_XXXX集團(tuán)風(fēng)險(xiǎn)評(píng)估項(xiàng)目技術(shù)建議書_二一四年八月目錄第1章項(xiàng)目方案設(shè)計(jì)111設(shè)計(jì)目標(biāo)112設(shè)計(jì)原則113設(shè)計(jì)依據(jù)2131政策依據(jù)2132標(biāo)準(zhǔn)依據(jù)314方法模型3141風(fēng)險(xiǎn)關(guān)系模型3142風(fēng)險(xiǎn)分析方法模型515工具方法6151風(fēng)險(xiǎn)評(píng)估采用方法6152風(fēng)險(xiǎn)評(píng)估使用工具6第2章項(xiàng)目實(shí)施流程721階段1項(xiàng)目啟動(dòng)階段7211階段目標(biāo)8212階段步驟8213階段輸出821階段2資產(chǎn)評(píng)估階段9211階段目標(biāo)9212階段步驟9213階段方法9214階段輸出1022階段3威脅評(píng)估10221階段目標(biāo)11222階段步驟11223階段方法11224階段輸出1223階段4脆弱性評(píng)估12231階段目標(biāo)12232實(shí)施步驟12233已有安全措施識(shí)別28234階段輸出2824階段5風(fēng)險(xiǎn)綜合分析28241階段目標(biāo)28242階段步驟28243階段輸出3125階段6風(fēng)險(xiǎn)處置計(jì)劃3126階段7項(xiàng)目交付32261成果交付32262項(xiàng)目驗(yàn)收33第3章項(xiàng)目管理3331組織管理3332范圍管理34321范圍定義35322范圍變更控制3533進(jìn)度管理3634風(fēng)險(xiǎn)管理3635質(zhì)量管理37351項(xiàng)目實(shí)施負(fù)責(zé)人質(zhì)量控制37352項(xiàng)目經(jīng)理質(zhì)量控制37353質(zhì)量管理質(zhì)量控制3736溝通管理38361協(xié)調(diào)溝通機(jī)制基本準(zhǔn)則38362溝通計(jì)劃3837會(huì)議管理3938文檔管理3939保密管理40第4章人員安排40第5章項(xiàng)目計(jì)劃4451總體計(jì)劃44第6章客戶收益45第7章成果交付一覽表46第8章成功案例4681重點(diǎn)案例列表4682重點(diǎn)案例簡(jiǎn)介47821金融案例47822電信案例48823能源案例48824政府案例49第9章公司優(yōu)勢(shì)4991公司簡(jiǎn)介4992公司資質(zhì)51第1章項(xiàng)目方案設(shè)計(jì)11設(shè)計(jì)目標(biāo)本次風(fēng)險(xiǎn)評(píng)估的安全服務(wù)項(xiàng)目主要目標(biāo)是通過風(fēng)險(xiǎn)評(píng)估，得到XXXX集團(tuán)的整體安全現(xiàn)狀；通過資產(chǎn)評(píng)估，得到XXXX集團(tuán)的網(wǎng)絡(luò)信息安全資產(chǎn)狀況，并錄入資產(chǎn)庫(kù)，進(jìn)行資產(chǎn)梳理；通過威脅評(píng)估，得到XXXX集團(tuán)存在的安全威脅情況；通過脆弱性評(píng)估，得到XXXX集團(tuán)當(dāng)前業(yè)務(wù)系統(tǒng)存在的脆弱性；對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行綜合風(fēng)險(xiǎn)分析，得到風(fēng)險(xiǎn)情況，提出分系統(tǒng)的安全解決方案；提出各個(gè)系統(tǒng)的風(fēng)險(xiǎn)處置解決方案。12設(shè)計(jì)原則1標(biāo)準(zhǔn)性原則遵循國(guó)家、行業(yè)和組織相關(guān)標(biāo)準(zhǔn)開展風(fēng)險(xiǎn)評(píng)估工作。2可控性原則在項(xiàng)目建設(shè)與實(shí)施過程中，應(yīng)保證參與實(shí)施的人員、使用的技術(shù)和工具、過程都是可控的。3完整性原則項(xiàng)目方案要充分考慮項(xiàng)目所有環(huán)節(jié)，做到統(tǒng)籌兼顧，細(xì)節(jié)清楚。4最小影響原則項(xiàng)目的所有階段，保證項(xiàng)目實(shí)施過程工作對(duì)系統(tǒng)正常運(yùn)行的可能影響降低到最低限度，不會(huì)對(duì)客戶目前的業(yè)務(wù)系統(tǒng)運(yùn)行造成明顯的影響。5保密原則項(xiàng)目的所有階段，將嚴(yán)格遵循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第三方單位或個(gè)人，不得利用這些信息損害用戶利益。并與XXXX集團(tuán)簽訂保密協(xié)議，承諾未經(jīng)允許不向其他任何第三方泄露有關(guān)信息系統(tǒng)的信息。13設(shè)計(jì)依據(jù)本方案設(shè)計(jì)主要參照以下政策和標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)。131政策依據(jù)表格1相關(guān)策略時(shí)間相關(guān)政策文件2003年國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)27號(hào)文），提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估”。2004年為貫徹落實(shí)27號(hào)文件精神，原國(guó)信辦組織有關(guān)單位和專家編寫了信息安全風(fēng)險(xiǎn)評(píng)估指南。2005年國(guó)務(wù)院信息化工作辦公室關(guān)于印發(fā)的通知（國(guó)信辦【2005】5號(hào)），組織在北京、上海、黑龍江、云南等地方以及銀行、稅務(wù)、電力等重要行業(yè)開展信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。2006年由國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組討論通過的關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見（國(guó)信辦20065號(hào)），文件要求三年內(nèi)在國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要行業(yè)信息系統(tǒng)中普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作。中共中央辦公廳國(guó)務(wù)院辦公廳關(guān)于印發(fā)20062020年國(guó)家信息化發(fā)展戰(zhàn)略的通知（中辦200611號(hào)文）提出加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。2007年為保障十七大，在國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開了自評(píng)估工作。（中國(guó)移動(dòng)、電力、稅務(wù)、證券）2008年關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技20082071號(hào)），明確“加強(qiáng)和規(guī)范國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作”。132標(biāo)準(zhǔn)依據(jù)表格2相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型參考標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)ISO15408信息技術(shù)安全評(píng)估準(zhǔn)則ISO/IECTR13335信息和通信技術(shù)安全管理ISO/TR13569銀行和相關(guān)金融服務(wù)信息安全指南ISO/IEC27000信息安全管理體系系列標(biāo)準(zhǔn)AS/NZS4360風(fēng)險(xiǎn)管理NISTSP80030IT系統(tǒng)風(fēng)險(xiǎn)管理指南國(guó)內(nèi)標(biāo)準(zhǔn)GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GBT20984信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GBT22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GBZ20985信息技術(shù)安全技術(shù)信息安全事件管理指南GBZ20986信息安全技術(shù)信息安全事件分類分級(jí)指南GB/T222392008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T222402008信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南各組織或行業(yè)內(nèi)相關(guān)要求14方法模型本方案中提供的風(fēng)險(xiǎn)評(píng)估與管理模型參考了多個(gè)國(guó)際風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，建立安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)分析方法模型。