风险评估管理程序

1、风险评估管理程序历史修订记录序号更改单号更改说明修订人生效日期现行版次概述目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一起，将风险概念作为信息安全管理实践的对象和出发点，信息安全管理的控制点以风险出现的可能性作为对象而展开的。 ISO27001 标准对信息安全管理体系 (ISMS) 的要求即通过对信息资产的风险管理 , 确定重要信息资产清单以及风险等级, 从而采取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式计划 (Plan) 、执行 (Do) 、检查 (Check

2、)、行动(Action)的持续改进模式。ISO27001标准要求企业设计、实施、维护信息 安全管理体系都要依据PDCAS环模式。术语与定义风险管理风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程，通过风险评估识别风险，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平，同时考虑控制费用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系 (ISMS) 的目的是在最大范围内保护信息资产，确保信息的机密性、完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理

3、体系中，这种体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损失降低到最低限度。风险评估风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险水平，确定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估，它包含以下元素：风险是被特定威胁利用的资产的一种或一组脆弱性，导致资产丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产是对组织具有价值的信

4、息资源，是安全控制措施保护的对象。威胁是可能对资产或组织造成损害的事故的潜在原因。脆弱性是资产或资产组中能被威胁利用的弱点。安全控制措施是降低风险的措施、程序或机制。其他资产 Asset ：对组织具有价值的信息或资源，是安全策略保护的对象。资产价值 Asset Value ：资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。机密性confidentiality：数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性integrity ：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。可用性 av

5、ailability ：数据或资源的特性，被授权实体按要求能访问和使用数据或资源。数据完整性data integrity ：数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。系统完整性system integrity ：在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息系统能履行其操作目的的品质。信息安全风险information security risk ：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估information security risk assessment

6、 ：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性， 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息系统 information system ：由计算机及其相关的和配套的设备、设施（ 含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 典型的信息系统由三部分组成： 硬件系统 （计算机硬件系统和网络硬件系统） ；系统软件（计算机系统软件和网络系统软件） ；应用软件（包括由其处理、存储的信息

7、） 。检查评估 inspection assessment ：由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。组织 organization ：由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。残余风险 residual risk ：采取了安全措施后，仍然可能存在的风险。自评估 self-assessment ：由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。安全事件 security event ：指系统、

8、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。安全措施security measure ：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。安全需求security requirement：为保证组织业务战略的正常运作而在安全措施方面提出的要求。威胁 threat ：可能导致对系统或组织危害的不希望事故潜在原因。脆弱性 vulnerability ：可能被威胁所利用的资产或若干资产的弱点。风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。风险要素关系资产所有者应对信息

9、资产进行保护，通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。风险评估中各要素的关系如图 3-1 所示：图 3-1 风险要素关系图图 3-1 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着这些基本要素展开，在对这些要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图 3-1 中的风险要素及属性之间存在着以下关系：业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；资产是有价值的，组织的业务战略对资产的依

10、赖程度越高，资产价值就越大；资产价值越大，原则上则其面临的风险越大；风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全事件；弱点越多，威胁利用脆弱性导致安全事件的可能性越大；脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险；风险的存在及对风险的认识导出安全需求；安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；风险不可能也没有必要降为零， 在实施了安全措施后还可能有残余风险。 有些残余风险的原因可能是安全措施不当或无效, 需要继续控制； 而有些残余风险则是在综合考虑了安全成本与效益后未去控制的风

11、险，是可以接受的；残余风险应受到密切监视，它可能会在将来诱发新的安全事件。风险分析原理风险分析原理如图 3-2 所示：图 3-2 风险分析原理图风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的

12、价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失， 计算安全事件一旦发生对组织的影响，即风险值。实施流程图 3-3 给出风险评估的实施流程，第 4 章将围绕风险评估流程阐述风险评估各具体实施步骤。图 3-3 风险评估实施流程图风险评估准备过程风险评估的准备过程是运维中心进行风险评估的基础，是整个风险评估过程有效性的保证。运维中心对信息及信息系统进行风险评估是一种战略性的考虑，其结果将受到运维中心业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。因此在风险评估实施前，应：确定风险评估的范围；确定风险评估的目标；建立适当的组织结构；建立系统化的风险评估方法；获得最高

