风险评估资料

信息安全风险评估资料汇编内部资料版权所有二零零五年十月½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­一、资产分类分类示例数据存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等软件应用软件、系统软件、开发工具和资源库等硬件计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等服务操作系统、、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生产应用等文档纸质的各种文件、传真、电报、财务报告、发展计划等设备电源、空调、保险柜、文件柜、门禁、消防设施等人员各级雇员和雇主、合同方雇员等其它企业形象，客户关系等½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­二、资产赋值1、资产保密性赋值赋值标识定义5极高指组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的影响4高是指包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等是指包含组织一般性秘密，其泄露会使组织的安全和利益受到损害2低指仅在组织内部或在组织某一部门内部公开,向外扩散有可能对组织的利益造成损害1可忽略对社会公开的信息，公用的信息处理设备和系统资源等信息资产2、资产完整性赋值赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受、特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏会对评估体造成的影响可以忽略，对业务冲击可以忽略3、资产可用性赋值赋值标识定义5极高可用性价值非常高，合法使用者对信息系统及资源的可用度达到年度99.9%以上4高可用性价值较高，合法使用者对信息系统及资源的可用度达到每天99%以上3中等可用性价值中等，合法使用者对信息系统及资源的可用度在正常上班时间达到90%以上2低可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时间达到25%以上1可忽略可用性价值可以忽略，法使用者对信息系统及资源的可用度在正常上班时间低于25%4、资产赋值等级标识资产价值定义5很高资产的重要程度很高，其安全属性破坏后可能导致系统受到非常严重的影响4高资产的重要程度较高，其安全属性破坏后可能导致系统受到比较严重的影响3中资产的重要程度较高，其安全属性破坏后可能导致系统受到中等程度的影响2低资产的重要程度较低，其安全属性破坏后可能导致系统受到较低程度的影响1很低资产的重要程度都很低，其安全属性破坏后可能导致系统受到很低程度的影响，甚至忽略不计½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­三、威胁分类1、威胁来源列表威胁来源威胁来源描述环境因素、意外事故或故障由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害；意外事故或由于软件、硬件、数据、通讯线路方面的故障无恶意内部人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或被攻击；内部人员由于缺乏培训，专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击恶意内部人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取利益第三方第三方合作伙伴和供应商，包括电信、移动、证券、税务等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商；包括第三方恶意的和无恶意的行为外部人员攻击外部人员利用信息系统的脆弱性，对网络和系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力2、威胁种类列表威胁种类威胁描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响管理不到位安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为黑客攻击技术利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃泄密机密泄漏，机密信息泄漏给他人篡改非法修改信息，破坏信息的完整性抵赖不承认收到的信息和所作的操作和交易3、威胁赋值别等级标识威胁可能性定义5很高威胁发生的可能性很高，在大多数情况下几乎不可避免或者可以证实发生过的频率较高4高威胁发生的可能性较高，在大多数情况下很有可能会发生或者可以证实曾发生过3中威胁发生的可能性中等，在某种情况下可能会发生但未被证实发生过2低威胁发生的可能性较小，一般不太可能发生，也没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­4、脆弱性识别脆弱性分类名称包含内容物理安全物理设备的访问控制，电力供应等网络安全基础网络架构，网络传输加密，访问控制，网络设备安全漏洞，设备配置安全等系