信息安全風(fēng)險(xiǎn)評(píng)估方法與相關(guān)實(shí)踐

信息平安風(fēng)險(xiǎn)評(píng)估方法

與相關(guān)實(shí)踐2006年11月風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障風(fēng)險(xiǎn)評(píng)估概述〔一〕我們進(jìn)行信息平安建設(shè)的目的是什么？？？風(fēng)險(xiǎn)評(píng)估概述〔二〕風(fēng)險(xiǎn)管理信息系統(tǒng)敏感信息被泄露無(wú)法向合法用戶提供信息和/或效勞關(guān)鍵數(shù)據(jù)/信息被未經(jīng)授權(quán)修改違反法律、規(guī)章或契約損害信息自主權(quán)影響生命/健康降低工作效率/生產(chǎn)力降低信譽(yù)/客戶信心經(jīng)濟(jì)損失其它風(fēng)險(xiǎn)影響組織運(yùn)營(yíng)〔使命、戰(zhàn)略目標(biāo)、任務(wù)的實(shí)現(xiàn)〕信息不安全風(fēng)險(xiǎn)評(píng)估概述〔三〕風(fēng)險(xiǎn)：特定威脅利用某一資產(chǎn)或一組資產(chǎn)的脆弱性，從而對(duì)組織產(chǎn)生損害的可能性。操作系統(tǒng)漏洞信息或數(shù)據(jù)黑客利用侵入資產(chǎn)脆弱性威脅來(lái)源風(fēng)險(xiǎn)可能性損害〔影響〕風(fēng)險(xiǎn)評(píng)估概述〔四〕管理風(fēng)險(xiǎn)的第一步：識(shí)別、理解與支持組織使命完成的信息系統(tǒng)有關(guān)的風(fēng)險(xiǎn)。一個(gè)全面的風(fēng)險(xiǎn)評(píng)估可以幫助識(shí)別組織信息系統(tǒng)所存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估概述〔五〕風(fēng)險(xiǎn)評(píng)估是：對(duì)信息系統(tǒng)的維護(hù)、管理、操作過(guò)程等進(jìn)行分析鑒別存在的脆弱性以及可能利用脆弱性的威脅評(píng)價(jià)是否實(shí)施和維護(hù)了適當(dāng)?shù)钠桨泊胧╄b別存在的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生的可能性和影響選擇將風(fēng)險(xiǎn)降低到組織可接受級(jí)別的平安措施在評(píng)估過(guò)程中：信息系統(tǒng)評(píng)估人員要獲得充分的、可靠的、有關(guān)的和有用的證據(jù)，以有效完成評(píng)估目標(biāo)。通過(guò)對(duì)證據(jù)進(jìn)行適當(dāng)?shù)姆治龊徒忉專(zhuān)瑥亩С衷u(píng)估結(jié)果和結(jié)論。風(fēng)險(xiǎn)評(píng)估的相關(guān)概念資產(chǎn)評(píng)估弱點(diǎn)評(píng)估威脅評(píng)估風(fēng)險(xiǎn)評(píng)估

Vulnerabilities弱點(diǎn)Threat-Sources威脅源利用威脅〔可能性〕破壞〔影響〕存在Assets資產(chǎn)Risks風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估的相關(guān)概念風(fēng)險(xiǎn)關(guān)系圖風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障平安風(fēng)險(xiǎn)管理現(xiàn)狀大型企業(yè)和政府組織地域分布，網(wǎng)絡(luò)規(guī)模龐大業(yè)務(wù)應(yīng)用日益復(fù)雜平安風(fēng)險(xiǎn)多樣化外部威脅內(nèi)部威脅分散的管理沒(méi)有完整的企業(yè)風(fēng)險(xiǎn)視圖增加管理本錢(qián)和管理難度難以執(zhí)行統(tǒng)一的平安策略管理孤島難以阻擋風(fēng)險(xiǎn)的引入和蔓延風(fēng)險(xiǎn)管理要求以資產(chǎn)為核心的平安管理體系資產(chǎn)價(jià)值資產(chǎn)平安環(huán)境資產(chǎn)風(fēng)險(xiǎn)資產(chǎn)風(fēng)險(xiǎn)變化集中管理統(tǒng)一的平安策略多級(jí)平安風(fēng)險(xiǎn)管理平安風(fēng)險(xiǎn)視圖平安風(fēng)險(xiǎn)控制平安風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)管理的對(duì)象大類(lèi)子類(lèi)示例信息文本、圖形、圖片、音頻、視頻、動(dòng)畫(huà)、立體等形式。信息載體物理平臺(tái)計(jì)算芯片（CPU、控制芯片、專(zhuān)用處理芯片等）、存儲(chǔ)介質(zhì)（內(nèi)存、磁盤(pán)、光盤(pán)、磁帶等）、通信介質(zhì)（雙絞線、同軸電纜、光纖、微波、紅外線、衛(wèi)星等）、人機(jī)界面（終端、鍵盤(pán)、鼠標(biāo)、打印機(jī)、掃描儀、數(shù)字?jǐn)z像機(jī)、數(shù)字放映機(jī)等）等硬件。系統(tǒng)平臺(tái)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)軟件。通信平臺(tái)通信協(xié)議及其軟件。網(wǎng)絡(luò)平臺(tái)網(wǎng)絡(luò)協(xié)議及其軟件。