风险评估流程

4.6.2　风险评估流程

信息系统风险评估是对当前系统的安全现状进行评价。进行风险评估除了可以明确系统现实情况与安全目标的差距外，更为重要的是为降低系统风险制定安全策略提供指导。风险评估是整个信息安全风险管理的基础，一次次完整的风险评估过程之后是组织根据已制定的策略进行实施，再根据实施情况对系统进行新的风险评估，进行不断的循环，以实现组织的整体安全目标。

风险评估实施共分为四个阶段，见图4-14。

图4-14　风险评估实施图

●前期准备阶段。本阶段是对风险评估实施之前的准备过程，并不涉及具体的实施工作，但是需要准备实施所需的必要条件及相关信息资料。包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料。

●现场调查阶段。在本阶段风险评估项目实施人员对被评估信息系统的详细信息进行调查，收集进行风险分析数据信息，包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素、安全需求等。

●风险分析阶段。本阶段根据现场调查阶段获得的系统相关数据，选择适当的风险分析方法对目标信息系统的风险状况进行综合分析，得出系统当前所面临风险的排序。

●策略制定阶段。本阶段根据风险分析结果，结合目标信息系统的安全需求制定相应的安全策略，包括安全管理策略、安全运行策略和安全体系规划。

1.前期准备阶段

评估团队与组织就所需要开展的工作进行商讨，明确任务的内容，明确项目小组成员及其职责、分工、沟通的流程，对用户提供的资料进行初步的分析，据此制定并批准详细的实施计划，该过程是项目能否得到顺利实施的重要基础。

2.现场调查阶段

现状调查阶段的目的是对当前组织内的信息系统以及相关的信息资产情况进行调查，调查内容分为三个部分。

第一部分为组织的信息资产，目标是能够获取组织对信息系统的价值、关心的内容以及对系统安全保护的需求，通过对组织内部的高层管理人员、中层管理人员、普通员工三个层次的调查，获取组织信息资产状况，并将结果依据安全标准进行分类汇总。

第二部分的内容为关键设备的安全性调查，目的是对组织关键设备的技术安全状况进行了解。在第一阶段的关键资产确认后，根据系统的结构选择系统中的关键设备，通过技术手段（工具）进行分析从而获取关键设备在技术上的脆弱性。

第三部分是对组织内部安全管理、运行管理的执行与实施情况进行调查，目的是获取组织在安全管理、安全运行方面的客观情况。根据组织现有的制度、流程并参照相关标准，对组织的高层管理人员、中层管理人员和普通员工进行调查。

现场调查阶段的工作内容是人员调查、技术调查、风险分析和策略选择。

（1）人员调查

风险评估实施人员通过访谈、问卷等方式对组织高层管理人员、中层管理人员和普通员工进行调查，以获取组织关键资产、安全需求、安全管理状况等基础数据。这些数据的完整性和准确性对于能否顺利实施风险评估起着至关重要的作用。

通过人员访谈主要能够获取以下数据：

●了解组织最重视的信息资产、最担心发生的事件以及组织对信息系统安全的期望。

●调查了解组织中曾经发生过的信息安全相关事件。

●采用问询、会议、资料审计的形式获取相关的数据，包括目前信息管理的规章制度以及具体实施情况。

由于人员调查工作可能对组织人员的正常工作造成一定的影响，应安排合理的时间，便于对相关人员进行调查，特别是高层或重要的业务操作人员。制定详细的调查时间安排计划，减小对相关工作人员的影响。

（2）技术调查

根据被评估系统已明确的关键资产和关键业务，确定需要进行技术调查的设备以及主要业务，检查系统配置和管理方式，对系统可能存在的漏洞进行扫描和检测，以发现潜在的风险，为风险分析提供资料。此外，还需要对业务数据的流转和流量进行调查。

通常缺省安装配置下的主机网络操作系统面临着来自网络和内部的信息泄露、密码窃取、拒绝服务攻击、缓冲区溢出攻击等巨大威胁，缺省配置下的操作系统服务无法有效识别系统中的特洛伊木马程序和入侵者安装的黑客后门程序等，无法准确记录、定位攻击与入侵者的“足迹”。

采用技术手段对信息系统进行分析，提供相应的技术性调查报告，报告内容主要包括以下几个部分：

①网络架构

绘制被评估单位的网络拓扑结构，标明网络薄弱点；目前网络上虚网划分与使用的情况；明确网络边界（包括各系统设置的拨号接入服务器）；对网络的可靠性和安全性做出评价，对业务系统给出安全等级建议（通过评估确认目前达到的安全等级）；相应的建议包括网段划分的优化、如何利用网络中间设备的安全机制控制各网络间的访问。

②业务流程

主要业务系统之间的逻辑关系；业务的安全要求；系统业务的功能；对每个功能进行描述，形成业务流程现状图；初步分析业务流程现状中存在的问题。

③主机系统

主机系统的漏洞（操作系统固有的漏洞与配置的问题）；系统服务（明确不需要的系统服务）；账号的安全情况；采用的访问控制策略；日志审计情况。

④数据库系统

账户、密码设置情况；数据库使用情况，存储、备份方法；和其他进程的交互情况；数据库系统固有的漏洞；日志审计情况。

⑤应用的评估

对通用的应用给出评估报告（Web服务、FTP服务以及其他应用）；其他系统与系统协商给出评估目标。

⑥数据获取手段

流程调查、技术资料、资料分析、工具分析、现场检查、相关人员问询、会议等。

⑦工具

授权书、服务确认书、设备、系统检查记录，漏洞扫描工具（网络、数据库、通用应用系统）、完整性检查工具、网管软件、流量分析工具、数据汇总处理工具。

为确保信息系统的可用性，对调查分析的过程进行周密的规划和协调，作出详细的计划，尽量减少对系统和工作人员的影响；在进行可能对系统造成影响的活动前，取得受评估方的书面授权。

3.风险分析

综合人员调查与技术调查的结果，结合组织的安全需求、量化标准、专业的安全知识及经验对调查的数据进行量化处理与统计分析，识别出组织面临的风险，并以各种可用的方式进行表述。

本阶段的主要工作包括：

●安全需求分析；

●系统威胁分析；

●系统脆弱性分析；

●控制措施有效性分析；

●系统影响分析；

●综合评估。

4.策略选择

本阶段根据组织的安全需求以及风险分析结论，为组织推荐可供使用的安全保护策略，包括安全管理策略、安全运行策略和安全体系规划。

（1）制定安全保护策略

根据组织的信息安全需求，依据风险分析阶段得出的组织信息系统的风险状况，参考相关的安全标准，为组织制定信息安全方面的保护策略。通过保护策略规划组织的信息安全整体架构，为下一步实施风险控制措施提供指导。

规划措施可分为安全管理策略、安全运行策略和安全体系规划三个部分。安全管理策略是组织在信息安全管理方面所涉及的各种管理制度、流程和规定，包括组织结构、人员责任、安全管理制度和考核办法等。安全运行策略是针对系统运行过程中存在的各种安全问题设计操作规程和应急处置办法等，目的是在确保信息系统安全的同时，尽可能降低安全维护的成本。安全体系规划是站在组织信息系统的高度，从技术层面对组织信息系统的整体架构做全面和整体的规划，为组织设计较为完善的信息安全技术防御体系架构。

（2）制定实施计划

根据安全保护策略，结合控制措施实施的难易程度等实际情况，为组织制定切实可行的实施计划，以保证各项安全策略能够有效落实。主要活动包括实施项目标识、责任分配、制定行动列表等。