税务系统信息安全风险评估规范

密级：内部文档编号：2007002-004 项目编号：2007002税务系统信息安全风险评估规范目录 前言 31 范围 42 规范性引用文件 43 术语和定义 54 风险评估框架及流程 8 风险要素关系 8 风险分析原理 9 实施过程 105 风险评估实施 12 评估工具 12 调查问卷 12 漏洞扫描工具 12 人工评估检查列表 12 安全风险评估信息库 12 评估内容 13 资产评估 13 威胁评估 20 脆弱评估 25 已有安全措施确认 30 风险处理计划 31 影响与可能性分析 32 风险分析 32 风险处理计划 37 评估组织 39 评估方人员组织 39 被评估方人员组织 41 评估过程 42 阶段1风险评估准备阶段 42 阶段2风险评估实施阶段 43 阶段3风险评估资料分析及报告生成阶段 44

前言为指导和规范针对税务信息系统的信息安全风险评估工作，特制定本规范。本规范定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别进行了详细描述；提出了风险评估在信息系统生命周期不同阶段的实施要点以及风险评估的工作形式。本规范由XX省信息安全测评中心提出。

范围本标准提出了风险评估的要素、实施流程、评估内容、评估方法及在信息系统生命周期不同阶段的实施要点，适用于组织地税系统开展风险评估工作。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。法规政策−（中办发[2003]27号）国家信息化领导小组关于加强信息安全保障工作意见−（公通字[2004]66号）关于信息安全等级保护工作的实施意见国内标准GB-T19715-2005信息技术安全管理指南GB-T19716-2005信息安全管理实用规则GB-T20269-2006信息系统安全管理要求GB-T20282-2006信息系统安全工程管理要求GB-T18336信息技术安全性评估准则GB/T9361-2000计算机场地安全要求GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336-2001信息技术安全技术信息技术安全性评估准则（idtISO/IEC15408：1999）GB/T19716-2005信息技术信息安全管理实用规则GB-TAAAAA信息安全风险评估规范GB-TXXXXX信息安全风险管理规范术语和定义资产asset对组织具有价值的信息或资源，是安全策略保护的对象。资产价值assetvalue资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。可用性availability数据或资源的特性，被授权实体按要求能访问和使用数据或资源。业务战略businessstrategy组织为实现其发展目标而制定的一组规则或要求。保密性confidentiality数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。信息安全风险informationsecurityrisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估informationsecurityriskassessment依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息系统informationsystem由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。检查评估inspectionassessment由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。完整性integrity保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。组织organization由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织，某个业务部门也可以是一个组织。残余风险residualrisk采取了安全措施后，信息系统仍然可能存在的风险。自评估self-assessment由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。安全事件securityincident指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。安全措施securitymeasure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。安全需求securityrequirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。威胁threat可能导致对系统或组织危害的不希望事故潜在起因。3.18脆弱性vulnerability可能被威胁所利用的资产或若干资产的薄弱环节。

风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。风险要素关系风险评估中各要素的关系如图1所示：图1风险评估要素关系图图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险要素及属性之间存在着以下关系：业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；风险的存在及对风险的认识导出安全需求；安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；安全措施可抵御威胁，降低风险；残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；残余风险应受到密切监视，它可能会在将来诱发新的安全事件。风险分析原理风险分析原理如图2所示：图2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。实施过程风险评估的过程分为3个阶段共11个过程：阶段1：风险评估准备阶段过程1：确定目标过程2：确定范围过程3：组建团队过程4：项目启动过程5：知识传递阶段2：风险评估实施阶段过程6：资产识别过程7：威胁评估过程8：脆弱性评估过程9：已有安全措施确认阶段3：风险评估资料分析报告生成阶段过程10：资料分析过程11：风险评估报告生成

