信息安全風(fēng)險管理程序

1、城云科技（杭州）有限公司信息安全風(fēng)險管理程序文檔編號3.1受控狀態(tài)受控版 本 號V2.0作 者鄂鵬羽審 核 人李振華批 準 人夏敏發(fā)布日期2014/12/1批準日期2014/12/1目錄信息安全風(fēng)險管理程序1第一章目 的1第二章范 圍1第三章名詞解釋1第四章風(fēng)險評估方法2第五章風(fēng)險評估實施5第六章風(fēng)險管理要求19第七章附 則20第八章檢查要求20第一章 目 的第一條 目的：指導(dǎo)信息安全組織針對信息系統(tǒng)及其管理開展的信息風(fēng)險評估工作。本指南定義了風(fēng)險評估的基本概念、原理及實施流程；對資產(chǎn)、威脅和脆弱性識別要求進行了詳細描述。第二章 范 圍第二條 范圍：適用于風(fēng)險評估組開展各項信息安全風(fēng)險評估工作

2、。第三章 名詞解釋第三條 資產(chǎn)對組織具有價值的信息或資源，是安全策略保護的對象。第四條 資產(chǎn)價值資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性，也是進行資產(chǎn)識別的主要內(nèi)容。資產(chǎn)價值通過機密性、完整性和可用性三個方面評估計算獲得。（一）機密性（Confidentiality）：確保只有經(jīng)過授權(quán)的人才能訪問信息；（二）完整性（Integrality）：保護信息和信息的處理方法準確而完整；（三）可用性（Availability）：確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn)。第五條 威脅可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。第六條 脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱

3、點。第七條 信息安全風(fēng)險人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。第八條 信息安全評估依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。第九條 殘余風(fēng)險采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險。第四章 風(fēng)險評估方法第十條 風(fēng)險管理模型圖1 風(fēng)險管理模型圖1為風(fēng)險管理的基本模型，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險管理圍繞著資產(chǎn)、威脅、

4、脆弱性和安全措施這些基本要素展開。信息安全風(fēng)險評估在對風(fēng)險管理要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與這些基本要素相關(guān)的各類屬性。圖1中的風(fēng)險管理要素及屬性之間存在著以下關(guān)系： （一）業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越小；（二）資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；（三）風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成為安全事件；（四）資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的弱點越多則風(fēng)險越大；（五）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；（六）風(fēng)險的存在及對風(fēng)險的認識導(dǎo)

5、出安全需求；（七）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；（八）安全措施可抵御威脅，降低風(fēng)險；（九）殘余風(fēng)險有些是安全措施不當或無效,需要加強才可控制的風(fēng)險；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)險；（十）殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。第十一條 風(fēng)險評估模型圖2 風(fēng)險評估原理圖風(fēng)險評估的過程中主要包含信息資產(chǎn)（Information Asset），脆弱性（Vulnerability）、威脅（Threat）、影響（Impact）和風(fēng)險（Risk）五個要素。信息資產(chǎn)的基本屬性是資產(chǎn)價值（Assets Value），脆弱性的基本屬性是被威脅

6、利用的難易程度（How Easily Exploited by Threats）、威脅的基本屬性是威脅的可能性（Threat Likelihood）、影響度的基本屬性是嚴重性（Severity），它們直接影響風(fēng)險的兩個屬性，風(fēng)險的后果（Risk Consequence）和風(fēng)險的可能性（Risk Likelihood）。其中資產(chǎn)價值和影響的嚴重性構(gòu)成風(fēng)險的后果，脆弱性被威脅利用的難易程度和威脅的可能性構(gòu)成風(fēng)險的可能性，風(fēng)險的后果和風(fēng)險的可能性構(gòu)成風(fēng)險。第十二條 風(fēng)險評估方法圖3 風(fēng)險評估方法風(fēng)險評估的主要內(nèi)容為：（一）對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；（二）對威脅進行識別，描述威脅的屬性，

7、并對威脅出現(xiàn)的頻率賦值；（三）對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；（四）根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；（五）根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件的損失；（六）根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響；（七）綜合分析，采用適當?shù)姆绞接嬎泔L(fēng)險值。 第五章 風(fēng)險評估實施第十三條 風(fēng)險評估的準備風(fēng)險評估的準備是整個風(fēng)險評估過程有效性的保證。組織實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險評估實施前應(yīng)：（一）確定風(fēng)險評

