信息安全风险评估

***软件有限公司

信息安全风险评估指南

变更记录

信息安全风险评估指南

1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了

无锡新世纪信息科技有限公司的大力支持。

1.1政策法规：

?《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）

1.2国际标准：

?ISO/IEC 17799：2005《信息安全管理实施指南》

?ISO/IEC 27001：2005《信息安全管理体系要求》

?ISO/IEC TR 13335《信息技术安全管理指南》

1.3国内标准：

?《信息安全风险评估指南》（国信办综[2006]9号）

?《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月）

?GB 17859—1999《计算机信息系统安全保护等级划分准则》

?GB/T 18336 1-3：2001《信息技术安全性评估准则》

?GB/T 5271.8--2001 《信息技术词汇第8部分：安全》

?GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和模型》

?GB/T 19716—2005 《信息安全管理实用规则》

1.4其它

?《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）

2、风险评估

2.1、风险评估要素关系模型

风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系：

风险评估要素关系模型

图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。

2.2风险计算模型

风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示：

风险计算模型示意图

风险计算模型中包含：资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等；脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。

2.3风险计算的过程如下：

对资产进行识别，并对资产的价值进行赋值；

对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；

根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；

根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

3风险评估实施过程

根据风险评估要素关系模型，进行风险评估需要分析评价各要素，按照各要素关系，风险评估的过程主要包括：风险评估的准备，即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节，风险评估实施过程可用下图表示：

风险评估实施流程（见下页）

以下对风险评估过程中包括的具体步骤进行详细描述：

3.1风险评估的准备

风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

风险评估流程框图

3.2资产价值

3.2.1资产分类

在一般的风险评估体中，资产大多属于不同的信息系统，如OA系统，网管系统，业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型，表3.2为一个资产分类示例。

表3.2资产种类

资产识别方式及阶段成果：在资产识别过程中，本公司信息安全管理委员会可以通过问卷调查、人员问询的方式识别每一项资产，在本阶段结束后本公司信息安全管理委员会将向信息系统所有者提供《资产识别清单》，清单中应明确各资产的负责人/部门，并由信息系统所有者进行书面确认。

3.2.2资产赋值

本指南所指资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，本公司信息安全管理委员会应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。

资产估价的过程也就是对资产机密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失机密性、完整性和可用性，最终还会导致财产损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：

违反了有关法律或（和）规章制度

影响了业务执行

造成了信誉、声誉损失

侵犯了个人隐私

造成了人身伤害

对法律实施造成了负面影响

侵犯了商业机密

违反了社会公共准则

造成了经济损失

破坏了业务活动

危害了公共安全

资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。风险评估小组应当通过考察三种不同安全属性，能够基本反映资产的价值。

机密性赋值

根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。

表3.3资产机密性赋值

完整性赋值

根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。

表3.4资产完整性赋值

资产可用性赋值

根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估系统的影响。

表3.5资产可用性赋值

3.2.3资产重要性等级

最终资产价值可以通过违反资产的机密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。

由于资产最终价值的等级评估是依据资产机密性、完整性、可用性的赋值级别经过综合评定得出的，本标准的评定准则选择“最高的属性级别”为综合资产赋值准则的方法。

当然，风险评估小组也可以根据被评估系统的实际情况自定义资产的等级，但该评定方法必须在事先得到信息系统所有者认可。

表3.6 资产重要性等级划分表

阶段成果：风险评估小组确定在信息安全方面对组织业务发展（考虑相关方要求）起到关键作用的资产，根据本规则，对资产的机密性、完整性、可用性进行赋值与计算，并根据资产赋值结果得出《重要资产清单》，该清单一般应包括重要资产名称、描述、类型、重要程度、责任人/部门，应根据预先制定的规则，对资产的机密性、完整性、可用性进行赋值与计算。

