城云科技（杭州）有限公司

信息平安風(fēng)險(xiǎn)管理程序

文檔編號3.1受控狀態(tài)受控

版本號V2.0作者鄂鵬羽

審核人李振華批準(zhǔn)人夏敏

發(fā)布日期2014/12/1批準(zhǔn)日期2014/12/1

書目

信息平安風(fēng)險(xiǎn)管理程序..................................................................1

第一章目的........................................................................1

其次章范圍........................................................................1

第三章名詞說明.....................................................................1

第四章風(fēng)險(xiǎn)評估方法................................................................2

第五章風(fēng)險(xiǎn)評估實(shí)施................................................................5

第六章風(fēng)險(xiǎn)管理要求................................................................18

第七章附則......................................................................19

第八章檢查要求....................................................................19

第一章目的

第一條目的：指導(dǎo)信息平安組織針對信息系統(tǒng)及其管理開展的信息

風(fēng)險(xiǎn)評估工作。本指南定義了風(fēng)險(xiǎn)評估的基本概念、原理及實(shí)施流程；對

資產(chǎn)、威逼和脆弱性識別要求進(jìn)行了詳細(xì)描述。

第二章范圍

第二條范圍：適用于風(fēng)險(xiǎn)評估組開展各項(xiàng)信息平安風(fēng)險(xiǎn)評估工作。

第三章名詞說明

第三條資產(chǎn)

對組織具有價(jià)值的信息或資源，是平安策略愛惜的對象。

第四條資產(chǎn)價(jià)值

資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)

行資產(chǎn)識別的主要內(nèi)容。資產(chǎn)價(jià)值通過機(jī)密性、完整性和可用性三個(gè)方面

評估計(jì)算獲得。

(一)機(jī)密性(Confidentiality)：確保只有經(jīng)過授權(quán)的人才能訪問

信息；

(二)完整性(Integrality)：愛惜信息和信息的處理方法精確而完

整；

(三)可用性(Availability)：確保經(jīng)過授權(quán)的用戶在須要時(shí)可以

訪問信息并運(yùn)用相關(guān)信息資產(chǎn)。

第五條威逼

可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。

第六條脆弱性

可能被威逼所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)。

第七條信息平安風(fēng)險(xiǎn)

人為或自然的威逼利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致

平安事務(wù)的發(fā)生及其對組織造成的影響。

第八條信息平安評估

依據(jù)有關(guān)信息平安技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和

存儲的信息的機(jī)密性、完整性和可用性等平安屬性進(jìn)行評價(jià)的過程。它要

評估資產(chǎn)面臨的威逼以及威逼利用脆弱性導(dǎo)致平安事務(wù)的可能性，并結(jié)合

平安事務(wù)所涉及的資產(chǎn)價(jià)值來推斷平安事務(wù)一旦發(fā)生對組織造成的影響。

第九條殘余風(fēng)險(xiǎn)

實(shí)行了平安措施后，信息系統(tǒng)照舊可能存在的風(fēng)險(xiǎn)。

第四章風(fēng)險(xiǎn)評估方法

第十條風(fēng)險(xiǎn)管理模型

圖1風(fēng)險(xiǎn)管理模型

圖1為風(fēng)險(xiǎn)管理的基本模型，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬

性。風(fēng)險(xiǎn)管理圍圍著資產(chǎn)、威逼、脆弱性和平安措施這些基本要素綻開。

信息平安風(fēng)險(xiǎn)評估在對風(fēng)險(xiǎn)管理要素的評估過程中，須要充分考慮業(yè)務(wù)戰(zhàn)

略、資產(chǎn)價(jià)值、平安需求、平安事務(wù)、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的

各類屬性。

圖1中的風(fēng)險(xiǎn)管理要素及屬性之間存在著以下關(guān)系：

（一）業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對資產(chǎn)具有依靠性，依靠程度越高，要求其風(fēng)

險(xiǎn)越小；

（二）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依靠程度越高，資

產(chǎn)價(jià)值就越大；

（三）風(fēng)險(xiǎn)是由威逼引發(fā)的，資產(chǎn)面臨的威逼越多則風(fēng)險(xiǎn)越大，并可

能演化成為平安事務(wù)；

（四）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的弱點(diǎn)越多則風(fēng)

險(xiǎn)越大；

（五）脆弱性是未被滿足的平安需求，威逼利用脆弱性危害資產(chǎn)；

（六）風(fēng)險(xiǎn)的存在及對風(fēng)險(xiǎn)的相識導(dǎo)出平安需求；

（七）平安需求可通過平安措施得以滿足，須要結(jié)合資產(chǎn)價(jià)值考慮實(shí)

