发布2007-6-14 实施2007 11-04
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所
有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方
研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 9361 计算站场地安全要求
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408:1999)
GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,
风险要素关系
a.业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小
b.资产具有价值,组织的业务战略对资产的依赖越高,资产价值越高
c.风险是由威胁引发的,资产面临威胁越大风险越高
d.资产的脆弱性可能暴露资产的价值,资产拥有的弱点越多则风险越大
e.脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产
f.风险的存在对风险的认识导出安全需求
g.安全需求可以通过安全措施得以满足,需要结合资产价值考虑实施成本
h.安全措施可以抵御威胁,降低风险
j.残留风险应受到密切监视,它可能存在诱发新的安全事件
风险分析原理
威胁识别的频率和脆弱性识别的严重程度 构成安全事件的可能性
资产识别价值和脆弱性识别的严重程度 构成安全事件的损失 这两者一起构建 风险值
每个要素有各自的属性,资产的属性是资产的价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机;脆弱性是资产弱点的严重程度。
风险分析主要内容为:
a)对资产进行识别,并对资产的价值进行赋值;
b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;(TV)
e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;(AV)
f)
根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,
即风险值。
风险评估实施
实施流程图
1. 风险评估准备
- 概述
- 风险评估的准备整个风险评估过程有效的保证。组织实施风险评估是一种战略性的考虑,其结果受到组织业务战略,业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前
- 确定风险评估目标
- 确定风险评估范围
- 组建适当的评估管理与实施团队
- 进行系统调研
- 确定评估依据和方法
- 获得最高管理者对风险评估工作的支持 ###2020 7-06 21:06
- 风险评估的准备整个风险评估过程有效的保证。组织实施风险评估是一种战略性的考虑,其结果受到组织业务战略,业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前
- 确定目标
- 根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理
上的不足,以及可能造成的风险大小。
- 确定范围
- 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独
立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
- 组建团队
- 风险评估实施团队,由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要时,可
组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和
技术骨干组成专家小组。
评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保
密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,必要时签署个人
保密协议。
- 系统调研
- 系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法
的选择、评估内容的实施奠定基础。调研内容至少应包括:
a)业务战略及管理制度
b)主要的业务功能和要求
c)网络结构与网络环境,包括内部连接和外部连接;
d)系统边界;
e)主要的硬件、软件;
f)数据和信息;
g)系统和数据的敏感性;
h)支持和使用系统的人员;
i)其他。
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控
制的问题表格,供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、
环境和操作方面的信息。
- 确认依据
- 根据系统调研结果,确定评估依据和评估方法。评估依据包括(但不限于):
a)现行国际标准、国家标准、行业标准;
b)行业主管机关的业务系统的要求和制度;
c)系统安全保护等级要求;
d)系统互联单位的安全要求;
e)系统本身的实时性或性能要求等。
根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方
法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相
适应。
- 制定方案
- 风险评估方案的目的是为了后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续
工作。风险评估方案的内容一般包括(但不仅限于):
a)团队组织:包括评估团队成员、组织结构、角色、责任等内容;
b)工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
c)时间进度安排:项目实施的时间进度安排。
- 获得支持
- 上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;
对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务
2.资产识别
- 资产分类
资产赋值
威胁分类
威胁赋值
脆弱性识别内容
- 技术脆弱性(物理环境,网络拓扑,系统软件,应用中间件,应用系统)
- 管理脆弱性(技术管理,组织管理)
-
5.已有安全措施确认
6.风险分析
风险计算原理
- 风险值 = R(A T V )=R(L(T,V)F(la,Va))
- R风险计算函数 A表示资产 T表示威胁 V表示脆弱性 la 表示安全事件所作用的资产价值 Va表示脆弱性严重程度 L安全事件发生的可能性 F安全事件发生后产生的损失
- 风险结果判定
- 分为5级
- 风险处理计划
- 残余风险评估
7.风险评估文档记录
附录
风险计算表
B.2 系统基础平台风险评估工具
系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。脆弱性扫描工具又称为安全扫
描器、漏洞扫描仪等,主要用于识别网络、操作系统、数据库系统的脆弱性。通常情况下,这些工具能
够发现软件和硬件中已知的弱点,以决定系统是否易受已知攻击的影响。
脆弱性扫描工具是目前应用最广泛的风险评估工具,主要完成操作系统、数据库系统、网络协议、
网络服务等的安全脆弱性检测功能,目前常见的脆弱性扫描工具有以下几种类型:
a)基于网络的扫描器:在网络中运行,能够检测如防火墙错误配置或连接到网络上的易受攻击的
网络服务器的关键漏洞。
b)基于主机的扫描器:发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,
如密码强度不够,也可实施对文件系统的检查。
c)分布式网络扫描器:由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构
成,用于企业级网络的脆弱性评估,分布和位于不同的位置、城市甚至不同的国家。
d)数据库脆弱性扫描器:对数据库的授权、认证和完整性进行详细的分析,也可以识别数据库系
统中潜在的弱点。
渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可
能性。这类工具通常包括黑客工具、脚本文件。渗透性测试的目的是检测已发现的脆弱性是否真正会给
系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,并可能会对被评估系统的运行带来
一定影响
一些简单的要点:
资产的定义:对组织具有价值的信息或资源
管理脆弱性分为:技术管理脆弱和组织管理脆弱性,前者与技术活动相关,后者与管理环境
技术脆弱性:物理环境,网络结构,系统软件,应用中间件,应用系统
安全措施可以分为预防性安全措施,保护性安全措施
风险评估的:基本概念、要素关系、分析原理、实施流程、评估方法以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式
威胁的种类涉及:软硬件,无作为,管理不到位,恶意代码,网络攻击,抵赖
主要任务和作用原理风险评估工具可以分为:风险评估与管理工具,系统基础平台风险评估工具,风险评估辅助工具
脆弱性识别的依据可以是:国家和国际安全标准,应用流程安全,行业规范
脆弱采用方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试
信息安全风险是指:评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可
能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
风险评估工作形式:信息安全风险评估分为自评估和检查评估两种形式。信息安全风险评估应以自评估为主,自评估和
检查评估相结合、互为补充。
风险计算方法:评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法
资产分类更具表现形式:根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型
安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。
已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系统技术或管理上的脆弱性
综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险
若有收获,就点个赞吧
0 人点赞
