第十四章安全管理与评估(2015)

1、1第十四章 信息安全管理与评估一、安全管理概述二、信息安全管理策略三、信息安全管理标准四、信息安全工程方法（SSE-CMM）五、基于等级保护的信息安全管理体系六、安全风险管理七、本章小结2一、安全管理概述1.1 安全管理的概念管理是指为提高群体实现目标的效率而采取的活动和行为。包括制定计划（规划）、建立机构（组织）、落实措施（部署）、开展培训（提高能力）、检查效果（评估）和实施改进（改进）等。收集信息评估组织部署 首先要明确管理策略，然后才是开展管理活动。3系统B安全管理是以管理对象的安全为任务和目标的管理。安全管理的任务是保证管理对象的安全。安全管理的目标是达到管理对象所需的安全级别，将风险

2、控制在可以接受的程度。信息安全管理是以信息及其载体即信息系统为对象的安全管理。信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。信息安全管理的目标是达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。41.2 安全管理的重要性在信息时代，信息是一种资产。随着人们对信息资源利用价值的认识不断提高，信息资产的价值在不断提升，信息安全的问题越发受到重视。针对各种风险的安全技术和产品不断涌现，如防火墙、入侵检测、漏洞扫描、病毒防治、数据加密、身份认证、访问控制、安全审计等，这些都是信息安全控制的重要手段，并且还在不断地丰富和完善。但是，却容易给人们造成一种错觉，似乎足够的安全技术和产

3、品就能够完全确保一个组织的信息安全。其实不然，仅通过技术手段实现的安全能力是有限的，主要体现在以下三个方面。5u许多安全技术和产品远远没有达到人们需要的水准。例如，微软的Windows NT、IBM的AIX等常见的企业级操作系统，大部分只达到了美国国防部TCSEC C2级安全认证，而且核心技术和知识产权都是国外的，不能满足国家涉密信息系统或商业敏感信息系统的需求。u在计算机病毒与病毒防治软件的对抗过程中，经常是在一种新的计算机病毒出现并已经造成大量损失后，才能开发出查杀该病毒的软件，也就是说，技术往往落后于新风险的出现。u即使某些安全技术和产品在指标上达到了实际应用的某些安全需求，如果配置和管

4、理不当，还是不能真正地实现这些安全需求。例如，虽然在网络边界设置了防火墙，但出于风险分析欠缺、安全策略不明或是系统管理人员培训不足等原因，防火墙的配置出现严重漏洞，其安全功效将大打折扣。再如，虽然引入了身份认证机制，但由于用户安全意识薄弱，再加上管理不严，使得口令设置或保存不当，造成口令泄漏，那么依靠口令检查的身份认证机制会完全失效。6仅靠技术不能获得整体的信息安全，需要有效的安全管理来支持和补充，才能确保技术发挥其应有的安全作用，真正实现整体的信息安全。“三分技术、七分管理”，在安全领域更是如此。1.3 安全管理模型 安全管理的最终目标是将系统（即管理对象）的安全风险降低到用户可接受的程度，

5、保证系统的安全运行和使用。风险的识别与评估是安全管理的基础，风险的控制是安全管理的目的，安全管理实际上是风险管理的过程。由此可见，安全管理策略的制定依据就是系统的风险分析和安全要求。新的风险在不断出现，系统的安全需求也在不断变化，也就是说，安全问题是动态的。因此，安全管理应该是一个不断改进的持续发展过程。7安全管理模型遵循管理的一般循环模式，即计划（Plan）、执行（Do）、检查（Check）和行动（Action）的持续改进模式，简称PDCA模式。每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活

6、动的螺旋式提升。8信息安全管理也遵循PDCA持续改进模式。信息安全管理策略包括管理的任务、目标、对象、原则、程序和方法；信息安全管理活动包括制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等。u制定计划制定信息安全管理的具体实施、运行和维护计划；u建立机构建立相应的安全管理机构；u落实措施选择适当的安全技术和产品并实施；u开展培训对所有相关人员进行必要的安全教育和培训；u检查效果对所构建的信息安全管理体系进行符合性检查；u实施改进对检查结果进行评审，评价现有信息安全管理体系的有效性，针对存在的问题采取改进措施。9二、信息安全管理策略信息安全管理策略应包括信息安全管理的任务、目标、对象