图3给出风险评估的实施流程：图3风险评估实施流程图

风险评估实施评估工具调查问卷调查问卷由一组相关的封闭式或开放式问题组成，用于在评估过程中获取信息系统在各个层面的安全状况，包括安全策略、组织制度、执行情况等。漏洞扫描工具漏洞扫描工具是一个或一组自动化工具，用于远程检测主机系统和关键网络设备可能存在的漏洞。漏洞扫描工具选择方法：选择国内经过相关安全测评中心通过漏洞扫描的产品；禁止使用国外漏洞扫描工具；漏洞扫描工具必须可以实时进行策略库更新；漏洞扫描工具发现的漏洞必须可以对应国外标准的CVE编号；漏洞扫描工具必须具备多样性的报告方法。人工评估检查列表检查列表用于人工检查系统（包括主机和网络及安全设备）存在的各种安全弱点/脆弱性，它针对不同的系统列出待检查的条目，以保证人工审计结果数据的完备性。评估检查列表选择方法：检查列表必须定期更新，以符合不断变化的安全需要；检查列表的检查项需事先同相关技术人员进行沟通。安全风险评估信息库安全风险评估信息库用于存储与处理在风险评估过程中收集到的信息。评估内容资产评估对系统的各类资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使税务系统能够更合理地利用现有资产，更有效地进行资产管理，更有针对性地进行资产保护，更具策略性地进行新的资产投入。资产分类保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型。如表1所示给出一种常用的资产分类方法。分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语句包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、机等服务办公服务：为提高效率而开发的管理信息系统（MIS），包括各种内部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件，如、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其它企业形象，客户关系等表1资产分类方法上表中的资产分类方法是国家风险评估指南给出的范例参考。实际进行资产评估分类的时候可以参考但并不需要完全和上表分类方法一致。可以根据实际情况进行删减或重分类。根据实际税务行业资产的评估，给出一种资产评估的范围界定方法。

分类示例备注数据存储在数据库或服务器中，同是机关关键业务相关的重要信息数据。税务行业一般重要的数据资产都集中在省市级单位中，一般区局（所）没有重要的信息数据，因此对于数据资产的评估只适用于税务行业的省市级税务单位中软件系统软件：操作系统、语句包、工具软件、各种库等税务行业无论省市级单位还是区局（所）单位都会有相应的操作系统、工具软件等。因此，系统软件的评估适用于税务行业的各级单位中应用软件：外部购买的应用软件，外包开发的应用软件等税务行业采用数据大集中。一般应用系统只会在省市级单位才会有。因此，应用软件评估只适用于省市级税务单位中源程序：各种共享源代码、自行或合作开发的各种代码等税务行业的新程序或新业务的开发，一般是自上而下进行的。一般源程序只会存在于省级单位之中。因此，对于源程序的评估只适用于省级税务单位中硬件网络设备：路由器、网关、交换机等税务行业无论省市级单位还是区局（所）单位都会有相应的网络设备。因此，网络设备的评估适用于税务行业的各级单位中计算机设备：服务器、工作站、台式计算机、便携计算机等税务行业无论省市级单位还是区局（所）单位都会有相应的计算机设备。因此，计算机设备的评估适用于税务行业的各级单位中存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等税务行业采用数据大集中。一般存储设备只会在省市级单位才会有。因此，存储设备评估只适用于省市级单位中保障设备：动力保障设备、空调、保险柜、文件柜、门禁、消防设施等税务行业无论省市级单位还是区局（所）单位都会有相应的保障设备。因此，保障设备的评估适用于税务行业的各级税务单位中信息安全设备：UTM、VPN、防火墙、入侵检测系统、身份鉴别等由于信息安全的发展不平衡，信息安全设备现阶段大多存于省市级税务单位之中。因此，信息安全设备评估只适用于省市单位之中传输线路：光纤、双绞线等传输线路分为内部传输线路和同城联网传输线路。内部传输线路的评估适用于各级税务单位。而同城联网线路建设及归属都在省市级税务单位之中。因此，评估同城联网线索路需要在省级单位之中其他：打印机、复印机、扫描仪、机等税务行业无论省市级单位还是区局（所）单位都会有相应的其它资产。因此，其它资产的评估适用于税务行业的各级税务单位中服务办公服务：为提高效率而开发的管理信息系统（MIS）办公服务、网络服务、信息服务，这些服务的建设及归属都在省市级单位之中。因此，服务的评估只适用于省市级税务单位之中网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件，如、电报、财务报告、发展计划等税务行业无论省市级单位还是区局（所）单位都会有相应的文档资产。因此，文档资产的评估适用于税务行业的各级税务单位中人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等税务行业无论省市级单位还是区局（所）单位都会有相应的人员资产。因此，人员资产的评估适用于税务行业的各级税务单位中信息资产最早分类只有软件和硬件两大类。对于数据、人员的评估是后来随着安全发展的需要补充进去的。因此，对于软件和硬件的评估的是重点。同时要兼顾对数据、人员的评估。软件资产主要评估的范围是系统软件和应用软件。硬件资产主要的评估范围是计算机设备和网络设备，其它如保障设备等硬件资产做为补充评估。资产赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。表2提供了一种保密性赋值的参考。赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等表2资产保密性赋值表保密性赋值一般采用同相关应用负责人进行会议讨论的方式。下面给出一个保密性建议赋值方法：赋值标识定义5很高涉及国家秘密类数据4高重要经济数据或科研类数据3中等工作秘密，如统计类数据，这类数据属于不易泄露的信息2低个人隐私类数据1很低可以对外进行公开的数据根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。表3提供了一种完整性赋值的参考。赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补。3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补。1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略。表3资产完整性赋值表完整性赋值一般采用同相关应用负责人进行会议讨论的方式。下面给出一个完整性建议赋值方法：赋值标识定义5很高关键业务系统包含的信息资产，如税务征管系统4高重要业务系统包含的信息资产，如网站系统、公文系统3中等次要业务系统包含的信息资产，如邮件系统等2低支撑系统包含的信息资产，如防病毒，网管系统等1很低非业务类系统所包含的信息资产，如办公终端等根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。表4提供了一种可用性赋值的参考。赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断。4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min。3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min。2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min。1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%。表4资产可用性赋值表可用性赋值一般采用同相关应用负责人进行会议讨论的方式。下面给出一个可用性建议赋值方法：赋值标识定义5很高关键业务系统，可用性要求高最，如征管系统4高重要业务系统包含的信息资产，可用性比较高，如网站系统、公文系统3中等次要业务系统包含的信息资产，可用性中等，如邮件系统等2低支撑系统包含的信息资产，可用性不高，如防病毒，网管系统等1很低非业务类系统所包含的信息资产，无可用性要求，如办公终端等

