2022信息系统风险评估实践指南

信息安全风险评估实践指南前言：关于安全风险的故事前言：关于安全风险的故事.故事是这样发生的：一个乡下人进城里打工，由于疲惫于是乡下人就在一个露天的公园里睡觉，结果不小心被旁边的小偷盯人并把他口袋里的100块钱给偷走了，最后搞得晚上没饭吃…….它的安全风险是这样的：风险=钱被偷走资产=100块钱影响=晚上没饭吃威胁=小偷弱点=打瞌睡前言：安全风险故事的延伸前言：安全风险故事的延伸.故事继续中：某证券公司的数据库服务器因为存在RPCDCOM的漏洞，遭到入侵者攻击，被迫中断3天。.您的安全风险观呢？某证券公司的数据库服务器因为存在RPCDCOM的漏洞，遭到入侵者攻击，被迫中断3天。风险 RPCDCOM漏洞资产 服务器遭到入侵影响 数据库服务器威胁 入侵者国内大多数风险评估的操作者差不多站在同一个起跑线上了。国内大多数风险评估的操作者差不多站在同一个起跑线上了。目目录1、风险评估理论2、风险评估的国家政策和标准3、风险评估实践11、风险评估理论1.1 什么是风险评估1.2 为什么要做风险评估1.3 风险评估怎么做1.1 什么是信息安全1.1 什么是信息安全风险评估信息安全的三个特征（CIA)：机密性：确保只有被授访问信息；完整性：确保信息的准确和完整；可用性：确保在需要户可以访问信息和相关的资产。信息安全风险：定义风险是指信息资产的能性。定义织有负面影响的事件。定义为或自然的威胁利用信息系全事件的信息安全风险评估：定义存在的脆弱性、造成的影响，以及三者综合作用而带来风险的可能性的评估。定义角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提供科学依据。11、风险评估理论1.1 什么是风险评估1.2 为什么要做风险评估1.3 风险评估怎么做1.2 为什么要做风险评估1.2 为什么要做风险评估信息安全面临的威胁计算机欺诈络病毒的蔓延和破坏有害信息内容污染与舆情误导“谍件”潜入员误用、滥用、恶用IT产品的失控（分发式威胁）物理临近式威胁网上恐怖活动与信息战网络的脆弱性和系统漏洞我国网络信息安全入侵事件态势严竣年度报告数据)收到信息安全事件报告万件(04年的倍)；监测发现万台计算机被木马远程控制(04年的倍)；发现1.4万个网站遭黑客篡改,其中政府网站千(04的倍)；网络钓鱼(身份窃取事件报告件(04年的倍)；监测发现万台计算机被植入谍件(源头主要在国外)；发现僵尸网络个(受控计算机万台)。互联网信息安全威胁的某些新动向僵尸网络威胁兴起谍件泛滥值得严重关注网络钓鱼的获利动机明显网页篡改(嵌入恶意代码),诱人上当开始用于敲诈木马潜伏孕育着杀机获利和窃信倾向正在成为主流“重要信息系统”安全态势与深层隐患系统设计缺陷系统集成缺陷内控机制脆弱高危漏洞存在信息安全域界定与边控待探索风险自评估能力弱灾难恢复不到位用户自控权不落实– ----------风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据消除安全建设中的盲目乐观或盲目恐惧提高系统安全的科学管理水平11、风险评估理论1.1 什么是风险评估1.2 为什么要做风险评估1.3 风险评估怎么做1.3 1.3 风险评估怎么做1.3.1 风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具1.3.4 风险评估的形式1.3.5信息系统生命周期各阶段的风险评估1.3.1 风险评估要素1.3.1 风险评估要素风险评估的四个要素资产胁脆弱性现有安全控制措施资产资产是任何对组织有价值的东西；信息也是一种资产，对组织具有价值。资产的分类威胁威产损失的活动；威胁是利用脆弱性来造成后果。威胁的分类脆弱性是与信息资产有关的弱点或安全隐患；脆弱性本身并不定条件得到用来对信息资产造成危害。脆弱性举例系统漏洞Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计技术手段缺乏安全意识后门……1.3.1 风险评估要素风险评估要素关系图业务战略依依脆弱性 暴露 资产 具有 资产价值利用 未被满足 成增加威胁 增加 风险 导出 安全需求演变 抵御

