XX公司风险评估服务实施规范.doc

《XX公司风险评估服务实施规范.doc》由会员分享，可在线阅读，更多相关《XX公司风险评估服务实施规范.doc（33页珍藏版）》请在三一文库上搜索。

1、XX公司风险评估服务实施规范XXX月服务有限公司目录一、风险评估服务概述 . 1二、风险评估服务原则 . 22.1 标准性原则 22.2 关键业务原则 22.3 可控性原则 22.4 最小影晌原则 3三、风险评估服务流程 . 43.1 准备阶段 53.1.1 确定目标及范围 . 53.1.2 资产调研 53.1.3 确定依据 63.1.4 方案编制 63.2 识别阶段 73.2.1 资产识别 73.2.2 威胁识别 73.2.3 脆弱性识别 83.3 现场评估阶段 83.3.1 技术措施确认 . 93.3.2 管理措施确认 . 93.3.3 工具测试 103.3.4 结果确认及资料归还 . 1

2、03.4 分析与报告编制阶段 103.4.1 资产分析 103.4.2 威胁分析 113.4.3 脆弱性分析 113.4.4 风险分析 113.4.5 结论形成 113.4.6 报告编制 11四、风险评估过程风险规避 . 134.1 存在的风险 134.2 风险的规避 13五、风险评估输出成果 . 16附件 1 171. 资产分类 172. 资产赋值 182.1 资产保密性赋值 . 182.2 资产完整性赋值 . 182.3 资产可用性赋值 . 192.4 资产价值计算 20附件 2 211. 威胁分类 212. 威胁赋值 22风险评估服务概述随着政府部门、企事业单位以及各行各业对信息系统依赖

3、程度的 日益增强，信息安全问题受到普遍关注。网络安全法第三十八条 和关键信息基础设施安全保护条例（征求意见稿）第二十八条规 定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构 对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保 护工作的部门。运用风险评估去识别安全风险，解决信息安全问题已 是现阶段必要的安全措施。1二、风险评估服务原则2.1标准性原则信息安全风险评估应按照GB/T 20984-2007中规定的评估流程进 行实施，包括各阶段性的评估工作。2.2关键业务原则信息安全风险评估应以被评估组织的关键业务作为评估

4、工作的 核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、 应用基础平台、业务应用平台等作为评估的重点。2.3可控性原则1）服务可控性。评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行。2）人员与信息可控性。所有参与评估的人员应签署保密协议，以保证项目信息的安全：应对工作过程数据和结果数据严格管理，未 经授权不得泄露给任何单位和个人。3）过程可控性。应按照项目管理要求，成立项目实施团队，项 自组长负责制，达到项目过程的可控。4）工具可控性。安全评估人员所使用的评估工具应该事先通告 用户，并在项目实施前获得用

5、户的许可，包括产品本身、测试策略等。32.4 最小影晌原则对于在线业务系统的风险评估， 应采用最小影响原则， 即首要保 障业务系统的稳定运行， 对于需要进行攻击性测试的工作内容， 需与 用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。#信息安全风险评估服务包括四个基本评估阶段： 准备阶段、识别 阶段、现场评估阶段、分析与报告编制阶段，而相关方之间的沟通与 洽谈应贯穿整个风险评估过程。每一评估活动有一组确定的工作任务。信息安全风险评估服务流程如下图所示：奉走弓标及范围3.1 准备阶段准备阶段的目标是顺利启动风险评估项目， 确定本次风险评估目 标及范围，收集目标相关资料，准备评估所需资料，

6、最后根据实际情 况编制风险评估方案。准备阶段包括确定目标及范围、资产调研、确 定依据和方案编制 4 项主要任务。3.1.1 确定目标及范围风险评估目标可根据满足组织业务持续发展在安全方面的需要、 法律法规的规定等内容， 识别现有信息系统及管理上的不足等进行设 定。风险评估范围可能是组织全部的信息及与信息处理相关的各类 资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与 客户知识产权相关的系统或部门等。3.1.2 资产调研资产调研是确定被评估对象的过程， 风险评估小组应进行充分的 资产调研，为风险评估依据和方法的选择、 评估内容的实施奠定基础。 调研内容包括：? 业务战略及管理制度；?

