【正文】 據(jù)庫(kù)軟件 從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問(wèn)控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。 應(yīng)用系統(tǒng) 審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問(wèn)控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。 組織管理 安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性 脆弱性分類 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。 安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種 。 綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度 ， 判斷安全事件造成的損失對(duì)組織的影響 ， 即安全風(fēng)險(xiǎn) 。 有以下三個(gè)關(guān)鍵的計(jì)算環(huán)節(jié)： 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 一是計(jì)算安全事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即： 安全事件發(fā)生的可能性＝ L(威脅出現(xiàn)頻率，脆弱性 ) ＝ L(T， V ) 二是計(jì)算安全事件發(fā)生后的損失 根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計(jì)算安全事件發(fā)生后的損失，即： 安全事件的損失＝ F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度 ) ＝ F(Ia， Va ) 三是計(jì)算風(fēng)險(xiǎn)值 根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即： 風(fēng)險(xiǎn)值＝ R(安全事件發(fā)生的可能性，安全事件的損失 ) ＝ R(L(T， V)， F(Ia， Va )) 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 等級(jí) 標(biāo)識(shí) 描述 5 極高 一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣 4 高 一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害 3 中 一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大 2 低 一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過(guò)一定手段很快能解決 1 很低 一旦發(fā)生造成的影響幾乎不存在，通過(guò)簡(jiǎn)單的措施就能彌補(bǔ) 風(fēng)險(xiǎn)等級(jí)的確定 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 以上標(biāo)準(zhǔn)中的資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)的等級(jí)劃分，遵照了由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室四部委聯(lián)合頒發(fā)的 66號(hào)文件的精神。對(duì)某些風(fēng)險(xiǎn)，如果評(píng)估值在可接受風(fēng)險(xiǎn)范圍內(nèi)，可以保持已有的安全措施；如果評(píng)估值超出了可接受風(fēng)險(xiǎn)值的范圍，則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理計(jì)劃中明確應(yīng)采取的彌補(bǔ)弱點(diǎn)的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。 某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖?，殘余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、驗(yàn)收及運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。 結(jié)合現(xiàn)有人員狀況和網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)復(fù)雜情況，需要將復(fù)雜的風(fēng)險(xiǎn)評(píng)估轉(zhuǎn)化為基線檢查，將技術(shù)要求較高的技術(shù)評(píng)估工具化、自動(dòng)化。 下面將簡(jiǎn)要介紹攻防平臺(tái)的定位 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 Managementlevel Security Controls Operationallevel Security Controls Technicallevel Security Controls FISMA Legislation High Level, Generalized, Information Security Requirements Federal Information Processing Standards FIPS 199: Information System Security Categorization FIPS 200: Minimum Information Security Requirements Information System Security Configuration Settings NIST, NSA, DISA, Vendors, Third Parties (., CIS) Checklists and Implementation Guidance 30,000 FT 15,000 FT 5,000 FT Hands On FISMA Compliance Model 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 Asset Management Vulnerability Management Configuration Management Integrating IT and IT Security Through SCAP Misconfiguration CVE CPE XCCDF CCE SCAP OVAL CVSS 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 攻防平臺(tái)項(xiàng)目背景 專有重要系統(tǒng)評(píng)估需求 專有重要系統(tǒng)包括基礎(chǔ)網(wǎng)絡(luò)，重要基礎(chǔ)業(yè)務(wù)，新網(wǎng)絡(luò)業(yè)務(wù)等需要預(yù)先通過(guò)黑客視角檢查安全漏洞、配置安全性和協(xié)議健壯性。 安全預(yù)警需求 安全預(yù)警和應(yīng)急響應(yīng)密切相關(guān)，對(duì)中國(guó)移動(dòng)自有業(yè)務(wù)進(jìn)行分析，結(jié)合互聯(lián)網(wǎng)發(fā)布的漏洞建立數(shù)據(jù)倉(cāng)庫(kù)，有利于對(duì)新攻擊手段和方法進(jìn)行提前的預(yù)警，并根據(jù)特征提供應(yīng)急響應(yīng)方法。該項(xiàng)目對(duì) IMS系統(tǒng)進(jìn)行了專項(xiàng)評(píng)估和漏洞挖掘，對(duì) 30多個(gè)高危漏洞進(jìn)行了驗(yàn)證并提供了利用代碼，對(duì)掃描器漏洞掃描準(zhǔn)確性進(jìn)行了改進(jìn)，項(xiàng)目取得了顯著的成果。該項(xiàng)目今年的研發(fā)方向?qū)募訌?qiáng)專有重要系統(tǒng)評(píng)估（日常和實(shí)驗(yàn)室）自動(dòng)化工具手段建設(shè)和提高安全監(jiān)控預(yù)警的能力兩個(gè)方面入手，提高研究院安全整體工作能力，打造安全團(tuán)隊(duì)。 項(xiàng)目開(kāi)展方法 與現(xiàn)網(wǎng)運(yùn)維密切貼合，深入分析安全運(yùn)維操作需求 與現(xiàn)網(wǎng)評(píng)估密切結(jié)合，加強(qiáng)支撐安全評(píng)估技術(shù)手段 面向?qū)ο? 面向現(xiàn)網(wǎng)運(yùn)維環(huán)境 面向一線維護(hù)人員 面向安全評(píng)估專家 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 二期框架體系 規(guī)范制定機(jī)構(gòu) 規(guī)范和標(biāo)準(zhǔn) 漏洞相關(guān) 自動(dòng)化檢查模塊 技術(shù)規(guī)范 CHECKLISTS 配置相關(guān) 運(yùn)維規(guī)范 管理規(guī)范 安全標(biāo)準(zhǔn) 漏洞掃描 配置核查 CMCVE 。（馮登國(guó) 《風(fēng)險(xiǎn)評(píng)估綜述》） 將風(fēng)險(xiǎn)評(píng)估融入到系統(tǒng)的生命周期中，是我們正在實(shí)施和探索的方向