网络信息安全风险评估实施方法

网络信息安全风险评估实施方法
1评估准备
1.1第1步：成立评估工作组
在一个评估工作下达后，需要组织人员来实施评估工作的内容。

评估工作组通常包括如下两方面的人员：
评估人员：外部专业评估机构的人员，或由内部专业人员组成的评估队伍。

系统管理人员：待评系统的运维管理人员。

以上两部份人员形成一个完整的评估项目组，根据项目组成员的职能，项目组包括如下角色：
表5.1 评估工作组人员角色安排
1.2第2步：确定评估范围
评估范围界定是对待评系统资产的抽样。

在成立了评估工作组后，评估范围可通过评估组的工作会议进行确定。

确定的评估范围应能代表待评估系统的所有关键资产，包括：网络范围、主机范围、应用系统范围、制度与管理范围。

评估范围确定后，待评系统管理人员需要根据选定的内容进行资料的准备工
作，包括：网络拓扑结构图、信息资产清单、应用系统的说明稳当、组织机构设置说明等内容。

本实施指南的附件《信息安全风险评估资料准备说明》中给出了评估前需要准备的清单。

1.3第3步：评估动员会议
安全评估工作是一个挑毛病、找问题的过程，一般情况下带评估系统的管理和运行维护人员都会有一定的抵触情绪，因此，需要通过评估动员让所有工作人员明白评估的目的和意义。

评估动员会议应由较高层的领导出席，并表明对评估工作的支持态度。

评估动员会议要完成以下的议题：评估的时间和人员安排、评估工作中的风险防范措施。

1.4第4步：信息系统调研
为了确保评估工作的全面性、提高评估工作的效率，在评估实施前，组织评估工作组成员对确定的实施范围进行走访。

通过前期快速的调研，评估工作组可以基本掌握评估范围内信息系统和人员的实际情况，并与配合人员进行初步的沟通，确定评估实施中必须具备的技术工具和手段，以及基本的时间安排和必要的工作准备。

1.5第5步：评估工具准备
评估工作组根据收到的评估资料，进行评估工具的准备，这包括威胁列表、网络评估工具、主机评估工具、资产统计工具、安全管理访谈表等内容。

评估工具中大部份内容需要根据评估范围和评估的主要目的进行定制，例如：威胁列表需要根据信息系统实际的物理、网络环境来进行定制；安全管理访谈表需要根据待评估系统的管理结构、管理方式进行定制。

在评估工具中，网络、主机脆弱性评估的通用性较强，目前可找到的商用和免费工具较多。

下表是目前常用的脆弱性评估工具列表：
表5.2 脆弱性评估工具
2现场评估
现场阶段工作流程图（图4-4）中给出了信息安全风险评估的主要内容，下面根据流程图所示流程，对每一步的工作内容进行详细的说明。

2.1第1步：资产评估
资产评估是评估的起点，做好资产评估能有效保证评估的完整性和科学性。

资产评估包括了资产统计、业务系统分解和资产估值三部分内容，其中资产估值需要在对业务系统进行充分了解和分析的基础上进行。

资产评估中采用以业务系统为主线的方法，将每一项信息资产按照所属业务系统进行归类，在业务系统划分的基础上评估信息系统的的安全性。

资产统计
表5.3 资产统计
资产统计输出的《信息资产清单列表》是评估中需要进行分析的资产，
具体的列表情况参见附录H。

业务系统分解
较简单的业务系统直接分解为功能模块，大的业务系统先分为相对独立的子系统，再对这些子系统进行功能分解。

功能模块的分解参考如下功能模块定义：
表5.4 业务系统分解表
这一步的工作说明如下：
表5.5 业务系统分解
一个示例的业务系统功能分解表如下：
表5.6 业务系统分解示例
业务系统功能分解是为了辅助判断业务系统相关的数据、操作、处理等功能是在构成系统的那些设备上完成的，确定出系统中的关键与核心设备。

2.2第2步：网络与业务构架评估
网络与业务构架评估是对业务系统在网络中的部署情况进行的审计，以判断业务系统的部署是否跨越不同等级的安全区域。

表5.7 网络与业务构架评估
这里网络与业务构架的评估结果主要是辅助对相关网络设备、主机安全性进行判断，并且对网络结构、业务结构的缺陷进行判断，输出的记录内容主要包括：
●网络结构与业务构架是否相适合
●网络关键点的链路是否安全可靠
●业务结构和业务流是否安全
2.3第3步：业务系统安全性评估
●业务系统通信关系审计
业务通信关系审计是对业务系统间，以及业务系统内部子系统间的通信安全性进行的审计，对于已有安全要求的业务系统可按照安全要求进行审计，没有安全要求的业务系统可参照业务系统评估方法定义安全要求。