13、管理者对风险评估策划的批准。确定范围进行风险评估是基于运维中心自身商业要求及战略目标的要求，国家法律法规和行业监管要求，根据上述要求确定风险评估范围，每次评估范围可以是全公司的信息和信息系统，可以是单独的信息系统，可以是关键业务流程。此项工作需要在资产识别和分类工作基础上进行。确定目标运维中心的信息、信息系统、应用软件和网络是运维中心重要的资产，信息资产的机密性，完整性和可用性对于维持竞争优势，提高安全管理水平，符合法律法规要求和运维中心的形象是必要的。运维中心要面对来自四面八方日益增长的安全威胁，信息、信息系统、应用软件和网络可能是严重威胁的目标，同时由于运维中心信息化程度不断提高，对信息系

14、统和技术的依赖日益增加，则可能出现更多的脆弱性。运维中心风险评估的目标来源于业务持续发展的需要、满足国家法律法规和行业监管的要求等方面。确定组织结构在风险评估过程中，应建立适合的组织结构，以推进评估过程，成立由管理层、相关业务骨干、 IT 技术人员等组成的风险评估小组，以保证能够满足风险评估的范围、目标。确定风险评估方法风险评估方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与运维中心的环境和安全要求相适应。获得最高管理者批准上述所有内容应得到运维中心管理层批准，并对相关部门和员工进行传达，就风险评估相关内容进行培训，以明确各有关人员在风险评估

15、中的任务。5 风险评估实施过程信息安全各组成因素：资产的价值、对资产的威胁和威胁发生的可能性、资产脆弱性、现有的安全控制提供的保护，风险评估过程是综合以上因素而导出风险的过程，如图所示：5-1资产赋值脆弱性评估威胁评估确定现有控制图5-1风险评估的过程详细的风险评估方法描述详细的风险评估是对资产、威胁和脆弱点进行详细的识别和估价，评估结果被用于评 估风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平，来证 明管理者所采用的安全控制是适当的。详细的风险评估，需要仔细地制定被评估的信息系统范围内的业务环境、业务运营、 信息和资产的边界，是一个需要管理者持续关注的方法，如下表：风

16、险评估评估活动资产赋值识别和列出信息安全管理范围内被评估的业务环境、业 务运营和信息相关的所有的资产，定义一个价值尺度并 为每一项资产分配价值（机密性、完整性和可用性的价 值）。威胁评估识别与资产相关的所有威胁，并根据它们发生的可能性 为它们赋值。脆弱性评估识别与资产相关的所有的脆弱点，并根据它们被威胁利 用的程度和严重性来赋值。确定现有控制识别与记录所有与资产相关联的、现有的控制。风险评估利用上述对资产、威胁、脆弱点的评价结果，进行风险 评估，风险为资产的相对价值、威胁发生的可能性与脆 弱点被利用的可能性的函数，采用适当的风险测量工具 进行风险计算。表5-1详细风险评估内容详细风险评估方法将

17、安全风险作为资产、威胁及脆弱点的函数来进行识别与评估，具体程序包括：对资产（说明它们的价值、业务相关性） 、威胁（说明它们发生的可能性）和脆弱性（说明有关它们的弱点和敏感性的程度）进行测量与赋值。使用预定义风险计算函数完成风险测量。资产赋值资产赋值就是要识别影响信息系统的信息资产（以下简称资产） ，并评估其价值，包括资产识别与资产赋值两部分。. 资产识别资产是影响信息系统运行而需要保护的有用资源，资产以多种形式存在。运维中心资产分为：硬件类、系统服务类、支撑服务类、信息类、人员、无形资产等，每类资产具有不同价值属性和存在特点，固有的弱点、面临的威胁、需要实施的保护和安全控制各不相同。为了对资产

