风险评估方案

风险评估方案目录TOC\o"1-5"\h\z\o"CurrentDocument"一、任务描述 3\o"CurrentDocument"二、检测原则 3\o"CurrentDocument"三、检测依据 3\o"CurrentDocument"四、评估范围 4\o"CurrentDocument"五、评估内容 4\o"CurrentDocument"六、项目组成员 5\o"CurrentDocument"七、评估计划安排 5\o"CurrentDocument"八、评估工具 5\o"CurrentDocument"九、评估过程 7信息安全风险评估 7\o"CurrentDocument"十、评估方法 10\o"CurrentDocument"远程安全评估 10本地安全评估 11\o"CurrentDocument"十一、风险评价原则 18\o"CurrentDocument"十二、风险评估模型 25\o"CurrentDocument"十三、风险分析与计算方法 31、任务描述受公司委托，科技有限公司从2019年对医疗系统开展了安全防护检测工作。本次安全防护检测涉及的设备资产包括11台服务器、1台防火墙、1台交换机、1台IPS。本次检测工作主要采用人员访谈、资料查阅、技术检测等方法，检测范围涉及网络架构、网络设备、安全配置、安全防护设施、业务系统、操作系统和其他相关系统等。二、 检测原则为保障现场检测工作能够顺利有效开展，现场检测过程将严格遵循以下工作原则：标准化原则。严格遵守国家和行业的相关法律法规、标准，并参考国际的标准来实施。规范性原则。根据本项目工作方案，在实施过程中对人员、质量、时间进度进行严格管控。整体性原则。包括测试内容完整性、测试流程整体性和完整性。保密性原则。在进行信息安全测试过程中，严格遵守保密原则，确保所涉及到的任何用户保密信息，不会泄露给第三方单位和个人。交互性原则。在进行信息安全测试过程中，保持与被检测单位相关负责人进行沟通交流，共同挖掘系统存在的安全漏洞和管理漏洞，从而保证项目执行的效果并提高被检测单位的安全技能和安全意识。最小影响原则。将从项目管理和技术应用的层面，与被检测单位进行充分沟通，考虑测试对目标系统的正常运行可能产生的不利影响，将风险降到最低，在不影响目标系统正常运行的情况下同时保证项目实施的有效性。三、 检测依据（1） 《通信网络安全防护管理办法》（工业和信息化部第11号令）（2） 《信息安全技术信息安全风险评估规范》（3） 《信息安全技术信息安全风险评估实施指南》（4） 《电信网和互联网安全防护管理指南》（5） 《电信网和互联网安全服务实施要求》（6） 《电信网和互联网安全风险评估实施指南》（7） 《电信网和互联网灾难备份及恢复实施指南》（8） 《电信网和互联网物理环境安全等级保护要求》（9） 《电信网和互联网物理环境安全等级保护检测要求》（10） 《电信网和互联物理安全等级保护要求》（11） 《电信网和互联物理安全等级保护检测要求》（12） 《电信网和互联网安全等级保护实施指南》（13） 《电信网和互联网信息服务业务系统安全防护要求》（14） 《电信网和互联网信息服务业务系统安全防护检测要求》（15） 《电信网和互联网安全防护基线配置要求及检测要求网络设备》（16） 《电信网和互联网安全防护基线配置要求及检测要求安全设备》（17） 《电信网和互联网安全防护基线配置要求及检测要求操作系统》（18） 《电信网和互联网安全防护基线配置要求及检测要求数据库》（19） 《电信网和互联网安全防护基线配置要求及检测要求中间件》（20） 《电信网和互联网安全防护基线配置要求及检测要求web应用系统》四、评估范围本次安全防护检测的对象是智慧医疗系统，具体包括网络设备、安全防护设备、服务器、终端设备以及相关业务系统等。该系统由计算机及其相关的配套设备、设施构成，系统位于电信IDC机房内，信息系统的网络边界由防火墙设备管理整个系统出口安全，出口防火墙型号NGFW4000-UF-TG-5238,IBMX3850X6X3650M4服务器负责系统运行与数据库管理，华为S5700-24TP-SI-AC负责业务交换，操作系统版本WIN2008SERVER该系统提供目录服务。五、评估内容本次安全防护检测主要从网络架构分析入手,全面分析查找淮南智慧医疗系统现网配置的不安全因素（包括物理环境、安全配置、系统安全措施、网络接入、业务系统等）。查验系统是否存在中高危安全漏洞、弱口令，以及可能导致用户信息泄露、重要设备受控、业务中断、网络中断等重大网络安全事件的隐患；以求及时排除安全隐患，保障网络安全畅通。六、项目组成员姓名职务职责王军组长总体协调、检查进度组员渗透测试组员漏洞扫描组长人员访谈七、评估计划安排＞阶段步骤/信息收集：对渗透测试的目标网络环境进行网络构架分析，工程师需要向乙方讲解渗透测试目标的网络结构。对渗透测试目标及网络架构进行信息收集；/端口扫描：对渗透测试目标主机或域名进行端口扫描，判断操作系统类型以及每个端口的服务类型；/漏洞扫描：针对渗透目标进行有针对性的漏洞扫描，主要针对以下三个方面:系统方面、信息系统应用方面、数据库及其它应用方面等。