网络安全等级保护评估服务建议书v1.0

xxxx网络安全等级保护 评估服务技术建议书

2009年6月

目 录

第一部份 综述 ......................................................................................................................... 4

第二部份 总体方案建议 ......................................................................................................... 5

1.

2.

3.

4. 项目目标 ........................................................................................................................... 5 等级保护评估范围 ........................................................................................................... 5 等级保护评估原则 ........................................................................................................... 5 等级保护评估理论及标准 ............................................................................................... 6

4.1 标准与规范 ....................................................................................................... 7

4.1.1 等级保护评估标准 ................................................................................... 7

4.1.2 标准体现 ................................................................................................... 7

4.2 等级保护模型 ................................................................................................... 8

4.2.1 等级保护 ................................................................................................... 8

4.2.2 等级划分 ................................................................................................... 9

4.2.3 等级保护能力 ........................................................................................... 9

4.2.4 安全要求评估与检查 ............................................................................. 12

4.2.5 券商网安全等级 ..................................................... 错误！未定义书签。

4.3 券商网安全等级计算方法 ............................................................................. 13

4.3.1 对数法 ..................................................................................................... 13

4.3.2 矩阵法 ..................................................................................................... 14

4.4 评估理论模型 ................................................................................................. 14

4.4.1 安全风险过程模型 ................................................................................. 14

4.4.2 安全风险关系模型 ................................................................................. 15

4.4.3 安全风险计算模型 ................................................................................. 16

4.5 安全风险分析策略 ......................................................................................... 18

4.5.1 风险计算原理 ......................................................................................... 18

4.5.2 风险结果判定 ......................................................................................... 19

4.6 券商网安全防护体系 ..................................................................................... 20

5. 等级保护评估方案 ......................................................................................................... 20

5.1 第一次检查和评估 ......................................................................................... 21

5.1.1 等级保护评估目标 ................................................................................. 21

5.1.2 等级保护评估方法 ................................................................................. 21

5.1.3 等级保护评估步骤 ................................................................................. 21

5.1.4 等级保护评估内容 ................................................................................. 22

5.2 第二次检查和评估 ......................................................................................... 26

5.2.1 等级保护评估目标 ................................................................................. 26

5.2.2 等级保护评估方法 ................................................................................. 26

5.2.3 等级保护评估内容 ................................................................................. 27

5.2.4 远程评估 ................................................................................................. 30

5.2.5 本地风险评估 ......................................................................................... 34

5.3 评估过程风险控制 ......................................................................................... 39

第一部份 综述

随着近年来我国网络建设和信息化建设的加快，企业、政府机关等组织的业务和信息化的结合越来越紧密，在给组织带来巨大经济和社会效益的同时，也给组织的信息安全和管理带来了严峻的挑战。一方面，信息安全由于其专业性，目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度；另一方面现在的网络攻击技术新、变化快，往往会在短时间内造成巨大的破坏，同时由于互联网的传播使黑客技术具有更大的普及性和破坏性，会给组织造成很大的威胁，必需加强信息安全集中监管的能力和水平，从而减少组织的运营风险。

通过对xxxx的重要信息系统等级保护安全技术检查和风险评估，可以了解目前xxxx等级保护的定级是否准确、是否按照国家要求进行定级，同时能够识别网络中存在的各种安全风险，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对全网的安全进行统一的规划和建设，并根据等级保护检查和风险评估的结果指导xxxx下一步等级保护工作的开展,确实有效保障网络安全稳定运行。

正是在这样的背景下，yyyy结合自身多年在安全行业和等级保护的积累，为xxxx的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。

本方案主要包括以下组成部分：

一．综述

二．总体方案建议

第二部份 总体方案建议

1. 项目目标

本次对xxxx重要信息系统等级保护安全技术检查和风险评估的目标是：

 对重要信息系统的安全等级进行检查和评估，判断其定级是否准确，定级是否符合国家有关部门的要求。

 通过等级保护安全技术检查和评估，对等级保护定级不准确或者不符合要求的信息系统给出建议。

2. 等级保护评估范围

本次评估，yyyy充分理解公安部的《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等标准设计等级保护安全评估方案，对xxxx公司的重要信息系统的等级和安全现状进行评估。

本项目所评估的网络系统包含：„„等等。具体评估系统如下：

3. 等级保护评估原则

yyyy等级保护评估服务将遵循以下原则：

 保密原则：yyyy将与xxxx签订保密协议，同时公司与每个参与本项目的员工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息，保证公司和个人不会利用评估结果对xxxx造成侵害。在项目过程中获知的任何用户的信息，经过双方确认，并对相关文档属用户秘密信息，严格遵守保密协议中规定的要求，确保在实施，维护，合同有效期

内的信息安全。

 标准性原则：yyyy对xxxx等级保护评估方案的设计与实施应依据相关的

等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行，确保等级保护风险评估过程的规范、合理，并为等级保护评估成果提供了质量保证。

 规范性原则：yyyy在等级保护评估项目中提供规范的工作过程和文档，

具有很好的规范性，可用于项目的跟踪和控制。评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在评估之前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在操作过程中对操作的过程和结果要提供规范的记录，并形成完整的评估过程报告。

 可控性原则：yyyy的等级保护评估的方法、过程以及评估工具在项目开

始之前经过xxxx严格测试并认可，评估服务的实际进度与进度表安排一致，对于由于客观因素需要的项目计划变更，将由双方项目经理进行确认，保证客户对于评估工作的可控性。

 整体性原则：yyyy在xxxx网络安全等级保护评估项目中的范围和内容整

体全面，涉及„„，明确xxxx计算机网络中的各个定级对象，评估其安全等级，同时评估其安全风险以及其产生的原因。

 最小影响原则：yyyy的等级保护风险评估工作的原则是做到对于用户系

统和网络运行的影响最小化，不能对正在运行的系统和业务的正常提供产生显著不利影响。在评估项目实施过程中，首先，远程风险评估和本地安全审计在业务不繁忙时段进行；其次，有主次互备的主机系统和设备，首先在备份机上进行安全评估，确信对业务系统不会有不利影响后方在主机上实施相应的安全评估；对于特别重要的系统和设备，若不满足直接对本机进行风险评估的条件，则应考虑采取其他更为稳妥的安全措施（如：考虑在其边界部署安全防护措施）。

4. 等级保护评估理论及标准

4.1 标准与规范

4.1.1 等级保护评估标准

yyyy为xxxx提供的网络安全等级保护风险评估服务，将主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳了优秀的风险评估理论。国际标准包括BS7799， AS/NZS 4360: 1999 , ISO15408等；国家标准包括GAO/AIMD-00-33《信息安全风险评估》，GB17859，GB18336等。这些标准和操作指南目前已经被我公司在以往的评估项目中进行了实践，并得到了用户的认可和好评。

除对标准的遵循外，yyyy的风险评估过程还紧密结合xxxx的各种业务特征，依据xxxx各业务的业务特点，系统地制定了xxxx网络安全等级保护风险评估方案。

4.1.2 标准体现

4.2 等级保护模型

4.2.1 等级保护

信息系统是颇受诱惑力的被攻击目标。它们抵抗着来自各方面威胁实体的攻击。对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁，从而尽量降低由于威胁给系统带来的损失。

能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。对抗能力和恢复能力共同形成了信息系统的安全保护能力。

不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力，以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。

针对各等级系统应当对抗的安全威胁和应具有的恢复能力，《基本要求》提出各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求，基本技术要求主要用于对抗威胁和实现技术能力，基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。

各等级的基本安全要求，由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。

下图表明了《基本要求》的描述模型。

图1-2《基本要求》的描述模型

4.2.2 等级划分

作为保护对象，《管理办法》中将信息系统分为五级，分别为：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

4.2.3 等级保护能力

1) 定义

a) 对抗能力

能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。不同等级系统所应对抗的威胁主要从威胁源（自然、环境、系统、人为）动机（不可抗外力、无意、有意）范围（局部、全局）能力（工具、技术、资源等）四个要素来

考虑。

在对威胁进行级别划分前，我们首先解释以上几个要素：

 威胁源——是指任何能够导致非预期的不利事件发生的因素，通常分为

自然（如自然灾害）环境（如电力故障）IT系统（如系统故障）和人员（如心怀不满的员工）四类。

 动机——与威胁源和目标有着密切的联系，不同的威胁源对应不同的目

标有着不同的动机，通常可分为不可抗外力（如自然灾害）无意的（如员工的疏忽大意）和故意的（如情报机构的信息收集活动）。

 范围——是指威胁潜在的危害范畴，分为局部和整体两种情况；如病毒

威胁，有些计算机病毒的传染性较弱，危害范围是有限的；但是蠕虫类病毒则相反，它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。

 能力——主要是针对威胁源为人的情况，它是衡量攻击成功可能性的主

要因素。能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源（包括经验）等方面。

通过对威胁主要因素的分析，我们可以组合得到不同等级的威胁：

第一级：本等级的威胁是1）危害范围为局部的环境或者设备故障、2）无意的员工失误以及3）低能力的渗透攻击等威胁情景。典型情况如灰尘超标（环境）单个非重要工作站（设备）崩溃等。

第二级：本等级的威胁主要是1）危害局部的较严重的自然事件、2）具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。

第三级：本等级的威胁主要是1）危害整体的自然事件、2）具备较高能力、大范围的、有预设目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。

第四级：本等级的威胁主要是1）危害整体的严重的自然事件、2）国家级渗透攻击。典型情况如国家经营，组织精良，有很好的财政资助，从其他具有经济、军事或政治优势的国家收集机密信息等。

b) 恢复能力

但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时间内恢复系统原有的状态。

能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态，表明恢复能力越高。

第一级：系统具有基本的数据备份功能，在遭到破坏后能够不限时的恢复部分系统功能。

第二级：系统具有一定的数据备份功能，在遭到破坏后能够在一段时间内恢复部分功能。

第三级：系统具有较高的数据备份和系统备份功能，在遭到破坏后能够较快的恢复绝大部分功能。

第四级：系统具有极高的数据备份和系统备份功能，在遭到破坏后能够迅速恢复所有系统功能。

2) 不同等级的安全保护能力

信息系统的安全保护能力包括对抗能力和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力。将“能力”分级，是基于系统的保护对象不同，其重要程度也不相同，重要程度决定了系统所具有的能力也就有所不同。一般来说，信息系统越重要，应具有的保护能力就越高。因为系统越重要，其所伴随的遭到破坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。

