风险评估标准

1风险评估标准1.0目的建立风险评估标准的目的在于为IT平安解决方案提供依据和参考。2.0适用范围适用于公司所有IT平安的风险分析和评估。3.0参考1.?Informationtechnology-Securitytechniques--EvaluationcriteriaITsecurity?ISO/IEC15408-32.?计算机信息系统平安保护等级划分准那么?GB17859-1999剧4.平0秃定臣义并腊犹巴保密把性(鸭co缺nf僚id味en肚ti斯al煌it援y)熄:使纪信息炮不泄饥露给璃非授璃权的暂个人胳、实真体或驶进程隐,邪不为魔其所疼用区梳蜓拿完博整性买(i徒nt诞eg刷ri废ty铃):骨信息甲系统搂中的气数据幻与在同原文溪档中幕的相尚同，笨未遭狱受偶踢然或宰恶意悬修改变/破冠坏时启所具值有的剂性质析；或零者信抓息系戒统中淹的系坚统不炉能被粱非授茂权破晚坏或汪修改委的性寿质伸楚且徐可用事性(谊A阶va餐il漂ab作il猛it朽y)劈:被戏授权枣实体谜所需艰的资隙源可豪被访润问与梦使用芬，即件攻击蚕者不诸能占堵用相妖关资鞭源而烂阻碍叉授权券者的怠工作著申此装绘抗抵尺赖科性(柳re鉴pu丧di昆at菜io绿n)够:伞挪防止磁在通宗信中斥涉及毫到的术那些借实体锣不承柏认参喷加了五该通咳信铜遣点肠可审轨查性诵：有胁依据灰、有胳手段抚地对糊出现译的信钢息安仁全问丧题提高供跟掌踪和贺调查趋5.稀0程内容堪5.炕1麦平安灿风险鞠评估雕的基绍本步园骤梁左舟向确定棍需保戏护的廉资源冷，找祸出该旺资源涨的安忠全弱纸点和奉可能其有的己平安登威胁次，得艺出安忙全风减险等雅级。颜然后怒列举存可采度取的欢降低回风险细的对佩策，窑直至册风险状减小以至安蜓全需规求允懂许的面范围降。刃下列图居显示尿了风脖险评艳估中宴的各爬要素板和工扩作步供骤的翻关系帅：蹈5霉.1笋.1吨明确粗需安贡全保星护资科源干5.秃1.那么2俯评估刻脆弱挎性遭，惜包括钞：服1.潮场所麻平安涂2.仍平安新流程订3.浩系统那平安情4谁.席网络狱平安李5.孔应用桥平安威5绣.1铺.3伯评估杯威胁其5伶.1叼.4找列举退平安恒对策芬5笛.1鸽.5裹损失轧评估扩5日.1苹.6警确定耕风险沫等级开5.循2茧细那么蓝5血.2旋.1坦明确拢需安头全保讲护资生源垃1.棒网络毯设备争：交诞换机尽、路恨由器耻、H妻UB咐、网示络布巡线等意2挑.计轰算机侄设备浸：个缴人计智算机技、便如携机脸、网唇络服灯务器位、文泊件服量务器茂、工偏作站式等践3.云存储装介质锡；软昌盘、家硬盘欲、磁赤带、自光盘阀、M堪O等昼4.摸软件口：协操作损系统院、数计据库静、工纯具软蓬件、图办公粱平台便软件谈、开武发用蓝软件截等悠5.叫网上辱应用额系统患：霞EM夺ai钟l系山统、密In钢te划rn塑et卧P筝ro紫xy伤效劳珍、N前ot持es谊系统壤、M滨RP件II体、S斤AP应、H器R、絮WW后W、颗FT帖P等雹6.宅网络和效劳三：柜DN沸S、肠DH恭CP熔、W蔬IN勤S、福网络迹路由销效劳锈等暗7.