XX科技风险评估服务工程指南

1、XX 科技风险评估服务工程指南科技风险评估服务工程指南 文档编号文档编号请输入文档编号 密级密级请输入文档密级 版本编号版本编号 日期日期 2022 XX 科技科技 版权声明版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XX 科技科技所有，受到有关产权及版权法保护。任何个人、机构未经 XX 科技科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 版本变更记录版本变更记录时间时间版本版本说明说明修改人修改人 适用性声明适用性声明本模板用于撰写 XX 科技内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。 -

2、I -目录目录一. XX 科技风险评估项目概述.11.1 风险评估服务简述 .11.2 风险评估基本概念 .11.3 风险评估各要素的关系 .21.4 风险评估的目的和意义 .31.5 风险评估的基本内容 .4二. 风险评估项目实施内容.52.1 项目准备阶段.52.2 项目实施阶段.72.3 风险综合分析阶段.12三. 风险评估项目剪裁.17四. 由风险评估服务衍生的其它服务 .184.1 等级保护.184.2 SOX .184.3 ISMS 体系建立与 27001 认证咨询.194.4 安全域划分.19五. 风险评估在不同阶段的应用.205.1 信息系统生命周期概述 .205.2 信息系统

3、生命周期各阶段中的风险评估.20- II - 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 1 -一一. XX 科技风险评估项目概述科技风险评估项目概述1.1 风险评估服务简述风险评估服务简述信息系统安全风险评估作为安全咨询服务的一项重要内容，是其他安全服务如体系建立、安全规划、法规遵从等服务的基础，同时也是提升安全服务层次、深入了解用户系统现状、安全需求以及安全规划的有力手段。风险评估服务中所涉及的要素有业务、信息资产、脆弱性、威胁和风险，对风险衡量的因素主要有两个：可能性和影响。1.2 风险评估基本概念风险评估基本概念信息安全的核心概念是安全风险，即由于系统存在的脆弱

4、性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全的基本要素包括：业务承载：业务承载：即一个单位通过信息系统实现的工作任务。一个单位的主营业务对信息系统和信息的依赖程度越高，就越需要信息安全保障。信息资产：信息资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。资产价值：资产价值：资产是有价值的，资产价值可通过资产的敏感程度、重要程度或关键程度来表示。威胁：威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等。脆弱性：脆弱性：信息资产及其安全措施在安全方面的不足和弱点

5、。脆弱性也常常被称为漏洞。事件：事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 2 -风险：风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响来衡量。残余风险：残余风险：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。安全需求：安全需求：为保证一个单位的使命能够正常行使，在信息安全保障措施方面提出的要求。安全措施：安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件

6、，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。安全措施分为技术和管理两大类。1.3 风险评估各要素的关系风险评估各要素的关系风险评估相关要素的关系如图1所示,这张图出自ISO 13335,是进行风险评估服务的基础,它比较清晰地说明了风险评估中所涉及的各个要素及相互关系。图1-1 风险评估相关要素的关系图1-1中方框部分的内容为风险评估相关的基本要素，风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。图1-1中这些要素之间存在着以下关系：业务战略依赖于信息资产去完成；信息资产拥有价值，

7、单位的业务战略越重要，对信息资产的依赖度越高，信息资产的价值则就越大；信 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 3 -息资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险一部分残余风险来自于安全措

8、施可能不当或无效,在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的。残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。1.4 风险评估的目的和意义风险评估的目的和意义我们开展风险评估服务，主要目的有：了解用户信息系统承载的业务、业务流程、行业特点；全面、系统的分析用户信息系统面临的风险，为用户设计符合用户特点的个性化的安全方案打下良好基础；了解用户信息系统安全需求、安全目标；将安全问题的解决转变为以系统安全风险为导向的解决过程；发现系统中技术和管理等方面的问题；评价信息系统已有的安全建设的有效性；根据评

9、估结果，设计新的项目内容；为信息安全保障体系投资建设决策提供参考；将单纯的产品部署实施演变成与用户业务结合更为紧密的、高层次的系统体系架构安全的分析和设计。信息系统业已成为许多单位业务运行的关键，尤其是党政机关、运营商、电力、税务等掌握国家政治、经济命脉的部门，威胁因素及可利用的脆弱性的数量、危害、不确定性随系统规模的扩大而变得越来越难以预测，因此单位在信息系统方面花费了大量的人力和物力来进行信息安全保障体系的建设。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 4 -但是，单位进行信息安全体系建设的目的决不是为了安全而安全，而是考虑到系统的不安全将会给单位带来经济、信誉

