如何規範有效的進行風險評估？

2020 年 2 月 20 日
筆記

前言

信息安全是網絡發展和信息化進程的產物，近幾年，無論是國家層面，還是企業本身，都對信息安全愈發的重視。風險管理的理念也逐步被引入到信息安全領域，並迅速得到較為廣泛的認可。風險評估逐步成為信息安全管理的最為重要的手段之一。那如何規範的實施風險評估，保證信息系統的安全，成為很多企業安全負責人認真考慮的問題。

一、參考標準

1.1國外標準

NIST SP800-26 《Security Self-Assessment Guide forInformation Technology Systems》 NIST Special Publication 800-30 《Risk ManagementGuide for Information Technology Systems》 OCTAVE：Operationally Critical Threat, Asset, andVulnerability Evaluation Framework ISO/IEC 17799:2000 《信息技術——信息安全管理實施細則》 ISO/IEC 27001:2005 《信息技術——信息安全管理實施規範》 AS/NZS 4360:1999 《風險管理》 ISO/IEC TR 13335 《信息技術安全管理指南》

1.2國內標準

GB/T 20984-2007《信息安全技術信息安全風險評估規範》 GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》 GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》 GB/T 18336-2001《信息技術安全技術信息技術安全性評估準則》

二、前期準備

2.1 確定評估目標

因風險評估主要目標是信息系統，故開展風險評估開展之前，首先需要了解的就是此次風評的目標，可以是整個單位的所有信息系統，或者單個系統，單個系統的我們一般都是叫做專項風險評估。

2.2 確定評估範圍

確定好風險評估的目標後，就需要對此目標的邊界進行定義，可以從以下幾個方面考慮：

1）待評估系統的業務邏輯邊界（如獨立的系統可以不需考慮），例如跟哪些系統有數據交互，避免關聯繫統被滲透，從而導致此系統也被滲透，可以例舉出； 2）網絡及設備載體邊界，這裡最好有網絡拓撲圖，那樣會比較清晰的看到支撐此系統的硬件設備情況，是否有冗餘配置，例如服務器、交換機、路由器、安全設備等； 3）物理環境邊界，主要講的是機房的環境，有沒有監控設備、防水、防雷、防潮、異常告警，其實等保測評時會考慮這方面，如機房太遠或不方便查看，可以看看系統對應的最新測評報告； 4）組織管理權限邊界，主要是需要明確目標系統是誰負責開發、維護、管理等。

2.3 組建評估團隊

可能有同學會問，為什麼需要組建團隊去做這個事情呢？

經歷過風險評估同學都知道，這工作是極其複雜的，會涉及非常多的方面，當然如果是傳說中的「一個人的安全部」，預算又吃緊的單位，那就只能仰天長嘆，默默搬磚吧，希望下面的內容對你有幫助。

下圖是標準理想狀態的團隊組成，大廠或者預算充足的ZF單位才有這樣的高配，單位可以根據公司內部的情況組建團隊，也可以委託第三方有風險評估資質的公司負責。

2.4工作計劃

風險評估是一個複雜繁瑣的工作，常需要階段性彙報，中間會有許多過程文檔產生，這也有利於項目主管了解項目進度，因此詳細的實施計劃肯定是不可缺少的。

可以參考如下內容：

實施流程：

實施日程表：

2.5評估方案

前面都說到了風險評估非常複雜繁瑣，評估方案肯定是必須要有的，方案中應包括一下內容：

1）風險評估工作框架：風險評估目標、評估範圍、評估依據等； 2）評估團隊組織：包括評估小組成員、組織結構、角色、責任；領導小組和專家組（可無） 3）評估工作計劃：包含各階段工作內容、工作形式、工作成果、工作實施時間安排等 4）風險規避：保密協議、評估方法、評估工具、應急預案等 5）項目驗收方式：包括驗收方式、驗收依據、驗收結論等（適用於委託第三方的單位）