141風(fēng)險(xiǎn)關(guān)系模型風(fēng)險(xiǎn)關(guān)系模型從安全風(fēng)險(xiǎn)的所有要素資產(chǎn)、影響、威脅、弱點(diǎn)、安全控制、安全需求、安全風(fēng)險(xiǎn)等方面形象地描述的他們各自之間的關(guān)系和影響，風(fēng)險(xiǎn)關(guān)系模型如下圖所示。圖1風(fēng)險(xiǎn)關(guān)系模型圖在上述關(guān)系圖中資產(chǎn)指組織要保護(hù)的資產(chǎn)，是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。它包括計(jì)算機(jī)硬件、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、服務(wù)能力、人員及知識(shí)等等。弱點(diǎn)是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對(duì)資產(chǎn)造成危害，但弱點(diǎn)可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。弱點(diǎn)也稱為“脆弱性”或“漏洞”。威脅是引起不期望事件從而對(duì)資產(chǎn)造成損害的潛在可能性。威脅可能源于對(duì)組織信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。一般來(lái)說(shuō)，威脅總是要利用組織網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。從宏觀上講，威脅按照產(chǎn)生的來(lái)源可以分為非授權(quán)蓄意行為、不可抗力、人為錯(cuò)誤、以及設(shè)施/設(shè)備錯(cuò)誤等。安全風(fēng)險(xiǎn)是環(huán)境中的威脅利用弱點(diǎn)造成資產(chǎn)毀壞或損失的潛在可能性。風(fēng)險(xiǎn)的大小主要表現(xiàn)在兩個(gè)方面事故發(fā)生的可能性及事故造成影響的大小。資產(chǎn)、威脅、弱點(diǎn)及保護(hù)的任何變化都可能帶來(lái)較大的風(fēng)險(xiǎn)，因此，為了降低安全風(fēng)險(xiǎn)，應(yīng)對(duì)環(huán)境或系統(tǒng)的變化進(jìn)行檢測(cè)以便及時(shí)采取有效措施加以控制或防范。安防措施是阻止威脅、降低風(fēng)險(xiǎn)、控制事故影響、檢測(cè)事故及實(shí)施恢復(fù)的一系列實(shí)踐、程序或機(jī)制。安全措施主要體現(xiàn)在檢測(cè)、阻止、防護(hù)、限制、修正、恢復(fù)和監(jiān)視等多方面。完整的安全保護(hù)體系應(yīng)協(xié)調(diào)建立于物理環(huán)境、技術(shù)環(huán)境、人員和管理等四個(gè)領(lǐng)域。通常安防措施只是降低了安全風(fēng)險(xiǎn)而并未完全杜絕風(fēng)險(xiǎn)，而且風(fēng)險(xiǎn)降低得越多，所需的成本就越高。因此，在系統(tǒng)中就總是有殘余風(fēng)險(xiǎn)（RR）的存在，這樣，系統(tǒng)安全需求的確定實(shí)際上也是對(duì)余留風(fēng)險(xiǎn)及其接受程度的確定。142風(fēng)險(xiǎn)分析方法模型在安全風(fēng)險(xiǎn)分析方法模型中提供了風(fēng)險(xiǎn)計(jì)算的方法，通過兩個(gè)因素威脅級(jí)別、威脅發(fā)生的概率，通過風(fēng)險(xiǎn)評(píng)估矩陣得出安全風(fēng)險(xiǎn)。威脅識(shí)別資產(chǎn)識(shí)別脆弱性識(shí)別威脅頻率資產(chǎn)價(jià)值脆弱點(diǎn)嚴(yán)重程度安全事件造成的損失安全事件可能性風(fēng)險(xiǎn)值圖2風(fēng)險(xiǎn)分析原理圖風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。每個(gè)要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)分析的主要內(nèi)容為A）對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；B）對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；C）對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；D）根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；E）根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；F）根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。15工具方法151風(fēng)險(xiǎn)評(píng)估采用方法風(fēng)險(xiǎn)評(píng)估常用方法如下調(diào)查訪談物理安全訪談表、人員安全訪談表、網(wǎng)絡(luò)安全訪談表、系統(tǒng)安全訪談表等等；工具掃描網(wǎng)絡(luò)安全掃描、應(yīng)用安全掃描、系統(tǒng)安全掃描等等；人工檢查操作系統(tǒng)CHECKLIST、數(shù)據(jù)庫(kù)CHECKLIST、網(wǎng)絡(luò)設(shè)備CHECKLIST等等；滲透測(cè)試由專業(yè)滲透測(cè)試工程師模擬黑客攻擊方式對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行非破壞性漏泀驗(yàn)證性測(cè)試；文檔查閱管理制度查閱、管理策略查閱、安全指導(dǎo)方針查閱等等。152風(fēng)險(xiǎn)評(píng)估使用工具風(fēng)險(xiǎn)評(píng)估常用工具主要有以下幾大類資產(chǎn)發(fā)現(xiàn)類工具端口服務(wù)檢測(cè)類漏洞掃描檢測(cè)類網(wǎng)絡(luò)嗅探分析類安全審計(jì)分析類系統(tǒng)驗(yàn)證測(cè)試類合規(guī)遵循檢查類各種定制腳本類各種專項(xiàng)檢測(cè)類第2章項(xiàng)目實(shí)施流程我們將整個(gè)項(xiàng)目的實(shí)施內(nèi)容分為7個(gè)階段。從項(xiàng)目啟動(dòng)階段到項(xiàng)目驗(yàn)收整個(gè)項(xiàng)目實(shí)施過程，我們用WBS圖中完整地描述了整個(gè)項(xiàng)目實(shí)施過程的重要工作任務(wù)。階段1服務(wù)啟動(dòng)階段2資產(chǎn)評(píng)估階段3威脅評(píng)估階段4脆弱性評(píng)估階段5風(fēng)險(xiǎn)分析階段6處置計(jì)劃階段7服務(wù)驗(yàn)收項(xiàng)目實(shí)施風(fēng)險(xiǎn)及規(guī)避措施服務(wù)管理（服務(wù)組織結(jié)構(gòu)、實(shí)施計(jì)劃、質(zhì)量管理、保密控制）資產(chǎn)識(shí)別資產(chǎn)分類資產(chǎn)清單資產(chǎn)分析資產(chǎn)賦值威脅識(shí)別威脅分類范圍確定系統(tǒng)調(diào)研制定計(jì)劃報(bào)告提交成果匯報(bào)服務(wù)驗(yàn)收威脅分析威脅賦值獲得支持技術(shù)脆弱識(shí)別管理脆弱識(shí)別控制措施識(shí)別脆弱性分析脆弱性賦值資產(chǎn)評(píng)估報(bào)告服務(wù)實(shí)施計(jì)劃威脅評(píng)估報(bào)告脆弱性評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)處置計(jì)劃服務(wù)驗(yàn)收?qǐng)?bào)告風(fēng)險(xiǎn)綜合識(shí)別風(fēng)險(xiǎn)模型計(jì)算風(fēng)險(xiǎn)接收準(zhǔn)則風(fēng)險(xiǎn)綜合評(píng)價(jià)安全目標(biāo)確定安全措施選擇實(shí)施內(nèi)容安排制定處置計(jì)劃圖3項(xiàng)目實(shí)施流程圖21階段1項(xiàng)目啟動(dòng)階段此階段是項(xiàng)目的啟動(dòng)和計(jì)劃階段，是項(xiàng)目實(shí)施階段的開始，對(duì)項(xiàng)目整個(gè)過程的實(shí)施工作與項(xiàng)目管理工作都非常重要。211階段目標(biāo)在此階段的主要工作目標(biāo)是召開評(píng)估項(xiàng)目啟動(dòng)會(huì)議，并就項(xiàng)目組的工作方式、日常流程、工作計(jì)劃、交付件藍(lán)圖進(jìn)行溝通和確認(rèn)。