《稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估指南》

編制說明

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估指南就是為了對(duì)全國(guó)稅務(wù)系

統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作提供實(shí)施的指導(dǎo)，從而統(tǒng)一全國(guó)稅務(wù)系統(tǒng)

風(fēng)險(xiǎn)評(píng)估工作的實(shí)施辦法和工作流程，產(chǎn)生相同格式的工作成果，確

保各地稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估工作結(jié)果的可比性。

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估指南對(duì)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息

安全風(fēng)險(xiǎn)評(píng)估的過程、關(guān)鍵點(diǎn)以及工作成果等方面提出了具體的實(shí)施

方法和產(chǎn)生的文檔類別和內(nèi)容。

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容包括：資產(chǎn)分析，漏洞、

脆弱性及弱點(diǎn)評(píng)估，威脅評(píng)估，影響與可能性分析和系統(tǒng)分析等方面。

風(fēng)險(xiǎn)評(píng)估過程分為三個(gè)階段：確定資產(chǎn)的威脅概況，確定基礎(chǔ)設(shè)施風(fēng)

險(xiǎn)和制定安全策略及計(jì)劃。

本風(fēng)險(xiǎn)評(píng)估指南規(guī)定了風(fēng)險(xiǎn)評(píng)估項(xiàng)目組織、跟進(jìn)工作等。限定了

風(fēng)險(xiǎn)評(píng)估的前提和分工。

本風(fēng)險(xiǎn)評(píng)估指南共提供了六個(gè)附錄，附錄A為術(shù)語表，對(duì)本指南

內(nèi)的專業(yè)術(shù)語進(jìn)行解釋，附錄B為調(diào)查問卷，對(duì)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息

安全風(fēng)險(xiǎn)評(píng)估的調(diào)查問卷種類和內(nèi)容進(jìn)行規(guī)定，附錄C為交付文檔范

例，確定了稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估工作需完成的工作文檔,

附錄D資產(chǎn)分類清單，對(duì)稅務(wù)系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行了分類，附錄E資產(chǎn)

脆弱性清單列舉了各類資產(chǎn)可能存在的脆弱性，附錄F為資產(chǎn)威脅清

單，列舉了資產(chǎn)所面臨的威脅。

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估指南

（試行稿）

國(guó)家稅務(wù)總局信息中心

二OO四年十月

目錄

I前言..........................................................................I

1.1關(guān)于本文檔...............................................................1

1.2目標(biāo)讀者..................................................................1

1.3文檔結(jié)構(gòu).................................................................2

1.3.1相關(guān)標(biāo)準(zhǔn)............................................................2

1.3.2參考文獻(xiàn)............................................................2

1.4關(guān)于術(shù)語與縮略語的約定..................................................3

2風(fēng)險(xiǎn)評(píng)估概述.................................................................4

2.1基本概念.................................................................4

2.2意義與作用...............................................................4

2.3過程概述.................................................................5

2.4工具......................................................................5

2.4.1調(diào)查問卷............................................................5

2.4.2遠(yuǎn)程漏洞掃描工具...................................................6

2.4.3人工審計(jì)檢查列表...................................................6

2.4.4安全風(fēng)險(xiǎn)評(píng)估信息庫(kù).................................................6

2.5成功的關(guān)鍵因素...........................................................6

2.6收益......................................................................6

2.7面臨的挑戰(zhàn)...............................................................7

3風(fēng)險(xiǎn)評(píng)估內(nèi)容.................................................................8

3.1資產(chǎn)分析.................................................................8

3.1.1資產(chǎn)定義............................................................8

3.1.2資產(chǎn)類別............................................................8

3.1.3資產(chǎn)評(píng)估............................................................8

3.1.4資產(chǎn)評(píng)估的目的.....................................................9

3.1.5資產(chǎn)的重要性........................................................9

3.1.6資產(chǎn)級(jí)別...........................................................10

3.1.7評(píng)估實(shí)例...........................................................11

3.2漏洞/脆弱性/弱點(diǎn)評(píng)估.....................................................11

3.2.1弱點(diǎn)評(píng)估的目的.....................................................11

3.2.2弱點(diǎn)評(píng)估的內(nèi)容....................................................11

3.2.3弱點(diǎn)評(píng)估手段.......................................................12

3.3威脅評(píng)估.................................................................13

3.3.1威脅定義...........................................................13

3.3.2威脅分類...........................................................14

3.3.3威脅屬性...........................................................15

3.3.4威脅的獲取方法....................................................16

3.3.5威脅評(píng)估手段.......................................................16

3.3.6威脅評(píng)估實(shí)例.......................................................16

3.4影響與可能性分析........................................................17

3.5系統(tǒng)分析.................................................................17

3.5.1系統(tǒng)結(jié)構(gòu)及邊界.....................................................17

3.5.2信息的敏感度評(píng)估...................................................18

3.6調(diào)查問卷的結(jié)構(gòu)..........................................................18

3.6.1調(diào)查系統(tǒng)控制.......................................................18

3.6.2系統(tǒng)確認(rèn)...........................................................18

3.6.3目的和評(píng)估者信息...................................................19

3.6.4信息的決定性.......................................................19

3.7利用問卷調(diào)查結(jié)果........................................................19

3.7.1調(diào)查問卷分析.......................................................19

3.7.2行動(dòng)計(jì)劃...........................................................20

3.8綜合風(fēng)險(xiǎn)分析............................................................20

