【文章內(nèi)容簡介】 對大型組織而言， 立即對組織的整個 網(wǎng)絡(luò) 進(jìn)行一次規(guī)模宏大的風(fēng)險評估 并非是最佳選擇，合理的 對 關(guān)鍵 業(yè)務(wù)的 相關(guān) 環(huán)節(jié) 先 實施一次“濃縮性的評估” ，進(jìn)而推廣到整個信息系統(tǒng)，是更合理的步驟。因而 評估的范圍 可能僅包含一些特定的業(yè)務(wù)管理部門、 系統(tǒng)、設(shè)備或邏輯上相關(guān)的信息 系統(tǒng)。 此外，評估的重點必須集中在核心的業(yè)務(wù)系統(tǒng)及其基礎(chǔ)平臺上。 ? 有效管理 評估結(jié)果 需對風(fēng)險評估的結(jié)果進(jìn)行有效的管理，以確保評估結(jié)果的可用性。 應(yīng)對評估結(jié)果進(jìn)行可視化的、 文件化的 管理，以 便 在涉及管理層決策時有 據(jù) 可依。 同時， 由于評估結(jié)果往往在形成文檔后內(nèi)容較多， 因而 對資產(chǎn)信息、安全威脅信息、安全弱點信息、評估結(jié)果 等 進(jìn)行 電子安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 4 化 統(tǒng)一 管理非常重要 。 ? 標(biāo)準(zhǔn)化 風(fēng)險評估實施方法 為更好地實施風(fēng)險評估， 應(yīng)制定 標(biāo)準(zhǔn)的實施方法 、標(biāo)準(zhǔn) 的 工作流程，建立先進(jìn)的評估理念和方法論體系， 確保實施方法的連貫性 、 一致性 和有效性 。 指導(dǎo)原則 啟明星辰 在評估 過程 中遵循以下原則： ? 標(biāo)準(zhǔn)性原則 評估方案的設(shè)計和 實施都 在充分吸納 國內(nèi)外 相關(guān)標(biāo)準(zhǔn) 如 GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 、 AS/NZS 4360風(fēng)險管理指南 、 NIST SP 800 ISO 13335等 理論模型 的基礎(chǔ)上 進(jìn)行 。 ? 規(guī)范性原則 啟明星辰 具有國內(nèi)服務(wù)領(lǐng)域最高資質(zhì)“信息安全服務(wù)資質(zhì)”，也是 首批獲得信息安全服務(wù)資質(zhì)（一級應(yīng)急處理服務(wù)） 和 國家保密局頒發(fā)的《涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)（甲級）》 的單位，評估 工作中的過程和文檔，具有很好的規(guī)范 性， 便于項目的跟蹤和 質(zhì)量 控制。 ? 可控性原則 評估 過程和 所使用的工具具有可控性。 啟明星辰有著豐富的評估工程實踐，承擔(dān)過 千余項國內(nèi)大規(guī)模的風(fēng)險評估項目，對安全服務(wù) 項目 的 管理有豐富的經(jīng)驗。 評估項目所采用的 工具 都 經(jīng)過多次 評估 項目 的 考驗 ， 具有 很好的可控性 。 ? 整體性原則 評估服務(wù)從 組織 的實際需求出發(fā)， 結(jié)合 業(yè)務(wù) 需求、 安全管理和業(yè)務(wù)運(yùn)營 等方面 進(jìn)行評估，而不是 僅僅 局限于網(wǎng)絡(luò)、主機(jī)等單個的安全層面。 ? 最小影響原則 評估 實施過程中制定充分細(xì)致的工作計劃 ， 不對現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響 ， 盡可能小 地 影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn) 行。 ? 保密性原則 從公司、人員、過程三個方面進(jìn)行保密控制：公司 雙方簽署保密協(xié)議 ， 不 得 利用評估中的任何數(shù)據(jù)進(jìn)行其他有損甲方利益的用途 ； 所有參與項目的 人員 簽訂 個人 保密協(xié)議； 在評估安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 5 過程中對評估 相關(guān)的 數(shù)據(jù) 執(zhí)行 嚴(yán)格 的 保密 控制措施 。 