DB32T-1439信息安全風(fēng)險評估實(shí)施規(guī)范

1、江蘇省質(zhì)量技術(shù)監(jiān)督局 發(fā)布2009-10-26實(shí)施2009-08-26發(fā)布信息安全風(fēng)險評估實(shí)施規(guī)范Implementation specification of risk assessmentfor information securityDB32/T14392009DB32江蘇省地方標(biāo)準(zhǔn)L 70備案號：27548-2010目 次 TOC o 1-4 h z u HYPERLINK l _Toc238389446 前 言引 HYPERLINK l _Toc238389447 言 HYPERLINK l _Toc238389448 1 范圍 PAGEREF _Toc238389448 h 1 H

2、YPERLINK l _Toc238389449 2 規(guī)范性引用文件 PAGEREF _Toc238389449 h 1 HYPERLINK l _Toc238389450 3 術(shù)語和定義 PAGEREF _Toc238389450 h 1 HYPERLINK l _Toc238389451 4 風(fēng)險評估實(shí)施 PAGEREF _Toc238389451 h 1 HYPERLINK l _Toc238389452 風(fēng)險評估準(zhǔn)備 PAGEREF _Toc238389452 h 1 HYPERLINK l _Toc238389453 評估目的 PAGEREF _Toc238389453 h 1 HY

3、PERLINK l _Toc238389454 確定評估范圍 PAGEREF _Toc238389454 h 1 HYPERLINK l _Toc238389456 建立評估團(tuán)隊(duì) PAGEREF _Toc238389456 h 1 HYPERLINK l _Toc238389457 前期系統(tǒng)調(diào)研 PAGEREF _Toc238389457 h 1 HYPERLINK l _Toc238389458 確定評估依據(jù) PAGEREF _Toc238389458 h 1 HYPERLINK l _Toc238389459 制定評估方案 PAGEREF _Toc238389459 h 1 HYPERLI

4、NK l _Toc238389461 資產(chǎn)識別 PAGEREF _Toc238389461 h 1 HYPERLINK l _Toc238389462 資產(chǎn)識別內(nèi)容 PAGEREF _Toc238389462 h 2 HYPERLINK l _Toc238389463 資產(chǎn)賦值 PAGEREF _Toc238389463 h 2 HYPERLINK l _Toc238389464 威脅識別 PAGEREF _Toc238389464 h 2 HYPERLINK l _Toc238389465 威脅識別內(nèi)容 PAGEREF _Toc238389465 h 2 HYPERLINK l _Toc23

5、8389466 威脅賦值 PAGEREF _Toc238389466 h 2 HYPERLINK l _Toc238389467 脆弱性識別 PAGEREF _Toc238389467 h 2 HYPERLINK l _Toc238389468 脆弱性識別內(nèi)容 PAGEREF _Toc238389468 h 2 HYPERLINK l _Toc238389469 脆弱性識別方式 PAGEREF _Toc238389469 h 8 HYPERLINK l _Toc238389470 脆弱性賦值 PAGEREF _Toc238389470 h 8 HYPERLINK l _Toc238389471

6、 已有安全措施確認(rèn) PAGEREF _Toc238389471 h 8 HYPERLINK l _Toc238389472 風(fēng)險分析 PAGEREF _Toc238389472 h 8 HYPERLINK l _Toc238389473 風(fēng)險評估文檔記錄 PAGEREF _Toc238389473 h 8 HYPERLINK l _Toc238389474 附錄A（規(guī)范性性附錄）信息安全風(fēng)險評估報告 PAGEREF _Toc238389474 h 10前 言信息安全風(fēng)險評估是信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，是信息安全等級保護(hù)制度建設(shè)的重要科學(xué)方法之一。本規(guī)范20002002標(biāo)準(zhǔn)化工作導(dǎo)

7、則 第2部分：標(biāo)準(zhǔn)中規(guī)范性技術(shù)要素內(nèi)容的確定方法編寫。本規(guī)范附錄A為規(guī)范性附錄。本規(guī)范由江蘇省信息產(chǎn)業(yè)廳提出。本規(guī)范起草單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院（江蘇省信息安全測評中心）。本規(guī)范起草人：吳蘭、張影秋、黃申、薛鳳鳴。本規(guī)范由江蘇省經(jīng)濟(jì)和信息化委員會歸口。引 言脆弱性的識別是風(fēng)險評估最重要的環(huán)節(jié)，對脆弱性識別的強(qiáng)度、粒度及深度將直接關(guān)系到風(fēng)險評估的準(zhǔn)確性、有效性。GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范中對脆弱性的識別只是給出了一個識別內(nèi)容的框架參考，對具體的識別內(nèi)容未做詳細(xì)的規(guī)定。此規(guī)范是對GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范