降低 被满足安全事件

可能诱发

残余风险

未控制

安全措施1.3.1 风险评估要素1.3.1 风险评估要素程度越高，要求其风险越小；的依赖程度越高，资产价值就越大；风险是由威胁引发的，资产面临的威胁越多具有的弱点越多则风险越大；脆弱性是未被脆弱性危害资产；风险的存在及对风险的认识导出安全需求；安全需求可通合资产价值考虑实施成本；安全措施可抵御威胁，降低风险；残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的与效益后未去控制的风险；残余来诱发新的安全事件。威胁视图：脆弱性视图：影响视图：脆弱性识别资产识别资产价值脆弱性识别资产识别资产价值威胁识别风险分析原理图威胁识别安全事件造成的损安全事件造成的损失脆弱性的严重程度安全事件的可能性威胁出现的频率风险值练习一识别风险练习一识别风险1、请列举五个信息安全的风险的例子，并按下面的要求进行描述。2、要求：按照资产－>资产所面临的威胁－>能被威胁利用的脆弱点的顺序来描述每一个风险。1.3 1.3 风险评估怎么做1.3.1 风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具1.3.4 风险评估的形式1.3.5信息系统生命周期各阶段的风险评估1.3.2 风险评估方法1.3.2 风险评估方法通用流程：风险评估的准备；资产识别；威胁识别；脆弱性识别；通用流程：风险评估的准备；资产识别；威胁识别；脆弱性识别；已有安全措施的确认；风险分析；风险评估文件记录。风险分析是风险是否接受否是否接受残余风险否是保持已有的安全措施制定和实施风险处理计划并评估残余风险风险计算实施风险管理评估过程文档评估过程文档.........评估过程文档风险评估文档记录已有安全措施的确认资产识别威胁识别脆弱性识别风险评估准备风险评估准备通用流程下的不同评估方法—评估粒度粗细线评估详细评估组合评估通用流程下的不同评估方法—定性还是定量定量分析定性分析综合方法基线评估适用情况：适合一般运作不是很复的依用普遍且标准化的模式。工作方法：组织根据自己的实际情况（业、业务环境与性质等），全基线检查（定的措施进行比较，找出其中的差距），基本的安全需求，通措施来消减和控制风险。于评估显然是最经济有效的风险评估途径。缺点：基可能能关的变化方面，基线评估比较困难。详细评估适用情况：适合估。工作方法：要求可能引起估途径集中体的管理者所采用的安全控制措施是恰当的。全目前的安全水平和安全需求；详细评估的结果可用来管理安全变化。缺点:详细的风险评估可能是非常耗费资源的过程，包括操作和信息资产的边界。组合评估：（基线评估和详细评估二者结合的组合评估。）工作方法：组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。既全面系能信息系统能够被预先关注。缺点：如果初步的高本来需要致结果失准。风险计算模型风险分析方法有三种：定量评估方法：运用数量指标来对风险进行评估。定性评估方法：依据评估者的知识、经验、历史教训、政策走向等非量化资料对系统风险状况做出判断的过程。定性和定量相结合的综合评估方法定量分析：对后果和可能性进行分析；采用量化的数值描述后果（失的金额）和可能性（概率或频率）；分析的有效性取决于所用的数完整性。定量分析适用于：当部分的公司资产已具有量化的价值；利用财务的手法算出风险造成的财务损失；再根据损失的大小决定风险等级。后果定量分析SLA（single-timelossAlgorithm)当一个风险发生时会对资产价值造成多大的财务损失。ALE（AnnualizedlossExposure)年度风险损失。年度化损失运算表（频率）不可能0.0300年一次1/3000.00333200年一次1/2000.003100年一次1/1000.0150年一次1/500.0225年一次1/250.045年一次1/50.202年一次1/20.51年一次1/11.01年二次1/0.52.01个月一次12/112.01星期一次52/152.01天一次365/1365.0简易的定量计算公式：资产价值（v)乘以可能性（L）可以得出ALE（年度风险损失），即：ALE=VÎL定性分析：对后果和可能性进行分析；采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等分析的有效性取决于所用的数性。