信息安全风险评估服务手册模板.doc

《信息安全风险评估服务手册模板.doc》由会员分享，可在线阅读，更多相关《信息安全风险评估服务手册模板.doc（50页珍藏版）》请在咨信网上搜索。

____________________________ 信息安全启明星辰风险评定 服务宣传手册 ____________________________ 北京启明星辰信息安全技术 v 文档统计信息 文档名称 启明星辰风险评定服务技术白皮书 制作部门 前线技术中心-服务产品化管理部 版本 修正历史 日期 作者 联络方法 v 文档核准信息 版本 核准日期 核准人 所属部门 备注 v 版权申明 北京启明星辰信息安全技术版权全部，并保留对本文档及本申明最终解释权和修改权。 本文档中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明外，其著作权或其它相关权利均属于北京启明星辰信息安全技术。未经北京启明星辰信息安全技术书面同意，任何人不得以任何方法或形式对本手册内任何部分进行复制、摘录、备份、修改、传输、翻译 成其它语言、将其全部或部分用于商业用途。 v 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术在编写该文档时候已尽最大努力确保其内容正确可靠，但北京启明星辰信息安全技术不对本文档中遗漏、不正确、或错误造成损失和损害负担责任。 v 信息反馈 假如任何宝贵意见，请反馈： 信箱：北京市海淀区东北旺西路8号中关村软件园21号搂启明大厦 邮编：100193 电话： 您能够访问启明星辰网站：http：//，取得最新技术和服务信息。 目录 第1章 风险评定关键性 5 1.1. 风险评定背景 5 1.2. 风险评定目标 6 1.3. 风险评定方法 7 第2章 启明星辰信息安全服务产品介绍 7 2.1. 服务产品概述 7 2.2. 服务产品功效 9 2.2.1. 资产评定 9 2.2.2. 威胁评定 10 2.2.3. 脆弱性评定 10 2.2.4. 风险综合分析 10 2.2.5. 风险处理计划 11 2.3. 服务产品交付 12 2.3.1. 风险评定综合汇报 12 2.3.2. 资产赋值列表 12 2.3.3. 威胁赋值列表 12 2.3.4. 脆弱性赋值列表 12 2.3.5. 风险处理计划 13 2.4. 服务产品收益 13 2.4.1. 资产识别 13 2.4.2. 平衡安全风险和成本 13 2.4.3. 风险识别 13 2.4.4. 建设指导 14 2.4.5. 业务保障 15 第3章 启明星辰信息安全服务产品规格 15 3.1. 服务评定模型 15 3.1.1. 评定模型 15 3.1.2. 评定标准 16 3.2. 服务评定方法 17 3.2.1. 访谈调研 17 3.2.2. 人工审计 17 3.2.3. 工具扫描 18 3.2.4. 渗透测试 18 3.3. 服务评定范围 19 3.3.1. 技术评定 19 3.3.2. 管理评定 20 第4章 启明星辰信息安全服务产品步骤 21 4.1. 服务步骤蓝图 22 4.2. 服务步骤阶段 22 4.2.1. 服务开启 22 4.2.2. 资产评定 23 4.2.3. 威胁评定 24 4.2.4. 脆弱评定 26 4.2.5. 风险分析 27 4.2.6. 风险处理 29 4.2.7. 服务验收 30 4.3. 服务步骤管理 30 4.3.1. 管理概述 30 4.3.2. 管理组成 31 第5章 启明星辰信息安全服务产品优势 33 5.1. 企业整体优势 33 5.2. 服务发展优势 34 5.3. 服务资质优势 35 5.4. 团体保障优势 36 第6章 启明星辰信息安全服务成功案例 37 6.1. 关键案例列表 38 6.2. 关键案例介绍 39 6.2.1. 金融案例 39 6.2.2. 电信案例 39 6.2.3. 能源案例 40 6.2.4. 政府案例 40 第7章 附录术语定义 41 第1章 风险评定关键性 1.1. 风险评定背景 伴随政府部门、企机关和各行各业对信息系统依靠程度日益增强，信息安全问题受到普遍关注。利用风险评定方法去识别安全风险，处理信息安全问题得到了广泛认识和应用。