网络信息安全风险评估实施方法

网络信息安全风险评估实施方法

1评估准备

1.1第1步：成立评估工作组

在一个评估工作下达后，需要组织人员来实施评估工作的内容。评估工作组

通常包括如下两方面的人员：

评估人员：外部专业评估机构的人员，或由内部专业人员组成的评估队伍。

系统管理人员：待评系统的运维管理人员。

以上两部份人员形成一个完整的评估项目组，根据项目组成员的职能，项目

组包括如下角色：

表5.1评估工作组人员角色安排

角色职责评估人员系统管理人员

评估项目负责人负货总体协调、项目管理**

人工评估**

现场评估

工具检测**

工程师

人员访谈**

审计工程师数据分析、整理*

咨询顾问风险处置、方案建议女

文档工程师文档编制、维护*

1.2第2步：确定评估范围

评估范围界定是对待评系统资产的抽样。在成立了评估工作组后，评估范围

可通过评估组的工作会议进行确定。

确定的评估范围应能代表待评估系统的所有关键资产，包括：网络范围、主

机范围、应用系统范围、制度与管理范围。

评估范围确定后，待评系统管理人员需要根据选定的内容进行资料的准备工

作，包括：网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设

置说明等内容。本实施指南的附件《信息安全风险评估资料准备说明》中给出了

评估前需要准备的清单。

1.3第3步：评估动员会议

安全评估工作是一个挑毛病、找问题的过程，一般情况下带评估系统的管理

和运行维护人员都会有一定的抵触情绪，因此，需要通过评估动员让所有工作人

员明白评估的目的和意义,评估动员会议应由较高层的领导出席，井表明对评估

工作的支持态度。

评估动员会议要完成以下的议题：评估的时间和人员安排、评估工作中的风

险防范措施。

1.4第4步：信息系统调研

为了确保评估工作的全面性、提高评估工作的效率，在评估实施前，组织评

估工作组成员对确定的实施范围进行走访％通过前期快速的调研，评估工作组可

以基本掌握评估范围内信息系统和人员的实际情况，并与配合人员进行初步的沟

通，确定评估实施中必须具备的技术工具和手段，以及基本的时间安排和必要的

工作准备。

1.5第5步：评估工具准备

评估工作组根据收到H勺评估资料•，进行评估工具的准备，这包括威胁列表、

网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。

评估工具中大部份内容需要根据评估范围和评估的主要目的进行定制，例如:

威胁列表需要根据信息系统实际的物理、网络环境来进行定制；安全管理访谈表

需要根据待评估系统的管理结构、管理方式进行定制。

在评估工具中，网络、主机脆弱性评估的通用性较强，目前可找到的商用和

免费工具较多。下表是目前常用的脆弱性评估工具列表:

表5.2脆弱性评估工具

名称用途说明

ISS-6.2.1漏洞扫描工具主机安全漏洞扫描、网络设备安全漏洞扫描

Xscan-3.0漏洞扫描工具主机安全漏洞扫描、网络设备安全漏洞扫描

Fport端口分析Windows系统主机端口分析工具

SnifferPro协议分析工具网络协议分析

SecureCRT人工审计工具用来进行远程主机登录，可方便存取人工审计数

据

Nessus漏洞扫描分布式漏洞扫描工具

SolarWinds网络拓扑发现可用于网络拓扑发现、网络设备配置下载

2现场评估

现场阶段工作流程图（图4-4）中给出了信息安全风险评估的主襄内容，下

面根据流程图所示流程，对■每一步的工作内容进行详细的说明。

2.1第1步：资产评估

资产评估是评估的起点，做好资产评估能有效保证评估的完整性和科学性。

资产评估包括了资产统计、业务系统分解和资产估值三部分内容，其中资产估值

需要在对业务系统进行充分了解和分析的基础上进行。

资产评估中采用以业务系统为主线的方法，将每一项信息资产按照所属业务

系统进行归类，在业务系统划分的基础上评估信息系统的的安全性。

・资产统计

表5.3资产统计

输入输出

信息资产统计表、网络拓扑和说

明、信息系统描述与系统分析报信息资产清单列表

告

资产统计输出的《信息资产清单列表》是评估中需要进行分析的资产,

具体的列表情况参见附录Ho

・业务系统分解

较简单的业务系统直接分解为功能模块，大的业务系统先分为相对独立

的子系统，再对这些子系统进行功能分解。功能模决的分解参考如下功能模

块定义：

表5.4业务系统分解表

类别说明

信息系统中负责数据存储的子系统或功能模块。如数据库服

数据存储

务器

信息系统中负责进行数据处理运算的子系统或模块，如应用

业务处理

服务器

信息系统中负责对用户提供服务的子系统或模块，如web服

服务提供

务器

由用户或客户直接使用、操纵的模块，包括：工作站、客户

客户端

机等，如应用客户端、web浏览器

*注：以上的子系统（功能模块）分类可能存在于一台主机上，也可能分布在

多台主机上，对信息系统的分解不需要特别注明子系统的分布情况，只需

详细说明功能作用和构成。

这一步的工作说明如下:

表5.5业务系统分解

输入输出

信息资产清单列表、网络拓扑和说明、

业务系统功能分解表

信息系统描述与系统分析报告

一个示例的业务系统功能分解表如卜.:

表5.6业务系统分解示例

系统名称系统功能系统设备

数据存储

业务处理营销系统服务器

服务提供

营销系统营销Web眼务器

系统管理员未面机

客尸端

普通用户泉面机

业务系统功能分解是为了辅助判断业务系统相关的数据、操作、处理等

功能是在构成系统的那些设备上完成的，确定出系统中的关键与核心设备。

2.2第2步：网络与业务构架评估

网络与业务构架评估是对业务系统在网络中的部署情况进行的审计，以判断

业务系统的部署是否跨越不同等级的安全区域。

表5.7网络与业务构架评估

输入输出

网络拓扑图、业务系统逻辑结构说明网络与业务构架安全性记录

这里网络与业务构架的评估结果主要是辅助对用关网络设备、主机安全

性进行判断，并且对网络结构、业务结构的缺陷进行判断，输出的记录内容

主要包括：

.网络结构与业务构架是否相适合

・网络关键点的链路是否安全可靠

・业务结构和业务流是否安全

2.3第3步：业务系统安全性评估

・业务系统通信关系审计

业务通信关系审计是对业务系统间，以及业务系统内部子系统间的通信

安全性进行的审计，对于已有安全要求的业务系统可按照安全要求进行审计,

没有安全要求的业务系统可参照业务系统评估方法定义安全要求。

表5.8业务系统通信关系审计

输入输出

信息系统描述与系统分析报告、业务业务系统通信关系与通信安全性

系统功能分解表记录

业务通信关系审计的输出记录是对关键业务通信信道、通信方式的判断

结果，主要的记录内容示例如下：

表5.8业务系统通信关系审计记录示例

系统名称系统名称

主机1主机2通信方式传输数据内容

12

TCP/IP电费数据，帐务

CIS服务器前置机

客户信息银行联网SQL*net信息

系统系统TCP/IP

前置机银行前置机帐务信息

TUXEDO(SZC)

