前言

信息安全是網(wǎng)絡(luò)發(fā)展和信息化進(jìn)程的產(chǎn)物，近幾年，無論是國家層面，還是企業(yè)本身，都對信息安全愈發(fā)的重視。風(fēng)險(xiǎn)管理的理念也逐步被引入到信息安全領(lǐng)域，并迅速得到較為廣泛的認(rèn)可。風(fēng)險(xiǎn)評估逐步成為信息安全管理的最為重要的手段之一。那如何規(guī)范的實(shí)施風(fēng)險(xiǎn)評估，保證信息系統(tǒng)的安全，成為很多企業(yè)安全負(fù)責(zé)人認(rèn)真考慮的問題。

一、參考標(biāo)準(zhǔn)

1.1國外標(biāo)準(zhǔn)

NIST SP800-26 《Security Self-Assessment Guide forInformation Technology Systems》

NIST Special Publication 800-30 《Risk ManagementGuide for Information Technology Systems》

OCTAVE：Operationally Critical Threat, Asset, andVulnerability Evaluation Framework

ISO/IEC 17799:2000 《信息技術(shù)——信息安全管理實(shí)施細(xì)則》

ISO/IEC 27001:2005 《信息技術(shù)——信息安全管理實(shí)施規(guī)范》

AS/NZS 4360:1999 《風(fēng)險(xiǎn)管理》

ISO/IEC TR 13335 《信息技術(shù)安全管理指南》

1.2國內(nèi)標(biāo)準(zhǔn)

GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》

GB/T 31509-2015《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》

GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》

GB/T 18336-2001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》

二、前期準(zhǔn)備

2.1 確定評估目標(biāo)

因風(fēng)險(xiǎn)評估主要目標(biāo)是信息系統(tǒng)，故開展風(fēng)險(xiǎn)評估開展之前，首先需要了解的就是此次風(fēng)評的目標(biāo)，可以是整個(gè)單位的所有信息系統(tǒng)，或者單個(gè)系統(tǒng)，單個(gè)系統(tǒng)的我們一般都是叫做專項(xiàng)風(fēng)險(xiǎn)評估。

2.2 確定評估范圍

確定好風(fēng)險(xiǎn)評估的目標(biāo)后，就需要對此目標(biāo)的邊界進(jìn)行定義，可以從以下幾個(gè)方面考慮：

1)待評估系統(tǒng)的業(yè)務(wù)邏輯邊界(如獨(dú)立的系統(tǒng)可以不需考慮)，例如跟哪些系統(tǒng)有數(shù)據(jù)交互，避免關(guān)聯(lián)系統(tǒng)被滲透，從而導(dǎo)致此系統(tǒng)也被滲透，可以例舉出；

2)網(wǎng)絡(luò)及設(shè)備載體邊界，這里最好有網(wǎng)絡(luò)拓?fù)鋱D，那樣會比較清晰的看到支撐此系統(tǒng)的硬件設(shè)備情況，是否有冗余配置，例如服務(wù)器、交換機(jī)、路由器、安全設(shè)備等；

3)物理環(huán)境邊界，主要講的是機(jī)房的環(huán)境，有沒有監(jiān)控設(shè)備、防水、防雷、防潮、異常告警，其實(shí)等保測評時(shí)會考慮這方面，如機(jī)房太遠(yuǎn)或不方便查看，可以看看系統(tǒng)對應(yīng)的最新測評報(bào)告；

4)組織管理權(quán)限邊界，主要是需要明確目標(biāo)系統(tǒng)是誰負(fù)責(zé)開發(fā)、維護(hù)、管理等。

2.3 組建評估團(tuán)隊(duì)

可能有同學(xué)會問，為什么需要組建團(tuán)隊(duì)去做這個(gè)事情呢？

經(jīng)歷過風(fēng)險(xiǎn)評估同學(xué)都知道，這工作是極其復(fù)雜的，會涉及非常多的方面，當(dāng)然如果是傳說中的“一個(gè)人的安全部”，預(yù)算又吃緊的單位，那就只能仰天長嘆，默默搬磚吧，希望下面的內(nèi)容對你有幫助。