信息安全风险评定就是从风险管理角度，利用科学方法和手段，系统地分析信息系统所面临威胁及其存在脆弱性，评定安全事件一旦发生可能造成危害程度，提出有针对性抵御威胁防护对策和整改方法；为防范和化解信息安全风险，将风险控制在可接收水平，从而最大程度地保障信息安全提供科学依据。 信息安全风险评定作为信息安全保障工作基础性工作和关键步骤，贯穿于信息系统计划、设计、实施、运行维护和废弃各个阶段，是信息安全等级保护制度建设关键科学方法之一。中国风险评定推进工作情况以下： 时间 具体推进事件历程 v 《相关加强信息安全保障工作意见》（中办发[]27号）中明确提出“要重视信息安全风险评定工作”。 v 为落实落实27号文件精神，原国信办组织相关单位和教授编写了《信息安全风险评定指南》。 v 原国信办在北京、上海、云南、黑龙江2市2省区和银行、电力、税务3个行业组织了信息安全风险评定试点。 v 原国信办召开了信息安全风险评定推进工作会议。国家部委、各省信息办依据中办发 5号、9号文件，开展关键行业安全风险评定工作。 v 为保障十七大，在国家基础信息网络和关键信息系统范围内，全方面展开了自评定工作。（中国移动、电力、税务、证券） 至今 v 经过多年实践，风险评定是“一个度量信息安全情况科学方法”，经过对网络和信息系统潜在风险要素识别、分析、评价，发觉网络和信息系统安全风险，经过安全加固，使高风险降低到可接收水平，从而提升信息安全风险管理水平。” 表-1 1.2. 风险评定目标 风险评定是对网络和信息系统相关方面风险进行辨识和分析过程，是依据国际/国家/地方相关信息安全技术标准，评定信息系统脆弱性、面临威胁和脆弱性被威胁源利用可能性和利用后对信息系统及由其处理、传输和存放信息保密性、完整性和可用性所产生实际负面影响，并以此识别信息系统安全风险过程。 风险评定目标是分析信息系统及其所依靠网络信息系统安全情况，全方面了解和掌握该系统面临信息安全威胁和风险，明确采取何种有效方法，降低威胁事件发生可能性或其所造成影响，降低信息系统脆弱性，从而将风险降低到可接收水平；同时，能够定时了解信息系统安全防护水平并为后期安全计划建设提出提供原始依据，并作为以后其它工作参考。 1.3. 风险评定方法 v 自评定 是由被评定信息系统拥有者提议，依靠本身力量参考国家法规和标准， 对其本身信息系统进行风险评定活动。 v 检验评定 检验评定则通常是被评定信息系统拥有者上级主管机关或业务主管机关提议，意在依据已经颁布法规或标准进行，含有强制意味检验活动，是经过行政手段加强信息安全关键方法。 v 委托评定 是由被评定信息系统拥有者提议，委托专业服务机构，参考国家法规和标准，对其维护信息系统进行风险评定活动。 第2章 启明星辰信息安全服务产品介绍 2.1. 服务产品概述 启明星辰信息安全风险评定服务 信息安全风险永远存在，安全产品不能处理全部问题。信息安全工作本身是一个过程，它本质是风险管理。风险管理工作不仅仅是一个简单理论、方法，更需要在实践中检验发展。启明星辰信息安全强调安全必需为业务服务，以最好实践作为信息安全工作落脚点，经过有效安全服务，让安全技术有效地发挥作用。 启明星辰信息安全为用户提供全方面信息安全咨询和风险评定服务。启明星辰信息安全认为，风险评定是风险管理基石，安全管理监控是风险管理过程化实施。单纯技术评定不能全方面揭示信息安全风险所在，脱离细致技术检验手段管理评定也似无本之木，技术和管理是密不可分两个方面。同时，应用系统本身安全性也是风险管理关键组成部分。 启明星辰信息安全风险评定服务基于技术方面安全评定、基于管理方面管理评定和综合二者全方面评定，用户能够全方面了解组织内部信息安全情况，尽早发觉存在问题。同时，依据安全教授提议，用户能够在降低风险、承受风险、转移风险等方面做出正确选择。 启明星辰信息安全风险评定服务综合中国外相关标准和业界最好实践，为用户清楚展现信息系统目前安全现实状况、安全风险，提供公正、客观数据作为决议参考，为用户下一步控制和降低安全风险、改善安全情况、实施信息系统风险管理提供依据，从而引发相关领导关注和重视，为用户后续信息安全工作争取支持，为用户后续信息安全顺利开展争取资源和地位，风险评定能够帮助用户从技术、管理方面或全方面摸清家底、做到知己知彼，顺利进行信息系统安全计划、设计、建设。加强组织各层面对于信息安全工作认识和了解程度，提升组织各层面信息安全保障意识，对于规范和系统化提升信息安全保障水平提供了有效方法。 