第一章网络安全现状与问题
1.1目前安全解决方案的盲目性
现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。
1.2网络安全规划上的滞后
网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。
在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。
第二章网络动态安全防范体系
用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。
静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。
目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而形成动态的安全防御体系。
网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:
网络安全= 风险分析+ 制定策略+ 防御系统+ 安全管理+ 安全服务
动态安全模型,如图所示。
动态安全体系
从安全体系的可实施、动态性角度,动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御系统、安全管理、安全服务支持体系等各个方面,并且考虑到各个部分之间的动态关系与依赖性。
进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析(又称风险评估、风险管理),是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法:定性分析和定量分析。在制定网络安全策略的时候,要从全局进行考虑,基于风险分析的结果进行决策,建议公司究竟是加大投入,采取更强有力的保护措施,还是容忍一些小的损失而不采取措施。因此,采取科学的风险分析方法对公司的网络进行风险分析是非常关键的。
一旦确定有关的安全要求,下一步应是制定及实施安全策略,来保证把风险控制在可接受的范围之内。安全策略的制定,可以依据相关的国内外标准或行业标准,也可以自己设计。
有很多方法可以用于制定安全策略,但是,并不是每一组安全策略都适用于每个信息系统或环境,或是所有类型的企业。安全策略的制定,要针对不同的网络应用、不同的安全环境、不同的安全目标而量身定制,各公司应该按照自己的要求,选择合适的安全体系规划网络的安全。制定自己的安全策略应考虑以下三点内容:(1)评估风险。(2)企业与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。(3)企业为网络安全运作所订立的原则、目标及信息处理的规定。
安全管理贯穿在安全的各个层次实施。实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。从全局管理角度来看,要制定全局的安全管理策略;从技术管理角度来看,要实现安全的配置和管理;从人员管理角度来看,要实现统一的用户角色划分策略,制定一系列的管理规范。实现安全管理应遵循以下几个原则:可操作性原则;全局性原则;动态性原则;管理与技术的有机结合;责权分明原则;分权制约原则;安全管理的制度化。
第三章动态风险分析
根据木桶原理,木桶所能容纳水的多少是由木桶壁中最短那块木头决定的,同样,一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的,往往解决最主要的安全问题可以使系统的安全性有很大提高。
动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被评估系统中的薄弱之处,评估发生此类问题造成的损失,提供最佳的解决方案,使用户清楚的知道被评估系统中面临的威胁是什麽,最主要的问题是什麽,避免在网络安全方面的盲目性,获得最佳的投资效费比。如下图所示
3.1定义范围
动态安全风险分析的第一步就是要确定被保护系统的范围,即确定我们有什么资源、要保护什么资源,如:
●信息发布系统,WWW系统等。
●办公系统,如Email系统、总部及分部办公系统等。
其次是要定义用户对选定资源中各系统的关切顺序,不同系统遭受破坏后带来的损失是不一样的,如交易系统中的交易服务器的重要程度应是最高的。
3.2威胁评估与分析
确定了风险管理范围后,在充分分析系统现状的基础上,一方面进一步分析可能存在的安全威胁,及其传播途径,另一方面通过对网络、系统等各个环节的脆弱性分析,验证这些威胁对系统的危害程度,找出主要安全问题。
3.2.1现状调查与分析
现状调查是风险管理的基础,根据用户的总体要求对用户环境和安全现状进行全面和细致的调查,可以准确理解用户安全需求。
下一步进行的威胁分析及脆弱性分析将针对用户环境中的网络系统、服务器系统、应用系统以及数据系统等展开安全分析工作,因此用户现状调查也必须针对这些方面进行。用户现状调查的主要内容如下图所示。
最后生成用户现状调查总结是对用户现状调查过程的总结报告。它总结性描述我公司对用户现状及用户系统安全性的大概印象。包括以下内容:
●用户环境中各个设备及所含系统的大致情况,主要针对与安全漏洞有关的项
目。
●用户对安全策略的要求。
●对用户系统安全性的初步分析。
3.2.2面临威胁种类
由于政府业是个开放化、社会化的行业,其信息系统由封闭式系统逐步转向开放式系统,势必存在着诸多不安全风险因素,主要包括:
?系统错误
主要包括系统设计缺陷、系统配置管理问题等,如操作系统漏洞、用户名管理问题,弱身份认证机制等;
?内部人员作案
个别政府职员利用自己掌握的内部系统或数据信息,从事非法挪用资金、破坏系统等活动;
?黑客攻击
黑客主要利用分部工作站、电话、互联网等设备进行非法网络或查看、复制、修改数据,常见攻击手法有:
后门
由于设计、维护或者黑客的攻击而产生的计算机系统的一个安全漏洞,通过它一个隐藏的软件或硬件工具可以绕过安全系统的控制进行信息访问。
缓冲区溢出
大量的数据进入程序堆栈,导致返回地址被破坏,恶意准备的数据能够导致
系统故障或者非授权访问的产生。
口令破解
通过工具对加密密码进行破解的方法,系统管理员也可用来评估系统用户密码的健壮性。
网络监听
通过监听网络上的数据包,来获取有关信息的行为,常见于以太网中。黑客可以使用它捕获用户名和密码,同时也被网络管理人员用来发现网络故障。
欺骗
出于一种有预谋的动机,假装成IP网络上另一个人或另一台机器,以便进行非法访问。常见的欺骗有以下几种:
DNS欺骗
冒充其他系统的DNS,提供虚假的IP地址和名字之间的解析。
路由欺骗
向其它路由器提供虚假的路由,导致网络不能正常访问或者信息的泄露。IP劫持
未经授权的用户对经过授权的会话(TCP连接)的攻击行为,使该用户以一个已经通过授权的用户角色出现,完成非授权访问。
IP地址盗用
非法使用未分配给自己的IP地址进行的网络活动。
击键监视
记录用户的每一次击键和信息系统反馈给用户的每一个字符的活动。
跳跃式攻击
通过非法获得的未授权访问,从一个被攻击的主机上进行危及另一个主机安全的活动。
恶意邮件
一种针对开放系统的含有恶意数据的电子邮件,如果打开邮件,就会对系统产生破坏或导致信息的泄露。
