信息安全风险评估方案规范

XXXX有限公司

信息安全风险评估管理规范

目录

2.规范性弓I用文件...............................................................4

3.1术语、定义和缩略语..........................................................4

3.1术语和定义..............................................................4

3.1.1实施(implementation)...........................................4

3.1.2信息系统生命周期(informationsystemlifecycle)................4

3.1.3评估目标(assessmenttarget)....................................5

3.1.4系统调研(systeminvestigation)................................5

3.1.5评估要素(assessmentfactor)...................................5

3.1.6识别(identify).................................................5

3.1.7赋值(assignment)...............................................5

3.1.8核查(checkin).................................................5

3.1.9关键控制点(thekeypoint).....................................5

3.1.10分析模型(analysismodel).....................................5

3.1.11评价模型(evaluationmodel)...................................6

3.1.12风险处理(risktreatment).....................................6

3.1.13验收(acceptance)..............................................6

3.2缩略语.................................................................6

4.风险评估实施概述.............................................................7

4.1实施的基本原则.........................................................7

4.1.2关键业务原则.....................................................7

4.1.3可控性原贝IJ.......................................................7

4.1.4最小影响原则.....................................................8

4.2风险评估实施的基本流程..................................................8

4.2.1评估准备阶段....................................................9

4.2.2风险要素识别阶身................................................9

4.2.3风险分析阶段....................................................9

4.2.4风险处理阶段....................................................9

5.风险评估实施的阶段性工作.....................................................9

5.1评估准备阶段...........................................................9

5.1.1评估准备阶段工作内容.............................................9

5.1.2确定目标........................................................10

5.1.4组建评估团队....................................................11

5.1.6确定依据........................................................13

5.1.7确定风险评估方案................................................13

5.1.8获得支持........................................................13

5.2风险要素识别阶段......................................................14

5.2.1资产识别.......................................................14

5.3.2风险结果判定...................................................23

5.4风险处理阶段...........................................................24

•4.\•••••••••••••••••••••••••■•■••••(■■••••■■■••••■•■•(••••••(••••••••••••••••••«•••••••••••>•••■•«••■■(•■(>>■■■■■(■■■(■

5.4.125

5.4.3风险整改建议.....................................................25

5.4.4残余风险处理.....................................................25

5.4.5文档管理.........................................................26

附录A：调查表..............................................................26

A2网络系统调查表......................................................26

A3主机系统调查表......................................................27

A4资产调查表..........................................................27

A6安全产品调查表......................................................28

附录B：安全技术脆弱性核查表...............................................28

B1物理安全核查表......................................................28

B2网络安全核查表......................................................29

B4应用藕:全核查表.................................................34

B5数据安全核查表......................................................36

附录C：安全管理脆弱性核查表...............................................37

C1安全管理机构核查表..................................................37

C2安全管理策略核查表..................................................38

C3安仝管理制度核查表..................................................38

C4安人员全管理核查表..................................................39

C5系统运维管理核查表.................................................40

1.范围

本标准规定了XXXX有限公司信息安全风险评估实施的过程和办法。

本标准适用于XXXX有限公司对非涉密信息系统的信息安全风险评估项目的

管理，指导风险评估项目的组织、实施、验收等工作。

2.规范性引用文件

本方案主要参照以下标准

《GB/T31509-2015信息安全技术信息安全风险评估实施指南》

《GB/T20984-2007信息安全技术信息安全风险评估规范》

3.1术语、定义和缩略语

《GB/T31509-2015信息安全技术信息安全风险评估实施指南》和《GB/T

20984-2007信息安全技术信息安全风险评估规范》中界定的以及下列术语和定

义适用于本方案。

3.1术语和定义

3.1.1实施(implementation)

将一系列活动付诸实践的过程。

3.1.2信息系统生命周期(informationsystemlifecycle)

信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护

阶段和废弃阶段。

3.1.3评估目标(assessmenttarget)

评估活动所要达到的最终目的。

3.1.4系统调研(systeminvestigation)

对信息系统相关的实际情况进行调查了解与分析研究的活动。

3.1.5评估要素(assessmentfactor)

风险评估活动中必须要识别、分析的一系列基本因素。

3.1.6识别(identify)

对某一评估要素进行标识与辨别的过程。

3.1.7赋值(assignment)

对识别出的评估要素根据己定的量化模型给予定量数值的过程。

3.1.8核查(checkin)

将信息系统中的检查信息与制定的检查项进行核对检查的活动。

3.1.9关键控制点(thekeypoint)