在本阶段结束时应由本公司信息安全管理委员会向信息系统所有者提供《重要资产清单》，并由信息系统所有者进行书面确认，然后主要围绕重要资产展开以下实施步骤。

资产识别阶段小结如表3.7所示：

表3.7资产识别阶段小结

3.3威胁识别

安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。

产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为恶意和非恶意两种。环境因素包括自然界的不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。也可能是偶发的、或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。

在威胁识别过程中，本公司信息安全管理委员会通过问卷调查、人员问询的方式对信息系统所有者需要保护的每一项关键资产进行威胁识别，并根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断威胁的程度。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。

3.3.1威胁分类

分析存在哪些威胁种类，首先要考虑威胁的来源，信息系统的安全威胁来源可参考如下表。

表3.8威胁来源列表

对安全威胁进行分类的方式有多种多样，针对上表威胁来源，可以将威胁分为以下种类。

表3.9：威胁种类列表

3.3.2威胁赋值

评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者采用经验法判断法，参考有关的统计数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受以下因素影响： 资产的吸引力；

资产转化成报酬的难易程度；

威胁的技术力量；

脆弱性被利用的难易程度。

操作过程中，威胁的可能性赋值，除了考虑上面几个因素，还需要参考下面三方面的资料和信息来源，如这些资料或者信息能够提供具体数值的，则这些数值就是在特定评估环境中各种威胁发生的可能性。

通过过去的安全事件报告或记录，统计各种发生过的威胁和其发生频率；

在评估体实际环境中，通过IDS（Intrusion Detection Systems，入侵检测系统）获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；

过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。

威胁的评估就是针对重要信息资产，比对威胁来源列表和种类列表后得到的威胁列表，依据经验对列表中的威胁发生可能性进行的评估。最终威胁的赋值依照威胁赋值表采用定性的相对等级的方式。威胁的等级划分为五级，从1到5分别代表五个级别的威胁发生可能性。等级数值越大，威胁发生的可能性越大。

当然，评估者也可以根据被评估系统的实际情况自定义威胁的等级，但该评定方法必须在事先得到信息系统所有者认可。

表3.10：威胁赋值表

阶段成果：在本阶段结束后本公司信息安全管理委员会应根据组织的重要信息资产、环境等因素，形成威胁的分类方法及具体的威胁列表，并向信息系统所有者提供《威胁列表》，为风险评估提供支持（可附在风险评估程序中，也可单独形成文件）。《威胁列表》通常包括威胁名称、种类、来源、动机及出现的频率等，须由信息系统所有者书面确认。

威胁识别阶段小结如表3.11所示：

表3.11威胁识别阶段小结

3.4脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，是风险评估中重要的内容。弱点是资产本身固有的缺陷，任何一种资产均具有脆弱性，并非“不合格”品，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

值得注意的是，弱点虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生，单纯的弱点并不会对资产造成损害。那些没有安全威胁的弱点可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。

脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋相应等级值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。

3.4.1脆弱性识别内容

脆弱性的识别可以以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产

的脆弱性；也可以分物理、网络、系统、应用等层次进行识别，然后与资产、威胁结合起来。

脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。表3.12列出了脆弱性的分类。

表3.12 脆弱性分类

脆弱性的分类具体描述如下：

物理安全

信息系统的物理安全是指包括计算机、网络在内的所有与信息系统安全相关的环境、设备、存储介质的安全。物理安全的评估内容包括：

物理环境安全

包括机房物理位置的选择、防火、防水和防潮、防静电、防雷击、电磁防护、温湿度控制、电力供应、物理访问控制等。

设备安全

包括设备采购、安装、访问、废弃等方面的安全。

存储介质安全

包括介质管理、使用、销毁等方面的安全。

网络安全

网络安全是指包括路由器、交换机、通信线路在内的，及由其组成信息系统网络环境的安全。网络安全的评估内容包括：

网络边界安全；

网络系统安全设计；

网络设备安全功能及使用；

网络访问控制；

网络安全检测分析；

网络连接；

网络可用性。

系统环境中主机安全

主机安全主要是指基于主机操作系统、数据库系统以及应用平台层面的安全，对主机安全的评估内容包括：

账号安全；

文件系统安全；

网络（系统）服务安全；

系统访问控制；

日志及监控审计；

拒绝服务保护；

补丁管理；

病毒及恶意代码防护；

系统备份与恢复；

数据库账号安全；

数据库访问控制；

数据库存储过程安全;

