作為公司信息安全咨詢崗上的小師妹兒，我對自己以后的安全路非常焦灼，到底該往哪個方向去發展?

上了快半年的班，每天都會瀏覽相關的專業文檔，還要學習NIST的出版物，對等保、ISO 27001這些標準都要了解，這不，最近有空就在研究信安標委出的國家網絡安全相關標準了。看了一下這些標準清單，現在正式發布的國家網絡安全標準粗略看了一下，共有268項，再搜索出一些自己感興趣的標準來看，突然發現，信息安全標準化這條路貌似還不錯，為了鞭勵自己，決定有時間就把自己看過的安全標準提煉出來分享給大家。并希望各位能夠指點一二。

今天想和大家交流的是《GB/T 31509 信息安全技術 信息安全風險評估實施指南》。

該標準主要用來指導風險評估項目的組織、實施、驗收等工作。并且規定了信息安全風險評估實施的過程和方法。

一、該標準的框架結構如下

二、風險評估的基本原則

(一)、標準性原則

意思是要按照本標準中規定的評估流程來實施風險評估。

(二)、關鍵業務原則

意思是要把被評估方的關鍵業務作為評估核心，圍繞這個核心的相關網絡與系統作為評估重點。

(三)、可控性原則

a)服務可控性(就是要提前和客戶溝通好評估服務的流程)

b)人員與信息可控性(就是說參與風險評估項目的所有人都要簽個保密協議)

c)過程可控性(這點呢就是要求要成立一個實施團隊，項目組長負責制)

d)工具可控性(把實施過程中要使用的評估工具告訴客戶，提前通氣兒)

(四)、最小影響原則

在實施風險評估時一定要盡可能地減小評估工作帶來的影響。

三、風險評估的流程

1. 評估準備階段：對評估實施有效性的保證，是評估工作的開始。

2. 風險要素識別階段：對評估活動中的各類關鍵要素資產、威脅、脆弱性、安全措施進行識別與賦值。

3. 風險分析階段：對識別階段中獲得的各類信息進行關聯分析，并計算風險值。

4. 風險處置建議：針對評估出的風險，提出相應的處置建議，以及按照處置建議實施安全加固后進行殘余風險處置等內容。

四、風險評估的工作形式

兩種形式：自評估與檢查評估。自評估就是組織自身對信息系統進行的風險評估，也可以委托第三方服務機構來實施;檢查評估是信息系統上級管理部門或國家有關職能部門依法開展的風險評估，一般來說，這種形式的評估采用的是抽樣評估，同樣也可以委托第三方服務機構來實施(在選擇第三方單位時，應審查評估單位、評估人員的資質和資格)。

五、信息系統生命周期內的風險評估

信息系統生命周期一般包括以下五個階段：

根據各個階段的評估對象以及安全需求的不同，風險評估的目的也各不相同。

1. 規劃階段：識別系統的業務戰略，支撐系統安全需求及安全戰略。

2. 設計階段：評估安全設計方案是否滿足信息系統安全功能的需求。

3. 實施階段：對系統開發、實施過程進行風險識別，對建成后的系統安全功能進行驗證。

4. 運維階段：了解和控制系統運行過程中的安全風險。

5. 廢棄階段：分析廢棄資產對組織的影響。

六、風險評估的實施

在第三節我們已經講過了風險評估的基本流程，這里主要是風險評估的具體實施。

(一)準備階段

1.工作內容

這是評估工作的開始，分八步來完成準備工作

這幾步都很好理解，其中需要注意的有以下幾點

首先、確定評估范圍時，需合理定義評估對象和評估范圍邊界，一般劃分原則為：

a) 業務系統的業務邏輯邊界;

b) 網絡及設備載體邊界;

c) 物理環境邊界;

d) 組織管理權限邊界;

