GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
- 名 称:GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南 - 下载地址2
- 下载地址:[下载地址2]
- 提 取 码:
- 浏览次数:3
发表评论 加入收藏夹 错误报告目录| 新闻评论(共有 0 条评论) |
资料介绍
ICS 35. 040 L 80
中 华 人 民 共 和 国 国 家 标 准
GB/T 31509—2015
信息安全技术 信息安全风险评估
实施指南
Information securitytechnology—Guideofimplementation for
information security risk assessment
2015-05-15发布 2016-01-01实施
中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会
发
布
GB/T 31509—2015
前 言
本标准按照 GB/T 1. 1—2009给出的规则起草 。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归 口 。
本标准起草单位 : 国家信息中心 、国家保密技术研究所 、北京信息安全测评中心 、上海市信息安全测评认证中心 、沈阳东软系统集成工程有限公司 、国和信诚(北京)信息安全有限公司 。
本标准主要起草人 :吴亚非 、禄凯 、张志军 、陈永刚 、赵章界 、席斐 、应力 、马朝斌 、倪志强 。
GB/T 31509—2015
引
言
信息安全风险评估是信息安全保障工作的重要内容之一 ,与信息系统等级保护 、信息安全检查 、信息安全建设等工作紧密相关 ,并通过风险发现 、分析 、评价为上述相关工作提供支持 。
为指导信息安全 风 险 评 估 工 作 的 开 展 , 本 标 准 依 据《信 息 安 全 技 术 信 息 安 全 风 险 评 估 规 范》 (GB/T 20984—2007) , 从风险评估工作开展的组织 、管理 、流程 、文档 、审核等几个方面提出了相关要求 ,是《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007) 的操作性指导标准 , 它也是信息安全风险管理相关标准之一 。
信息安全技术 信息安全风险评估
实施指南
1 范围
本标准规定了信息安全风险评估实施的过程和方法 。
本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项 目 的管理 ,指导风险评估项目的组织 、实施 、验收等工作 。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的 。凡是注 日期的引用文件 ,仅注 日期的版本适用于本文件 。凡是不注日期的引用文件 ,其最新版本(包括所有的修改单)适用于本文件 。
GB/T 20984—2007 信息安全技术 信息安全风险评估规范
GB/Z 24364—2009 信息安全技术 信息安全风险管理指南
3 术语、定义和缩略语
GB/T 20984—2007和 GB/Z 24364—2009中界定的以及下列术语和定义适用于本文件 。
3. 1 术语和定义
3. 1. 1
实施 implementation
将一系列活动付诸实践的过程 。
3. 1.2
信息系统生命周期 information system lifecycle
信息系统的各个生命阶段 ,包括规划阶段 、设计阶段 、实施阶段 、运行维护阶段和废弃阶段 。 3. 1.3
评估目标 assessmenttarget
评估活动所要达到的最终目的 。
3. 1.4
系统调研 system investigation
对信息系统相关的实际情况进行调查了解与分析研究的活动 。
3. 1.5
评估要素 assessmentfactor
风险评估活动中必须要识别 、分析的一系列基本因素 。
3. 1.6
识别 identify
对某一评估要素进行标识与辨别的过程 。
3. 1.7
赋值 assignment
对识别出的评估要素根据已定的量化模型给予定量数值的过程 。
3. 1. 8
核查 check in
将信息系统中的检查信息与制定的检查项进行核对检查的活动 。
3. 1.9
关键控制点 thekeypoint
在项目实施活动中 ,具有能够影响到项目整体进度决定性作用的实施活动 。
3. 1. 10
分析模型 analysismodel
依据一定的分析原理 ,构造的一种模拟分析方法 ,用于对评估要素的分析 。
3. 1. 11
评价模型 evaluation model
依据一定的评价体系 ,构造若干评价指标 ,能够对相应的活动进行较为完善的评价 。
3. 1. 12
风险处理 risk treatment
对风险进行处理的一系列活动 ,如接受风险 、规避风险 、转移风险 、降低风险等 。
3. 1. 13
验收 acceptance
风险评估活动中用于结束项目实施的一种方法 ,主要由被评估方组织 ,对评估活动进行逐项检验 ,以是否达到评估目标为接受标准 。
3.2 缩略语
下列缩略语适用于本文件 。
