【正文】 全管理機(jī)構(gòu)的脆弱性發(fā)現(xiàn)。目的是了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助客戶進(jìn)行業(yè)務(wù)流程的安全防護(hù)。應(yīng)用軟件應(yīng)用軟件是指應(yīng)用系統(tǒng)本身或者中間平臺(tái)，進(jìn)行脆弱性分析主要包括身份簽別、訪問控制策略、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行。在評(píng)估過程中，主要針對(duì)網(wǎng)絡(luò)拓?fù)?、訪問控制策略與措施、網(wǎng)絡(luò)設(shè)備配置、安全設(shè)備配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個(gè)方面進(jìn)行調(diào)查與分析。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，?duì)于成功地一個(gè)實(shí)施基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理方案是很關(guān)鍵的。)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險(xiǎn)評(píng)估中對(duì)業(yè)務(wù)系統(tǒng)安全性進(jìn)行全面了解的基礎(chǔ)，一個(gè)14 / 51業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個(gè)業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個(gè)業(yè)務(wù)系統(tǒng)評(píng)估的重要環(huán)節(jié)。? 評(píng)估介質(zhì)安全：軟盤、硬盤、光盤、磁帶等媒體的管理，信息媒體的維修將保證所存儲(chǔ)的信息不被泄漏，不再需要的媒體，將按規(guī)定及時(shí)安全地予以銷毀。? 評(píng)估設(shè)備安全：門控系統(tǒng)、網(wǎng)絡(luò)專用設(shè)備（路由器，交換機(jī)等）和主機(jī)設(shè)備（終端計(jì)算機(jī)，打印機(jī)、服務(wù)器等） 。達(dá)成目標(biāo) 準(zhǔn)確把握物理安全中的安全隱患，提出安全建議。對(duì)物理安全的評(píng)估將從機(jī)房選址、建設(shè)；員工、外來訪問者進(jìn)入機(jī)房的權(quán)限控制；機(jī)房的報(bào)警、電子監(jiān)控以及防火、防13 / 51水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防措施、內(nèi)部裝修、供配電系統(tǒng)等方面進(jìn)行。. 實(shí)施步驟脆弱性識(shí)別步驟主要是通過技術(shù)脆弱性和管理脆弱性來進(jìn)行識(shí)別。. 階段目標(biāo)技術(shù)脆弱性主要是采用工具掃描、人工檢查（checklist） 、滲透測(cè)試、訪談等方式對(duì)物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用軟件、業(yè)務(wù)流程等進(jìn)行脆弱性識(shí)別并賦值。? 分發(fā)攻擊威脅與風(fēng)險(xiǎn)：在設(shè)備制造、安裝、維護(hù)過程中，在設(shè)備上設(shè)置隱藏的后門或攻擊途徑、? 內(nèi)部攻擊威脅與風(fēng)險(xiǎn)：惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。? 主動(dòng)攻擊威脅與風(fēng)險(xiǎn)：掃描目標(biāo)主機(jī)、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門等） 、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。對(duì)威脅進(jìn)行賦值并確定威脅等級(jí)。. 階段方法表格 4 威脅調(diào)查評(píng)估項(xiàng)目名稱 威脅調(diào)查評(píng)估簡(jiǎn)要描述 使用技術(shù)手段分析信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。11 / 51. 階段步驟威脅識(shí)別采用人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析。為全面、準(zhǔn)確地了解系統(tǒng)所面臨的各種威脅，需采用威脅分析方法。. 階段輸出本階段完成后輸出文檔如下：? 《資產(chǎn)詳細(xì)清單》? 《資產(chǎn)賦值列表》. 階段 3：威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。工作結(jié)果 資產(chǎn)類別、資產(chǎn)重要級(jí)別。? 與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。? 交流。? 填表式調(diào)查。主要內(nèi)容? 采集資產(chǎn)信息，獲取資產(chǎn)清單；? 進(jìn)行資產(chǎn)分類劃分；10 / 51? 確定資產(chǎn)的重要級(jí)別，對(duì)資產(chǎn)進(jìn)行賦值。階段二：進(jìn)行資產(chǎn)識(shí)別，分類并賦值。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，最具策略性的進(jìn)行新的資產(chǎn)投入。要做好這項(xiàng)工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。步驟三：確定各個(gè)細(xì)節(jié)后，項(xiàng)目啟動(dòng)完成，進(jìn)入項(xiàng)目實(shí)施階段。步驟一：項(xiàng)目組織，確定雙項(xiàng)目組織結(jié)構(gòu)及人員分工。. 階段步驟評(píng)估項(xiàng)目啟動(dòng)階段，是整個(gè)項(xiàng)目過程中，對(duì)項(xiàng)目的有效性的一種保證。