逻辑炸弹
故意被包含在一个系统中的软件、硬件或固件中,看起来无害,当其被执行时,将引发未授权的收集、利用、篡改或破坏数据的行为,如特洛伊木马。
根工具包(Rootkit)
一种黑客工具集合,可以截获被入侵计算机上传送的信息、掩饰系统已被入侵的事实或提供后门等。
拒绝服务
一种通过网络来阻止一个信息系统的部分或全部功能正常工作的行为,常见的拒绝服务如下。
邮件炸弹
发送给单个系统或人的大量的电子邮件,阻塞或者破坏接收系统。
ICMP包泛滥攻击(IP Smurf)
攻击者利用伪造的源IP地址,频繁地向网络上的广播地址发送无用的ICMP 数据包,造成网络上流量的增大,从而妨碍了正常的网络服务。
数据拥塞(Spam )
通过输入过分大的数据使得固定网站缓冲区溢出,从而破环程序。或是,将一些无用的或不相关的信息灌入到某个人或某个新闻组的信箱内,使其数据溢出。
TCP连接拥塞(SYN Flood)
大量的TCP SYN数据包拥塞被攻击机器,导致无法建立新的连接。
蠕虫
能在因特网上进行自我复制和扩散的一种计算机程序,它极大地耗费网络资源,造成拒绝服务。
拨号服务查找器(Wild Dialer)
通过MODEM拨号,在电话网中搜寻能提供MODEM拨号服务的系统的工具。
网络扫描
一种通过发送网络信息,获得其它网络连接状态的行为。
?病毒
将自身连接到可执行文件、驱动程序或文件模板上,从而感染目标主机或文件的可自我复制、自我传播的程序
3.2.3威胁产生途径
面对上述种种威胁,如果逐个分析每种威胁,就会陷入舍本逐末的工作中而无法自拔,对系统的安全建设没有实际指导意义,我们应将重点集中在可能发生的威胁及它将如何发生这两个问题上来。先来分析威胁发生的途径,针对网络系统,其主要面对来自两方面的威胁:
?来自周边系统的威胁
政府信息系统在由封闭式系统逐步转向开放式系统的过程中,与外界的接口也在不断增多,由原来只与总部接口逐渐扩大到与电信接口、银行接口、与Internet接口等,在带来业务上发展同时,也带来可能遭受攻击的途径,包括:
风险评估实施方案
一、风险评估概述 1、风险服务的重要性 对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其它安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。 安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,因此说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改进整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有经过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里
体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。她要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。 3、风险评估服务机制 在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估: ●在设计规划或升级新的信息系统时; ●给当前的信息系统增加新应用时; ●在与其它组织(部门)进行网络互联时; ●在技术平台进行大规模更新(例如,从Linux系统移植到 Sliaris系统)时; ●在发生计算机安全事件之后,或怀疑可能会发生安全事件 时; ●关心组织现有的信息安全措施是否充分或食后具有相应的安 全效力时;
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服
务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作
从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3.2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为 物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4.2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在 风险,并在ISMS工作组内审核; 5.2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作 组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风险115个,不可接受风险42个. 表1 资产面临的威胁和脆弱性汇总表
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
1、风险评估概述 风险评估概念 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT 领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799 ISO17799国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/ 管理/ 运行等方面存在的脆弱性为诱因的 信息安全风险评估综合方法及操作模型。 风险评估相关 资产,任何对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适 当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状 信息安全风险评估在美国的发展 第一阶段(60-70 年代)以计算机为对象的信息保密阶段 1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90 年代)以计算机和网络为对象的信息系统安全保护阶段评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。 第三阶段(90 年代末,21 世纪初)以信息系统为对象的信息保障阶段随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力 明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。 我国风险评估发展 ?2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题?2003年8月至2010年在国信办直接指导下,组成了风险评估课题组 ?2004年,国家信息中心《风险评估指南》,《风险管理指南》 ?2005年全国风险评估试点?在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿 ?2006 年,所有的部委和所有省市选择1-2 单位开展本地风险评估试点工作?2015 年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委