應(yīng)用平臺(tái)應(yīng)用協(xié)議及其軟件。信息環(huán)境硬環(huán)境機(jī)房、電力、照明、溫控、濕控、防盜、防火、防震、防水、防雷、防電磁輻射、抗電磁干擾等設(shè)施。軟環(huán)境國(guó)家法律、行政法規(guī)、部門(mén)規(guī)章、政治經(jīng)濟(jì)、社會(huì)文化、思想意識(shí)、教育培訓(xùn)、人員素質(zhì)、組織機(jī)構(gòu)、監(jiān)督管理、安全認(rèn)證等方面。風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程信息平安目標(biāo)風(fēng)險(xiǎn)管理&平安目標(biāo)&生命周期角色和責(zé)任層面信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理角色內(nèi)外部責(zé)任角色內(nèi)外部責(zé)任決策層主管者內(nèi)負(fù)責(zé)信息系統(tǒng)的重大決策。主管者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的重大決策。管理層管理者內(nèi)負(fù)責(zé)信息系統(tǒng)的規(guī)劃，以及建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等方面的組織和協(xié)調(diào)。管理者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的規(guī)劃，以及實(shí)施和監(jiān)控過(guò)程中的組織和協(xié)調(diào)。執(zhí)行層建設(shè)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的設(shè)計(jì)和實(shí)施。執(zhí)行者內(nèi)或外負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理的實(shí)施。運(yùn)行者內(nèi)負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行和操作。維護(hù)者內(nèi)或外負(fù)責(zé)信息系統(tǒng)的日常維護(hù)，包括維修和升級(jí)。監(jiān)控者內(nèi)負(fù)責(zé)信息系統(tǒng)的監(jiān)視和控制。監(jiān)控者內(nèi)負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過(guò)程、成本和結(jié)果的監(jiān)視和控制。支持層專(zhuān)業(yè)者外為信息系統(tǒng)提供專(zhuān)業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。專(zhuān)業(yè)者外為信息安全風(fēng)險(xiǎn)管理提供專(zhuān)業(yè)咨詢、培訓(xùn)、診斷和工具等服務(wù)。用戶層使用者內(nèi)或外利用信息系統(tǒng)完成自身的任務(wù)。受益者內(nèi)或外反饋信息安全風(fēng)險(xiǎn)管理的效果。風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障常見(jiàn)評(píng)估方法CERTOCTAVETheOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation——可操作的關(guān)鍵威脅、資產(chǎn)和脆弱性評(píng)價(jià)NSAIAMINFOSECAssessmentMethodology——信息平安評(píng)估方法常見(jiàn)評(píng)估方法——SP800-30步驟1－系統(tǒng)特性分析：收集有價(jià)值的系統(tǒng)信息，如硬件、軟件、系統(tǒng)接口、數(shù)據(jù)信息、相關(guān)人員、系統(tǒng)功能、系統(tǒng)數(shù)據(jù)重要程度等。步驟2－脆弱性鑒別：列舉出系統(tǒng)所存在的脆弱性。步驟3－威脅鑒別：確定威脅源〔如自然威脅、人為威脅、環(huán)境威脅等〕以及各威脅源相應(yīng)的動(dòng)機(jī)和威脅形式。步驟4－控制措施分析：對(duì)已經(jīng)實(shí)施的或即將實(shí)施的用于降低系統(tǒng)被危害的可能性的風(fēng)險(xiǎn)控制方法進(jìn)行分析。步驟5－可能性確定：判斷并確定威脅發(fā)生的可能性。步驟6－影響分析：分析如果威脅發(fā)生，將會(huì)發(fā)生什么影響以及影響程度。步驟7－風(fēng)險(xiǎn)確定：通過(guò)考慮威脅發(fā)生的可能性及相應(yīng)的影響來(lái)確定風(fēng)險(xiǎn)的級(jí)別。步驟8－控制措施建議：此時(shí)需要提出需要采用的控制手段的建議，以便使系統(tǒng)的風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。步驟9－結(jié)果文檔：風(fēng)險(xiǎn)評(píng)估完成后，所有的評(píng)估結(jié)果都應(yīng)該正式記錄在案。這一步驟就是將所有的評(píng)估結(jié)果進(jìn)行記錄。優(yōu)點(diǎn)：明確指出在判斷可能性時(shí)，需要考慮現(xiàn)有控制措施的效力，也就是目前所實(shí)施的控制措施是否將降低威脅發(fā)生的可能性。