XXXXX-0002

XXXXX

(XXXXX)

風險評估實施方案

XXXXX

信息安全中心

2016年12月

文檔說明

文件編號：XXXXX-0002版本號：VI.0

編寫人：編寫日期：

審批人：審批日期：

Copyright?XXXXX保留所有版權，嚴禁非授權的使用或修改。

XXXXX風險評估實施方案

目錄

1總體概述..................................................1

1.1項目概述.............................................1

1.2評估內容.............................................1

1.3評估檢測原則.........................................2

2風險評估方案..............................................3

2.1風險評估現場實施流程.................................3

2.2風險評估準備.........................................4

2.2.1概述............................................4

2.2.2確定評估目標....................................4

2.2.3確定評估范圍....................................5

2.3風險評估工作組織管理.................................5

2.3.1風險評估組織體系結構............................5

2.3.2風險評估小組職責................................6

2.3.3風險評估小組人員構成............................9

2.3.4被評估組織成員及職責說明......................10

2.3.5被評估組織人員構成.............................11

2.4風險評估框架模型....................................12

2.5風險計算模型........................................13

2.6風險評估標準依據....................................14

XXXXXI

XXXXX風險評估實施方案

2.7風險評估測評工具14

2.8評估時間安排........................................16

2.9風險評估方法........................................16

2.9.1資產識別及賦值.................................16

2.9.2威脅識別及賦值................................21

2.9.3脆弱性識別及賦值...............................25

2.9.4滲透測試、代碼審計............................28

2.9.5現有控制措施...................................29

2.9.6風險分析.......................................30

2.9.7風險準則的確定.................................31

2.9.8風險處置計劃...................................32

2.9.9風險評估報告...................................32

2.10服務保障措施........................................32

2.10.1過程保障.......................................32

2.10.2周期服務總結..................................32

2.10.3風險評估管理制度..............................33

2.11服務質量管理規范....................................38

2.11.1項目風險管理..................................39

2.11.2項目干系人管理................................40

