信息安全风险评估指南

XXXX光伏电站

“xxxx光伏电站信息安全风险评估指南”

编制说明

“XXXX光伏电站信息安全风险评估指南”

编制说明

《xxxx光伏电站信息安全风险评估指南》就是为了对xxxx光伏

电站信息系统的信息安全风险评估工作提供实施的指导，从而统一

xxxx光伏电站信息系统风险评估工作的实施办法和工作流程，产生

相同格式的工作成果，确保xxxx光伏电站信息安全风险评估工作结

果的可比性。

«xxxx光伏电站信息安全风险评估指南》对xxxx光伏电站信息

安全风险评估的过程、关键点以及工作成果等方面提出了具体的实施

方法和产生的文档类别和内容。

xxxx光伏电站信息安全风险评估的内容包括：资产分析，漏洞、

脆弱性及弱点评估，威胁评估，影响与可能性分析和系统分析等方面。

风险评估过程分为三个阶段：确定资产的威胁概况，确定基础设施风

险和制定安全策略及计划。

本风险评估指南规定了风险评估项目组织、跟进工作等。限定了

风险评估的前提和分工。

本风险评估指南共提供了六个附录，附录A为术语表，对本指南

内的专业术语进行解释，附录B为调查问卷，对XXXX光伏电站信息

安全风险评估的调查问卷种类和内容进行规定，附录C为交付文档范

例，确定了xxxx光伏电站信息安全风险评估工作需完成的工作文档，

附录D资产分类清单，对XXXX光伏电站系统内的信息资产进行了分

类，附录E资产脆弱性清单列举了各类资产可能存在的脆弱性，附录

F为资产威胁清单，列举了资产所面临的威胁。

.2-

XXXX光伏电站

信息安全风险评估指南

制定：_______________________

审核：_______________________

批准：______________________

目录

1前言..........................................................................1

1.1关于本文档...............................................................1

1.2目标读者..................................................................I

1.3文档结构.................................................................1

1.3.1相关标准............................................................2

1.3.2参考文献............................................................2

1.4关于术语与缩略语的约定..................................................3

2风险评估概述..................................................................4

2.1基本概念.................................................................4

2.2意义与作用...............................................................5

2.3过程概述.................................................................5

2.4工具......................................................................5

2.4.1调杳问卷............................................................5

2.4.2远程漏洞扫描工具...................................................6

2.4.3人工审计检查列表...................................................6

2.4.4安全风险评估信息库.................................................6

2.5成功的关键因素...........................................................6

2.6收益......................................................................6

2.7面临的挑战...............................................................7

3风险评估内容..................................................................8

3.1资产分析.................................................................8

3.1.1资产定义............................................................8

3.1.2资产类别............................................................8

3.1.3资产评估............................................................9

3.1.4资产评估的目的.....................................................9

3.1.5资产的重要性........................................................9

3.1.6资产级别...........................................................10

3.1.7评估实例...........................................................11

3.2漏洞/脆弱性/弱点评估....................................................11

3.2.1弱点评估的目的.....................................................11

3.2.2弱点评估的内容....................................................11

3.2.3弱点评估手段.......................................................12

3.3威胁评估.................................................................13

3.3.1威胁定义...........................................................13

3.3.2威胁分类...........................................................14

3.3.3威胁属性...........................................................15

3.3.4威胁的获取方法....................................................16

3.3.5威胁评估手段.......................................................16

3.3.6威胁评估实例.......................................................16

3.4影响与可能性分析........................................................17

3.5系统分析.................................................................17

3.5.1系统结构及边界.....................................................17

.2-

3.5.2信息的敏感度评估...................................................18

3.6调查问卷的结构..........................................................18

3.6.1调查系统控制.......................................................18

3.6.2系统确认...........................................................18

3.6.3目的和评估者信息...................................................19

3.6.4信息的决定性.......................................................19

3.7利用问卷调查结果........................................................19

3.7.1调查问卷分析.......................................................19

3.7.2行动计划...........................................................19

3.8综合风险分析............................................................20

3.8.1风险分析矩阵.......................................................20

3.8.2风险评估层面......................................................21

3.8.3风险评估实例......................................................21