施成本；

（八）平安措施可抵抗威逼，降低風(fēng)險(xiǎn)；

（九）殘余風(fēng)險(xiǎn)有些是平安措施不當(dāng)或無效,須要加強(qiáng)才可限制的風(fēng)

險(xiǎn)；而有些則是在綜合考慮了平安成本與效益后不去限制的風(fēng)險(xiǎn)；

（十）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的平安事務(wù)。

第十一條風(fēng)險(xiǎn)評估模型

圖2風(fēng)險(xiǎn)評估原理圖

風(fēng)險(xiǎn)評估的過程中主要包含信息資產(chǎn)（InformationAsset）,脆弱性

（Vulnerability）＞喊逼（Threat）、影響（Impact）和風(fēng)險(xiǎn)（Risk）五

個(gè)要素。信息資產(chǎn)的基木屬性是資產(chǎn)價(jià)值(AssetsValue),脆弱性的基

本屬性是被威逼利用的難易程度(HowEasilyExploitedbyThreats)、

威逼的基本屬性是威逼的可能性(ThreatLikelihood)、影響度的基本屬

性是嚴(yán)峻性(Severity),它們干脆影響風(fēng)險(xiǎn)的兩個(gè)屬性，風(fēng)險(xiǎn)的后果(Risk

Consequence)和風(fēng)險(xiǎn)的可能性(RiskLikelihood)。其中資產(chǎn)價(jià)值和影

響的嚴(yán)峻性構(gòu)成風(fēng)險(xiǎn)的后果，脆弱性被威逼利用的難易程度和威逼的可能

性構(gòu)成風(fēng)險(xiǎn)的可能性，風(fēng)險(xiǎn)的后果和風(fēng)險(xiǎn)的可能性構(gòu)成風(fēng)險(xiǎn)。

第十二條風(fēng)險(xiǎn)評估方法

圖3風(fēng)險(xiǎn)評估方法

風(fēng)險(xiǎn)評估的主要內(nèi)容為：

(一)對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的價(jià)值進(jìn)行賦值；

(二)對威逼進(jìn)行識別，描述威逼的屬性，并對威逼出現(xiàn)的頻率賦值;

(三)對脆弱性進(jìn)行識別，并對詳細(xì)資產(chǎn)的脆弱性的嚴(yán)峻程度賦值；

(四)依據(jù)威逼及威逼利用脆弱性的難易程度推斷平安事務(wù)發(fā)生的可

能性；

(五)依據(jù)脆弱性的嚴(yán)峻程度及平安事務(wù)所作用的資產(chǎn)的價(jià)值計(jì)算平

安事務(wù)的損失；

(六)依據(jù)平安事務(wù)發(fā)生的可能性以及平安事務(wù)出現(xiàn)后的損失，計(jì)算

平安事務(wù)一旦發(fā)生對組織的影響;

（七）綜合分析，接受適當(dāng)?shù)姆绞接?jì)算風(fēng)險(xiǎn)值。

第五章風(fēng)險(xiǎn)評估實(shí)施

第十三條風(fēng)險(xiǎn)評估的準(zhǔn)備

風(fēng)險(xiǎn)評估的準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評估過程有效性的保證。組織實(shí)施風(fēng)險(xiǎn)評

估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、平安需

求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險(xiǎn)評估實(shí)施前應(yīng)：

（一）確定風(fēng)險(xiǎn)評估的目標(biāo)；

（二）確定風(fēng)險(xiǎn)評估的范圍；

（三）組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)；

（四）進(jìn)行系統(tǒng)調(diào)研；

（五）確定評估依據(jù)和方法（即評估列表）；

（六）獲得最高管理者對風(fēng)險(xiǎn)評估工作的支持。

第十四條資產(chǎn)識別

資產(chǎn)識別是對干脆賜予了價(jià)值因而須要愛惜的資產(chǎn)進(jìn)行分類卻價(jià)值

等級賦值。資產(chǎn)分類和賦值方法可依據(jù)IS027001體系結(jié)合組織自身狀況

完成，資產(chǎn)價(jià)值作為風(fēng)險(xiǎn)計(jì)算的輸入。

第十五條威逼評估

平安威逼是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或

者事務(wù)。產(chǎn)生平安威逼的主要因素可以分為人為因素和環(huán)境因素。人為因

素包括有意因素和無意因素。環(huán)境因素包括自然界的不行抗力因素和其它

物理因素。

威逼可能是對信息系統(tǒng)干脆或間接的攻擊，例如非授權(quán)的泄露、篡改、

刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威逼也可能是偶發(fā)

的、或蓄意的事務(wù)。一般來說，威逼總是要利用網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或數(shù)據(jù)

的弱點(diǎn)才可能成功地對資產(chǎn)造成損害。

平安事務(wù)及其后果是分析威逼的重要依據(jù)。但是有相當(dāng)一部分威逼發(fā)