10、、运营等方面的不利影响才进行的，因此信息安全体系建设必须符合单位盈利、业务的整体目标和决策方向。对单位来说，不进行系统安全体系建设会流失利润，影响单位信誉或业务正常开展；但过分强调体系建设又会增大运营成本。信息系统风险评估是实现两者之间平衡的一个手段。风险评估能保证安全控制措施应用在具有最大风险的区域。风险评估结果可作为对单位所实施的安全措施进行优先级排序的重要依据。风险评估也将鉴别已有安全措施是否在单位持续运营的过程中仍然具有相应的效力，从而保障单位的已有安全投入。此外，通过风险评估可以验证一个机构已进行的信息安全建设的有效性。1.5 风险评估的基本内容风险评估的基本内容一个完整的风险评估服

11、务，将完成如下任务：确定评估区域，进行系统承载业务分析，从而识别关键业务、关键业务流程，确定评估对象；分析评估对象所承载的业务和信息资产遭到破坏后所造成的影响；通过技术手段、调研访谈等形式识别系统所存在的各种技术、管理以及架构上的脆弱性，从而识别可能被各种威胁源（如内部人员、外部人员、环境）利用的弱点；分析目前所实施的安全控制措施是否适当或在单位运营过程中是否仍然具有效力，从而确定是否需要进行相应的修正或增加其它安全措施，以保障已有的投入；在脆弱性识别和分析的基础上，对可能面临的威胁进行可能性分析；通过对影响和可能性的分析，鉴别单位系统存在的风险，从而识别单位信息系统存在着的不可接受的风险；提

12、出管理不可接受风险的安全控制措施，从而在今后的安全工作中可根据单位的实际情况进行分阶段、分步骤实施；为单位在信息安全方面的投资决策提供依据，确保资源的最佳利用。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 5 -二二. 风险评估项目实施内容风险评估项目实施内容信息系统风险评估项目实施实行项目经理负责制，风险评估实施的全过程纳入公司项目管理，由项目经理统筹安排。项目分为四个阶段，分别是项目准备阶段、项目实施阶段、风险综合分析阶段、项目验收阶段。这些阶段中前两个阶段没有严格的顺序关系，阶段工作内容可根据实际情况灵活处理，如在确定评估范围过程中完成信息资产调研、。实施阶段及各

13、阶段的任务如图所示： 2.1 项目准备阶段项目准备阶段2.1.1 主要工作主要工作在这个阶段，完成的主要工作如上图，首先应根据合同内容成立评估项目组，项目组应对合同进行分析，对项目内容、具体实施重点以及在实施过程中可能出现的问题进行沟通， 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 6 -在这个工作过程中，建议项目组召开一个专门针对本次评估项目的会议，售前人员与商务人员均能够参加，完成售前和售后的工作交接。交接工作完成后，项目组应制定项目实施计划，并与用户确认，进一步明确本次评估的范围、内容和各阶段工作的完成时间。向客户宣贯 XX 科技的评估方法论并根据合同的具体要求组

14、织培训，同时可向用户提出评估过程中需用户的配合事项以及所需占用客户的时间。与客户签署保密协议，对在评估中所需的系统资料与用户商定提交方式，并对这些资料进行接收，并填写客户资料接收清单。在以上工作完成后组织召开项目启动会，项目启动会除邀请我方全部项目参与人员、客户发起方配合人员参加外，最好有一个或者多个客户高层管理人员到场，以听取高层管理人员对该项目的意见和期望，获得高层管理人员对评估项目的支持。该阶段的结束标志为项目启动会的召开。2.1.2 主要解决问题主要解决问题通过这个阶段，主要解决如下问题： 售前售后工作交接 项目组确立，人员分工 项目计划制定并经用户确认 评估范围最终确定 保密协议的签

15、署 客户信息系统相关资料的接收 XX 科技风险评估方法宣讲 项目启动会 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 7 -2.2 项目实施阶段项目实施阶段2.2.1 主要工作主要工作2.2.1.1 业务调研业务调研业务谈不清楚，只给用户一个模板化的评估实施方案，这种方案即没有说服力和针对性,各家方案又高度雷同，越来越难以取得用户认可。作为一个风险评估的实施人员，应该即熟悉信息系统安全知识，也拥有良好的沟通技巧和说服能力，同时更重要的是还应具备被评估单位的业务背景。很难想象一个没有连信息系统承载业务都谈不清楚的评估实施人员可以有效把握企业安全需求和打动对我们本质上都保持狐

