当前位置 主页 > lliiuu.org >

安全风险评价及审计实务指引ispg-sm01-ogciopdf

作者:admin 来源:未知  点击:171
336*280广告

  3439创富168高手论坛融合应用成为关注重点。2018开奖记录开,1.本站不保证该用户上传的文档完整性,不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

  政府资讯科技总监办公室 信息安全 安全风险评估及审计 实务指南 [ISPG- SM01] 第 1.1 版 2017 年 11 月 © 香港特别行政区政府 政府资讯科技总监办公室 香港特别行政区政府保留本文件内容的所有权,未经政府资讯 科技总监办公室明确批准,不得翻印文件的全部或部分内容。 版权公告 © 2017 香港特别行政区政府 除非另有注明,本出版物所载资料的版权属香港特别行政区政府所有。在符合下列条 件的情况下,这些资料一般可以任何格式或媒介复制及分发: (a) 有关资料没有特别注明属不可复制及分发之列,因此没有被禁止复制及分发; (b) 复制并非为制造备份作售卖用途; (c) 必须准确地复制资料,而且不得在可能误导他人的情况下使用资料;以及 (d) 复制版本必须附上「经香港特别行政区政府批准复制/分发。香港特别行政区 政府保留一切权利」的字眼。 如须复制资料作上述核准用途以外的用途,请聯络政府资讯科技总监办公室寻求准 许。 修改记录 修改记录 修改 经修改 修改详情 版本编号 日期 次数 页数 1 G 51 安全风险评估及审计指南第 5.0 版 整份文 1.0 2016 年 12 已转换成安全风险评估及审计实务指 件 月 南。修改报告可于政府内联网 「资讯科 技情报网」查阅: (增加关于信息技术安全管理的新章节、 整份文 1.1 2017 年 11 修定安全风险评估与安全审计的描述, 件 月 及与其他实务指南保持参考上的一致。 安全风险评估及审计实务指南 iii 目录 目录 1. 简介 1 目的 1 参考标准 1 定义及惯用语 2 联络方法 2 2. 信息安全管理 3 3. 安全风险评估与审计简介 5 安全风险评估与审计 5 安全风险评估和安全审计 6 4. 安全风险评估 7 安全风险评估的好处 7 安全风险评估频率和类别 8 安全风险评估步骤 9 常见的保安风险评估工作 28 成品 29 5. 安全审计 30 审计频率及时机 31 审计工具 31 审计步骤 32 6. 服务的先决条件和一般工作 37 假设和限制 37 用户的责任 37 服务的先决条件 38 安全顾问/审计师的责任 38 一般工作示例 39 7. 安全风险评估及审计跟进 40 跟进的重要性 40 有效及合格的建议 40 承担 41 监察与跟进 42 附件A: 安全风险评估提问示例清单 44 附件B: 成品内容示例 47 附件 C: 各种审计领域 49 附件D: 一般控制检查清单 55 附件E: 已记录数据作为遵行证据示例清单 61 安全风险评估及审计实务指南 iv 简介 1. 简介 信息技术安全风险评估和安全审计是信息安全管理的重要组成部分。本文件 提供了参考模型,以便独立安全顾问或审计师所提供的服务,在范围、方法 和成品各方面互相配合。透过这模式,可提高管理层用户、信息技术管理人 员、系统管理员及其他技术和操作人员对安全风险评估和审计的认识,让他 们了解进行安全审计所需的准备工作、应注意的各个方面及安全审计可能得 出的结果。 目的 本文件阐述信息技术安全风险评估和安全审计的一般架构。本文件应按需要 与其他安全文件如《基准信息技术安全政策》[S17] 、《信息技术安全指南》 [G3]及相关程序等一同使用。 本实务指南旨为政府所有需要处理安全风险评估或安全审计的人员、以及为 政府进行安全风险评估或安全审计的安全顾问或审计师而设。 参考标准 以下的参考文件为本文件在应用上的参考:  香港特别行政区政府《基准信息技术安全政策》[S17]  香港特别行政区政府《信息技术安全指南》[G3]  Information technology - Security techniques - Information security management systems – Overview and vocabulary (fourth edition), ISO/IEC 27000:2016  Information technology - Security techniques - Information security management systems - Requirements (second edition), ISO/IEC 27001:2013  Information technology - Security techniques - Code of practice for information security controls (second edition), ISO/IEC 27002:2013  Information technology - Security techniques - Information security risk management (second edition), ISO/IEC 27005:2011 安全风险评估及审计实务指南 1 简介 定义及惯用语 本文件将会采用《基准信息技术安全政策》和《信息技术安全指南》内所使用, 以及以下的定义及惯用词。 