第一篇：信息安全_風(fēng)險(xiǎn)評(píng)估_檢查流程_操作系統(tǒng)安全評(píng)估檢查表_HP-UNIX

HP-UX Security CheckList

HP-UX Security CheckList

HP-UX Security CheckList HP-UX Security CheckList

目錄

HP-UX SECURITY CHECKLIST................................................................................................1 1 初級(jí)檢查評(píng)估內(nèi)容...................................................................................................................5 1.1 系統(tǒng)信息...........................................................................................................................5

系統(tǒng)基本信息...........................................................................................................5 系統(tǒng)網(wǎng)絡(luò)設(shè)置...........................................................................................................5 系統(tǒng)當(dāng)前路由...........................................................................................................5 檢查目前系統(tǒng)開放的端口.......................................................................................6 檢查當(dāng)前系統(tǒng)網(wǎng)絡(luò)連接情況...................................................................................6 系統(tǒng)運(yùn)行進(jìn)程...........................................................................................................7 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.2 物理安全檢查...................................................................................................................7

檢查系統(tǒng)單用戶運(yùn)行模式中的訪問控制...............................................................7 1.2.1 1.3 帳號(hào)和口令.......................................................................................................................7

檢查系統(tǒng)中Uid相同用戶情況...............................................................................8 檢查用戶登錄情況...................................................................................................8 檢查賬戶登錄嘗試失效策略...................................................................................8 檢查賬戶登錄失敗時(shí)延策略...................................................................................8 檢查所有的系統(tǒng)默認(rèn)帳戶的登錄權(quán)限...................................................................9 空口令用戶檢查.......................................................................................................9 口令策略設(shè)置參數(shù)檢查...........................................................................................9 檢查root是否允許從遠(yuǎn)程登錄............................................................................10 驗(yàn)證已經(jīng)存在的Passwd強(qiáng)度...............................................................................10 用戶啟動(dòng)文件檢查.................................................................................................10 用戶路徑環(huán)境變量檢查.........................................................................................11 1.3.1 1.3.2 1.3.3 1.3.4 1.3.5 1.3.6 1.3.7 1.3.8 1.3.9 1.3.10 1.3.11 1.4 網(wǎng)絡(luò)與服務(wù).....................................................................................................................11 系統(tǒng)啟動(dòng)腳本檢查.................................................................................................11 TCP/UDP小服務(wù)...................................................................................................11 login(rlogin)，shell(rsh)，exec(rexec)...................................................................12

1.4.1 1.4.2 1.4.3 HP-UX Security CheckList HP-UX Security CheckList

1.4.4 1.4.5 comsat talk uucp lp kerbd.......................................................................................12 Sadmind Rquotad Ruser Rpc.sprayd Rpc.walld Rstatd Rexd Ttdb Cmsd Fs Cachefs Dtspcd Gssd............................................................................................................................12 1.4.6 1.4.7 1.4.8 1.4.9 1.4.10 1.4.11 1.4.12 1.4.13 1.4.14 1.4.15 1.5 遠(yuǎn)程打印服務(wù).........................................................................................................13 檢查是否開放NFS服務(wù).......................................................................................13 檢查是否Enables NFS port monitoring.................................................................14 檢查是否存在和使用 NIS ,NIS+..........................................................................14 檢查sendmail服務(wù)................................................................................................14 Expn, vrfy(若存在sendmail進(jìn)程)........................................................................15 SMTP banner...........................................................................................................15 檢查是否限制ftp用戶權(quán)限..................................................................................16 TCP_Wrapper..........................................................................................................16 信任關(guān)系.................................................................................................................16 文件系統(tǒng).........................................................................................................................17 suid文件.................................................................................................................17 sgid文件.................................................................................................................17 /etc 目錄下可寫的文件.........................................................................................18 檢測(cè)重要文件目錄下文件權(quán)限屬性以及/dev下非設(shè)備文件系統(tǒng).....................18 檢查/tmp目錄存取屬性........................................................................................18 檢查UMASK.........................................................................................................19 檢查.rhosts文件.....................................................................................................19 1.5.1 1.5.2 1.5.3 1.5.4 1.5.5 1.5.6 1.5.7 1.6 日志審核.........................................................................................................................22 Cron logged.............................................................................................................22 /var/adm/cron/.........................................................................................................22 Log all inetd services..............................................................................................23 Syslog.conf..............................................................................................................23 1.6.1 1.6.2 1.6.3 1.6.4 1.7 1.8 2 UUCP服務(wù).....................................................................................................................23 XWINDOWS檢查.............................................................................................................23 中級(jí)檢查評(píng)估內(nèi)容.................................................................................................................25

HP-UX Security CheckList HP-UX Security CheckList

2.1 安全增強(qiáng)性.....................................................................................................................25 TCP IP參數(shù)檢查....................................................................................................25 Inetd啟動(dòng)參數(shù)檢查................................................................................................26 Syslogd啟動(dòng)參數(shù)檢查...........................................................................................27 系統(tǒng)日志文件內(nèi)容檢查.........................................................................................27 系統(tǒng)用戶口令強(qiáng)度檢查.........................................................................................27 系統(tǒng)補(bǔ)丁安裝情況檢查.........................................................................................27 系統(tǒng)審計(jì)檢查.........................................................................................................27 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5 2.1.6 2.1.7 3 高級(jí)檢查評(píng)估內(nèi)容.................................................................................................................28 3.1 3.2 3.3 3.4 后門與日志檢查.............................................................................................................28 系統(tǒng)異常服務(wù)進(jìn)程檢查.................................................................................................28 內(nèi)核情況檢查.................................................................................................................28 HP-UX Security CheckList 初級(jí)檢查評(píng)估內(nèi)容