212階段步驟評(píng)估項(xiàng)目啟動(dòng)階段，是整個(gè)項(xiàng)目過程中，對(duì)項(xiàng)目的有效性的一種保證。實(shí)施風(fēng)險(xiǎn)評(píng)估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。步驟一項(xiàng)目組織，確定雙項(xiàng)目組織結(jié)構(gòu)及人員分工。步驟二召開項(xiàng)目啟動(dòng)會(huì)，包括項(xiàng)目中需要落實(shí)內(nèi)容A獲得支持和配合；B確定項(xiàng)目的目標(biāo)；C確定項(xiàng)目的內(nèi)容；D組建項(xiàng)目服務(wù)團(tuán)隊(duì)；E對(duì)項(xiàng)目的對(duì)象、范圍進(jìn)行調(diào)研并確認(rèn)；F宣貫風(fēng)險(xiǎn)評(píng)估方法和評(píng)估思想；G建立項(xiàng)目組的工作場(chǎng)所和環(huán)境；H確定項(xiàng)目組的工作流程，包括文檔交付流程、項(xiàng)目更改流程等；I確定項(xiàng)目組的工作方式，包括指定接口人，保密方式，資料保管和備份方式等。步驟三確定各個(gè)細(xì)節(jié)后，項(xiàng)目啟動(dòng)完成，進(jìn)入項(xiàng)目實(shí)施階段。213階段輸出本階段完成后輸出如下文件項(xiàng)目實(shí)施計(jì)劃項(xiàng)目啟動(dòng)會(huì)議紀(jì)要項(xiàng)目藍(lán)圖保密協(xié)議書項(xiàng)目組織結(jié)構(gòu)和人員職責(zé)項(xiàng)目范圍確認(rèn)書培訓(xùn)計(jì)劃（針對(duì)風(fēng)險(xiǎn)評(píng)估知識(shí)宣貫實(shí)施方法）21階段2資產(chǎn)評(píng)估階段保護(hù)資產(chǎn)免受安全威脅是本項(xiàng)目實(shí)施的根本目標(biāo)。要做好這項(xiàng)工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。211階段目標(biāo)資產(chǎn)識(shí)別的目的就是要系統(tǒng)的相關(guān)資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，最具策略性的進(jìn)行新的資產(chǎn)投入。212階段步驟階段一根據(jù)項(xiàng)目范圍進(jìn)行資產(chǎn)分類與識(shí)別，包括主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等等。階段二進(jìn)行資產(chǎn)識(shí)別，分類并賦值。213階段方法表格3資產(chǎn)評(píng)估方法項(xiàng)目名稱資產(chǎn)分類調(diào)查簡(jiǎn)要描述采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級(jí)別及賦值；達(dá)成目標(biāo)采集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級(jí)別及賦值；進(jìn)一步明確評(píng)估的范圍和重點(diǎn)。主要內(nèi)容采集資產(chǎn)信息，獲取資產(chǎn)清單；進(jìn)行資產(chǎn)分類劃分；確定資產(chǎn)的重要級(jí)別，對(duì)資產(chǎn)進(jìn)行賦值。實(shí)現(xiàn)方式調(diào)查。填表式調(diào)查。資產(chǎn)調(diào)查表，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、信息、軟件等。交流。審閱已有的針對(duì)資產(chǎn)的安全管理規(guī)章、制度。與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。工作條件23人工作環(huán)境，2臺(tái)筆記本，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合。工作結(jié)果資產(chǎn)類別、資產(chǎn)重要級(jí)別。參加人員依據(jù)現(xiàn)場(chǎng)狀況，啟明星辰全體評(píng)估人員在業(yè)務(wù)系統(tǒng)相關(guān)技術(shù)和管理人員的配合下進(jìn)行資產(chǎn)分類調(diào)查。214階段輸出本階段完成后輸出文檔如下資產(chǎn)詳細(xì)清單資產(chǎn)賦值列表22階段3威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無(wú)論對(duì)于多么安全的信息系統(tǒng)，它都存在。為全面、準(zhǔn)確地了解系統(tǒng)所面臨的各種威脅，需采用威脅分析方法。221階段目標(biāo)通過威脅分析，找出系統(tǒng)目前存在的潛在風(fēng)險(xiǎn)因素，并進(jìn)行統(tǒng)計(jì)，賦值，以便于列出風(fēng)險(xiǎn)。222階段步驟威脅識(shí)別采用人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析。步驟一把已經(jīng)發(fā)現(xiàn)的威脅進(jìn)行分類；步驟二把發(fā)現(xiàn)的威脅事件進(jìn)行分析。223階段方法表格4威脅調(diào)查評(píng)估項(xiàng)目名稱威脅調(diào)查評(píng)估簡(jiǎn)要描述使用技術(shù)手段分析信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。達(dá)成目標(biāo)全面了解掌握信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險(xiǎn)。對(duì)威脅進(jìn)行賦值并確定威脅等級(jí)。主要內(nèi)容被動(dòng)攻擊威脅與風(fēng)險(xiǎn)網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。主動(dòng)攻擊威脅與風(fēng)險(xiǎn)掃描目標(biāo)主機(jī)、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如特洛依木馬、病毒、后門等）、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。鄰近攻擊威脅與風(fēng)險(xiǎn)毀壞設(shè)備和線路、竊取存儲(chǔ)介質(zhì)、偷窺口令等。分發(fā)攻擊威脅與風(fēng)險(xiǎn)在設(shè)備制造、安裝、維護(hù)過程中，在設(shè)備上設(shè)置隱藏的后門或攻擊途徑、內(nèi)部攻擊威脅與風(fēng)險(xiǎn)惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理?yè)p壞和破壞、無(wú)意的數(shù)據(jù)損壞和破壞。實(shí)現(xiàn)方式調(diào)查交流工具檢測(cè)人工檢測(cè)工作條件23人工作環(huán)境，2臺(tái)筆記本，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果根據(jù)分析結(jié)果列出系統(tǒng)所面臨的威脅，對(duì)威脅賦值并確定威脅級(jí)別參加人員啟明星辰評(píng)估小組，網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員224階段輸出本階段完成主要輸出文檔如下威脅調(diào)查表威脅賦值列表23階段4脆弱性評(píng)估脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱，脆弱性評(píng)估是對(duì)技術(shù)脆弱性和管理脆性進(jìn)行識(shí)別和賦值的過程。231階段目標(biāo)技術(shù)脆弱性主要是采用工具掃描、人工檢查（CHECKLIST）、滲透測(cè)試、訪談等方式對(duì)物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用軟件、業(yè)務(wù)流程等進(jìn)行脆弱性識(shí)別并賦值。管理脆弱性主要是通過管理訪談、文檔查閱等方式對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、安全建設(shè)管理、安全運(yùn)維管理等進(jìn)行脆弱性識(shí)別并賦值。232實(shí)施步驟脆弱性識(shí)別步驟主要是通過技術(shù)脆弱性和管理脆弱性來(lái)進(jìn)行識(shí)別。2321技術(shù)脆弱性物理環(huán)境物理安全是一切系統(tǒng)安全的基礎(chǔ)。