8、的細(xì)化和補(bǔ)充，本規(guī)范“資產(chǎn)識別”“威脅識別”“風(fēng)險分析”執(zhí)行的標(biāo)準(zhǔn)是GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范。本規(guī)范條款中所指的“風(fēng)險評估”，其含義均為“信息安全風(fēng)險評估”。信息安全風(fēng)險評估實(shí)施技術(shù)規(guī)范范圍本規(guī)范規(guī)定了信息安全風(fēng)險評估實(shí)施技術(shù)規(guī)范的術(shù)語和定義、風(fēng)險評估實(shí)施。本規(guī)范適用于信息安全風(fēng)險評估實(shí)施技術(shù)規(guī)范，與GB/T20984-2007配合使用。規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。

9、凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T 209842007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范術(shù)語和定義GB/T209842007確立的術(shù)語和定義適用于本標(biāo)準(zhǔn)。風(fēng)險評估實(shí)施風(fēng)險評估準(zhǔn)備評估目的按GB/T209842007中的規(guī)定執(zhí)行。確定評估范圍.1 在符合GB/T 20984-2007中的基礎(chǔ)上,應(yīng)包含但不限于信息系統(tǒng)、組織和人員、安全管理與操作實(shí)踐及地理范圍四個方面。.2 應(yīng)至少識別信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及已有安全措施等要素。.3 確定與信息系統(tǒng)相關(guān)的組織人員以及相互關(guān)系。.4 確定對信息系統(tǒng)的安全管理與操作實(shí)踐。.5 確定涉及信息系統(tǒng)評估的場所。4.1.3建立評

10、估團(tuán)隊(duì)按GB/T 209842007中的規(guī)定執(zhí)行。4.1.4前期系統(tǒng)調(diào)研按GB/T 209842007中的規(guī)定執(zhí)行。4.1.5確定評估依據(jù)按GB/T 209842007中的規(guī)定執(zhí)行。4.1.6制定評估方案.1 按GB/T 209842007中5.1.7制定評估方案。.2 將風(fēng)險評估實(shí)施方案提交給最高管理者，對涉及評估的組織和人員進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估活動中的任務(wù)。資產(chǎn)識別資產(chǎn)識別內(nèi)容按GB/T 209842007中的規(guī)定進(jìn)行分類，填寫資產(chǎn)清單（見表A.1）。識別內(nèi)容至少包括：物理資產(chǎn)和地點(diǎn)；網(wǎng)絡(luò)和邏輯連接；軟件（操作系統(tǒng)和應(yīng)用軟件等）；通過網(wǎng)絡(luò)傳送的數(shù)據(jù)流等。4.2.2資產(chǎn)賦值按G

11、B/T 209842007中的規(guī)定執(zhí)行。對風(fēng)險評估的重要資產(chǎn)進(jìn)行賦值，填寫資產(chǎn)賦值表（見表A.2）。威脅識別4.3.1威脅識別內(nèi)容按GB/T 209842007中的規(guī)定執(zhí)行。對威脅進(jìn)行識別，填寫威脅列表（見表A.3）。4.3.2威脅賦值按GB/T 209842007中的規(guī)定執(zhí)行。在威脅識別的基礎(chǔ)上，對每個關(guān)鍵資產(chǎn)或關(guān)鍵資產(chǎn)類別構(gòu)建威脅場景圖，排除不可能的“資產(chǎn)威脅”對，填寫威脅賦值表（見表A.4）。脆弱性識別脆弱性識別內(nèi)容脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行，技術(shù)脆弱性涉及物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)及備份恢復(fù)方面；管理脆弱性涉及技術(shù)管理和組織管理方面。物理環(huán)境物理位置的選擇

12、機(jī)房和辦公場地的選擇。物理訪問控制機(jī)房出入口的控制；進(jìn)入機(jī)房的來訪人員的控制；對機(jī)房區(qū)域的其他管理。防盜竊和防破壞主要設(shè)備的放置地點(diǎn)；設(shè)備的固定及標(biāo)記；線纜的鋪設(shè)；介質(zhì)分類標(biāo)識；設(shè)備或存儲介質(zhì)帶出工作場所時的控制措施；機(jī)房的監(jiān)控、防盜報警系統(tǒng)。接地與防雷機(jī)房建筑避雷裝置的設(shè)置；防雷保安器（單元）的設(shè)置；機(jī)房交流電源地線的設(shè)置；線路防雷的設(shè)置。防火機(jī)房火災(zāi)消防系統(tǒng)的設(shè)置；機(jī)房及相關(guān)的工作房間和輔助房采用的建筑材料；機(jī)房采取的防火措施；防火設(shè)備的有效期。防水和防潮水管安裝及保護(hù)措施；防雨措施；防水的檢測和報警；防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透措施。防靜電機(jī)房及主要設(shè)備采用的防靜電措施。溫