3.8.4ISO17799十个域...................................................21

3.9可交付的文档............................................................22

3.9.1信息网络...........................................................22

3.9.2文档一览...........................................................23

4风险评估过程................................................................24

4.1评估过程................................................................24

4.1.1阶段1：提取基于资产的威胁概况....................................24

4.1.2阶段2：确定基础设施漏洞..........................................25

4.1.3阶段3：制订安全策略和计划........................................25

4.2各阶段的一般过程........................................................25

4.2.1调查与分析.........................................................25

4.2.2数据/信息收集与处理...............................................25

4.2.3撰写评估报告......................................................25

4.3风险控制................................................................26

4.3.1风险控制的方式.....................................................26

4.3.2风险控制措施举例：................................................27

4.4风险评估项目............................................................27

4.4.1计划...............................................................27

4.4.2监控与执行.........................................................27

5风险评估人员组织............................................................30

5.1评估方人员组织..........................................................30

5.2被评估方人员组织........................................................31

6风险评估的跟进工作..........................................................33

6.1跟进的重要性............................................................33

6.2有效的，合格的建议......................................................33

6.3委托事项................................................................33

6.3.1安全评估人员.......................................................33

6.3.2工作人员...........................................................33

6.3.3管理层.............................................................34

6.4监督与跟进..............................................................34

6.4.1建立监督与跟进机制................................................34

-3-

6.4.2标识推荐并制定跟进计划............................................34

6.4.3执行主动监督与报告................................................34

7风险评估的前提与分工........................................................36

7.1假设与限制..............................................................36

7.2客户责任................................................................36

7.3服务资质................................................................36

7.4安全评估人员的职责......................................................36

附录A术语表...................................................................38

附录B调查问卷................................................................40

调查问卷类别................................................................40

调查问卷内容................................................................40

问题的方式..................................................................41

附录C交付文档范例............................................................42

《资产评估部分》目录........................................................42

《漏洞评估部分》目录........................................................43

《威胁评估部分》目录........................................................44

《风险评估部分》目录........................................................45

《安全策略建议部分》目录....................................................46

《安全解决方案部分》目录...................................................48

附录D资产分类清单.............................................................50

附录E资产脆弱性清单...........................................................52

附录F资产威胁清单.............................................................54

-4-

1前言

1.1关于本文档

信息安全风险评估是信息安全管理的主要内容之一。

本文档不覆盖信息安全管理的全部方面。它介绍了一个关于信息安全风险评

估的一般过程。

在了解这个过程后，管理人员、信息中心主管、系统管理员以及其他技术与

运行人员能更好地理解安全风险评估。他们应该能够知道需要准备什么、在哪些

方面应该加以注意、会得到什么样的结果。本文档的目标并不是集中在如何进行

风险评估，它更侧重于提供一个参考过程来帮助核对由独立的安全评估单位所提

供服务的覆盖面、方法论、交付的文档。

1.2目标读者

本指南为那些在其信息系统中支持或实施风险评估的人员提供关于风险评

估基础，无论他们是否有经验，是不是技术人员。这些人包括：

＞高级管理人员，业务的拥有者，信息安全预算的决策者。

＞信息部门主管，确保为XXX行业系统部署风险管理并为XXX行业系统

提供安全的人员。

＞负责最终决策是否允许XXX行业系统运行的人员。

＞信息安全规划主管，部署安全规划的人员。

＞信息系统安全管理员，负责信息安全的人员。

＞管理信息系统安全的技术支持人员（如，网络，系统，应用以及数据库

管理员，计算机专业人员，数据安全分析人员）。

＞开发并维护可能影响系统和数据完整性代码的应用程序员。

＞测试并确保信息系统和数据完整性的信息技术人员。

＞审计信息系统的信息系统审计员。

＞在风险管理中支持客户的安全顾问。

1.3文档结构

本文档展示了关于信息安全风险评估的一个通用框架。它包括下面的内容：

第1页共62页

A风险评估概述

A风险评估内容

>风险评估过程

>风险评估人员组织

>风险评估的跟进工作

>资质要求与职责划分

131相关标准

以下列出一些国际、国内关于信息安全风险评估的相关标准和规范。如:

国际标准

>ISO17799

>ISO15408/CC2.1

>ISO13335

>SSE-CMM

>RFC2196

国家标准

GB/T18336-2001

行业通用标准

BS7799-2

AS/NZS4360

CVE或CN-CVE

132参考文献

[1].C.JAlberts,S.G.Behrens,R.D.Pethia,andW.R.Wilson.