1.1 系統(tǒng)信息

1.1.1 系統(tǒng)基本信息

1.1.1.1 說明：

檢查系統(tǒng)的版本和硬件類型等基本信息。1.1.1.2 檢查方法：

uname –a uname –v PATH=“/usr/bin:/bin:/usr/local/bin/:/usr/sbin/:/sbin/” export PATH

1.1.2 系統(tǒng)網(wǎng)絡(luò)設(shè)置

1.1.2.1 說明：

檢查系統(tǒng)的網(wǎng)卡是否存在混雜模式。1.1.2.2 檢查方法：

ifconfig lan0 1.1.3 系統(tǒng)當(dāng)前路由

1.1.3.1 說明：

檢查系統(tǒng)當(dāng)前的路由設(shè)定配置，包括默認(rèn)路由和永久路由，并檢查其合法性。

HP-UX Security CheckList

1.6 日志審核

1.6.1 Cron logged 1.6.1.1 說明：

檢查所有的cron活動(dòng)是否被記錄 1.6.1.2 檢查方法： HP-UX默認(rèn)開啟。

1.6.2 /var/adm/cron/ 1.6.2.1 說明：

確保/var/adm/cron的正確屬性為700 root用戶和sys用戶可讀寫

HP-UX Security CheckList HP-UX Security CheckList

1.6.2.2 檢查方法： ls-la /var |grep cron 1.6.3 Log all inetd services 1.6.3.1 說明： 1.6.3.2 檢查方法：

ps –elf|grep inetd 檢查啟動(dòng)參數(shù)

1.6.4 Syslog.conf 1.6.4.1 說明：

查看本地日志輸出目錄功能 1.6.4.2 檢查方法： cat /etc/syslog.conf |grep debug

1.7 UUCP服務(wù)

1.7.1.1 說明：

檢查UUCP服務(wù)的使用情況 1.7.1.2 檢查方法： cat /etc/inetd.conf | grep UUCP 1.8 Xwindows檢查

1.8.1.1 說明：

檢查Xwindows的配置情況

HP-UX Security CheckList HP-UX Security CheckList

1.8.1.2 檢查方法： find /-name.Xauthority –print xhosts(什么意思??？ 說的難道是 find /-name xhosts)

HP-UX Security CheckList HP-UX Security CheckList 中級(jí)檢查評(píng)估內(nèi)容

2.1 安全增強(qiáng)性

2.1.1 TCP IP參數(shù)檢查

2.1.1.1 檢查套接口序列是否防止SYN攻擊 2.1.1.1.1 說明：

各種網(wǎng)絡(luò)應(yīng)用軟件一般必須開放一個(gè)或者幾個(gè)端口供外界使用，所以其必定可以會(huì)被惡意攻擊者向這幾個(gè)口發(fā)起拒絕服務(wù)攻擊，其中一個(gè)很流行的攻擊就是SYN FLOOD，在攻擊發(fā)生時(shí)，客戶端的來(lái)源IP地址是經(jīng)過偽造的(spoofed)，現(xiàn)行的IP路由機(jī)制僅檢查目的IP地址并進(jìn)行轉(zhuǎn)發(fā)，該IP包到達(dá)目的主機(jī)后返回路徑無(wú)法通過路由達(dá)到的，于是目的主機(jī)無(wú)法通過TCP三次握手建立連接。在此期間因?yàn)門CP套接口緩存隊(duì)列被迅速填滿，而拒絕新的連接請(qǐng)求。為了防止這些攻擊，部分UNIX變種采用分離入站的套接口連接請(qǐng)求隊(duì)列，一隊(duì)列針對(duì)半打開套接口(SYN 接收,SYN|ACK 發(fā)送), 另一隊(duì)列針對(duì)全打開套借口等待一個(gè)accept()調(diào)用，增加這兩隊(duì)列可以很好的緩和這些SYN FLOOD攻擊并使對(duì)服務(wù)器的影響減到最小程度。2.1.1.1.2 檢查方法

/usr/sbin/ndd-get /dev/tcp tcp_syn_rcvd_max /usr/sbin/ndd-get /dev/tcp tcp_conn_request_max 2.1.1.2 檢查Redirects參數(shù) 2.1.1.2.1 說明：

惡意用戶可以使用IP重定向來(lái)修改遠(yuǎn)程主機(jī)中的路由表，在設(shè)計(jì)良好的網(wǎng)絡(luò)中，末端的重定向設(shè)置是不需要的，發(fā)送和接受重定向信息包都要關(guān)閉。2.1.1.2.2 檢查方法：

通過如下命令檢查其值是否為0：

HP-UX Security CheckList

HP-UX Security CheckList

/usr/sbin/ndd-get /dev/ip ip_send_redirects 2.1.1.3 檢查源路由的設(shè)置 2.1.1.3.1 說明：

通過源路由，攻擊者可以嘗試到達(dá)內(nèi)部IP地址--包括RFC1918中的地址，所以不接受源路由信息包可以防止你的內(nèi)部網(wǎng)絡(luò)被探測(cè)。2.1.1.3.2 檢查方法：

通過如下命令檢查其值是否為0： ndd-get /dev/ip ip_forward_src_routed 2.1.1.4 檢查廣播ECHO響應(yīng) 2.1.1.4.1 說明：

Smurf攻擊就是一個(gè)偽造的地址通過發(fā)送ICMP 8 0(ECHO REQUEST)信息到一個(gè)廣播地址，一些IP堆棧默認(rèn)情況下會(huì)響應(yīng)這些信息，所以必須關(guān)閉這個(gè)特征。如果這個(gè)主機(jī)作為防火墻使用(router)，關(guān)閉這個(gè)特征就不能處理處理廣播。2.1.1.4.2 檢查方法：

通過如下命令檢查其值是否為0：

ndd-get /dev/ip ip_respond_to_echo_broadcast 2.1.1.5 檢查TIME_WAIT setting 設(shè)置 2.1.1.5.1 說明：