2.11.3客戶投訴管理..................................40

XXXXXII

XXXXX風險評估實施方案

2.11.4客戶滿意度管理42

XXXXXIII

XXXXX風險評估實施方案

1總體概述

L1項目概述

XXXXXXXXXX是一個簡潔、靈活、可視化的門戶應用框架，它簡化了XXXXX

的資源配置和頁面編輯。同時集成了功能管理、門戶管理、資源管理、組件

管理、權限管理、系統管理，對大部分與XXXXX行業相關的系統做了單點集

成，最大程度應對業務需求，使用戶能夠根據自己的需求選擇應用。

本次對XXXXXXXXXX風險評估的目的便是評估其風險狀況，提出風險控

制建議，同時為下一步制定的網站安全管理規范以及今后系統平臺的安全

建設和風險管理提供依據和建議。

需要指出的是，本評估報告中所指出的安全風險是針對現階段平臺的

風險狀況，反映的是系統當前的安全狀態。

為了充分了解XXXXXXXXXX的安全現狀，XXXXX公司安全顧問將依據

GB/T20984-2007《信息安全技術信息安全風險評估規范》和GB/T31509-

2015《信息安全技術信息安全風險評估實施指南》要求對XXXXXXXXXX提

供風險評估。

L2評估內容

本次風險評估工作需要完成以下工作：

1.項目立項階段

與XXXXXXXXXX網絡負責人及XXXXX管理負責人確立風險評估范圍及內

XXXXX1

XXXXX風險評估實施方案

容。

2.項目啟動階段

風險評估工作啟動，確定風險評估小組成員及評測工具。

3.項目前期階段

進行系統調研，收集相關信息內容，出具系統調研報告。

4.項目設計階段

根據系統調研報告結合風險評估方案及風險評估模板進行具體的實施

方案設計。

5.項目實施階段

針對XXXXXXXXXX用關應用系統進行資產識別、脆弱性識別、威脅識別、

已有安全措施確認，針對識別內容根據GB/T20984-2007《信息安全技術

信息安全風險評估規范》和GB/T31509-2015《信息安全技術信息安全風

險評估實施指南》給出相應賦值，根據賦值進行具體評估，填寫相應評估表

單。

6.項目驗收階段

根據實際評估情無出具風險評估報告，根據網站系統實際的風險評估

情況給出相應的整改建議。

1.3評估檢測原則

＞標準性原則

依據國際國內標準開展工作是本次評估工作的指導原則，也是XXXXX公

xxxxx2

XXXXX風險評估實施方案

司提供信息安全服務的一貫原則。在提供的評估服務中，依據相關的國內和

國際標準進行。

＞可控性原則

人員可控性：XXXXX公司將派遣數名經驗豐富的工程師參加本項目的評

估工作，有足夠的經驗應對評估工程中的突發事件。

工具可控性：在使用技術評測工具前都事先通告。并且在必要時可以應

客戶要求，介紹主要工具的使用方法，并進行一些實驗。

＞完整性原則

按照評估范圍進行全面的評估，實施的安全評估將涉及全部內網可以

訪問到的設備、全面覆蓋安全需求的各個點。

＞最小影響原則

XXXXX公司會從項目管理層面和工具使用層面，將評估工作對系統和網

絡正常運行的可能影響降低到最低限度，不會對現有運行業務產生顯著影

響。

2風險評估方案

2.1風險評估現場實施流程

風險評估的實施流程見下圖所示。

XXXXX3

XXXXX風險評估實施方案

圖2-1風險評估實施流程

2.2風險評估準備

2.2.1概述

風險評估準備是整個風險評估過程有效性的保證。由于風險評估受到

組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響，因

此，在風險評估實施前，應充分做好評估前的各項準備工作。

2.2.2確定評估目標

在信息安全風險評估準備階段首先明確目標，為整個信息安全風險評

XXXXX4

XXXXX風險評估實施方案

估的過程提供正確的導向，也為下一步完善管理制度以及今后的安全建設

和風險管理提供第一手資料。

風險評估應全面、準確的了解被評估信息系統的安全現狀、發現系統可

能會出現的安全問題，保證系統處于一個高度可信任的狀態。

2.2.3確定評估范圍

在確定風險評估的目標后，應進一步明確風險評估的評估范圍，在確定

評估范圍時，應結合已確定的評估目標和組織的實際信息系統建設，合理定

義被評估對象和評估范圍邊界。

通過前期調研問詢可以確定XXXXX風險評估的范圍是：XXXXX涉及的服

務器（應用及數據庫）、中間件、數據庫、數據資產及平臺管理及使用人員、

平臺已建立的安全管理制度，另外由于網絡部分的一致性，網絡部分的安全

評估將在整體評估完畢后，集中評估。

2.3風險評估工作組織管理

