风险评估技术方案

一、资产识别与分析

保护资产免受安全威胁时本项目实施的根本目标。要做 好这项

工作，首先需要详细了解资产分类与管理的详细情况。

1. 阶段目标

资产识别的目的就是要对系统的相矢资产做潜在的价 值分析，了 解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要 的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资 产管理，更有针对性的进行资产保护，最具有策略性的进行新的资产投 入。

2. 阶段步骤

阶段一：根据项目范围进行资产分裂与识别，包括主机设备网 络设备 > 数据库系统・应用系统・文档资产 > 人员

阶段二：进行资产识别，分类并赋值

3. 阶段方法

资产评估方法

项目名称 资产分类调查 简要描述 米集资产信息，进行资产分类，划分资产重要 级别及赋值。 达成目标 米集资产信息，进行资产分类划分资产重要级 别及赋值； 进一步明确评估的范围和重点。 主要内容 米集资产信息，获取资产清单； 进行资产分类划分； 确定资产的重要级别，对资产进行赋值。 实现方式 调查。 填表式调查。 《资产调查表》，包含计算机设备、通讯设备、 存储及保障设备、信息、软件等。交流。 审阅已有的针对资产的安全管理规章制度、 度。 与高级主管、业务人员、网络管理员（系统管 理员） 等进行交流。 制 工作条件 工作结果 电源和网络环境，单位人员和资配合。 资产类别、资产重要级别 4. 阶段输出

本阶段完成后输出文档如下:

《资产详细清单》、《资产赋值列表》 二、威胁识别与分析

威胁是指可能对资产或组织造成损害事故的潜在原因。

作为风险评估的重要因素，威胁时一个客观存在的事物，无论对于多 么安全的信息系统，它都存在。为全面、准确地了解系统所面临的各 种威胁，需采用威胁分析方法。

1. 阶段目标

通过威胁分析，找出系统目前存在的潜在风险因素，并 进行统计，赋值，以便于列出风险。

2. 阶段步骤

威胁识别采用人工审计、安全策略文档审阅、人员面谈、入侵 检测系统收集的信息和人工分析。

步骤一：把已经发现的威胁进行分裂； 步骤二：把发现的威胁事件进行分析。

3. 阶段方法

威胁调查评估

项目名称 威胁调查评估 简要描述 使用技术手段分析系统可能面临 的所有安全威胁和风险。 达成目标 全面了解掌握信息系统可能面临 的所有安全威胁和风险。 对威胁进行赋值并确定威胁等 级。 主要内容 被动攻击的威胁与风险：网络 通 信数据被监听、口令等敏感信息 被截获等。 主动攻击威胁与风险：扫描目标 主机、拒绝服务攻击、利用 协 议、软件、系统故障、漏洞 插入 或执行恶意代码（如：特洛伊木 马、病毒、后门等）、越权访 问、篡改数据、伪装、重放所截 获数据等。 邻近攻击威胁风险：损坏设备 和 线路、窃取存储介质、头盔口令 等。 分发攻击威胁与风险：在设备 制 造、安装、维护过程中，在设备 设置影藏的后门或攻击 途径。 内部攻击威胁与风险：恶意修 改 数据和安全机制配置参数、恶意 建立未授权连接、恶意的 物理损坏和破坏、无意的数据 损 坏和破坏。 调查交流 工具检测 人工检测 工作条件 电源和网络环境，单位人员和 资 料配合。 工作结果 根据分析结果列出系统所面临的 威胁，对威胁赋值并确定 威胁级 别。 参加人员 网络管理员、系统管理员 实现方式 4.阶段输出

本阶段完成主要输出文档如下： 《威胁调查表》 《威胁赋值列表》

三、脆弱性识别与分析

脆弱性是对一个或多个资产脆弱点的总称，脆務性评估是对技术 脆弱性和管理脆弱性识别和赋值的过程。

1.阶段目标

技术脆弱性主要采用工具扫描、人工检查、渗透测试、访谈等方 式对物理环境、网络结构、应用软件、业务流程等 进行脆弱性识别并赋值

管理脆弱性主要通过管理访谈、文档查阅等方式对安全 管理制 度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等 进行脆弱性识别并赋值。

2.实施步骤

脆弱性识别步骤主要通过技术脆弱性和管理脆務性来进行识别。

2.1技术脆弱性•物理环境评估

物理安全时一切系统安全的基础。对物理安全的评估将从机房选 址、建设、员工、外来访问者进入机房的权限控制，机房的报警、电 子监控以及防火、防水、防静电、防雷击、防鼠害、防辐射、防盗 窃、火灾报警及消防措施、内部装修、供电系统等方面进行。

