信息系统风险评估内容

　　风险评估的主要内容包括三个方面：基于资产的估值与分析、资产本身存在的脆弱性的识别与分析、资产受到的威胁识别以及它的影响与可能性分析。

　资产定义

　　资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。

　　资产类别

　　依据资产的属性，主要分为以下几个类别：

信息资产：信息资产主要包括各种设备以及数据库系统中存储的各类信息、设备和系统的配置信息、系统中存储的各类电子文档以及各种日志等等，信息资产也包括各种管理制度，而且各种打印的以及部分其他成文的文档也属于信息资产的范畴。
软件资产：软件资产包括各种专门购进的系统与应用软件（比如操作系统、网管系统、办公软件、防火墙系统软件等）、随产品赠送的各种配套软件、以及自行开发的各种业务软件等。
物理资产：物理资产主要包括各种主机设备（比如各类PC机、工作站、服务器等）、各种网络设备（比如交换、路由、拨号设备等）、各种安全设备（比如防火墙设备、入侵检测设备等）、数据存储设备以及各类基础物理设施（比如办公楼、机房以及辅助的温度控制、湿度控制、防火防盗报警设备等）。
人员资产：人员资产是各类资产中很难有效衡量甚至根本无法衡量的一部分，它主要包括税务系统内部各类具备不同综合素质的人员，包括各层管理人员、技术人员以及其他的保障与维护人员等。

资产评估

　　资产评估是与风险评估相关联的重要任务之一，资产评估通过分析评估对象——资产的各种属性（包括经济影响、时间敏感性、客户影响、社会影响和法律争端等方面），进而对资产进行确认、价值分析和统计报告，简单的说资产评估是一种为资产业务提供价值尺度的行为。

　　资产评估的目的

　　资产评估的目的就是要对系统的各类资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使税务系统能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性地进行新的资产投入。

　　资产的重要性

　　按照What-If模型，资产的重要性可以分为经济影响、时间敏感性、客户影响、社会影响和法律影响。

级别定义	经济影响 ( F )	时间敏感性 ( T )	对客户影响 ( C )	社会影响 ( S )	法律影响（L）
级别定义	导致直接经济损失（￥）	可接受的中断时间	不满意的客户数量	会引起如下机构的注意	将涉及不同程度的法律问题
5	10,000,000以上	1小时以下	50,000以上	国家或国际的媒体、机构	被迫面对复杂的法律诉讼，案情由级别相当高的法院审理，控方提出的赔付数额巨大
4	1,000,001- 10,000,000	1-24小时	10,001- 50,000	省、市级媒体、机构	提交更高级别法院立案，诉讼过程漫长
3	100,001- 1,000,000	1-3天	1,001- 10,000	公司	正式提交法院立案
2	50,001- 100,000	3-10天	101-1,000	公司部门	会有人就法律问题提出交涉
1	50,000以下	10天以上	100以下	几人或工作组	几乎没有法律问题

　　资产级别

　　依据资产的潜在价值以及资产对时间的敏感性、对客户的影响、资产的社会影响和可能造成的法律争端等各个方面，资产按重要性可分为五类：

超核心资产：超核心资产的瘫痪或损坏造成直接经济损失一般在1000万元以上；超核心资产的时间敏感性是非常强的，一般来说，在其运行过程中可接受的中断时间是在一个小时以内的，有的甚至只能是几秒钟；超核心资产瘫痪对客户和社会造成的影响都是十分巨大的，可能会导致5万以上的客户不满意，并引起国家甚至国际媒体的广泛关注，而且超核心资产瘫痪将会使得税务系统被迫面对复杂的法律诉讼，并且案情将由级别相当高的法院审理，控方提出的赔付数额异常巨大。
核心资产：核心资产的瘫痪或损坏造成直接经济损失一般在100万元至1000万元之间；核心资产的时间敏感性同样是非常强的，一般其运行过程中可接受的中断时间在１-24小时之内；核心资产瘫痪对客户和社会造成的影响很巨大，可能会导致数万客户的不满意，并引起省市级媒体和机构的关注，而且核心资产瘫痪引起的法律争端可能提交很高级别的法院立案，诉讼过程可能很漫长。
高级资产：高级资产的瘫痪或损坏造成的直接经济损失一般在10万元至100万元之间；高级资产的时间敏感性很强，可接受的中断时间大概在1-3天之间；高级资产的瘫痪可能导致数千客户的不满意，其造成的社会影响主要集中在税务系统的内部，但是高级资产的瘫痪引起的法律争端同样会正式提交法院立案审理。
中级资产：中级资产的瘫痪或损坏造成的直接经济损失一般在5-10万元之间，其时间敏感性一般，可接受的中断时间一般在3-10天左右；中级资产的瘫痪可能造成数百客户的不满意，造成的社会影响主要集中在税务系统的某个部门内部，但是中级资产的瘫痪有一定的可能会引出法律争端。
一般资产：一般资产的瘫痪或损坏造成的直接经济损失一般少于5万元，其时间敏感性很弱，可接受的中断时间在10天以上；一般资产的瘫痪最多可能导致数十客户的不满意，而其造成的社会影响更是微乎其微，几乎只是在几个人或工作组内部，而且几乎不会引起任何的法律争端。