在一些比較繁忙的網(wǎng)絡(luò)服務(wù)器上，許多套接口可能就處于TIME_WAIT狀態(tài)，這是由于一些不正規(guī)編碼的客戶端應(yīng)用程序沒有很正確的處理套接口所引起的，這就可能引起如DDOS的攻擊。2.1.1.5.2 檢查方法：

通過如下命令檢查其值是否大于6000： ndd-get /dev/tcp tcp_time_wait_interval 2.1.2 Inetd啟動(dòng)參數(shù)檢查

檢查inetd是否嚴(yán)格使用了-t參數(shù)來(lái)記錄所有對(duì)inetd守護(hù)進(jìn)程所綁定網(wǎng)絡(luò)服HP-UX Security CheckList

HP-UX Security CheckList

務(wù)的連接記錄

2.1.3 Syslogd啟動(dòng)參數(shù)檢查

檢查Syslogd的啟動(dòng)參數(shù)

2.1.4 系統(tǒng)日志文件內(nèi)容檢查

檢查/var/log和/var/admin目錄下的日志文件。

2.1.5 系統(tǒng)用戶口令強(qiáng)度檢查

將口令文件/etc/passwd和/etc/shadow導(dǎo)出，通過運(yùn)行john the ripper檢查其強(qiáng)度。

2.1.6 系統(tǒng)補(bǔ)丁安裝情況檢查

執(zhí)行swlist，檢查補(bǔ)丁情況。

2.1.7 系統(tǒng)審計(jì)檢查

執(zhí)行tail etc/rc.config.d/auditing，檢查其內(nèi)容

HP-UX Security CheckList HP-UX Security CheckList 高級(jí)檢查評(píng)估內(nèi)容

3.1 后門與日志檢查

檢查系統(tǒng)日志文件是否完備，是否存在異常情況，如日期，大小，完整性。

3.2 系統(tǒng)異常服務(wù)進(jìn)程檢查

檢查系統(tǒng)是否存在異常的服務(wù)進(jìn)程，需要安裝lsof等工具進(jìn)行檢查和確定系統(tǒng)運(yùn)行進(jìn)程和服務(wù)之間的關(guān)系。

3.3 內(nèi)核情況檢查

檢查HP-UX內(nèi)核與模塊加載情況 執(zhí)行kmtune –l 執(zhí)行kmadmin –k 執(zhí)行/usr/sbin/kmadmin –s

3.4

第二篇：醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估初探總結(jié)

總結(jié)

1.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概念

醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)醫(yī)院信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的活動(dòng)過程，它要評(píng)價(jià)醫(yī)院信息系統(tǒng)的脆弱性、醫(yī)院信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的來(lái)識(shí)別醫(yī)院信息系統(tǒng)的安全風(fēng)險(xiǎn)。2．國(guó)內(nèi)外信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概況

美國(guó)政府就發(fā)布了《自動(dòng)化數(shù)據(jù)處理風(fēng)險(xiǎn)評(píng)估指南》。其后頒布的關(guān)于信息安全的基本政策文件《聯(lián)邦信息資源安全》" 3．我國(guó)醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作現(xiàn)狀及存在的問題 4.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作流程(1)確定醫(yī)院信息資產(chǎn)列表及信息資產(chǎn)價(jià)值(2)識(shí)別脆弱性(3)識(shí)別脆弱性

它可能存在于網(wǎng)絡(luò)安全體系理論中網(wǎng)絡(luò)應(yīng)用所劃分的’個(gè)層次，即網(wǎng)絡(luò)層、系統(tǒng)層、用戶層、應(yīng)用層、數(shù)據(jù)層，(4)識(shí)別威脅

威脅來(lái)源應(yīng)主要考慮這幾個(gè)方面，即非授權(quán)故意行為、人為錯(cuò)誤、軟件設(shè)計(jì)錯(cuò)誤帶來(lái)的威脅、設(shè)備損壞、線路故障、自然災(zāi)害醫(yī)院信息系統(tǒng)的安全威脅可通過部署入侵檢測(cè)系統(tǒng)(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻擊特征、當(dāng)前用戶和進(jìn)程等攻擊信息，通過統(tǒng)計(jì)分析，從概率上分析一段時(shí)間內(nèi)攻擊的類型、強(qiáng)度和頻度來(lái)獲取，分析現(xiàn)有的安全控管措施

（5）確定可能性

(6)確定風(fēng)險(xiǎn)

(7)建議安全防護(hù)措施。

(8)記錄結(jié)果

5.醫(yī)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估結(jié)果的處置措施

(1)避免：采取措施，完全消除醫(yī)院信息系統(tǒng)的安全風(fēng)險(xiǎn)

(2)降低：采取措施降代風(fēng)險(xiǎn)造成實(shí)際損害的可能性，降低其影響。（3）接受

（4）轉(zhuǎn)嫁：通過責(zé)任外包、保險(xiǎn)等方式%(’轉(zhuǎn)嫁：通過責(zé)任外包、保險(xiǎn)等方式（5）回避

（6）威懾：通過報(bào)復(fù)或者追究責(zé)任的方式

第三篇：信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目流程

信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目流程

一、售前方案階段

1.1、工作說明

技術(shù)部配合項(xiàng)目銷售經(jīng)理（以下簡(jiǎn)稱銷售）根據(jù)客戶需求制定項(xiàng)目解決方案，客戶認(rèn)可后，銷售與客戶簽訂合同協(xié)議，同時(shí)向技術(shù)部派發(fā)項(xiàng)目工單（項(xiàng)目實(shí)施使用）1.2、輸出文檔

《XXX項(xiàng)目XXX解決方案》

輸出文檔（電子版、紙質(zhì)版）交付銷售助理保管，電子版抄送技術(shù)部助理。1.3、注意事項(xiàng)

