企业信息安全风险评估方案

1、企业信息安全风险评估方案知识域：信息安全风险评估知识子域：风险评估流程和方法掌握国家对开展风险评估工作的政策要求理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程：风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录理解定量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点掌握典型风险计算方法：年度损失值（ALE）、矩阵法、相乘法掌握风险评估工具：风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具2国家对开展风险评估工作的政策要求1、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中

2、明确提出：“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理” 3国家对开展风险评估工作的政策要求2、国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办【2006】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则风险评估工作的基本要求开展风险评估工作的有关安排4关于开展信息安全风险评估工作的意见的实施要求1、信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以明确信息

3、系统的安全需求及其安全目标，有针对性地制定和部署安全措施，从而避免产生欠保护或过保护的情况。2、在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了所设计的安全功能，是否满足了信息系统的安全需求并达到预期的安全目标。5关于开展信息安全风险评估工作的意见的实施要求3、由于信息技术的发展、信息系统业务以及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的运行阶段，应当定期进行信息安全风险评估，以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时进行信息安全风险评估。4、信息安全风险评估也是落实等级保护制度的重要手段，

4、应通过信息安全风险评估为信息系统确定安全等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。6关于开展信息安全风险评估工作的意见的管理要求1、信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，意见强调，必须高度重视信息安全风险评估的组织管理工作 2、为规避由于风险评估工作而引入新的安全风险，意见提出以下要求：1）参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务。2）风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。3

5、）对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。 7关于开展信息安全风险评估工作的意见的管理要求3、加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布信息安全风险评估指南和信息安全风险管理指南等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规范。4、要加强信息安全风险评估核心技术、方法和工具的研究与攻关。 5、要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力，为保障和促进我国信息化

6、发展服务。 82071号文件对电子政务提出要求3、为落实国家电子政务工程建设项目管理暂行办法（发改委200755号令）对风险评估的要求， 发改高技【2008】2071号文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知提出了具体要求：（相当于“信息安全审计”）电子政务工程建设项目应开展信息安全风险评估工作评估的主要内容应包含：资产、威胁、脆弱性、已有的安全措施和残余风险的影响等项目建设单位应在试运行期间开展风险评估工作，作为项目验收的重要依据项目验收申请时，应提交信息安全风险评估报告系统投入运行后，应定期开展信息安全风险评估9风险评估工作承担单位国家保密局涉密信息系统安全保密测评中

7、心涉密系统非涉密系统中国信息安全测评中心国家信息技术安全研究中心公安部信息安全等级保护中心风险评估专业队伍10需要强调：一次测评两个报告发改委要求：一次测评工作，提交两个测评报告，即风险评估报告和等保测评报告风险评估报告的格式由中国信息安全测评中心和国家信息技术安全研究中心牵头制定，基本格式参照原国信办检查评估的报告等保测评报告的格式由等级保护的主管部门负责制定11风险评估、检查评估和等级保护测评之间的关系等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评，其中等保测评是符合国家安全要求的测评，安全检查是符合行业主管安全要求的符合性测评。而风险评估是在国家、行业安全要求的基础上，以被

8、评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动。12风险评估实施流程13风险评估是“健康体检+专项检查”14资产威胁脆弱性现有控制措施人病毒身体情况预防措施风险评估健康体检风险优先级和风险控制建议病情诊断和药方 准备 识别 计算 报告 一个简化的风险评估流程：准备（Readiness）、识别（Realization）、 计算（Calculation）、报告（Report） 识别 资产 威胁 漏洞 准备 资料审核 SLA 工作计划 组队 计算 威胁概率 事件影响 风险定级 报告 整改建议 各类文档 15 风险评估准备工作 准备工作中要注意的问题 相亲：前期交流（成功案例简介、

9、测评机构资质简介、被 测系统 大致规模、 测评服务费用测算） 订婚：服务水平协议SLA（获取详细资料的前提，对方的 授权、 双方的义务，可和保密协议整合） 甲方礼单：资料审核（明确系统范围、为现场测评制订问卷清单） 乙方礼单：工作计划（案例分析 综合组、管理组、网络组） 迎亲：进场准备（进场通知，如对方或第三方人员；设备 准备， 如工具等，标识佩戴） 16 现场测评 17现场测评工作要注意的问题 首次会议（必须），听取对方高管的情况简介，向被测单位有关人员说明此次任务、测评计划介绍、双方测评人 员的相互认识 问询技巧（直接提问，如业务重要性；间接提问，如安全 事件；反向提问，适合于所有方面）