下圖是標(biāo)準(zhǔn)理想狀態(tài)的團(tuán)隊(duì)組成，大廠或者預(yù)算充足的ZF單位才有這樣的高配，單位可以根據(jù)公司內(nèi)部的情況組建團(tuán)隊(duì)，也可以委托第三方有風(fēng)險(xiǎn)評估資質(zhì)的公司負(fù)責(zé)。

2.4工作計(jì)劃

風(fēng)險(xiǎn)評估是一個(gè)復(fù)雜繁瑣的工作，常需要階段性匯報(bào)，中間會有許多過程文檔產(chǎn)生，這也有利于項(xiàng)目主管了解項(xiàng)目進(jìn)度，因此詳細(xì)的實(shí)施計(jì)劃肯定是不可缺少的。

可以參考如下內(nèi)容：

實(shí)施流程：

實(shí)施日程表：

2.5評估方案

前面都說到了風(fēng)險(xiǎn)評估非常復(fù)雜繁瑣，評估方案肯定是必須要有的，方案中應(yīng)包括一下內(nèi)容：

1)風(fēng)險(xiǎn)評估工作框架：風(fēng)險(xiǎn)評估目標(biāo)、評估范圍、評估依據(jù)等；

2)評估團(tuán)隊(duì)組織：包括評估小組成員、組織結(jié)構(gòu)、角色、責(zé)任；領(lǐng)導(dǎo)小組和專家組(可無)

3)評估工作計(jì)劃：包含各階段工作內(nèi)容、工作形式、工作成果、工作實(shí)施時(shí)間安排等

4)風(fēng)險(xiǎn)規(guī)避：保密協(xié)議、評估方法、評估工具、應(yīng)急預(yù)案等

5)項(xiàng)目驗(yàn)收方式：包括驗(yàn)收方式、驗(yàn)收依據(jù)、驗(yàn)收結(jié)論等(適用于委托第三方的單位)

可參考如下內(nèi)容：

三、實(shí)施過程及階段

3.1實(shí)施流程

風(fēng)險(xiǎn)評估模型：

3.2系統(tǒng)調(diào)研

系統(tǒng)調(diào)研是確定被評估對象的過程，自評估工作小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評估依據(jù)和方法的選擇、評估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：

a)系統(tǒng)等保測評等級

b)主要的業(yè)務(wù)功能和要求

c)網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接

d)系統(tǒng)邊界，包括業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)及設(shè)備載體邊界、物理環(huán)境邊界、組織管理權(quán)限邊界等

e)主要的硬件、軟件

f)數(shù)據(jù)和信息

g)系統(tǒng)和數(shù)據(jù)的敏感性

h)支持和使用系統(tǒng)的人員

i)信息安全管理組織建設(shè)和人員配備情況

j)信息安全管理制度

k)法律法規(guī)及服務(wù)合同

系統(tǒng)調(diào)研可以采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進(jìn)行。

我們一般都先要求填寫問卷調(diào)查，對問卷調(diào)查有疑問的地方采取現(xiàn)場訪談的方式進(jìn)行了解，這樣更容易理解

3.3資產(chǎn)識別

資產(chǎn)識別工作主要是參考GB/T 20984–2007中的分類列明評估范圍內(nèi)的各項(xiàng)資產(chǎn)，包括硬件、軟件、數(shù)據(jù)、服務(wù)、人員和其他等六類資產(chǎn)，但是我們一般都會有根據(jù)標(biāo)準(zhǔn)要求將資產(chǎn)分類為硬件、軟件、文檔和數(shù)據(jù)、人員、業(yè)務(wù)應(yīng)用、物理環(huán)境、組織管理等七類資產(chǎn)。詳細(xì)見《資產(chǎn)識別分類參考表》，有感興趣或需要的同學(xué)可以私信我獲取。

資產(chǎn)識別小組需要對評估范圍內(nèi)的資產(chǎn)進(jìn)行了逐項(xiàng)分析，比對資產(chǎn)清單，結(jié)合系統(tǒng)運(yùn)行現(xiàn)狀，識別出評估范圍內(nèi)的信息資產(chǎn)，形成了《資產(chǎn)識別表》；