数据库备份与恢复；

数据库系统日志审计。

应用安全

应用安全主要是指应用系统设计、开发安全。对应用安全的评估内容包括：

应用系统架构与设计安全

身份鉴别；

访问控制；

交易的安全性；

数据的安全性；

密码支持；

异常处理；

备份与故障恢复；

安全审计；

资源利用；

安全管理。

应用系统实现安全

账户安全；

输入合法性检测；

口令猜测；

应用层拒绝服务（DOS）。

B/S应用实现安全

网站探测；

已知漏洞攻击；

参数操控；

跨站脚本；

指令注入；

HTTP方法利用。

管理安全

管理安全主要包括组织架构、安全策略、安全运行制度等方面，其评估的内容包括：

组织和人员安全；

安全评估；

第三方组织与外包安全；

信息资产分类、分级；

日常操作与维护管理；

变更；

备份与故障恢复；

应急处理；

业务持续性管理；

认证/认可。

3.4.2脆弱性识别方法

脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。

脆弱性识别在技术方面主要是通过远程和本地两种方式进行系统测试、对网络设备和主机等进行人工检查，以保证技术脆弱性评估的全面性和有效性。通常情况下包括现场手工检查与审核、设备工具测试、渗透测试等活动，这些活动都是为了发现资产的弱点。为了不影响业务的开展，减少评估带来的风险，本标准规定：本公司信息安全管理委员会必须事先书面说明自动工具扫描或渗透测试的风险和不可恢复性，除非得到信息系统所有者的书面认可，不得进行自动工具扫描或渗透测试。

此外，脆弱性识别进行安全检查与测试时会涉及被检测对象的核心秘密，如：系统配置、安全漏洞等，具有一定的风险，在实施这些检测活动前需要获得相关部门的授权，明确检测时间、检测对象、

本公司信息安全管理委员会与信息系统所有者双方的权利、责任与义务，并签字认可。

安全检查与测试的方法主要如下：

手工安全检测

参照重要资产清单，使用检查表（Checklist）逐一手工检查测试服务或系统类资产的管理或技术弱点，包括：网络设备（路由器/交换机等）安全检测、操作系统/服务安全检测、数据库管理系统安全检测、应用系统安全检测、安全设备（防火墙等）安全检测等。需要注意的是，由于业务信息、软件、硬件资产本身存在弱点无法改变，因此对这三类资产只针对资产所处环境进行弱点检测，如：对硬件设备物理环境弱点检测，对软件处应用平台、传输网络环境进行弱点检测等。

为了保证手工安全检测的顺利完成，本公司信息安全管理委员会事前需要制定详细的实施计划，在检测完成后要形成安全检测报告。

设备工具测试

参照重要资产清单，使用设备及测试工具逐一比对资产的配置或技术弱点，包括网络安全测试、系统安全测试、数据库安全测试、应用安全测试等。由于仪器设备在测试过程中具有一定的攻击性，因此需要审慎实施测试活动，包括严格规定测试的时间/范围/内容等，并作好应急准备，使测试活动对业务的影响降到最低。

为了保证设备工具测试的顺利完成，本公司信息安全管理委员会事前需要制定详细的测试计划和突发安全事件的应急处理计划，并得到信息系统所有者的许可。在测试完成后要汇总测试报告。

渗透测试

渗透测试是模拟黑客行为对目标对象进行入侵，目的是发现目标对象的管理与技术弱点以及这些弱点被成功利用的可能。渗透测试对测试人员的技术能力要求较高，相比设备工具测试，渗透测试则具有较强的攻击性，因此信息系统所有者可以根据自己的技术实力，以及其它实际情况决定是否实施渗透测试，如果实施，需要严格控制测试的时间/范围等，并作好应急准备。