? 銷售需派發(fā)內(nèi)部工單（售前技術(shù)支持）? 輸出文檔均一式三份（下同）

二、派發(fā)項(xiàng)目工單

2.1、工作說明

銷售談下項(xiàng)目后向技術(shù)部派發(fā)項(xiàng)目工單，技術(shù)部成立項(xiàng)目小組，指定項(xiàng)目實(shí)施經(jīng)理和實(shí)施人員。

三、項(xiàng)目啟動(dòng)會(huì)議

3.1、工作說明

? 銷售和項(xiàng)目經(jīng)理與甲方召開項(xiàng)目啟動(dòng)會(huì)議，確定各自接口負(fù)責(zé)人。

? 要求甲方按合同范圍提供《資產(chǎn)表》，確定掃描評(píng)估范圍、人工評(píng)估范圍和滲透測(cè)試范圍。

? 請(qǐng)甲方給所有資產(chǎn)賦值（雙方確認(rèn)資產(chǎn)賦值）? 請(qǐng)甲方指定安全評(píng)估調(diào)查（訪談）人員 3.2、輸出文檔

《XXX項(xiàng)目啟動(dòng)會(huì)議記要》

客戶提交《信息資產(chǎn)表》、《網(wǎng)絡(luò)拓?fù)鋱D》，由項(xiàng)目小組暫時(shí)保管，以供項(xiàng)目實(shí)施使用 3.3、注意事項(xiàng)

? 資產(chǎn)數(shù)量正負(fù)不超過15%；給資產(chǎn)編排序號(hào)，以方便事后檢查。

? 給人工評(píng)估資產(chǎn)做標(biāo)記，以方便事后檢查。? 資產(chǎn)值是評(píng)估報(bào)告的重要數(shù)據(jù)。? 銷售跟客戶溝通，為項(xiàng)目小組提供信息資產(chǎn)表及拓?fù)鋱D，以便項(xiàng)目小組分析制定項(xiàng)目計(jì)劃使用。

四、項(xiàng)目前期準(zhǔn)備

4.1、工作說明

? 準(zhǔn)備項(xiàng)目實(shí)施PPT，人工評(píng)估原始文檔（對(duì)象評(píng)估文檔），掃描工具、滲透測(cè)試工具、保密協(xié)議和授權(quán)書

? 項(xiàng)目小組與銷售根據(jù)項(xiàng)目?jī)?nèi)容和范圍制定項(xiàng)目實(shí)施計(jì)劃。4.2、輸出文檔

《XXX項(xiàng)目實(shí)施PPT》 《XXX項(xiàng)目人工訪談原始文檔》 《XXX項(xiàng)目保密協(xié)議》 《XXX項(xiàng)目XXX授權(quán)書》 4.3、注意事項(xiàng)

? 如無(wú)資產(chǎn)表和拓?fù)鋱D需到現(xiàn)場(chǎng)調(diào)查后再制定項(xiàng)目實(shí)施計(jì)劃和工作進(jìn)度安排。

? 項(xiàng)目實(shí)施小組與客戶約定進(jìn)場(chǎng)時(shí)間。

? 保密協(xié)議和授權(quán)書均需雙方負(fù)責(zé)人簽字并加蓋公章。? 保密協(xié)議需項(xiàng)目雙方參與人員簽字

五、駐場(chǎng)實(shí)施會(huì)議

5.1、工作說明

項(xiàng)目小組進(jìn)場(chǎng)與甲方召開項(xiàng)目實(shí)施會(huì)議（項(xiàng)目實(shí)施PPT），確定評(píng)估對(duì)象和范圍（主機(jī)、設(shè)備、應(yīng)用、管理等）、實(shí)施周期（工作進(jìn)度安排），雙方各自提出自身要求，項(xiàng)目小組要求甲方提供辦公場(chǎng)地、打印機(jī)、接入網(wǎng)絡(luò)等項(xiàng)目必備環(huán)境。與甲方簽訂評(píng)估保密協(xié)議、授權(quán)書（漏洞掃描、人工評(píng)估、滲透測(cè)試等）。實(shí)施過程中需甲方人員陪同。

5.2、輸出文檔

《XXX項(xiàng)目駐場(chǎng)實(shí)施會(huì)議記要》 5.3、注意事項(xiàng)

如前期未準(zhǔn)備資產(chǎn)表與拓?fù)鋱D，在此階段項(xiàng)目小組進(jìn)行調(diào)查（視情況是否另收費(fèi)）。

六、現(xiàn)場(chǎng)實(shí)施階段

6.1、工作說明

? 按照工作計(jì)劃和被評(píng)估對(duì)象安排實(shí)施進(jìn)度。? 主要工作內(nèi)容 ? 漏洞掃描（主機(jī)、應(yīng)用、數(shù)據(jù)庫(kù)等）? 人工評(píng)估（主機(jī)、應(yīng)用、數(shù)據(jù)庫(kù)、設(shè)備等）? 滲透測(cè)試（主機(jī)、應(yīng)用等）

? 項(xiàng)目實(shí)施經(jīng)理做好會(huì)議記要和日?qǐng)?bào)，項(xiàng)目實(shí)施成員保留所有原始文檔并妥善存檔。

? 現(xiàn)場(chǎng)實(shí)施部分完成后，雙方召開階段性總結(jié)會(huì)議（如甲方有需求可對(duì)項(xiàng)目實(shí)施過程中發(fā)現(xiàn)的問題進(jìn)行簡(jiǎn)要總結(jié)，輸出簡(jiǎn)要總結(jié)報(bào)告）

6.2、輸出文檔

《XXX項(xiàng)目XXX人工評(píng)估過程文檔》 《XXX項(xiàng)目XXX漏洞掃描過程文檔》 《XXX項(xiàng)目XXX滲透測(cè)試過程文檔》 《XXX項(xiàng)目工作日?qǐng)?bào)》 《XXX項(xiàng)目會(huì)議記要》 6.3、注意事項(xiàng)