缩写及术语 安全风险评估 它是识别、分析和评估安全风险的过程,并决定缓 解措施以降低风险至可接受水平。 安全审计 它是以信息技术安全政策或标准为基础的遵行状况 审计,以确定现有保护的整体状况,并验证现有的 保护措施是否已经妥善地实行 联络方法 本文件由政府资讯科技总监办公室编制及备存。如有任何意见或建议,请寄往: 电邮:Lotus Notes 电邮: IT Security Team/OGCIO/ 安全风险评估及审计实务指南 2 信息安全管理 2. 信息安全管理 信息安全是关于保安控制和措施的规划、实施和持续提升,以保护信息资产 的机密性、完整性和可用性,适用于信息的存储、处理或传输过程及其相关 信息系统中。信息安全管理是一套有关规划、组织、指导、控制的原则和应 用这些原则的法则,来迅速有效地管理实体、财务、人力资源和信息资源, 以及确保信息资产和信息系统的安全。 信息安全管理涉及一系列需要持续监测和控制的活动。这些活动包括但不限 于以下的范畴:  安全管理框架与组织;  管治、风险管理和遵行要求;  安全操作;  安全事件和事故管理;  安全意识培训和能力建立;和  态势感知和信息共享。 安全管理框架与组织 决策局/部门须根据业务需要和政府安全要求,制定和实施部门信息安全政 策,标准,指南和程序。 决策局/部门也须界定信息安全的组织架构,并为有关各方就安全责任提供 清晰的定义和适当的分配。 管治、风险管理和遵行要求 决策局/部门须采用风险为本的方法,以一致及有效的方式识别信息系统的 安全风险、订定应对风险的缓急次序和应对有关风险。 决策局/部门须定期和在必要时对信息系统和生产应用系统进行安全风险评 估,以识别与安全漏洞相关的风险和后果,并为建立具成本效益的安全计划 和实施适当的安全保护和保障措施提供依据。 决策局/部门亦须定期对信息系统进行安全审计,以确保当前的安全措施符 合部门信息安全政策、标准和其他合约或法律上的要求。 安全风险评估及审计实务指南 3 信息安全管理 安全操作 为保护信息资产和信息系统,决策局/部门应根据业务需要实施全面的安全 措施,涵盖业务上不同的技术领域,并在日常操作中采取「预防、侦测、应 急和复原」原则。  预防措施避免或阻止不良事件的发生;  侦测措施识别不良事件的发生;  应急措施是指在发生不良事件或事故时,采取协调行动来遏制损害; 和  复原措施是将信息系统的机密性、完整性和可用性恢复到预期状态。 安全事件和事故管理 在现实环境中,由于存在不可预见并致服务中断的事件,故此安全事故仍可 能会发生。若安全事件危及业务的连续性或引起数据安全风险,决策局/部 门须启动其常规保安事故管理计划,以实时识别、管理、记录和分析安全威 胁、攻击或事故。决策局/部门亦应准备与有关各方适当地沟通,透过分享 对有关安全风险的应急以消除不信任或不必要的猜测。当制定安全事故管理 计划时,决策局/部门应规划和准备适当的资源,并制定相关程序,以配合 必要的跟进调查。 安全意识培训和能力建立 因为信息安全每个人都有责任,所以决策局/部门应不断提升机构内的信息 安全意识,透过培训及教育,确保有关各方了解安全风险,遵守安全规定和 要求,并采取信息安全的良好作业模式。 态势感知和信息共享 因应网络威胁形势不断变化,决策局/部门也应不断关注由安全行业和政府 电脑保安事故协调中心发布的现时安全漏洞讯息、威胁警报和重要通知。应 将即将或已经发生具威胁的安全警报传达及分享给决策局/部门内的负责同 事,以便采取及时的应对措施来缓解风险。 决策局/部门可以利用网络风险信息共享平台接收和分享安全事务、安全漏 洞和网络威胁情报的信息。 安全风险评估及审计实务指南 4 安全风险评估与审计简介 3. 安全风险评估与审计简介 安全风险评估与审计 安全风险评估和审计是一个持续的信息安全实践过程,以发现和纠正安全事 务。如图 3.1 所示,它们涉及一系列活动。它们可以被描述为需要持续监察 和控制的迭代过程的循环。每个过程由不同的活动组成,以下为一些例子。 识别威胁、漏洞并确定 评估安全风险 其影响 实施及维持 制订政策、分派安全职 责及采取安全保障措施 安全的架构 定期覆检和 安全审计 Maintaining a SecureMaintaining a Secure 覆检及改进 FrameworkFramework 事故监察及审计追踪 Assessing Security 监察及记录 Risks 图 3 .1 安全风险评估与审计的循环程序 评估安全风险是评估和识别与安全漏洞相关之风险及后果的第一步,同时可 为管理层提供基础,以制订具成本效益的安全计划。 