评估实例

　　一台神州数码DCR-7800路由器，是某省省网出口核心，IP地址为192.168.X.X，购入单价1,100,810元。由于是全省电信IP网的核心路由，不允许发生中断（中断时间限制在秒级），一旦发生故障将造成约10,000,000元的经济损失，导致全省用户无法访问（用户数>5万），并导致国家及国际上的不良影响，并可能遭受客户的控诉，带来巨额赔偿。

资产属性	等级
经济影响F	5（>10,000,000元）
时间敏感性T	5（<1小时）
客户影响C	5（>5万）
社会影响S	5（引起国家及国际影响）
法律影响L	5（导致对客户损失的巨额赔偿）

　　资产等级V＝log₂((2^F+2^T+2^C+2^S+2^L)/5)=5

漏洞/脆弱性/弱点评估

　弱点评估的目的

　　弱点评估的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源是指能够通过系统缺陷或弱点对系统安全策略造成危害的主体。

　　弱点评估的信息通常通过控制台评估、咨询系统管理员、网络脆弱性扫描等手段收集和获取。

　弱点评估的内容

　　技术漏洞的评估：技术漏洞主要是指操作系统和业务应用系统等存在的设计和实现缺陷。技术漏洞的标号以CVE漏洞列表的编号为标准；如果存在某些CVE没有标号的漏洞，则以国际通用的BUGTRAQ ID号为标号；如果以上两种编号都无法满足标号要求，则以本次统一的ISS漏洞入库编号中关于无法准确定义的漏洞编号为准。

　　非技术漏洞的评估：非技术性漏洞主要是指系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷。

　弱点评估手段

　　弱点评估可以采取多种手段，下面建议了常用的四种。即：

网络扫描
主机审计
网络审计
渗透测试

　　其中，需要注意渗透测试的风险较其它几种手段要大得多，在实际评估中需要斟酌使用。

　　表1　网络扫描

项目名称	漏洞扫描评估
简要描述	利用扫描工具检查整个网络内部网络的主机系统与数据库系统的漏洞情况
达成目标	发掘网络内部网络的安全漏洞，提出漏洞修补建议
主要内容	采用多种漏洞扫描系统软件
实现方式	大规模的漏洞扫描
工作条件	4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合
工作结果	网络内部网网络漏洞列表，扫描评估结果报告，
所需时间	80台/工作日
参加人员	评估小组、网络管理人员、系统管理人员、数据库管理人员

　　表2　主机审计

项目名称	主机审计
简要描述	作为网络扫描的辅助手段，登陆系统控制台检查系统的安全配置情况
达成目标	检测系统的安全配置情况，发掘配置隐患
主要内容	操作系统控制台审计数据库系统控制台审计
实现方式	手工登录操作
工作条件	4-6人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合
工作结果	网络内部网抽样主机审计报告
所需时间	10台/工作日
参加人员	评估小组、系统管理人员、数据库管理人员

　　表3　网络审计

项目名称	网络安全审计
简要描述	IDS作为一个实时入侵检测工具，是安全威胁信息收集过程中的一种重要手段，其数据是网络的整体安全的重要的参考依据之一
达成目标	检测网络的安全运行情况，发掘配置隐患
主要内容	入侵检测系统在关键点部署入侵检测系统试运行入侵检测系统报告汇兑及分析
实现方式	在网络关键节点部署IDS，集中监控
工作条件	每个部署点2-3人工作环境，1台Win2000PC作为IDS控制台，电源和网络环境，客户人员和资料配合
工作结果	网络安全风险评估项目IDS分析报告
所需时间	5工作日
参加人员	评估小组、网络管理人员

