【文章內(nèi)容簡(jiǎn)介】 對(duì)大型組織而言， 立即對(duì)組織的整個(gè) 網(wǎng)絡(luò) 進(jìn)行一次規(guī)模宏大的風(fēng)險(xiǎn)評(píng)估 并非是最佳選擇，合理的 對(duì) 關(guān)鍵 業(yè)務(wù)的 相關(guān) 環(huán)節(jié) 先 實(shí)施一次“濃縮性的評(píng)估” ，進(jìn)而推廣到整個(gè)信息系統(tǒng)，是更合理的步驟。因而 評(píng)估的范圍 可能僅包含一些特定的業(yè)務(wù)管理部門、 系統(tǒng)、設(shè)備或邏輯上相關(guān)的信息 系統(tǒng)。 此外，評(píng)估的重點(diǎn)必須集中在核心的業(yè)務(wù)系統(tǒng)及其基礎(chǔ)平臺(tái)上。 ? 有效管理 評(píng)估結(jié)果 需對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行有效的管理，以確保評(píng)估結(jié)果的可用性。 應(yīng)對(duì)評(píng)估結(jié)果進(jìn)行可視化的、 文件化的 管理，以 便 在涉及管理層決策時(shí)有 據(jù) 可依。 同時(shí)， 由于評(píng)估結(jié)果往往在形成文檔后內(nèi)容較多， 因而 對(duì)資產(chǎn)信息、安全威脅信息、安全弱點(diǎn)信息、評(píng)估結(jié)果 等 進(jìn)行 電子安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 4 化 統(tǒng)一 管理非常重要 。 ? 標(biāo)準(zhǔn)化 風(fēng)險(xiǎn)評(píng)估實(shí)施方法 為更好地實(shí)施風(fēng)險(xiǎn)評(píng)估， 應(yīng)制定 標(biāo)準(zhǔn)的實(shí)施方法 、標(biāo)準(zhǔn) 的 工作流程，建立先進(jìn)的評(píng)估理念和方法論體系， 確保實(shí)施方法的連貫性 、 一致性 和有效性 。 指導(dǎo)原則 啟明星辰 在評(píng)估 過(guò)程 中遵循以下原則： ? 標(biāo)準(zhǔn)性原則 評(píng)估方案的設(shè)計(jì)和 實(shí)施都 在充分吸納 國(guó)內(nèi)外 相關(guān)標(biāo)準(zhǔn) 如 GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 、 AS/NZS 4360風(fēng)險(xiǎn)管理指南 、 NIST SP 800 ISO 13335等 理論模型 的基礎(chǔ)上 進(jìn)行 。 ? 規(guī)范性原則 啟明星辰 具有國(guó)內(nèi)服務(wù)領(lǐng)域最高資質(zhì)“信息安全服務(wù)資質(zhì)”，也是 首批獲得信息安全服務(wù)資質(zhì)（一級(jí)應(yīng)急處理服務(wù)） 和 國(guó)家保密局頒發(fā)的《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)（甲級(jí)）》 的單位，評(píng)估 工作中的過(guò)程和文檔，具有很好的規(guī)范 性， 便于項(xiàng)目的跟蹤和 質(zhì)量 控制。 ? 可控性原則 評(píng)估 過(guò)程和 所使用的工具具有可控性。 啟明星辰有著豐富的評(píng)估工程實(shí)踐，承擔(dān)過(guò) 千余項(xiàng)國(guó)內(nèi)大規(guī)模的風(fēng)險(xiǎn)評(píng)估項(xiàng)目，對(duì)安全服務(wù) 項(xiàng)目 的 管理有豐富的經(jīng)驗(yàn)。 評(píng)估項(xiàng)目所采用的 工具 都 經(jīng)過(guò)多次 評(píng)估 項(xiàng)目 的 考驗(yàn) ， 具有 很好的可控性 。 ? 整體性原則 評(píng)估服務(wù)從 組織 的實(shí)際需求出發(fā)， 結(jié)合 業(yè)務(wù) 需求、 安全管理和業(yè)務(wù)運(yùn)營(yíng) 等方面 進(jìn)行評(píng)估，而不是 僅僅 局限于網(wǎng)絡(luò)、主機(jī)等單個(gè)的安全層面。 ? 最小影響原則 評(píng)估 實(shí)施過(guò)程中制定充分細(xì)致的工作計(jì)劃 ， 不對(duì)現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響 ， 盡可能小 地 影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn) 行。 ? 