定性分析适用于：初始的风险；风险程度和经济上的考虑；数据不足以进行定量分析的情况。后果或影响的定性量度（示例）等级描述详细情形1可以忽略无伤害，低财务损失2较小立即受控制，中等财务损失3中等受控，高财务损失4较大大伤害，失去生产能力有较大财务损失5灾难性持续能力中断，巨大财务损失可能性的定性量度（示例）等级描述详细情形A几乎肯定预期在大多数情况发生B很可能在大多数情况下很可能会发生C可能在某个时间可能会发生D不太可能在某个时间能够发生E罕见仅在例外的情况下可能发生风险分析矩阵—风险程度可能性后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）MHEED（不太可能）MHEE（罕见）MHHE：极度风险 H：高风险 M：中等风险 L:低风险风险的处理措施（示例）E：极度风险---要求立即采取措施H：高风险 需要高级管理部门的注M：中等风险 必须规定管理责任L:低风险 用日常程序处理半定量分析：在半定量分析中，上述的那些定性数范并不一定与后果或可能性的度具有精确的关系。半定量分析的目的是定性分析中所得到的更得到的风险实际值。脆弱性识别脆弱性的严重程度风险值脆弱性识别脆弱性的严重程度风险值威胁识别威胁出现的频率安全事件的可能性风险评估计算方法威胁识别威胁出现的频率安全事件的可能性资产识别资产价值安全事件造成的损失风险分析原理图资产识别资产价值安全事件造成的损失风险评估计算过程计算安全事件发生可能性计算安全事件造成的损失计算风险值结果判定风险计算方法（常用）阵法相乘法矩阵法风险计算过程计算安全事件发生可能性构建安全事件发生可能性矩阵；根据威在矩阵中进行对照，确定安全事件发生可能性值；行等级划分。计算安全事件的损失构建安全事件损失矩阵；根据中进行对照，确定安全事件损失值；对计算得到的安全事件损失进行等级划分。计算风险值构建风险矩阵；根据安全事件在矩阵中进行对照，确定安全事件风险；风险结果判定相乘法风险计算过程计算安全事件发生可能性（1）安全事件发生可能性威胁发生频率值脆弱性严重程度值；（2）。计算安全事件的损失（1）安全事件损失值重程度；

脆弱性严（2）计算风险值（1）安全事件风险值安全事件发生可能性安全事件损失；风险结果判定练习二练习二对练习一中所识别的风险进行定性分析。要求：列出后果和可能性的定性描述依据给出各级别风险的处理措施1.3.2 1.3.2 风险评估方法风险评估内容：安全技术、安全管理安全技术网络安全主机系统安全应用安全数据安全安全管理安全管理机构安全管理制度员安全管理统建设管理统运维管理1.3 1.3 风险评估怎么做1.3.1 风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具1.3.4 风险评估的形式1.3.5信息系统生命周期各阶段的风险评估1.3.3 风险评估工具1.3.3 风险评估工具根据在理的不同，：：集成了风险评估各类知程和操作方法；或者是用于收集据和分析。系：主要用于对信息系统的主要部件（络设备等）性的攻击。：实现对数据的采集、现状分析和的赋值、定级提供依据。风险评估与管理工具基于信息安全标准的风险评估与管理工具依据标准或指南的内容为基础，开发相应的评估工具，完成遵循标准或指南的风险评估过程。如ASSET、CCToolbox等。基于知识的风险评估与管理工具并不仅仅遵循某个单一的标准或指南，而是将各种风险分析方法进行综合，并结合实践经验，形成风险评估知识库，以此为基础完成综合评估。如COBRA、MSAT、@RISK等。基于模型的风险评估与管理工具对系统各组成部分、安全要素充分研究的基础上，对典型系统的资产、威胁、脆弱性建立量化或半量化的模型，根据采集信息的输入，得到评价的结果。如RA、CORA等。