不同等级信息系统所具有的保护能力如下：

一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

4.2.4 安全要求评估与检查

首先介绍《基本要求》的安全要求的分类。安全要求从整体上分为技术和管理两大类，其中，技术类安全要求按其保护的侧重点不同，将其下的控制点分为三类：

信息安全类（S类）——关注的是保护数据在存储、传输、处理过程中不被

泄漏、破坏和免受未授权的修改。

如，自主访问控制，该控制点主要关注的是防止未授权的访问系统，进而造成数据的 修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。

服务保证类（A类）——关注的是保护系统连续正常的运行，避免因对系统

的未授权修改、破坏而导致系统不可用。

如，数据的备份和恢复，该控制点很好的体现了对业务正常运行的保护。通过对数据 进行备份，在发生安全事件后能够及时的进行恢复，从而保证了业务的正常运行。

通用安全保护类（G类）——既关注保护业务信息的安全性，同时也关注保

护系统的 连续可用性。

大多数技术类安全要求都属于此类，保护的重点既是为了保证业务能够正常运行，同时数据要安全。如，物理访问控制，该控制点主要是防止非授权人员物理访问系统主要工作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如，损坏某台重要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。

技术安全要求按其保护的侧重点不同分为S、A、G三类，如果从另外一个角度考虑，根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全要求：

——物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等

方面为信息系统的安全运行提供基本的后台支持和保证；

——网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务；

——主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行；

——应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标；

——数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。

管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的，均为G类要求。信息系统的生命周期主要分为五个阶段：初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的，分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。

4.3 券商网安全等级计算方法

4.3.1 对数法

可使用下面的公式来计算券商网和互联网及相关系统的安全等级值：

k = Round1{Log2{[α×2I+β×2V+γ×2R]}}

其中，k 代表安全等级值，I代表社会影响力赋值、V代表所提供服务的重要性赋值、R代表服务用户数赋值，Round1{}表示四舍五入处理，保留1位小数；Log2[]表示取以2为底的对数，α、β、γ分别表示券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值所占的权重，网络和业务运营商可根据具体网络的情况确定的α、β、γ取值，α≥0，β≥0，γ≥0，且α+β+γ=1。

计算所得券商网和互联网及相关系统的安全等级值与安全等级的映射关系如表A.1所示。

表A.1 安全等级值与安全等级的映射关系

4.3.2 矩阵法

矩阵法是通过建立券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数的一个对应矩阵，并且预先根据一定的方法确定了安全等级。使用本方法需要首先确定券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值，再查矩阵获得其安全等级。

例如，采用对数法提前确定矩阵中的安全等级，并设α=β=γ=1/3，安全等级的1、2、3.1和3.2分别对应自主保护级、指导保护级、普通监督保护级和重点监督保护级，则可得表A.2所示的安全等级判别矩阵。

表A.2 安全等级判别矩阵

4.4 评估理论模型

xxxx风险评估项目方案中提供的安全风险模型主要依据ASNZS 4360:1999标准、国际风险评估标准BBS7799，ISO/IEC 13335，结合xxxx数据网和网管网的特点，建立以下安全模型：

 安全风险过程模型  安全风险关系模型  安全风险计算模型  安全风险管理模型

4.4.1 安全风险过程模型

安全风险可以理解为一种状态向另一种状态迁移的过程。下图给出了一个安

全风险状态的转换过程。

 安全风险过程模型（摘自GA/T 391-2002）

4.4.2 安全风险关系模型

为了更加清晰的描述xxxx面临的安全风险，以及造成风险的各个要素之间的关系，我们根据相关国际标准（ASNZS 4360：1999;BS7799/ISO 17799; ISO/IEC 13335等）建立xxxx网络安全风险关系模型。主要以风险为中心形象的进行描述了xxxx网络络所面临的风险、弱点、威胁及其相应的资产价值、安全需求、安全控制、安全影响等动态循环的复杂关系。

 安全风险关系模型

安全风险关系模型动态的表现了xxxx网络所面临的安全风险与其它各个要素之间的内在关系。从评估的角度来说，xxxx网络面临很多威胁（外部威胁、内部威胁），攻击者利用网络存在的弱点（物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等等），攻击网络，增加了xxxx网络所面临的威胁，同时，攻击事件的成功导致资产的暴露（信息资产、物质资产、软件资产、服务、设备、人员等），造成安全风险；同时资产的暴露（如xxxx高级管理人员由于不小心而导致重要机密信息的泄露），随着资产价值的大小而导致相应安全风险。

4.4.3 安全风险计算模型

安全风险计算过程描述如下图：

 输入

 资产级别：是指资产的相对级别，在进行资产评估时进行资产价值

定义，一般从资产的机密性、完整性和可用性三个方面的安全需求去描述。

 脆弱性级别：业务系统中的各种脆弱性级别，包括技术性和非技术

性脆弱性。

 威胁级别：根据威胁的可能性以及威胁的后果计算出的等级。  方法简要描述

 定量分析方法：用于建立风险级别矩阵，计算出风险等级。

 历史分析方法：威胁的可能性通过该方法计算得出。通过检测过去

发生过的事件发生的频率来决定该事件再次发生的概率。在xxxx网络风险评估中采用该方法主要通过统计分析CERT库来得出世界上各种典型攻击事件发生的概率。

 风险计算矩阵与输出

风险计算矩阵是按照相关国际标准(ASNZS 4360：1999;BS7799/ISO 17799; ISO/IEC 13335等)，采用国际上典型的风险计算方法对xxxx网络所面临的风险级别矩阵进行计算得到xxxx所面临的各种安全风险，计算出xxxx网络的安全风险。

对于特定环境下资产的脆弱性，安全风险的相关因素包括威胁利用的可能性以及造成的影响。

 可能性

评价可能性需要考虑资产已有的安全控制措施、弱点的利用难易程度。可能性属性非常难以度量，它依赖于具体的资产、弱点和影响。该属性还和时间有关系。所以，在威胁评估中，评估者的专家经验非常重要。遵照AS/NZS 4360:1999标准，对风险可能性说明如下：

 影响

评价威胁的影响需要考虑资产的价值以及弱点利用对业务造成的影响：

 风险计算矩阵

E：极度风险，要求立即采取措施 H：高风险，需要高级管理部门的注意 M：中等风险，必须规定管理责任 L：低风险，用日常程序处理

4.5 安全风险分析策略

4.5.1 风险计算原理

在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失，最终得到风险值。

风险计算原理如下图所示：

风险计算原理示意图

对风险计算原理可以采用下面的范式形式化加以说明：

风险值 = R（A，T，V）= R（L（Ta，Vb），F（Ia，Va））

其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ta表示威胁出现的频率，Ia表示安全事件所作用的资产价值，Va表示脆弱性严

重程度，Vb表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。有以下三个关键计算环节：

a）计算安全事件发生的可能性

根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：

安全事件发生的可能性 = L（威胁出现频率，脆弱性）= L（Ta，Vb） 在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。

b）计算安全事件发生后的损失

根据资产价值及脆弱性严重程度，计算安全事件一旦发生造成的损失，即：

安全事件的损失 = F（资产价值，脆弱性严重程度）= F（Ia，Va） 部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。

c）计算风险值

根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值 = R（安全事件发生的可能性，安全事件的损失）= R（L（Ta，Vb），F（Ia，Va））

4.5.2 风险结果判定

为实现对风险的控制与管理，对风险值进行等级化处理，将风险划分为一定的级别，本标准文件将风险等级划分为五级，每个等级代表了相应风险的严重程度，等级越高，风险越高。

表12提供了一种风险等级划分方法。

风险等级划分表

在得到资产的风险值之后，需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内，如果风险结果在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险结果在可接受的范围外，是不可接受的风险，需要制定风险处理计划并采取新的安全措施降低、控制风险。

主管部门或者网络和业务运营商应综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值。

4.6 券商网安全防护体系

整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对券商网和互联网安全防护的定义、目标、原则，并说明了安全防护体系中的角色划分以及体系组成。

第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。

第三层对券商网和互联网安全防护范畴中的安全防护工作的实施进行了具体规范，其中。。。。。。等业务平台以及业务管理平台。对。。。。。。业务网实施安全防护，应分别从构成上述网络的不同券商网和互联网相关系统入手进行安全等级保护、安全风险评估、灾难备份及恢复等工作，并制定相应的安全防护要求和安全防护检测要求。

5. 等级保护评估方案

本项目具体内容如下：

1 第一次检查和评估

5.1.1 等级保护评估目标

对xxxx的重要信息系统等级保护安全技术检查和风险评估，具体包括xxxx的。。。。。。：

 通过等级保护安全技术检查和评估获得xxxx重要信息系统的定级情况的报告和安全风险报告。

 根据等级保护定级情况报告和安全风险报告，为xxxx的等级保护工作以及安全建设工作提出建议。

 通过评估了解xxxx重要信息系统的网络安全现状，为xxxx进一步加强对重要信息系统的安全防护提供建议。

5.1.2 等级保护评估方法

（1） 文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及

其承载的数据和信息、管理、维护和使用的人员等文档。从而为

确定定级对象、等级提供参考。

（2） 调查问卷：调查问卷是提供一套关于管理或操作控制的问题表格，

供技术或管理人员填写；

（3） 人员访谈：与有关人员访谈，了解系统发射故障对国家安全、社

会秩序、公民法人的合法权益的影响程度。

（4） 实地观察:，现场面谈则是由评估人员到现场观察并收集被评估方

在物理、环境和操作方面的信息。

（5） 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联

网的相关信息，在此基础上形成准确的券商网和互联网总体描述

文件。

5.1.3 等级保护评估步骤

1） 定级对象评估

2） 评定等级评估

a) 相关系统的社会影响力赋值评估

b) 服务的重要性赋值评估

c) 服务用户数赋值评估

5.1.4 等级保护评估内容

根据主管部门的要求，遵照安全等级保护的管理和技术方面的标准，针对已经实施了安全等级保护的券商网和互联网及相关系统，检测实施的安全保护措施是否符合相应安全等级的安全防护要求。

