网络信息安全风险评估实施方法.docx

1、网络信息安全风险评估实施方法1 评估准备1.1 第 1步： 成立评估工作组在一个评估工作下达后，需要组织人员来实施评估工作的内容。评估工作组 通常包括如下两方面的人员：评估人员：外部专业评估机构的人员，或由内部专业人员组成的评估队伍。 系统管理人员：待评系统的运维管理人员。以上两部份人员形成一个完整的评估项目组，根据项目组成员的职能，项目 组包括如下角色：表 5.1 评估工作组人员角色安排角色职责评估人员系统管理人员评估项目负责人负责总体协调、项目管理*现场评估 工程师人工评估*工具检测*人员访谈*审计工程师数据分析、整理*咨询顾问风险处置、方案建议*文档工程师文档编制、维护*1.2 第 2步

2、： 确定评估范围评估范围界定是对待评系统资产的抽样。在成立了评估工作组后，评估范围 可通过评估组的工作会议进行确定。确定的评估范围应能代表待评估系统的所有关键资产，包括：网络范围、主 机范围、应用系统范围、制度与管理范围。评估范围确定后，待评系统管理人员需要根据选定的内容进行资料的准备工 作，包括：网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设置说明等内容。本实施指南的附件信息安全风险评估资料准备说明中给出了 评估前需要准备的清单。1.3 第 3步： 评估动员会议安全评估工作是一个挑毛病、找问题的过程， 一般情况下带评估系统的管理 和运行维护人员都会有一定的抵触情绪， 因此， 需

3、要通过评估动员让所有工作人 员明白评估的目的和意义。评估动员会议应由较高层的领导出席， 并表明对评估 工作的支持态度。评估动员会议要完成以下的议题： 评估的时间和人员安排、评估工作中的风 险防范措施。1.4 第 4步： 信息系统调研为了确保评估工作的全面性、提高评估工作的效率， 在评估实施前， 组织评 估工作组成员对确定的实施范围进行走访。通过前期快速的调研， 评估工作组可 以基本掌握评估范围内信息系统和人员的实际情况， 并与配合人员进行初步的沟 通， 确定评估实施中必须具备的技术工具和手段， 以及基本的时间安排和必要的 工作准备。1.5 第 5步： 评估工具准备评估工作组根据收到的评估资料，

4、 进行评估工具的准备， 这包括威胁列表、 网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。评估工具中大部份内容需要根据评估范围和评估的主要目的进行定制， 例如 威胁列表需要根据信息系统实际的物理、网络环境来进行定制； 安全管理访谈表 需要根据待评估系统的管理结构、管理方式进行定制。在评估工具中， 网络、主机脆弱性评估的通用性较强， 目前可找到的商用和 免费工具较多。下表是目前常用的脆弱性评估工具列表：表 5.2 脆弱性评估工具名称用途说明ISS-6.2.1漏洞扫描工具主机安全漏洞扫描、网络设备安全漏洞扫描Xscan-3.0漏洞扫描工具主机安全漏洞扫描、网络设备安全漏洞扫描Fpo

5、rt端口分析Windows系统主机端口分析工具SnifferPro协议分析工具网络协议分析SecureCRT人工审计工具用来进行远程主机登录，可方便存取人工审计数 据Nessus漏洞扫描分布式漏洞扫描工具SolarWinds网络拓扑发现可用于网络拓扑发现、网络设备配置下载2 现场评估现场阶段工作流程图（图 4-4 ）中给出了信息安全风险评估的主要内容，下 面根据流程图所示流程，对每一步的工作内容进行详细的说明。2.1 第 1 步： 资产评估资产评估是评估的起点，做好资产评估能有效保证评估的完整性和科学性。 资产评估包括了资产统计、业务系统分解和资产估值三部分内容，其中资产估值 需要在对业务系统

6、进行充分了解和分析的基础上进行。资产评估中采用以业务系统为主线的方法，将每一项信息资产按照所属业务 系统进行归类，在业务系统划分的基础上评估信息系统的的安全性。资产统计表 5.3 资产统计输入输出信息资产统计表、网络拓扑和说 明、信息系统描述与系统分析报 告信息资产清单列表资产统计输出的信息资产清单列表是评估中需要进行分析的资产，具体的列表情况参见附录 H。业务系统分解较简单的业务系统直接分解为功能模块，大的业务系统先分为相对独立 的子系统，再对这些子系统进行功能分解。功能模块的分解参考如下功能模 块定义：表 5.4 业务系统分解表类别说明数据存储信息系统中负责数据存储的子系统或功能模块。如数

