風險評估介紹及工作流程、注意事項

目錄

• 階段1:准備階段
• 階段2：識別階段
  • 資產識別
    • 資產定義
  • 威脅識別
    • 威脅定義
  • 脆弱性識別
    • 脆弱性評估
    • 脆弱性分類
  • 已有安全措施的確認
• 階段三：分析階段
  • 資產分析
  • 威脅賦值
    • 威脅的種類
  • 脆弱性賦值
  • 綜合風險分析。
    • 風險的計算
    • 風險等級的划分
• 階段四：規划和驗收階段
  • 控制措施的選擇
  • 殘余風險的評價
  • 驗收

風險評估是對某一個系統、資產進行安全風險評估的過程
風險評估流程分為4個階段

階段1:准備階段

對信息系統風險評估項目目標、范圍、項目交付文件、項目實施方案、工作方式、評估成果提交形式討論確定。形成完整的《風險評估實施方案》

階段2：識別階段

資產識別

資產定義

資產 是企業、機構直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務、企業形象等。通常信息資產的保密性、完整性和可用性是公認的能夠反映資產安全特性的三個要素。

威脅識別

威脅定義

威脅識別
安全威脅是一種對機構及其資產構成潛在破壞的可能性因素或者事件。無論對於多么安全的信息系統，安全威脅是一個客觀存在的事物，它是風險評估的重要因素之一。
產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素又可區分為有意和無意兩種。環境因素包括自然界的不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在保密性、完整性或可用性等方面造成損害。也可能是偶發的、或蓄意的事件。一般來說，威脅總是要利用網絡、系統、應用或數據的弱點才可能成功地對資產造成傷害。安全事件及其后果是分析威脅的重要依據。但是有相當一部分威脅發生時，由於未能造成后果，或者沒有意識到，而被安全管理人員忽略。這將導致對安全威脅的認識出現偏差。
在威脅評估過程中，首先就要對組織需要保護的每一項關鍵資產進行威脅識別。在威脅識別過程中，應根據資產所處的環境條件和資產以前遭受威脅損害的情況來判斷。一項資產可能面臨着多個威脅，同樣一個威脅可能對不同的資產造成影響。

脆弱性識別

脆弱性評估

也稱為弱點評估，是安全風險評估中重要的內容。弱點是資產本身存在的，它可以被威脅利用、引起資產或商業目標的損害。
弱點包括物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。
值得注意的是，弱點雖然是資產本身固有的，但它本身不會造成損失，它只是一種條件或環境、可能導致被威脅利用而造成資產損失。所以如果沒有相應的威脅發生，單純的弱點並不會對資產造成損害。那些沒有安全威脅的弱點可以不需要實施安全保護措施，但它們必須記錄下來以確保當環境、條件有所變化時能隨之加以改變。需要注意的是不正確的、起不到應有作用的或沒有正確實施的安全保護措施本身就可能是一個安全薄弱環節。
脆弱性評估所采用的方法主要為：問卷調查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。

脆弱性分類

脆弱性主要從技術和管理兩個方面進行評估，涉及物理層、網絡層、系統層、應用層、管理層等各個層面的安全問題。其中在技術方面主要是通過遠程和本地兩種方式進行系統掃描、對網絡設備和主機等進行人工抽查，以保證技術脆弱性評估的全面性和有效性；管理脆弱性評估方面可以按照BS 7799等標准的安全管理要求對現有的安全管理制度及其執行情況進行檢查，發現其中的管理漏洞和不足。

已有安全措施的確認

機構應對已采取的控制措施進行識別並對控制措施的有效性進行確認，將有效的安全控制措施繼續保持，以避免不必要的工作和費用，防止控制措施的重復實施。對於那些確認為不適當的控制應核查是否應被取消，或者用更合適的控制代替。安全控制可以分為預防性控制措施和保護性控制措施（如業務持續性計划、商業保險等）兩種，預防性控制措施可以降低威脅發生的可能性和減少安全脆弱性，而保護性控制措施可以減少因威脅發生所造成的影響
。

