信息安全风险评估内容与实施流程

信息安全风险评估内容与实施流程安全评估是信息安全风险管理的必要手段，只有有效评估了系统面临的安全风险，才能充分掌握信息系统安全状态，才能确定安全防护的重点与要点，并有针对性地采取控制措施，使信息安全风险处于可控制的范围内。安全评估适用于XXXX公司信息系统全生命周期，为信息系统的安全建设、稳定运行和改造提供重要依据，并且是信息系统安全等级确定过程中不可或缺的技术手段。为了规范安全评估工作，XXXX公司2004年颁布了《XXXX公司信息安全风险评估规范（试行）》（以下简称《评估规范》）。为配合《评估规范》的落实，XXXX公司组织XXXX公司内外的专业机构，参照国家和国际相关标准与规范，在总结XXXX公司以往安全评估实践的基础上，编制本指南以有效指导、规范与帮助XXXX公司进行安全评估工作。信息系统的评估流程参照国内外的电力行业标准、规范制定，包括项目实施流程和现场工作流程两部分。项目实施流程是一次评估工作整体的框架结构，现场工作流程是评估的核心部分。评估内容XXXX公司信息系统安全评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估。资产评估资产评估是确定资产在信息安全属性（机密性、完整性、可用性等）缺失时，对信息系统造成的影响的过程。在实际的评估中，资产评估包含信息资产识别、资产赋值等内容。资产识别资产识别是对信息资产分类、标记的过程。在确定评估抽样范围后，需要对抽样资产进行识别。资产识别是为了了解资产状况、确定资产价值而进行的风险管理的准备工作。在一个信息系统中，资产的形式和内容各不相同，将资产进行分类，按照资产类型进行具体的评估是评估的基本方法之一。参照《信息安全管理实施细则》（即ISO/IECTR17799）对信息资产的描述和定义，将行业企业信息资产按照下面的方法分类：表4.1信息资产分类表类别解释信息以物理或电子的方式记录的数据，或者用于完成组织任务的知识产权。信息资产本质上是无形的，与系统资产紧密联系。系统存储、处理和传输驱动组织的关键信息。因此，当组织建立策略和计划以保护系统资产时，同时也保护了组织的关键信息，及其软硬件资产。软件软件应用程序和服务、如操作系统、数据库应用程序、网络软件、办公应用程序、客户应用程序等，用于处理、存储和传输信息。硬件信息技术的物理设备，例如工作站、服务器等。通常强调单独考虑这些物理设备的替代价值。人员指组织中拥有独特技能、知识和经验的，他人难以替代的人。当人被标识为资产时，要确定是否还有更适于标识的相关资产。例如，标识他们使用、维护、管理的关键系统，或者他们为其他使用者提供的信息。系统处理和存储信息的信息系统，代表一组信息、软件和硬件资产。系统是一个整体出发，其任一组件都无法代表其整体，因此，对系统的评估需要完整的考虑系统的各个部分，并进行综合考虑。资产识别是评估的入口点。对评估范围内的资产进行分类识别，是进行系统的和结构化风险分析的基础。按照信息资产分类将信息资产归类、并根据资产的分类情况充分了解评估范围内资产安全状态是资产识别的主要内容之一。此外，资产总是分布于不同的业务系统中，是业务系统的组成部分，相同的资产在不同的业务系统中会表现出不同的安全属性，因此，资产的识别过程需要将资产按照所属业务系统的情况进行标记，并根据业务系统总体的安全属性来调整对资产评估。资产安全要求识别根据资产组成确定各部分的安全性要求。流程如下：图4-1资产安全要求识别流程资产赋值综合考虑了资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、位置及其影响范围等因素估定信息资产价值。评估中，对不同类型资产考虑其机密性、完整性和可用性安全要求，通过对资产的安全要求的判定，确定其重要程度。资产价值的确定可以为合理配置保护资源，减少保护成本，以及采用分等级的保护措施提供有力的支持。