參考 標(biāo)準(zhǔn) 我們吸納、參考了如下 與 評估有 關(guān) 的信息安全標(biāo)準(zhǔn) ： ? GB/T 209842021 —— 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 。 ? AS/NZS 4360 —— 風(fēng)險管理指南 —— 澳大利亞和新西蘭關(guān)于風(fēng)險管理的標(biāo)準(zhǔn)。 ? NIST SP 80030 —— 美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會 (NIST)開 發(fā)的信息技術(shù)系統(tǒng)風(fēng)險管理指南。 ? NIST SP 80026 —— 美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會 (NIST)開發(fā)的信息技術(shù)系統(tǒng)安全自我評估指南。 ? OCTAVE —— Operationally Critical Threat, Asset, and Vulnerability Evaluation，由美國卡耐基梅隆大學(xué)軟件工程學(xué)院開發(fā)的一種風(fēng)險評估方法。 ? ISO20210（ ITIL） —— 信息系統(tǒng)服務(wù)管理 。 ? ISO13335 —— 信息技術(shù) IT 安全管理指南 。 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 6 2 評估模型 啟 明星辰 風(fēng)險 管理過程 模型 參考了多個 國內(nèi) 外 風(fēng)險評估標(biāo)準(zhǔn)，建立 起 安全風(fēng)險管理 過程模型 ，如 圖 21 所示 。 本模型 分別從風(fēng)險管理的流程 ， 描述 了 風(fēng)險評估、風(fēng)險管理的標(biāo)準(zhǔn)規(guī)范；從安全風(fēng)險的所有要素：資產(chǎn)、影響、威脅、弱點、安全控制、安全需求、安全風(fēng)險等方面描述各 要素 之間的關(guān)系； 從 安全風(fēng)險計算 方法中，通過 兩個因素 ： 威脅級別、威脅發(fā)生的概率， 并結(jié)合 風(fēng)險評估矩陣得出安全風(fēng)險。 圖 21 安全 風(fēng)險 管理 過程 模型 建立評估環(huán)境 確定評估人員 ， 準(zhǔn)備評估所需的設(shè)備、場地、資料等基本內(nèi)容，召開項目啟動會，與配安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 7 合人員溝通 ， 明確評估計劃、步驟、方法。 資產(chǎn) 評估 確定資產(chǎn)分類標(biāo) 準(zhǔn)，依據(jù)分類標(biāo)準(zhǔn)對資產(chǎn)進(jìn)行歸類， 分析并明確各類資產(chǎn)的價值 、安全屬性 和需要保護(hù)的層次。 威脅 及 弱點分析 根據(jù)資產(chǎn)的重要程度 及安全現(xiàn)狀， 通過工具或利用專家知識， 給出 資產(chǎn) 有可能被潛在威脅源利用的系統(tǒng)缺陷或弱點列表 ，標(biāo)示資產(chǎn)面臨的威脅 ，并界定威脅 出現(xiàn) 的可能性及破壞系統(tǒng)或資產(chǎn)的 影響 。 風(fēng)險分析 在威脅及弱點分析的基礎(chǔ)上通過風(fēng)險分析 ，明確 信息 系統(tǒng)目前的風(fēng)險狀況。 安全風(fēng)險報告 向組織提交 風(fēng)險 評估 綜合 報告 ， 描述 組織安全風(fēng)險狀況 ， 提供風(fēng)險列表，歸類風(fēng)險等級。 安全需求分析 根據(jù) 風(fēng)險評估報告 確定組織的有效安全需求 ，明確 需要立 即解決的安全問題， 明確 組織面臨的 主要 安全威脅， 明確 組織將有可能面臨的 主要 損失 以及 潛在的安全影響等。