风险评价管理程序文件

1、风险评估管理程序历史修订记录序号更改单号更改说明修订人生效日期现行版次目录1概述 52术语与定义 52.1风险管理 52.1.1 风险评估 52.2其他 63风险评估框架及流程 73.1风险要素关系 73.2 风险分析原理 . 93.3 实施流程 . 94 风险评估准备过程 104.1 确定围 . 104.2 确定目标 . 114.3 确定组织结构 . 114.4 确定风险评估方法. 114.5 获得最高管理者批准 115 风险评估实施过程 115.1 资产赋值 . 135.1.1 资产分类 145.1.2 资产价值属性 175.1.3 资产价值属性赋值标准 . 195.2 威胁评估 . 23

2、5.2.1 威胁分类 235.2.2 威胁赋值 265.3 脆弱性评估 . 275.4 确定现有控制 . 305.5 风险评估 . 305.5.1 风险值计算 305.5.2 风险等级划分 315.5.3 风险评估结果纪录 316 风险管理过程 326.1 安全控制的识别与选择 336.2 降低风险 . 346.3 接受风险 . 356.4 风险管理要求 . 357 相关文件 361 概述目前信息安全管理的发展趋势是将风险管理与信息安全管理紧密结合在一 起，将风险概念作为信息安全管理实践的对象和出发点，信息安全管理的控制点 以风险出现的可能性作为对象而展开的。 ISO27001 标准对信息安全

3、管理体系 (ISMS) 的要求即通过对信息资产的风险管理 , 确定重要信息资产清单以及风险等级 ,从而 采取相应的控制措施来实现信息资产的安全。信息安全管理是风险管理的过程，风险评估是风险管理的基础。风险管理是 指导和控制组织风险的过程。风险管理遵循管理的一般循环模式计划 (Plan) 、 执行 (Do) 、检查 (Check) 、行动 (Action) 的持续改进模式。 ISO27001 标准要求 企业设计、实施、维护信息安全管理体系都要依据PDCA!环模式。2 术语与定义2.1 风险管理 风险管理是以可接受成本识别、评估、控制、降低可能影响信息系统风险的过程，通过风险评估识别风险，通过制定

4、信息安全方针，采取适当的控制目标与 控制方式对风险进行控制，使风险被避免、转移或降低到一个可以被接受的水平， 同时考虑控制费用与风险之间的平衡。风险管理的核心是信息的保护。信息对于组织是一种具有重要价值的资产。建立信息安全管理体系(ISMS)的目的是在最大围保护信息资产，确保信息的性、 完整性和可用性，将风险管理自始至终的贯穿于整个信息安全管理体系中，这种 体系并不能完全消除信息安全的风险，只是尽量减少风险，尽量将攻击造成的损 失降低到最低限度。2.1.1 风险评估 风险评估指风险分析和风险评价的整个过程，其中风险分析是指系统化地识别风险来源和风险类型，风险评价是指按组织制定的风险标准估算风险

5、水平，确 定风险严重性。风险评估的出发点是对与风险有关的各因素的确认和分析，与信息安全风险 有关的因素可以包括四大类：资产、威胁、脆弱性、安全控制措施。风险评估是对信息和信息处理设施的威胁、脆弱性和风险的评估，它包含以风险是被特定威胁利用的资产的一种或一组脆弱性，导致资产丢失或损害的 潜在可能性，即特定威胁事件发生的可能性与后果的结合。资产是对组织具有价值的信息资源，是安全控制措施保护的对象。 威胁是可能对资产或组织造成损害的事故的潜在原因。脆弱性是资产或资产组中能被威胁利用的弱点。 安全控制措施是降低风险的措施、程序或机制。2.2 其他1. 资产 Asset ：对组织具有价值的信息或资源，是

6、安全策略保护的对象。2. 资产价值 Asset Value ：资产的重要程度或敏感程度的表征。资产价值是 资产的属性，也是进行资产识别的主要容。3. 性 confidentiality ：数据所具有的特性，即表示数据所达到的未提供或 未泄露给未授权的个人、过程或其他实体的程度。4. 完整性 integrity ：保证信息及信息系统不会被非授权更改或破坏的特性。 包括数据完整性和系统完整性。5. 可用性 availability ：数据或资源的特性， 被授权实体按要求能访问和使 用数据或资源。6. 数据完整性 data integrity ：数据所具有的特性，即无论数据形式作何 变化，数据的准确