階 段 1 ： 服 務(wù) 啟 動(dòng) 階 段 2 ： 資 產(chǎn) 評(píng) 估 階 段 3 ： 威 脅 評(píng) 估 階 段 4 ： 脆 弱 性 評(píng) 估 階 段 5 ： 風(fēng) 險(xiǎn) 分 析 階 段 6 ： 處 置 計(jì) 劃 階 段 7 ： 服 務(wù) 驗(yàn) 收項(xiàng) 目 實(shí) 施 風(fēng) 險(xiǎn) 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實(shí) 施 計(jì) 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識(shí) 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識(shí) 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計(jì) 劃報(bào) 告 提 交成 果 匯 報(bào)服 務(wù) 驗(yàn) 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識(shí) 別管 理 脆 弱 識(shí) 別控 制 措 施 識(shí) 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評(píng) 估 報(bào) 告 》《 服 務(wù) 實(shí) 施 計(jì) 劃 》 《 威 脅 評(píng) 估 報(bào) 告 》 《 脆 弱 性 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 處 置 計(jì) 劃 》 《 服 務(wù) 驗(yàn) 收 報(bào) 告 》風(fēng) 險(xiǎn) 綜 合 識(shí) 別風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)安 全 目 標(biāo) 確 定安 全 措 施 選 擇實(shí) 施 內(nèi) 容 安 排制 定 處 置 計(jì) 劃圖 3 項(xiàng)目實(shí)施流程圖. 階段 1：項(xiàng)目啟動(dòng)階段此階段是項(xiàng)目的啟動(dòng)和計(jì)劃階段，是項(xiàng)目實(shí)施階段的開始，對(duì)項(xiàng)目整個(gè)過程的實(shí)施工作與項(xiàng)目管理工作都非常重要。. 風(fēng)險(xiǎn)評(píng)估使用工具風(fēng)險(xiǎn)評(píng)估常用工具主要有以下幾大類：? 資產(chǎn)發(fā)現(xiàn)類工具? 端口服務(wù)檢測(cè)類? 漏洞掃描檢測(cè)類? 網(wǎng)絡(luò)嗅探分析類7 / 51? 安全審計(jì)分析類? 系統(tǒng)驗(yàn)證測(cè)試類? 合規(guī)遵循檢查類? 各種定制腳本類 ? 各種專項(xiàng)檢測(cè)類第 2 章 項(xiàng)目實(shí)施流程我們將整個(gè)項(xiàng)目的實(shí)施內(nèi)容分為 7 個(gè)階段。風(fēng)險(xiǎn)分析的主要內(nèi)容為：a） 對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；b） 對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；c） 對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；d） 根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；6 / 51e） 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；f） 根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。威脅識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別威脅頻率資產(chǎn)價(jià)值脆弱點(diǎn)嚴(yán)重程度安全事件造成的損失安全事件可能性風(fēng)險(xiǎn)值圖 2 風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。因此，在系統(tǒng)中就總是有殘余風(fēng)險(xiǎn)（RR）的存在，這樣，系統(tǒng)安全需求的確定實(shí)際上也是對(duì)余留風(fēng)險(xiǎn)及其接受程度的確定。完整的安全保護(hù)體系應(yīng)協(xié)調(diào)建立于物理環(huán)境、技術(shù)環(huán)境、人員和管理等四個(gè)領(lǐng)域。安防措施是阻止威脅、降低風(fēng)險(xiǎn)、控制事故影響、檢測(cè)事故及實(shí)施恢復(fù)的一系列實(shí)踐、程序或機(jī)制。風(fēng)險(xiǎn)的大小主要表現(xiàn)在兩個(gè)方面：事故發(fā)生的可能性及事故造成影響的大小。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯(cuò)誤、以及設(shè)施/設(shè)備錯(cuò)誤等。威脅可能源于對(duì)組織信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。弱點(diǎn)也稱為“脆弱性”或“漏洞” 。它包括計(jì)算機(jī)硬件、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、服務(wù)能力、人員及知識(shí)等等。. 風(fēng)險(xiǎn)關(guān)系模型風(fēng)險(xiǎn)關(guān)系模型從安全風(fēng)險(xiǎn)的所有要素：資產(chǎn)、影響、威脅、弱點(diǎn)、安全控制、安全需求、安全風(fēng)險(xiǎn)等方面形象地描述的他們各自之間的關(guān)系和影響，風(fēng)險(xiǎn)關(guān)系模型如下圖所示。 （中國(guó)移動(dòng)、電力、稅務(wù)、證券）2022 年? 《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技〔2022〕2071 號(hào)） ，明確“加強(qiáng)和規(guī)范國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作” 。? 中共中央辦公廳國(guó)務(wù)院辦公廳《關(guān)于印發(fā) 2022—2020 年國(guó)家信息化發(fā)展戰(zhàn)略的通知》 （中辦[2022]11 號(hào)文）提出加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。