沸数据影资料袜：责电子棋文档备、数俱据库斧等茎5良.2愉.2鸣评估伏脆弱会性堪老熔弟使用外最好翅的测聋试工商具和部技术享、使魂用不六同的揭工作锐方法壶，对仙公司唉的整返体资词源系脊统的窑平安那么进行象评估航和审骑查〔蜂从技窗术和际管理洪两方亿面〕皱，找想出存状在的牌平安载隐患沈。丽1.招场所斥平安羊评估分续崭助著埋1)玉对公亲司场怜所安船全评掉估，苦信息塞平安玻监控慢须包付含硬失件监例控。大沸械致送类2)亦对公拥司信磁息安圈全部音平安吸措施直及相雷关文钥件评土估，杠包括匹：场燕所安语全、载存储肺介质贼平安职、硬畏件安朝全、别紧急唤事故晴处理图和信否息保及护等块。查突他赞谣枪3)占分析凉公司姐平安涨标准据并与贱业界良最正确口实践籍标准现进行雷比拟灰。蹲罪告欲孟削4)挤总结类平安缸措施东优缺梨点及解措施壳实用步性。能2.驼平安金流程迅评估手铜投洪极独1)毒评估尾公司泥的安影全管锤理流益程的诵效率单及效箱用，以评估番查安骄全信是息保馋障系敞统是录否真出正保忙护了荣至关夹重要壁的业绍务信戏息，虾评估框管理浆流程罪和安售全技难术是产否同土时在蛇各方声面发屯挥作流用。遵蜻福盼躁溜2)扔针对途已有寄的信杏息安杂全标卵准或抢规那么嫩，通舅过相请关安绒全接阔口人键员了夕解情肝况，口审查觉各监断控环龟节以宏确认志该环镰节能楼够履腹行监缺控职果责。跟芒贩尖说穴3)心对各毅环节雕中所秤使用指的I爹T安龄全监气控系倾统评滋估：跌平安启决策顶，组锻织结辰构，夹硬件货监控闯，资琴产评秋估及亩控制阅，系振统安橡全监铃控，诚网络放和计掠算机照管理讨，业锄务连协续性剥，应溉用程羡序发梯展和获维护赤，以型及服贪从性盲。饼谨柱挡富我4)候与业福界相黄比对亩，对杯所收疤集到服的信咳息进调行分寨析。惰秃诊伯员集5)倍总结趣系统危优势索及弱哨势，醒推荐壤改良颠方法煮，以答完善滋平安钢系统劈，降范低风货险。熟轮画3.皇系统况平安殿评估为竖预烘份妄1)夏评估毒公司蠢一系嘱列全度面办萌公解麻决方误案、备数据狡库服煎务器场、文仆件和疼打印享效劳剩器、朵应用唇程序网效劳胜器，济找出煮系统字弱点巾。非沉燥箭糕之2)忙找出关公司旗主要乱系统疾平台永〔如杀：U猜NI压X,冻Wi娃nd选ow舞s/敢NT辆〕和摔一些待捆绑欧销售旺的组产件〔寄如：千Mi巾cr道os烟of趋t馅Ex急ch幸an忠ge肌,抛Lo特tu居s稍No揉te真s,贯C令OB毒RA声,T植iv替ol登i〕钢的弱吊点所临在。调疑渗由爪友3)弹从技窗术和浸管理贷两方辆面进抵行评踏估：楚亮百民希抱腰不扩a.聋技术凭审查贯对每塑一个蹲组件块的机驻制进渐行真统实性抄、可味靠性狗、可如审查旋性、街保密释性、意适用享性检权验，倍并根奋据公虑司书芬面文新件对袖其进丝行核贷查及斗预警石。宗夸腾酒馅有稍先但b.印管理松审查抗包括接听取崭管理颂员意节见，还对该殊组件坑相关煌的书填面文柿件、博标准扩和措角施进倦行审择查。宁这将笼保证饰公司菌能够谦发现宋来自熔于公叉司内续部或兰外部埋的能虚越过敌平安寄监控予的潜乐在威社胁。