XXXXX公司針對XXXXXXXXXX項目專門成立了評估工作小組負責開展本

次評估工作，評估工作小組組長由寧潞紅擔任，工作小組下設安全技術評估、

安全管理評估、質量管控、應急響應、文檔支撐五個業務小組。

2.3.1風險評估組織體系結構

XXXXX5

XXXXX風險評估實施方案

圖2-2風險評估組織體系結構

2.3.2風險評估小組職責

項目組長：是風險評估項目中實施方的管理者、責任人，具體工作職責

包括：

1.根據項目情況組建評估項目實施團隊；

2.根據項目情況與被評估方一起確定評，‘古目標和評估范圍，并組織項

目組成員對被評估方實施系統調研；

3.根據評估目標、評估范圍及系統調研的情況確定評估依據，并組織

編寫評估方案；

4.組織項目組成員開展風險評估各階段的工作，并對實施過程進行監

督、協調和控制，確保各階段工作的有效實施；

5.與被評估組織進行及時有效的溝通，及時商討項目進展狀況及可能

XXXXX6

XXXXX風險評估實施方案

發生問題的預測等；

6.組織項目組成員將風險評估各階段的工作成果進行匯總，編寫《風

險評估報告》與《安全整改建議書》等項目成果物；

7.負責將項目成昊物移交被評估組織，向被評估組織匯報項目成果，

并提請項目驗收

安全技術評估人員：負責項目中技術方面評估工作的實施人員，具體工

作職責包括：

1.根據評估目標與評估范圍的確定參與系統調研，并編寫《系統調研

報告》的技術部分內容；

2.參與編寫《評估方案》；

3.遵照《評估方案》實施各階段具體的技術性評估工作，主要包括：

信息資產調查、威脅調查、安全技術脆弱性核查等；

4.對評估工作中遇到的問題及時向項目組長匯報，并提出需要協調的

資源；

5.將各階段的技術性評估工作成果進行匯總，參與編寫《風險評估報

告》與《安全整改建議書》等項目成果物；

6.負貢向被評估方解答項目成果物中有關技術性細節問題。

安全管理評估人員：負責風險評估項目中管理方面評估工作的實施人

員，具體工作職責包括：

1.根據評估目標與評估范圍的確定參與系統調研，并編寫《系統調研

XXXXX7

XXXXX風險評估實施方案

報告》的管理部分內容；

2.參與編寫《評估方案》；

3.遵照《評估方案》實施各階段具體的管理性評估工作，主要包括：

信息資產調查、威脅調查、安全技術脆弱性核查等；

4.對評估工作中遇到的問題及時向項目組長匯報，并提出需要協調的

資源；

5.將各階段的技術性評估工作成果進行匯總，參與編寫《風險評估報

告》與《安全整改建議書》等項目成果物；

6.負責向被評估方解答項目成果物中有關技術性細節問題。

應急響應人員：負責對項目實施過程中系統發生的意外安全事故進行

緊急處理，具體工作職責包括：

1.在項目實施過程中出現與當前不相符的情況，或由于各種因素導致

項目無法正常進行的情況，應急響應人員應當立即與項目經理確認

并提出相應的應急響應方法；

2.負責整個項目過程中的應急響應；

文檔支撐人員：負責支撐測評人員出具的測評過程文檔校對工作。具體

工作職責包括：

1.根據項目中要求出具的文檔進行校對，包括文檔格式是否正確、文

檔內容是否符合當前實際情況、是否需要新加其它文檔。提出文檔整改建議

并且參與文檔的編寫。

XXXXX8

XXXXX風險評估實施方案

質量把控人員：負責風險評估項目中質量管理的人員，具體工作職責包

括：

1.監督審計各階段工作的實施進度與時間進度，對可能出現影響項目

進度的問提及時通告項目組長；

2.負責對項目文揩進行管控。

2.3.3風險評估小組人員構成

表2-1風險評估小組人員構成

序號單位成員負責方向備注

項目組長，負責風險評估項目的進

1

度把控、過程監督、整體協調。

安全技術評估人員，負責項目中技

2

術方面評估工作的實施。

安全技術評估人員，負責項目中技

3

術方面評估工作的實施。

安全管理評估人員，負責項目中管

4

XXXXX理方面評估工作的實施。

信息安全中心文檔支撐人員，負責支撐測評人員

5

出具的測評過程文檔校對工作。

安全技術評估人員，負責項目中技

6

術方面評估工作的實施。

文檔支撐人員，負責支撐測評人員

7

出具的測評過程文檔校對工作。

質量管控員，應急響應人員。負責

8

風險評估項目質量管理，負責對整

XXXXX9

XXXXX風險評估實施方案

序號單位成員負責方向備注

個項目生成的過程文檔、實施過程

進行技術指導。負責對項目實施過

程中系統發生的意外安全事故進行

緊急處理。

2.3.4被評估組織成員及職責說明

為保障項目的順利進行，需要被評估方共同參與到評估的過程中，建議

被評估組織確定項目組長一名，組員若干名，具體職責如下：

項目組長：是風險評估項目中被評估組織的管理者.具體工作職責包括:

(1)與評估機構的項目組長進行工作協調；

(2)組織本單位的項目組成員在風險評估各個階段活動中的配合工

作；

(3)組織本單位的項目組成員對項目過程中實施方提交的評估信息、

數據及文檔資料等進行確認，對出現的偏離及時指正；

(4)組織本單位的項目組成員對評估機構提交的《風險評估報告》

與《安全整改建議書》等項目成果物進行審閱；

(5)組織對風險評估項目進行驗收；

(6)可授權項目協調人負責各階段性工作，代理實施自己的職責；

項目協調人：風險評估項目中被評估組織的工作協調人員，具體工作職

責是負責與被評估組織各部門之間的信息溝通，及時協調、調動相關部門的

資源，包括工作場地、物資、人員等，以保跑項目的順利開展。

XXXXX10

XXXXX風險評估實施方案

運維人員：被評估組織的信息系統運行維護人員，在風險評估項目中的

具體工作職責包括：

(1)在項目組長的安排下，配合評估機構在風險評估各階段中的工

作；

(2)參與對評估機構提交的《評估方案》進行研討；

(3)參與對項目過程中實施方案提交的評估信息、數據及文檔資料

等進行確認，及時指正出現的偏離；

(4)參與對評估機構提交的《風險評估報告》與《安全整改建議書》

等項目成果物進行審閱；

(5)參與對風險評估項目的驗收。

2.3.5被評估組織人員構成

表2-2被評估組織人員構成

序號單位成員負責方向備注

項目組長，負責與評估組織項目組

1長進行工作協調，組織項目驗收，

制度檢驗過程

使用維護人員，負責協助評估組成員

XXXXX

2完成設備信息的調研以及后期相關

問題的解決

數據庫專責，負責協助評估組成員

3

完成數據庫安全審查

XXXXX11

XXXXX風險評估實施方案

2.4風險評估框架模型

圖2-3風險評估框架模型

方框部分的內容為風險評估的基本要素，橢圓部分的內容是與這些要

素相關的屬性，也是風險評估要素的一部分。風險評估的工作是圍繞其基本

要素展開的，在對這些要素的評估過程中需要充分考慮業務戰略、資產價值、

安全事件、殘余風險等與這些基本要素相關的各類因素。各要素之間的關系

如下：

業務戰略依賴資產去實現；資產是有價值的，組織的業務戰略對資產的

依賴度越高，資產價值就越大；資產價值越大則其面臨的風險越大；風險是

由威脅引發的，資產面臨的威脅越多則風險越大，并可能演變成安全事件；

弱點越多，威脅利用脆弱性導致安全事件的可能性越大；脆弱性是未被滿足

XXXXX12

XXXXX風險評估實施方案

的安全需求，威脅要通過利用脆弱性來危害資產，從而形成風險；風險的存

在及對風險的認識導出安全需求；安全需求可通過安全措施得以滿足，需要

結合資產價值考慮實施成本；安全措施可抵御威脅，降低安全事件的發生的

可能性，并減少影響；風險不可能也沒有必要降為零，在實施了安全措施后

還會有殘留下來的風險。有些殘余風險來自于安全措施可能不當或無效，在

以后需要繼續控制，而有些殘余風險則是在綜合考慮了安全成本與效益后

未控制的風險，是可以被接受的；殘余風險應受到密切監視，它可能會在將

來誘發新的安全事件。

2.5風險計算模型

通過對風險評估指南的理解、分析和總結，我們認為在風險評估的整個

過程中，主要包含三個要素，這三個要素之間相互作用和影響，他們之間的

信

系

無

A

&

.僵

風險分析涉及資產、威脅、脆弱性等基本要素。每個要素有各自的屬性,

XXXXX13

XXXXX風險評估實施方案

資產的屬性是資產價值；威脅的屬性是威脅出現的頻率；脆弱性的屬性是資

產弱點的嚴重程度。風險分析主要內容為：

?對資產進行識別，并對資產的重要性進行賦值；

?對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；

?對資產的脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值;

