信息安全风险评估服务手册

. 精选范本 _ 信息安全信息安全启明星辰启明星辰风险评估风险评估 服务服务宣传宣传手册手册 _ 北京启明星辰信息安全技术有限公司北京启明星辰信息安全技术有限公司 . 精选范本 文档记录信息文档记录信息 文档名称启明星辰风险评估服务技术白皮书 制作部门 前线技术中心-服务产品化管理部 版本修正历史日期作者联系方式 文档核准信息文档核准信息 版本核准日期核准人所属部门备注 . 精选范本 版权声明版权声明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本 声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程 等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星 辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面 同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘 录、备份、修改、传播、翻译 成其它语言、将其全部或部分用于商业用途。 免责条款免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最 大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对 本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。 信息反馈信息反馈 如果任何宝贵意见，请反馈： 信箱：北京市海淀区东北旺西路 8 号中关村软件园 21 号搂启明大厦 邮编：100193 电话您可以访问启明星辰网站：http：/，获得最 新的技术和服务信息。 . 精选范本 目录目录 第第 1 1 章章风险评估的重要性风险评估的重要性 .5 5 1.1. 风险评估背景.5 1.2. 风险评估目的.6 1.3. 风险评估方式.7 第第 2 2 章章启明星辰启明星辰信息安全信息安全服务产品介绍服务产品介绍 .7 7 2.1. 服务产品概述.7 2.2. 服务产品功能.9 2.2.1. 资产评估.9 2.2.2. 威胁评估.10 2.2.3. 脆弱性评估.10 2.2.4. 风险综合分析.10 2.2.5. 风险处置计划.11 2.3. 服务产品交付.12 2.3.1. 风险评估综合报告.12 2.3.2. 资产赋值列表.12 2.3.3. 威胁赋值列表.12 2.3.4. 脆弱性赋值列表.12 2.3.5. 风险处置计划.13 2.4. 服务产品收益.13 2.4.1. 资产识别.13 2.4.2. 平衡安全风险与成本.13 2.4.3. 风险识别.13 2.4.4. 建设指导.14 2.4.5. 业务保障.15 第第 3 3 章章启明星辰启明星辰信息安全信息安全服务产品规格服务产品规格 .1515 3.1. 服务评估模型.15 3.1.1. 评估模型.15 3.1.2. 评估标准.16 3.2. 服务评估方法.17 3.2.1. 访谈调研.17 3.2.2. 人工审计.17 3.2.3. 工具扫描.18 3.2.4. 渗透测试.18 3.3. 服务评估范围.19 3.3.1. 技术评估.19 3.3.2. 管理评估.20 . 精选范本 第第 4 4 章章启明星辰启明星辰信息安全信息安全服务产品流程服务产品流程 .2121 4.1. 服务流程蓝图.22 4.2. 服务流程阶段.22 4.2.1. 服务启动.22 4.2.2. 资产评估.23 4.2.3. 威胁评估.24 4.2.4. 脆弱评估.26 4.2.5. 风险分析.27 4.2.6. 风险处置.29 4.2.7. 服务验收.30 4.3. 服务流程管理.30 4.3.1. 管理概述.30 4.3.2. 管理组成.31 第第 5 5 章章启明星辰启明星辰信息安全信息安全服务产品优势服务产品优势 .3333 5.1. 公司整体优势.33 5.2. 服务发展优势.34 5.3. 服务资质优势.35 5.4. 团队保障优势.36 第第 6 6 章章启明星辰启明星辰信息安全信息安全服务成功案例服务成功案例 .3737 6.1. 重点案例列表.38 6.2. 重点案例简介.39 6.2.1. 金融案例.39 6.2.2. 电信案例.39 6.2.3. 能源案例.40 6.2.4. 政府案例.40 第第 7 7 章章附录术语定义附录术语定义 .4141 . 精选范本 第第 1 1 章章 第第 1 1 章章风险评估的重要性风险评估的重要性 1.1.风险评估背景风险评估背景 随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强， 信息安全问题受到普遍关注。