常用风险评估与管理工具对比工具国家公司成熟度功能标准Asseet-1美国NISTNIST发布依据美国NISTSP800-26估NISTSP800-26CCToolbox美国NIAPNIAP发布依据CC进行信息安全自动化评估CCCOBRA美国 C&A SystemSecurityLtd.成熟产品主要依据ISO17799进行风险评估主要依据 17799MSAT美国Microsoft公司成熟产品主要进行定性和定量风险评估专家系统RiskWatch美国RiskWatch公司成熟产品综合各类相关标准进行风险评估和风险管理各类信息安全相关标准RA英国BSIBSI发布主要依据ISO17799进行风险等级和控制措施的过程式分析主要依据 17799ASSETCCtoolsCCtools1.3.3 风险评估工具1.3.3 风险评估工具系统基础平台风险评估工具脆弱性扫描工具；商用：绿盟“极光”、福建榕基。。。免费：nessus、X-scan。。。。基于网络的扫描器基于主机的扫描器分布式网络扫描器数据库脆弱性扫描器渗透性具、脚本文件。常用脆弱性检测工具对比NetReconBindViewHarkerShieldEEyeDigitalSecurityRetinaISSInternetScannerNessusSecurityNetworkAssociatesCyberCopScannerSARAWorldWideDigitalSecuritySAINT操作系统WindowsWindowsWindowsWindowsUnixWindowsUnixUnix内建的自动更新特征能够自动更新（从网络下载）能够自动更新能够自动更新能够自动更新（络下载）能够自动更新无此功能无此功能扫描类型基于网络的扫描基于主机的扫描基于主机的扫描基于主机的扫描基于网络的扫描基于主机的扫描基于网络的扫描基于网络的扫描CVE对照没有对应CVE列表对应 列表没有对应CVE列表对 应列表对 应列表没有对应列表对 应CVE列表对应 列表是否能够对选点的漏洞进行修复否能够能够否否能够否否风险评估辅助工具检查列表：基于特定标准或基线建立的，对特定系统进行审查的项目条款。入侵作；同发生的安全状况。安全或网对象威胁信息的来源。拓扑的识别、发现功能。成被息的收集功能。其他：模型库等。1.3 1.3 风险评估怎么做1.3.1 风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具1.3.4 风险评估的工作形式1.3.5信息系统生命周期各阶段的风险评估1.3.4 风险评估的形式1.3.4 风险评估的形式信息安全两种形式。自评估为主，自评估和检查评估相互结合、互身技技术支持。自评估由发起方实施或委托风险评估服务技术支持方实施。优点：有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用有利于提高本单位的风险评估能力与信息安全知识缺点：可能由于缺乏深入准确；同估结果的客观性易受影响。建高；但由于受到行定的局限。但由于引入第三方本身就是一个因此，方面应进行控制。检查评估是指信息系有关职能部门依法开展的风险评估。优点最具优点通过行政手段加强信息安全的重要措施。缺点：缺点：穿信息系统的生命周期。一.风险评估究其根本是评估系统的敏感信息，涉及大量的安全问题，完全委托第三方将带来评估本身的风险；二.进行风险评估要求评估人员既要了解评估本身的一套方法与流程，于完全从事系统的业务特性难度是比较大的；三.风险评估工作流程中常常要求被评估方向评估方提供各种信息，需要之评估方第三方是无法完成系统评估的。基于以上原因，委托评估技术支持比委托评估的提法更为切合实际。并且，提供委托评估技术支持的机构应具有相应的资质。1.3 1.3 风险评估怎么做1.3.1 风险评估要素1.3.2 风险评估方法1.3.3 风险评估工具1.3.4 风险评估的形式1.3.5信息系统生命周期各阶段的风险评估1.3.51.3.5信息系统生命周期各阶段的风险评估国信办[2006]5号文件指出：信息安全风险评估应贯穿于网络与信息系统的建通全目标。规划阶段的风险评估规划阶段的风险评估设计阶段的风险评估实施阶段的风险评估运行维护阶段的风险评估废弃阶段的风险评估规划阶段的风险评估规划阶段风险评估的目的是识别系统的业略，以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标。