在信息系统安全运行的前提下，本公司信息安全管理委员会事前需要制定详细的渗透测试计划和突发安全事件的应急处理计划，在得到信息系统所有者许可的同时，由信息系统所有者技术负责人现场监督下实施开展。在渗透测试完成后由本公司信息安全管理委员会形成渗透测试报告。

3.4.3脆弱性赋值

脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁可能利用的脆弱性，并对脆弱性的严重程度进行评估，换句话说，就是对脆弱性被威胁利用的可能性进行评估。最终脆弱性的赋值采用经验判断法，依据脆弱性的种类列表综合判断一旦遭受威胁列表中的威胁，定性出相对等级的方式。脆弱性的等级划分为五级，从1到5分别代表五个级别的某种资产脆弱程度。等级越大，脆弱程度越高。

同样，评估者也可以根据被评估系统的实际情况自定义脆弱性的等级。但该评定方法必须在事先得到信息系统所有者认可。

资产的脆弱性与组织对其所采取的安全控制有关，因此判定威胁发生的可能性时应特别关注已有的安全控制对资产脆弱性的影响。

阶段成果：在本阶段结束后本公司信息安全管理委员会应针对不同分类的评估对象自身的弱点，形成脆弱性列表，并向信息系统所有者提供（列表可附在风险评估程序中，也可单独形成文件），为风险评估提供支持。《脆弱性列表》一般包括具体弱点的名称、描述、类型及严重程度等，须由信息系统所有者书面确认。

脆弱性识别阶段小结如表3.14所示:

表3.14 脆弱性识别阶段小结

3.5已有安全措施的确认

风险评估小组在识别资产脆弱性的同时，还应当详细分析针对该资产的已有或已规划的安全措施，并评价这些安全措施针的有效性。该部分不但要对技术措施进行分析，而且对系统现有管理制度的分析也要予以充分重视。

在风险评估中应对系统已采取的技术安全控制措施进行识别，并对控制措施有效性进行核查。核查包括对防火墙、IDS、交换机等网络设备的安全配置检查；操作系统、数据库安全功能检查；应用软件安全功能验证等；将有效的安全控制措施继续保持，并进行优化，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应取消，或者用更合适的控制代替。

现行安全管理制度分析分为两个部分：一个是对安全产品统一管理分析，避免安全盲区的产生；另一个是对安全管理制度规范和安全意识的分析。希望通过现行管理制度分析，把分散的技术因素、人的因素，通过政策规则、运作流程协调整合成为一体。

风险评估小组应对已采取的控制措施进行识别并对控制措施的有效性进行确认，将有效的安全控制措施继续保持，以避免不必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应核查是否应被取消，或者用更合适的控制代替。

表3.15 安全措施分类

阶段成果：在本阶段结束后本公司信息安全管理委员会将向信息系统所有者提供《已有安全措施确认表》，并由信息系统所有者书面确认。

《已有安全措施确认表》：根据对已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等。

已有安全措施确认阶段小结如表3.16所示：

表3.16已有安全措施确认阶段小结

3.6风险分析

该阶段工作主要由本公司信息安全管理委员会完成。

3.6.1风险计算原理

在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。

本指南给出了风险计算的原理：

对资产的重要性进行识别；

对资产的脆弱性进行识别；

针对每一个弱点，识别可能利用此弱点造成安全事件的威胁；

分析威胁利用资产脆弱性发生安全事件的可能性；

根据资产价值及脆弱性严重程度计算安全事件一旦发生后的损失；

根据安全事件的损失以及安全事件发生的可能性计算风险值。

风险计算有以下三个关键计算环节：

1.计算安全事件发生的可能性

根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，

即：安全事件发生的可能性=L(威胁出现频率，脆弱性)

在具体工作中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）以及资产吸引力等因素来判断安全事件发生的可能性。