8、估的目標；（二）確定風(fēng)險評估的范圍；（三）組建適當?shù)脑u估管理與實施團隊；（四）進行系統(tǒng)調(diào)研；（五）確定評估依據(jù)和方法（即評估列表）；（六）獲得最高管理者對風(fēng)險評估工作的支持。第十四條 資產(chǎn)識別資產(chǎn)識別是對直接賦予了價值因而需要保護的資產(chǎn)進行分類和價值等級賦值。資產(chǎn)分類和賦值方法可根據(jù)ISO27001體系結(jié)合組織自身情況完成，資產(chǎn)價值作為風(fēng)險計算的輸入。第十五條 威脅評估安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意因素和無意因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能是對信息系統(tǒng)直接或間接

9、的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能是偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或數(shù)據(jù)的弱點才可能成功地對資產(chǎn)造成傷害。安全事件及其后果是分析威脅的重要依據(jù)。但是有相當一部分威脅發(fā)生時，由于未能造成后果，或者沒有意識到，而被安全控制人員忽略。這將導(dǎo)致對安全威脅的認識出現(xiàn)偏差。威脅分析方法首先需要考慮威脅的來源，然后分析各種來源存在哪些威脅種類，最后做出威脅來源和威脅種類的列表進行威脅賦值。（一）威脅來源分析信息系統(tǒng)的安全威脅來源可考慮以下方面：威脅源威脅分類威脅來源描述人為因素非惡意人員威脅事件內(nèi)部人員由于缺乏責(zé)任心，或

10、者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。惡意人員威脅事件不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益。第三方合作伙伴和供應(yīng)商，包括業(yè)務(wù)合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)集成商、服務(wù)商和產(chǎn)品供應(yīng)商；包括第三方惡意的和無惡意的行為。外部人員利用信息系統(tǒng)的弱點，對網(wǎng)絡(luò)和系統(tǒng)的機密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。環(huán)境威脅自然威脅事件洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害物理威脅事件由于斷電、靜電、灰塵、潮濕、溫度

11、、鼠蟻蟲害、電磁干擾、； 非人為系統(tǒng)威脅事件意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。社會因素威脅社會動亂恐怖襲擊表1：威脅來源（二）威脅種類分析對安全威脅進行分類的方式有多種多樣，針對上表威脅來源，組織信息管理部的安全威脅種類按類列舉如下表所示。威脅的編號按照類別進行劃分，以字母“T”開頭（Threats），第二個字母為威脅類型，例如人員威脅為TP為前綴，以“-”連接，以數(shù)字后綴為序列。威脅源威脅分類威脅編號威脅類型威脅表現(xiàn)威脅注釋人為因素非惡意人員威脅事件TP-01無作為或操作失誤 操作失誤、錯誤在正常工作或使用過程中，由于技能不足或精神不集中導(dǎo)致的操作不當、設(shè)置錯誤，無意中造成

12、對資產(chǎn)的侵害TP-02無作為或操作失誤 無意識傳播惡意代碼使用個人電腦、移動介質(zhì)等時無意識中傳播了惡意的代碼，TP-03管理不到位 遺失無意遺失重要資產(chǎn)TP-04管理不到位 生病感染流行病或傳染病導(dǎo)致無法正常出勤TP-05管理不到位 事假、離職因事假或離職導(dǎo)致無法正常工作TP-06無作為或操作失誤 工作疏忽、監(jiān)控不力、判斷失誤在正常工作或使用過程中，由于技能不足或精神不集中導(dǎo)致的監(jiān)察不力、響應(yīng)不及時等，無意中造成對資產(chǎn)的侵害惡意人員威脅事件TP-07物理攻擊蓄意破壞蓄意以各種方式破壞信息資產(chǎn)，可能導(dǎo)致資產(chǎn)不可用，如縱火，在系統(tǒng)中故意留后門TP-08篡改 數(shù)據(jù)破壞對系統(tǒng)中數(shù)據(jù)進行惡意刪除等行為T