5.1.4.1 定级对象评估

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

作为定级对象的信息系统应具有如下基本特征：

a) 具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

b) 具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

c) 承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

5.1.4.2 安全等级评估

券商网和互联网安全防护体系中，确定安全等级是进行安全等级保护的前提和基础，直接影响和指导安全防护体系中的安全风险评估和灾难备份及恢复工作。网络和业务运营商应应根据本标准文件的定级方法确定券商网和互联网及相关系统的安全等级，以保证定级的科学性和准确性。

在券商网和互联网及相关系统中进行安全等级划分的总体原则是：券商网和互联网及相关系统受到破坏后对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商的损害程度。

券商网和互联网及相关系统可以划分为三个安全等级，分别为自主保护级、指导保护级和监督保护级，其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的券商网和互联网及相关系统实行不同等级的监管。 第1级 自主保护级

券商网和互联网及相关系统遭到破坏后仅对其所有者的利益产生损害，但是不损害国家安全、社会秩序、经济建设、公共利益。

本级按照通信行业安全标准进行自主保护。

第2级 指导保护级

券商网和互联网及相关系统遭到破坏后对社会秩序、经济建设、公共利益以及网络和业务运营商造成轻微损害。

本级在主管部门的指导下，按照行业安全标准进行自主保护。

第3级 监督保护级

分为两种情况：

3.1级 普通监督保护级

券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成较大损害。

本级按照行业安全标准进行自主保护，主管部门对其进行监督、检查。

3.2级 重点监督保护级

券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成严重损害。

本级按照通信行业安全标准进行自主保护，主管部门对其进行重点监督、检

查。

决定券商网和互联网及相关系统的安全等级的具体定级要素及其赋值如下： a）券商网和互联网及相关系统的社会影响力

券商网和互联网及相关系统的社会影响力表示其无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响程度，券商网和互联网及相关系统的社会影响力赋值如下表所示。

对券商网和互联网及相关系统的社会影响力赋值表

b）券商网和互联网及相关系统所提供服务的重要性

券商网和互联网及相关系统所提供服务的重要性表示其提供的服务对网络和业务运营商的影响程度。券商网和互联网及相关系统所提供服务的重要性赋值如下表所示。

券商网和互联网及相关系统所提供服务的重要性赋值表

c）券商网和互联网及相关系统的服务用户数

券商网和互联网及相关系统的服务用户数表示其服务的用户数多少，券商网和互联网及相关系统的服务用户数赋值如下表所示。

券商网和互联网及相关系统的服务用户数赋值表

在确定好券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数三个定级要素的赋值后，本方案第二部份4.3节内容中列举的几种安全等级计算方法可做参考。

安全等级确定可能不是一个过程就可以完成的，可能需要经过定级要素赋值、定级、定级结果调整的循环过程，最终才能确定出较为科学、准确的安全等级。

5.1.4.3 安全风险评估

券商网和互联网安全风险评估工作通常采用自评估和检查评估的方式。自评估可在主管部门相关管理规定指导下，由网络和业务运营商实施或委托主管部门授权的具有安全防护检测服务资质的检测机构实施。通过自评估，网络和业务运营商可以更好地了解处于自己管理的券商网和互联网及相关系统安全状况以及存在的风险，为规避损失、采取安全防护措施提供依据。检查评估由主管部门发起，由主管部门或具有安全防护检测服务资质的检测机构进行实施。检查评估通常采用定期、抽样的评估模式。通过检查评估，主管部门可以督促网络和业务运营商时刻保持安全防护意识，完善安全防护体系建设，保证券商网和互联网的安全和有效运行。

安全风险评估实施的基本过程

券商网和互联网安全风险评估应贯穿于券商网和互联网生命周期的各阶段中，在生命周期不同阶段的风险评估原则和方法是一致的。在券商网和互联网的安全风险评估工作中，应首先进行相关工作的准备，通过安全风险分析计算券商网和互联网及相关系统的风险值，进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。

5.2 第二次检查和评估

5.2.1 等级保护评估目标

 对xxxx重要信息系统进行再次检查和评估，判断其安全保护等级是否

需要进行调整,形成xxxx重要信息系统等级保护的定级调整建议。

 通过评估获得xxxx重要信息系统的网络安全风险报告，形成风险列表。  通过等级保护安全技术检查和评估了解xxxx网络安全现状，为xxxx今

后的网络安全建设、安全管理体系建设提供建议。

5.2.2 等级保护评估方法

（1） 文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及

其承载的数据和信息、管理、维护和使用的人员等文档。从而为

确定定级对象、等级提供参考。

（2） 调查问卷：调查问卷是提供一套关于管理或操作控制的问题表格，

供技术或管理人员填写；

（3） 人员访谈：与有关人员访谈，了解系统发射故障对国家安全、社

会秩序、公民法人的合法权益的影响程度。

（4） 实地观察:，现场面谈则是由评估人员到现场观察并收集被评估方

在物理、环境和操作方面的信息。

（5） 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联

网的相关信息，在此基础上形成准确的券商网和互联网总体描述

文件。

5.2.3 等级保护评估内容

5.2.3.1 等级再评估

 安全检查和持续改进

在券商网和互联网及相关系统安全运维过程中，会发生券商网和互联网及相关系统变更、安全状态改变等情况，因此必须定期对券商网和互联网及相关系统进行安全检查。通过安全状态检查，为券商网和互联网及相关系统的持续改进过程提供依据和建议，确保券商网和互联网及相关系统的安全保护能力满足其相应等级的基本安全要求和自身特殊的安全需求。

安全检查可以采用定期的安全等级保护检测、自我检查等手段实现。风险评估可以作为安全检查的一种手段。通过询问、检查和测试等多种手段，进行安全状况检查，记录各种检查活动的结果数据，分析安全措施的有效性、安全事件产生的可能性，并可根据检查结果提出对券商网和互联网及相关系统的改进需求和建议等。

 改进方案制定和实施

根据安全检查结果对券商网和互联网及相关系统进行持续改进，确定安全改进的策略，分为如下几种情况：

1）如果涉及安全等级的变化，则应进入安全等级保护的一个新的循环过程；

2）如果安全等级不变

i. 如果调整内容较多、涉及范围较大，则应对安全改进项目进行立项，

重新开始安全实施过程；

ii. 如果调整内容较小，则制定安全改进方案进行局部补充或局部调整，

确定安全改进的工作方法、工作内容、人员分工、时间计划、管理

内容的调整和技术内容的调整等。然后进行安全改进方案的实施，

并对改进后的券商网和互联网及相关系统进行验收。

通过对券商网和互联网及相关系统进行持续改进，确保券商网和互联网及相关系统的安全保护能力满足相应等级安全要求和自身特殊的安全需求，确保安全

等级保护工作的有效性。

对安全状态检查后，形成安全检查报告；制定安全改进方案以及验收报告。 券商网和互联网及相关系统的生命周期包括五个阶段，即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。券商网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为：对新建券商网和互联网及相关系统的安全等级保护和对已建券商网和互联网及相关系统的安全等级保护，两者在券商网和互联网及相关系统生命周期中的切入点是不同的，但是安全等级保护工作的主要活动基本相同，其安全等级保护过程与券商网和互联网及相关系统生命周期的关系如下图所示。

新建的券商网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段，应该仔细分析和合理划分各个券商网和互联网及相关系统，确定各个券商网和互联网及相关系统的安全等级，定级过程也可能在设计阶段；在设计阶段，应该根据各个券商网和互联网及相关系统的安全等级，进行安全规划设计；在实施阶段，应在券商网和互联网及相关系统建设的同时，同步进行安全措施的实施；在运维阶段，应按照本系列标准文件中安全等级保护的要求进行安全运维；在废弃阶段，应对废弃的设备、信息或存储介质等资产进行有效的安全管理。

已建的券商网和互联网及相关系统通常处于运维阶段，由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足，因此应在运维阶段启动安全等级保护工作，安全等级保护过程中的安全等级确定、安全规划设计、安全实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的券商网和互联网及相关系统，工作的重点是在现

有网络的基础上，根据安全等级保护要求，在安全规划设计阶段如何制定满足要求的补充的安全建设方案，在安全实施阶段如何保证在不影响现有业务/应用的情况下，分步骤分阶段分目标地使各类安全补救措施可以顺利落实。

在已建的券商网和互联网及相关系统基础上进行扩容的安全等级保护工作，扩容部分应与新建的券商网和互联网及相关系统的安全等级保护过程一致。

5.2.3.2 技术评估

通过调查或查阅资料等方式，确定具体进行安全等级保护工作的对象，包括整体对象（如机房、办公环境、网络等）和具体对象（如边界设备、网关设备、服务器设备、工作站、应用系统等）；获得券商网和互联网及相关系统的信息，包括技术和管理方面的信息，技术方面包括物理环境、网络、设备、数据、业务/应用等信息，管理方面包括安全管理机构、安全管理制度、人员管理、网络建设和运维管理等信息。

在此基础上，将其对应的券商网和互联网及相关系统的安全防护要求中安全等级保护的管理方面和技术方面的安全指标作为依据，通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的比较，通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的比较，通过将安全等级保护对象的安全现状与指标进行逐一对比，判断安全管理和技术的各个方面与等级保护要求中的基本安全要求之间的差距，给出初步的安全需求。

5.2.3.3 灾难备份及恢复评估

券商网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源，确保已有的券商网和互联网在灾难发生后，在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图5所示，灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的

相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。

针对券商网和互联网不同系统、不同重要级别的业务，灾难备份及恢复所要达到的目标是不同的。例如，在券商网和互联网中，对于普通话音业务，可以要求网络和业务运营商通过灾难备份及恢复工作，保证在灾难发生后单一地区灾难不影响灾难发生地理范围以外地区的业务，并且发生灾难地区的话音业务能够通过有效灾难恢复计划的实施，在最短时间（由主管部门给出具体指标要求，指标应与灾难级别对应）内恢复通信。

