第3章业务系统信息安全风险评估方案3.1 风险评估概述3.1.1 背景该业务系统风险评估的目标是评估业务系统的风险状况，提出风险控制建议，同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。

需要指出的是，本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况，反映的是系统当前的安全状态。

3.1.2 范围该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。

3.1.3 评估方式信息系统具有一定的生命周期，在其生命中期内完成相应的使命。

采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。

本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，确定重要资产，针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。

资产划分是风险评估的基础，在所有识别的系统资产中，依据资产在机密性、完整性和可用性安全属性的价值不同，综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低5个等级。

对于列为重要及以上等级的资产，分析其面临的安全威胁。

脆弱性识别主要从技术和管理两个层面，采取人工访谈。

现场核查。

扫描检测。

渗透性测试等方式，找出系统所存在的脆弱性和安全隐患。

对重要资产已识别的威胁、脆弱性，根据其可能性和严重性，综合评估其安全风险。

3.2 该业务系统概况3.2.1 该业务系统背景近年来，由于数据量迅速增加，业务量也迅速增长，原先的硬件系统、应用系统和模式已渐渐不适应业务的需求，提升IT管理系统已经成为刻不容缓的事情。

经过仔细论证之后，信息决策部门在IT管理系统升级上达成如下共识：更换新的硬件设备，使用更先进和更强大的主机；在模式上为统一的集中式系统；在系统上用运行和维护效率较高的单库结构替换原有多库系统；在技术上准备使用基于B/S架构的J2EE中间件技术，并且实施999.999%的高可靠性运行方式；在业务上用新型工作流作为驱动新一代业务系统的引擎，真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率，从而降低成本、提高核心竞争力以应对外部的竞争。

3.2.2 网络结构与拓扑图该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。

业务系统网络通过一台高性能路由器连接分部网络，通过一台千兆以太网交换机连接到其他业务系统。

其中业务系统网络内部骨干网络采用千兆位以太网，两台千兆以太网交换机位骨干交换机。

网络配备百兆桌面交换机来连接网络管理维护客户机。

具体的网络拓扑图如图3-1所示。

3.2.3 业务系统边界具体的系统边界图如图3-2所示。

3.2.4 应用系统和业务流程分析业务系统组织结构划分为总部和分部两个层次，业务系统所涉及的绝大多数业务流程都需要经过多级业务管理部门进行处理，业务流程复杂且流程跨度比较大。

其次，业务系统处理流程十分繁杂。

在对客户申请审批处理过程中，必然会出现反复的提交、上报、退回等操作，并且可以将任务退回到指定的岗位上，然后再次上报提交。

在同一个审批过程中，根据客户的不同级别，可能需要提交到上级授信管理部门，也可能提交到上级的风险管理部门。

3.3 资产识别3.3.1 资产清单资产识别通过分析信息系统的业务流程和功能，从业务数据的完整性、可用性和机密性的保护要求出发，识别出对CIA三性有一定影响的信息流及其承载体或周边设备。

在本次业务系统评估中进行的资产分类，主要分为网络设备、主机系统、服务器系统、数据和文档资产5个方面。

（1）网络设备资产网络设备重要资产如表3-1所示。

表3-1 网络设备重要资产表（2）主机系统资产主机系统重要资产如表3-2所示。

表3-2 主机重要资产表（3）服务器资产服务器重要资产如表3-3所示。

表3-3 服务器重要资产表（4）数据和文档资产数据和文档重要资产如表3-4所示。

表3-4数据和文档资产重要资产表3.3.2 资产赋值资产赋值对识别的信息资产，按照资产的不同安全属性，即机密性、完整性和可用性的重要性和保护要求，分别对资产的CIA三性予以赋值。

三性赋值分为5个等级，分别对应了改项信息资产的机密性、完整性和可用性的不同程度的影响，下面是赋值依据。

1.机密性（Confidentiality）赋值依据根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。

机密性赋值依据如表2-6所示。

2. 完整性（Integrity）赋值依据根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。

完整性赋值依据如表2-7所示。

3.可用性（Availability）赋值依据根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估的影响。

