【正文】 失1很低不重要，其安全屬性破壞后可能對組織造成很小的損失，甚至忽略不計 資產(chǎn)重要性等級劃分表v 階段成果：風(fēng)險評估小組制定《資產(chǎn)重要性程度判斷準(zhǔn)則》，確定在信息安全方面對組織業(yè)務(wù)發(fā)展（考慮相關(guān)方要求）起到關(guān)鍵作用的資產(chǎn)，根據(jù)預(yù)先制定的規(guī)則，對資產(chǎn)的機密性、完整性、可用性進行賦值與計算，并根據(jù)資產(chǎn)賦值結(jié)果得出《重要資產(chǎn)清單》，該清單一般應(yīng)包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門，應(yīng)根據(jù)預(yù)先制定的規(guī)則，對資產(chǎn)的機密性、完整性、可用性進行賦值與計算。在本階段結(jié)束時應(yīng)由風(fēng)險評估服務(wù)技術(shù)支持方向信息系統(tǒng)所有者提供《重要資產(chǎn)清單》，并由信息系統(tǒng)所有者進行書面確認(rèn)，然后主要圍繞重要資產(chǎn)展開以下實施步驟。u ：資產(chǎn)識別階段工作任務(wù)l 根據(jù)資產(chǎn)的表現(xiàn)形式對資產(chǎn)進行分類；l 根據(jù)對資產(chǎn)安全價值的估價對資產(chǎn)進行三性（機密性、完整性、可用性）賦值；l 根據(jù)資產(chǎn)賦值結(jié)果，對照《資產(chǎn)重要性程度判斷準(zhǔn)則》識別出重要資產(chǎn)。工作方式問卷調(diào)查、人員問詢參與人員信息系統(tǒng)所有者項目負(fù)責(zé)人及相關(guān)技術(shù)人員，評估小組階段成果《資產(chǎn)識別清單》、《重要資產(chǎn)清單》安全威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統(tǒng)，安全威脅是一個客觀存在的事物，它是風(fēng)險評估的重要因素之一。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素又可區(qū)分為有意和無意兩種。環(huán)境因素包括自然界的不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。也可能是偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或數(shù)據(jù)的弱點才可能成功地對資產(chǎn)造成傷害。安全事件及其后果是分析威脅的重要依據(jù)。但是有相當(dāng)一部分威脅發(fā)生時，由于未能造成后果，或者沒有意識到，而被安全管理人員忽略。這將導(dǎo)致對安全威脅的認(rèn)識出現(xiàn)偏差。在威脅識別過程中，風(fēng)險評估服務(wù)技術(shù)支持方可以通過問卷、人員問詢的方式對信息系統(tǒng)所有者需要保護的每一項關(guān)鍵資產(chǎn)進行威脅識別，并根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷。一項資產(chǎn)可能面臨著多個威脅，同樣一個威脅可能對不同的資產(chǎn)造成影響。分析存在哪些威脅種類，首先要考慮威脅的來源，信息系統(tǒng)的安全威脅來源可參考如下表。威脅來源威脅來源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益。外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的機密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。對安全威脅進行分類的方式有多種多樣，針對上表威脅來源，可以將威脅分為以下種類。威脅種類威脅描述威脅子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對業(yè)務(wù)實施、系統(tǒng)穩(wěn)定運行的影響。設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護錯誤、操作失誤管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)，例如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄漏給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性，使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴：威脅種類列表評估確定威脅發(fā)生的可能性是威脅評估階段的重要工作，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。其中，威脅發(fā)生的可能性受以下因素影響：l 資產(chǎn)的吸引力；l 資產(chǎn)轉(zhuǎn)化成報酬的難易程度；l 威脅的技術(shù)力量；l 脆弱性被利用的難易程度。實際評估過程中，威脅的可能性賦值，除了考慮上面幾個因素，還需要參考下面三方面的資料和信息來源，綜合考慮，形成在特定評估環(huán)境中各種威脅發(fā)生的可能性。1. 