1、風(fēng)險評估實施步驟風(fēng)評準(zhǔn)備1. 確定風(fēng)險評估的目標(biāo)2. 確定風(fēng)險評估的范圍3. 組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊4. 進(jìn)行系統(tǒng)調(diào)研，采取問卷調(diào)查、現(xiàn)場詢問等方式，至少包括以下內(nèi)容：?業(yè)務(wù)戰(zhàn)略及管理制度?主要的業(yè)務(wù)功能和要求?網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部鏈接好外部鏈接?系統(tǒng)邊界?主要的硬件、軟件?數(shù)據(jù)和信息?系統(tǒng)和數(shù)據(jù)的敏感性?支持和使用系統(tǒng)的人員5. 制定方案，為之后的風(fēng)評實施提供一個總體計劃，至少包括：?確定實施評估團(tuán)隊成員?工作計劃及時間進(jìn)度安排6. 獲得最高管理者對風(fēng)險評估工作的支持二 資產(chǎn)識別資產(chǎn)的價值是按照資產(chǎn)在 保密性 、 完整性 和 可用性 上達(dá)到的程度或者其未達(dá)到時造成的影響程度來決

2、定1. 資產(chǎn)分類根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類2. 資產(chǎn)的賦值（五個等級：可忽略、低、中等、高、極高）? 保 密性賦值 ： 根據(jù)資產(chǎn)在保密性上的不同要求， 對應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者密保性缺失時對整個組織的影響，劃分為五個不同的等級? 完 整性賦值： 根據(jù)資產(chǎn)在完整性上的不同要求，對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響，劃分為五個不同的等級? 可 用性賦值： 根據(jù)資產(chǎn)在可用性上的不同要求，對應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度，劃分為五個不同的等級?3. 資產(chǎn)重要性等級（五個等級：很低、低、中、高、很高）資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用

3、性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法， 可以根據(jù)組織自身的特點， 選擇對資產(chǎn)機(jī)密性、 完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果， 也可以根據(jù)資產(chǎn)機(jī)密性、 完整性和可用性的不同重要程度對其賦值進(jìn)行加權(quán)計算而得到資產(chǎn)的最終賦值。 加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點確定。三 威脅識別威脅是一種對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，是客觀存在的。1. 威脅的分類根據(jù)威脅的來源，威脅可分為軟硬件故障、物理環(huán)境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權(quán)或濫用、黑客攻擊技術(shù)、物理攻擊、泄密、篡改、抵賴2. 威脅的賦值（五個等級：很低、低、中、高、很高）判斷威脅出現(xiàn)

4、的頻率是威脅識別的重要工作， 評估者應(yīng)根據(jù)經(jīng)驗和 （或） 有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷。 在風(fēng)險評估過程中， 還需要綜合考慮以下三個方面， 以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：（ 1） 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；（ 2） 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；（ 3） 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。四 脆弱性識別脆弱性是對一個或多個資產(chǎn)弱點的總稱。 脆弱性識別也稱為弱點識別，弱點是資產(chǎn)本身存在的， 如果沒有相應(yīng)的威脅發(fā)生， 單純的弱點本身不會對資產(chǎn)造成損害。 而且如果系統(tǒng)足夠強(qiáng)健，再嚴(yán)重的威脅也

5、不會導(dǎo)致安全事件， 并造成損失。即，威脅總是要利用資產(chǎn)的弱點才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性， 有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)， 這是脆弱性識別中最為困難的部分。 需要注意的是， 不正確的、 起不到應(yīng)有作用的或沒有正確實施的安全 措施本身就可能是一個弱點。脆弱性識別將針對每一項需要保護(hù)的資產(chǎn)， 找出可能被威脅利用的弱點， 并對脆弱性的嚴(yán)重程度進(jìn)行評估。 脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、 使用者， 以及相關(guān)業(yè)務(wù)領(lǐng) 域的專家和軟硬件方面的專業(yè)等人員。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。1. 脆弱性識別脆弱性識別主要從技術(shù)和管理兩

6、個方面進(jìn)行， 技術(shù)脆弱性涉及物理層、 網(wǎng)絡(luò)層、 系統(tǒng)層、 應(yīng)用層等各個層面的安全問題。 管理脆弱性又可分為技術(shù)管理和組織管理兩方面， 前者與具 體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。2. 脆弱性賦值（五個等級：很低、低、中、高、很高）可以根據(jù)對資產(chǎn)損害程度、 技術(shù)實現(xiàn)的難易程度、 弱點流行程度， 采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值。 脆弱性由于很多弱點反映的是同一方面的問題， 應(yīng)綜合考 慮這些弱點，最終確定這一方面的脆弱性嚴(yán)重程度。對某個資產(chǎn)， 其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響。 因此， 資產(chǎn)的脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。五 已有安全措施的確

