评估范围

依据《GB/T 20984信息安全技术 信息安全风险评估规范》对信息系统进行全面的风险评估，确定信息系统的安全需求，从整体来考虑安全风险，最终掌握整体安全状况，并对可能存在的风险给出解决建议。

 评估目标

本次项目信息安全风险评估工作需要涵盖系统建设的全过程，至少包括对网络架构和业务风险的评估分析，以及项目正式运行前对系统进行的全面风险评估分析。从资产、脆弱性、威胁和已有安全措施等多个维度，结合风险承受能力，综合分析评价该项目各系统面临的风险，具体应包括：

1) 对信息系统所覆盖的全部资产进行识别，并合理分类；在资产识别过程中，需要详细识别核心资产的安全属性，重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响，为资产影响分析及综合风险分析提供参考数据。

2) 通过对信息系统网络架构和业务系统及流程进行威胁调查、取样等手段，识别非涉密信息系统的资产将面临的威胁源，及其威胁可能采用的威胁方法，对资产所产生的影响，并为后续威胁分析及综合风险分析提供参考数据。

3) 对信息系统的服务器、存储设备、数据库、中间件、应用软件、网络和安全设备、桌面终端系统、机房物理环境、安全管理制度及流程进行脆弱性识别，采用工具扫描、手工、访谈、文档分析方法进行脆弱性识别，脆弱性识别具体内容包括：

l 针对信息系统的网络技术架构、网络设备进行评估，完成整体网络架构、网络设备安全的分析工作。

l 安全设备配置及策略评价，如防火墙、安全审计设备等。

l 操作系统及数据库安全策略评价，内容包括操作系统文件的完整性、补丁安装、用户权限管理、口令管理、多种操作系统间的协作性等进行评估。

l 安全管理制度评价，对各种安全管理规章制度的齐备性及执行到位性检查评估。

4) 在资产分析、威胁分析、脆弱性分析的基础上，完成信息系统的信息系统信息安全综合风险分析。

风险评估框架及流程

风险评估中各要素的关系如图所示：

风险评估要素关系图

图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图中的风险要素及属性之间存在着以下关系：

a) 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；

b) 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；

c) 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；

d) 资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；

e) 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；

f) 风险的存在及对风险的认识导出安全需求；

g) 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；

h) 安全措施可抵御威胁，降低风险；

i) 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；

j) 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

实施流程

风险评估的实施流程如图所示：

风险评估实施流程图

1)   资产识别

资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。根据最终赋值将资产划分为五级，级别越高表示资产越重要，也可以根据组织的实际情况确定资产识别中的赋值依据和等级。下表中的资产等级划分表明了不同等级的重要性的综合描述。可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。

2)   威胁的识别与分析

安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。

安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。

威胁分析方法首先需要考虑威胁的来源，然后分析存在哪些威胁种类，最后做出威胁来源和威胁种类的交叉表进行威胁赋值。

下表为威胁出现频率的赋值方法。

3)   脆弱性评估与分析

脆弱性评估主要的工作是对弱点进行识别和赋值。我方提供全面的多种方法对信息系统进行脆弱性评估，包括安全技术和安全技术管理各层面的脆弱性识别：

Ø 网络安全脆弱性评估

Ø 主机系统安全脆弱性评估

Ø 应用系统安全脆弱性评估

Ø 数据安全脆弱性评估

Ø 安全管理脆弱性评估

赋值标准参照下图：

在实际评估工作中，技术类弱点的严重性值一般参考扫描器或CVE标准中的值，并进行修正，从而获得适用的弱点严重性值。

4)   已有安全措施识别

在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。

5)   风险分析与风险计算

风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企业或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。

安全风险分析包括风险的计算、风险的处置和风险的安全对策选择。

我们采用下面的算式来得到资产的风险值：

风险值=资产价值×威胁可能性×弱点严重性

根据计算出的风险值，对风险进行排序，并与客户公共选择风险的处置方式和风险的安全对策。

风险程度和处置方法：

选择处置措施的原则是权衡利弊：权衡每种选择的成本与其得到的利益。例如，如果以相对较低的花费可以大大减小风险的程度，则应选择实施这样的处置方法。建议的风险处置措施一般如下所示：

1.避免风险：在某些情况下，可以决定不继续进行可能产生风险的活动来回避风险。在某些情况可能是较为稳妥的处理办法，但是在某些情况下可能会因此而丧失机会。

2.降低风险可能性：在某些情况下，可以决定通过合同、要求、规范、法律、监察、管理、测试、技术开发、技术控制等措施来减小风险的可能性，来达到减小风险的目的。

3.减小风险的后果或影响：在某些情况下，可以决定通过制定实施应变计划、合同、灾难恢复计划、资产重新布置等手段来减小资产价值本身或风险的后果/影响。这和“降低风险可能性”一起，可以达到减小风险的目的，也成为“风险控制”。

4. 转移风险：这涉及承担或分担部分风险的另一方。手段包括合同、保险安排、合伙、资产转移等。

5.接受风险：不管如何处置，一般资产面临的风险总是在一定程度上存在。决策者可以在继续处置需要的成本和风险之间进行抉择。在适当的情况下，决策者可以选择接受/承受风险。

服务成果

《信息系统风险评估实施方案》、《信息系统信息安全风险评估整改方案》、《信息系统信息安全风险评估报告》