13、濕度控制機(jī)房溫、濕度控制措施。供配電計算機(jī)系統(tǒng)供電與其他供電的關(guān)系；機(jī)房供電穩(wěn)壓和過壓防護(hù)設(shè)備的配置；機(jī)房備用電力供應(yīng)；主要設(shè)備在斷電情況下的電力供應(yīng)。電磁防護(hù)對外界電磁干擾和設(shè)備寄生耦合干擾的防護(hù)；對電源線和通信線纜干擾的防護(hù)；對關(guān)鍵設(shè)備和磁介質(zhì)電磁防護(hù)；機(jī)房的電磁屏蔽。通信線纜的保護(hù)對光纜、電纜、網(wǎng)絡(luò)線纜的保護(hù)、維護(hù)措施。網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)拓?fù)湓O(shè)計的安全性；網(wǎng)絡(luò)地址的劃分的合理性、可擴(kuò)展性、規(guī)范性；網(wǎng)絡(luò)邊界連接的安全性。網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)邊界部署的訪問控制設(shè)備的控制功能；數(shù)據(jù)流的允許/拒絕訪問的能力，控制粒度；對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容的過濾，對應(yīng)用層協(xié)議命令級的控制；在會話處于非活躍一定時

14、間或會話結(jié)束后的網(wǎng)絡(luò)連接控制；網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的限制；對重要網(wǎng)段防止地址欺騙的技術(shù)手段；允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問的控制粒度；具有撥號訪問權(quán)限的用戶數(shù)量的限制。網(wǎng)絡(luò)安全審計對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為的審計情況；安全審計記錄的生成、分析、保護(hù)。邊界完整性檢查對非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)行為的檢查；對內(nèi)部網(wǎng)絡(luò)用戶非授權(quán)接入外部網(wǎng)絡(luò)行為的檢查。網(wǎng)絡(luò)入侵防范對網(wǎng)絡(luò)攻擊行為的監(jiān)視；對網(wǎng)絡(luò)攻擊行為的響應(yīng)；網(wǎng)絡(luò)入侵檢測設(shè)備的配置與更新。惡意代碼防范在網(wǎng)絡(luò)邊界處對惡意代碼的防范；惡意代碼庫的升級和檢測系統(tǒng)的更新。網(wǎng)絡(luò)設(shè)備管理對登錄網(wǎng)絡(luò)設(shè)備的用戶身份鑒別機(jī)制；系統(tǒng)漏洞的彌

15、補(bǔ)情況和補(bǔ)丁的安裝情況；配置文件的備份情況；訪問控制表的配置情況；管理員口令設(shè)置和管理情況以及口令文件所采取的存儲形式。主機(jī)系統(tǒng)身份鑒別操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄用戶身份標(biāo)識；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)登錄用戶鑒別機(jī)制；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶口令策略；登錄失敗處理功能；鑒別警示功能。訪問控制操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的訪問控制策略；對重要信息資源的強(qiáng)制訪問控制。安全審計對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中的重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件的審計情況；安全審計記錄的生成、分析、保護(hù)。歷史及臨時信息保護(hù)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶鑒別等歷史及臨時信息的保護(hù)；系統(tǒng)內(nèi)的文件、目錄

16、和數(shù)據(jù)庫記錄等歷史及臨時信息資源的保護(hù)。入侵防范對重要服務(wù)器入侵行為的檢測；對重要程序的完整性檢測；注冊表類控制檢測。惡意代碼防范防惡意代碼軟件安裝，以及防惡意代碼軟件版本和惡意代碼庫的更新；防惡意代碼軟件的管理。資源控制終端登錄的限制；登錄終端的操作超時的控制；對重要服務(wù)器的監(jiān)視；對單個用戶對系統(tǒng)資源的最大或最小使用限度的限制；對系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行的檢測和報警。應(yīng)用系統(tǒng)身份鑒別應(yīng)用系統(tǒng)登錄用戶身份標(biāo)識；應(yīng)用系統(tǒng)登錄用戶鑒別機(jī)制；應(yīng)用系統(tǒng)管理用戶口令策略；登錄失敗處理功能；鑒別警示功能。訪問控制用戶對文件、數(shù)據(jù)庫表等客體的訪問控制；訪問控制的覆蓋范圍；訪問控制策略配置的控

