信息安全风险评估服务手册

1、_信息安全风险评估服务手册 _第 1 章目录风险评估的重要性 . 41.1. 风险评估背景 . 41.2. 风险评估目的 . 51.3. 风险评估方式 . 5第 2 章信息安全服务产品介绍 . 62.1. 服务产品概述 . 62.2. 服务产品功能 . 72.2.1.2.2.2.2.2.3.2.2.4.2.2.5.资产评估 . 7威胁评估 . 8脆弱性评估. 8风险综合分析. 8风险处置计划. 92.3. 服务产品交付 . 102.3.1.2.3.2.2.3.3.2.3.4.2.3.5.风险评估综合报告. 10资产赋值列表. 10威胁赋值列表. 10脆弱性赋值列表. 10风险处置计划. 112

2、.4. 服务产品收益 . 112.4.1.2.4.2.2.4.3.2.4.4.2.4.5.资产识别 . 11平衡安全风险与成本. 11风险识别 . 11建设指导 . 12业务保障 . 12第 3 章信息安全服务产品规格 . 143.1. 服务评估模型 . 143.1.1.3.1.2.评估模型 . 14评估标准 . 153.2. 服务评估方法 . 163.2.1.3.2.2.3.2.3.3.2.4.访谈调研 . 16人工审计 . 16工具扫描 . 17渗透测试 . 173.3. 服务评估范围 . 183.3.1.3.3.2.技术评估 . 18管理评估 . 19第 4 章信息安全服务产品流程 .

3、204.1. 服务流程蓝图 . 20精选4.2. 服务流程阶段 . 204.2.1.4.2.2.4.2.3.4.2.4.4.2.5.4.2.6.4.2.7.服务启动 . 20资产评估 . 21威胁评估 . 22脆弱评估 . 24风险分析 . 26风险处置 . 27服务验收 . 284.3. 服务流程管理 . 294.3.1.4.3.2.管理概述 . 29管理组成 . 29第 5 章信息安全服务产品优势 . 315.1. 公司整体优势 . 315.2. 服务发展优势 . 315.3. 服务资质优势 . 315.4. 团队保障优势 . 31第 6 章信息安全服务成功案例 . 316.1. 重点案例

4、列表 . 316.2. 重点案例简介 . 316.2.1.6.2.2.6.2.3.6.2.4.金融案例 . 31电信案例 . 31能源案例 . 31政府案例 . 31第 7 章附录术语定义 . 31精选第1章 风险评估的重要性1.1. 风险评估背景随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强， 信息安全问题受到普遍关注。运用风险评估方法去识别安全风险，解决信息安全 问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度，运用科 学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安 全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和

5、整 改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限 度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，贯穿于 信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保 护制度建设的重要科学方法之一。国内风险评估推进工作情况如下：时间2003 年2004 年2005 年2006 年2007 年至今具体推进事件历程关于加强信息安全保障工作的意见（中办发200327 号）中明确提 出“要重视信息安全风险评估工作”。为贯彻落实 27 号文件精神，原国信办组织有关单位和专家编写了信 息安全风险评估指南。原国信办在北京、上海、云

6、南、黑龙江 2 市 2 省区和银行、电力、税务 3 个行业组织了信息安全风险评估试点。原国信办召开了信息安全风险评估推进工作会议。国家部委、各省信息 办依据中办发 2006 5 号、9 号文件，开展重要行业安全风险评估工作。 为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展开 了自评估工作。（中国移动、电力、税务、证券）经过多年实践，风险评估是“一种度量信息安全状况的科学方法”，通 过对网络和信息系统潜在风险要素的识别、分析、评价，发现网络和信 息系统的安全风险，通过安全加固，使高风险降低到可接受的水平，从 而提高信息安全风险管理的水平。”表-11.2. 风险评估目的风险评估是对网

7、络与信息系统相关方面风险进行辨识和分析的过程，是依据 国际/国家/地方有关信息安全技术标准，评估信息系统的脆弱性、面临的威胁以 及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和存储的 信息的保密性、完整性和可用性所产生的实际负面影响，并以此识别信息系统的 安全风险的过程。风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况，全面 了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降低威 胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而将风险 降低到可接受的水平；同时，可以定期了解信息系统的安全防护水平并为后期安 全规划建设的提出提供原始依据

