信息安全风险评估的目录

[什么是信息安全等级保护以及风险评估]信息安全等级保护，是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置...+阅读

信息安全风险评估的目录

第一部分基本知识

第1章引论

1.1 信息与信息安全

1.2 信息安全技术与信息安全管理

1.3 信息安全风险评估

1.4 开展信息安全风险评估工作的意义

1.5 我国信息安全风险评估推进过程

第2章主要内容

2.1 信息安全风险评估的内涵

2.2 信息安全风险评估的两种方式

2.3 信息安全风险评估的五个环节

2.4 信息安全风险评估的组织管理工作

第二部分技术与方法

第3章评估工作概述

3.1 工作原则

3.2 参考流程

3.3 质量管理

3.4 质量控制规范要求

第4章评估准备

4.1 评估目的

4.2 评估范围及描述

4.3 建立评估团队

4.4 前期系统调研

4.5 确定评估标准

4.6 条件准备

4.7 项目启动及培训

第5章资产识别

5.1 工作内容

5.2 参与人员

5.3 工作方式

5.4 工具及资料

5.5 输出结果

第6章威胁识别

6.1 工作内容

6.2 参与人员

6.3 工作方式

6.4 工具及资料

6.5 输出结果

第7章脆弱性识别

7.1 工作内容

7.2 参与人员

7.3 工作方式

7.4 工具及资料

7.5 输出结果

第8章安全措施识别与确认

8.1 工作内容

8.2 参与人员

8.3 工作方式

8.4 工具及资料

8.5 输出结果

第9章风险分析阶段

9.1 风险分析模型

9.2 风险分析

9.3 工具及资料

9.4 输出结果

第10章有关技术标准

10.1 BS 7799/ISO 17799

10.2 ISO/IEC TR 13335

10.3 OCTAVE 2.0

10.4 ISO 15408/GB 18336/CC

10.5 等级保护

10.6 涉秘信息系统分级保护技术要求

第三部分产品与工具

第11章风险评估管理工具

11.1 天融信信息安全管理系统

11.2 启明星辰风险评估管理系统

11.3 联想网御风险评估辅助工具

第12章漏洞扫描分析工具

12.1 极光远程安全评估系统

12.2 天镜脆弱性扫描与管理系统

12.3 ISS安全漏洞扫描系统

第13章入侵检测工具

13.1 概述

13.2 冰之眼网络入侵检测系统

13.3 天阗入侵检测系统

第14章案例一：某国税安全评估项目

14.1 项目概述

14.2 项目阶段

14.3 交付的文档及报告

14.4 项目时间表

14.5 安全评估具体实施内容

14.6 附录

第15章案例二：某电信公司信息安全风险评估项目

15.1 项目概述

15.2 风险评估方案实施

15.3 安全信息库的建设

15.4 项目验收

15.5 评估工具

第16章案例三：某公司网络风险评估项目

16.1 项目概述

16.2 项目指导策略

16.3 风险评估方法

16.4 项目实施

如何提高信息安全风险评估效果和效率

一、对风险评估的认识过程实际上，我们对风险评估的认识是经历了一个逐步深化和清晰的过程，在工作过程中也曾经有过很多的疑问，在此简单介绍一下，如果您也有过同样的经历或者正在经历这个过程，那么我想在本文下面几节所阐述的内容和观点，也许对您将有所帮助。我们对于风险评估的认识可以分为三个阶段：第一阶段——盲目期，在刚刚接触风险评估时，认为这个能够简单、定量的刻画评估信息安全风险的方法非常实用有效，因此在所有项目中都引导和建议客户做风险评估；第二个阶段——质疑期，随着在项目中的应用，逐渐发现了很多实际操作问题，同时也面临客户对于此方法的很多挑战，例如：资产赋值标准、风险计算方法等等，有些问题由于自己认识的不到位也无法给出合理的解释，以致对风险评估工作本身产生了质疑；第三个阶段——探索期，由于风险评估是信息安全的理论基础之一，如果没有前期的风险评估工作成果，则包括信息安全规划、安全工作落实等工作就失去了方向和依据，所以开始结合这些年在工作中遇到的问题和经验，重新对风险评估的意义、价值进行思考，对评估方法重新进行尝试和探索。