通過過去的安全事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率；2. 在評估體實際環(huán)境中，通過IDS系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計和分析；3. 過去一年或兩年來國際機構(gòu)發(fā)布的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。威脅的評估就是綜合了威脅來源和種類后得到的威脅列表，并對列表中的威脅發(fā)生可能性的評估。最終威脅的賦值采用定性的相對等級的方式。威脅的等級劃分為五級，從1到5分別代表五個級別的威脅發(fā)生可能性。等級數(shù)值越大，威脅發(fā)生的可能性越大。當(dāng)然，評估者也可以根據(jù)被評估系統(tǒng)的實際情況自定義威脅的等級。等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或≥1次/周），或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或≥1次/月），或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。：威脅賦值表v 階段成果：在本階段結(jié)束后風(fēng)險評估服務(wù)技術(shù)支持方應(yīng)根據(jù)組織的評估對象、環(huán)境等因素，形成威脅的分類方法及具體的威脅列表，并向信息系統(tǒng)所有者提供《威脅列表》，為風(fēng)險評估提供支持（可附在風(fēng)險評估程序中，也可單獨形成文件）?！锻{列表》一般包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等，須由信息系統(tǒng)所有者書面確認(rèn)。u ：威脅識別階段工作任務(wù)l 對信息系統(tǒng)所有者需要保護的每一項關(guān)鍵資產(chǎn)進行威脅識別；l 判斷威脅發(fā)生的頻率或者發(fā)生的概率，進行威脅賦值。工作方式問卷調(diào)查、人員問詢參與人員信息系統(tǒng)所有者項目負(fù)責(zé)人及相關(guān)技術(shù)人員，評估小組階段成果《威脅列表》脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性識別也稱為弱點識別，是風(fēng)險評估中重要的內(nèi)容。弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。值得注意的是，弱點雖然是資產(chǎn)本身固有的，但它本身不會造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。所以如果沒有相應(yīng)的威脅發(fā)生，單純的弱點并不會對資產(chǎn)造成損害。那些沒有安全威脅的弱點可以不需要實施安全保護措施，但它們必須記錄下來以確保當(dāng)環(huán)境、條件有所變化時能隨之加以改變。需要注意的是不正確的、起不到應(yīng)有作用的或沒有正確實施的安全保護措施本身就可能是一個安全薄弱環(huán)節(jié)。脆弱性識別將針對每一項需要保護的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴(yán)重程度進行評估，即對脆弱性被威脅利用的可能性進行評估，最終為其賦相應(yīng)等級值。在進行脆弱性評估時，提供的數(shù)據(jù)應(yīng)該來自于這些資產(chǎn)的擁有者或使用者，來自于相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。脆弱性的識別可以以資產(chǎn)為核心，即根據(jù)每個資產(chǎn)分別識別其存在的弱點，然后綜合評價該資產(chǎn)的脆弱性；也可以分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅結(jié)合起來。脆弱性主要從技術(shù)和管理兩個方面進行評估，涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等各個層面的安全問題。脆弱性分類名稱包含內(nèi)容技術(shù)和操作脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。系統(tǒng)軟件 （含操作系統(tǒng)及系統(tǒng)服務(wù)）從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機制、審計機制等方面進行識別。應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別操作方面軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人員日常工作中的不良習(xí)慣，審計或備份的缺乏進行識別。管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別 脆弱性分類脆弱性的分類具體描述如下：1. 物理安全信息系統(tǒng)的物理安全是指包括計算機、網(wǎng)絡(luò)在內(nèi)的所有與信息系統(tǒng)安全相關(guān)的環(huán)境、設(shè)備、存儲介質(zhì)的安全。