企业公司风险评估方案
1.总体概述
1.1项目概述
为了更好的了解信息安全状况,根据《信息安全风险评估指南》和 GB/T 20984-2007《信 息安全技术信息安全风险评估规范》要求,总体评估公司信息化建设风险。
2.风险评估方案
2.1风险评估现场实施流程
风险评估的实施流程见下图所示
2.2风险评估使用工具
测评过程中所使用的工具见下表所示:
| 序 号 | 名 称 | 功能描述 | 版本 | 用途 |
| 1 | 据库安全扫描系统 | 可扫描 Qracle、Sql Server、SybaseATX数据库漏洞扫描 | ATX | 数据库漏洞扫描 |
| 2 | ISS网络扫描器 | 可扫描各类操作系统和应用系统 | 7.0sp2 | 网络、主机漏洞扫描 |
| 3 | 天镜脆弱性扫描系统 | 可扫描各类操作系统和应用系统 | 6.0 | 网络、主机漏洞扫描 |
| 4 | 极光远程安全评估系统 | 可扫描各类操作系统和应用系统 | AURORA -200 | 网络、主机漏洞扫描 |
| 5 | 网络综合协议分析仪 | OptiView网络透视与协议分析,网络性能测评 | INA | 网络流量监控 |
| 6 | 网络系统管理,HPOpe nView | 自动发现网络拓扑 图、网络性能与故障管理 | NNM6.0 | 绘制网络拓扑图 |
2.3风险评估方法
2.3.1资产识别
2.3.1.1资产分类
首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。
一种基于表现形式的资产分类方法
| 分类 | 示例 |
| 数据 | 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、 计划、报告、用户手册等 |
| 软件 | 系统软件:操作系统、语句包、工具软件、各种库等 应用软件:外部购买的应用软件,外包开发的应用软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 |
| 硬件 | 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双绞线等 保障设备:动力保障设备(UPS变电设备等)、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备:防火墙、入侵检测系统、身份验证等 其他:打印机、复印机、扫描仪、传真机等 |
| 服务 | 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务 网络服务:各种网络设备、设施提供的网络连接服务 信息服务:对外依赖该系统开展的各类服务 |
| 文档 | 纸质的各种文件,如传真、电报、财务报告、发展计划等 |
| 人员 | 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等 |
| 其它 | 企业形象,客户关系等 |
2.3.1.2资产赋值
2.3.1.2.1保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
资产机密性赋值表
| 赋值 | 标识 | 定义 |
| 5 | 很高 | 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 |
| 4 | 高 | 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害 |
| 3 | 中等 | 组织的一般性秘密,其泄露会使组织的安全和利益受到损害 |
| 2 | 低 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的 利益造成轻微损害 |
| 1 | 很低 | 可对社会公开的信息,公用的信息处理设备和系统资源等 |
2.3.1.2.2完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
资产完整性赋值表
| 赋值 | 标识 | 定义 |
| 5 | 很高 | 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。 |
| 4 | 高 | 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。 |
| 3 | 中等 | 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。 |
| 2 | 低 | 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补。 |
| 1 | 很低 | 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略。 |
2.3.1.2.3可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
资产可用性赋值表
| 赋值 | 标识 | 定义 |
| 5 | 很高 | 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度 99.9%上,或系统不允许中断。 |
| 4 | 高 | 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于 10分钟。 |
| 3 | 中等 | 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于 30分钟。 |
| 2 | 低 | 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟。 |
| 1 | 很低 | 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25% |
2.3.1.2.4资产重要性等级
资产价值应依据资产在保密性、 完整性和可用性上的赋值等级,经过综合评定得出。根据最 终赋值将资产划分为五级,级别越高表示资产越重要,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产等级及含义描述
| 等级 | 标识 | 描述 |
| 5 | 很高 | 非常重要,其安全属性破坏后可能对组织造成非常严重的损失。 |
