要做风险评估,首先要懂流程怎么走;要写风险评估报告,得懂实施指南。工信部的风险评估严格按照《1730-2008 电信网和互联网安全风险评估实施指南》来执行的。
这段话为这部标准定下了地位,主要针对于电信网和互联网的风险评估工作,也就是说,只要对方需要做工信部的风险评估,那么都必须严格按照这一部来走。
那么这一部跟《20984-2007 信息安全技术 信息安全风险评估规范》国标的风险评估规范对比来说,也是换汤不换药的,基本大纲是一致的,区别就在于资产识别和风险赋值。
业务战略依赖资产。两者成正比关系。
业务战略++ 资产++ 风险++
威胁++ 风险++
脆弱性++ 威胁++ 风险++
威胁àà利用àà脆弱性àà暴露àà资产==风险
安全措施++ 风险–
风险!=0
残余风险要监视
工作形式:自评估 & 检查评估
自评估为主,自评估和检查评估相互结合,互为补充
自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持
一般来说,做自评估价格比较低,容易实现,最后再让第三方测评机构进行验收即可,提供风险评估的章。
检查评估的话,一般的第三方测评机构做二级和三级的系统较多,一级是自身能整改的,五级涉及国家机密,四级的也很少。每个公司的检查评估流程细化不一致,但是大致肯定是按照3.2来执行的。
三级系统又分为3.1和3.2,每个系统的级别都是依据系统的社会影响力、规模还有服务范围确定的,可以参照《增值电信业务系统安全防护定级和评测实施规范》(那一整个系列,因为不同的系统不同的定级)。
一般来说,比较知名的,用户量比较大的都会是3级系统,一般情况来说是3.1级,除非是设计P2P系统(涉及到金融类的)才会上升到3.2级。
遵循的原则:标准性原则、可控性原则、完备性原则、最小影响原则、保密原则
(不同于国标风险评估的一个点)
具体可回归第2点的术语。
而国标的风险评估是以资产的机密性、完整性、可用性三个属性来决定的。
资产分类:数据、软件、硬件、服务、文档、人员、其他
(制度规定那些都算是资产)
资产赋值:①社会影响力②业务价值③可用性④资产价值
(1-5级)
比如:
威胁来源分类:技术因素、环境因素、人为因素(恶意人员和非恶意人员)
威胁分类:软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖
威胁赋值–威胁出现频率(1-5级)
识别方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试
脆弱性识别内容:
①技术脆弱性:物理环境、设备(含操作系统)、网络、数据库、业务/应用
②管理脆弱性:技术管理、组织管理
脆弱性赋值–脆弱性严重程度
脆弱性赋值:
风险的计算这部分还没能实战,所以表达不出个所以然。
计算完结果判定
风险评估所需要的一系列文件
风险评估中文档占据一部分内容,主要体现在安全管理方面,企业做了什么都需要记录以及日志文件,因为不知道自己做了什么,那还怎么保障自身的运行安全。
不同的阶段需要考虑不一样的影响,不同的针对对象。
*本文原创作者:咸味奶黄豆沙包,本文属于FreeBuf原创奖励计划,未经许可禁止转载