信息安全风险评估实施流程

第5章信息安全风险评估实施流程5.1风险评估的准备5.2资产识别5.3脆弱性识别5.4已有安全措施确认5.5风险分析5.6风险处理计划5.7风险评估文件记录5.8本章作业信息安全风险评估实施流程信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定针对性的抵御威胁的防护对策和整改措施以最大限度地保障网络和信息安全提供科学依据。在信息化建设中，各类应用系统及其赖以运用的基础网络、处理的数据和信息是业务实现的保障，由于其可能存在软硬件设备缺陷、系统集成缺陷等，以及信息安全管理中潜在的薄弱环节，都将导致不同程度的安全风险。信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中的安全隐患，并为增强安全性提供有效建议，以便采取更加经济、更加有力的安全保障措施，提高信息安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。信息安全风险评估在具体实施中一般包括风险评估的准备活动，对信息系统资产安全、面临威、存在脆弱性的识别，对已经采取安全措施的确认，对可能存在的信息安全风险的识别等环节。5.1风险评估的准备风险评估的准备是实施风险评估的前提，只有有效地进行了信息安全风险评估准备，才能更好地开展信息安全风险评估。由于实施信息安全风险评估，涉及组织的业务流程、信息安全需求、信息系统规模、信息系统结构等多方面内容，因此开展信息安全风险评估的准备活动，通过确定目标、进行调研、获得组织高层管理者对评估的支持等，对有效实施风险评估是十分必要的。信息安全评估的准备活动包括1.确定风险评估的目标2.确定风险评估的范围3.组建风险评估管理团队和评估实施团队4.进行系统调研5.确定评估依据和方法6.获得最高管理者对风险评估工作的支持5.1.1确定风险评估的目标首先需要确定风险评估的目标，信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的机密性、可用性、完整性等方面的需求，来确定风险评估的目标。5.1.2确定风险评估的范围在风险评估前，需要确定风险评估的范围。风险评估的范围，包括组织内部与信息处理相关的各类软硬件资产、相关的管理机构和人员、所处理的信息等各方面。实施一次风险评估的范围可大可小，需要根据具体评估需求确定，可以对组织全部的信息系统进行评估，也可以仅对关键业务流程进行评估，也可以对组织的关键部门的信息系统进行评估等。5.1.3组建评估管理团队和评估实施团队在确定风险评估的目标、范围后，需要组建风险评估实施团队，具体执行组织的风险评估。由于风险评估涉及组织管理、业务、信息资产等各个方面，因此风险评估团队中除了信息安全评估人员的参与，以便更好地了解组织信息安全状况，以利于风险评估的实施。5.1.4进行系统调研在确定了风险评估的目标、范围、团队后，要进行系统调研，并根据系统调研的结果决定评估将采用的评估方法等技术手段。系统调研内容包括：1.组织业务战略2.组织管理制度3.组织主要业务功能和要求4.网络结构、网络环境（包括内部连接和外部连接）5.网络系统边界6.主要的硬、软件7.数据和信息8.系统和数据的敏感性9.系统使用人员10.其他系统调研方法可以采用问卷调查、现场访谈等方法进行。5.1.5确定评估依据和方法以系统调研结果为依据，根据被评估信息系统的具体情况，确定风险评估依据和方法。评估依据包括吸纳有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互连单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据评估依据，并综合考虑评估的目的、范围时间效果评估人员素质等因素，选择具体的风险计算方法，并依据组织业务实施对系统安全运行的需求，确定相关的评估判断依据，使之能够与组织环境和安全要求相适应。5.1.6获得支持就以上内容形成较为完整的风险评估实施方案，并报组织最高管理者批准，以获得其对风险评估方案的支持，同时在组织范围就风险评估相关内容对管理者和技术人员进行培训，以明确有关人员在风险评估中的任务。5.2资产识别5.2.1资产分类风险评估需要对资产的价值进行识别，因为价值不同将导致风险值不同。而风险评估中资产的价值不是以资产的经济价值来衡量，而是以资产的机密性、完整性、和可用性三个方面属性为基础进行衡量。资产在机密性、完整性和可用性三个属性上的要求不同，则资产的最终价值也不同。在一个组织中，资产有多种表现形式，同样的两个资产也因属于不同的信息系统而重要性不同。首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可以将资产分为数据、软件、硬件、文档、服务、人员等类型。表5-1列出了一种资产的分类方法。表5-1一种基于表现形式的资产分类方法分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语句包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享的源代码、自行或合作开发的各种源代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他：打印机、复印件、扫描仪、传真机等表5-1一种基于表现形式的资产分类方法分类示例服务办公服务：为提高效率而开发的管理信息系统（MIS),包括各种内部配置管理文件文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件，如传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等5.2.2资产赋值对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况，即资产的机密性、完整性和可用性，对组织信息安全性的影响程度。资产赋值的过程也就是对资产在机密性,完整性和可用性上的要求进行分析，并在此基础上得出综合结果的过程。资产对机密性、完整性和可用性上的要求可由安全属性缺失时造成的影响来表示，这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。1.机密性赋值根据资产在机密性上的不同要求，将其分为5个不同的等级，分别对应资产在机密性缺失时对整个组织的影响。表5-2提供了一种机密性赋值的参考。表5-2资产机密性赋值表赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益受到严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织利益造成轻微损害1很低可对社会公开的信息、公用的信息处理设备和系统资源等2.完整性赋值根据资产在完整性上的不同要求，将其分为5个不同的等级，分别对应资产在完整性商缺失时对整个组织的影响。表5-3提供了一种完整性赋值的参考。表5-3资产完整性赋值表赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，损失难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，损失难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但损失可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，但损失容易弥补1很低完整性价值非常低，未经授权的修改或破坏会对组织造成的影响可以忽略，对业务冲击可以忽略3.可用性赋值根据资产在可用性上的不同要求，将其分为5个不同的等级，分别对应资产在可用性上缺失时对整个组织的影响。表1-4提供了一种可用性赋值的参考。表5-4资产可用性赋值表赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30分钟2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%4.资产重要性等级资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。这里为与上述安全属性的赋值相对应，根据最终赋值资产划分为5级，级别越高表示资产越重要，也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表5-5中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果，确定重要资产的范围，并围绕重要资产进行下一步的风险评估。表5-5资产等级及含义描述赋值标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后可能对组织造成很小的损失，甚至忽略不计5.3威胁识别5.3.1威胁分类信息安全威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗力的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，也可能是偶发的或蓄意的安全事件，都会在信息的机密性、完整性或可用性等方面造成损害。在对威胁进行分类前，应考虑威胁的来源。表1-6提供了一种威胁来源的分类方法。表5-6威胁来源列表来源描述环境因素由于断电、静电、灰尘、潮湿、温度、鼠蚊虫害、电磁干扰、洪灾、火灾、地震等环境条件、自然灾害、意外事故以及软件、硬件数据、通信线路等方面的故障所带来的威胁人为威胁恶意人员因某种原因，内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击5.3威胁识别对威胁进行分类的方式有多种，针对表5-6的威胁来源，可以根据其表现形式进行威胁分类。表5-7提供了一种基于表现形式的威胁分类方法。表5-7一种基于表现形式的威胁分类表种类描述威胁子类软硬件故障由于设备硬件故障、通信链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障物理环境影响由于断电、静电、灰尘、潮湿、温度、鼠蚊虫害、电磁干扰、洪灾、火灾、地震等环境问题