第8章信息安全风险评估案例.pptVIP

　2．识别并评价资产。 在划定的评估范围内，以网络拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，形成一个信息资产的清单。在识别出所有信息资产后，为每项资产赋值。对资产的保密性、完整性和可用性这三个安全属性分别赋值，根据三个安全属性的权值计算资产的价值。形成《系统信息资产识别清单》。确定关键资产，详细识别关键资产的安全属性，并对关键资产的重要性进行赋值，形成《系统重要信息资产评估报告》。 　本阶段所采用的方法包括： 　（1）会议：召集评估小组成员和相关人员进行资产分析会议； 　（2）手工记录表格：通过资产调查表的填写确定信息资产状况。 3．识别并评估威胁。 识别关键资产所面临的威胁，及威胁对资产所产生的影响。形成《威胁列表》。本阶段所采用的方法包括： 　（1）IDS采样分析。使用IDS，通过对网络流量进行不间断的分析，从中发现攻击、入侵或非法访问等行为。 　（2）日志分析。通过检查不同来源的日志文件发现曾经发生过的威胁，获取威胁信息。 　（3）人员访谈。评估小组成员与规划编写人员及项目建设人员进行访谈交流。 　　4．识别并评估脆弱性。 从技术、管理和策略三个方面进行脆弱性评估，其中在技术 方面主要是通过远程和本地两种方式进行系统扫描、对网络设备 和主机等进行适当的人工抽查、对关键外网服务主机进行远程渗 透测试。管理脆弱性评估方面主要对现有的安全管理制度及其执 行情况进行检查，发现其中的管理漏洞和不足；策略脆弱性评估 方面主要是从整体网络安全的角度对现有的网络安全策略。 　　进行全局性的评估，它也包括了技术和管理方面的内容。脆弱性评估阶段形成文档《脆弱性列表》。 此阶段所采用的方法包括： 　　（1）利用漏洞扫描工具进行扫描； 　　（2）渗透测试； 　　（3）各类检查列表。 　5．风险分析。 通过分析上面所评估的数据，进行风险值计算，确定风险等级，确认高风险因素，提出整改意见。形成《风险分析报告》和《规划整改意见》。此阶段所采用的方法包括： 　（1）会议：召集评估小组成员进行风险分析会议。 　（2）咨询交流：评估小组成员与相关人员及第三方专家 进行访谈交流。 　（3）资料审查确认：评估小组成员将对形成的风险分析 报告和整改建议进行审查确认。 　　　8.1.6 信息安全风险评估项目实施方案 　　　8.1.6.1 项目组织机构 　　　项目实施的组织机构如下: 　　　项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果；项目实施完毕之后，领导小组将根据整个项目的成果情况，批准并主持项目试点总结工作。 　　　项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划，并监督项目进展情况；主持阶段成果汇报会议；做好协调工作，保证项目的顺利执行。 　　　项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划，根据实施计划开展工作。 　　　质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。 　　　外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、指导和咨询。 　　8.1.6.2 项目阶段划分 　　　本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下： 　　　项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：《项目组成员信息表》、《评估范围说明》、《评估实施计划》。 　　　现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：《各种系统资料记录表单》。 　　　检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问卷调查、测试、研讨会。工作成果：《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。 ID 任务名称 开始时间 完成时间 持续时间 2007年5月 2007年6月 5-6 5-13 5-20 5-27 6-3 6-10 6-17 6-24 1 项目准备 5-8 5-17 10d 2 现状调研 5-18 5-27 11d 3 检查与测试 5-28 6-8 12d 4 分析评估 6-9 6-17 9d 5 编制评估报告 6-18 6-28 11d 　　　分析评估：根据相关标准或实践经验确定安全风险，并给出整改措施。工作方式：访谈、研讨会。工作成果：《安全风险