7、、原则、程序和方法这些内容。1. 信息安全管理的任务信息安全管理的任务是保证信息的使用安全和信息载体的运行安全。v信息的使用安全是通过实现信息的机密性、完整性和可用性这些安全属性来保证的。v信息载体包括处理载体、传输载体、存储载体和入出载体，其运行安全就是指计算系统、网络系统、存储系统和外设系统能够安全地运行。102. 信息安全管理的目标达到信息系统所需的安全级别，将风险控制在用户可以接受的程度。3. 信息安全管理的对象从内涵上讲是指信息及其载体信息系统，从外延上说其范围由实际应用环境来界定。4. 信息安全管理的原则信息安全管理遵循如下基本原则：（1） 策略指导原则所有的信息安全管理活动都应该

8、在统一的策略指导下进行。11（2） 风险评估原则信息安全管理策略的制定要依据风险评估的结果。（3） 预防为主原则在信息系统的规划、设计、采购、集成和安装中要同步考虑信息安全问题，不可心存侥幸或事后弥补。（4） 适度安全原则要平衡安全控制的费用与风险危害的损失，注重实效，将风险降至用户可接受的程度即可，没有必要追求绝对的、高昂代价的安全，实际上也没有绝对的安全。（5） 立足国内原则考虑到国家安全和经济利益，安全技术和产品首先要立足国内，不能未经许可，未能消化改造直接使用境外的安全保密技术和产品设备，特别是信息安全方面的关键技术和核心技术尤其如此。12（6） 成熟技术原则尽量选用成熟的技术，以得到

9、可靠的安全保证。采用新技术时要慎重，要重视其成熟的程度。（7） 规范标准原则安全系统要遵循统一的操作规范和技术标准，以保证互连通和互操作，否则，就会形成一个个安全孤岛，没有统一的整体安全可言。（8） 均衡防护原则安全防护如同木桶装水，一是，只要木桶的木板有一块坏板，水就会从里面泄漏出来；二是，木桶中的水只和最低一块木板看齐，其他木板再高也无用。所以，安全防护措施要注意均衡性，注意是否存在薄弱环节或漏洞。（9） 分权制衡原则要害部位的管理权限不应交给一个人管理，否则，一旦出现问题将全线崩溃。分权可以相互制约，提高安全性。13（10） 全体参与原则安全问题不只是安全管理人员的事情，全体相关人员都有

10、责任。如果安全管理人员制定的安全制度和措施得不到相关人员的切实执行，安全隐患依然存在，安全问题就不会得到真正解决。（11） 应急恢复原则安全防护不怕一万就怕万一，因此安全管理要有应急响应预案，并且要进行必要的演练，一旦出现问题就能够马上采取应急措施，阻止风险的蔓延和恶化，将损失减少到最低程度。天灾人祸在所难免，因此在灾难不能同时波及的地区设立备份中心，保持备份中心与主系统数据的一致性。一旦主系统遇到灾难而瘫痪，便可立即启动备份系统，使系统从灾难中得以恢复，保证系统的连续工作。（12） 持续发展原则为了应对新的风险，对风险要实施动态管理。因此，要求安全系统具有延续性、可扩展性，能够持续改进，始终

11、将风险控制在可接受的水平。145. 信息安全管理的程序信息安全管理的程序遵循PDCA循环模式的4大基本步骤： 计划（Plan）。制定工作计划，明确责任分工，安排工作进度，突出工作重点，形成工作文件。 执行（Do）。按照计划展开各项工作，包括建立权威的安全机构，落实必要的安全措施，开展全员的安全培训等。v定义和实施风险处理计划v选择适当的控制措施v定义如何衡量控制措施的有效性v实施培训和意识宣传计划 v管理信息安全管理体系的运作v管理信息安全管理体系运作资源v部署安全事件检测和响应流程15165. 信息安全管理的程序 检查（Check）。对上述工作所构建的信息安全管理体系进行符合性检查，包括是否

12、符合法律法规的要求，是否符合安全管理的原则，是否符合安全技术的标准，是否符合风险控制的指标等，并报告结果。执行监控和审查程序测量控制措施的有效性评审风险评估和残余风险内部信息安全管理体系审核信息安全管理体系的管理评审在审核和调查结果的基础上更新安全计划记录可能会影响到信息安全管理体系效能的行动和事件 行动（Action）。依据上述检查结果，对现有信息安全管理策略的适宜性进行评审与评估，评价现有信息安全管理体系的有效性，采取改进措施。实施已确定的信息安全管理体系的改进采取适当的纠正措施和预防措施同有关各方沟通行动及改进点确保达到预期的改善目标166. 信息安全管理的方法信息安全管理根据具体管理对