參考《資產(chǎn)重要性程度判斷準(zhǔn)則》為每個(gè)資產(chǎn)進(jìn)行了重要性程度賦值。資產(chǎn)識別和賦值結(jié)果記錄在《資產(chǎn)識別表》中。

可以參考如下表格制定《資產(chǎn)識別表》：

3.3.1 資產(chǎn)重要性確定

資產(chǎn)識別小組依據(jù)資產(chǎn)對主要業(yè)務(wù)、運(yùn)作及聲譽(yù)影響程度確定重要資產(chǎn)的基準(zhǔn)線(閥值)，在基準(zhǔn)線以上資產(chǎn)確定為重要資產(chǎn)，填入《重要資產(chǎn)賦值表》；例如資產(chǎn)重要性程度大于等于30的資產(chǎn)被判定為重要資產(chǎn)。

3.3.2CIA三性賦值

所謂CIA三性指的是保密性、完整性、可用性，資產(chǎn)識別小組依據(jù)《信息安全風(fēng)險(xiǎn)評估規(guī)范(GB/T20984-2007)》對于保密性、可用性、完整性的定義，分別在《重要資產(chǎn)賦值表》中填資產(chǎn)的保密性等級值、完整性等級值和可用性等級值。等級值劃分為很高(5)、高(4)、中等(3)、低(2)、很低(1)五個(gè)等級。

可以參考如下表格制定《重要資產(chǎn)賦值表》：

3.4威脅識別

威脅識別小組通過查閱安全設(shè)備、日志和以往的安全事件記錄，分析信息資產(chǎn)在物理環(huán)境、網(wǎng)絡(luò)、人員、設(shè)備故障、惡意代碼及病毒等方面可能出現(xiàn)的情況，依據(jù)《資產(chǎn)面臨的威脅列表》，分析系統(tǒng)資產(chǎn)潛在的威脅，最終確認(rèn)形成了《威脅識別表》。依據(jù)經(jīng)驗(yàn)，建議威脅識別放在脆弱性識別之后，因?yàn)橥{都是通過利用資產(chǎn)的脆弱性才有可能造成危害。

可以參考如下表格制定《威脅識別表》：

3.5脆弱性識別

脆弱性識別小組針對不同類型的重要資產(chǎn)分組進(jìn)行脆弱性分析，可以從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)方面：運(yùn)用工具掃描、基線核查、滲透測試等方式，從物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)和文檔等方面查找資產(chǎn)的脆弱性；管理方面:通過文檔查閱、問卷調(diào)查、當(dāng)面訪談的方式，從人員、組織管理等兩方面進(jìn)行脆弱性識別；最終形成《脆弱性識別表》。每種資產(chǎn)的詳細(xì)識別內(nèi)容，因篇幅有限，這里就不贅述了。

可以參考如下表格制定《脆弱性識別表》：

3.5.1基線核查

基線核查可以從物理環(huán)境、網(wǎng)絡(luò)、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等方面進(jìn)行核查確認(rèn)，每個(gè)方面都可以參考《GBT 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》中附錄B安全技術(shù)脆弱性核查表，單位也可根據(jù)自身情況確定核查項(xiàng)，不過主機(jī)系統(tǒng)的基線核查建議采用腳本的方式執(zhí)行截圖保存，那樣能提高效率，節(jié)省時(shí)間。

主機(jī)系統(tǒng)基線核查腳本：

3.5.2 主機(jī)層掃描

主機(jī)層的檢測主要是采用主機(jī)層掃描設(shè)備或軟件進(jìn)行，各大廠商都有主機(jī)層的掃描工具，不過建議采用綠盟的極光進(jìn)行掃描。