?根據威脅和脆弱性的識別結果判斷安全事件發生的可能性；

?根據脆弱性嚴重程度及安全事件所作用資產的重要性計算安全事件

的損失；

根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦

發生對組織的影響，即風險值。

2.6風險評估標準依據

風險評估的測評標準采用GB/T20984《信息安全技術信息安全風險評

估規范》、GB/T31509-2015《信息安全技術信息安全風險評估實施指南》、。

2.7風險評估測評工具

測評過程中可能使用的工具見下表所示：

表2-3測評工具

序號名稱功能描述版本備注

XXXXX14

XXXXX風險評估實施方案

Metasploit是一款開源的安全漏洞檢測工

具，同時Metasploit■是免費的工具，因此

安全工作人員常用Metasploit工具來檢測

系統的安全性。MetasploitFrameworkMetasploi

Metasploi

1(MSF)在2003年以開放源碼方式發布，是t開源

l

可以自由獲取的開發框架。它是一個強大的Community

開源平臺，供開發，測試和使用惡意代碼，

這個環境為滲透測試、shellcode編寫和漏

洞研究提供了一個可靠平臺。

nmap是一個網絡連接端掃描軟件，用來掃描

網上主機開放的網絡連接端。確定哪些服務

運行在哪些連接端，并且推斷計算機運行哪

2Nmap7.12開源

個操作系統(這是亦稱fingerprinting)。

它是網絡管理員必用的軟件之一，以及用以

評估網絡系統安全。

網絡/操作系統(Linux,Windows)弱點掃描

3Nessus3.0開源

工具

4SqlmapSQL注入分析工具2.0開源

5Burpsuite滲透測試集成化平臺1.6.17開源

無需

6D盾后「查殺分析工具V2.0.8

安裝

免費版/專

7Splunk日志分析工具開源

業版

XXXXX15

XXXXX風險評估實施方案

2.8評估時間安排

表2-4評估時間安排

序號實施流程實施時間安排

1風險評估準備2016.12.19-2016.12.19

2資產識別2016.12.20-2016.12.20

3威脅識別2016.12.22-2016.11.22

4脆弱性識別2016.12.23-2016.12.23

5已有安全措施確認2016.12.23-2016.12.25

6提交風險報告2016.12.26

2.9風險評估方法

2.9.1資產識別及賦值

2.9.1.1基本概念

資產是企業、機構直接賦予了價值因而需要保護的東西。它可能是以多

種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有

服務、企業形象等。它們分別具有不同的價值屬性和存在特點，存在的弱點、

面臨的威脅、需要進行的保護和安全控制都各不相同。為此，有必要對企業、

機構中的信息資產進行科學分類，以便于進行后期的信息資產抽樣、制定風

險評估策略、分析安全功能需求等活動。

資產還具有很強的時間特性，它的價值和安全屬性都會隨著時間的推

移發生變化，所以應該根據時間變化的頻度制定資產相關的評估和安全策

略的頻度。例如，某公司重要的市場活動策劃方案（數據資產），在活動開

XXXXX16

XXXXX風險評估實施方案

始之前，為達成市場目標，需要對該數據資產進行保密性、完整性和可用性

方面的保護。但是在該活動之后，策劃已經基本上都傳達給了大眾，所以資

產價值已經大部分消失，相關的安全屬性也失去保護意義。

因此在本方案定義的評估工作內容，其中信息資產（Information

Assets）的界定和賦值是整個階段（現場測試和評估階段）的前提，是信息

資產抽樣的基礎和重要依據。為此，有必要實現信息資產界定和賦值過程的

標準化，以便在所有項目參與者中形成一個共同的知識基礎。

2.9.1.2資產分類

1）數據：保存在信息媒介上的各種數據資料，包括源代碼、數據庫數

據、系統文檔、運行管理規程、計劃、報告、運行手冊、各類紙質的

文檔等（數據大做數量統計）；

2）軟件：應用軟件、系統軟件、開發工具等；

3）硬件：計算機設備、通訊設備、可移動介質和其他設備；

4）其他：公司其他的信息資產。

2.9.1.3資產調查

資產調查是識別組織和信息系統中資產的重要途徑，風險評估小組將

采用訪談的方式，按照信息資產的類別識別在本部門所管轄的信息資產，對

于在范圍內的每一項資產按照《信息資產識別表》進行登記。

XXXXX17

XXXXX風險評估實施方案

2.9.1.4資產識別范圍

由于XXXXX內部網絡特殊性，對于本次XXXXX風險評估資產識別范圍