　　表4　渗透测试

项目名称	渗透测试
简要描述	利用人工模拟黑客攻击方式发现网络、系统的漏洞
达成目标	检测系统的安全配置情况，发掘配置隐患
主要内容	后门利用测试 DDos强度测试强口令攻击测试
实现方式	全手工实现
工作条件	2-3人工作环境，电源和网络环境
工作结果	网络安全风险评估项目白客报告
所需时间	3工作日
参加人员	评估小组

威胁评估

　　从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。

　威胁分类

　　对安全威胁进行分类的方式有多种多样，最常见的分类方法主要有根据安全威胁的性质进行划分以及根据安全威胁产生的来源和原因进行划分。参照国际通行做法和专家经验，本项目中将采用上述两种方法进行安全威胁分析。

　　根据威胁的性质划分；参照ISO-15408 / GB/T-18336中的定义对安全威胁的性质和类型进行划分，可以分为以下几个方面：

　　表5　威胁分类（按性质）

威胁分类	威胁描述
Backdoor	各种后门和远程控制软件，例如BO、Netbus等
Brute Force	通过各种途径对密码进行暴力破解
Daemons	服务器中各种监守程序产生弱点，例如amd, nntp等
Firewalls	各种防火墙及其代理产生的安全弱点，例如Gauntlet Firewall CyberPatrol内容检查弱点
Information Gathering	各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出
NT Related	微软公司NT操作系统相关安全弱点
Protocol Spoofing	协议中存在的安全弱点，例如TCP序列号猜测弱点
Management	与管理相关的安全弱点

　　根据威胁产生的来源和原因划分

　　参照BS-7799 / ISO-17799中的定义对安全威胁的产生来源和原因进行划分，可以分为以下几个方面：

　　表6　威胁分类（按产生来源和原因）

ID	威胁来源	威胁描述
1	非授权故意行为	人的有预谋的非授权行为
2	人为错误	人为的错误
3	软件、设备、线路故障	软件、设备、线路造成的故障
4	不可抗力	不可抗力

　威胁属性

　　威胁具有两个属性：可能性（Likelihood）、影响（Impact）。

　　进一步，可能性和影响可以被赋予一个数值，来表示该属性。参照下表。

　　表7　可能性属性赋值参考表

赋值	简称	说明
4	VH	不可避免（>90%）
3	H	非常有可能（70% ~ 90%）
2	M	可能（20% ~ 70%）
1	L	可能性很小（<20%）
0	N	不可能（~0%）

　　表8　影响赋值参考表

赋值	简称	说明
4	VH	资产全部损失，或资产已不可用（>75%）
3	H	资产遭受重大损失（50% ~ 75%）
2	M	资产遭受明显损失（25% ~ 50%）
1	L	损失可忍受（<25%）
0	N	损失可忽略（~0%）

　　可能性属性非常难以度量，它依赖于具体的资产、弱点。而影响也依赖于具体资产的价值、分类属性。并且，这两个属性都和时间有关系，也就是说，具体的威胁评估结果会随着时间的变动而需要重新审核。

　　在威胁评估中，评估者的专家经验非常重要。

　　参照下面的矩阵进行威胁赋值：

　　表9　威胁分析矩阵

影响可能性	可忽略0	可忍受1	明显损失2	重大损失3	全部损失4
不可避免4	0	1	2	3	4
非常可能3	0	1	2	3	3
可能2	0	1	1	2	2
可能性很小1	0	0	1	1	1
不可能0	0	0	0	0	1

　威胁的获取方法

　　威胁获取的方法有：渗透测试（Penetration Testing）、安全策略文档审阅、人员访谈、入侵检测系统收集的信息和人工分析等。评审员（专家）可以根据具体的评估对象、评估目的选择具体的安全威胁获取方式。

