GBT 20984-2007 信息安全技术 安全风险评估规范

中华人民共和国国家 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ICS 35.040 L 80 GB/T 20984—2007 信息安全技术 信息安全风险评估规范 Information security technology— Risk assessment specification for information security 2007-06-14 发布 2007-11-01 实施 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 发布 GB/T 20984—2007 I 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 风险评估框架及流程 .................................................................. 3 4.1 风险要素关系 ...................................................................... 3 4.2 风险分析原理 ...................................................................... 4 4.3 实施流程 .......................................................................... 4 5 风险评估实施 ........................................................................ 5 5.1 风险评估准备 ...................................................................... 5 5.2 资产识别 .......................................................................... 7 5.3 威胁识别 .......................................................................... 9 5.4 脆弱性识别 ....................................................................... 11 5.5 已有安全措施确认 ................................................................. 12 5.6 风险分析 ......................................................................... 12 5.7 风险评估文档记录 ................................................................. 14 6 信息系统生命周期各阶段的风险评估 ................................................... 15 6.1 信息系统生命周期概述 ............................................................. 15 6.2 规划阶段的风险评估 ............................................................... 15 6.3 设计阶段的风险评估 ............................................................... 15 6.4 实施阶段的风险评估 ............................................................... 16 6.5 运行维护阶段的风险评估 ........................................................... 16 6.6 废弃阶段的风险评估 ............................................................... 17 7 风险评估的工作形式 ................................................................. 17 7.1 概述 ............................................................................. 17 7.2 自评估 ........................................................................... 17 7.3 检查评估 ......................................................................... 17 附录 A （资料性附录）风险的计算方法 ................................................... 19 A.1 使用矩阵法计算风险 ............................................................... 19 A.2 使用相乘法计算风险 ............................................................... 22 附录 B （资料性附录）风险评估的工具 ................................................... 26 B.1 风险评估与管理工具 ............................................................... 26 B.2 系统基础平台风险评估工具 ......................................................... 27 B.3 风险评估辅助工具 ................................................................. 27 参 考 文 献 .......................................................................... 28 GB/T 20984—2007 II 前言 （略） GB/T 20984—2007 III 引言 随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。 信息安全分析评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威 胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对 策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提 供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设 计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。 本标准条款中所指的“风险评估”，其含义均为“信息安全风险评估”。 GB/T 20984—2007 1 信息安全技术 信息安全风险评估指南 1 范围 本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在 信息系统生命周期不同阶段的实施要点和工作形式。 本标准适用于规范组织开展的风险评估工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 9361 计算站场地安全要求 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则（idt ISO/IEC 15408:1999） GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,MOD) 3 术语和定义 下列术语和定义适用于本标准。 3.1 资产 asset 对组织具有价值的信息或资源，是安全策略保护的对象。 3.2 资产价值 asset value 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 3.3 可用性 availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。 3.4 业务战略 business strategy 组织为实现其发展目标而制定的一组规则或要求。 3.5 机密性 confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。 3.6 信息安全风险 information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造 GB/T 20984—2007 2 成的影响。 