根据评估结果,应采取适当的安全保护和保障措施,以维持安全的保护架构, 其中包括制订新的安全要求、修订现时的安全政策和指南、分派安全职责和 采取安全技术保护措施。 通过实施安全架构,还需要持续的监察及记录,以便妥善安排处理安全事故。 此外,日常操作如需要使用资源或信息以作用户访问的尝试和活动,应进行 适当的监察,审核和记录。 评估后要对措施的遵守情况,进行周期性覆检和重新评估,以确保安全控制 措施获切实执行,达到用户的安全要求,并紧贴急速发展的技术和不继转变 的环境。此模型有赖持续反馈和监察。覆检可透过定期安全审计进行,以找 出需要改进之处。 安全风险评估及审计实务指南 5 安全风险评估与审计简介 安全风险评估和安全审计 安全风险评估和安全审计都是持续的过程,但在性质和功能方面是有所不同。 安全风险评估是识别,分析和评估安全风险的过程,并决定缓解措施以降低 风险至可接受水平。安全风险评估是风险管理流程的一部分,旨在为信息系 统提供适当的安全级别。它有助识别安全漏洞所造成的风险和后果,并为建 立具成本效益的安全计划和实施适当的安全保护和保障措施提供依据。 对于新的信息系统,安全风险评估通常在系统开发生命周期开始时进行。对 于现有的系统,评估须在整个系统开发生命周期中定期进行,或在信息技术 环境有重大改变时进行。 信息安全审计是以信息技术安全政策或标准为基础的遵行状况审计,以确定 现有保护的整体情况,并验证现有的保护措施是否已经妥善地实行。安全审 计是持续的过程,以确保现时的安全措施符合部门的信息技术安全政策、标 准和其他协议上或法律要求。 虽然安全风险评估与安全审计在某些功能上有相似之处,但是它们之间有以 下的重要分别。 安全风险评估 安全审计 识别威胁和漏洞、评估所涉及的风险 确定在部门信息技术安全政策、标准 水平、确定可接受的风险水平和相应 和其他协议上或法律要求的安全措施 的风险缓解策略 有效地实行的过程 从风险角度出发,评估范围不一定与 从遵守规定的角度出发,评估根据安 安全政策和标准相关 全政策、标准或其他预定的准则 对于新的信息系统,在系统开发生命 定期审查,持续进行 周期的早期和系统投入生产之前进行 对于现有的信息系统,至少每两年一 次或有重大变更时进行 可自行评估或由独立第三方完成 必须由独立第三方完成 主要成品:风险登记和风险缓解措施 主要成品:遵行要求清单 第 4 节和第 5 节会分别介绍实行安全风险评估和安全审计流程的细节。 安全风险评估及审计实务指南 6 安全风险评估 4. 安全风险评估 安全风险评估是识别、分析和评估安全风险的过程,并确定缓解措施以降低 风险至可接受水平。 系统评估程序包括识别和分析:  系统的所有资产和相关程序  可影响系统机密性、完整性或可用性的威胁  系统漏洞和相联的威胁  威胁活动带来的潜在影响和风险  减低风险所需的保护要求  适当安全措施的选择,和风险关系的分析 应就系统编制完整清单及安全要求,以作为识别和分析活动的资料,使分析 的结果更为有用和准确。与管理员、计算机/网络操作员或用户等有关各方 进行访谈,亦可提供更多分析数据。视乎评估的范围、要求和方法,亦可利 用自动化安全评估工具进行分析。评估所收集的资料后,呈报已发现的安全 风险清单,并就各项风险而决定、推行及采用适当的安全措施。 负责分析所收集的资料及权衡安全措施工作的人员需具备深厚的专业知识和 丰富的经验,应委任合资格的安全专家进行安全风险评估。 安全风险评估的好处  可全面和有条理地向管理层反映现有的信息技术安全风险和所需的安全保 障措施  以合理客观的方式制订信息技术安全开支和成本预算  为决策和政策考虑提供不同的解决方案,使信息安全管理能够从策略性的 层面推行  为日后比较信息技术安全措施的变化提供依据 安全风险评估及审计实务指南 7 安全风险评估 安全风险评估频率和类别 4.2.1 安全风险评估频率 安全风险评估持续不懈地进行。对于一个新的信息系统,评估应在系统开发 生命周期之初进行,以能及早识别安全风险和选择适当的安全控制。而对于 使用中的信息系统,必须至少每两年或于系统有重大改动时作评估,以了解 信息系统存在的风险。安全风险评估只能概括地揭露在某特定时间信息系统 所存在的风险。对于关键业务信息系统,应更频密地进行安全风险评估。 4.2.2 安全风险评估类别 视乎评估的目的和范围,安全风险评估可分为不同类别,而进行的时间则视 乎系统要求和资源而定。 (i) 高层次评估:此类评估注重以较具策略的角度和有系统的步骤,分析部 门的安全状况及系统的整体基础结构或设计。在此类评估中,拥有众多信息 系统的决策局/部门倾向于就其信息系统进行高层次的风险分析,而并非详 细的技术控制覆检。此类评估亦可应用于尚处于规划阶段的系统,以便在设 计系统前识别风险或覆检一般安全控制措施。 (ii)全面评估:一般会定期对决策局/部门的信息系统进行此类评估,以确 保系统的安全。全面评估可用以评估决策局/部门内某个特定的信息系统所 存在的风险,并提供改进建议。