| 4 | 高 | 重要,其安全属性破坏后可能对组织造成比较严重的损失。 |
| 3 | 中 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失。 |
| 2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低的损失。 |
| 1 | 很低 | 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计。 |
2.3.2威胁识别
2.3.2.1 威胁分类
对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁分为以下几类。
一种基于表现形式的威胁分类表
| 种类 | 描述 | 威胁子类 |
| 软硬件故障 | 由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。 | 设备硬件故障、传输设备故障、 存储媒体故障、系统软件故障、 应用软件故障、数据库软件故障、 开发环境故障。 |
| 物理环境影响 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干 扰、洪灾、火灾、地震等环境问题或自然灾害。 | |
| 无作为或操作失误 | 由于应该执行而没有执行相应的操作,或无意地执行 了错误的操作,对系统造成的影响。 | 维护错误、操作失误 |
| 管理不到位 | 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。 | |
| 恶意代码和病毒 | 具有自我复制、自我传播能力,对信息系统构成破坏 的程序代码。 | 恶意代码、木马后门、网络病毒、间谍软件、窃听软件 |
| 越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权 访问的资源,或者滥用自己的职权,做出破坏信息系 统的行为。 | 未授权访问网络资源、未授权访 问系统资源、滥用权限非正常修 改系统配置或数据、滥用权限泄 露秘密信息 |
| 网络攻击 | 利用工具和技术,如侦察、密码破译、安装后门、嗅 探、伪造和欺骗、拒绝服务等手段,对信息系统进行 攻击和入侵。 | 网络探测和信息采集、漏洞探测、 嗅探(账户、口令、权限等)、用 户身份伪造和欺骗、用户或业务 数据的窃取和破坏、系统运行的 控制和破坏 |
| 物理攻击 | 通过物理的接触造成对软件、硬件、数据的破坏。 | 物理接触、物理破坏、盗窃 |
| 泄密 | 信息泄露给不应了解的他人。 | 内部信息泄露、外部信息泄露 |
| 篡改 | 非法修改信息,破坏信息的完整性使系统的安全性降 低或信息不可用。 | 篡改网络配置信息、篡改系统配 置信息、篡改安全配置信息、篡 改用户身份信息或业务数据信息 |
| 抵赖 | 不承认收到的信息和所作的操作和交易。 | 原发抵赖、接收抵赖、第三方抵赖 |
2.3.2.2威胁赋值
判断威胁出现的频率是威胁赋值的重要内容, 根据有关的统计数据来进行判断。 对威胁出现 的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。 等级数值越大,威胁出现的频率越高。
威胁赋值表
| 等级 | 标识 | 定义 |
| 5 | 很高 | 出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。 |
| 4 | 高 | 岀现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。 |
| 3 | 中 | 岀现的频率中等(或> 1次/半年);或在某种情况下可能会发生;或被证实曾经发生过。 |
| 2 | 低 | 岀现的频率较小;或一般不太可能发生;或没有被证实发生过。 |
| 1 | 很低 | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 |
2.3.3脆弱性识别
2.3.3.1脆弱性识别内容
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;从物理、网络、 系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别内容表
2.3.3.2脆弱性赋值
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
脆弱性严重程度赋值表
| 等级 | 标识 | 定义 |
| 5 | 很高 | 如果被威胁利用,将对资产造成完全损害。 |
| 4 | 高 | 如果被威胁利用,将对资产造成重大损害。 |
| 3 | 中 | 如果被威胁利用,将对资产造成一般损害 。 |
| 2 | 低 | 如果被威胁利用,将对资产造成较小损害。 |
| 1 | 很低 | 如果被威胁利用,将对资产造成的损害可以忽略。 |
2.3.4已有安全措施确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否 应被取消或对其进行修正,或用更合适的安全措施替代。
2.3.5风险分析
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可以将风险划分为五级,等级越高,风险越高。
根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。
风险等级划分表
| 等级 | 标识 | 描述 |
| 5 | 很高 | 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的 正常经营,经济损失重大、社会影响恶劣。 |
| 4 | 高 | 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。 |
| 3 | 中 | 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。 |
| 2 | 低 | 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。 |
| 1 | 很低 | 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。 |