一、网络安全风险评估实施

1、基础原则与流程

1）标准性原则

信息系统的安全风险评估，应按照GB/T20984—2007中规定的评估流程进行实施，包括各阶段性的评估工作。

2）关键业务原则

    信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。

3）可控性原则

    （1）服务可控性

    评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的工作内容，确保安全评估服务工作的顺利进行。

    （2）人员与信息可控性

    所有参与评估的人员应签署保密协议，以保证项目信息的安全；应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人。

    （3）过程可控性

    应按照项目管理要求，成立项目实施团队，项目组长负责制，达到项目过程的可控。

    （4）工具可控性

    安全评估人员所使用的评估工具应该事先通告用户，并在项目实施前获得用户的许可，包括产品本身、测试策略等。

4）最小影响原则

    对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，而对于需要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。

2、基本流程

GB/T20984—2007规定了风险评估的实施流程，根据流程中的各项工作内容，一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处置四个阶段。

1）识别阶段工作

资产是对组织具有价值的信息或资源，是安全策略保护的对象。

（1）资产分类

    可按照《信息安全技术信息安全风险评估规范》（GB/T20984—2007）中资产分类方法，把资产分为硬件、软件、数据、服务、人员以及其他6大类。

（2）资产调查

    资产调查一方面应识别出有哪些资产，另一方面要识别出每项资产自身的关键属性。

在识别各种业务后，应进行数据处理和服务的识别，确定各种数据和服务对组织的重要性，以及数据和服务的保密性、完整性、可用性、抗抵赖性等安全属性，从而确定哪些是关键资产。

（3）资产赋值

在资产调查基础上，需分析资产的保密性、完整性和可用性等安全属性的等级，安全属性等级包括：很高、高、中等、低、很低五种级别。

2）威胁识别

威胁是指可能导致危害系统活组织的不希望事故的潜在起因。

    根据威胁产生的起因、表现和后果不同，威胁可分为：

    （1）有害程序。

（2）网络攻击。

    （3）信息破坏。

    （4）信息内容攻击。

    （5）设备设施故障。

    （6）灾害性破坏。

（7）其他威胁。

威胁途径

    主动攻击为攻击者主动对信息系统实施攻击，导致信息或系统功能改变。常见的主动攻击包括：利用缓冲区溢出（Buffer Overflow，BOF）漏洞执行代码，协议、软件、系统故障和后门，插入和利用恶意代码（如：特洛伊木马、后门、病毒等），伪装，盗取合法建立的会话，非授权访问，越权访问，重放所截获的数据，修改数据，插入数据，拒绝服务攻击等。

被动攻击不会导致对系统信息的篡改，而且系统操作与状态不会改变。被动攻击一般不宜被发现。常见的被动攻击包括：侦察、嗅探、监听、流量分析、口令截获等。

3）脆弱性识别

    脆弱性是资产自身存在的，如没有被威胁利用，脆弱性本身不会对资产造成损害。

    脆弱性可从技术和管理两个方面进行识别。技术方面，可从物理环境、网络、主机系统、应用系统、数据等方面识别资产的脆弱性；管理方面，可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆弱性，技术管理脆弱性与具体技术活动相关，组织管理脆弱性与管理环境相关。

安全技术脆弱性核查：

    （1）物理环境安全

    物理环境安全脆弱性是指机房和办公建筑物及其配套设施、设备、线路以及用电在安全方面存在的脆弱性，包括：建筑物、设备或线路遭到破坏或出现故障、遭到非法访问，设备被盗窃，出现信息泄露，出现用电中断等。

    核查物理环境所采取的安全措施及其有效性，包括：机房选址、建筑物的物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

    物理环境安全技术脆弱性核查的方法包括：现场查看、询问物理环境现状，验证安全措施的有效性。

    （2）网络安全

    网络安全脆弱性是指网络通信设备及网络安全设备、网络通信线路、网络通信服务在安全方面存在的脆弱性，包括：非法使用网络资源、非法访问或控制网络通信设备及网络安全设备、非法占用网络通信信道、网络通信服务带宽和质量不能保证、网络线路泄密、传播非法信息等。

    核查网络安全所采取的安全措施及其有效性，包括：网络拓扑图、vlan划分、网络访问控制、网络设备防护、安全审计、边界完整性检查、入侵防范、恶意代码防范等。

    网络安全脆弱性核查应该进行结构分析、功能分析、安全功能分析和性能分析；可采取白盒测试、黑盒测试、灰盒测试等方法。

    网络安全脆弱性核查方法包括：查看网络拓扑图、网络安全设备的安全策略、配置等相关文档，询问相关人员、查看网络设备的硬件配置情况、手工或自动查看或检测网络设备的软件安装和配置情况、查看和验证身份鉴别、访问控制、安全审计等安全功能、检查分析网络和安全设备日志记录、利用工具探测网络拓扑结构、扫描网络安全设备存在的漏洞、探索网络非法接入或外联情况、测试网络流量、网络设备负荷承载能力以及网络带宽、手工或自动查看和检测安全措施的使用情况并验证其有效性等。