在资料收集阶段,将会进行一般控制覆检、 系统覆检及安全漏洞识别。而验证过程应跟随其后,以确保所有建议的保救 措施得到切实的跟进。 (iii) 投入运作前评估:与「全面评估」所进行的工作类似,通常会在新的 信息系统推出前或原有系统出现重大功能变动后进行此类评估。对于新的信 息系统,决策局/部门应在设计阶段进行安全覆检,确保已识别所需的安全 要求,并适当地引入于系统设计阶段或其他阶段。应在生产前的安全风险评 估中核实安全覆检的跟进行动,以确保系统在正式推出前已推行所需的安全 措施及控制措施。 安全风险评估及审计实务指南 8 安全风险评估 安全风险评估步骤 安全风险评估包括图4 .1 所示的几项主要工作:规划、资料收集、风险分析、 安全保障措施识别及选择,和监察及推行。 1. 规划 2. 资产识别与 安全威胁分析 安全漏洞分析 收集资料 估值 3. 资产/ 威胁/ 漏洞配对 风险分析 影响及可能性评估 4. 识别及选择 保障措施 风险结果分析 5. 监察及推行 图 4 .1 一般安全风险评估步骤 4.3.1 规划 在评估安全风险前,须就筹备、监察和控制等工作进行规划。其中一个建议 是假如风险评估活动牵涉渗透测试或漏洞扫瞄,应事前通知持份者如网络小 组、应用系统小组及安全事故处理小组,以避免产生过多错误警报,影响日 常运作。以下是应事先界定的主要事项。  计划范围和目标  背景资料  限制  相关人士的职务和职责  方式和方法  计划规模和时间表  保护数据和工具 安全风险评估及审计实务指南 9 安全风险评估 计划范围和目标 计划范围和目标可影响分析方式和安全风险评估所得出的成品种类。安全风 险评估的范围可涵盖内部网络与互联网的连接、计算机中心的安全保护措施, 以至整个部门的信息技术安全状况。因此,相应目标可能需要识别安全要求, 如内部网络与互联网连接时的保护措施、识别计算机室内存在潜在风险的地 方,或评估部门的整体信息技术安全水平。安全要求应根据业务需要而制订 (一般由高级管理层决定),以识别决策局/部门所需采取的安全措施。 背景资料 背景资料是指可就评估供顾问作初步参考的有关资料,例如正受评估系统的 过去和现况资料、有关联的各方、上次评估的撮要资料,或即将发生并可能 影响评估的改变。 限制 各种限制包括时间、财政预算、成本和技术等均应加以考虑。这些限制可能 影响计划的时间表和支持评估的可用资源。举例来说,评估宜需在非繁忙办 公时间,甚至非办公时间进行。 相关人士的职务和职责 应小心界定参与计划各方的职务和职责。为使评估达到最佳效果,宜分派代 表各个工作领域的团队或小组,分别负责指定的工作。视乎工作安排和要求, 部分或全部下列人士均可参与计划:  系统或数据拥有人  信息技术安全主任  计算机操作人员  系统或网络管理员  应用程序或系统开发人员  数据库管理员  用户或高级用户  高级管理层  外聘承包商 安全风险评估及审计实务指南 10 安全风险评估 方式和方法 评估方式和方法是指分析资产、威胁、漏洞和其他因素之间的关系。分析方 法有许多,大致上可分为两大类:定量和定性分析。 为发挥更大效用,为评估所选的方法应能够就风险的影响和安全问题的后果 作出定量报告,同时作出一些定性分析,以描述对风险减到最低的适当安全 措施及其影响。下文将阐述这两种分析方法的详情。 计划规模和时间表 编定计划的时间表是评估的重要步骤之一。时间表须列明评估计划中将要进 行的所有重要工作。预计的计划规模(例如计划成本和参与计划的人数)可 直接影响计划时间表。计划时间表可用来控制进度和监察计划。 保护数据和工具 在安全风险评估的各个阶段,将收集大量数据和系统配置,而其中可能包含 敏感资料。 因此,评估小组应确保安全地储存所收集的所有数据。在规划阶段应准备档 案加密工具和锁柜/可上锁的工作室,以防止未获授权人士取阅敏感数据。 此外,应妥善存置、控制及监管评估工具以免遭滥用。只有评估小组内的有 关专家方可运作有关工具,以防对系统造成损害。除非采取适当控制措施以 防止未获授权访问上述工具,否则亦应在使用后即时将其删除。 完成评估程序后,将会编撰安全风险评估报告以记录发现的所有风险。如遭 未获授权访问有关数据( 尤其是在修正系统前) ,可能会对有关决策局/部门构 成直接威胁。因此,评估小组在编撰安全风险评估报告中及完成报告后,必 须采取适当的措施保护有关报告。高级管理层亦应严格保密安全风险评估报 告。最后,评估小组须将所有要求提供的数据和文件归还有关决策局/部门。 安全风险评估及审计实务指南 11 安全风险评估 4.3.2 资料收集 数据收集的目的在于了解现有系统和状况,并透过分析所收集的资料/数据, 以确认风险所在。 一般来说,不论相关数据以何种格式储存,都应予以收集。