表5.8 业务系统通信关系审计
业务通信关系审计的输出记录是对关键业务通信信道、通信方式的判断结果，主要的记录内容示例如下：
表5.8 业务系统通信关系审计记录示例
在数据分析过程中，由此上表结合网络结构、数据安全性可以判断出两个系统间目前的通信方式是否安全。

●业务操作安全审计
业务操作安全审计是对业务系统使用情况进行的审计，以确保不会由于非法操作或恶意操作导致信息安全事件，对业务操作的审计可参考相应的业务系统运维管理条例和职责划分制度等内容。

表5.9 业务操作安全审计
业务操作审计是对业务系统客户端业务软件和相关人员的审计，输出的业务系统操作审计记录主要包括一下内容：
●客户端安全配置
●客户端业务功能是否符合业务安全策略要求
●客户端软件的基本安全功能，包括：输入验证、数据缓存等
●业务人员的安全意识等
2.4第4步：资产估值
资产估值需要根据资产所处网络环境、资产中的数据、资产对业务系统的重要程度等内容进行。

表5.10 资产估值
资产估值结合了第1步到第3步的评估结果，通过对资产清单中具体资产上信息（数据）、软件和硬件，以及相关人员的安全属性判断综合获得。

2.5第5步：威胁评估
威胁评估是通过对业务系统整体环境的判断和掌握，确认系统所受到的威胁情况的过程，威胁评估主要包含以下三项内容：
●威胁统计
威胁统计是对信息系统面临的威胁的确认过程，威胁数据来源的方式较为多样，评估中可根据情况先进行威胁列表的维护，再根据实际环境进行判断和分析。

表5.11 威胁统计
威胁统计是根据信息系统的实际情况对威胁列表进行增加、删除的过程。

附录C中给出了一个典型的威胁列表。

●资产威胁关联性分析
资产威胁关联性分析是对具体资产或业务系统建立其威胁列表，以判断对具体资产或业务系统究竟有哪些威胁较为严重。

根据评估的规模可只对关键资产进行威胁分析。

表5.12 资产威胁关联性分析
资产威胁关联表是对每一个评估资产根据威胁统计表挑出其所面临的威胁的过程。

这一过程需要评估人员和信息系统的运行维护人员一起进行讨
论、分析和判断。

●威胁赋值与计算
表5.13 威胁赋值与计算
威胁赋值过程对每一个信息资产面临的威胁的可能性和严重程度都进行判断，赋值的依据参考4.1.2节中的规定。

威胁赋值过程可以配合资产威胁关联性分析过程由评估人员和系统运行维护人员一起讨论决定。

对于较大规模的评估，针对每一个资产进行威胁判断会导致工作量剧增，这在实际的评估操作中往往导致威胁评估不了了之。

因此，为简化威胁评估，可针对具体的应用系统或安全域进行威胁评估工作，将对应用系统或安全域整体的威胁视为对其中每一个资产的威胁。

2.6第6步：主机安全性评估
主机安全性评估是对业务系统范围内的主机的安全漏洞进行发现的过程，包括如下的内容：
●设备安全漏洞扫描
设备安全漏洞扫描是采用漏洞扫描工具对系统技术漏洞的发现过程，在漏洞扫描的过程中可能会对业务系统的运行产生影响，因此需要得到操作许可，并准备应急预案以避免由风险评估产生的风险。

表5.14 设备安全漏洞扫描
●设备审计
设备审计是采用人工登录主机或网络设备的方式对设备的安全配置情况进行的审计，由于设备配置数据是信息系统的敏感数据，因此在审计前需要得到操作许可。

表5.15 设备审计
设备审计主要依据相应的检查列表，由人工进行操作。

检查列表是由评估机构根据各类设备的安全配置和使用经验总结、整理出的评估工具。

2.7第7步：现有安全措施审计
对现有安全措施的审计主要评估这些安全措施是否发挥了作用，以及配套的管理策略是否到位。

表5.16 现有安全措施审计
现有安全措施审计记录中主要包括的内容有：
●部署方式记录
●策略配置记录
●相关日志的记录
附录D中给出了防火墙和防病毒审计的记录表，在评估中可以参考使用。

2.8第8步：信息安全管理评估
●安全管理制度文档分析
文档分析主要是对信息系统管理中已制定和采用的安全管理制度文档以及制度的执行情况进行分析，通过分析发现现有制度中的缺陷。

本部分的工作可以先期展开。

表5.17 安全管理制度文档分析
信息安全管理制度分析报告中应包括当前已经制定的信息安全相关制度列表，关键文档内容的齐全性、可操作性，以及管理策略体系的完备性。

●业务系统管理分析
对业务系统管理的分析从对具体业务系统的管理制度、岗位职责定义文档出发，并通过实际的观察和访谈确认系统管理的情况。

表5.18 业务系统管理分析
业务系统管理审计结果记录是针对具体业务的评估结果，其中应包含的内容有：
●业务系统相关的人员配备说明
●应急处理预案
●相关的安全管理制度情况
3风险分析
风险分析过程包括数据整理、风险计算和风险决策三个步骤。