同時 ， 考慮組織安全建設(shè)投資的合理性、針對性、適當(dāng)性、有效性。 安全 建議 依據(jù)風(fēng)險評估結(jié)果，提出相關(guān)建議 ， 協(xié)助 構(gòu)建組織安全體系結(jié)構(gòu)，結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)，依據(jù)策略 ，為 組織 制定 完整的安全 規(guī)劃 提供參考 。 需要 考慮的方面 包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、數(shù)據(jù) 庫 、應(yīng)用系統(tǒng)、安全系統(tǒng)、 物理環(huán)境 等 內(nèi)容， 并且注重高可用性、動態(tài)性、整體性。 風(fēng)險控制 根據(jù)組織安全風(fēng)險報告，結(jié)合組織特點，針對組織面對的安全風(fēng)險，分析將面對的安 全影響，提供相應(yīng)的 風(fēng)險 控制 建議 。風(fēng)險控制 措施 包括降低 、轉(zhuǎn)移風(fēng)險，以及 接受 殘余風(fēng)險。通過風(fēng)險控制最終使系統(tǒng)風(fēng)險轉(zhuǎn)變?yōu)榭梢越邮艿臍堄囡L(fēng)險 ， 在降低風(fēng)險的需求和風(fēng)險控制的代價之間取得平衡。 監(jiān)控 與 審核 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 8 在整個組織的風(fēng)險 管理 過程中，每一個步驟都需要進(jìn)行監(jiān)控和審核，保證整個評估過程的規(guī)范 、 安全 、 可信。監(jiān)控和審核 工作 可 由 項目 專家 組 執(zhí)行。 溝通 與 咨詢 對于整個 風(fēng)險管理 過程的溝通、咨詢是保證風(fēng)險評估項目成功實施 的重要 因素。在整個風(fēng)險管理、評估過程中，針對每一個步驟應(yīng)該交流風(fēng)險管理 的結(jié)果 ，同時形成相關(guān)文檔。 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 9 3 評估 內(nèi)容與方法 評估 內(nèi)容 啟明星辰技術(shù)風(fēng)險評估服務(wù)包括資產(chǎn)評估、主機(jī)安全性評估、數(shù)據(jù)庫安全性評估、安全設(shè)備評估、網(wǎng)絡(luò)安全性評估、安全加固（可選）六個 方面 。如圖 31 所示： 技 術(shù) 風(fēng) 險 評 估 服 務(wù)資 產(chǎn)評 估主 機(jī)安 全性 評估數(shù) 據(jù)庫 安全 性評 估安 全設(shè) 備評 估網(wǎng) 絡(luò)安 全性 評估安 全加 固（ 可選 ） 圖 31 技術(shù)風(fēng)險評估服務(wù) 資產(chǎn)評估 資產(chǎn)是構(gòu)成 組織 整個 信息 系統(tǒng)的各種元素的組合，它直接 承載 了 信息 系統(tǒng)的業(yè)務(wù)， 因而資產(chǎn) 具有重要的 保護(hù)價值。 資產(chǎn)評估是對信息系統(tǒng)的各類資產(chǎn)進(jìn)行識別，對 資產(chǎn) 進(jìn)行 價值分析，了解資產(chǎn)利用、維護(hù)和管理現(xiàn)狀；明確資產(chǎn)具備的保護(hù)價值和需要的保護(hù)層次，從而使組織能夠更合理地利用現(xiàn) 有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性地進(jìn)行資產(chǎn)保護(hù)， 進(jìn)而 策略性地進(jìn)行新的資產(chǎn)投入。 資產(chǎn)評估主要針對信息系統(tǒng)所包含的各種資產(chǎn) 。評估雙方對資產(chǎn)進(jìn)行梳理， 確定評估的范圍。 主機(jī)安全性評估 主機(jī) 安全性評估是對 各種操作系統(tǒng)，通過 技術(shù)手段進(jìn)行分析， 發(fā)現(xiàn)系統(tǒng)配置和運(yùn)行中存在的安全隱患 。 