以下是一般收集 的资料:  安全要求和目标  系统或网络的结构和基本设施,例如显示信息系统资产配置和互连情况的 网络图  向公众公开或网页上发布的资料  硬件设备等实体资产  操作系统、网络管理系统及其他系统  数据库、档案等信息内容  应用系统和服务器数据  网络支持的规约和提供的服务等数据  访问控制措施  业务流程、计算机操作程序、网络操作程序、应用系统操作程序等程序  识别及认证机制  相关的法定,规管及合约要求以符合有关最低安全控制的要求  成文或非正式政策和指南 常见的数据收集方法一般有两种:  一般控制覆检  系统覆检 安全风险评估及审计实务指南 12 安全风险评估 一般控制覆检 一般控制覆检是透过人手,以访谈、实地走访、文件覆检、观察等方法,以 识别在现时环境推行中一般控制的潜在风险和威胁。这些控制和程序包括但 不限于:  部门信息技术安全组织,特别是人员的职务与职责  管理职责  信息技术安全政策  人力资源安全,包括安全意识培训  资产管理  访问控制,例如密码政策、访问权限  加密方法  实体及环境安全  操作安全  通讯安全  系统购置、发展及维护  外包信息系统的安全  安全事故管理  信息技术安全方面的业务连续性管理  遵行要求 在收集数据时可采用以下方法:  实地走访:应安排走访数据中心、计算机室和办公室,以找出实体安全风 险。此外,安全小组应在实地观察时记录有关系统操作和终端用户的行为 (例如使用设置密码的屏幕保护),以复核有关安全政策是否被严格遵从。  小组讨论:评估小组可举办小组讨论或研讨会,以搜集有关部门/決策局 或信息系统现时安全情况(控制或风险) 的数据。视乎所欲取得的目标数据, 可以任何形式及话题进行讨论。  与各级人员进行访谈:此外,与不同级别的重要人员或代表进行实地访谈 也宜验证之前收集到的资料,从而提高所收集资料的准确度和完整性。  问卷调查:问卷调查或清单是有效的简单工具用来识别潜在风险。问卷调 查可由安全顾问按环境的个别情况设计。 安全风险评估及审计实务指南 13 安全风险评估 举例来说,与各级人员进行访谈的对象可包括以下人员级别 :  高级管理层:负责作出策略性决策(例如评估范围和目标)  业务管理层:须了解受策略性安全更改影响的主要业务流程和程序  人事部人员:须识别就系统安全和使用权对人员招聘、终止雇用及转调推 行的具体控制措施  操作和技术人员:提供技术和操作数据 就高层次评估或设计阶段的评估而言,采用实地走访及问卷调查的方法未必 适合或可行。因此,安全评估小组应着重透过小组讨论和与各级人员进行访 谈等活动收集资料。 附件A 所载为安全风险评估的一般提问清单 。 系统覆检 系统覆检是从内部访问点,识别网络或系统的任何安全漏洞和薄弱环节。系 统覆检着重不同平台的操作系统、管理和监察工具。 系统覆检的内容包括:  系统档案或记录  操作中的程序  访问控制档案  用户列表  配置设定  安全修补程序级别  加密或认证工具  网络管理工具  记录或入侵检测工具 评估小组也应找出是否存在企图入侵等异常活动。 为了更有效及全面地收集上述数据,可在目标主机上采用因应个别需求而设 计的自动化脚本及/或工具,藉以取得有关系统的具体数据。这些资料将会 用于稍后阶段的风险分析。 安全风险评估及审计实务指南 14 安全风险评估 当有需要时,应进行技术性漏洞测试如漏洞扫描及渗透测试,以识别网络或 系统的漏洞和弱点。在进行漏洞扫描及/ 或渗透测试前,评估小组应就范围、 可能的影响、及回退/ 复原程序得到决策局/部门的同意。如果涉及关键业务 系统,则应以业务连续性计划及运作复原计划为基础。 在适当情况下,应进行网络、主机及系统的漏洞扫描以覆盖至少以下内容:  网络层面试探/ 扫描和发现  主机漏洞测试和发现  系统/ 应用程序(包括网上系统/ 应用程序)扫描 评估小组应覆检是否已对所有适用及已知的漏洞,包括但不限于由政府电脑 保安事故协调中心所发出的所有相关安全警报,安装修补程序或采用替补的 措施。 对于面向互联网并处理保密数据的网上应用系统、设有输入字段的网站或关 键业务系统,亦应进行网页渗透测试。 有关漏洞扫描及/ 或渗透测试的详情,请参考第 4 .3.3.3 节 –安全漏洞分析。 4.3.3 风险分析 风险分析有助厘定资产价值及其相关风险。应进行各方面的风险分析,包括 但不限于以下范畴:  人力资源安全  资产管理  访问控制  加密方法  实体及环境安全  操作安全  通讯安全  系统购置、发展及维护  外包信息系统的安全  信息技术安全方面的业务连续性管理 安全风险评估及审计实务指南 15 安全风险评估 风险分析程序一般可分为上文图 4.1 所示的子程序:  资产识别与估值  安全威胁分析  安全漏洞分析  资产/威胁/漏洞配对  影响及可能性评估  风险结果分析 下文将概括阐述风险分析子程序。 此外,决策局/部门在分析与电子服务(包括政府与市民(G2C) 和政府与雇员 (G2E) 应用系统) 登记和认证程序有关的风险时可参考《电子认证风险评估参 考架构》中的保证模式。 资产识别与估值 安全风险评估范围内的所有资产必须予以识别,包括数据、服务、声誉、硬 件和软件、通讯、界面、实体资产、支持设施、人员和访问控制措施等有形 和无形资产。 数据分类是评估程序的关键步骤,而各项资产可归入不同的类别,例如资产 可归类为程序、应用程序、实体资产、网络或某类数据。