作為公司信息安全咨詢崗上的小師妹兒，我對自己以后的安全路非常焦灼，到底該往哪個(gè)方向去發(fā)展?

上了快半年的班，每天都會(huì)瀏覽相關(guān)的專業(yè)文檔，還要學(xué)習(xí)NIST的出版物，對等保、ISO 27001這些標(biāo)準(zhǔn)都要了解，這不，最近有空就在研究信安標(biāo)委出的國家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)了?？戳艘幌逻@些標(biāo)準(zhǔn)清單，現(xiàn)在正式發(fā)布的國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)粗略看了一下，共有268項(xiàng)，再搜索出一些自己感興趣的標(biāo)準(zhǔn)來看，突然發(fā)現(xiàn)，信息安全標(biāo)準(zhǔn)化這條路貌似還不錯(cuò)，為了鞭勵(lì)自己，決定有時(shí)間就把自己看過的安全標(biāo)準(zhǔn)提煉出來分享給大家。并希望各位能夠指點(diǎn)一二。

今天想和大家交流的是《GB/T 31509 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》。

該標(biāo)準(zhǔn)主要用來指導(dǎo)風(fēng)險(xiǎn)評估項(xiàng)目的組織、實(shí)施、驗(yàn)收等工作。并且規(guī)定了信息安全風(fēng)險(xiǎn)評估實(shí)施的過程和方法。

一、該標(biāo)準(zhǔn)的框架結(jié)構(gòu)如下

二、風(fēng)險(xiǎn)評估的基本原則

(一)、標(biāo)準(zhǔn)性原則

意思是要按照本標(biāo)準(zhǔn)中規(guī)定的評估流程來實(shí)施風(fēng)險(xiǎn)評估。

(二)、關(guān)鍵業(yè)務(wù)原則

意思是要把被評估方的關(guān)鍵業(yè)務(wù)作為評估核心，圍繞這個(gè)核心的相關(guān)網(wǎng)絡(luò)與系統(tǒng)作為評估重點(diǎn)。

(三)、可控性原則

a)服務(wù)可控性(就是要提前和客戶溝通好評估服務(wù)的流程)

b)人員與信息可控性(就是說參與風(fēng)險(xiǎn)評估項(xiàng)目的所有人都要簽個(gè)保密協(xié)議)

c)過程可控性(這點(diǎn)呢就是要求要成立一個(gè)實(shí)施團(tuán)隊(duì)，項(xiàng)目組長負(fù)責(zé)制)

d)工具可控性(把實(shí)施過程中要使用的評估工具告訴客戶，提前通氣兒)

(四)、最小影響原則

在實(shí)施風(fēng)險(xiǎn)評估時(shí)一定要盡可能地減小評估工作帶來的影響。

三、風(fēng)險(xiǎn)評估的流程

1. 評估準(zhǔn)備階段：對評估實(shí)施有效性的保證，是評估工作的開始。

2. 風(fēng)險(xiǎn)要素識(shí)別階段：對評估活動(dòng)中的各類關(guān)鍵要素資產(chǎn)、威脅、脆弱性、安全措施進(jìn)行識(shí)別與賦值。

3. 風(fēng)險(xiǎn)分析階段：對識(shí)別階段中獲得的各類信息進(jìn)行關(guān)聯(lián)分析，并計(jì)算風(fēng)險(xiǎn)值。

4. 風(fēng)險(xiǎn)處置建議：針對評估出的風(fēng)險(xiǎn)，提出相應(yīng)的處置建議，以及按照處置建議實(shí)施安全加固后進(jìn)行殘余風(fēng)險(xiǎn)處置等內(nèi)容。

四、風(fēng)險(xiǎn)評估的工作形式

兩種形式：自評估與檢查評估。自評估就是組織自身對信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估，也可以委托第三方服務(wù)機(jī)構(gòu)來實(shí)施;檢查評估是信息系統(tǒng)上級管理部門或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估，一般來說，這種形式的評估采用的是抽樣評估，同樣也可以委托第三方服務(wù)機(jī)構(gòu)來實(shí)施(在選擇第三方單位時(shí)，應(yīng)審查評估單位、評估人員的資質(zhì)和資格)。

五、信息系統(tǒng)生命周期內(nèi)的風(fēng)險(xiǎn)評估

信息系統(tǒng)生命周期一般包括以下五個(gè)階段：

根據(jù)各個(gè)階段的評估對象以及安全需求的不同，風(fēng)險(xiǎn)評估的目的也各不相同。

1. 規(guī)劃階段：識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，支撐系統(tǒng)安全需求及安全戰(zhàn)略。