运用风险评估方法去识别安全风险，解决信息安 全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度，运 用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性， 评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护 对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平， 从而最大限度地保障信息安全提供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，贯穿 于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等 级保护制度建设的重要科学方法之一。国内风险评估推进工作情况如下： 时间具体推进事件历程 2003 年 关于加强信息安全保障工作的意见 （中办发200327 号）中明确提 出“要重视信息安全风险评估工作” 。 2004 年 为贯彻落实 27 号文件精神，原国信办组织有关单位和专家编写了信 息安全风险评估指南 。 2005 年 原国信办在北京、上海、云南、黑龙江 2 市 2 省区和银行、电力、税 务 3 个行业组织了信息安全风险评估试点。 2006 年 原国信办召开了信息安全风险评估推进工作会议。国家部委、各省信 息办依据中办发 2006 5 号、9 号文件，开展重要行业安全风险评估工 作。 2007 年 为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展 开了自评估工作。 （中国移动、电力、税务、证券） 至今 经过多年实践，风险评估是“一种度量信息安全状况的科学方法” ，通 过对网络和信息系统潜在风险要素的识别、分析、评价，发现网络和 信息系统的安全风险，通过安全加固，使高风险降低到可接受的水平， . 精选范本 从而提高信息安全风险管理的水平。 ” 表-1 1.2. 1.2.风险评估目的风险评估目的 风险评估是对网络与信息系统相关方面风险进行辨识和分析的过程，是依 据国际/国家/地方有关信息安全技术标准，评估信息系统的脆弱性、面临的威 胁以及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和 存储的信息的保密性、完整性和可用性所产生的实际负面影响，并以此识别信 息系统的安全风险的过程。 风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况，全 面了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降 低威胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而 将风险降低到可接受的水平；同时，可以定期了解信息系统的安全防护水平并 为后期安全规划建设的提出提供原始依据，并作为今后其他工作的参考。 1.3.风险评估方式风险评估方式 自评估自评估 是由被评估信息系统的拥有者发起，依靠自身的力量参照国家法规与标准， 对其自身的信息系统进行的风险评估活动。 检查评估检查评估 检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机 关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动， 是通过行政手段加强信息安全的重要措施。 委托评估委托评估 是由被评估信息系统的拥有者发起，委托专业的服务机构，参照国家法规 与标准，对其维护的信息系统进行的风险评估活动。 . 精选范本 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章 第第 2 2 章章启明星辰启明星辰信息安全信息安全服务产品介绍服务产品介绍 2.1.服务产品概述服务产品概述 启明星辰启明星辰信息安全信息安全风险评估服务风险评估服务 信息安全风险永远存在，安全产品不能解决所有的问题。信息安全工作本身信息安全风险永远存在，安全产品不能解决所有的问题。信息安全工作本身 是一个过程，它的本质是风险管理。是一个过程，它的本质是风险管理。风险管理工作不仅仅是一个简单的理论、 方法，更需要在实践中检验发展。启明星辰信息安全强调安全必须为业务服务， 以最佳实践作为信息安全工作的落脚点，通过有效的安全服务，让安全技术有 效地发挥作用。 启明星辰信息安全为客户提供全面的信息安全咨询与风险评估服务。启明 星辰信息安全认为，风险评估是风险管理的基石，安全管理监控是风险管理的 过程化实施。单纯的技术评估不能全面揭示信息安全风险所在，脱离细致技术 检查手段的管理评估也似无本之木，技术和管理是密不可分的两个方面。同时， 应用系统自身的安全性也是风险管理的重要组成部分。 启明星辰信息安全风险评估服务基于技术方面的安全评估、基于管理方面 管理评估和综合两者的全面评估，客户可以全面了解组织内部的信息安全状况， 尽早发现存在的问题。同时，根据安全专家的建议，客户可以在降低风险、承 受风险、转移风险等方面做出正确的选择。 启明星辰信息安全风险评估服务综合国内外相关标准与业界最佳实践，为 客户清晰的展现信息系统当前的安全现状、安全风险，提供公正、客观数据作 . 精选范本 为决策参考，为客户下一步控制和降低安全风险、改善安全状况、实施信息系 统的风险管理提供依据，从而引起相关领导关注和重视，为客户后续信息安全 工作争取支持，为客户后续信息安全顺利开展争取资源和地位，风险评估能够 帮助客户从技术、管理方面或全面摸清家底、做到知己知彼，顺利进行信息系 统安全规划、设计、建设。