　　表10 威胁发现方法列表

ID	Find Mode	Description
1	人员访谈	通过和资产所有人、负责管理人员进行访谈
2	人工分析	根据专家经验，从已知的数据中进行分析
3	IDS系统	通过入侵监测系统在一段时间内监视网络上的安全事件来获得数据
4	渗透测试	通过渗透测试方法来测试弱点，证实威胁
5	安全策略文档分析	安全策略文档分析
6	安全审计	依照IS017799,通过一套审计问题列表问答的方式来分析弱点
7	事件记录	对已有历史安全事件记录进行分析

　威胁评估手段

历史事件审计
网络威胁评估
系统威胁评估
业务威胁评估

　威胁评估实例

　　某资产（服务类）面临攻击和访问类威胁；同时存在远程缓冲区溢出弱点，该弱点可以导致远程攻击者直接获得服务所在宿主机的超级用户权限；该弱点的利用程序（Exploit）于互联网上面发表已经多个星期，几乎可以认为所有攻击者都可以得到该利用程序；该攻击利用程序运行简单，可以认为大多数攻击者都可以成功地执行该利用程序；该资产当前的安全控制中，没有对该弱点的保护；所以可以认为该资产面临的威胁的影响为VH（资产全部损失）、可能性为H（非常有可能）。整体上，资产处于高度威胁之中。

影响与可能性分析

　　风险也存在两个属性：后果（Consequence）和可能性（Likelihood）。最终风险对税务系统的影响，也就是对风险的评估赋值是对上述两个属性权衡作用的结果。

　　不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性，随着弱点类别的提高会增加该资产面临风险的后果。

　　在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产的价值和威胁的影响的函数。目前采用的算式如下：

　　风险值 = 资产价值×威胁影响×威胁可能性×资产弱点等级

　　从资产面临的若干个子风险中，评估者从自己的经验出发得出该资产面临的整体风险。

系统分析

　　网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估的重要环节。

　　对评估对象的物理网络结构，逻辑网络结构及网络的关键设备进行评估（基本信息包括网络带宽、协议、硬件、因特网接入、地理分布方式和网络管理），发现存在的安全性、合理性、使用效率等方面的问题。结合业务体系、系统体系结构来检查逻辑网络结构，物理网络组成以及网络关键设备等，对于保持网络安全是非常重要的。另外，确定关键网络拓扑，对于成功地实施基于网络的风险管理方案是很关键的。

　　网络结构分析能够做到：

改善网络性能和利用率,使之满足业务系统需要；
提供有关扩充网络、增加IT投资和提高网络稳定性的信息；
帮助用户降低风险,改善网络运行效率,提高网络的稳定性；
确保网络系统的安全运行；
对网络环境、性能、故障和配置进行检查。

　信息的敏感度评估

　　信息是一种重要的无形资产，它与有形资产一起构成资产的全体。对于信息资产的保护首先需要进行分级处理，即按信息的敏感度来划分。

　　因此，信息的敏感度评估可以大致划分为如下步骤：

调查是否对数据根据其敏感程度进行了必要的分级；
分级是否合理；
不同敏感程度的数据是否得到了适当的保护；
是否定义了数据泄漏或破坏的事后处理措施。

调查问卷的结构

　　调查问卷包括三部分：封面目录，问题和注释。调查系统可以从描述被评估的主要应用程序和通用支持系统或一组相互关联的系统开始。

　调查系统控制

　　所有完成的调查问卷都应该根据机构政策决定的敏感性程度来评论，处理和控制。要注意到的是，包含在完成调查问卷中的信息能很容易描述一个系统或是一组系统容易受到攻击的地方。

　系统确认

　　调查问卷的封面是由被评估系统的名称和主题开始的。如NIST特别出版物SP 800-18中所提到的，每一个主要应用程序或普遍支持系统都应该被安排一个唯一的名称/标志符。

　　为每一个系统安排唯一的标志符确立与系统相适应的安全需要，还有助于分配的资源能够被充分的利用。

　　在很多情况下，主要应用程序和一般支持系统包括互相关联的系统。互相关联的系统都应该被列出来。一旦评估完成，就应该做一个关于边界控制是否起作用的判定，并且把它记录在封皮目录中。边界控制是评估的一部分，如果边界控制不合适，对于相互关联系统的评估也会不合适。