2. 設(shè)計(jì)階段：評估安全設(shè)計(jì)方案是否滿足信息系統(tǒng)安全功能的需求。

3. 實(shí)施階段：對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，對建成后的系統(tǒng)安全功能進(jìn)行驗(yàn)證。

4. 運(yùn)維階段：了解和控制系統(tǒng)運(yùn)行過程中的安全風(fēng)險(xiǎn)。

5. 廢棄階段：分析廢棄資產(chǎn)對組織的影響。

六、風(fēng)險(xiǎn)評估的實(shí)施

在第三節(jié)我們已經(jīng)講過了風(fēng)險(xiǎn)評估的基本流程，這里主要是風(fēng)險(xiǎn)評估的具體實(shí)施。

(一)準(zhǔn)備階段

1.工作內(nèi)容

這是評估工作的開始，分八步來完成準(zhǔn)備工作

這幾步都很好理解，其中需要注意的有以下幾點(diǎn)

首先、確定評估范圍時(shí)，需合理定義評估對象和評估范圍邊界，一般劃分原則為：

a) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界;

b) 網(wǎng)絡(luò)及設(shè)備載體邊界;

c) 物理環(huán)境邊界;

d) 組織管理權(quán)限邊界;

第二、風(fēng)險(xiǎn)評估團(tuán)隊(duì)由被評估單位、評估機(jī)構(gòu)共同組建風(fēng)險(xiǎn)評估小組，由被評估單位領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人，以及評估機(jī)構(gòu)相關(guān)人員成立風(fēng)險(xiǎn)評估領(lǐng)導(dǎo)小組;聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。風(fēng)險(xiǎn)評估小組應(yīng)完成評估前的表格、文檔、檢測工具等各項(xiàng)準(zhǔn)備工作;進(jìn)行風(fēng)險(xiǎn)評估技術(shù)培訓(xùn)和保密教育;制定風(fēng)險(xiǎn)評估過程管理相關(guān)規(guī)定;編制應(yīng)急預(yù)案等，同時(shí)雙方應(yīng)簽署保密協(xié)議，適情簽署個(gè)人保密協(xié)議。

第三、信息系統(tǒng)調(diào)研的內(nèi)容包括：

a) 信息系統(tǒng)安全保護(hù)等級;

b) 主要的業(yè)務(wù)功能和要求;

c) 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接;

d) 系統(tǒng)邊界，包括業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)及設(shè)備載體邊界、物理環(huán)境邊界、組織管理權(quán)限邊界等;

e) 主要的硬件、軟件;

f) 數(shù)據(jù)和信息;

g) 系統(tǒng)和數(shù)據(jù)的敏感性;

h) 支持和使用系統(tǒng)的人員;

i) 信息安全管理組織建設(shè)和人員配備情況;

j) 信息安全管理制度;

k) 法律法規(guī)及服務(wù)合同;

第四、評估依據(jù)包括：

a) 適用的法律、法規(guī);

b) 現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn);

c) 行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度;

d) 與信息系統(tǒng)安全保護(hù)等級相應(yīng)的基本要求;

e) 被評估組織的安全要求;

f) 系統(tǒng)自身的實(shí)時(shí)性或性能要求等。

第五、合理選擇相應(yīng)的評估工具，遵循如下原則：

a) 對于系統(tǒng)脆弱性評估工具，應(yīng)具備全面的已知系統(tǒng)脆弱性核查與檢測能力;

b) 評估工具的檢測規(guī)則庫應(yīng)具備更新功能，能夠及時(shí)更新;

c) 評估工具使用的檢測策略和檢測方式不應(yīng)對信息系統(tǒng)造成不正常影響;

d) 可采用多種評估工具對同一測試對象進(jìn)行檢測，如果出現(xiàn)檢測結(jié)果不一致的情況，應(yīng)進(jìn)一步采用必要的人工檢測和關(guān)聯(lián)分析，并給出與實(shí)際情況最為相符的結(jié)果判定;