對(duì)物理安全的評(píng)估將從機(jī)房選址、建設(shè)；員工、外來(lái)訪問者進(jìn)入機(jī)房的權(quán)限控制；機(jī)房的報(bào)警、電子監(jiān)控以及防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防措施、內(nèi)部裝修、供配電系統(tǒng)等方面進(jìn)行。表格5物理安全評(píng)估項(xiàng)目名稱物理安全評(píng)估簡(jiǎn)要描述分析物理安全是否滿足相關(guān)的安全標(biāo)準(zhǔn)。達(dá)成目標(biāo)準(zhǔn)確把握物理安全中的安全隱患，提出安全建議。主要內(nèi)容評(píng)估環(huán)境安全機(jī)房選址、建設(shè)、防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警及消防措施、內(nèi)部裝修、供配電系統(tǒng)是否滿足相關(guān)國(guó)家標(biāo)準(zhǔn)；內(nèi)部及外來(lái)人員對(duì)機(jī)房的訪問權(quán)限控制；安全審查及管理制度。評(píng)估設(shè)備安全門控系統(tǒng)、網(wǎng)絡(luò)專用設(shè)備（路由器，交換機(jī)等）和主機(jī)設(shè)備（終端計(jì)算機(jī)，打印機(jī)、服務(wù)器等）。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)、維修、報(bào)廢等；設(shè)備冗余備份。評(píng)估介質(zhì)安全軟盤、硬盤、光盤、磁帶等媒體的管理，信息媒體的維修將保證所存儲(chǔ)的信息不被泄漏，不再需要的媒體，將按規(guī)定及時(shí)安全地予以銷毀。實(shí)現(xiàn)方式問詢現(xiàn)場(chǎng)檢查資料收集工作條件客戶人員和資料配合工作結(jié)果依據(jù)相關(guān)的物理安全標(biāo)準(zhǔn)，結(jié)合客戶的實(shí)際需求，協(xié)助客戶改進(jìn)安全措施參加人員客戶機(jī)房、設(shè)備管理員、維護(hù)人員，啟明星辰評(píng)估小組網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險(xiǎn)評(píng)估中對(duì)業(yè)務(wù)系統(tǒng)安全性進(jìn)行全面了解的基礎(chǔ)，一個(gè)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個(gè)業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個(gè)業(yè)務(wù)系統(tǒng)評(píng)估的重要環(huán)節(jié)。對(duì)評(píng)估對(duì)象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評(píng)估基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、INTERNET接入、地理分布方式和網(wǎng)絡(luò)管理。，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對(duì)于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，?duì)于成功地一個(gè)實(shí)施基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理方案是很關(guān)鍵的。網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要提供有關(guān)擴(kuò)充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息幫助用戶降低風(fēng)險(xiǎn),改善網(wǎng)絡(luò)運(yùn)行效率,提高網(wǎng)絡(luò)的穩(wěn)定性確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行對(duì)網(wǎng)絡(luò)環(huán)境、性能、故障和配置進(jìn)行檢查在本項(xiàng)目安全工程中，網(wǎng)絡(luò)體系既起著支撐正常業(yè)務(wù)的作用，本身也作為提供給用戶使用的信息基礎(chǔ)設(shè)施的一部分。在評(píng)估過程中，主要針對(duì)網(wǎng)絡(luò)拓?fù)?、訪問控制策略與措施、網(wǎng)絡(luò)設(shè)備配置、安全設(shè)備配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個(gè)方面進(jìn)行調(diào)查與分析。系統(tǒng)軟件系統(tǒng)軟件指對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等采用訪談、CHECKLIST、漏洞掃描工具等方式對(duì)用戶帳號(hào)、口令策略、資源共享、訪問控制、新系統(tǒng)配置（初始化）、網(wǎng)絡(luò)安全等脆弱性方面進(jìn)行識(shí)別，并賦值。應(yīng)用軟件應(yīng)用軟件是指應(yīng)用系統(tǒng)本身或者中間平臺(tái)，進(jìn)行脆弱性分析主要包括身份簽別、訪問控制策略、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行。業(yè)務(wù)流程依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評(píng)估客戶的業(yè)務(wù)流程，從信息產(chǎn)生到信息消亡整個(gè)過程所涉及的業(yè)務(wù)系統(tǒng)。目的是了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助客戶進(jìn)行業(yè)務(wù)流程的安全防護(hù)。表格6業(yè)務(wù)流程評(píng)估項(xiàng)目名稱業(yè)務(wù)流程評(píng)估（數(shù)據(jù)流程）簡(jiǎn)要描述依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評(píng)估客戶的業(yè)務(wù)流程達(dá)成目標(biāo)了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助河北移動(dòng)管理信息系統(tǒng)進(jìn)行業(yè)務(wù)流程的優(yōu)化主要內(nèi)容業(yè)務(wù)數(shù)據(jù)流向，輸入、傳輸、存儲(chǔ)、輸出策略業(yè)務(wù)要求、使用范圍、安全等級(jí)業(yè)務(wù)實(shí)現(xiàn)方式業(yè)務(wù)安全要求各時(shí)段業(yè)務(wù)負(fù)載量業(yè)務(wù)流程優(yōu)化建議授權(quán)和認(rèn)證、審計(jì)、加密、完整性、不可否認(rèn)性等實(shí)現(xiàn)方式調(diào)查檢查工作結(jié)果數(shù)據(jù)流圖、業(yè)務(wù)關(guān)系圖、報(bào)告參加人員啟明星辰評(píng)估人員，客戶相關(guān)主管和業(yè)務(wù)人員2322管理脆弱性安全管理制度項(xiàng)目中的安全管理制度要從安全管理制度的安全要求、安全管理制度的制定和發(fā)布、安全管理制度的評(píng)審和修訂三部分根據(jù)等級(jí)保護(hù)的具體內(nèi)容來(lái)進(jìn)行管理部分的脆弱性識(shí)別。安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)的脆弱性識(shí)別要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查五個(gè)方面，根據(jù)等級(jí)保護(hù)的安全要求的具體內(nèi)容來(lái)進(jìn)行安全管理機(jī)構(gòu)的脆弱性發(fā)現(xiàn)。人員安全管理人員安全管理的脆弱性識(shí)別是按照人員錄用、人員離崗、人員考核、人員的安全意識(shí)教育和培訓(xùn)、外部人員的管理這五個(gè)部分內(nèi)容，根據(jù)等級(jí)保護(hù)級(jí)別和各個(gè)類別的安全要求來(lái)進(jìn)行脆弱性發(fā)現(xiàn)。安全建設(shè)管理安全建設(shè)管理主要是從安全邊界和定級(jí)、安全方案設(shè)計(jì)、安全產(chǎn)品采購(gòu)和使用、自主研發(fā)環(huán)境安全、外包軟件研發(fā)環(huán)境安全、工程實(shí)施安全、測(cè)試驗(yàn)收、交付、安全服務(wù)商的選擇、安全網(wǎng)絡(luò)定級(jí)備案安全10個(gè)方面來(lái)進(jìn)行安全建設(shè)的脆弱性發(fā)現(xiàn)識(shí)別。安全運(yùn)維管理安全運(yùn)維管理是從環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等12個(gè)方面發(fā)現(xiàn)在日常安全運(yùn)維中存在的安全脆弱性。233已有安全措施識(shí)別在脆弱性識(shí)別中，發(fā)現(xiàn)已經(jīng)實(shí)施的安全脆弱性防護(hù)手段，進(jìn)行整理。