腰导启骆百顿5)盆对系本统软吹件和驱组件有的配切置文茄件是必否能鱼让授鼓权用进户正准常登迷录进望行审呆查，狱同时植阻止华和发铅现非顺授权柜用户应的登泊录企毒图。破编某凯辉套6)酱对安逃全管息理监倦控作根以下碌方面分的综岭合审粘查：援方案枪、组江织、训人事工、资墓产分担类和射监控清、硬踢件监撒控、射资产栽监控紧、网镜络及名计算貌机管牵理、威业务断连续估性、蜜系统拜开展宝和维斤护、饿适用材性等倍。丛卡4.爬网络祥平安捎评估古传走苗疗坏1)耕对公涨司网低络平存台的拍平安尚设计百情况烂〔路线由器填、防银火墙想、网县络服尼务器象、应枝用程沟序服脚务器搁等〕良进行破审查年，以车确定通是否白有些肾功能院会存枣在安监全问怪题。迫将不迹受信企任的肉、外严部的精网络脑与内例部的忌、受坐信任荡的网构络和笋系统狮隔离厅开来静。膛氏渔墓嘴棍2)毅(根例据情岩况需从要〕鬼模拟哥入侵萝者的彻攻击协，必狠须以政可控之制的彼平安配的方版式进怕行。蝶模拟比三个奸方面进非法功进入缴内部差网络铸：低妨水平缠的单幼个黑麦客，识有一兄定能捡力的重黑客伐小分淘队，厘有高品度动肯机的堡专家断黑客阀队伍牛。北光赚挪缠汽3)画检查杨系统间的配卫置和刚管理挡以及伯可能河在将剃来引哀起新牙的安霉全问刊题的六因素吓。评图估内暖容可让以根熔据需幕要裁累剪，拘包括善系统士平台旬、网萌络连迷接、醒软件陆和数垫据库甚。也平秩返流趁4)瓣在技呈术和夹管理头层面沉综合猎性地闯检查钩网络横方案居。技避术检较查包袋括多乔方面恰的入央侵测铜试和煎配置暮分析豪，全辣面了甩解网掩络解销决方阔案的衫长处乎和不彻足。孟管理汗检查辉包括身访问献管理伴者和蝴检查舒平安慕文件仆。活浅5.酬应用蝇平安简评估欺议泉军器列1)焦全面甚评估宅应用填程序村的：消体系扑结构病、设忘计及烧功能状；开全发和包维护垮过程祥；运鸽行过机程及帜包括号运行歉平台束在内和的技这术组余件；扁使用喉的网忘络服尊务及择数据衣库或芳使用鞭的运饶行平策台服罢务。纠弱缎霜跌毛2)案对应像用所慧采用嫌的过品程和咐技术聪进行乡审核禁，以腹保证稼主应外用程眉序的道平安占性和萄保密载性要胳求。绿对应萌用程煤序新恭的安犁全代妻码和银支持血根底碑结构描的服盗务进结行审赌核，申检查慨影响里生产藏环境服完整抖性的讽一般墨错误鸡。凑笼副誓刑粒3)菊复查丢应用纸程序烂平安射和保其密的客要求叼、体抚系结嗽构规趴范、翁功能刷标准浩和测框试计胞划。吵4栽)分逝析所慈选择辜应用葛程序腾代码幕，找模出有然关代券码中锁的脆授弱性食。芽值潮东散郑5)器分析歉操作碑系统引平台态、数胖据库恐、网学络、判以及刚该应筝用程榆序可智能调漏用的怪平安茄和保陪密服煌务。洞菌雷辟蛋修6)惠对现正有基晴础结群构中添的部暴件和欲过程诵的安搭全和访保密齿性进小行确涛认。谈柏腐琴写心7)膊复查旬客户悲与安负全和嗽保密谣政策摧以及湿相关饶标准沾的程串序和瞧过程帝。渴5栏.2垒.3哭评估欠威胁咐当需愤要保晒护的卷资源连被确印定后帮，进念一步叠那么需重确定赤所需封保护叶资源翼存在眉的威唤胁。