设计阶段的风险评估设计阶段的风险评估需要根据规划阶段所明确的系功能需求。方案中所提供的安全功能符合性进行判断为采购过程风险控制的依据。实施阶段的风险评估实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量控制。基于设计阶段的资产列表、安全措施，实施分，同安全措施能否抵御实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估。运行维护阶段的风险评估运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。废弃阶段的风险评估当信息系统不能满足现有要求时，信息系统进入废弃两种。废弃阶段风险评估着重在以下几方面：1、确保硬件和软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换；、如果被废弃的系统是某个系统的一部分，或与其他系其他系统的连接是否被关闭；变更的部分进行评估，以确定是否会增加风险或引入新的风险；变更的部分进行评估，以确定是否会增加风险或引入新的风险；、是否建立了流程，确保更新过程在一个安全、系统化的状态下完成。目目录1、风险评估理论2、风险评估的国家政策和标准3、风险评估实践22、风险评估的国家政策和标准2.1 国内风险评估工作进展及国家政策2.2 风险评估的国内外标准2.3 国外风险评估的发展历程2.1 国内2.1 国内风险评估工作进展从年月至今，我国信息安全风险评估工作大致准中办发[2003]27号文件：工作提出了明确的要求，启入风险评估调研阶段。年上半年启动了《信息安全风险评估指南》和《风险管理指南》等标准的编制工作。国信办[2005]4号和号文件：关于在作的要求，检验《信息安全风险评估规范》可行性可用性。先后开展两次全国范国信办[2006]5号文件《关于开展信息安全工作的意见》，标志着我国信息安全领域一项基础性全体性的业务，正式启动。“国信办”与“安标委”《信息安全风险评估规范》“保密局”涉密信息领域风险评估规范。”科技部“信息安全风险评估方法、工具、模型研制。《关于开展信息安全风险评估工作的意见中主要内容：风险评估的实施要求风险评估的管理要求 《关于开展信息安全风险评估工作的意见》的实施要求：信息安全风险评估工作应当期。在信息系目产生欠保护或过保护的情况。在信息系统建设完成检验信息系统是否实现了所设计的安全功能，是否满足了信息系统的安全需求并达到预期的安全目标。在信息系统的运行阶段，应当定期在信息系统的运行阶段，应当定期应性。当安全形势发生重大变化或信息系统使命有重大变更时，应及时进行信息安全风险评估。段，应通段，应通等级提供依据，根据息系统的防护水平是否符合等级保护的要求。 《关于开展信息安全风险评估工作的意见》的管理要求：的风险，《意的风险，《意见》强调，必险评估的组织管理工作为规避由于风险评估工作而引入新的安全风险，估工作的单位及其有关人员必安全的法律法规，并承担相应的责任和义务。估工作的单位及其有关人员必安全的法律法规，并承担相应的责任和义务。2）采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。3）对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作作必须遵循国家的有关规定进行。加快制定和完善信息安全风险评估有关技术标准尽快完善并颁布《信息安全风险评估指南息安全风险管理指南》等国家门也可根据本行业特点制定相应的技术规范。要加强信息安全风险评估核心技研究与攻关。要从抓试点开始，逐步探索用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力，为保障和促进我国信息化发展服务。