7、 主要的业务功能和要求；? 网络结构与网络环境，包括内部连接和外部连接；? 系统边界；? 主要的硬件、软件；7? 数据和信息；? 系统和数据的敏感性；? 支持和使用系统的人员；? 其他。资产调研采取问卷调查、 现场面谈相结合的方式进行。 调查问卷 是一套关于管理或操作控制的问题表格， 供系统技术或管理人员填写 现场面谈则是由评估人员到现场观察并收集系统在物理、 环境和操作 方面的信息。3.1.3 确定依据根据资产调研结果，确定评估依据和评估方法。评估依据包括：? 现行国际标准、国家标准、行业标准；? 行业主管机关的业务系统的要求和制度；? 系统安全保护等级要求；? 系统互联单位的安全要求；?

8、系统本身的实时性或性能要求等。 根据评估依据，应考虑评估的目的、范围、时间、效果、人员素 质等因素来选择具体的风险计算方法， 并依据业务实施对系统安全运 行的需求， 确定相关的判断依据， 使之能够与组织环境和安全要求相 适应。3.1.4 方案编制风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续工作。 风险评估方案的内容一般包 括：? 团队组织 : 包括评估团队成员、 组织结构、角色、责任等内容 ;? 工作计划 : 风险评估各阶段的工作计划， 包括工作内容、 工作 形式、工作成果等内容 ;? 时间进度安排 : 项目实施的时间进度安排。? 评估方法：现场采用的评

9、估方式及工具测试方法3.2 识别阶段 识别阶段的目标是对评估对象的资产、威胁及脆弱性进行识别， 并根据科学有效的算法进行赋值计算。 识别阶段包括资产识别、 威胁 识别和脆弱性识别 3 项主要工作。3.2.1 资产识别保密性、 完整性和可用性是评价资产的三个安全属性。 风险评估 中资产的价值不是以资产的经济价值来衡量， 而是由资产在这三个安 全属性上的达成程度或者其安全属性未达成时所造成的影响程度来 决定的。安全属性达成程度的不同将使资产具有不同的价值， 而资产 面临的威胁、 存在的脆弱性、 以及已采用的安全措施都将对资产安全 属性的达成程度产生影响。为此，应对组织中的资产进行识别。资产 识别的

10、具体办法详见 附件 1。3.2.2 威胁识别 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。 根据威胁的动机， 人为 因素又可分为恶意和非恶意两种。 环境因素包括自然界不可抗的因素 和其他物理因素。 威胁作用形式可以是对信息系统直接或间接的攻击， 在保密性、完整性和可用性等方面造成损害 ; 也可能是偶发的或蓄意 的事件在对威胁进行分类前，应考虑威胁的来源。为此，应对组织中 的威胁进行识别。威胁识别的具体办法详见 附件 2。3.2.3 脆弱性识别脆弱性是资产本身存在的， 如果没有被相应的威胁利用， 单纯的 脆弱性本身不会对资产造成损害。 如果系统

11、足够强健， 严重的威胁也 不会导致安全事件发生，并造成损失。脆弱性识别以资产为核心，从 物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起 来。脆弱性识别主要从技术和管理两个方面进行， 技术脆弱性涉及物 理安全、网络安全、主机系统安全、应用系统安全、数据安全 5 个层 面的技术安全问题，管理脆弱性涉及安全管理机构、安全管理策略、 安全管理制度、 人员安全管理、 系统运维管理 5 个层面的管理安全问 题。3.3 现场评估阶段现场评估阶段通过进行沟通和协调， 为现场评估的顺利开展打下 良好基础， 依据风险评估方案实施现场评估工作， 将评估方案和方法 等内容具体落实到现场评估活动中。 现场

12、评估工作应取得报告编制活 动的所需的、足够的证据和资料。现场评估活动包括技术措施确认、管理措施确认、工具测试、结果确认及资料归还 4项主要任务 331技术措施确认技术措施确认涉及物理层、网络层、系统层、应用层等各个层面 的安全问题。具体确认内容如下:技术措施确认对象技术措施确认内容物理环境从机房场地、机房防火、机房供配电、机房防静电、机 房接地与防雷、电磁防护、通信线路的保护、机房区域 防护、机房设备管理等方面进行确认。网络结构从网络结构设计、边界保护、外部访问控制策略、内部 访问控制策略、网络设备安全配置等方面进行确认。系统软件（含操作系统及系统服务）从补丁安装、物理保护、用户账号、口令策略