灾难备份及恢复实施的基本过程

5.2.4 远程评估

远程风险评估主要是根据已有的安全弱点知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和弱点。扫描的方式可以采用工具进行网络扫描。

利用安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全弱点检测和分析，对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。

远程扫描的范围限制于经过客户以书面形式进行授权的主机、网络系统，使用的手段也经过客户的书面同意。yyyy公司承诺不会对授权范围之外的主机、网络系统进行远程扫描。

5.2.4.1 远程评估范围

yyyy公司将针对xxxx公司的等级保护定级备案信息系统，提供省网层面的远程风险评估服务。

本次对xxxx的重要信息系统等级保护安全技术检查和风险评估需对xxxx的„„进行等级保护安全技术检查和风险评估。

5.2.4.2 远程评估流程

远程扫描流程如下图示：

5.2.4.2.1 客户授权

客户书面授权委托，并同意实施方案是进行远程扫描的必要条件。远程扫描首先必须将实施方法、实施时间、实施人员，实施工具等具体的实施方案提交给

客户，并得到客户的相应书面委托和授权。

5.2.4.2.2 风险规避

根据业务、系统情况以及扫描对象类型制定风险规避措施，包括选用安全的扫描策略、系统备份和恢复。

5.2.4.2.3 数据分析

扫描结果存为统一格式进行统一分析和归类。

5.2.4.2.4 生成报告

 阶段报告

在扫描会话完成之后由工具输出扫描报告。

对原始数据进行整理生成原始数据报告。

 最终报告

通过人工分析最后形成远程扫描报告。

在进行远程扫描之后，扫描工具可输出原始数据报告，经数据库统计归类和人工分析之后，形成最终扫描报告。远程风险评估阶段的最终报告为：

《xxxx远程风险评估报告》

5.2.4.3 远程扫描风险控制手段

5.2.4.3.1 远程扫描手段的选择

 时间选择

根据双方协商结果而定，在《远程扫描操作申请》里会具体说明进行远程扫描需要的时间段，对重要的服务器，为减轻远程扫描对网络和主机的影响，远程扫描时间尽量安排在业务量不大的时段或晚上。

 策略选择

扫描工具自身集成了多种不同的扫描策略，并严格按照国际惯例进行划分；除了自身所集成的扫描策略外，对应于要求较高并对网络安全比较了解的用户，允许他们按照不同的安全需求或自身的需要编辑或生成适合于自己的专用策略，应用这种量身定制的策略进行扫描，能提高系统扫描效率，从面达到更好的扫描

效果。

远程扫描实施前策略选择应遵循以下原则：

 远程扫描策略最大化，有效检查目标系统上最新的安全弱点。

 远程扫描影响最小化，在扫描策略中去除DOS选项，并根据客户方提供的资料分析，有针对地选择端口扫描策略，保证目标系统正常运行。

 扫描目标中凡有双机热备的主机，两台主机应分在不同的会话中进行远程扫描，扫描顺序为先扫描备机，后扫描主机，保证业务的连续性。

5.2.4.3.2 系统备份和恢复手段

 系统备份

为防止在远程扫描过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。

 系统恢复

在远程扫描过程中，如果出现被评估系统没有响应或中断的情况，应当立即停止测试工作，与客户方配合人员一起分析情况，在确定原因后，及时恢复系统，并采取必要的预防措施（比如调整测试策略）之后，确保对系统无影响，并经客户方同意之后才可继续进行。

5.2.4.3.3 工程中合理沟通的保证

在工程实施过程中，确定不同阶段的测试人员以及客户方的配合人员，建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。

5.2.4.4 客户配合

远程风险评估阶段需要xxxx配合的事项如下：

 提供被评估资产的列表，至少标明IP地址和双机热备的主机

 与yyyy协商确认远程扫描实施时间

 提供远程扫描工作环境，包括可容纳实施远程扫描工作人员的办公位，用于

实施扫描的工作用机，并提供网络接口

 根据双方协商结果，确定配合远程扫描的人员

 进行远程扫描之前对重要数据进行备份

5.2.5 本地风险评估

本地风险评估服务是安全评估服务体系中的一个重要模块，属于技术评估范围，主要是通过采取技术手段，通过获取系统配置和运行状态并进行技术分析，以此了解系统的安全现状。

5.2.5.1 本地风险评估目的

yyyy本地风险评估服务利用专业安全技术和相关知识，通过对主机或设备的操作与检查，收集并了解主机或设备目前的补丁或版本信息、系统配置以及日志纪录等内容，针对这些信息进行技术分析，从而能够了解到主机或设备目前的安全现状，并根据综合信息分析得到主机或设备的安全等级，以便客户能够采取具有针对性的安全保障措施。

同时，yyyy本地风险评估服务，也可以分析安全产品以及安全应用的部署和实施情况，帮助客户了解安全产品和应用是否得到了正确的使用。

本地风险评估的目的是：

 对现有设备的安全现状（包括补丁，权限，安全特性等）进行了解；  通过安全现状分析，检查目前安全措施和制度的执行情况；

 对安全系统进行专业的检查，检查是否得到了正确的使用；

 检查系统是否有被攻击。

通过本地风险评估，我们了解到主机或者设备的安全现状将包括：是否存在的安全弱点，这些安全弱点是否严重，系统配置是否满足安全要求，是否被入侵或被破坏等。

5.2.5.2 本地风险评估范围

本次对xxxx的重要信息系统等级保护安全技术检查和风险评估需对xxxx的省移动通信网、增值业务网、传送网、信令网、同步网、支撑网、门户网站和各市州分公司的移动通信网、传送网、接入网进行等级保护安全技术检查和风险

评估。

5.2.5.3 本地风险评估内容

yyyy对将本地风险评估包括对xxxx数据网和网管网的业务流程和拓扑分析、安全管理调查、人工审计。

通过业务流程和网络拓扑分析可以了解业务信息流的安全需求、发现网络拓扑存在的边界安全问题，为网络拓扑优化和安全域规划提出建议。

通过安全管理调查可以对技术弱点的安全管理根源进行追踪，评价xxxx在安全组织、安全策略、安全管理和安全运作方面存在的缺陷，通过制定安全策略建议和安全管理体系的规划建设来实现安全的可管理。

通过安全审计对重点设备和主机进行详细的安全性调查，发现远程评估无法发现的配置缺陷、应用缺陷，并通过日志审计调查评估对象存在的深层次安全安全问题。

对抽样出的主机和设备通过人工审计的方法，在本地评估系统、应用和设备的安全性。人工审计的项目包括：

5.2.5.4 本地风险评估过程

本地风险评估包括以下阶段：

 业务流程和网络拓扑分析

 分析数据网承载业务的网络拓扑、业务流程，接入管理流程。

 分析网管网的网络拓扑、网管网业务流程、各业务网管应用。

 专家访谈

 对xxxx主管领导进行整体安全管理状况和安全管理规划进行访谈  对数据网和网管网的领导进行业务安全管理现状和安全管理规划进行访

谈

 安全管理调查

以调查问卷的方式，对数据网及其承载业务、网管网、各业务网管的业务管理员、系统管理员进行调查，调查的内容包括安全技术和安全管理两个方面。  人工审计

对抽样设备和主机进行人工审计，包括系统审计、应用审计、数据库审计、网络设备审计、日志审计、安全应用审计等。

 人工审计流程

本地风险评估服务过程分为下面四个阶段：确定审计对象、技术审计、信息分析、产生报告。

 确定审计对象

根据网络安全风险报告及风险列表，为网管中心、数据中心、各市州分公司挑选出400台需进行安全优化服务的设备作为本地风险评估的对象。  技术审计

技术审计即开始根据审计列表进行本地风险评估。yyyy的技术审计将首先应用审计列表或者审计工具，在对象上收集相应的信息。

对于主要的操作系统或者应用来说，yyyy将主要从下面几个方面来获取系统的运行信息：

 账号

 资源

 系统

 网络

 审核、日志和监控

在技术审计过程中，安全专家将采用多种技术来进行信息收集，这些技术包括：

 本地风险评估工具。比如针对Aix系统，yyyy开发了自己的本地风险评

估脚本工具，通过执行该工具，就可以获取系统的运行信息；

 常见后门分析工具。通过使用这些工具，检查系统是否存在木马后门。  深层挖掘技术。通过安全专家的深层挖掘，检查系统是否被安装了

Rootkit等很难被发现的后门程序。

针对客户部署的安全产品和应用，比如防火墙、IDS以及身份认证、VPN等，yyyy安全专家，将收集这些产品的相关信息，比如，应用情况、自身配置情况、访问情况、部署状况等。

除了对系统运行信息的收集外，评估人员将会检查系统的安全状况，主要是判断系统是否存在被入侵的情况。如果检查到有被入侵的迹象，评估人员将立即向相关人员汇报，并提出安全防范建议。

 信息分析

收集了系统信息之后，安全专家将对这些信息进行技术分析，审计的结果按照评估对象和目标对结果从补丁管理、最小服务原则、最大安全性原则、用户管理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分。

这7个方面将能够充分体现系统目前的运行和安全现状。通过数字分数的形式，并结合资产的重要性，将能够很直观地表现出系统的情况。并且可以根据其中存在的缺陷，制定相应的解决办法。

对于客户的安全产品和安全应用，将分析这些产品和应用自身的安全性能，以及它们的部署实施状况。通过这些分析，让客户了解安全产品和应用是否得到正确使用，也可以帮助客户来分析一些安全产品（如防火墙、IDS等）的保护和

纪录情况。

5.3 评估过程风险控制

在评估过程中，不可避免地会对评估对象造成影响，相应地会造成各种损失。这些影响包括信息泄漏、业务停顿或处理能力受损等。因此，必须充分考虑各种可能的影响及其危害并准备好相应的应对措施，尽可能减小对目标系统正常运行的干扰，从而减小损失。表给出了评估过程中可能的风险与控制方式。

xxxx网络安全等级保护 评估服务技术建议书

2009年6月

目 录

第一部份 综述 ......................................................................................................................... 4

第二部份 总体方案建议 ......................................................................................................... 5

1.

