第八期風險評估基本流程和技術方法第八期風險評估基本流程和技術方法第八期風險評估基本流程和技術方法xxx公司第八期風險評估基本流程和技術方法文件編號：文件日期：修訂次數：第1.0次更改批準審核制定方案設計，管理制度第八期風險評估基本流程和技術方法一、風險評估的基本實施流程是什么風險評估的實施流程主要包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析和風險評估文檔記錄七個階段（如圖所示）。二、開展風險評估需要做哪些準備風險評估準備是整個風險評估過程有效性的保證。因此，在風險評估實施前，應：（1）確定風險評估的目標；（2）確定風險評估的范圍；（3）組建適當的評估管理與實施團隊；（4）進行系統調研；（5）確定評估依據和方法；（6）制定風險評估方案；（7）獲得最高管理者對風險評估工作的支持。三、如何進行資產識別保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。資產識別過程主要包括以下具體活動：（1）回顧評估范圍內的業務。回顧這些信息的主要目的是讓資產識別人員對所評估的業務和應用系統有一個大致的了解，為后續的資產識別活動做準備。（2）識別信息資產，進行合理分類。資產分類的目的是降低后續分析和賦值活動的工作量。（3）確定每類信息資產的安全需求。可以從保密性、完整性和可用性三個方面對每個資產類別進行安全需求分析。（4）為每類信息資產的重要性賦值。在上述安全需求分析的基礎上，按照一定的方法確定資產的價值或重要程度等級。四、如何進行威脅識別威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環境因素。根據威脅的動機，人為因素又可分為惡意和非惡意兩種。環境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發的、或蓄意的事件。在對威脅進行分類前，應考慮威脅的來源。威脅識別主要包括以下具體活動：（1）威脅識別。威脅識別包括實際威脅識別和潛在威脅識別。（2）威脅分類。對上述實際發生過的和潛在的威脅進行分類。（3）構建威脅的場景。在上述工作基礎上，為每個或每類關鍵資源構建威脅場景圖。（4）威脅賦值。對具體威脅或威脅類別進行賦值。五、如何進行脆弱性識別脆弱性識別是風險評估中最重要的一個環節，包括物理、系統、網絡、應用和管理五個方面。脆弱性識別主要包括以下具體活動：（1）脆弱性識別。通過掃描工具或手工等不同方式，識別當前系統中存在的脆弱性。（2）識別結果整理與展示。在脆弱性識別階段，應將脆弱性識別結果以合理的方式展現給被評估的組織。（3）脆弱性賦值。某些具體的風險分析、計算方法，需要對脆弱性賦值，方能完成后續的風險計算活動，因此，若有此需要，應根據一定的賦值準則，對被識別的脆弱性進行賦值。六、如何識別與確認已有安全措施在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，即是否真正地降低了系統的脆弱性，抵御了威脅。對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重復實施。對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。安全控制措施大致可以分為技術控制措施、管理和操作控制措施兩大類。（1）技術控制措施的識別與確認識別已有的技術控制措施，并對其有效性進行分析和確認。（2）管理和操作控制措施的識別與確認識別已有的管理和操作控制措施，并對其有效性進行分析和確認。七、如何進行風險分析在完成了資產識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。風險計算的原理是：風險值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件的可能性；F表示安全事件發生后造成的損失。為實現對風險的控制與管理，可以對風險評估的結果進行等級化處理，等級越高，風險越高。對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。安全措施的選擇應從管理與技術兩個方面考慮。安全措施的選擇與實施應參照信息安全的相關標準進行。在對不可接受的風險選擇適當安全措施后，為確保安全措施的有效性，可進行再評估，以判斷實施安全措施后的殘余風險是否已經降低到可接受的水平。殘余風險的評估可以依據本標準提出的風險評估流程實施，也可做適當裁減。某些風險可能在選擇了適當的安全措施后，殘余風險的結果仍處于不可接受的風險范圍內，應考慮是否接受此風險或進一步增加相應的安全措施。八、風險評估的技術方法主要包括哪些在風險評估的實施過程中，主要包括工具檢測、人工檢查、滲透性測試三大技術方法。1、工具檢測工具檢測是風險評估的輔助手段，是保證風險評估結果可信度的一個重要因素，在一定程度上解決了手動評估的局限性。脆弱性掃描工具是目前應用最廣泛的風險評估工具，主要完成操作系統、數據庫系統、網絡協議、網絡服務等的安全脆弱性檢測功能，目前常見的脆弱性掃描工具有以下幾種類型：a）基于網絡的掃描器：在網絡中運行，能夠檢測如防火墻錯誤配置或連接到網絡上的易受攻擊的網絡服務器的關鍵漏洞。b）基于主機的掃描器：發現主機的操作系統、特殊服務和配置的細節，發現潛在的用戶行為風險，如密碼強度不夠，也可實施對文件系統的檢查。c）分布式網絡掃描器：由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構成，用于企業級網絡的脆弱性評估，分布和位于不同的位置、城市甚至不同的國家。d）數據庫脆弱性掃描器：對數據庫的授權、認證和完整性進行詳細的分析，也可以識別數據庫系統中潛在的脆弱性。2、人工檢查考慮到風險評估工具本身具有一定的風險，同時還存在漏報和誤報的問題，對于可用性要求較高的重要系統進行風險評估時，一般會采用人工檢查的方式。在進行具體的人工檢查活動前，應準備風險評估所需的各種檢查列表，并將檢查結果按要求進行詳細記錄。3、滲透性測試滲透性測試工具是根據脆弱性掃描工具