注意以下幾點(diǎn)：

1)按照重要資產(chǎn)識別中的各類資產(chǎn)IP進(jìn)行掃描；

2)在WAF或者防火墻上添加掃描設(shè)備IP至白名單，不然容易引發(fā)告警；

3)應(yīng)在非業(yè)務(wù)時(shí)間段進(jìn)行，以防掃描影響業(yè)務(wù)；

3.5.3應(yīng)用層檢測

對評估目標(biāo)使用工具進(jìn)行應(yīng)用層掃描，例如AWVS、APPSCAN等，對掃描的結(jié)果進(jìn)行驗(yàn)證、確認(rèn)，加入到脆弱性資產(chǎn)識別表中，預(yù)算可以的單位建議做滲透測試或者內(nèi)部團(tuán)隊(duì)安全檢測，這樣能盡可能多的發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn)，不過進(jìn)行應(yīng)用層掃描或者滲透測試時(shí)，應(yīng)注意以下幾點(diǎn)：

1)只對應(yīng)用系統(tǒng)中的重要資產(chǎn)進(jìn)行滲透測試或掃描；

2)在WAF上添加滲透白名單；

3)不在業(yè)務(wù)時(shí)間段滲透或者掃描；

4)規(guī)定不允許獲取敏感數(shù)據(jù)，不能備份數(shù)據(jù)；

5)上傳的webshell測試完成后，必須刪除；

6)所有滲透測試結(jié)果必須有截圖；

3.6已有安全措施確認(rèn)

在識別脆弱性的同時(shí)，脆弱性識別小組應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)，結(jié)果做為不可接受風(fēng)險(xiǎn)處理計(jì)劃的依據(jù)。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。

可以通過訪談、現(xiàn)場調(diào)查的方式進(jìn)行處理記錄；但設(shè)計(jì)到技術(shù)方面的措施，建議實(shí)際操作驗(yàn)證會更合適。安全措施有效性確認(rèn)不需要具體到每個(gè)資產(chǎn)，可以覆蓋多個(gè)資產(chǎn)。有效的安全措施可以降低多個(gè)資產(chǎn)的脆弱性。

已有安全措施確認(rèn)表可參考如下：

可以參考以下步驟實(shí)施：

1、記錄并確認(rèn)已有的安全措施；

2、現(xiàn)場測試安全措施是否有效；

3、記錄查驗(yàn)結(jié)果，形成《已有安全措施確認(rèn)表》

3.7風(fēng)險(xiǎn)分析方法

風(fēng)險(xiǎn)分析小組采用矩陣法計(jì)算出風(fēng)險(xiǎn)系數(shù)，然后按照《深圳市信息安全風(fēng)險(xiǎn)評估實(shí)施指南》中“資產(chǎn)風(fēng)險(xiǎn)值＝資產(chǎn)重要性程度值×威脅風(fēng)險(xiǎn)系數(shù)”的公式，計(jì)算資產(chǎn)風(fēng)險(xiǎn)值，經(jīng)項(xiàng)目負(fù)責(zé)人批準(zhǔn)確認(rèn)形成《資產(chǎn)風(fēng)險(xiǎn)值表》。

威脅風(fēng)險(xiǎn)系數(shù)計(jì)算矩陣：

注：

1.本矩陣用來確定威脅的風(fēng)險(xiǎn)系數(shù)。

2.矩陣橫軸為威脅的影響程度，縱軸為威脅發(fā)生的可能性，橫縱交點(diǎn)為威脅風(fēng)險(xiǎn)系數(shù)。

針對威脅風(fēng)險(xiǎn)系數(shù)判斷準(zhǔn)則：

3.8資產(chǎn)風(fēng)險(xiǎn)值等級劃分

風(fēng)險(xiǎn)值等級的劃分是可以根據(jù)單位大情況調(diào)整的，如評估的是內(nèi)部系統(tǒng)，例如OA，內(nèi)部辦公的系統(tǒng)，可以將風(fēng)險(xiǎn)對應(yīng)的值設(shè)置的更高些，例如，對外訪問的系統(tǒng)風(fēng)險(xiǎn)等級為“中”的風(fēng)險(xiǎn)值設(shè)置為100-150，但是內(nèi)部系統(tǒng)風(fēng)險(xiǎn)等級為“中”的風(fēng)險(xiǎn)值可以為150-200?？梢愿鶕?jù)具體的情況設(shè)置。