7、性和一致性均保持不变。7. 系统完整性 system integrity ：在防止非授权用户修改或使用资源和防 止授权用户不正确地修改或使用资源的情况下，信息系统能履行其操作目的的品 质。8. 信息安全风险 information security risk ：人为或自然的威胁利用信 息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影 响。9. 信息安全风险评估 information security risk assessment：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的性、完整 性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以

8、及威胁利用 脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事 件一旦发生对组织造成的影响。10. 信息系统 information system ：由计算机及其相关的和配套的设备、设 施（ 含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、 传输、检索等处理的人机系统。典型的信息系统由三部分组成：硬件系统（计算 机硬件系统和网络硬件系统） ；系统软件（计算机系统软件和网络系统软件） ；应 用软件（包括由其处理、存储的信息） 。11. 检查评估 inspection assessment ：由被评估组织的上级主管机关或业务 主管机关发起的，依据国家有关法规

9、与标准，对信息系统及其管理进行的具有强 制性的检查活动。12. 组织 organization ：由作用不同的个体为实施共同的业务目标而建立的结 构。组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务 部门也可以是一个组织。13. 残余风险 residual risk ：采取了安全措施后，仍然可能存在的风险。14. 自评估 self-assessment ：由组织自身发起，参照国家有关法规与标准， 对信息系统及其管理进行的风险评估活动。15. 安全事件 security event ：指系统、服务或网络的一种可识别状态的发 生，它可能是对信息安全策略的违反或防护措施的失效，或未

10、预知的不安全状况。16. 安全措施security measure：保护资产、抵御威胁、减少脆弱性、降低安 全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。17. 安全需求 security requirement ：为保证组织业务战略的正常运作而在安 全措施方面提出的要求。18. 威胁 threat ：可能导致对系统或组织危害的不希望事故潜在原因。19. 脆弱性 vulnerability ：可能被威胁所利用的资产或若干资产的弱点。3 风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。3.1 风险要素关系 资产所有者应对信息资产进行保护，通过分析信息资产的

11、脆弱性来确定威胁 可能利用哪些弱点来破坏其安全性。风险评估要识别资产相关要素的关系，从而 判断资产面临的风险大小。风险评估中各要素的关系如图 3-1 所示：厂脆弱性r暴露tr资产具有ir .未被满足增加增加资产价值威胁演变安全事件Z成本风险降低抵御残余风险安全措施)N 可能诱发导出未控制安全需求图3-1风险要素关系图图3-1中方框部分的容为风险评估的基本要素，椭圆部分的容是与这些要素 相关的属性。风险评估围绕着这些基本要素展开，在对这些要素的评估过程中， 需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基 本要素相关的各类属性。图3-1中的风险要素及属性之间存在着以下关系：

12、1. 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；2. 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越 大;3. 资产价值越大，原则上则其面临的风险越大；4. 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能导致安全 事件；5. 弱点越多，威胁利用脆弱性导致安全事件的可能性越大；6脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产，从而形成风险;7. 风险的存在及对风险的认识导出安全需求；8. 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；9. 安全措施可抵御威胁，降低安全事件发生的可能性，并减少影响；10. 风险不可能也没有必要降为

13、零，在实施了安全措施后还可能有残余风险 有些残余风险的原因可能是安全措施不当或无效，需要继续控制；而有些残余风险 则是在综合考虑了安全成本与效益后未去控制的风险，是可以接受的；11. 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。3.2风险分析原理风险分析原理如图3-2所示：风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性， 资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动 机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要容为：1. 对资产进行识别，并对资产的价值进行赋值；2. 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；3.

14、 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；4. 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；5. 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;6. 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生 对组织的影响，即风险值。3.3实施流程图3-3给出风险评估的实施流程，第 4章将围绕风险评估流程阐述风险评估 各具体实施步骤。風綸评1軒林图3-3风险评估实施流程图4风险评估准备过程风险评估的准备过程是运维中心进行风险评估的基础，是整个风险评估过程 有效性的保证。运维中心对信息及信息系统进行风险评估是一种战略性的考虑， 其结果将