16、疑的潜在客户。 现在有很多企业都希望评估能和业务结合的更紧密一些，能够围绕业务提出针对性安全建议，但最有经验的人也不可能了解所有的行业，有无其它行业经验只是成功调研的一个积极因素而已，我们应按照正确的过程组织调研工作，通过调研工作将一些陌生的行业调研清楚。 业务调研主要任务是了解信息系统承载的业务情况，以及由此带来的业务风险，在现场测试之前，应该对系统承载的关键业务和业务流程进行比较详细的调研，一定要有比较清晰的认识。业务调研是提升我们目前服务和产品层次的一个有效过程,风险评估项目中如果缺少对客户业务及业务流程安全风险的详细了解和分析是不完善的。2.2.1.2 信息资产调研信息资产调研 信息资

17、产调研主要通过调研和资产调查表详细了解测试对象组成，比如主机、终端、服务器、网络设备等，以及所安装的系统软件、数据库、在业务系统的作用等，目的是建立比较详细的信息资产列表，确认关键的信息资产，明确评估中的技术测试对象，对它们遭受损坏或攻击对承载业务所造成的影响进行分析；同时在这个过程也要确认系统拓扑图，通过拓扑 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 8 -图的确认也是确定评估范围的一种常用方法，目前主要还是通过用户信息系统拓扑图的确立来确定评估中的技术测试对象。 在现阶段，对人员、影响等无形信息资产如的调研 我们是通过信息资产调研具体、有形的系统组成的调研过程以及

18、管理调研、咨询等过程中完成的。2.2.1.3 技术测试技术测试2.2.1.3.1 漏洞扫描漏洞扫描脆弱性扫描是评估活动中一项重要的技术手段，它是对被测信息系统进行检查，了解被测信息现状，发现其中可被利用的漏洞，其扫描结果是对被测信息系统安全现状的一个反映，是信息系统安全评估的一个重要组成部分，也可为进一步对被测对象进行配置检查做前期的数据收集和技术准备。安全扫描器是信息安全脆弱性扫描中的一个重要产品，安全扫描器可以根据不断完善的漏洞资料库，检测出系统中终端、服务器、数据库、网络设备等的弱点并进行安全风险分析，同时对发现的安全隐患提出针对性的解决方案和建议，对发现的安全弱点采取加固措施，这样可以

19、提高信息系统的安全性，增强对入侵和病毒的防御能力。系统安全扫描系统作为主要的安全测试工具之一，在现场测试中主要应用于以下四个方面：网络拓扑发现。对一个信息系统进行评估前，首先要对系统网络结构有个全面的了解。安全扫描系统可以根据需要，对被测网络进行基于 IP 地址、网段或指定地址范围的探测扫描，迅速发现被测网络中接入的主机，使测试人员对网络整体结构有个清晰的了解。主机信息收集及漏洞扫描。安全扫描系统可以有效的识别被测主机的操作系统类型，如 Windows、UNIX、Linux 等，并可获得主机名、用户帐号等信息。基于已知的漏洞库，安全扫描系统可以对目标主机进行有选择的漏洞检测扫描。基于预定策略模

20、板进行安全配置检查。安全扫描系统可利用管理员权限对被测系统进行深入扫描，获取被测系统更为详细的配置信息，根据安全要求对配置信息进行分析，指出安全配置存在的漏洞并提出相应的改进建议。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 9 -网络设备、安全设备端口扫描。是否存在多余开放端口或服务是对网络安全设备的一项重要测试项目，安全扫描系统可以对被测目标进行可定制的端口扫描，通过多种端口扫描方式，基本可以探测被测目标全部开放端口。 这项工作目前主要是利用我们公司的极光扫描器完成,也可通过其他工具进行辅助检查。2.2.1.3.2 功能验证功能验证 在实际的项目中，很多系统尤其是应