加强组织各层面对于信息安全工作的认识和理解程 度，提高组织各层面的信息安全保障意识，对于规范和系统化提高信息安全保 障水平提供了有效的方法。 2.2.服务产品功能服务产品功能 资资产产分分类类 资资产产赋赋值值 业业务务调调研研 资资产产评评估估 威威胁胁分分析析 威威胁胁赋赋值值 威威胁胁识识别别 威威胁胁评评估估 脆脆弱弱性性评评估估 技技术术脆脆弱弱性性识识别别 管管理理脆脆弱弱性性识识别别 12 风风险险综综合合分分析析 3 脆脆弱弱性性赋赋值值 4 风风险险综综合合识识别别风风险险接接收收准准则则风风险险模模型型计计算算 风风险险处处置置计计划划 5 风风险险综综合合评评价价 控控制制措措施施预预期期效效果果实实施施条条件件进进度度安安排排责责任任部部门门 图-1 2.2.1. 资产评估资产评估 资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务 . 精选范本 或任务的重要性，这种重要性进而转化为资产应具有的保护价值。 资产评估是与风险评估相关联的重要任务之一，资产评估主要是对资产进 行相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整 性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁 的严重程度；这样，威胁评估就成了对资产所受威胁发生可能性的评估，主要 从发生的可能性、发生成功的可能性以及发生成功后的严重性三方面安全属性 进行分析；目的是要对组织的归类资产做潜在价值分析，了解其资产利用、维 护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使组织 更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护， 更有合理性的进行新的资产投入。 2.2.2. 威胁评估威胁评估 威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重 要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存 在。 威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过 程中，首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁评估过 程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一 项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别 出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和 客体。 2.2.3. 脆弱性评估脆弱性评估 脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组 织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都 可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持 的业务系统。 脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用 的脆弱性，并对脆弱性的严重程度进行评估，就是对脆弱性被威胁利用的可能 . 精选范本 性进行评估，最终为其赋相对等级值。在进行脆弱性评估时，提供的数据应该 来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信 息系统方面的专业人员。在评估中，从技术脆弱性和安全管理脆弱性两个方面 进行脆弱性检查。 2.2.4. 风险综合分析风险综合分析 风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损 害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险只能预防、 避免、降低、转移和接受，但不可能完全被消灭。在完成资产、威胁和脆弱性 的评估后，进入安全风险的评估阶段。在这个过程中，采用最新的方法表述威 胁源采用何种威胁方法，利用了系统的何种脆弱性，对哪一类资产，产生了什 么样的影响，并描述采取何种对策来防范威胁，减少脆弱性。 风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的 属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现 频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析原来如下图所 示： 威威胁胁出出现现的的频频率率 脆脆弱弱性性的的严严重重程程度度 资资产产价价值值 风风险险值值 安安全全事事件件的的可可能能性性 安安全全事事件件造造成成损损失失 威威胁胁识识别别 脆脆弱弱性性识识别别 资资产产识识别别 图-2 2.2.5. 