Operationallycriticalthreat,asset,andvulnerabilityevaluation(octave)

framework,version1.0.Technicalreport,CarnegieMellonUniversity,

SoftwareEngineeringInstitute,Pittsburgh,PA,June1999.

[2].Australian/NewZealandStandardAS/NZS4360:1999:Risk

Management.Strath_eld:StandardsAustralia.

[3].CORASIST-2000-25031WebSite.http://www.nr.no/coras.24February

2003.

[4].CommonCriteria.CommonCriteriaforInformationTechnology

SecurityEvaluation,1999./.24February

第2页共62页

2003.

[5].ISO/IEC13335:InformationTechnology-Guidelinesforthe

managementofITSecurity,hltp:〃www.isa.ch.

[61，ISO/IEC17799:2000Informationtechnology-Codeofpractisefor

informationsecuritymanagement.

1.4关于术语与缩略语的约定

风险评估

在本文中，风险评估特指“信息系统安全风险评估”。

资产

在本文中，资产特指“信息系统本身作为固定资产的价值与它所承载的无形

资产（数据、业务连续性等）的价值”。

第3页共62页

2风险评估概述

在本节中，介绍了风险评估的相关概念、一般过程、相关工具、成功的关键

因素、收益以及面临的挑战。

2.1基本概念

风险

风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的

损害，从而直接地或间接地引起对XXX行业系统的损害。

因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。

威胁

INFOSEC-99将威胁定义为“能够通过未授权访问、毁坏、揭露、数据修改

和/或拒绝服务对系统造成潜在危害的任何环境或事件”。

脆弱性

系统资产在相关环境中体现出来的，可以被威胁利用从而引发资产或商业目

标损害的弱点和漏洞。

风险的属性

风险有两个属性:后果(Consequence)和可能性(Likelihood)©评价风险

对XXX行业系统的影响，也就是对风险的评估赋值是对上述两个属性权衡作用

的结果。

后果(Consequence)是指风险带来的损失，可以用损失占该资产价值的百

分比来度量。

可能性(Likelihood)是指风险发生的概率，以百分比来表示。

风险评估

风险评估是对信息系统进行资产分析，并针对重要的资产进行威胁、脆弱性

的可能性调查，从而估计对业务产生的影响，提供适当的方法来控制风险。

从上述的定义可以看出，风险评估的策略是首先选定某项资产、评估资产价

值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风

险、进而得出整个评估目标的风险。

第4页共62页

2.2意义与作用

风险管理是管理者权衡保护措施的运行和经济成本与获得的收益之间关系

的一个过程。进行风险管理的最终目的就是要将其最小化，这也是在当今各行各

业的信息系统应用中需要实施信息安全措施的根本原因。所有与安全性相关的活

动都是风险管理的组成部分。可以说，风险管理贯穿于系统开发生命周期(System

DevelopmentLifeCycle,SDLC)的整个过程，即初始阶段、开发/获取阶段、实

施阶段、运行/维护阶段、优化配置阶段。

风险评估则是风险管理的基础，也就是系统的使用单位或组织判定在系统的

整个SDLC中有关风险级别的过程。这个过程的结果是残留风险以及这个风险是

否达到可接受水平的一个明确界定，或者是一个是否应当实施额外的安全控制以

进一步降低风险的结论。

2.3过程概述

风险评估的过程分为3个阶段共8个过程。

＞阶段1：提取基于资产的威胁概况

•过程1：确定高级管理层的认识

•过程2：确定运作管理层的认识

•过程3：确定全体职员的认识

•过程4：确定威胁轮廓

＞阶段2：确定基础设施漏洞

•过程5：找出关键组件

・过程6：评估关键组件

＞阶段3：制订安全策略和计划

•过程7：实施风险分析

•过程8：制订保护策略

2.4工具

241调查问卷

调查问卷(Questionnaire)由一组相关的封闭式或开放式问题组成，用于在

评估过程中获取信息系统在各个层面的安全状况，包括安全策略、组织制度、执

第5页共62页

行情况等。

242远程漏洞扫描工具

远程漏洞扫描工具(Scanner)是一个或一组自动化工具，用于远程检测系

统可能存在的漏洞。

2.4.3人工审计检查列表

检查列表(Checklist)用于人工检查系统存在的各种安全弱点/脆弱性，它针

对不同的系统列出待检查的条目，以保证人工审计结果数据的完备性。

2.4.4安全风险评估信息库

安全风险评估信息库用于存储与处理在风险评估过程中收集到的信息。

2.5成功的关键因素

风险评估过程总体来说是一个需要评估方与被评估方共同参与，便于被评估

方更好地风险管理。因此，风险评估的成功需要双方的良好协作。从某种程度上

来说，被评估方的参与风险评估过程的态度决定是否能取得成功。

在风险评估过程中，需要考虑以下方面：

＞获得高级管理的支持和参与

＞确定重点

＞定义过程

＞业务和技术专家积极参与

＞责任到人

＞限定单次评估的范围

＞归档和维护

＞合理利用工具

＞考虑收益

2.6收益

＞认识风险

通过风险评估过程，被评估方能从资产的角度对风险有全面、清晰的认