保密性原則 從公司、人員、過(guò)程三個(gè)方面進(jìn)行保密控制：公司 雙方簽署保密協(xié)議 ， 不 得 利用評(píng)估中的任何數(shù)據(jù)進(jìn)行其他有損甲方利益的用途 ； 所有參與項(xiàng)目的 人員 簽訂 個(gè)人 保密協(xié)議； 在評(píng)估安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 5 過(guò)程中對(duì)評(píng)估 相關(guān)的 數(shù)據(jù) 執(zhí)行 嚴(yán)格 的 保密 控制措施 。 參考 標(biāo)準(zhǔn) 我們吸納、參考了如下 與 評(píng)估有 關(guān) 的信息安全標(biāo)準(zhǔn) ： ? GB/T 209842021 —— 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 。 ? AS/NZS 4360 —— 風(fēng)險(xiǎn)管理指南 —— 澳大利亞和新西蘭關(guān)于風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)。 ? NIST SP 80030 —— 美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)學(xué)會(huì) (NIST)開(kāi) 發(fā)的信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南。 ? NIST SP 80026 —— 美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)學(xué)會(huì) (NIST)開(kāi)發(fā)的信息技術(shù)系統(tǒng)安全自我評(píng)估指南。 ? OCTAVE —— Operationally Critical Threat, Asset, and Vulnerability Evaluation，由美國(guó)卡耐基梅隆大學(xué)軟件工程學(xué)院開(kāi)發(fā)的一種風(fēng)險(xiǎn)評(píng)估方法。 ? ISO20210（ ITIL） —— 信息系統(tǒng)服務(wù)管理 。 ? ISO13335 —— 信息技術(shù) IT 安全管理指南 。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 6 2 評(píng)估模型 啟 明星辰 風(fēng)險(xiǎn) 管理過(guò)程 模型 參考了多個(gè) 國(guó)內(nèi) 外 風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，建立 起 安全風(fēng)險(xiǎn)管理 過(guò)程模型 ，如 圖 21 所示 。 本模型 分別從風(fēng)險(xiǎn)管理的流程 ， 描述 了 風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)規(guī)范；從安全風(fēng)險(xiǎn)的所有要素：資產(chǎn)、影響、威脅、弱點(diǎn)、安全控制、安全需求、安全風(fēng)險(xiǎn)等方面描述各 要素 之間的關(guān)系； 從 安全風(fēng)險(xiǎn)計(jì)算 方法中，通過(guò) 兩個(gè)因素 ： 威脅級(jí)別、威脅發(fā)生的概率， 并結(jié)合 風(fēng)險(xiǎn)評(píng)估矩陣得出安全風(fēng)險(xiǎn)。 圖 21 安全 風(fēng)險(xiǎn) 管理 過(guò)程 模型 建立評(píng)估環(huán)境 確定評(píng)估人員 ， 準(zhǔn)備評(píng)估所需的設(shè)備、場(chǎng)地、資料等基本內(nèi)容，召開(kāi)項(xiàng)目啟動(dòng)會(huì)，與配安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 7 合人員溝通 ， 明確評(píng)估計(jì)劃、步驟、方法。 資產(chǎn) 評(píng)估 確定資產(chǎn)分類標(biāo) 準(zhǔn)，依據(jù)分類標(biāo)準(zhǔn)對(duì)資產(chǎn)進(jìn)行歸類， 分析并明確各類資產(chǎn)的價(jià)值 、安全屬性 和需要保護(hù)的層次。 威脅 及 弱點(diǎn)分析 根據(jù)資產(chǎn)的重要程度 及安全現(xiàn)狀， 通過(guò)工具或利用專家知識(shí)， 給出 資產(chǎn) 有可能被潛在威脅源利用的系統(tǒng)缺陷或弱點(diǎn)列表 ，標(biāo)示資產(chǎn)面臨的威脅 ，并界定威脅 出現(xiàn) 的可能性及破壞系統(tǒng)或資產(chǎn)的 影響 。 風(fēng)險(xiǎn)分析 在威脅及弱點(diǎn)分析的基礎(chǔ)上通過(guò)風(fēng)險(xiǎn)分析 ，明確 信息 系統(tǒng)目前的風(fēng)險(xiǎn)狀況。 安全風(fēng)險(xiǎn)報(bào)告 向組織提交 風(fēng)險(xiǎn) 評(píng)估 綜合 報(bào)告 ， 描述 組織安全風(fēng)險(xiǎn)狀況 ， 提供風(fēng)險(xiǎn)列表，歸類風(fēng)險(xiǎn)等級(jí)。 