威胁评估威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对税务系统信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用税务系统网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。威胁分类威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。在对威胁进行分类前，应考虑威胁的来源。表6提供了一种威胁来源的分类方法。

来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害，意外事故或软件、硬件、数据、通讯线路方面的故障。人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益。外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力。非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。表6威胁来源列表对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现形式将威胁分为以下几类。表7提供了一种基于表现形式的威胁分类方法。种类描述威胁子类软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。物理环境影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害。无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成的影响。维护错误、操作失误管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行。恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。恶意代码、木马后门、网络病毒、间谍软件、窃听软件越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的行为。非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息网络攻击利用工具和技术，如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段，对信息系统进行攻击和入侵。网络探测和信息采集、漏洞探测、嗅探（账户、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏物理攻击通过物理的接触造成对软件、硬件、数据的破坏。物理接触、物理破坏、盗窃泄密信息泄露给不应了解的他人。内部信息泄露、外部信息泄露篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用。篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息抵赖不承认收到的信息和所作的操作和交易。原发抵赖、接收抵赖、第三方抵赖表7一种基于表现形式的威胁分类表威胁发现方法威胁发现方法列表如下：ID发现方式描述1人员访谈通过和资产所有人、负责管理人员进行访谈2人工分析根据专家经验，从已知的数据中进行分析3IDS系统通过入侵监测系统在一段时间内监视网络上的安全事件来获得数据4渗透测试通过渗透测试方法来测试弱点，证实威胁5安全策略文档分析安全策略文档分析6安全审计依照ISO17799，通过一套审计问题列表问答的方式来分析弱点7事件记录对已有历史安全事件记录进行分析威胁评估手段威胁主要评估手段如下：历史事件审计网络威胁评估系统威胁评估业务威胁评估