15、受到运维中心业务需求及战略目标、文化、业务流程、安全要求、规模 和结构的影响。因此在风险评估实施前，应：1. 确定风险评估的围；2. 确定风险评估的目标；3. 建立适当的组织结构；4. 建立系统化的风险评估方法；5. 获得最高管理者对风险评估策划的批准。4.1确定围进行风险评估是基于运维中心自身商业要求及战略目标的要求，国家法律法 规和行业监管要求，根据上述要求确定风险评估围，每次评估围可以是全公司的 信息和信息系统，可以是单独的信息系统，可以是关键业务流程。此项工作需要在资产识别和分类工作基础上进行4.2 确定目标运维中心的信息、信息系统、应用软件和网络是运维中心重要的资产，信息 资产的性，

16、完整性和可用性对于维持竞争优势，提高安全管理水平，符合法律法 规要求和运维中心的形象是必要的。运维中心要面对来自四面八方日益增长的安 全威胁，信息、信息系统、应用软件和网络可能是严重威胁的目标，同时由于运 维中心信息化程度不断提高，对信息系统和技术的依赖日益增加，则可能出现更 多的脆弱性。运维中心风险评估的目标来源于业务持续发展的需要、满足国家法 律法规和行业监管的要求等方面。4.3 确定组织结构在风险评估过程中，应建立适合的组织结构，以推进评估过程，成立由管理 层、相关业务骨干、 IT 技术人员等组成的风险评估小组，以保证能够满足风险评 估的围、目标。4.4 确定风险评估方法风险评估方法应考

17、虑评估的围、目的、时间、效果、组织文化、人员素质以 及具体开展的程度等因素来确定，使之能够与运维中心的环境和安全要求相适应。4.5 获得最高管理者批准上述所有容应得到运维中心管理层批准，并对相关部门和员工进行传达，就 风险评估相关容进行培训，以明确各有关人员在风险评估中的任务。5 风险评估实施过程信息安全各组成因素：资产的价值、对资产的威胁和威胁发生的可能性、资 产脆弱性、现有的安全控制提供的保护，风险评估过程是综合以上因素而导出风 险的过程，如图 5-1 所示：*风险评估图5-1风险评估的过程详细的风险评估方法描述详细的风险评估是对资产、威胁和脆弱点进行详细的识别和估价，评估结果 被用于评估

18、风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到 可接受水平，来证明管理者所采用的安全控制是适当的。详细的风险评估，需要仔细地制定被评估的信息系统围的业务环境、业务运 营、信息和资产的边界，是一个需要管理者持续关注的方法，如下表：风险评估评估活动资产赋值识别和列出信息安全管理围被评估的业务环境、业务运 营和信息相关的所有的资产，定义一个价值尺度并为每 一项资产分配价值（性、完整性和可用性的价值）。威胁评估识别与资产相关的所有威胁，并根据它们发生的可能性 为它们赋值。脆弱性评估识别与资产相关的所有的脆弱点，并根据它们被威胁利 用的程度和严重性来赋值。确定现有控制识别与记录所有与资产相

19、关联的、现有的控制。风险评估利用上述对资产、威胁、脆弱点的评价结果，进行风险 评估，风险为资产的相对价值、威胁发生的可能性与脆 弱点被利用的可能性的函数，采用适当的风险测量工具 进行风险计算。表5-1详细风险评估容详细风险评估方法将安全风险作为资产、威胁及脆弱点的函数来进行识别与 评估，具体程序包括：1. 对资产（说明它们的价值、业务相关性） 、威胁（说明它们发生的可能性） 和脆弱性（说明有关它们的弱点和敏感性的程度）进行测量与赋值。2. 使用预定义风险计算函数完成风险测量。5.1 资产赋值资产赋值就是要识别影响信息系统的信息资产（以下简称资产） ，并评估其价 值，包括资产识别与资产赋值两部分

20、。1. 资产识别 资产是影响信息系统运行而需要保护的有用资源，资产以多种形式存在。运 维中心资产分为：硬件类、系统服务类、支撑服务类、信息类、人员、无形资产 等，每类资产具有不同价值属性和存在特点，固有的弱点、面临的威胁、需要实 施的保护和安全控制各不相同。为了对资产进行有效的保护，组织需要在各个管理层对资产落实责任，进行 恰当的管理。在信息安全体系围识别资产并为资产编制清单是一项重要工作，每项资产都 应该清晰地定义，在组织中明确资产所有权关系，进行安全分类，并以文件方式 详细记录在案。2. 资产赋值 为了明确对资产的保护，有必要对资产进行估价，其价值大小不仅仅是考虑 其自身的价值，还要考虑其