234階段輸出本階段完成后主要輸出文檔如下脆弱性賦值列表已有安全措施列表24階段5滲透測(cè)試方案通過各種安全掃描工具、手工檢查、網(wǎng)絡(luò)架構(gòu)分析、滲透性測(cè)試等技術(shù)手段識(shí)別信息系統(tǒng)的各項(xiàng)脆弱點(diǎn)，分析可能存在的系統(tǒng)漏洞，評(píng)估系統(tǒng)防入侵、拒絕惡意攻擊、抗風(fēng)險(xiǎn)的能力。241滲透測(cè)試方法滲透測(cè)試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測(cè)試過程都在可以控制和調(diào)整的范圍之內(nèi)。針對(duì)各應(yīng)用系統(tǒng)的滲透測(cè)試方法包括以下方法但不局限于以下方法測(cè)試類型測(cè)試描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號(hào)掃描、配置判別等。端口掃描通過對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)?？诹畈聹y(cè)本階段將對(duì)暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測(cè)試，找出各個(gè)系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對(duì)系統(tǒng)進(jìn)行滲透測(cè)試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評(píng)估相應(yīng)的危害性。猜解的對(duì)象包括WEB登錄口、FTP端口、數(shù)據(jù)庫(kù)端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方法，一個(gè)具有一般網(wǎng)絡(luò)知識(shí)的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對(duì)跨接防火墻內(nèi)外的一臺(tái)主機(jī)攻擊成功，那么通過這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個(gè)普通用戶的賬號(hào)之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。也就是說(shuō)由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)之后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理權(quán)限。腳本測(cè)試腳本測(cè)試專門針對(duì)WEB服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前WEB系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的WEB系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的WEB系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。權(quán)限獲取通過初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點(diǎn)，測(cè)試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來(lái)盡最大努力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的滲透測(cè)試過程。242滲透測(cè)試流程滲透測(cè)試流程嚴(yán)格依照下圖執(zhí)行，采用可控制的、非破壞性質(zhì)的滲透測(cè)試，并在執(zhí)行過程中把握好每一個(gè)步驟的信息輸入/輸出，控制好風(fēng)險(xiǎn)，確保對(duì)網(wǎng)絡(luò)不造成破壞性的損害，保證滲透測(cè)試前后信息系統(tǒng)的可用性、可靠性保持一致。圖1滲透測(cè)試流程243滲透測(cè)試工具工具類型測(cè)試工具名稱信息收集工具搜索引擎GOOGLE、百度、BING等DNS工具NSLOOKUP、DIG、DNSMAP等信息探索工具M(jìn)ATIGOO在線網(wǎng)絡(luò)數(shù)據(jù)庫(kù)APNIC、RIPE、SUCURI、NETCRAFT等漏洞掃描工具天鏡60、NMAP、SUPERSCAN、NESSUS等口令猜測(cè)工具HYDRA溢出測(cè)試工具M(jìn)ETASPLOIT工具集腳本測(cè)試工具天鏡60、JBROFUZZ等網(wǎng)銀客戶端安全測(cè)試工具1、鉤子工具，有RING3鉤子、RING0鉤子；2、客戶端修改程序工具LCCRYPTOZIP3、內(nèi)存讀取測(cè)試工具WINHEX；4、屏幕截圖和屏幕錄像工具；5、截取發(fā)包測(cè)試工具WINSOCKEXPERT6、逆向測(cè)試工具OLLYDBG244滲透測(cè)試內(nèi)容通過可控的安全測(cè)試技術(shù)對(duì)限定范圍內(nèi)的應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，同時(shí)結(jié)合業(yè)界著名的OSSTMM與OWASP測(cè)試框架組合成最佳實(shí)踐進(jìn)行操作。本次滲透測(cè)試將參考OSSTMM測(cè)試框架中的以下技術(shù)方法信息收集和狀態(tài)評(píng)估網(wǎng)絡(luò)節(jié)點(diǎn)枚舉和探測(cè)系統(tǒng)服務(wù)和端口掃描驗(yàn)證應(yīng)用層測(cè)試漏洞挖掘與驗(yàn)證本次滲透測(cè)試將參考OWASP2013最新發(fā)布的十大WEB應(yīng)用漏洞排名，并使用測(cè)試框架中相應(yīng)的技術(shù)方法SQL注入跨站腳本（XSS）惡意文件執(zhí)行不安全的直接對(duì)象引用跨站請(qǐng)求偽造（CSRF）信息泄漏和錯(cuò)誤處理不當(dāng)認(rèn)證和會(huì)話管理失效不安全的加密存儲(chǔ)不安全的通訊URL訪問失效245滲透測(cè)試試用例庫(kù)為保證滲透測(cè)試內(nèi)容的全面性以及測(cè)試漏洞的深入挖掘，啟明星辰總結(jié)了多年的滲透測(cè)試經(jīng)驗(yàn)與豐富的滲透測(cè)試用例，以下是啟明星辰用于WEB應(yīng)用層滲透測(cè)試的用例庫(kù)，測(cè)試條目涵蓋了全面/最新的WEB應(yīng)用層漏洞與測(cè)試方法，將根據(jù)不同應(yīng)用系統(tǒng)的特性進(jìn)行有針對(duì)性的匹配測(cè)試。測(cè)試類型測(cè)試條目測(cè)試描述目錄爬行遍歷這個(gè)階段將通過瀏覽、目錄爬行的方式捕獲/收集應(yīng)用的資源。搜索引擎?zhèn)蓽y(cè)搜索引擎，比如GOOGLE，能夠用來(lái)發(fā)現(xiàn)公開發(fā)布的網(wǎng)頁(yè)應(yīng)用結(jié)構(gòu)或者錯(cuò)誤頁(yè)面等相關(guān)問題。應(yīng)用程序入口探測(cè)枚舉應(yīng)用入口和攻擊途徑是入侵發(fā)生之前的預(yù)警。這部分枚舉完成后，將幫助測(cè)試人員找出在應(yīng)用里面應(yīng)該重點(diǎn)關(guān)注的領(lǐng)域。信息收集WEB應(yīng)用程序指紋探測(cè)應(yīng)用指紋是信息收集的第一步。獲取運(yùn)行網(wǎng)頁(yè)服務(wù)器的版本，讓測(cè)試人員知道哪些是已知弱點(diǎn)及在測(cè)試時(shí)使用何種方法恰當(dāng)。應(yīng)用程序發(fā)現(xiàn)本項(xiàng)測(cè)試發(fā)現(xiàn)以WEB服務(wù)器的網(wǎng)頁(yè)應(yīng)用作為目標(biāo)。本項(xiàng)測(cè)試對(duì)于發(fā)現(xiàn)細(xì)節(jié)/尋找突破尤為有效，比如發(fā)現(xiàn)用于管理的應(yīng)用腳本，或舊版本的文件/控件，在測(cè)試、開發(fā)或維護(hù)過程中產(chǎn)生的已不用的腳本。分析錯(cuò)誤代碼信息泄漏在滲透性測(cè)試過程中，網(wǎng)頁(yè)應(yīng)用可能泄露原本不想被用戶看見的信息。錯(cuò)誤碼等信息能讓測(cè)試者了解應(yīng)用程序使用的有關(guān)技術(shù)和產(chǎn)品。很多情況下，由于異常處理和程序代碼的不合理，甚至不需要任何特殊技術(shù)或工具，都很容易觸發(fā)產(chǎn)生錯(cuò)誤代碼的條件從而產(chǎn)生錯(cuò)誤代碼導(dǎo)致被攻擊者利用。SSL/TLS測(cè)試SSL和TLS是兩個(gè)以加密的方式為傳輸?shù)男畔⑻峁┌踩淼赖膮f(xié)議，具有保護(hù)、加密和身份認(rèn)證的功能。這些安全組件在應(yīng)用中非常關(guān)鍵，因此確保高強(qiáng)度的加密算法和正確的執(zhí)行非常重要。本項(xiàng)測(cè)試的模塊為SSL版本、算法、密鑰長(zhǎng)度、數(shù)字證書、有效期。