3.8.1風(fēng)險(xiǎn)分析矩陣.......................................................21

3.8.2風(fēng)險(xiǎn)評(píng)估層面......................................................21

3.8.3風(fēng)險(xiǎn)評(píng)估實(shí)例......................................................21

3.8.4ISO17799十個(gè)域...................................................22

3.9可交付的文檔............................................................22

3.9.1信息網(wǎng)絡(luò)...........................................................22

3.9.2文檔一覽...........................................................23

4風(fēng)險(xiǎn)評(píng)估過程................................................................24

4.1評(píng)估過程................................................................24

4.1.1階段1：提取基于資產(chǎn)的威脅概況....................................24

4.1.2階段2：確定基礎(chǔ)設(shè)施漏洞..........................................25

4.1.3階段3：制訂安全策略和計(jì)劃........................................25

4.2各階段的一般過程........................................................25

4.2.1調(diào)查與分析.........................................................25

4.2.2數(shù)據(jù)/信息收集與處理...............................................25

4.2.3撰寫評(píng)估報(bào)告......................................................25

4.3風(fēng)險(xiǎn)控制................................................................26

4.3.1風(fēng)險(xiǎn)控制的方式.....................................................26

4.3.2風(fēng)險(xiǎn)控制措施舉例：................................................27

4.4風(fēng)險(xiǎn)評(píng)估項(xiàng)目............................................................27

4.4.1計(jì)劃...............................................................27

4.4.2監(jiān)控與執(zhí)行.........................................................27

5風(fēng)險(xiǎn)評(píng)估人員組織............................................................30

5.1評(píng)估方人員組織..........................................................30

5.2被評(píng)估方人員組織........................................................31

6風(fēng)險(xiǎn)評(píng)估的跟進(jìn)工作..........................................................33

6.1跟進(jìn)的重要性............................................................33

6.2有效的,合格的建議......................................................33

6.3委托事項(xiàng)................................................................33

6.3.1安全評(píng)估人員.......................................................33

6.3.2工作人員...........................................................33

6.3.3管理層.............................................................34

6.4監(jiān)督與跟進(jìn)..............................................................34

6.4.1建立監(jiān)督與跟進(jìn)機(jī)制................................................34

6.4.2標(biāo)識(shí)推薦并制定跟進(jìn)計(jì)劃............................................34

6.4.3執(zhí)行主動(dòng)監(jiān)督與報(bào)告................................................34

7風(fēng)險(xiǎn)評(píng)估的前提與分工........................................................36

7.1假設(shè)與限制..............................................................36

7.2客戶責(zé)任................................................................36

7.3服務(wù)資質(zhì)................................................................36

7.4安全評(píng)估人員的職責(zé)......................................................36

附錄A術(shù)語表...................................................................38

附錄B調(diào)杳問卷................................................................40

調(diào)查問卷類別................................................................40

調(diào)查問卷內(nèi)容................................................................40

問題的方式..................................................................41

附錄C交付文檔范例............................................................42

《資產(chǎn)評(píng)估部分》目錄........................................................42

《漏洞評(píng)估部分》目錄........................................................43

《威脅評(píng)估部分》目錄........................................................44

《風(fēng)險(xiǎn)評(píng)估部分》目錄........................................................46

《安全策略建議部分》目錄...................................................47

《安全解決方案部分》目錄...................................................48

附錄D資產(chǎn)分類清單.............................................................50

附錄E資產(chǎn)脆弱性清單...........................................................52

附錄F資產(chǎn)威脅清單.............................................................54

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第1頁(yè)共61頁(yè)

1前言

1.1關(guān)于本文檔

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的主要內(nèi)容之一。

本文檔不覆蓋信息安全管理的全部方面。它介紹了一個(gè)關(guān)于信息安全風(fēng)險(xiǎn)評(píng)

估的一般過程。

在了解這個(gè)過程后，管理人員、信息中心主管、系統(tǒng)管理員以及其他技術(shù)與

運(yùn)行人員能更好地理解安全風(fēng)險(xiǎn)評(píng)估。他們應(yīng)該能夠知道需要準(zhǔn)備什么、在哪些

方面應(yīng)該加以注意、會(huì)得到什么樣的結(jié)果。本文檔的目標(biāo)并不是集中在如何進(jìn)行

風(fēng)險(xiǎn)評(píng)估，它更側(cè)重于提供一個(gè)參考過程來幫助核對(duì)由獨(dú)立的安全評(píng)估單位所提

供服務(wù)的覆蓋面、方法論、交付的文檔。

1.2目標(biāo)讀者

本指南為那些在其信息系統(tǒng)中支持或?qū)嵤╋L(fēng)險(xiǎn)評(píng)估的人員提供關(guān)于風(fēng)險(xiǎn)評(píng)

估基礎(chǔ)，無論他們是否有經(jīng)驗(yàn)，是不是技術(shù)人員。這些人包括：

＞高級(jí)管理人員，業(yè)務(wù)的擁有者，信息安全預(yù)算的決策者。

＞信息部門主管，確保為稅務(wù)系統(tǒng)部署風(fēng)險(xiǎn)管理并為稅務(wù)系統(tǒng)提供安全的

人員。

＞負(fù)責(zé)最終決策是否允許稅務(wù)系統(tǒng)運(yùn)行的人員。

＞信息安全規(guī)劃主管，部署安全規(guī)劃的人員。

A信息系統(tǒng)安全管理員，負(fù)責(zé)信息安全的人員。

＞管理信息系統(tǒng)安全的技術(shù)支持人員（如，網(wǎng)絡(luò)，系統(tǒng)，應(yīng)用以及數(shù)據(jù)庫(kù)