21、业务的相关性和一定条件下的潜在价值。资产价值常 常是以安全事件发生时所产生的潜在业务影响来衡量，安全事件会导致资产性、 完整性和可用性的损失，从而导致企业资金、市场份额、企业形象的损失。为了 资产评估的一致性与准确性，组织应当建立一个资产的价值评估标准，对每一种 资产和每一种可能的损失，例如性、完整性和可用性的损失，都可以赋予一个价 值。但采用精确的方式给资产赋值是较困难的一件事，一般采用定性的方式，按 照事前建立的资产的价值评估标准将资产的价值划分为不同等级。经过资产的识 别与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。资产分别具有不同的安全属性，性、完整性和可用性分别反映了

22、资产在三个 不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。对信 息资产进行估价赋值的目的是为了更好地反映资产的价值，以便于进一步考察资 产相关的弱点、威胁和风险属性，并进行量化。在评估过程，为了保证没有资产被忽略和遗漏，应该先确定信息安全管理体 系(ISMS)围，建立资产的评审边界。评估资产最简单的方式是列出组织业务过程 中、安全管理体系围所有具有价值的资产，然后对资产赋予一定的价值，这种价 值应该反映资产对组织业务运营的重要性，并以对业务的潜在影响程度表现出来。 例如，资产价值越大，由于泄露、修改、损

23、害、不可用等安全事件对组织业务的 潜在影响就越大。基于组织业务需要的资产的识别与估价，是建立信息安全体系, 确定风险的重要一步。资产的价值应当由资产的所有者和相关用户来确定，只有他们才最清楚资产 对组织业务的重要性，才能较准确地评估出资产的实际价值。为确保资产赋值时 的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。在对资产赋予价值时，一方面要考虑资产购买成本及维护成本，另一方面主 要考虑当这种资产的性、完整性、可用性受到损害时，对业务运营的负面影响程 度。在信息安全管理中，并不是直接采用资产的账面价值，在运维中心风险评估 中采用以定性分级的方式建立资产的相对价值，以相对价值来

24、作为确定重要资产 的依据和为这种资产的保护投入多大资源的依据。5.1.1 资产分类运维中心资产分类见下表：大类小类名称硬件类H010大型机H020小型机H030PC服务器H040PC台式机H050PC移动电脑H060业务终端H070通讯设施H080网络交换机大类小类名称H090网络路由器H100负载均衡器H110网络安全设备H120数据存储设备H130移动存储设备H140存储介质H150纸质文档H160智能卡设备H170UPS设备H180发电机H190设备管理间H200电线电缆H210显示设备H220监控设备H230传真机/传真系统H240照明设施H250供电设施H260供水设施H270暖通空

25、调H280消防设施H290门禁系统H300打印机H310复印机H320扫描仪H330投影机H340机架系统服务类S010核心业务应用系统S020辅助业务应用系统大类小类名称S030网络基础应用系统S040网络安全系统S050操作系统S060数据库S070中间件S080软件开发工具S090软件测试工具S100其他系统或服务信息类I010软件I020开发文档及源代码I030用户文档I040系统业务数据I050系统支撑数据I060密码数据I070其他支撑服务类F010通讯服务F020系统运行F030系统维护F040软件开发F050软件维护F060安全保卫F070人力资源服务F080财务服务F090供

26、电F100供暖F110消防F120照明F130空调大类小类名称F140咨询服务F150培训服务F160审计服务人员类R010管理层人员R020网络管理人员R030系统管理人员R040安全管理人员R050软件开发人员R060软件测试人员R070通讯管理人员R080文档管理人员R090系统用户R100企业客户R110签约供应商R120第二方人员R130临时人员无形资产类W010公信力W020组织形象与声誉W030商标W040产品名称W050知识产权表5-2资产分类表5.1.2 资产价值属性除了性、完整性和可用性外，在运维中心风险评估中引入系统对业务的重要程度、资产对系统的重要程度，资产花费等资产价

27、值属性，各价值属性图示如下:图5-2资产价值属性1. 系统服务围：说明当前业务系统应用或服务的围，评估人员可以人工分析 并选择系统服务围值。2. 业务对系统的依赖程度：用于衡量部门业务对当前业务系统的依赖程度， 评估人员可以人工分析并选择业务对系统的依赖程度值。3. 系统对业务的重要程度：用于衡量业务系统对业务的重要性，其值由系统 服务围和业务对系统的依赖程度确定。4信息性：说明信息资产本身或硬件、系统服务类资产所包含信息的性价值, 评估人员可以人工分析并选择信息性值。5信息完整性：说明信息资产本身或硬件、系统服务类资产所包含信息的完 整性价值，评估人员可以人工分析并选择信息完整性值。6信息可