客户信息TCP/IP客户信息，业扩

9559895598WcbCIS服务器

系统SQL*net信息

在数据分析过程中，由此上表结合网络结构、数据安全性可以判断出两

个系统间R前的通信方式是否安全。

・业务操作安全审计

业务操作安全审计是对业务系统使用情况进行的审计，以确保不会由于

非法操作或恶意操作导致信息安全事件，对业务操牛的审计可参考相应的业

务系统运维管理条例和职责划分制度等内容。

表5.9业务操作安全审计

输入输出

业务系统功能分解表、业务系统数据

业务系统操作审计记录

流图、业务运维相关管理制度文档

业务操作审计是对业务系统客户端业务软件和相关人员的审计，输出的

业务系统操作审计记录主要包括一下内容：

・客户端安全配置

・客户端'业务功能是否符合业务安全策略要求

・客户端软件的基本安全功能，包括：输入验证、数据缓存等

・业务人员的安全意识等

2.4第4步：资产估值

资产估值需要根据资产所处网络环境、资产中的数据、资产对业务系统的重

要程度等内容进行。

表5.10资产估值

输入输出

信息资产清单列表、信息系统描述与系统

分析报告、网络拓扑图、业务系统逻辑结

资产赋值表

构说明、业务功能系统分解表、业务系统

通信关系与通信安全性记录

资产估值结合了第1步到第3步的评估结果，通过对资产清单中具体资产上

信息（数据）、软件和硬件，以及相关人员的安全属性判断综合获得。

2.5第5步：威胁评估

威胁评估是通过对业务系统整体环境的判断和掌握，确认系统所受到的威胁

情况的过程，威胁评估主要包含以下三项内容:

・威胁统计

威胁统计是对信息系统面临的威胁的确认过程，威胁数据来源的方式较

为多样，评估中可根据情况先进行威胁列表的维护，再根据实际环境进行判

断和分析。

表5.11威胁统计

输入输出

威胁列表、信息系统日志、系统环境

系统威胁统计表

说明

威胁统计是根据信息系统的实际情况对威胁列表进行增加、删除的过程。

附录C中给出了一个典型的威胁列表。

•资产威胁关联性分析

资产威胁关联性分析是对具体资产或业务系统建立其威胁列表，以判断

对具体资产或业务系统究竟有哪些威胁较为严重。艰据评估的规模可只对关

键资产进行威胁分析。

表5.12资产威胁关联性分析

输入输出

信息资产清单列表、系统威胁统

计表、信息系统描述与系统分析

报告、网络拓扑图、业务系统逻辑资产威胁关联表

结构说明、业务系统通信关系与

通信安全性记录

资产威胁关联表是对每•个评估资产根据威胁统计表挑出其所面临的

威胁的过程。这•过程需要评估人员和信息系统的运行维护人员•起进行讨

论、分析和判断。

・威胁赋值与计算

表5.13威胁赋值与计算

输入输出

资产威胁关联表资产威胁赋值表

威胁赋值过程对每一个信息资产面临的威胁的可能性和严重程度都进

行判断，赋值的依据参考4.1.2节中的规定。威胁赋值过程可以配合资产威

胁关联性分析过程由评估人员和系统运行维护人员一起讨论决定。

对于较大规模的评估，针对每•个资产进行威胁判断会导致工作量剧增，这

在实际的评估操作中往往导致威胁评估不了了之。因此，为简化威胁评估，可针

对具体的应用系统或安全域进行威胁评估工作，将对应用系统或安全域整体的威

胁视为对其中每•个资产的威胁。

2.6第6步：主机安全性评估

主机安全性评估是对业务系统范围内的主机的安全漏洞进行发现的过程，包

括如下的内容：

・设备安全漏洞扫描

设备安全漏洞扫描是采用漏洞扫描工具对系统技术漏洞的发现过程，在

漏洞扫描的过程中可能会对业务系统的运行产生影响，因此需要得到操作许

可，并准备应急预案以避免由风险评估产生的风险。

表5.14设备安全漏洞扫描

输入输出

信息资产清单列表设备漏洞扫描结果

设备审计

设备审计是采用人工登录主机或网络设备的方式对设备的安全配置情

况进行的审计，由于设备配置数据是信息系统的敏感数据，因此在审计前需

要得到操作许可。

表5.15设备审计

输入输出

信息资产清单列表，主机或网络审

设备审计结果

计检查列表

设备审计主要依据相应的检查列表，由人工进行操作。检查列表是由评

估机构根据各类设备的安全配置和使用经验总结、整理出的评估工具。

2.7第7步：现有安全措施审计

对现有安全措施的审计主要评估这些安全措施是否发挥了作用，以及配套的

管理策略是否到位。

表5.16现有安全措施审计

输入输出

信息资产清单列表、（现有安全措

现有安全措施审计记录

施部署方案）

现有安全措施审计记录中主要包括的内容有：

・部署方式记录

・策略配置记录

・相关日志的记录

附录D中给出了防火墙和防病毒审计的记录表，在评估中可以参考使用。

2.8第8步：信息安全管理评估

安全管理制度文档分析

文档分析主要是对信息系统管理中已制定和采用的安全管理制度文档

以及制度的执行情况进行分析・，通过分析发现现有制度中的缺陷。本部分的

工作可以先期展开。

表5.17安全管理制度文档分析

输入输出

安全管理规章、制度，管理制度评

安全制度文档分析报告

估工具

信息安全管理制度分析报告中应包括当前已经制定的信息安全相关制

度列表，关键文档内容的齐全性、可操作性，以及管理策略体系的完备性。

•业务系统管理分析

对业务系统管理的分析从对具体业务系统的管理制度、岗位职责定义文

档出发，并通过实际的观察和访谈确认系统管理的情况。

表5.18业务系统管理分析

输入输出

业务系统管理制度，系统岗位分配

业务系统管理审计结果记录

文档

业务系统管理审计结果记录是针对具体业务的评估结果，其中应包含的

内容有：

・业务系统相关的人员配备说明

・应急处理预案

・相关的安全管理制度情况

3风险分析

风险分析过程包括数据整理、风险计算和风险决策三个步骤。

3.1第1步：数据整理

数据整理是将现场阶段采集到的数据根据风险计算和风险决策的要求，进行

分析和整理的过程。这一过程的主要步骤如下：

・针对评估范围中的资产，对资产根据业务、类型进行分类，形成具体的

资产或资产组；

・根据资产或资产组承载的业务和数据、所处的位置进行资产赋值的调整,

确定出可计算的资产价值；

・针对具体的资产或资产组，根据现场识别和赋值的威胁列表判断资产面

临的威胁情况，并对现场所赋的威胁可能性和威胁影响值进行调整；

・针对具体的资产或资产组，整理脆弱性列表，并进行管理、运维和技术

的分析，分析其产生原因和被利用的后果；

・对资产或资产组的每一条脆弱性进行安全属性1C1A）和严重等级的识别

和判断；

・对现有安全措施的情况进行整理，根据其防护范围，判读其对具体的资

产和资产组的风险消除程度；

.根据现有安全措施调整资产或资产组面临的威协的可能性值；

以上过程中的每一步可形成表格，以利于风险计算和决策的执行。其中，脆

弱性数据的内容和来源较多，采用统一的表格形式进行整理对下一步的分析工作

有较大的帮助。附录E是脆弱性数据整理表格的一个示例。

3.2第2步：风险计算

在完成资产评估、威胁评估和脆弱性评估后，根据资产及其关联的威胁和脆

弱性的赋值情况可计算出风险值。风险的计算方法目前还没有明细的技术标准，

通常效果比较好的计算方式为：

R=A*T*V=E*D.......................................(5.1)

T=TS*T,,E=A*T「D=Tt*V.......................................(5.2)

上式中R为风险值，A为资产价值，T为威胁值，V为脆弱性值，E为资

产损失产生的影响，D为资产暴露程度，T、为威胁的严重程度，T「为威胁发生的

可能性。

根据行业企业管理、运维和技术的要求对风险计算方法进行了如下的扩展:

R=W,R,+W.nRjW。Ro.......................................(5.3)

上式中，t代表“技术方面的“、m代表“管理方面的”、。代表“运维方面的”、

W为技术、运维和管理脆弱性之间的相关性，Wt、W”、W。之和等于1。R为

综合风险值.R「为技术脆弱怦相关风险，为管理脆弱性相关风险,R。为运行

维护脆弱性相关风险，具体计算公式如下：

R(—Ac,Tc*Vtc+Ai'Ti，Vti+Aa,Ta,Vta................................................................