2.

3.

4. 项目目标 ........................................................................................................................... 5 等级保护评估范围 ........................................................................................................... 5 等级保护评估原则 ........................................................................................................... 5 等级保护评估理论及标准 ............................................................................................... 6

4.1 标准与规范 ....................................................................................................... 7

4.1.1 等级保护评估标准 ................................................................................... 7

4.1.2 标准体现 ................................................................................................... 7

4.2 等级保护模型 ................................................................................................... 8

4.2.1 等级保护 ................................................................................................... 8

4.2.2 等级划分 ................................................................................................... 9

4.2.3 等级保护能力 ........................................................................................... 9

4.2.4 安全要求评估与检查 ............................................................................. 12

4.2.5 券商网安全等级 ..................................................... 错误！未定义书签。

4.3 券商网安全等级计算方法 ............................................................................. 13

4.3.1 对数法 ..................................................................................................... 13

4.3.2 矩阵法 ..................................................................................................... 14

4.4 评估理论模型 ................................................................................................. 14

4.4.1 安全风险过程模型 ................................................................................. 14

4.4.2 安全风险关系模型 ................................................................................. 15

4.4.3 安全风险计算模型 ................................................................................. 16

4.5 安全风险分析策略 ......................................................................................... 18

4.5.1 风险计算原理 ......................................................................................... 18

4.5.2 风险结果判定 ......................................................................................... 19

4.6 券商网安全防护体系 ..................................................................................... 20

5. 等级保护评估方案 ......................................................................................................... 20

5.1 第一次检查和评估 ......................................................................................... 21

5.1.1 等级保护评估目标 ................................................................................. 21

5.1.2 等级保护评估方法 ................................................................................. 21

5.1.3 等级保护评估步骤 ................................................................................. 21

5.1.4 等级保护评估内容 ................................................................................. 22

5.2 第二次检查和评估 ......................................................................................... 26

5.2.1 等级保护评估目标 ................................................................................. 26

5.2.2 等级保护评估方法 ................................................................................. 26

5.2.3 等级保护评估内容 ................................................................................. 27

5.2.4 远程评估 ................................................................................................. 30

5.2.5 本地风险评估 ......................................................................................... 34

5.3 评估过程风险控制 ......................................................................................... 39

第一部份 综述

随着近年来我国网络建设和信息化建设的加快，企业、政府机关等组织的业务和信息化的结合越来越紧密，在给组织带来巨大经济和社会效益的同时，也给组织的信息安全和管理带来了严峻的挑战。一方面，信息安全由于其专业性，目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度；另一方面现在的网络攻击技术新、变化快，往往会在短时间内造成巨大的破坏，同时由于互联网的传播使黑客技术具有更大的普及性和破坏性，会给组织造成很大的威胁，必需加强信息安全集中监管的能力和水平，从而减少组织的运营风险。

通过对xxxx的重要信息系统等级保护安全技术检查和风险评估，可以了解目前xxxx等级保护的定级是否准确、是否按照国家要求进行定级，同时能够识别网络中存在的各种安全风险，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对全网的安全进行统一的规划和建设，并根据等级保护检查和风险评估的结果指导xxxx下一步等级保护工作的开展,确实有效保障网络安全稳定运行。

正是在这样的背景下，yyyy结合自身多年在安全行业和等级保护的积累，为xxxx的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。

本方案主要包括以下组成部分：

一．综述

二．总体方案建议

第二部份 总体方案建议

1. 项目目标

本次对xxxx重要信息系统等级保护安全技术检查和风险评估的目标是：

 对重要信息系统的安全等级进行检查和评估，判断其定级是否准确，定级是否符合国家有关部门的要求。

 通过等级保护安全技术检查和评估，对等级保护定级不准确或者不符合要求的信息系统给出建议。

2. 等级保护评估范围

本次评估，yyyy充分理解公安部的《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等标准设计等级保护安全评估方案，对xxxx公司的重要信息系统的等级和安全现状进行评估。

本项目所评估的网络系统包含：„„等等。具体评估系统如下：

3. 等级保护评估原则

yyyy等级保护评估服务将遵循以下原则：

 保密原则：yyyy将与xxxx签订保密协议，同时公司与每个参与本项目的员工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息，保证公司和个人不会利用评估结果对xxxx造成侵害。在项目过程中获知的任何用户的信息，经过双方确认，并对相关文档属用户秘密信息，严格遵守保密协议中规定的要求，确保在实施，维护，合同有效期

内的信息安全。

 标准性原则：yyyy对xxxx等级保护评估方案的设计与实施应依据相关的

等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行，确保等级保护风险评估过程的规范、合理，并为等级保护评估成果提供了质量保证。

 规范性原则：yyyy在等级保护评估项目中提供规范的工作过程和文档，

具有很好的规范性，可用于项目的跟踪和控制。评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在评估之前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在操作过程中对操作的过程和结果要提供规范的记录，并形成完整的评估过程报告。

 可控性原则：yyyy的等级保护评估的方法、过程以及评估工具在项目开

始之前经过xxxx严格测试并认可，评估服务的实际进度与进度表安排一致，对于由于客观因素需要的项目计划变更，将由双方项目经理进行确认，保证客户对于评估工作的可控性。

 整体性原则：yyyy在xxxx网络安全等级保护评估项目中的范围和内容整

体全面，涉及„„，明确xxxx计算机网络中的各个定级对象，评估其安全等级，同时评估其安全风险以及其产生的原因。

 最小影响原则：yyyy的等级保护风险评估工作的原则是做到对于用户系

统和网络运行的影响最小化，不能对正在运行的系统和业务的正常提供产生显著不利影响。在评估项目实施过程中，首先，远程风险评估和本地安全审计在业务不繁忙时段进行；其次，有主次互备的主机系统和设备，首先在备份机上进行安全评估，确信对业务系统不会有不利影响后方在主机上实施相应的安全评估；对于特别重要的系统和设备，若不满足直接对本机进行风险评估的条件，则应考虑采取其他更为稳妥的安全措施（如：考虑在其边界部署安全防护措施）。

4. 等级保护评估理论及标准

4.1 标准与规范

4.1.1 等级保护评估标准

yyyy为xxxx提供的网络安全等级保护风险评估服务，将主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳了优秀的风险评估理论。国际标准包括BS7799， AS/NZS 4360: 1999 , ISO15408等；国家标准包括GAO/AIMD-00-33《信息安全风险评估》，GB17859，GB18336等。这些标准和操作指南目前已经被我公司在以往的评估项目中进行了实践，并得到了用户的认可和好评。

除对标准的遵循外，yyyy的风险评估过程还紧密结合xxxx的各种业务特征，依据xxxx各业务的业务特点，系统地制定了xxxx网络安全等级保护风险评估方案。

4.1.2 标准体现

4.2 等级保护模型

4.2.1 等级保护

信息系统是颇受诱惑力的被攻击目标。它们抵抗着来自各方面威胁实体的攻击。对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁，从而尽量降低由于威胁给系统带来的损失。

能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。对抗能力和恢复能力共同形成了信息系统的安全保护能力。

不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力，以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。

针对各等级系统应当对抗的安全威胁和应具有的恢复能力，《基本要求》提出各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求，基本技术要求主要用于对抗威胁和实现技术能力，基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。

各等级的基本安全要求，由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。

下图表明了《基本要求》的描述模型。

图1-2《基本要求》的描述模型

4.2.2 等级划分

作为保护对象，《管理办法》中将信息系统分为五级，分别为：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

4.2.3 等级保护能力

1) 定义

a) 对抗能力

能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。不同等级系统所应对抗的威胁主要从威胁源（自然、环境、系统、人为）动机（不可抗外力、无意、有意）范围（局部、全局）能力（工具、技术、资源等）四个要素来

考虑。

在对威胁进行级别划分前，我们首先解释以上几个要素：

 威胁源——是指任何能够导致非预期的不利事件发生的因素，通常分为

自然（如自然灾害）环境（如电力故障）IT系统（如系统故障）和人员（如心怀不满的员工）四类。

 动机——与威胁源和目标有着密切的联系，不同的威胁源对应不同的目

标有着不同的动机，通常可分为不可抗外力（如自然灾害）无意的（如员工的疏忽大意）和故意的（如情报机构的信息收集活动）。

 范围——是指威胁潜在的危害范畴，分为局部和整体两种情况；如病毒

威胁，有些计算机病毒的传染性较弱，危害范围是有限的；但是蠕虫类病毒则相反，它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。

 能力——主要是针对威胁源为人的情况，它是衡量攻击成功可能性的主

要因素。能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源（包括经验）等方面。

通过对威胁主要因素的分析，我们可以组合得到不同等级的威胁：

第一级：本等级的威胁是1）危害范围为局部的环境或者设备故障、2）无意的员工失误以及3）低能力的渗透攻击等威胁情景。典型情况如灰尘超标（环境）单个非重要工作站（设备）崩溃等。

第二级：本等级的威胁主要是1）危害局部的较严重的自然事件、2）具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。

第三级：本等级的威胁主要是1）危害整体的自然事件、2）具备较高能力、大范围的、有预设目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。

第四级：本等级的威胁主要是1）危害整体的严重的自然事件、2）国家级渗透攻击。典型情况如国家经营，组织精良，有很好的财政资助，从其他具有经济、军事或政治优势的国家收集机密信息等。

b) 恢复能力

但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时间内恢复系统原有的状态。

能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态，表明恢复能力越高。

第一级：系统具有基本的数据备份功能，在遭到破坏后能够不限时的恢复部分系统功能。

第二级：系统具有一定的数据备份功能，在遭到破坏后能够在一段时间内恢复部分功能。

第三级：系统具有较高的数据备份和系统备份功能，在遭到破坏后能够较快的恢复绝大部分功能。

第四级：系统具有极高的数据备份和系统备份功能，在遭到破坏后能够迅速恢复所有系统功能。

2) 不同等级的安全保护能力

信息系统的安全保护能力包括对抗能力和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力。将“能力”分级，是基于系统的保护对象不同，其重要程度也不相同，重要程度决定了系统所具有的能力也就有所不同。一般来说，信息系统越重要，应具有的保护能力就越高。因为系统越重要，其所伴随的遭到破坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。