數(shù)據(jù)庫(kù)監(jiān)聽器（DBLISTENER）測(cè)試許多數(shù)據(jù)庫(kù)管理員在配置數(shù)據(jù)庫(kù)服務(wù)器時(shí)，沒有充分考慮到數(shù)據(jù)庫(kù)偵聽器組件的安全。如果沒有進(jìn)行安全的配置而使用手動(dòng)或自動(dòng)的技術(shù)進(jìn)行偵聽，偵聽器就可能泄露敏感數(shù)據(jù)以及配置信息或正在運(yùn)行的數(shù)據(jù)庫(kù)實(shí)例信息。泄露的信息對(duì)測(cè)試者來(lái)說(shuō)通常是有用的，他能將此應(yīng)用到后續(xù)更深入的測(cè)試中去。配置管理測(cè)試基礎(chǔ)配置信息測(cè)試WEB應(yīng)用基礎(chǔ)架構(gòu)由于其內(nèi)在的復(fù)雜性和關(guān)聯(lián)性，一個(gè)微小的漏洞就可能對(duì)同一服務(wù)器上的另一個(gè)應(yīng)用程序產(chǎn)生嚴(yán)重的威脅，甚至破壞整個(gè)架構(gòu)的安全。為了解決這些問題，對(duì)配置的管理和已知安全問題進(jìn)行深入審查尤為重要。應(yīng)用程序配置信息測(cè)試通常在應(yīng)用程序開發(fā)和配置中會(huì)產(chǎn)生一些沒有考慮到的信息，而這些信息暫時(shí)被發(fā)布后的WEB應(yīng)用程序所隱藏。這些信息可能從源代碼、日志文件或WEB服務(wù)器的默認(rèn)錯(cuò)誤代碼中泄露。文件擴(kuò)展名處理測(cè)試通過WEB服務(wù)器或WEB應(yīng)用程序上的文件擴(kuò)展名能夠識(shí)別出目標(biāo)應(yīng)用程序使用的技術(shù)，例如擴(kuò)展名JSP與ASP。文件擴(kuò)展名也可能暴露與該應(yīng)用程序相連接的其它系統(tǒng)。舊文件、備份文件、未引用文件測(cè)試WEB服務(wù)器上存在多余的、可讀、可下載的文件，并且用于備份的文件，是信息泄漏的一大源頭。因?yàn)樗鼈兛赡馨瑧?yīng)用程序和或數(shù)據(jù)庫(kù)的部分源代碼，安裝路徑以及密碼等敏感信息。本項(xiàng)測(cè)試驗(yàn)證這些文件是否存在于發(fā)布的WEB應(yīng)用系統(tǒng)上。應(yīng)用程序管理接口測(cè)試許多應(yīng)用程序的管理接口通常使用一個(gè)公用路徑，路徑獲取后可能面臨猜測(cè)或暴力破解管理密碼的風(fēng)險(xiǎn)。此項(xiàng)測(cè)試目的是找到管理接口，并檢測(cè)是否可以利用它來(lái)獲取管理員權(quán)限。HTTP請(qǐng)求方法與XST測(cè)試WEB服務(wù)器可以配置為多種請(qǐng)求方式，如GET、POST、PUT、DELETE等，此項(xiàng)測(cè)試將鑒定WEB服務(wù)器是否允許具有潛在危險(xiǎn)性的HTTP請(qǐng)求方法，同時(shí)鑒定是否存在跨網(wǎng)站追蹤攻擊（XST）。證書加密通道傳輸安全性測(cè)試本項(xiàng)測(cè)試試圖分析用戶輸入WEB表單中的數(shù)據(jù)，如為了登錄網(wǎng)站而輸入的登錄憑據(jù)是否使用了安全的傳輸協(xié)議，以免受到攻擊。認(rèn)證測(cè)試用戶枚本項(xiàng)測(cè)試為了驗(yàn)證是否可能通過與應(yīng)用程序的舉測(cè)試認(rèn)證機(jī)制交互（提示信息），收集有效的用戶。這項(xiàng)測(cè)試好于暴力破解，一旦獲取有效的用戶名后，就可針對(duì)性的進(jìn)行密碼攻擊。字典猜解測(cè)試本項(xiàng)測(cè)試鑒定應(yīng)用系統(tǒng)是否存在默認(rèn)的用戶帳戶或可猜測(cè)的用戶名/密碼組合（遍歷測(cè)試）?？诹畋┝Σ陆鉁y(cè)試當(dāng)遍歷攻擊失敗，測(cè)試者可嘗試使用暴力破解的方式進(jìn)行驗(yàn)證。暴力破解測(cè)試肯能可能碰到鎖定用戶或IP等限制。驗(yàn)證繞過測(cè)試本項(xiàng)測(cè)試嘗試以非常規(guī)的方式企圖繞過身份認(rèn)證機(jī)制，使得應(yīng)用程序資源失去正常的保護(hù)，從而能夠在沒有認(rèn)證的情況下訪問這些受保護(hù)的資源。密碼重置/找回漏洞測(cè)試本項(xiàng)測(cè)試鑒定應(yīng)用程序的“忘記密碼”功能是否起到足夠的保護(hù)，檢查應(yīng)用程序是否允許用戶在瀏覽器中存儲(chǔ)密碼。用戶注銷緩存漏洞測(cè)試檢查注銷和緩存功能能否得到正確實(shí)現(xiàn)。多因素認(rèn)證漏洞測(cè)試多因素身份驗(yàn)證將測(cè)試以下認(rèn)證方式的安全性一次性密碼（OTP）所生成的驗(yàn)證碼，USB加密設(shè)備基于X509證書的智能卡通過SMS發(fā)送的隨機(jī)一次性密碼只有合法用戶知道的個(gè)人信息會(huì)話管理測(cè)試會(huì)話管理測(cè)試本項(xiàng)測(cè)試分析會(huì)話管理模式和機(jī)制，鑒定發(fā)送給客戶端瀏覽器的會(huì)話驗(yàn)證碼的安全性，鑒定是否能夠打破這一機(jī)制從而繞過用戶會(huì)話。如對(duì)COOKIE實(shí)行反向工程，通過篡改COOKIES來(lái)劫持會(huì)話。COOKIE屬性測(cè)試COOKIES通常是惡意用戶攻擊合法用戶的關(guān)鍵途徑。本項(xiàng)測(cè)試將分析應(yīng)用程序在分派COOKIE時(shí)如何采取必要的防護(hù)措施，以及這些已正確配置的COOKIE屬性。會(huì)話固定測(cè)試本項(xiàng)測(cè)試鑒定當(dāng)應(yīng)用程序在成功驗(yàn)證用戶后不再更新COOKIE時(shí)，能否找到會(huì)話固定漏洞并迫使用戶使用攻擊者已知的COOKIE。會(huì)話變量泄漏測(cè)試由于會(huì)話驗(yàn)證碼連系了用戶身份和用戶會(huì)話，它所代表的是保密信息。本項(xiàng)測(cè)試鑒定會(huì)話驗(yàn)證碼是否暴露在漏洞中，并試著追溯會(huì)話攻擊。CSRF跨站請(qǐng)求偽造測(cè)試跨站偽造請(qǐng)求指在WEB應(yīng)用中，迫使已通過驗(yàn)證的未知用戶執(zhí)行非法請(qǐng)求的方法。本項(xiàng)測(cè)試鑒定應(yīng)用程序是否存在這種漏洞。路徑遍歷測(cè)試本項(xiàng)測(cè)試鑒定是否能夠找到一種方法來(lái)執(zhí)行路徑遍歷攻擊并獲成功得服務(wù)器返回的信息。授權(quán)繞過測(cè)試本項(xiàng)測(cè)試核實(shí)如何對(duì)某個(gè)角色或特權(quán)實(shí)施授權(quán)模式以便獲得保留的功能和資源。授權(quán)測(cè)試權(quán)限提升測(cè)試本項(xiàng)測(cè)試確認(rèn)用戶是否可能采用特權(quán)提升攻擊的方式修改自己在應(yīng)用程序內(nèi)部的特權(quán)或角色。數(shù)據(jù)驗(yàn)證測(cè)試跨站腳本反射測(cè)試反射式跨站腳本攻擊XSS是非持久性跨站腳本攻擊的另一個(gè)名稱。該攻擊不會(huì)使用存在漏洞的WEB應(yīng)用程序加載，而使用受害者載入的違規(guī)的URI。本項(xiàng)測(cè)試將確認(rèn)應(yīng)用程序?qū)?lái)自用戶提交的惡意代碼是否進(jìn)行了存儲(chǔ)或反射處理，對(duì)各類非法字符進(jìn)行了嚴(yán)格過濾。存儲(chǔ)跨站腳本測(cè)試儲(chǔ)存式跨站腳本（XSS）是一種最危險(xiǎn)的跨站腳本。允許用戶存儲(chǔ)數(shù)據(jù)的WEB應(yīng)用程序都有可能遭受這種類型的攻擊。SQL注入測(cè)試（ORACLEMYSQLMSSQLACCESS）SQL注入測(cè)試檢測(cè)是否有可能將數(shù)據(jù)注入到應(yīng)用程序中，以便在后端數(shù)據(jù)庫(kù)中執(zhí)行用戶定制的SQL查詢。如果應(yīng)用程序在沒有合理驗(yàn)證數(shù)據(jù)的情況下使用用戶輸入創(chuàng)建SQL查詢，那幺說(shuō)明該應(yīng)用程序存在SQL注入漏洞。成功利用這一類別的漏洞會(huì)導(dǎo)致未授權(quán)用戶訪問或操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)。CODE注入測(cè)試代碼注入測(cè)試檢測(cè)是否有可能在應(yīng)用程序中注入稍后由WEB服務(wù)器執(zhí)行的代碼。OSCOMMANDING本項(xiàng)測(cè)試將設(shè)法通過HTTP請(qǐng)求在應(yīng)用程序中注入OS命令。緩沖區(qū)溢出測(cè)試（字符串格式）本項(xiàng)測(cè)試將檢查不同類型的緩沖區(qū)溢出漏洞。WEB服務(wù)信息收集進(jìn)行WEB服務(wù)測(cè)試的第一步是確定WS入口點(diǎn)和鏈接圖標(biāo)。WEB服務(wù)測(cè)試XML架構(gòu)測(cè)試XML需要有合法的格式才能正確的運(yùn)作。當(dāng)服務(wù)器端進(jìn)行XML語(yǔ)句分析時(shí)，不合規(guī)格的XML將會(huì)出錯(cuò)。