风险处置计划风险处置计划 风险处置目的是为风险管理过程中对不同风险的直观比较，以确定组织安全 . 精选范本 策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险 处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度 安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑 风险处置是一种系统化方法，可通过多种方式实现： 风险接受：接受潜在的风险并继续运行信息系统，不对风险进行处理。 风险降低：通过实现安全措施来降低风险，从而将脆弱性被威胁源利用 后可能带来的不利影响最小化 风险规避：不介入风险，通过消除风险的原因和/或后果来规避风险。 风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。 2.3.服务产品交付服务产品交付 资资产产评评估估 资资产产赋赋值值列列表表 威威胁胁赋赋值值列列表表 脆脆弱弱性性赋赋值值列列表表 风风险险评评估估综综合合报报告告 风风险险处处置置计计划划 威威胁胁评评估估脆脆弱弱性性评评估估风风险险综综合合分分析析风风险险处处置置计计划划 图-3 2.3.1. 风险评估综合报告风险评估综合报告 主体报告，描述被评估信息系统得信息安全现状，对评估范围内的业务资 产进行风险分析，明确出威胁源采用何种威胁方法，利用了哪些脆弱性，对范 围内的哪些资产产生了什么影响，采取何种对策进行防范威胁，减少脆弱性； 并对风险评估作出总结，总结出哪些问题需要当前解决，哪些问题可以分步分 期解决。 . 精选范本 2.3.2. 资产赋值列表资产赋值列表 综合报告的子报告，描述了在资产识别后，对资产进行分类整理，并依据 其所受破坏后所造成的影响，分析出其影响权值及其重要性。 2.3.3. 威胁赋值列表威胁赋值列表 综合报告的子报告，描述总结出评估范围内业务资产所面临的威胁源，以及 其所采用的方法。 2.3.4. 脆弱性赋值列表脆弱性赋值列表 综合报告的子报告，描述出通过安全管理调查、工具扫描、手工检查进行 专业分析后，总结出评估范围内业务资产自身存在的脆弱性。通过工具扫描之 后，对评估范围内的资产脆弱性进行统计，重在描述高风险、中风险、低风险 的数量以及百分比等情况。 2.3.5. 风险处置计划风险处置计划 综合报告后的辅助报告，通过综合分析，了解了当前的安全现状，提出了 针对当前问题的信息系统总体安全解决方案。 2.4.服务产品收益服务产品收益 2.4.1. 资产识别资产识别 帮助客户对组织内资产进行梳理，针对在传统资产清理过程中，比较容易 被忽略的数据资产，服务资产等，使客户从原有的固定资产保护，提升为 信息资产保护。 帮助客户进行组织内资产的分级管理，通过定量分析，明确各信息系统对 客户的重要程度，通过有效整合信息系统的安全需求，在有限的资源环境 下，更好的提高客户的信息安全水平。 . 精选范本 2.4.2. 平衡安全风险与成本平衡安全风险与成本 帮助客户在安全建设过程中综合平衡安全风险与成本代价，信息安全工作 的核心目标就是实现在最低资源消耗的情况下，达到最大的安全水平。通 过对发现的问题和风险进行管理，并最优化的方案建议，使客户避免投入 大量资源，但安全工作仍迟迟不见起色的现象。 2.4.3. 风险识别风险识别 对客户的关键信息资产进行全面梳理，识别资产的重要性；清晰自身所面 临的威胁及其威胁方式方法，便于有针对性地防护。认识自身存在的脆弱 性不足，能够有目的性的进行补遗整改。 帮助客户了解网络与信息系统的安全状况，通过如工具扫描，渗透测试， 人工审计等多种技术手段，全面分析客户信息系统和网络中存在的各种安 全问题，同时将发现的安全问题与信息资产的重要程度相关联，明确当前 的安全风险。 帮助客户了解自身存在信息安全管理漏洞，再好的设备，也是由人进行操 作的，通过访谈、问卷等多种手段，启明将协助客户管理层了解当前的信 息安全管理制度是否存在漏洞，已经正式发布的安全管理制度是否得到了 落实和执行。 2.4.4. 建设指导建设指导 通过专业的安全技术和专业人员及时全面的掌握客户 IT 环境的安全现状和 面临的风险，并提出改进建议，降低风险。 为客户进行信息安全规划建设、安全技术体系建设、安全管理体系建设、 安全风险管理奠定基石。 通过对网络与信息系统漏洞产生的威胁进行分析，能够提供有效的安全加 固和改进措施建议。在启明信息安全服务团队，如 ADlab 等国际国内专业 技术分析的支持下，启明安全服务团队能够获得第一手的信息系统或网络 的漏洞信息，在此基础上，为客户提供及时、有效地网络和信息系统的漏 . 精选范本 洞发掘服务，并针对漏洞，提供有效的加固建议和改进措施建议。 定期风险评估，帮助客户了解组织信息安全改进情况与发展方向，为以后 的信息系统安全规划建设提供依据和参考。通过对安全风险的分析和识别， 同时平衡安全风险与安全成本，启明公司提供专业的信息安全规划和建设 建议，对于客户未来的信息安全工作，提供重要参考和依据。 帮助客户建立信息安全风险管理机制。为客户对网络与信息系统进行安全 风险管理奠定基石，帮助客户在降低风险、承受风险、转移风险等方面作 出最佳的选择。 2.4.5. 