7、据库服 务器业务处理信息系统中负责进行数据处理运算的子系统或模块，如应用 服务器服务提供信息系统中负责对用户提供服务的子系统或模块，如web服 务 器客户端由用户或客户直接使用、操纵的模块，包括：工作站、客户 机等，如应用客户端、 web浏览器*注： 以上的子系统（功能模块）分类可能存在于 台主机上，也可能分布在 多台主机上，对信息系统的分解不需要特别注明子系统的分布情况，只需 详细说明功能作用和构成。这一步的工作说明如下：表 5.5 业务系统分解输入输出信息资产清单列表、网络拓扑和说 明、 信息系统描述与系统分析报告业务系统功能分解表一个示例的业务系统功能分解表如下：表 5.6 业务系统分解

8、示例系统名称系统功能系统设备营销系统数据存储营销系统服务器业务处理服务提供营销Web服务器客户端系统管理员桌面机普通用户桌面机业务系统功能分解是为了辅助判断业务系统相关的数据、操作、处理等 功能是在构成系统的那些设备上完成的，确定出系统中的关键与核心设备。2.2 第 2 步： 网络与业务构架评估网络与业务构架评估是对业务系统在网络中的部署情况进行的审计，以判断 业务系统的部署是否跨越不同等级的安全区域。表 5.7 网络与业务构架评估输入输出网络拓扑图、业务系统逻辑结构说明网络与业务构架安全性记录这里网络与业务构架的评估结果主要是辅助对相关网络设备、主机安全 性进行判断，并且对网络结构、业务结构

9、的缺陷进行判断，输出的记录内容 主要包括：网络结构与业务构架是否相适合网络关键点的链路是否安全可靠业务结构和业务流是否安全2.3 第 3 步： 业务系统安全性评估业务系统通信关系审计业务通信关系审计是对业务系统间，以及业务系统内部子系统间的通信 安全性进行的审计，对于已有安全要求的业务系统可按照安全要求进行审计 没 有安全要求的业务系统可参照业务系统评估方法定义安全要求。表 5.8 业务系统通信关系审计输入输出信息系统描述与系统分析报告、业务 系统功能分解表业务系统通信关系与通信安全性 记录业务通信关系审计的输出记录是对关键业务通信信道、通信方式的判断 结果，主要的记录内容示例如下：表 5.8

10、 业务系统通信关系审计记录示例系统名称1系统名称2主机1主机2通信方式传输数据内容客户信息系统银行联网 系统CIS服务器前置机TCP/IPSQL*net电费数据，帐务 信息前置机银行前置机TCP/IP TUXEDO(S/C)帐务信息客户信息系统9559895598WebCIS服务器TCP/IPSQL*net客户信息，业扩信息在数据分析过程中，由此上表结合网络结构、数据安全性可以判断出两 个 系统间目前的通信方式是否安全。业务操作安全审计业务操作安全审计是对业务系统使用情况进行的审计，以确保不会由于 非 法操作或恶意操作导致信息安全事件，对业务操作的审计可参考相应的业 务 系统运维管理条例和职责

11、划分制度等内容。表 5.9 业务操作安全审计输入输出业务系统功能分解表、业务系统数据 流图、业务运维相关管理制度文档业务系统操作审计记录业务操作审计是对业务系统客户端业务软件和相关人员的审计，输出的 业务系统操作审计记录主要包括一下内容：客户端安全配置客户端业务功能是否符合业务安全策略要求客户端软件的基本安全功能，包括：输入验证、数据缓存等业务人员的安全意识等2.4 第 4步： 资产估值资产估值需要根据资产所处网络环境、资产中的数据、资产对业务系统的重 要程度等内容进行。表 5.10 资产估值输入输出信息资产清单列表、信息系统描述与系统 分析报告、网络拓扑图、业务系统逻辑结 构说明、业务功能系

12、统分解表、业务系统 通信关系与通信安全性记录资产赋值表资产估值结合了第 1 步到第 3 步的评估结果，通过对资产清单中具体资产上 信息（数据）、软件和硬件，以及相关人员的安全属性判断综合获得。2.5 第 5步： 威胁评估威胁评估是通过对业务系统整体环境的判断和掌握，确认系统所受到的威胁 情况的过程，威胁评估主要包含以下三项内容：威胁统计威胁统计是对信息系统面临的威胁的确认过程，威胁数据来源的方式较 为多 样，评估中可根据情况先进行威胁列表的维护，再根据实际环境进行判 断和分 析。表 5.11 威胁统计输入输出威胁列 信息系统日志、系统环境 表、 说明系统威胁统计表威胁统计是根据信息系统的实际情