2.2. 服务产品功效 图-1 2.2.1. 资产评定 资产是组成整个系统多种元素组合，它直接表现了这个系统业务或任务关键性，这种关键性进而转化为资产应含有保护价值。 资产评定是和风险评定相关联关键任务之一，资产评定关键是对资产进行相对估价，而其估价准则就是依靠于对其影响分析，关键从保密性、完整性、可用性三方面安全属性进行影响分析，从资产相对价值中表现了威胁严重程度；这么，威胁评定就成了对资产所受威胁发生可能性评定，关键从发生可能性、发生成功可能性和发生成功后严重性三方面安全属性进行分析；目标是要对组织归类资产做潜在价值分析，了解其资产利用、维护和管理现实状况。明确各类资产含有保护价值和需要保护层次，从而使组织更合理利用现有资产，更有效地进行资产管理，更有针对性进行资产保护，更有合理性进行新资产投入。 2.2.2. 威胁评定 威胁是指可能对资产或组织造成损害事故潜在原因。作为风险评定关键原因，威胁是一个客观存在事物，不管对于多么安全信息系统，它全部存在。 威胁评定采取方法是问卷调查、问询、数据取样、日志分析。在这一过程中，首先要对组织需要保护每一项关键资产进行威胁识别。在威胁评定过程中，应依据资产所处环境条件和资产以前遭受威胁损害情况来判定，一项资产可能面临着多个威胁，一样一个威胁可能对不一样资产造成影响。识别出威胁由谁或什么事物引发和威胁影响资产是什么，即确定威胁主体和客体。 2.2.3. 脆弱性评定 脆弱性是指资产或资产组中能被威胁所利用弱点，它包含物理环境、组织机构、业务步骤、人员、管理、硬件、软件及通讯设施等各个方面，这些全部可能被多种安全威胁利用来侵害一个组织机构内相关资产及这些资产所支持业务系统。 脆弱性评定将针对每一项需要保护信息资产，找出每一个威胁所能利用脆弱性，并对脆弱性严重程度进行评定，就是对脆弱性被威胁利用可能性进行评定，最终为其赋相对等级值。在进行脆弱性评定时，提供数据应该来自于这些资产拥有者或使用者，来自于相关业务领域教授和软硬件信息系统方面专业人员。在评定中，从技术脆弱性和安全管理脆弱性两个方面进行脆弱性检验。 2.2.4. 风险综合分析 风险是指特定威胁利用资产一个或一组脆弱性，造成资产丢失或损害潜在可能性，即特定威胁事件发生可能性和后果结合。风险只能预防、避免、降低、转移和接收，但不可能完全被消亡。在完成资产、威胁和脆弱性评定后，进入安全风险评定阶段。在这个过程中，采取最新方法表述威胁源采取何种威胁方法，利用了系统何种脆弱性，对哪一类资产，产生了什么样影响，并描述采取何种对策来防范威胁，降低脆弱性。 风险分析中要包含资产、威胁、脆弱性三个基础要素。每个要素有各自属性，资产属性是资产价值；威胁属性能够是威胁主体、影响对象、出现频率、动机等；脆弱性属性是资产弱点严重程度。风险分析原来以下图所表示： 图-2 2.2.5. 风险处理计划 风险处理目标是为风险管理过程中对不一样风险直观比较，以确定组织安全策略。对不可接收风险应依据造成该风险脆弱性制订风险处理计划。风险处理计划中应明确采取填补脆弱性安全方法、预期效果、实施条件、进度安排、责任部门等。安全方法选择应从管理和技术两个方面考虑 风险处理是一个系统化方法，可经过多个方法实现： v 风险接收：接收潜在风险并继续运行信息系统，不对风险进行处理。 v 风险降低：经过实现安全方法来降低风险，从而将脆弱性被威胁源利用 后可能带来不利影响最小化 v 风险规避：不介入风险，经过消除风险原因和/或后果来规避风险。 v 风险转移：经过使用其它方法来赔偿损失，从而转移风险，如购置保险。 2.3. 服务产品交付 图-3 2.3.1. 风险评定综合汇报 主体汇报，描述被评定信息系统得信息安全现实状况，对评定范围内业务资产进行风险分析，明确出威胁源采取何种威胁方法，利用了哪些脆弱性，对范围内哪些资产产生了什么影响，采取何种对策进行防范威胁，降低脆弱性；并对风险评定作出总结，总结出哪些问题需要目前处理，哪些问题能够分步分期处理。 2.3.2. 资产赋值列表 综合汇报子汇报，描述了在资产识别后，对资产进行分类整理，并依据其所受破坏后所造成影响，分析出其影响权值及其关键性。 2.3.3. 威胁赋值列表 综合汇报子汇报，描述总结出评定范围内业务资产所面临威胁源，和其所采取方法。 