一個(gè)解析器需要在整個(gè)XML信息中按照序列的方式徹底運(yùn)行，這樣才能評(píng)估XML格式是否合格。XML解析器通常占用較多的CPU資源。某些攻擊通過發(fā)送大量或者不合規(guī)的XML信息來(lái)利用這個(gè)漏洞。XML內(nèi)容級(jí)別測(cè)試內(nèi)容級(jí)別的攻擊對(duì)象是WEB服務(wù)及其使用的應(yīng)用程序的服務(wù)器，包括WEB服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用程序服務(wù)器、操作系統(tǒng)等等。內(nèi)容級(jí)別攻擊向量包括1）SQL注入/XPATH注入2）緩存溢出3）命令注入。HTTPGET參數(shù)/REST測(cè)試許多XML應(yīng)用程序是通過HTTPGET查詢傳輸參數(shù)來(lái)使用的。在HTTPGET字符串例如，超長(zhǎng)的參數(shù)（2048字符）、SQL語(yǔ)句/注入（或OS注入?yún)?shù)）中傳輸惡意內(nèi)容時(shí)，WEB服務(wù)將會(huì)受到攻擊。NAUGHTYSOAP附件本項(xiàng)測(cè)試將檢測(cè)接受附件的WEB服務(wù)的是否存在漏洞。這類危險(xiǎn)存在于當(dāng)信息附加到服務(wù)器和分配到用戶的時(shí)候。重放測(cè)試重放攻擊的威脅在于攻擊者可以偽裝成一個(gè)合法用戶的身份，然后不被察覺的情況下進(jìn)行一些惡意操作。本項(xiàng)測(cè)試將檢測(cè)WEB服務(wù)是否存在重放漏洞246滲透測(cè)試驗(yàn)證針對(duì)本次測(cè)試過程中發(fā)現(xiàn)的漏洞進(jìn)行層次性的安全加固，特別對(duì)于通過滲透測(cè)試發(fā)現(xiàn)的漏洞進(jìn)行適應(yīng)性的補(bǔ)救和加固措施，在保證不影響正常業(yè)務(wù)的情況下，配合行方運(yùn)行維護(hù)人員或安全管理人員實(shí)施加固方案。對(duì)于加固后的系統(tǒng)進(jìn)行重復(fù)性的滲透測(cè)試驗(yàn)證，以保障漏洞不可利用性，同時(shí)驗(yàn)證安全加固措施的有效性。最后形成具體驗(yàn)證成果報(bào)告，確保對(duì)外提供安全穩(wěn)定的應(yīng)用服務(wù)。25階段6風(fēng)險(xiǎn)綜合分析風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級(jí)以及相關(guān)的弱點(diǎn)直接相關(guān)。從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。251階段目標(biāo)本階段目標(biāo)是對(duì)目前存在的安全風(fēng)險(xiǎn)進(jìn)行分析，包括風(fēng)險(xiǎn)的計(jì)算、風(fēng)險(xiǎn)的處置和風(fēng)險(xiǎn)的安全控制措施選擇。根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并與客戶共同選擇風(fēng)險(xiǎn)的處置方式和風(fēng)險(xiǎn)的安全控制措施。252階段步驟2521步驟一風(fēng)險(xiǎn)計(jì)算3341風(fēng)險(xiǎn)的計(jì)算在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別后，將采用適當(dāng)?shù)姆椒ù_定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，綜合資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度判斷安全事件一旦發(fā)生造成的損失，最終得到風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)計(jì)算原理如圖所示威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)價(jià)值風(fēng)險(xiǎn)值威脅識(shí)別脆弱性識(shí)別資產(chǎn)識(shí)別安全事件的可能性安全事件的損失存在的脆弱性圖4風(fēng)險(xiǎn)計(jì)算原理對(duì)風(fēng)險(xiǎn)計(jì)算原理可以采用下面的范式形式化加以說(shuō)明風(fēng)險(xiǎn)值R（A，T，V）R（L（TA，VB），F(xiàn)（IA，VA）其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性，TA表示威脅出現(xiàn)的頻率，IA表示安全事件所作用的資產(chǎn)價(jià)值，VA表示脆弱性嚴(yán)重程度，VB表示存在的脆弱性，L表示威脅利用資產(chǎn)存在的脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn)表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)1計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即安全事件發(fā)生的可能性L（威脅出現(xiàn)頻率，脆弱性）L（TA，VB）在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等）、資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。2計(jì)算安全事件的損失根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生造成的損失，即安全事件的損失F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）F（IA，VA）部分安全事件發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響其提供業(yè)務(wù)的連續(xù)性。不同安全事件對(duì)組織造成的影響也是不一樣的，在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。3計(jì)算風(fēng)險(xiǎn)值根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即風(fēng)險(xiǎn)值R（安全事件發(fā)生的可能性，安全事件的損失）R（L（TA，VB），F(xiàn)（IA，VA）2522步驟二進(jìn)行風(fēng)險(xiǎn)結(jié)果判定確定風(fēng)險(xiǎn)數(shù)值的大小不是組織風(fēng)險(xiǎn)評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。風(fēng)險(xiǎn)等級(jí)建議從1到5劃分為五級(jí)。等級(jí)越大，風(fēng)險(xiǎn)越高。評(píng)估者也可以根據(jù)被評(píng)估系統(tǒng)的實(shí)際情況自定義風(fēng)險(xiǎn)的等級(jí)。下表提供了一種風(fēng)險(xiǎn)等級(jí)劃分方法。表格7風(fēng)險(xiǎn)圖等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將使系統(tǒng)遭受非常嚴(yán)重破壞，組織利益受到非常嚴(yán)重?fù)p失，如嚴(yán)重破壞組織信譽(yù)、嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)行、經(jīng)濟(jì)損失重大、企業(yè)影響惡劣等4高如果發(fā)生將使系統(tǒng)遭受比較嚴(yán)重的破壞，組織利益受到很嚴(yán)重?fù)p失3中等發(fā)生后將使系統(tǒng)受到一定的破壞，組織利益受到中等程度的損失2低發(fā)生后將使系統(tǒng)受到的破壞程度和利益損失一般1很低即使發(fā)生只會(huì)使系統(tǒng)受到較小的破壞2523步驟三選擇控制措施根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，綜合考慮客戶信息系統(tǒng)的實(shí)際情況、成本因素等選擇相應(yīng)的管理或技術(shù)控制手段，并結(jié)合已經(jīng)發(fā)現(xiàn)的業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)，給出整改建議。2524步驟四殘余風(fēng)險(xiǎn)處置對(duì)于不可接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖?，?duì)殘余風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理提供輸入。殘余風(fēng)險(xiǎn)的評(píng)價(jià)可以依據(jù)組織風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則進(jìn)行，考慮選擇的控制措施和已有的控制措施對(duì)于威脅發(fā)生的可能性的降低。