《网络安全等保保护风险评估方案》由会员分享,可在线阅读,更多相关《网络安全等保保护风险评估方案(36页珍藏版)》请在金锄头文库上搜索。
1、XXXX风险评估建议书目录1. 项目背景42. 风险评估概念43. 风险评估的必要性43.1.全面了解信息安全现状43.2.提供安全项目建设依据53.3.有效规避项目风险63.3.1. 避免盲目投资63.3.2. 防止项目失控64. 评估范围和内容74.1.范围74.2.涉及领域74.3.涉及资产95. 风险评估的方式106. 风险评估理论模型106.1. 风险管理流程模型106.2. 风险关系模型136.3. 风险计算模型156.3.1. 输入要素描述156.3.2. 输出要素描述157. 评估过程157.1. 阶段一 前期准备 157.1.1. 制定计划167.1.2. 培训沟通167.1
2、.3. 建立评估环境177.2. 阶段二 现场评估和调查 187.2.1.资产调查187.2.2.问卷调查数据收集197.2.3.工具协助和专家控制台分析197.2.4.网络扫描217.2.5. 网络IDS嗅探237.2.6. 渗透测试(可选)247.3. 阶段三 风险评估247.3.1. 风险估计257.3.2. 风险评价257.3.3. 评估报告267.4. 阶段四 项目验收267.5. 阶段五 售后支持278. 结果文档278.1. 过程文档278.2. 评估报告279. 项目风险控制289.1.原则要求289.2. 风险控制299.2.1.法律保障299.2.2.人力资源控制299.2
3、.3. 密级控制2910. 项目工作界面3010.1. 项目组织结构3010.2. 项目协调会3211. 实施计划3311.1. 任务分配3311.2. 项目进度361.项目背景随着网络技术应用的推广普及,应用层次的不断深入,网络应用领域也正从 传统的、小型业务系统向大型、关键业务系统扩展。网络所具有的开放性、国际 性和自由性在增加应用自由度的同时,也为网络安全增加了更多的风险,网络安 全正日益成为影响网络效能的重要因素。在全球范围内看,中国的证券电子化工作属于世界领先水平。XXXX从创立 之初就把交易无纸化作为发展目标并很快得到实现。随着信息技术的发展,涉及 信息网络的安全问题日益突出,XX
4、XX对网络安全的需求也越来越迫切。XXXX 近几年对网络安全的防护工作展开过多次调研,并且得出了“ XXXX需要全面 加强网络安全框架建设”的初步结论。参考国外的成熟标准和成功经验,我们逐渐达成了一个共识,即:XXXX要 把信息安全建设好,必须首先进行一次针对网络安全的风险评估,并以该次风险 评估的结果指导后续的信息安全建设工作。风险评估,是对企业信息资产面临的威胁进行评估、对采取的安全措施的有 效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果。作为信 息安全建设中的重要一环,它是XXXX信息安全策略和解决方案的基础,评估 结果也是下一步XXXX系统安全建设的指导。3. 风险评估
5、的必要性3.1. 全面了解信息安全现状XXXX 目前已经拥有一个庞大的网络系统,每天运行在该系统上的信息资产 的价值同样是巨大的和难以估算的,但是我们对于目前整个网络系统存在哪些威 胁还缺乏一个全面的认识和了解,对于我们的信息安全管理方面存在哪些安全漏 洞和隐患也缺乏一个清晰的认识。而风险评估恰恰是帮助我们了解这些信息的一 个必要而有效的手段。通过风险评估项目的实施,我们可以清楚的了解目前网络以及信息安全管理 的现状。3.2. 提供安全项目建设依据目前几乎所有的企业都意识到了安全的重要性,也都在积极推动信息安全建 设。一种常见的安全建设方式如下:出现问题-进行安全项目投资-寻找产品-产品实施但