2.3.4. 脆弱性赋值列表 综合汇报子汇报，描述出经过安全管理调查、工具扫描、手工检验进行专业分析后，总结出评定范围内业务资产本身存在脆弱性。经过工具扫描以后，对评定范围内资产脆弱性进行统计，重在描述高风险、中风险、低风险数量和百分比等情况。 2.3.5. 风险处理计划 综合汇报后辅助汇报，经过综合分析，了解了目前安全现实状况，提出了针对目前问题信息系统总体安全处理方案。 2.4. 服务产品收益 2.4.1. 资产识别 v 帮助用户对组织内资产进行梳理，针对在传统资产清理过程中，比较轻易被忽略数据资产，服务资产等，使用户从原有固定资产保护，提升为信息资产保护。 v 帮助用户进行组织内资产分级管理，经过定量分析，明确各信息系统对用户关键程度，经过有效整合信息系统安全需求，在有限资源环境下，愈加好提升用户信息安全水平。 2.4.2. 平衡安全风险和成本 v 帮助用户在安全建设过程中综合平衡安全风险和成本代价，信息安全工作关键目标就是实现在最低资源消耗情况下，达成最大安全水平。经过对发觉问题和风险进行管理，并最优化方案提议，使用户避免投入大量资源，但安全工作仍迟迟不见起色现象。 2.4.3. 风险识别 v 对用户关键信息资产进行全方面梳理，识别资产关键性；清楚本身所面临威胁及其威胁方法方法，便于有针对性地防护。认识本身存在脆弱性不足，能够有目标性进行补遗整改。 v 帮助用户了解网络和信息系统安全情况，经过如工具扫描，渗透测试，人工审计等多个技术手段，全方面分析用户信息系统和网络中存在多种安全问题，同时将发觉安全问题和信息资产关键程度相关联，明确目前安全风险。 v 帮助用户了解本身存在信息安全管理漏洞，再好设备，也是由人进行操作，经过访谈、问卷等多个手段，启明将帮助用户管理层了解目前信息安全管理制度是否存在漏洞，已经正式公布安全管理制度是否得到了落实和实施。 2.4.4. 建设指导 v 经过专业安全技术和专业人员立即全方面掌握用户IT环境安全现实状况和 面临风险，并提出改善提议，降低风险。 v 为用户进行信息安全计划建设、安全技术体系建设、安全管理体系建设、安全风险管理奠定基石。 v 经过对网络和信息系统漏洞产生威胁进行分析，能够提供有效安全加固和改善方法提议。在启明信息安全服务团体，如ADlab等国际中国专业技术分析支持下，启明安全服务团体能够取得第一手信息系统或网络漏洞信息，在此基础上，为用户提供立即、有效地网络和信息系统漏洞发掘服务，并针对漏洞，提供有效加固提议和改善方法提议。 v 定时风险评定，帮助用户了解组织信息安全改善情况和发展方向，为以后信息系统安全计划建设提供依据和参考。经过对安全风险分析和识别，同时平衡安全风险和安全成本，启明企业提供专业信息安全计划和建设提议，对于用户未来信息安全工作，提供关键参考和依据。 v 帮助用户建立信息安全风险管理机制。为用户对网络和信息系统进行安全风险管理奠定基石，帮助用户在降低风险、承受风险、转移风险等方面作出最好选择。 2.4.5. 业务保障 v 能够帮助用户立即发觉和修复网络和信息系统安全问题，使安全风险降低到能够接收而且能够被有效管理范围内，保障用户组织内信息系统稳定运行和业务连续性。 v 预防信息安全事故，确保用户业务连续性，使用户关键信息资产受到和 其价值相符保护，预防系统入侵安全隐患再次被破坏或恶意利用，避免业务经济损失数量连续增加。 第3章 启明星辰信息安全服务产品规格 3.1. 服务评定模型 3.1.1. 评定模型 图-4 风险评定围绕着资产、威胁、脆弱性和安全方法这些基础要素展开，在对基础要素评定过程中，需要充足考虑业务战略、资产价值、安全需求、安全事件、残余风险等和这些基础要素相关各类属性。在上图中风险要素及属性之间存在着以下关系： v 业务战略实现对资产含有依靠性，依靠程度越高，要求其风险越小； v 资产是有价值，组织业务战略对资产依靠程度越高，资产价值就越大； v 风险是由威胁引发，资产面临威胁越多则风险越大，并可能演变成为安全事件； v 资产脆弱性可能暴露资产价值，资产含有脆弱性越多则风险越大； v 脆弱性是未被满足安全需求，威胁利用脆弱性危害资产； v 风险存在及对风险认识导出安全需求； v 安全需求可经过安全方法得以满足，需要结合资产价值考虑实施成本； v 安全方法可抵御威胁，降低风险； v 残余风险有些是安全方法不妥或无效,需要加强才可控制风险；而有些则是在综合考虑了安全成本和效益后不去控制风险； v 残余风险应受到亲密监视，它可能会在未来诱发新安全事件。 