物理安全评估

项目名称 项目名称 简要描述 物理安全评估 物理安全评估 分析物理安全中的安全隐患，提 出安全建议。 主要内容 评估环境安全：机房选址、建 设、防火、防静电、防雷击、防 鼠害、防辐射、防盗窃、火灾报 警及消防措施、内部装 修、供配电系统是否满足相尖国 家标准；内部及外来人员对机房 的访问权限控制；安全审查及管 理制度。 评估设备安全：门控系统、网络 专用设备和主机设备。 评估介质安全：软盘、硬盘、光 盘、磁带等媒体的管理，信 息媒 体的维修将保证所存储的信息不 被泄露，不再需要的媒体，将按 规定及时安全地予以销毁。 实现方式 问询 现场检查 资料收集 工作条件 工作结果 单位人员和资料配合 依据相矢的物理安全标准，结 合 某单位的实际需求，协助某单位 改进安全措施。 参加人员 设备管理员、维护人员 2.2技术脆弱性•网络架构评估

网络结构分析是风险评估中对业务系统安全性全面了解的基础, 一个业务系统的网络结构是整个业务系统的承载 基础，及时返现网络 结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击 的问题是整个业务系统评估的重要环节。

网络结构分析能做到：改善网络性能和利用率，使之满 足业务系统需要，提供网络有矢扩充图、增加 IT投资和提 高网络稳定性，确保网络系统的安全运行，对网络环境、性能、故障 和配置进行检查。在评估过程中，主要针对网络拓扑、访问控制策略 与措施、网络设备配置、安全设备配置、网络性能与业务负载几个方 面进行调查与分析。

(1)网络拓扑威胁分析

项目名称 简要描述 网络拓扑威胁分析 分析整体的网络拓扑结构安 全隐患，分析某单位网络内部 网面临的外部和内部威胁 达成目标 准确把握网络拓扑上的安全隐 患，重点是网络边界面临的 安全 隐患 主要内容 设备确定，基本的策略状况 外联链路或接□确定 路由确定 备份方式确认拨号接入确认业务 和网络的矢系网络等级确认 实现方式 问询 检查资料收集 工作条件 电脑和网络环境，单位人员和 资 料配合 工作结果 形成某单位的内部网络拓扌卜 结构图 参加人员 网络管理员、业务维护员 (2)访问控制策略与措施 项目名称 简要描述 访问控制策略与措施评估 评估单位网络内部网的访问 控制策略与措施的安全状况 达成目标 评估单位网络内部网的访问控制 策略与措施的安全状况，协助某 单位网络进行访问控制策略和措 施的优化改进 主要内容 网络设备的访问控制策略 防火墙的访问控制策略 操作系统访问控制策略 其它访问控制策略如认证等 5实现方式 调查交流 控制台安全审计 工具测试 工作条件 电脑和网络环境，单位人员和 资 料配合 工作结果 针对某单位网络内部网络的访问 控制策略和措施现状，提出改进 优化建议 所需时间 参加人员 1个工作日 网络管理员、业务维护员 (3)网络设备策略与配置 项目名称 简要描述 网络设备策略与配置评估 评估单位现有网络设备和配 置使用情况，考察网络设备的 有效性、安全性 达成目标 协助某单位网络改进网络设备的 安全配置，优化其服务性 能 主要内容 网络设备策略配置 网络设备的安全漏洞扫描检 测 VLAN划分 设备与链路冗余状况 实现方式 调查交流 控制台安全审计 工具漏洞扫描 工作条件 电脑和网络环境，单位人员和资 料配合 针对某单位网络内部网络的 策略配置状况，提出改进优化 建议 参加人员 工作结果 网络管理员、业务维护员 (4)安全策略设备配置

项目名称 简要描述 安全设备评估 评估单位现有网络设备和配 置使用情况，考察安全设备的 有效性 达成目标 协助单位优化安全设备的效用， 生成新的安全技木和设备的配置 需求 主要内容 种类：防火墙 数量 策略、管理 配置 效用 实现方式 调查 实地察看 工作条件 电脑和网络环境，单位人员和 资 料配合 协助单位优化安全设备的效用， 生成新的安全技木和设备的配置 需求 参加人员 技术人员 工作结果 2.3技术脆弱性-应用安全系统评估