生時(shí)，由于未能造成后果，或者沒有意識到，而被平安限制人員忽視。這

將導(dǎo)致對平安威逼的相識出現(xiàn)偏差。

威逼分析方法首先須要考慮威逼的來源，然后分析各種來源存在哪些

威逼種類，最終做出威逼來源和威逼種類的列表進(jìn)行威逼賦值。

（一）威逼來源分析

信息系統(tǒng)的平安威逼來源可考慮以下方面：

表1:威逼來源

威逼源威逼分類威逼來源描述

內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)切和不專注，或者沒有遵

非惡意人員循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊：內(nèi)部人員由于缺乏培

威逼事務(wù)訓(xùn)，專業(yè)技能不足，不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻

擊。

不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；接受自主的

人為因

或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲得利益。

素

第三方合作伙伴和供應(yīng)商，包括業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙

惡意人員

伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無惡

威逼事務(wù)

意的行為。

外部人員利用信息系統(tǒng)的弱點(diǎn)，對網(wǎng)絡(luò)和系統(tǒng)的機(jī)密性、完整性和

可用性進(jìn)行破壞，以獲得利益或炫耀實(shí)力。

自然威逼事

洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)難

務(wù)

環(huán)境威物理威逼事

由于斷電、靜電、灰塵、潮濕、溫度、鼠蚊蟲害、電磁干擾、；

逼務(wù)

非人為系統(tǒng)

意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。

威逼事務(wù)

社會動亂

社會因素威逼

恐怖攻擊

（二）威逼種類分析

對平安威逼進(jìn)行分類的方式有多種多樣，針對卜表威逼來源，組織信

息管理部的平安威逼種類按類列舉如下表所示。

威逼的編號依據(jù)類別進(jìn)行劃分，以字母“T”開頭(Threats),其次

個(gè)字母為威逼類型，洌如人員威逼為TP為前綴，以連接，以數(shù)字后

綴為序列。

威逼威逼分威逼編

威逼類型威逼表現(xiàn)威逼注釋

源類號

在正常工作或運(yùn)用過程中，由

無作為或操作于技能不足或精神不集中導(dǎo)致

TP-01操作失誤、錯(cuò)誤

失誤的操作不當(dāng)、設(shè)置錯(cuò)誤，無意

中造成對資產(chǎn)的侵害

無作為或操作無意識傳播惡運(yùn)用個(gè)人電腦、移動介質(zhì)等時(shí)

TP-02

失誤意代碼無意識中傳播了惡意的代碼，

非惡意

TP-03管理不到位遺失無意遺失重要資產(chǎn)

人員

感染流行病或傳染病導(dǎo)致無法

威逼事TP-04管理不到位生病

正常出勤

務(wù)

因事假或離職導(dǎo)致無法正常工

TP-05管理不到位事假、離職

作

在正常工作或運(yùn)用過程中，由

無作為或操作工作疏忽、監(jiān)控于技能不足或精神不集中導(dǎo)致

TP-06

失誤不力、推斷失誤的監(jiān)察不力、響應(yīng)不剛好等，

無意中造成對資產(chǎn)的侵害

蓄意以各種方式破壞信息資

TP-07物理攻擊蓄意破壞產(chǎn)，可能導(dǎo)致資產(chǎn)不行用，如

人為

縱火，在系統(tǒng)中有意留后門

因素

對系統(tǒng)中數(shù)據(jù)進(jìn)行惡意刪除等

TP-08篡改數(shù)據(jù)破壞

行為

非授權(quán)地對網(wǎng)絡(luò)或系統(tǒng)進(jìn)行訪

非授權(quán)訪問/運(yùn)問，非授權(quán)地運(yùn)用設(shè)備或軟件，

TP-09越權(quán)或?yàn)E用

用如對系統(tǒng)內(nèi)容非法下載或批量

惡意人導(dǎo)出，非授權(quán)掃描

員病毒、蠕蟲、邏輯炸彈、木馬

TP-10惡意代碼惡意代碼攻擊

威逼事后門等惡意代碼的攻擊

務(wù)對系統(tǒng)或數(shù)據(jù)進(jìn)行非授權(quán)篡

TP-11篡改非授權(quán)篡改

改，導(dǎo)致完整性丟失

擅自通過互聯(lián)網(wǎng)下載、運(yùn)用公

擅自運(yùn)用非授

TP-12管理不到位司非授權(quán)軟件，可能造成版權(quán)