3.1.2. 评定标准 标准类型 参考标准 国际标准 v ISO15408 信息技术安全评定准则 v ISO/IEC TR 13335信息和通信技术安全管理 v ISO/TR 13569 银行和相关金融服务信息安全指南 v ISO/IEC 27000 信息安全管理体系系列标准 v AS/NZS 4360 风险管理 v NIST SP 800-30 IT系统风险管理指南 中国家标准准 v GB17859计算机信息系统安全保护等级划分准则 v GBT 20984信息安全风险评定规范 v GBT 22239信息安全技术信息系统安全等级保护基础要求 v GBZ 20985信息技术安全技术信息安全事件管理指南 v GBZ 20986信息安全技术信息安全事件分类分级指南 v 各个组织或行业内相关要求 表-1 3.2. 服务评定方法 图-5 注：渗透测试模块为可选模块 3.2.1. 访谈调研 v 搜集现有业务系统资产组成、IT计划、管理制度、原有项目安全结果等信息文档。对进行搜集文档进行深入分析，梳理业务系统安全现实状况。依据现有文档分析整理结果，制订相关调研表进行信息资产调研信息补充。 v 制订访谈提要，对相关人员进行访谈。人员访谈能够了解人员安全意识、对安全管理获知程度、对安全技术掌握程度，而且搜集大量有用信息，全方面了解信息系统安全需求，深入了解用户各层面安全现实状况。 3.2.2. 人工审计 v 人工评定只对被评定对象进行运行状态和配置检验，所以不会对现有信息系统上其它设备和资源带来任何影响，而对被评定对象资源占用也小于工具评定。人工评定完成后将产生人工评定汇报，也将作为整体安全评定汇报一个关键起源和依据。 v 人工评定对当地安全评定而言是必不可少。人工安全评定对实施人员安全知识、安全技术和安全经验要求很高，因为她们必需了解最新安全漏洞、掌握多个优异安全技术和积累丰富评定经验，这么才能对当地安全评定中在物理层、网络层、主机层、数据层和用户层全部安全对象目标进行最有效和最完整安全评定，并提供最合理和最立即安全提议。 3.2.3. 工具扫描 v 工具自动评定是用多种商用安全评定系统或扫描器，依据其内置评定内容、测试方法、评定策略及相关数据库信息，从系统内部对主机、网络、数据库等系统进行一系列设置检验，使其可预防潜在安全风险问题，如弱口令、用户权限设置、用户帐户设置、关键文件权限设置、路径设置、密码设置、网络服务配置、应用程序可信性、服务器设置和其它含有攻击隐患可疑点等。它也能够找出黑客攻破系统迹象，并提出修补提议。 v 工具评定最突出优点是评定工作可由软件来自动进行，速度快，效率高。工具评定部分将采取基于应用和网络系统类扫描软件来分别进行。扫描评定关键是依据已经有安全漏洞知识库，检测网络协议、网络服务、网络设备、应用系统等多种信息资产所存在安全隐患和漏洞。网络扫描关键依靠带有安全漏洞知识库网络安全扫描工具对系统进行安全扫描，其特点是能对被评定目标进行覆盖面广泛安全漏洞查找，而且评定环境和被评定对象在线运行环境完全一致，能较真实地反应系统所存在安全隐患和面临安全威胁。 3.2.4. 渗透测试 v 渗透测试，也叫白客攻击测试，它是一个从攻击者角度来对主机系统安全程度进行安全评定手段，在对现有信息系统不造成任何损害前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以很显著，直观结果来反应出系统安全现实状况。该方法也越来越受到国际/中国信息安全业界认可和重视。为了解服务系统安全现实状况，在许可和控制范围内，将对应用系统进行渗透测试。渗透测试将作为安全评定一个关键组成部分。 v 渗透测试是工具扫描和人工评定关键补充。工具扫描含有很好效率和速度，不过存在一定误报率，不能发觉高层次、复杂安全问题；渗透测试需要投入人力资源较大、对测试者专业技能要求很高，不过很正确，能够发觉逻辑性更强、更深层次弱点。 3.3. 服务评定范围 3.3.1. 技术评定 评定类型 评定范围 物理环境评定 v 评定对象： 物理环境基础设施 v 评定内容： 从机房场地、机房防火、机房供配电、机房防静电、机房接地和防雷、电磁防护、通信线路保护、机房区域防护、机房设备管理等方面进行识别评定。 