1、1. 總體概述1.1 項目概述為了更好的了解信息安全狀況，根據(jù)信息安全風險評估指南和GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范要求，總體評估公司信息化建設風險。2.風險評估方案2.1風險評估現(xiàn)場實施流程風險評估的實施流程見下圖所示2.2 風險評估使用工具測評過程中所使用的工具見下表所示：序號名 稱功 能 描 述版 本用途1數(shù)據(jù)庫安全掃描系統(tǒng)可掃描Qracle、Sql Server、SybaseATX數(shù)據(jù)庫漏洞掃描2ISS網絡掃描器可掃描各類操作系統(tǒng)和應用系統(tǒng)7.0sp2網絡、主機漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應用系統(tǒng)6.0網絡、主機漏洞掃描4極光遠程安

2、全評估系統(tǒng)可掃描各類操作系統(tǒng)和應用系統(tǒng)AURORA-200網絡、主機漏洞掃描5網絡綜合協(xié)議分析儀OptiView網絡透視與協(xié)議分析，網絡性能測評INA網絡流量監(jiān)控6網絡系統(tǒng)管理,HP OpenView自動發(fā)現(xiàn)網絡拓撲圖、網絡性能與故障管理NNM6.0繪制網絡拓撲圖2.3 風險評估方法2.3.1資產識別2.3.1.1資產分類首先需要將信息系統(tǒng)及相關的資產進行恰當?shù)姆诸?，以此為基礎進行下一步的風險評估。根據(jù)資產的表現(xiàn)形式，可將資產分為數(shù)據(jù)、軟件、硬件、文檔、服務、人員等類型。一種基于表現(xiàn)形式的資產分類方法分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計

3、劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網絡設備：路由器、網關、交換機等計算機設備：大型機、小型機、服務器、工作站、臺式計算機、移動計算機等存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設備：動力保障設備（UPS、變電設備等）、空調、保險柜、文件柜、門禁、消防設施等安全保障設備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他：打印機、復印機、掃描儀、傳真機等服務辦公服務：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），包括各種內部配置管理、

4、文件流轉管理等服務網絡服務：各種網絡設備、設施提供的網絡連接服務信息服務：對外依賴該系統(tǒng)開展的各類服務文檔紙質的各種文件，如傳真、電報、財務報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務的人員，如主機維護主管、網絡維護主管及應用項目經理等其它企業(yè)形象，客戶關系等2.3.1.2資產賦值2.3.1.2.1保密性賦值根據(jù)資產在保密性上的不同要求，將其分為五個不同的等級，分別對應資產在機密性上應達成的不同程度或者機密性缺失時對整個組織的影響。資產機密性賦值表賦值標識定義5很高包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害 4高包含組織的重要秘密，其

5、泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等2.3.1.2.2完整性賦值根據(jù)資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上缺失時對整個組織的影響。資產完整性賦值表賦值標識定義5很高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補。4高完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業(yè)務沖擊

6、嚴重，較難彌補。3中等完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補。2低完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，對業(yè)務沖擊輕微，容易彌補。1很低完整性價值非常低，未經授權的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略。2.3.1.2.3可用性賦值根據(jù)資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上應達成的不同程度。資產可用性賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%

7、以上，或系統(tǒng)允許中斷時間小于10分鐘。3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30分鐘。2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于60分鐘。1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%。2.3.1.2.4資產重要性等級資產價值應依據(jù)資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。根據(jù)最終賦值將資產劃分為五級，級別越高表示資產越重要，確定重要資產的范圍，并主要圍繞重要資產進行下一步的風險評估。資產等級及含義描述等級

8、標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失。4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對組織造成較低的損失。1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計。2.3.2威脅識別2.3.2.1威脅分類對威脅進行分類的方式有多種，針對上表的威脅來源，可以根據(jù)其表現(xiàn)形式將威脅分為以下幾類。一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障由于設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對業(yè)務實施、系統(tǒng)穩(wěn)定運行的影響。設備硬件故障、傳輸設備故

9、障、存儲媒體故障、系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題或自然災害。無作為或操作失誤由于應該執(zhí)行而沒有執(zhí)行相應的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護錯誤、操作失誤管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼。惡意代碼、木馬后門、網絡病毒、間諜軟件、竊聽軟件越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源，或者濫用自己的職權，做出

10、破壞信息系統(tǒng)的行為。未授權訪問網絡資源、未授權訪問系統(tǒng)資源、濫用權限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權限泄露秘密信息網絡攻擊利用工具和技術，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務等手段，對信息系統(tǒng)進行攻擊和入侵。網絡探測和信息采集、漏洞探測、嗅探（賬戶、口令、權限等）、用戶身份偽造和欺騙、用戶或業(yè)務數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應了解的他人。內部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網絡配置信息、篡改系統(tǒng)配置信息、篡改安全配置信

11、息、篡改用戶身份信息或業(yè)務數(shù)據(jù)信息抵賴不承認收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴2.3.2.2威脅賦值判斷威脅出現(xiàn)的頻率是威脅賦值的重要內容，根據(jù)有關的統(tǒng)計數(shù)據(jù)來進行判斷。對威脅出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。威脅賦值表等級標識定義5很高出現(xiàn)的頻率很高（或1 次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經常發(fā)生過。4高出現(xiàn)的頻率較高（或 1 次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或 1 次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經發(fā)生過。2低出現(xiàn)的

12、頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。2.3.3脆弱性識別2.3.3.1脆弱性識別內容脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產為核心，針對每一項需要保護的資產,識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；從物理、網絡、系統(tǒng)、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別內容表類型識別對象識別內容技術脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護

13、、機房區(qū)域防護、機房設備管理等方面進行識別。網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別。系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務）從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網絡安全、系統(tǒng)管理等方面進行識別。數(shù)據(jù)庫軟件從補丁安裝、鑒別機制、口令機制、訪問控制、網絡和服務設置、備份恢復機制、審計機制等方面進行識別。應用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別。應用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱性技術管理從

14、物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別。組織管理從安全策略、組織安全、資產分類與控制、人員安全、符合性等方面進行識別。2.3.3.2脆弱性賦值可以根據(jù)對資產的損害程度、技術實現(xiàn)的難易程度、弱點的流行程度，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。脆弱性嚴重程度賦值表等級標識定義5很高如果被威脅利用，將對資產造成完全損害。4高如果被威脅利用，將對資產造成重大損害。3中如果被威脅利用，將對資產造成一般損害 。2低如果被威脅利用，將對資產造

15、成較小損害。1很低如果被威脅利用，將對資產造成的損害可以忽略。 2.3.4已有安全措施確認在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。對確認為不適當?shù)陌踩胧藢嵤欠駪蝗∠驅ζ溥M行修正，或用更合適的安全措施替代。2.3.5風險分析為實現(xiàn)對風險的控制與管理，可以對風險評估的結果進行等級化處理?？梢詫L險劃分為五級，等級越高，風險越高。根據(jù)所采用的風險計算方法，計算每種資產面臨的風險值，根據(jù)風險值的分布狀況，為每個等級設定風險值范圍，并對所有風險計算結果進行等級處理