17、制；默認(rèn)帳戶的訪問權(quán)限限制；不同帳戶所需最小權(quán)限及相互制約關(guān)系的控制；對重要信息資源敏感標(biāo)記的設(shè)置；有敏感標(biāo)記重要信息資源操作的控制。安全審計應(yīng)用系統(tǒng)重要安全事件的審計情況；安全審計記錄的生成、分析、保護(hù)。歷史及臨時信息保護(hù)應(yīng)用系統(tǒng)用戶鑒別等歷史及臨時信息的保護(hù)；應(yīng)用系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源的保護(hù)。通信完整性通信過程中數(shù)據(jù)的完整性。通信保密性通信過程中數(shù)據(jù)的保密性。抗抵賴數(shù)據(jù)原發(fā)抗抵賴；數(shù)據(jù)接受抗抵賴。軟件容錯數(shù)據(jù)有效性檢驗(yàn)；軟件自動保護(hù)功能。資源控制系統(tǒng)的最大并發(fā)會話連接數(shù)的限制；單個帳戶的多重并發(fā)會話的限制；對一個時間段內(nèi)可能的并發(fā)會話連接數(shù)的限制；對一個訪問帳戶或一個請求進(jìn)程

18、占用的資源分配最大限額和最小限額的限制；系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行的檢測和報警；分配系統(tǒng)資源的優(yōu)先級設(shè)定功能。.4.10 系統(tǒng)配置系統(tǒng)端口配置；系統(tǒng)服務(wù)和協(xié)議配置；系統(tǒng)漏洞檢測；數(shù)據(jù)及備份恢復(fù)數(shù)據(jù)完整性系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性；系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性。數(shù)據(jù)保密性系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。備份和恢復(fù)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的備份機(jī)制；操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的恢復(fù)功能；技術(shù)管理物理和環(huán)境安全安全區(qū)域；設(shè)備安全；一般控制。

19、通信與操作管理操作規(guī)程和職責(zé)；系統(tǒng)規(guī)劃和驗(yàn)收；防范惡意軟件；內(nèi)務(wù)管理；網(wǎng)絡(luò)管理；存儲介質(zhì)處置和安全；信息和軟件的交換。訪問控制訪問控制的業(yè)務(wù)要求； 用戶訪問管理； 用戶職責(zé)； 網(wǎng)絡(luò)訪問控制； 操作系統(tǒng)訪問控制； 應(yīng)用訪問控制； 對系統(tǒng)訪問和使用的監(jiān)督； 移動設(shè)備和遠(yuǎn)程工作。系統(tǒng)開發(fā)與維護(hù)系統(tǒng)的安全要求；應(yīng)用系統(tǒng)的安全；密碼控制；系統(tǒng)文件的安全；開發(fā)和支持過程的安全；業(yè)務(wù)連續(xù)性管理。組織管理安全策略信息安全策略。組織安全信息安全基礎(chǔ)架構(gòu)；第三方訪問的安全性；外包。資產(chǎn)可核查性資產(chǎn)分類與控制。人員安全崗位設(shè)定和人力資源的安全；用戶培訓(xùn)。符合性符合法律要求；安全策略和技術(shù)符合性的評審；系統(tǒng)審核考慮。

20、脆弱性識別方式.1問卷調(diào)查通過調(diào)查問卷來進(jìn)行脆弱性識別和分析。.2工具檢測使用漏洞檢測工具(或定制的腳本)檢測脆弱性。.3 人工核查通過設(shè)備、系統(tǒng)或應(yīng)用的檢查列表，對脆弱性進(jìn)行人工檢查。.4 文檔查閱通過查閱系統(tǒng)的相關(guān)文檔來進(jìn)行脆弱性識別和分析。.5 滲透性測試在確保被檢測系統(tǒng)安全穩(wěn)定運(yùn)行的前提下，對目標(biāo)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用的安全性進(jìn)行深入的探測，發(fā)現(xiàn)系統(tǒng)脆弱環(huán)節(jié)，并進(jìn)行一定程度的驗(yàn)證。滲透測試分為現(xiàn)場滲透性測試和遠(yuǎn)程滲透性測試。脆弱性賦值按GB/T 209842007中5.4.2的規(guī)定執(zhí)行，在對脆弱性進(jìn)行識別的基礎(chǔ)上，對脆弱性進(jìn)行賦值，填寫脆弱性賦值表（見表A.5）。已有安全措施確認(rèn)按GB/T