13、况对威胁列表进行增加、删除的过程。 附录 C 中给出了一个典型的威胁列表。资产威胁关联性分析资产威胁关联性分析是对具体资产或业务系统建立其威胁列表，以判断 对具 体资产或业务系统究竟有哪些威胁较为严重。根据评估的规模可只对关 键资产进 行威胁分析。表 5.12 资产威胁关联性分析输入输出信息资产清单列表、系统威胁统 计表、信息系统描述与系统分析 报告、网络拓扑图、业务系统逻 辑 结构说明、业务系统通信关系 与 通信安全性记录资产威胁关联表资产威胁关联表是对每一个评估资产根据威胁统计表挑出其所面临的威胁的过程。这一过程需要评估人员和信息系统的运行维护人员一起进行讨 论、分析和判断。威胁赋值与计算

14、表 5.13 威胁赋值与计算输入输出资产威胁关联表资产威胁赋值表威胁赋值过程对每一个信息资产面临的威胁的可能性和严重程度都进行判断，赋值的依据参考 4.1.2节中的规定。威胁赋值过程可以配合资产威 胁 关联性分析过程由评估人员和系统运行维护人员一起讨论决定。对于较大规模的评估，针对每一个资产进行威胁判断会导致工作量剧增，这 在实际的评估操作中往往导致威胁评估不了了之。因此，为简化威胁评估，可针 对具体的应用系统或安全域进行威胁评估工作，将对应用系统或安全域整体的威 胁视为对其中每一个资产的威胁。2.6 第 6步： 主机安全性评估主机安全性评估是对业务系统范围内的主机的安全漏洞进行发现的过程，包

15、 括如下的内容：设备安全漏洞扫描设备安全漏洞扫描是采用漏洞扫描工具对系统技术漏洞的发现过程，在 漏洞扫描的过程中可能会对业务系统的运行产生影响，因此需要得到操作许 可，并准备应急预案以避免由风险评估产生的风险。表 5.14 设备安全漏洞扫描输入输出信息资产清单列表设备漏洞扫描结果设备审计设备审计是采用人工登录主机或网络设备的方式对设备的安全配置情 况进行的审计，由于设备配置数据是信息系统的敏感数据，因此在审计前需 要 得到操作许可。表 5.15 设备审计输入输出信息资产清单列表，主机或网络审 计检查列表设备审计结果设备审计主要依据相应的检查列表，由人工进行操作。检查列表是由评 估机构根据各类设

16、备的安全配置和使用经验总结、整理出的评估工具。2.7 第 7步： 现有安全措施审计对现有安全措施的审计主要评估这些安全措施是否发挥了作用，以及配套的 管理策略是否到位。表 5.16 现有安全措施审计输入输出信息资产清单列表、（现有安全措 施部署方案）现有安全措施审计记录现有安全措施审计记录中主要包括的内容有：部署方式记录策略配置记录相关日志的记录附录 D 中给出了防火墙和防病毒审计的记录表，在评估中可以参考使用。2.8 第 8步： 信息安全管理评估安全管理制度文档分析文档分析主要是对信息系统管理中已制定和采用的安全管理制度文档 以 及制度的执行情况进行分析，通过分析发现现有制度中的缺陷。本部分

17、的 工 作可以先期展开。表 5.17 安全管理制度文档分析输入输出安全管理规章、制度，管理制度评估工具安全制度文档分析报告信息安全管理制度分析报告中应包括当前已经制定的信息安全相关制 度列表，关键文档内容的齐全性、可操作性，以及管理策略体系的完备性。业务系统管理分析对业务系统管理的分析从对具体业务系统的管理制度、岗位职责定义文 档出发，并通过实际的观察和访谈确认系统管理的情况。表 5.18 业务系统管理分析输入输出业务系统管理制度，系统岗位分配 文档业务系统管理审计结果记录业务系统管理审计结果记录是针对具体业务的评估结果，其中应包含的 内容有：业务系统相关的人员配备说明应急处理预案相关的安全管

18、理制度情况3 风险分析风险分析过程包括数据整理、风险计算和风险决策三个步骤。3.1 第 1步： 数据整理数据整理是将现场阶段采集到的数据根据风险计算和风险决策的要求，进行 分析和整理的过程。这一过程的主要步骤如下：针对评估范围中的资产， 对资产根据业务、类型进行分类， 形成具体的 资产或资产组；根据资产或资产组承载的业务和数据、所处的位置进行资产赋值的调整，确定出可计算的资产价值；针对具体的资产或资产组，根据现场识别和赋值的威胁列表判断资产面临的威胁情况，并对现场所赋的威胁可能性和威胁影响值进行调整；针对具体的资产或资产组，整理脆弱性列表，并进行管理、运维和技术的分析，分析其产生原因和被利用的