识，通过相应的分析与统计，这些结果能在某种程度加以量化，从而为风险

管理的后续过程提供决策支持。

第6页共62页

A减免风险

在风险评估过程的跟进行动中，被评估方有机会采取合适的风险控制方

式来减免风险。

＞保障业务连续性

风险评估是风险管理的一个重要过程，风险管理的最终0的之一还在于

保障被评估方的业务连续性。

2.7面临的挑战

可靠地评估信息安全风险比评估其他类型的风险要困难得多，因为信息安全

风险因素相关的可能性和花费的数据非常有限，也因为风险因素在不断地改变。

例如：

1、风险因素方面的数据非常有限，如•个有经验的黑客攻击的可能性，利

用安全漏洞的安全事件引起的破坏、丢失或中断所造成的损失；

2、有些损失，如失去客户信任或敏感信息的泄露，本质上很难量化；

3、尽管可以了解需要加强控制的硬件和软件的成本，但常常不可能精确地

估计相关的非直接的成本，如执行新的控制时可能会导致生产力的丧失；

4、即使获得了精确信息，但信息很快就会过期，因为技术发展很快，入侵

者可获得更先进的工具。

可靠性和即时数据的缺乏，使我们常常无法精确定义哪一个信息安全风险是

最重要的，也无法比较哪一个工具是最有效的。曰于这些限制，机构选择采用的

方法是否能有效地从风险评估中受益，显得非常重要。

第7页共62页

3风险评估内容

风险评估的主要内容包括三个方面：基于资产的估值与分析、资产本身存在

的脆弱性的识别与分析、资产受到的威胁识别以及它的影响与可能性分析工

3.1资产分析

3.1.1资产定义

资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或

任务的重要性，这种重要性进而转化为资产应具有的保护价值。

3.1.2资产类别

依据资产的属性，主要分为以下几个类别：

信息资产

信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统

的配置信息、系统中存储的各类电子文档以及各种日志等等，信息资产也包括各

种管理制度，而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。

软件资产

软件资产包括各种专门购进的系统与应用软件（比如操作系统、网管系统、

办公软件、防火墙系统软件等）、随产品赠送的各种配套软件、以及自行开发的

各种业务软件等。

物理资产

物理资产主要包括各种主机设备（比如各类PC机、工作站、服务器等）、

各种网络设备（比如交换、路由、拨号设备等）、各种安全设备（比如防火墙设

备、入侵检测设备等）、数据存储设备以及各类基础物理设施（比如办公楼、机

房以及辅助的温度控制、湿度控制、防火防盗报警设备等）。

人员资产

人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分，它主要包

括XXX行业系统内部各类具备不同综合素质的人员，包括各层管理人员、技术

人员以及其他的保障与维护人员等。

第8页共62页

3.1.3资产评估

资产评估是与风险评估相关联的重要任务之一，资产评估通过分析评估对象

——资产的各种属性(包括经济影响、时间敏感性、客户影响、社会影响和法律

争端等方面)，进而对资产进行确认、价值分析和统计报告，简单的说资产评估

是一种为资产业务提供价值尺度的行为。

3.1.4资产评估的目的

资产评估的目的就是要对系统的各类资产做潜在价值分析，了解其资产利

用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使

XXX行业系统能够更合理的利用现有资产，更有效地进行资产管理，更有针对

性的进行资产保护，最具策略性地进行新的资产投入。

3.1.5资产的重要性

按照What-lf模型，资产的重要性可以分为经济影响、时间敏感性、客户影

响、社会影响和法律影响。

经济影响时间敏感性对客户影响社会影响法律影响

级别(F)(T)(C)(S)(L)

定义导致直接经可接受的中不满意的客会引起如下将涉及不同程度的法

济损失(¥)断时间户数量机构的注意律问题

被迫而对复杂的法律

诉讼，案情由级别相

10,000,000以国家或国际

51小时以下50,000以上当高的法院审理，控

上的媒体、机构

方提出的赔付数额巨

大

1,000,001-10,001-省、市级媒提交更高级别法院立

41-24小时

10,000,00050,000体、机构案，诉讼过程漫长

100,001-1,001-

31-3天公司正式提交法院立案

1,000,00010,000

50,001-会有人就法律问题提

23-10天101-1,000公司部门

100,000出交涉

几人或工作

150,000以下10天以上100以下几乎没有法律问题

组

第9页共62页

3.1.6资产级别

依据资产的潜在价值以及资产对时间的敏感性、对客户的影响、资产的社会

影响和可能造成的法律争端等各个方面，资产按重要性可分为五类：

超核心资产

超核心资产的瘫痪或损坏造成直接经济损失一般在1000万元以上；超核心

资产的时间敏感性是非常强的，一般来说，在其运行过程中可接受的中断时间是

在一个小时以内的，有的甚至只能是儿秒钟；超核心资产瘫痪对客户和社会造成

的影响都是十分巨大的，可能会导致5万以上的客户不满意，并引起国家甚至国

际媒体的广泛关注，而且超核心资产瘫痪将会使得XXX行业系统被迫面对复杂

的法律诉讼，并且案情将由级别相当高的法院审理，控方提出的赔付数额异常巨

大。

核心资产

核心资产的瘫痪或损坏造成直接经济损失一般在1()0万元至10()()万元之间;

核心资产的时间敏感性同样是非常强的，一般其运行过程中可接受的中断时间在

1-24小时之内；核心资产瘫痪对客户和社会造成的影响很巨大，可能会导致数

万客户的不满意，并引起省市级媒体和机构的关注，而且核心资产瘫痪引起的法

律争端可能提交很高级别的法院立案，诉讼过程可能很漫长。

高级资产

高级资产的瘫痪或损坏造成的直接经济损失一般在10万元至1()0万元之间;