威胁赋值判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断，下表给出了威胁赋值方法：等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或>1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。表8威胁赋值威胁评估的具体赋值，是根据对历史安全事件的调查及访谈相关管理人员得出来的。下面给出一个威胁赋值范例：等级标识定义5很高经常出现的威胁，如病毒、软硬件故障等4高出现的频率较高的威胁，如操作失误等3中出现的频率中等的威胁，如来自内部的威胁2低出现的频率较小；如：火灾，雷电灾害等1很低威胁几乎不可能发生，如恐怖主义

脆弱评估弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源是指能够通过系统缺陷或弱点对系统安全策略造成危害的主体。脆弱评估的信息通常通过控制台评估、咨询系统管理员、网络脆弱性扫描等手段收集和获取。技术漏洞评估技术漏洞主要是指操作系统、网络和安全设备配置存在的安全漏洞，业务应用系统存在的设计和实现缺陷。技术漏洞的标号以CVE漏洞列表的编号为标准；如果存在某些CVE没有标号的漏洞，则以国际通用的BUGTRAQID号为标号。评估方面包括：工具评估人工评估应用评估渗透测试网络评估非技术漏洞评估非技术性漏洞主要是指系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷。评估手段脆弱评估可以采取多种手段，下面建议了常用的四种。即：安全访谈网络扫描手工检查渗透测试工具评估项目名称工具评估简要描述利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况达成目标发掘网络内部网络的安全漏洞，提出漏洞修补建议主要内容采用多种漏洞扫描系统软件实现方式大规模的漏洞扫描注意事项工具扫描应选取非工作时间，同时应在扫描的期间采用网管软件监视被评估的目标存活状态工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，人员和资料配合中间结果工具评估方案工具扫描原始报告最终结果工具评估报告所需时间80台/工作日参加人员评估小组、网络管理人员、系统管理人员、数据库管理人员人工评估项目名称人工评估简要描述作为网络扫描的辅助手段，登陆系统控制台检查系统的安全配置情况达成目标检测系统的安全配置情况，发掘配置隐患主要内容操作系统配置检查应用系统配置检查网络设备配置检查实现方式手工登录操作注意事项人工是到系统或设备上检查配置的合理性及安全现状，评估前一定要做好检查列，检查项目必须事项告知相关人员。检查之后必须关闭检查时所做的操作及用户工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，人员和资料配合中间结果人工评估方案安全检查列表最终结果人工评估报告所需时间10台/工作日参加人员评估小组、系统管理人员、数据库管理人员应用评估项目名称应用评估简要描述通过问卷调查和文档审阅的方式，发现应用系统存在的安全问题达成目标发现应用系统的自身设计缺陷主要内容应用框架检查应用界面检查数据传输检查数据存储检查应用审计检查应用系统检查应用维护检查实现方式问卷调查审阅文档：《数据流图》、《需求分析》、《概要设计》、《详细设计》《用户手册》注意事项应用评估难点在于资料数据工作。由其是关于设计文档的收集，一般这部分文档都比较难以收集整理工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，人员和资料配合中间结果应用系统评估调查表最终结果应用评估报告所需时间10台/工作日参加人员评估小组、系统管理人员、数据库管理人员网络评估项目名称网络评估简要描述通过问卷调查和设置检查的方式，检查网络设计及网络架构中的问题达成目标发现网络架构及网络通过中的问题及风险主要内容网络架构检查网络管理检查网络协议检查访问控制检查历史安全事件调查实现方式问卷调查审阅文档：网络拓朴图、网络调查清单注意事项在进行设备检查的时候，提前做好检查列表并发管理进行确认。检查完之后及时进行恢复中间结果网络评估调查表最终条件4-6人工作环境，2台Win2000PC，电源和网络环境，人员和资料配合工作结果网络评估报告所需时间100台设备/个工作日参加人员评估小组、系统管理人员、数据库管理人员渗透测试项目名称渗透测试评估简要描述从防火墙内和防火墙外两个方向，对设定目标进行入侵渗透达成目标发现网络架构及网络通过中的问题及风险主要内容验证漏洞模拟黑客进行入侵实现方式人工操作注意事项渗透测试是一种破坏性的测试，存在高风险。在渗透之前要做后预案，渗透方法和目标要事先和管理员进行确认。渗透的时候选取非工作时间，渗透之后及时进行恢复。工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，人员和资料配合中间结果渗透测试方案最终结果渗透测试评估报告所需时间10台/个工作日参加人员评估小组、系统管理人员、数据库管理人员