19、后果；对资产或资产组的每一条脆弱性进行安全属性（CIA ）和严重等级的识别和判断；对现有安全措施的情况进行整理，根据其防护范围，判读其对具体的资产和资产组的风险消除程度；根据现有安全措施调整资产或资产组面临的威胁的可能性值；以上过程中的每一步可形成表格，以利于风险计算和决策的执行。其中，脆 弱性数据的内容和来源较多，采用统一的表格形式进行整理对下一步的分析工作 有较大的帮助。附录 E 是脆弱性数据整理表格的一个示例。3.2 第 2步： 风险计算在完成资产评估、威胁评估和脆弱性评估后，根据资产及其关联的威胁和脆 弱性的赋值情况可计算出风险值。风险的计算方法目前还没有明细的技术标准， 通常效果比较

20、好的计算方式为：T= T *T , E=A* T , D= T * V . (5.2)s f s f上式中 R 为风险值， A 为资产价值， T 为威胁值， V 为脆弱性值， E 为资的 sf产损失产生的影响， D 为资产暴露程度， T 为威胁的严重程度， T 为威胁发生可能性。根据行业企业管理、运维和技术的要求对风险计算方法进行了如下的扩展：t t m m o oR = W R + W R + W R ( 5.3)上式中， t代表“技术方面的” 、m代表“ 管理方面的” 、o代表“运维方面的”、 W为技术、运维和管理脆弱性之间的相关性， W 、W 、W之和等于1 。R为 t m o综合风险值

21、， R 为技术脆弱性相关风险， R 为管理脆弱性相关风险， R 为运行tmo维护脆弱性相关风险，具体计算公式如下：Rt = AJTcYc+Ai TiYi+Aa Ta V ta5.4)R = A T V c c mc i i mi a a ma+A T V +A T V .5.5)R=oAcTcVoc+i(A)iToiV+A T 5.6)V a a oa注： c代表“机密性方面的”、i代表“完整性方面的”、a代表“可用性方面 的”。公式 5.3 、公式 5.5 、公式 5.6 即为经过拓展的行业信息系统风险计算公式， 体现了行业企业信息安全管理的思路，既从管理、运行维护技术三方面出发，而 每个公

22、式中又从机密性、完整性、可用性三个方面进行考察。相互促进、相互监督，形成一个完整的、可操作的行业企业信息安全保障体系。计算公式中的技术Vtcnti ti1 ti2 ti3 tin漏洞、管理和运维缺陷数据是在脆弱性评估中获得的数据。注意：公式 5.4 、5.5 、5.6 中的重点是对脆弱性的取值问题。我们分三个部 分 来考虑这个问题。首先是技术方面。 Vtc 、Vti 、Vta分别选取机密性、完整性、可用性三个方 面 的最大值。即： Vtc = Vtci +Vtc2 +Vtc3 + +VtcnE max Vtcm n 、m=l, 2 ， 3 ，.vtcm表示属于技术方面的各个机密性方面的脆弱值V

23、. = V、+Vs +V., + .+V.Vtine max Vtim n 、 m=1 ， 2 ， 3 ， vtim表示属于技术方面的各个完整性方面的脆弱值Vta = Vta1 +Vta2 +Vta3 + +VtanVtan G max Vtam n 、 m=1 ， 2 ， 3 ， vtam表示属于技术方面的各个可用性方面的脆弱值其次是管理方面。 Vmc 、vmi 、vma分别选取机密性、完整性、可用性三个 mc mi ma方面的和。即： V =V 1 +V 2 +V 3 + .Vmc mc1 mc2 mc3mcmm=1 ， 2 ， 3 ， vmcm表示属于管理方面的各个机密性方面的脆弱值ma

24、 ma1 ma2 ma3 mammcmmi mi1 mi2 mi3 mimV i =V i1 +V .2+V .3 + .V .m=1, 2, 3,.vmim表示属于管理方面的各个完整性方面的脆弱值V =V 1 +V 2 +V 3 + .Vm=1, 2, 3, Vmam表示属于管理方面的各个可用性方面的脆弱值mam最后就是运维方面。 Voc 、Voi 、Voa分别选取机密性、完整性、可用性三个 oc oi oa方面的和。即： V =V 1 +V 2 +V 3 + .Voc oc1 oc2 oc3ocmm=1, 2, 3, .Vocm表示属于运维方面的各个机密性方面的脆弱值ocmoi oi1 o

