文档介绍：该【风险评估标准 】是由【博大精深】上传分享，文档一共【7】页，该文档可以免费在线阅读，需要了解更多关于【风险评估标准 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。风险评估标准

建立风风险评估标标准的目的的在于为IIT安全解解决方案提提供依据和和参考。

适用于于公司所有有IT安全全的风险分分析和评估估。

1..《Infformaationntecchnollogy-Seecuriityttechnniquees---EvaaluattioncritteriaaITsecuurityy》ISSO/IEEC154408-33
2..《计算机机信息系统统安全保护护等级划分分准则》GGB178859-11999

保密性性(connfideentiaalityy):使信信息不泄露露给非授权权的个人、实实体或进程程,不为为其所用
完整整性(inntegrrity)):信息系系统中的数数据与在原原文档中的的相同,未未遭受偶然然或恶意修修改/破坏坏时所具有有的性质;;或者信息息系统中的的系统不能能被非授权权破坏或修修改的性质质
可用性性(Avvailaabiliity)::被授权实实体所需的的资源可被被访问与使使用,即攻攻击者不能能占用相关关资源而阻阻碍授权者者的工作
抗抵赖赖性(rrepuddiatiion)::防防止在通信信中涉及到到的那些实实体不承认认参加了该该通信
可审查查性:有依依据、有手手段地对出出现的信息息安全问题题提供跟踪踪和调查


确定需需保护的资资源,找出出该资源的的安全弱点点和可能有有的安全威威胁,得出出安全风险险等级。然然后列举可可采取的降降低风险的的对策,直直至风险减减小至安全全需求允许许的范围。
下图显示了了风险评估估中的各要要素和工作作步骤的关关系:
..1明确需安安全保护资资源
,包括:





..3评估威胁胁
..4列举安全全对策
..5损失评估估
..6确定风险险等级

..1明确需安安全保护资资源
:交换换机、路由由器、HUUB、网络络布线等
:个个人计算机机、便携机机、网络服服务器、文文件服务器器、工作站站等
;软盘盘、硬盘、磁磁带、光盘盘、MO等等
::操作系系统、数据据库、工具具软件、办办公平台软软件、开发发用软件等等
::EMaail系统统、IntterneetPrroxy服服务、Nootes系系统、MRRPII、SSAP、HHR、WWWW、FTTP等
:DNNS、DHHCP、WWINS、网网络路由服服务等
:电子子文档、数数据库等
..2评估脆弱弱性
使用最最好的测试试工具和技技术、使用用不同的工工作方法,对对公司的整整体资源系系统的安全全进行评估估和审查(从从技术和管管理两方面面),找出出存在的安安全隐患。

1)对对公司场所所安全评估估,信息安安全监控须须包含硬件件监控。
2)对对公司信息息安全部安安全措施及及相关文件件评估,包包括:场所所安全、存存储介质安安全、硬件件安全、紧紧急事故处处理和信息息保护等。
3)分分析公司安安全标准并并与业界最最佳实践标标准进行比比较。
4)总总结安全措措施优缺点点及措施实实用性。

1)评评估公司的的安全管理理流程的效效率及效用用,评估查查安全信息息保障系统统是否真
正正保护了至至关重要的的业务信息息,评估管管理流程和和安全技术术是否同时时在各方面面发挥作用用。
2)针针对已有的的信息安全全标准或规规则,通过过相关安全全接口人员员了解情况况,审查各各监控环节节以确认该该环节能够够履行监控控职责。
3)对对各环节中中所使用的的IT安全全监控系统统评估:安安全决策,组组织结构,硬硬件监控,资资产评估及及控制,系系统安全监监控,网络络和计算机机管理,业业务连续性性,应用程程序发展和和维护,以以及服从性性。
4)与与业界相比比对,对所所收集到的的信息进行行分析。
5)总总结系统优优势及弱势势,推荐改改进方法,以以完善安全全系统,降降低风险。

1)评评估公司一一系列全面面办公解决决方案、数数据库服务务器、文件件和打印服服务器、应应用程序服服务器,找找出系统弱弱点。
2)找找出公司主主要系统平平台(如::UNIXX,Winndowss/NT)和和一些捆绑绑销售的组组件(如::MicrrosofftExxchannge,LotuusNootes,,COBBRA,TTivolli)的弱弱点所在。
3)从从技术和管管理两方面面进行评估估:
、可可靠性、可可审查性、保保密性、适适用性检验验,并根据据公司书面面文件对其其进行核查查及预警。
,对对该组件相相关的书面面文件、标标准和措施施进行审查查。这将保保证公司能能够发现来来自于公司司内部或外外部的能越越过安全监监控的潜在在威胁。
5)对对系统软件件和组件的的配置文件件是否能让让授权用户户正常登录录进行审查查,同时阻阻止和发现现非授权用用户的登录录企图。
6)对对安全管理理监控作以以下方面的的综合审查查:计划、组组织、人事事、资产分分类和监控控、硬件监监控、资产产监控、网网络及计算算机管理、业业务连续性性、系统发发展和维护护、适用性性等。