6、这种头痛医头、脚痛医脚的方式很快便暴露其弊端:随着业务系统的发展 和多样性安全需求的提出,老的问题安全解决了,但新的安全隐患又源源不断地 被发现,系统的整体安全状况也没有得到明显改善。之所以这种情况,问题在于 在进行信息安全建设中没有对企业的安全现状进行必要的风险评估,只是简单的 认为网络中存在的安全问题通过简单的安全产品配置即可解决,所以最后造成信 息安全项目投资失败也就在所难免了。目前虽然 XXXX 从上至下、从最高领导到基层员工都知道应该抓安全,但 对安全防护的范围和成效并无把握。例如:最大的安全问题是什么?应该保护到 哪一级?投入多少经费才合适?采用的安全措施是否是有用的?安全项目实施
7、 以后,安全问题是否就解决了?是否会在项目建设完以后仍然遗留重大隐患?这 些问题,实际上已经严重影响到了信息安全建设的决策。只有经过对网络系统进行整体的风险评估,然后以风险评估报告作为信 息安全建设的依据和基准点,才能够为信息安全建设决策提供强有力的决策支 持,并最大程度的保证信息安全建设的成功。3.3. 有效规避项目风险3.3.1. 避免盲目投资为信息安全建设投入相应的资金,同样面临着两种风险:投资过度与投资不 足。投资过度是指人为夸大了风险的程度,使得用于安全建设的资金远远超过所 保护资产的原有价值,例如用一万元的代价去保护价值一千元的信息。投资不足 则是低估了安全威胁可能造成的损失,使得
8、安全建设投入不足,以致于系统中的 重大威胁没有得到消除,在系统遭到破坏的时候才发现原有的防护措施不够。实际上,评估安全建设所需资金与评估安全威胁带来的损失同样重要。在现 代网络环境中,安全措施是必不可少的,但只有经过风险评估确定需要何种层次 的保护水平,然后使用这些分析后的数据信息制定出安全防护的策略,才能有效 地作出信息安全建设预算。国内某券商就曾有过投资失败的教训,他们在没有进行充分的风险评估的情 况下,就盲目地购买了一些防病毒、防火墙等安全产品,认为这样系统就安全了。 结果,今年二月,网络中大面积爆发蠕虫病毒,造成网络拥塞,业务中断。当客 户已经进行了投诉,系统管理员查找问题原因的时候,
9、才发现系统中根本就没有 建立相应的监控机制,无法知道问题出自于何方,导致了故障迟迟不得解决。事 后反思,该安全投资因为低估了系统风险而导致失败。所以,在进行信息安全建设投资的第一步进行风险评估是非常必要的。一个 风险评估项目的成功实施是做好信息安全建设的良好开端。3.3.2. 防止项目失控一个信息安全建设项目,如果没有经过充分的信息采集、调研和评估而匆忙 上马,很有可能陷入以下三种尴尬的境地,导致项目失控:1. 信息安全建设目标不当。目标错误的后果是解决了部份安全问题,但必 须要解决的风险被遗漏,安全项目仍然不能保证系统的安全运行。2. 信息安全建设的目标虽然正确,但不具备可操作性,难以实现其
10、目标。最常见的情况就是,为了达到某一个防护目标,必须要对网络系统、业 务系统做重大的变动,以至于严重影响原有业务的连续运行。象这样不 可实现的安全防护,实际上也反应出目标的制订存在主观性,缺乏建立 在评估过程之上的安全管理和控制。3. 信息安全建设未达到预定目标。如果没有风险评估的过程,即使目标正 确,策略配置的不当也会影响安全控制措施的性能发挥,使到预定目标 难以达到。风险评估的过程除了揭示风险之外,另有一个重要的功能就 是指导风险管理的进行,即对每一项风险提供针对性的策略,采取适合 的控制措施。在安全项目建设之前进行风险评估,能够有效预防以上三种问题的发生,避 免信息安全项目失控。4. 评