网络结构评定 v 评定对象： 网络及安全设备(交换机、路由器、防火墙、入侵检测设、安全审计等) v 评定内容： 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别评定。 主机及数据系统评定 v 评定对象： 操作及数据库系统（Windows、Linux、Unix、 Oracle、informix、ibm db2、sql server、my sql等) v 评定内容： 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审 计、访问控制、新系统配置、注册表加固、网络安全、系统管理等 方面进行识别评定。 应用系统评定 v 评定对象： 应用中间件（IIS、APACHE、TOMCAT、Weblogic等）和应用系统软件 v 评定内容： 从审计机制、审计存放、访问控制策略、数据完整性、通信、判别机制、密码保护、脚本漏洞等方面进行识别评定。 业务步骤评定 v 评定对象：业务步骤 v 评定内容： 依据业务过程数据步骤评定用户业务步骤，识别用户业务步骤安全隐患。 表-2 3.3.2. 管理评定 评定类型 评定范围 安全管理制度评定 v 评定内容：安全管理制度通常是文档化，被正式制订、评审、公布和修订，内容包含策略、制度、规程、表格和统计等，组成一个塔字结构文档体系。对安全管理制度制订、公布、评审、修订进行评定。 安全管理机构评定 v 评定内容：安全管理机构包含安全管理岗位设置、人员配置、授权和审批、沟通和合作等方面内容，严格安全管理应该由相对独立职能部门和岗位来完成。安全管理机构从组织上确保了信息系统安全。 人员安全管理评定 v 评定内容：人员安全管理包含信息系统用户、安全管理人员和第三方人员管理，覆盖人员录用、人员离岗、人员考评、安全意识教育和培训、第三方人员管理等方面内容。工作人员直接运行、管理和维护信息系统多种设备、设施和相关技术手段，和她们直接发生关联关系。所以，她们知识结构和工作能力直接影响到信息系统其它层面安全。 系统建设管理评定 v 系统建设管理包含系统定级、安全风险分析、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全测评、系统立案等信息系统安全等级建设各个方面。信息系统安全是一个过程，是一项工程，它不仅包含到目前运行状态，而且还关系到信息系统安全建设各个阶段。只有在信息系统安全建设各个阶段确保安全，才能使得运行中信息系统有安全确保。 系统运维管理评定 v 系统运维管理包含运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络安全管理、系统安全管理、密码管理、变更管理、备份和恢复管理、安全事件处理和应急计划管理等方面内容。系统运维各个方面全部直接关系到相关安全控制技术正确、安全配置和合理使用。对信息系统运维各个方面提出具体安全要求，能够为工作人员进行正确管理和运行提供工作准绳，直接影响到整个信息系统安全。 表-3 第4章 启明星辰信息安全服务产品步骤 4.1. 服务步骤蓝图 图-6 4.2. 服务步骤阶段 4.2.1. 服务开启 1) 服务目标 风险评定开启是整个风险评定过程有效性确保。组织实施风险评定是一个战略性考虑，其结果将受到组织业务战略、业务步骤、安全需求、系统规模和结构等方面影响。所以，在风险评定实施前，应确定风险评定目标和范围、进行系统调研、制订风险评定量划、取得用户管理者对风险评定工作支持。 2) 服务内容 v 确定风险评定目标和范围 依据满足组织业务连续发展在安全方面需要、法律法规要求等内容，识别现有信息系统及管理上不足，和可能造成风险大小。风险评定范围可能是组织全部信息及和信息处理相关各类资产、管理机构，也可能是某个独立信息系统、关键业务步骤、和用户知识产权相关系统或部门等。 v 系统调研 系统调研是确定被评定对象过程，风险评定小组应进行充足系统调研，为风险评定依据和方法选择、评定内容实施奠定基础。调研内容最少应包含：业务战略及管理制度、关键业务功效和要求、网络结构和网络环境，包含内部连接和外部连接、系统边界、关键硬件、软件、数据和信息、系统和数据敏感性、支持和使用系统人员、其它。 