13、象的不同，采用不同的具体管理方法。信息安全管理的具体对象包括机构、人员、软件、设备、介质、涉密信息、技术文档、网络连接、门户网站、应急恢复、安全审计、场地设施等。17三、 信息安全管理标准BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准。该标准包括以下两部分：BS7799-1:1999信息安全管理实施规则；BS7799-2:1999信息安全管理体系规范。其中，BS7799-1:1999于2000年12月通过国际标准化组织（ISO）认可，正式成为国际标准，即ISO/IEC19799:2000信息技术信息安全管理实施规则。181992年，英

14、国贸易和工业部出版“信息安全管理实用准则”1995年，英国标准协会对它进行修改，并以BS7799标准出版2000年，BS7799认证为ISO17799标准2002年，BS7799第二部分出版2005年，新的ISO17799标准出版，BS7799第二部分成为ISO270012007年，ISO17799/IEC2005标准直接更改标准编号为ISO/IEC2700219ISO 27001标准系列27000 信息安全管理体系原理和术语27001信息安全管理体系要求27002信息安全管理实践规则27003信息安全管理体系实施指南27004信息安全管理测量与指标27005信息安全风险管理27006信息安全

15、管理体系审核认证机构要求27011适用于电信组织27031电信就绪之业务持续性指南20预备中27007信息安全管理体系审核指南27008信息安全管理体系审核指南（控管措施）27010用于行业间沟通27013将ISO/IEC20000-1与27001整合27014信息安全治理框架27015金融和保险服务业27032互联网安全指南27033网络安全指南27034应用安全指南27035安全事件管理27036安全外包指南27037数据证据的鉴定、收集和保持213.1 标准的组成与结构BS7799共分两部分：第一部分为BS7799-1:1999信息安全管理实施规则，即ISO/IEC19799:2000信

16、息技术信息安全管理实施规则，是组织建立并实施信息安全管理体系的一个指导性准则，主要是为组织实施有效的信息安全管理所需的控制提供通用的最佳实施规则。第二部分为BS7799-2:1999信息安全管理体系规范，规定了建立、实施和维护信息安全管理体系（Information Security Management System，ISMS）的要求，指出组织需通过风险评估和自身需求来确定最适宜的安全控制对象，采取最适当的安全控制措施。BS7799-2:1999明确提出安全控制要求，BS7799-1:1999对应给出了通用的安全控制方法，因此可以说，BS7799-1:1999为BS7799-2:1999的具

17、体实施提供了指南。22BS7799由4个主要段落组成，即范围、术语和定义、体系要求和控制细则。其中控制细则包括11大控制方面、36个控制目标、134种控制方式，涉及与信息安全有关的方方面面。关于控制细则的使用，一方面，组织可以根据自己的实际需要进行选用；另一方面，标准中的控制目标和控制方式并非信息安全管理的全部，组织可以根据需要考虑另外的控制目标和控制方式。23BS7799 详细内容列表目的内容范围、术语和定义、信息安全体系要求、控制细则安全方针提供管理方向和支持建立安全方针文档安全组织建立组织内的安全管理体系框架内部信息安全责任、信息采集设施安全、可被第三方利用的信息资产安全，外部信息安全评

18、审、外包合同安全资产分类与控制建立维护资 产安全的保护系统基础 利用资产清单、分类处理、信息标签等对信息资产进行保护人员安全减少人为造成的风险减少错误、偷窃、欺骗或资源误用等人为风险；保密协议；安全教育培训、安全事故与教训总结、惩罚措施物理与环境安全防止对IT服务的未经许可的介入，防止损害和干扰服务阻止对工作区与物理设备的非法进入；防止业务机密和信息的非法访问、损坏、干扰；磁泄漏等24BS7799 详细内容列表目的内容通信与运营管理访问控制控制对业务信息的访问系统开发与维护保证系统开发维护安全确保信息安全保护深入到OS中；阻止应用系统中的用户 数据的丢失、修改或误用；确保信息机密性、可靠性和完

19、整性、确保IT项目工程及其支持活动在安全的方式下进行，维护应用程序软件和数据的安全。信息安全事故管理保证信息安全事故的用时报告和处理确保与信息系统有关的信息安全事故和弱点能够以某种方式传达，以及时采取纠正措施；确保采用一致的和有效的方法对信息安全事故进行管理商务持续性管理防业务中断和灾难事故影响保护关键业务过程受到重大失误或灾难的影响依从符合法律、法规和合同253.2 信息安全管理体系要求1.总则总则（general）是标准对信息安全管理体系的总体要求。信息安全管理体系是组织管理体系的一部分，专门用于组织的信息资产风险管理，确保组织的信息安全，包括为制定、实施、评审和保持信息安全方针所需要的组