管理員，計(jì)算機(jī)專業(yè)人員，數(shù)據(jù)安全分析人員）V

＞開發(fā)并維護(hù)可能影響系統(tǒng)和數(shù)據(jù)完整性代碼的應(yīng)用程序員。

＞測(cè)試并確保信息系統(tǒng)和數(shù)據(jù)完整性的信息技術(shù)人員。

＞審計(jì)信息系統(tǒng)的信息系統(tǒng)審計(jì)員。

＞在風(fēng)險(xiǎn)管理中支持客戶的安全顧問。

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第2頁(yè)共61頁(yè)

1.3文檔結(jié)構(gòu)

本文檔展示了關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的一個(gè)通用框架。它包括下面的內(nèi)容：

＞風(fēng)險(xiǎn)評(píng)估概述

＞風(fēng)險(xiǎn)評(píng)估內(nèi)容

＞風(fēng)險(xiǎn)評(píng)估過程

＞風(fēng)險(xiǎn)評(píng)估人員組織

＞風(fēng)險(xiǎn)評(píng)估的跟進(jìn)工作

＞資質(zhì)要求與職責(zé)劃分

1.3.1相關(guān)標(biāo)準(zhǔn)

以下列出一些國(guó)際、國(guó)內(nèi)關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)和規(guī)范。如：

國(guó)際標(biāo)準(zhǔn)

AISO17799

＞ISO15408/CC2.1

＞ISO13335

＞SSE-CMM

ARFC2196

國(guó)家標(biāo)準(zhǔn)

GB/T18336-2001

行業(yè)通用標(biāo)準(zhǔn)

BS7799-2

AS/NZS4360

CVE或CN-CVE

1.3.2參考文獻(xiàn)

[11.C.JAlberts,S.G.Behrens,R.D.Pethia,andW.R.Wilson.

Operationallycriticalthreat,asset,andvulnerabilityevaluation(octave)

framework,version1.0.Technicalreport,CarnegieMellonUniversity,

SoftwareEngineeringInstitute,Pittsburgh,PA,June1999.

[2].Australian/NewZealandStandardAS/NZS4360:1999:Risk

Management.Strath_eld:StandardsAustralia.

[3].CORASIST-2000-25031WebSite,hit-:〃www.nr.no/coras.24February

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第3頁(yè)共61頁(yè)

2003.

[4].CommonCriteria.CommonCriteriaforInformationTechnology

SecurityEvaluation,1999./.24February

2003.

[5].ISO/IEC13335:InformationTechnology-Guidelinesforthe

managementofITSecurity,http:〃www.iso.ch.

[6].ISO/IEC17799:2000Informationtechnology-Codeofpractisefor

informationsecuritymanagement.

1.4關(guān)于術(shù)語與縮略語的約定

風(fēng)險(xiǎn)評(píng)估

在本文中，風(fēng)險(xiǎn)評(píng)估特指“信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工

咨產(chǎn)

,在本文中，資產(chǎn)特指“信息系統(tǒng)本身作為固定資產(chǎn)的價(jià)值與它所承載的無形

資產(chǎn)（數(shù)據(jù)、業(yè)務(wù)連續(xù)性等）的價(jià)值”。

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第4頁(yè)共61頁(yè)

2風(fēng)險(xiǎn)評(píng)估概述

在本節(jié)中，介紹了風(fēng)險(xiǎn)評(píng)估的相關(guān)概念、一般過程、相關(guān)工具、成功的關(guān)鍵

因素、收益以及面臨的挑戰(zhàn)。

2.1基本概念

風(fēng)險(xiǎn)

風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的

損害，從而直接地或間接地引起對(duì)稅務(wù)系統(tǒng)的損害。

因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級(jí)以及相關(guān)的弱點(diǎn)直接相關(guān)。

威脅

INFOSEC-99將威脅定義為“能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改

和/或拒絕服務(wù)對(duì)系統(tǒng)造成潛在危害的任何環(huán)境或事件”。

脆弱性

系統(tǒng)資產(chǎn)在相關(guān)環(huán)境中體現(xiàn)出來的，可以被威脅利用從而引發(fā)資產(chǎn)或商業(yè)目

標(biāo)損害的弱點(diǎn)和漏洞。

風(fēng)險(xiǎn)的屬性

風(fēng)險(xiǎn)有兩個(gè)屬性：后果(Consequence)和可能性(Likelihood)o評(píng)價(jià)風(fēng)險(xiǎn)

對(duì)稅務(wù)系統(tǒng)的影響，也就是對(duì)風(fēng)險(xiǎn)的評(píng)估賦值是對(duì)上述兩個(gè)屬性權(quán)衡作用的結(jié)果。

后果(Consequence)是指風(fēng)險(xiǎn)帶來的損失，可以用損失占該資產(chǎn)價(jià)值的百

分比來度量。

可能性(Likelihood)是指風(fēng)險(xiǎn)發(fā)生的概率，以百分比來表示。

風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是對(duì)信息系統(tǒng)進(jìn)行資產(chǎn)分析，并針對(duì)重要的資產(chǎn)進(jìn)行威脅、脆弱性