21、20984200的規(guī)定執(zhí)行，對已有安全措施進(jìn)行識別，填寫已有安全措施列表（見表A.6）。風(fēng)險分析按GB/T 209842007中的規(guī)定執(zhí)行。風(fēng)險評估文檔記錄風(fēng)險評估的相關(guān)文檔應(yīng)在發(fā)布前得到批準(zhǔn)，其更改和現(xiàn)行修訂狀態(tài)是可識別的，防止作廢文檔的使用。風(fēng)險評估文檔至少應(yīng)包括以下部分：風(fēng)險評估報告（格式見附錄A）；風(fēng)險控制建議；評估過程文檔。附 錄A（標(biāo)準(zhǔn)性附錄）信息安全風(fēng)險評估報告格式信息安全風(fēng)險評估報告報告編號：評估系統(tǒng)名稱： 系統(tǒng)建設(shè)單位： 風(fēng)險評估機(jī)構(gòu)年 月 日聲 明評估報告無授權(quán)簽字人批準(zhǔn)簽字無效。評估報告涂改或部分復(fù)印無效。對本報告如有異議，請于收到報告之日起十五日內(nèi)向風(fēng)險評估機(jī)構(gòu)提出。單

22、位名稱：風(fēng)險評估機(jī)構(gòu)單位地址：電 話：傳 真：郵 編：郵 件：評 估 報 告評估系統(tǒng)名稱系統(tǒng)建設(shè)單位建設(shè)單位地址評估委托單位評估日期評估地點(diǎn)評估依據(jù)評估所依據(jù)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；系統(tǒng)安全保護(hù)等級要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實(shí)時性或性能要求等。評估說明描述系統(tǒng)的建設(shè)情況，是否為涉密系統(tǒng)，何時運(yùn)行，評估形式等情況。評估結(jié)論描述系統(tǒng)評估后所得出的安全狀況，所存在的安全風(fēng)險情況。編 制年 月 日 審 核年 月 日 批 準(zhǔn)年 月 日 備 注信息安全風(fēng)險匯總表序號信息安全風(fēng)險描述及分析風(fēng)險等級風(fēng)險等級劃分說明。風(fēng)險控制建議匯總表序號風(fēng)險控制建議內(nèi)

23、容1評估概述描述本次風(fēng)險評估的項(xiàng)目背景、項(xiàng)目目標(biāo)。描述本次風(fēng)險評估的范圍（包括信息系統(tǒng)范圍、組織結(jié)構(gòu)和人員范圍、安全管理和操作的范圍、地理范圍等）。描述本次風(fēng)險評估工作的組織結(jié)構(gòu)（含評估人員構(gòu)成）、工作原則和采取的保密措施。2評估方法和過程評估依據(jù)評估所依據(jù)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度；系統(tǒng)安全保護(hù)等級要求；系統(tǒng)互聯(lián)單位的安全要求；系統(tǒng)本身的實(shí)時性或性能要求等。評估流程及方法描述本次風(fēng)險評估的實(shí)施流程、工作方法及階段工作內(nèi)容。明確所使用的脆弱性掃描工具及其他所使用的工具。3系統(tǒng)概況系統(tǒng)描述描述系統(tǒng)的構(gòu)成情況、網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境、系統(tǒng)邊界、主要功能等，提供網(wǎng)

24、絡(luò)拓?fù)鋱D。業(yè)務(wù)功能描述系統(tǒng)所提供的業(yè)務(wù)功能。安全等級保護(hù)定級情況描述系統(tǒng)的安全等級保護(hù)定級情況。4 資產(chǎn)識別資產(chǎn)分類識別根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。填寫表1資產(chǎn)清單。表A.1資產(chǎn)清單序號名稱型號數(shù)量應(yīng)用描述其他重要資產(chǎn)賦值描述資產(chǎn)根據(jù)保密性、完整性、可用性進(jìn)行賦值的評價尺度，以及依據(jù)此三性進(jìn)行重要性評定的規(guī)則。在資產(chǎn)識別的基礎(chǔ)上，列出本次風(fēng)險評估的重要資產(chǎn)，填寫表2資產(chǎn)賦值表。表A.2資產(chǎn)賦值表序號名稱型號應(yīng)用描述保密性賦值完整性賦值可用性賦值重要性賦值5威脅識別威脅分類識別對威脅來源（環(huán)境、人為）、威脅的種類方式進(jìn)行分類識別，填寫表3威脅列表。表A.3威脅列表序號威脅種類威脅方式描述威脅賦值對威脅發(fā)生的頻率進(jìn)行分析，描述威脅的賦值規(guī)則，對威脅賦值，填寫表4威脅賦值表。表A.4威脅賦值表威脅種類資產(chǎn)名稱6脆弱性識別按照識別對象、識別結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測結(jié)果、嚴(yán)重程度。脆弱性分析物