階段三：分析階段

分析被評估信息系統及其關鍵資產在遭受泄密、中斷、損害等破壞時對系統所承載的業務系統所產生的影響，並進行賦值量化。

資產分析

資產估價 的過程也就是對資產保密性、完整性和可用性影響分析的過程。影響就是由人為或突發性引起的安全事件對資產破壞的后果。這一后果可能毀滅某些資產，危及信息系統並使其喪失保密性、完整性和可用性，最終還會導致財政損失、市場份額或公司形象的損失。特別重要的是，即使每一次影響引起的損失並不大，但長期積累的眾多意外事件的影響總和則可造成嚴重損失。一般情況下，影響主要從以下幾方面來考慮：

1、違反了有關法律和規章制度
2、對法律實施造成了負面影響
3、影響了業務的執行

4、違反了社會公共准則
5、危害了公共安全

6、侵犯了商業機密
7、破壞了業務活動
8、造成了經濟損失
9、造成了信譽、盛譽損失

10、侵犯了個人隱私
11、造成了人身傷害

由於資產最終價值的等級評估是依據資產保密性、完整性、可用性的賦值級別，經過綜合評定得出的，評定准則可以根據企業自身的特點，選擇以安全三性中要求最高的一性的賦值級別為綜合資產賦值准則，也可以三性的綜合評定為准則。因此，在進行資產評估時，評估者應首先根據被評估系統的實際情況建立一套資產估價准則，使得整個資產的評估工作有一個統一的標准。
評估者也可以根據被評估系統的實際情況自定義資產的等級。\

威脅賦值

評估確定威脅發生的可能性是威脅評估階段的重要工作，評估者應根據經驗和（或）有關的統計數據來判斷威脅發生的頻率或者發生的概率。其中，威脅發生的可能性受下列因素影響：
（1）資產的吸引力；
（2）資產轉化成報酬的容易程度；
（3）威脅的技術力量；
（4）脆弱性被利用的難易程度。
（1)通過過去的安全事件報告或記錄，統計各種發生過的威脅和其發生頻率；
（2)通過IDS系統獲取的威脅發生數據的統計和分析，各種日志中威脅發生的數據的統計和分析；
（3)國際機構發布的對於整個社會或特定行業安全威脅發生頻率的統計數據均值。\

威脅的種類

1、軟硬件故障
2、物理環境威脅
3、物理攻擊
4、管理不到位

5、操作失誤或無作為
6、越權或濫用
7、泄密
8、篡改
9、抵賴

10、黑客攻擊技術
11、惡意代碼病毒

威脅的評估就是綜合了威脅來源和種類后得到的威脅列表，並對列表中的威脅發生可能性的評估。最終威脅的賦值采用定性的相對等級的方式。威脅的等級划分為五級，從1到5分別代表五個級別的威脅發生可能性。等級數值越大，威脅發生的可能性越大。具體每一級別的威脅可能性定義參見表8。
評估者也可以根據被評估系統的實際情況自定義威脅的等級。

脆弱性賦值

脆弱性評估將針對每一項需要保護的信息資產，找出每一種威脅可能利用的脆弱性，並對脆弱性的嚴重程度進行評估，換句話說，就是對脆弱性被威脅利用的可能性進行評估。最終脆弱性的賦值采用定性的相對等級的方式。脆弱性的等級建議划分為五級，從1到5分別代表五個級別的某種資產脆弱程度。等級越大，脆弱程度越高。

綜合風險分析。

風險的計算

（1）對資產的重要性進行識別；
（2) 對資產的脆弱性進行識別；
（3) 針對每一個弱點，識別可能利用此弱點造成安全事件的威脅；
（4) 分析威脅利用資產脆弱性發生安全事件的可能性；即：
安全事件發生的可能性=L(威脅，資產脆弱性)
（5) 根據資產的重要程度以及安全事件發生的可能性計算風險值，即：
風險值=R(資產重要程度，安全事件發生的可能性)\