3.7 （信息安全）风险评估 （information security）risk assessment 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可 能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 3.8 信息系统 information system 由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。 典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机 系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。 3.9 检查评估 inspection assessment 由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其 管理进行的具有强制性的检查活动。 3.10 完整性 integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。 3.11 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织，某个业务部门也可 以是一个组织。 3.12 残余风险 residual risk 采取了安全措施后，信息系统仍然可能存在的风险。 3.13 自评估 self-assessment 由组织自身发起，依据国家有关法规与标准，对信息系统及其管理进行的风险评估活动。 3.14 安全事件 security incident 指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效， 或未预知的不安全状况。 3.15 安全措施 security measure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、 规程和机制。 GB/T 20984—2007 3 3.16 安全需求 security requirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求。 3.17 威胁 threat 可能导致对系统或组织危害的不希望事故潜在起因。 3.18 脆弱性 vulnerability 可能被威胁所利用的资产或若干资产的薄弱环节。 4 风险评估框架及流程 4.1 风险要素关系 风险评估中各要素的关系如图 1 所示： 脆弱性 资产价值 威胁 资产 风险 安全需求 业务战略 安全事件 残余风险 安全措施 利用 暴露 具有 成本 被满足 未控制可能诱发 演变 增加 导出 依赖 增加 降低 抵御 未被满足 图 1 风险评估要素关系图 图 1 中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属 性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估 过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要 素相关的各类属性。 图 1 中的风险要素及属性之间存在着以下关系： a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； GB/T 20984—2007 4 b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； c）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； d）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大； e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； f）风险的存在及对风险的认识导出安全需求； g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； h）安全措施可抵御威胁，降低风险； i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全 成本与效益后不去控制的风险； j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 4.2 风险分析原理 风险分析原理如图 2所示： 威胁出现的频率 脆弱性的严重程度 资产价值 安全事件的可能性 安全事件的损失 风险值 威胁识别 脆弱性识别 资产识别 图 2 风险分析原理图 风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产 价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程 度。风险分析的主要内容为： a）对资产进行识别，并对资产的价值进行赋值； b）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； c）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； d）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； e）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失； f） 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响， 即风险值。 4.3 实施流程 风险评估的实施流程如图 3所示： GB/T 20984—2007 5 风险评估准备 保持已有的安全措施 威胁识别 已有安全措施的确认 风险计算 制定和实施风险处理 计划并评估残余风险 风险是否接受 是否接受残余风险 实施风险管理 资产识别 脆弱性识别 评估过程文档 评估过程文档 评估过程文档 . . . . . . . . . . . . . . . . . . 否 否 是 是 风险分析 风险评估文件记录 图 3 风险评估实施流程图 风险评估实施流程的详细说明见第5章。 5 风险评估实施 5.1 风险评估准备 5.1.1 概述 风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结 果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施 前，应： a）确定风险评估的目标； b）确定风险评估的范围； c）组建适当的评估管理与实施团队； d）进行系统调研； e）确定评估依据和方法； f）获得最高管理者对风险评估工作的支持。 5.1.2 确定目标 根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理 上的不足，以及可能造成的风险大小。 GB/T 20984—2007 6 5.1.3 确定范围 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独 立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 5.1.4 组建团队 风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要时，可 组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和 技术骨干组成专家小组。 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保 密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人 保密协议。 5.1.5 系统调研 系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法 的选择、评估内容的实施奠定基础。调研内容至少应包括： a）业务战略及 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 b）主要的业务功能和要求 c）网络结构与网络环境，包括内部连接和外部连接； d）系统边界； e）主要的硬件、软件； f）数据和信息； g）系统和数据的敏感性； h）支持和使用系统的人员； i）其他。 系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控 制的问题表格，供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、 环境和操作方面的信息。 5.1.6 确定依据 根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）： a）现行国际标准、国家标准、行业标准； b）行业主管机关的业务系统的要求和制度； c）系统安全保护等级要求； d）系统互联单位的安全要求； e）系统本身的实时性或性能要求等。 根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方 法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相 适应。 5.1.7 制定 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 风险评估方案的目的是为了后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续 工作。