18、进行有效的保护，组织需要在各个管理层对资产落实责任，进行恰当的管理。在信息安全体系范围内识别资产并为资产编制清单是一项重要工作，每项资产都应该清晰地定义，在组织中明确资产所有权关系，进行安全分类，并以文件方式详细记录在案。. 资产赋值为了明确对资产的保护，有必要对资产进行估价，其价值大小不仅仅是考虑其自身的价值，还要考虑其业务的相关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量， 安全事件会导致资产机密性、 完整性和可用性的损失，从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性，组织应当建立一个资产的价值评估标准，对每一种资产和每一种

19、可能的损失，例如机密性、完整性和可用性的损失，都可以赋予一个价值。但采用精确的方式给资产赋值是较困难的一件事，一般采用定性的方式，按照事前建立的资产的价值评估标准将资产的价值划分为不同等级。经过资产的识别与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信息资产进行估价赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属 性，并进行量化。在评估过

20、程，为了保证没有资产被忽略和遗漏，应该先确定信息安全管理体系（ISMS）范围，建立资产的评审边界。评估资产最简单的方式是列出组织业务过程中、安全管理体 系范围内所有具有价值的资产，然后对资产赋予一定的价值，这种价值应该反映资产对组 织业务运营的重要性，并以对业务的潜在影响程度表现出来。例如，资产价值越大，由于 泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要 的资产的识别与估价，是建立信息安全体系，确定风险的重要一步。资产的价值应当由资产的所有者和相关用户来确定，只有他们才最清楚资产对组织业 务的重要性，才能较准确地评估出资产的实际价值。 为确保资产赋值时的一致性

21、和准确性， 组织应建立一个资产价值评价尺度，以指导资产赋值。在对资产赋予价值时，一方面要考虑资产购买成本及维护成本，另一方面主要考虑当 这种资产的机密性、完整性、可用性受到损害时，对业务运营的负面影响程度。在信息安 全管理中，并不是直接采用资产的账面价值，在运维中心风险评估中采用以定性分级的方 式建立资产的相对价值，以相对价值来作为确定重要资产的依据和为这种资产的保护投入 多大资源的依据。.1.1 资产分类运维中心资产分类见下表：小类名称硬件类H010大型机H020小型机H030PC服务器H040PC台式机H050PC移动电脑H060业务终端H070通讯设施H080网络父换机H090网络路由器

22、H100负载均衡器H110网络安全设备小类名称H120数据存储设备H130移动存储设备H140存储介质H150纸质文档H160智能卡设备H170UPS设备H180发电机H190设备管理问H200电线电缆H210显示设备H220监控设备H230传真机/传真系统H240照明设施H250供电设施H260供水设施H270暖通空调H280消防设施H290门禁系统H300打印机H310复印机H320扫描仪H330投影机H340机架系统服务类S010核心业务应用系统S020辅助业务应用系统S030网络基础应用系统S040网络安全系统S050操作系统小类名称S060数据库S070中间件S080软件开发工具S0

23、90软件测试工具S100其他系统或服务信息类I010软件I020开发文档及源代码I030用户文档I040系统业务数据I050系统支撑数据I060密码数据I070其他支撑服务类F010通讯服务F020系统运行F030系统维护F040软件开发F050软件维护F060安全保卫F070人力资源服务F080财务服务F090供电F100供暖F110消防F120照明F130空调F140咨询服务F150培训服务F160审计服务小类名称人员类R010管理层人员R020网络管理人员R030系统管理人员R040安全管理人员R050软件开发人员R060软件测试人员R070通讯管理人员R080文档管理人员R090系统用