只包括平臺有關的主機服務器、操作系統、中間件、數據庫、管理制度等，

對于網絡安全將在整體測評結束后進行統一風險評估。

2.9.1.5資產重要性識別

信息資產分別具有不同的安全屬性，保密性、完整性和可用性分別反映

了資產在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保

護功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反

映資產價值的數值。對信息資產進行賦值的目的是為了更好地反映資產的

價值，以便于進一步考察資產相關的弱點、威脅和風險屬性，并進行量化。

2.9.1.6資產安全屬性賦值表

表2-5資產安全屬性賦值表

安全屬性

賦值標識

保密性完整性可用性

完整性價值非常低，可用性價值可以忽

包含可對社會公開

未經授權的修改或破略，合法使用者對信

的信息，公用的信

1很低壞對組織造成的影響息及信息系統的可用

息處理設備和系統

可以忽略，對業務沖度在正常工作時間低

資源等

擊可以忽略于30%

包含僅能在組織內完整性價值較低，未可用性價值較低，合

2低部或在組織某一部經授權的修改或破壞法使用者對信息及信

門內部公開的信會對組織造成輕微影息系統的可用度在正

XXXXX18

XXXXX風險評估實施方案

息，向外擴散有可響，可以忍受，對業常工作時間達到30%

能對組織的利益造務沖擊輕微，容易彌以上

成損害補

完整性價值中等，未可用性價值中等，合

包含組織的一般性

經授權的修改或破壞法使用者對信息及信

秘密，其泄露會使

3中會對組織造成影響，息系統的可用度在正

組織的安全和利益

對業務沖擊明顯，但常工作時間達到70%

受到損害

可以彌補以上

完整性價值較高，未

包含組織的重要秘可用性價值較高，合

經授權的修改或破壞

密，其泄露會使組法使用者對信息及信

4高會對組織造成重大

織的安全和利益遭息系統的可用度達到

影，對業務沖擊嚴

受嚴重損害每天90%以上

重，比較難以彌補

完整性價值非常關

包含組織最重要的

鍵，未經授權的修改

秘密，關系未來發

或破壞會對組織造成可用性價值非常高，

展的前途命運，對

重大的或無法接受的合法使用者對信息及

5很高組織根本利益有著

影響，對業務沖擊重信息系統的可用度達

決定性影響，如果

大，并可能造成嚴重到年度99.9%以上

泄漏會造成災難性

的業務中斷，難以彌

的損害

補

2.9.1.7資產價值計算

資產價值用于反映某個資產作為一個整體的價值，綜合了保密性、完整

性和可用性三個屬性。通常，考察實際經驗，三個安全屬性中最高的一個對

最終的資產價值影響最大。換而言之，整體安全屬性的賦值并不隨著三個屬

XXXXX19

XXXXX風險評估實施方案

性值的增加而線性增加，較高的屬性值具有較大的權重。

為此，使用下面的經驗公式來計算資產價值賦值：

AssetValue={Max(C,I,A)}

其中，Conf代表俁密性賦值；Int代表完整性賦值；Avail代表可用性

賦值；由于XXXXXXXXXX的資產在這三個安全屬性中具有統一性，為了簡化

計算，統一取其最大值作為資產的價值屬性。

這里需要聲明的是：該算式屬于經驗算式，使用與否、使用的方式都由

評估者根據經驗來決定。

信息資產共分為5級，包括：很高、高、中等、低、很低。其中很高、

高、中等都被列為重要資產，并分析其面臨的安全風險。下表劃分表明了不

同等級的重要性的綜合描述。

表2-6資產等級及含義描述

資產價值資產等級資產等級值定義

價值非常關鍵，損壞或破壞會影響全局，造成

5很高5重大或無法接受的損失，對業務沖擊重大，并

可能造成嚴重的業務中斷，損失難以彌補

價值非常重要，損壞或破壞會對該部門造成重

4高4

大影響，對業務沖擊嚴重，損失比較難以彌補

價值中等，損壞或破壞會對該部門造成影響，

3中3

對業務沖擊明顯，損失可以彌補

價值較低，損壞或破壞會對該部門造成輕微影

2低2響，可以忍受，對業務沖擊輕微，損失容易彌

補

XXXXX20

XXXXX風險評估實施方案

價值非常低，屬于普通資產，損壞或破壞會對

1很低1該部門造成的影響可以忽略，對業務沖擊可以

忽略

2.9.1.8資產賦值報告

經過資產識別和資產分析，確定了組織和信息系統中的資產，明確了資

產價值以及相應的保密性、完整性、可用性等安全屬性情況，連接資產之間

的相互關系和影響，識別出重要資產，在此基礎上，生成資產列表和資產賦

值報告。資產賦值報告是進行威脅識別和脆弱性識別的重要依據。

2.9.2威脅識別及賦值

2.9.2.1基本概念

威脅是一種對系統及其資產構成潛在破壞的可能性因素或者事件。無