13、资源共 享、事件审计、访问控制、新系统配置（初始化）、注 册表加固、网络安全、系统管理等方面进行确认。数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和 服务设置、备份恢复机制、审计机制等方面进行确认。应用中间件从协议安全、交易完整性、数据完整性等方面进行确认。应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行确认。3.3.2管理措施确认管理措施确认涉及技术管理和组织管理的安全问题。具体确认内容如下：管理措施确认对象管理措施确认内容技术管理从物理和环境安全、通信与操作管理、访问控制、系统 开发与维护、业务连续性等方面进行确认。组织管理从安全策略

14、组织安全、资产分类与控制、人员安全、 符合性等方面进行确认。333工具测试工具测试是利用基于主机的扫描器、 数据库脆弱性扫描器、分布 式网络扫描器、基于网络的扫描器等脆弱性扫描工具完成操作系统、 数据库系统、网络协议、网络服务等的安全脆弱性检测。为检测已发现的脆弱性是否真正会给系统或网络带来影响，利用黑客工具、脚本文件等渗透性测试工具对脆弱性扫描工具扫描的结果 进行模拟攻击测试，判断被非法访问者利用的可能性。 通常渗透性工 具与脆弱性扫描工具一起使用，可能会对被评估系统的运行带来一定 影响。3.3.4结果确认及资料归还将评估过程中得到的证据源记录进行确认，并将评估过程中借阅的文档归还。项目组

15、在现场完成评估工作之后， 应首先汇总现场评估 的结果记录，对漏掉和需要进一步验证的内容实施补充测试评估。同时归还评估过程中借阅的所有文档资料，并由文档资料提供者确认。3.4分析与报告编制阶段3.4.1资产分析本阶段资产分析是前期资产识别的补充与增加，包括实施阶段采购的软硬件资产、 系统运行过程中生成的信息资产、 相关的人员与服 务等。3.4.2 威胁分析本阶段全面分析威胁的可能性和影响程度。 对非故意威胁导致安 全事件的评估可以参照安全事件的发生频率 ; 对故意威胁导致安全事 件的评估主要就威胁的各个影响因素做出专业判断。3.4.3 脆弱性分析本阶段是全面的脆弱性评估， 包括运行环境中物理、

16、网络、系统、 应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以 采取核查、扫描、案例验证、渗透性测试的方式实施 ; 安全保障设备 的脆弱性评估，应考虑安全功能的实现情况和安全保障设备本身的脆 弱性; 管理脆弱性评估可以采取文档、记录核查等方式进行验证。3.4.4 风险分析根据本标准的相关方法， 对重要资产的风险进行定性或定量的风 险分析，描述不同资产的风险高低状况。3.4.5 结论形成风险评估人员在风险评估结果汇总的基础上， 找出系统保护现状 与风险评估基本要求之间的差距，并形成风险评估结论。3.4.6 报告编制风险评估人员对整个风险评估过程和结果进行总结， 详细说明被评估对象、风

17、险评估方法、风险评估结果，形成风险评估报告13四、风险评估过程风险规避4.1存在的风险1）信息系统敏感信息泄漏。泄漏被评估单位信息系统状态信息， 如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档 信息。2）验证测试对运行系统可能会造成影响。在现场评估时，需要 对设备和系统进行一定的验证测试工作， 部分测试内容需要上机查看 特定信息，这就可能对系统的运行造成影响，甚至存在误操作的可能。3）工具测试对运行系统可能会造成影响。在现场评估时，会使用一些技术测试工具进行漏洞扫描测试、性能测试甚至抗渗透能力测 试。测试可能会对系统的负载造成一定的影响，漏洞扫描测试和渗透测试可能对服务器和网络通

18、讯造成一定影响甚至伤害。4.2风险的规避1）签署保密协议。风险评估双方应签署完善的、合乎法律规范 的保密协议，以约束风险评估双方现在及将来的行为。 保密协议规定 了风险评估双方保密方面的权利与义务。 风险评估工作的成果属被风 险评估系统运营、使用单位所有，风险评估机构对其的引用与公开应 得到被风险评估系统运营、使用单位的授权，否则被风险评估系统运 营、使用单位将按照保密协议的要求追究风险评估机构的法律责任。2）签署委托风险评估协议。在风险评估工作正式开始之前，风 险评估方和被风险评估系统运营、使用单位需要以委托风险评估协议 的方式明确评估工作的目标、范围、人员组成、计划安排、执行步骤 和要求、