10、资料核对（拓扑核对，管理体系文档，设计文档，设备台 账） 现场检测（测试过程记录、抓屏、数据提取） 末次会议（必须），向对方高管简要总结现场测评的初步结论，但切忌做最终结论 18资产识别 资产识别在整个风险评估中起什么作用？ 两点：是整个风险评估工作的起点和终点 资产识别的重点和难点是什么？ 一线：业务战略 信息化战略 系统特征（管理/技术） 资产识别的方法有哪些？ 资产分类：树状法。自然形态分类（勾画资产树：管理、技术逐步往下细化）；信息形态分类（信息环境、 信息载体、信息） 19按信息形态分类 资产识别2021威胁识别 威胁识别与资产识别是何关系？ 点和面：重点识别和全面识别 威胁识别的重

11、点和难点是什么？ 三问：“敌人”在哪儿？效果如何？如何取证？ 威胁识别的方法有哪些？ 日志分析历史安全事件专家经验互联网信息检索威胁分类分为：人为故意威胁威胁意图评估、威胁能力评估、操作限制评估、威胁源特点评估人为非故意威胁判定威胁源、评估威胁源特点、评估威胁源环境、评估事故发生时间自然威胁地震、海啸、洪水。2223脆弱性识别 脆弱性识别的难点是什么？ 三性：隐蔽性、欺骗性、复杂性 脆弱性识别的方法有哪些？ 脆弱性分类：管理脆弱性。 结构脆弱性（如安全域划分不当），操作脆弱性（如安全审计员业务生疏）；技术脆弱性。 脆弱性识别与威胁识别是何关系？ 验证：以资产为对象，对威胁识别进行验证 脆弱性识

12、别内容24常见脆弱性识别工作方式25脆弱性识别方式工作对象安全配置核查服务器、网络设备、终端、中间件、应用软件漏洞扫描主机、应用程序渗透测试系统各个层面安全架构分析系统各个层面数据流分析网络中的数据流访谈管理人员及系统开发、运维技术人员。现有安全控制措施识别考虑：防护性措施威慑性措施预警性措施检测性措施应急处理性措施26（二）风险分析GB/T 20984-2007 信息安全风险评估规范给出信息安全风险分析思路 27风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va )。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性； Ia表示安全事件所作用的资产价值；Va表示脆弱

13、性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事件发生后造成的损失。方法优点缺点定性简易的计算方式不必精确算出资产价值不需得到量化的威胁发生率非技术或非安全背景的员工也能轻易参与流程和报告形式比较有弹性本质上是非常主观的对关键资产的财务价值评估参考性较低缺乏对风险降低的成本分析定量 1. 结果建立在独立客观的程序或量化指标上大部分的工作集中在制定资产价值和减缓可能风险主要目的是做成本效益的审核风险计算方法复杂需要自动化工具及相当的基础知识投入大个人难以执行定量分析与定性分析28定量分析方法步骤1-评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和

14、间接影响步骤2-确定单一预期损失SLESLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失。 （SLE 类似于定性风险分析的影响。）将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示为现实威胁对某个资产造成的损失百分比。 步骤3-确定年发生率AROARO 是一年中风险发生的次数.29定量分析方法（续）步骤4-确定年预期损失ALE（财务价值*频率）ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。步骤5-确定控制成本控制成本就

15、是为了规避企业所存在风险的发生而应投入的费用.步骤6-安全投资收益ROSI(实施控制前的 ALE）（实施控制后的 ALE）（年控制成本）= ROSI30后果或影响的定性量度（示例）等级描述 详细情形 1可以忽略无伤害，低财务损失 2 较小立即受控制，中等财务损失 3 中等 受控，高财务损失 4 较大大伤害，失去生产能力有较大财务损失 5灾难性持续能力中断，巨大财务损失定性分析方法31可能性的定性量度（示例）等级描述 详细情形 A几乎肯定预期在大多数情况发生 B很可能在大多数情况下很可能会发生 C可能在某个时间可能会发生 D不太可能在某个时间能够发生 E罕见仅在例外的情况下可能发生定性分析方法3