2022 年? 國(guó)務(wù)院信息化工作辦公室《關(guān)于印發(fā)信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作方案的通知》 （國(guó)信辦【2022】5 號(hào)） ，組織在北京、上海、黑龍江、云南等地方以及銀行、稅務(wù)、電力等重要行業(yè)開展信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。. 政策依據(jù)表格 1 相關(guān)策略時(shí)間 相關(guān)政策文件2022 年? 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā) 27號(hào)文） ，提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估” 。并與 XXXX 集團(tuán)簽訂保密協(xié)議，承諾未經(jīng)允許不向其他任何第三方泄露有關(guān)信息系統(tǒng)的信息。4. 最小影響原則項(xiàng)目的所有階段，保證項(xiàng)目實(shí)施過程工作對(duì)系統(tǒng)正常運(yùn)行的可能影響降低到最低限度，不會(huì)對(duì)客戶目前的業(yè)務(wù)系統(tǒng)運(yùn)行造成明顯的影響。2. 可控性原則在項(xiàng)目建設(shè)與實(shí)施過程中，應(yīng)保證參與實(shí)施的人員、使用的技術(shù)和工具、過程都是可控的。____________________________XXXX 集團(tuán)風(fēng)險(xiǎn)評(píng)估項(xiàng)目技術(shù)建議書____________________________二〇一四年八月目 錄第 1 章 項(xiàng)目方案設(shè)計(jì) ................................................................................1. 設(shè)計(jì)目標(biāo) ............................................................................................................................1. 設(shè)計(jì)原則 ............................................................................................................................1. 設(shè)計(jì)依據(jù) ............................................................................................................................2. 政策依據(jù) ..................................................................................................................2. 標(biāo)準(zhǔn)依據(jù) ..................................................................................................................3. 方法模型 ............................................................................................................................3. 風(fēng)險(xiǎn)關(guān)系模型 ..........................................................................................................3. 風(fēng)險(xiǎn)分析方法模型 ..................................................................................................5. 工具方法 ............................................................................................................................6. 風(fēng)險(xiǎn)評(píng)估采用方法 ..................................................................................................6. 風(fēng)險(xiǎn)評(píng)估使用工具 ..................................................................................................6第 2 章 項(xiàng)目實(shí)施流程 ................................................................................7. 階段 1：項(xiàng)目啟動(dòng)階段 .....................................................................................................7. 階段目標(biāo) ..................................................................................................................8. 階段步驟 ..................................................................................................................8. 階段輸出 .................................