19、以及双方的责任和义务等。 使得风险评估双方对风险评估过 程中的基本问题达成共识， 后续的工作以此为基础， 避免以后工作出 现大的分歧。3）现场评估工作风险的规避。进行验证测试和工具测试时，风 险评估机构需要与风险评估委托单位充分的协调，安排好测试时间， 尽量避开业务高峰期， 在系统资源处于空闲状态时进行， 并需要被风 险评估系统运营、 使用单位对整个测试过程进行监督； 在进行验证测 试和工具测试前， 需要对关键数据做好备份工作， 并对可能出现的影 响制定相应的处理方案； 上机验证测试原则上由被风险评估系统运营、 使用单位相应的技术人员进行操作， 风险评估人员根据情况提出需要 操作的内容， 并进

20、行查看和验证， 避免由于风险评估人员对某些专用 设备不熟悉造成误操作； 风险评估机构使用的测试工具在使用前应事 先告知被风险评估系统运营、 使用单位， 并详细介绍这些工具的用途 以及可能对信息系统造成的影响，征得其同意。4）规范化的实施过程。为保证按计划高质量地完成风险评估工 作，应当明确风险评估记录和风险评估报告要求， 明确风险评估过程 中每一阶段需要产生的相关文档， 使风险评估有章可循。 在委托风险 评估协议、 现场风险评估授权书和风险评估方案中， 需要明确双方的 人员职责、风险评估对象、时间计划、风险评估内容要求等。5）沟通与交流。为避免风险评估工作中可能出现的争议，在风 险评估开始前与

21、风险评估过程中， 双方需要进行积极有效的沟通和交流，及时解决风险评估中出现的问题， 这对保证风险评估的过程质量 和结果质量有重要的作用15五、风险评估输出成果1. 项目启动会议输出文档：XXX项目启动会议记要2. 项目前期准备输出文档：XXX项目访谈表单XXX项目保密协议XXX项目授权书3. 现场实施阶段输出文档：XXX项目XXX人工评估过程文档XXX项目XXX漏洞扫描过程文档XXX项目XXX渗透测试过程文档4. 静态评估阶段输出文档：XXX项目XXX人工评估报告XXX项目XXX漏洞扫描报告XXX项目XXX渗透测试报告XXX项目安全评估综合报告XXX项目整改建议书（整体加固解决方案）xxx项目

22、总结（ppt5. 评估阶段验收输出文档：XXX项目验收成果书 XXX项目会议记要附件11.资产分类在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织， 其支持业务持续运行的系统数量可能更多。首先将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。 具体的资产分类方法如下表所示：分类详细示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系 统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语句包、工具软件、各种库等 应用软件：外部购买的应用软件，外包开发的应用软件等 源程序：各种共享源代

23、码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移 动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路：光纤、双绞线等保障设备：动力保障设备（UPS变电设备等）、空调、保险柜、文 件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等 其他：打印机、复印机、扫描仪、传真机等服务办公服务：为提高效率而开发的管理信息系统（ MIS）,包括各种内 部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件，如传真、

24、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其它企业形象，客户关系等2.资产赋值2.1资产保密性赋值根据资产在保密性上的不同要求， 将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。具体赋值方法如下表所示：赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对 组织根本利益有着决定性的影响，如果泄露会造成灾难 性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭 受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到 损害2低仅能在组织内部或在组织某一部门内部

25、公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等2.2资产完整性赋值根据资产在完整性仁的不同要求， 将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。 具体赋值方法如下表所示:赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织 造成重大的或无法接受的影响，对业务冲击重大，并可 能造成严重的业务中断，难以弥补。4高完整性价值较咼，未经授权的修改或破坏会对组织造成 重大影响，对业务冲击严重，较难弥补。3中等完整性价值中等，未经授权的修改或破坏会对组织造成 影响，对业务冲击明显，但可以弥补。2低完整性价值较

26、低，未经授权的修改或破坏会对组织造成 轻微影响，对业务冲击轻微，容易弥补。1很低完整性价值非常低，未经授权的修改或破坏对组织造成 的影响可以忽略，对业务冲击可以忽略。2.3资产可用性赋值根据资产在可用性上的不同要求， 将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。具体赋值方法如下表所示：赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可 用度达到年度99.9%以上，或系统不允许中断。4高可用性价值较高，合法使用者对信息及信息系统的可用 度达到每天90%上，或系统允许中断时间小于 10分 钟。3中等可用性价值中等，合法使用者对信息及信息系统的可用 度在正常工作时