信息安全风险评估方案 第一章网络安全现状与问题 1、1 目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1、2 网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、 DNS、 WWW、 MAIL 及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息安全风险评估需求 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的
整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
企业信息安全风险评估方案
知识域:信息安全风险评估 ?:?知识子域:风险评估流程和方法 ■掌握国家对开展风险评估工作的政策要求 ■理解风险评估、检查评估和等级保护测评之间的关系 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评 估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档 记录 -理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点 ■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评 估工具、风险评估辅助工具
1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃
国家对开展风险评估工作的政 2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求: 风险评估的基本内容和原则开展风险评估工作的有 关安排 风险评估工作的基本要求 K信息安全风险评估工作应当贯穿信息系统全生命周 期。在信息系统规划设计阶段,通过信息安全风险评 估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保 护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。 3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。 4. 信息安全风险评估也是落实等级保护制度的重要 手段,应通过信息安全风险评估为信息系统确定安全
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产,任对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个面;逐步形成了风险评估、自评估、认证认可的工作思路。
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
XXX公司信息安全风险评估 … 实施细则 }
二〇〇八年五月
编制说明 根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。 本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。主要包括: 1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。 2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第小节);具体内容方面,在每项具体要求新增了等级保护对应列。
目录 1.前言 (1) 2.资产评估 (2) .资产识别 (2) .资产赋值 (3) 3.威胁评估 (6) 4.脆弱性评估 (10) .信息安全管理评估 (11) 安全方针 (11) 信息安全机构 (13) 人员安全管理 (17) 信息安全制度文件管理 (19) 信息化建设中的安全管理 (23) 信息安全等级保护 (29) 信息安全评估管理 (32) 信息安全的宣传与培训 (32) 信息安全监督与考核 (34) 符合性管理 (36) .信息安全运行维护评估 (37) 信息系统运行管理 (37) 资产分类管理 (41) 配置与变更管理 (42) 业务连续性管理 (43) 设备与介质安全 (46) .信息安全技术评估 (50) 物理安全 (50) 网络安全 (53) 操作系统安全 (60) 数据库安全 (72) 通用服务安全 (81) 应用系统安全 (85) 安全措施 (90) 数据安全及备份恢复 (94)
1111单位:1111系统安全项目 信息安全风险评估报告 我们单位名
日期
报告编写人:日期:批准人:日期: 版本号:第一版本 第二版本 终板日期日期
目录 1 概述 (5) 1.1 项目背景 (5) 1.2 工作法 (5) 1.3 评估围 (5) 1.4 基本信息 (6) 2 业务系统分析 (6) 2.1 业务系统职能 (6) 2.2 网络拓扑结构 (6) 2.3 边界数据流向 (6) 3 资产分析 (7) 3.1 信息资产分析 (7) 3.1.1 信息资产识别概述 (7)
3.1.2 信息资产识别 (7) 4 威胁分析 (8) 4.1 威胁分析概述 (8) 4.2 威胁分类 (10) 4.3 威胁主体 (10) 4.4 威胁识别 (11) 5 脆弱性分析 (12) 5.1 脆弱性分析概述 (12) 5.2 技术脆弱性分析 (13) 5.2.1 网络平台脆弱性分析 (13) 5.2.2 操作系统脆弱性分析 (13) 5.2.3 脆弱性扫描结果分析 (14) 5.2.3.1 扫描资产列表 (14) 5.2.3.2 高危漏洞分析 (15) 5.2.3.3 系统帐户分析 (15) 5.2.3.4 应用帐户分析 (15) 5.3 管理脆弱性分析 (15) 5.4 脆弱性识别 (17) 6 风险分析 (18) 6.1 风险分析概述 (18) 6.2 资产风险分布 (19) 6.3 资产风险列表 (19) 7 系统安全加固建议 (20) 7.1 管理类建议 (20) 7.2 技术类建议 (20) 7.2.1 安全措施 (20) 7.2.2 网络平台 (21) 7.2.3 操作系统 (22) 8 制定及确认.................................................. 错误!未定义书签。 9 附录A :脆弱性编号规则 (23)
信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用) 1.2、输出文档 《XXX项目XXX解决方案》 输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单(售前技术支持) ?输出文档均一式三份(下同) 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单,技术部成立项目小组,