可參考如下內容：

三、實施過程及階段

3.1實施流程

風險評估模型：

3.2系統調研

系統調研是確定被評估對象的過程，自評估工作小組應進行充分的系統調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。調研內容至少應包括：

a)系統等保測評等級 b)主要的業務功能和要求 c)網絡結構與網絡環境，包括內部連接和外部連接 d)系統邊界，包括業務邏輯邊界、網絡及設備載體邊界、物理環境邊界、組織管理權限邊界等 e)主要的硬件、軟件 f)數據和信息 g)系統和數據的敏感性 h)支持和使用系統的人員 i)信息安全管理組織建設和人員配備情況 j)信息安全管理制度 k)法律法規及服務合同

系統調研可以採取問卷調查、現場面談相結合的方式進行。

我們一般都先要求填寫問卷調查，對問卷調查有疑問的地方採取現場訪談的方式進行了解，這樣更容易理解

3.3資產識別

資產識別工作主要是參考GB/T 20984—2007中的分類列明評估範圍內的各項資產，包括硬件、軟件、數據、服務、人員和其他等六類資產，但是我們一般都會有根據標準要求將資產分類為硬件、軟件、文檔和數據、人員、業務應用、物理環境、組織管理等七類資產。詳細見《資產識別分類參考表》，有感興趣或需要的同學可以私信我獲取。

資產識別小組需要對評估範圍內的資產進行了逐項分析，比對資產清單，結合系統運行現狀，識別出評估範圍內的信息資產，形成了《資產識別表》；

參考《資產重要性程度判斷準則》為每個資產進行了重要性程度賦值。資產識別和賦值結果記錄在《資產識別表》中。

可以參考如下表格制定《資產識別表》：

3.3.1 資產重要性確定

資產識別小組依據資產對主要業務、運作及聲譽影響程度確定重要資產的基準線（閥值），在基準線以上資產確定為重要資產，填入《重要資產賦值表》；例如資產重要性程度大於等於30的資產被判定為重要資產。

3.3.2CIA三性賦值

所謂CIA三性指的是保密性、完整性、可用性，資產識別小組依據《信息安全風險評估規範（GB/T20984-2007）》對於保密性、可用性、完整性的定義，分別在《重要資產賦值表》中填資產的保密性等級值、完整性等級值和可用性等級值。等級值劃分為很高（5）、高（4）、中等（3）、低（2）、很低（1）五個等級。

可以參考如下表格制定《重要資產賦值表》：

3.4威脅識別

威脅識別小組通過查閱安全設備、日誌和以往的安全事件記錄，分析信息資產在物理環境、網絡、人員、設備故障、惡意代碼及病毒等方面可能出現的情況，依據《資產面臨的威脅列表》，分析系統資產潛在的威脅，最終確認形成了《威脅識別表》。依據經驗，建議威脅識別放在脆弱性識別之後，因為威脅都是通過利用資產的脆弱性才有可能造成危害。

可以參考如下表格制定《威脅識別表》：

3.5脆弱性識別

脆弱性識別小組針對不同類型的重要資產分組進行脆弱性分析，可以從技術和管理兩個方面進行，技術方面：運用工具掃描、基線核查、滲透測試等方式，從物理環境、網絡、主機系統、應用系統、數據和文檔等方面查找資產的脆弱性；管理方面:通過文檔查閱、問卷調查、當面訪談的方式，從人員、組織管理等兩方面進行脆弱性識別；最終形成《脆弱性識別表》。每種資產的詳細識別內容，因篇幅有限，這裡就不贅述了。

可以參考如下表格制定《脆弱性識別表》：

3.5.1基線核查

基線核查可以從物理環境、網絡、安全設備、主機系統、應用系統、數據庫等方面進行核查確認，每個方面都可以參考《GBT 31509-2015 信息安全技術信息安全風險評估實施指南》中附錄B安全技術脆弱性核查表，單位也可根據自身情況確定核查項，不過主機系統的基線核查建議採用腳本的方式執行截圖保存，那樣能提高效率，節省時間。

主機系統基線核查腳本：

3.5.2 主機層掃描

主機層的檢測主要是採用主機層掃描設備或軟件進行，各大廠商都有主機層的掃描工具，不過建議採用綠盟的極光進行掃描。

注意以下幾點：

1）按照重要資產識別中的各類資產IP進行掃描； 2）在WAF或者防火牆上添加掃描設備IP至白名單，不然容易引發告警； 3）應在非業務時間段進行，以防掃描影響業務；