? 若遇到協(xié)調(diào)問題，雙方負(fù)責(zé)人協(xié)調(diào)解決

? 實(shí)施過程中如出現(xiàn)計(jì)劃外問題，以會(huì)議形式商討解決 ? 日?qǐng)?bào)需項(xiàng)目雙方負(fù)責(zé)人簽字確認(rèn)

七、靜態(tài)評(píng)估階段

7.1、工作說明

? 與甲方商定評(píng)估報(bào)告輸出周期和報(bào)告內(nèi)容

? 項(xiàng)目小組依據(jù)評(píng)估結(jié)果分工進(jìn)行報(bào)告輸出、整理匯總，準(zhǔn)備項(xiàng)目總結(jié)PPT和整改建議（如客戶要求則輸出整體加固解決方案），完成后提交公司項(xiàng)目質(zhì)量評(píng)審小組審核，審核通過后提交客戶。經(jīng)客戶認(rèn)可后輸出紙質(zhì)文檔。

7.2、輸出文檔

《XXX項(xiàng)目XXX人工評(píng)估報(bào)告》 《XXX項(xiàng)目XXX漏洞掃描報(bào)告》 《XXX項(xiàng)目XXX滲透測(cè)試報(bào)告》 《XXX項(xiàng)目安全評(píng)估綜合報(bào)告》

《XXX項(xiàng)目整改建議書（整體加固解決方案）》 《XXX項(xiàng)目總結(jié)》（PPT）7.3、注意事項(xiàng)

? 依據(jù)公司文檔標(biāo)準(zhǔn)化體系輸出文檔（電子版輸出PDF格式）? 統(tǒng)計(jì)數(shù)據(jù)要求完整、準(zhǔn)確無(wú)誤； ? 解決方案與銷售討論后輸出文檔。

? 項(xiàng)目實(shí)施人員對(duì)每份輸出文檔簽字，預(yù)留甲方接口人員簽字位。

八、評(píng)估階段驗(yàn)收

8.1、工作說明

項(xiàng)目實(shí)施經(jīng)理和銷售與甲方召開項(xiàng)目驗(yàn)收會(huì)議，講解項(xiàng)目實(shí)施中發(fā)現(xiàn)的風(fēng)險(xiǎn)、隱患和威脅，與客戶討論解決方法（視項(xiàng)目情況而定），雙方驗(yàn)收項(xiàng)目成果（輸出的報(bào)告），對(duì)輸出報(bào)告簽字確認(rèn)，并簽訂項(xiàng)目驗(yàn)收成果書?？蛻羧缬行枨?，則對(duì)評(píng)估中發(fā)現(xiàn)的風(fēng)險(xiǎn)、隱患進(jìn)行加固實(shí)施。8.2、輸出文檔

《XXX項(xiàng)目驗(yàn)收成果書》 《XXX項(xiàng)目會(huì)議記要》

九、安全加固實(shí)施

9.1、工作說明

安全加固參考安全加固項(xiàng)目流程 9.2、輸出文檔

《XXX項(xiàng)目整體安全加固方案》 《XXX項(xiàng)目XXX安全加固方案》 《會(huì)議記要》 《工作日?qǐng)?bào)》 9.3、注意事項(xiàng)

項(xiàng)目實(shí)施雙方對(duì)加固過程文檔（紙質(zhì)）簽字確認(rèn)

十、安全加固驗(yàn)收

10.1、工作說明

針對(duì)已加固對(duì)象進(jìn)行再次風(fēng)險(xiǎn)評(píng)估，輸出評(píng)估結(jié)果報(bào)告。10.2、輸出文檔

《XXX項(xiàng)目安全加固驗(yàn)收?qǐng)?bào)告》 10.3、注意事項(xiàng)

項(xiàng)目雙方對(duì)驗(yàn)收成果簽字確認(rèn)

十一、項(xiàng)目總結(jié)會(huì)議

對(duì)本次風(fēng)險(xiǎn)評(píng)估、安全加固過程中遇到的問題進(jìn)行總結(jié)，并對(duì)遺留問題進(jìn)行建議。

輸出文檔：《會(huì)議記要》

第四篇：信息安全風(fēng)險(xiǎn)評(píng)估管理辦法

信息安全風(fēng)險(xiǎn)評(píng)估管理辦法

第一章 總 則

第一條 為規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估（以下簡(jiǎn)稱“風(fēng)險(xiǎn)評(píng)估”）及其管理活動(dòng)，保障信息系統(tǒng)安全，依據(jù)國(guó)家有關(guān)規(guī)定，結(jié)合本省實(shí)際，制定本辦法。

第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估及其管理活動(dòng)，適用本辦法。

第三條 本辦法所稱信息系統(tǒng)，是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的運(yùn)行體系。

本辦法所稱重要信息系統(tǒng)，是指履行經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)職能的信息系統(tǒng)。

本辦法所稱風(fēng)險(xiǎn)評(píng)估，是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲(chǔ)、傳輸、處理的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的活動(dòng)。第四條 縣以上信息化主管部門負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估的組織、指導(dǎo)和監(jiān)督、檢查。

跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，可以由其行業(yè)管理部門統(tǒng)一組織實(shí)施。

涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，由國(guó)家保密部門按照有關(guān)法律、法規(guī)規(guī)定實(shí)施。第五條 風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。自評(píng)估由信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位自主開展。檢查評(píng)估由縣以上信息化主管部門在本行政區(qū)域內(nèi)依法開展，也可以由信息系統(tǒng)建設(shè)、運(yùn)營(yíng)或者使用單位的上級(jí)主管部門依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行，雙方實(shí)行互備案制度。第二章 組織與實(shí)施

第六條 信息化主管部門應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄，制定檢查評(píng)估實(shí)施計(jì)劃，并對(duì)重要信息系統(tǒng)管理技術(shù)人員開展相關(guān)培訓(xùn)。