2.计算安全事件发生后的损失

根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，

即：安全事件的损失=F(资产重要程度，脆弱性严重程度)

部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在内。

3.风险值计算

根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，

即：风险值=R(安全事件发生的可能性，安全事件的损失)

评估人员可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系；运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。附录中列举的几种风险计算方法可做参考,但风险评估人员应根据具体情况选择与本系统相应的风险计算方法。

3.6.2风险结果的判定

确定风险数值的大小不是组织风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。

风险等级建议从1到5划分为五级。等级越大，风险越高。风险评估小组也可以根据被评估系统的实际情况自定义风险的等级。

表3.17 风险等级划分

信息安全风险评估方法

从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO2700 2,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

信息安全风险评估方案教程文件

信息安全风险评估方 案

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部

信息安全的风险评估

龙源期刊网 https://www.360docs.net/doc/855266170.html, 信息安全的风险评估 作者：吴俊森 来源：《电脑知识与技术》2014年第32期 摘要：随着科技信息化的发展，信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础，能有力保障信息系统的安全性，促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨，并对信息安全风险评估的相关问题提出相应对策。 关键词：信息安全；风险评估；现状问题；对策 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）32-7601-02 信息产业的迅猛发展，使得信息化技术成为社会发展的必要组成部分，信息化技术为国民经济的发展注入了新鲜的活力，更加速了国名经济的发展和人民生活水平的提高。当然，人们在享受信息技术带来的巨大便利时，也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的，它将造成巨大的财产损失和信息系统的损害。因此，信息系统的安全问题不得不引起社会和民众的关注，完善信息系统的安全性，加强信息安全的风险评估成为亟待解决的问题。 1 信息安全风险评估概述及必要性 1.1 信息安全风险评估概述 首先，信息安全风险，主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统，以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解，就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作，必须科学的对信息系统的生命周期进行评估，最大限度的保障网络和信息的安全。 1.2 信息安全风险评估的必要性 信息安全评估是为了更好的保障信息系统的安全，以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节，因为信息系统的安全管理必须建立在科学的风险评估基础上，科学的风险评估有利于正确判断信息系统的安全风险问题，提供风险问题的及时解决方案。 2 信息安全风险评估过程及方法

信息安全风险评估方案

第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

信息安全技术_公共基础设施_PKI系统安全等级保护技术要求

信息安全技术公共基础设施PKI系统安全等级保护技术要求 引言 公开密钥基础设施（PKI）是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体，利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。PKI系统是通过颁发与管理公钥 证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。 《PKI系统安全等级保护技术要求》按五级划分的原则，制定PKI系统安全等级保护技术要求，详细说明了为实现GB/T AAA—200×所提出的PKI系统五个安全保护等级应采取的安全技术要求、为确保这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施，以及各安全技术要求在不同安全级中具体实现上的差异。第一级为最低级别，第五级为最高级别，随着等级的提高，PKI系统安全等级保护的要求也随之递增。正文中字体为黑体加粗的内容为本级新增部分的要求。 信息安全技术公钥基础设施 PKI系统安全等级保护技术要求 1 范围 本标准依据GB/T AAA—200×的五个安全保护等级的划分，规定了不同等级PKI系统所需要的安全技术要求。 本标准适用于PKI系统的设计和实现，对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，提倡使用本标准的各方探讨使用其最新 版本的可能性。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 19713-2005 信息安全技术公钥基础设施在线证书状态协议 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求 GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式 GB/T 21054-2007 信息安全技术公钥基础设施PKI系统安全等级保护评估准则 GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T20984-2007 信息安全技术信息安全风险评估指南 3 术语和定义 下列术语和定义适用于本标准。 3.1 公开密钥基础设施（PKI）public key infrastructure (PKI) 公开密钥基础设施是支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。 3.2 PKI系统PKI system PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。 3.3

信息安全风险评估报告

XXXXX公司 信息安全风险评估报告

历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与 服务的企业。 3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单；

5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。主要工作过程如下： 1.2017-9-10 ~ 2017-9-10，风险评估培训； 2.2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3.2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4.2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在 风险，并在ISMS工作组内审核； 5.2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作 组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个.