而其它許多風(fēng)險(xiǎn)評(píng)估方法在判斷可能性時(shí)，卻根本沒(méi)考慮到現(xiàn)有措施對(duì)威脅發(fā)生可能性的作用。缺乏：在進(jìn)行影響判斷時(shí)，只考慮到系統(tǒng)的使命、系統(tǒng)和數(shù)據(jù)的關(guān)鍵性以及敏感性，而沒(méi)有考慮到現(xiàn)有控制措施也有可能降低威脅發(fā)生的影響。常見(jiàn)評(píng)估方法——OCTAVEOCTAVE〔TheOperationallyCriticalThreat,Asset,andVulnerabilityEvaluation〕——可操作的關(guān)鍵威脅、資產(chǎn)和脆弱性評(píng)價(jià)通過(guò)分析組織的關(guān)鍵資產(chǎn)、威脅和脆弱性、來(lái)實(shí)現(xiàn)對(duì)組織的信息平安進(jìn)行全面評(píng)估。第1階段：創(chuàng)立基于資產(chǎn)的威脅輪廓過(guò)程1：識(shí)別高層管理人員認(rèn)識(shí)過(guò)程2：識(shí)別運(yùn)營(yíng)區(qū)域管理人員認(rèn)識(shí)過(guò)程3：識(shí)別職員認(rèn)識(shí)過(guò)程4：創(chuàng)立威脅輪廓第2階段：識(shí)別根底設(shè)施脆弱性過(guò)程5：識(shí)別關(guān)鍵組件過(guò)程6：評(píng)估所選擇的組件第3階段：開(kāi)發(fā)平安策略和方案過(guò)程7：進(jìn)行風(fēng)險(xiǎn)分析過(guò)程8：制定防護(hù)策略常見(jiàn)評(píng)估方法——IAMIAM分成三個(gè)階段：評(píng)估前〔Pre-assessment〕現(xiàn)場(chǎng)活動(dòng)〔On-siteactivities〕評(píng)估后〔Post-assessment〕每個(gè)階段都有特定的目標(biāo)和輸出評(píng)估前現(xiàn)場(chǎng)活動(dòng)評(píng)估后提煉客戶需求理解客戶的信息關(guān)鍵性鑒別系統(tǒng)，包括系統(tǒng)邊界協(xié)調(diào)后勤編寫(xiě)評(píng)估計(jì)劃探測(cè)和確認(rèn)在評(píng)估前階段獲得的信息和結(jié)論通過(guò)訪談、文檔和系統(tǒng)示范，進(jìn)行數(shù)據(jù)收集和驗(yàn)證向客戶提供初始分析和反饋完成分析準(zhǔn)備和調(diào)整最終報(bào)告缺乏：IAM是一種基于信息的平安評(píng)估方法。它首先需要確定組織的信息。由于組織里存在著眾多的信息，隨著評(píng)估活動(dòng)的開(kāi)展，將會(huì)不時(shí)發(fā)現(xiàn)新的信息，因此以這種方式開(kāi)始評(píng)估容易導(dǎo)致喪失信息，從而影響下一步的評(píng)估工作。在IAM課程中雖然也提到這個(gè)過(guò)程在評(píng)估中可能會(huì)有所反復(fù)，但也就因此，容易導(dǎo)致評(píng)估工作難以控制，使得評(píng)估周期延長(zhǎng)。除非組織人員對(duì)組織里的所有信息都有明確的認(rèn)識(shí)。管理技術(shù)操作信息安全文檔信息安全角色和職責(zé)應(yīng)急計(jì)劃配置管理識(shí)別和認(rèn)證帳號(hào)管理會(huì)話控制審計(jì)惡意代碼防護(hù)維護(hù)系統(tǒng)保障網(wǎng)絡(luò)/連接通信安全介質(zhì)控制標(biāo)記物理環(huán)境人員安全教育培訓(xùn)和意識(shí)風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障評(píng)估過(guò)程第一階段方案準(zhǔn)備階段確定范圍對(duì)象確定進(jìn)度方案第二階段現(xiàn)場(chǎng)評(píng)估階段文檔審閱脆弱性掃描本地審計(jì)現(xiàn)場(chǎng)觀測(cè)人員訪談第三階段分析報(bào)告階段綜合分析創(chuàng)立報(bào)告評(píng)估過(guò)程1.制定項(xiàng)目計(jì)劃與培訓(xùn)2.收集資料3.風(fēng)險(xiǎn)分析4.形成評(píng)估報(bào)告5.項(xiàng)目跟蹤資產(chǎn)識(shí)別與賦值弱點(diǎn)分析威脅分析已有控制措施分析可能性及影響分析風(fēng)險(xiǎn)識(shí)別評(píng)估結(jié)果文檔制定方案和培訓(xùn)進(jìn)行培訓(xùn)交流確定工程范圍和目標(biāo)提出工作限制要求確定參與各方的職務(wù)和職責(zé)工程進(jìn)度安排確定工程協(xié)調(diào)會(huì)制度資料收集問(wèn)卷調(diào)查與各級(jí)人員進(jìn)行訪談小組討論文檔查看現(xiàn)場(chǎng)勘查風(fēng)險(xiǎn)分析資產(chǎn)識(shí)別與賦值威脅分析弱點(diǎn)分析控制分析可能性及影響分析風(fēng)險(xiǎn)識(shí)別形成報(bào)告評(píng)估報(bào)告解決方案建議風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障Venus評(píng)估方法資產(chǎn)評(píng)估脆弱性識(shí)別威脅分析風(fēng)險(xiǎn)分析明確企業(yè)的關(guān)鍵資產(chǎn)明確關(guān)鍵資產(chǎn)的平安需求查找企業(yè)關(guān)鍵資產(chǎn)存在的平安隱患分析可以利用企業(yè)關(guān)鍵資產(chǎn)平安隱患的因素綜合分析脆弱性被威脅利用的可能性以及給企業(yè)帶來(lái)的影響平安建議提出控制風(fēng)險(xiǎn)的平安建議Venus評(píng)估方法資產(chǎn)評(píng)估脆弱性識(shí)別威脅分析風(fēng)險(xiǎn)分析平安建議資產(chǎn)評(píng)估任務(wù)1：資產(chǎn)信息收集資產(chǎn)名稱用途操作系統(tǒng)應(yīng)用情況......