13、P-09越權(quán)或濫用 非授權(quán)訪問/使用非授權(quán)地對網(wǎng)絡(luò)或系統(tǒng)進行訪問，非授權(quán)地使用設(shè)備或軟件，如對系統(tǒng)內(nèi)容非法下載或批量導(dǎo)出,非授權(quán)掃描TP-10惡意代碼 惡意代碼攻擊病毒、蠕蟲、邏輯炸彈、木馬后門等惡意代碼的攻擊TP-11篡改 非授權(quán)篡改對系統(tǒng)或數(shù)據(jù)進行非授權(quán)篡改，導(dǎo)致完整性喪失TP-12管理不到位 擅自使用非授權(quán)軟件擅自通過互聯(lián)網(wǎng)下載、使用公司非授權(quán)軟件，可能造成版權(quán)等符合性問題TP-13網(wǎng)絡(luò)攻擊 黑客入侵黑客利用各種手段對公司信息系統(tǒng)實施攻擊TP-14網(wǎng)絡(luò)攻擊 DOS攻擊攻擊方發(fā)動拒絕服務(wù)攻擊TP-15物理環(huán)境影響盜竊竊取物品TP-16越權(quán)或濫用身份假冒非授權(quán)人員冒用他人或授權(quán)人員身份TP-

14、17網(wǎng)絡(luò)攻擊 竊聽通過網(wǎng)絡(luò)嗅探、偷聽、搭線竊聽等途徑非法獲取信息TP-18管理不到位 人員短缺完成某項工作的合格的人力資源不足TP-19管理不到位 泄密泄漏敏感信息或電子數(shù)據(jù)TP-20管理不到位 社會工程/欺騙以非技術(shù)手段（例如欺騙）獲取特定信息，包括間諜行為TP-21抵賴 無法進行審查的抵賴行為不承認之前的行為或操作，無法追查當事人責(zé)任TP-22管理不到位 商業(yè)間諜行為通過賄賂等行為刺探商業(yè)情報TP-23管理不到位 惡意申告向主管機關(guān)和利益集團申告存在的軟件正版化等問題，或由此進行敲詐環(huán)境威脅自然威脅事件TE-01物理環(huán)境影響 雷電資產(chǎn)所處地點可能發(fā)生雷電TE-02物理環(huán)境影響 臺風(fēng)資產(chǎn)所處

15、地點可能發(fā)生臺風(fēng)TE-03物理環(huán)境影響 暴雨資產(chǎn)所處地點可能發(fā)生暴雨TE-04物理環(huán)境影響 海嘯資產(chǎn)所處地點可能發(fā)生海嘯TE-05物理環(huán)境影響 洪水資產(chǎn)所處地點可能發(fā)生洪水TE-06物理環(huán)境影響 冰雹資產(chǎn)所處地點可能發(fā)生冰雹TE-07物理環(huán)境影響 地震資產(chǎn)所處地點可能發(fā)生地震物理威脅事件TE-08軟硬件故障 極端的溫度/濕度資產(chǎn)所處環(huán)境的溫度/濕度發(fā)生劇烈變化，超出正常范圍。TE-09物理環(huán)境影響 落塵資產(chǎn)所處物理環(huán)境灰塵大TE-10物理環(huán)境影響 老鼠、蟲蟻咬食資產(chǎn)被老鼠、蟲蟻破壞TE-11軟硬件故障 電力故障電力中斷或者供電不穩(wěn)定TE-12物理環(huán)境影響 灰塵環(huán)境中存在嚴重的落塵問題TE-13

16、物理環(huán)境影響 環(huán)境污染資產(chǎn)所處環(huán)境受到污染，包括有毒氣體和液體TE-14物理環(huán)境影響 電磁輻射/干擾資產(chǎn)所處環(huán)境存在電磁輻射或干擾TE-15物理環(huán)境影響 靜電資產(chǎn)所處環(huán)境存在嚴重的靜電問題TE-16物理環(huán)境影響 供水故障出現(xiàn)停水、水壓低等情況TE-17軟硬件故障 空調(diào)故障出現(xiàn)空調(diào)制冷量不正常、空調(diào)設(shè)施機械故障等情況TE-18軟硬件故障 液體泄漏消防水管破裂、空調(diào)漏水、漏雨TE-19軟硬件故障 電壓異常波動設(shè)備所處地點的電壓出現(xiàn)異常的波動TE-20軟硬件故障 爆炸資產(chǎn)所處地點發(fā)生爆炸非人為系統(tǒng)威脅事件TE-21軟硬件故障 軟件故障軟件因為故障而可用性降低或不可用TE-22軟硬件故障 軟件使用量異