满尽1纲.倍查非茅授权岩访问碎：如稿没有香预先确经过矮同意继就使悬用网法络或曾计算裕机资箭源被赌看作怜是非迷授权僵访问膀。如站：有阴意避挥开系鲁统访痕问控理制机个制，赖擅自毫扩大槽权限葵，越赌权访睁问信鼓息。形屯2挤.躲查信蛮息泄看漏：供是否筐敏感仓数据侍在有骡意或扒无意兰中被犯泄漏君出去无或丢亮失。歇如：喷信息螺在传铲输中厌或在剑存储添介质唱中丢分失或备泄漏睁，通闹过隐澡蔽通接道窃督取机锯密信验息等祸。英速3腐.青查数箩据完筝整性换：如涌非法晓窃得杂数据紫使用液权，恢修改侧或重先发某阔些重蹈要信从息，各恶意狼添加奉、修辅改数线据，蓄干扰饮用户膏的正洪常使嫂用。治波4乖.裕查拒管绝服黎务攻小击：笨查潜犹在的昼对网组络服卵务进句行干申扰的樱活动嚼，该悔活动均可能念造成满系统酱响应竖减慢棍甚至桌瘫痪原，影烫响正晒常用槐户进柄入网概络系锹统或映不能识得到御相应抛的服滨务。吊5通.2遭.4沉列举塞降低狠风险惜的对贤策稿瘦系旦为保秆护公青司网睡络资帆源，恨采取引怎样版的控芳制措惭施，猫应根病据损塘失的断风险原概率侧、控斤制的夫费用盒、控夹制后横的变枝化率膜以及犁公司鲜在安犬全防蜻护上它所能愚投入土的财莫力确匠定。蛾采公俗降低握风险粪的对沫策主脉要从傍三个冰方面梯考虑烂：严战格的脚平安脂管理卵、运要用先少进的摘平安扰技术车、一膨套威辉严的行管理桑制度姓和标械准。乱风险结对策放举例丑：承相滨陵采用棉一些炕复合居平安撇技术椒，如誓防火那墙，游单点度登录钻方案蛾，中增央安孤全管救理方透案以披及公绵共秘级钥等娱。砌寿落折每周贤进行舅策略秘顺应浴性测标试-是--身-检哥查与莫方针攀相符鼠的网溜络服慢务是苍否可肠用，湖寻找搏一般盲的网碍络漏世洞并惠检查董提供尚互连等网连薄接的包域名泻系统式〔D冰NS涂〕的楼内容贺。沉捕孟轻每月阴进行拢脆弱阅性测漆试-摆--栗-用龙一切输方法冤搜寻阀所有亭陪的漏卷洞和飘未被屋授权专的服反务，犁使用耳各种宗专门响的安眯全工衰具来董模仿恰黑客忍的攻疤击方黎法。离烫禾在念进行孟每周勇和每燥月测弓试的剑同时拢，选百购一晕些强荒有力裹的补舅充监殊控服浓务，私以显袭著减继少处炭理互窄连网汉不速细之客姑侵入既的响威应时自间。狱对恶问意活返动进份行2基4x躺7x纺36触5的端监视害。仍扫塞负俩预1)增在网区络和生主服狡务器所中配万置、刺布置老监视互测试零仪。液使用激工业洲上领找先的拒入侵勉侦察附软件芝，扩璃大安昂全策骨略，私防止味平安鞠侵犯挂。章献鹅驱招煤2)管培训但专业酒的安深全管你理人饱员，职当有呆疑心切的活懂动发头生时弊，进仔行调吃查和赔警告篮，有束效的丹事故三处理奇，及营时的凶平安开预警挖和协码调。量致辜馅坝膊3)砌在关啄键业谣务服礼务器爆上建岭立入热侵侦历察软它件，丙分析互运行差记录文和系精统文饼件，搭侦察雾平安殃侵犯产或滥志用。凉安鸣自论句4)胡与安杰全事乌故反舱应机颜构建荷立联坚系，侦以便坚尽快菜得到女良好晶的安动全服绳务。践痰贺