11、估范围和内容4.1.范围评估范围的确定是评估过程中的关键因素,不同的评估范围决定了不同的评 估对象、评估方式、评估内容。评估范围可以依据业务关系来确定(例如交易搓 合系统),或者依据地域关系(例如某一幢大楼),或者某个子网(例如财务子网)。 根据证券交易所的特性与需求,我们建议先以办公网为本次评估的范围,根据评 估的效果,以后可以逐步扩展到业务领域。(重要提示:在本次项目启动之前,双方需要明确界定本次评估的范围, 以利于确定详细的实施内容和计划。)4.2.涉及领域本次评估涉及信息安全管理的十大领域:安全政策组织机构安资产分类和控制管理业务连续性遵从性4.3.涉及资产本次评估涉及的资产有七种 2
12、3 个组:信息资产业务信息、配置信息、财务信息、个人信息 软件资产定制软件、通用软件、自行开发软件 物理资产加密设备、移动设备、网络设备、办公设备、服务器/工作站、硬件管理 设备 人员资产内部员工、外聘人员 媒体资产纸质文档、计算机媒体 服务资产第三方应用 操作系统微软平台操作系统、非微软平台操作系统5. 风险评估的方式由于安全项目的专业性,更重要的是为了保证风险评估的客观公正性,本次 评估项目必须由第三方的具备相应资质和经验的安全咨询顾问进行。风险评估的一般方式均是由专业的安全服务队伍在 XXXX 的相关人员的指 导与配合下进行。6. 风险评估理论模型本方案中提供的安全风险模型主要依据 AS
13、NZS 4360:1999 标准、国际风险 评估标准 BS7799/ISO17799,ISO/IEC 13335,建立安全风险管理流程模型、安 全风险关系模型和安全风险计算模型共同组成安全风险模型。分别从风险管理的 流程,所依赖的国际标准,描述风险评估、风险管理的标准规范流程;从安全风 险的所有要素:资产、影响、威胁、漏洞、安全控制、安全需求、安全风险等方 面形象地描述的他们各自之间的关系和影响;在安全风险计算模型中详细具体地 提供了风险计算的方法,通过两个因素:威胁级别、威胁发生的概率,通过风险 评估矩阵得出安全风险。6.1. 风险管理流程模型风险管理流程模型见下图所示。安全风险分析按照相关
14、国际标准(ASNZS 4360: 1999; BS7799/ISO 17799; ISO/IEC 13335等)采用定性与定量相结合的方法,通过对网络层存在的网络安全漏洞进行 扫描分析,进行评估,获知网络层风险。以下为评估的对象简要描述: 物理环境;网络结构;网络服务;主机系统;数据库系统;应用系统;安 全系统;安全相关人员;处理流程;安全管理制度;安全策略等。风险评估报告提交风险评估报告,获知 XXXX 网络安全风险状况是本次对风险评估的主 要目标。通过上述描述的重要过程,主要提交风险评估报告。风险控制根据网络安全风险评估报告,结合实际的网络特点,针对系统面对的安全风险,分析将面对的安全影响
15、,提供相应的安全控制。但是实际上,由于控制的不完整性,总会有一些遗漏的漏洞可以仍然被人利用。所以风险评估过程不仅是控制风险,并且要定义可能残留的风险。通过风险控制减少风险到用 户可以接受的程度。实现减少风险需求和控制价值的代价平衡。监控复审在整个风险评估过程中的每一个步骤,都需要进行监控和复审程序,保证整 个评估过程的规范,安全,可信。沟通、咨询对于整个风险评估过程的沟通、咨询是保证本次风险评估项目成功实施很关键的因素。在整个风险管理、评估过程中,针对每一个步骤应该交流风险管理经验,同时形成相关文档,保留资料。随着时间的推移,风险评估的方法和结果可能发生变化,所以,具体的文档和材料非常重要,可能使下一次的 风险评估变的更容易些。usnocdna e ta cin Um m oc 询 咨 与 通 沟建立评估环境AS/NZS 4360:1999; BS7799/ISO17799; ISO/IEC 13335 等安全风险分析威胁分析风险分析安全风险报告风