不同等级信息系统所具有的保护能力如下：

一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

4.2.4 安全要求评估与检查

首先介绍《基本要求》的安全要求的分类。安全要求从整体上分为技术和管理两大类，其中，技术类安全要求按其保护的侧重点不同，将其下的控制点分为三类：

信息安全类（S类）——关注的是保护数据在存储、传输、处理过程中不被

泄漏、破坏和免受未授权的修改。

如，自主访问控制，该控制点主要关注的是防止未授权的访问系统，进而造成数据的 修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。

服务保证类（A类）——关注的是保护系统连续正常的运行，避免因对系统

的未授权修改、破坏而导致系统不可用。

如，数据的备份和恢复，该控制点很好的体现了对业务正常运行的保护。通过对数据 进行备份，在发生安全事件后能够及时的进行恢复，从而保证了业务的正常运行。

通用安全保护类（G类）——既关注保护业务信息的安全性，同时也关注保

护系统的 连续可用性。

大多数技术类安全要求都属于此类，保护的重点既是为了保证业务能够正常运行，同时数据要安全。如，物理访问控制，该控制点主要是防止非授权人员物理访问系统主要工作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如，损坏某台重要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。

技术安全要求按其保护的侧重点不同分为S、A、G三类，如果从另外一个角度考虑，根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全要求：

——物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等

方面为信息系统的安全运行提供基本的后台支持和保证；

——网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务；

——主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行；

——应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标；

——数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。

管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的，均为G类要求。信息系统的生命周期主要分为五个阶段：初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的，分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。

4.3 券商网安全等级计算方法

4.3.1 对数法

可使用下面的公式来计算券商网和互联网及相关系统的安全等级值：

k = Round1{Log2{[α×2I+β×2V+γ×2R]}}

其中，k 代表安全等级值，I代表社会影响力赋值、V代表所提供服务的重要性赋值、R代表服务用户数赋值，Round1{}表示四舍五入处理，保留1位小数；Log2[]表示取以2为底的对数，α、β、γ分别表示券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值所占的权重，网络和业务运营商可根据具体网络的情况确定的α、β、γ取值，α≥0，β≥0，γ≥0，且α+β+γ=1。

计算所得券商网和互联网及相关系统的安全等级值与安全等级的映射关系如表A.1所示。

表A.1 安全等级值与安全等级的映射关系

4.3.2 矩阵法

矩阵法是通过建立券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数的一个对应矩阵，并且预先根据一定的方法确定了安全等级。使用本方法需要首先确定券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值，再查矩阵获得其安全等级。

例如，采用对数法提前确定矩阵中的安全等级，并设α=β=γ=1/3，安全等级的1、2、3.1和3.2分别对应自主保护级、指导保护级、普通监督保护级和重点监督保护级，则可得表A.2所示的安全等级判别矩阵。

表A.2 安全等级判别矩阵

4.4 评估理论模型

xxxx风险评估项目方案中提供的安全风险模型主要依据ASNZS 4360:1999标准、国际风险评估标准BBS7799，ISO/IEC 13335，结合xxxx数据网和网管网的特点，建立以下安全模型：

 安全风险过程模型  安全风险关系模型  安全风险计算模型  安全风险管理模型

4.4.1 安全风险过程模型

安全风险可以理解为一种状态向另一种状态迁移的过程。下图给出了一个安

全风险状态的转换过程。

 安全风险过程模型（摘自GA/T 391-2002）

4.4.2 安全风险关系模型

为了更加清晰的描述xxxx面临的安全风险，以及造成风险的各个要素之间的关系，我们根据相关国际标准（ASNZS 4360：1999;BS7799/ISO 17799; ISO/IEC 13335等）建立xxxx网络安全风险关系模型。主要以风险为中心形象的进行描述了xxxx网络络所面临的风险、弱点、威胁及其相应的资产价值、安全需求、安全控制、安全影响等动态循环的复杂关系。

 安全风险关系模型

安全风险关系模型动态的表现了xxxx网络所面临的安全风险与其它各个要素之间的内在关系。从评估的角度来说，xxxx网络面临很多威胁（外部威胁、内部威胁），攻击者利用网络存在的弱点（物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等等），攻击网络，增加了xxxx网络所面临的威胁，同时，攻击事件的成功导致资产的暴露（信息资产、物质资产、软件资产、服务、设备、人员等），造成安全风险；同时资产的暴露（如xxxx高级管理人员由于不小心而导致重要机密信息的泄露），随着资产价值的大小而导致相应安全风险。

4.4.3 安全风险计算模型

安全风险计算过程描述如下图：

 输入

 资产级别：是指资产的相对级别，在进行资产评估时进行资产价值

定义，一般从资产的机密性、完整性和可用性三个方面的安全需求去描述。

 脆弱性级别：业务系统中的各种脆弱性级别，包括技术性和非技术

性脆弱性。

 威胁级别：根据威胁的可能性以及威胁的后果计算出的等级。  方法简要描述

 定量分析方法：用于建立风险级别矩阵，计算出风险等级。

 历史分析方法：威胁的可能性通过该方法计算得出。通过检测过去

发生过的事件发生的频率来决定该事件再次发生的概率。在xxxx网络风险评估中采用该方法主要通过统计分析CERT库来得出世界上各种典型攻击事件发生的概率。

 风险计算矩阵与输出

风险计算矩阵是按照相关国际标准(ASNZS 4360：1999;BS7799/ISO 17799; ISO/IEC 13335等)，采用国际上典型的风险计算方法对xxxx网络所面临的风险级别矩阵进行计算得到xxxx所面临的各种安全风险，计算出xxxx网络的安全风险。

对于特定环境下资产的脆弱性，安全风险的相关因素包括威胁利用的可能性以及造成的影响。

 可能性

评价可能性需要考虑资产已有的安全控制措施、弱点的利用难易程度。可能性属性非常难以度量，它依赖于具体的资产、弱点和影响。该属性还和时间有关系。所以，在威胁评估中，评估者的专家经验非常重要。遵照AS/NZS 4360:1999标准，对风险可能性说明如下：

 影响

评价威胁的影响需要考虑资产的价值以及弱点利用对业务造成的影响：

 风险计算矩阵

E：极度风险，要求立即采取措施 H：高风险，需要高级管理部门的注意 M：中等风险，必须规定管理责任 L：低风险，用日常程序处理

4.5 安全风险分析策略

4.5.1 风险计算原理

在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失，最终得到风险值。

风险计算原理如下图所示：

风险计算原理示意图

对风险计算原理可以采用下面的范式形式化加以说明：

风险值 = R（A，T，V）= R（L（Ta，Vb），F（Ia，Va））

其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ta表示威胁出现的频率，Ia表示安全事件所作用的资产价值，Va表示脆弱性严

重程度，Vb表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。有以下三个关键计算环节：

a）计算安全事件发生的可能性

根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：

安全事件发生的可能性 = L（威胁出现频率，脆弱性）= L（Ta，Vb） 在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。

b）计算安全事件发生后的损失

根据资产价值及脆弱性严重程度，计算安全事件一旦发生造成的损失，即：

安全事件的损失 = F（资产价值，脆弱性严重程度）= F（Ia，Va） 部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。

c）计算风险值

根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值 = R（安全事件发生的可能性，安全事件的损失）= R（L（Ta，Vb），F（Ia，Va））

4.5.2 风险结果判定

为实现对风险的控制与管理，对风险值进行等级化处理，将风险划分为一定的级别，本标准文件将风险等级划分为五级，每个等级代表了相应风险的严重程度，等级越高，风险越高。

表12提供了一种风险等级划分方法。

风险等级划分表

在得到资产的风险值之后，需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内，如果风险结果在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险结果在可接受的范围外，是不可接受的风险，需要制定风险处理计划并采取新的安全措施降低、控制风险。

主管部门或者网络和业务运营商应综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值。

4.6 券商网安全防护体系

整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对券商网和互联网安全防护的定义、目标、原则，并说明了安全防护体系中的角色划分以及体系组成。

第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。

第三层对券商网和互联网安全防护范畴中的安全防护工作的实施进行了具体规范，其中。。。。。。等业务平台以及业务管理平台。对。。。。。。业务网实施安全防护，应分别从构成上述网络的不同券商网和互联网相关系统入手进行安全等级保护、安全风险评估、灾难备份及恢复等工作，并制定相应的安全防护要求和安全防护检测要求。

5. 等级保护评估方案

本项目具体内容如下：

1 第一次检查和评估

5.1.1 等级保护评估目标

对xxxx的重要信息系统等级保护安全技术检查和风险评估，具体包括xxxx的。。。。。。：

 通过等级保护安全技术检查和评估获得xxxx重要信息系统的定级情况的报告和安全风险报告。

 根据等级保护定级情况报告和安全风险报告，为xxxx的等级保护工作以及安全建设工作提出建议。

 通过评估了解xxxx重要信息系统的网络安全现状，为xxxx进一步加强对重要信息系统的安全防护提供建议。

5.1.2 等级保护评估方法

（1） 文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及

其承载的数据和信息、管理、维护和使用的人员等文档。从而为

确定定级对象、等级提供参考。

（2） 调查问卷：调查问卷是提供一套关于管理或操作控制的问题表格，

供技术或管理人员填写；

（3） 人员访谈：与有关人员访谈，了解系统发射故障对国家安全、社

会秩序、公民法人的合法权益的影响程度。

（4） 实地观察:，现场面谈则是由评估人员到现场观察并收集被评估方

在物理、环境和操作方面的信息。

（5） 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联

网的相关信息，在此基础上形成准确的券商网和互联网总体描述

文件。

5.1.3 等级保护评估步骤

1） 定级对象评估

2） 评定等级评估

a) 相关系统的社会影响力赋值评估

b) 服务的重要性赋值评估

c) 服务用户数赋值评估

5.1.4 等级保护评估内容

根据主管部门的要求，遵照安全等级保护的管理和技术方面的标准，针对已经实施了安全等级保护的券商网和互联网及相关系统，检测实施的安全保护措施是否符合相应安全等级的安全防护要求。