3.1第1步：数据整理
数据整理是将现场阶段采集到的数据根据风险计算和风险决策的要求，进行分析和整理的过程。

这一过程的主要步骤如下：
●针对评估范围中的资产，对资产根据业务、类型进行分类，形成具体的
资产或资产组；
●根据资产或资产组承载的业务和数据、所处的位置进行资产赋值的调整，
确定出可计算的资产价值；
●针对具体的资产或资产组，根据现场识别和赋值的威胁列表判断资产面
临的威胁情况，并对现场所赋的威胁可能性和威胁影响值进行调整；
●针对具体的资产或资产组，整理脆弱性列表，并进行管理、运维和技术
的分析，分析其产生原因和被利用的后果；
●对资产或资产组的每一条脆弱性进行安全属性（CIA）和严重等级的识别
和判断；
●对现有安全措施的情况进行整理，根据其防护范围，判读其对具体的资
产和资产组的风险消除程度；
●根据现有安全措施调整资产或资产组面临的威胁的可能性值；
以上过程中的每一步可形成表格，以利于风险计算和决策的执行。

其中，脆弱性数据的内容和来源较多，采用统一的表格形式进行整理对下一步的分析工作有较大的帮助。

附录E是脆弱性数据整理表格的一个示例。

3.2第2步：风险计算
在完成资产评估、威胁评估和脆弱性评估后，根据资产及其关联的威胁和脆弱性的赋值情况可计算出风险值。

风险的计算方法目前还没有明细的技术标准，通常效果比较好的计算方式为：
R ＝A ＊T ＊V=E*D …………………………（5.1）
T=s T *f T ，E ＝A ＊s T ，D= f T * V …………………………（5.2）
上式中R 为风险值， A 为资产价值，T 为威胁值，V 为脆弱性值，E 为资产损失产生的影响，D 为资产暴露程度，s T 为威胁的严重程度，f T 为威胁发生的可能性。

根据行业企业管理、运维和技术的要求对风险计算方法进行了如下的扩展：
R =t W t R +m W m R +o W o R …………………………（5.3）
上式中，t 代表“技术方面的”、m 代表“管理方面的”、o 代表“运维方面的”、W 为技术、运维和管理脆弱性之间的相关性，t W 、m W 、o W 之和等于1。

R 为综合风险值，t R 为技术脆弱性相关风险，m R 为管理脆弱性相关风险，o R 为运行维护脆弱性相关风险，具体计算公式如下：
t R = A c ·T c ·V tc +A i ·T i ·V ti +A a ·T a ·V ta …………………………………………
（5.4）
m R = A c ·T c ·V mc +A i ·T i ·V mi +A a ·T a ·V ma ………………………………………
（5.5）
o R
= A c ·T c ·V oc +A i ·T i ·V oi
+A a ·T a ·V oa …………………………………………（5.6）
注：c 代表“机密性方面的”、i 代表“完整性方面的”、a 代表“可用性方面的”。

公式5.3、公式5.5、公式5.6即为经过拓展的行业信息系统风险计算公式，体现了行业企业信息安全管理的思路，既从管理、运行维护技术三方面出发，而每个公式中又从机密性、完整性、可用性三个方面进行考察。

相互促进、相互监督，形成一个完整的、可操作的行业企业信息安全保障体系。

计算公式中的技术
漏洞、管理和运维缺陷数据是在脆弱性评估中获得的数据。

注意：公式5.4、5.5、5.6中的重点是对脆弱性的取值问题。

我们分三个部分来考虑这个问题。

首先是技术方面。

V tc、V ti、V ta分别选取机密性、完整性、可用性三个方面的最大值。

即：V tc = V tc1 +V tc2 +V tc3 + ……+V tcn
V tcn∈max{ V tcm }
n、m=1，2，3，……
V tcm表示属于技术方面的各个机密性方面的脆弱值
V ti = V ti1 +V ti2 +V ti3 + ……+V tin
V tin∈max{ V tim }
n、m=1，2，3，……
V tim表示属于技术方面的各个完整性方面的脆弱值
V ta = V ta1 +V ta2 +V ta3 + ……+V tan
V tan∈max{ V tam }
n、m=1，2，3，……
V tam表示属于技术方面的各个可用性方面的脆弱值
其次是管理方面。

V mc、V mi、V ma分别选取机密性、完整性、可用性三个方面的和。

即：V mc =V mc1 +V mc2 +V mc3 + ……V mcm
m=1，2，3，……
V mcm表示属于管理方面的各个机密性方面的脆弱值
V mi =V mi1 +V mi2 +V mi3 + ……V mim
m=1，2，3，……
V mim表示属于管理方面的各个完整性方面的脆弱值
V ma =V ma1 +V ma2 +V ma3 + ……V mam
m=1，2，3，……
V mam表示属于管理方面的各个可用性方面的脆弱值
最后就是运维方面。