第七條 江蘇省信息安全測(cè)評(píng)中心為本省從事信息安全測(cè)評(píng)的專門機(jī)構(gòu)，受省信息化主管部門委托，具體負(fù)責(zé)對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn)，組織開展全省重要信息系統(tǒng)的外部安全測(cè)試。第八條 信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位可以依托本單位技術(shù)力量，或者委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行自評(píng)估。

第九條 重要信息系統(tǒng)新建、擴(kuò)建或者改建的，在設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段，均應(yīng)當(dāng)進(jìn)行自評(píng)估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的，應(yīng)當(dāng)及時(shí)進(jìn)行自評(píng)估。

第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開展風(fēng)險(xiǎn)評(píng)估，其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評(píng)估或檢查評(píng)估。在規(guī)定期限內(nèi)已進(jìn)行檢查評(píng)估的重要信息系統(tǒng)，可以不再進(jìn)行自評(píng)估。

第十一條 縣以上信息化主管部門委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，對(duì)本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評(píng)估。第十二條信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或使用單位委托風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開展自評(píng)估,應(yīng)當(dāng)簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議；信息化主管部門委托開展檢查評(píng)估，受委托的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評(píng)估單位簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議。

對(duì)于評(píng)估活動(dòng)可能影響信息系統(tǒng)正常運(yùn)行的，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評(píng)估單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。

第十三條 風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)當(dāng)包括評(píng)估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等。

風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的自評(píng)估報(bào)告，應(yīng)當(dāng)經(jīng)被評(píng)估單位認(rèn)可，并經(jīng)雙方部門負(fù)責(zé)人簽署后生效。

風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的檢查評(píng)估報(bào)告，應(yīng)當(dāng)報(bào)委托其開展評(píng)估的主管部門審定；主管部門應(yīng)當(dāng)自收到評(píng)估報(bào)告之日起10個(gè)工作日內(nèi)，將審定結(jié)果和整改意見告知被評(píng)估單位。第十四條 自評(píng)估單位應(yīng)當(dāng)根據(jù)自評(píng)估報(bào)告進(jìn)行整改，并自報(bào)告生效之日起30日內(nèi)，將自評(píng)估情況和整改方案報(bào)本級(jí)信息化主管部門備案。

接受檢查評(píng)估的單位應(yīng)當(dāng)自收到檢查評(píng)估報(bào)告之日起30日內(nèi)，根據(jù)整改建議提出整改方案、明確整改時(shí)限，報(bào)本級(jí)信息化主管部門備案。

受委托進(jìn)行風(fēng)險(xiǎn)評(píng)估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評(píng)估單位開展整改，并對(duì)整改措施的有效性進(jìn)行驗(yàn)證。第十五條 信息化主管部門應(yīng)當(dāng)定期公布已開展自評(píng)估、檢查評(píng)估單位備案名單，督促未備案單位開展自評(píng)估。

第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險(xiǎn)評(píng)估的，可以參考前次評(píng)估結(jié)果，重點(diǎn)評(píng)估以下內(nèi)容：

（一）前次風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的主要問題及整改情況；

（二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對(duì)信息系統(tǒng)安全造成的影響；

（四）其他需要重點(diǎn)評(píng)估的內(nèi)容。第三章 風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)

第十七條 在本省行政區(qū)域內(nèi)從事自評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)，應(yīng)當(dāng)具備下列條件，并報(bào)經(jīng)其所在地省轄市信息化主管部門備案：

（一）依法在中國(guó)境內(nèi)注冊(cè)成立并在本省設(shè)有機(jī)構(gòu)，由中國(guó)公民、法人投資或者由其它組織投資；

（二）從事信息安全檢測(cè)、評(píng)估相關(guān)業(yè)務(wù)兩年以上，無(wú)違法記錄；

（三）專業(yè)評(píng)估人員不少于10人且均為中國(guó)公民，接受并通過相關(guān)培訓(xùn)考核，無(wú)違法記錄；其中主要評(píng)估人員2人以上，具有由國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格，具備獨(dú)立實(shí)施風(fēng)險(xiǎn)評(píng)估的技術(shù)能力;

（四）評(píng)估使用的技術(shù)裝備、設(shè)施符合國(guó)家信息安全產(chǎn)品要求；

（五）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等內(nèi)部管理制度；

（六）法律法規(guī)規(guī)定的其它條件。

第十八條 在本省從事檢查評(píng)估的社會(huì)機(jī)構(gòu)，除具備第十七條規(guī)定條件外，還應(yīng)當(dāng)同時(shí)具備下列條件，并經(jīng)其所在地省轄市信息化主管部門審核后，報(bào)省信息化主管部門備案：

（一）具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì)；

（二）評(píng)估人員不少于20人，其中主要評(píng)估人員4人以上，具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。

第十九條 省轄市以上信息化主管部門應(yīng)當(dāng)自收到備案申請(qǐng)報(bào)告之日起10個(gè)工作日內(nèi)，告知備案結(jié)果，并定期向社會(huì)公布本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)備案名單，對(duì)其服務(wù)進(jìn)行管理、監(jiān)督。

第二十條 從事風(fēng)險(xiǎn)評(píng)估服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：

（一）遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供科學(xué)、安全、客觀、公正的評(píng)估服務(wù)，保證評(píng)估的質(zhì)量和效果；

（二）保守在評(píng)估活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防范安全風(fēng)險(xiǎn)，不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源；

（三）對(duì)服務(wù)人員進(jìn)行安全保密教育，簽訂服務(wù)人員安全保密責(zé)任書，并負(fù)責(zé)檢查落實(shí)。第四章 監(jiān)督管理

第二十一條 違反本辦法，有以下行為之一的，由信息化主管部門責(zé)令其限期改正，逾期不改正的，予以通報(bào)；對(duì)直接責(zé)任人員，由所在單位或上級(jí)主管部門視情給予行政處分：

（一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位未按照規(guī)定開展自評(píng)估；重要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位不接受、不配合開展檢查評(píng)估的；