21、用系统所承诺的安全功能经常会出现并没有如界面所表现的那样实现或实现的强度不够。如果这些系统或产品自身的安全性得不到保证，或是其安全功能的实现不是有效的，则其保护的信息系统的安全性就无从谈起，也使配置检查结果失去其价值和意义。因此，系统和产品自身的安全性及安全功能的有效性是保障整个信息系统安全的基础。这项检查内容对单纯的配置检查是一个比较好的补充，功能验证可采用多种方法，典型的是采用黑盒测试手段进行，采用各类验证脚本和测试用例完成。2.2.1.3.3 配置检查配置检查 配置检查主要是基于对成熟商业产品安全功能认可的基础上，根据系统安全策略要求，检查安全功能的配置情况，对其安全功能配置的合理性进行

22、的符合性检测。检测人员使用脚本或手工检查方式，检查系统、数据库、网络设备、安全设备等的安全配置情况。对被测对象实施全面而周到的安全配置检查，确定系统的安全配置现状，发现系统中存在的安全配置问题（漏洞）。检查过程中，主要采用的测试手段包括查看相关安全配置、检测系统运行状况、手工或使用自动脚本对安全配置情况加以验证。 与其他测试方法相比，配置检查可以获得系统较为真实的安全配置现状，而且几乎不会对被测系统的运行造成负面影响。2.2.1.3.4 网络流量及内容分析网络流量及内容分析这部分内容主要是通过入侵检测系统来进行测试的。对各种网络访问进行监控和测试，入侵检测系统的使用对于外界防御和内部控管的检测

23、都是比较有意义的。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 10 -通过对一段时间内入侵检测设备采集的数据，可判断、分析是否有安全问题产生，总结出恶意攻击行为的方式和特征，对于各种外部的入侵行为，入侵检测系统即可以通过识别行为模式的方式进行识别，从而为安全风险的处理提供早期预警。入侵检测系统所获得的信息能够有效的应用于风险评估工作，并直观的展现当前应用环境下发生及尚在潜藏状态的安全威胁。入侵检测系统不但是系统安全防护的重要手段，在评估的技术测试中也可起到很好的作用,它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，

24、在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。 有效性测试。网络入侵检测设备可对网络典型攻击行为进行探测、记录和报警，为测试入侵检测系统能否对攻击行为进行及时报警，测试人员可使用安全扫描系统对监控网络进行模拟扫描攻击，以验证入侵检测系统是否对攻击行为进行记录和报警。2.2.1.3.5 渗透测试渗透测试 渗透测试是指尽可能真实的模拟攻击者所使用的方法和技术对目标系统进行测试，以检验系统在真实环境中的安全性。很多情况下，单纯的进行策略文档的评估和执行自动化安全评估工具往往无法发现一些潜在的安全问题，进行渗透测试工作是非常必要的。 渗透测试完全的模拟了真实的攻击，可以综合

25、考察单位信息安全工作的运转情况，对检验工作人员在安全事件响应和处理方面的成效很有帮助。渗透测试分为内网测试、外网测试和网间测试。 在风险评估中渗透测试完成的是点的工作,它可以从一个侧面反应系统的安全情况,但对于强调系统和全面发现信息系统安全问题的风险评估服务来说,不应过分强调该项测试的必要性和重要性,因为对一个信息系统来说,渗透测试成功与否并不能说明该系统的安全程度。2.2.1.4 管理现状调研管理现状调研 信息安全管理是对计算机网络应用体系中各个方面的安全技术、产品和人员进行统一的管理和协调，进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。信息安全管理是信息安全技术发挥功效的重要保障和

26、支撑。如果说，安全技术是信息安全的构筑材料，那么， 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 11 -信息安全管理就是粘合剂和催化剂，只有将安全管理有效地贯彻落实于信息安全的方方面面，信息安全的长期性和有效性才能有所保证。因此要重视信息系统安全管理现状调研在系统风险评估中的作用。 目前我们的安全管理调研主要通过问卷调研、查阅用户管理制度文档、访谈调查等方法进行的，问卷的设计是参照信息安全标准部分所提及的国际、国内标准以及在项目实施中的经验所确定的，针对被评估单位在信息安全方面制定规章制度的合理性、完整性、适用性等进行评估，主要包括以下几方面：安全策略组织信息安全资产分

27、类和控制资产管理人力资源安全物理和环境的安全通信和操作管理访问控制信息系统获取、开发和保持信息安全事故管理业务连续性管理符合性2.2.2 主要解决问题主要解决问题 这个阶段应理解为是整个风险评估项目的数据收集过程，收集的数据包括：系统承载的业务及业务流程系统安全需求单位的组织架构单位的制度体系 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 12 -信息系统拓扑结构信息资产的详细信息确认关键信息资产信息系统脆弱性信息系统面临威胁已有的安全控制措施这个阶段大部分工作是在用户现场完成的，这个阶段应是 XX 体现技术优势的地方，应采用丰富的技术手段和管理工具，尽可能全面地收集用户

