1、風險評估實施步驟風評準備1. 確定風險評估的目標2. 確定風險評估的范圍3. 組建適當的評估管理與實施團隊4. 進行系統調研，采取問卷調查、現場詢問等方式，至少包括以下內容：?業務戰略及管理制度?主要的業務功能和要求?網絡結構與網絡環境，包括內部鏈接好外部鏈接?系統邊界?主要的硬件、軟件?數據和信息?系統和數據的敏感性?支持和使用系統的人員5. 制定方案，為之后的風評實施提供一個總體計劃，至少包括：?確定實施評估團隊成員?工作計劃及時間進度安排6. 獲得最高管理者對風險評估工作的支持二 資產識別資產的價值是按照資產在 保密性 、 完整性 和 可用性 上達到的程度或者其未達到時造成的影響程度來決

2、定1. 資產分類根據資產的表現形式，可將資產分為數據、軟件、硬件、文檔、服務、人員等類2. 資產的賦值（五個等級：可忽略、低、中等、高、極高）? 保 密性賦值 ： 根據資產在保密性上的不同要求， 對應資產在保密性上應達成的不同程度或者密保性缺失時對整個組織的影響，劃分為五個不同的等級? 完 整性賦值： 根據資產在完整性上的不同要求，對應資產在完整性上缺失時對整個組織的影響，劃分為五個不同的等級? 可 用性賦值： 根據資產在可用性上的不同要求，對應資產在可用性上應達成的不同程度，劃分為五個不同的等級?3. 資產重要性等級（五個等級：很低、低、中、高、很高）資產價值應依據資產在機密性、完整性和可用

3、性上的賦值等級，經過綜合評定得出。綜合評定方法， 可以根據組織自身的特點， 選擇對資產機密性、 完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果， 也可以根據資產機密性、 完整性和可用性的不同重要程度對其賦值進行加權計算而得到資產的最終賦值。 加權方法可根據組織的業務特點確定。三 威脅識別威脅是一種對組織及其資產構成潛在破壞的可能性因素，是客觀存在的。1. 威脅的分類根據威脅的來源，威脅可分為軟硬件故障、物理環境威脅、無作為或操作失誤、管理不到位、惡意代碼和病毒、越權或濫用、黑客攻擊技術、物理攻擊、泄密、篡改、抵賴2. 威脅的賦值（五個等級：很低、低、中、高、很高）判斷威脅出現

4、的頻率是威脅識別的重要工作， 評估者應根據經驗和 （或） 有關的統計數據來進行判斷。 在風險評估過程中， 還需要綜合考慮以下三個方面， 以形成在某種評估環境中各種威脅出現的頻率：（ 1） 以往安全事件報告中出現過的威脅及其頻率的統計；（ 2） 實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計；（ 3） 近一兩年來國際組織發布的對于整個社會或特定行業的威脅及其頻率統計，以及發布的威脅預警。四 脆弱性識別脆弱性是對一個或多個資產弱點的總稱。 脆弱性識別也稱為弱點識別，弱點是資產本身存在的， 如果沒有相應的威脅發生， 單純的弱點本身不會對資產造成損害。 而且如果系統足夠強健，再嚴重的威脅也

5、不會導致安全事件， 并造成損失。即，威脅總是要利用資產的弱點才可能造成危害。資產的脆弱性具有隱蔽性， 有些弱點只有在一定條件和環境下才能顯現， 這是脆弱性識別中最為困難的部分。 需要注意的是， 不正確的、 起不到應有作用的或沒有正確實施的安全 措施本身就可能是一個弱點。脆弱性識別將針對每一項需要保護的資產， 找出可能被威脅利用的弱點， 并對脆弱性的嚴重程度進行評估。 脆弱性識別時的數據應來自于資產的所有者、 使用者， 以及相關業務領 域的專家和軟硬件方面的專業等人員。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。1. 脆弱性識別脆弱性識別主要從技術和管理兩

6、個方面進行， 技術脆弱性涉及物理層、 網絡層、 系統層、 應用層等各個層面的安全問題。 管理脆弱性又可分為技術管理和組織管理兩方面， 前者與具 體技術活動相關，后者與管理環境相關。2. 脆弱性賦值（五個等級：很低、低、中、高、很高）可以根據對資產損害程度、 技術實現的難易程度、 弱點流行程度， 采用等級方式對已識別的脆弱性的嚴重程度進行賦值。 脆弱性由于很多弱點反映的是同一方面的問題， 應綜合考 慮這些弱點，最終確定這一方面的脆弱性嚴重程度。對某個資產， 其技術脆弱性的嚴重程度受到組織的管理脆弱性的影響。 因此， 資產的脆弱性賦值還應參考技術管理和組織管理脆弱性的嚴重程度。五 已有安全措施的確