論對于多么安全的信息系統，安全威脅是一個客觀存在的事物，它是風險評

估的重要因素之一。

2.9.2.2威脅的識別

威脅是對組織及其資產構成潛在破壞的可能性因素，造成威脅的因素

可分為人為因素和環境因素。人為因素又可區分為有意和無意兩種，環境因

素包括自然界不可抗拒因素和其他物理因素C威脅作用形式可以是對信息

系統直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在保密性、完

整性或可用性等方面造成損害；也可能是偶發的、或蓄意的事件。

本項目對威脅的識別主要采取人員訪談結合人工分析的方式，人員訪

XXXXX21

XXXXX風險評估實施方案

談可以快速了解到被評估單位近期發生過何種威脅，通過面對面訪談關鍵

資產的負責人，威脅識別小組的人員可以直接獲得關鍵資產曾經遭受到的

破壞，或在對一些安全事件進行分析后，間接得到威脅的源頭。評估組成員

還將在實際環境中，手工分析操作系統的日志，進一步分析信息系統所面臨

的威脅。

2.9.2.3威脅分類

在對威脅分類之前，應考慮威脅的來源。造成威脅的因素可分為人為因

素和環境因素。根據威脅的動機，人為因素又可分為惡意和非惡意兩種。環

境因素包括自然界不可抗的因素和其他物理因素，下表是根據威脅來源的

分類。

表2-7威脅來源列表

來源描述

斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、

環境因素洪災、地震、意外事故等環境危害或自然災害，以及軟

件、硬件、數據、通信線路等方面的故障

不滿的或有預謀的內部人員對信息系統進行惡意破壞；采

用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取

惡意人員利益。

人為因素外部人員利用信息系統的脆弱性，對網絡或系統的俁密

性、完整性和可用性進行破壞，以獲取利益或炫耀能力

內部人員由于缺乏責任心，或者由于不關心或不專江，或

非惡意人員

者沒有遵循規章制度和操作流程而導致故障或信息損失；

XXXXX22

XXXXX風險評估實施方案

內部人員由于缺乏培訓、專業技能不足、不具備崗位技能

要求而導致信息系統故障或被攻擊

威脅可基于表現形式分類。例如可分為軟硬件故障、物理環境威脅、無

作為或操作失誤、管理不到位、惡意代碼和病毒、越權或濫用、網絡攻擊、

黑客攻擊技術、物理攻擊、泄密信息、篡改、抵賴等。

各部門根據資產本身所處的環境條件，依據下列威脅識別表識別每個

資產所面臨的威脅,識別出最主要的威脅（可能威脅是多方面的，但我們只

用最主要的）。

表2-8基于表現形式的威脅分類表

種類描述威脅子類

由于設備硬件故障、通訊鏈路設備硬件故障、傳輸設備故障、

中斷，系統本身或軟件缺陷造存儲媒體故障、系統軟件故障、

軟硬件故障

成對業務實施，系統穩定運行應用軟件故障、數據庫軟件故

的影響。障、開發環境故障。

斷電、靜電、灰塵、潮濕、溫

度、鼠蚊蟲害、電磁干擾、洪

物理環境影響

災、火災、地震等環境問題或

自然災害

由于應該執行而沒有執行相

應的操作，或無意地執行了錯

無作為或操作失誤維護錯誤、操作失誤

誤的操作，對系統造成的影

響。

安全管理無法落實，不到位，

管理不到位造成安全管理不規范，或者管

理混亂，從而破壞信息系統正

XXXXX23

XXXXX風險評估實施方案

常有序運行。

具窄自我復制、自我傳播能

惡意代碼、木馬后門、網絡病毒、

惡意代碼和病毒力，對信息系統構成破壞的程

間諜軟件、竊聽軟件

序代碼。

通過采用一些措施，超越自己未授權訪問網絡資源、未授權訪

的權限訪問了本來無權訪問問系統資源、濫用權限非正常修

越權或濫用

的資源，或者濫用自己的職改系統配置或數據、濫用權限泄

權，做出破壞信息系統的行為露秘密信息

網絡探測和信息采集、漏洞探

利用工具和技術，如偵察、密

測、嗅探（賬戶、口令、權限等）

碼破譯、安裝后門、嗅探、偽

網絡攻擊用戶身份偽造和欺騙、用戶或業

造和欺騙、拒絕服務等手段，

務數據的竊取和破壞、系統運行

對信息系統進行攻擊和入侵。

的控制和破壞

通過物理的接觸造成對軟件、

物理攻擊物理接觸、物理破壞、盜竊

硬件、數據的破壞

泄密信息泄露給不應了解的他人內部信息泄露、外部信息泄露

篡改網絡配置信息、篡改系統配

非法修改信息，破壞信息的完

置信息、篡改安全配置信息、篡

篡改整性使系統的安全性降低或

改用戶身份信息或業務數據信

信息不可用

息

不承認收到的信息和所作的原發抵賴、接收抵賴、第三方抵

抵賴

操作和交易賴

2.9.2.4威脅賦值

依據威脅發生的可能性對威脅進行賦值:

XXXXX24

XXXXX風險評估實施方案

表2-9威脅賦值表

標

等級評判標準

識

很出現的頻率很高（或21次/周）；或在大多數情況下幾乎不可避免；

5

高或可以證實經常發生過。

出現的頻率較高（或21次/月）；或在大多數情況下很有可能會發

4高

生；或可以證實多次發生過。

中出現的頻率中等（或》1次/半年）；或在某種情況下可能會發生；或

3

等被證實曾經發生過。

2低出現的頻率較小；或一般不太可能發生；或沒有被證實發生過。

很

1威脅幾乎不可能發生，僅可能在非常罕見和例外的情況下發生。

低

2.9.3脆弱性識別及賦值

2.9.3.1基本概念

脆弱性是資產自身存在的，如沒有被威脅利用，脆弱性本身不會對資產

造成損害。而且如果系統足夠強健，再嚴重的威脅也不會導致安全事件，并

造成損失。即，威脅總是要利用資產的弱點才可能造成危害。

資產的脆弱性具有隱蔽性，有些弱點只有在一定條件和環境下才能顯

現，這是脆弱性識別中最為困難的部分。需要注意的是，不正確的、起不到

應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。

XXXXX25

XXXXX風險評估實施方案

2.93.2脆弱性識別

脆弱性識別將針對每一項需要保護的資產，找出可能被威脅利用的脆

弱性，并對脆弱性的嚴重程度進行評估。脆弱性識別時的數據應來自于資產

的所有者、使用者，以及相關業務領域的專家和軟硬件方面的專業人員。

脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、

網絡層、系統層、應用層等各個層面的安全問題。管理脆弱性又可分為技術

管理和組織管理兩方面，前者與具體技術活動相關，后者與管理環境相關。

本次脆弱性識別主要采取以下方法：

1.人員訪談；

2.工具測試；

3.人工檢查；

4.文檔查閱；

5.滲透性測試；

2.9.3.3脆弱性分類

各部門根據資產本身所處的環境條件，依據下列脆弱性識別表識別每

個資產最主要的脆弱性。

表2T0脆弱性識別內容表

類型識別對象識別內容

從機房場地、機房防火、機房供配電、機房防靜電、機

技術脆弱性物理環境房接地與防雷、電磁防護、通信線路的保護、機房區域

防護、機房設備管理等方面進行識別。

XXXXX26

XXXXX風險評估實施方案

類型識別對象識別內容

從網絡結構設計、邊界保護、外部訪問控制策略、內部

網絡結構

訪問控制策略、網絡沒備安全配置等方面進行識別

系統軟件［含從補丁安裝、物理保護、用戶賬號、口令策略、資源共

操作系統及系享、事件審計、訪問控制、新系統配置（初始化）、注

統服務）冊表加固、網絡安全、系統管理等方面進行識別。

從補丁安裝、鑒別機制、口令機制、訪問控制、網絡和

數據庫軟件

服務設置、備份恢復機制、審計機制等方面進行識別。

應用中間件從協議安全、交易完整性、數據完整性等方面進行識別。

從審計機制、審計存儲、訪問控制策略、數據完整性、

應用系統

通信、鑒別機制、密碼保護等方面進行識別。

從物理和環境安全、通信與操作管理、訪問控制、系統

技術管理

開發與維護、業務連續性等方面進行識別

管理脆弱性

從安全策略、組織安全、資產分類與控制、人員安全、

組織管理

符合性等方面進行識別

2.9.3.4脆弱性賦值

根據脆弱性被威脅利用所產生的后果對脆弱性進行賦值，脆弱性嚴重程

度越低，則等級數值越小；同理，脆弱性嚴重程度越高，則等級數值越大。

表271脆弱性嚴重程度賦值表

等級標識評判標準

5很高資產被完全損害，或者極其嚴重

4高對資產的損害程度很大

3中等對資產損害的程度中等

2低對資產的損害的程度較小

1很低對資產的損害的程度微小，可以忽略

XXXXX27

XXXX