3.5.3應用層檢測

對評估目標使用工具進行應用層掃描，例如AWVS、APPSCAN等，對掃描的結果進行驗證、確認，加入到脆弱性資產識別表中，預算可以的單位建議做滲透測試或者內部團隊安全檢測，這樣能儘可能多的發現風險點，不過進行應用層掃描或者滲透測試時，應注意以下幾點：

1）只對應用系統中的重要資產進行滲透測試或掃描； 2）在WAF上添加滲透白名單； 3）不在業務時間段滲透或者掃描； 4）規定不允許獲取敏感數據，不能備份數據； 5）上傳的webshell測試完成後，必須刪除； 6）所有滲透測試結果必須有截圖；

3.6已有安全措施確認

在識別脆弱性的同時，脆弱性識別小組應對已採取的安全措施的有效性進行確認，結果做為不可接受風險處理計劃的依據。對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重複實施。對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。

可以通過訪談、現場調查的方式進行處理記錄；但設計到技術方面的措施，建議實際操作驗證會更合適。安全措施有效性確認不需要具體到每個資產，可以覆蓋多個資產。有效的安全措施可以降低多個資產的脆弱性。

已有安全措施確認表可參考如下：

可以參考以下步驟實施：

1、記錄並確認已有的安全措施； 2、現場測試安全措施是否有效； 3、記錄查驗結果，形成《已有安全措施確認表》

3.7風險分析方法

風險分析小組採用矩陣法計算出風險係數，然後按照《深圳市信息安全風險評估實施指南》中「資產風險值＝資產重要性程度值×威脅風險係數」的公式，計算資產風險值，經項目負責人批準確認形成《資產風險值表》。

威脅風險係數計算矩陣：

註：

1.本矩陣用來確定威脅的風險係數。

2.矩陣橫軸為威脅的影響程度，縱軸為威脅發生的可能性，橫縱交點為威脅風險係數。

針對威脅風險係數判斷準則：

3.8資產風險值等級劃分

風險值等級的劃分是可以根據單位大情況調整的，如評估的是內部系統，例如OA，內部辦公的系統，可以將風險對應的值設置的更高些，例如，對外訪問的系統風險等級為「中」的風險值設置為100-150，但是內部系統風險等級為「中」的風險值可以為150-200。可以根據具體的情況設置。

風險等級劃分可以參考如下表格：

3.9不可接受風險劃分

不可接受的風險劃分經風險分析小組確定並經項目負責人批准，我們應該可以設定風險值=閾值作為不可接受風險值，這需要根據單位的實際情況跟領導的要求來確定，有的單位對安全要求很高，風險等級為「低」以上都需要處理，參考上面的表格，那就是風險值為80以上的風險項都需要處理，有的單位對安全要求不是特別高，只需風險等級為「中」以上處理即可，參考上面的表格，那閾值為175，所有風險值>=175的風險項都需處理。

3.10風險分析結果

風險分析小組根據前期的工作，進行風險分析，形成《資產風險值表》：

3.11風險統計

資產風險情況：

風險接受情況：

3.12不可接受風險處理計劃

不可接受風險找出來後，肯定需要對不可接受風險制定處理計劃，最好能詳細到每項風險對應的處理步驟及方法，以及截至時間，那樣才有可能保證完成，當然還需對《已有安全措施確認表》中的風險項進行，確認是否能暫不處理或延長截至時間等。

《不可接受風險處理計劃》可以參考如下表：

3.13專家評審

組織評審會是風險評估活動結束的重要標誌，邀請單位領導、主要評估人員、信息安全專家等參與，項目組長及相關人員需對評估技術路線、工作計劃、實施情況、達標情況進行彙報，並解答評審人員的質疑。

四、工作總結

工作總結是肯定需要寫的，必須跟領導或風險評估方彙報一下此次風險評估的內容，當前發現了多少風險，什麼時候能處理完成，還有哪些方面需要加強，到此整個風險評估的工作才結束，至於風險處置計劃那後續還需跟進處理才行。

以上涉及的標準文檔，如果有感興趣的同學需要可以私信我獲取。針對上面風評的步驟或內容，如有不足的地方，可以交流、斧正。

最後附帶一下整個風險評估工作流程圖：

*本文原創作者：jary123，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載