信息安全风险评估

篇一：信息安全风险评估管理办法

信息安全风险评估管理办法

第一章 总 则

第一条 为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。

第二条 本省行政区域内信息系统风险评估及其管理活动，适用本办法。

第三条 本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。

第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。

跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。

涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条 风险评估分为自评估和检查评估两种形式。

自评估由信息系统的建设、运营或者使用单位自主开展。 检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。

第二章 组织与实施

第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。

第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。

第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

第九条 重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

第十条 本省行政区域内信息系统应当定期开展风险评估，其中重要信息系统应当至少每三年进行一次自评估或检查

评估。在规定期限内已进行检查评估的重要信息系统，可以不再进行自评估。

第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构，对本行政区域内重要信息系统实施检查评估。 第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议；信息化主管部门委托开展检查评估，受委托的风险评估服务机构应当与被评估单位签订风险评估协议。

对于评估活动可能影响信息系统正常运行的，风险评估服务机构应当事先告知被评估单位，并协助其采取相应的预防措施。

第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。

风险评估服务机构出具的自评估报告，应当经被评估单位认可，并经双方部门负责人签署后生效。

风险评估服务机构出具的检查评估报告，应当报委托其开展评估的主管部门审定；主管部门应当自收到评估报告之日起10个工作日内，将审定结果和整改意见告知被评估单位。 第十四条 自评估单位应当根据自评估报告进行整改，并自报告生效之日起30日内，将自评估情况和整改方案报本级信息化主管部门备案。

接受检查评估的单位应当自收到检查评估报告之日起30日

内，根据整改建议提出整改方案、明确整改时限，报本级信息化主管部门备案。

受委托进行风险评估的服务机构应当指导被评估单位开展整改，并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单，督促未备案单位开展自评估。

第十六条 未发生重大变更的重要信息系统再次进行风险评估的，可以参考前次评估结果，重点评估以下内容：

（一）前次风险评估发现的主要问题及整改情况；

（二）核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后，可能出现的安全隐患；

（三）新的信息技术可能对信息系统安全造成的影响；

（四）其他需要重点评估的内容。

第三章 风险评估机构

第十七条 在本省行政区域内从事自评估服务的社会机构，应当具备下列条件，并报经其所在地省辖市信息化主管部门备案：

（一）依法在中国境内注册成立并在本省设有机构，由中国公民、法人投资或者由其它组织投资；

（二）从事信息安全检测、评估相关业务两年以上，无违法记录；

（三）专业评估人员不少于10人且均为中国公民，接受并

通过相关培训考核，无违法记录；其中主要评估人员2人以上，具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格，具备独立实施风险评估的技术能力;

（四）评估使用的技术装备、设施符合国家信息安全产品要求；

（五）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度；

（六）法律法规规定的其它条件。

第十八条 在本省从事检查评估的社会机构，除具备第十七条规定条件外，还应当同时具备下列条件，并经其所在地省辖市信息化主管部门审核后，报省信息化主管部门备案：

（一）具有国家权威机构认定的信息安全服务资质；

（二）评估人员不少于20人，其中主要评估人员4人以上，具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。

第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内，告知备案结果，并定期向社会公布本行政区域内风险评估服务机构备案名单，对其服务进行管理、监督。

第二十条 从事风险评估服务的机构，应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供科学、安全、客观、公正的评估服务，保证评估的质量和效果；

篇二：信息安全风险评估方案

第一章 网络安全现状与问题

1.1目前安全解决方案的盲目性

现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。

1.2网络安全规划上的滞后

网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。

在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。

第二章 网络动态安全防范体系

用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。

静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。

目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

形成动态的安全防御体系。

网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制，全网动态安全体系可由下面的公式概括：

网络安全 = 风险分析 + 制定策略 + 防御系统+ 安全管理+ 安全服务

动态安全模型，如图所示。

动态安全体系

从安全体系的可实施、动态性角度，动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御系统、安全管理、安全服务支持体系等各个方面，并且考虑到各个部分之间的动态关系与依赖性。

进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析（又称风险评估、风险管理），是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法：定性分析和定量分析。在制定网络安全策略的时候，要从全局进行考虑，基于风险分析的结果进行决策，建议公司究竟是加大投入，采取更强有力的保护措施，还是容忍一些小的损失而不采取措施。因此，采取科学的风险分析方法对公司的网络进行风险分析是非常关键的。