应用评估概述

针对企业矢键应用的安全性能进行的评估，分析某单位

应用程序体系结构、设计思想和功能模块，从中可能发现的安全隐 患。全面的了解应用系统在网络上的“表现”

，将有

助于对应用系统的维护与支持工作。了解单位应用系统的现状，发现 存在的弱点和风险，作为后期改造的需求。

在进行评估的时候，引入了威胁建模的方法，这一方法是一种基于安 全

的分析，有助于我们确定应用系统造成的安全风

险，以及攻击时如何体现出来的

2.4管理脆弱性 (1)安全管理策略

项目名称 简要描述 安全管理策略评估 评估单位现有安全管理策略的完 善程度、合理程度； 依据风险管理的相尖国内国 际标准； 贴近单位网络内部网的实际 业务与应用状况； 结合单位的实际需求，协助单 位改进安全管理措施 人员组织安全管理 安全规章制度 安全策略方针 实现方式 调查分析 广泛交流 工作条件 电脑和网络环境，单位人员和 资 料配合 达成目标 主要内容 工作结果 依据I SOI 7799的信息安全管 理标准，结合实际需求，协助安 全管理措施 参加人员

业务和技术负责人 (2)应急安全管理

项目名称 简要描述 应急安全管理 评估单位网络的应急安全管理现 状，包括应急流程、步骤、能力 和管理制度等 达成目标 准确评估某单位网络应急安 全管理状况； 协助单位网络提高应急安全能 力。 主要内容 应急案例 应急安全流程 应急安全 步骤 应急安全能力 应急管理制度 实现方式 工作条件 调查交流 电脑和网络环境，单位人员和 资 料配合 依据IS017799的信息安全管 理标准、结合实际需求，协助 常规安全管理措施 工作结果 参加人员 四•已有安全措施确认

业务和技术负责人 在脆弱性识别中，发现已经实施的安全脆弱性防护手段，进行整 理。

1. 阶段输出

本阶段完成后主要输出文档如下：《脆弱性赋值列表》 《已有安全措施列表》

五•综合风险评估

风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或 一组资产的损害，从而直街地或间接地引起企业或 机构的损害。因 此，分先和具体资产、其价值、威胁等级以及相矢的弱点直街相尖。

从上述的定义可以看出，风险评估的策略是首先选定某 项资产、 评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估存在的弱 点、评估该资产风险、进而得出整个评估目标的风险。

1. 阶段目标 本阶段目标是对目前存在的安全风险进行分析，包括风 险

计算、风险处置和风险的安全控制措施选择。根据计算出的风险 值，对风险进行排序，并与单位共同选择风险的处置 方式和风险的安 全控制措施。

2. 阶段步骤

步骤一：风险计算

完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法 确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆

弱性的严重程度来判断安全事件一旦发 生造成的损失，最终得到风险

值，风险计算原理如图所示：

其中，R表示安全风险计算函数，A表示资产，T表示 威胁，V 表示脆弱性，Ta表示威胁出现的频率，la表示安全 事件所用的资产价

Va表示脆弱性严重程度， Vb表示存

凤险值

在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可 性，F表示安全事件发生后产生的损失。有以下三个矢键计算环节:

(1) 计算安全事件发生的可能性

风险值=R(A,T,V)=R(L(Ta,Vb),F(la,Va))

能安全事件发生的可能性=L (威胁出现频率，脆弱性)=L( Ta,Vb) ( 2)

计算安全事件的损失

计算安全事件的损失

=F (资产价值，脆弱性严重程度)

=F(Ia,Va)

(3)计算风险值

风险值=R (安全事件发生的可能性，安全事件的损失)

=R

(L(Ta,Vb),F(Ia,Va))

步骤二：进行风险结果判定

确定风险数值的大小不是组织风险评估的最终目的，重 要的是明确不同威胁对资产产生的风险的相对值，即要确定 不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资 源进行保护。

步骤三：选择控制措施根据风险分析的结果，综合考虑单位信息 系统的实际情况、成本因素等选择相应的管理或技术控制手段，并结 合已经发现的业务系统风险，给出整改建议。

步骤四：残余风险处置对于不可接受范围内的风险，应在选择适 当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可 以接 受的水平，为风险管理提供输入。残余风险的评价可以依据 组织 风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威 胁发生的可能性降低。某些风险可能在选择了适当控制措施后仍处于 不可接受此类风险或增加控制措施。为确保所选控制措施的有效性， 必要时可进行