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)通過管理層依據(jù)風(fēng)險(xiǎn)接受的原則，考慮是否接受此類風(fēng)險(xiǎn)或增加控制措施。為確保所選擇控制措施的有效性，必要時(shí)可進(jìn)行再評(píng)估，以判斷實(shí)施控制措施后的殘余風(fēng)險(xiǎn)是否是可被接受的。253階段輸出本階段完成后主要輸出文檔如下風(fēng)險(xiǎn)計(jì)算列表風(fēng)險(xiǎn)處置計(jì)劃方案風(fēng)險(xiǎn)評(píng)估綜合報(bào)告26階段7風(fēng)險(xiǎn)處置計(jì)劃對(duì)于不可接受的風(fēng)險(xiǎn)，應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性和威脅制定風(fēng)險(xiǎn)處理計(jì)劃。風(fēng)險(xiǎn)處理計(jì)劃中明確應(yīng)采取的彌補(bǔ)其脆弱性、降低安全事件造成的損失或減少安全事件發(fā)生可能性的新的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。安全措施的選擇應(yīng)充分考慮到組織、資金、環(huán)境、人員、時(shí)間、法律、技術(shù)和企業(yè)文化等多方面的可能限制因素，從管理與技術(shù)兩個(gè)方面考慮，管理措施可以作為技術(shù)措施的補(bǔ)充。安全措施的選擇與實(shí)施應(yīng)參照國(guó)家和行業(yè)的相關(guān)標(biāo)準(zhǔn)。在對(duì)不可接受風(fēng)險(xiǎn)選擇新的安全措施后，為確保安全措施的有效性，應(yīng)進(jìn)行再評(píng)估，以判斷實(shí)施新的安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。殘余風(fēng)險(xiǎn)的評(píng)估可以依據(jù)本標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估流程實(shí)施，也可做適當(dāng)裁減。某些風(fēng)險(xiǎn)可能在選擇了新的安全措施后，殘余風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估結(jié)果仍處于不可接受范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。在選擇和實(shí)施風(fēng)險(xiǎn)控制措施時(shí)，應(yīng)兼顧管理與技術(shù)，具體針對(duì)各類風(fēng)險(xiǎn)應(yīng)根據(jù)組織的實(shí)際情況考慮以下十一個(gè)方面的控制安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理與環(huán)境安全、通訊與運(yùn)作管理、訪問控制、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全事件管理、符合性。在風(fēng)險(xiǎn)處理方式及控制措施的選擇上，信元公眾應(yīng)考慮發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡，以處理安全風(fēng)險(xiǎn)以滿足法律法規(guī)及相關(guān)方的要求，管理性與技術(shù)性的措施均可以降低風(fēng)險(xiǎn)。27階段8項(xiàng)目交付271成果交付項(xiàng)目完成后將提交以下文檔風(fēng)險(xiǎn)評(píng)估綜合報(bào)告資產(chǎn)賦值列表威脅賦值列表脆弱性賦值列表（包含脆弱性掃描分析報(bào)告）風(fēng)險(xiǎn)處置計(jì)劃（附件風(fēng)險(xiǎn)列表）1、風(fēng)險(xiǎn)評(píng)估綜合報(bào)告主體報(bào)告，描述被評(píng)估信息系統(tǒng)得信息安全現(xiàn)狀，對(duì)評(píng)估范圍內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對(duì)范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對(duì)策進(jìn)行防范威脅，減少脆弱性；并對(duì)風(fēng)險(xiǎn)評(píng)估作出總結(jié)，總結(jié)出哪些問題需要當(dāng)前解決，哪些問題可以分步分期解決。2、資產(chǎn)賦值列表綜合報(bào)告的子報(bào)告，描述了在資產(chǎn)識(shí)別后，對(duì)資產(chǎn)進(jìn)行分類整理，并依據(jù)其所受破壞后所造成的影響，分析出其影響權(quán)值及其重要性。3、威脅賦值列表綜合報(bào)告的子報(bào)告，描述總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。4、脆弱性賦值列表綜合報(bào)告的子報(bào)告，描述出通過安全管理調(diào)查、工具掃描、手工檢查進(jìn)行專業(yè)分析后，總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。5、脆弱性掃描分析報(bào)告脆弱性評(píng)估報(bào)告的子報(bào)告，主要描述通過工具掃描之后，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計(jì)，重在描述高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)的數(shù)量以及百分比等情況。6、風(fēng)險(xiǎn)處置建議計(jì)劃綜合報(bào)告后的輔助報(bào)告，通過綜合分析，了解了當(dāng)前的安全現(xiàn)狀，提出了針對(duì)當(dāng)前問題的信息系統(tǒng)總體安全解決方案。272項(xiàng)目驗(yàn)收對(duì)項(xiàng)目計(jì)劃與成果目標(biāo)進(jìn)行驗(yàn)收。第3章項(xiàng)目管理為了保證整個(gè)安全項(xiàng)目實(shí)施的質(zhì)量和進(jìn)度，本項(xiàng)目將主要參考并遵循一些國(guó)際最新的相關(guān)信息安全工程標(biāo)準(zhǔn)和最新的研究成果，如SSECMM信息安全工程能力成熟模型；IATF信息系統(tǒng)安全工程（ISSE）過程模型。31組織管理為了保證項(xiàng)目的順利實(shí)施，確保達(dá)到預(yù)期的目標(biāo)，必須建立分工明確，職責(zé)清楚，層次分明同時(shí)又能協(xié)調(diào)配合的項(xiàng)目管理組織。項(xiàng)目領(lǐng)導(dǎo)小組項(xiàng)目技術(shù)支持項(xiàng)目實(shí)施質(zhì)量控制項(xiàng)目經(jīng)理協(xié)調(diào)小組圖5項(xiàng)目組織圖職責(zé)分工項(xiàng)目領(lǐng)導(dǎo)小組有項(xiàng)目服務(wù)提供方管理層和資深安全顧問組成的核心決策層。項(xiàng)目經(jīng)理由信息安全服務(wù)提供商指定，根據(jù)項(xiàng)目協(xié)調(diào)小組的決定與授權(quán)，在充分調(diào)研準(zhǔn)備的基礎(chǔ)上，提出具體實(shí)施方案并組織實(shí)施，解決項(xiàng)目實(shí)施中出現(xiàn)的各類問題。協(xié)調(diào)小組有服務(wù)買方項(xiàng)目負(fù)責(zé)人組成的協(xié)調(diào)小組，和目項(xiàng)目經(jīng)理一起協(xié)調(diào)項(xiàng)目中存在的問題、進(jìn)度、其他問題等。項(xiàng)目實(shí)施小組由信息安全服務(wù)提供商技術(shù)人員組成，負(fù)責(zé)安全產(chǎn)品集成的具體實(shí)施。項(xiàng)目支持小組主要由項(xiàng)目實(shí)施過程中，服務(wù)賣方提供的遠(yuǎn)程技術(shù)支持力量，負(fù)責(zé)遠(yuǎn)程協(xié)助和支持。質(zhì)量控制主要有項(xiàng)目商務(wù)和售前作為質(zhì)量監(jiān)督和控制，有權(quán)對(duì)項(xiàng)目實(shí)施進(jìn)行建議和實(shí)施工作的改進(jìn)。32范圍管理范圍管理通過對(duì)項(xiàng)目范圍的明確界定以及過程中變更的嚴(yán)格控制，使整個(gè)項(xiàng)目各項(xiàng)工作自始至終嚴(yán)格貫徹立項(xiàng)的宗旨，既無(wú)工作內(nèi)容遺漏，也不存在未經(jīng)授權(quán)的范圍超出，從而保障項(xiàng)目的圓滿完成。321范圍定義一個(gè)預(yù)先定義的、清晰的項(xiàng)目范圍是項(xiàng)目順利開展的基礎(chǔ)。在項(xiàng)目啟動(dòng)時(shí)，項(xiàng)目參與方應(yīng)對(duì)工作范圍說(shuō)明書中約定的工作范圍和內(nèi)容進(jìn)行確認(rèn)，對(duì)于有疑問之處應(yīng)立即澄清，