5.1.4.1 定级对象评估

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

作为定级对象的信息系统应具有如下基本特征：

a) 具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

b) 具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

c) 承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

5.1.4.2 安全等级评估

券商网和互联网安全防护体系中，确定安全等级是进行安全等级保护的前提和基础，直接影响和指导安全防护体系中的安全风险评估和灾难备份及恢复工作。网络和业务运营商应应根据本标准文件的定级方法确定券商网和互联网及相关系统的安全等级，以保证定级的科学性和准确性。

在券商网和互联网及相关系统中进行安全等级划分的总体原则是：券商网和互联网及相关系统受到破坏后对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商的损害程度。

券商网和互联网及相关系统可以划分为三个安全等级，分别为自主保护级、指导保护级和监督保护级，其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的券商网和互联网及相关系统实行不同等级的监管。 第1级 自主保护级

券商网和互联网及相关系统遭到破坏后仅对其所有者的利益产生损害，但是不损害国家安全、社会秩序、经济建设、公共利益。

本级按照通信行业安全标准进行自主保护。

第2级 指导保护级

券商网和互联网及相关系统遭到破坏后对社会秩序、经济建设、公共利益以及网络和业务运营商造成轻微损害。

本级在主管部门的指导下，按照行业安全标准进行自主保护。

第3级 监督保护级

分为两种情况：

3.1级 普通监督保护级

券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成较大损害。

本级按照行业安全标准进行自主保护，主管部门对其进行监督、检查。

3.2级 重点监督保护级

券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成严重损害。

本级按照通信行业安全标准进行自主保护，主管部门对其进行重点监督、检

查。

决定券商网和互联网及相关系统的安全等级的具体定级要素及其赋值如下： a）券商网和互联网及相关系统的社会影响力

券商网和互联网及相关系统的社会影响力表示其无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响程度，券商网和互联网及相关系统的社会影响力赋值如下表所示。

对券商网和互联网及相关系统的社会影响力赋值表

b）券商网和互联网及相关系统所提供服务的重要性

券商网和互联网及相关系统所提供服务的重要性表示其提供的服务对网络和业务运营商的影响程度。券商网和互联网及相关系统所提供服务的重要性赋值如下表所示。

券商网和互联网及相关系统所提供服务的重要性赋值表

c）券商网和互联网及相关系统的服务用户数

券商网和互联网及相关系统的服务用户数表示其服务的用户数多少，券商网和互联网及相关系统的服务用户数赋值如下表所示。

券商网和互联网及相关系统的服务用户数赋值表

在确定好券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数三个定级要素的赋值后，本方案第二部份4.3节内容中列举的几种安全等级计算方法可做参考。

安全等级确定可能不是一个过程就可以完成的，可能需要经过定级要素赋值、定级、定级结果调整的循环过程，最终才能确定出较为科学、准确的安全等级。

5.1.4.3 安全风险评估

券商网和互联网安全风险评估工作通常采用自评估和检查评估的方式。自评估可在主管部门相关管理规定指导下，由网络和业务运营商实施或委托主管部门授权的具有安全防护检测服务资质的检测机构实施。通过自评估，网络和业务运营商可以更好地了解处于自己管理的券商网和互联网及相关系统安全状况以及存在的风险，为规避损失、采取安全防护措施提供依据。检查评估由主管部门发起，由主管部门或具有安全防护检测服务资质的检测机构进行实施。检查评估通常采用定期、抽样的评估模式。通过检查评估，主管部门可以督促网络和业务运营商时刻保持安全防护意识，完善安全防护体系建设，保证券商网和互联网的安全和有效运行。

安全风险评估实施的基本过程

券商网和互联网安全风险评估应贯穿于券商网和互联网生命周期的各阶段中，在生命周期不同阶段的风险评估原则和方法是一致的。在券商网和互联网的安全风险评估工作中，应首先进行相关工作的准备，通过安全风险分析计算券商网和互联网及相关系统的风险值，进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。

5.2 第二次检查和评估

5.2.1 等级保护评估目标

 对xxxx重要信息系统进行再次检查和评估，判断其安全保护等级是否

需要进行调整,形成xxxx重要信息系统等级保护的定级调整建议。

 通过评估获得xxxx重要信息系统的网络安全风险报告，形成风险列表。  通过等级保护安全技术检查和评估了解xxxx网络安全现状，为xxxx今

后的网络安全建设、安全管理体系建设提供建议。

5.2.2 等级保护评估方法

（1） 文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及

其承载的数据和信息、管理、维护和使用的人员等文档。从而为

确定定级对象、等级提供参考。

（2） 调查问卷：调查问卷是提供一套关于管理或操作控制的问题表格，

供技术或管理人员填写；

（3） 人员访谈：与有关人员访谈，了解系统发射故障对国家安全、社

会秩序、公民法人的合法权益的影响程度。

（4） 实地观察:，现场面谈则是由评估人员到现场观察并收集被评估方

在物理、环境和操作方面的信息。

（5） 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联

网的相关信息，在此基础上形成准确的券商网和互联网总体描述

文件。

5.2.3 等级保护评估内容

5.2.3.1 等级再评估

 安全检查和持续改进

在券商网和互联网及相关系统安全运维过程中，会发生券商网和互联网及相关系统变更、安全状态改变等情况，因此必须定期对券商网和互联网及相关系统进行安全检查。通过安全状态检查，为券商网和互联网及相关系统的持续改进过程提供依据和建议，确保券商网和互联网及相关系统的安全保护能力满足其相应等级的基本安全要求和自身特殊的安全需求。

安全检查可以采用定期的安全等级保护检测、自我检查等手段实现。风险评估可以作为安全检查的一种手段。通过询问、检查和测试等多种手段，进行安全状况检查，记录各种检查活动的结果数据，分析安全措施的有效性、安全事件产生的可能性，并可根据检查结果提出对券商网和互联网及相关系统的改进需求和建议等。

 改进方案制定和实施

根据安全检查结果对券商网和互联网及相关系统进行持续改进，确定安全改进的策略，分为如下几种情况：

1）如果涉及安全等级的变化，则应进入安全等级保护的一个新的循环过程；

2）如果安全等级不变

i. 如果调整内容较多、涉及范围较大，则应对安全改进项目进行立项，

重新开始安全实施过程；

ii. 如果调整内容较小，则制定安全改进方案进行局部补充或局部调整，

确定安全改进的工作方法、工作内容、人员分工、时间计划、管理

内容的调整和技术内容的调整等。然后进行安全改进方案的实施，

并对改进后的券商网和互联网及相关系统进行验收。

通过对券商网和互联网及相关系统进行持续改进，确保券商网和互联网及相关系统的安全保护能力满足相应等级安全要求和自身特殊的安全需求，确保安全

等级保护工作的有效性。

对安全状态检查后，形成安全检查报告；制定安全改进方案以及验收报告。 券商网和互联网及相关系统的生命周期包括五个阶段，即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。券商网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为：对新建券商网和互联网及相关系统的安全等级保护和对已建券商网和互联网及相关系统的安全等级保护，两者在券商网和互联网及相关系统生命周期中的切入点是不同的，但是安全等级保护工作的主要活动基本相同，其安全等级保护过程与券商网和互联网及相关系统生命周期的关系如下图所示。

新建的券商网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段，应该仔细分析和合理划分各个券商网和互联网及相关系统，确定各个券商网和互联网及相关系统的安全等级，定级过程也可能在设计阶段；在设计阶段，应该根据各个券商网和互联网及相关系统的安全等级，进行安全规划设计；在实施阶段，应在券商网和互联网及相关系统建设的同时，同步进行安全措施的实施；在运维阶段，应按照本系列标准文件中安全等级保护的要求进行安全运维；在废弃阶段，应对废弃的设备、信息或存储介质等资产进行有效的安全管理。

已建的券商网和互联网及相关系统通常处于运维阶段，由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足，因此应在运维阶段启动安全等级保护工作，安全等级保护过程中的安全等级确定、安全规划设计、安全实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的券商网和互联网及相关系统，工作的重点是在现

有网络的基础上，根据安全等级保护要求，在安全规划设计阶段如何制定满足要求的补充的安全建设方案，在安全实施阶段如何保证在不影响现有业务/应用的情况下，分步骤分阶段分目标地使各类安全补救措施可以顺利落实。

在已建的券商网和互联网及相关系统基础上进行扩容的安全等级保护工作，扩容部分应与新建的券商网和互联网及相关系统的安全等级保护过程一致。

5.2.3.2 技术评估

通过调查或查阅资料等方式，确定具体进行安全等级保护工作的对象，包括整体对象（如机房、办公环境、网络等）和具体对象（如边界设备、网关设备、服务器设备、工作站、应用系统等）；获得券商网和互联网及相关系统的信息，包括技术和管理方面的信息，技术方面包括物理环境、网络、设备、数据、业务/应用等信息，管理方面包括安全管理机构、安全管理制度、人员管理、网络建设和运维管理等信息。

在此基础上，将其对应的券商网和互联网及相关系统的安全防护要求中安全等级保护的管理方面和技术方面的安全指标作为依据，通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的比较，通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的比较，通过将安全等级保护对象的安全现状与指标进行逐一对比，判断安全管理和技术的各个方面与等级保护要求中的基本安全要求之间的差距，给出初步的安全需求。

5.2.3.3 灾难备份及恢复评估

券商网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源，确保已有的券商网和互联网在灾难发生后，在确定的时间内可以恢复和继续运行。灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图5所示，灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的

相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。

针对券商网和互联网不同系统、不同重要级别的业务，灾难备份及恢复所要达到的目标是不同的。例如，在券商网和互联网中，对于普通话音业务，可以要求网络和业务运营商通过灾难备份及恢复工作，保证在灾难发生后单一地区灾难不影响灾难发生地理范围以外地区的业务，并且发生灾难地区的话音业务能够通过有效灾难恢复计划的实施，在最短时间（由主管部门给出具体指标要求，指标应与灾难级别对应）内恢复通信。