一旦确定有关的安全要求，下一步应是制定及实施安全策略，来保证把风险控制在可接受的范围之内。安全策略的制定，可以依据相关的国内外标准或行业标准，也可以自己设计。有很多方法可以用于制定安全策略，但是，并不是每一组安全策略都适用于每个信息系统或环境，或是所有类型的企业。安全策略的制定，要针对不同的网络应用、不同的安全环境、不同的安全目标而量身定制，各公司应该按照自己的要求，选择合适的安全体系规划网络的安全。制定自己的安全策略应考虑以下三点内容：（1）评估风险。（2）企业与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。（3）企业为网络安全运作所订立的原则、目标及信息处理的规定。

安全管理贯穿在安全的各个层次实施。实践一再告诉人们仅有安全技术

防范，而无严格的安全管理体系相配套，是难以保障网络系统安全的。必须制定一系列安全管理制度，对安全技术和安全设施进行管理。从全局管理角度来看，要制定全局的安全管理策略；从技术管理角度来看，要实现安全的配置和管理；从人员管理角度来看，要实现统一的用户角色划分策略，制定一系列的管理规范。实现安全管理应遵循以下几个原则：可操作性原则；全局性原则；动态性原则；管理与技术的有机结合；责权分明原则；分权制约原则；安全管理的制度化。

第三章 动态风险分析

根据木桶原理，木桶所能容纳水的多少是由木桶壁中最短那块木头决定的，同样，一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的，往往解决最主要的安全问题可以使系统的安全性有很大提高。

动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被评估系统中的薄弱之处，评估发生此类问题造成的损失，提供最佳的解决方案，使用户清楚的知道被评估系统中面临的威胁是什麽，最主要的问题是什麽，避免在网络安全方面的盲目性，获得最佳的投资效费比。如下图所示

3.1定义范围

动态安全风险分析的第一步就是要确定被保护系统的范围，即确定我们有什么资源、要保护什么资源，如：

● 信息发布系统，WWW系统等。

● 办公系统，如Email系统、总部及分部办公系统等。

其次是要定义用户对选定资源中各系统的关切顺序，不同系统遭受破坏后带来的损失是不一样的，如交易系统中的交易服务器的重要程度应是最高的。

3.2威胁评估与分析

确定了风险管理范围后，在充分分析系统现状的基础上，一方面进一步分析可能存在的安全威胁，及其传播途径，另一方面通过对网络、系统等各个环节的脆弱性分析，验证这些威胁对系统的危害程度，找出主要安全问题。

3.2.1现状调查与分析

现状调查是风险管理的基础，根据用户的总体要求对用户环境和安全现状进行全面和细致的调查，可以准确理解用户安全需求。

下一步进行的威胁分析及脆弱性分析将针对用户环境中的网络系统、服务器系统、应用系统以及数据系统等展开安全分析工作，因此用户现状调查也必须针对这些方面进行。用户现状调查的主要内容如下图所示。

最后生成用户现状调查总结是对用户现状调查过程的总结报告。它总结性描述我公司对用户现状及用户系统安全性的大概印象。包括以下内容：

● 用户环境中各个设备及所含系统的大致情况，主要针对与安全漏洞有关的项

目。

● 用户对安全策略的要求。

● 对用户系统安全性的初步分析。

3.2.2面临威胁种类

由于政府业是个开放化、社会化的行业，其信息系统由封闭式系统逐步转向开放式系统，势必存在着诸多不安全风险因素，主要包括：

系统错误

主要包括系统设计缺陷、系统配置管理问题等，如操作系统漏洞、用户名管理问题，弱身份认证机制等；

内部人员作案

个别政府职员利用自己掌握的内部系统或数据信息，从事非法挪用资金、破坏系统等活动；

黑客攻击

黑客主要利用分部工作站、电话、互联网等设备进行非法网络或查看、复制、修改数据，常见攻击手法有：

篇三：业务系统信息安全风险评估方案

第3章 业务系统信息安全风险评估方案

3.1 风险评估概述

3.1.1 背景

该业务系统风险评估的目标是评估业务系统的风险状况，提出风险控制建议，同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。

需要指出的是，本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况，反映的是系统当前的安全状态。

3.1.2 范围

该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。

3.1.3 评估方式

信息系统具有一定的生命周期，在其生命中期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。

本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，确定重要资产，针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。

资产划分是风险评估的基础，在所有识别的系统资产中，依据资产在机密性、完整性和可用性安全属性的价值不同，综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低5个等级。