/应用分析：对信息系统服务器进行安全扫描，对扫描器扫描出来的结果按风险风险可测试每一个风险漏洞，重点对高、中等风险级别的安全漏洞进行验证测试；/漏洞验证：对扫描发现的安全漏洞进行验证，验证各安全漏洞是否可以利用;/获取权限：获取主机系统或应用系统的权限，对获取权限的结果进行记录；/提升权限：通过已获取基本权限修改系统配置信息后，进一步提升信息系统管理权限；/控制系统：提升权限后，具备对主机系统或数据库系统进行控制，与用户进行结果确认；/渗透收尾：对渗透结果及过程进行记录保存；退出目标应用系统的控制；/生成记录：执行渗透测试后，同时完成《渗透测试实施记录》，实施记录为在渗透测试过程中发现的安全隐患记录结果保存；/问题讨论：对渗透测试过程中发现的问题对进行讲解，确定渗透测试的准确性及有效性。/实施报告编写：对检测实施记录进行分析整理，提高报告的准确性及可读性,同时提供问题针对性的安全解决措施；/实施结果汇报：向提交检测结果报告同时，可以详细为讲解检测过程及结果,对每个安全问题提出解决建议或整改措施；/项目实施验收：提交检测成果《信息系统风险评估报告》及项目验收报告；经双方对项目过程及成果达成一致认可，同意对项目进行验收，向方提交所有最终成果，签署验收文档，完成子项工作验收。八、评估工具工具名称检测工具介绍特点资源占用nessus目前世界上公认最为全面的漏洞扫描工具插件更新快，可及进发现最新漏洞，扫描全面，但速度较慢带宽：〈70KBpsCPU：〈2%wvs针对WEB应用的专业漏洞扫描工具速度快、可全面发现SQL注入、XSS跨站及其它WEB代码编写问题及弱项带宽：<120KBpsCPU：<5%hscan基础服务快速扫描工具可针对设备开启的基本服务进行快速全面的扫描带宽：〈90KBpsCPU：<5%wlanscan针对局域网的扫描工具可快速发现同一网段内的简单的数据安全问题带宽：〈lOOKBpsCPU：<3%nmap端口扫描工具可根据需要定义多种扫描方式，可逃避IDS侦测带宽：〈lOKBpsCPU：<1%cain内网ARP利用工具ARP欺骗，多种密码截获，中间人攻击等带宽：〈120KBpsCPU：<5%PangolinSQL注入工具支持mssql,mysql,oracle等数据库，可进行get,post,cookie等多种注入带宽：〈90KBpsCPU：<5%

nc网络侦听工具灵活的网络侦听，可上传，下载，执行命令等带宽：〈lOOKBpsCPU：〈5%lex端口转发工具可针对防火墙等进行端口转发，以逃避安全拦截带宽：〈lOKBpsCPU：<1%sqlmapSQL注入工具支持各类注入攻击，可过WAF等WEB应用防火墙设备带宽：<120KBpsCPU：<5%burpsuitWEB应用代理工具可对WEB数据传输进行代理、分析、修改，协助WEB攻击带宽：〈90KBpsCPU：<5%metasploit综合的渗透测试工具可进行漏洞利用，加载攻击载荷等多种攻击，是较为全面的渗透测试平台带宽：〈lOOKBpsCPU：<5%九、评估过程信息安全风险评估此次风险评估主要是通过工具检查和人工检查相结合的方式识别将被评估信息系统的薄弱环节和安全隐患，分析信息系统可能面临的安全风险，为制定信息安全解决方案提供依据。

风险评估流程风险评估准备阶段本阶段是开展现场安全风险评估工作的前提和基础，是整个安全评估过程有效性的保证。评估准备工作是否充分直接关系到现场评估工作能否顺利开展。本阶段的主要工作是了解系统的总体情况，为实施现场安全评估做好文档及测试工具等几个方面的准备。评估准备阶段主要完成启动评估项目，组建评估项目组；通过收集和分析被评估系统相关资料信息，掌握系统的大体情况；并通过编制评估方案以及准备安全评估工具和文档等任务，为顺利实施现场评估工作打下良好基础。风险评估工作启动此次风险评估工作启动过程主要是组建评估工作组，从资料、人员、计划安排等方面为整个评估工作的开展做好准备。首先与甲方单位签署《保密协议》，之后了解被评估信息系统的主要业务、范围、规模、安全保护等级等情况，明确双方的责任和义务等。然后，根据具体的工作期限和技术能力等要求，组建安全评估工作项目组，从人员方面做好准备，正式启动安全风险评估工作。信息收集和分析系统调研是确定政府信息系统被评估对象的过程，安全评估小组需进行充分的系统调研调研内容至少应包括：主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接；系统边界；主要的硬件、软件；数据和信息；系统和数据的敏感性；支持和使用系统的人员。安全风险识别阶段风险识别阶段是开展评估工作的关键阶段。本阶段的主要工作是依据国家标准，按照此次项目的总体要求，分步实施评估工作，包括资产识别与评估、威胁识别、脆弱性识别和已有安全措施识别四个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。风险识别阶段的主要活动包括：资源协调、现场评估和结果记录、结果确认和资料归还。资产识别威胁识别脆弱性识别已有安全措施识别现场评估和结果记录■结果确认和资料归还十、评估方法远程安全评估远程安全测试，将采取两种技术手段：工具扫描测试，人工渗透测试。工具扫描测试根据业主的系统现状，主要业务系统采用B/S架构，此次项目中我们将选用国内先进的WEB漏洞扫描工具。深度扫描：以web漏洞风险为导向，通过对web应用（包括WEB2.0、JAVAScript、FLASH等）进行深度遍历,以安全风险管理为基础，支持各类web应用程序的扫描。WEB漏洞检测：提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等）。网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审计，如弱口令、弱配置等。