權(quán)軟件

等符合性問題

黑客利用各種手段對公司信息

TP-13網(wǎng)絡(luò)攻擊黑客入侵

系統(tǒng)實(shí)施攻擊

TP-14網(wǎng)絡(luò)攻擊DOS攻擊攻擊方發(fā)動拒絕服務(wù)攻擊

TP-15物理環(huán)境影響盜竊竊取物品

非授權(quán)人員冒用他人或授權(quán)人

TP-16越權(quán)或?yàn)E用身份假冒

員身份

通過網(wǎng)絡(luò)嗅探、偷聽、搭線竊

TP-17網(wǎng)絡(luò)攻擊竊聽

聽等途徑非法獲得信息

完成某項(xiàng)工作的合格的人力資

TP-18管理不到位人員短缺

源不足

TP-19管理不到位泄密泄漏敏感信息或電子數(shù)據(jù)

以非技術(shù)手段（例如欺瞞）獲

TP-20管理不到位社會工程/欺瞞

得特定信息，包括間諜行為

無法進(jìn)行審查不承認(rèn)之前的行為或操作，無

TP-21抵賴

的抵賴行為法追查當(dāng)事人責(zé)任

TP-22管理不到位商業(yè)間諜行為通過賄賂等行為刺探商業(yè)情報(bào)

向主管機(jī)關(guān)和利益集團(tuán)申告存

TP-23管理不到位惡意申告在的軟件正版化等問題，或由

此進(jìn)行敲詐

TE-01物理環(huán)境影響雷電資產(chǎn)所處地點(diǎn)可能發(fā)生雷電

TE-02物理環(huán)境影響臺風(fēng)資產(chǎn)所處地點(diǎn)可能發(fā)生臺風(fēng)

TE-03物理環(huán)境影響暴雨資產(chǎn)所處地點(diǎn)可能發(fā)生暴雨

自然威

TE-04物理環(huán)境影響海嘯資產(chǎn)所處地點(diǎn)可能發(fā)生海嘯

逼事務(wù)

TE-05物理環(huán)境影響洪水資產(chǎn)所處地點(diǎn)可能發(fā)生洪水

TE-06物理環(huán)境影響冰雹資產(chǎn)所處地點(diǎn)可能發(fā)生冰直

TE-07物理環(huán)境影響地震資產(chǎn)所處地點(diǎn)可能發(fā)生地震

極端的溫度/濕資產(chǎn)所處環(huán)境的溫度/濕度發(fā)

TE-08軟硬件故障

度生猛烈變更，超出正常范圍。

TE-09物理環(huán)境影響落塵資產(chǎn)所處物理環(huán)境灰塵大

TE-10物理環(huán)境影響老鼠、蟲蚊咬食資產(chǎn)被老鼠、蟲蟻破壞

TE-11軟硬件故障電力故障電力中斷或者供電不穩(wěn)定

TE-12物理環(huán)境影響灰塵環(huán)境中存在嚴(yán)峻的落塵問題

環(huán)境

資產(chǎn)所處環(huán)境受到污染，包括

威逼TE-13物理環(huán)境影響環(huán)境污染

有毒氣體和液體

資產(chǎn)所處環(huán)境存在電磁輻射或

TE-14物理環(huán)境影響電磁輻射/干擾

物理威干擾

逼事務(wù)資產(chǎn)所處環(huán)境存在嚴(yán)峻的靜電

TE-15物理環(huán)境影響靜電

問題

TE-16物理環(huán)境影響供水故障出現(xiàn)停水、水壓低等狀況

出現(xiàn)空調(diào)制冷量不正常、空調(diào)

TE-17軟硬件故障空調(diào)故障

設(shè)施機(jī)械故障等狀況

消防水管裂開、空調(diào)漏水、漏

TE-18軟硬件故障液體泄漏

雨

設(shè)備所處地點(diǎn)的電壓出現(xiàn)異樣

TE-19軟硬件故障電壓異樣波動

的波動

TE-20軟硬件故障爆炸資產(chǎn)所處地點(diǎn)發(fā)生爆炸

非人為TE-21軟硬件故障軟件故障軟件因?yàn)楣收隙捎眯越档突?/p>

系統(tǒng)威不行用

逼事務(wù)因蠕蟲、拒絕服務(wù)攻擊、突發(fā)

軟件運(yùn)用量異訪問或業(yè)務(wù)增長等，軟件容量、

TE-22軟硬件故障

樣性能不足或資源耗竭而導(dǎo)致可

用性降低或不行用

硬件部件技術(shù)設(shè)備出現(xiàn)老化或故障而導(dǎo)致可

TE-23軟硬件故障

故障用性降低或不行用

因蠕蟲、拒絕服務(wù)攻擊、突發(fā)

硬件部件運(yùn)用訪問或業(yè)務(wù)增長等，硬件部件

TE-24軟硬件故障

星異樣容量不足或資源耗竭而導(dǎo)致可

用性降低或不行用

通信線路技術(shù)設(shè)備出現(xiàn)老化或故障而導(dǎo)致可

TE-25軟硬件故障

故障用性降低或不行用

因蠕蟲、拒絕服務(wù)攻擊、突發(fā)