对于列为重要及以上等级的资产，分析其面临的安全威胁。

脆弱性识别主要从技术和管理两个层面，采取人工访谈。现场核查。扫描检测。渗透性测试等方式，找出系统所存在的脆弱性和安全隐患。

对重要资产已识别的威胁、脆弱性，根据其可能性和严重性，综合评估其安全风险。

3.2 该业务系统概况

3.2.1 该业务系统背景

近年来，由于数据量迅速增加，业务量也迅速增长，原先的硬件系统、应用系统和模式已渐渐不适应业务的需求，提升IT管理系统已经成为刻不容缓的事情。

经过仔细论证之后，信息决策部门在IT管理系统升级上达成如下共识：更换新的硬件设备，使用更先进和更强大的主机；在模式上为统一的集中式系统；在系统上用运行和维护效率较高的单库结构替换原有多库系统；在技术上准备使用基于B/S架构的J2EE中间件技术，并且实施999.999%的高可靠性运行方式；在业务上用新型工作流作为驱动新一代业务系统的引擎，真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率，从而降低成本、提高核心竞争力以应对外部的竞争。

3.2.2 网络结构与拓扑图

该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。业务系统网络通过一台高性能路由器连接分部网络，通过一台千兆以太网交换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网，两台千兆以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。

具体的网络拓扑图如图3-1所示。

3.2.3 业务系统边界

具体的系统边界图如图3-2所示。

3.2.4 应用系统和业务流程分析

业务系统组织结构划分为总部和分部两个层次，业务系统所涉及的绝大多数业务流程都需要经过多级业务管理部门进行处理，业务流程复杂且流程跨度比较大。

其次，业务系统处理流程十分繁杂。在对客户申请审批处理过程中，必然会出现反复的提交、上报、退回等操作，并且可以将任务退回到指定的岗位上，然后再次上报提交。在同一个审批过程中，根据客户的不同级别，可能需要提交到上级授信管理部门，也可能提交到上级的风险管理部门。

3.3 资产识别

3.3.1 资产清单

资产识别通过分析信息系统的业务流程和功能，从业务数据的完整性、可用性和机密性的保护要求出发，识别出对CIA三性有一定影响的信息流及其承载体或周边设备。

在本次业务系统评估中进行的资产分类，主要分为网络设备、主机系统、服务器系统、数据和文档资产5个方面。

（1）网络设备资产 网络设备重要资产如表3-1所示。

表3-1 网络设备重要资产表

（2）主机系统资产 主机系统重要资产如表3-2所示。

表3-2 主机重要资产表

表3-3 服务器重要资产表

（3）服务器资产 服务器重要资产如表3-3所示。

（4）数据和文档资产 数据和文档重要资产如表3-4所示。

表3-4数据和文档资产重要资产表

3.3.2 资产赋值

资产赋值对识别的信息资产，按照资产的不同安全属性，即机密性、完整性和可用性的重要性和保护要求，分别对资产的CIA三性予以赋值。

三性赋值分为5个等级，分别对应了改项信息资产的机密性、完整性和可用性的不同程度的影响，下面是赋值依据。

1.机密性（Confidentiality）赋值依据

根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。机密性赋值依据如表2-6所示。 2. 完整性（Integrity）赋值依据

根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。完整性赋值依据如表2-7所示。 3.可用性（Availability）赋值依据

根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估的影响。可用性赋值依据如表2-8所示。

根据资产的不同安全属性，即机密性、完整性和可用性的等级划分原则，采用专家指定的方法对所有资产的CIA三性予以赋值。赋值后的资产清单如表3-5所示。

表3-5 资产CIA三性等级表

3.3.3 资产分级

资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。根据本系统的业务特点，采取相乘法决定资产的价值。计算公式如下：

v=f(x,y,z)=x?y?z

其中：v表示资产价值，x表示机密性，y表示完整性，z表示可用性。

资产的CIA三性如表3-9所示，根据式（3.1）可以计算出资产的价值。例如取资产ASSET_01三性值代入式（3.1），得

v=f(3,3,3)=3?3?3

得资产ASSET_01的资产价值=3。依次类推得到本系统资产的价值清单如表3-6所示。

表3-6 资产价值表

为与上述安全属性的赋值相对应，根据最终赋值将资产划分为5级，级别越高表示资产越重要。不同等级的资产重要性程度判断准则如表2-11所示。

表2-11 资产重要性程度判断准则

根据资产重要性程度判断准则，可以得到资产的等级。本系统的资产等级如表3-7所示。

表3-7 资产价值表

3.4 威胁识别

3.4.1 威胁概述

安全威胁是一种对系统及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。

产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种，环境因素包括自然界的不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性和可用性等方面造成损害，也可能是偶发的或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点可能成功地对造成造成伤害。安全事件及其后果是分析威胁的重要依据。

根据威胁出现频率的不同，将它分为5个不同的等级。以此属性来衡量威胁，具体的判断准则如表2-13所示。

表2-13 威胁出现频率判断准则

《信息安全风险评估》由：免费论文网互联网用户整理提供；
链接地址：http://www.csmayi.cn/meiwen/47772.html
转载请保留,谢谢!

• 上一篇：八七会议的主要内容
• 下一篇：安全风险辨识评估