可用性赋值依据如表2-8所示。

根据资产的不同安全属性，即机密性、完整性和可用性的等级划分原则，采用专家指定的方法对所有资产的CIA三性予以赋值。

赋值后的资产清单如表3-5所示。

表3-5 资产CIA三性等级表3.3.3 资产分级资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。

根据本系统的业务特点，采取相乘法决定资产的价值。

计算公式如下：==)⨯,v⨯,(yfxzxyz其中：v表示资产价值，x表示机密性，y表示完整性，z表示可用性。

资产的CIA三性如表3-9所示，根据式（3.1）可以计算出资产的价值。

例如取资产ASSET_01三性值代入式（3.1），得=⨯=fv333)3,3,3(⨯得资产ASSET_01的资产价值=3。

依次类推得到本系统资产的价值清单如表3-6所示。

表3-6 资产价值表为与上述安全属性的赋值相对应，根据最终赋值将资产划分为5级，级别越高表示资产越重要。

不同等级的资产重要性程度判断准则如表2-11所示。

表2-11 资产重要性程度判断准则根据资产重要性程度判断准则，可以得到资产的等级。

本系统的资产等级如表3-7所示。

表3-7 资产价值表3.4 威胁识别3.4.1 威胁概述安全威胁是一种对系统及其资产构成潜在破坏的可能性因素或者事件。

无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。

产生安全威胁的主要因素可以分为人为因素和环境因素。

人为因素又可区分为有意和无意两种，环境因素包括自然界的不可抗的因素和其他物理因素。

威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性和可用性等方面造成损害，也可能是偶发的或蓄意的事件。

一般来说，威胁总是要利用网络、系统、应用或数据的弱点可能成功地对造成造成伤害。

安全事件及其后果是分析威胁的重要依据。

根据威胁出现频率的不同，将它分为5个不同的等级。

以此属性来衡量威胁，具体的判断准则如表2-13所示。

表2-13 威胁出现频率判断准则3.4.2 业务系统威胁识别对业务系统的威胁分析首先对于重要资产进行威胁识别，分析其威胁来源和种类。

在本次评估中，主要采用了问卷法和技术检测来获得威胁的信息。

问卷法主要收集一些管理方面的威胁，技术检测主要通过分析IDS的日志信息来获取系统面临的威胁。

表3-8为本次评估分析得到的威胁来源、威胁种类以及威胁发生的频率。

表3-8 国际业务系统潜在的安全威胁来源列表表3-9 业务系统面临的安全威胁种类3.5 脆弱性识别脆弱性识别主要从技术和刚来两个方面进行评估，详细的评估结果如下所述。

采用工具扫描、配置核查、策略文档分析、安全审计、网络架构分析业务、业务流程分析、应用软件分析等方法。

根据脆弱性严重程度的不同，将它分为5个不同的等级。

具体的判断准则如表2-16所示。

表2-16 脆弱性严重程度分为级表3.5.1 技术脆弱性评估技术脆弱性识别主要从现有安全技术措施的合理性和有效性来划分。

评估的详细结果如表3-10所示。

表3-10 技术脆弱性评估结果3.5.2 管理脆弱性评估本部分主要描述该业务系统目前的信息安全管理上存在的安全弱点现状以及风险现状，并标识其严重程度。

评估的详细结果如表3-11所示。

表3-11 管理脆弱性评估结果3.6 风险分析3.6.1 风险计算方法在完成了资产识别、威胁识别、脆弱性识别，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件的可能性。

综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。

以下面的范式形式化加以说明：))V ,F(I V ),R(L(T,V )T,R(A,a a ==风险值其中：R 表示安全风险计算函数，A 表示资产，T 表示威胁出现频率，V 表示脆弱性，I a 表示安全事件所作用的资产价值，V a 表示脆弱性严重程度，L 表示威胁利用资产的脆弱性导致安全事件发生的可能性，F 表示安全事件发生后产生的损失。

风险计算的过程中有三个关键计算环节：1．计算安全发生的可能性根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性=L （威胁出现频率，脆弱性）=L （T ，V ）在计算安全事件发生的可能性时，本系统采用矩阵进行计算。

二维矩阵见表2-19。

表2-19 安全事件可能性计算二维矩阵表如资产ASSET_01的漏洞利用威胁发生频率为5，资产ASSET_01一些IOS 中的默认配置未关闭脆弱性严重等级为4，根据威胁出现频率值和脆弱性严重程度值在矩阵中进行对照则：安全事件发生的可能性=L （威胁出现频率，脆弱性）=L （5,4）=22根据计算得到安全事件发生可能性值的不同，将它分为5个不同的等级，分别对应安全事件发生可能性的程度。

划分的原则见表2-20。

表2-20 安全事件发生可能等级判断准则根据安全事件发生可能程度判断准则，则发生可能性等级为5。

2．计算安全事件发生后的损失根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失，即：安全事件的损失=F（资产价值，脆弱性严重程度）=F（I a，V a）在计算安全事件的损失时，本系统采用矩阵法进行计算。

该二维矩阵见表2-21。

表2-21 安全事件损失计算二维矩阵表如资产ASSET_01的资产价值等级为3，资产ASSET_01一些IOS 中的默认配置未关闭脆弱性严重等级为4，根据资产价值等级和脆弱性严重程度值在矩阵中进行对照，则：安全事件的损失=F（资产价值，脆弱性严重程度）=F（3,4）=15根据计算得到安全事件的损失的不同，将它分为5个不同的等级，分别对应安全事件的损失程度。