27、间达到70%以上，或系统允许中断时间 小于30分钟。2低可用性价值较低，合法使用者对信息及信息系统的可用 度在正常工作时间达到25%以上,或系统允许中断时间 小于60分钟。1很低可用性价值可以忽略，合法使用者对信息及信息系统的 可用度在正常工作时间低于25%2.4资产价值计算资产价值依据资产在保密性、 完整性和可用性上的赋值等级，经 过综合评定得出，选择对资产保密性、完整性和可用性最为重要的一 个属性的赋值等级作为资产的最终赋值结果。 资产等级含义如下表所 示:等级标识描述5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损 失。4高重要，其安全属性破坏后可能对组织造成比较严重的损失。3

28、中比较重要，其安全属性破坏后可能对组织造成中等程度的损 失。2低不太重要，其安全属性破坏后可能对组织造成较低的损失。1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至 忽略不计。25附件21.威胁分类按照信息安全技术信息安全风险评估规范(GB/T 20984-2007) 威胁分类方法，基于表现形式对威胁进行分类，将威胁分为软硬件故 障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越 权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。具体的威胁分类方法如下表所示:种类描述威胁子类软硬件故障由于设备硬件故障、通讯链路中断、 系统本身或软件缺陷造成对业务实 施、系统稳定运行的影

29、响。设备硬件故障、传输设 备故障、存储媒体故 障、系统软件故障、应 用软件故障、数据库软 件故障、开发环境故 障。物理环境影响断电、静电、灰尘、潮湿、温度、鼠 蚁虫害、电磁干扰、洪灾、火灾、地 震等环境问题或自然灾害。无作为或操作失误由于应该执行而没有执行相应的操 作，或无意地执行了错误的操作，对 系统造成的影响。维护错误、操作失误管理不到位安全管理无法落实，不到位，造成安 全管理不规范，或者管理混乱，从而 破坏信息系统正常有序运行。恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。恶意代码、木马后门、 网络病毒、间谍软件、 窃听软件越权或滥用通过采用一些措施，超越自己的

30、权限 访问了本来无权访问的资源，或者滥 用自己的职权，做出破坏信息系统的 行为。未授权访问网络资源、 未授权访问系统资源、 滥用权限非正常修改 系统配置或数据、滥用 权限泄露秘密信息网络攻击利用工具和技术，如侦祭、密码破译、 安装后门、嗅探、伪造和欺骗、拒绝 服务等手段，对信息系统进行攻击和 入侵。网络探测和信息采集、 漏洞探测、嗅探（账户、 口令、权限等）、用户 身份伪造和欺骗、用户 或业务数据的窃取和 破坏、系统运行的控制 和破坏物理攻击通过物理的接触造成对软件、硬件、数据的破坏。物理接触、物理破坏、盗窃泄密信息泄露给不应了解的他人。内部信息泄露、外部信息泄露篡改非法修改信息，破坏信息的完

31、整性使系统的安全性降低或信息不可用。篡改网络配置信息、篡 改系统配置信息、篡改 安全配置信息、篡改用 户身份信息或业务数 据信息抵赖不承认收到的信息和所作的操作和交易。原发抵赖、接收抵赖、第三方抵赖2.威胁赋值判断威胁出现的频率是威胁赋值的重要内容， 评估者根据经验及有关统计数据来进行判断。评估中综合考虑以下三个方面，形成在评 估环境中各种威胁出现的频率?以往安全事件报告中出现过的威胁及其频率的统计 ；?实际环境中通过检测工具以及各种日志发现的威胁及其频率 的统计；?近一两年来国际组织发布的对于整个社会或特定行业的威胁 及其频率统计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理， 不同等级分别代表威胁 出现的频率的高低。等级数值越大，威胁出现的频率越高。具体赋值方法如下表所示：等级标识定义5很高出现的频率很高（或1次/周）；或在大多数情况下几乎不可避 免；或可以证实经常发生过。4高出现的频率较咼（或1次/月）；或在大多数情况下很有可能会 发生；或可以证实多次发生过。3中出现的频率中等（或 1次/半年）；或在某种情况下可能会发生； 或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。29