7、認(rèn)組織應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)， 對有效的安全措施繼續(xù)保持， 以避免不必要的工作和費用， 防止安全措施的重復(fù)實施。 對于確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施替代。六 風(fēng)險分析1. 風(fēng)險計算方法安全事件發(fā)生的可能性=L喊脅出現(xiàn)頻率，脆弱性）安全事件的損失=F（資產(chǎn)重要程度，脆弱性嚴(yán)重程度）風(fēng)險值=R佞全事件發(fā)生的可能性，安全事件的損失）評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值。 如矩陣法或相乘法， 通過構(gòu)造經(jīng)驗函數(shù)， 矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系； 運 用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到

8、風(fēng)險值。2. 風(fēng)險結(jié)果判定（五個等級：很低、低、中、高、很高） 組織應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受風(fēng)險閾值，七 風(fēng)險評估文件記錄1. 風(fēng)險評估文件記錄的要求記錄風(fēng)險評估過程的相關(guān)文件，應(yīng)該符合以下要求（但不僅限于此） ：（ 1 ）確保文件發(fā)布前是得到批準(zhǔn)的；（ 2 ）確保文件的更改和現(xiàn)行修訂狀態(tài)是可識別的；（ 3 ）確保在使用時可獲得有關(guān)版本的適用文件；（ 4 ）確保文件的分發(fā)得到適當(dāng)?shù)目刂疲唬?5 ）防止作廢文件的非預(yù)期使用，若因任何目的需保留作廢文件時，應(yīng)對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。對于風(fēng)險評估過程中形成的相關(guān)文件，還應(yīng)規(guī)定其標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處置

9、所需的控制。相關(guān)文件是否需要以及詳略程度由管理過程來決定。2. 風(fēng)險評估文件風(fēng)險評估文件包括在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此） ：（ 1 ）風(fēng)險評估計劃：闡述風(fēng)險評估的目標(biāo)、范圍、團(tuán)隊、評估方法、評估結(jié)果的形式和實施進(jìn)度等；（ 2 ）風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實施評估需要的文檔；（ 3 ）資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/ 部門；（ 4 ）重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重

10、要程度、責(zé)任人/ 部門等；（ 5 ）威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出現(xiàn)的頻率等；（ 6 ）脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴(yán)重程度等；（ 7 ）已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成已有安全措施確認(rèn)表，包括已有安全措施名稱、類型、功能描述及實施效果等；（ 8 ）風(fēng)險評估報告：對整個風(fēng)險評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象，風(fēng)險評估方法，資產(chǎn)、威脅、脆弱性的識別結(jié)果，風(fēng)險分析、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容；（ 9 ）風(fēng)險處理計劃：對評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃，選擇

11、適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險的評價確保所選擇安全措施的有效性；（ 10 ） 風(fēng)險評估記錄： 根據(jù)組織的風(fēng)險評估程序文件， 記錄對重要資產(chǎn)的風(fēng)險評估過程。評估內(nèi)容重要服務(wù)器的安全配置登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統(tǒng)服務(wù)安全檢測；系統(tǒng)安全補(bǔ)丁檢測；日志記錄審計檢測；木馬檢測。安全設(shè)備包括防火墻、入侵檢測系統(tǒng)、網(wǎng)閘、防病毒、桌面管理、審計、加密機(jī)、身份鑒別等；查看安全設(shè)備的部署情況。查看安全設(shè)備的配置策略；查看安全的日志記錄； 通過漏洞掃描系統(tǒng)對安全進(jìn)行掃描。 通過滲透性測試檢安全 配置的有效性。路由器 檢查操作系統(tǒng)是否存在安全漏洞；配置方

