附　錄　A （資料性附錄） 風險處理實踐示例

A.1　背景

A公司是隸屬于交通運輸行業的大型國有企業，近年來，在公司高層領導的推進下，公司的信息化水平突飛猛進，信息資源的整合、共享和利用水平有效提升，公司的所有核心業務均實現了網上流轉，信息系統的基礎性、全局性、全員性作用日益增強。

XXX信息系統承載著該公司的XXX業務，其安全狀況直接影響到該公司業務能否正常運行，因此公司聘請了第三方專業的信息安全評估機構，對XXX信息系統開展了信息安全風險評估工作。

XXX信息系統運行在公司內網，與互聯網物理隔離，系統基本部署情況如圖A.1所示，由于業務的連續性程度要求較高，因此關鍵網絡設備、網絡鏈路、核心服務器均采用了熱備的方式。

通過對XX系統的風險評估，在管理安全、物理安全、網絡安全、主機安全、應用安全和數據安全這幾個層面均發現了一些風險點，具體如下（示例）：

表A.1 風險列表

第三方安全評估機構給出了如下的安全處理建議：

A.2 風險處理建議

A.2　風險處理準備

根據第三方機構提交的風險評估報告和風險處理建議，公司責成信息中心根據國家安全主管部門要求、交通運輸行業安全要求和公司的實際安全需求，制定相應的風險處理計劃。

根據公司要求，信息中心以主管信息安全工作的副主任為組長，抽調下屬處室的管理和技術人員，組建了風險處理團隊，并設定了在滿足國家安全政策和交通運輸行業安全要求的前提下，有效解決XXX系統面臨的安全風險，提升業務安全保障水平的處理目標。經過討論，風險處理小組確定，本次風險處理工作要圍繞XXX系統開展，評估所發現的所有風險都將納入到本次的處理范圍，并初步確定了風險接受原則：

1） 風險等級高于（含）3的，為不可接受風險，均需采取安全措施予以處理。若無法處理，則需說明原因，并通過專家論證會的形式予以論證；

2） 風險等級為2的，需通過成本分析決定風險是否可以接受；

3） 風險等級為1的，為可接受風險，不再予以處理。

根據前述決定，風險處理小組制定了下述風險處理計劃。

表A.3 XXX系統風險處理計劃

注1：若擬采取的處理方式同制定的風險接受原則不符，則需另行申述。

風險處理計劃提交公司主管信息安全工作的副總審閱后，在風險處理計劃批準表上簽署意見，見下表。

表A.4 XXX系統風險處理計劃批準表

A.1　風險處理實施

通過綜合考慮本單位的實際情況，并參考了信息系統風險評估報告、風險處理目標列表和風險處理計劃，制定了風險處理備選措施列表，對于可接受風險不再進行重復描述。

表A.5 風險處理備選措施列表

A.3.1　成本效益分析報告

XX風險處理措施成本效益分析報告
第一章 概述

根據單位的總體安全防護策略要求，同時對各項風險處理措施進行成本分析，在X月X日至X月X日之間組織了信息中>心、財務室和相關采購人員，對所有備選的措施進行效益分析，得出了總體成本效益分析。

第二章 詳細分析說明

根據R1風險“重要業務數據未實現場外備份”的三種解決措施，各自優勢和資金投入評估如下：

1、 建立可靠的同城異地備份中心，進行數據同步備份工作。安全性和可靠性最高，并可實現單位內部所有系統的數據管理，備份數據的實時性較高，并可自助可控性和維護方便。但是資金投入較大，預計建設費用5000萬，后期每年需要500萬左右的維護費用。

2、 租用IDC機房一個機柜，進行數據的同步備份。安全性和可靠性相對較高，基本可以實現該系統重要業務數據的場外備份要求，并且備份數據的實時性較高。但是進出IDC機房維護稍微程序復雜，預計每年投入費用10萬元。

3、 采用人工方式備份數據到同城的第二個辦公區域，定期進行數據恢復測試。該項工作投入最少，由于業務數據量基本可以通過兩張光盤進行刻錄即可，包括人員攜帶數據同步等可通過日常工作順便進行，按照每周進行一次備份，每年投入500元即可。

通過綜合評估數據的重要性，建立實時數據的備份中心投入過大，暫不適合。對于在IDC機房租用問題，考慮到數據保密的管理和投入偏高因素，待后期實現數據更好的保密和業務數據重要性更高后再考慮，因此決定選用第三種方式，即可滿足要求，投入相對較少。

（其他風險分析……）。

第三章 總結

通過總體的分析，選取了最適合的措施，總體預算成本約45萬，其中設備采購費用30萬，人工費用15萬。
表A.6 風險處理措施列表

A.3.2　殘余風險分析報告
XX系統風險處理殘余風險分析報告

第一章 概述

在完成成本效益分析后，需要對降低和轉移后的殘余風險進行分析，確保遺留的風險是在可接受范圍內。

第二章 殘余風險詳細分析說明

通過成本效益分析，針對R1風險“重要業務數據未實現場外備份”的解決措施暫定為“采用人工方式備份數據到同城>的第二個辦公區域，定期進行數據恢復測試”，目前該項措施殘余的風險包括：