归类的目的是反映 这些资产对评估对象系统或领域的重要性。 值得注意的是,资产估值法将会因应采纳的分析方法不同而各不相同。风险 分析法将在第4 .3.3.6 节– 风险结果分析中阐述。 资产价值可以下列方式表达:  有形价值,例如信息技术设施的重置成本、硬件、软件、系统数据、媒体、 供应器、档案,以及支持系统的信息技术人员  无形价值,例如商誉和服务质量的改善  信息价值,例如机密性、完整性及可用性  资产所储存、处理或传输数据的数据分类 资产识别与估值是制备资产清单的先决工序。资产列表以有形价值和无形价 值反映资产的相应价值( 如有) ,或以机密性、完整性及可用性等显示资产的 信息价值。清单所列的资产价值如越需精确,完成资产识别与估值工序所需 的时间也越长。 安全风险评估及审计实务指南 16 安全风险评估 资产清单包括但不限于:  信息资产的名称和种类  资产的实体位置  储存媒体和销毁储存/处理资料前的保留期  储存/处理数据的性质,例如是备份还是正本  显示资产重要性/价值的指标,例如敏感程度、操作需要或关键性  传入/发出的信息流通,例如经电邮、拨号调解器或其他电讯媒介连接的 传输信息模式  已安装的软件  开发和维修费用  各项已识别的资产价值 安全威胁分析 安全威胁是指可能会为信息资产、系统及网络的机密性、完整性及可用性带 来负面影响的潜在事件或任何情况。安全威胁分析宜不时修订,以反映信息 资产所面对的任何新潜在威胁。 安全威胁源自:  人为错误  心怀不满的雇员  恶意或大意的人员  滥用系统及计算机资源  计算机诈骗  盗窃  商业间谍  自然灾害 安全风险评估及审计实务指南 17 安全风险评估 安全威胁分析的目的是找出安全威胁,并厘定发生安全威胁的可能性及其破 坏系统或资产的潜力。系统误差或控制记录可转化为安全威胁数据和统计数 字,所以是有用的数据源。 安全威胁可分为三大类:  社群威胁:与人为因素直接相关的蓄意或无意安全威胁,例如人为错误、 遗漏或疏忽造成的结果、盗窃、诈骗、滥用、损害、破坏、泄漏及窜改数 据  技术威胁:因技术问题导致的安全威胁,例如程序错误、设计瑕疵、通讯 线路(例如电缆)的破损  环境威胁:因环境灾害导致的安全威胁,例如火灾、水浸、停电、及地震 安全漏洞分析 安全漏洞是指于操作、技术和其他安全控制措施和程序中能够令安全威胁有 机可乘,以致资产因而受损的薄弱环节,例如第三方拦截传输中的数据,未 获授权访问数据等。 安全漏洞分析是指找出和分析系统及环境中的安全漏洞。安全漏洞分析强调 系统化地衡量这些漏洞。 各个漏洞均可评定为不同级别或程度(例如高、中、低)以反映其重要性。 而重要和关键资产必须先行确认。 识别安全漏洞是在自动化工具或程序的辅助下,采用以下一种方法找出网络 的安全漏洞: (i) 安全漏洞扫描 评估小组可使用自动化安全漏洞扫描工具进行安全漏洞扫描,从而快速 找出目标主机或网络设备存在的安全漏洞。与抗恶意软件方案相类似, 扫描工具安装在评估小组的计算机上,并需在使用前定期更新漏洞标识 符档案。根据用户要求,会对单个或一组主机/网络进行已知安全漏洞 扫描服务(例如系统容许匿名档案传送规约、电邮转递)扫描,以确定 是否存在任何安全漏洞。 在安全漏洞扫描过程中,由于自动化漏洞扫描工具可产生大量系统要求, 故接受扫描的各目标组群的系统和网络的性能可能受到影响。评估小组 应与系统和网络管理员合作制订计划,以使安全漏洞扫描过程中发生服 务中断的可能性降至最低。 安全风险评估及审计实务指南 18 安全风险评估 此外,值得注意的是,自动化扫描工具找出的安全漏洞,在该系统环境 中未必是真的安全漏洞。举例来说,由于可能已采取辅助控制措施,故 自动化扫描软件标记的某些「安全漏洞」实际上未必会成为安全隐患。 因此,此测试方法可能会发出虚假警报,故评估小组须作出专业判断以 确定所发现的安全漏洞是否对系统有所影响。 网络安全漏洞扫描是在短时间内收集漏洞数据的有效方法。与渗透测试 不同,网络安全漏洞扫描并无渗透入网络内部,亦无尝试利用发现的安 全漏洞测试网络。因此,倘需要进行更为深入的安全分析,可采用渗透 测试。 应用程序如网上应用程序或流动应用程序,在安全漏洞被利用前,应该 先进行应用程序安全漏洞扫描,以找出安全漏洞。 (ii) 渗透测试 渗透测试可在内部或从外部进行。渗透测试以人手程序,并辅助以可安 装在便携式计算机的自动化工具,来扫描网络或系统,以得出连接工作 站和服务器的网络图,同时尝试渗透被测试的网络和系统,在网络和系 统内部或从外部找出安全漏洞。 渗透测试也可能包括与用户进行访谈和运用不同的黑客入侵技巧测试系 统或网络。在进行入侵测试前,必须全面地计划和商定具体的入侵程度 和种类。入侵测试宜在访问某系统后,或在进一步深入分析被渗透的系 统后停止。在决定进行入侵测试前,应寻求服务供货商或安全评估小组 的建议。若要进行外来的道德黑客入侵,应事先解决法律上的问题。 