v 制订风险评定量划 风险评定量划目标是为后面风险评定实施活动提供一个总体计划，用于指导实施方开展后续工作。风险评定量划内容通常包含： Ø 团体组织：包含评定团体组员、组织结构、角色、责任等内容； Ø 工作计划：风险评定各阶段工作计划，包含工作内容、工作形式、工作结果等内容； Ø 时间进度安排：项目实施时间进度安排。 v 取得支持 上述全部内容确定后，应形成较为完整风险评定实施方案，得到用户管理者支持、同意；对管理层和技术人员进行传达，在组织范围就风险评定相关内容进行培训，以明确相关人员在风险评定中任务。 3) 结果输出：《服务实施综累计划》 4.2.2. 资产评定 1) 服务目标 对被评定信息系统关键资产进行识别，并合理分类；在资产识别过程中，需要具体识别关键资产安全属性，关键识别出资产在遭受泄密、中止、损害等破坏时所遭受影响，并依据资产在遭受泄密、中止、损害等破坏时所遭受影响，对资产价值进行赋值。 2) 服务内容 v 资产识别 资产是组成整个系统多种元素组合，它直接表现了这个系统业务或任务关键性，这种关键性进而转化为资产应含有保护价值。信息系统资能够分为硬件、软件、数据、人员、服务、其它类资产等。 v 资产分析 在资产识别基础上，深入分析被评定信息系统及其关键资产在遭受泄密、中止、损害等破坏时对系统所承载业务系统所产生影响。并进行赋值量化。从而为最终综合风险分析提供参考数据。 资产赋值过程也就是对资产在机密性、完整性和可用性上达成程度进行分析，并在此基础上得出综合结果过程。 等级 标识 描述 5 很高 很关键，其安全属性破坏后可能对组织造成很严重损失。 4 高 关键，其安全属性破坏后可能对组织造成比较严重损失。 3 中 比较关键，其安全属性破坏后可能对组织造成中等程度损失。 2 低 不太关键，其安全属性破坏后可能对组织造成较低损失。 1 很低 不关键，其安全属性破坏后对组织造成导很小损失，甚至忽略不计。 表-4 3) 阶段结果输出：《资产赋值列表》 4.2.3. 威胁评定 1) 服务目标 经过威胁调查、取样等手段识别被评定信息系统关键资产所面临威胁源，及其威胁所常采取威胁方法，对资产所产生影响。并为后续威胁分析及综合风险分析提供参考数据。 2) 服务内容 v 威胁识别 威胁识别要从威胁主体、威胁路径和威胁方法三个方面来进行： 威胁主体：分为人为原因和环境原因。依据威胁动机，人为原因又可分为恶意和非恶意两种。环境原因包含自然灾难和设施故障。 威胁路径：分为间接接触和直接接触，间接接触关键有网络访问、语音、视频访问等形式，直接接触指威胁主体能够直接物理接触到信息资产。 威胁方法：关键有传输计算机病毒、传输异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源(P2P下载等)、人为灾难(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等。 威胁识别方法有：人工审计、安全策略文档审阅、人员面谈、入侵检测系统搜集信息和人工分析等。威胁识别方法列表以下： 编号 威胁识别 方法描述 1 访谈 v 经过和资产全部些人、负责管理人员进行访谈 2 人工分析 v 依据教授经验，从已知数据中进行分析 3 IDS v 经过入侵监测系统在一段时间内监视网络上安全事件来取得数据 4 人工审计 v 经过人工审计方法来测试弱点，证实威胁 5 安全策略文档分析 v 安全策略文档分析 6 安全审计 v 经过一套审计问题列表问答方法来分析弱点 7 事件统计 v 对已经有历史安全事件统计进行分析 表-5 v 威胁分析 在威胁识别基础上，深入分析被评定信息系统及其关键资产将面临哪首先威胁及其所采取威胁方法。并依据其发生可能性进行赋值量化。同时为最终综合风险分析提供参考数据。 威胁关键依据其出现频率来赋值： 等级 标识 定义 5 很高 v 出现频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或能够证实常常发生过。 4 高 v 出现频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或能够证实数次发生过。 3 中 v 出现频率中等（或> 1 次/六个月）；或在某种情况下可能会发生；或被证实曾经发生过。 