第二、風險評估團隊由被評估單位、評估機構共同組建風險評估小組，由被評估單位領導、相關部門負責人，以及評估機構相關人員成立風險評估領導小組;聘請相關專業的技術專家和技術骨干組成專家組。風險評估小組應完成評估前的表格、文檔、檢測工具等各項準備工作;進行風險評估技術培訓和保密教育;制定風險評估過程管理相關規定;編制應急預案等，同時雙方應簽署保密協議，適情簽署個人保密協議。

第三、信息系統調研的內容包括：

a) 信息系統安全保護等級;

b) 主要的業務功能和要求;

c) 網絡結構與網絡環境，包括內部連接和外部連接;

d) 系統邊界，包括業務邏輯邊界、網絡及設備載體邊界、物理環境邊界、組織管理權限邊界等;

e) 主要的硬件、軟件;

f) 數據和信息;

g) 系統和數據的敏感性;

h) 支持和使用系統的人員;

i) 信息安全管理組織建設和人員配備情況;

j) 信息安全管理制度;

k) 法律法規及服務合同;

第四、評估依據包括：

a) 適用的法律、法規;

b) 現有國際標準、國家標準、行業標準;

c) 行業主管機關的業務系統的要求和制度;

d) 與信息系統安全保護等級相應的基本要求;

e) 被評估組織的安全要求;

f) 系統自身的實時性或性能要求等。

第五、合理選擇相應的評估工具，遵循如下原則：

a) 對于系統脆弱性評估工具，應具備全面的已知系統脆弱性核查與檢測能力;

b) 評估工具的檢測規則庫應具備更新功能，能夠及時更新;

c) 評估工具使用的檢測策略和檢測方式不應對信息系統造成不正常影響;

d) 可采用多種評估工具對同一測試對象進行檢測，如果出現檢測結果不一致的情況，應進一步采用必要的人工檢測和關聯分析，并給出與實際情況最為相符的結果判定;

第六、風險評估方案的內容應包括：

a) 風險評估工作框架：包括評估目標、評估范圍、評估依據等;

b) 評估團隊組織：包括評估小組成員、組織結構、角色、責任;如有必要還應包括風險評估領導小組和專家組組建介紹等;

c) 評估工作計劃：包括各階段工作內容、工作形式、工作成果等;

d) 風險規避：包括保密協議、評估工作環境要求、評估方法、工具選擇、應急預案等;

e) 時間進度安排：評估工作實施的時間進度安排;

2.工作保障

(二)識別階段

這個階段差不多是整個風險評估工作中很重要的一個階段了，首先還是先畫一個結構圖來了解一下。

1.資產識別

風險的重要因素是以資產為中心，威脅、脆弱性以及風險都是針對資產而客觀存在的。

一般識別流程如下：

(1)資產分類：一般來說，我們把資產分為硬件、軟件、數據、服務、人員以及其他6大類。

(2)資產調查：識別組織和信息系統中資產(包括資產屬性)的重要途徑。一般情況下，可通過查閱信息系統需求說明書、可行性的研究報告、設計方案、實施方案、安裝手冊、用戶使用手冊、測試報告、運行報告、安全策略文件、安全管理制度文件、操作流程文件、制度落實的記錄文件、資產清單、網絡拓撲圖以及訪談相關人員等，識別組織和信息系統的資產。

(3)資產賦值：依據資產保密性、完整性和可用性等安全屬性為資產賦值。一般來說，根據以下幾個因素綜合來為資產資產賦值:

a) 資產所承載信息系統的重要性;

b) 資產所承載信息系統的安全等級;

c) 資產對所承載信息安全正常運行的重要程度;

d) 資產保密性、完整性、可用性等安全屬性對信息系統，以及相關業務的重要程度。

(4)資產賦值報告：根據資產賦值情況，形成資產列表和資產賦值報告。

2.威脅識別

威脅是指可能導致危害系統或組織的不希望事故的潛在起因。在信息安全領域，不存在絕對的安全。

威脅的一般識別流程如下：

(1)威脅分類：威脅分為軟硬件故障、物理環境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改、抵賴11類。如果根據威脅產生的起因、表現和后果不同，威脅又可分為有害程序、網絡攻擊、信息破壞、信息內容攻擊、設備設施故障、災害性破壞、其他威脅7類。