常見 的操作系統(tǒng) 包括 各種 UNIX系統(tǒng) （如 AIX、 HP UNIX、 Solaris、 LINUX、Freebsd、 SCO UNIX等） 、 Windows 系統(tǒng)（如 Windows NT、 Windows 202 Windows 202安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 10 Windows Vista 等） 及 其它 操作 系統(tǒng) 。 主機(jī)安全性評估主要包括如下方面： ? 版本及補(bǔ)丁維護(hù) ? 系統(tǒng)開放服務(wù) ? 賬號 及密碼 策略 ? 文件和目錄權(quán)限 ? 日志配置 ? 認(rèn)證授權(quán) 數(shù)據(jù)庫安全性評估 數(shù)據(jù)庫安全性評估 通過 分析數(shù)據(jù)庫 系統(tǒng) 的配置信息 ， 全面 檢查數(shù)據(jù)庫存在的各種安全弱點， 并 結(jié)合組織的 業(yè)務(wù)特點 分析數(shù)據(jù)庫 的 安全性。 常見的 數(shù)據(jù)庫系統(tǒng)主要包括： Oracle、SQL Server、 DB SyBase、 Informix、 Mysql 等 。 數(shù)據(jù)庫安全性評估從如下幾個方面進(jìn)行： ? 版本及 補(bǔ)丁維護(hù) ? 文件 和目錄 權(quán)限 ? 訪問控制 ? 賬號權(quán)限 ? 安全審計 ? 數(shù) 據(jù)加密 ? 容錯備份 安全設(shè)備評估 安全設(shè)備評估主要分析 安全 設(shè)備自身的安全配置情況、設(shè)備性能等信息，檢查安全設(shè)備是否 對信息系統(tǒng) 起到應(yīng)有的保護(hù)作用 、 是否引入新的安全風(fēng)險。 安全設(shè)備主要包括 防火墻、入侵檢測系統(tǒng)（ IDS）、入侵防御系統(tǒng) （ IPS） 、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng) 、安全隔離系統(tǒng)、 防 拒絕服務(wù)攻擊 設(shè)備、 VPN 設(shè)備 等 。 安全設(shè)備 的 評估主要 包括 如下方面： ? 安全 防護(hù) ? 安全審計 安全源自未雨綢繆，誠信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù)股份有限公司 電話： 01082779088 傳真： 01082779238 網(wǎng)址： 地址： 北京市海淀區(qū)東北旺西路 8 號中關(guān)村軟件園 21 號樓啟明星辰大廈 11 ? 訪問控制 ? 認(rèn)證授權(quán) ? 設(shè)備性能 網(wǎng)絡(luò)安全性評估 通過對 組織的網(wǎng)絡(luò)體系進(jìn)行深入 分析 ，全面地對 網(wǎng)絡(luò)設(shè)備配置、 網(wǎng)絡(luò)架構(gòu) 、數(shù)據(jù)流 等方面進(jìn)行 分析 ，從而了解整個網(wǎng)絡(luò)的狀況，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患，并 提出網(wǎng)絡(luò)安全規(guī)劃解決建議。 網(wǎng)絡(luò)安全性評估 主要 包括 如下方面 ： ? 網(wǎng)絡(luò)設(shè)備 配置 ? 操作系統(tǒng)版本 ? 認(rèn)證授權(quán) ? 訪問控制 ? 日志配置 ? 路由協(xié)議 ? 網(wǎng)管配置 ? 其他 特定的安全配置 ? 網(wǎng)絡(luò)架構(gòu) ? 網(wǎng)絡(luò) 層次 ? 網(wǎng)絡(luò)協(xié)議 ? 網(wǎng)絡(luò)流量 ? 網(wǎng)絡(luò)規(guī)范性 ? 網(wǎng)絡(luò)邊界 ? 網(wǎng)絡(luò)管理 ? QoS 規(guī)劃 ? 數(shù)據(jù)流 分析 ? 數(shù)據(jù)流向 ? 關(guān)鍵路徑 ? 邊界防護(hù) 安全源自未雨