25、i2 oi3 oimm=1, 2, 3, .V =V +V +V + .VVoim表示属于运维方面的各个完整性方面的脆弱值oa oa1 oa2 oa3 oamV =V +V +V + .Vm=1, 2, 3, .Voam表示属于运维方面的各个可用性方面的脆弱值oam3.3 第 3步： 风险决策风险决策是在风险排序的基础上,分析各种风险要素、以及被评估系统的实 际情况,决定对风险采取接受、消除或转移等处理方式的过程。基本的风险决策 方法如下：根据风险计算结果，按照对资产按照面临的风险大小进行排序，决定对风险采取的处理方法，根据风险分析的不同角度，可以有多种排序方 法：表 5.19 综合排序范例管

26、理I12320管理A11550运维I6600技术I5280运维A4950技术A3960管理C1587技术C828运维C552解释：对单一资产进行综合排序，可以将风险分布情况直观的表现出 来。从表 5.18 中，我们可以知道，在这个单一资产中，管理方面的完整性方面的 风险最大。表 5.20 资产综合排序范例资产名称C 、I 、A总合资产313550资产211550资产49670资产15400解释：在相同规模下，使用对多个资产进行综合排序，可以将重点资产 突出出来。表 5.19 中，资产 3 的综合风险最高，说明安全风险的重点工作应 该放到资产 3 上。表 5.21 单项综合排序范例C 、I 、A

27、总合管理25457运维12102技术10068解释：对单一资产，还可以使用单项综合排序。表5.20 中，管理方面的 综合风 险排在第一位，说明该资产在管理方面存在最大风险。风险分析，根据风险要素判断资产在机密性（C ）、完整型（I ）和可用 性（A ）等安全属性上所面临的威胁。根据对资产 C 、 I 、 A 属性的威胁，以及被这些威胁利用的技术漏洞、管理缺陷和运维缺陷决定处理方式，并提出安全防护需求。提取第（3）步选定的安全防护措施形成列表，并根据信息系统的技术条件、管理方式确定对信息系统的安全防护体系。风险决策是提出安全建议的基础，科学、合理的风险决策是提高安全建议质 量、防止过度防护和防护

28、不足的保障。4 安全建议安全建议是根据风险决策中提出的安全防护需求，经过合理的统计和归纳， 形成安全解决方案建议的过程。安全建议报告的内容包含了安全建议阶段的所有 工作内容，具体包括如下的技术细节：需求分析：需求分析根据风险分析的结论将信息系统的防护需求进行归纳和总结，并根据评估结果进行了现状分析、可行性分析和紧迫性分 析；安全建议：根据需求分析的结论针对不同评估节点提出安全防护措施；关联性分析：对安全建议所提出的防护措施的技术关联性进行论证，确定实施的先后顺序； 实施建议：根据关联性分析、可行性分析和紧迫性 分析结论提出安全建 议的实施建议。安全建议的内容应当同评估范围和内容相符， 通常一个

29、较全面的评估后， 安 全建议中应当包括如下的内容：对网络构架、网络设备配置和网络管理根据评估结论和数据提出完善、 改进或变更的建议；对主机系统的配置、加固的管理，以及主机的使用控制提出建议。主机安全建议在包含技术内容的同时，应当提出相应的管理措施；评估后，根据评估范围中的数据库、 WEB等中间件服务，提出其维护和加固的建议；对业务系统的使用、管理、维护，以及基本的安全功能提出整改建议；对现有安全防护措施的部署、配置和管理提出建议；对信息安全管理体系，包括管理制度、组织结构和执行情况提出安全整改的建议。为了确保评估建议的合理性、可行性，以及各节点对评估建议的理解的完整 性，评估工作组必须对安全建

30、议进行了讨论、予以修正，确保建议实施取的良好 的防护效益，并具备可行性。由于评估所涉及的信息系统内容较多，安全建议的具体实现需要在评估后， 由信息系统的拥有单位发起提出具体的解决方案。完整的解决方案可能是由不同 的厂商和服务机构提出的多个实施方案构成的，例如：网络整改方案、应用整改 方案等。5 安全整改及二次评估信息安全风险评估的最终目的是提高信息系统的安全防护能力， 因此安全建 议提出后， 被评估单位必须采取措施将建议内容付诸实施， 进行信息系统安全整 改，以达到评估的最终目的。安全整改是行业企业根据评估结论对信息安全保障体系开展的改进与完善 工作， 在安全整改后， 应该通过对关键环节进行二次评估的方式， 验证整改效果。二次评估后，应出具整改情况的检查报告。