第六、風(fēng)險(xiǎn)評估方案的內(nèi)容應(yīng)包括：

a) 風(fēng)險(xiǎn)評估工作框架：包括評估目標(biāo)、評估范圍、評估依據(jù)等;

b) 評估團(tuán)隊(duì)組織：包括評估小組成員、組織結(jié)構(gòu)、角色、責(zé)任;如有必要還應(yīng)包括風(fēng)險(xiǎn)評估領(lǐng)導(dǎo)小組和專家組組建介紹等;

c) 評估工作計(jì)劃：包括各階段工作內(nèi)容、工作形式、工作成果等;

d) 風(fēng)險(xiǎn)規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、應(yīng)急預(yù)案等;

e) 時(shí)間進(jìn)度安排：評估工作實(shí)施的時(shí)間進(jìn)度安排;

2.工作保障

(二)識(shí)別階段

這個(gè)階段差不多是整個(gè)風(fēng)險(xiǎn)評估工作中很重要的一個(gè)階段了，首先還是先畫一個(gè)結(jié)構(gòu)圖來了解一下。

1.資產(chǎn)識(shí)別

風(fēng)險(xiǎn)的重要因素是以資產(chǎn)為中心，威脅、脆弱性以及風(fēng)險(xiǎn)都是針對資產(chǎn)而客觀存在的。

一般識(shí)別流程如下：

(1)資產(chǎn)分類：一般來說，我們把資產(chǎn)分為硬件、軟件、數(shù)據(jù)、服務(wù)、人員以及其他6大類。

(2)資產(chǎn)調(diào)查：識(shí)別組織和信息系統(tǒng)中資產(chǎn)(包括資產(chǎn)屬性)的重要途徑。一般情況下，可通過查閱信息系統(tǒng)需求說明書、可行性的研究報(bào)告、設(shè)計(jì)方案、實(shí)施方案、安裝手冊、用戶使用手冊、測試報(bào)告、運(yùn)行報(bào)告、安全策略文件、安全管理制度文件、操作流程文件、制度落實(shí)的記錄文件、資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)鋱D以及訪談相關(guān)人員等，識(shí)別組織和信息系統(tǒng)的資產(chǎn)。

(3)資產(chǎn)賦值：依據(jù)資產(chǎn)保密性、完整性和可用性等安全屬性為資產(chǎn)賦值。一般來說，根據(jù)以下幾個(gè)因素綜合來為資產(chǎn)資產(chǎn)賦值:

a) 資產(chǎn)所承載信息系統(tǒng)的重要性;

b) 資產(chǎn)所承載信息系統(tǒng)的安全等級;

c) 資產(chǎn)對所承載信息安全正常運(yùn)行的重要程度;

d) 資產(chǎn)保密性、完整性、可用性等安全屬性對信息系統(tǒng)，以及相關(guān)業(yè)務(wù)的重要程度。

(4)資產(chǎn)賦值報(bào)告：根據(jù)資產(chǎn)賦值情況，形成資產(chǎn)列表和資產(chǎn)賦值報(bào)告。

2.威脅識(shí)別

威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。在信息安全領(lǐng)域，不存在絕對的安全。

威脅的一般識(shí)別流程如下：

(1)威脅分類：威脅分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴11類。如果根據(jù)威脅產(chǎn)生的起因、表現(xiàn)和后果不同，威脅又可分為有害程序、網(wǎng)絡(luò)攻擊、信息破壞、信息內(nèi)容攻擊、設(shè)備設(shè)施故障、災(zāi)害性破壞、其他威脅7類。

(2)威脅調(diào)查：調(diào)查工作包括威脅源動(dòng)機(jī)及其能力、威脅途徑、威脅可能性及其影響;威脅調(diào)查的方法是多樣化的，根據(jù)組織和信息系統(tǒng)自身的特點(diǎn)，發(fā)生的歷史安全事件記錄(數(shù)據(jù))，面臨威脅分析等方法進(jìn)行調(diào)查。

(3)威脅分析：基于前面的威脅調(diào)查作出分析。同樣也可對威脅的可能性進(jìn)行賦值，威脅賦值分為很高、高、中等、低、很低5個(gè)級別，級別越高表示威脅發(fā)生的可能性越高。

(4)威脅分析報(bào)告：報(bào)告內(nèi)容包括威脅名稱、威脅類型、威脅源攻擊能力、攻擊動(dòng)機(jī)、威脅發(fā)生概率、影響程度、威脅發(fā)生的可能性、威脅賦值以及嚴(yán)重威脅說明等。

3.脆弱性識(shí)別

脆弱性可從技術(shù)和管理兩個(gè)方面進(jìn)行識(shí)別。

技術(shù)方面，可從物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)等方面識(shí)別資產(chǎn)的脆弱性;管理方面，可從技術(shù)管理脆弱性和組織管理脆弱性兩方面識(shí)別資產(chǎn)的脆弱性，技術(shù)管理脆弱性與具體技術(shù)活動(dòng)相關(guān)，組織管理脆弱性與管理環(huán)境相關(guān)。