任務(wù)2：資產(chǎn)分類(lèi)資產(chǎn)所屬的類(lèi)別〔物理資產(chǎn)、虛擬資產(chǎn)〕資產(chǎn)的網(wǎng)絡(luò)、子網(wǎng)絡(luò)、系統(tǒng)、子系統(tǒng)、區(qū)域歸屬信息任務(wù)3：資產(chǎn)賦值任務(wù)1：資產(chǎn)信息收集記錄該資產(chǎn)的名稱〔或內(nèi)部俗稱〕描述該組件的主要功能或用途描述該資產(chǎn)所使用的硬件型號(hào)記錄該組件的IP地址或IP地址范圍填寫(xiě)該資產(chǎn)的主機(jī)名稱，如se6800d描述該資產(chǎn)的操作系統(tǒng)類(lèi)型及版本，如WindowsNT4.0；IOS12.1描述該資產(chǎn)所安裝的應(yīng)用軟件名稱以及版本信息，如IIS4.0、記錄負(fù)責(zé)維護(hù)/管理該資產(chǎn)的人員信息用于記錄其它與該資產(chǎn)有關(guān)的信息。任務(wù)2：資產(chǎn)分類(lèi)根據(jù)ISO17799對(duì)信息資產(chǎn)的定義，結(jié)合工程實(shí)踐，對(duì)本次工程中涉及的資產(chǎn)進(jìn)行分類(lèi)〔例如〕：任務(wù)3：資產(chǎn)賦值資產(chǎn)評(píng)估結(jié)果〔例如〕Venus評(píng)估方法資產(chǎn)評(píng)估脆弱性識(shí)別威脅分析風(fēng)險(xiǎn)分析平安建議脆弱性識(shí)別脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性和資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或破壞。機(jī)房上層具有用水設(shè)施不適當(dāng)或粗心使用機(jī)房的物理訪問(wèn)控制不穩(wěn)定的電源......環(huán)境和根底設(shè)施脆弱性缺少定期替換方案存儲(chǔ)介質(zhì)的不適當(dāng)維護(hù)缺少有效的配置變更控制......硬件脆弱性沒(méi)有或缺乏的軟件測(cè)試不良的口令管理〔明文方式存儲(chǔ)口令、缺乏的變更頻率〕......軟件脆弱性撥號(hào)鏈路以明文的方式傳輸口令未保護(hù)的敏感通信缺乏的網(wǎng)絡(luò)帶寬......通信脆弱性對(duì)拷貝沒(méi)有控制未平安地存放沒(méi)有仔細(xì)丟棄......文檔脆弱性人員短缺外部人員或清潔工的工作無(wú)人監(jiān)督缺乏的平安培訓(xùn)缺少平安意識(shí)…...人員脆弱性脆弱性識(shí)別方法文檔審閱審閱評(píng)估范圍內(nèi)各IT組件、各應(yīng)用系統(tǒng)、各網(wǎng)絡(luò)系統(tǒng)、各機(jī)房相關(guān)的網(wǎng)絡(luò)拓?fù)?、設(shè)計(jì)、開(kāi)發(fā)、安裝配置、運(yùn)行維護(hù)、平安管理等文檔工具評(píng)估使用脆弱性掃描軟件進(jìn)行掃描本地審計(jì)使用啟明星辰本地平安審計(jì)工具包、命令行、抓取控制臺(tái)操作界面進(jìn)行本地審計(jì)現(xiàn)場(chǎng)觀測(cè)現(xiàn)場(chǎng)觀測(cè)各應(yīng)用系統(tǒng)、各機(jī)房人員訪談訪談各資產(chǎn)管理人員、各應(yīng)用系統(tǒng)相關(guān)人員、各網(wǎng)絡(luò)負(fù)責(zé)人、各機(jī)房管理人員脆弱性掃描——定制策略定制掃描策略根據(jù)被評(píng)估目標(biāo)的OS、應(yīng)用效勞來(lái)定制相應(yīng)的掃描策略脆弱性掃描——執(zhí)行掃描按已制定的策略對(duì)已指定的范圍進(jìn)行脆弱性掃描先掃描設(shè)備的所開(kāi)放的端口判斷端口上面所運(yùn)行的效勞從效勞上面再找是否存在著相應(yīng)的漏洞脆弱性掃描——掃描結(jié)果脆弱性掃描——掃描結(jié)果漏洞分布示意圖脆弱性掃描——掃描結(jié)果主機(jī)風(fēng)險(xiǎn)分布圖脆弱性掃描——掃描結(jié)果按操作系統(tǒng)分脆弱性掃描——掃描結(jié)果按漏洞分類(lèi)脆弱性掃描——掃描結(jié)果主機(jī)詳細(xì)描述脆弱性掃描——掃描結(jié)果發(fā)現(xiàn)的漏洞脆弱性掃描——掃描結(jié)果平安建議本地審計(jì)審計(jì)前準(zhǔn)備工作根據(jù)資產(chǎn)信息表中已登記的信息準(zhǔn)備相應(yīng)的審計(jì)腳本程序和操作文檔連接本地審計(jì)目標(biāo)采用ssh方式采用telnet方式采用web方式采用在控制臺(tái)上操作的方式采用console線連接方式采用由被評(píng)估方導(dǎo)出配置文件由管理員自行輸入密碼，登錄系統(tǒng)本地審計(jì)——運(yùn)行腳本運(yùn)行操作系統(tǒng)腳本提取操作系統(tǒng)數(shù)據(jù)WINWindows2000Windows2003UNIXLinuxSolarisBSDAIXHP-UX……本地審計(jì)——運(yùn)行腳本涉及內(nèi)容系統(tǒng)的版本信息系統(tǒng)帳號(hào)信息帳號(hào)密碼策略開(kāi)放的端口運(yùn)行的效勞效勞的調(diào)用程序名和所處的路徑啟動(dòng)文件的順序定時(shí)任務(wù)安裝的軟件本地審計(jì)——手工提取針對(duì)應(yīng)用效勞提取數(shù)據(jù)應(yīng)用效勞程序的版本應(yīng)用效勞的安裝目錄及文件屬性應(yīng)用效勞的配置目錄及文件內(nèi)容應(yīng)用效勞的日志目錄及文件屬性應(yīng)用效勞平安相關(guān)的數(shù)據(jù)本地審計(jì)——提取數(shù)據(jù)例如Windows中的啟動(dòng)效勞本地審計(jì)——提取數(shù)據(jù)例如Windows中的平安配置分析本地審計(jì)——提取數(shù)據(jù)例如Linux的帳號(hào)策略Venus評(píng)估方法資產(chǎn)評(píng)估脆弱性識(shí)別威脅分析風(fēng)險(xiǎn)分析平安建議威脅分析常見(jiàn)威脅黑客攻擊網(wǎng)絡(luò)探測(cè)和信息采集、系統(tǒng)信息收集或漏洞探測(cè)、嗅探系統(tǒng)平安配置數(shù)據(jù)〔賬戶、口令、權(quán)限等〕、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取、控制和破壞系統(tǒng)運(yùn)行、控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)惡意代碼木馬后門(mén)、病毒傳播、間諜軟件、竊聽(tīng)軟件操作失誤維護(hù)錯(cuò)誤、操作失誤軟硬件故障設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障、開(kāi)發(fā)環(huán)境故障威脅分析方法文檔審閱分析系統(tǒng)架構(gòu)、網(wǎng)絡(luò)拓?fù)涞任臋n，研究可能發(fā)生威脅的路徑分析平安工作文檔、記錄，查看是否有歷史事件的記錄人員訪談訪談各相關(guān)人員，以發(fā)現(xiàn)在日常工作中發(fā)生過(guò)和/或疑心可能發(fā)生的平安事件等分析脆弱性識(shí)別的結(jié)果鑒別可以利用各脆弱性的威脅來(lái)源Venus評(píng)估方法資產(chǎn)評(píng)估脆弱性識(shí)別威脅分析風(fēng)險(xiǎn)分析平安建議風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析是綜合資產(chǎn)評(píng)估、脆弱性識(shí)別和威脅分析的結(jié)果，判斷風(fēng)險(xiǎn)發(fā)生的可能性及影響，最終確定風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)分析方法創(chuàng)立風(fēng)險(xiǎn)級(jí)別矩陣針對(duì)資產(chǎn)，根據(jù)脆弱性識(shí)別和威脅分析的結(jié)果，分析已有的平安措施，確定威脅發(fā)生的可能性和影響級(jí)別〔影響級(jí)別最高為資產(chǎn)的賦值〕將可能性和影響級(jí)別輸入風(fēng)險(xiǎn)級(jí)別矩陣，形成最終的風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)級(jí)別矩陣〔例如〕威脅成功利用脆弱性的可能性影響HEEEEHHEEEMMHHELLMHHLLLMH54321ABCDE1無(wú)關(guān)重要2較小3中等4較大5災(zāi)難性A罕見(jiàn)B不太可能C可能D很可能E幾乎肯定E極度風(fēng)險(xiǎn)H高風(fēng)險(xiǎn)M中等風(fēng)險(xiǎn)L低風(fēng)險(xiǎn)風(fēng)險(xiǎn)分析例如資產(chǎn)賦值某數(shù)據(jù)庫(kù)效勞器，保存著局部顧客的重要資料，如果被篡改，將會(huì)給公司帶來(lái)?yè)p失，因此資產(chǎn)價(jià)值被賦值為3〔中等〕脆弱性識(shí)別通過(guò)脆弱性識(shí)別，該效勞器上存在著已離職員工的帳號(hào)威脅分析已離職員工或知道已離職員工帳號(hào)密碼的人員有可能利用用戶帳號(hào)進(jìn)入數(shù)據(jù)庫(kù)效勞器，篡改其上的數(shù)據(jù)現(xiàn)有平安措施分析該數(shù)據(jù)庫(kù)效勞器與外部網(wǎng)絡(luò)完全隔離風(fēng)險(xiǎn)分析例如風(fēng)險(xiǎn)分析綜合以上分析，如果數(shù)據(jù)庫(kù)上的數(shù)據(jù)被篡改，對(duì)公司的影響值為3〔中等〕；已經(jīng)實(shí)施了較強(qiáng)的平安措施，并且審計(jì)日志中未曾發(fā)現(xiàn)該帳號(hào)被使用的跡象，因此根據(jù)經(jīng)驗(yàn)判斷可能性為B〔不太可能〕根據(jù)可能性和影響級(jí)別，參考風(fēng)險(xiǎn)級(jí)別矩陣，確定風(fēng)險(xiǎn)級(jí)別為M〔中等風(fēng)險(xiǎn)〕威脅成功利用脆弱性的可能性影響HEEEEHHEEEMMHHELLMHHLLLMH54321ABCDEVenus評(píng)估方法資產(chǎn)評(píng)估脆弱性識(shí)別威脅分析風(fēng)險(xiǎn)分析平安建議平安建議平安建議例如針對(duì)風(fēng)險(xiǎn)分析例如里的某數