灾难备份及恢复实施的基本过程

5.2.4 远程评估

远程风险评估主要是根据已有的安全弱点知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和弱点。扫描的方式可以采用工具进行网络扫描。

利用安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全弱点检测和分析，对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。

远程扫描的范围限制于经过客户以书面形式进行授权的主机、网络系统，使用的手段也经过客户的书面同意。yyyy公司承诺不会对授权范围之外的主机、网络系统进行远程扫描。

5.2.4.1 远程评估范围

yyyy公司将针对xxxx公司的等级保护定级备案信息系统，提供省网层面的远程风险评估服务。

本次对xxxx的重要信息系统等级保护安全技术检查和风险评估需对xxxx的„„进行等级保护安全技术检查和风险评估。

5.2.4.2 远程评估流程

远程扫描流程如下图示：

5.2.4.2.1 客户授权

客户书面授权委托，并同意实施方案是进行远程扫描的必要条件。远程扫描首先必须将实施方法、实施时间、实施人员，实施工具等具体的实施方案提交给

客户，并得到客户的相应书面委托和授权。

5.2.4.2.2 风险规避

根据业务、系统情况以及扫描对象类型制定风险规避措施，包括选用安全的扫描策略、系统备份和恢复。

5.2.4.2.3 数据分析

扫描结果存为统一格式进行统一分析和归类。

5.2.4.2.4 生成报告

 阶段报告

在扫描会话完成之后由工具输出扫描报告。

对原始数据进行整理生成原始数据报告。

 最终报告

通过人工分析最后形成远程扫描报告。

在进行远程扫描之后，扫描工具可输出原始数据报告，经数据库统计归类和人工分析之后，形成最终扫描报告。远程风险评估阶段的最终报告为：

《xxxx远程风险评估报告》

5.2.4.3 远程扫描风险控制手段

5.2.4.3.1 远程扫描手段的选择

 时间选择

根据双方协商结果而定，在《远程扫描操作申请》里会具体说明进行远程扫描需要的时间段，对重要的服务器，为减轻远程扫描对网络和主机的影响，远程扫描时间尽量安排在业务量不大的时段或晚上。

 策略选择

扫描工具自身集成了多种不同的扫描策略，并严格按照国际惯例进行划分；除了自身所集成的扫描策略外，对应于要求较高并对网络安全比较了解的用户，允许他们按照不同的安全需求或自身的需要编辑或生成适合于自己的专用策略，应用这种量身定制的策略进行扫描，能提高系统扫描效率，从面达到更好的扫描

效果。

远程扫描实施前策略选择应遵循以下原则：

 远程扫描策略最大化，有效检查目标系统上最新的安全弱点。

 远程扫描影响最小化，在扫描策略中去除DOS选项，并根据客户方提供的资料分析，有针对地选择端口扫描策略，保证目标系统正常运行。

 扫描目标中凡有双机热备的主机，两台主机应分在不同的会话中进行远程扫描，扫描顺序为先扫描备机，后扫描主机，保证业务的连续性。

5.2.4.3.2 系统备份和恢复手段

 系统备份

为防止在远程扫描过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。

 系统恢复

在远程扫描过程中，如果出现被评估系统没有响应或中断的情况，应当立即停止测试工作，与客户方配合人员一起分析情况，在确定原因后，及时恢复系统，并采取必要的预防措施（比如调整测试策略）之后，确保对系统无影响，并经客户方同意之后才可继续进行。

5.2.4.3.3 工程中合理沟通的保证

在工程实施过程中，确定不同阶段的测试人员以及客户方的配合人员，建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。

5.2.4.4 客户配合

远程风险评估阶段需要xxxx配合的事项如下：

 提供被评估资产的列表，至少标明IP地址和双机热备的主机

 与yyyy协商确认远程扫描实施时间

 提供远程扫描工作环境，包括可容纳实施远程扫描工作人员的办公位，用于

实施扫描的工作用机，并提供网络接口

 根据双方协商结果，确定配合远程扫描的人员

 进行远程扫描之前对重要数据进行备份

5.2.5 本地风险评估

本地风险评估服务是安全评估服务体系中的一个重要模块，属于技术评估范围，主要是通过采取技术手段，通过获取系统配置和运行状态并进行技术分析，以此了解系统的安全现状。

5.2.5.1 本地风险评估目的

yyyy本地风险评估服务利用专业安全技术和相关知识，通过对主机或设备的操作与检查，收集并了解主机或设备目前的补丁或版本信息、系统配置以及日志纪录等内容，针对这些信息进行技术分析，从而能够了解到主机或设备目前的安全现状，并根据综合信息分析得到主机或设备的安全等级，以便客户能够采取具有针对性的安全保障措施。

同时，yyyy本地风险评估服务，也可以分析安全产品以及安全应用的部署和实施情况，帮助客户了解安全产品和应用是否得到了正确的使用。

本地风险评估的目的是：

 对现有设备的安全现状（包括补丁，权限，安全特性等）进行了解；  通过安全现状分析，检查目前安全措施和制度的执行情况；

 对安全系统进行专业的检查，检查是否得到了正确的使用；

 检查系统是否有被攻击。

通过本地风险评估，我们了解到主机或者设备的安全现状将包括：是否存在的安全弱点，这些安全弱点是否严重，系统配置是否满足安全要求，是否被入侵或被破坏等。

5.2.5.2 本地风险评估范围

本次对xxxx的重要信息系统等级保护安全技术检查和风险评估需对xxxx的省移动通信网、增值业务网、传送网、信令网、同步网、支撑网、门户网站和各市州分公司的移动通信网、传送网、接入网进行等级保护安全技术检查和风险

评估。

5.2.5.3 本地风险评估内容

yyyy对将本地风险评估包括对xxxx数据网和网管网的业务流程和拓扑分析、安全管理调查、人工审计。

通过业务流程和网络拓扑分析可以了解业务信息流的安全需求、发现网络拓扑存在的边界安全问题，为网络拓扑优化和安全域规划提出建议。

通过安全管理调查可以对技术弱点的安全管理根源进行追踪，评价xxxx在安全组织、安全策略、安全管理和安全运作方面存在的缺陷，通过制定安全策略建议和安全管理体系的规划建设来实现安全的可管理。

通过安全审计对重点设备和主机进行详细的安全性调查，发现远程评估无法发现的配置缺陷、应用缺陷，并通过日志审计调查评估对象存在的深层次安全安全问题。

对抽样出的主机和设备通过人工审计的方法，在本地评估系统、应用和设备的安全性。人工审计的项目包括：

5.2.5.4 本地风险评估过程

本地风险评估包括以下阶段：

 业务流程和网络拓扑分析

 分析数据网承载业务的网络拓扑、业务流程，接入管理流程。

 分析网管网的网络拓扑、网管网业务流程、各业务网管应用。

 专家访谈

 对xxxx主管领导进行整体安全管理状况和安全管理规划进行访谈  对数据网和网管网的领导进行业务安全管理现状和安全管理规划进行访

谈

 安全管理调查

以调查问卷的方式，对数据网及其承载业务、网管网、各业务网管的业务管理员、系统管理员进行调查，调查的内容包括安全技术和安全管理两个方面。  人工审计

对抽样设备和主机进行人工审计，包括系统审计、应用审计、数据库审计、网络设备审计、日志审计、安全应用审计等。

 人工审计流程

本地风险评估服务过程分为下面四个阶段：确定审计对象、技术审计、信息分析、产生报告。

 确定审计对象

根据网络安全风险报告及风险列表，为网管中心、数据中心、各市州分公司挑选出400台需进行安全优化服务的设备作为本地风险评估的对象。  技术审计

技术审计即开始根据审计列表进行本地风险评估。yyyy的技术审计将首先应用审计列表或者审计工具，在对象上收集相应的信息。

对于主要的操作系统或者应用来说，yyyy将主要从下面几个方面来获取系统的运行信息：

 账号

 资源

 系统

 网络

 审核、日志和监控

在技术审计过程中，安全专家将采用多种技术来进行信息收集，这些技术包括：

 本地风险评估工具。比如针对Aix系统，yyyy开发了自己的本地风险评

估脚本工具，通过执行该工具，就可以获取系统的运行信息；

 常见后门分析工具。通过使用这些工具，检查系统是否存在木马后门。  深层挖掘技术。通过安全专家的深层挖掘，检查系统是否被安装了

Rootkit等很难被发现的后门程序。

针对客户部署的安全产品和应用，比如防火墙、IDS以及身份认证、VPN等，yyyy安全专家，将收集这些产品的相关信息，比如，应用情况、自身配置情况、访问情况、部署状况等。

除了对系统运行信息的收集外，评估人员将会检查系统的安全状况，主要是判断系统是否存在被入侵的情况。如果检查到有被入侵的迹象，评估人员将立即向相关人员汇报，并提出安全防范建议。

 信息分析

收集了系统信息之后，安全专家将对这些信息进行技术分析，审计的结果按照评估对象和目标对结果从补丁管理、最小服务原则、最大安全性原则、用户管理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分。

这7个方面将能够充分体现系统目前的运行和安全现状。通过数字分数的形式，并结合资产的重要性，将能够很直观地表现出系统的情况。并且可以根据其中存在的缺陷，制定相应的解决办法。

对于客户的安全产品和安全应用，将分析这些产品和应用自身的安全性能，以及它们的部署实施状况。通过这些分析，让客户了解安全产品和应用是否得到正确使用，也可以帮助客户来分析一些安全产品（如防火墙、IDS等）的保护和

纪录情况。

5.3 评估过程风险控制

在评估过程中，不可避免地会对评估对象造成影响，相应地会造成各种损失。这些影响包括信息泄漏、业务停顿或处理能力受损等。因此，必须充分考虑各种可能的影响及其危害并准备好相应的应对措施，尽可能减小对目标系统正常运行的干扰，从而减小损失。表给出了评估过程中可能的风险与控制方式。