风险评估方案的内容一般包括（但不仅限于）： a）团队组织：包括评估团队成员、组织结构、角色、责任等内容； b）工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容； c）时间进度安排：项目实施的时间进度安排。 5.1.8 获得支持 上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准； 对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估 GB/T 20984—2007 7 中的任务。 5.2 资产识别 5.2.1 资产分类 机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价 值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决 定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已 采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。 在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而 且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相 关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可 以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、 硬件、服务、人员等类型。表 1列出了一种资产分类方法。 表 1 一种基于表现形式的资产分类方法 分类 示例 数据 保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、 计划、报告、用户手册、各类纸质的文档等 软件 系统软件：操作系统、数据库管理系统、语句包、开发系统等 应用软件：办公软件、数据库软件、各类工具软件等 源程序：各种共享源代码、自行或合作开发的各种代码等 硬件 网络设备：路由器、网关、交换机等 计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路：光纤、双绞线等 保障设备： UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备：防火墙、入侵检测系统、身份鉴别等 其他：打印机、复印机、扫描仪、传真机等 服务 信息服务：对外依赖该系统开展的各类服务 网络服务：各种网络设备、设施提供的网络连接服务 办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服 务 人员 掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等 其它 企业形象、客户关系等 分类 示例 服务 信息服务：对外依赖该系统开展的各类服务 网络服务：各种网络设备、设施提供的网络连接服务 办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服 务 人员 掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等 其它 企业形象、客户关系等 GB/T 20984—2007 8 5.2.2 资产赋值 5.2.2.1 保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不 同程度或者保密性缺失时对整个组织的影响。表 2提供了一种保密性赋值的参考。 表 2 资产保密性赋值表 赋值 标识 定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定 性的影响，如果泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的 利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 5.2.2.2 完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整 个组织的影响。表 3提供了一种完整性赋值的参考。 表 3 资产完整性赋值表 赋值 标识 定义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受 的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击 严重，较难弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显， 但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击 轻微，容易弥补 1 很低 完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业 务冲击可以忽略 5.2.2.3 可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不 同程度。表 4提供了一种可用性赋值的参考。 表 4 资产可用性赋值表 赋值 标识 定义 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 99.9%以 上，或系统不允许中断 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度达到每天 90%以上， 或系统允许中断时间小于 10 min 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到 70%以上，或系统允许中断时间小于 30 min 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到 25%以上，或系统允许中断时间小于 60 min GB/T 20984—2007 9 1 很低 可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间 低于 25% 5.2.2.4 资产重要性等级 资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法 可以根据自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的 最终赋值结果；也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的 最终赋值结果。加权方法可根据组织的业务特点确定。 本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产 越重要，也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表 5中的资产等级划分表明了 不同等级的重要性的综合描述。评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资 产进行下一步的风险评估。 表 5 资产等级及含义描述 等级 标识 描述 5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失 4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失 3 中 比较重要，其安全属性破坏后可能对组织造成中等程度的损失 2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失 1 很低 不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计 5.3 威胁识别 5.3.1 威胁分类 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和 环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素 和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方 面造成损害；也可能是偶发的、或蓄意的事件。 在对威胁进行分类前，应考虑威胁的来源。表 6 提供了一种威胁来源的分类方法。 表 6 威胁来源列表 来源 描述 环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外 事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障 人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式 盗窃机密信息或进行篡改，获取利益 外部人员利用信息系统的脆弱性，对网络或系统的机密性、完整性和可用性进行破 坏，以获取利益或炫耀能力 非恶意人员 内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操 作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。 对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现形式将威胁分为以下几类。 表 7提供了一种基于表现形式的威胁分类方法。 