•智能测试：通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。工具测试准备远程工具测试环境由测试方负责搭建，测试工具软件由测试方提供。业主方需准备：确认扫描测试时段；提供正确的外部网络地址（IP）与域名；正式的扫描测试授权。人工渗透测试测试内容我们将配备经验丰富的信息安全工程师模拟恶意黑客的攻击方法，通过外部网络来评估计算机网络系统安全。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。测试准备渗透测试开始前需与业主方商议并确认渗透测试的实施时间段，渗透测试的深度等细节测试方需要获得业主方书面授权。业主方需确实渗透测试的时间段，并书面授权测试方进行测试。为保证渗透测试的效果与深度，必要情况下需要业主提供应用系统的具备一般权限的帐户信息。本地安全评估评估方法本地安全评估指的是对目标系统进行现场的安全风险分析和评估。本地安全评估实施手段为调查问卷、人员访谈、工具扫描测试与人工上机验证测试。评估内容1.安全技术评估安全技术方面的安全检查主要针对物理安全、网络安全、主机安全，应用安全和数据安全及备份恢复五个方面的安全技术进行安全检查。物理安全检查项检查实施手段物理位置的选择访谈物理安全负责人，询问机房场地是否符合选址要求。物理访问控制访谈物理安全负责人，询问机房是否部署访问控制系统，系统是否处于运行状态，是否专人值守，访问记录是否保管妥当防盗窃和防破坏访谈物理安全负责人，采取了哪些防止设备、介质等丢失的保护措施，

主要设备与介质是否进行标识记录防雷击访谈物理安全负责人，询问为防止雷击事件采取了哪些防护措施，机房建筑是否设置了避雷装置，现场勘查使用情况防火访谈物理安全负责人，询问机房是否设置了灭火设备，是否设置了自动检测火情、自动报警、自动灭火的自动消防系统，检查防火材料是否符合相关技术标准防水和防潮访谈物理安全负责人，询问机房是否部署了防水防潮措施，检查相关设施使用情况防静电应访谈物理安全负责人，询问机房主要设备是否采取必要的防静电措施，现场检查防静电设施使用情况温湿度控制应访谈物理安全负责人，询问机房是否配备了温湿度自动调节设施，检查设备是否正常运转，查看运行记录电力供应访谈物理安全负责人，询问计算机系统供电线路上是否设置了稳压器和过电压防护设备；是否设置了短期备用电源设备，供电时间是否满足系统最低电力供应需求是否建立备用供电系统电磁防护访谈物理安全负责人，询问是否有防止外界电磁干扰和设备寄生耦合干扰的措施（包括设备外壳有良好的接地，电源线和通信线缆隔离等）；是否对处理秘密级信息的设备和磁介质采取了防止电磁泄漏的措施网络安全检查项检查实施手段结构安全访谈网络管理员网络设备性能，流量峰值，网络划分，网段间路由策略与隔离措施等，检查结构保护策略的实施情况访问控制访谈安全管理员，访问控制策略，检查网络访问控制设备使用与配置情况，此项会有详细的网络边界检查，访问权限划分与访问控制粒度检查安全审计访谈安全申计员，对申计记录的处理方式有哪些；检查申计设备使用情况与审计粒度边界完整性检查访谈安全管理员，询问是否对内部用户私自连接到外部网络的行为以及非授权设备私自接入到内部网络的行为进行监控，检查设备使用情况，检测网络边界完整性。

入侵防范访谈安全管理员，询问网络入侵防范措施有哪些，检查入侵防范设备具体功能，规则库，检测策略，报警策略恶意代码防范访谈安全管理员，询问网络恶意代码防范措施是什么；询问恶意代码库的更新策略，检查各系统，网络边界处的恶意代码防范设备运行情况网络设备防护访谈网络管理员，询问网络设备的口令策略，检查网络设备的登录鉴别方式与权限划分主机安全检査项检査实施手段身份鉴别访谈系统管理员和数据库管理员，询问操作系统和数据库管理系统的身份标识与鉴别机制采取何种措施实现，现场检查权限划分，帐号分配和密码策略访问控制检查主要服务器操作系统的访问控制策略，访问权限，是否采用最小授权原则安全审计访谈安全审计员，询问主机操作系统，数据库系统等终端安全审计朿略，检查申计系统运行状态和申计记录是否付合安全申计朿略剩余信息保护检查主要操作系统和主要数据库管理系统是否明确用户的鉴别信息存储空间被释放或再分配给其他用户前的处理方法和过程；是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程入侵防范访谈系统管理员，询问是否采取入侵防范措施，检查防范系统运行情况，检查主要系统的补丁更新恶意代码防范访谈系统安全管理员，询问主机系统是否采取恶意代码实时检测与查杀措施，部署范围，运行情况，规则库更新情况资源控制检查主要服务器操作系统，查看是否配置了主机资源使用控制策略。检查运行资源消耗状态应用安全检査项检査实施手段身份鉴别访谈应用系统管理员，询问应用系统是否采取身份标识和鉴别措施，具体措施有哪些；系统采取何种措施防止身份鉴别信息被冒用检查主要应用系统的身份鉴别力度与过程。访问控制访谈应用系统管理员，询问应用系统是否提供访问控制措施，检查访问控制策略与控制粒度。安全审计访谈安全审计员，询问应用系统是否有安全审计功能，对事件进行审计的策略是什么，检查审计记录，查看审计覆盖范围。