高级资产的时间敏感性很强，可接受的中断时间大概在1-3天之间；高级资产的

瘫痪可能导致数千客户的不满意，其造成的社会影响主要集中在XXX行业系统

的内部，但是高级资产的瘫痪引起的法律争端同样会正式提交法院立案审理。

中级资产

中级资产的瘫痪或损坏造成的直接经济损失般在5-10万元之间，其时间

敏感性一般，可接受的中断时间一般在3-10天左右；中级资产的瘫痪可能造成

数百客户的不满意,造成的社会影响主要集中在XXX行业系统的某个部门内部,

但是中级资产的瘫痪有一定的可能会引出法律争端。

一般资产

一般资产的瘫痪或损坏造成的直接经济损失一般少于5万元，其时间敏感性

第10页共62页

很弱，可接受的中断时间在10天以.匕一般资产的瘫痪最多可能导致数十客户

的不满意，而其造成的社会影响更是微乎其微，儿乎只是在几个人或工作组内部,

而且儿乎不会引起任何的法律争端。

3.1.7评估实例

一台Cisco7513路由器，是某省省网出口核心，IP地址为192.168.X.X,OS

版本为11.1（22）CC,购入单价1,100,81（）元。由于是全省电信IP网的核心路

由，不允许发生中断（中断时间限制在秒级），一旦发生故障将造成约10,000,000

元的经济损失，导致全省用户无法访问（用户数＞5万），并导致国家及国际上的

不良影响，并可能遭受客户的控诉，带来巨额赔偿。

资产属性等级

经济影响F5(>10,000,000元)

时间敏感性T5（＜1小时）

客户影响C5(>5万)