渗透测试的目的包括但不限于:  测试系统抵御蓄意攻击的能力,以找出安全薄弱环节  测试及验证安全防护及控制的效率  测试侦测及应对攻击的防御能力 安全风险评估及审计实务指南 19 安全风险评估 图4.2 描述渗透测试的一般步骤: 界定渗透测试 的范围和目的 规划 进行测试 报告结果和 建议 图 4.2 渗透测试的一般步骤 决策局/部门在进行渗透测试时应特别小心,因为该测试可能会给系统 造成与真实攻击类似的影响,例如服务中断、未获授权访问或未获授权 修改数据等。因此,在进行渗透测试之前,决策局/部门应考虑以下安 全问题:  必须清晰界定测试的范围和目标;不得对界定范围以外的机器/系 统进行测试。  进行渗透测试的服务供货商应与系统拥有人讨论及得到其准许,决 定进行入侵攻击及拒绝服务攻击是否适当及其影响。  服务供货商须签署不可向外披露数据协议,以保障系统内数据的保 密或机密性。  只委聘信誉卓著且记录良好的服务供货商,并考虑对服务供货商进 行背景和资格审查,以确保有关供货商具备所需的经验和专业知识。  由于渗透测试可能会影响目标系统中数据的完整性,所以必须为目 标系统制作最新的完整系统备份。  清楚界定「达成任务」的条件,例如将档案放入指定目录、取得某 些测试帐户的密码、访问到拥有妥当访问控制保护的指定网页等。 不得修改或删除生产数据。 安全风险评估及审计实务指南 20 安全风险评估  向服务供货商提供联络人名单(例如系统拥有人、信息技术管理员), 在突发事件发生时作联络之用。如在测试过程中出现任何突发事件, 服务供货商应联络有关人员,汇报情况。  取得服务供货商的联络人名单,以在必要时即时停止所有测试。  在进行渗透测试之前,知会并警示安全监控供货商,除非测试旨在 评估安全监控供货商监控的效能。  事先取得将进行测试的机器的源互联网规约地址,以便透过检查和 比较入侵检测/防御系统记录以判断是否遭受真实攻击。考虑安排 渗透测试在非繁忙工作时间进行。  确保服务供货商即使可成功访问用户数据,亦不会修改任何数据。 渗透测试示例如下:  远程互联网防火墙渗透测试:互联网规约地址试探、传输控制规约 或用户数据报规约试探、基于规约的拒绝服务攻击,例如互联网控 制信息规约瘫痪、域名服务伪冒,和基于服务的渗透测试,例如电 邮服务器的渗透测试、暴力密码攻击和电邮轰炸  实地防火墙渗透测试:小包嗅探、互联网规约地址伪冒、源路由小 包及劫持通讯对话  拨号网络渗透测试:暴力密码攻击和拨号式扫描  应用系统渗透测试:包括但不限于配置及使用管理测试、认证测试、 身分管理测试、对话管理测试、误差处理等 须对这些自动化工具推行严格的访问控制,以禁止任何未获授权访问。 由于利用这些工具能够对系统或网络发动拒绝服务攻击等模拟攻击,在 使用自动化工具时,安全评估小组和系统管理员应密切监视这些工具。 有关渗透测试的详情,请参阅《渗透测试实务指南》。 资产/威胁/漏洞配对 将威胁与资产和漏洞配对有助确认资产、威胁和漏洞可能形成的各种组合。 各个威胁均能够与一个特定漏洞,甚至多个漏洞配对。除非漏洞令威胁有机 可乘,否则威胁并不能对资产构成风险。 在进行风险结果分析前,应减少各种可能形成的组合。部分组合可能毫无意 义或根本不能形成。资产、威胁及漏洞三者之间的关系对分析安全风险至关 重要。计划范围、财政预算和其他限制等因素,也可能影响配对的深度和广 度。 安全风险评估及审计实务指南 21 安全风险评估 影响及可能性评估 为资产、威胁和漏洞配对后,便能够确定影响和可能性。 (i) 影响评估 影响评估(或称影响分析或后果评估)即估计可能发生的整体破坏或损 失的程度。评估的影响包括收入、利润、成本、服务水平和政府声誉、 对相关系统机密性、完整性及可用性的损害。此外还须考虑能够承受的 风险水平,以及哪些资产会如何和何时受到这些风险影响。安全威胁的 影响越严重,风险也越高。 (ii ) 可能性评估 可能性评估是对安全威胁发生频率的估计,即发生的或然率。可能性评 估须观察影响风险发生可能性的环境。一般而言,一个系统的漏洞令某 一威胁有机可乘的可能性可根据不同情况衡量,如系统可供访问的程度 和获授权用户的人数。可访问系统的程度可能受实体访问控制、系统配 置、网络种类、网络布局和网络界面等多种因素影响。与互联网连接的 系统比内部系统的漏洞更容易令威胁有机可乘。前者的获授权用户(即 公众)人数亦可能远多于后者,内部系统的用户人数通常有限。与用户 人数成千上百的系统相比,只有一名用户的系统显然不大容易令威胁有 机可乘。能够访问系统的人数越多,确保个别用户只进行获准操作的难 度便越大。正常来说,当获授权用户的人数愈多,漏洞被利用的可能性 愈高。 可能性是以发生的频率(例如每天一次、每月一次及每年一次)表达。 安全威胁的可能性越高,风险也越高。举例来说,如应用软件有一个众 所周知的安全漏洞,乘此漏洞发生蓄意社群威胁的可能性就很高。如果 受影响的系统极为关键,则影响也极为严重。由此得出的结果是该威胁 具有高风险。 厘定已确认的各个风险的影响和可能性,便能够估计整体的风险水平。 在估计风险水平时应订明假设。 