管理评估项目名称管理评估简要描述针对安全风险，对技术管理人员及高层管理人员，进行问卷调查达成目标发现信息系统存在的技术以及管理漏洞，同管理人员达成对系统风险的共识主要内容从系统构架、安全管理、业务流程等方面，调研风险实现方式问卷调查安全检查文档审阅工作条件2-3人工作环境，人员和资料配合注意事项安全管理评估主要分为三个层次：一般工作人员信息技术人员高级管理人员中间结果安全访谈调查表最终结果安全评估评估所需时间2-3工作日参加人员评估小组、网络管理人员、系统管理人员、数据库管理人员已有安全措施确认在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。风险处理计划对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。安全措施的选择与实施应参照信息安全的相关标准进行。在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的，因此，残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后，再次计算风险值的大小。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。影响与可能性分析风险也存在两个属性：后果和可能性。最终风险对税务系统的影响，也就是对风险的评估赋值是对上述两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性，随着弱点类别的提高会增加该资产面临风险的后果。在许多情况下，某资产风险的可能性是其所面临威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产价值和威胁影响的函数。目前采用的算式如下：风险值＝资产价值×威胁影响×威胁可能性×资产弱点等级从资产面临的若干个子风险中，评估者从自己的经验出发得出该资产面临的整体风险。风险分析在完成了资产评估、脆弱评估、威胁评估，以及对已有安全措施确认后，采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。风险值计算机方法一、矩阵法原理矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果。即，函数可以采用矩阵法。矩阵法的原理是：，为正整数，，为正整数，以要素和要素的取值构建一个二维矩阵，如表A.1所示。矩阵行值为要素的所有取值，矩阵列值为要素的所有取值。矩阵内个值即为要素的取值，，为正整数。………………对于的计算，可以采取以下计算公式，，或，或，其中和为正常数。的计算需要根据实际情况确定，矩阵内值的计算不一定遵循统一的计算公式，但必须具有统一的增减趋势，即如果是递增函数，值应随着与的值递增，反之亦然。矩阵法的特点在于通过构造两两要素计算矩阵，可以清晰罗列要素的变化趋势，具备良好灵活性。在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等，同时需要整体掌握风险值的确定，因此矩阵法在风险分析中得到广泛采用。二、计算示例1、条件有一项主机资产，IP地址XX0,其资产值为4资产XX0面临多项安全威胁，由于我们只是为了计算资产价值，只需要找出最高的安全威胁即可，最高安全威胁为计算机病毒，威胁发生频率为4；威胁“计算机病毒”可以利用的资产XX0存在的多个脆弱性，为了方便计算，本计算范例中只取其中最高脆弱值，是DNS溢出，脆弱性严重程度为5。2、计算重要资产的风险值资产XX0面临的主要威胁为“计算机病毒”，威胁“计算机病毒”可以利用的资产XX0存在的主要脆弱性为“DNS远程溢出”。下面以资产XX0面临的威胁“计算机病毒”可以利用的脆弱性“DNS远程溢出”为例，计算安全风险值。a）计算安全事件发生可能性威胁发生频率为4；脆弱性严重程度为5。首先构建安全事件发生可能性矩阵，如表A.2所示。脆弱性严重程度12345威胁发生频率1247111423610131735912162047111418225812172025然后根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生可能性值为22。由于安全事件发生可能性将参与风险事件值的计算，为了构建风险矩阵，对上述计算得到的安全风险事件发生可能性进行等级划分，如表A.3所示，安全事件发生可能性值=5。安全事件发生可能性值1-56-1112-1617-2122-25发生可能性等级12345b）计算安全事件的损失资产价值为4；脆弱性严重程度为5。