再评估，以判断实施控制措施后的残余风险是否是可被 接受的。

3. 阶段输出

本阶段完成后主要输出文档如下: 《风险计算列表》 《风险处置计划方案》 《风险综合评估报告》

六.风险评估结论

1. 成果交付

风险评估完成后将提交以下文档：(1)《风险评估综合报告》 主体报告，描述被评估信息系统得信息安全现状，对评 估范围内 的业务资产进行了分析，明确出威胁源采用何种威 胁方法，利用了哪 些脆弱性，对范围内的哪些资产产生了什么影响，采取何种对策进行 防范威胁，减少脆弱性，并对风险评估做出总结，总结出哪些问题需 要解决，哪些问题可以分部分期解决。

(2)

《资产赋值列表》

综合报告的子报告，描述了资产识别后，对资产进行分类整理， 并依据其所受破坏后所造成的影响，分析出其影响权值及其重要 性。

(3)

《威胁赋值列表》综合报告的子报告，描述总结出评估范围内 业

务资产所面临的威胁源，以及其所采用的方法。

(4) 《脆弱性赋值列表》(包含《脆弱性扫描分析报告》) 综合报告的

子报告，描述出通过安全管理调查、工具扫 描、手工检查进行专业分析后，总结出评估范围内业务资产存在的脆 弱性。

(5) 《风险处置计划》综合报告后的辅助报告，通过综合分析，了 解了

当前安全现状，提出了针对当前问题的信息系统总体安全解决方 案。

2.

成果验收对风险评估成

果目标进行验收，在评估过程中及评估完 成后，我方提供对因评估操作引起的设备、系统故障的应急响应服 务。在用户方提出服务要求后在 1小时内给出有效

的解决方案，2小时内解决问题；对重大故障，在8小时内予以解 决。我方将提供额外的信息安全技术服务，不额夕卜收取费用。 七.服务标准

5

我方将按照GB/T 20984-2007《信息安全技术信息安全风险评 估规范》要求，对全市一体化在线政务服务平台系统开展风险评 估服务。评估内容如下：

1. 《全市一体化在线政务服务系统信息安全风险评估 报告》，

报告至少包括以下内容：资产识别与分析；威胁识别与分析；脆弱 性识别与分析；已有安全措施确认；综合风险评估；评估结论；

2. 评估内容（包括但不限于以下内容）：信息及信息载体：

包括信息（数据）资产、应用资产、系统资产、硬件 资产等。信息环

境：包括硬件环境、软件环境等。根据风险评估有矢技术要求，对被 评估信息系统进行评估分析，提出优化改进建议，最终形成风险评估 报告。报告内容包括：评估概述、评估对象情况、资产识别与分析、 威胁识别与分析、脆弱性识别与分析（如管理、网络、系统、应 用、数据、应急、运维、物理、木马病毒等）、风险分析、综合分 析、整改意见等内容；

3. 评估原则：标准性原则：信息系统的安全风险评估，按照 GB/T 20984-2007中规定的评估流程进行实施，包括各阶段性的评

估 工作；矢键业务原则：信息安全风险评估应以被评估组织的矢键业务 作为评估工作的核心，把涉及这些业务的相矢网络与系统，包括基础 网络、业务网络、应用基础平台、业务应用平台等作为评估的重点；

4.

可控性原则：一是，服务可控性：我方事先在评估 工作沟通

会议中向用户介绍评估服务流程，明确需要得到被评估组织 协作的工作内容，确保安全评估服务工作的顺利进行；二是，人员与 信息可控性：所有参与评估的人员签署保密协议，以保证项目信息的 安全，应对工作过程数据和结果数据严格管理，未经授权不得泄露给 任何单位和个人；三是，过程可控性：应按照项目管理要求，成立项 目实施团队，项目组长负责制，达到项目过程的可控；四是，工具可 控性：安全评估人员所使用的评估工具应该事先告知用户，并在项目 实施前获得用户的许可，

包括产品本身、测试策略等；最小影响原 则：对于在线业务系统的风险评估，采用最小影响原则，即首要保障 业务系统的稳定运行，对于需要进行攻击性测试的工作内容，需与用 户沟通并进行应急备份，同时选择避开业务的高峰时间进行。

5. 其他： 在评估过程中及评估完成后，我方提供对因 评估操作

引起的设备、系统故障的应急响应服务。在用户方提出服务 要求后，应在1小时内给出有效的解决方案，2小时内解决问题； 对重大故障，在8小时内予以解决。我方提供额外的信息安全技术服 务为免费提供，不额外收取费用。