12、面，檢測端口開放、管理員口令設(shè)置與管理、 口令文件安全存儲形式、 訪問控制表； 是否能對配置文件 進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗余配置。物理環(huán)境 包括UPS變電設(shè)備、空調(diào)、門禁等。交換機(jī) 檢查安全漏洞和補(bǔ)丁的升級情況，各 VLAN 間的訪問控制策略；口 令設(shè)置和管理，口令文件的安全存儲形式；配置文件的備份。風(fēng)險評估流程風(fēng)險評估流程包括系統(tǒng)調(diào)研、資產(chǎn)識別、威脅識別、脆弱性識別（包括現(xiàn)有 控制措施確認(rèn)）、風(fēng)險綜合分析以及風(fēng)險控制計劃六個階段。風(fēng)險評估準(zhǔn)備系統(tǒng)調(diào)研 是熟悉和了解組織和系統(tǒng)的基本情況，對組織IT 戰(zhàn)略，業(yè)務(wù)目標(biāo)、業(yè)務(wù)類型和業(yè)務(wù)流程以及所依賴的信息系統(tǒng)基礎(chǔ)架構(gòu)的基本狀況和安全需求

13、等進(jìn)行調(diào)研和診斷。資產(chǎn)識別 是對系統(tǒng)中涉及的重要資產(chǎn)進(jìn)行識別，并對其等級進(jìn)行評估，形成資產(chǎn)識別表。資產(chǎn)信息至少包括：資產(chǎn)名稱、資產(chǎn)類別、資產(chǎn)價值、資產(chǎn)用途、主機(jī)名、IP地址、硬件型號、操作系統(tǒng)類型及版本、數(shù)據(jù)庫類型及版本、應(yīng)用系 統(tǒng)類型及版本等。威脅識別 是對系統(tǒng)中涉及的重要資產(chǎn)可能遇到的威脅進(jìn)行識別， 并對其等級進(jìn)行評估， 形成威脅識別表。 識別的過程主要包括威脅源分析、 歷史安全事件分析、實時入侵事件分析幾個方面。脆弱性識別 是對系統(tǒng)中涉及的重要資產(chǎn)可能被對應(yīng)威脅利用的脆弱性進(jìn)行識別， 并對其等級進(jìn)行評估， 形成脆弱性識別表。 脆弱性識別又具體分為物理安全、 網(wǎng)絡(luò)安全、 主機(jī)系統(tǒng)安全、 應(yīng)

14、用安全、 數(shù)據(jù)安全、 安全管理六個方面的內(nèi)容。風(fēng)險綜合分析 是根據(jù)對系統(tǒng)資產(chǎn)識別，威脅分析，脆弱性評估的情況及收集的數(shù)據(jù)， 定性和定量地評估系統(tǒng)安全現(xiàn)狀及風(fēng)險狀況， 評價現(xiàn)有保障措施的運行效能及對風(fēng)險的抵御程度。結(jié)合系統(tǒng)的 IT 戰(zhàn)略和業(yè)務(wù)連續(xù)性目標(biāo)，確定系統(tǒng)不可接受風(fēng)險范圍。風(fēng)險控制計劃 是針對風(fēng)險評估中識別的安全風(fēng)險，特別是不可接受風(fēng)險，制定風(fēng)險控制和處理計劃， 選擇有效的風(fēng)險控制措施將殘余風(fēng)險控制在可接受范圍內(nèi)。風(fēng)險評估是按照ISO 27001建立信息安全管理體系的基礎(chǔ)，是PDCA循環(huán)的策劃階段的主要工作內(nèi)容，根據(jù)風(fēng)險評估結(jié)果來從ISO 17799 中選擇控制目標(biāo)與控制方式。風(fēng)險評估是建

15、立 ISMS 的基礎(chǔ)，處于27001 的第一個環(huán)節(jié)計劃階段（P） ，也為風(fēng)險管理提供依據(jù)；等級保護(hù)理論上和 27001 沒有直接關(guān)系， 但是目前等保的管理安全部分借鑒了 27001 的控制域部分要求，二者是可以相融合的P 階段：建立ISMS（PLAN）?定義ISMS 的范圍?定義ISMS 策略? 定義系統(tǒng)的風(fēng)險評估途徑? 識別風(fēng)險? 評估風(fēng)險? 識別并評價風(fēng)險處理措施? 選擇用于風(fēng)險處理的控制目標(biāo)和控制? 準(zhǔn)備適用性聲明（SoA）? 取得管理層對殘留風(fēng)險的承認(rèn)，并授權(quán)實施和操作 ISMS信息安全風(fēng)險評估項目工序與流程一、項目啟動1 .雙方召開項目啟動會議，確定各自接口負(fù)責(zé)人。=工作輸出2 .業(yè)