（二）違反第十四條規(guī)定，自評(píng)估單位未按照規(guī)定將自評(píng)估情況和整改方案、接受檢查評(píng)估單位未按照規(guī)定將整改方案報(bào)本級(jí)信息化主管部門備案的；

（三）違反第八條規(guī)定，信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位委托不符合條件的機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未事先告知被評(píng)估單位、協(xié)助其采取預(yù)防措施的，由信息化主管部門責(zé)令限期改正，并給予警告；造成不良后果的，可視情暫停其備案1年，直至取消其備案。

第二十三條 違反本辦法第二十條規(guī)定，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未經(jīng)許可向第三方提供被評(píng)估單位相關(guān)信息的，或者從事影響評(píng)估客觀、公正的活動(dòng)的，由信息化主管部門視情暫停其備案一年，直至取消其備案。造成被評(píng)估單位經(jīng)濟(jì)損失的，應(yīng)予合理賠償；從中不當(dāng)獲利的，應(yīng)予退還；構(gòu)成犯罪的，應(yīng)依法追究其刑事責(zé)任。

第二十四條 信息化主管部門或其他有關(guān)部門工作人員有下列行為之一的，由其監(jiān)察部門或上級(jí)主管部門視情對(duì)相關(guān)責(zé)任人員給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任：

（一）利用職權(quán)索取、收受賄賂，或者玩忽職守、濫用職權(quán)的；

（二）泄露信息系統(tǒng)的運(yùn)營(yíng)、使用單位或者個(gè)人的有關(guān)信息、資料及數(shù)據(jù)文件的。第五章 附 則

第二十五條 本辦法自發(fā)布之日起施行，由省信息化主管部門負(fù)責(zé)解釋。

第五篇：信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)

1、風(fēng)險(xiǎn)評(píng)估概述

1.1風(fēng)險(xiǎn)評(píng)估概念

信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過程。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)，就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國(guó)際標(biāo)準(zhǔn)的BS7799、ISO17799、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)因素、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。

1.2風(fēng)險(xiǎn)評(píng)估相關(guān)

資產(chǎn)，任何對(duì)組織有價(jià)值的事物。

威脅，指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。例如，組織的網(wǎng)絡(luò)系統(tǒng)可能受到來(lái)自計(jì)算機(jī)病毒和黑客攻擊的威脅。

脆弱點(diǎn)，是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點(diǎn)。如員工缺乏信息安全意思，使用簡(jiǎn)短易被猜測(cè)的口令、操作系統(tǒng)本身有安全漏洞等。

風(fēng)險(xiǎn)，特定的威脅利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的丟失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)估，對(duì)信息和信息處理設(shè)施的威脅、影響和脆弱點(diǎn)及三者發(fā)生的可能性評(píng)估。風(fēng)險(xiǎn)評(píng)估也稱為風(fēng)險(xiǎn)分析，就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，包括定性和定量的方法，去頂資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序。

2、風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀

2.1信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展

第一階段（60-70年代）以計(jì)算機(jī)為對(duì)象的信息保密階段

1067年11月到1970年2月，美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公司、邁特公司（MITIE）及其它和國(guó)防工業(yè)有關(guān)的一些公司對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作為第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。特點(diǎn)：

僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問題提出要求，對(duì)安全的評(píng)估只限于保密性，且重點(diǎn)在于安全評(píng)估，對(duì)風(fēng)險(xiǎn)問題考慮不多。第二階段（80-90年代）以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息系統(tǒng)安全保護(hù)階段

評(píng)估對(duì)象多為產(chǎn)品，很少延拓至系統(tǒng)，嬰兒在嚴(yán)格意義上扔不是全面的風(fēng)險(xiǎn)評(píng)估。

第三階段（90年代末，21世紀(jì)初）以信息系統(tǒng)為對(duì)象的信息保障階段

隨著信息保障的研究的深入，保障對(duì)象明確為信息和信息系統(tǒng)；保障能力明確來(lái)源于技術(shù)、管理和人員三個(gè)方面；逐步形成了風(fēng)險(xiǎn)評(píng)估、自評(píng)估、認(rèn)證認(rèn)可的工作思路。2.2我國(guó)風(fēng)險(xiǎn)評(píng)估發(fā)展

● 2002年在863計(jì)劃中首次規(guī)劃了《系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究》課題

● 2003年8月至2010年在國(guó)信辦直接指導(dǎo)下，組成了風(fēng)險(xiǎn)評(píng)估課題組

● 2004● 2005年，國(guó)家信息中心《風(fēng)險(xiǎn)評(píng)估指南》，《風(fēng)險(xiǎn)管理指南》 年全國(guó)風(fēng)險(xiǎn)評(píng)估試點(diǎn)

● 在試點(diǎn)和調(diào)研基礎(chǔ)上，由國(guó)信辦會(huì)同公安部，安全部，等起草了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》征求意見稿

● 2006年，所有的部委和所有省市選擇1-2單位開展本地風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作

● 2015年，國(guó)家能源局根據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國(guó)家發(fā)展和改革委員會(huì)令2014年第14號(hào)）制定了《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國(guó)能安全[2015]36號(hào)）等安全防護(hù)方案和評(píng)估方案，其中相關(guān)規(guī)定明確風(fēng)險(xiǎn)評(píng)估在電力系統(tǒng)中的需要

● 2017年7月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布，其中第二章第十七條“國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)，鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)”。明確了需要社會(huì)廣泛參與服務(wù)。

3、風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型

4、風(fēng)險(xiǎn)評(píng)估流程

● 確定資產(chǎn)評(píng)估范圍 ● 資產(chǎn)的識(shí)別和影響 ● 威脅識(shí)別 ● 脆弱性評(píng)估 ● 威脅分析 ● 風(fēng)險(xiǎn)分析 ● 風(fēng)險(xiǎn)管理

