信息安全风险评估服务产品V100R001C00说明书

信息安全风险评估服务产品V100R001C00产品说明书修订记录说明：1.服务说明书内容定位：面向客户技术层人员及公司拓展人员，较详细介绍产品特性、功能、性能、软硬件架构、实现原理等内容2.请服务开发人员删掉文章内容中可选或不涉及的相关内容，作为提交客户的终稿。

3.本服务说明书不需要一线拓展人员进行内容修改，提交前请删除本页以上内容。

正式提交客户前，请一线拓展人员删除本页及以上页面！信息安全风险评估服务产品V100R001C00产品说明书华为技术有限公司版权所有侵权必究2012年05月28日目录1服务概述1.1 简介1.2 服务范围1.3 服务价值2 服务内容2.1 资产评估2.2 威胁评估2.3 脆弱性评估2.4 已有控制措施的确认2.5 风险分析2.6 风险处置建议1 服务概述1.1 简介信息技术的进步给信息化建设带来了长足的发展，当关键业务越来越依托在信息系统上时，随之而来的安全隐患也越来越多。

如何在日益增多的安全威胁下保证关键核心业务的有效性、如何有条理地进行安全的建设并提高安全管理能力，如何评价信息安全建设水平，这些问题已经成为大中型企业/政府部门/机构的高级管理者、关键业务部门主管以及信息主管需要解决的迫切课题。

信息系统安全风险评估作为华为安全咨询服务的一项重要内容，是其它安全服务体系建立、安全规划、法规遵从等服务的基础，同时也是提升安全服务层次、深入了解用户系统现状、安全需求以及安全规划的有力手段。

信息安全风险评估就是从管理和技术的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。

评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

风险评估服务中所涉及的要素有业务、信息资产、脆弱性、威胁和风险，对风险衡量的因素主要有两个：可能性和影响。

风险评估相关要素的关系如图1-1所示，是进行风险评估服务的基础，它比较清晰地说明了风险评估中所涉及的各个要素及相互关系。

图1-1 风险评估相关要素的关系1.2 服务范围风险评估范围包括业务系统基础架构、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据等。

主要根据国际、国内的相关标准，从识别信息系统的资产入手，确定重要资产，针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。

适用的目标客户范围：⏹需要了解企业安全现状的客户；⏹当企业进行IT规划设计时；⏹在企业发生信息安全事件后，或怀疑可能会发生安全事件时；⏹关心组织现有的信息安全控制措施是否有效时；⏹当需要对组织安全状况进行周期性评估，以查看是否满足组织持续运营时。

1.3 服务价值通过华为信息安全风险评估服务，客户将获得的价值有：⏹了解企业信息安全现状与所面临的各种威胁；⏹对企业信息安全各个层次的安全性状况和整体安全状况有全面具体的了解；⏹为客户准确地定义出管理层自上而下的信息安全目标和要求；⏹使客户全体得到教育和提升，并能够遵守公司信息安全的总体策略；⏹评估企业信息安全的指南是否符合业务标准，同时有效保障公司的业务安全，并能够确保一致地执行；⏹清晰的展现信息系统当前的安全现状，提供公正、客观、翔实的数据作为决策参考，企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出正确的选择。

2 服务内容信息安全风险评估的内容与范围应该涵盖信息系统的技术和管理体系。

主要的服务内容包括：2.1 资产评估1.服务内容资产作为信息系统价值的体现，既是系统保护的目标，也是风险评估的对象。

在风险评估工作中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。

威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。

这些安全事件一旦发生，对具体资产甚至是整个系统都将造成一定的影响。

在风险评估实践中，资产分析分为两个部分：业务分析和信息资产分析，业务分析主要是分析信息系统承载的数据和业务，识别关键业务和关键业务数据，并分析其遭到破坏所造成的影响，这部分工作在业务综合分析中完成；信息资产分析主要是针对所评估的信息系统进行的，识别关键系统组成单元，即我们在现场测试过程中的测试对象，分析其遭到破坏对业务和数据所造成的影响，这部分分析工作是根据《信息资产调研表》中的内容进行的。