8、，并作为今后其他工作的参考。1.3. 风险评估方式 自评估是由被评估信息系统的拥有者发起，依靠自身的力量参照国家法规与标准， 对其自身的信息系统进行的风险评估活动。 检查评估检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机 关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动， 是通过行政手段加强信息安全的重要措施。 委托评估是由被评估信息系统的拥有者发起，委托专业的服务机构，参照国家法规与 标准，对其维护的信息系统进行的风险评估活动。精选第2章 信息安全服务产品介绍2.1. 服务产品概述信息安全风险评估服务信息安全风险永远存在，安全产品不能解决所有的问题。信息

9、安全工作本身 是一个过程，它的本质是风险管理。 风险管理工作不仅仅是一个简单的理论、 方法，更需要在实践中检验发展。信息安全强调安全必须为业务服务，以最佳 实践作为信息安全工作的落脚点，通过有效的安全服务，让安全技术有效地发 挥作用。信息安全为客户提供全面的信息安全咨询与风险评估服务。信息安全认 为，风险评估是风险管理的基石，安全管理监控是风险管理的过程化实施。单 纯的技术评估不能全面揭示信息安全风险所在，脱离细致技术检查手段的管理 评估也似无本之木，技术和管理是密不可分的两个方面。同时，应用系统自身 的安全性也是风险管理的重要组成部分。信息安全风险评估服务基于技术方面的安全评估、基于管理方面

10、管理评估和 综合两者的全面评估，客户可以全面了解组织内部的信息安全状况，尽早发现存 在的问题。同时，根据安全专家的建议，客户可以在降低风险、承受风险、转移 风险等方面做出正确的选择。信息安全风险评估服务综合国内外相关标准与业界最佳实践，为客户清晰的 展现信息系统当前的安全现状、安全风险，提供公正、客观数据作为决策参考， 为客户下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提 供依据，从而引起相关领导关注和重视，为客户后续信息安全工作争取支持，为 客户后续信息安全顺利开展争取资源和地位，风险评估能够帮助客户从技术、管 理方面或全面摸清家底、做到知己知彼，顺利进行信息系统安全规划、

11、设计、建 设。加强组织各层面对于信息安全工作的认识和理解程度，提高组织各层面的信 息安全保障意识，对于规范和系统化提高信息安全保障水平提供了有效的方法。2.2. 服务产品功能1资产评估2威胁评估3脆弱性评估业务调研资产分类资产赋值威胁识别威胁分析威胁赋值技术脆弱性识别管理脆弱性识别脆弱性赋值4风险综合分析风险综合识别风险模型计算风险接收准则风险综合评价5风险处置计划控制措施预期效果实施条件进度安排责任部门图-12.2.1. 资产评估资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或 任务的重要性，这种重要性进而转化为资产应具有的保护价值。资产评估是与风险评估相关联的重要任务之一

12、，资产评估主要是对资产进行 相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整性、 可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁的严重 程度；这样，威胁评估就成了对资产所受威胁发生可能性的评估，主要从发生的 可能性、发生成功的可能性以及发生成功后的严重性三方面安全属性进行分析； 目的是要对组织的归类资产做潜在价值分析，了解其资产利用、维护和管理现状。精选明确各类资产具备的保护价值和需要的保护层次，从而使组织更合理的利用现有 资产，更有效地进行资产管理，更有针对性的进行资产保护，更有合理性的进行 新的资产投入。2.2.2. 威胁评估威胁是指可能对资产或组织造成

13、损害事故的潜在原因。作为风险评估的重 要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过程 中，首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁评估过程中， 应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可 能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别出威胁由谁 或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和客体。2.2.3. 脆弱性评估脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组 织机构、业务流程、人员、管理、硬件、软件及通讯设施