24、户R100企业客户R110签约供应商R120第二方人员R130临时人员无形资产类W010公信力W020组织形象与声誉W030商标W040产品名称W050知识产权表5-2资产分类表.1.2 资产价值属性除了机密性、完整性和可用性外，在运维中心风险评估中引入系统对业务的重要程度、 资产对系统的重要程度，资产花费等资产价值属性，各价值属性图示如下：图5-2资产价值属性.系统服务范围：说明当前业务系统应用或服务的范围， 评估人员可以人工分析并选 择系统服务范围值。.业务对系统的依赖程度：用于衡量部门业务对当前业务系统的依赖程度，评估人员 可以人工分析并选择业务对系统的依赖程度值。.系统对业务的重要程度

25、：用于衡量业务系统对业务的重要性，其值由系统服务范围和业务对系统的依赖程度确定.信息保密性：说明信息资产本身或硬件、系统服务类资产所包含信息的保密性价值,评估人员可以人工分析并选择信息保密性值o.信息完整性：说明信息资产本身或硬件、系统服务类资产所包含信息的完整性价值， 评估人员可以人工分析并选择信息完整性值。.信息可用性：说明信息资产本身或硬件、系统服务类资产所包含信息的可用性价值， 评估人员可以人工分析并选择信息可用性值。.资产信息重要性：用于衡量信息资产本身或硬件、系统服务类资产所包含信息的信 息价值，其值由信息保密性、信息完整性和信息可用性确定。.资产对系统的重要程度：用于衡量硬件、系

26、统服务类资产对业务系统的可用性价值， 评估人员可以人工分析并选择对系统的重要程度值。.资产对业务的重要程度：用于衡量硬件、系统服务类资产对业务的重要性，其值由 系统对业务的重要程度和资产对系统的重要程度确定。.资产业务价值：用于衡量硬件、系统服务、人员及其它类资产对业务的价值，对于 人员及无形类资产，具值由对业务的重要程度确定，对于硬件、系统服务类资产，具值由 对业务的重要程度和资产信息重要性确定。.花费：用于衡量购买或恢复被破坏的资产所需要的花消， 评估人员可以人工分析并选择花费值。.资产价值：用于表示资产的重要性，其值由资产业务价值和花费确定。不同类别资产赋值可能采用不同的价值属性。具体见

27、下表：资产类别价值属性硬件类系统服务类信息类支撑服务人员系统服务范围VVVVV业务对系统的依赖程度VVVVV系统对业务的重要程度VVVVV保密性VV完整性VV可用性VVVVV资产CIA重要性VVVVV资产对系统的重要程度VVVVV资产对业务的重要程度VVVVV资产业务价值VVVVVVVVVV表5-3不同资产采用的价值属性1.3 资产价值属性赋值标准运维中心风险评估使用的资产属性赋值标准见下表:系统服务范围赋值系统服务范围赋值描述1运维中心内部。2面向开发基地。3面向整个公司内部。4面向整个公司内部及客户、政府、组织等。表5-4系统服务范围赋值表业务对系统的依赖程度赋值业务对系统依赖程度赋值描述

28、1整个业务处理流程可以通过手工方式或其他方式完成，而 且这些替代方式对组织业务的开展没有或极少影响。2整个业务处理流程可以通过手工方式或其他方式完成,但 这些替代方式对组织业务的开展有较大的影响。3业务处理流程的部分环节可以通过手工方式或其他方式 替代完成，这些替代方式对组织业务的开展有较大的影 响。4业务处理流程完全依赖信息系统，手工方式无法完成。表5-5业务对系统的依赖程度赋值表系统对业务的重要程度计算系统重要程度权值（W =系统服务范围值+业务对系统依赖程度值系统重要程度值=T1 (WT1是非线性函数，用于将计算出的权值 W映射到5级，得到系统重要程度值，见下表:系统对业务重要程度赋值描