訪問或業(yè)務(wù)增長等，通訊流量

TE-26通信流量異樣通信流量異樣

異樣增大而導(dǎo)致可用性、服務(wù)

質(zhì)量降低或不行用

存儲介質(zhì)出現(xiàn)老化或故障而導(dǎo)

TE-27軟硬件故障存儲介質(zhì)損壞

致可用性降低或不行用

存儲介質(zhì)空間出現(xiàn)不足，介質(zhì)

存儲介質(zhì)空間

TE-28軟硬件故障老化或故障而導(dǎo)致可用性降低

運(yùn)用量異樣

或不行用

因政治事務(wù)導(dǎo)致組織業(yè)務(wù)發(fā)生

TS-1社會動亂突發(fā)政治事務(wù)

變更

社會因素威逼

業(yè)務(wù)系統(tǒng)和組織遭受恐怖組織

TS-2恐怖攻擊暴力攻擊

或相關(guān)群體攻擊

表2：威逼類型列表

（三）威逼賦值

本風(fēng)險(xiǎn)評估管理方法通過對于威逼的可能性（Likelihood）屬性（*

留意：此處描述的是威逼的可能性，并不是風(fēng)險(xiǎn)的可能性，威逼要實(shí)際產(chǎn)

生影響還要考慮脆弱性被利用的難易程度這個(gè)因素。）進(jìn)行分析賦值。賦

值取決于威逼發(fā)生的概率和威逼發(fā)生的頻率。我們用變量T來表示威逼的

可能性，它可以被賜予一個(gè)數(shù)值，來表示該屬性的程度。確定威逼發(fā)生的

可能性是風(fēng)險(xiǎn)評估的重要環(huán)節(jié)，評估人員應(yīng)當(dāng)依據(jù)閱歷和相關(guān)的統(tǒng)計(jì)數(shù)據(jù)

來推斷威逼發(fā)生的概率和頻率。

實(shí)際評估過程中，威逼的可能性賦值須要參考下面三方面的資料和信

息來源，綜合考慮，形成在特定評估環(huán)境中各種威逼發(fā)牛的可能性。

(1)通過評估體過去的平安事務(wù)報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威

逼和其發(fā)生頻率；

(2)在評估體實(shí)際環(huán)境中，通過平安設(shè)備系統(tǒng)獲得的威逼發(fā)生數(shù)據(jù)

的統(tǒng)計(jì)和分析，各種日志中威逼發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；

(3)過去一年或兩年來相關(guān)信息平安管理機(jī)構(gòu)發(fā)布的對于整個(gè)社會

或特定行業(yè)平安威逼發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。

威逼的賦值標(biāo)準(zhǔn)參照下表：

描述說明

4幾乎確定預(yù)期在大多數(shù)狀況下發(fā)生，不行避開090%)

3很可能在大多數(shù)狀況下，很有可能會發(fā)生(50%~90%)

2可能在某種狀況下或某個(gè)時(shí)間，可能會發(fā)生(20%~50%)

1不太可能發(fā)生的可能性很小，不太可能(〈20%)

0罕見僅在特殊例外的狀況下發(fā)生，特殊罕見，幾乎不行能

(0%"1%)

表3：威逼賦值標(biāo)準(zhǔn)