風(fēng)險(xiǎn)等級劃分可以參考如下表格：

3.9不可接受風(fēng)險(xiǎn)劃分

不可接受的風(fēng)險(xiǎn)劃分經(jīng)風(fēng)險(xiǎn)分析小組確定并經(jīng)項(xiàng)目負(fù)責(zé)人批準(zhǔn)，我們應(yīng)該可以設(shè)定風(fēng)險(xiǎn)值=閾值作為不可接受風(fēng)險(xiǎn)值，這需要根據(jù)單位的實(shí)際情況跟領(lǐng)導(dǎo)的要求來確定，有的單位對安全要求很高，風(fēng)險(xiǎn)等級為“低”以上都需要處理，參考上面的表格，那就是風(fēng)險(xiǎn)值為80以上的風(fēng)險(xiǎn)項(xiàng)都需要處理，有的單位對安全要求不是特別高，只需風(fēng)險(xiǎn)等級為“中”以上處理即可，參考上面的表格，那閾值為175，所有風(fēng)險(xiǎn)值>=175的風(fēng)險(xiǎn)項(xiàng)都需處理。

3.10風(fēng)險(xiǎn)分析結(jié)果

風(fēng)險(xiǎn)分析小組根據(jù)前期的工作，進(jìn)行風(fēng)險(xiǎn)分析，形成《資產(chǎn)風(fēng)險(xiǎn)值表》：

3.11風(fēng)險(xiǎn)統(tǒng)計(jì)

資產(chǎn)風(fēng)險(xiǎn)情況：

風(fēng)險(xiǎn)接受情況：

3.12不可接受風(fēng)險(xiǎn)處理計(jì)劃

不可接受風(fēng)險(xiǎn)找出來后，肯定需要對不可接受風(fēng)險(xiǎn)制定處理計(jì)劃，最好能詳細(xì)到每項(xiàng)風(fēng)險(xiǎn)對應(yīng)的處理步驟及方法，以及截至?xí)r間，那樣才有可能保證完成，當(dāng)然還需對《已有安全措施確認(rèn)表》中的風(fēng)險(xiǎn)項(xiàng)進(jìn)行，確認(rèn)是否能暫不處理或延長截至?xí)r間等。

《不可接受風(fēng)險(xiǎn)處理計(jì)劃》可以參考如下表：

3.13專家評審

組織評審會是風(fēng)險(xiǎn)評估活動(dòng)結(jié)束的重要標(biāo)志，邀請單位領(lǐng)導(dǎo)、主要評估人員、信息安全專家等參與，項(xiàng)目組長及相關(guān)人員需對評估技術(shù)路線、工作計(jì)劃、實(shí)施情況、達(dá)標(biāo)情況進(jìn)行匯報(bào)，并解答評審人員的質(zhì)疑。

四、工作總結(jié)

工作總結(jié)是肯定需要寫的，必須跟領(lǐng)導(dǎo)或風(fēng)險(xiǎn)評估方匯報(bào)一下此次風(fēng)險(xiǎn)評估的內(nèi)容，當(dāng)前發(fā)現(xiàn)了多少風(fēng)險(xiǎn)，什么時(shí)候能處理完成，還有哪些方面需要加強(qiáng)，到此整個(gè)風(fēng)險(xiǎn)評估的工作才結(jié)束，至于風(fēng)險(xiǎn)處置計(jì)劃那后續(xù)還需跟進(jìn)處理才行。

以上涉及的標(biāo)準(zhǔn)文檔，如果有感興趣的同學(xué)需要可以私信我獲取。針對上面風(fēng)評的步驟或內(nèi)容，如有不足的地方，可以交流、斧正。

最后附帶一下整個(gè)風(fēng)險(xiǎn)評估工作流程圖：

超強(qiáng)干貨來襲 云風(fēng)專訪：近40年碼齡，通宵達(dá)旦的技術(shù)人生

總結(jié)

以上是生活随笔為你收集整理的风险评估资产重要性识别_如何有效的进行风险评估？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。