的可能性調(diào)查，從而估計(jì)對(duì)業(yè)務(wù)產(chǎn)生的影響，提供適當(dāng)?shù)姆椒▉砜刂骑L(fēng)險(xiǎn)。

從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)

值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)

險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。

2.2意義與作用

風(fēng)險(xiǎn)管理是管理者權(quán)衡保護(hù)措施的運(yùn)行和經(jīng)濟(jì)成本與獲得的收益之間關(guān)系

的一個(gè)過程。進(jìn)行風(fēng)險(xiǎn)管理的最終目的就是要將其最小化，這也是在當(dāng)今各行各

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第5頁(yè)共61頁(yè)

業(yè)的信息系統(tǒng)應(yīng)用中需要實(shí)施信息安全措施的根本原因。所有與安全性相關(guān)的活

動(dòng)都是風(fēng)險(xiǎn)管理的組成部分?？梢哉f，風(fēng)險(xiǎn)管理貫穿于系統(tǒng)開發(fā)生命周期(System

DevelopmentLifeCycle,SDLC)的整個(gè)過程，即初始階段、開發(fā)/獲取階段、實(shí)

施階段、運(yùn)行/維護(hù)階段、優(yōu)化配置階段。

風(fēng)險(xiǎn)評(píng)估則是風(fēng)險(xiǎn)管理的基礎(chǔ)，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的

整個(gè)SDLC中有關(guān)風(fēng)險(xiǎn)級(jí)別的過程。這個(gè)過程的結(jié)果是殘留風(fēng)險(xiǎn)以及這個(gè)風(fēng)險(xiǎn)是

否達(dá)到可接受水平的一個(gè)明確界定，或者是一個(gè)是否應(yīng)當(dāng)實(shí)施額外的安全控制以

進(jìn)一步降低風(fēng)險(xiǎn)的結(jié)論。

2.3過程概述

風(fēng)險(xiǎn)評(píng)估的過程分為3個(gè)階段共8個(gè)過程。

＞階段1：提取基于資產(chǎn)的威脅概況

?過程1：確定高級(jí)管理層的認(rèn)識(shí)

?過程2：確定運(yùn)作管理層的認(rèn)識(shí)

?過程3：確定全體職員的認(rèn)識(shí)

?過程4：確定威脅輪廓

＞階段2：確定基礎(chǔ)設(shè)施漏洞

?過程5：找出關(guān)鍵組件

?過程6：評(píng)估關(guān)鍵組件

＞階段3：制訂安全策略和計(jì)劃

?過程7：實(shí)施風(fēng)險(xiǎn)分析

?過程8：制訂保護(hù)策略

2.4TR

2.4.1調(diào)查問卷

調(diào)查問卷(Questionnaire)由一組相關(guān)的封閉式或開放式問題組成，用于在

評(píng)估過程中獲取信息系統(tǒng)在各個(gè)層面的安全狀況，包括安全策略、組織制度、執(zhí)

行情況等。

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第6頁(yè)共61頁(yè)

2.4.2遠(yuǎn)程漏洞掃描工具

遠(yuǎn)程漏洞掃描工具(Scanner)是一個(gè)或一組自動(dòng)化工具，用于遠(yuǎn)程檢測(cè)系

統(tǒng)可能存在的漏洞。

2.4.3人工審計(jì)檢查列表

檢查列表(Checklist)用于人工檢查系統(tǒng)存在的各種安全弱點(diǎn)/脆弱性，它針

對(duì)不同的系統(tǒng)列出待檢查的條目，以保證人工審計(jì)結(jié)果數(shù)據(jù)的完備性。

2.4.4安全風(fēng)險(xiǎn)評(píng)估信息庫(kù)

安全風(fēng)險(xiǎn)評(píng)估信息庫(kù)用于存儲(chǔ)與處理在風(fēng)險(xiǎn)評(píng)估過程中收集到的信息。

2.5成功的關(guān)鍵因素

風(fēng)險(xiǎn)評(píng)估過程總休來說是一個(gè)需要評(píng)估方與被評(píng)估方共同參與，便于被評(píng)估

方更好地風(fēng)險(xiǎn)管理。因此，風(fēng)險(xiǎn)評(píng)估的成功需要雙方的良好協(xié)作。從某種程度上

來說，被評(píng)估方的參與風(fēng)險(xiǎn)評(píng)估過程的態(tài)度決定是否能取得成功。

在風(fēng)險(xiǎn)評(píng)估過程中，需要考慮以下方面：

＞獲得高級(jí)管理的支持和參與

＞確定重點(diǎn)

A定義過程

＞業(yè)務(wù)和技術(shù)專家積極參與

＞責(zé)任到人

＞限定單次評(píng)估的范圍

＞歸檔和維護(hù)

＞合理利用工具

＞考慮收益

2.6收益

＞認(rèn)識(shí)風(fēng)險(xiǎn)

通過風(fēng)險(xiǎn)評(píng)估過程，被評(píng)估方能從資產(chǎn)的角度對(duì)風(fēng)險(xiǎn)有全面、清晰的認(rèn)

識(shí)，通過相應(yīng)的分析與統(tǒng)計(jì)，這些結(jié)果能在某種程度加以量化，從而為風(fēng)險(xiǎn)

管理的后續(xù)過程提供決策支持。

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第7頁(yè)共61頁(yè)