物理安全的評估內(nèi)容包括：l 物理環(huán)境安全包括機房物理位置的選擇、防火、防水和防潮、防靜電、防雷擊、電磁防護、溫濕度控制、電力供應(yīng)、物理訪問控制等。l 設(shè)備安全包括設(shè)備采購、安裝、訪問、廢棄等方面的安全。l 存儲介質(zhì)安全包括介質(zhì)管理、使用、銷毀等方面的安全。2. 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指包括路由器、交換機、通信線路在內(nèi)的，及由其組成信息系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全。網(wǎng)絡(luò)安全的評估內(nèi)容包括：l 網(wǎng)絡(luò)邊界安全；l 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計；l 網(wǎng)絡(luò)設(shè)備安全功能及使用；l 網(wǎng)絡(luò)訪問控制；l 網(wǎng)絡(luò)安全檢測分析；l 網(wǎng)絡(luò)連接；l 網(wǎng)絡(luò)可用性。3. 主機安全主機安全主要是指基于主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用平臺層面的安全，對主機安全的評估內(nèi)容包括：l 賬號安全；l 文件系統(tǒng)安全；l 網(wǎng)絡(luò)（系統(tǒng)）服務(wù)安全；l 系統(tǒng)訪問控制；l 日志及監(jiān)控審計；l 拒絕服務(wù)保護；l 補丁管理；l 病毒及惡意代碼防護；l 系統(tǒng)備份與恢復(fù)；l 數(shù)據(jù)庫賬號安全；l 數(shù)據(jù)庫訪問控制；l 數(shù)據(jù)庫存儲過程安全。l 數(shù)據(jù)庫備份與恢復(fù)；l 數(shù)據(jù)庫系統(tǒng)日志審計。4. 應(yīng)用安全應(yīng)用安全主要是指應(yīng)用系統(tǒng)設(shè)計、開發(fā)安全。對應(yīng)用安全的評估內(nèi)容包括：1) 應(yīng)用系統(tǒng)架構(gòu)與設(shè)計安全l 身份鑒別；l 訪問控制；l 交易的安全性；l 數(shù)據(jù)的安全性；l 密碼支持；l 異常處理；l 備份與故障恢復(fù)；l 安全審計；l 資源利用；l 安全管理。2) 應(yīng)用系統(tǒng)實現(xiàn)安全l 賬戶安全；l 輸入合法性檢測；l 口令猜測；l 應(yīng)用層拒絕服務(wù)（DOS）。3) B/S應(yīng)用實現(xiàn)安全l 網(wǎng)站探測；l 已知漏洞攻擊；l 參數(shù)操控；l 跨站腳本；l 指令注入；l HTTP方法利用。5. 管理安全管理安全主要包括組織架構(gòu)、安全策略、安全運行制度等方面，其評估的內(nèi)容包括：l 組織和人員安全；l 安全評估；l 第三方組織與外包安全；l 信息資產(chǎn)分類、分級；l 日常操作與維護管理；l 變更；l 備份與故障恢復(fù)；l 應(yīng)急處理；l 業(yè)務(wù)持續(xù)性管理；l 認(rèn)證/認(rèn)可。脆弱性識別所采用的方法主要為：問卷調(diào)查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。脆弱性識別在技術(shù)方面主要是通過遠程和本地兩種方式進行系統(tǒng)測試、對網(wǎng)絡(luò)設(shè)備和主機等進行人工抽查，以保證技術(shù)脆弱性評估的全面性和有效性。通常情況下包括現(xiàn)場手工檢查與審核、設(shè)備工具測試、滲透測試等活動，這些活動都是為了發(fā)現(xiàn)資產(chǎn)的弱點，并不是必須的，風(fēng)險評估小組可以在項目啟動階段根據(jù)被評估對象的復(fù)雜程度、評估項目時間進度要求，客戶要求等實際情況對檢測活動進行裁減。比如，為了不影響業(yè)務(wù)的開展，減少評估帶來的風(fēng)險，可以不進行自動工具掃描或滲透測試，或者，為了在特定時間內(nèi)快速完成評估任務(wù)，可以不進行手工檢查與測試活動。此外，脆弱性識別進行安全檢查與測試時會涉及被檢測對象的核心秘密，如：系統(tǒng)配置、安全漏洞等，具有一定的風(fēng)險，在實施這些檢測活動前需要獲得相關(guān)部門的授權(quán)，明確檢測時間、檢測對象、風(fēng)險評估服務(wù)技術(shù)支持方與信息系統(tǒng)所有者雙方的權(quán)利、責(zé)任與義務(wù)，并簽字認(rèn)可。安全檢查與測試的方法主要如下：1. 手工安全檢測參照重要資產(chǎn)清單，使用檢查表（Checklist）逐一手工檢查測試服務(wù)或系統(tǒng)類資產(chǎn)的管理或技術(shù)弱點，包括：網(wǎng)絡(luò)設(shè)備（路由器/交換機等）安全檢測、操作系統(tǒng)/服務(wù)安全檢測、數(shù)據(jù)庫管理系統(tǒng)安全檢測、應(yīng)用系統(tǒng)安全檢測、安全設(shè)備（防火墻等）安全檢測等。需要注意的是，由于信息類或硬件類資產(chǎn)本身一般不存在弱點，因此對這兩類資產(chǎn)只針對資產(chǎn)所處環(huán)境進行弱點檢測，如：對硬件設(shè)備物理環(huán)境弱點檢測，對信息所處應(yīng)用平臺、