V oc、V oi、V oa分别选取机密性、完整性、可用性三个方面的和。

即：V oc =V oc1 +V oc2 +V oc3 + ……V ocm
m=1，2，3，……
V ocm表示属于运维方面的各个机密性方面的脆弱值
V oi =V oi1 +V oi2 +V oi3 + ……V oim
m=1，2，3，……
V oim表示属于运维方面的各个完整性方面的脆弱值
V oa =V oa1 +V oa2 +V oa3 + ……V oam
m=1，2，3，……
V oam表示属于运维方面的各个可用性方面的脆弱值
3.3第3步：风险决策
风险决策是在风险排序的基础上，分析各种风险要素、以及被评估系统的实际情况，决定对风险采取接受、消除或转移等处理方式的过程。

基本的风险决策方法如下：
根据风险计算结果，按照对资产按照面临的风险大小进行排序，决定对风险采取的处理方法，根据风险分析的不同角度，可以有多种排序方法：
表5.19 综合排序范例
解释：对单一资产进行综合排序，可以将风险分布情况直观的表现出来。

从表5.18中，我们可以知道，在这个单一资产中，管理方面的完整性方面的风险最大。

表5.20 资产综合排序范例
解释：在相同规模下，使用对多个资产进行综合排序，可以将重点资产突出出来。

表5.19中，资产3的综合风险最高，说明安全风险的重点工作应该放到资产3上。

表5.21 单项综合排序范例
解释：对单一资产，还可以使用单项综合排序。

表5.20中，管理方面的综合风险排在第一位，说明该资产在管理方面存在最大风险。

●风险分析，根据风险要素判断资产在机密性（C）、完整型（I）和可用
性（A）等安全属性上所面临的威胁。

●根据对资产C、I、A属性的威胁，以及被这些威胁利用的技术漏洞、管
理缺陷和运维缺陷决定处理方式，并提出安全防护需求。

●提取第(3)步选定的安全防护措施形成列表，并根据信息系统的技术条
件、管理方式确定对信息系统的安全防护体系。

风险决策是提出安全建议的基础，科学、合理的风险决策是提高安全建议质量、防止过度防护和防护不足的保障。

4安全建议
安全建议是根据风险决策中提出的安全防护需求，经过合理的统计和归纳，形成安全解决方案建议的过程。

安全建议报告的内容包含了安全建议阶段的所有工作内容，具体包括如下的技术细节：
●需求分析：需求分析根据风险分析的结论将信息系统的防护需求进行归
纳和总结，并根据评估结果进行了现状分析、可行性分析和紧迫性分析；
●安全建议：根据需求分析的结论针对不同评估节点提出安全防护措施；
●关联性分析：对安全建议所提出的防护措施的技术关联性进行论证，确
定实施的先后顺序；
●实施建议：根据关联性分析、可行性分析和紧迫性分析结论提出安全建
议的实施建议。

安全建议的内容应当同评估范围和内容相符，通常一个较全面的评估后，安全建议中应当包括如下的内容：
●对网络构架、网络设备配置和网络管理根据评估结论和数据提出完善、
改进或变更的建议；
●对主机系统的配置、加固的管理，以及主机的使用控制提出建议。

主机
安全建议在包含技术内容的同时，应当提出相应的管理措施；
●评估后，根据评估范围中的数据库、WEB等中间件服务，提出其维护和
加固的建议；
●对业务系统的使用、管理、维护，以及基本的安全功能提出整改建议；
●对现有安全防护措施的部署、配置和管理提出建议；
●对信息安全管理体系，包括管理制度、组织结构和执行情况提出安全整
改的建议。

为了确保评估建议的合理性、可行性，以及各节点对评估建议的理解的完整性，评估工作组必须对安全建议进行了讨论、予以修正，确保建议实施取的良好的防护效益，并具备可行性。

由于评估所涉及的信息系统内容较多，安全建议的具体实现需要在评估后，由信息系统的拥有单位发起提出具体的解决方案。

完整的解决方案可能是由不同的厂商和服务机构提出的多个实施方案构成的，例如：网络整改方案、应用整改方案等。

5安全整改及二次评估
信息安全风险评估的最终目的是提高信息系统的安全防护能力，因此安全建议提出后，被评估单位必须采取措施将建议内容付诸实施，进行信息系统安全整改，以达到评估的最终目的。

安全整改是行业企业根据评估结论对信息安全保障体系开展的改进与完善
工作，在安全整改后，应该通过对关键环节进行二次评估的方式，验证整改效果。

二次评估后，应出具整改情况的检查报告。