28、用性：说明信息资产本身或硬件、系统服务类资产所包含信息的可 用性价值，评估人员可以人工分析并选择信息可用性值。7. 资产信息重要性：用于衡量信息资产本身或硬件、系统服务类资产所包含 信息的信息价值，其值由信息性、信息完整性和信息可用性确定。8. 资产对系统的重要程度：用于衡量硬件、系统服务类资产对业务系统的可 用性价值，评估人员可以人工分析并选择对系统的重要程度值。9. 资产对业务的重要程度：用于衡量硬件、系统服务类资产对业务的重要性, 其值由系统对业务的重要程度和资产对系统的重要程度确定。10. 资产业务价值：用于衡量硬件、系统服务、人员及其它类资产对业务的价 值，对于人员及无形类资产，其值

29、由对业务的重要程度确定，对于硬件、系统服 务类资产，其值由对业务的重要程度和资产信息重要性确定。11. 花费：用于衡量购买或恢复被破坏的资产所需要的花消，评估人员可以人工分析并选择花费值。12. 资产价值：用于表示资产的重要性，其值由资产业务价值和花费确定。不同类别资产赋值可能采用不同的价值属性。具体见下表：资产类别价值属性硬件类系统服务类信息类支撑服务人员无形资产系统服务围P V：VVVV业务对系统的依赖程度VVVVV系统对业务的重要程度VVVVV性VV完整性VV可用性VVVVV资产CIA重要性VVVVV资产对系统的重要程度VVVVV资产对业务的重要程度VVVVV资产业务价值VVVVV花费V

30、VVVV表5-3不同资产采用的价值属性5.1.3 资产价值属性赋值标准运维中心风险评估使用的资产属性赋值标准见下表:系统服务围赋值系统服务围赋值描述1运维中心部。2面向开发基地。3面向整个公司部。4面向整个公司部及客户、政府、组织等。表5-4系统服务围赋值表业务对系统的依赖程度赋值业务对系统依赖程度赋值描述1整个业务处理流程可以通过手工方式或其他方式完成，而 且这些替代方式对组织业务的开展没有或极少影响。2整个业务处理流程可以通过手工方式或其他方式完成，但 这些替代方式对组织业务的开展有较大的影响。3业务处理流程的部分环节可以通过手工方式或其他方式 替代完成，这些替代方式对组织业务的开展有较大

31、的影 响。4业务处理流程完全依赖信息系统，手工方式无法完成。表5-5业务对系统的依赖程度赋值表系统对业务的重要程度计算系统重要程度权值(W =系统服务围值+业务对系统依赖程度值系统重要程度值二T1 (WT1是非线性函数，用于将计算出的权值 W映射到5级，得到系统重要程度值,见下表:系统对业务重要程度赋值描述1W=2 32W=43W=54W=65W=7 8表5-6系统对业务的重要程度计算表信息性赋值信息性赋值描述1信息的未授权泄露对运维中心的业务以及利益基本 不会受到影响或损害极小。2信息的未授权泄露对运维中心的业务以及利益带来信息性赋值描述一定的损失或破坏。3信息的未授权泄露对运维中心的业务、

32、 利益以及整个 公司利益带来严重的损失或破坏。4信息的未授权泄露对运维中心的业务、 利益以及整个 公司利益带来极其严重的损失或破坏。5信息的未授权泄露会对运维中心的业务、 利益以及整 个公司利益带来灾难性的损失或破坏。表5-7信息性赋值表信息完整性赋值信息完整性赋值描述1信息的未授权的修改或破坏对运维中心的业务以及利益 基本不会受到影响或损害极小。2信息的未授权的修改或破坏对运维中心的业务以及利益 带来一定的损失或破坏。3信息的未授权的修改或破坏对运维中心的业务、利益以及整个公司利益带来严重的损失或破坏。4信息的未授权的修改或破坏会对运维中心的业务、利益以及整个公司利益带来极其严重的损失或破坏

33、。5信息的未授权的修改或破坏会对运维中心的业务、利益 以及整个公司利益带来灾难性的损失或破坏。表5-8信息完整性赋值表信息可用性赋值信息可用性赋值描述1可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%2可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上3可用性价值中等，合法使用者对信息及信息系统的可用信息可用性赋值描述:度在正常工作时间达到70%以上4可用性价值较高，合法使用者对信息及信息系统的可用 度达到每天90%以上5可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上表5-9信息可用性赋值表资产CIA重要性计