安全风险评估及审计实务指南 22 安全风险评估 风险结果分析 风险结果可利用不同的方式和方法分析:定性、定量和矩阵法。 (i) 定性和定量法 定性法是根据经验和判断,以描述性、文字等级或排序反映重要/严重 程度的方法,例如过去的经验、市场调查、行业实务及标准、调查、访 谈和专业人士/专家的判断。定性法须主观地为风险评级,例如按高、 中、低评级;由 1 至 5 按序排列;或从重要程度最低向最高排列等。定 性法较为主观。 举例来说,资产的价值可以重要程度表达,例如不重要、重要和非常重 要。 定量法是利用数字数据得出百分比或数值的方法,例如成本/效益分析。 定量法所需的时间和资源均多于定性法,因为定量法需要考虑并为每个 可能的因素(即资产、威胁或漏洞)评级。 举例来说,资产的价值可以购入价或维修费用等金钱价值表达。安全威 胁的频率可以发生率表达,例如每月一次或每年一次。 定性法一般在初步筛选时使用,而定量法则用来对一些关键因素进行更 详尽和具体的分析,以及进一步对高风险领域进行分析。 (ii ) 矩阵法 矩阵法以三种不同的严重程度(高、中、低),记录和估计安全保护措施 的三个关键要求:机密性、完整性及可用性。风险水平可根据各风险因 素的严重程度排列次序。风险诠释应局限于最重要的风险,以节省整体 人力物力和减低复杂程度。 安全风险评估及审计实务指南 23 安全风险评估 表4 . 1 所示为某个特定安全威胁对某功能或某资产的风险分级矩阵示例。 影响和可能性栏内的数字显示了风险级别(3—— 高、2—— 中、1—— 低)。由于风险水平是影响值乘可能性值的积,所以风险水平值可介乎 1 至 9 不等(9——高、4 及 6—— 中、1 至 3——低),不包括 5 、7 、8 (因 为影响值乘可能性值的积不可能等于 5 、7 、8 )。利用风险分级矩阵便能 够将各个安全威胁归入某个整体风险水平级别。 风险类别 影响 可能性 风险水平 (高、中、低) (高、中、低) 影响 X 可能性 (高、中、低) 机密性 3 2 6 完整性 3 1 3 可用性 2 1 2 整体 3 2 6 表 4.1 风险分级矩阵示例 表4 . 1 备注:  影响(高): 非常重要:可对机构造成重大损失和严重破 坏;造成极大的、灾难性或严重的长期破坏 /干扰 例如拒绝服务;未获授权访问系统  影响(中): 重要:对机构不利的中度损失;造成严重的 短期破坏/干扰或有限的长期破坏/干扰 例如入侵者可收集系统的关键数据,以便在 未获授权的情况下访问,或展开进一步攻击  影响(低): 不重要:对机构损害轻微,或不构成损害的 轻微损失;造成有限的短期破坏/干扰 例如入侵者可能取得非关键数据  可能性(高): 在大部分情况下预期会发生  可能性(中): 偶尔会发生  可能性(低): 在某特定时间或在特殊的情况下发生 安全风险评估及审计实务指南 24 安全风险评估  风险水平(高): 对风险的承受能力低,即需要最高级别的安 全保护措施  风险水平(中): 对风险的承受能力一般  风险水平(低): 对风险的承受能力较强  整体结果 在各级风险頪别中,最高安全风险水平 将风险类别再细分为子类别,再附上更多风险水平的加权数值,便能够 进一步扩充上列矩阵。 确定风险水平后,便能够为已确认的各项资产编制技术、操作和管理要 求清单。由于不可能完全杜绝风险,有关清单 (如表4 .2 所示)可成为 承受、减低、避免或转介风险决策的依据。 评估结果 可选方案 描述  后果轻微/可能性低 承受风险 承担责任  可用性或其他因素比安全因 素重要  不可承受的高风险 减低风险 减轻后果或减低可能 性,或一并减低  风险过高,或费用过高,因 避免风险 采用其他方法,或不再 而无法减低,也无法管理 进行可能引发风险的工 作  另一方愿意承受风险 转介风险 将部分或全部风险责任  另一方控制风险的能力更强 转移给另一方 表 4 .2 风险方案表 对于选定的任何方案,必须向管理层提出如何实施所选方案的建议。此 外,如果选择减低风险,还须建议保障和安全措施。 然后按风险的重要性和潜在影响,为各个风险排列先后次序。一般而言, 安全风险水平越高,排

  请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。用户名:验证码:匿名?发表评论

……
http://www.lliiuu.orgwww.lliiuu.com,六合网心水论坛,www.5050kj.com,5050开奖现场,www.50600.com,六合封神榜论坛,www.491678.comwww.lliiuu.com,六合网心水论坛,www.5050kj.com,5050开奖现场,www.50600.com,六合封神榜论坛,www.491678.com
关键词2| 香港正版马会生活幽默| 香港正版挂牌彩图正挂| 香港马会白小姐急旋风| 香港正版挂牌最新资料| 香港马会彩图最快更新| 一肖一码规律平特一肖| 香港财神到官方网提供| 澳门三合图库电脑版| 天下天空彩票与你同行|