剩余信息保护访谈应用系统管理员，询问系统是否采取措施保证对存储介质中的残余信息进行删除，检查测试清除功能。通信完整性访谈安全管理员，询问应用系统是否具有在数据传输过程中保护其完整性的措施，具体措施是什么；检查是否采用密码加密技术。通信保密性访谈安全管理员，询问应用系统数据在通信过程中是否米取保密措施，具体措施有哪些，检查系统在通信过程中，对整个报文或会话过程进行加密的功能是否有效。抗抵赖应访谈安全员，询问系统是否具有抗抵赖的措施，具体措施有哪些；查看是否提供数据收发证据的功能。软件容错访谈应用系统管理员，询问应用系统是否具有保证软件容错能力的措施，具体措施有哪些；通过人机接口检查是否检查数据有效性，是否提供故障恢复功能。资源控制访谈应用系统管理员，询问应用系统是否有资源控制具体措施，检查资源控制水平与控制粒度数据备份与恢复检查项检查实施手段数据完整性访谈安全管理员，询问应用系统数据在存储和传输过程中是否有完整性保证措施，检查具体措施和保护措施的有效性数据保密性访谈网络管理员，系统管理员，安全管理员，数据库管理员，询问主要网络设备，终端及主机，安全设备，是否采用了加密技术保证传输和存储数据的机密性，检查其加密措施的有效性。备份和恢复访谈网络管理员，数据库管理员、系统管理员和安全管理员，是否制定备份策略，检查主要设备的关键数据的备份情况，备份频率与完整性。2.安全管理评估安全管理方面的检查主要针对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面的安全管理内容进行安全评估。安全管理制度

检査项检査实施手段管理制度访谈安全主管，询问机构是否形成全面的信息安全管理制度体系，检查管理制度的安全方针，策略，制度内容，相关操作规程与维护手册，检查其覆盖范围。制定和发布访谈安全主管，询问是否有专门的部门或人员负责制定安全管理制度，检查其评审发布过程，格式统一与版本控制。检查相关文档是否经管理层授权与签章。评审和修订访谈安全主管，管理制度的制定，评审与检查是否是动态的，检查制度评审周期。安全管理机构检査项检査实施手段岗位设置访谈安全主管，询问是否设立指导和管理信息安全的专职部门，检查其安全管理部门的主管人员是否得到管理层授权，其职责划分是否明确清晰。人员配备访谈安全主管，询问各个安全管理岗位人员的配备情况，检查关键岗位人员是否是专职，特别重要的岗位是否达到2人或以上共同管理。授权和审批访谈安全主管，检查审批人员，部门职责，审批周期，审批职能是否得到管理层授权，审批与授权文件是否有签章。沟通和合作访谈安全主管，询问是否建立与外单位（公安机关、电信公司、兄弟单位、供应商、业界专家、专业的安全公司、安全组织等）的沟通、合作机制。检查其会议记录，合作协议等。审核和检查访谈安全主管，询问是否组织人员定期对信息系统进行全面安全检查，检查其检查周期，内容，方式，人员。人员安全管理检査项检査实施手段人员录用访谈安全主管，询问是否有专门的部门或人员负责人员的录用工作，检查其人事录用文档，人事入职材料，技能考核方案，以及相关岗位的保密协议。

人员离岗访谈安全主管，询问对即将离岗人员有哪些控制方法，检查调岗离岗记录，交接手续，软硬件变更清单。人员考核访谈安全主管，询问是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核，查看考核内容与考核周期。安全意识教育和培训访谈安全主管，询问是否制定培训计划，检查培训内容，培训计划文档，是否制定惩戒措施。外部人员访问管理访谈安全管理员，询问对外部人员访问重要区域采取了哪些安全措施，检查访问记录，访问申请审批文档。系统建设管理检査项检査实施手段系统定级应访谈安全主管，询问确定信息系统安全保护等级的方法是否参照定级指南的指导，定级过程是否有书面扌田述，查看定级备案文档，检查专家论证文档，查看是否有专家对定级结果的论证意见。安全方案设计访谈安全主管，询问是否授权专门的部门对信息系统的安全建设进行总体规划，检查其建设方案是否符合总体安全策略，是否获得管理层批准。产品采购和使用访谈安全主管，询问是否有专门的部门负责产品的米购，检查其米购清单审核记录，密码产品是否符合国家密码相关使用和管理规定。自行软件开发访谈系统建设负责人，询问是否进行自主开发软件，检查其开发文档，测试记录，操作指南，检查其安全编码规范。外包软件开发应访谈系统建设负责人，询问软件交付前是否依据开发要求的技术指标对软件功能和性能等进行验收测试，软件安装之前是否检测软件中的恶意代码。检查其需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南工程实施应访谈系统建设负责人，询问是否有专门部门或人员负责工程实施管理工作，检查其阶段性工程文档。测试验收访谈系统建设负责人，询问是否有专门的部门负责测试验收工作，检查验收过程文档，是否有第三方评审机构人员的签章。

系统父付访谈系统建设负责人，询问是否有专门的部门负责系统父接工作，检查父付文档，检查培训记录。系统备案访谈安全主管，询问是否有专门的部门或人员负责管理系统定级的相关文档，由何部门/何人负责；检查备案材料与主管部门备案文档。系统运维管理检查项检查实施手段环境管理访谈系统运维负责人，询问是否有专门的部门或人员对机房基础设施进行定期维护，检查维护记录，工单。资产管理访谈安全主管，询问是否有资产管理的责任人员或部门，检查资产清单与资产管理制度。介质管理应访谈资产管理员，询问介质的存放环境是否米取保护措施防止介质被盗、被毁、介质内存储信息被未授权修改以及非法泄漏等，是否有专人管理，检查定期检查记录，介质标识，使用记录。设备管理访谈资产管理员，询问是否有专门的部门或人员对各种设备、线路进行定期维护，对各类测试工具进行有效性检查，检查维护工单，日志记录，审批记录。监控管理和安全管理中心访谈系统运维负责人，询问是否建立安全管理中心，检查检测范围覆盖，检查检测记录，处理措施，分析报告。