34、算资产CIA重要性值=MAX(性值、完整性值、可用性值) 资产对系统的重要程度赋值对系统的重要程度赋值描述1资产出现问题对整个业务系统的可用性影响极小或没有影响。2资产出现问题对整个业务系统的可用性有一定的影响。3资产出现问题对整个业务系统的可用性有较大的影响。4资产出现问题将导致整个业务系统丧失可用性。表5-10资产对系统的重要程度赋值表资产对业务的重要程度计算资产对业务的重要程度权重(W)二系统对业务的重要程度值X资产对系统的 重要程度值 资产对业务的重要程度值二T2 (W)T2是非线性函数，用于将计算出的权值 W映射到5级，得到资产对业务重要 程度值，见下表：资产对业务重要程度赋值描述1

35、W=1, 22W=3 4, 53W=6, 8，94W=1Q 12资产对业务重要程度赋值描述5W=15 16，20表5-11资产对业务的重要程度计算表资产业务价值计算资产业务价值=MAX（资产对业务的重要程度值、资产 CIA重要性值） 花费赋值资产花费赋值描述1购买或恢复资产花费=0.1万元。20.1万元 购买或恢复资产花费1万元。31万元 购买或恢复资产花费10万元。410万元 购买或恢复资产花费50万元。550万元 购买或恢复资产花费表5-12资产花费赋值表资产价值计算资产价值二MAX（资产业务价值、花费）5.2威胁评估威胁是一种对运维中心资产构成潜在破坏的可能性因素或者事件。无论对于 实施

36、多少安全控制的信息系统，威胁始终是一个客观存在的，因此在风险评估中 威胁是需要考虑的重要因素之一。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的 因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非 恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可 以是对信息系统直接或间接的攻击，在性、完整性或可用性等方面造成损害；也 可能是偶发的、或蓄意的事件。5.2.1 威胁分类在对威胁进行分类前，应考虑威胁的来源。威胁来源如下表述：威胁编号威胁来源威胁来源描述TR01环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、 电磁干扰

37、、洪灾、火灾、地震等环境条件和自然灾 害；意外事故或由于软件、硬件、数据、通讯线路 方面的故障TR02无恶意部人员部人员由于缺之责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障 或被攻击；部人员由于缺之培训，专业技能不足，不具备岗位技能要求而导致信息系统故障或被攻 击TR03恶意部人员不满的或有预谋的部人员对信息系统进行恶意破 坏；米用自主的或外勾结的方式盗窃信息或进行篡 改，获取利益TR04第二方第三方合作伙伴和供应商，包括电信、移动等业务 合作伙伴以及软件开发合作伙伴、系统集成商、服 务商和产品供应商；包括第三方恶意的和无恶意的 行为TR05外部人员攻击外部人员利用

38、信息系统的脆弱性，对网络和系统的 性、完整性和可用性进行破坏，以获取利益或炫耀 能力表5-13威胁来源表在威胁评估过程中，首先就要对运维中心需要保护的每一项关键资产进行威 胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损 害的情况来判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资 产造成影响。在运维中心风险评估中采用问卷调查和小组访谈进行威胁识别和评 估。对威胁进行分类的方式有多种多样，可以根据其表现形式将威胁分为以下种 类:编号种类描述威胁子类TCO1软硬件故障由于设备硬件故障、通讯链路中 断、系统本身或软件缺陷造成对 业务实施、系统稳定运行的影响。设备硬件

39、故障、传输设备 故障、存储媒体故障、系 统软件故障、应用软件故 障、数据库软件故障、开 发环境故障。TCO2物理环境影响断电、静电、灰尘、潮湿、温度、 鼠蚁虫害、电磁干扰、洪灾、火 灾、地震等环境冋题或自然灾害。TCO3无作为或操作失误由于应该执行而没有执行相应的 操作，或无意地执行了错误的操 作，对系统造成的影响。维护错误、操作失误TCO4管理不到位安全管理无法落实，不到位，造 成安全管理不规，或者管理混乱， 从而破坏信息系统正常有序运 行。TCO5恶意代码和病毒具有自我复制、自我传播能力， 对信息系统构成破坏的程序代 码。恶意代码、木马后门、网 络病毒、间谍软件、窃听 软件TCO6越权或滥