业务保障业务保障 可以帮助客户及时发现和修复网络与信息系统的安全问题，使安全风险降 低到可以接受并且可以被有效管理的范围内，保障客户组织内信息系统稳 定运行和业务连续性。 预防信息安全事故，保证客户业务的连续性，使客户的重要信息资产受到 与 其价值相符的保护，防止系统入侵安全隐患再次被破坏或恶意利用，避免 业务经济损失数量持续增加。 . 精选范本 第第 3 3 章章 第第 3 3 章章启明星辰启明星辰信息安全信息安全服务产品规格服务产品规格 3.1.服务评估模型服务评估模型 3.1.1. 评估模型评估模型 脆弱性资产价值 威胁 资产 风险安全需求 业务战略 安全事件残余风险安全措施 利用 暴露具有 成本 被满足 未控制可能诱发 演变 增加导出 依赖 增加 降低 抵御 未被满足 图-4 风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对 基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全 事件、残余风险等与这些基本要素相关的各类属性。在上图中的风险要素及属 性之间存在着以下关系： 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越 大； . 精选范本 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为 安全事件； 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大； 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； 风险的存在及对风险的认识导出安全需求； 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； 安全措施可抵御威胁，降低风险； 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则 是在综合考虑了安全成本与效益后不去控制的风险； 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 3.1.2. 评估标准评估标准 标准类型参考标准 国际标准 ISO15408 信息技术安全评估准则 ISO/IEC TR 13335 信息和通信技术安全管理 ISO/TR 13569 银行和相关金融服务信息安全指南 ISO/IEC 27000 信息安全管理体系系列标准 AS/NZS 4360 风险管理 NIST SP 800-30 IT系统风险管理指南 国内标准 GB17859 计算机信息系统安全保护等级划分准则 GBT 20984 信息安全风险评估规范 GBT 22239 信息安全技术信息系统安全等级保护基本要求 GBZ 20985 信息技术安全技术信息安全事件管理指南 GBZ 20986 信息安全技术信息安全事件分类分级指南 各个组织或行业内相关要求 表-1 . 精选范本 3.2.服务评估方法服务评估方法 评评估估方方法法 问问卷卷访访谈谈人人工工审审计计工工具具扫扫描描渗渗透透测测试试 图-5 注：渗透测试模块为可选模块注：渗透测试模块为可选模块 3.2.1. 访谈调研访谈调研 收集现有业务系统资产组成、IT 规划、管理制度、原有项目安全成果等信 息文档。对进行收集文档进行深入分析，梳理业务系统安全现状。根据现 有文档分析整理结果，制定相关调研表进行信息资产调研信息补充。 制定访谈提纲，对相关人员进行访谈。人员访谈可以了解人员安全意识、 对安全管理获知的程度、对安全技术的掌握程度，并且收集大量有用信息， 全面了解信息系统的安全需求，深入了解客户各层面的安全现状。 3.2.2. 人工审计人工审计 人工评估只对被评估对象进行运行状态和配置检查，因此不会对现有信息 系统上的其他设备和资源带来任何影响，而对被评估对象的资源占用也小 于工具评估。人工评估完成后将产生人工评估报告，也将作为整体的安全 评估报告的一个重要的来源和依据。 人工评估对本地安全评估而言是必不可少的。人工安全评估对实施人员的 安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全 漏洞、掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地 安全评估中位于物理层、网络层、主机层、数据层和用户层的所有安全对 . 精选范本 象目标进行最有效和最完整的安全评估，并提供最合理和最及时的安全建 议。 3.2.3. 工具扫描工具扫描 工具自动评估是用各种商用安全评估系统或扫描器，根据其内置的评估内 容、测试方法、评估策略及相关数据库信息，从系统内部对主机、网络、 数据库等系统进行一系列的设置检查，使其可预防潜在安全风险问题，如 弱口令、用户权限设置、用户帐户设置、关键文件权限设置、路径设置、 密码设置、网络服务配置、应用程序的可信性、服务器设置以及其他含有 攻击隐患的可疑点等。它也可以找出黑客攻破系统的迹象，并提出修补建 议。 工具评估最突出的优点是评估工作可由软件来自动进行，速度快，效率高。 工具评估部分将采用基于应用和网络系统类的扫描软件来分别进行。