安全需求分析 根據(jù) 風(fēng)險(xiǎn)評(píng)估報(bào)告 確定組織的有效安全需求 ，明確 需要立 即解決的安全問(wèn)題， 明確 組織面臨的 主要 安全威脅， 明確 組織將有可能面臨的 主要 損失 以及 潛在的安全影響等。同時(shí) ， 考慮組織安全建設(shè)投資的合理性、針對(duì)性、適當(dāng)性、有效性。 安全 建議 依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，提出相關(guān)建議 ， 協(xié)助 構(gòu)建組織安全體系結(jié)構(gòu)，結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)，依據(jù)策略 ，為 組織 制定 完整的安全 規(guī)劃 提供參考 。 需要 考慮的方面 包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、數(shù)據(jù) 庫(kù) 、應(yīng)用系統(tǒng)、安全系統(tǒng)、 物理環(huán)境 等 內(nèi)容， 并且注重高可用性、動(dòng)態(tài)性、整體性。 風(fēng)險(xiǎn)控制 根據(jù)組織安全風(fēng)險(xiǎn)報(bào)告，結(jié)合組織特點(diǎn)，針對(duì)組織面對(duì)的安全風(fēng)險(xiǎn)，分析將面對(duì)的安 全影響，提供相應(yīng)的 風(fēng)險(xiǎn) 控制 建議 。風(fēng)險(xiǎn)控制 措施 包括降低 、轉(zhuǎn)移風(fēng)險(xiǎn)，以及 接受 殘余風(fēng)險(xiǎn)。通過(guò)風(fēng)險(xiǎn)控制最終使系統(tǒng)風(fēng)險(xiǎn)轉(zhuǎn)變?yōu)榭梢越邮艿臍堄囡L(fēng)險(xiǎn) ， 在降低風(fēng)險(xiǎn)的需求和風(fēng)險(xiǎn)控制的代價(jià)之間取得平衡。 監(jiān)控 與 審核 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 8 在整個(gè)組織的風(fēng)險(xiǎn) 管理 過(guò)程中，每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核，保證整個(gè)評(píng)估過(guò)程的規(guī)范 、 安全 、 可信。監(jiān)控和審核 工作 可 由 項(xiàng)目 專家 組 執(zhí)行。 溝通 與 咨詢 對(duì)于整個(gè) 風(fēng)險(xiǎn)管理 過(guò)程的溝通、咨詢是保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目成功實(shí)施 的重要 因素。在整個(gè)風(fēng)險(xiǎn)管理、評(píng)估過(guò)程中，針對(duì)每一個(gè)步驟應(yīng)該交流風(fēng)險(xiǎn)管理 的結(jié)果 ，同時(shí)形成相關(guān)文檔。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 9 3 評(píng)估 內(nèi)容與方法 評(píng)估 內(nèi)容 啟明星辰技術(shù)風(fēng)險(xiǎn)評(píng)估服務(wù)包括資產(chǎn)評(píng)估、主機(jī)安全性評(píng)估、數(shù)據(jù)庫(kù)安全性評(píng)估、安全設(shè)備評(píng)估、網(wǎng)絡(luò)安全性評(píng)估、安全加固（可選）六個(gè) 方面 。如圖 31 所示： 技 術(shù) 風(fēng) 險(xiǎn) 評(píng) 估 服 務(wù)資 產(chǎn)評(píng) 估主 機(jī)安 全性 評(píng)估數(shù) 據(jù)庫(kù) 安全 性評(píng) 估安 全設(shè) 備評(píng) 估網(wǎng) 絡(luò)安 全性 評(píng)估安 全加 固（ 可選 ） 圖 31 技術(shù)風(fēng)險(xiǎn)評(píng)估服務(wù) 資產(chǎn)評(píng)估 資產(chǎn)是構(gòu)成 組織 整個(gè) 信息 系統(tǒng)的各種元素的組合，它直接 承載 了 信息 系統(tǒng)的業(yè)務(wù)， 因而資產(chǎn) 具有重要的 保護(hù)價(jià)值。 資產(chǎn)評(píng)估是對(duì)信息系統(tǒng)的各類資產(chǎn)進(jìn)行識(shí)別，對(duì) 資產(chǎn) 進(jìn)行 價(jià)值分析，了解資產(chǎn)利用、維護(hù)和管理現(xiàn)狀；明確資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使組織能夠更合理地利用現(xiàn) 有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性地進(jìn)行資產(chǎn)保護(hù)， 進(jìn)而 策略性地進(jìn)行新的資產(chǎn)投入。 