资产评估主要内容如下：●资产识别：根据所评估的业务和应用系统的业务流程来识别信息资产，并建立资产清单。

●资产赋值：按照机密性、完整性、可用性要求进行赋值。

2.2 威胁评估1.服务内容威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

造成威胁的因素可分为人为因素和环境因素。

威胁识别的关键在于确认引发威胁的人或事物，威胁源可能是蓄意也可能是偶然的因素，通常包括人、系统和自然环境等。

一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。

威胁识别完成后还应该对威胁发生的可能性进行评估，列出威胁清单，描述威胁属性，并对威胁出现的频率赋值。

威胁评估主要内容如下：●威胁识别：主要通过采集入侵检测系统（IDS）的报警信息、威胁问卷调查和对技术人员做顾问访谈的方式。

●威胁赋值：判断威胁出现的频率是威胁评估的重要内容，应根据历史经验和有关的统计数据来进行判断。

需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率。

➢以往安全事件报告中出现过的威胁及其频率的统计；➢实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；➢近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

2.3 脆弱性评估1.服务内容脆弱性是对一个或多个资产弱点的总称，脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和技术漏洞进行分析与发现，并确定脆弱性被威胁利用的难易程度（赋值）的过程。

脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节，同时也是非常重要的环节，对评估工作小组成员的专业技术水平要求较高。

脆弱性分为管理脆弱性和技术脆弱性。

管理脆弱性调查主要通过发放管理脆弱性调查问卷、顾问访谈以及收集分析现有的管理制度来完成；技术脆弱性检测主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。

在工作过程中，应注意脆弱性识别的全面性，包括物理、网络、应用和管理等方面。

为了分析脆弱性影响的严重程度，最好对关键资产的脆弱性进行深度检测和验证，比如关键服务的身份认证等。

识别完成之后，还要对具体资产的脆弱性严重程度进行赋值。

脆弱性严重程度可以等级化处理，不同等级分别表示资产脆弱性严重程度的高低。

等级数值越大，脆弱性严重程度越高。

脆弱性评估主要内容如下：●管理脆弱性识别：包括组织架构管理、人员安全管理、运维安全管理、审计安全管理等方面的评估。

主要依据ISO 27001标准设计的安全问卷来对相关管理者、技术人员等，以访谈和问卷的方式来识别客户管理方面的脆弱性。

●技术脆弱性识别：通过安全工具扫描、人工审计、渗透测试等方法对企业的网络安全、网站安全、操作系统安全、数据库安全等方面的脆弱性进行识别。

主要包括如下的方法：➢漏洞扫描对网元进行漏洞扫描和评估，寻找网络中的安全漏洞。

➢渗透测试渗透测试是站在攻击者的角度，对目标进行深入的技术脆弱性的挖掘，渗透测试一般由专业渗透测试人员来完成。

➢基线安全评估对各种类型操作系统（HP-UX、AIX、SOLARIS、LINUX、Windows等）、WEB应用（IIS、Tomcat等）、网络设备等网元的安全配置进行检查和评估，发现未进行配置的安全项，并提供增强网元自身安全功能的建议。

●脆弱性赋值：根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。

2.4 已有控制措施的确认1.服务内容对已经部署的安全设备、管控手段和安全措施等的安全功能进行验证，评估已部署的这些措施是否生效，或已达到既定的安全管控目标。

安全措施可分为预防性安全措施和保护性安全措施两种。

已有安全措施的确认的主要内容如下：●预防性安全措施的确认：对可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统等的确认。

●保护性安全措施的确认：对可以减少因安全事件发生后对组织或系统造成的影响，如业务持续性计划等的确认。

2.5 风险分析1.服务内容风险分析需要完成的工作主要有：风险计算、形成风险评估报告。

针对资产、威胁、脆弱性等主要风险要素，分析威胁发生（或脆弱性被利用）的可能性和对信息系统所承载业务造成的影响，并按照评估量化标准进行赋值。

进而采用适当的风险计算公式，完成风险赋值，并按风险值进行排序。

风险评估报告主要结合风险评估工作过程中采集到的中间数据，对信息系统中的安全风险进行定性和定量分析。

风险分析的主要内容如下：●风险计算：采用适当的风险计算公式，计算出信息资产的风险值，并按风险值进行排序。

●编写风险评估报告：主要包括：单位信息、评估过程、系统业务分析、系统平台描述、体系结构分析、信息资产分析、脆弱性分析、威胁分析、风险分析等内容。

2.6 风险处置建议1.服务内容根据风险分析结论，分别就技术方面和管理方面给出被评估系统的近期、中期、长期的风险处置建议。

风险只能被避免、降低、转移或接受，而不可能完全消除。

风险处置建议的主要内容如下：●确定风险接受水平：包括风险的避免、降低、转移或接受。

●制定控制措施。