14、等各个方面，这些都可 能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的 业务系统。脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用 的脆弱性，并对脆弱性的严重程度进行评估，就是对脆弱性被威胁利用的可能性 进行评估，最终为其赋相对等级值。在进行脆弱性评估时，提供的数据应该来自 于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统 方面的专业人员。在评估中，从技术脆弱性和安全管理脆弱性两个方面进行脆弱 性检查。2.2.4. 风险综合分析风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害 的潜在可能性，即特定威胁事件发生的可能性与

15、后果的结合。风险只能预防、避精选免、降低、转移和接受，但不可能完全被消灭。在完成资产、威胁和脆弱性的评 估后，进入安全风险的评估阶段。在这个过程中，采用最新的方法表述威胁源采 用何种威胁方法，利用了系统的何种脆弱性，对哪一类资产，产生了什么样的影 响，并描述采取何种对策来防范威胁，减少脆弱性。风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属 性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、 动机等；脆弱性的属性是资产弱点的严重程度。风险分析原来如下图所示：威胁识别威胁出现的频率安全事件的可能性风险值脆弱性识别脆弱性的严重程度安全事件造成损失资产识别资产

16、价值图-22.2.5. 风险处置计划风险处置目的是为风险管理过程中对不同风险的直观比较，以确定组织安全 策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处 理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、 责任部门等。安全措施的选择应从管理与技术两个方面考虑风险处置是一种系统化方法，可通过多种方式实现： 风险接受：接受潜在的风险并继续运行信息系统，不对风险进行处理。 风险降低：通过实现安全措施来降低风险，从而将脆弱性被威胁源利用后可能带来的不利影响最小化 风险规避：不介入风险，通过消除风险的原因和/或后果来规避风险。 风险转移：通过使用其它措施来补偿

17、损失，从而转移风险，如购买保险。精选2.3. 服务产品交付资产评估威胁评估脆弱性评估风险综合分析风险处置计划资产赋值列表威胁赋值列表脆弱性赋值列表风险评估综合报告风险处置计划图-32.3.1. 风险评估综合报告主体报告，描述被评估信息系统得信息安全现状，对评估范围内的业务资产 进行风险分析，明确出威胁源采用何种威胁方法，利用了哪些脆弱性，对范围内 的哪些资产产生了什么影响，采取何种对策进行防范威胁，减少脆弱性；并对风 险评估作出总结，总结出哪些问题需要当前解决，哪些问题可以分步分期解决。2.3.2. 资产赋值列表综合报告的子报告，描述了在资产识别后，对资产进行分类整理，并依据其 所受破坏后所造

18、成的影响，分析出其影响权值及其重要性。2.3.3. 威胁赋值列表综合报告的子报告，描述总结出评估范围内业务资产所面临的威胁源，以及 其所采用的方法。2.3.4. 脆弱性赋值列表综合报告的子报告，描述出通过安全管理调查、工具扫描、手工检查进行专精选业分析后，总结出评估范围内业务资产自身存在的脆弱性。通过工具扫描之后， 对评估范围内的资产脆弱性进行统计，重在描述高风险、中风险、低风险的数量 以及百分比等情况。2.3.5. 风险处置计划综合报告后的辅助报告，通过综合分析，了解了当前的安全现状，提出了针 对当前问题的信息系统总体安全解决方案。2.4. 服务产品收益2.4.1. 资产识别 帮助客户对组织

19、内资产进行梳理，针对在传统资产清理过程中，比较容易被 忽略的数据资产，服务资产等，使客户从原有的固定资产保护，提升为信息 资产保护。 帮助客户进行组织内资产的分级管理，通过定量分析，明确各信息系统对客 户的重要程度，通过有效整合信息系统的安全需求，在有限的资源环境下， 更好的提高客户的信息安全水平。2.4.2. 平衡安全风险与成本 帮助客户在安全建设过程中综合平衡安全风险与成本代价，信息安全工作的 核心目标就是实现在最低资源消耗的情况下，达到最大的安全水平。通过对 发现的问题和风险进行管理，并最优化的方案建议，使客户避免投入大量资 源，但安全工作仍迟迟不见起色的现象。2.4.3. 风险识别 对