    （3）主机系统安全

    主机系统安全脆弱性是指主机硬件设备、操作系统、数据库系统以及其他相关软件在安全方面存在的脆弱性，包括：非法访问或控制操作系统、数据库系统以及其他相关软件、非法占用网络或系统资源等。

    核查主机系统所采取的安全措施及其有效性，包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

    主机系统安全脆弱性核查应该进行结构、功能、安全功能和性能分析；可采取白盒测试、黑盒测试、灰盒测试等方法。

    主机系统安全脆弱性核查方法包括：手工或自动查看或检测主机硬件设备的配置情况以及软件系统的安装配置情况，查看软件系统的自启动和运行情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据（如鉴别信息、上网痕迹），检查并分析软件系统日志记录，利用工具扫描主机系统存在的漏洞，测试主机系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等。

    （4）应用系统安全

    应用系统安全脆弱性是指应用系统在安全方面存在的脆弱性，包括：非法访问或控制业务应用系统，非法占用业务应用系统资源等。

    核查应用系统所采取的安全措施及其有效性，包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等。

    应用系统安全脆弱性核查应进行结构、功能、安全功能和新等分析；可采取白盒测试、黑盒测试、灰盒测试等方法。

    应用系统安全脆弱性核查方法包括：可查阅应用系统的需求、设计、测试、运行报告等相关文档，检查应用系统在架构设计方面的安全性（包括应用系统各功能模块的容错保障、各功能模块在交互过程中的安全机制、以及多个应用系统之间数据交互接口的安全机制等），审查应用系统源代码，手工或自动查看或检测应用系统的安装配置情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据（如用户登录、记录），检查并分析应该系统日志记录，利用扫描工具检测应用系统存在的漏洞，测试应用系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等。

    （5）数据安全

    数据安全脆弱性是指数据存储和传播在安全方面存在的脆弱性，包括：数据泄露、数据篡改和破坏、数据不可用等。

    核查数据安全所采取的安全措施及其有效性，包括：数据完整性保护措施、数据保密性保护措施、备份和恢复等。

    数据安全核查的方法包括：通信协议分析、数据破解、数据完整性校验等。

安全管理脆弱性核查：

    根据被评估组织安全管理要求，应对负责信息系统管理和运行维护部门进行安全管理核查。安全管理核查主要通过查阅文档、抽样调查和询问等方法，并核查信息安全规章制度的合理性、完整性和适用性等。

    （1）安全管理组织

    安全管理组织脆弱性是指组织再安全管理机构设置、职能部门设置、岗位设置、人员配置等是否合理，分工是否明确，职责是否清晰，工作是否落实等。

    安全管理组织脆弱性核查方法包括：查看安全管理机构设置、职能部门设置、岗位设置、人员配置等相关文件，以及安全管理组织相关活动记录等文件。

    （2）安全管理策略

    安全管理策略为组织实施安全管理提供指导。安全管理策略核查主要核查安全管理策略的全面性和合理性。

    安全管理策略脆弱性核查方法包括：查看是否存在明确的安全管理策略文件，并就安全策略有关内容询问相关人员，分析策略的有效性，识别安全管理策略存在的脆弱性。

    （3）安全管理制度

    安全管理制度脆弱性是指安全管理制度体系的完备程度，制度落实等方面存在的脆弱性，以及安全管理制度制定与发布、评审与修订、丢弃等管理存在的问题。

    安全管理制度脆弱性核查方法包括：审查相关制度文件完备情况，查看制度落实的记录，就制度有关内容询问相关人员，了解制度的执行情况，综合识别安全管理制度存在的脆弱性。

    （4）人员安全管理

    人员安全管理包括：人员录用、教育与培训、考核、离岗等，以及外部人员访问控制安全管理。

    人员安全管理脆弱性核查方法包括：查阅相关制度文件以及相关记录，或要求相关人员现场执行某些任务，或以外来人员身份访问等方式进行人员安全管理脆弱性的识别。

    （5）系统运维管理

    系统运维管理是保障系统正常运行的重要环节，涉及系统正常运行和组织正常运转。包括：物理环境、资产、设备、介质、网络、系统、密码的安全管理，以及恶意代码防范、安全监控和监管、变更、备份与恢复、安全事件、应急预案管理等。

    系统运维管理脆弱性核查方法包括：审阅系统运维的相关制度文件、操作手册、运维记录等，现场查看运维情况，访谈运维人员，让运维人员演示相关操作等方式进行系统运维管理脆弱性的识别。

4）风险整改建议

    风险处置方式一般包括接受、消减、转移、规避等。安全整改是风险处置中常用的风险消减方法。风险评估需提出安全整改建议。

    安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。

    ①对于非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估组织立即采取安全整改措施。

    ②对于非常严重、需立即降低，但加固措施不便于实施的安全风险，建议被评估组织立即制定安全整改实施方案，尽快实施安全整改；整改前应对相关安全隐患进行严密监控，并作好应急预案。

③对于比较严重、需降低且加固措施不易于实施的安全风险，建议被评估组织制定限期实施的整改方案；整改前应对相关安全隐患进行监控。