20、织机构、目标、职责、程序、过程和资源。26 标准要求组织通过制定信息安全方针、确定体系范围、明确管理职责，通过风险评估确定控制目标与控制方式等活动建立信息安全管理体系。 信息安全管理体系一旦建立，组织应按体系规定的要求进行运作，保证体系运作的有效性。 信息安全管理体系应形成一定的文件，如方针、适用性声明文件和实施安全控制所必须的程序文件。 综上所述，组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、风险管理的方法、控制目标及控制方式和需要的保证程度。272.建立管理构架建立管理构架（Establishing Management Frame）属于对信息安全管理体系策划的一个

21、要求，即按照以下步骤确定控制目标与控制方式： 制定组织的信息安全方针（组织安全管理要求，方向性的指导）。 界定信息安全管理体系的适用范围。 对组织可能遭受的风险进行系统地评估。 根据方针和风险程度，决定风险管理内容。 选择适合组织商务运作的控制目标和控制方式，包括从BS7799-1:1999中选出的控制和识别出的其他控制。 准备适用性声明，它是对组织选择的控制目标和控制方式的评论性文件，并经过管理层的批准。28因为组织本身结构、信息资产所处的环境、商业流程、安全控制技术、法律法规等方面均有可能发生变化，因而会有新的安全威胁和薄弱点出现，导致新的风险。因此，为保持对风险实施动态控制，确保组织信息

22、安全的持续，要求组织定期对上述过程进行评审，不断改进和完善控制目标和控制方式，在此基础上对适用性声明进行评价或修订。值得强调的是，信息安全管理体系的成功建立与实施，及它对组织的价值很大程度上取决于风险评估的质量。293.实施 组织要按照所选择的控制目标和控制方式进行有效的安全控制，即按照方针、程序等要求开展信息处理、安全管理各项活动。 实施（implementation）的有效性包括以下两方面的含义：u控制活动应严格按照要求执行u活动的结果应达到预期的目标要求，即风险控制的结果是可以接受的。304.文件化 信息安全管理体系文件（documentation）是按标准要求建立管理框架的证据，它一般

23、包括方针、适用性声明、方针手册、管理及实施程序、作业指导书和记录等。315.文件控制组织应建立一个文件控制（Document Control）程序，对信息安全管理体系文件进行以下方面的控制：u明确文件控制活动的各项职责；u文件发布前应履行审批手续；u进行发放管理，确保授权的人员随时获得；u定期评审，必要时予以修订，以符合组织的安全方针；u进行版本控制，保证现场使用的文件为最新有效版本；u当文件废止且有法律或知识保护目的要求时，应保存并标识，防止误用；u文件应易读，标明日期（包括修订日期）；u按规定方式对文件进行标识（文件编号）；u按规定时间保存；u体系文件本身也属于信息资产，其中含有敏感信息，

24、应确定其密级并进行密级标识。326.记录组织应建立记录（record）程序，对具有符合性的记录进行标识、维护、保留和处置方面的控制。组织应按照规定的保存期限保存信息安全记录，以证明活动符合本规定要求及适合体系和组织的要求。如来访者登记、审核记录和访问授权等。对记录的管理要求和控制如下：v记录应清晰易读，对相关活动具有标识和可追溯性；v记录应以便于检索的方式保存。v记录的保存应符合有关的法律法规要求；须长期保存的记录应存放于一个适宜的环境，防止损坏、变质和丢失；电子媒体的记录应进行备份等；v记录也属于信息资产，对于含有敏感信息的记录应进行密级标识并进行适当的控制。333.3 控制细则 控制细则包

25、括安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运作管理、访问控制、系统开发与维护、商务持续性管理、依从共11大控制方面、36个控制目标、134种控制方式，涉及与信息安全有关的方方面面。 组织应根据风险评估结果从中选定适宜的控制目标和控制方式，对于不适宜的条款应在适用性声明中给予说明。3435u安全方针：v目标：制定指导方针，通过在组织内对信息安全方针的发布和保证来证明对信息安全支持和承诺。v信息安全方针包括：信息安全定义、总体目标与范围以及信息共享的安全机制；为达到此目的的管理意向；对组织有重大意义的安全方针、原则、标准和符合性的简要说明；对信息安全管理的总体和具体责任