网络安全管理访谈安全主管，询问是否指定专人负责维护网络运行日志、监控记录和分析处理报警信息等网络安全管理工作，检查漏洞扫描周期，扫描记录，网络设备口令强度，更新周期，补丁更新状态，审计日^志。系统安全管理访谈安全主管，询问是否指定专人对系统进行管理，对系统管理员用户是否进行分类，明确各个角色的权限、责任和风险，权限设定是否遵循最小授权原则，检查漏洞扫描记录，扫描周期，漏洞处理记录，日志审计记录。恶意代码防范管理访谈系统运维负责人，询问是否对员工进行基本恶意代码防范意识教育，检查恶意代码库升级情况。密码管理应访谈安全管理员，询问密码技术和产品的使用是否遵照国家密码管理规定，检查是否具有密码使用管理制度。变更管理访谈系统运维负责人，询问是否制定变更方案指导系统执行变更，检查变更记录，变更审批记录。备份与恢复管理应访谈系统管理员、数据库管理员和网络管理员，询问是否识别出需要定期备份的业务信息，检查其备份范围，备份周期备份方式。安全事件处置访谈系统运维负责人，询问是否告知用户在发现安全弱点和可疑事件时应及时报告，检查安全事件记录，分析文档，处置文档，等级划分文档等。应急预案管理访谈系统运维负责人，询问是否制定不同事件的应急预案，资金来源是否能够保障，是否对系统相关人员进行应急预案培训，检查培训内容，是否定期进行应急演练，查看应急预案文档。一、风险评价原则评估工作必须在充分保证被评估系统的业务可持续性，数据机密性与完整性的前提下进行，不对被评估系统内任何主机，服务器，网络设备和信息安全设备在结构，承载的数据内容和配置上的任何未授权更改。（评估过程中系统自动生成的日志记录等除外）。风险描述与分析对于检查工作中可能会产生的风险被归结为以下三类：人工上机测试对系统正常运行的影响•工具扫描测试对系统正常运行的影响实施过程中敏感信息的泄漏人工上机测试对系统正常运行的影响人工上机测试主要是根据实施方案中要求的评估内容，对待测系统进行现场的检查测试，测试过程中前期主要采用访谈方式获取系统现状信息，之后结合访谈结果采用实地查看与人工上机测试进行符合性检查。具体信息系统资产映射到安全技术方面的检查中，主要表现为以下一些软硬件。主机与服务器网络与安全设备物理环境办公PC路由与父换设备访问控制配置管理终端调制解调设备防雷防静电应用服务器访问控制与隔离设备电磁防护设备数据库服务器入侵检测与防范温湿度控制系统漏洞扫描UPS设备主机与服务器人工上机测试中的风险与控制主机与服务机在进行人工上机测试中，对于WINDOWS与类UNIX操作系统采用不同的测试方式，如具有GUI界面的采用鼠标点击（个别需查看内容无GUI接口的需进入后台利用键盘输入查看命令）但在检查内容上，主要是进行如系统配置，安装程序列表，安全项配置等项目的查看性操作。例如进入程序列表查看是否安装防病毒查杀软件，软件是否运行，该软件的版本号与最后更新时间。系统配置方面例如，查看主机系统是否与各可能与之通信的网元设备间是否采用逻辑地址与物理地址绑定。以下例举一些检查过程中使用到的典型的查看方式：例：WINDOWS系统中SYSTEM_CMD下：ARP-A查看IP与MAC地址表是否为静态Netuser/localgroup查看用户列表与本地组图形界面下进入管理菜单查看帐户与组权限，进入注册表查看各帐户名下的SID值等。类UNIX系统中Shell下：（对于不同厂家与版本的类UNIX系统会存在命令格式的不同）：cd/ls/进各目录下查看已安装或编译进系统的各文件与权限vi/cat/mor/less查看文本文件（如软件配置文件文本）获取必要信息，如内核版本号等。对于命令行界面下的类UNIX系统中只执行查看命令，对于系统返回打印的信息采用外部人工记录。风险分析：对于主机及和服务器进行上机测试中，主要是进行一些系统信息的查看操作，对于不同类型的操作系统下查看命令都会消耗本地的运算与存储资源。我们大部分的命令都是内部命令，通过人机接口输入后，由操作系统内核直接处理，之后将返回结果呈现在显示设备上。此处我们将产生系统资源占用上升，系统性能下降等风险，直接表现在操作场景中，在自身系统负载较高的情况下，可能会导致主机直接死机或者假死，系统中的某个应用进程或者系统进程假死或异常终止，在系统性能冗余较大的情况下，此种负载的增加一般不会对系统持续性业务造成影响。风险控制：检查过程中查看内容均国家相关技术标准与实施规范合理制定，我司安全工程师均有丰富的政府行业信息系统风险评估经验，实际操作中严格按照相关要求中描述的各类型命令执行操作。为了控制此种风险，进行此类检查操作前，系统管理员应预先备份相关系统启动必须的配置文件，主机宕机或应用程序异常终止时及时恢复。根据主机硬件配置的不同，对于单点主机的重新启动与功能恢复在5分钟以内。（包含某些系统的应用支撑服务没有配置为自启动的）网络与安全设备人工上机测试中的风险与控制网络与安全设备进行人工验证性检查中，根据前期获取的网络拓扑与相关设备的功能描述进行人工验证检查，对于产品部署中已配置逻辑地址的网络与安全设备将采用远程管理终端进行远程查看，检查是否与前期访谈内容一致，是否满足相关检查指标的基本要求。例如对交换机进行特权模式下登录，查看交换机的相关配置信息，对防火墙远程使用安全管理员登录，查看防火前自身访问控制项，配置信息，与访问控制策略描述信息。对所有待测网络与安全设备的人工验证检测中均为信息查看操作，不采取任何功能配置上的任何未授权更改。