(shù)據(jù)庫(kù)效勞器例子，提出以下建議：立即刪除已離職員工帳號(hào)建立帳號(hào)管理規(guī)程，以在員工離職時(shí)系統(tǒng)管理人員能夠及時(shí)收到通知，刪除不再需要的員工帳號(hào)定期備份數(shù)據(jù)庫(kù)效勞器上的數(shù)據(jù)，以在數(shù)據(jù)被篡改時(shí)能夠及時(shí)恢復(fù)正確的數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障OCTAVE評(píng)估方法OCTAVE〔OperationallyCriticalTreat，Asset，andVulnerabilityEvaluation)，可操作的關(guān)鍵威脅、資產(chǎn)和薄弱點(diǎn)評(píng)估，是由美國(guó)卡耐基·梅隆大學(xué)軟件工程研究所下屬的CERT協(xié)調(diào)中心開(kāi)發(fā)的用以定義一種系統(tǒng)的、組織范圍內(nèi)的評(píng)估信息平安風(fēng)險(xiǎn)的方法。OCTAVE評(píng)估方法的特點(diǎn)OCTAVE評(píng)估方法的特點(diǎn)OCTAVE評(píng)估過(guò)程1．建立基于資產(chǎn)的配置威脅文件第一階段著手開(kāi)始建立OCTAVE的組織視圖，重點(diǎn)考慮組織中的人員。在這一階段中，目標(biāo)是建立組織對(duì)信息平安問(wèn)題的概括認(rèn)識(shí)。要實(shí)現(xiàn)這一目標(biāo)，首先需要采集組織內(nèi)員工對(duì)平安問(wèn)題的個(gè)人觀點(diǎn)，然后對(duì)這些個(gè)人觀點(diǎn)進(jìn)行綜合整理，為評(píng)估過(guò)程中的所有后續(xù)分析活動(dòng)奠定根底。通過(guò)對(duì)組織專(zhuān)業(yè)領(lǐng)域知識(shí)的調(diào)研可以清楚地說(shuō)明員工對(duì)信息資產(chǎn)、資產(chǎn)面臨的威脅、資產(chǎn)的平安需求、組織現(xiàn)行保護(hù)信息資產(chǎn)的措施和組織資產(chǎn)和措施的缺點(diǎn)等有關(guān)問(wèn)題的理解。本階段主要由4個(gè)過(guò)程組成：過(guò)程1：標(biāo)識(shí)高層管理部門(mén)的知識(shí);過(guò)程2：標(biāo)識(shí)業(yè)務(wù)區(qū)域管理部門(mén)的知識(shí);過(guò)程3：標(biāo)識(shí)員工的知識(shí);過(guò)程4:建立威脅配置文件。3.開(kāi)發(fā)平安策略和方案第三階段旨在理解迄今為止在評(píng)估過(guò)程中收集到的信息，即分析風(fēng)險(xiǎn)。在這一階段中，需要開(kāi)發(fā)出解決組織內(nèi)部存在的風(fēng)險(xiǎn)和問(wèn)題的平安策略和方案。通過(guò)分析階段一和階段二中對(duì)組織和信息根底結(jié)構(gòu)評(píng)估中得到的信息，可以識(shí)別出組織面臨的風(fēng)險(xiǎn)，同時(shí)基于這些風(fēng)險(xiǎn)可能給組織帶來(lái)的不良影響對(duì)其進(jìn)行評(píng)估。此外，還要按照風(fēng)險(xiǎn)的優(yōu)先級(jí)順序制定出組織保護(hù)策略和風(fēng)險(xiǎn)緩解方案。本階段主要由2個(gè)過(guò)程組成：執(zhí)行風(fēng)險(xiǎn)分析；開(kāi)發(fā)保護(hù)策略。OCTAVE評(píng)估方法信息平安風(fēng)險(xiǎn)評(píng)估是一個(gè)能夠幫助組織了解特定信息的平安風(fēng)險(xiǎn)、并建立解決這些風(fēng)險(xiǎn)的策略的過(guò)程。然而，信息平安風(fēng)險(xiǎn)評(píng)估只是組織不斷進(jìn)行信息平安風(fēng)險(xiǎn)管理活動(dòng)的一局部。OCTAVE的關(guān)鍵結(jié)果包括組織改進(jìn)其平安狀態(tài)的保護(hù)策略和減少組織的關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)的緩和方案。然而，評(píng)估結(jié)果僅為組織改進(jìn)平安狀態(tài)指明了方向，但不一定有重大改進(jìn)。為了有效地管理信息平安風(fēng)險(xiǎn)，必須根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果開(kāi)發(fā)詳細(xì)的行動(dòng)方案，并對(duì)這些方案的實(shí)施進(jìn)行管理。我們可以將OCTAVE方法中的資產(chǎn)驅(qū)動(dòng)的、基于風(fēng)險(xiǎn)的概念與普遍用于其他領(lǐng)域的一般的風(fēng)險(xiǎn)管理概念相結(jié)合，在組織內(nèi)建立管理信息平安風(fēng)險(xiǎn)管理的綜合方法。