由于受篇幅限制，本文仅进行概括性的阐述。我们在谷安天下的顾问培训班中也会进行风险评估方法论的详细讲解和探讨。

二、信息资产与资产价值

（1）不要把信息资产识别与组织的资产管理混为一谈信息资产识别和资产管理的目的和范围是不同的。组织的资产管理是站在资产财务角度来考虑的，重点在于登记、管理组织资产的财务属性，用于清算、核实组织的运行情况。

而信息安全风险评估工作中的资产识别，是站在信息资产保护的视角上，来考虑信息资产的机密性、可用性、完整性受到破坏后对组织的影响。所以说，二者的关注点是截然不同的，不要试图在风险评估工作中搜集和识别所有资产管理范围内的资产及其相关属性。有些客户往往在风险评估中花了大量的工作在资产搜集上，反而忽视了对于关键信息资产风险的识别、控制与管理，实际上是舍本逐末，效果自然是事倍功半。

（2）信息资产范围与分类。风险评估首要工作就是要识别信息资产。观点一：识别关键信息资产即可，尤其是第一次做风险评估时对于信息资产比较多的组织，不要试图识别所有信息资产，可以在以后的风险评估过程中逐步完善。观点二：识别信息资产时要结合组织情况，同样资产对于不同组织识别信息资产结果可能是不同。举个例子，对于一般组织投影仪完全可以不作为信息资产来识别，然而对于从事培训工作的组织来说，投影仪就可能被识别为关键信息资产。

观点三：相关标准、规范对于信息资产分类和范围的定义可以参考，不要盲从。应结合组织特点制定符合组织实际情况的、可操作的信息资产分类和范围，可以在标准的基础上进行增加、对于不适用的可以删减、或对于某一资产类进行细化（细化的程度以可操作为宜，具有相同威胁和脆弱性的资产可以归为一类），等等。目的是使后续威胁、脆弱性识别与风险分析等工作得以简化和更具可操作性。

（3）信息资产属性与分级在风险评估中，信息资产相对价值由机密性、完整性和可用性（CIA）的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时，可以结合实际补充相关属性，如财物价值等。在工作中经常会碰到客户问到信息资产分级是分三级、五级还是十级好？这个问题不是绝对的，对于发展中的中小组织来说，信息资产相对较少，可以采用三级分类，即高

（3）、中

（2）、低

（1）；对于信息资产相对较多的组织，为了更细致描述资产相对价值，可以采用五级分类，即高

（5）、较高

（4）、中

（3）、较低

（2）、低

（1）。

总而言之，能够体现信息资产价值和方便操作的两个前提下，越简单越好（定义成十级理论上也是可以的，但基本不具备可操作性）。

（4）信息资产价值计算在信息资产相对价值的评价时，首先要对信息资产的CIA属性进行赋值。在赋值过程中，可能会发现对于一些资产很难评价CIA。举个例子，对于人员类资产，评价其完整性是没有什么意义的。

因此，可采用加权系数的方式，即针对CIA分别设定α、β、γ三个系数（α+β+γ=1），设定β=0、α=0.4、γ=0.6。这样做的好处是对于不适用的选型可以不予评价，同时针对不同行业、不同资产类别可以设定反映此类资产特点的CIA加权系数α、β、γ（例如：金融行业与制造业对于相同资产类别的CIA关注侧重点是不同的，硬件资产和数据资产CIA关注侧重点是不同的）。

另外，针对具体算法，只要能够相对比较客观的反映出信息资产相对价值，可以采用相加、相乘、平均值等算法，然后根据资产值所在区间确定资产相对价值。总结来说，信息资产识别与价值评估的根本目的，是在于通过一套统一定量的方法论，来识别出组织中需要保护的信息资产，并且对其重要性进行分析，从而有的放矢的识别分析出组织中的信息安全风险。

三、威胁、脆弱性分级与识别

（1）威胁与脆弱性分级。在风险评估中，信息资产相对价值由机密性、完整性和可用性（CIA）的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时...