40、用通过采用一些措施，超越自己的 权限访问了本来无权访问的资 源，或者滥用自己的职权，做出 破坏信息系统的行为。未授权访问网络资源、未 授权访问系统资源、滥用 权限非正常修改系统配置 或数据、滥用权限泄露秘 密信息TCO7黑客攻击利用工具和技术，如侦祭、密码 破译、安装后门、嗅探、伪造和 欺骗、拒绝服务等手段，对信息 系统进行攻击和入侵。网络探测和信息采集、漏 洞探测、嗅探（账户、口 令、权限等）、用户身份伪 造和欺骗、用户或业务数编号种类描述威胁子类据的窃取和破坏、系统运行的控制和破坏TCO8物理攻击通过物理的接触造成对软件、硬 件、数据的破坏。物理接触、物理破坏、盗窃TCO9泄密信息泄露给不

41、应了解的他人。部信息泄露、外部信息泄露TC10篡改非法修改信息，破坏信息的完整 性使系统的安全性降低或信息不 可用。篡改网络配置信息、篡改 系统配置信息、篡改安全 配置信息、篡改用户身份 信息或业务数据信息TC11抵赖不承认收到的信息和所作的操作 和交易。原发抵赖、接收抵赖、第三方抵赖表5-14威胁种类表522 威胁赋值判断威胁出现的频率是威胁识别的重要容，评估者应根据经验和（或）有关 的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种 评估环境中各种威胁出现的频率：1. 以往安全事件报告中出现过的威胁及其频率的统计；2. 实际环境过检测工具以及各种日志发现的威胁及其频率的

42、统计；3. 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统 计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率 的高低。等级数值越大，威胁出现的频率越高。运维中心风险评估对威胁发生可能性采用以下赋值方法:等级标识定义5很高出现的频率很咼（或1次/周）；或在大多数情况下 几乎不可避免；或可以证实经常发生过。等级标识定义4高出现的频率较咼（或1次/月）；或在大多数情况 下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或 1次/半年）；或在某种情况下 可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证

43、 实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情 况下发生。表5-15威胁赋值表5.3脆弱性评估脆弱性评估也称为漏洞评估，是风险评估中重要容。脆弱性是信息资产自身 存在的，它可以被威胁利用、引起资产或商业目标的损害。脆弱性包括物理环境、 组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的弱点。值得注意的是，脆弱性虽然是信息资产本身固有的，但它本身不会造成损失, 它只是一种条件或环境、可能导致被威胁利用而造成资产损失。所以如果没有相 应的威胁发生，单纯的脆弱性并不会对资产造成损害。那些没有安全威胁的脆弱 性可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有

44、所 变化时能随之加以改变安全保护，需要注意的是不正确的、起不到应有作用的或 没有正确实施的安全保护措施本身就可能是一个安全脆弱性环节。脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的 脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行 评估，最终为其赋值。在进行脆弱性评估时，提供的数据应该来自于这些资产的 拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人 员。脆弱性评估所采用的方法主要为：问卷调查、访谈、工具扫描、手动检查、 文档审查、渗透测试等。在运维中心风险评估中采用问卷调查、小组访谈、工具扫描和人工检查等方 法。脆弱性的识别以资

45、产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络 层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组 织管理两方面，前者与具体技术活动相关，后者与管理环境相关。脆弱性识别容如下表述:类型识别对象识别容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机 房接地与防雷、电磁防护、通信线路的保护、机房区域 防护、机房设备管理等方面进行识别。服务器（含操作系统）从物理保护、用户、口令策略、资源共享、事件审计、 访问控制、新系统配置（初始化）、注册表加固、网络 安全、系统管理等方

46、面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、部访 问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和 服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访冋控制策略、数据元整性、通 信、鉴别机制、密码保护等方面进行识别。管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开 发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符 合性表5-16弱点分类表安全控制措施的使用将减少脆弱性，考虑对现有安全控制措施的确认，采用 等级方式对已识别的脆弱性的严重程度进行赋值。脆