指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议,确定各自接口负 责人。 ?要求甲方按合同范围提供《资产表》,确定扫描评估范围、人 工评估范围和渗透测试范围。 ?请甲方给所有资产赋值(双方确认资产赋值) ?请甲方指定安全评估调查(访谈)人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%;给资产编排序号,以方便事后检 查。 ?给人工评估资产做标记,以方便事后检查。 ?资产值是评估报告的重要数据。
?销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以 便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 ?准备项目实施PPT,人工评估原始文档(对象评估文档),扫 描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字
信息安全风险评估项目流程 一、项目启动会议 1.1、工作说明 ?项目经理与甲方召开项目启动会议,确定各自接口负责人。 ?要求甲方按合同范围提供《资产表》,确定扫描评估范围、人 工评估范围和渗透测试范围。 ?请甲方给所有资产赋值(双方确认资产赋值) ?请甲方指定安全评估调查(访谈)人员 1.2、输出文档 《项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 1.3、注意事项 ?资产数量正负不超过15%;给资产编排序号,以方便事后检 查。 ?给人工评估资产做标记,以方便事后检查。 ?资产值是评估报告的重要数据。 ?销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以
便项目小组分析制定项目计划使用。 二、项目前期准备 2.1、工作说明 ?准备人工评估原始文档(调查表),扫描工具、渗透测试工具、 保密协议和授权书 ?项目小组根据项目内容和范围制定项目实施计划。 2.2、输出文档 《信息安全风险评估调查表》 《项目保密协议》 《漏洞扫描、渗透测试授权书》 2.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字
三、驻场实施会议 3.1、工作说明 项目小组进场与甲方召开项目实施会议,确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。 3.2、输出文档 无 3.3、注意事项 如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视情况是否另收费)。 四、现场实施阶段 4.1、工作说明 ?按照工作计划和被评估对象安排实施进度。 ?主要工作内容 漏洞扫描(主机、应用、数据库等)
信息安全风险评估方法研究 毛捍东1陈锋张维明黄金才 (国防科技大学管理科学与工程系长沙410073) handmao@https://www.doczj.com/doc/a210656842.html, 摘要 在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡,从而为等级化的资产风险制定保护策略和缓和计划。信息安全风险评估方法经历了从手动评估到半自动化评估的阶段,现在正在由技术评估向整体评估发展,由定性评估向定性和定量评估相结合的方法发展,由基于知识的评估向基于模型的评估方法发展。该文阐述了信息安全风险评估所要解决的问题,介绍了目前在信息安全风险评估领域的主要方法以及今后的发展方向。 关键词:信息系统;风险评估;资产;威胁;脆弱性 A Survey of Information Security Risk Assessment Methods Mao Handong, Chen Feng, Zhang Weiming, Huang Jincai ( Department of Management Science and Engineering, National University of Defense Technology Changsha 410073 ) handmao@https://www.doczj.com/doc/a210656842.html, Abstract: Information systems risk assessment has experienced the stage of manual-to-automatic. It’s now expanding from technology assessment to holistic, from qualitative to synthetic method of qualitative and quantitative analysis, from knowledge-based to model-based. To make the assessment comprehensive and accurate, the target of assessment must be considered as a whole system with technological, organizational and personnel factors. Specifying an information system is often a complicated task that demands a method that can provide both the details and the overview of the system. Modeling techniques give us the possibility to specify all aspects of the system while keeping a good overview at the same time. Key words: Information System; risk assessment; asset; threat; vulnerability. 一、引言 信息系统已经成为人们生活中重要组成部分,人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于这个原因,人们在不断的探索和研究防止信息系统威胁的手段和方法,并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而,这没有从根本上解决信息系统的安全问题,来自计算机网络的威胁更加多样化和隐蔽化,黑客、病毒等攻击事件也越来越多。据CERT/CC的统计,2003年报告的安全事件(security incident)的数量达到137529件,远远高于2001年的52658件和2002年的82094件①。 1作者简介:毛捍东(1979—),博士研究生,研究方向为网络安全、安全风险评估。陈锋,硕士研究生。张维明,博士教授。黄金才,副教授。 ①https://www.doczj.com/doc/a210656842.html,/stats/cert_stats.html