17、常因蠕蟲、拒絕服務(wù)攻擊、突發(fā)訪問或業(yè)務(wù)增長等，軟件容量、性能不足或資源耗竭而導(dǎo)致可用性降低或不可用TE-23軟硬件故障 硬件部件技術(shù)故障設(shè)備出現(xiàn)老化或故障而導(dǎo)致可用性降低或不可用TE-24軟硬件故障 硬件部件使用量異常因蠕蟲、拒絕服務(wù)攻擊、突發(fā)訪問或業(yè)務(wù)增長等，硬件部件容量不足或資源耗竭而導(dǎo)致可用性降低或不可用TE-25軟硬件故障 通信線路技術(shù)故障設(shè)備出現(xiàn)老化或故障而導(dǎo)致可用性降低或不可用TE-26通信流量異常通信流量異常因蠕蟲、拒絕服務(wù)攻擊、突發(fā)訪問或業(yè)務(wù)增長等，通訊流量異常增大而導(dǎo)致可用性、服務(wù)質(zhì)量降低或不可用TE-27軟硬件故障 存儲介質(zhì)損壞存儲介質(zhì)出現(xiàn)老化或故障而導(dǎo)致可用性降低或不可用

18、TE-28軟硬件故障 存儲介質(zhì)空間使用量異常存儲介質(zhì)空間出現(xiàn)不足，介質(zhì)老化或故障而導(dǎo)致可用性降低或不可用社會因素威脅TS-1社會動亂突發(fā)政治事件因政治事件導(dǎo)致組織業(yè)務(wù)發(fā)生變化TS-2恐怖襲擊暴力攻擊業(yè)務(wù)系統(tǒng)和組織遭受恐怖組織或相關(guān)群體襲擊表2：威脅類型列表（三）威脅賦值本風(fēng)險評估管理辦法通過對于威脅的可能性（Likelihood）屬性（*注意: 此處描述的是威脅的可能性，并不是風(fēng)險的可能性，威脅要實際產(chǎn)生影響還要考慮脆弱性被利用的難易程度這個因素。）進行分析賦值。賦值取決于威脅發(fā)生的概率和威脅發(fā)生的頻率。我們用變量T來表示威脅的可能性，它可以被賦予一個數(shù)值，來表示該屬性的程度。確定威脅發(fā)生的可

19、能性是風(fēng)險評估的重要環(huán)節(jié)，評估人員應(yīng)該根據(jù)經(jīng)驗和相關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的概率和頻率。實際評估過程中，威脅的可能性賦值需要參考下面三方面的資料和信息來源，綜合考慮，形成在特定評估環(huán)境中各種威脅發(fā)生的可能性。（1）通過評估體過去的安全事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率；（2）在評估體實際環(huán)境中，通過安全設(shè)備系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計和分析；（3）過去一年或兩年來相關(guān)信息安全管理機構(gòu)發(fā)布的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。威脅的賦值標準參照下表：賦值描述說明4幾乎肯定預(yù)期在大多數(shù)情況下發(fā)生，不可避免（90%）3很可能在大

20、多數(shù)情況下，很有可能會發(fā)生（50% 90%）2可能在某種情況下或某個時間，可能會發(fā)生（20% 50%）1不太可能發(fā)生的可能性很小，不太可能（20%）0罕見僅在非常例外的情況下發(fā)生，非常罕見，幾乎不可能（0%1%）表3：威脅賦值標準第十六條 脆弱性評估脆弱性評估主要目的是評估信息資產(chǎn)的弱點。通常信息資產(chǎn)存在的弱點主要表現(xiàn)在三個方面：安全控制方面、承載信息資產(chǎn)的IT設(shè)備方面以及處理、加工這些信息資產(chǎn)的應(yīng)用系統(tǒng)方面。因此弱點評估也主要按照這三個方面進行。（一）脆弱性的識別脆弱性的識別和獲取通過以下多種方式：工具掃描、人工分析、模擬攻擊測試（Penetration Testing）、網(wǎng)絡(luò)架構(gòu)分析、業(yè)務(wù)