資產(chǎn)評(píng)估主要針對(duì)信息系統(tǒng)所包含的各種資產(chǎn) 。評(píng)估雙方對(duì)資產(chǎn)進(jìn)行梳理， 確定評(píng)估的范圍。 主機(jī)安全性評(píng)估 主機(jī) 安全性評(píng)估是對(duì) 各種操作系統(tǒng)，通過(guò) 技術(shù)手段進(jìn)行分析， 發(fā)現(xiàn)系統(tǒng)配置和運(yùn)行中存在的安全隱患 。 常見(jiàn) 的操作系統(tǒng) 包括 各種 UNIX系統(tǒng) （如 AIX、 HP UNIX、 Solaris、 LINUX、Freebsd、 SCO UNIX等） 、 Windows 系統(tǒng)（如 Windows NT、 Windows 202 Windows 202安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 10 Windows Vista 等） 及 其它 操作 系統(tǒng) 。 主機(jī)安全性評(píng)估主要包括如下方面： ? 版本及補(bǔ)丁維護(hù) ? 系統(tǒng)開(kāi)放服務(wù) ? 賬號(hào) 及密碼 策略 ? 文件和目錄權(quán)限 ? 日志配置 ? 認(rèn)證授權(quán) 數(shù)據(jù)庫(kù)安全性評(píng)估 數(shù)據(jù)庫(kù)安全性評(píng)估 通過(guò) 分析數(shù)據(jù)庫(kù) 系統(tǒng) 的配置信息 ， 全面 檢查數(shù)據(jù)庫(kù)存在的各種安全弱點(diǎn)， 并 結(jié)合組織的 業(yè)務(wù)特點(diǎn) 分析數(shù)據(jù)庫(kù) 的 安全性。 常見(jiàn)的 數(shù)據(jù)庫(kù)系統(tǒng)主要包括： Oracle、SQL Server、 DB SyBase、 Informix、 Mysql 等 。 數(shù)據(jù)庫(kù)安全性評(píng)估從如下幾個(gè)方面進(jìn)行： ? 版本及 補(bǔ)丁維護(hù) ? 文件 和目錄 權(quán)限 ? 訪問(wèn)控制 ? 賬號(hào)權(quán)限 ? 安全審計(jì) ? 數(shù) 據(jù)加密 ? 容錯(cuò)備份 安全設(shè)備評(píng)估 安全設(shè)備評(píng)估主要分析 安全 設(shè)備自身的安全配置情況、設(shè)備性能等信息，檢查安全設(shè)備是否 對(duì)信息系統(tǒng) 起到應(yīng)有的保護(hù)作用 、 是否引入新的安全風(fēng)險(xiǎn)。 安全設(shè)備主要包括 防火墻、入侵檢測(cè)系統(tǒng)（ IDS）、入侵防御系統(tǒng) （ IPS） 、安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng) 、安全隔離系統(tǒng)、 防 拒絕服務(wù)攻擊 設(shè)備、 VPN 設(shè)備 等 。 安全設(shè)備 的 評(píng)估主要 包括 如下方面： ? 安全 防護(hù) ? 安全審計(jì) 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號(hào)中關(guān)村軟件園 21 號(hào)樓啟明星辰大廈 11 ? 訪問(wèn)控制 ? 認(rèn)證授權(quán) ? 設(shè)備性能 網(wǎng)絡(luò)安全性評(píng)估 通過(guò)對(duì) 組織的網(wǎng)絡(luò)體系進(jìn)行深入 分析 ，全面地對(duì) 網(wǎng)絡(luò)設(shè)備配置、 網(wǎng)絡(luò)架構(gòu) 、數(shù)據(jù)流 等方面進(jìn)行 分析 ，從而了解整個(gè)網(wǎng)絡(luò)的狀況，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患，并 提出網(wǎng)絡(luò)安全規(guī)劃解決建議。 網(wǎng)絡(luò)安全性評(píng)估 主要 包括 如下方面 ： ? 網(wǎng)絡(luò)設(shè)備 配置 ? 操作系統(tǒng)版本 ? 認(rèn)證授權(quán) ? 訪問(wèn)控制 ? 日志配置 ? 路由協(xié)議 ? 網(wǎng)管配置 ? 其他 特定的安全配置 ? 網(wǎng)絡(luò)架構(gòu) ? 網(wǎng)絡(luò) 層次 ? 網(wǎng)絡(luò)協(xié)議 ? 網(wǎng)絡(luò)流量 ? 網(wǎng)絡(luò)規(guī)范性 ? 網(wǎng)絡(luò)邊界 ? 網(wǎng)絡(luò)管理 ? QoS 規(guī)劃 ? 數(shù)據(jù)流 分析 ? 數(shù)據(jù)流向 ? 關(guān)鍵路徑 ? 邊界防護(hù) 安全源自未雨