26、的规定；制定用户应该遵守的安全规定支持安全方针的文件。36u安全组织：v目标：建立组织内的管理体系以便安全管理。v信息安全组织内容包括：组织信安委和专家组，信安委批准安全方案、分配安全职责和协调组织内部信息安全的实施。专家组提出有效的安全建议。加强与外专家联系，跟踪行业趋势，监督执行安全标准和安全评估，在处理安全事件时提供必要联系渠道。鼓励多学科的信息安全方法的发展，如经理人、用户、行政人员、应用软件设计者、审计人员和保安人员以及行业专家之间的协作。控制第三方对本组织的信息处理设备的访问。如果业务上需要第三方的访问，应当进行风险评估以确定安全隐患和控制要求外包合同中表明信息系统、网络和桌面环境

27、方面的风险、安全控制和流程。控制细则资产分类与控制：目标：维护组织资产的适当保护系统。内容包括：利用资产清单、分类处理、信息标签等对信息资产进行保护。以所有重要的信息资产都要进行说明并指定责任者，以确定适当的维护控制措施。信息分类可以确认信息的保护等级，并采取适当的保护手段。37控制细则人员安全：目标：减少人为造成的风险。内容包括：岗位安全职责和人员作用条款。减少人为错误、盗窃和设施误用造成的风险。设置用户培训条款，确保用户清楚知道信息安全的危险性和相关事项，以便在工作中支持组织的方针。设置安全事件及故障处理条款（应急响应）38控制细则物理和环境安全：目标：防止对关于IT服务的未经许可的介入、

28、损伤和干扰服务。内容包括：确定安全区域，防止非授权访问、破坏、干扰商务场所和信息通过保障设备安全，防止资产丢失、破坏、资产危害及商务活动中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窍。3940u通信与操作方式管理：v目标：保证通讯和操作设备的正确和安全维护v内容包括： 将系统发生故障的风险降到最低（事先规划与准备、在接收和使用新系统之前，规定相应的操作要求）。 保护软件与信息完整性。设置预防措施来防止和检测恶意软件的引入。 维护信息处理和通讯服务的完整性和可用性。建立常规程序，按规定的备份策略，对数据进行备份，执行及时的恢复工作、登录事件和失败事件以及监视设备的环境。 确保对网络信

29、息和基础设施的保护，对跨组织边界的网络的格外关注；对于通过公共网络的敏感信息要有额外的控制措施。 防止资产损失和商业活动的中断。对各种媒体都应该加以管理，并且给与物理上保护。 防止丢失、修改或误用组织之间交换的信息，对组织之间信息和软件的交换进行控制，并建立流程和标准来保护传输中的信息和媒体。控制细则访问控制：目标：控制对信息的访问内容包括：按访问控制的商务要求，控制信息访问加强用户访问管理，防非授权访问明确用户职责，防非授权的用户访问加强网络访问控制，保护网络服务程序加强OS访问控制，防非授权计算机访问加强应用访问控制，防非授权访问系统中的信息通过监控系统的访问与使用，监测非授权行为在移动式

30、计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全。41控制细则系统开发与维护：目标：保证系统开发与维护的安全内容包括：明确系统安全要求，确保安全性已构成信息系统的一部分加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发与支持过程的安全，确保应用系统软件和信息的安全。42控制细则商务连续性管理：目标：防止商业活动中断和灾难事故的影响内容包括：通过预防与恢复的控制性措施可以使可能受到的灾难或安全故障所产生的破坏减少到可以接受的程度。分析灾难、安全事故和服

31、务丢失产生的后果，制定和实施偶然事故计划、确保业务过程在要求的时间内恢复。识别和减少风险，限制破坏性事件的后果，确保主要操作的及时迅速恢复，以及保护关键业务过程遭到主要故障或灾难的影响。43控制细则符合性目标：防止任何违反法令、法规、合同约定及其他安全要求的行为。内容包括：对信息系统的设计、操作、使用和管理应该符合法律、法规和合同的安全要求。确保系统符合组织的安全策略和标准，定期检查信息系统的安全性。将系统审核过程的利益最大化，将干扰最小化。44四、基于等级保护的信息安全管理体系中华人民共和国计算机信息系统安全保护条例1994年2月18日，国务院令147号。提出了等级保护思想，“计算机信息系统

32、实行等级保护”国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）（2003年8月26日）“综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”454.1 等级保护概述等级保护含义指根据信息系统在国家安全、经济安全、社会安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险、应对风险的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。等级保护基本原则重点保护原则“谁主管、谁负责”原则分区域保护原则根据各地区、各行业信息系统的重要程度、业务特点和不同发展水平，