2 低 v 出现频率较小；或通常不太可能发生；或没有被证实发生过。 1 很低 v 威胁几乎不可能发生，仅可能在很罕见和例外情况下发生。 表-6 3) 阶段结果输出：《威胁赋值列表》 4.2.4. 脆弱评定 1. 服务目标 采取安全扫描、手动检验、问卷调查、人工问询等方法对评定工作范围内物理环境、网络设备、安全设备、操作系统、数据库系统和应用中间件系统、应用系统软件和安全管理进行脆弱性评定，同时为后续脆弱性分析及综合风险分析提供参考数据。 2. 阶段服务内容 v 脆弱性识别 脆弱性识别是风险评定中最关键一个步骤。脆弱性识别能够以资产为关键，针对每一项需要保护资产,识别可能被威胁利用弱点，并对脆弱性严重程度进行评定；也能够从物理、网络、系统、应用等层次进行识别，然后和资产、威胁对应起来。脆弱性识别依据能够是国际或国家安全标准，也能够是行业规范、应用步骤安全要求。 脆弱性识别类型 技术脆弱性识别内容 识别方法 物理环境 v 对信息系统所处物理环境即机房、线路、用户端支撑设施等进行脆弱性识别，内容关键有：门禁系统、报警系统、监控系统、防雷击接地、防静电、UPS、消防系统、防电磁泄露、弱电系统、防尘、温室控制和机房容灾备份等。 v 问卷访谈 v 人工审计 网络结构 v 网络结构安全、访问控制策略和方法、网络设备策略和配置、安全设备策略和配置、网络性能和业务负载分析评定等。 v 问卷访谈 v 人工审计 v 工具扫描 主机及数据库系统 v 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别评定。 v 人工审计 v 工具扫描 应用系统 v 含应用中间件，从审计机制、审计存放、访问控制策略、数据完整性、通信、判别机制、密码保护、脚本漏洞等方面进行识别评定。 v 人工审计 v 工具扫描 v 渗透测试 业务步骤 v 业务数据流向（输入、传输、存放、输出）业务策略（业务要求、使用范围、安全等级）业务实现方法、业务安全要求、各时段业务负载量、授权和认证、审计、加密、完整性、不可否认性等进行业务步骤评定。 v 问卷访谈 v 人工审计 安全管理 v 从以下几方面分析被评定信息系统安全管理情况：管理机构、管理制度、人员管理、系统建设管理和系统运维管理。 v 问卷访谈 表-7 v 脆弱性分析 在脆弱性识别基础上，深入分析被评定信息系统及其关键资产所存在各方面脆弱性即基础环境脆弱性、安全管理脆弱性、技术脆弱性。并依据其脆弱性被利用难易程度和被成功利用后所产生影响进行赋值量化。从而为最终综合风险分析提供参考数据。 脆弱性严重程度赋值方法以下： 等级 标识 定义 5 很高 假如被威胁利用，将对资产造成完全损害。 4 高 假如被威胁利用，将对资产造成重大损害。 3 中 假如被威胁利用，将对资产造成通常损害 。 2 低 假如被威胁利用，将对资产造成较小损害。 1 很低 假如被威胁利用，将对资产造成损害能够忽略。 表-8 3. 阶段结果输出：《脆弱性赋值列表》 4.2.5. 风险分析 1) 服务目标 风险是指特定威胁利用资产一个或一组脆弱性，造成资产丢失或损害潜在可能性，即特定威胁事件发生可能性和后果结合。在这个过程中，将采取最新方法进行综合分析，表述出威胁源采取何种威胁方法，利用了系统何种脆弱性，对哪一类资产，产生了什么样影响，并描述采取何种对策来防范威胁，降低脆弱性。 2) 服务内容 v 风险计算 在完成以上各项阶段评定工作后，深入分析被评定信息系统及其关键资产将面临哪首先威胁及其所采取威胁方法,利用了系统何种脆弱性，对哪一类资产，产生了什么样影响，并描述采取何种对策来防范威胁，降低脆弱性，同时将风险量化。风险计算方法： • 综合风险计算方法： • 依据风险计算公式R= f(A,V,T)=f(Ia,L(Va,T))， • 即：风险值=资产价值×威胁可能性×弱点严重性 （注：R表示风险；A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生安全事件后对组织业务影响(也称为资产关键程度)；Va表示某一资产本身脆弱性，L表示威胁利用资产脆弱性造成安全事件发生可能性。） 可依据本身情况选择对应风险计算方法计算风险值，如矩阵法或相乘法。矩阵法经过结构一个二维矩阵，形成安全事件可能性和安全事件造成损失之间二维关系；相乘法经过结构经验函数