对不同类型资产考虑的安全属性的定义如下：系统表4.2系统安全属性说明资产属性说明机密性未经授权不能使用、浏览、查看系统上的信息完整性系统上的信息只能由获得授权的人进行修改、删除等操作可用性在任何需要的时候，系统中的信息都必须是可用的信息表4.3信息资产安全属性说明资产属性说明机密性未经授权不能使用、浏览、查看信息完整性信息只能由获得授权的人进行修改、删除等操作可用性在任何需要的时候，信息都必须是可用的软件表4.4软件资产安全属性说明资产属性说明机密性未经授权不能使用软件完整性只有经过授权才能对软件进行修改、删除等操作可用性在需要的时候，软件必须是可用的硬件表4.5硬件资产安全属性说明资产属性说明完整性指硬件的完整性，不被毁坏或盗窃，不被非授权更改配置可用性在需要时，获得授权的客体和主体可以使用、访问硬件人员表4.6人员安全属性说明资产属性说明可用性在需要时，人员能够凭借其掌握的技能提供网络与系统的管理、运维服务资产赋值是对资产在机密性、完整性和可用性三个属性上的保持程度的要求进行评定的过程，对资产各属性赋值按如下规定进行：资产机密性赋值表4.7资产机密性赋值赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1可忽略可对社会公开的信息，公用的信息处理设备和系统资源等资产完整性赋值表4.8资产完整性赋值赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略资产可用性赋值表4.9资产可用性赋值赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断；4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟；3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30分钟；2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟；1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%；解释：资产的赋值是评估中由定性化判断到定量化赋值的关键环节。具体的评估中，也可根据具体情况采用3级或更多级别的赋值规定，规定中必须对每一级别进行明确的定义、各级别间应当有显著的差异。威胁评估威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。威胁评估中的主要工作包括两个方面，一是要根据特定资产运行环境来确定其所面临的威胁来源，另一方面要确定这些威胁的严重程度和发生的频率。每个资产由于所处的环境不同，面临的威胁也不尽相同，因此对评估范围内的资产需要根据资产评估的分类结果，进行单独的或整体的威胁评估。实际的评估过程中，可按照网络和物理环境、以及资产的保护等级将资产划分为若干部分，对这几部分进行统一的威胁判断。威胁识别威胁识别过程包括了威胁统计和威胁资产关联两个过程。威胁统计采用了威胁列表、日志信息审计、历史事件调查等手段统计信息系统面临的最大威胁集合；威胁资产关联是根据资产的物理、网络和人员等环境从威胁统计结果中提取具体资产面临的主要威胁列表的过程。威胁赋值威胁评估的重要内容是对威胁进行赋值，为风险分析提供确定的等级数据，确保风险分析结果的科学性。威胁按照其对安全属性的影响分为涉及机密性的威胁、涉及可用性的威胁和涉及完整性的威胁，分别进行赋值。威胁的赋值需要综合考虑威胁发生的可能性和威胁产生后的严重程度。评估中，对威胁的两个属性按照如下定义进行赋值：威胁可能性表4.10威胁可能性赋值表标识赋值解释大5威胁发生几乎不可避免较大4威胁发生可能性很大中3威胁有可能发生较低2威胁发生的可能性很小低1威胁发生可能性很低威胁严重程度表4.11威胁严重程度赋值表标识赋值解释大5威胁后果所产生的负面影响无法容忍，难以接受较大4威胁后果所产生的负面影响很严重，损失难以弥补中3威胁后果所产生的负面影响较大，但损失可以弥补较低2威胁后果所产生的负面影响可以容忍，损失较容易弥补低1威胁后果产生不了什么负面影响解释：威胁赋值的过程是一个交流、观察与调查的过程。有充分经验的评估人员和待评系统管理人员的积极配合是准确进行威胁赋值的关键条件。同时，威胁赋值规定同资产赋值规定相同，可以采取3级和更多级别的赋值方法，但在一次评估中，资产、威胁、脆弱性赋值的级别数量应一致。脆弱性评估脆弱性评估包括脆弱性识别和赋值两个步骤，是对信息系统中存在的可被威胁利用的缺陷的发现与分析的过程。