5、風(fēng)險(xiǎn)評(píng)估原則

● 符合性原則 ● 標(biāo)準(zhǔn)性原則 ● 規(guī)范性原則

● 可控性原則 ● 保密性原則

● 整體性原則 ● 重點(diǎn)突出原則 ● 最小影響原則

6、評(píng)估依據(jù)的標(biāo)準(zhǔn)和規(guī)范

? GB/T 20984-2007 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 ? 《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（發(fā)改委14號(hào)令）

? 《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》（國(guó)能安全[2015]36號(hào)）

? GB/T 18336-2001 《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》

? ISO/IEC 27001:2005《信息安全管理體系標(biāo)準(zhǔn)》

? GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

? GB/T 22240-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

? GB/T 25058-2010 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》

? 《電力行業(yè)信息安全等級(jí)保護(hù)基本要求》（電監(jiān)信息[2012]62號(hào)）? 《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（電監(jiān)信息[2007]34號(hào)）

? 《電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》（電監(jiān)信息[2007]44號(hào)）

7、風(fēng)險(xiǎn)評(píng)估的發(fā)展方向

8.1風(fēng)險(xiǎn)評(píng)估行業(yè)發(fā)展方向

從2003年7月至今，我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作大致經(jīng)歷了三個(gè)階段，即調(diào)查研究階段、標(biāo)準(zhǔn)編制階段和試點(diǎn)工作階段。

歷時(shí)兩年、經(jīng)過調(diào)查研究、標(biāo)準(zhǔn)編制和試點(diǎn)工作三個(gè)階段，目前，我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作已取得階段性的成果，此間也是《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》政策文件，以及《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩項(xiàng)標(biāo)準(zhǔn)歷經(jīng)醞釀、形成到不斷完善的三個(gè)時(shí)期。

信息安全風(fēng)險(xiǎn)是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對(duì)機(jī)構(gòu)造成的影響。而信息安全風(fēng)險(xiǎn)評(píng)估，則是指依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過程。通過對(duì)信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負(fù)面影響程度來(lái)識(shí)別信息安全的安全風(fēng)險(xiǎn)。

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制。沒有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估，將使得各個(gè)機(jī)構(gòu)無(wú)法對(duì)其信息安全的狀況做出準(zhǔn)確的判斷。所以，所謂安全的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在可被接受的殘余風(fēng)險(xiǎn)的信息系統(tǒng)。因此，需要運(yùn)用信息安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范，對(duì)信息系統(tǒng)展開全面、完整的信息安全風(fēng)險(xiǎn)評(píng)估。

信息安全風(fēng)險(xiǎn)評(píng)估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。風(fēng)險(xiǎn)評(píng)估既是實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)的前提，又是信息系統(tǒng)安全建設(shè)和安全管理的基礎(chǔ)工作。通過風(fēng)險(xiǎn)評(píng)估，能及早發(fā)現(xiàn)和解決問題，防患于未然。當(dāng)前，尤其迫切需要對(duì)我國(guó)信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估，隨時(shí)掌握我國(guó)重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)，及時(shí)采取有針對(duì)性的應(yīng)對(duì)措施，為建立全方位的國(guó)家信息安全保障體系提供服務(wù)。通過風(fēng)險(xiǎn)評(píng)估可以有助于認(rèn)清信息安全環(huán)境和信息安全狀況，明確信息化建設(shè)中各級(jí)的責(zé)任，采取或完善更加經(jīng)濟(jì)有效的安全保障措施，保證信息安全策略的一致性和持續(xù)性，并進(jìn)而服務(wù)于國(guó)家信息化發(fā)展，促進(jìn)信息安全保障體系的建設(shè)，全面提高信息安全保障能力。其意義具體體現(xiàn)在于：風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)和管理的關(guān)鍵環(huán)節(jié)，它是需求主導(dǎo)和突出重點(diǎn)原則的具體體現(xiàn)，是分析確定風(fēng)險(xiǎn)的過程，加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是信息安全工作的客觀需要。

國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估政策文件和標(biāo)準(zhǔn)的即將出臺(tái)與頒布將為我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開展提供科學(xué)的政策和技術(shù)依據(jù)。相信在未來(lái)，我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的政策思路、標(biāo)準(zhǔn)規(guī)范、實(shí)踐經(jīng)驗(yàn)將會(huì)有進(jìn)一步提升。

8.2公司自身的發(fā)展方向

就當(dāng)前公司而言，最緊要的是對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估資質(zhì)的申請(qǐng)，和人員技術(shù)的培訓(xùn)。依托現(xiàn)有的省公司調(diào)度自動(dòng)化處的合作，促進(jìn)與新型能源企事業(yè)合作，大力開展光伏電站入網(wǎng)前的安全防護(hù)檢查與檢測(cè)，同時(shí)拓展到風(fēng)電、水電和火電的并網(wǎng)后的定期檢查。在這個(gè)方面，我司現(xiàn)在的業(yè)務(wù)水平尚有欠缺，技術(shù)方面還有不足。因此現(xiàn)在在面臨這行業(yè)蓬勃發(fā)展的前提下，我們要在資質(zhì)和技術(shù)上雙管齊下。另外，在正式介入這個(gè)行業(yè)后，我們不能只局限于和電廠的合作，更應(yīng)該面向整個(gè)社會(huì)，提高社會(huì)參與度。據(jù)河南同樣類型的企業(yè)，其在2017年一月至2017年七月營(yíng)業(yè)額同比增長(zhǎng)200%。在當(dāng)前情況下信息安全風(fēng)險(xiǎn)評(píng)估無(wú)疑是巨大的一塊蛋糕。越來(lái)越多的企業(yè)都在信息化、網(wǎng)絡(luò)化，意味著這塊蛋糕的體積還在不斷地增加。所以我們應(yīng)該把握時(shí)機(jī)。充分利用已有的資源，搶占市場(chǎng)，占據(jù)優(yōu)勢(shì)地位。