扫描 评估主要是根据已有的安全漏洞知识库，检测网络协议、网络服务、网络 设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要 依靠带有安全漏洞知识库的网络安全扫描工具对系统进行安全扫描，其特 点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被 评估对象在线运行的环境完全一致，能较真实地反映系统所存在的安全隐 患和面临的安全威胁。 3.2.4. 渗透测试渗透测试 渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的 安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提 下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显， 直观的结果来反映出系统的安全现状。该方法也越来越受到国际/国内信息 安全业界的认可和重视。为了解服务系统的安全现状，在许可和控制的范 围内，将对应用系统进行渗透测试。渗透测试将作为安全评估的一个重要 组成部分。 渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和 . 精选范本 速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透 测试需要投入的人力资源较大、对测试者的专业技能要求很高，但是非常 准确，可以发现逻辑性更强、更深层次的弱点。 3.3. 3.3.服务评估服务评估范围范围 3.3.1. 技术评估技术评估 评估类型评估范围 物理环境评估 评估对象： 物理环境基础设施 评估内容： 从机房场地、机房防火、机房供配电、机房防静电、机房接地与 防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管 理等方面进行识别评估。 网络结构评估 评估对象： 网络及安全设备(交换机、路由器、防火墙、入侵检测设、安全审 计等) 评估内容： 从网络结构设计、边界保护、外部访问控制策略、内部访问控制 策略、网络设备安全配置等方面进行识别评估。 主机及数据系统 评估 评估对象： 操作及数据库系统（Windows、Linux、Unix、 Oracle、informix、ibm db2、sql server、my sql等) 评估内容： 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件 审 计、访问控制、新系统配置、注册表加固、网络安全、系统管理 等 方面进行识别评估。 . 精选范本 应用系统评估 评估对象： 应用中间件（IIS、APACHE、TOMCAT、Weblogic等）和应用系统软 件 评估内容： 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴 别机制、密码保护、脚本漏洞等方面进行识别评估。 业务流程评估 评估对象：业务流程 评估内容： 依据业务过程的数据流程评估客户的业务流程，识别客户业务流 程的安全隐患。 表-2 3.3.2. 管理评估管理评估 评估类型评估范围 安全管理制度评估 评估内容：安全管理制度一般是文档化的，被正式制定、评 审、发布和修订，内容包括策略、制度、规程、表格和记录 等，构成一个塔字结构的文档体系。对安全管理制度的制定、 发布、评审、修订进行评估。 安全管理机构评估 评估内容：安全管理机构包括安全管理的岗位设置、人员配 备、授权和审批、沟通和合作等方面内容，严格的安全管理 应该由相对独立的职能部门和岗位来完成。安全管理机构从 组织上保证了信息系统的安全。 人员安全管理评估 评估内容：人员安全管理包括信息系统用户、安全管理人员 和第三方人员的管理，覆盖人员录用、人员离岗、人员考核、 安全意识教育和培训、第三方人员管理等方面内容。工作人 员直接运行、管理和维护信息系统的各种设备、设施和相关 技术手段，与他们直接发生关联关系。因此，他们的知识结 构和工作能力直接影响到信息系统其他层面的安全。 . 精选范本 系统建设管理评估 系统建设管理包括系统定级、安全风险分析、安全方案设计、 产品采购、自行软件开发、外包软件开发、工程实施、测试 验收、系统交付、安全测评、系统备案等信息系统安全等级 建设的各个方面。信息系统的安全是一个过程，是一项工程， 它不但涉及到当前的运行状态，而且还关系到信息系统安全 建设的各个阶段。只有在信息系统安全建设的各个阶段确保 安全，才能使得运行中的信息系统有安全保证。 系统运维管理评估 系统运维管理包括运行环境管理、资产管理、介质管理、设 备使用管理、运行监控管理、恶意代码防护管理、网络安全 管理、系统安全管理、密码管理、变更管理、备份和恢复管 理、安全事件处置和应急计划管理等方面内容。系统运维各 个方面都直接关系到相关安全控制技术的正确、安全配置和 合理使用。对信息系统运维各个方面提出具体的安全要求， 可以为工作人员进行正确管理和运行提供工作准绳，直接影 响到整个信息系统的安全。 表-3 . 精选范本 第第 4 4 章章 第第 4 4 章章启明星辰启明星辰信息安全信息安全服务产品流程服务产品流程 4.1.