统安全系统软件安全漏洞，系统软件配置安全等技术脆弱性应用安全应用软件安全漏洞，软件安全功能，数据防护等管理脆弱性安全管理安全策略、组织安全、资产分类与控制、人员安全、物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性5、脆弱性赋值等级标识脆弱性严重程度定义5很高存在一个或多个非常脆弱的技术或管理漏洞，被威胁利用成功的可能性很高4高存在一个或多个比较脆弱的技术或管理漏洞，被威胁利用成功的可能性较高3中存在一个或多个中等脆弱的技术或管理漏洞，被威胁利用成功的可能性中2低存在一个或多个较低脆弱程度的技术或管理漏洞，被威胁利用成功的可能性较低1很低存在一个或多个很低脆弱程度的技术或管理漏洞，被威胁利用成功的可能性很低，几乎不可能成功6、风险等级等级标识风险定义5很高风险很高，导致系统受到非常严重影响4高风险高，导致系统受到严重影响3中风险中，导致系统受到较重影响的2低风险低，导致系统受到一般影响1很低风险很低，导致系统受到较小影响½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­四、信息系统生命周期各阶段对风险评估的要求风险评估的要求生命周期阶段目的对象时间评估重点及结果人员阶段1—规划和启动获取规划中的信息系统的安全风险。用以提出并确定信息系统安全建设的要求规划中的或者建设初期的信息系统，包括信息系统本身及此阶段的人员、组织、过程等相应的管理。提出规划之后，确定安全需求之前资产评估：着重系统的初期对安全三性（保密、完整、可用）的要求。系统对机构业务战略的重要性资产类别划分可以基本在第一级别上。不一定要深入到更细层次的资产类别。威胁评估：着重评估可能存在的威胁环境，是从比较宏观的角度评估威胁环境。其它：法律、法规对安全风险的影响此阶段可以不考虑脆弱性评估适度的安全建设要求使用或拥有系统及信息的人应该参与评估。也可委托第三方进行评估阶段2—设计开发或采购标识出风险，对设计说明中的安全性设计提供评判依据，对采购过程安全风险控制的提供依据。开发设计设计规格说明书或者系统原型，及此阶段涉及的人员、过程控制、管理制度等在设计规格说明书评审和批准之前。资产评估：与第一阶段内容相同的评估内容，只是资产类别可以根据设计开发或采购的结果进行更具体的划分来进行评估威胁评估：同样与第一阶段内容相同的评估内容，只是针对更具体的威胁环境，包括人员、组织管理等各方面脆弱性评估：对设计或者原型中的技术实现以及人员、组织管理等各方面的脆弱性评估。其它：评估设计中的安全控制项、安全技术保障手段对风险结果的影响。在安全需求变更和设计变更后需要重复上面的评估。该阶段的评估不必要有复杂的文档。符合规划中安全要求的安全设计方案及开发或采购过程的安全风险控制措施系统的用户、技术专家和系统发起人应该参与评估。阶段3—集成实现通过风险评估，对系统安全要求信息系统本身在系统运行之前资产评估如果信息系统在前两个阶段做过资产评估，此阶段则不用再做，沿用上述评估结果。威胁评估：对系统实现的风险控制效果与预期设计的符合技术人员和管理人员均应该参与评½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­实现效果和符合性进行验证。威胁评估仍然着重威胁环境，而且是真实环境中的威胁分析脆弱性评估：对系统进行实际环境中的脆弱性评估，着重在运行和管理两方面。其它：评估设计实施的安全控制是否实施，及其对风险结果的影响。性，并为系统正式运行制定风险控制的一系列决策估阶段4—运行和维护了解和控制运行过程中的系统安全风险。信息系统本身1．运行期间任意时间2．定期进行3．重大变更时进行4．系统扩容或改造后进行全面资产、威胁、脆弱性评估及时改进风险控制措施，避免信息系统的技术人员和管理人员均应该参与评估，可以委托第三方评估机构评估阶段5—废弃确保硬件和软件等资产及残留信息得到了适当的废弃处置，并且要确保系统的更新换代能以一个安全和系统化的方式完成。信息系统本身废弃或者系统更新前资产评估：着重废弃处理不当对资产的影响。威胁评估：着重在信息、硬件和软件的废弃处置方面威胁脆弱性评估着重访问控制方面的弱点得到并进行系统废弃处理的安全控制措施。维护工作的技术人员和管理人员均应该参与评估。可以委托第三方评估机构评估½öÓÃÓÚÆÀ¹À¡£°æȨËùÓÐ(c)byFoxitSoftwareCompany,2004-2007ÓÉFoxitPDFEditor±à¼­风险评估不同形式与各角色的关系自评估他评估评估发起者信息系统拥有者国家信息安全主管机关，或业务主管机关通常适用情况对自身的信息系统进行安全风险的识别、评价，从而进一步选择合适的控制措施，降低被评估信息系统的安全风险，可企业自身选定合适的时间，或者纳入整个企业安全管理体系的要求中。通常都是定期的、抽样进行的评估模式，旨在检查关键点是否没有达到必需的风险等级。特点优点：由于评估的发起方、评估方、甚至评估方都是一个，或者在同一体系内部，因此，自评估有利于保密；有利于发挥行业和部门内人员的业务特长；有利于降低风险评估的费用；有利于提高本单位的风险评估技能与信息安全知识；有利于加强信息系统相关人员的安全意识。缺点：由于被评估方缺少统一的规范和要求，缺乏风险评估的专业技能，自评估的结果可能不深入、不规范、不到位。同时，受到单位内部各种不利因素的影响，自评估的结果可能损失一定的客观性，从而降低评估结果的置信程度。委托评估可以弥补这一缺点。优点：由于检查评