下面例举一些主流设备的典型查看命令：例：思科网络设备SHOW系列命令showrunning-config;showiparp…华为网络设备DISPLAY系列命令displayaclconfigall；displayipsec…对于防火墙等安全设备的配置信息查看，采用远程登录方式，在图形界面进行各项检查。风险分析：在对于网络与安全设备的人工操作中，主要是通过执行一些配置查看命令以完成检查，因主流品牌的交换路由设备技术成熟，内置OS与专用芯片运算能力较高，在此类操作中极少出现因此造成的宕机或者终端服务。此过程中存在的风险主要来自于检查人员的误操作（误操作和意外触碰造成的不明断路或者虚接）。风险控制：在对网络与安全设备的人工检查中，因为主流网络设备的查询命令与配置命令语法区别明显，一般出现未授权配置更改的几率极低。在对网络与安全设备的人工检查过程中，由于设备持续运行长，或者架设后各物理接口长时间无更改或者维护，虚接现象普遍的存在，一定几率会出现触碰导致的意外中断。为了有效控制此类风险，避免网络设备出现通信中断或者未经授权的配置更改，网络管理员在检查工作开展前应该严格查看各线路与接口的接驳状态，对于由于虚接常常出现意外触碰导致中断的网络设备，应该及时在人工测试前更换接头或线缆。检查工作开展前，网络管理员与安全管理员应备份网络设备的所有配置文件，在检查过程中应实时陪同，以便在当检查人员出现误操作时及时纠正，或在未经授权的配置更改后及时恢复。对于可以配置远程IP进行远程查看的设备，尽可能使用远程终端进行检查操作。设备如遇恢复重启，意外停机重启，此过程根据具体网络与安全设备配置不同，一般启动恢复时间在5分钟以内。物理环境人工检查中的风险与控制在对物理环境进行人工验证性检查中，根据前期访谈获取的相关设备与部署描述信息进行人工验证检查，主要采用现场勘查方式进行检查。例如对于防火系统，门禁系统，接地设施，温湿度控制仪表，UPS设备的现场查看。技术方案中无对待测控制项的性能和功能上实验性测试内容。对于检查过程中获取的相关信息采用人工记录的方式。风险分析：在对物理环境的人工验证检查中，因为单一的现场勘查方式，所以实施过程中仅会出现未授权操作导致可用性暂时丧失，或临时中断。风险控制：为了对上述风险进行有效控制，现场勘查实施过程中，要求相关安全管理人员实时陪同，严禁实施人员对物理环境中承载的各项设施设备进行未授权的任何操作。工具测试对系统正常运行的影响风险评估过程中，风险识别阶段的输出结果是后期进行风险分析的主要依据，根据国内各机构与主管部门的实施指南中，也将通过工具扫描以识别系统脆弱性作为主要的一种技术手段。现有工具扫描主要通过内部和外部两种途径进行，内部扫描根据扫描范围大小一般为2小时内，外部扫描过程会持续5-20小时。实施扫描过程中会对系统正常运行造成影响，根据我司采用的扫描工具功能特点，具体会造成的影响的包括：访问控制设备路由交换设备主机与服务器访问控制设备工具测试中的风险与控制访问控制设备的安全风险，主要在外部工具测试过程中，外部测试使用的扫描器主要针对所有应用系统在公共网络地址上监听的服务。扫描器按照其功能主要有两类；对应用层数据进行基于安全特征库的安全扫描器与基与会话连接处理能力的性能压力测试。风险分析：在对应用系统进行外部扫描的过程中，因为所有数据包都将通过防火墙处理后送达内部服务器，所有防火墙在此段时间内的系统负载将增大。对于不同硬件架构的防火墙系统，其处理能力会有比较大的差异。根据防火墙自身安全策略的设置不同，反映在业务连续性上的表现也将不同。百兆防火墙设备，一般都采用X86硬件架构，软硬结合的系统结构，当扫描器只对系统的应用数据进行安全扫描时，对于防火墙处理能力要求不高，防火墙只会出现一段时间内负载提升，对与部署了安全管理中心的信息系统，管理中心会出现安全报警。当扫描器开启压力测试功能的情况下，扫描端将发送大量伪造的合法连接请求，如果防火墙开启了包状态检测功能，防火墙处理字段长度将增加，内存连接队列中将出现大量待维护连接oX86芯片在处理运算的过程中会出现内存与运算资源占用率大幅度提升，最终会导致防火墙中断服务应用系统外部服务中断。对于部署了防火墙双机热备的网络，中断防火墙会自动旁路，备用防火墙启动。当出现中断情况，根据防火墙硬件配置与部署方式重新启动一般在5-10分钟内完成。千兆防火墙设备，一般采用专用网络处理器和专用集成电路的硬件架构，理论上可以承受扫描器的应用扫描与性能压力测试。但根据防火墙具体功能设置与安全性设置，例如一些类型防火墙系统也加入了基于知名端口的应用层数据检测功能，对此应用层传输数据的深度检测会加大千兆防火墙的系统负载，可能会导致防火墙的中断，或自动旁路。当出现中断情况，根据防火墙硬件配置与部署方式重新启动一般在5分钟内完成。风险控制：对业务连续性要求较高的应用系统，外部扫描测试过程中，禁止使用带有压力性能测试功能的扫描器，在外部测试前，检查测试人员需获得组织管理层的书面许可。测试应在安排在应用系统访问量稀少，网络冗余较大的时间段内，测试只允许在组织批准的的时间段内系统管理员与安全管理员测试前备份访问控制设备的配置文件与安全策略。要求管理员在测试时段内实时监控设备性能，在出现或即将出现中断的情况下，实时与外部测试人员沟通停止或调整测试方式。出现因访问控制中断而导致的业务应用中断时，应由管理员及时恢复。路由交换设备工具测试中的风险与控制路由与交换设备的安全风险，主要是内部测试阶段。漏洞扫描器基于漏洞特征的扫描方式会对待测网络设备发起会话，由扫描器构造特殊数据包进行扫描，但此种扫描仅处于信息获取阶段，例如SNMP查询包，弱口令试探，网络设备自身系统的版本号与常见漏洞等。