28、脆弱性信息，这是 XX 公司与其他公司所作风险评估的一个重要区别所在。2.3 风险综合分析阶段风险综合分析阶段2.3.1 主要工作主要工作2.3.1.1 体系结构分析体系结构分析体系结构分析部分主要是从整体上评价被评估系统的整体安全状况，主要是从组织体系、技术体系、管理体系的制定执行情况进行的综合分析。这部分内容是从系统的角度对被评估对象的总体评价。这部分的分析内容应尽可能结合系统承载业务进行分析。2.3.1.2 业务综合分析业务综合分析业务分析是对系统业务及安全需求的认识、分析过程，目的是认识并深入理解被评估系统的业务，这是正确识别安全风险的基础。业务分析在系统相关文档和现场系统调查基础上，

29、分析并描述系组织结构、业务功能、业务流程、数据信息和用户情况。业务分析应识别决定系统安全性的关键数据和服务，并分析这些信息资产安全性受到破坏后对机构业务等方面的影响。在业务分析过程中,我们还有一个重要的目的是要把基本的业务安全目标转换成特定的信息系统安全目标，即将平台无关的业务安全需求转换为平台相关的信息系统安全需求，例如，对财务系统，内部业务控制目标可能是保证交易数据正确地传送给了总帐系统，但落实到信 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 13 -息系统安全目标时，就是审核交易系统的输入、处理、输出等功能应增加控制措施，以保证在交易处理发生错误时，及时检测出错误

30、及做适当的处理。2.3.1.3 信息资产分析信息资产分析信息资产分析主要是针对所评估的信息系统进行的，识别关键系统组成单元，即我们在现场测试过程中的测试对象，重点是重要服务器和网络设备，其他有形资产如终端、电子数据融入到对服务器和网络设备之中，分析其遭到破坏对业务和数据所造成的影响。2.3.1.4 脆弱性分析脆弱性分析脆弱性主要指技术脆弱性和管理脆弱性分析。涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题，对各测试类中所发现的问题进行描述并生成技术和管理脆弱性列表。技术脆弱性的来源主要是我们在实施阶段的测试数据，如配置检查、漏洞扫描、IDS网络检测和渗透测试等；管理脆弱性主要是根

31、据管理问卷、威胁调查及管理执行情况调研所收集到的信息。技术脆弱性分析主要针对关键资产所对应的系统单元及相关测试对象进行，技术脆弱性分析的最终形式是围绕关键资产的脆弱性列表。管理脆弱性分析是依据各类安全管理要求对现有的安全管理制度的制定和执行情况进行检查，发现其中的管理漏洞和不足。以上对系统脆弱性的分析结果是后面系统威胁分析、风险分析的基础，也是导出风险列表的重要依据。2.3.1.5 已有安全控制措施分析已有安全控制措施分析在风险评估中应对系统已采取的安全控制措施进行识别，并对控制措施有效性进行核查，核查包括对防火墙、IDS、交换机等网络设备的安全配置检查，操作系统、数据库安全功能检查，应用软件

32、安全功能验证等，将有效的安全控制措施继续保持，并进行优化，以避免不 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 14 -必要的工作和费用，防止控制措施的重复实施。对于那些确认为不适当的控制应取消，或者用更合适的控制代替。2.3.1.6 威胁可能性分析威胁可能性分析对威胁的分析是建立在业务分析、资产分析、脆弱性分析和已有安全控制措施分析基础之上的，威胁分析主要分析其可能性可能性，评估确定威胁发生的可能性是这一阶段的重要工作。可能性的判断是评估组根据经验和（或）有关的统计数据来判断的。2.3.1.6.1 威胁的种类威胁的种类威胁种类是指威胁主体对系统目标造成破坏的所采取的主

33、要手段，具体分类包括十五种，威胁的主体包括：系统合法用户、系统非法用户、系统组件和物理环境。 下面分别对这些威胁及其可能发生的各种情形进行简单描述。威胁列表威胁列表威胁主体威胁主体威胁类别威胁类别威胁描述威胁描述操作错误合法用户工作失误或疏忽的可能性滥用授权合法用户利用自己的权限故意或非故意破坏系统的可能性系统合法用户（包括系统管理员和其他授权用户）行为抵赖合法用户对自己操作行为否认的可能性身份假冒非法用户冒充合法用户进行操作的可能性密码猜测非法用户对系统密码猜测的可能性漏洞利用非法用户利用系统漏洞侵入系统的可能性拒绝服务非法用户利用拒绝服务手段攻击系统的可能性恶意代码病毒、特洛伊木马、蠕虫、