21、流程分析等。評估人員根據(jù)具體的評估對象、評估目的來選擇具體的脆弱性獲取方式。在脆弱性的識別和獲取必須對應(yīng)前一個過程中識別出的威脅列表，不能被列表中威脅所利用的脆弱性在風(fēng)險評估中沒有意義，可以不進行識別。同時，因為威脅來源可以分為內(nèi)部和外部，所以脆弱性的獲取方法也可以根據(jù)威脅的來源不同而選擇不同的獲取方式，比如從內(nèi)網(wǎng)獲取和從外網(wǎng)獲取。 安全控制脆弱性評估：可根據(jù)ISO 27002的14個方面對整體安全控制評估； 設(shè)備脆弱性評估：可通過網(wǎng)絡(luò)掃描及專家人工評估方法對IT設(shè)備進行評估； 應(yīng)用系統(tǒng)脆弱性評估：可通過對應(yīng)用系統(tǒng)的網(wǎng)絡(luò)構(gòu)架、系統(tǒng)主機、數(shù)據(jù)流分析等方法進行評估。（二）脆弱性分類脆弱性包括物理環(huán)

22、境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性的編號按照類別進行劃分，以字母“V”開頭（Vulnerabilities），第二個字母為脆弱性類型，例如組織管理脆弱性以VP為前綴，以“-”連接，以數(shù)字后綴為序列。脆弱性分類脆弱性子類脆弱性編號脆弱性類型管理脆弱性組織管理VP-01IT治理機制不夠完善VP-02缺乏總體IT規(guī)劃VP-03缺乏安全方針VP-04缺乏組織范圍內(nèi)統(tǒng)一的安全策略VP-05缺乏可執(zhí)行性的安全程序VP-06安全技術(shù)與管理措施不能有效結(jié)合VP-07沒有科學(xué)有效的資產(chǎn)管理或配置管理VP-08沒有跨部門的協(xié)調(diào)組織VP-09沒有負責(zé)安全管理部門VP-10沒

23、有建立完善的溝通交流機制VP-11組織的重要記錄沒有得到保護VP-12業(yè)務(wù)流程設(shè)計沒有既定明確的要求人員管理VH-01人員知識水平缺乏VH-02人員技能缺乏VH-03人員安全意識缺乏VH-04人員敬業(yè)精神不夠VH-05不能遵守操作規(guī)程VH-06道德風(fēng)險VH-07人員流動頻繁VH-08沒有簽訂協(xié)議VH-09沒有背景調(diào)查VH-10崗位職責(zé)中沒有安全要求VH-11安全無法與員工績效掛鉤VH-12人員缺乏職責(zé)分離VH-13沒有人員備份機制VH-14缺乏對員工行為的審計技術(shù)脆弱性物理環(huán)境VE-01電力單路VE-02線路暴露VE-03場所很容易進入VE-04場所監(jiān)控有盲點VE-05場所易受雷擊VE-06場

24、所易進水VE-07場所易燃燒VE-08場所不抗震VE-09電力容量不夠VE-10場地不夠硬件VM-01設(shè)備易受電力變化影響VM-02設(shè)備、介質(zhì)易損壞VM-03電源開關(guān)沒有限制未經(jīng)授權(quán)的使用VM-04存儲空間不夠VM-05運算能力不夠VM-06信號輻射VM-07設(shè)備性能差VM-08存在單點故障VM-09口令更改周期較長VM-10線路輻射VM-11協(xié)議開放VM-12明文傳輸VM-13隨意接入VM-14口令簡單VM-15協(xié)議漏洞VM-16帶寬不夠VM-17很容易進入VM-18可用性差VM-19SNMP的Community值為缺省VM-20無網(wǎng)絡(luò)流量監(jiān)控管理措施VM-21缺少處置、報廢規(guī)定軟件及應(yīng)用系

25、統(tǒng)VS-01系統(tǒng)沒有及時更新補丁VS-02系統(tǒng)開放默認服務(wù)和端口VS-03系統(tǒng)存在可疑服務(wù)和端口VS-04系統(tǒng)管理員和用戶弱口令或空口令VS-05系統(tǒng)沒有實現(xiàn)賬號實名制VS-06系統(tǒng)沒有開放審計日志功能VS-07系統(tǒng)沒有啟用安全選項VS-08系統(tǒng)沒有啟用帳戶密碼安全策略VS-09系統(tǒng)使用默認共享VS-10系統(tǒng)無權(quán)限控制措施VS-11特權(quán)賬戶沒有控制VS-12版本較低VS-13存在弱密碼或空密碼VS-14系統(tǒng)漏洞VS-15配置漏洞VS-16存在后門VS-17沒有數(shù)據(jù)加密功能VS-18軟件架構(gòu)缺陷VS-19很容易變更業(yè)務(wù)設(shè)計和流程VB-01業(yè)務(wù)流程缺陷VB-02業(yè)務(wù)邏輯錯誤VB-03業(yè)務(wù)系統(tǒng)設(shè)計性