29、述1W=2 32W=43W=54W=65W=7； 8表5-6系统对业务的重要程度计算表信息保密性赋值信息保密性赋值描述1信息的未授权泄露对运维中心的业务以及利益基本 不会受到影响或损害极小。2信息的未授权泄露对运维中心的业务以及利益带来 一定的损失或破坏。3信息的未授权泄露对运维中心的业务、 利益以及整个 公司利益带来严重的损失或破坏。4信息的未授权泄露对运维中心的业务、 利益以及整个公司利益带来极其严重的损失或破坏。5信息的未授权泄露会对运维中心的业务、 利益以及整 个公司利益带来灾难性的损失或破坏。表5-7信息保密性赋值表信息完整性赋值信息完整性赋值描述1信息的未授权的修改或破坏对运维中心

30、的业务以及利益 基本不会受到影响或损害极小。2信息的未授权的修改或破坏对运维中心的业务以及利益 市来,7E的损失或破坏。3信息的未授权的修改或破坏对运维中心的业务、利益以及整个公司利益带来严重的损失或破坏。4信息的未授权的修改或破坏会对运维中心的业务、利益 以及整个公司利益带来极其严重的损失或破坏。5信息的未授权的修改或破坏会对运维中心的业务、利益 以及整个公司利益带来灾难性的损失或破坏。表5-8信息完整性赋值表信息可用性赋值信息可用性赋值描述1可用性价值可以忽略，合法使用者对信息及信息系统的 可用度在正常工作时间低于25%2可用性价值较低，合法使用者对信息及信息系统的可用 度在正常工作时间达

31、到25犯上3可用性价值中等，合法使用者对信息及信息系统的可用 度在正常工作时间达到70犯上4可用性价值较高，合法使用者对信息及信息系统的可用 度达到每天90犯上5可用性价值非常高，合法使用者对信息及信息系统的可 用度达到年度上表5-9信息可用性赋值表资产CIA重要性计算资产CIA重要性值=MAX（保密性值、完整性值、可用性值）资产对系统的重要程度赋值对系统的重要程度赋值描述1资产出现问题对整个业务系统的可用性影响极小或没有影响。2资产出现问题对整个业务系统的可用性有f的影响。3资产出现问题对整个业务系统的可用性有较大的影响。4资产出现问题将导致整个业务系统丧失可用性。表5-10资产对系统的重要

32、程度赋值表资产对业务的重要程度计算资产对业务的重要程度权重（W）=系统对业务的重要程度值X资产对系统的重要程度值 资产对业务的重要程度值=T2 （WT2是非线性函数，用于将计算出的权值 W映射到5级，得到资产对业务重要程度值, 见下表：资产对业务重要程度赋值描述1W=1, 22W=3 4, 53W=6, 8, 94W=1Q 125W=1 16, 20表5-11资产对业务的重要程度计算表资产业务价值计算资产业务价值=MAX（资产对业务的重要程度值、资产 CIA重要性值） 花费赋值资产花费赋值描述1购买或恢复资产花费 二 万元。2万元购买或恢复资产花费1万元。31万元购买或恢复资产花费10万元。4

33、10万元 购买或恢复资产花费50万元。550万元 购买或恢复资产花费表5-12资产花费赋值表资产价值计算资产价值=MAX（资产业务价值、花费）5.2威胁评估威胁是一种对运维中心资产构成潜在破坏的可能性因素或者事件。无论对于实施多少 安全控制的信息系统，威胁始终是一个客观存在的，因此在风险评估中威胁是需要考虑的 重要因素之一。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因 素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成

34、损害；也可能是偶发的、或蓄意的事件威胁分类在对威胁进行分类前，应考虑威胁的来源。威胁来源如下表述：威胁编号威胁来源威胁来源描述TR01环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾 害；意外事故或由于软件、硬件、数据、通讯线路 方面的故障TR02无恶意内部人员内部人员由于缺之责任心，或者由于不关心和不专 注，或者没有遵循规章制度和操作流程而导致故障 或被攻击；内部人员由于缺乏培训，专业技能不足， 不具备岗位技能要求而导致信息系统故障或被攻 击TR03恶意内部人员不满的或有预谋的内部人员对信息系统进行恶意 破坏；采用自主的或内外勾