社会影响S5（引起国家及国际影响）

法律影响L5（导致对客户损失的巨额赔偿）

FTcsL

资产等级V=log2（（2+2+2+2+2）/5）=5

3.2漏洞/脆弱性/弱点评估

321弱点评估的目的

弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所

谓威胁源是指能够通过系统缺陷或弱点对系统安全策略造成危害的主体。

弱点评估的信息通常通过控制台评估、咨询系统管理员、网络脆弱性扫描等

手段收集和获取。

3.2.2弱点评估的内容

技术漏洞的评估

技术漏洞主要是指操作系统和业务应用系统等存在的设计和实现缺陷。

技术漏洞的标号以CVE漏洞列表的编号为标准；如果存在某些CVE没有标

号的漏洞，则以国际通用的BUGTRAQID号为标号；如果以上两种编号都无法

满足标号要求，则以本次统一的ISS漏洞入库编号中关于无法准确定义的漏洞编

号为准。

第11页共62页

非技术漏洞的评估

非技术性漏洞主要是指系统的安全策略、物理和环境安全、人事安全、访问

控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面

存在的不足或者缺陷。

323弱点评估手段

弱点评估可以采取多种手段，下面建议了常用的四种。即：

＞网络扫描

＞主机审计

＞网络审计

＞渗透测试

其中，需要注意渗透测试的风险较其它几种手段要大得多，在实际评估中需

要斟酌使用C

表1网络扫描

项目名称漏洞扫描评估

简要描述利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况

达成目标发掘网络内部网络的安全漏洞，提出漏洞修补建议

主要内容采用多种漏洞扫描系统软件

实现方式大规模的漏洞扫描

工作条件4-6人工作环境，2台Win2000PC,电源和网络环境，客户人员和资料配合

工作结果网络内部网网络漏洞列表，扫描评估结果报告，

所需时间80台/工作日

参加人员评估小组、网络管理人员、系统管理人员、数据库管理人员

表2主机目可计

项目名称主机审计

简要描述作为网络扫描的辅助手段，登陆系统控制台检查系统的安全配置情况

达成目标检测系统的安全配置情况，发掘配置隐患

操作系统控制台审计

主要内容

数据库系统控制台审计

实现方式手工登录操作

工作条件4-6人工作环境，2台Win2000PC,电源和网络环境，客户人员和资料配合

工作结果网络内部网抽样主机审计报告

第12页共62页

所需时间10台/工作日

参加人员评估小组、系统管理人员、数据库管理人员

表3网络审计

项目名称网络安全审计

IDS作为一个实时入侵检测工具，是安全威胁信息收集过程中的•种重要手段，

简要描述

其数据是网络的整体安全的重要的参考依据之一

达成目标检测网络的安全运行情况，发掘配置隐患

入侵检测系统在关键点部署

主要内容入侵检测系统试运行

入侵检测系统报告汇兑及分析

实现方式在网络关键节点部署IDS,集中监控

每个部署点2-3人工作环境，1台Win2000PC作为IDS控制台，电源和网络环

工作条件

境，客户人员和资料配合

工作结果网络安全风险评估项目IDS分析报告

所需时间5工作日

参加人员评估小组、网络管理人员

表4渗透测试

项目名称渗透测试

简要描述利用人工模拟黑客攻击方式发现网络、系统的漏洞

达成目标检测系统的安仝配置情况，发掘配置隐患

后门利用测试

主要内容DDos强度测试

强口令攻击测试

实现方式全手工实现

工作条件2-3人工作环境，电源和网络环境

工作结果网络安全风险评估项目白客报告

所需时间3工作日

参加人员评估小组

3.3威胁评估

3.3.1威胁定义

威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对

XXX行业系统信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在