26、能不足VB-04業(yè)務(wù)系統(tǒng)功能實現(xiàn)不足VB-05業(yè)務(wù)系統(tǒng)缺乏審計和記錄VB-06業(yè)務(wù)系統(tǒng)缺乏連續(xù)性計劃服務(wù)VR-01缺乏服務(wù)水平協(xié)議VR-02服務(wù)不符合業(yè)務(wù)需求VR-03服務(wù)響應(yīng)不及時VR-04服務(wù)易中斷VR-05沒有按照規(guī)范執(zhí)行VR-06服務(wù)成本太高其他法規(guī)法規(guī)VL-01沒有識別相應(yīng)的法律、法規(guī)VL-02不符合法律法規(guī)要求信息類VI-01信息缺乏準確性VI-02信息缺乏及時性VI-03信息容易傳播VI-04信息容易毀損VI-05信息容易丟失無形資產(chǎn)類VT-01恢復(fù)困難VT-02容易受到損害表3：脆弱性類別列表（三）脆弱性屬性參照國際安全標準，本管理辦法將脆弱性屬性定義為脆弱性的嚴重性，既脆弱性

27、被某些威脅利用后產(chǎn)生的影響的嚴重程度， （三）脆弱性賦值在CVE和業(yè)界大多數(shù)的掃描器中關(guān)于技術(shù)性脆弱性的嚴重性（Severity）定義中，都是指可能引發(fā)的影響的嚴重性，參考業(yè)界通用的脆弱性嚴重性等級劃分標準，我們采用的等級劃分標準如下：賦值簡稱說明4VH脆弱性很容易被利用，如果被威脅利用，將對資產(chǎn)造成完全損害3H脆弱性容易被利用，如果被威脅利用，將對資產(chǎn)造成重大損害2M脆弱性可以被利用，如果被威脅利用，將對資產(chǎn)造成一般損害 1L脆弱性較難被利用，如果被威脅利用，將對資產(chǎn)造成較小損害0N脆弱性很難被利用，如果被威脅利用，將對資產(chǎn)造成的損害可以忽略表4：脆弱性賦值在實際評估工作中，脆弱性的值一般參

28、考掃描工具的歸類標準，并參考CVE、中國國家漏洞庫等相關(guān)漏洞庫標準中的說明，按照實際情況進行修正，從而獲得適用的脆弱性值。管理類的脆弱性值按照管理成熟度進行賦值。第十七條 影響評估影響的屬性的評估方法主要考察一個屬性：嚴重性。本辦法將將影響嚴重性分為5個等級，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值4-0。賦值標準參照下表。賦值簡稱說明4VH可以造成資產(chǎn)全部損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財務(wù)損失等非常嚴重的影響；3H可以造成資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財務(wù)損失等嚴重影響； 2M可以造成資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財務(wù)損失等影響1L可以造成

29、資產(chǎn)較小損失，并且立即可以受到控制，較小的財務(wù)損失等影響；0N資產(chǎn)損失可以忽略、對業(yè)務(wù)無損害，輕微或可忽略的財務(wù)損失等影響。表5：脆弱性賦值影響嚴重性賦值標準第十八條 風(fēng)險計算在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。(一) 風(fēng)險分析方法風(fēng)險分析方法可以是定性分析、半定量分析或定量分析，或者是這些分析方法的組合。如果按遞升次序?qū)⑦@些分析的復(fù)雜性和成本加以排列的話，將會是：定性分析、半定量、定量。實際上，定性分析

30、往往首先被采用，來得到風(fēng)險程度的總的提示組織可根據(jù)信息管理實際評估效果、工作量、成本效益、技術(shù)復(fù)雜度和數(shù)據(jù)收集困難度等方面的考慮，選擇合適的分析方法作為安全風(fēng)險的計算方法。（二）風(fēng)險的計算本管理辦法采用相乘法進行量值計算。相乘法提供一種定量的計算方法，直接使用兩個要素值進行相乘得到另一個要素的值。相乘法的特點是簡單明確，直接按照統(tǒng)一公式計算，即可得到所需結(jié)果。在風(fēng)險值計算中，通常需要對兩個要素確定的另一個要素值進行計算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值，因此相乘法在風(fēng)險分析中得到廣泛采用即：風(fēng)險值=資產(chǎn)價值威脅可能性值脆弱性值影響性值（三）風(fēng)險等級