脆弱性識(shí)別所采用的方法主要有：文檔查閱、問卷調(diào)查、人工核查、工具檢測、滲透性測試等。

(1)安全技術(shù)脆弱性核查

(2)安全管理脆弱性核查

安全管理核查主要通過查閱文檔、抽樣調(diào)查和詢問等方法，并核查信息安全規(guī)章制度的合理性、完整性、適用性等。

4.工作保障

 

 

 

(三)風(fēng)險(xiǎn)分析階段

1.信息安全風(fēng)險(xiǎn)分析原理：

 

 

2.風(fēng)險(xiǎn)值的計(jì)算方法

風(fēng)險(xiǎn)計(jì)算方法一般分為定性計(jì)算方法和定量計(jì)算方法兩大類。

(1)定性計(jì)算方法：將風(fēng)險(xiǎn)的各要素資產(chǎn)、威脅、脆弱性等的相關(guān)屬性進(jìn)行量化(或等級化)賦值，然后選用具體的計(jì)算方法(如相乘法或矩陣法)進(jìn)行風(fēng)險(xiǎn)計(jì)算;

(2)定量計(jì)算方法：通過將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值的方式來進(jìn)行計(jì)算的一種方法。由于定量計(jì)算法需要等量化財(cái)務(wù)價(jià)值，在實(shí)際操作中往往難以實(shí)現(xiàn)，所以一般不采用該計(jì)算方法。

3.風(fēng)險(xiǎn)分析與評價(jià)

通過對風(fēng)險(xiǎn)的等級劃分，來確定總體的風(fēng)險(xiǎn)狀況。

4.風(fēng)險(xiǎn)評估報(bào)告

報(bào)告內(nèi)容包括：風(fēng)險(xiǎn)對組織、業(yè)務(wù)及系統(tǒng)的影響范圍、影響程度;依據(jù)的法規(guī)和證據(jù);風(fēng)險(xiǎn)評價(jià)結(jié)論。

5.工作保障

 

 

(四)風(fēng)險(xiǎn)處置建議

這個(gè)階段是圍繞風(fēng)險(xiǎn)評估報(bào)告來進(jìn)行的風(fēng)險(xiǎn)處置，還是有5點(diǎn)內(nèi)容。

1.處置原則

將風(fēng)險(xiǎn)控制在可接受范圍內(nèi)，具體處置時(shí)，可依據(jù)等級保護(hù)相關(guān)要求實(shí)施的安全風(fēng)險(xiǎn)加固工作，應(yīng)滿足等級保護(hù)相應(yīng)等級的安全技術(shù)和管理要求;對于因不能夠滿足該等級安全要求產(chǎn)生的風(fēng)險(xiǎn)則不能夠適用適度接受風(fēng)險(xiǎn)的原則。

2.安全整改建議

風(fēng)險(xiǎn)處置方式一般包括接受、消減、轉(zhuǎn)移、規(guī)避等，安全整改屬于風(fēng)險(xiǎn)消減方法。整改建議根據(jù)安全等級有所不同：

a)對于非常嚴(yán)重、需立即降低且加固措施易于實(shí)施的安全風(fēng)險(xiǎn)，建議被評估組織立即采取安全整改措施。

b)對于非常嚴(yán)重、需立即降低，但加固措施不便于實(shí)施的安全風(fēng)險(xiǎn)，建議被評估組織立即制定安全整改實(shí)施方案，盡快實(shí)施安全整改;整改前應(yīng)對相關(guān)安全隱患進(jìn)行嚴(yán)密監(jiān)控，并作好應(yīng)急預(yù)案。

c)對于比較嚴(yán)重、需降低且加固措施不易于實(shí)施的安全風(fēng)險(xiǎn)，建議被評估組織制定限期實(shí)施的整改方案;整改前應(yīng)對相關(guān)安全隱患進(jìn)行監(jiān)控。

3.組織評審會(huì)

評估項(xiàng)目結(jié)束時(shí)召開評審會(huì)，參與人員一般包括：被評估組織、評估機(jī)構(gòu)及專家等。

評估項(xiàng)目驗(yàn)收文檔如下：

4.殘余風(fēng)險(xiǎn)處置

殘余風(fēng)險(xiǎn)處置是對仍然存在的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、控制和管理的活動(dòng)。

5.工作保障