì)劃 安全事件處理準(zhǔn)則 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 37 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 保護(hù) Protection 機(jī)房 嚴(yán)格按照 GB 501741993《 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 》 、 GB 93611988《 計(jì)算站場(chǎng)地安全要求 》 、 GB 28871982《 計(jì)算機(jī)站場(chǎng)地技術(shù)要求 》 和 GB/T 28872023《 計(jì)算機(jī)場(chǎng)地通用規(guī)范 》 等國(guó)家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。 門控 安裝門控系統(tǒng) 保安 建設(shè)保安制度和保安隊(duì)伍。 電磁屏蔽 在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。 病毒防殺 全面部署防病毒系統(tǒng)。 漏洞補(bǔ)丁 及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。 安全配置 嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。 身份認(rèn)證 根據(jù)不同的安全強(qiáng)度，分別采用身份標(biāo)識(shí) /口令、數(shù)字鑰匙、數(shù)字證書、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng)，對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。 訪問(wèn)控制 根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級(jí)別的訪問(wèn)控制系統(tǒng)，對(duì)設(shè)備、用 戶等主體訪問(wèn)客體的權(quán)限進(jìn)行控制。 數(shù)據(jù)加密 根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng)，對(duì)傳輸數(shù) 據(jù)和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。 邊界控制 在網(wǎng)絡(luò)邊界布置防火墻，阻止來(lái)自外界非法訪問(wèn)。 數(shù)字水印 對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。 數(shù)字簽名 在需要防止事后否認(rèn)時(shí)，可采用數(shù)字簽名技術(shù)。 內(nèi)容凈化 部署內(nèi)容過(guò)濾系統(tǒng)。 安全機(jī)構(gòu)、安全崗位、安全責(zé)任 建立健全安全機(jī)構(gòu)，合理設(shè)置安全崗位，明確劃分安全責(zé)任。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 38 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 檢測(cè) Detection 監(jiān)視、監(jiān)測(cè)和報(bào)警 在適當(dāng)?shù)奈恢冒仓帽O(jiān)視器和報(bào)警器，在各系統(tǒng)單元中配備監(jiān)測(cè)系統(tǒng)和報(bào)警系統(tǒng)，以實(shí)時(shí)發(fā)現(xiàn)安全事件并及時(shí)報(bào)警。 數(shù)據(jù)校驗(yàn) 通過(guò)數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改。 主機(jī)入侵檢測(cè) 部署主機(jī)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行為。 主機(jī)狀態(tài)監(jiān)測(cè) 部署主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)。 網(wǎng)絡(luò)入侵檢測(cè) 部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。 網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè) 部署網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)。 安全審計(jì) 在各系統(tǒng)單元中配備安全審計(jì)，以發(fā)現(xiàn)深層安全漏洞 和安全事件。 安全監(jiān)督、安全檢查 實(shí)行持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 39 主要的風(fēng)險(xiǎn)控制需求及其相應(yīng)的風(fēng)險(xiǎn)控制措施 響應(yīng) Response 恢復(fù) Recovery 故障修復(fù)、事故排除 確保隨時(shí)能夠獲取故障修復(fù)和事故排除的技術(shù)人員和軟硬件工具。 設(shè)施備份與恢復(fù) 對(duì)于關(guān)鍵設(shè)施，配備設(shè)施備份與恢復(fù)系統(tǒng)。 系統(tǒng)備份與恢復(fù) 對(duì)于關(guān)鍵系統(tǒng)，配備系統(tǒng)備份與恢復(fù)系統(tǒng)。 數(shù)據(jù)備份與恢復(fù) 對(duì)于關(guān)鍵數(shù)據(jù)，配備數(shù)據(jù)備份與恢復(fù)系統(tǒng)。 信道備份與恢復(fù) 對(duì)于關(guān)鍵信道，配備設(shè)信道份與恢復(fù)系統(tǒng)。 應(yīng)用備份與恢復(fù) 對(duì)于關(guān)鍵應(yīng)用，配備應(yīng)用備份與恢復(fù)系統(tǒng)。 應(yīng)急響應(yīng) 按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件。 