信息安全风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产，任对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个面；逐步形成了风险评估、自评估、认证认可的工作思路。

信息安全管理制度附件：信息安全风险评估管理程序

本程序，作为《WX-WI-IT-001 信息安全管理流程A0版》的附件，随制度发行，并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义（无） 4.0职责 4.1各部门负责部门内部资产的识别，确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。 6.1.2资产分类 根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产（A）赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选 择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级，分别代表资产重要性

的高低。等级数值越大，资产价值越高。 1）机密性赋值 根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产 2）完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产 3）可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

3分以上为重要资产，重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源，根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和（或）有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现

信息安全风险评估报告模板

XXXXXXXX信息系统 信息安全风险评估报告模板 项目名称： 项目建设单位： 风险评估单位： ****年**月**日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全风险评估项目流程

信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理（以下简称销售）根据客户需求制定项目解决方案，客户认可后，销售与客户签订合同协议，同时向技术部派发项目工单（项目实施使用） 1.2、输出文档 《XXX项目XXX解决方案》 输出文档（电子版、纸质版）交付销售助理保管，电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单（售前技术支持） ?输出文档均一式三份（下同） 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单，技术部成立项目小

组，指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议，确定各自接口负 责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、 人工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后 检查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。

?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以 便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 ?准备项目实施PPT，人工评估原始文档（对象评估文档）， 扫描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

信息安全风险评估报告

胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月

1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等， 管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论

信息安全风险评估报告

附件： 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全风险评估.doc

***软件有限公司 信息安全风险评估指南 变更记录

信息安全风险评估指南 1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标 准并得到了无锡新世纪信息科技有限公司的大力支持。 1.1政策法规： ?《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办 [2006]5号） 1.2国际标准： ?ISO/IEC 17799：2005《信息安全管理实施指南》 ?ISO/IEC 27001：2005《信息安全管理体系要求》 ?ISO/IEC TR 13335《信息技术安全管理指南》 1.3国内标准： ?《信息安全风险评估指南》（国信办综[2006]9号） ?《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月） ?GB 17859—1999《计算机信息系统安全保护等级划分准则》 ?GB/T 18336 1-3：2001《信息技术安全性评估准则》 ?GB/T 5271.8--2001 《信息技术词汇第8部分：安全》 ?GB/T 19715.1—2005 《信息技术安全管理指南第1部分：信息技术安全概念和 模型》 ?GB/T 19716—2005 《信息安全管理实用规则》 1.4其它 ?《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目 (2004AA147070)） 2、风险评估 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模

信息安全风险评估项目流程-

信息安全风险评估项目流程 一、项目启动会议 1.1、工作说明 ?项目经理与甲方召开项目启动会议，确定各自接口负责人。 ?要求甲方按合同范围提供《资产表》，确定扫描评估范围、人 工评估范围和渗透测试范围。 ?请甲方给所有资产赋值（双方确认资产赋值） ?请甲方指定安全评估调查（访谈）人员 1.2、输出文档 《项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》，由项目小组暂时保管，以供项目实施使用 1.3、注意事项 ?资产数量正负不超过15%；给资产编排序号，以方便事后检 查。 ?给人工评估资产做标记，以方便事后检查。 ?资产值是评估报告的重要数据。 ?销售跟客户沟通，为项目小组提供信息资产表及拓扑图，以

便项目小组分析制定项目计划使用。 二、项目前期准备 2.1、工作说明 ?准备人工评估原始文档（调查表），扫描工具、渗透测试工具、 保密协议和授权书 ?项目小组根据项目内容和范围制定项目实施计划。 2.2、输出文档 《信息安全风险评估调查表》 《项目保密协议》 《漏洞扫描、渗透测试授权书》 2.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字