此类扫描过程中网络设备会面临处理性能下降方面的风险。风险分析：漏洞扫描工具对网络设备传输的数据都是极小的，并且此类数据扫描都是不具备特权权限的，不会造成未授权的配置更改。系统建设中也对于网络设备的选择上性能都会留有冗余。扫描过程中对网络设备的资源占用率极低。扫描中网络设备发生中断的几率极低。风险控制：扫描前网络管理员应备份配置数据，扫描过程中，要求网络管理员实时监测网络负载，网络中出现异常后，工程师及时停止扫描。出现网络中断情况管理员及时恢复，在配置无变更的前提下，现有主流的网络设备通过重新启动，一般会在五分钟内恢复。主机与服务器工具测试中的风险与控制由于外部工具测试主要针对对外提供服务的应用的服务器，例如邮件服务器，WEB应用系统，FTP服务器等，在外部工具测试时，由于会对服务端发起大量连接请求，应用系统性能冗余较低时，会面临突然服务器宕机，或者重要应用程序进程僵死的风险。风险分析：外部检测工具主要使用针对WEB应用的扫描工具,扫描主机会对WEB应用服务器的监听端口发起大量连接请求，并对域内所有URL进行轮询方式的深度扫描，此类扫描会造成服务器负载大幅提升，会使中间件处理进程僵死，表现在外部为无法访问或出现延迟。内部使用漏洞扫描工具扫描主要为收集待测系统的常见漏洞信息，其原理是根据漏洞特征库发起模拟渗透攻击，如IPC$空会话，portscan扫描，其构造的攻击包不具备破坏其可用性的功能。对系统负载增加极低。（但部署了入侵检测系统（IDS）的网络，IDS主机会报风险控制：外部扫描工具的强度是可以配置调整的，例如限制扫描线程数量。使用的检查扫描工具都为国内外先进产品，经过大量的评估工作实践。为了控制应用系统中断的安全风险，必须限制扫描工具强度，协调安排扫描时间，要求网络管理员与系统管理进行实时监控，对重要数据提前备份。对于特别重要的应用系统，要求集成商与外包厂家的工程师在现场参与实时监测。当遇到宕机，或中间件进程僵死系统无法访问时，应立即通知评测工程师停止扫描工作，由各管理员迅速重新启动主机或立即重新启动相关程序进程。根据应用系统部署情况不同，中断至恢复应保证在1小时候内。内部漏洞扫描工具扫描时，应暂时关闭IDS设备，避免在部署了安全管理平台的网络中,控制中心根据IDS上报的报警信息进行网络结构调整与访问限制。实施过程中敏感信息的泄漏风险分析：项目实施过程中，对于安全管理的评估占很大部分，其中大都为对于组织信息安全管理方针与策略相关文档的合规性检查。其中不可避免的涉及到如重要系统的帐户，口令，有机密性要求的应用数据等敏感信息。风险控制：单位信息系统主管部门在项目实施前，要求签订保密协议。系统管理员、网络管理员安全管理员对所有评测实施过程中用过的帐户口令做集中管理，项目实施结束后，集中修改口令与安全访问策略。十二、风险评估模型赋值方法机密性赋值方法：根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时影响。资产机密性赋值表赋值标识定义

赋值标识定义5很高指组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的影响4高是指包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等是指包含组织一般性秘密，其泄露会使组织的安全和利益受到损害2低指仅在组织内部或在组织某一部门内部公开，向外扩散有可能对组织的利益造成损害1很低对社会公开的信息，公用的信息处理设备和系统资源等信息资产完整性赋值方法：根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。资产完整性赋值表赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受，特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏会对评估体造成的影响可以忽略，对业务冲击可以忽略

可用性赋值方法：根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时的影响。资产可用性赋值表赋值标识定义5极咼可用性价值非常关键，合法使用者对信息系统及资源的可用度达到年度99%以上，一般不容许出现服务中断的情况，否则将对生产经营造成重大的影响或损失4高可用性价值较高，合法使用者对信息系统及资源的可用度达到工作时间95%以上，一般不容许出现服务中断的影响，否则对生产经营造成定的影响或损失3中等可用性价值中等，合法使用者对信息系统及资源的可用度在工作时间75%以上，容忍出现偶尔和较短时间的服务中断，且对企业造成的影响不大2低可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时间达到35%到75%1可忽略可用性价值或潜在影响可以忽略，完整性价值较低，合法使用者对资源的可用度在正常上班时间低于35%威胁识别威胁识别主要包括以下具体活动。威胁识别威胁是指可能对资产或组织造成损害事故的潜在原因。作为安全风险评估的重要因素威胁是一个客观存在的事物，无论对于多么安全的信息系统而言，它总是一定存在。威胁可能源于对系统直接或间接的攻击，例如：信息泄露、篡改、删除等，破坏了信息的机密性完整性或可用性。威胁可能源于意外的，或有预谋的事件。