34、逻辑炸弹等感染的可能性数据窃听非法用户通过窃听等手段盗取重要数据的可能性物理破坏非法用户利用各种手段对资产物理破坏的可能性系统非法用户（包括权限较低用（包括权限较低用户和外部攻击者）户和外部攻击者）社会工程非法用户利用社交等手段获取重要信息的可能性意外故障系统的硬件、软件发生意外故障的可能性系统组件通信中断数据通信传输过程中发生意外中断的可能性电源中断电源发生中断的可能性物理环境灾难火灾、水灾、雷击、鼠害、地震等发生的可能性 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 15 -2.3.1.6.2 威胁分析方法威胁分析方法威胁分析可从威胁来源、威胁动机、威胁路径等方面入手

35、，具体内容包括：这个系统究竟会受到哪些威胁（威胁来源）？可能有哪些类攻击（攻击种类）？攻击的具体方法是什么（攻击方法）？威胁发生的路径。围绕着以上列出的15种威胁，针对具体的测试单元，分别确定威胁主体，威胁来源、攻击种类、攻击方法、攻击路径。威胁来源可以通过威胁主体、威胁动机、攻击来源等角度来进行分析。在这一过程中，首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。从威胁主体来看，可以将威胁分为非人为的和人为的。对信息系统的非人为的安全威胁主要是自然灾

36、难，另外，由于技术的局限性，造成系统不稳定、不可靠等情况，也会引发安全事件，这也是非人为的安全威胁。人为的安全威胁的主体是一些个人和组织对信息系统造成的安全威胁。从威胁动机来看，人为的安全威胁可分为恶意攻击和非恶意行为。区分威胁的恶意或非恶意目的是非常重要的。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。恶意攻击具有明显的目的性，一般经过精心策略和准备，并可能是有组织的，投入一定的资源和时间。主要的非恶意攻击包括粗心或未受到良好培训的管理员和用户，由于特殊原因而导致的无意行为，造成对信息系统的破坏。从攻击来源来看，可以分为内部攻击和外部攻击。内部攻击来自于内部人员，由于内部人员知道系

37、统的部署、有价值的数据在何处以及系统采取的安全措施，因而可能具有更强的破坏性。同时由于内部攻击来自应用环境内部，常常难于检测和防范。在以上分析的基础上，还建议在条件允许的话进行攻击路径分析，主要是在对威胁静态分析的基础上，通过系统拓扑结构、管理架构和业务流程对威胁的实现途径进行威胁动态分析，这样将静态的威胁和具体系统结合起来，使威胁分析更具实际的指导意义。对威胁的具体分析结果是完成威胁分析列表（参见实施指南）。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 16 -2.3.1.7 风险分析风险分析 我们认为风险主要由两个因素决定：威胁发生（或脆弱点被利用）的可能性和对信息

38、系统所承载业务造成的影响，即R= F(C, L)注：R表示风险； C表示资产发生安全事件后对单位业务的影响(与资产的重要程度一致)，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。可能性的来源有三个部分：面临的威胁、系统脆弱性、已有的安全控制措施。通过对系统结构和威胁路径的分析可以确定关键的系统单元，安全威胁导致安全事件的可能性通过综合分析这些关键系统单元相关的安全威胁、脆弱性、安全措施（包括技术、管理措施和物理的保护措施）三个方面的因素来确定。数学表示为：C= p(T, V, S），其中P代表可能性，T代表威胁，V代表脆弱性，S代表安全措施。 其中影响分析是在资产分析过程中完成的，而可能

39、性的综合分析是在威胁可能性分析过程中完成的。2.3.1.8 生成报告生成报告风险评估中我们完成的主要文档和报告包括：测试文档 信息系统网络设备手工检查分析报告 信息系统服务器手工检查分析报告 信息系统 IDS 日志分析报告 信息系统安全漏洞扫描报告 信息系统渗透测试报告最终报告 信息系统安全现状分析报告 信息系统安全风险评估报告 信息系统安全建议报告这些报告只是在风险评估过程中所需要完成的基本报告，还可根据实际情况灵活设计报告，如业务调研报告、业务安全需求分析报告、系统安全管理现状报告等。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 17 -2.3.2 主要解决问题主要