22、风险评估的国家政策和标准2.1 国内风险评估工作进展及国家政策2.2 风险评估的国内外标准2.3 国外风险评估的发展历程2.2 2.2 风险评估的国内外标准《信息安全风险评估规范》信息安全管理体系ISO/IECTRNISTSPOCTAVESSE-CMMAS/NZSBS7799BS7799包括《信息安全管理实施细则》《信息安全管理体系规范》当前状态–ISO–ISO关于并未给出具体的方案，只是在BS7799-2:2002中将风险评估作为建立信息安全管理体系的中间步骤来看待。其中所要求的风险评估的步骤包括：定义风险评估的系统方法识别风险评估风险识别并评价风险处理的方法为风险的处理选择控制目标与控制方式根据的文件要求，以上成风险评估报告。ISO/IECTR13335ISO/IECTR13335ISO/IECTR《信息技术IT安全管理指南第部分：IT安全管理技术》其中介绍了：如何根据组织自身情况选择风险评估方法可供选择的多种风险评估方法风险分析方法的选择基线方法：对所有IT系统应用基本分析，不考虑系适用的事实。非正式方法：运用非常精力于感觉具有较大风险的IT系统。详细的风险分析方法：对所有的IT系风险评估。复合方法：先在以识别面临高风险并对业务起关键作用的IT系统，再基本的风险分析。否否是评估风险建立评估边界IT系统安全方针风险接受选择控制识别/评审限制因素识别已存在/计划的控制薄弱点评估威胁评估资产的价值及组织对其依赖性识别风险ITIT安全方案详细的风险分析步骤NISTSP800-30NISTSP800-30SP《IT系统风险管理指南》风险管理包括三个过程：风险评估风险降低再评估及评估其中风险评估过程包括个步骤：步骤统描述步骤识别步骤胁识别步骤步骤步骤步骤风险判定步骤议步骤结果文档OCTAVEOCTAVEOCTAVE—OperationallyCriticalThreat,Vulnerability,Evaluation。可操作的关键威胁、资产和薄弱点评估；OCTAVEMethod是专为大型组织设计的方法。OCTAVEMethod分成个阶段个过程：第阶段包含个过程，第阶段包含个程，第阶段包含个过程。另外，在开始实际评估之前，需要做好许多准备工作。准下准备活动是成功的关键因素：争取高层管理部门的支持选择分析团队设置OCTAVEMethod的适当范围选择参与者第一第一阶段：建立基于资产的威胁配置文件第二第二阶段：识别基础设施的弱点第三第三阶段：开发安全策略和计划RiskSSE-CMMRiskSSE-CMMSecurityEngineeringCapabilityMaturityModel,系统安全工程能力成熟度模型ISO/IEC《信息技系能力成熟度模型》产品或服务工程过程保证过程风险过程工程过程保证过程风险过程保证论据 风险信息风险过程风险过程PA:评估威胁 PA:评估威胁ThreatThreatPA:评估脆弱性 PA:评估安全风险PA:评估脆弱性 PA:评估安全风险PA:AssessSecurityRiskPA:AssessVulnerability脆弱性信息PA:AssessSecurityRiskPA:AssessVulnerability

风险信息PA:评估影响 PA:评估影响ImpactImpact工程过程工程过程PA：确安全需求PA：监视安全态势SpecifySecurityNeedsMonitorSecurityPosture风险信息PA：确安全需求PA：监视安全态势SpecifySecurityNeedsMonitorSecurityPosture PA：协调安全 PA：协调安全CoordinateSecurity策 CoordinateSecurityPA：管理安全控制…PA：管理安全控制AdministerSecurityControlsProvideSecurityInput AdministerSecurityControlsProvideSecurityInput 保证过程保证过程认安全 认安全andandSecurityPA：建立保证论据其它的PAPA：建立保证论据其它的PAManyotherManyotherManyotherManyotherManyotherManyother与与风险评估过程相关的过程区评估影响评估安全风险评估威胁评估脆弱性SSE-CMM没有规定风险评估的定量方法，但它将风险评估的流程及风险评估中各因素（胁、脆弱性、影响、风险）楚，具有极强的指导作用和可实施性。