此外，OCTAVE方法是為大型組織而設(shè)計(jì)的，但它是基于風(fēng)險(xiǎn)的方法，我們可以以此為基線或起點(diǎn)，對(duì)該方法進(jìn)行開(kāi)發(fā)剪裁，使它適合于不同規(guī)模的組織、業(yè)務(wù)環(huán)境或工業(yè)部門(mén)。風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障主要圍繞“四個(gè)什么〞展開(kāi)風(fēng)險(xiǎn)評(píng)估是什么？〔本質(zhì)及內(nèi)涵〕風(fēng)險(xiǎn)評(píng)估做什么？〔操作價(jià)值〕風(fēng)險(xiǎn)評(píng)估缺什么？〔現(xiàn)階段的難點(diǎn)問(wèn)題〕風(fēng)險(xiǎn)評(píng)估管什么？〔管理部門(mén)的工作抓手〕以及風(fēng)險(xiǎn)評(píng)估的相關(guān)問(wèn)題風(fēng)險(xiǎn)評(píng)估的分析與體會(huì)風(fēng)險(xiǎn)評(píng)估是什么？對(duì)不同的對(duì)象，表達(dá)出不同的意義：對(duì)系統(tǒng)建設(shè)者、所有者來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)估提倡了一種風(fēng)險(xiǎn)管理的理念。對(duì)評(píng)估者、系統(tǒng)管理者來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)估是一種方法論。對(duì)信息平安主管機(jī)關(guān)來(lái)說(shuō)，風(fēng)險(xiǎn)評(píng)估是一種管理措施，可以作為一項(xiàng)提高信息平安管理水平的工作抓手。風(fēng)險(xiǎn)評(píng)估做什么？在不同的系統(tǒng)階段，實(shí)施要求與內(nèi)容也不同規(guī)劃階段：識(shí)別系統(tǒng)使命及業(yè)務(wù)應(yīng)用模式，分析平安威脅，確定平安需求。實(shí)施方式：方案評(píng)審建設(shè)階段：測(cè)試系統(tǒng)平安功能，確定預(yù)期平安目標(biāo)達(dá)成與否。實(shí)施方案：驗(yàn)收測(cè)試運(yùn)行階段：及時(shí)發(fā)現(xiàn)系統(tǒng)脆弱性，識(shí)別變化的風(fēng)險(xiǎn)，了解系統(tǒng)平安狀況。風(fēng)險(xiǎn)評(píng)估缺什么？風(fēng)險(xiǎn)評(píng)估管什么？評(píng)估資質(zhì)檢查評(píng)估與自評(píng)估檢查評(píng)估和自評(píng)估是風(fēng)險(xiǎn)評(píng)估的兩種方式，由于發(fā)起目的、關(guān)注重點(diǎn)的不同，自評(píng)估和檢查評(píng)估在具體實(shí)現(xiàn)方法上應(yīng)表達(dá)各自的操作特點(diǎn)。基于自評(píng)估的檢查評(píng)估更具指導(dǎo)意義。在風(fēng)險(xiǎn)評(píng)估初期，由主管部門(mén)發(fā)起的檢查評(píng)估是帶動(dòng)、推廣系統(tǒng)運(yùn)行單位實(shí)施自評(píng)估的有效方法。

風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)未來(lái)展望從風(fēng)險(xiǎn)評(píng)估制度的建立來(lái)看，在以下5個(gè)方面需要進(jìn)一步的開(kāi)展：主管部門(mén)的檢查評(píng)估制度和檢查評(píng)估方法與業(yè)務(wù)特色相結(jié)合的，獲得行業(yè)主管部門(mén)認(rèn)可的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。科學(xué)的風(fēng)險(xiǎn)量化評(píng)價(jià)體系，便于不同對(duì)象的風(fēng)險(xiǎn)評(píng)估結(jié)果。風(fēng)險(xiǎn)評(píng)估與管理工具的研究與開(kāi)發(fā)，并有效地實(shí)現(xiàn)與系統(tǒng)根底平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具的數(shù)據(jù)傳遞與共享。風(fēng)險(xiǎn)評(píng)估資質(zhì)的管理。企業(yè)風(fēng)險(xiǎn)評(píng)估策略項(xiàng)目可能的影響和方式等級(jí)控制方式（措施）備注資產(chǎn)評(píng)估資產(chǎn)信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理評(píng)估安全管理信息泄漏高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)應(yīng)急安全評(píng)估系統(tǒng)切換測(cè)試導(dǎo)致部分業(yè)務(wù)中斷、部分?jǐn)?shù)據(jù)遺失高和DBA、SA、NA協(xié)同工作做好系統(tǒng)備份和恢復(fù)措施；通知相關(guān)業(yè)務(wù)人員在相應(yīng)時(shí)間段注意保護(hù)數(shù)據(jù)，并檢查提交的數(shù)據(jù)是否在測(cè)試后完整；可選網(wǎng)絡(luò)威脅收集網(wǎng)絡(luò)流量低控制中心與探測(cè)引擎直接連接，不占用網(wǎng)絡(luò)流量網(wǎng)絡(luò)/安全設(shè)備評(píng)估誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇審計(jì)人員；用戶進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃；網(wǎng)絡(luò)/安全設(shè)備資源占用低避開(kāi)業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