35、结的方式盗窃机密信息 或进行篡改，获取利益TR04第二力第二方合作伙伴和供应商，包括电信、移动等业务 合作伙伴以及软件开发合作伙伴、系统集成商、服 务商和产品供应商；包括第二方恶意的和无恶意的TR05外部人员攻击外部人员利用信息系统的脆弱性，对网络和系统的 机密性、完整性和可用性进行破坏，以获取利益或 炫耀能力表5-13威胁来源表在威胁评估过程中，首先就要对运维中心需要保护的每一项关键资产进行威胁识别。 在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。 一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。在运维中心风 险评估中采用问卷调查和小组访谈进

36、行威胁识别和评估。对威胁进行分类的方式有多种多样，可以根据其表现形式将威胁分为以下种类:编号种类描述威胁子类TC01软硬件故障由于设备硬件故障、通讯链路中 断、系统本身或软件缺陷造成对 业务实施、系统稳定运行的影响。设备硬件故障、传输设备 故障、存储媒体故障、系 统软件故障、应用软件故 障、数据库软件故障、开 发环境故障。TC02物理环境影响断电、静电、灰尘、潮湿、温度、 鼠蚁虫害、电磁干扰、洪灾、火 灾、地震等环境问题或自然灾害。TC03无作为或操作失误由于应该执行而没有执行相应的 操作，或无意地执行了错误的操 作，对系统造成的影响。维护错误、操作失误TC04管理/、到位安全管理无法落实，不

37、到位，造 成安全管理不规范，或者管理混 舌L从而破坏信息系统正常有序 运行。TC05恶意代码和病毒具有自我复制、自我传播能力， 对信息系统构成破坏的程序代 码。恶意代码、木马后门、网 络状附、间谍软件、窃听 软件TC06越权或 滥用通过采用一些措施，超越自己的 权限访问了本来无权访问的资 源，或者滥用自己的职权，做出 破坏信息系统的行为。未授权访问网络资源、未 授权访问系统资源、滥用 权限非正常修改系统配置 或数据、滥用权限泄露秘 密信息TC07黑客攻击利用工具和技术，如侦察、密码 破译、安装后门、嗅探、伪造和 欺骗、拒绝服务等手段，对信息 系统进行攻击和入侵。网络探测和信息采集、漏 洞探测、

38、嗅探（账户、口 令、权限等）、用户身份伪 造和欺骗、用户或业务数编号种类描述威胁子类据的窃取和破坏、系统运行的控制和破坏TC08物理攻击通过物理的接触造成对软件、硬 件、数据的破坏。物理接触、物理破坏、盗窃TC09泄密信息泄露给不放r解的他人。内部信息泄露、外部信息泄露TC10篡改非法修改信息，破坏信息的完整 性使系统的安全性降低或信息不 可用。篡改网络配置信息、篡改 系统配置信息、篡改安全 配置信息、篡改用户身份 信息或业务数据信息TC11抵赖不承认收到的信息和所作的操作 和交易。原发抵赖、接收抵赖、第二方抵赖表5-14威胁种类表威胁赋值判断威胁出现的频率是威胁识别的重要内容，评估者应根据经

39、验和（或）有关的统计 数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种 威胁出现的频率：.以往安全事件报告中出现过的威胁及其频率的统计；.实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；.近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。运维中心风险评估对威胁发生可能性采用以下赋值方法:等级标识定义5很高出现的频率很高（或学1次/周）；或在大多数情况下 几乎不可避免；或可以证实经常发生过。等级标识定义4高出现的

40、频率较高（或1次/月）；或在大多数情况 下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或 1次/半年）；或在某种情况下 可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情 况卜发生。表5-15威胁赋值表.3脆弱性评估脆弱性评估也称为漏洞评估，是风险评估中重要内容。脆弱性是信息资产自身存在的, 它可以被威胁利用、引起资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人 员、管理、配置、硬件、软件和信息等各种资产的弱点。值得注意的是，脆弱性虽然是信息资产本身固有的，但它本身不会造成损失，