33、分类、分级、分阶段进行实施，通过划分不同安全保护等级的区域，实现不同强度的安全保护。同步建设、动态调整46安全等级划分关于信息安全等级保护工作的实施意见（公通字200466号）规定，按5个安全等级管理第一级自主保护级适用于一般，其受到破坏后，会对公民、法人和其他组织的权益产生一定的影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级指导保护级适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息与信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。第三级监督保护级适用涉及国家安全、社会秩序、经济建设和公共利益的信息与信息系统，其受到破坏后，会对

34、国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级强制保护级适用涉及国家安全、社会秩序、经济建设和公共利益的重要信息与信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级专控保护级适用涉及国家安全、社会秩序、经济建设和公共利益的重要信息与信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。474.2 等级保护的实施方法与过程实施方法安全定级基本安全要求分析：对应标准，分析检查系统的基本安全要求系统特定安全要求分析风险评估改进和选择安全措施实施安全保护措施48等级保护实施过程定级阶段总体定级与子系统定级规划与设

35、计阶段实施、等级评估与改进阶段49系统识别与描述等级确定系统分域保护框架建立选择和调整安全措施安全规划与方案设计安全措施实施评审验收符合等级保护要求？运行监控与改进符合等级保护要求？实施、评审与改进规划与设计定级否否是是监控系统的变化和系统安全风险的变化，评估系统的安全状况。如评估后发现系统及其风险环境已发生重大变化，新的安全保护要求与原有的安全等级已不相适应，由应进行系统重新定级。如系统仅发生部分变化，而这些改变不涉及系统的信息资产和威胁状况的根本改变，则只需要调整和改进相应的安全措施。五、安全风险管理5.1基本概念风险风险：人们对未来行为的决策及客观条件的不确定性而导致的实际结果与预期结果

36、的偏差的程度。风险具有如下特点：客观性。不确定性（发生/程度/何时/何地）不利性。（对承担者是不利的，做好对策）可变性。（在一定条件下可以转化。性质/大小/一定空间和时间内可以消除/新风险产生等）相对性。505.1 基本概念风险管理风险管理：降低风险发生的概率，或当某种风险突然降临时，减少损失的管理过程。风险管理承认成功的攻击将会存在，如非授权访问、侵入等。但发生的可能性和产生后果的严重程度将被限制和控制在最小值，这是风险管理的宗旨。风险管理包括为提供有效的损失预防方案而进行的规划、组织、领导、协调及控制活动。风险管理的意义是使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并

37、最终通过对支持其使命的信息系统及数据进行保护而提高其生命能力。515.1 基本概念风险管理的循环过程风险管理的循环过程52系统脆弱性检查风险等级审查风险损失评估报告安全事件安全制定响应计划组成响应小组事件结束下一风险风险总结经验结累系统恢复正常运行确定总体响应方案制定补救措施消除或隔离威胁修补漏洞恢复数据向其他部门报警系统整体检查5.1 基本概念53风险管理内容风险评估风险处理基于风险的决策评估信息系统资产、威胁、脆弱性以及现有的安全措施，分析安全事件上发生的可能性以及可能的损失，从而确定信息风险，并判断风险优先级，建议处理风险的措施。考虑信息安全措施的成本，选择合适的方法处理风险，将风险控制

38、在可接受的程度。由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内。基于这一判断，主管者或运营者将做出决策，决定是否允许信息系统运行。5.1 基本概念风险管理要素及相互关系基本要素包括：使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、安全需求、安全措施54使命资产资产价值安全需求安全措施风险残余风险脆弱性威胁事件演变成残留被满足未控制可能诱发增加导出未被满足增加暴露拥有增加利用成本抗击降低依赖5.1 基本概念风险管理的角色与责任55角色角色责任责任国家信息安全主管机关制定信息安全政策、法规和标准督促检查和指导各单位的风险管理工作业务主管机关提出、组织制定并批准本单位的信息

39、安全风险管理策略领导和组织本单位信息系统安全评估工作判断信息系统的残余风险是否可接受，决定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期开展新的风险评估工作信息系统拥有者/运营者制定风险管理策略和安全计划，报上级审批；组织实施自评估工作；配合检查评估或委托评估工作，提供必要文档资料。向主管机关提出风险评估建议、改善安全措施、处理安全风险5.1 基本概念风险管理的角色与责任56角色角色责任责任信息系统承建者将建设方案提交给有关方面进行风险分析，并据结果修改完善方案；在方案中有效控制风险、规范建设，减少在建设阶段引入新的风险。信息安全服务/集成机构提供独立的风险评估，提出