＞減免風(fēng)險(xiǎn)

在風(fēng)險(xiǎn)評(píng)估過程的跟進(jìn)行動(dòng)中，被評(píng)估方有機(jī)會(huì)采取合適的風(fēng)險(xiǎn)控制方

式來減免風(fēng)險(xiǎn)。

＞保障業(yè)務(wù)連續(xù)性

風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的一個(gè)重要過程，風(fēng)險(xiǎn)管理的最終目的之一還在于

保障被評(píng)估方的業(yè)務(wù)連續(xù)性。

2.7面臨的挑戰(zhàn)

可靠地評(píng)估信息安全風(fēng)險(xiǎn)比評(píng)估其他類型的風(fēng)險(xiǎn)要困難得多，因?yàn)樾畔踩?/p>

風(fēng)險(xiǎn)因素相關(guān)的可能性和花費(fèi)的數(shù)據(jù)非常有限，也因?yàn)轱L(fēng)險(xiǎn)因素在不斷地改變。

例如：

1、風(fēng)險(xiǎn)因素方面的數(shù)據(jù)非常有限，如一個(gè)有經(jīng)驗(yàn)的黑客攻擊的可能性，利

用安全漏洞的安全事件引起的破壞、丟失或中斷所造成的損失；

2、有些損失，如失去客戶信任或敏感信息的泄露，本質(zhì)上很難量化；

3、盡管可以了解需要加強(qiáng)控制的硬件和軟件的成本，但常常不可能精確地

估計(jì)相關(guān)的非直接的成本，如執(zhí)行新的控制時(shí)可能會(huì)導(dǎo)致生產(chǎn)力的喪失；

4、即使獲得了精確信息，但信息很快就會(huì)過期，因?yàn)榧夹g(shù)發(fā)展很快，入侵

者可獲得更先進(jìn)的工具。

可靠性和即時(shí)數(shù)據(jù)的缺乏，使我們常常無法精確定義哪一個(gè)信息安全風(fēng)險(xiǎn)是

最重要的，也無法比較哪一個(gè)工具是最有效的。曰于這些限制，機(jī)構(gòu)選擇采用的

方法是否能有效地從風(fēng)險(xiǎn)評(píng)估中受益，顯得非常重要。

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第8頁(yè)共61頁(yè)

3風(fēng)險(xiǎn)評(píng)估內(nèi)容

風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括三個(gè)方面：基于資產(chǎn)的估值與分析、資產(chǎn)本身存在

的脆弱性的識(shí)別與分析、資產(chǎn)受到的威脅識(shí)別以及它的影響與可能性分析。

3.1資產(chǎn)分析

3.1.1資產(chǎn)定義

資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或

任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。

3.1.2資產(chǎn)類別

依據(jù)資產(chǎn)的屬性，主要分為以下幾個(gè)類別：

信息咨產(chǎn)

?息資產(chǎn)主要包括各種設(shè)備以及數(shù)據(jù)庫(kù)系統(tǒng)中存儲(chǔ)的各類信息、設(shè)備和系統(tǒng)

的配置信息、系統(tǒng)中存儲(chǔ)的各類電子文檔以及各種日志等等，信息資產(chǎn)也包括各

種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。

軟件資產(chǎn)

信件資產(chǎn)包括各種專門購(gòu)進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、網(wǎng)管系統(tǒng)、

辦公軟件、防火墻系統(tǒng)軟件等）、隨產(chǎn)品贈(zèng)送的各種配套軟件、以及自行開發(fā)的

各種業(yè)務(wù)軟件等。

物理資產(chǎn)

物理資產(chǎn)主要包括各種主機(jī)設(shè)備（比如各類PC機(jī)、工作站、服務(wù)器等）、

各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號(hào)設(shè)備等）、各種安全設(shè)備（比如防火墻設(shè)

備、入侵檢測(cè)設(shè)備等）、數(shù)據(jù)存儲(chǔ)設(shè)備以及各類基礎(chǔ)物理設(shè)施（比如辦公樓、機(jī)

房以及輔助的溫度控制、濕度控制、防火防盜報(bào)警設(shè)備等）。

人員資產(chǎn)

人員資產(chǎn)是各類資產(chǎn)中很難有效衡量甚至根本無法衡量的一部分，它主要包

括稅務(wù)系統(tǒng)內(nèi)部各類具備不同綜合素質(zhì)的人員，包括各層管理人員、技術(shù)人員以

及其他的保障與維護(hù)人員等。

3.1.3資產(chǎn)評(píng)估

資產(chǎn)評(píng)估是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)評(píng)估通過分析評(píng)估對(duì)象

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第9頁(yè)共61頁(yè)

-資產(chǎn)的各種屬性(包括經(jīng)濟(jì)影響、時(shí)間敏感性、客戶影響、社會(huì)影響和法律

爭(zhēng)端等方面)，進(jìn)而對(duì)資產(chǎn)進(jìn)行確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)告，簡(jiǎn)單的說資產(chǎn)評(píng)估

是一種為資產(chǎn)業(yè)務(wù)提供價(jià)值尺度的行為。

3.1.4資產(chǎn)評(píng)估的目的

資產(chǎn)評(píng)估的目的就是要對(duì)系統(tǒng)的各類資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、

維護(hù)和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使稅務(wù)