表 7 一种基于表现形式的威胁分类表 种类 描述 威胁子类 GB/T 20984—2007 10 种类 描述 威胁子类 软硬件故障 对业务实施或系统运行产生影响的设备硬件故障、通 讯链路中断、系统本身或软件缺陷造等问题 设备硬件故障、传输设备故障、 存储媒体故障、系统软件故障、 应用软件故障、数据库软件故障、 开发环境故障 物理环境影响 对信息系统正常运行造成影响的物理环境问题和自 然灾害 断电、静电、灰尘、潮湿、温度、 鼠蚁虫害、电磁干扰、洪灾、火 灾、地震等 无作为或操作失误 应该执行而没有执行相应的操作，或无意地执行了错 误的操作 维护错误、操作失误等 管理不到位 安全管理无法落实或不到位，从而破坏信息系统正常 有序运行 管理制度和策略不完善、管理规 程缺失、职责不明确、监督控管 机制不健全等 恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕虫、陷门、 间谍软件、窃听软件等 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权 访问的资源，或者滥用自己的职权，做出破坏信息系 统的行为 非授权访问网络资源、非授权访 问系统资源、滥用权限非正常修 改系统配置或数据、滥用权限泄 露秘密信息等 网络攻击 利用工具和技术通过网络对信息系统进行攻击和入 侵 网络探测和信息采集、漏洞探测、 嗅探（账户、口令、权限等）、用 户身份伪造和欺骗、用户或业务 数据的窃取和破坏、系统运行的 控制和破坏等 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等 泄密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等 篡改 非法修改信息，破坏信息的完整性使系统的安全性降 低或信息不可用 篡改网络配置信息、篡改系统配 置信息、篡改安全配置信息、篡 改用户身份信息或业务数据信息 等 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵 赖等 5.3.2 威胁赋值 判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判 断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率： a) 以往安全事件报告中出现过的威胁及其频率的统计； b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预 警。 可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大， 威胁出现的频率越高。 表 8提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的判断依据应在评估准备阶 段根据历史统计或行业判断予以确定，并得到被评估方的认可。 表 8 威胁赋值表 GB/T 20984—2007 11 等级 标识 定义 5 很高 出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过 4 高 出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过 3 中 出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过 2 低 出现的频率较小；或一般不太可能发生；或没有被证实发生过 1 很低 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生 5.4 脆弱性识别 5.4.1 脆弱性识别内容 脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。 而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产 的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为 困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。 脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护 的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、 应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也 可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同 的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、 应用流程的完备与否、与其他网络的互联等也应考虑在内。 脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员 等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等 各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术 活动相关，后者与管理环境相关。 对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环 境的脆弱性识别应按 GB/T 9361 中的技术指标实施；对操作系统、数据库应按 GB 17859-1999 中的技 术指标实施。对管理脆弱性识别方面应按 GB/T 19716-2005 的要求对安全管理制度及其执行情况进行检 查，发现管理漏洞和不足。表 9 提供了一种脆弱性识别内容的参考。 表 9 脆弱性识别内容表 类型 识别对象 识别内容 技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、 电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行 识别 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、 网络设备安全配置等方面进行识别 系统软件 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、 访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行 识别 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别。 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、 GB/T 20984—2007 12 密码保护等方面进行识别 管理脆弱性 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业 务连续性等方面进行识别 组织管理 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进 行识别 5.4.2 脆弱性赋值 可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的 脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题，或可能造成相似的后果，赋值时 应综合考虑这些弱点，以确定这一方面脆弱性的严重程度。 对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还 应参考技术管理和组织管理脆弱性的严重程度。 脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值 越大，脆弱性严重程度越高。表 10提供了脆弱性严重程度的一种赋值方法。 表 10 脆弱性严重程度赋值表 等级 标识 定义 5 很高 如果被威胁利用，将对资产造成完全损害。 4 高 如果被威胁利用，将对资产造成重大损害。 3 中等 如果被威胁利用，将对资产造成一般损害 。 2 低 如果被威胁利用，将对资产造成较小损害。 1 很低 如果被威胁利用，将对资产造成的损害可以忽略。 5.5 已有安全措施确认 在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估 其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必 要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进 行修正，或用更合适的安全措施替代。 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱 性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生后对组织或 系统造成的影响。 已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管 理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是 一类具体措施的集合，为风险处理计划的制定提供依据和参考。 5.6 风险分析 5.6.1 风险计算原理 在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工 具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程 度，判断安全事件造成的损失对组织的影响，即安全风险。