一般来说，威胁总是要利用系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照安全事件的性质可以分为人为错误、非授权蓄意行为、不可抗力、以及设施/设备错误等；按照威胁的主体可以分为系统合法用户、系统非法用户、系统组件和物理环境四种类型。威胁分类识别对上述实际发生过的和潜在的威胁进行分类。与资产分类的目的类似，对威胁进行分类可以简化后续分析、赋值和计算等活动的工作量。我们首先识别出各个信息系统需要保护的每一项关键资产的主要威胁，即根据资产所处的环境条件和资产以前遭受威胁损害的情况进行判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产有不同的表现形式，也就可能造成不同程度的影响。识别主要是找出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确定威胁的主体和客体。其次对每种威胁的属性（即威胁的严重程度和威胁发生的可能性）进行调查和分析，最终通过为各属性赋相对值的方式为其估价。本次评估项目中，确定威胁的属性是威胁评估的重要环节，本次评估将着重考虑以下列表中的安全威胁。威胁的主体包括：内部人为威胁、系统合法用户、系统非法用户、系统组件和物理环境。系统的安全威胁分析着重于重要资产进行威胁识别，分析其威胁来源和种类。构建威胁场景为了避免孤立的评价威胁导致风险分析／计算结果出现偏差，评估活动的主体就需要将各类威胁置于被评估组织的实际环境中进行分析，并且本着“具体问题，具体分析”的原则，理清“资产-威胁-脆弱性-已有安全控制措施”之间的内在联系，这样才能保证风险分析／计算结果的客观性。现模仿OCTAVE中提供的方法一一“构建威胁场景”实现。威胁场景实质上是：为每个关键资产或关键资产类别与其所面临的实际和潜在威胁建立对应关系。这样做可以获得以下两个方面的益处：首先，排除掉那些不可能存在的“关键资产-威胁”对，避免在后续的风险分析／计算活动中，浪费时间和人力；其次，威胁场景除了建立起关键资产与其面临威胁之间的对应关系外，还明确了威胁的来源、途径和结果，有助于后续风险分析阶段结合脆弱性和已有的安全控制措施进行影响和可能性分析。一旦威胁突破了已有的安全控制措施，利用了资产(或其相关资产)的脆弱性，就会对该资产安全的某个或某些安全属性造成破坏，从而导致以下不期望的结果发生：•泄露一—机密性(C)遭破坏，主要针对数据类的资产•篡改—完整性(I)遭破坏，主要针对数据类或软件类的资产•中断一一可用性遭破坏(A),主要指网络通讯和服务•损失或破坏一一可用性遭破坏(A),主要指数据、软件和物理形式的资产威胁赋值威胁的评估主要是对威胁的可能性的评估，两者取值均为相对等级1－5，5为最可能。威胁的可能性是考虑威胁发生的概率，比较难以判断，我们在评估威胁发生的可能性时主要考虑如下因素的影响：资产的吸引力资产转化成报酬的容易程度威胁的技术力量和成熟手段脆弱性被利用的难易程度其他综合因素各属性评估准则参照如下列表：威胁可能性赋值参考表等级标识威胁可能性定义5很高威胁发生的可能性很高，在大多数情况下几乎不可避免或者可以证实发生过的频率较咼4高威胁发生的可能性较咼，在大多数情况下很有可能会发生或者可以证实曾发生过3中等威胁发生的可能性中等，在某种情况下可能会发生但未被证实发生过2低威胁发生的可能性较小，一般不太可能发生，也没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生威胁可能性属性非常难以度量，它依赖于具体的资产、弱点。而影响也依赖于具体资产的价值、分类属性，并且这两个属性都和时间有关系，也就是说，具体的威胁评估结果会随着时间的变动而需要重新审核。在威胁评估过程中，用户与评估者的经验非常重要。脆弱性识别各类技术脆弱性的存在，势必会大大增加安全事件发生的可能性，从而加大信息系统整体的安全风险。因此，需要对信息系统中当前的脆弱性进行识别，脆弱性识别包括以下活动。脆弱性识别通过扫描工具或人工等不同方式，识别当前系统中存在的脆弱性。识别结果整理与展示在脆弱性识别阶段，将脆弱性识别结果以合理的方式展现给业主。脆弱性赋值某些具体的风险分析、计算方法，需要对脆弱性赋值，方能完成后续的风险计算活动。选用上述类型的风险分析、计算方法，应根据一定的赋值准则，对被识别的脆弱性进行赋值脆弱性赋值方法：脆弱性严重程度可以进行等级化处理，不同等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。下表是根据国家标准本次评估所采用的脆弱性严重程度的赋值方法：赋值标识定义5很高如果被威胁利用，将对资产或业务造成完全损害4高如果被威胁利用，将对资产或业务造成重大损害3中等如果被威胁利用，将对资产或业务造成一般损害2低如果被威胁利用，将对资产或业务造成较小损害1很低如果被威胁利用，对资产或业务造成的损害可以忽略结果确认及资料归还评估人员在现场实施完成之后，先对现场评估的核查记录进行汇总，查漏补缺，并对发现的问题进行现场确认，然后归还所有的资料文档，现场评估工作结束。十二、风险分析与计算方法在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。本次风险评估依据国标《信息安全技术信息安全风险评估规范》中给出的风险计算原理进行分析，如下面的范式形式：风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))。其中，R表示安全风险计算函数；A表示资产；T表示威胁；V