1)对对公司网络络平台的安安全设计情情况(路由由器、防火火墙、网络络服务器、应应用程序服服务器等)进进行审查,以以确定是否否有些功能能会存在安安全问题。将将不受信任任的、外部部的网络与与内部的、受受信任的网网络和系统统隔离开来来。
2)((根据情况况需要)模模拟入侵者者的攻击,必必须以可控控制的安全全的方式进进行。模拟拟三个方面面非法进入入内部网络络:低水平平的单个黑黑客,有一一定能力的的黑客小分分队,有高高度动机的的专家黑客客队伍。
3)检检查系统的的配置和管管理以及可可能在将来来引起新的的安全问题题的因素。评评估内容可可以根据需需要裁剪,包包括系统平平台、网络络连接、软软件和数据据库。
4)在在技术和管管理层面综综合性地检检查网络方方案。技术术检查包括括多方面的的入侵测试试和配置分分析,全面面了解网络络解决方案案的长处和和不足。管管理检查包包括访问管管理者和检检查安全文文件。

1)全全面评估应应用程序的的:体系结结构、设计计及功能;;开发和维维护过程;;运行过程程及包括运运行平台在在内的技术术组件;使使用的网络络服务及数数据库或使使用的运行行平台服务务。
2)对对应用所采采用的过程程和技术进进行审核,以以保证主应应用程序的的安全性和和保密性要要求。对应应用程序新新的安全代代码和支持持基础结构构的服务进进行审核,检检查影响生生产环境完完整性的一一般错误。
3)复复查应用程程序安全和和保密的要要求、体系系结构规范范、功能规规范和测试试计划。
4)分析析所选择应应用程序代代码,找出出有关代码码中的脆弱弱性。
5)分分析操作系系统平台、数数据库、网网络、以及及该应用程程序可能调调用的安全全和保密服服务。
6)对对现有基础础结构中的的部件和过过程的安全全和保密性性进行确认认。
7)复复查客户与与安全和保保密政策以以及相关标标准的程序序和过程。
..3评估威胁胁
当需需要保护的的资源被确确定后,进进一步则需需确定所需需保护资源源存在的威威胁。
1..查非授权权访问:如如没有预先先经过同意意就使用网网络或计算算机资源被被看作是非非授权访
问问。如:有有意避开系系统访问控控制机制,擅擅自扩大权权限,越权权访问信息息。
2..查信息泄泄漏:是否否敏感数据据在有意或或无意中被被泄漏出去去或丢失。如如:信息在在传输中或或在存储介介质中丢失失或泄漏,通通过隐蔽通通道窃取机机密信息等等。
3..查数据完完整性:如如非法窃得得数据使用用权,修改改或重发某某些重要信信息,恶意意添加、修修改数据,干干扰用户的的正常使用用。
4..查拒绝服服务攻击::查潜在的的对网络服服务进行干干扰的活动动,该活动动可能造成成系统响应应减慢甚至至瘫痪,影影响正常用用户进入网网络系统或或不能得到到相应的服服务。
..4列举降低低风险的对对策
为保护护公司网络络资源,采采取怎样的的控制措施施,应根据据损失的风风险概率、控控制的费用用、控制后后的变化率率以及公司司在安全防防护上所能能投入的财财力确定。
降低风风险的对策策主要从三三个方面考考虑:严格格的安全管管理、运用用先进的安安全技术、一一套威严的的管理制度度和标准。
风险对策举举例:
采用一一些复合安安全技术,如如防火墙,单单点登录方方案,中央央安全管理理方案以及及公共秘钥钥等。
每周进进行策略顺顺应性测试试-----检查与方方针相符的的网络服务务是否可用用,寻找一一般的网络络漏洞并检检查提供互互连网连接接的域名系系统(DNNS)的内内容。
每月进进行脆弱性性测试-----用一一切方法搜搜寻所有已已知的漏洞洞和未被授授权的服务务,使用各各种专门的的安全工具具来模仿黑黑客的攻击击方法。
在进行每每周和每月月测试的同同时,选购购一些强有有力的补充充监控服务务,以显著著减少处理理互连网不不速之客侵侵入的响应应时间。对对恶意活动动进行244x7x3365的监监视。
1)在在网络和主主服务器中中配置、布布置监视测测试仪。使使用工业上上领先的入入侵侦察软软件,扩大大安全策略略,防止安安全侵犯。
2)培培训专业的的安全管理理人员,当当有怀疑的的活动发生生时,进行行调查和警警告,有效效的事故处处理,及时时的安全预预警和协调调。
3)在在关键业务务服务器上上建立入侵侵侦察软件件,分析运运行记录和和系统文件件,侦察安安全侵犯或或滥用。
4)与与安全事故故反应机构构建立联系系,以便尽尽快得到良良好的安全全服务。
5)建建立拒绝服服务告警系系统,对拒拒绝服务攻攻击、潜在在的入侵和和类似问题题作出快速速反响,同同时,检查查配置和系系统管理,防防止可能导导致的信息息泄露和拒拒绝服务。
..5损失评估估
在通过分分析资源存存在的威胁胁和隐患并并确定出其其安全等级级后,根据据公司对安安全要求的的侧重点,列列出相应的的损失及代代价。在采采取控制措措施之前,预预估可能发发生的损失失及可能发发生损失的的概率,预预估通过采采取控制措措施和投入入成本后的的收益。
要确定资资源的可能能损失,需需运用定期期总结、抽抽样统计等等办法,也也可根据一一些经验值值和问卷调调查的结果果来定。
..6评估风险险等级威胁x脆脆弱性
风险==———————x影响响保护措施施
确定资资源的风险险等级,为为采取控制制措施提供供参考。风风险分析概概念公式如如下:
该关系式是是量化实际际系统风险险值的基础础。可以利利用适当的的变量和比比例因素提提供不同的的风险参数数,控制特特定系统的的风险。