16、務(wù)安全評估相關(guān)成員列表（包括雙方人員）3 .報告藍(lán)圖=備注1 .務(wù)必請指定業(yè)務(wù)實施負(fù)責(zé)人作為項目接口和協(xié)調(diào)人；列出人員的電話號碼和電子郵件帳 號以備聯(lián)絡(luò)。二、確定工作范圍2 .請局方按合同范圍提供資產(chǎn)表，也即掃描評估范圍。3 .請局方指定需進(jìn)行人工評估的資產(chǎn)，確定人工評估范圍。4 .請局方給所有資產(chǎn)賦值（雙方確認(rèn)資產(chǎn)賦值）5 .請局方指定安全管理問卷調(diào)查（訪談）人員，管理、員工、安全主管各一人。=工作輸出1 .會議備忘（要求簽字確認(rèn)）2 .資產(chǎn)表（包括人工評估標(biāo)記和資產(chǎn)值）=備注1 .資產(chǎn)數(shù)量正負(fù)不超過 15%;給資產(chǎn)編排序號，以方便事后檢查。2 .給人工評估資產(chǎn)做標(biāo)記，以方便事后檢查。3 .

17、資產(chǎn)值是評估報告的重要數(shù)據(jù)。三、制定整體實施計劃1 .按照工作范圍制定整個項目的總體計劃，包括現(xiàn)場準(zhǔn)備、掃描評估、人工評估、問卷調(diào) 查、加固實施等各階段。2 .與接口負(fù)責(zé)人共同確定針對各相關(guān)資產(chǎn)進(jìn)行管理評估，入侵檢測系統(tǒng)實施掃描評估、人 工評估的日期和時間段。=工作輸出1 .總體項目進(jìn)度甘特圖2 .評估階段工作計劃表=備注1 .掃描評估、人工評估、問卷調(diào)查在可能的情況下可以同期進(jìn)行；工作計劃表交項目 經(jīng)理參考，以便配合。2 .確定日期以便于制定工作計劃；確定時間段（白天、晚間、夜間甚至鐘點）對加固階段 詳細(xì)計劃的確定更重要。四、管理評估階段1 .提供現(xiàn)有的安全管理規(guī)范和管理制度。2 .提供對應(yīng)

18、業(yè)務(wù)的系統(tǒng)信息，包括拓?fù)鋱D、業(yè)務(wù)功能說明、業(yè)務(wù)流程說明（如能提供系統(tǒng) 設(shè)計方案更佳）。3 .對應(yīng)業(yè)務(wù)的管理、員工、安全主管進(jìn)行訪談。4 .對現(xiàn)有安全管理制度的實行情況進(jìn)行審計。5 .對評估中需要的其他策略文檔進(jìn)行收集。=工作輸出1 .資料接收單2 .安全訪談記錄單=備注1 .對提供的電子或紙質(zhì)文檔進(jìn)行嚴(yán)格的保密和內(nèi)部使用控制，資料接收時需要填寫資料 接收單并簽字。2 .訪談記錄單內(nèi)容需要與被訪談人進(jìn)行確認(rèn)及簽字。3 .對于發(fā)現(xiàn)的重要情況，均須與對應(yīng)配合人員進(jìn)行確認(rèn)，重大內(nèi)容需要雙方簽字。五、技術(shù)評估階段1 .提出掃描申請2 .每日制定第二天的日工作計劃，包括掃描評估、人工評估、問卷調(diào)查等詳細(xì)計劃。3 .進(jìn)行掃描評估（每次掃描完成后，應(yīng)有掃描確認(rèn)，需用戶方簽字）。4 .進(jìn)行人工評估（每次人工評估完成后，應(yīng)有人工評估確認(rèn)，需用戶方簽字）。6 .雙方協(xié)商布置在網(wǎng)絡(luò)關(guān)鍵節(jié)點上布置入侵檢測系統(tǒng)（一般放置3天）。7 .在整個項目技術(shù)部分基本結(jié)束時，雙方協(xié)商進(jìn)行滲透測試。8 .每日進(jìn)行記錄和總結(jié)。9 .逢周末進(jìn)行周工作總結(jié)。=工作輸出1 .掃描申請報告/原始弱點報告2 .日工作計劃3 .工作確認(rèn)單4 .評估數(shù)據(jù)5 .入侵檢測系統(tǒng)布置申請報告入侵檢測系統(tǒng)日志分析報告6 .滲透測試申請報告 /滲