系統(tǒng)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性的進(jìn)行資

產(chǎn)保護(hù)，最具策略性地進(jìn)行新的資產(chǎn)投入。

3.1.5資產(chǎn)的重要性

按照What-If模型，資產(chǎn)的重要性可以分為經(jīng)濟(jì)影響、時(shí)間敏感性、客戶影

響、社會(huì)影響和法律影響。

經(jīng)濟(jì)影響時(shí)間敏感性對(duì)客戶影響社會(huì)影響法律影響

級(jí)別(F)(T)(C)(S)(L)

定義導(dǎo)致直接經(jīng)可接受的中不滿意的客會(huì)引起如下將涉及不同程度的

濟(jì)損失(￥)斷時(shí)間戶數(shù)量鞏構(gòu)的注意法律問題

被迫面對(duì)復(fù)雜的法律

訴訟，案情由級(jí)別相

10,000,000以國(guó)家或國(guó)際

51小時(shí)以下50,000以上當(dāng)高的法院審理，控

上的媒體、機(jī)構(gòu)

方提出的賠付數(shù)額巨

大

1,000,001-10,001-省、市級(jí)媒提交更高級(jí)別法院立

41-24小時(shí)

10,000,00050,000體、機(jī)構(gòu)案，訴訟過程漫長(zhǎng)

100,001-1,001-

31-3天公司正式提交法院立案

1,000,00010,000

50.001-會(huì)有人就法律問題提

23-10天101-1,000公司部門

100,000出交涉

幾人或工作

150,000以下10天以上100以下幾乎沒有法律問題

組

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第1。頁(yè)共61頁(yè)

3.1.6資產(chǎn)級(jí)別

依據(jù)資產(chǎn)的潛在價(jià)值以及資產(chǎn)對(duì)時(shí)間的敏感性、對(duì)客戶的影響、資產(chǎn)的社會(huì)

影響和可能造成的法律爭(zhēng)端等各個(gè)方面，資產(chǎn)按重要性可分為五類：

超核心資產(chǎn)

超核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一般在100()萬元以上；超核心

資產(chǎn)的時(shí)間敏感性是非常強(qiáng)的，一般來說，在其運(yùn)行過程中可接受的中斷時(shí)間是

在一個(gè)小時(shí)以內(nèi)的，有的甚至只能是兒秒鐘；超核心資產(chǎn)癱瘓對(duì)客戶和社會(huì)造成

的影響都是十分巨大的，可能會(huì)導(dǎo)致5萬以上的客戶不滿意，并引起國(guó)家甚至國(guó)

際媒體的廣泛關(guān)注，而且超核心資產(chǎn)癱瘓將會(huì)使得稅務(wù)系統(tǒng)被迫面對(duì)復(fù)雜的法律

訴訟，并且案情將由級(jí)別相當(dāng)高的法院審理，控方提出的賠付數(shù)額異常巨大。

核心資產(chǎn)

核心資產(chǎn)的癱瘓或損壞造成直接經(jīng)濟(jì)損失一股在100萬元至1000萬元之間；

核心資產(chǎn)的時(shí)間敏感性同樣是非常強(qiáng)的，一般其運(yùn)行過程中可接受的中斷時(shí)間在

1-24小時(shí)之內(nèi)：核心資產(chǎn)癱瘓對(duì)客戶和社會(huì)造成的影響很巨大，可能會(huì)導(dǎo)致數(shù)

萬客戶的不滿意，并引起省市級(jí)媒體和機(jī)構(gòu)的關(guān)注，而且核心資產(chǎn)癱瘓引起的法

律爭(zhēng)端可能提交很高級(jí)別的法院立案，訴訟過程可能很漫長(zhǎng)。

高級(jí)資產(chǎn)

高級(jí)資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般在10萬元至100萬元之間；

高級(jí)資產(chǎn)的時(shí)間敏感性很強(qiáng)，可接受的中斷時(shí)間大概在1?3天之間；高級(jí)資產(chǎn)的

癱瘓可能導(dǎo)致數(shù)千客戶的不滿意，其造成的社會(huì)影響主要集中在稅務(wù)系統(tǒng)的內(nèi)部,

但是高級(jí)資產(chǎn)的癱瘓弓起的法律爭(zhēng)端同樣會(huì)正式提交法院立案審理。

中級(jí)資產(chǎn)

市級(jí)資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般在5-1()萬元之間，其時(shí)間

敏感性一般，可接受的中斷時(shí)間一般在3-10天左右；中級(jí)資產(chǎn)的癱瘓可能造成

數(shù)百客戶的不滿意，造成的社會(huì)影響主要集中在稅務(wù)系統(tǒng)的某個(gè)部門內(nèi)部，但是

中級(jí)資產(chǎn)的癱瘓有一定的可能會(huì)引出法律爭(zhēng)端。

一般資產(chǎn)

一般資產(chǎn)的癱瘓或損壞造成的直接經(jīng)濟(jì)損失一般少于5萬元，其時(shí)間敏感性

很弱，可接受的中斷時(shí)間在10天以上.；一般資產(chǎn)的癱瘓最多可能導(dǎo)致數(shù)十客戶

的不滿意，而其造成的社會(huì)影響更是微乎其微，幾乎只是在幾個(gè)人或工作組內(nèi)部,

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第11頁(yè)共61頁(yè)