7、認組織應對已采取的安全措施的有效性進行確認， 對有效的安全措施繼續保持， 以避免不必要的工作和費用， 防止安全措施的重復實施。 對于確認為不適當的安全措施應核實是否應被取消，或者用更合適的安全措施替代。六 風險分析1. 風險計算方法安全事件發生的可能性=L喊脅出現頻率，脆弱性）安全事件的損失=F（資產重要程度，脆弱性嚴重程度）風險值=R佞全事件發生的可能性，安全事件的損失）評估者可根據自身情況選擇相應的風險計算方法計算風險值。 如矩陣法或相乘法， 通過構造經驗函數， 矩陣法可形成安全事件發生的可能性與安全事件的損失之間的二維關系； 運 用相乘法可以將安全事件發生的可能性與安全事件的損失相乘得到

8、風險值。2. 風險結果判定（五個等級：很低、低、中、高、很高） 組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受風險閾值，七 風險評估文件記錄1. 風險評估文件記錄的要求記錄風險評估過程的相關文件，應該符合以下要求（但不僅限于此） ：（ 1 ）確保文件發布前是得到批準的；（ 2 ）確保文件的更改和現行修訂狀態是可識別的；（ 3 ）確保在使用時可獲得有關版本的適用文件；（ 4 ）確保文件的分發得到適當的控制；（ 5 ）防止作廢文件的非預期使用，若因任何目的需保留作廢文件時，應對這些文件進行適當的標識。對于風險評估過程中形成的相關文件，還應規定其標識、儲存、保護、檢索、保存期限以及處置

9、所需的控制。相關文件是否需要以及詳略程度由管理過程來決定。2. 風險評估文件風險評估文件包括在整個風險評估過程中產生的評估過程文檔和評估結果文檔，包括（但不僅限于此） ：（ 1 ）風險評估計劃：闡述風險評估的目標、范圍、團隊、評估方法、評估結果的形式和實施進度等；（ 2 ）風險評估程序：明確評估的目的、職責、過程、相關的文件要求，并且準備實施評估需要的文檔；（ 3 ）資產識別清單：根據組織在風險評估程序文件中所確定的資產分類方法進行資產識別，形成資產識別清單，清單中應明確各資產的責任人/ 部門；（ 4 ）重要資產清單：根據資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重

10、要程度、責任人/ 部門等；（ 5 ）威脅列表：根據威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現的頻率等；（ 6 ）脆弱性列表：根據脆弱性識別和賦值的結果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴重程度等；（ 7 ）已有安全措施確認表：根據已采取的安全措施確認的結果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；（ 8 ）風險評估報告：對整個風險評估過程和結果進行總結，詳細說明被評估對象，風險評估方法，資產、威脅、脆弱性的識別結果，風險分析、風險統計和結論等內容；（ 9 ）風險處理計劃：對評估結果中不可接受的風險制定風險處理計劃，選擇

11、適當的控制目標及安全措施，明確責任、進度、資源，并通過對殘余風險的評價確保所選擇安全措施的有效性；（ 10 ） 風險評估記錄： 根據組織的風險評估程序文件， 記錄對重要資產的風險評估過程。評估內容重要服務器的安全配置登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統服務安全檢測；系統安全補丁檢測；日志記錄審計檢測；木馬檢測。安全設備包括防火墻、入侵檢測系統、網閘、防病毒、桌面管理、審計、加密機、身份鑒別等；查看安全設備的部署情況。查看安全設備的配置策略；查看安全的日志記錄； 通過漏洞掃描系統對安全進行掃描。 通過滲透性測試檢安全 配置的有效性。路由器 檢查操作系統是否存在安全漏洞；配置方

12、面，檢測端口開放、管理員口令設置與管理、 口令文件安全存儲形式、 訪問控制表； 是否能對配置文件 進行備份和導出；關鍵位置路由器是否有冗余配置。物理環境 包括UPS變電設備、空調、門禁等。交換機 檢查安全漏洞和補丁的升級情況，各 VLAN 間的訪問控制策略；口 令設置和管理，口令文件的安全存儲形式；配置文件的備份。風險評估流程風險評估流程包括系統調研、資產識別、威脅識別、脆弱性識別（包括現有 控制措施確認）、風險綜合分析以及風險控制計劃六個階段。風險評估準備系統調研 是熟悉和了解組織和系統的基本情況，對組織IT 戰略，業務目標、業務類型和業務流程以及所依賴的信息系統基礎架構的基本狀況和安全需求

13、等進行調研和診斷。資產識別 是對系統中涉及的重要資產進行識別，并對其等級進行評估，形成資產識別表。資產信息至少包括：資產名稱、資產類別、資產價值、資產用途、主機名、IP地址、硬件型號、操作系統類型及版本、數據庫類型及版本、應用系 統類型及版本等。威脅識別 是對系統中涉及的重要資產可能遇到的威脅進行識別， 并對其等級進行評估， 形成威脅識別表。 識別的過程主要包括威脅源分析、 歷史安全事件分析、實時入侵事件分析幾個方面。脆弱性識別 是對系統中涉及的重要資產可能被對應威脅利用的脆弱性進行識別， 并對其等級進行評估， 形成脆弱性識別表。 脆弱性識別又具體分為物理安全、 網絡安全、 主機系統安全、 應