第13页共62页

机密性、完整性或可用性等方面造成损害。威胁乜可能源于偶发的、或蓄意的事

件。一般来说，威胁总是要利用XXX行业系统网络中的系统、应用或服务的弱

点才可能成功地对资产造成伤害。

从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人

为错误、以及设施/设备错误等。

332威胁分类

对安全威胁进行分类的方式有多种多样，最常见的分类方法主要有根据安全

威胁的性质进行划分以及根据安全威胁产生的来源和原因进行划分。参照国际通

行做法和专家经验，本项目中将采用上述两种方法进行安全威胁分析。

根据威胁的性质划分

参照ISO-15408/GB/T-18336中的定义对安全威胁的性质和类型进行划分,

可以分为以下几个方面：

表5威胁分类（按性质）

威胁分类威胁描述

Backdoor各种后门和远程控制软件，例如BO、Netbus等

BruteForce通过各种途径对密码进行暴力破解

Daemons服务器中各种监守程序产生弱点，例如amd,nnlp等

各和防火墙及其代理产生的安全弱点，例如GctunllelFirewcill

Firewalls

CybcrPatrol内容检查弱点

Information各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的

Gathering输出

NTRelated微软公司NT操作系统相关安全弱点

ProtocolSpoofing协议中存在的安全弱点，例如TCP序列号猜测弱点

Management与管理相关的安全弱点

根据威胁产生的来源和原因划分

参照BS-7799/ISO-17799中的定义对安全威胁的产生来源和原因进行划分,

可以分为以下几个方面：

表6威胁分类（按产生来源和原因）

ID威胁来源威胁描述

第14页共62页

1ID威胁来源威胁描述

1非授权故意行为人的有预谋的非授杈行为

1

2人为错误人为的错误

3软件、设备、线路故障软件、设备、线路造成的故障

4不可抗力不可抗力

3.3.3威胁属性

威胁具有两个属性：可能性（Likelihood）＞影响（Impact）0

进一步，可能性和影响可以被赋予一个数值，来表示该属性。参照下表。

表7可能性属性赋值参考表

简称说明

4VH不可避免（＞90%）

3H非常有可能（70%〜90%）

2M可能（20%~70%）

1L可能性很小（＜20%）

0N不可能（~0%）

表8影响赋值参考表

简称说明

4VH资产全部损失，或资产已不可用（＞75%）

3H资产遭受重大损失（50%~75%）

2M资产遭受明显损失（25%〜50%）

1L损失可忍受（＜25%）

0N损失可忽略（~0%）

可能性属性非常难以度量，它依赖于具体的资产、弱点。而影响也依赖于具

体资产的价值、分类属性。并且，这两个属性都和时间有关系，也就是说，具体

的威胁评估结果会随着时间的变动而需要重新审核。

在威胁评估中，评估者的专家经验非常重要。

参照下面的矩阵进行威胁赋值：

表9威胁分析矩阵

影响

可渝可忽略0可忍受1明显损失2重大损失3全部损失4

第15页共62页

不可避免401234

非常可能301233

可能201122

可能性很小1001I1

不可能000001

3.3.4威胁的获取方法

威胁获取的方法有：渗透测试(PenetrationTesting)^安全策略文档审阅、

人员访谈、入侵检测系统收集的信息和人工分析等。评审员(专家)可以根据具

体的评估对象、评估目的选择具体的安全威胁获取方式。

表10威胁发现方法列表

IDFindModeDescription

1人员访谈通过和资产所有人、负责管理人员进行访谈

2人工分析根据专家经验，从已知的数据中进行分析

3IDS系统通过入侵监测系统在一段时间内监视网络上的安全事件来获得数据

4渗透测试通过渗透测试方法来测试弱点，证实威胁

5安全策略文档分析安全策略文档分析