　　在系统名称和题目下面的横线上需要评估员写上系统类型（普遍支持还是主要应用）。

　目的和评估者信息

　　评估的目的和对象应该是确定的。例如，评估进行的很多细节检查要得到一个高级别的系统安全指示或是为了完善行动计划增强系统的彻底性和可信度。名字，题目和从事评估的机构也要被列出来，机构应该重新制定相应的替代页。评估开始和完成时候的数据也要列出来。完成评估所需要的时间是可变的。完成评估所需要的资源和时间取决于系统的大小和复杂程度，系统和用户数据的亲和性，以及评估员可以利用多少信息进行评估。例如，一个系统进行了广泛的测试，认证，和证据资源的自我评估，在以后的评估中就可以很容易把他作为主线使用和服务。如果一个系统只经过有限的测试和只有很少的证据资源，完成调查系统则需要更长的时间。

　信息的决定性

　　由程序员和系统所有者决定的信息敏感级别应该在调查表单中的表格形成文件。如果一个机构设计了它们自己的判定系统的决定性或敏感性的方法，就要用机构的决定性或敏感性的类型代替表格。文件敏感性程度的建立前提是支持高风险操作系统要比支持低风险操作系统有更多的严格控制。

利用问卷调查结果

　调查问卷分析

　　完成评估的人员也可以处理对完成的调查问卷的分析工作。和系统很类似，支持文件、评估结果和评估者下一步要做的也是一个总结了调查结果的分析。

　　一个集中的机构，比如说，一个信息系统安全程序办公室也可以处理对存在的支持文件的分析工作。分析结果将写在行动计划中，而且为了反映每一个控制对象和手法的决策，也应该创建或是更新系统安全计划。

　行动计划

　　一个决定性因素是如何被应用的，也就是说，具体步骤的记录、设备的安装调试和人员的培训都应该被纳入到行动计划的档案管理中。行动计划必须包括计划数据、资源分配和补充的复查以保证修改后的行动能起作用。

　　在找出系统弱点的行动计划的状况和资源需要等方面，还需要遵循以前管理员的经验。

综合风险分析

　　从风险的定义可以看出，风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。

　　安全风险评估需要明确：

需要保护的资源；
保护这些资源免除哪些威胁；
威胁方；
威胁的可能性；
威胁所造成的（直接）损失；
消除威胁所需消耗的资源。

　　风险模型如下：

　风险分析矩阵

　　可以根据风险信息和数据，对风险分析予以不同程度的改进。视情况而定，风险分析可以是定性分析、半定量分析或定量分析，或者是这些分析的结合。如果按递升次序将这些分析的复杂性和成本加以排列的话，将会是：定性分析、半定量、定量分析。通常，定性分析往往首先被采用，以得到风险程度的总的提示。

　　采用下面的赋值矩阵来获得最终的风险

数值	符号	含义	建议处置、措施	备注
128-256	E	极度风险	要求立即采取措施：避免？转移？减小？	需要具体资产信息
64-127	H	高风险	需要高级管理部门的注意：避免？转移？减小？	需要具体资产信息
4-63	M	中等风险	必须规定管理责任：避免？接受？转移？减小？	需要具体资产信息
0-3	L	低风险	用日常程序处理：避免？接受？转移？减小？	需要具体资产信息

　风险评估层面

技术风险评估
资产风险评估
系统风险评估
业务风险评估
管理风险评估

　风险评估实例

　　IOS 12.0-r1-s-shsh-1（服务类）经过资产评估被赋值（3.7：很高价值）；面临的威胁为：未授权的恶意的路由更新,路由更新欺诈；存在较高等级弱点（3）：BGP和IS-IS没有进行neighbour authentication；综合各种因素，威胁可能性被赋值为（2）；威胁的影响被赋值为（3）；按照前述算法可以得出：

　　风险值＝3.7 x 3.0 x 2.0 x 3=66.6

　　风险后果=3.7 x 3.0=11.1

　　风险可能性= 2.0 x 3=6

　　整体风险最终被赋值：66.6，从前面的风险矩阵可以查得该资产处于高风险之中。建议立即采取措施，进行“避免/转移/减小”等风险处置。

　 ISO 17799十个域

安全策略
安全组织
资产分类和控制
人员安全
物理与环境的安全
通讯与操作的安全
访问控制
系统开发与维护
业务连续性管理
遵循性

可交付的文档

《资产评估部分》
《漏洞评估部分》
《威胁评估部分》
《风险评估部分》
《安全策略建议部分》
《安全解决方案部分》