三、驻场实施会议 3.1、工作说明 项目小组进场与甲方召开项目实施会议，确定评估对象和范围（主机、设备、应用、管理等）、实施周期（工作进度安排），双方各自提出自身要求，项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书（漏洞扫描、人工评估、渗透测试等）。实施过程中需甲方人员陪同。 3.2、输出文档 无 3.3、注意事项 如前期未准备资产表与拓扑图，在此阶段项目小组进行调查（视情况是否另收费）。 四、现场实施阶段 4.1、工作说明 ?按照工作计划和被评估对象安排实施进度。 ?主要工作内容 漏洞扫描（主机、应用、数据库等）

信息安全风险评估方案DOC

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

信息安全管理简要概述

第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理？ 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径； 建设信息安全组织机构，设置岗位、配置人员并分配职责； 实施信息安全风险评估和管理；制定并实施信息安全策略； 为实现信息安全目标提供资源并实施管理； 信息安全的教育与培训；信息安全事故管理；信息安全的持续改进。 3、信息安全管理的基本任务 （1）组织机构建设（2）风险评估（3）信息安全策略的制定和实施 （4）信息安全工程项目管理（5）资源管理 ◆（1）组织机构建设 ★组织应建立专门信息安全组织机构，负责： ①确定信息安全要求和目标；②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算，并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略，并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位，负责： ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆（2）风险评估 ★信息系统的安全风险 信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是： 服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。★信息系统安全风险评估的目的是： 认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命：一个单位通过信息化实现的工作任务。 依赖度：一个单位的使命对信息系统和信息的依靠程度。

信息安全风险评估方法研究

信息安全风险评估方法研究 毛捍东1陈锋张维明黄金才 （国防科技大学管理科学与工程系长沙410073） handmao@https://www.360docs.net/doc/855266170.html, 摘要 在信息安全领域，对信息系统进行风险评估十分重要，其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡，从而为等级化的资产风险制定保护策略和缓和计划。信息安全风险评估方法经历了从手动评估到半自动化评估的阶段，现在正在由技术评估向整体评估发展，由定性评估向定性和定量评估相结合的方法发展，由基于知识的评估向基于模型的评估方法发展。该文阐述了信息安全风险评估所要解决的问题，介绍了目前在信息安全风险评估领域的主要方法以及今后的发展方向。 关键词：信息系统；风险评估；资产；威胁；脆弱性 A Survey of Information Security Risk Assessment Methods Mao Handong, Chen Feng, Zhang Weiming, Huang Jincai ( Department of Management Science and Engineering, National University of Defense Technology Changsha 410073 ) handmao@https://www.360docs.net/doc/855266170.html, Abstract: Information systems risk assessment has experienced the stage of manual-to-automatic. It’s now expanding from technology assessment to holistic, from qualitative to synthetic method of qualitative and quantitative analysis, from knowledge-based to model-based. To make the assessment comprehensive and accurate, the target of assessment must be considered as a whole system with technological, organizational and personnel factors. Specifying an information system is often a complicated task that demands a method that can provide both the details and the overview of the system. Modeling techniques give us the possibility to specify all aspects of the system while keeping a good overview at the same time. Key words: Information System; risk assessment; asset; threat; vulnerability. 一、引言 信息系统已经成为人们生活中重要组成部分，人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于这个原因，人们在不断的探索和研究防止信息系统威胁的手段和方法，并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而，这没有从根本上解决信息系统的安全问题，来自计算机网络的威胁更加多样化和隐蔽化，黑客、病毒等攻击事件也越来越多。据CERT/CC的统计，2003年报告的安全事件（security incident）的数量达到137529件，远远高于2001年的52658件和2002年的82094件①。 1作者简介：毛捍东（1979—），博士研究生，研究方向为网络安全、安全风险评估。陈锋，硕士研究生。张维明，博士教授。黄金才，副教授。 ①https://www.360docs.net/doc/855266170.html,/stats/cert_stats.html

信息安全风险评估报告格式

附件： 信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)