14、用安全、 數據安全、 安全管理六個方面的內容。風險綜合分析 是根據對系統資產識別，威脅分析，脆弱性評估的情況及收集的數據， 定性和定量地評估系統安全現狀及風險狀況， 評價現有保障措施的運行效能及對風險的抵御程度。結合系統的 IT 戰略和業務連續性目標，確定系統不可接受風險范圍。風險控制計劃 是針對風險評估中識別的安全風險，特別是不可接受風險，制定風險控制和處理計劃， 選擇有效的風險控制措施將殘余風險控制在可接受范圍內。風險評估是按照ISO 27001建立信息安全管理體系的基礎，是PDCA循環的策劃階段的主要工作內容，根據風險評估結果來從ISO 17799 中選擇控制目標與控制方式。風險評估是建

15、立 ISMS 的基礎，處于27001 的第一個環節計劃階段（P） ，也為風險管理提供依據；等級保護理論上和 27001 沒有直接關系， 但是目前等保的管理安全部分借鑒了 27001 的控制域部分要求，二者是可以相融合的P 階段：建立ISMS（PLAN）?定義ISMS 的范圍?定義ISMS 策略? 定義系統的風險評估途徑? 識別風險? 評估風險? 識別并評價風險處理措施? 選擇用于風險處理的控制目標和控制? 準備適用性聲明（SoA）? 取得管理層對殘留風險的承認，并授權實施和操作 ISMS信息安全風險評估項目工序與流程一、項目啟動1 .雙方召開項目啟動會議，確定各自接口負責人。=工作輸出2 .業

16、務安全評估相關成員列表（包括雙方人員）3 .報告藍圖=備注1 .務必請指定業務實施負責人作為項目接口和協調人；列出人員的電話號碼和電子郵件帳 號以備聯絡。二、確定工作范圍2 .請局方按合同范圍提供資產表，也即掃描評估范圍。3 .請局方指定需進行人工評估的資產，確定人工評估范圍。4 .請局方給所有資產賦值（雙方確認資產賦值）5 .請局方指定安全管理問卷調查（訪談）人員，管理、員工、安全主管各一人。=工作輸出1 .會議備忘（要求簽字確認）2 .資產表（包括人工評估標記和資產值）=備注1 .資產數量正負不超過 15%;給資產編排序號，以方便事后檢查。2 .給人工評估資產做標記，以方便事后檢查。3 .

17、資產值是評估報告的重要數據。三、制定整體實施計劃1 .按照工作范圍制定整個項目的總體計劃，包括現場準備、掃描評估、人工評估、問卷調 查、加固實施等各階段。2 .與接口負責人共同確定針對各相關資產進行管理評估，入侵檢測系統實施掃描評估、人 工評估的日期和時間段。=工作輸出1 .總體項目進度甘特圖2 .評估階段工作計劃表=備注1 .掃描評估、人工評估、問卷調查在可能的情況下可以同期進行；工作計劃表交項目 經理參考，以便配合。2 .確定日期以便于制定工作計劃；確定時間段（白天、晚間、夜間甚至鐘點）對加固階段 詳細計劃的確定更重要。四、管理評估階段1 .提供現有的安全管理規范和管理制度。2 .提供對應

18、業務的系統信息，包括拓撲圖、業務功能說明、業務流程說明（如能提供系統 設計方案更佳）。3 .對應業務的管理、員工、安全主管進行訪談。4 .對現有安全管理制度的實行情況進行審計。5 .對評估中需要的其他策略文檔進行收集。=工作輸出1 .資料接收單2 .安全訪談記錄單=備注1 .對提供的電子或紙質文檔進行嚴格的保密和內部使用控制，資料接收時需要填寫資料 接收單并簽字。2 .訪談記錄單內容需要與被訪談人進行確認及簽字。3 .對于發現的重要情況，均須與對應配合人員進行確認，重大內容需要雙方簽字。五、技術評估階段1 .提出掃描申請2 .每日制定第二天的日工作計劃，包括掃描評估、人工評估、問卷調查等詳細計劃。3 .進行掃描評估（每次掃描完成后，應有掃描確認，需用戶方簽字）。4 .進行人工評估（每次人工評估完成后，應有人工評估確認，需用戶方簽字）。6 .雙方協商布置在網絡關鍵節點上布置入侵檢測系統（一般放置3天）。7 .在整個項目技術部分基本結束時，雙方協商進行滲透測試。8 .每日進行記錄和總結。9 .逢周末進行周工作總結。=工作輸出1 .掃描申請報告/原始弱點報告2 .日工作計劃3 .工作確認單4 .評估數據5 .入侵檢測系統布置申請報告入侵檢測系統日志分析報告6 .滲透測試申請報告 /滲