47、弱性严重程度的等级划分为五级，分别代表资产脆弱性严重程度的高低。 等级数值越大，脆弱性严重程度越高。运维中心风险评估对脆弱性采用以下赋值方法：等级影响技术攻击角度管理防角度等级影响技术攻击角度管理防角度1（可忽略）如果被威 胁利用，将 对资产造 成的损害 可以忽略。技术方 面存在着低 等级缺陷，从 技术角度很 难被利用对于攻击者来 说，该漏洞目前 还不能够被直接 或者间接利用， 或者利用的难度 极咼组织管理 中没有相关 的薄弱环 节，很难被 利用有规 定，严格 审核、记 录、校验2（低）如果被威 胁利用，将 对资产造 成较小损 害。技术方 面存在着低 等级缺陷，从 技术角度难 以被利用对于攻击

48、者来 说，该漏洞无法 被直接利用（需 要其他条件配 合）或者利用的 难度较咼组织管理 中没有相应 的薄弱环 节，难以被 利用有规 定，职责 明确，有 专人负责 检查执行 落实情 况，有记 录3（中）如果被威 胁利用，将 对资产造 成一般损 害。技术方 面存在着一 般缺陷，从技 术角度可以 被利用可以配合其他 条件被攻击者加 以直接利用，或 者该漏洞的利用 有一定的难度组织管理 中没有明显 的薄弱环 节，可以被 利用有规 疋，疋期 检查落 实，有记 录4（高）如果被威 胁利用，将 对资产造 成重大损 害。技术方 面存在着严 重的缺陷，比 较容易被利 用一个特定漏 洞，可以配合其 他条件被攻击者

49、加以直接利用， 或者该漏洞的利 用有一定的难度组织管理 中存在着薄 弱环节，比 较容易被利 用有规 定.执行 完全靠人 自觉5（极高）如果被威胁利用，将对资产造技术方面存在着非常严重的缺在没有任何保 护措施的情况 下，暴露于低安组织管理中存在着明显的薄弱环无人负 责，无人 过问等级影响技术攻击角度管理防角度成完全损害。陷，很容易被利用全级别网络上节，并且很容易被利用表5-17弱点赋值表5.4确定现有控制在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。 安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威 胁。对有效的安全措施继续保持，以避免不必要的工作和费用

50、，防止安全措施的 重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或 用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施 可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性 安全措施可以减少因安全事件发生后对组织或系统造成的影响，如业务持续性计 划。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使 用将减少系统技术或管理上的弱点，但安全措施确认并不需要和脆弱性识别过程 那样具体到每个资产、组件的弱点，而是一类具体措施的集合，为风险处理计划 的制定提供依据和参考。5.5风险评估完成资产评估、威胁评估

51、、脆弱性评估后，并考虑已有安全措施的情况下， 利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合 资产的安全属性受到破坏后的影响得出信息资产的风险。5.5.1 风险值计算在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后， 将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合 安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组 织的影响，即安全风险。使用本方法需要首先确定信息资产、威胁和脆弱性的赋 值，要完成这些赋值，需要管理人员、技术人员的配合。运维中心风险评估中风险值计算方式如下：风险值(RW)=资产价值x威胁可能性值

52、x脆弱性严重程度值5.5.2 风险等级划分确定风险数值的大小不是风险评估的最终目的，重要的是明确不同威胁对资 产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别 高的资产应被优先分配资源进行保护。风险等级在运维中心风险评估中采用分值计算表示。分值越大，风险越高。见下表。风险等级标识风险值围描述建议处置方式1很低Rg 5发生安全事件的可能性极小，即使发生对系统 或组织也基本没影响。A-接受2低6 RV10发生安全事件的可能性较小，安全事件发生后 使系统受到的破坏较小或使组织利益受到的 损失较少。A-接受3中1K RV30发生安全事件的可能性一般，安全事件发生后 将使系统受到一

53、定的破坏或使组织利益受到 疋的损失。B-降低4高31 RV40发生安全事件的可能性较大，安全事件发生后 将使系统受到较大的破坏或使组织利益受到 较多的损失。B-降低5极高4K RW发生安全事件的可能性很大，安全事件发生后 将使系统受到很大的破坏或使组织利益受到 很多的损失。B-降低表5-20风险等级描述表5.5.3 风险评估结果纪录风险评估的过程需要形成相关的文件及记录，文档管理考虑以下控制:1. 文件发布前得到批准，以确保文件是充分的；2. 必要时对文件进行评审、更新并再次批准；3. 确保文件的更改和现行修订状态得到识别；4. 确保在使用时，可获得有关版本的适用文件；5. 确保文件保持清晰、易于识别；6. 确保外来文件得到识别；7. 确保文件的分发得到适当的控制；8. 防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些 文件进行适当的标识。对于风险评估过程