第十六條脆弱性評估

脆弱性評估主要目的是評估信息資產(chǎn)的弱點(diǎn)。通常信息資產(chǎn)存在的弱

點(diǎn)主要表現(xiàn)在三個(gè)方面：平安限制方面、承載信息資產(chǎn)的IT設(shè)備方面以

及處理、加工這些信息資產(chǎn)的應(yīng)用系統(tǒng)方面。因此弱點(diǎn)評估也主要依據(jù)這

三個(gè)方面進(jìn)行。

(一)脆弱性的識別

脆弱性的識別和獲得通過以下多種方式：工具掃描、人工分析、模擬

攻擊測試(PenetrationTesting),網(wǎng)絡(luò)架構(gòu)分析、業(yè)務(wù)流程分析等。評

估人員依據(jù)詳細(xì)的評估對象、評估目的來選擇詳細(xì)的脆弱性獲得方式。

在脆弱性的識別和獲得必需對應(yīng)前一個(gè)過程中識別出的威逼列表，不

能被列表中威逼所利用的脆弱性在風(fēng)險(xiǎn)評估中沒有意義，可以不進(jìn)行識

別。同時(shí)，因?yàn)橥苼碓纯梢苑譃閮?nèi)部和外部，所以脆弱性的獲得方法也

可以依據(jù)威逼的來源不同而選擇不同的獲得方式，比如從內(nèi)網(wǎng)獲得和從外

網(wǎng)獲得。

?平安限制脆弱性評估：可依據(jù)iso27002的14個(gè)方面對整體平

安限制評估；

?設(shè)備脆弱性評估：可通過網(wǎng)絡(luò)掃描及專家人工評估方法對IT

設(shè)備進(jìn)行評估；

?應(yīng)用系統(tǒng)脆弱性評估：可通過對應(yīng)用系統(tǒng)的網(wǎng)絡(luò)構(gòu)架、系統(tǒng)主

機(jī)、數(shù)據(jù)流分析等方法進(jìn)行評估。

(二)脆弱性分類

脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件

和信息等各種資產(chǎn)的脆弱性。

脆弱性的編號依據(jù)類別進(jìn)行劃分，以字母“V”開頭

(Vulnerabilities),其次個(gè)字母為脆弱性類型，例如組織管理脆弱性以

VP為前綴，以“-”連接，以數(shù)字后綴為序列。

脆弱性分脆弱性子

脆弱性編號脆弱性類型

類類

VP-01IT治理機(jī)制不夠完善

VP-02缺乏總體IT規(guī)劃

VP-03缺乏平安方針

VP-04缺乏組織范圍內(nèi)統(tǒng)一的平安策略

VP-05缺乏可執(zhí)行性的平安程序

VP-06平安技術(shù)與管理措施不能有效結(jié)合

組織管理

VP-07沒有科學(xué)有效的資產(chǎn)管理或配置管理

VP-08沒有跨部門的協(xié)調(diào)組織

VP-09沒有負(fù)責(zé)平安管理部門

VP-10沒有建立完善的溝通溝通機(jī)制

管理脆弱

VP-11組織的重要記錄沒有得到愛惜

性

VP-12業(yè)務(wù)流程設(shè)計(jì)沒有既定明確的要求

VH-01人員學(xué)問水平缺乏

VH-02人員技能缺乏

VJI-03人員平安意識缺乏

V1I-04人員敬業(yè)精神不夠

人員管理VH-05不能遵守操作規(guī)程

VH-06道德風(fēng)險(xiǎn)

VH-07人員流淌頻繁

VH-08沒有簽訂協(xié)議

VH-09沒有背景調(diào)杳

VH-10崗位職責(zé)中沒有平安要求

VH-11平安無法與員工績效掛鉤

VH-12人員缺乏職責(zé)分別

VH-13沒有人員備份機(jī)制

VH-14缺乏對員工行為的審計(jì)

VE-01電力單路

VE-02線路暴露

VE-03場所很簡潔進(jìn)入

VE01場所監(jiān)控有盲點(diǎn)

VE-05場所易受雷擊

物理環(huán)境

VE-06場所易進(jìn)水

VE-07場所易燃燒

VE-08場所不抗宸

VE-09電力容量不夠

VE-10場地不夠

VM-01設(shè)備易受電力變更影響

VM-02設(shè)備、介偵易損壞

VM-03電源開關(guān)沒有限制未經(jīng)授權(quán)的運(yùn)用

VM-04存儲空間不夠

VM-05運(yùn)算實(shí)力不夠

VM-06信號輻射

VM-07設(shè)備性能差

技術(shù)脆弱VM-08存在單點(diǎn)故障

性VM-09口令更改周期較長

VM-10線路輻射

硬件VM-11協(xié)議開放

VM-12明文傳輸

VM-13隨意接入

VM-14口令簡潔

VM-15協(xié)議漏洞

VM-16帶寬不夠

VM-17很簡潔進(jìn)入

VM-18可用性差

VM-19SNMP的Community值為缺省

VM-20無網(wǎng)絡(luò)流量監(jiān)控管理措施

VM-21缺少處置、報(bào)廢規(guī)定

VS-01系統(tǒng)沒有剛好更新補(bǔ)丁

VS-02系統(tǒng)開放默認(rèn)服務(wù)和端口

軟件及應(yīng)

VS-03系統(tǒng)存在可疑服務(wù)和端口

用系統(tǒng)

VS-04系統(tǒng)管理員和用戶弱口令或空口令

VS-05系統(tǒng)沒有實(shí)現(xiàn)賬號實(shí)名制

VS-06系統(tǒng)沒有開放審計(jì)日志功能

VS-07系統(tǒng)沒有啟用平安選項(xiàng)