20、客户的关键信息资产进行全面梳理，识别资产的重要性；清晰自身所面临 的威胁及其威胁方式方法，便于有针对性地防护。认识自身存在的脆弱性不 足，能够有目的性的进行补遗整改。精选 帮助客户了解网络与信息系统的安全状况，通过如工具扫描，渗透测试，人 工审计等多种技术手段，全面分析客户信息系统和网络中存在的各种安全问 题，同时将发现的安全问题与信息资产的重要程度相关联，明确当前的安全 风险。 帮助客户了解自身存在信息安全管理漏洞，再好的设备，也是由人进行操作 的，通过访谈、问卷等多种手段，协助客户管理层了解当前的信息安全管理 制度是否存在漏洞，已经正式发布的安全管理制度是否得到了落实和执行。2.4.4.

21、建设指导 通过专业的安全技术和专业人员及时全面的掌握客户 it 环境的安全现状和 面临的风险，并提出改进建议，降低风险。 为客户进行信息安全规划建设、安全技术体系建设、安全管理体系建设、安 全风险管理奠定基石。 通过对网络与信息系统漏洞产生的威胁进行分析，能够提供有效的安全加固 和改进措施建议。在国际国内专业技术分析的支持下，安全服务团队能够获 得第一手的信息系统或网络的漏洞信息，在此基础上，为客户提供及时、有 效地网络和信息系统的漏洞发掘服务，并针对漏洞，提供有效的加固建议和 改进措施建议。 定期风险评估，帮助客户了解组织信息安全改进情况与发展方向，为以后的 信息系统安全规划建设提供依据和参

22、考。通过对安全风险的分析和识别，同 时平衡安全风险与安全成本，提供专业的信息安全规划和建设建议，对于客 户未来的信息安全工作，提供重要参考和依据。 帮助客户建立信息安全风险管理机制。为客户对网络与信息系统进行安全风 险管理奠定基石，帮助客户在降低风险、承受风险、转移风险等方面作出最 佳的选择。2.4.5. 业务保障 可以帮助客户及时发现和修复网络与信息系统的安全问题，使安全风险降低 到可以接受并且可以被有效管理的范围内，保障客户组织内信息系统稳定运精选行和业务连续性。预防信息安全事故，保证客户业务的连续性，使客户的重要信息资产受到与 其价值相符的保护，防止系统入侵安全隐患再次被破坏或恶意利用，

23、避免业 务经济损失数量持续增加。精选第3章 信息安全服务产品规格 3.1. 服务评估模型3.1.1. 评估模型业务战略依赖脆弱性利用威胁演变安全事件暴露增加增加可能诱发资产未被满足风险抵御残余风险具有导出降低未控制资产价值成本安全需求被满足安全措施图-4风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基 本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、 残余风险等与这些基本要素相关的各类属性。在上图中的风险要素及属性之间存 在着以下关系： 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； 资产是有价值的，组织的业务战略对资产的依赖程度越高，

24、资产价值就越大； 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； 风险的存在及对风险的认识导出安全需求； 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； 安全措施可抵御威胁，降低风险； 残余风险有些是安全措施不当或无效 , 需要加强才可控制的风险；而有些则 是在综合考虑了安全成本与效益后不去控制的风险； 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 3.1.2. 评估标准标准类型国际标准参考标准iso15408 信息技术安

25、全评估准则iso/iec tr 13335 信息和通信技术安全管理 iso/tr 13569 银行和相关金融服务信息安全指南 iso/iec 27000 信息安全管理体系系列标准 as/nzs 4360风险管理国内标准nist sp 800-30 it系统风险管理指南gb17859 计算机信息系统安全保护等级划分准则gbt 20984 信息安全风险评估规范gbt 22239 信息安全技术信息系统安全等级保护基本要求 gbz 20985 信息技术安全技术信息安全事件管理指南 gbz 20986 信息安全技术信息安全事件分类分级指南 各个组织或行业内相关要求表-1精选3.2. 服务评估方法评估方法