而且?guī)缀醪粫?huì)引起任何的法律爭(zhēng)端。

3.1.7評(píng)估實(shí)例

一臺(tái)Cisco7513路由器，是某省省網(wǎng)出口核心，IP地址為192.168.X.X,OS

版本為11.1（22）CC,購(gòu)入單價(jià)1,100,810元。力于是全省電信IP網(wǎng)的核心路

由，不允許發(fā)生中斷（中斷時(shí)間限制在秒級(jí)），一旦發(fā)生故障將造成約10,000,000

元的經(jīng)濟(jì)損失，導(dǎo)致全省用戶無法訪問（用戶數(shù)〉5萬），并導(dǎo)致國(guó)家及國(guó)際上的

不良影響，并可能遭受客戶的控訴，帶來巨額賠償。

資產(chǎn)屬性等級(jí)

經(jīng)濟(jì)影響F5(>10,000,000元)

時(shí)間敏感性T5（＜1小時(shí)）

客戶影響C5(>5萬)

社會(huì)影響S5（引起國(guó)家及國(guó)際影響）

法律影響L5（導(dǎo)致對(duì)客戶損失的巨額賠償）

資產(chǎn)等級(jí)V=log2（QF+2T+2。+2s+2?5）=5

3.2漏洞/脆弱性/弱點(diǎn)評(píng)估

3.2.1弱點(diǎn)評(píng)估的目的

弱點(diǎn)評(píng)估的目的是給出有可能被潛在威脅源利用的系統(tǒng)缺陷或弱點(diǎn)列表。所

謂威脅源是指能夠通過系統(tǒng)缺陷或弱點(diǎn)對(duì)系統(tǒng)安全策略造成危害的主體。

弱點(diǎn)評(píng)估的信息通常通過控制臺(tái)評(píng)估、咨詢系統(tǒng)管理員、網(wǎng)絡(luò)脆弱性掃描等

手段收集和獲取。

3.2.2弱點(diǎn)評(píng)估的內(nèi)容

技術(shù)漏洞的評(píng)估

技術(shù)漏洞主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷。

技術(shù)漏洞的標(biāo)號(hào)以CVE漏洞列表的編號(hào)為標(biāo)準(zhǔn)；如果存在某些CVE沒有標(biāo)

號(hào)的漏洞，則以國(guó)際通用的BUGTRAQID號(hào)為標(biāo)號(hào)；如果以上兩種編號(hào)都無法

滿足標(biāo)號(hào)要求，則以本次統(tǒng)一的ISS漏洞入庫(kù)編號(hào)中關(guān)于無法準(zhǔn)確定義的漏洞編

號(hào)為準(zhǔn)。

非技術(shù)漏洞的評(píng)估

非技術(shù)性漏洞主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第12頁(yè)共61頁(yè)

控制、組織安全、運(yùn)行安全、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性等方面

存在的不足或者缺陷。

3.2.3弱點(diǎn)評(píng)估手段

弱點(diǎn)評(píng)估可以采取多種手段，下面建議了常用的四種。即：

＞網(wǎng)絡(luò)掃描

＞主機(jī)審計(jì)

＞網(wǎng)絡(luò)審計(jì)

＞滲透測(cè)試

其中，需要注意滲透測(cè)試的風(fēng)險(xiǎn)較其它幾種手段要大得多，在實(shí)際評(píng)估中需

要斟酌使用。

表1網(wǎng)絡(luò)掃描

項(xiàng)目名稱漏洞掃描評(píng)估

簡(jiǎn)要描述利用掃描工具檢查整個(gè)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)的漏洞情況

達(dá)成目標(biāo)發(fā)掘網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，提出漏洞修補(bǔ)建議

主要內(nèi)容采用多種漏洞掃描系統(tǒng)軟件

實(shí)現(xiàn)方式大規(guī)模的漏洞掃描

工作條件4-6人工作環(huán)境，2臺(tái)Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合

工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評(píng)估結(jié)果報(bào)告，

所需時(shí)間80臺(tái)/工作日

參加人員評(píng)估小組、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫(kù)管理人員

表2主機(jī)審計(jì)

項(xiàng)目名稱主機(jī)審計(jì)

簡(jiǎn)要描述作為網(wǎng)絡(luò)掃描的輔助手段，登陸系統(tǒng)控制臺(tái)檢查系統(tǒng)的安全配置情況

達(dá)成目標(biāo)檢測(cè)系統(tǒng)的安全配置情況，發(fā)掘配置隱患

操作系統(tǒng)控制臺(tái)審計(jì)

主要內(nèi)容

數(shù)據(jù)庫(kù)系統(tǒng)控制臺(tái)審計(jì)

實(shí)現(xiàn)方式手工登錄操作

工作條件4-6人工作環(huán)境，2臺(tái)Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合

工作結(jié)果網(wǎng)絡(luò)內(nèi)部網(wǎng)抽樣主機(jī)審計(jì)報(bào)告

所需時(shí)間10臺(tái)/工作日

參加人員評(píng)估小組、系統(tǒng)管理人員、數(shù)據(jù)庫(kù)管理人員

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第13頁(yè)共61頁(yè)

表3網(wǎng)絡(luò)審計(jì)

項(xiàng)目名稱網(wǎng)絡(luò)安全審計(jì)