VS-08系統(tǒng)沒有啟用帳戶密碼平安策略

VS-09系統(tǒng)運(yùn)用默認(rèn)共享

VS-10系統(tǒng)無權(quán)限限制措施

VS-11特權(quán)賬戶沒有限制

VS-12版本較低

VS-13存在弱密碼或空密碼

VS11系統(tǒng)漏洞

VS-15配置漏洞

VS-16存在后門

VS-17沒有數(shù)據(jù)加密功能

VS-18軟件架構(gòu)缺陷

VS-19很簡潔變更

VB-01業(yè)務(wù)流程缺陷

VB-02業(yè)務(wù)邏輯錯(cuò)誤

業(yè)務(wù)設(shè)計(jì)VB-03業(yè)務(wù)系統(tǒng)設(shè)計(jì)性能不足

和流程VB-04業(yè)務(wù)系統(tǒng)功能實(shí)現(xiàn)不足

VB-05業(yè)務(wù)系統(tǒng)缺乏審計(jì)和記錄

VB-06業(yè)務(wù)系統(tǒng)缺乏連續(xù)性支配

VR-01缺乏服務(wù)水平協(xié)議

VR-02服務(wù)不符合業(yè)務(wù)需求

VR-03服務(wù)響應(yīng)不剛好

服務(wù)

VR-04服務(wù)易中斷

VR-05沒有依據(jù)規(guī)范執(zhí)行

VR-06服務(wù)成木太高

VL-01沒有識別相應(yīng)的法律、法規(guī)

法規(guī)法規(guī)

VL-02不符合法律法規(guī)要求

VI-01信息缺乏精確性

VI-02信息缺乏剛好性

其他信息類VT-03信息簡潔傳播

VT-04信息簡潔毀損

VI-05信息簡潔丟失

無形資產(chǎn)VT-01復(fù)原困難

類VT-02簡潔受到損害

表3：脆弱性類別列表

（三）脆弱性屬性

參照國際平安標(biāo)準(zhǔn)，本管理方法將脆弱性屬性定義為脆弱性的嚴(yán)峻

性，既脆弱性被某些威逼利用后產(chǎn)生的影響的嚴(yán)峻程度，

（三）脆弱性賦值

在CVE和業(yè)界大多數(shù)的掃描器中關(guān)于技術(shù)性脆弱性的嚴(yán)峻性

（Severity）定義中，都是指可能引發(fā)的影響的嚴(yán)峻性，參考業(yè)界通用的

脆弱性嚴(yán)峻性等級劃分標(biāo)準(zhǔn)，我們接受的等級劃分標(biāo)準(zhǔn)如下：

簡稱說明

4VH脆弱性很簡潔被利用，假如被威逼利用，將對資產(chǎn)造成完全損害

3H脆弱性簡潔被利用，假如被威逼利用，將對資產(chǎn)造成重大損害

2M脆弱性可以被利用，假如被威逼利用，將對資產(chǎn)造成一般損害

1L脆弱性較難被利用，假如被威逼利用，將對?資產(chǎn)造成較小損害

0N脆弱性很難被利用，假如被威逼利用，將對資產(chǎn)造成的損害可以

忽視

表4：脆弱性賦值

在實(shí)際評估工作中，脆弱性的值一般參考掃描工具的歸類標(biāo)準(zhǔn)，并參

考CVE、中國國家漏洞庫等相關(guān)漏洞庫標(biāo)準(zhǔn)中的說明，依據(jù)實(shí)際狀況進(jìn)行

修正，從而獲得適用的脆弱性值。管理類的脆弱性值依據(jù)管理成熟度進(jìn)行

賦值。

第十七條影響評估

影響的屬性的評估方法主要考察一個(gè)屬性：嚴(yán)峻性。本方法將將影響

嚴(yán)峻性分為5個(gè)等級，分別是很高（VH）、高（H）、中等（M）、低（L）、

可忽視（N）,并且從高到低分別賦值4-0。賦值標(biāo)準(zhǔn)參照下表。

簡稱說明

IVH可以造成資產(chǎn)全部損失或不行用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)

損失等特殊嚴(yán)峻的影響；

3H可以造成資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)峻影響：

2M可以造成資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響

1L可以造成資產(chǎn)較小損失，并且立刻可以受到限制，較小的財(cái)務(wù)損

失等影響；

0N資產(chǎn)損失可以忽視、對業(yè)務(wù)無損害,略微或可忽視的財(cái)務(wù)損失等

影響。

表5：脆弱性賦值影響嚴(yán)峻性賦值標(biāo)準(zhǔn)