(2)威脅調查：調查工作包括威脅源動機及其能力、威脅途徑、威脅可能性及其影響;威脅調查的方法是多樣化的，根據組織和信息系統自身的特點，發生的歷史安全事件記錄(數據)，面臨威脅分析等方法進行調查。

(3)威脅分析：基于前面的威脅調查作出分析。同樣也可對威脅的可能性進行賦值，威脅賦值分為很高、高、中等、低、很低5個級別，級別越高表示威脅發生的可能性越高。

(4)威脅分析報告：報告內容包括威脅名稱、威脅類型、威脅源攻擊能力、攻擊動機、威脅發生概率、影響程度、威脅發生的可能性、威脅賦值以及嚴重威脅說明等。

3.脆弱性識別

脆弱性可從技術和管理兩個方面進行識別。

技術方面，可從物理環境、網絡、主機系統、應用系統、數據等方面識別資產的脆弱性;管理方面，可從技術管理脆弱性和組織管理脆弱性兩方面識別資產的脆弱性，技術管理脆弱性與具體技術活動相關，組織管理脆弱性與管理環境相關。

脆弱性識別所采用的方法主要有：文檔查閱、問卷調查、人工核查、工具檢測、滲透性測試等。

(1)安全技術脆弱性核查

(2)安全管理脆弱性核查

安全管理核查主要通過查閱文檔、抽樣調查和詢問等方法，并核查信息安全規章制度的合理性、完整性、適用性等。

4.工作保障

 

 

 

(三)風險分析階段

1.信息安全風險分析原理：

 

 

2.風險值的計算方法

風險計算方法一般分為定性計算方法和定量計算方法兩大類。

(1)定性計算方法：將風險的各要素資產、威脅、脆弱性等的相關屬性進行量化(或等級化)賦值，然后選用具體的計算方法(如相乘法或矩陣法)進行風險計算;

(2)定量計算方法：通過將資產價值和風險等量化為財務價值的方式來進行計算的一種方法。由于定量計算法需要等量化財務價值，在實際操作中往往難以實現，所以一般不采用該計算方法。

3.風險分析與評價

通過對風險的等級劃分，來確定總體的風險狀況。

4.風險評估報告

報告內容包括：風險對組織、業務及系統的影響范圍、影響程度;依據的法規和證據;風險評價結論。

5.工作保障

 

 

(四)風險處置建議

這個階段是圍繞風險評估報告來進行的風險處置，還是有5點內容。

1.處置原則

將風險控制在可接受范圍內，具體處置時，可依據等級保護相關要求實施的安全風險加固工作，應滿足等級保護相應等級的安全技術和管理要求;對于因不能夠滿足該等級安全要求產生的風險則不能夠適用適度接受風險的原則。

2.安全整改建議

風險處置方式一般包括接受、消減、轉移、規避等，安全整改屬于風險消減方法。整改建議根據安全等級有所不同：

a)對于非常嚴重、需立即降低且加固措施易于實施的安全風險，建議被評估組織立即采取安全整改措施。

b)對于非常嚴重、需立即降低，但加固措施不便于實施的安全風險，建議被評估組織立即制定安全整改實施方案，盡快實施安全整改;整改前應對相關安全隱患進行嚴密監控，并作好應急預案。

c)對于比較嚴重、需降低且加固措施不易于實施的安全風險，建議被評估組織制定限期實施的整改方案;整改前應對相關安全隱患進行監控。

3.組織評審會

評估項目結束時召開評審會，參與人員一般包括：被評估組織、評估機構及專家等。

評估項目驗收文檔如下：

4.殘余風險處置

殘余風險處置是對仍然存在的安全風險進行識別、控制和管理的活動。

5.工作保障