安全事件處理 按照安全事件處理找出原因、追究責(zé)任、總結(jié)經(jīng)驗(yàn)、 提出改進(jìn)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 40 風(fēng)險(xiǎn)控制過(guò)程 風(fēng) 險(xiǎn) 控 制審 核批 準(zhǔn)控 制 措 施選 擇現(xiàn) 存 風(fēng) 險(xiǎn)判 斷控 制 目 標(biāo)確 立確定可接受風(fēng)險(xiǎn)等級(jí)判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受分析風(fēng)險(xiǎn)控制需求確立風(fēng)險(xiǎn)控制目標(biāo)選擇風(fēng)險(xiǎn)控制方式選擇風(fēng)險(xiǎn)控制手段制定風(fēng)險(xiǎn)控制實(shí)施計(jì)劃實(shí)施風(fēng)險(xiǎn)控制措施溝 通 與 咨 詢監(jiān) 控 與 審 查控 制 措 施實(shí) 施風(fēng) 險(xiǎn)評(píng) 估 ?接 受否是SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 41 現(xiàn)存風(fēng)險(xiǎn)判斷 風(fēng) 險(xiǎn)評(píng) 估確 定 可 接 受 風(fēng) 險(xiǎn) 等 級(jí)判 斷 現(xiàn) 存 風(fēng) 險(xiǎn) 是 否 可 接 受風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告否 是審 核批 準(zhǔn)接 受?風(fēng) 險(xiǎn) 接 受 等 級(jí)劃 分 表現(xiàn) 存 風(fēng) 險(xiǎn) 接 受判 斷 書SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 42 控制目標(biāo)確立 風(fēng) 險(xiǎn) 控 制 目 標(biāo)列 表分 析 風(fēng) 險(xiǎn) 控 制 需 求確 立 風(fēng) 險(xiǎn) 控 制 目 標(biāo)風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告信 息 系 統(tǒng) 的描 述 報(bào) 告信 息 系 統(tǒng) 的分 析 報(bào) 告風(fēng) 險(xiǎn) 接 受 等 級(jí)劃 分 表風(fēng) 險(xiǎn) 控 制 需 求分 析 報(bào) 告SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 43 控制措施選擇 選 擇 風(fēng) 險(xiǎn) 控 制 方 式選 擇 風(fēng) 險(xiǎn) 控 制 措 施入 選 風(fēng) 險(xiǎn) 控 制方 式 說(shuō) 明 報(bào) 告入 選 風(fēng) 險(xiǎn) 控 制措 施 說(shuō) 明 報(bào) 告信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告風(fēng) 險(xiǎn) 控 制 需 求分 析 報(bào) 告風(fēng) 險(xiǎn) 控 制 目 標(biāo)列 表SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 44 控制措施實(shí)施 制 定 風(fēng) 險(xiǎn) 控 制 實(shí) 施 計(jì) 劃信 息 系 統(tǒng) 的安 全 要 求 報(bào) 告風(fēng) 險(xiǎn) 控 制 目 標(biāo)列 表入 選 風(fēng) 險(xiǎn) 控 制方 式 說(shuō) 明 報(bào) 告入 選 風(fēng) 險(xiǎn) 控 制措 施 說(shuō) 明 報(bào) 告風(fēng) 險(xiǎn) 控 制實(shí) 施 計(jì) 劃 書風(fēng) 險(xiǎn) 控 制實(shí) 施 記 錄審 核批 準(zhǔn)實(shí) 施 風(fēng) 險(xiǎn) 控 制 措 施SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 45 風(fēng)險(xiǎn)控制的文檔 階段 輸出文檔 文檔內(nèi)容 現(xiàn)存風(fēng)險(xiǎn)判斷 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 風(fēng)險(xiǎn)接受等級(jí)的劃分，即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種。 《 現(xiàn)存風(fēng)險(xiǎn)接受判斷書 》 現(xiàn)存風(fēng)險(xiǎn)是否可接受的判斷結(jié)果。 控制目標(biāo)確立 《 風(fēng)險(xiǎn)控制需求分析報(bào)告 》 從技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）、組織層面（即結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)控制的需求。 《 風(fēng)險(xiǎn)控制目標(biāo)列表 》 風(fēng)險(xiǎn)控制目標(biāo)的列表，包括控制對(duì)象 及其最低保護(hù)等級(jí)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 46 風(fēng)險(xiǎn)控制的文檔 控制措施選擇 《 入選風(fēng)險(xiǎn)控制方式說(shuō)明報(bào)告 》 選擇合適的風(fēng)險(xiǎn)控制方式（包括規(guī)避方式、轉(zhuǎn)移方式和降低方式），并說(shuō)明選擇的理由以及被選控制方式的使用方法和注意事項(xiàng)等。 《 入選風(fēng)險(xiǎn)控制措施說(shuō)明報(bào)告 》 選擇合適的風(fēng)險(xiǎn)控制措施，并說(shuō)明選擇的理由以及被選控制措施的成本、使用方法和注意事項(xiàng)等。 控制措施實(shí)施 《 風(fēng)險(xiǎn)控制實(shí)施計(jì)劃書 》 風(fēng)險(xiǎn)控制的范圍、對(duì)象、目標(biāo)、組織結(jié)構(gòu)、成本預(yù)算和進(jìn)度安排等。 《 風(fēng)險(xiǎn)控制實(shí)施記錄 》 風(fēng)險(xiǎn)控制措施實(shí)施的過(guò)程和結(jié)果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ) 2023112 47 三、信息安全風(fēng)險(xiǎn)管理各組成部分 對(duì)象確立 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制 審核批準(zhǔn)