中国联通信息化系统风险评估流程及规范(试行).docVIP

中国联通信息化系统风险评估 流程及规范 （试行）  目 录 1 目标 3 2 引用标准 3 3 相关术语 3 4 风险评估概述 4 4.1 风险评估概念 4 4.1.1 信息安全 4 4.1.2 安全风险 4 4.1.3 信息安全风险评估 5 4.2 风险评估要素关系模型 5 5 风险评估规范 6 5.1 风险评估规范概述 6 5.2 资产评估 6 5.2.1 资产识别 6 5.3 脆弱性评估 7 5.3.1 脆弱性分类 7 5.3.2 脆弱性赋值 8 5.3.3 脆弱性评估方法 8 5.4 综合风险分析 20 5.5 实施改进 21 5.5.1 制定策略 21 5.5.2 安全加固 21 5.5.3 安全工程实施 21 6 风险评估流程 22 6.1 风险评估沟通阶段 22 6.2 风险评估实施阶段 22 6.2.1 项目启动 22 6.2.2 资产识别 22 6.2.3 安全漏洞扫描 22 6.2.4 渗透测试检查 23 6.2.5 安全基线检查 24 6.2.6 安全管理评估 26 6.2.7 配合情况检查 27 6.3 风险评估总结阶段 28 6.3.1 风险评估报告 28 6.3.2 风险整改 28 附录 29 目标 本指导手册用于指导中国联通信息化部系统安全风险评估工作，是中国联通信息化部开展安全风险评估的指导性文件。 本指导手册适用于中国联通信息化总部、各直属单位和各省级分公司。 引用标准 下列标准所包含的条文，通过在本手册中引用而成为本手册的参考。 注：所有标准都会被修订，使用本手册的各方应探讨使用下列标准最新版本的可能性。 ISO/IEC 13335-1信息技术安全管理 第1部分IT安全概念和模型由事件发生的可能性及的影响两种指标来。对付威胁减少脆弱性限制意外事件影响检测意外事件促进灾难恢复而实施的各种实践、规程和机制的总称。 图1 风险评估要素关系模型 图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。 风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中也需要充分考虑业务战略、资产价值、安全事件、残余风险等相关属性。 风险评估要素之间存在着如下关系： 业务战略依赖于资产去完成； 资产拥有价值，组织的业务战略越重要，对资产的依赖度越高，资产的价值则就越大； 资产的价值越大则遭致威胁越大； 风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件； 威胁需要利用脆弱性来达到目的，因此脆弱性越大则风险越大； 脆弱性使资产暴露，威胁要通过利用脆弱性来危害资产，从而形成风险； 依据资产的重要性和对风险的评估结果可以导出安全需求； 安全需求要通过安全措施来得以满足，且是有成本的； 安全措施可以抗击威胁，降低风险，减弱安全事件的影响； 风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险； 另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它会在将来诱发新的安全事件。 风险评估规范 风险评估规范概述 风险评估包括资产识别、脆弱性评估、综合风险分析和实施改进四个主要内容。 资产评估通过现场调查、现场访谈、资料分析等方法识别出评估范围内的所有信息资产，为脆弱性评估及综合风险分析提供基础。 脆弱性评估通过工具扫描、安全管理访谈等方法对资产用的脆弱性进行识别、分析并给出脆弱性严重程度级别，以及安全检查点是否符合规范。 综合风险分析通过对资产、脆弱性进行统计和分析，评估资产存在的脆弱性被威胁利用的可能性和影响，并提供详细的解决建议。 实施改进通过改进安全策略、安全加固漏洞以及安全工程实施来降低安全风险，提高安全防护水平。 资产评估 资产是对组织具有价值的东西，因而需要保护。资产可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码、数据等，也有商业秘密、企业部门形象等。具体的资产分类方法可以根据具体环境，由评估人员灵活把握。 资产识别 目标 按照评估范围的要求，无遗漏地识别出系统所包括的所有相关资产，保证信息完备、准确，为后续工作奠定良好的基础。 方法描述 通过现场调查、访谈或历史资料整理三个途径识别出评估范围内的所有资产。在现场调查前往往需要进行历史资料整理。在现场实地调查时，如果有必要应及时访谈配合人员，保证资产清单中的信息完备、准确。 识别的主要内容包括设备单点调查和信息设备关联关系（如物理连接）调查两部分。 在信息设备单点调查过程中不考虑信息设备之间的联系。 在信息设备关系调查过程中需要获得与信息设备的实际情况完全一致的网络物理连接图（设备之间的物理连接信息，