41、它只是 一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相应的威胁发生， 单纯的脆弱性并不会对资产造成损害。那些没有安全威胁的脆弱性可以不需要实施安全保 护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变安全保护， 需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是 一个安全脆弱性环节。脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性， 并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋 值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相 关业务领域的专家

42、以及软硬件信息系统方面的专业人员。脆弱性评估所采用的方法主要为:问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等。在运维中心风险评估中采用问卷调查、小组访谈、工具扫描和人工检查等方法。脆弱性的识别以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价 该资产的脆弱性。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统 层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。脆弱性识别内容如下表述:识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机 房接地与防雷

43、、电磁防护、通信线路的保护、机房区域 防护、机房设备管理等方面进行识别。服务器（含操作系统）从物理保护、用户帐号、口令策略、资源共享、事件审 计、访问控制、新系统配置（初始化）、注册表加固、 网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部 访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和 服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通 信、鉴别机制、密码保护等方面进行识别。管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开 发

44、与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性表5-16弱点分类表安全控制措施的使用将减少脆弱性，考虑对现有安全控制措施的确认，采用等级方式 对已识别的脆弱性的严重程度进行赋值。脆弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。等级数值 越大，脆弱性严重程度越高。运维中心风险评估对脆弱性采用以下赋值方法:等级影响攻击角度管理防范角度等级影响攻击角度管理防范角度1（可如果被威技术方对于攻击者来组织管理有规忽略）胁利用，将面存在着低说，该漏洞目前中没有相关定，严格对资产造等级缺陷，从还不能够被直接的薄弱环审核、记成的损害可以忽略。技术角度很难被利用

45、或者间接利用，或者利用的难度极高很，很难被利用录、校验2（低）如果被威技术方对于攻击者来组织管理有规胁利用，将面存在着低说，该漏洞无法中没后相应定，职责对资产造等级缺陷，从被直接利用（需的薄弱环明确，有成较小损技术角度难要其他条件配节，难以被专人负责害。以被利用合）或者利用的难度较局利用检查执行 落实情 况，有记 录3（中）如果被威技术方可以配合其他组织管理有规胁利用，将面存在着一余件被攻击后加中没有明显止，止期对资产造般缺陷，从技以直接利用，或的薄弱环检查落成一股损术角度可以者该漏洞的利用节，可以被实，有记害。被利用有一定的难度利用录4（高）如果被威技术方一个特定漏组织管理有规胁利用，将面存

46、在着严洞，可以配合其中存在着溥定.执行对资产造重的缺陷，比他条件被攻击者弱环节，比完全靠人成重大损害。较容易被利用加以直接利用，或者该漏洞的利 用有f的难度较容易被利用自觉5（极如果被威技术方在没有任何保组织管理无人负高）胁利用，将面存在着非护措施的情况中存在着明责，无人对资产造成完全损常严重的缺 陷，很容易被下，暴露于彳氐安全级别网络上显的薄弱环节，并且很过问等级影响攻击角度管理防范角度害。利用容易被利用表5-17弱点赋值表.4确定现有控制在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施 的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全

47、 措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当 的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低 威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少 因安全事件发生后对组织或系统造成的影响，如业务持续性计划。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少 系统技术或管理上的弱点，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资 产、组件的弱点，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。.