）企業(yè)風(fēng)險(xiǎn)評(píng)估策略〔續(xù)〕項(xiàng)目可能的影響和方式等級(jí)控制方式（措施）備注弱點(diǎn)掃描網(wǎng)絡(luò)流量低避開(kāi)業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）主機(jī)資源占用低避開(kāi)業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）控制臺(tái)審計(jì)誤操作引起系統(tǒng)崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇審計(jì)人員；用戶進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃；網(wǎng)絡(luò)流量和主機(jī)資源占用低避開(kāi)業(yè)務(wù)高峰應(yīng)用平臺(tái)產(chǎn)生非法數(shù)據(jù)，致使系統(tǒng)不能正常工作中和DBA、SA、NA協(xié)同工作做好系統(tǒng)備份和恢復(fù)措施可選異常輸入（畸形數(shù)據(jù)、極限測(cè)試）導(dǎo)致系統(tǒng)崩潰高和DBA、SA、NA協(xié)同工作做好系統(tǒng)備份和恢復(fù)措施可選評(píng)估成功的關(guān)鍵1、獲得高級(jí)管理的支持和參與2、確定平安重點(diǎn)3、明確評(píng)估方法，明確評(píng)估過(guò)程4、風(fēng)險(xiǎn)評(píng)估的靈魂是參與工程的人5、濃縮評(píng)估的范圍6、評(píng)估結(jié)果的有效管理7、有效利用工具8、考慮收益效果風(fēng)險(xiǎn)評(píng)估概念風(fēng)險(xiǎn)管理系統(tǒng)相關(guān)標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)評(píng)估實(shí)踐過(guò)程風(fēng)險(xiǎn)評(píng)估分析方法OCTAVE風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程企業(yè)風(fēng)險(xiǎn)評(píng)估策略風(fēng)險(xiǎn)控制措施目錄沉靜的力量可信的保障風(fēng)險(xiǎn)控制模型：PPDRRPPDRR風(fēng)險(xiǎn)控制需求風(fēng)險(xiǎn)控制措施策略Policy設(shè)備管理制度建立健全各種安全相關(guān)的規(guī)章制定和操作規(guī)范，使得保護(hù)、檢測(cè)和響應(yīng)環(huán)節(jié)有章可循、切實(shí)有效。機(jī)房出入守則系統(tǒng)安全管理守則系統(tǒng)安全配置明細(xì)網(wǎng)絡(luò)安全管理守則網(wǎng)絡(luò)安全配置明細(xì)應(yīng)用安全管理守則應(yīng)用安全配置明細(xì)應(yīng)急響應(yīng)計(jì)劃安全事件處理準(zhǔn)則風(fēng)險(xiǎn)控制模型：PPDRR保護(hù)Protection機(jī)房嚴(yán)格按照GB50174-1993《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB9361-1988《計(jì)算機(jī)場(chǎng)地安全要求》、GB2887-1982《計(jì)算機(jī)場(chǎng)地技術(shù)要求》和GB/T2887-2000《計(jì)算機(jī)場(chǎng)地通用規(guī)范》等國(guó)家標(biāo)準(zhǔn)建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房。門(mén)控安裝門(mén)控系統(tǒng)保安建設(shè)保安制度和保安隊(duì)伍。電磁屏蔽在必要的地方設(shè)置抗電磁干擾和防電磁泄漏的設(shè)施。病毒防殺全面部署防病毒系統(tǒng)。漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁模塊。安全配置嚴(yán)格遵守各系統(tǒng)單元的安全配置明細(xì)，避免配置中的安全漏洞。身份認(rèn)證根據(jù)不同的安全強(qiáng)度，分別采用身份標(biāo)識(shí)/口令、數(shù)字鑰匙、數(shù)字證書(shū)、生物識(shí)別、雙因子等級(jí)別的身份認(rèn)證系統(tǒng)，對(duì)設(shè)備、用戶、服務(wù)等主客體進(jìn)行身份認(rèn)證。訪問(wèn)控制根據(jù)不同的安全強(qiáng)度，分別采用自主型、強(qiáng)制型等級(jí)別的訪問(wèn)控制系統(tǒng)，對(duì)設(shè)備、用戶等主體訪問(wèn)客體的權(quán)限進(jìn)行控制。數(shù)據(jù)加密根據(jù)不同的安全強(qiáng)度，分別采用商密、普密、機(jī)密等級(jí)別的數(shù)據(jù)加密系統(tǒng)，對(duì)傳輸數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)進(jìn)行加密。邊界控制在網(wǎng)絡(luò)邊界布置防火墻，阻止來(lái)自外界非法訪問(wèn)。數(shù)字水印對(duì)于需要版權(quán)保護(hù)的圖片、聲音、文字等形式的信息，采用數(shù)字水印技術(shù)加以保護(hù)。數(shù)