40、解决问题 在这个阶段，主要完成如下工作内容：各类分析工作的完成各个主要报告的完成完成根据用户要求和实际需要所设计的额外项目内容完成与用户的报告修改与确认完成与用户的项目沟通，解决项目评审可能会遇到的问题三三. 风险评估项目剪裁风险评估项目剪裁上述信息系统安全风险评估过程主要是按照一个完整的风险评估模式设计描述的，而在实际的项目过程中，信息系统风险评估过程与方法是与具体客户业务环境极其相关，客户实施风险评估的投入、目的、过程与方法都可能不同，因此决定我们采用的风险评估方式和过程也不是一成不变的，应基于每个单位具体的业务特征和资金投入情况对风险评估每个单独阶段和过程进行剪裁，以满足客户的需要。对风

41、险评估过程与方法进行的剪裁主要涉及以下方面：风险评估中各工作内容的过程顺序在评估实施过程中，以上介绍的内容不是串行的,而且有些工作可以合并进行,比如 在准备阶段和现场实施阶段的各项工作。现场沟通、调研会的数量和形式；举行现场沟通和调研会的数量和形式应不局限于以上所介绍的几种形式,对于比较重要的项目实施过程,应根据实际需要增加调研和与用户沟通的次数,这样对于充分了解客户要求,使整个项目少走弯路是必要的,而且通过这些沟通可加深对客户的了解，为后期其他项目的设计和实施作好准备。一定重视每次与客户的沟通机会，保证每次沟通前应作好足够的准备，沟通目标及解决的问题应明确，尽量避免就同一问题或主题与客户多次

42、沟通；也应避免由于准备的不充分，使工作效率不高。 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 18 -现场工作的内容；这一部份灵活性比较强，如可引导客户设计以技术为主、管理为辅的技术评估；管理为主、技术为辅的管理评估；在技术脆弱性测试阶段可根据实际情况灵活采用所需的技术手段。使用工具的种类和数量；在评估测试阶段，使用工具可根据合同进行采用，一般来说扫描器、配置检查由于实施简单、使用周期短，一般是采用的；而渗透测试、功能验证、IDS 数据分析等测试手段可根据实际情况进行取舍。风险分析的内容和方法；对于简单的风险评估，可省略风险的打分、计算过程，而全部采用定性的描述。对业务

43、分析、威胁分析等过程也可简化。四四. 由风险评估服务衍生的其它服务由风险评估服务衍生的其它服务应该说，风险评估服务是公司目前开展的大部分安全控制、安全运维、安全规划等咨询服务的基础，因此完善的、具有自己特点和优势的风险评估是其他服务有效展开和实施的基础，应高度重视风险评估的内容和质量。 下面简单介绍以风险评估为基础的典型服务，详细内容请参照相关的服务文档。4.1 等级保护等级保护 等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息系统分等级进行建设、管理和监督。在以后的几年内，等级保护服务很可能成为用户安全服务的一项重要内

44、容。 在信息系统等级保护，风险评估是信息系统等级保护中（不同等级不同安全需求）的基础。在等级保护中定级、系统安全建设方案、系统建设和运维、系统等级测评等各个阶段均可以实施风险评估服务，只是重点和内容不同，比如定级阶段的风险评估应着重于信息系统承载业务的分析以及安全需求的导出评估，即以业务安全评估、资产分析为主要内容，而技 2008 XX 科技科技密级：密级：请输入文档密级请输入文档密级- 19 -术和管理评估则为次要内容或者可以不做；而在建设阶段，我们可以通过风险评估来指导系统安全方案的设计、系统的安全建设等。4.2 SOX 2002 年，美国国会通过了 Sarbanes-Oxley 法案（Sarbanes-Oxley Act, 简称 SOX 法案），该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。SOX 要求企业针对产生财务交易的所有作业流程，都做到能见度/透明度、控制、通讯、风险管理和诈欺防治，且这些流程必须详加记录到可追查交易源头的地步。凡在美国上市的公司都要受此法案约束。 “萨班斯法案”的出台，对企业的公司治理、IT 治理及 IT 内控提出了更严格的要求，IT 在内部控制方面扮演一个至关重要的角色。IT 专家，尤其是处于经理级职位上的专家，需要非常精通内部控制理论和实践来迎