现场阶段的大部分工作内容是围绕脆弱性评估开展的。脆弱性识别脆弱性的识别以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产或资产组（系统）的脆弱性。在电力系统深度防护体系中，按照信息系统的运作方式，将与信息系统的安全性相关的内容划分成技术、运维和管理三个方面（见下图）。对信息系统脆弱性的识别从这三个方面出发，进行综合的考察，并确定其相互作用程度。图4-2技术、运维和管理相关情况解释：技术方面的脆弱性识别主要采用工具扫描和人工审计的方式进行，运维和管理缺陷主要通过访谈和调查问卷来发现。此外，对以往的安全事件的统计和分析也是确定脆弱性的主要方法。脆弱性识别的内容根据评估选择的策略（见《评估规范》中的定义）或和目的的不同进行调整，具体的内容可参照相应的技术或管理标准，以及评估发起方的要求实施。下表中是根据《深度防护体系》中的要求整理出的一种脆弱性识别内容的参考：表4.12脆弱性识别内容防护对象技术漏洞运维缺陷管理缺陷基础通信设施网络结构配置记录管理目标网络设备变更记录安全策略网管措施安全策略执行证据人员技能人员安排、职责安全意识安全域边界设施边界设备配置记录管理目标访问控制机制变更记录安全策略设备部署情况安全策略执行证据人员技能人员安排、职责安全意识内部业务运行环境业务系统安全机制配置记录管理目标业务局域网络环境变更记录安全策略主机安全安全策略执行证据人员技能通用应用配置人员安排、职责安全意识安全防护措施基础性安全管理资产管理配置记录管理目标工程项目审核变更记录安全策略评估机制安全策略执行证据人员技能应急机制人员安排、职责物理环境安全机制组织机构设置安全策略体系脆弱性赋值脆弱性赋值包含严重程度和对系统安全属性的影响两部分内容，即确定脆弱性对信息资产的暴露程度（包括被威胁利用的可能性和难易程度），和脆弱性对安全属性的哪方面产生了破坏。此外，技术、运维和管理三方面之间存在相互的影响，脆弱性赋值过程中还需要根据信息资产的特性，确定其技术、运维和管理脆弱性间的相互影响程度，从而为解决系统安全问题提供合理、科学的手段提供数据基础。下表是脆弱性赋值表：表4.13脆弱性赋值表标识等级定义很高5如果被威胁利用，将对资产造成完全损害高4如果被威胁利用，将对资产造成重大损害中3如果被威胁利用，将对资产造成一般损害低2如果被威胁利用，将对资产造成较小损害很低1如果被威胁利用，将对资产造成的损害可以忽略威胁和脆弱性是相互关联的，一方面，脆弱性不被威胁利用就不会产生风险；另一方面，严重的脆弱性会引起威胁源的注意，进而产生风险。由于威胁相对于脆弱性具有主动性（威胁利用脆弱性），所以在脆弱性赋值过程中需要对相关的威胁因素进行考虑。技术、运维和管理三方面脆弱性的相互影响和关联程度的量化定义如下：表4.14技术、运维和管理相关性量化表标识赋值解释大1两类脆弱性相互影响很大，修正A类缺陷将直接使B类缺陷消失较大1.5两类脆弱性相互影响较大，修正A类的缺陷将大量减少B类缺陷的数量中2两类脆弱性有一定的相互影响，长远来说，修正A类的缺陷将明显减少B类缺陷的数量较弱2.5两类脆弱性相互影响较小，修正A类的缺陷能少量减少B类缺陷的数量弱3两类脆弱性相互影响很小，修正A类的缺陷几乎不会减少B类缺陷的数量技术、运维和管理相关性从一定程度上可以反映出企业信息安全管理的理念，对建立有效的安全保障机制有较大的促进作用。现有安全措施评估通过对系统中现有的安全措施的评估可判别出已部署的和已经规划的安全防护措施是否合理，以及这些安全措施的使用是否达到了部署的目的，能否真实地降低了系统的脆弱性，抵御了威胁。对现有安全措施的评估主要包括三个方面：评估安全措施的部署、使用和管理情况（可在脆弱性评估中进行）；确定这些措施所保护的资产范围；评估这些防护措施对系统面临风险的消除程度。对现有安全措施进行列表，并审核它们的执行和使用状况是现有安全措施评估采用的主要方法。实施流程信息安全风险评估实施流程分为四个阶段，分别是：启动准备阶段、现场阶段、风险分析阶段和安全建议。在评估实施完毕后，需要根据评估结论进行安全整改。下面是实施流程图和说明：图4-3信息安全风险评估实施流程准备阶段评估工作的前期准备和交流，包括：确定评估的范围、制定评估方案和工作计划、进行人员