6安全审计依照IS017799,通过一套审计问题列表问答的方式来分析弱点

7事件记录对已有历史安全事件记录进行分析

335威胁评估手段

＞历史事件审计

＞网络威胁评估

＞系统威胁评估

＞业务威胁评估

3.3.6威胁评估实例

某资产(服务类)面临攻击和访问类威胁同时存在远程缓冲区溢出弱点，

该弱点可以导致远程攻击者直接获得服务所在宿主机的超级用户权限；该弱点的

利用程序(Exploit)于互联网上面发表已经多个星期，几乎可以认为所有攻击者

都可以得到该利用程序；该攻击利用程序运行简单，可以认为大多数攻击者都可

以成功地执行该利用程序；该资产当前的安全控制中，没有对该弱点的保护；所

第16页共62页

以可以认为该资产面临的威胁的影响为VH（资产全部损失）、可能性为H（非

常有可能）。整体上，资产处于高度威胁之中。

3.4影响与可能性分析

风险也存在两个属性：后果（Consequence）和可能性（Likelihood）。最终

风险对XXX行业系统的影响，也就是对风险的评估赋值是对上述两个属性权衡

作用的结果。

不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的

弱点数量的增加会增加风险的可能性，随着弱点类别的提高会增加该资产面临风

险的后果。

在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆

弱性的函数，而风险的后果是资产的价值和威胁的影响的函数。目前采用的算式

如下：

风险值二资产价值X威胁影响X威胁可能性义资产弱点等级

从资产面临的若干个子风险中，评估者从自己的经验出发得出该资产面临的

整体风险。

3.5系统分析

351系统结构及边界

网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业

务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全

性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估

的重要环节。

对评估对象的物理网络结构，逻辑网络结构及网络的关键设备进行评估（基

本信息包括网络带宽、协议、硬件、因特网接入、地理分布方式和网络管理），

发现存在的安全性、合理性、使用效率等方面的问题。结合业务体系、系统体系

结构来检查逻辑网络结构，物理网络组成以及网络关键设备等，对于保持网络安

全是非常重要的。另外，确定关键网络拓扑，对于成功地实施基于网络的风给管

理方案是很关键的。

网络结构分析能够做到:

第17页共62页

A改善网络性能和利用率，使之满足业务系统需要；

＞提供有关扩充网络、增加IT投资和提高网络稳定性的信息；

＞帮助用户降低风险，改善网络运行效率，提高网络的稳定性；

＞确保网络系统的安全运行；

＞对网络环境、性能、故障和配置进行检查。

352信息的敏感度评估

信息是一种重要的无形资产，它与有形资产一起构成资产的全体。对于信息

资产的保护首先需要进行分级处理，即按信息的敏感度来划分。

因此，信息的敏感度评估可以大致划分为如下步骤：

＞调查是否对数据根据其敏感程度进行了必要的分级；

＞分级是否合理；

＞不同敏感程度的数据是否得到了适当的保护：

＞是否定义了数据泄漏或破坏的事后处理措施。

3.6调查问卷的结构

调查问卷包括三部分：封面目录，问题和注释。调查系统可以从描述被评估

的主要应用程序和通用支持系统或一组相互关联的系统开始。

361调查系统控制

所有完成的调查问卷都应该根据机构政策决定的敏感性程度来评论，处理和

控制。要注意到的是，包含在完成调查问卷中的信息能很容易描述一个系统或是

一组系统容易受到攻击的地方。

362系统确认

调查问卷的封面是由被评估系统的名称和主题开始的。如NIST特别出扳物

SP800-18中所提到的，每一个主要应用程序或普遍支持系统都应该被安排一个

唯一的名称/标志符。