IDS作為一個(gè)實(shí)時(shí)入侵檢測(cè)工具，是安全威脅信息收集過程中的一種重要手段，

簡(jiǎn)要描述

其數(shù)據(jù)是網(wǎng)絡(luò)的整體安全的重要的參考依據(jù)之一

達(dá)成目標(biāo)檢測(cè)網(wǎng)絡(luò)的安全運(yùn)行情況，發(fā)掘配置隱患

入侵檢測(cè)系統(tǒng)在關(guān)鍵點(diǎn)部署

主要內(nèi)容入侵檢測(cè)系統(tǒng)試運(yùn)行

入侵檢測(cè)系統(tǒng)報(bào)告匯兌及分析

實(shí)現(xiàn)方式在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署IDS,集中監(jiān)控

每個(gè)部署點(diǎn)2-3人工作環(huán)境，I臺(tái)Win2(X)0PC作為IDS控制臺(tái)，電源和網(wǎng)絡(luò)環(huán)

工作條件

境，客戶人員和資料配合

工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目IDS分析報(bào)告

所需時(shí)間5工作日

參加人員評(píng)估小組、網(wǎng)絡(luò)管理人員

表4滲透測(cè)試

項(xiàng)目名稱滲透測(cè)試

簡(jiǎn)要描述利用人工模擬黑客攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)的漏洞

達(dá)成目標(biāo)檢測(cè)系統(tǒng)的安全配置情況，發(fā)掘配置隱患

后門利用測(cè)試

主要內(nèi)容DDos強(qiáng)度測(cè)試

強(qiáng)口令攻擊測(cè)試

實(shí)現(xiàn)方式全手工實(shí)現(xiàn)

工作條件2-3人工作環(huán)境，電源和網(wǎng)絡(luò)環(huán)境

工作結(jié)果網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目白客報(bào)告

所需時(shí)間3工作日

參加人員評(píng)估小組

3.3威脅評(píng)估

3.3.1威脅定義

威脅是引起不期望事件從而對(duì)資產(chǎn)造成損害的潛在可能性。威脅可能源于對(duì)

稅務(wù)系統(tǒng)信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、

完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第14頁(yè)共61頁(yè)

來說，威脅總是要利用稅務(wù)系統(tǒng)網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地

對(duì)資產(chǎn)造成傷害。

從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人

為錯(cuò)誤、以及設(shè)施/設(shè)備錯(cuò)誤等。

3.3.2威脅分類

對(duì)安全威脅進(jìn)行分類的方式有多種多樣，最常見的分類方法主要有根據(jù)安全

威脅的性質(zhì)進(jìn)行劃分以及根據(jù)安全威脅產(chǎn)生的來源和原因進(jìn)行劃分。參照國(guó)際通

行做法和專家經(jīng)驗(yàn)，木項(xiàng)R中將采用上述兩種方法進(jìn)行安全威脅分析。

根據(jù)威脅的性質(zhì)劃分

參照ISO-15408/GB/T-18336中的定義對(duì)安全威脅的性質(zhì)和類型進(jìn)行劃分,

可以分為以下幾個(gè)方面：

表5威脅分類（按性質(zhì)）

威脅分類威脅描述J

Backdoor各種后門和遠(yuǎn)程控制軟件，例如BO、Netbus等

BruteForce通過各種途徑對(duì)密碼進(jìn)行暴力破解

Daemons服務(wù)器中各種監(jiān)守程序產(chǎn)生弱點(diǎn)，例如amd,nntp等

各種防火墻及其代理產(chǎn)生的安全弱點(diǎn)，例如GauntletFirewall

Firewalls

CyberPatrol內(nèi)容檢查弱點(diǎn)

Information各種由于協(xié)議或配置不當(dāng)造成信息泄露弱點(diǎn)，例如finger或rstat的

Gathering輸出

NTRelated微軟公司NT操作系統(tǒng)相關(guān)安全弱點(diǎn)

ProtocolSpoofing協(xié)議中存在的安全弱點(diǎn)，例如TCP序列號(hào)猜測(cè)弱點(diǎn)

Management與管理相關(guān)的安全弱點(diǎn)

根據(jù)威脅產(chǎn)生的來源和原因劃分

參照BS-7799/ISO-17799中的定義對(duì)安全威脅的產(chǎn)生來源和原因進(jìn)行劃分,

可以分為以下幾個(gè)方面：

表6威脅分類（按產(chǎn)生來源和原因）

ID威脅來源威脅描述J

1非授權(quán)故意行為人的有預(yù)謀的非授權(quán)行為

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁(yè)碼：第15頁(yè)共61頁(yè)

ID|威脅來源威脅描述1

2人為錯(cuò)誤人為的錯(cuò)誤

3軟件、設(shè)備、線路故障軟件、設(shè)備、線路造成的故障

4不可抗力不可抗力

3.3.3威脅屬性

威脅具有兩個(gè)屬性：可能性（Likelihood）、影響（Impact）o

進(jìn)一步，可能性和影響可以被賦予一個(gè)數(shù)值，來表示該屬性。參照下表。

表7可能性屬性賦1直參考表

簡(jiǎn)稱說明

4VH不可避免（＞90%）

3H非常有可能（70%~90%）

2M可能（20%~70%）

1L可能性很?。ǎ?0%）

0N不可能（~0%）

表8影響賦值參考表

簡(jiǎn)稱說明

4VH資產(chǎn)全部損失，或資產(chǎn)已不可用（＞75%）

3H資產(chǎn)遭受重大損失（50%~75%）

2M資產(chǎn)遭受明顯損失（25%?50%）

1L損失可忍受（＜25%）

0N損失可忽略（~0%）

可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點(diǎn)