在项目实施活动中，具有能够影响到项目整体进度决定性作用的实施活动。

3.1.10分析模型(analysismodel)

依据一定的分析原理,构造的一种模拟分析方法,先用于对评估要素的分析。

3.1.11评价模型(evaluationmodel)

依据一定的评价体系，构造若干评价指标，能够对相应的活动进行较为完善

的评价。

3.1.12风险处理(risktreatment)

对风险进行处理的一系列活动，如接受风险、规避风险、转移风险、降低风

险等。

3.1.13验收(acceptance)

风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织，对评

估活动进行逐项校验，以是否达到评估目标为接受标准。

3.2缩略语

下列缩略语适用于本方案。

AC：访问(入侵)复杂性(AccessComplexity)

AV：访问(入侵)路径(AccessVector)

BOF：缓冲区溢出(BufferOverflow)

CDP：破坏潜力(CollateralDamageProtential)

CVE：公共漏洞和暴露(CommonVulnerablities&Exposures)

CVSS：通用安全弱点评估系统(CommonVulnerabilityScoringSystem)

RC：报告可信性(ReportConference)

RL：补救水平(RemediationLevel)

SR：安全要求(SecurityRequirement)

TD：目标分布(TargetDistribution)

VLAN：虚拟局域网(VirtualLocalAreaNetwork)