40、调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，处理风险。保护评估中的敏感信息，防止被无关人员和单位获得。使用经过安全测评认证的产品协助制定风险管理策略和安全计划根据系统拥有者/运营者的需求，对风险进行处理信息系统的关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险协助风险管理工作确定安全边界在风险评估中提供必要的资料和资源5.1 基本概念风险管理与其他安全保障的关系风险管理是信息系统安全保障工作的核心。信息系统的任何保障工作的目的就是处理信息安全风险，使残余风险可接受。风险管理是一个在信息系统生命周期各主要阶段实施的连续性过程。57生命周期阶生命周

41、期阶段段阶段特征阶段特征风险管理工作的支持风险管理工作的支持阶段1：系统规划与启动提出信息系统目的、需求、规模和安全要求确定信息系统的安全需求阶段2：设计开发与采购信息系统的设计、购买、开发或建造对设计进行风险评估，支持后续的安全分析；可能对系统体系和设计方案进行更改阶段3：集成实现实现信息系统的安全特性，并进行测试与验证通过风险评估考察信息系统的安全效果，判断是否满足要求，做出相关决策。阶段4：运行与维护系统要不断修改完善，增加硬软件，或改变单位的运行策略、流程等。在运行过程中出现重大变更时（增加新功能/接口，外部环境发生变化等），要对其进行风险评估，处理新产生的风险，并重新判断是否允许信息

42、系统继续运行。阶段5：废弃对信息、硬软件的废弃。包括信息的转移、备份、丢弃、销毁以及对软硬件进行的报废处理在报废或替换系统组件前，要对其进行风险评估，以确保硬件和软件的废弃处置方式是恰当的。此外。还要确保信息系统的升级换代过程能够平稳、可靠运行。5.2 风险评估风险评估是确定一个信息系统面临的风险级别的过程，是风险管理的基础。通过风险评估确定系统中的剩余风险，并判断该风险级别是否可以接受或需要实施附加措施来进一步降低。风险取决于威胁发生的概率和相应的影响。585.2 风险评估59风险评估准备资产识别威胁识别脆弱性识别已有安全措施确认风险计算风险是否接受保持已有安全措施选择适当的安全措施并评估残

43、余风险是否接受残余风险实施风险管理评估过程文档评估过程文档评估过程文档否是否是风险分析5.2 风险评估60资产识别资产分类：根据评估对象和要求确定。根据资产表现形式，可将资产分为数据、 软件、硬件、文档、服务、人员等类资产赋值机密性赋值完整性赋值可用性赋值极高高中等低可忽略重要性赋值（很高、高、中、低、很低）5.2 风险评估61威胁识别威胁分类威胁赋值判断威胁出现的频率是威胁识别的主要工作，评估者需要综合考察以下三个方面，以形成各种威胁出现的频率：1.以往安全事件报告中出现过的威胁及其频率统计；2,通过测试工具及日志发现的威胁及其频率统计3.近一两年来国际组织发布的对于整个社会或特定行业的威胁

44、及其频率统计，以及发布的威胁预警。（很高、高、中、低、很低）来源分析：环境、人为（恶意、误操作等）软硬件故障、物理环境、无作为或误操作、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击、物理攻击、泄密、篡改、抵赖5.2 风险评估62脆弱性识别脆弱性识别内容脆弱性赋值根据对资产损害程度、技术实现难易程度、脆弱性流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值： 很高被利用将对资产造成完全损害 高被利用将对资产造成重大损害 中被利用将对资产造成一般损害 低被利用将对资产造成较小损害 很低被利用将对资产造成的损害可忽略物理环境方面：GB/T93612000计算机场地安全要求OS/DB： GB

45、178591999 计算机信息系统安全保护等级划分准则管理方面：ISO/IEC17799标准类型类型识别对象识别对象识别内容识别内容技物理环境机房防火/供配电/静电/接地与防雷/电磁防护/通信线路保护/机房区域防护/机房设备管理术服务器（含OS） 物理保护/用户帐户/口令策略/资源共享/事件审计/访问控制/新系统配置/注册表加固/网络安全/系统管理等方面进行识别脆网络结构网络结构设计/边界保护/外部访问控制策略/内部访问控制策略/网络设备安全配置等方面进行识别弱数据库补丁安装/鉴别机制/口令/访问控制/网络和服务设置/备份恢复机制/审计机制等性应用系统审计机制/审计存储/访问控制策略/数据完整