(5.4)

=

RmAc*Tc*Vmc+A*Ti,Vmi+Aa'Ta'Vma............................................................

(5.5)

=

RoAc'Tc'Voc+Ai,Ti,Voi+Aa,Ta'Voa................................................................

(5.6)

注：c代表“机密性方面的”、i代表“完整性方面的”、a代表“可用性方面的“。

公式5.3,公式5.5、公式5.6即为经过拓展的行业信息系统风险计算公式,

体现了行业企业信息安全管理的思路，既从管理、运行维护技术三方面出发，而

每个公式中又从机密性、完整性、可用性三个方面进行考察。相互促进、相互监

督，形成一个完整的、可操作的行业企业信息安全保障体系。计算公式中的技术

漏洞、管理和运维缺陷数据是在脆弱性评估中获得的数据。

注意：公式5.4、5.5、5.6中的重点是对脆弱性的取值问题。我们分三个部分

来考虑这个问题。

首先是技术方面。Vtc、、Vta分别选取机密性、完整性、可用性三个方

面的最大值。即：Vtc=V(ci+Vtc2+Vtc3+……+v(cn

Vtcnemax{Vtcm}

n、m=l,2,3».......

Vicm表示属于技术方面的各个机密性方面的脆弱值

Vti=Vtil+Vti2+Vti3+..........+Vtin

Vtinemax{Vdm}

n^m=l,2,3,.......

Yim表示属于技术方面的各个完整性方面的脆弱值

Via=Vtal+V(a2+Vta3+..........+Vian

V(an£max{Vtam}

n>m=l>2>3>.......

Vu1m表示属于技术方面的各个可用性方面的脆弱值

其次是管理方面。V„»、Vmi、Vma分别选取机密性、完整性、可用性三个

方面的和。即：Vmc=Vmcl+Vmc2+Vmc3+.........Vmetn

m=l,2,3,.......

Vmcm表示属于管理方面的各个机密性方面的脆弱值

Vmi=Vmil+Vmi2+Vmi3+

m=l,2,3,

Vmim表示属于管理方面的各个完整性方面的脆弱值

Vma=Vmal+Vma2+Vma3+...........V\

m=l,2,3,......

Vmam表示属于管理方面的各个可用性方面的脆弱值

最后就是运维方面。V”、V°i、Voa分别选取机密性、完整性、可用性三个

方面的和。即：Voc=Vocl+Voc2+Voc3+...........Vocin

m=l,2,3,......

V℃m表示属于运维方面的各个机密性方面的脆弱值

Voi=Voil+Voi2+Voi3+..........Voiin

m=l,2,3,......

V°im表示属于运维方面的各个完整性方面的脆弱值

Voa=Voal+Voa2+Voa3+...........Voam

m=1,2,3,......

Voam表示属于运维方面的各个可用性方面的脆弱值

3.3第3步：风险决策

风险决策是在风险排序的基础上，分析各种风险要素、以及被评估系统的实

际情况，决定对风险采取接受、消除或转移等处理方式的过程。基本的风险决策

方法如下：

根据风险计算结果，按照对资产按照面临的风险大小进行排序，决定对

风险采取的处理方法，根据风险分析的不同角度，可以有多种排序方法:

表5.19综合排序范例

管理I12320

管理A11550

运维I6600

技术I5280

运维A4950

技术A3960

管理C1587

技术C828

运维C552

解释：对单一资产进行综合排序，可以将风险分布情况直观的表现出来。

从表5.18中，我们可以知道，在这个单一资产中，管理方面的完整性方面的

风险最大。

表5.20资产综合排序范例

资产名称C^I、A总合

资产313550

资产211550

资产49670

资产15400

解释：在相同规模下，使用对多个资产进行综合排序，可以将重点资产

突出出来。表5.19中，资产3的综合风险最高，说明安全风险的重点工作应

该放到资产3上。

表5.21单项综合排序范例

C、I、A总合

管理25457

运维12102

技术10068

解释：对单一资产，还可以使用单项