31、化方法對風(fēng)險進行定量取值后，將風(fēng)險值按照以“4”為底取對數(shù)計算并四舍五入得到風(fēng)險等級值，將風(fēng)險劃分為五個登記，如下表所描述：風(fēng)險等級等級描述風(fēng)險值范圍4該風(fēng)險將可觸發(fā)非常嚴重的經(jīng)濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣128風(fēng)險值3該風(fēng)險將可觸發(fā)較大的經(jīng)濟或社會影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽造成損害32風(fēng)險值1282該風(fēng)險將可觸發(fā)一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大8風(fēng)險值321該風(fēng)險將可觸發(fā)的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決2風(fēng)險值80該風(fēng)險將可觸發(fā)的影響幾乎不存在，通過簡單的措施就能彌補風(fēng)險值2

32、表6：風(fēng)險級別表（三）風(fēng)險矩陣定性分析本管理辦法采用下面的賦值矩陣來獲得風(fēng)險點的定量分析表。通過資產(chǎn)分析、威脅分析、脆弱性分析以及影響分析進行風(fēng)險點匯總。風(fēng)險類別風(fēng)險子類資產(chǎn)名稱資產(chǎn)賦值威脅類型威脅賦值脆弱性描述脆弱性賦值影響描述影響賦值風(fēng)險描述風(fēng)險值風(fēng)險級別管理類風(fēng)險技術(shù)類風(fēng)險運維類風(fēng)險表7：風(fēng)險點收集表通過技術(shù)、管理、運維各方面風(fēng)險點的綜合定性分析，我們將風(fēng)險項合并歸類，總結(jié)出相應(yīng)的風(fēng)險項并進行編號，風(fēng)險的編號按照類別進行劃分，以字母“R”開頭（Risk），第二個字母為風(fēng)險類別，如管理風(fēng)險為RM為前綴，后綴以數(shù)字為序列、技術(shù)風(fēng)險以RT為前綴，后綴以數(shù)字為序列、運維風(fēng)險以RO為前綴，后綴以數(shù)

33、字為序列。風(fēng)險編號癥結(jié)問題影響風(fēng)險級別RM-013RT-012R0-014表8：風(fēng)險列表第十九條 風(fēng)險處置方法根據(jù)計算出的風(fēng)險值，對風(fēng)險進行排序，并根據(jù)企業(yè)自身的特點和具體條件、需求，選擇相應(yīng)的風(fēng)險處置方式。風(fēng)險處置方法描述如下：（1）消除風(fēng)險：在某些情況下，可以決定不繼續(xù)進行可能產(chǎn)生風(fēng)險的活動來回避風(fēng)險。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會因此而喪失機會。（2）降低風(fēng)險：在某些情況下，可以決定通過合同、要求、規(guī)范、法律、監(jiān)察、管理、測試、技術(shù)開發(fā)、技術(shù)控制等措施來減小風(fēng)險的可能性，來達到減小風(fēng)險的目的。（3）轉(zhuǎn)移風(fēng)險：這涉及承擔(dān)或分擔(dān)部分風(fēng)險的另一方。手段包括合同、保險

34、安排、合伙、資產(chǎn)轉(zhuǎn)移等。（4）接受風(fēng)險：不管如何處置，一般資產(chǎn)面臨的風(fēng)險總是在一定程度上存在。決策者可以在繼續(xù)處置需要的成本和風(fēng)險之間進行抉擇。在適當?shù)那闆r下，決策者可以選擇接受/承受風(fēng)險。第二十條 選擇處置方式的原則（1）風(fēng)險可能造成的危害性；（2）控制、降低該風(fēng)險方案的可行性,它需對成本因素、技術(shù)實現(xiàn)的難度、技術(shù)的成熟度以及對企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)的影響等各方面進行綜合考慮。建議風(fēng)險處置策略如下：可行性風(fēng)險等級低中高低（0-1）接受接受降低中（2-3）接受/轉(zhuǎn)移接受/降低降低高（4）轉(zhuǎn)移/避免降低/轉(zhuǎn)移降低表8：風(fēng)險處置策略（3）原則上風(fēng)險值在48以上的風(fēng)險需要進行處置第二十一條 制定風(fēng)險處置計劃對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。風(fēng)險處理計劃中明確應(yīng)采取的彌補弱點的安全措施、預(yù)期效果、實施條件、進度安排、責(zé)任部門等