服务流程蓝图服务流程蓝图 阶阶段段1 1：服服务务启启动动阶阶段段2 2：资资产产评评估估阶阶段段3 3：威威胁胁评评估估阶阶段段4 4：脆脆弱弱性性评评估估阶阶段段5 5：风风险险分分析析阶阶段段6 6：处处置置计计划划阶阶段段7 7：服服务务验验收收 项项目目实实施施风风险险及及规规避避措措施施 服服务务管管理理（服服务务组组织织结结构构、实实施施计计划划、质质量量管管理理、保保密密控控制制） 资产识别 资产分类 资产清单 资产分析 资产赋值 威胁识别 威胁分类 范围确定 系统调研 制定计划 报告提交 成果汇报 服务验收威胁分析 威胁赋值 获得支持 技术脆弱识别 管理脆弱识别 控制措施识别 脆弱性分析 脆弱性赋值 资资产产评评估估报报告告服服务务实实施施计计划划威威胁胁评评估估报报告告脆脆弱弱性性评评估估报报告告风风险险评评估估报报告告风风险险处处置置计计划划服服务务验验收收报报告告 风险综合识别 风险模型计算 风险接收准则 风险综合评价 安全目标确定 安全措施选择 实施内容安排 制定处置计划 图-6 4.2.服务流程阶段服务流程阶段 4.2.1. 服务启动服务启动 1) 服务目标服务目标 风险评估启动是整个风险评估过程有效性的保证。组织实施风险评估是一 种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统 规模和结构等方面的影响。因此，在风险评估实施前，应确定风险评估的目标 与范围、进行系统调研、制定风险评估计划、获得客户管理者对风险评估工作 支持。 2) 服务内容服务内容 . 精选范本 确定风险评估的目标与范围确定风险评估的目标与范围 根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容， 识别现有信息系统及管理上的不足，以及可能造成的风险大小。风险评估范围 可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某 个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 系统调研系统调研 系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研， 为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包 括：业务战略及管理制度、主要的业务功能和要求、网络结构与网络环境，包 括内部连接和外部连接、系统边界、主要的硬件、软件、数据和信息、系统和 数据的敏感性、支持和使用系统的人员、其他。 制定风险评估计划制定风险评估计划 风险评估计划的目的是为后面的风险评估实施活动提供一个总体计划，用 于指导实施方开展后续工作。风险评估计划的内容一般包括： 团队组织：包括评估团队成员、组织结构、角色、责任等内容； 工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作 成果等内容； 时间进度安排：项目实施的时间进度安排。 获得支持 上述所有内容确定后，应形成较为完整的风险评估实施方案，得到客户管理 者的支持、批准；对管理层和技术人员进行传达，在组织范围就风险评估相关 内容进行培训，以明确有关人员在风险评估中的任务。 3) 成果输出：成果输出：服务实施综合计划 4.2.2. 资产评估资产评估 1) 服务目标服务目标 对被评估信息系统的关键资产进行识别，并合理分类；在资产识别过程中， 需要详细识别关键资产的安全属性，重点识别出资产在遭受泄密、中断、损害 . 精选范本 等破坏时所遭受的影响，并根据资产在遭受泄密、中断、损害等破坏时所遭受 的影响，对资产的价值进行赋值。 2) 服务内容服务内容 资产识别资产识别 资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务 或任务的重要性，这种重要性进而转化为资产应具有的保护价值。信息系统资 可以分为硬件、软件、数据、人员、服务、其他类资产等。 资产分析资产分析 在资产识别的基础上，进一步分析被评估信息系统及其关键资产在遭受泄 密、中断、损害等破坏时对系统所承载的业务系统所产生的影响。并进行赋值 量化。从而为最后综合风险分析提供参考数据。 资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进 行分析，并在此基础上得出综合结果的过程。 等级标识描述 5 很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失。 4 高重要，其安全属性破坏后可能对组织造成比较严重的损失。 3 中比较重要，其安全属性破坏后可能对组织造成中等程度的损失。 2 低不太重要，其安全属性破坏后可能对组织造成较低的损失。 1 很低 不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计。 表-4 3) 阶段成果输出：阶段成果输出：资产赋值列表 4.2.3. 威胁评估威胁评估 1) 服务目标服务目标 通过威胁调查、取样等手段识别被评估信息系统的关键资产所面临的威胁 源，及其威胁所常采用的威胁方法，对资产所产生的影响。并为后续威胁分析 及综合风险分析提供参考数据。 . 精选范本 2) 服务内容服务内容 威胁识别威胁识别 威胁识别要从威胁的主体、威胁途径和威胁方式三个方面来进行： 威胁主体：