AS/NZS4360AS/NZS4360AS/NZS《风险管理指南》是澳大利年发布第一版。风险管理过程图风险管理过程环境风险识别风险分析风险评价风险处理监控和评审询目目录1、风险评估理论2、风险评估的国家政策和标准3、风险评估实践33、风险评估实践3.1 国内信息安全评估机构3.2 风险评估案例13.3 风险评估案例23.4 风险评估过程体会3.5 风险评估与等级保护、安全测评关系3.1 3.1 国内信息安全评估机构国家信息安全标准化委员会（“信息安全工作组-WG5）国家信息安全测评中心（信息技术安全性评估准则-GB/T信息系估准则）公安部（计算机信息系统安全保护等级划分准则-GB17859-1999）（计算机信息系统安全等级保护通用技术要求-GA/T国家保密局（涉及国家秘密的计算机信息系统安全保密测评指南-BMZ北京市信息办（党政机关信息系统安全测评规范）上海市信息办（信息系统安全测评规范）解放军（信息系统安全评估规范）许多安全服务公司。。。33、风险评估实践3.1 国内信息安全评估机构3.2 风险评估案例13.3 风险评估案例23.4 风险评估过程体会3.5 风险评估与等级保护、安全测评关系3.2 风险评估案例3.2 风险评估案例1-银行评估对象：某银行网银系统评估过程准备阶段现场检测阶段风险分析阶段机构的业务调查信息系统的业务特性机构的组织结机构的业务调查信息系统的业务特性机构的组织结构和管理制度调查信息系统的管理特性机构的技术平台调查信息系统的技术特性机构的使命调查信息系统的业务目标现场检测阶段—了解信息系统机构的使命调查信息系统的业务目标信息系统的信息系统的描述报告资产分类与赋值资产分类与赋值中需要注意的问题由于被全部评估可能把握不住重点，因此需要资产抽样。抽样时遵循典型性、全面性和特殊性三原则。具体如下：典型性原性能完全相同的的资产抽样部分资产。全面性原则，对于“网银系统”中每一类资产都要抽样到。特殊性原则，对于“网银系统”殊用途的资产，则不抽样，全部检测，比如对服务器。资产分类与赋值3.2 3.2 风险评估案例1-银行3.2 风险评估案例3.2 风险评估案例1-银行威胁识别与赋值威黑客、内部黑客、合法用环境因素、管理因素威份假冒、密码攻击等大约十几种。威胁识别与赋值3.2 3.2 风险评估案例1-银行3.2 风险评估案例3.2 风险评估案例1-银行脆弱性分类与赋值术脆弱性管理脆弱性脆弱性识别与赋值3.2 3.2 风险评估案例1-银行3.2 风险评估案例3.2 风险评估案例1-银行风险计算公式依据高低，形成如下：33、风险评估实践3.1 国内信息安全评估机构3.2 13.3 23.4 风险评估过程体会3.5 风险评估与等级保护、安全测评关系3.3 3.3 风险评估案例2风险评估范围的确定一般最初只对机房中的信息资产（问这些设备和业务的各种终端）估。全，它信息安全风险组成：主要存在于安全管理风险、IT资产风险、IT治理风险、IT流程险四个方面。现状调研内容与方法现状调研内容与方法现状调查的目的了解细评估做好准备。现状调查的主要内容现状调查有关统计数据–在10天的现状调研中，评估组共完成44场现场调查与一对一的访谈，发放和回收各种问卷60份，扫描主机超过500台，人工评估关键服务器40台，获得了大量第一手资料。现场访谈：访谈目的和范围访谈是现状调查中的重要一环。对公司领导层的访谈在于了解管理层对信息安全的看法及要求对部门负责人的访谈是为了了解信息安全现状及存在的问题。对员工的访谈是为了了解信息安全的行为及意识。访谈计划：访谈时间安排访谈提纲：管理层、部门经理、员工技术评估范围- 对多台系统主机和多台访问终端存在的漏洞和安全采用工具扫描和人工分析两种方式。范围工具扫描：漏洞检测人工分析：系统安全配置检测\网安全配置检测\用户安全\操作系统安全\网络服务安全\系统程序安全ISO差距分析目的：通现状与标准的差距。差距分析盖了的个域和个控制项，由各部门参加人员填写，从主观角度了解各层面人员从自身角度出发对于机构安全现状的认识和与标准的差距感受。IT运行安全问卷的分发范围包括个部门。安全日常运维现状调研目的：状况，从日常的管理、系统安全管理和维护上的现