首先构建安全事件损失矩阵，如表A.4所示。脆弱性严重程度12345资产价值12461013235912163471115204581419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值为22。由于安全事件损失将参与风险事件值的计算，为了构建风险矩阵，对上述计算得到的安全事件损失进行等级划分，如表A.5所示，安全事件发生可能性值为5。安全事件损失值1-56-1011-1516-2021-25安全事件损失等级12345c）计算风险值安全事件发生可能性为5；安全事件损失为5。首先构建风险矩阵，如表A.6所示。可能性12345损失1369121625811151836913172147111620235914202325然后根据安全事件发生可能性和安全事件损失在矩阵中进行对照，确定安全事件风险=25。按照上述方法进行计算，得到资产A的其它的风险值，以及资产A2和资产A3的风险。然后再进行风险结果等级判定。3、结果判定确定风险等级划分如表A.7所示。风险值1-67-1213-1819-2324-25风险等级12345根据上述计算方法，以此类推，得到三个重要资产的风险值，并根据风险等级划分表，确定风险等级，结果如表A.8所示。资产威胁脆弱性风险值风险等级XX0计算机病毒DNS溢出255风险处理计划根据安全评估得出的风险结果，对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。安全措施的选择与实施应参照信息安全的相关标准进行。风险控制的方式有如下几种：[1]．消除风险：在某些情况下，可以通过管理或技术控制措施完全消除风险的可能性或风险的后果，从而能够完全避免风险。这主要适用于一些技术性弱点而引起的风险。[2]．降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。[3]．减小风险的后果或影响：在某些情况下，可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果，影响。这和“降低风险可能性”一样，可以达到减小风险的目的。[4]．回避风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。[5]．转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。[6]．接受风险：无论采取什么措施，通常资产面临的风险总是在一定程度上存在。决策者可以在进一步控制所需要的成本和风险之间进行权衡。在适当的情况下，决策者可以选择接受，承受风险。选择风险控制方式的原则是权衡利弊：权衡每种选择的成本与其得到的利益。例如，如果以相对较低的花费可以大大减小风险的程度，则应选择实施这样的控制方式。风险处理措施安全加固建议这是一种有针对性的资产点对点风险减免。主要是通过各种技术手段来补救单个资产的弱点。安全体系结构建议这是从系统的角度来重要设计更安全的系统。主要通过更合理的网络结构与系统逻辑关系设计来补救整个系统的弱点。安全管理建议这是从管理的角度来保护资产不受威胁。主要通过把具有弱点而且难以补救的资产保护起来，不受威胁的影响，也就起到了减免风险的作用。评估组织评估方人员组织项目领导小组由评估方和被评估方的相关负责人组成，主要是对项目实施的整个过程中的重大问题进行决策。风险评估项目负责人风险评估项目实施队伍自组建之日起，承担双方以合同或其它形式明确的各项任务。项目总负责人必须做好日常资源管理工作，并直接控制项目管理计划的各个要素，具体说来主要包括以下几个方面：(1)项目执行——对以下几方面工作提供指导：总体方案设计、工程及应用系统设计；设备配置确认；工程质量和进度保证；系统验收，培训等。(2)项目检查——通过其下属实施小组提供的工程进展汇报，将项目进展状态与项目计划进度进行比较，发现过程误差，提出调整措施。(3)项目控制——审核项目进展状态，必要时调集各种备用资源，确保项目按计划进度实施。(4)项目协调——与各级单位进行协调，解决工程组织接口及技术接口问题；定期主持整个系统专题协调会，及时解决各系统间出现的相关问题。项目技术顾问组由评估方的安全专家组成，主要职责是会同项目组完成以下各项工程任务：(1)系统总体设计(2)对系统深化设计进行审核并提出优化建议(3)对系统进行技术协调(4)对系统的设备配置予以确认(5)工程文档的审核(6)协助项目总负责人制订本项目的质量工作计划，并贯彻实施(7)