26、问卷访谈人工审计工具扫描渗透测试图-5注：渗透测试模块为可选模块3.2.1. 访谈调研 收集现有业务系统资产组成、it 规划、管理制度、原有项目安全成果等信息 文档。对进行收集文档进行深入分析，梳理业务系统安全现状。根据现有文 档分析整理结果，制定相关调研表进行信息资产调研信息补充。 制定访谈提纲，对相关人员进行访谈。人员访谈可以了解人员安全意识、对 安全管理获知的程度、对安全技术的掌握程度，并且收集大量有用信息，全 面了解信息系统的安全需求，深入了解客户各层面的安全现状。3.2.2. 人工审计 人工评估只对被评估对象进行运行状态和配置检查，因此不会对现有信息系 统上的其他设备和资源带来任何影

27、响，而对被评估对象的资源占用也小于工 具评估。人工评估完成后将产生人工评估报告，也将作为整体的安全评估报 告的一个重要的来源和依据。 人工评估对本地安全评估而言是必不可少的。人工安全评估对实施人员的安 全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏洞、 掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地安全评估 中位于物理层、网络层、主机层、数据层和用户层的所有安全对象目标进行精选最有效和最完整的安全评估，并提供最合理和最及时的安全建议。 3.2.3. 工具扫描 工具自动评估是用各种商用安全评估系统或扫描器，根据其内置的评估内 容、测试方法、评估策略及相关数据库信息，

28、从系统内部对主机、网络、数 据库等系统进行一系列的设置检查，使其可预防潜在安全风险问题，如弱口 令、用户权限设置、用户帐户设置、关键文件权限设置、路径设置、密码设 置、网络服务配置、应用程序的可信性、服务器设置以及其他含有攻击隐患 的可疑点等。它也可以找出黑客攻破系统的迹象，并提出修补建议。 工具评估最突出的优点是评估工作可由软件来自动进行，速度快，效率高。 工具评估部分将采用基于应用和网络系统类的扫描软件来分别进行。扫描评 估主要是根据已有的安全漏洞知识库，检测网络协议、网络服务、网络设备、 应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有 安全漏洞知识库的网络安全扫描工具

29、对系统进行安全扫描，其特点是能对被 评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线 运行的环境完全一致，能较真实地反映系统所存在的安全隐患和面临的安全 威胁。3.2.4. 渗透测试 渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安 全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下， 模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显，直观的 结果来反映出系统的安全现状。该方法也越来越受到国际 /国内信息安全业 界的认可和重视。为了解服务系统的安全现状，在许可和控制的范围内，将 对应用系统进行渗透测试。渗透测试将作为安全评估的一个重要

30、组成部分。 渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速 度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试 需要投入的人力资源较大、对测试者的专业技能要求很高，但是非常准确， 可以发现逻辑性更强、更深层次的弱点。精选3.3. 服务评估范围 3.3.1. 技术评估评估类型评估范围物理环境评估网络结构评估主机及数据系统 评估应用系统评估业务流程评估评估对象：物理环境基础设施评估内容：从机房场地、机房防火、机房供配电、机房防静电、机房接地与防 雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等 方面进行识别评估。评估对象：网络及安全设备(交换机、路由器

31、、防火墙、入侵检测设、安全审 计等)评估内容：从网络结构设计、边界保护、外部访问控制策略、内部访问控制策 略、网络设备安全配置等方面进行识别评估。评估对象：操作及数据库系统（windows、linux、unix、 oracle、informix、 ibm db2、sql server、my sql等)评估内容：从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审 计、访问控制、新系统配置、注册表加固、网络安全、系统管理等 方面进行识别评估。评估对象：应用中间件（iis、apache、tomcat、weblogic等）和应用系 统软件评估内容：从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别 机制、密码保护、脚本漏洞等方面进行识别评估。评估对象：业务流程评估内容：依据业务过程的数据流程评估客户的业务流程，识别客户业务流程 的安全隐患。表-2精选3.3.2. 管理评估评估类型评估范围评估内容：安全管理制度一般是文档化的，被正式制定、评审、安全管理制度评估发布和修订，内容包括策略、制度、规程、表格和记录等，构 成一个塔字结构的文档体系。对安全管理制度的制定、发布、 评审、修订进行评估。评估内容：安全管理机构包括安全管理的岗位设置、人员配备、安全管理机构评估授权和审批、沟通和合作等方面内容，严格的安全管理应该