• 數據的實時備份效果較差，存在系統本地備份不可用后，數據無法完全恢復到癱瘓前的最終狀態；

• 備份介質管理存在隱患，由于使用的是光盤進行存儲，可能由于人為或者其他原因導致損壞，備份數據無法使用；

• 人員在進行數據攜帶過程中，存在將數據拷貝到個人電腦中，導致數據被竊取的風險。

綜合考慮目前殘留的風險帶來的損失，這些風險是可以接受的。

第三章 總結

通過殘余風險分析，成本效益分析后選擇的處置措施遺留的風險均在可接受范圍內，無需進行修改和調整。

A.3.3　風險處理方案

XX系統風險處理方案

對風險處理的范圍、對象、目標、組織結構、成本預算和進度安排，并對每項處理措施的實施方法、使用工具、潛在風險、回退方法、應急計劃以及各項處理措施的監督和核實人員進行說明。

第一章 概述

XX系統風險處理的主要目標是通過安全整改和管理制度完善等措施，確保對現存的8項不可接受風險進行規避、減低和轉移。風險處理范圍和對象包括XX系統相關的機房、服務器、終端、管理制度等。

第二章 項目團隊

項目團隊按照項目經理負責制，劃分制度建設組、系統建設組、策略調整組，各項工作由項目經理統一安排。

第三章 工作進度安排

為保障風險處理工作不會影響正常業務運行，對于策略調整等存在一定安全風險的工作將安排在周五實施，一旦出現風險則在周末進行應急處置。具體時間安排如下：

表A.7 風險處理措施實施進度安排

序號	時間	內容	人員	備注
1	X月X日	虛擬機系統，搭建生產指揮系統的備用系統	張三
2	X月X日至X月X日	采購更嚴格的身份認證系統，并進行部署	李四
3	X月X日	……
4	X月X日	……

第四章 處置流程

風險處理的流程如下：

? 對重要的應用系統、數據庫等進行必要的備份；

? 系統配置調試之前重起系統并測試應用，以確保服務器本身不存在故障；

? 按照風險處理方案實施操作；

? 完成之后重起系統并測試應用；

? 確認應用無故障后，各方簽字確認。

表A.8 風險處理措施回退方案（以R9風險為例）

名稱：	禁用Windows操作系統自動播放的相關服務
當前狀態：	未禁用Windows操作系統自動播放的相關服務
實施方案	以Win7操作系統為例，點擊“開始菜單”，然后選擇右邊的“默認程序”。在“默認程序”設置面板中，選擇“更改自動播放設置”即可打開Win7系統的“更改自動播放”設置面板。（如圖1）取消勾選框，并對所要限制的媒體設置為不執行操作。
實施目的	降低光盤或其他存儲介質自動播放導致其中存在的病毒程序運行，降低計算機感染病毒的風險
實施風險	無。
回退方案	恢復到版本更新前狀態，勾選“為所有媒體和設備使用自動播放”。
執行人員	□XX單位 □第三方服務公司

圖1

表A.9 風險處理措施實施記錄單

A.3.4　風險處理實施報告

風險處理實施報告
第一章 概述

第二章 風險處理說明
整個實施過程在信息中心的統一管理下，影響系統開發商、安全服務商和系統運維商共同參與配置，整體項目工期耗時3個月。
第一階段：……
第二階段：……
……
第三章 風險處理結果

附件：各風險處理記錄單

A.1　風險處理評價

XXX系統風險處理效果評價報告
第一章 概述
1.1 評價依據
《XXX信息系統風險處理實施報告》
1.2 評價對象
對XX信息系統風險的處理效果進行評價，具體風險及其處理方式如下：

1.3 評價方法
本次處理效果評價采取措施有效性評價與整體風險評價相結合的方式評價效果。

1.4 評價團隊
……
第二章 風險處理效果評價實施
2.1 措施有效性評價
風險點編號 風險描述 處理措施 有效性 評價記錄
R1 重要業務數據未實現場外備份 有效
… … …
R7 口令驗證機制不嚴格，允許弱口令存在 基本有效
… … …
2.2 整體風險評價
風險點編號 安全層面 剩余風險描述 風險值
… 應用安全 …
R7 對口令的復雜度、有效期等進行了管控，但沒有完成雙因子認證改造，仍然無法抵御口令猜解等攻擊 2
… …
第三章 結論與改進建議
3.1評價結論
根據評價分析可以得知，本次風險處理共對9項風險采取了風險降低處理方式，由評價結果可知，其中的8項均達到了預期的處理目標，風險降低到了可接受程度，有1項處理效果未達到預期的處理目的，整體分析可知，本次風險處理基本達到了預期的安全目標。
3.2未達標原因分析
……