46、性/通信/鉴别机制/密码保护等管理技术管理物理和环境安全/通信与操作管理/访问控制/系统开发与维护/业务连续性脆弱性组织管理安全策略/组织安全/资产分类与控制/人员安全、符合性5.2 风险评估已有安全措施的确认对有效的安全措施继续保持，对确认不合适的安全措施应核实是否应被取消，或用更合适的安全措施替代。 预防性安全措施：降低安全事件发生可能性安全措施 保护性安全措施：减少因安全事件发生对系统的影响635.2 风险评估风险分析风险计算原理风险值R（安全事件发生的可能性，安全事件的损失） R(L(威胁出现频率，脆弱性),F(资产重要程度，脆弱性严重程度)计算方法： 矩阵法：安全事件发生可能性与安全

47、事件损失之间关系； 相乘法：将安全事件发生可能性与安全事件损失相乘得到风险值。风险结果判定64等级等级标识标识描述描述5很高发生将使系统系统遭到非常严重破坏，组织利益非常严重损失4高发生将使系统系统遭到严重破坏，组织利益严重损失3中发生将使系统系统遭到较重破坏，组织利益受到损失2低发生将使系统系统遭到一般破坏，组织利益受到一般损失1很低发生只会使使系统系统遭到较小破坏5.2 风险评估风险评估记录评估文件记录要求确保文件发布前是得到批准的；确保文件的更改和现行修改状态是可识别的；确保使用时可获得有关版本的适用文件；确保文件的分发得到适当的控制；防止作废文件的非预期使用，若因任何目的需保留作废文件

48、，应对这些文件作适当标识；对于评估过程中产生的文件，应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。655.2 风险评估风险评估文件至少包括评估过程文档和评估结果文档。风险评估计划：阐述风险评估目标、范围、团队、评估方法、评估结果的形式和实施进度等；风险评估程序：明确评估的目的、职责、过程、相关的文件要求，并准备实施评估需要的文档；资产识别清单：清单中应明确各资产的责任人/部门；重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；威胁列表：根据威胁识别和赋值的结果，形成威胁名称、种类来源、动机及出现的频率等；665.2

49、风险评估风险评估文件脆弱性列表：根据威胁识别和赋值的结果，形成脆弱性列表，包括脆弱性名称、描述、类型及严重程度；已有安全措施确认表：包括措施名、类型、功能描述及实施效果；风险评估报告：对评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标和措施，明确责任/进度/资源，并通过对残余风险的评价确保所选择的安全措施的有效性；风险评估记录：记录对重要资产的风险评估过程。675.3 风险处理风险处理方式包括对风险评估过程中建议的安全措施进行优先级排序、评估和实施

50、。风险处理是一个系统工程可通过多种方式实现：风险承担：接受潜在风险，继续运行系统，不处理风险；风险降低：实现措施，降低风险（如FW/漏洞扫描系统）风险规避：不介入风险（如放弃系统某项功能或关闭系统）风险转移:使用其它措施来补偿损失，转移风险（如购买保险）685.3 风险处理风险处理针对性处理方式以及安全措施有很强的针对性，必须依靠风险评估的结果确定风险处理方式以及具体的安全措施。威胁属性：威胁主体、能力、资源、动机、途径、可能性和后果，安全措施可针对不同的属性。如：威胁源：物理隔离，使攻击者无法访问系统威胁者能力：采用强加密手段威胁者的资源：采用层次化保护和纵深防御措施，使攻击者的资源难以支持

51、其突破信息系统的保护防线；威胁者的途径：将通信线路和电源线置于墙内或天花板内其它。695.3 风险处理风险处理过程在风险处理的目的是以最小的成本解决最大的风险，将风险控制在可接受的水平。705.3 风险处理711.对优先级进行排序对优先级进行排序3.实施成本效益分析实施成本效益分析2.评估所建议的安全措评估所建议的安全措施（可用性施（可用性/有效性）有效性）4.选择安全措施选择安全措施5.分配责任与任务分配责任与任务6.制定安全措施的实现计划制定安全措施的实现计划 风险及级别风险及级别 优先级排序后的行动优先级排序后的行动 建议的安全措施建议的安全措施/选择的安全措施选择的安全措施 责任人责任人/任务人员任务人员 开始时间开始时间/完成时间完成时间 维护要求维护要求7.实现所选安全措施实现所选安全措施来自风险评估报来自风险评估报告的风险级别告的风险级别风险评估报告风险评估报告由高到低的行由高到低的行动优先级动优先级可能的安全措可能的安全措施清单施清单成本效益分析成本效益分析所选择的安全所选择的安全措施措施责任和任务人责任和任务人员清单员清单安全措施实现安全措施实现计划计划残余风险残余风险5.4 常用的风险计算方法风险矩阵测量法事先建立资产价值/威胁等级/脆弱性等级的对应矩阵，然后根据不同资产的赋值从