風險等級的划分

確定風險數值的大小不是組織風險評估的最終目的，重要的是明確不同威脅對資產所產生的風險的相對值，即要確定不同風險的優先次序或等級，對於風險級別高的資產應被優先分配資源進行保護。
風險等級建議從1到5划分為五級。等級越大，風險越高。評估者也可以根據被評估系統的實際情況自定義風險的等級。
機構可以采用按照風險數值排序的方法，也可以采用區間划分的方法將風險划分為不同的優先等級，這包括將可接受風險與不可接受風險的划分，接受與不可接受的界限應當考慮風險控制成本與風險（機會損失成本）的平衡。風險的等級應得到組織管理層的評審並批准\

階段四：規划和驗收階段

控制措施的選擇

機構在對風險等級進行划分后，應考慮法律法規（包括客戶及相關方）的要求、機構自身的發展要求、風險評估的結果確定安全水平，對不可接受的風險選擇適當的處理方式及控制措施，並形成風險處理計划。風險處理的方式包括：回避風險，降低風險（降低發生的可能性或減小后果），轉移風險，接受風險。控制措施的選擇應兼顧管理與技術，具體針對各類風險應根據組織的實際情況考慮以下十個方面的控制：

• [x] 物理與環境安全
• [x] 組織安全
• [x] 人員安全、
• [x] 安全方針
• [x] 訪問控制
• [x] 資產的分類與控制、
• [x] 通訊與運作管理、
• [x] 業務持續性管理
• [x] 系統的開發與維護、
• [x] 符合性。

在風險處理方式及控制措施的選擇上，機構應考慮發展戰略、企業文化、人員素質，並特別關注成本與風險的平衡，以處理安全風險以滿足法律法規及相關方的要求，管理性與技術性的措施均可以降低風險。

殘余風險的評價

對於不可接受范圍內的風險，應在選擇了適當的控制措施后，對殘余風險進行評價，判定風險是否已經降低到可接受的水平，為風險管理提供輸入。殘余風險的評價可以依據組織風險評估的准則進行，考慮選擇的控制措施和已有的控制措施對於威脅發生的可能性的降低。某些風險可能在選擇了適當的控制措施后仍處於不可接受的風險范圍內，應通過管理層依據風險接受的原則，考慮是否接受此類風險或增加控制措施。為確保所選擇控制措施的有效性，必要時可進行再評估，以判斷實施控制措施后的殘余風險是否是可被接受的。

驗收

客戶達成安全成果共識，項目驗收

工作具體事宜

• 1.信息收集：向客戶了解每個系統運行所需要的服務器（包括評估范圍內的所有應用服務器、數據庫服務器、備份服務器等）、網絡設備（包括評估范圍內的所有路由器、交換機、防火牆等設備）、人員和管理的名稱、型號、運行的操作系統、數據庫版本型號、中間件類型、網絡ip及其他說明信息，並將其匯總到《資產統計列表》中。

• 2.基線核查：根據 《資產統計列表》中每個系統收集到的信息，核查其物理環境、主機系統、中間件、數據庫和網絡設備（包括評估范圍內的所有路由器、交換機、防火牆等設備）並做相應記錄。

• 3.主機漏掃：使用nessus工具對每個系統中的主機進行端口、進階掃描並記錄重大高危風險項。

• 4.網站滲透：使用 appscan工具對系統運行的網站進行漏洞掃描，發現風險之后對其進行手工驗證，若風險真實存在，則記錄其驗證過程。

• 5.風險評估匯總：對每個系統的硬件（主機、物理、網絡）、軟件（中間件、數據庫）、人員、數據、應用、管理和滲透中發現的脆弱性進行威脅分類，並計算其風險值與風險等級。

• 6.風險評估報告：對於系統的評估范圍、物理環境、網絡結構、業務系統和管理現狀進行准確的描述。根據《資產統計列表》和《風險評估匯總表》對資產（硬件、軟件、人員、數據和管理）、脆弱性、威脅進行賦值、識別與分析。對系統已有的安全有效措施描述並記錄。

• 7.風險處置建議：對風險評估報告中發現的脆弱性給出相應的處置建議並做處置計划。

• 8.任務交付：編輯風險評估項目的驗收會議ppt，與客戶方完成項目的驗收工作。