4.风险评估实施概述

4.1实施的基本原则

4.1.1标准性原则

信息系统的安全风险评估，应按照GB/T20984—2007和GB/T31509-2015

中规定的评估流程进行实施，包括各阶段性的评估工作。

4.1.2关键业务原则

信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及

这些业务的相关网络与系统，包括基础网络、业务系统、应用基础平台、业务应

用平台等作为评估的重点。

4.1.3可控性原则

在风险评估项目实施过程中，应严格按照标准的项目管理方法对服务过程、

人员和工具等进行控制，以保证风险评估实施过程的可控和安全，具体需要保证

以下几点：

a）服务可控性：

在进行风险评估前应事先在评估工作沟通会议中向用户介绍评估服务的流

程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进

行。

b）人员与信息可控性：

所有参与评估的人员需签署保密协议，以保证项目信息的安全；应对工作过

程数据和结果数据严格管理，未经授权不得泄露给任何单位知个人。

c）工具可控性：

风险评估过程中安全评估人员所使用的评估工具应该事先通告用户，并在项

目实施前获得用户的许可，包括产品本身、测试策略等。

4.1.4最小影响原则

对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统

的稳定运行，而对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急

备份，同时选择避开业务的高峰时间进行。

4.2风险评估实施的基本流程

该方案风险评估实施流程依据GB/T20984—2007和GB/T31509-2015中规

定的风险评估实施流程，根据流程中的各项工作内容，在该方案中将风险评估实

施划分为评估准备、风险要素识别、风险分析与风险处理四个阶段。

4.2.1评估准备阶段

风险评估准备阶段的工作是对风险评估实施有效性的保证，是风险评估工作

的开始。

4.2.2风险要素识别阶段

风险要素识别阶段的工作主要是对评估活动中各类关键要素资产、威胁、脆

弱性、安全措施进行识别与赋值。

4.2.3风险分析阶段

风险分析阶段的工作主要是对风险要素识别阶段中获得的各类信息进行关

联分析，并计算风险值。

4.2.4风险处理阶段

风险处理阶段的工作主要是针对评估出的风险，提出相应的处置建议，以及

按照处置建议实施安全加固后进行残余风险处理等内容。

5.风险评估实施的阶段性工作

5.1评估准备阶段

5.1.1评估准备阶段工作内容

风险评估准备是整个风险评估过程有效的保证。由于风险评估受到组织的业

务战略、业务流程、安全需求、系统规模和结构等方面的影响，因此，在风险评

估实施前，应充分做好评估前的各项准备工作。包含（但不限于）如下几点：

a）确定风险评估的目标；

b）确定风险评估的范围；

c）组建适当的评估管理与实施团队；

d）进行系统调研；

e）确定评估依据和方法；

f）确定风险评估方案；

g）获得最高管理者对风险评估工作的支持；

5.1.2确定目标

风险评估应贯穿于信息系统生命周期的各阶段中，由于信息系统生命周期各

阶段中风险评估实施的内容，对象，安全需求均不同，因此需要根据被评估组织

当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段，并以此来明

确风险评估目标。•各阶段需符合的以下几个原则；

a）规划阶段的风险评估应该能够描述信息系统建成后对现有业务模式的作

用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标。

b）设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产

重要性，提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的

安全功能符合性进行判断，作为采购过程风险控制的依据。

c）实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发、

实施过程进行风险识别，并对系统建成后的功能进行验证。根据设计阶段分析的

威胁和制定的安全措施，在实施及验收时进行质量控制。

d）运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险。评

估内容包括信息系统的资产、面临的威胁、自身脆弱性以及己有安全措施等各方

面。

e）废弃阶段风险评估的目标是确保废弃资产及残留信息得到适当处置，并

分析废弃资产对组织的影响，以确定是否会增加或引入新的风险。

5.1.3确定风险评估范围

在确定风险评估所处的阶段及相应的目标之后，需要进一步明确风险评估的

范围；在确定评估范围时，应结合已确定的评估目标和组织的实际信息系统建设

情况，合理定义评估对象和评估范围边界，并且相应的评估范围边界范围参考如

T：

a）业务系统的业务逻辑边界；

b）网络及设备载体的边界；

c）物理环境边界；

d）组织管理权限边界；

e）其他

5.1.4组建评估团队

风险评估团队由专业的技术专家和技术骨干组成的专家组，在风险评估过程

中进行关键的工作指导，具体包括：

a）帮助被评估组织规划项目的总体工作思路和方向；

b）对出现的关键性难点问题进行决策；

c）对风险评估结论进行确定；

为保证风险评估工作的顺序有效进行，各角色分工明确。各成员角色与职责

说明如下表所示:

评估人员角色工作职责

风险评估项目中的管理者、责任人，具体工作职责包括：

1）根据项目情况组建评估项目实施团队；

2）根据项目情况与被评估方一起确认评估目标和评估范围，并组织项目成

员对被评估方实施系统调研；

3）根据评估目标，评估范围及系统调研的情况确定评估依据，并组织编写

评估方案。

4）组织项目成员开展风险评估各阶段的工作，并对实施过程进行监督、协

项目组长

调和控制，确保各阶段工作有效的实施。

5）与被评估方进行及时有效的沟通，及时商讨项目进展情况及可能发生的

问题预测等。

6）组织项目组成员将风险评估各阶段工作进行汇总，编写（风险评估报告）

与《安全整改建议书》等项目成果物。

7）负责将项目成果物移交被评估组织，向被评估组织汇报项目成果，并提

请项目验收。

安全技术评估人是负责风险评估项目中技术方面评估工作的实施人员，具体工作职责包

员括：

1）根据评估目标与评估范围的确定参与系统调研，并编写《系统调研报告》

的技术部分内容；

2）参与编写《评估方案》：

3）按照《评估方案》实施各阶段具体的技术性评估工作，主要包括：信息

资产调查，威胁调查，安全技术脆弱性调查等，各调查表内容见附录A：

调查表；《5》

4）对评估工作中遇到的问题及时向项目组长进行汇报，并提出需要协调的

资源；

5）将各阶段的技术性评估工作成果进行汇总，参与编写（风险评估报告）

与《安全整改建议书》等项目成果物；

6）负责向被评估方解答项目成果物中有关技术性细节的问题：

5.1.5系统调研

系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研,

以确定风险评估的依据和方法。调研的内容应包括：

a）系统安全保护等级；

b）主要的业务功能和要求；

c）网络结构与网络环境，包括内部连接与外部连接；

d）系统边界；

e）主要的硬件、软件；

f）数据和信息：

g）系统和数据敏感性；

h）支持和使用操作系统的人员；

D其他；

系统调研时可以采取问卷调查、现场面谈相结合的方式进行。调查文件是提

供一套关于管理或操作控制的问题表格，供系统技术和管理人员填写，相关文件

内容见附录B：安全技术脆弱性核查表；现场面谈则是由评估人员到现场观察并

收集系统在物理、环境和操作方面的信息。

5.1.6确定依据

根据系统调研的结果，确定评估依据和评估方法。评估依据应当包括：

a）适用的法律、法规；

b）现有的国行标准、国家标准、行业标准；

c）行业主管机关的业务系统的要求和制度；

d）与信息系统安全保护等级相应的基本要求；

e）被评估组织的安全要求；

f）系统自身的实时性或性能要求等。

根据评估的依据，需要考虑评估的目的、范围、时间、效果、人员素质等因

素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相

关判断依据，使之能够与组织环境和安全要求相适应。

5.1.7确定风险评估方案

风险评估方案是评估工作实施活动总体计划，用于管理评估工作的开展，是

评估各阶段工作可控，并作为评估项目验收的主要依据之一。风险评估方案应得

到被评估组织的认可。在本方案中，风险评估方案的内容包括：

a）风险评估工作框架：包括评估目标、评估范围、评估依据等；

b）评估团队组织：包括评估小组成员、组织结构、角色、责任

c）评估工作计划：包括各阶段工作内容、工作形式、工作成果等；

d）风险规避：包括保密协议、评估工作环境要求、评估方法、工具选择、

应急预案等；

e）时间进度安排：评估工作实施的时间进度安排；

f）项目验收方式：包括验收方式、验收依据、验收结论定义等。

5.1.8获得支持

上述内容全部确认后，需要形成较为完整的风险评估实施方案，得到组

织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围内就风

险评估相关内容进行培训，以明确有关人员在风险评估中的任务。

5.2风险要素识别阶段

风险要素识别阶段为评估工作中的重要工作阶段，信息系统安全风险分

析的前提对组织和信息系统中资产、威胁、脆弱性等要素识别。

5.2.1资产识别

资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有重

要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存

在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风

险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。资

产被定义为对组织具有价值的信息或资源，资产识别的目标就是识别出资产的价

值，风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在其安全

属性（机密性、完整性和可用性）上的达成程度或者其安全属性未达成时所造成的

影响程度来决定的。

资产分类资产编号具体资产IP地址/名称资产估价等级

5.2.1.1资产分类

在一个组织中，资产的存在形式多种多样，不同类别的资产具有的资产

价值、面临的威胁、拥有的脆弱性、可采取安全措施都不同。在风险评估实施中，

按照GB/T20984—2007中将资产分为硬件、软件、数据、服务、人员以及其他

六个大类。

5.2.1.2资产调查

由于在风险评估中需要识别组织和信息系统中的资产，所以资产调查是

其中的一个重要途径；并且资产调查一方面需要识别出有哪些资产，另一方面需

要识别出每项资产自身关键属性。分析并理解清楚各种业务功能和流程后有利于

分析系统中的数据流向及其安全保证要求。木方案中定义的资产识别流程如下:

a）根据风险评估目标和范围，确定风险评估对象中包含的信息系统；

b）识别信息系统处理的业务功能，以及处理业务所需的业务流程，特别

是应该识别出关键业务功能和关键业务的流程；

c）根据业务特点和业务流程识别业务需要处理和提供的服务，特别是应

当识别出关键数据和关键服务

d）识别处理数据和提供服务所需的系统单元组件和系统组件，特别是应

当识别出关键单元和关键系统组件。

系统单元、系统组件均可作为安全技术脆弱性测试的测试对象，所有资

产均可作为安全管理脆弱性测试的测试对象。资产调查的方法一般包含了阅读文

档，访谈相关人员、查看相关资产等。

5.2.1.3资产赋值

在资产调查基础上，需要分析资产的保密性、完整性和可用性等安全属

性的等级。安全属性等级包括：很高、高、中等、低、很低5种级别，安全属性

级别越高表示资产安全属性越重要。相关资产赋值的参考如下：

a）资产所承载信息系统的重要性；

b）资产所承载信息系统的安全等级；

c）资产对所承载信息安全正常运行的重要程度；

d）资产保密性、完整性、可用性等安全属性对信息系统，以及相关业务

的重要程度。

资产价值也需要根据资产的保密性、完整性和可用性的赋值等级综合评

定确定。资产价值等级包括：很高、高、中等、低、很低5种等级。保密性、完

整性、可用性赋值相关介绍如下：

a）保密性赋值：

根据资产在保密性上的不同要求，将其分为五个不同等级，分别对应资产在

保密性上应达成的不同成都或保密性缺失时对整个组织的影响。保密性赋值表提

供了一种保密性赋值的参考。

保密性赋值表

赋值标识定义

包含组织的重要秘密，关系未来发展的前途命运，对组织根本利益有着决定性

5很高

的影响，如果泄露会造成灾难性的损害。

4高包含组织的重要密码。其泄露会使组织的安全和利益遭受严重损害。

3中等组织的一般性密码，其泄露会使组织的安全和利益受到损害。

仅能够在组织内部或组织某一部门内部公开的信息，向外扩散可能对组织的

2低

利益造成轻微损害。

1很低可对社会公开的信息，公用的信息处理设备和系统资源等。

b）完整性赋值:

根据资产在完整性上的不同要求，将其划分为五个等级，分别对应资产

在完整性上缺失时对组织的影响。完整性赋值表提供了一种完整性赋值的参考。

完整性赋值表

赋值标识定义

完整性价值非常关键，未经授权的修改或破坏会对组织造成重大或无法接受

5很高

的影响，对业务冲击重大，并可能造成业务中断，难以弥补。

完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击

4高

严重，难以弥补。

完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明

3中等

显，但可以弥补。

完整性价值较低，未经授权的修改或破坏会对组织造成经微影响，对业务冲击

2低

轻微，容易弥补。

完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业

i很低

务冲击可以忽略。

c）可用性赋值:

根据资产在可用性上的不同参考，将其划分为五个等级，分别对应资产

在可用性上应达成不同程度。资产可用性赋值表提供了一种可用性赋值的参考。

资产可用性赋值表

赋值标识定义

可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以

5很高

上

可用性价值较高，合法使用者对信息及信息系统的可用度达到每天的90%以

4高

.匕或系统允许中断时间小于lOmin

可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达

3中等

到70%以上，或系统允许中断时间小于30min

可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达

2低

到25%以上，或系统允许中断时间小于60min

可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时

1很低

间低于25%

5.2.2威胁识别

威胁是一个客观存在的，无论对于多么安全的信息系统，它都存在。威

胁的存在，组织和信息系统才会存在风险。因此，在风险评估过程中需要全面、

准确的了解组织和信息系统所面临的各种威胁。产生安全威胁的主耍因素可以分

为认为因素和环境因素。人为因素包括了有意因素和无意因素。环境因素包括了

自然界的不可抗力因素和其他物理因素。

5.2.2.1威胁来源分析

信息系统的安全威胁来源可考虑以下几个方面:

威胁来源威胁来源描述

环境因素、意由于断电、静电、灰尘、潮湿、高温、电磁干扰、洪灾、火灾、地震等环境

外事故或故障条件和自然灾害；意外事故由于软件、硬件、数据、通讯线路方面的故障。

内部人员由于缺乏责任心,或者由于不关心或不关注.或者没有遵循规章制

无恶意人员内

度和操作流程而导致故障或信息系统损坏；内部人员由于缺乏培训、专业技

部人员

能不足、不具备岗位技能要求而导致信息系统故障或被攻击。

不满或者有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结

恶意内部人员

的方式盗窃机密信息或进行篡改，获取利益：

外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性

恶意外部人员

进行破坏，以获取利益或炫耀能力。

5.2.2.2威胁种类分析

对安全威胁进行分类的方式有多种多样，针对上述表中的威胁来源，需

要考虑下述的安全威胁种类。表种列举的威胁种类随着新技术的发展和新应用的

出现，还需要不断完善。

威胁种类威胁描述

由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务系统高

软硬件故障

效稳定运行的环境造成影响。

断电、静电、灰尘、潮湿、高温、电磁干扰、洪灾、火灾、地震等环境问题

物理环境威胁

和自然灾害。

无作为或操作由于系统应该执行但是没有执行相应的操作，或者无意的执行了错误的操

失误作，对系统造成影响。

安全控制无法落实到位，造成安全控制不规范，或者管理混乱，从而破坏信

管理不到位

息系统正常有序运行。

恶意代码和病具有自我复制，自我传播能力，对信息系统构成破坏的程序代码。

毒

通过采用一些措施，超越自己的权限访问本来无权访问的资源：或者滥用自

越权和滥用

己的权限，做出破坏信息系统的行为

利用黑客工具和技术，例如嗅探、密码猜测攻击、缓冲区溢出、安装后门、

黑客攻击技术

伪造和欺骗、拒绝服务攻击等手段对信息系统造成攻击和入侵。

物理攻击物理接触、物理破坏、盗窃。

泄密机密泄露，机密信息泄露给他人。

篡改非法修改信息，破坏信息的完整性。

抵赖不承认收到的信息，所作的操作或交易。

5.2.2.3威胁赋值

判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关

的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种

评估环境中各种威胁出现的频率：

a）以往安全事件报告中出现过的威胁及其频率的统计；

b）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；

c）近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统

计，以及发布的威胁预警。

对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高

低。等级数值越大，威胁出现的频率越高。

下表中提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的

判断依据应在评估准备阶段根据历史统计或行业判断予以确定，需要综合分析得

出，通过实际经验对威胁的可能性赋值，并得到被评估方的认可。

等级分数标识描述

出现的频率很高，很有可能发生；或大多数情况下几乎不可避免；或

5很高

经过证实经常发生过。

4高在多数情况下可能会发生；或可以证实多次发生过。

3中等在某种情况下或某个时间可能会发生；或可以证实曾经发生过。

2低出现的频率小；或一般不大可能发生；或没有被证实发生过。

1很低威胁几乎不可能发生；仅在非常罕见和例外的情况下发生。

5.2.3脆弱性识别

脆弱性是资产自身存在的，如没有被威胁利用，脆弱性本身不会对资产造成

损害。如信息系统足够健壮，威胁难以导致安全事件的发生。从技术上，可以从

物理环境、网络、主机系统、应用系统、数据等方面识别资产的脆弱性。

5.2.3.1弱点检查

信息安全管理组应定期对集团信息系统进行全面的信息安全弱点检查，了解

各信息系统的信息安全现状。

信息系统安全检查的范围包括：主机系统、网络设备、安全设备、数据库系

统、应用系统、邮件系统以及其它在用系统。

信息系统安全检查的工具与方法如下：

a）工具检查：针对IT没备建议采用专用的脆弱性评估工具进行检查，如

Nessus、BurpSuite等工具，针对应用系统及代码安全检查，建议采用商业专用

软件进行检查,如IBMAppScan。

b）手工检查：由信息安全专员或技术支撑部门相关人员参照相关的指导文

档上机进行手工检查。

信息安全检查工作开展前，信息安全管理组需制定安全检查计划,对于部分

可用性要求高的业务系统或设备，计划中要明确执行的时间，并且该计划要通知

相关部门与系统维护人员，明确相关人员的及部门的职责与注意事项.信息安全

管理组与外服公司针对信息安全检查须制定《安全检查方案》方案中，针对工具

扫描部分需明确扫描策略，同时方案必须提供规避操作风险的措施与方法。并且

该方案必须获得技术支撑部领导批准。信息安全管理组应对IT系统安全检查

的结果进行汇总，并进行详细分析，提供具体的安全解决建议，如安全加固、安

全技术引进等。当发生重大的信息安全事件，信息安全管理组应在事后进行一次

全面的安全检查，并通过安全检查结果对重要的安全问题进行及时解决。

常见的弱点种类分为：

a）技术性弱点：系统，程序，设备中存在的漏洞或缺陷，比如结构设计问题

或编程漏洞；

b）操作性弱点：软件和系统在配置，操作，使用中的缺陷，包括人员在日常

工作中的不良习惯，审计或备份的缺乏；

c）管理性弱点：策略，程序，规章制度，人员意识，组织结构等方面的不足；

识别弱点的途径包括审计报告，事件报告，安全复查报告，系统测试及评估

报告，还可以利用专业机构发布的列表信息。当然许多技术性和操作性弱点，可

以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。在对生命周期敏

感的资产评估过程中，应注意从创建，使用，传输，存储，销毁等不同的阶段识

别弱点。弱点的发现随着新应用,新技术的出现,需要不断更新完善弱点列表。

5.2.3.2脆弱性核查

安全技术脆弱性核查需要检查组织和信息系统自身在技术方面存在的脆弱

性，以及核查所采取的安全措施有效程度。

5.2.3.3安全技术脆弱性核查

安全技术方面脆弱性核杳具体核查方式按照下表实施:

识别对象识别内容

从机房场地、机房防火、机房配供电、机房防静电、机房接地与防雷、电磁防

物理环境

护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。

从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设

网络结构

备安全配置等方面进行识别。

从补丁安装、物理保护、用户账户、口令策略、资源共享、事件审计、访问控

系统软件

制、新系统配置、注册表加固、网络安全、系统管等方面进行识别。

应用中间件从协议安全，交易完整性、数据完整性等方面进行识别。

从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码

应用系统

保护等方面进行识别。

5.2.3.4管理技术脆弱性核查

管理技术脆弱性核查按照下表进行实施:

识别对象识别内容

从物理和环境安全、通讯与操作管理、访问控制、系统开发与维护、业务连续

技术管理

性等方面进行识别。

组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。

5.2.4脆弱性赋值

根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等

级方式对己识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方

面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，以确定这一

方面脆弱性的严重程度。

对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,

资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。对脆弱性进

行等级化处理，不同等级代表了资产脆弱性严重程度高低。等级数值越大，脆弱

性严重程度越高。具体赋值方法参考下表：

等级标识定义

5很高如果被威胁利用，将对资产造成完全损害

4高如果被威胁利用，将对资产造成重大损害

3中等如果被威胁利用，将对资产造成••般损害

2低如果被威胁利用，将对资产造成较小损害

1很低如果被威胁利用，对资产造成的损害可以忽略

5.3风险分析阶段

风险分析阶段是围绕被评估组织核心业务开展为原则的，评估业务所面临的

安全风险。风险分析的主要方法是对业务相关的资产，威胁，脆弱性及其各项属

性的关联分析，综合进行风险分析和计算。

5.3.1风险计算方法

风险评估中风险值计算涉及的风险要素一般为资产、威胁、和脆弱性；这些

要素的组合方式的风险计算原理中指出，由威胁和脆弱性确定安全事件发生可能

性，由资产和脆弱性确定安全事件的损失，以及由安全事件发生的可能性和安全

事件的损失确定风险值。本项目采用计算方法是矩阵法和相乘法。

风险值二R(A,T,V)=R(L(T,V),F(la,Va))

矩阵法计算风险

首先需要确定二维计算矩阵，矩阵内各个要素的值根据具体情况和函数递增

情况采用数学方法确定，然后将两个元素的值在矩阵中进行比对，行列交叉处即

为所确定的计算结果。

即Z=/(x,y),函数f可以采用矩阵法。

矩阵法的原理是：

X={xD,xD,...,IWiWm,Xj为正整数。

Y={yD,y□….，yj},iWjWn,yj为正整数。

以要素x和要素y的取值构建一个二维矩阵，矩阵行值为要素y的所有取

值，矩阵列值为要素x的所有取值。矩阵内mXn个值为要素z的取值，z=

{zDD,z,ZiO,IWiWm,IWjWn,zj为正整数。

相乘法计算风险

相乘法提供一种定量的计算方法，直接使用两个要素值进行相乘得到另一个

要素的值。相乘法的特点是简单明确，直接按照统一公式计算，即可得到所需结

果。

相乘法的原理是:

Z=/(x,y)=x®y

当/为增量时，⑧可以为直接相乘，也可以为相乘后取模等。

相乘法提供一种定量的计算方法，直接使用两个要素值进行相乘得到另一个

要素的值。相乘法的特点是简单明确，直接按照统一公式计算，即可得到所需结

果。

在风险值计算中，通常需要对两个要素确定的另一个要素值进行计算，例

如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的

损失值，因此相乘法在风险分析中得到广泛采用。

通过计算结果确定风险等级划分。得到两个重要资产的风险值，并根据风险

等级划分表，确定风险等级。

5.3.2风险结果判定

通过上述公式中风险值的计算方式，计算每种资产面临的风险值，根据风险

值的分布情况，为每个等级设定风险取值范围，并对所有风险计算结果进行等级

处理。每个等级代表了相应风险的严重程度，具体参考下表中详细描述：

等级标识描述

一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响

5很高

组织的正常经营，经济损失重大、社会影响恶劣。

一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织

4高

信誉造成损害。

一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不

3中等

大。

一旦发生造成的影响程度较低一般仅限于组织内部，道过一定手段很快能解

2低

决。

1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。

将风险严重程度进行等级处理是为了在风险管理过程中对不同风险的直观

比较，以确定组织安全策略。组织需要根据计算出的风险值，综合考虑风险控制

成本与风险造成的影响，提出一个可接受的风险范围。

5.4风险处理阶段

在考虑风险处理前，如果经评估显示，风险较低或处理成本对于组织来说不

划算，则风险可被接受。这些决定应加以记录。

5.4.1风险处置建议

风险处理依据风险评估结果，针对风险分析阶段输出的风险评估报告进行风

险处理。风险处理的基本原则是适度接受风险，根据组织可接受的的处置成本将

参与安全风险控制在可接受的范围之内。

5.4.2风险处置方法

通常有四种风险处置的方法：

a）避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动

来规避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会

因此而丧失机会。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部

网络的攻击。

b）降低风险：实施有效控制，将风险降低到可接受的程度，实际上就是力图

减少威胁发生的可能性和带来的影响，包括：

I）减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软

件攻击的机会；

II）减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安

全操作能力；

III）降低影响：例如，制定灾难回复计划和业务连续性计划，做好备份。

c）转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安

排、合伙、资产转移等。

d）接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。

当组织

根据风险评估的方法，完成实施选择的控制措施后，会有残余的风险。残余

风险可能是组织可以接受的风险，也可能是遗漏了某些信息资产，使其未受保护。

为确保组织的信息安全，残余风险应该控制在可以接受的范围之内。风险接受是

对残余风险进行确认和评价的过程。在实施安全控制措施后，组织应该对安全措

施的情况进行评审，即对所选择的控制在多大程度上降低了风险做出判断。通过

成本利益分析、影响分析及风险回顾，即在继续处置需要的成本和风险之间进行

抉择。风险接受要符合风险可接受准则，即风险评估结果中风险值为2及以下，

都是可以接受的风险，最终上报给最高领导，待领导批准是否选择接受风险。

5.4.1风险处置流程

对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理

计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、

责任部门等。安全措施的选择应从管理与技术两个方面考虑。安全措施的选择与

实施应参照信息安全的相关标准进行。

5.4.3风险整改建议

风险处理的方式一般包括接受、消减、转移、规避等。安全整改是风险处理

中最常用的风险消减方法。本方案中提出的安全整改建议是根据安全风险的严重

程度、加固措施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资

金成本等因素综合考虑的。具体整改建议如下：

a）对于非常严重、需立即降低且加固措施易于实施的安全风险，建议被评

估组织立即才去安全整改措施。

b）对于非常严重，需立即降低，但加固措施不便于实施的安全风险，建议被

评估组织立即制定安全整改实施方案，尽快实施安全整改；整改前应对相关安全

隐患进行严密监控，并做好应急预案。

c）对于比较严重、需降低且加固措施不便于实施的安全风险，建议被评估

组织制定限制实施的整改方案，整改前应对相关安全隐患进行监控。

5.4.4残余风险处理

残余风险处理是风险评估活动的延续，是根据被评估组织按照安全整改建议

全部实施整改工作后，对仍然存在的安全风险进行识别、控制和管理的活动。

对于已完成安全加固措施的信息系统，为了确保安全措施的有效性，需要进

行残余风险评估，评估流程及内容可进行针对性裁剪。如残余风险的结果仍处于

不可接受的风险范围之内，需要考虑进一步增强相应的安全措施。

5.4.5文档管理

风险处理建议工作中产生的文档需要有《安全整改建议》。对《安全整改建议》

编制过程中产生的所有文件，交流意见、会议记录应纳入文档管理，并做好版本

变更管理。项目结束后，需要向被评估组织一次性移交所有报告，以及评估工作

中产生的临时文件。文档移交后，在没有得到被评估组织的允许，我方不得保留

和使用这些信息。

6.附录

附录A：调查表

A1业务调查表

序号业务系统名称业务描述应用模式运行平台访问地址

A2网络系统调查表

序号调查项调查内容

1网络主要用途□面向公众口本单位内口本行业口跨行业

□互联网口行业内部使用的广域网或局域网□内部

2单位接入的网络

局域网口无

3如有专网，专网名称

4是否有涉密网络。是：是否经国家保密部门审批：。是。否

O否

是否按照国家等级保护。是；是否经过有关部门审批；O是。否

5

要求进行定级。否

是否存在多个等保定级O是：口一级□二级口三级□四级口五级

6

网络O否：。一级。二级O三级。四级。五级

OlOMOlOOMOlOOOMO其他—

7网络主要配置和规模O100节点以下0300节点以下0500节点以下

0500节点以上

8网络结构图

A3主机系统调查表

序号主机名称主机设备型号IP地址物理位置主要配置业务应用

A4资产调查表

序号资产名称设备型号IP地址物理位置业务应用

A5威胁调查表

可能影响

威胁来源方位动机威胁子项严重程度发生概率备注

的资产

台风

外部

暴雨

环境因素的

其他威胁

内部L漏水

的温湿度失调

其他威胁

通讯线路故障

外部

DNS解析故障

的

其他威胁

系统因素计算机硬件故

内部障

的软件系统故障

其他威胁

针对实物盗窃

外部

蓄意的网络侦听

的

其他威胁

非授权扫描

人为因素蓄意的非法网络访问

内部其他威胁

的敏感信息暴露

无意的计算机未锁定

其他威胁

A6安全产品调查表

序号产品名称设备型号IP地址应用物理位置备注

附录B：安全技术脆弱性核查表

B1物理安全核查表

序号检查项检查结果

1是否在机房配备了环境动力监控系统

2是否建立防火、防潮、防雷击等技术保障措施

3是否采用断电保护