第十八條風(fēng)險(xiǎn)計(jì)算

在完成了資產(chǎn)識別、威逼識別、脆弱性識別，以及對已有平安措施確

認(rèn)后，將接受適當(dāng)?shù)姆椒ㄅc工具確定威逼利用脆弱性導(dǎo)致平安事務(wù)發(fā)生的

可能性。綜合平安事務(wù)所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)峻程度，推斷平安

事務(wù)造成的損失對組織的影響，即平安風(fēng)險(xiǎn)。

（一）風(fēng)險(xiǎn)分析方法

風(fēng)險(xiǎn)分析方法可以是定性分析、半定量分析或定量分析，或者是這些

分析方法的組合。假如按遞升次序?qū)⑦@些分析的困難性和成本加以排列的

話，將會是：定性分析、半定量、定量。事實(shí)上，定性分析往往首先被接

受，來得到風(fēng)險(xiǎn)程度的總的提示

組織可依據(jù)信息管理實(shí)際評估效果、工作量、成本效益、技術(shù)困難度

和數(shù)據(jù)收集困難度等方面的考慮，選擇合適的分析方法作為平安風(fēng)險(xiǎn)的計(jì)

算方法。

（二）風(fēng)險(xiǎn)的計(jì)算

本管理方法接受相乘法進(jìn)行量值計(jì)算。相乘法供應(yīng)一種定量的計(jì)算方

法，干脆運(yùn)用兩個(gè)要素值進(jìn)行相乘得到另一個(gè)要素的值。相乘法的特點(diǎn)是

簡潔明確，干脆依據(jù)統(tǒng)一公式計(jì)算，即可得到所需結(jié)果。

在風(fēng)險(xiǎn)值計(jì)算中，通常須要對兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)

算，例如由威逼和脆弱性確定平安事務(wù)發(fā)生可能性值、由資產(chǎn)和脆弱性確

定平安事務(wù)的損失值，因此相乘法在風(fēng)險(xiǎn)分析中得到廣泛接受即：

風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值X威逼可能性值X脆弱性值X影響性值

（三）風(fēng)險(xiǎn)等級化方法

對風(fēng)險(xiǎn)進(jìn)行定量取值后，將風(fēng)險(xiǎn)值依據(jù)以“4”為底取對數(shù)計(jì)算并四

舍五入得到風(fēng)險(xiǎn)等級值，將風(fēng)險(xiǎn)劃分為五個(gè)登記，如下表所描述:

風(fēng)險(xiǎn)等級等級描述風(fēng)險(xiǎn)值范圍

該風(fēng)險(xiǎn)將可觸發(fā)特殊嚴(yán)峻的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)峻

4破壞、嚴(yán)峻影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會影響惡128W風(fēng)險(xiǎn)值

劣

該風(fēng)險(xiǎn)將可觸發(fā)較大的經(jīng)濟(jì)或社會影響，在確定范圍內(nèi)給組織32W風(fēng)險(xiǎn)值＜128

3

的經(jīng)營和組織信譽(yù)造成損害

該風(fēng)險(xiǎn)將可觸發(fā)確定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面24風(fēng)險(xiǎn)值＜32

2

和影響程度不大

該風(fēng)險(xiǎn)將可觸發(fā)的影響程度較低，一般僅限于組織內(nèi)部，通過2〈風(fēng)險(xiǎn)值＜8

1

確定手段很快能解決

0該風(fēng)險(xiǎn)將可觸發(fā)的影響幾乎不存在，通過簡潔的措施就能彌補(bǔ)風(fēng)險(xiǎn)值＜2

表6：風(fēng)險(xiǎn)級別表

（二）風(fēng)險(xiǎn)矩陣定性分析

本管理方法接受下面的賦值矩陣來獲得風(fēng)險(xiǎn)點(diǎn)的定量分析表。

通過資產(chǎn)分析、威逼分析、脆弱性分析以及影響分析進(jìn)行風(fēng)險(xiǎn)點(diǎn)匯總。

脆弱

風(fēng)險(xiǎn)風(fēng)險(xiǎn)資產(chǎn)名資產(chǎn)威逼威逼脆弱性影響影響風(fēng)險(xiǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)

性

類別子類稱賦值類型賦值描述描述賦值描述值級別

賦值

管

理

類

風(fēng)

險(xiǎn)

技術(shù)

類風(fēng)

險(xiǎn)

運(yùn)維

類風(fēng)

險(xiǎn)

表7：風(fēng)險(xiǎn)點(diǎn)收集表

通過技術(shù)、管理、運(yùn)維各方面風(fēng)險(xiǎn)點(diǎn)的綜合定性分析，我們將風(fēng)險(xiǎn)項(xiàng)

合并歸類，總結(jié)出相應(yīng)的風(fēng)險(xiǎn)項(xiàng)并進(jìn)行編號，

風(fēng)險(xiǎn)的編號依據(jù)類別進(jìn)行劃分，以字母開頭（Risk）,其次個(gè)字

母為風(fēng)險(xiǎn)類別，如管理風(fēng)險(xiǎn)為RM為前綴，后綴以數(shù)字為序列、技術(shù)風(fēng)險(xiǎn)

以RT為前綴，后綴以數(shù)字為序