48、5风险评估完成资产评估、威胁评估、脆弱性评估后，并考虑已有安全措施的情况下，利用恰当 的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受 到破坏后的影响得出信息资产的风险。风险值计算在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适 当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的 资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。使 用本方法需要首先确定信息资产、威胁和脆弱性的赋值，要完成这些赋值，需要管理人员、 技术人员的配合。运维中心风险评估中风险值计算方式如下：风险值（RWA资产

49、价值X威胁可能性值X脆弱性严重程度值风险等级划分确定风险数值的大小不是风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先 分配资源进行保护。风险等级在运维中心风险评估中采用分值计算表示。分值越大，风险越高。见下表。风险等级标识风险值范围描述建议处置方式1很低RM 5发生安全事件的可能性极小，即使发生对系统 或组织也基本没影响。A-接受2低6 RW10发生安全事件的可能性较小，安全事件发生后 使系统受到的破坏较小或使组织利益受到的 损失较少。A-接受3中1KRW30发生安全事件的可能性一般，安全事件发生后 将使系统受

50、到f的破坏或使组织利益受到f的损失。B-降低4高3KRW40发生安全事件的可能性较大，安全事件发生后 将使系统受到较大的破坏或使组织利益受到 较多的损失。B-降低5极高4KRW发生安全事件的可能性很大，安全事件发生后 将使系统受到很大的破坏或使组织利益受到 很多的损失。B-降低表5-20风险等级描述表风险评估结果纪录风险评估的过程需要形成相关的文件及记录，文档管理考虑以下控制：.文件发布前得到批准，以确保文件是充分的；.必要时对文件进行评审、更新并再次批准；.确保文件的更改和现行修订状态得到识别；.确保在使用时，可获得有关版本的适用文件；.确保文件保持清晰、易于识别；.确保外来文件得到识别；.

51、确保文件的分发得到适当的控制；.防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的记录，还应规定记录的标识、储存、保护、检索、保存期限以及处置所需的控制。记录是否需要以及详略程度由管理过程来决定。风险评估过程应形成下列文件：风险评估过程计划：该计划中应阐述风险评估的范围、目标、组织机构、评估过程所需资源、形成的评估结果。风险评估程序：程序中应明确评估的目的、职责、过程、相关的文件要求，并且准备评估阶段需要的表格，如信息资产识别与评估表。信息资产识别清单： 根据在风险评估程序文件中规定的资产分类方法进行资产的识别，并形成信息资产识别清单，

52、清单中应明确各资产的负责人/ 部门。威胁参考列表：应根据评估对象、环境等因素，形成威胁的分类方法及具体的威胁列表，为风险评估提供支持。脆弱性参考列表：应针对不同分类的评估对象自身的弱点，形成脆弱性参考列表，为风险评估提供支持。风险评估记录： 根据组织的风险评估程序文件， 记录对重要信息资产的风险评估过程，包括脆弱性、威胁的赋值，已有安全控制措施的确认，风险值的计算与等级划分。风险评估报告： 风险评估报告应对整个风险评估过程进行总结， 说明组织的风险状况及残余风险状况，通过管理层的评审，确定评估后的风险状况满足业务发展及其他相关方的要求。上述文件均应由运维中心管理层批准。6 风险管理过程通过风险

53、评估对风险进行识别与估价后，引入合适的控制措施，对风险实施管理，把风险降低到运维中心可以接受的程度，对风险的管理过程如下图所示：图 6-1 风险管理过程安全控制的识别与选择选择安全控制的另一个重要方面就是费用因素，如果实施与维护这些控制的费用比资产遭受威胁所造成的损失的预期值还要高，那么所选择的控制是不适合的；如果控制费用比组织计划的安全预算要高，也是不适当的。但如果由于预算不足使控制的数据与质量下降，就会使系统产生不必要的风险，对此要特别注意。安全控制预算应该作为一个限制性的因素加以考虑。同样，也可以对现有的控制进行费用比较，如果现有控制不是充分有效，就要考虑取消或改进。根据ISO27001的要求，运维中心在以下领域引入控制措施：安全政策信息安全的组织资产管理人力资源安全物理与环境安全通讯与操作管理访问控制信息系统获取、开发及维护信息安全事故管理业务连续性管理符合性控制的选择要考虑非技术性的控制与技术性的控制之间的平衡，两种控制之间是互相支持与互补的。运营