本标准给出了风险计算原理，以下面的范式 形式化加以说明： 风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va )) 其中，R表示安全风险计算 函数 excel方差函数excelsd函数已知函数     2 f x m x mx m      2 1 4 2拉格朗日函数pdf函数公式下载 ；A表示资产；T表示威胁；V表示脆弱性； Ia 表示安全事件所作 用的资产价值；Va 表示脆弱性严重程度；L 表示威胁利用资产的脆弱性导致安全事件发生的可能性；F 表示安全事件发生后产生的损失。有以下三个关键计算环节： GB/T 20984—2007 13 a）计算安全事件发生的可能性 根据威胁出现频率及弱点的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即： 安全事件发生的可能性=L(威胁出现频率，脆弱性)＝L(T，V ) 在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度 （可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。 b）计算安全事件发生后的损失 根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失，即： 安全事件的损失=F(资产价值，脆弱性严重程度)＝F(Ia，Va ) 部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事 件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在 内。 部分安全事件损失的判断还应参照安全事件发生可能性的结果，对发生可能性极小的安全事件（如 处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等）可以不计算其损失。 c）计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值=R(安全事件发生的可能性，安全事件造成的损失)＝R(L(T，V)，F(Ia，Va )) 评估者可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。矩阵法通过构造 一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系；相乘法通过构造经验函 数，将安全事件发生的可能性与安全事件的损失进行运算得到风险值。 附录A中列举了矩阵法和相乘法的风险计算示例。 5.6.2 风险结果判定 为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可以将风险划分为五级，等 级越高，风险越高。 评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每 个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。 表 11提供了一种风险等级划分方法。 表 11 风险等级划分表 等 级 标 识 描 述 5 很高 一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的 正常经营，经济损失重大、社会影响恶劣 4 高 一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成 损害 3 中等 一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大 2 低 一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决 1 很低 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补 风险等级处理的目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。组织应当 综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。对某些资产的风险，如果风险 计算值在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险评估值在可接 受的范围外，即风险计算值高于可接受范围的上限值，是不可接受的风险，需要采取安全措施以降低、 控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果，不设定可接受风险值的基准， 达到相应等级的风险都进行处理。 GB/T 20984—2007 14 5.6.3 风险处理计划 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥 补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两 个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。 5.6.4残余风险评估 在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实 施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评 估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全事件发生可能性 为目标的，因此，残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后， 再次计算风险值的大小。 某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑 是否接受此风险或进一步增加相应的安全措施。 5.7 风险评估文档记录 5.7.1 风险评估文档记录的要求 记录风险评估过程的相关文档，应符合以下要求（但不仅限于此）： a）确保文档发布前是得到批准的； b）确保文档的更改和现行修订状态是可识别的； c）确保文档的分发得到适当的控制，并确保在使用时可获得有关版本的适用文档； d）防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的标 识。 对于风险评估过程中形成的相关文档，还应规定其标识、储存、保护、检索、保存期限以及处置所 需的控制。 相关文档是否需要以及详略程度由组织的管理者来决定。 5.7.2 风险评估文档 风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于 此）： a) 风险评估方案：阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等； b) 风险评估程序：明确评估的目的、职责、过程、相关的文档要求，以及实施本次评估所需要的 各种资产、威胁、脆弱性识别和判断依据； c) 资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成 资 产识别清单，明确资产的责任人/部门； d）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、 类型、重要程度、责任人/部门等； e) 威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及 出现的频率等； f) 脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、 类型及严重程度等； g) 已有安全措施确认表：根据对已采取的安全措施确认的结果，形成已有安全措施确认表，包括 已有安全措施名称、类型、功能描述及实施效果等； h) 风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方法、 资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容； i) 风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全 措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性； j) 风险评估记录：根据风险评估程序，要求风险评估过程中的各种现场记录可复现评估过程，并 GB/T 20984—2007 15 作为产生歧义后解决问题的依据。 6 信息系统生命周期各阶段的风险评估 6.1 信息系统生命周期概述 风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原 则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要 求等各方面也有所不同。具体而言，在规划设计阶段，通过风险评估以确定系统的安全目标；在建设验 收阶段，通过风险评估以确定系统的安全目标达成与否；在运行维护阶段，要不断地实施风险评估以识 别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此， 每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。有条件时，应采用风险评估工具开 展风险评估活动。 有关风险评估工具的说明参见附录B。 6.2 规划阶段的风险评估 规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。规划阶段的 评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系 统建设应达到的安全目标。 本阶段评估