16、2风险分析矩阵风险程度 可能性 后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕见）LLMHH E：极度风险 H：高风险 M：中等风险 L: 低风险定性分析方法33定性分析方法-矩阵法根据预设的等级划分规则判定风险结果。依此类推，得到所有重要资产的风险值，并根据风险等级划分表，确定风险等级。 34定性分析方法-相乘法（1）计算安全事件发生可能性威胁发生频率：威胁T1=1；脆弱性严重程度：脆弱性V1=3。安全事件发生可能性=（2）计算安全事件的损失资产价值：资产A1=4；脆弱性严重程度：脆弱性V1=

17、3。计算安全事件的损失，安全事件损失=（3）计算风险值安全事件发生可能性=2；安全事件损失=3。安全事件风险值=（4）确定风险等级 35定性分析与定量分析36方法优点缺点定量按经济影响排列风险优先级；按经济价值排列资产价值风险管理的效果以投资回报率衡量结果可用因管理而异的术语来表达（例如货币值和表达为具体百分比随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高 风险影响值以参与者的主观意见为基础取得风险一致意见的过程非常耗时。 计算可能会非常复杂且耗时。 风险结果以财务术语表达，对非技术性人员而言可能难以解释。 流程要求专业技术，因此参与者无法轻松通过流程获得指导。定性风险排名

18、具有可见性，易于理解。 更容易达成一致意见。 无需量化威胁发生频率。 无需确定资产的财务价值。 更便于不是安全或计算机专家的人员参与。 重要风险之间没有显著区别。因为没有成本效益分析，很难证明控制措施的投资是合理的。 结果取决于风险管理小组人员的主观判断。（三）风险评估工作形式 信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。37 风险评估的工作形式自评估由发起方实施或委托风险评估服务技术支持方实施。优点：有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用

19、有利于提高本单位的风险评估能力与信息安全知识缺点可能由于缺乏风险评估的专业技能，其结果不够深入准确；同时，受到组织内部各种因素的影响，其评估结果的客观性易受影响。建议方法委托风险评估服务技术支持方实施的评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的限制，对被评估系统的了解，尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。38风险评估的工作形式检查评估检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。 优点：最具权威性。通过行政手

20、段加强信息安全的重要措施。缺点：间隔时间较长，一般是抽样进行，难于贯穿信息系统的生命周期。39（四）风险评估工具风险评估与管理工具一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专家经验，对输入输出进行模型分析。系统基础平台风险评估工具主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击。风险评估辅助工具实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据。40知识域：信息安全风险评估实践知识子域：风险分析实例了解典型信息系统风险评估实

21、践过程41评估依据国家标准规范XX行业安全要求GB/T 20274-2006 信息系统安全保障评估框架GB/T 20984-2007 信息安全风险评估规范GB/T 18336-2001 信息技术安全性评估准则xx系统网络与信息安全管理岗位及其职责（试行稿）xx系统网络与信息安全总体策略xx系统网络与信息安全风险评估工作管理规定（试行稿）xx系统电子数据处理管理办法（试行）首期网络与信息安全防护体系运行管理办法42评估范围-被评估单位选择本次风险评估工作的对象为省级国家xx局及其两个下属的地市级国家xx局的信息系统直辖市： 市国家xx局+区国家xx局 北京市x局 海淀区x局省级： 省国家xx局+2地市x局 浙江省x局 杭州市x局 XX市x局单列市： 市国家xx局 宁波市x局 43评估范围-评估对象选择基础网络与物理环境内网应用横向连接区域内部业务互联网服务44评估范围-评估内容信息资产数据系统主机系统安全系统应用支撑系统应用系统基础网络与物理环境业务系统安全管理45实施内容评估准备成立风险评估团队形成风险评估方案：xx信息系统风险评估技术方案形成统一的评估方法：检测工具集和测试用例库集成，评估标准、规范的学习工作。确定评估范