AC:访问(入侵)复杂性(Access Complexity)
AV:访问(入侵)路径(Access Vector)
BOF:缓冲区溢出(Buffer Overflow)
CDP:破坏潜力(CollateralDamage Potential)
CVE:公共漏洞和暴露(Common Vulnerabilities& Exposures)
CVSS:通用安全弱点评估系统(Common Vulnerability Scoring System)
RC:报告可信性(ReportConference)
RL:补救水平(Remediation Level)
SR:安全要求(Security Requirement)
TD: 目标分布(TargetDistribution)
VLAN:虚拟局域网(Virtual LocalArea Network)
4 风险评估实施概述
4. 1 实施的基本原则
4. 1. 1 标准性原则
信息系统的安全风险评估 ,应按照 GB/T 20984—2007中规定的评估流程进行实施 ,包括各阶段性
的评估工作 。
4. 1.2 关键业务原则
信息安全风险评估应以被评估组织的关键业务作为评估工作的核心 ,把涉及这些业务的相关网络与系统 ,包括基础网络 、业务网络 、应用基础平台 、业务应用平台等作为评估的重点 。
4. 1.3 可控性原则
在风险评估项目实施过程中 ,应严格按照标准的项 目管理方法对服务过程 、人员和工具等进行控制 , 以保证风险评估实施过程的可控和安全 。
a) 服务可控性 :
评估方应事先在评估工作沟通会议中向用户介绍评估服务流程 , 明确需要得到被评估组织协作的工作内容 ,确保安全评估服务工作的顺利进行 。
b) 人员与信息可控性 :
所有参与评估的人员应签署保密协议 , 以保证项目信息的安全 ;应对工作过程数据和结果数据严格管理 ,未经授权不得泄露给任何单位和个人 。
c) 过程可控性 :
应按照项目管理要求 ,成立项目实施团队 ,项目组长负责制 ,达到项目过程的可控 。
d) 工具可控性 :
安全评估人员所使用的评估工具应该事先通告用户 ,并在项目实施前获得用户的许可 ,包括产品本身 、测试策略等 。
4. 1.4 最小影响原则
对于在线业务系统的风险评估 ,应采用最小影响原则 , 即首要保障业务系统的稳定运行 , 而对于需要进行攻击性测试的工作内容 ,需与用户沟通并进行应急备份 , 同时选择避开业务的高峰时间进行 。
4.2 实施的基本流程
GB/T 20984—2007规定了风险评估的实施流程 ,根据流程中的各项工作内容 ,一般将风险评估实施划分为评估准备 、风险要素识别 、风险分析与风险处理四个阶段 。其中 ,评估准备阶段工作是对评估实施有效性的保证 ,是评估工作的开始 ;风险要素识别阶段工作主要是对评估活动中的各类关键要素资产 、威胁 、脆弱性 、安全措施进行识别与赋值 ;风险分析阶段工作主要是对识别阶段中获得的各类信息进行关联分析 ,并计算风险值 ;风险处理建议工作主要针对评估出的风险 ,提出相应的处置建议 , 以及按照处置建议实施安全加固后进行残余风险处理等内容 。
4.3 风险评估的工作形式
GB/T 20984—2007明确了风险评估的基本工作形式是自评估与检查评估 。
自评估是信息系统拥有 、运营或使用单位发起的对本单位信息系统进行的风险评估 ,可由发起方实施或委托信息安全服务组织支持实施 。实施自评估的组织可根据组织自身的实际需求进行评估目标的设立 ,采用完整或剪裁的评估活动 。
检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估 ,检查评估也可委托信息安全服务组织支持实施 。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外 ,还可实施完整的风险评估 。
信息安全风险评估应以 自评估为主 , 自评估和检查评估相互结合 、互为补充 。
4.4 信息系统生命周期内的风险评估
信息系统生命周期一般包括信息系统的规划 、设计 、实施 、运维和废弃五个阶段 ,风险评估活动应贯穿于信息系统生命周期的上述各个阶段 。
信息系统生命周期各个阶段的风险评估由于各阶段的评估对象 、安全需求不同 ,评估的目的一般也不同 。规划阶段风险评估的目的是识别系统的业务战略 , 以支撑系统安全需求及安全战略等 ;设计阶段风险评估的目的是评估安全设计方案是否满足信息系统安全功能的需求 ; 实施阶段的评估 目 的是对系统开发 、实施过程进行风险识别 ,对建成后的系统安全功能进行验证 ;运行维护阶段的评估 目 的是了解和控制系统运行过程中的安全风险 ;废弃阶段的评估目的是对废弃资产对组织的影响进行分析 。
此外 , 当信息系统的业务目标和需求或技术和管理环境发生变化时 ,需要再次进入上述五个阶段的风险评估 ,使得信息系统的安全适应自身和环境的变化 。
5 风险评估实施的阶段性工作
5. 1 准备阶段
5. 1. 1 准备阶段工作内容
5. 1. 1. 1 概述
风险评估准备是整个风险评估过程有效性的保证 。 由于风险评估受到组织的业务战略 、业务流程 、安全需求 、系统规模和结构等方面的影响 , 因此 , 在风险评估实施前 ,应充分做好评估前的各项准备工作 。信息安全风险评估涉及组织内部有关重要信息 ,被评估组织应慎重选择评估单位 、评估人员的资质和资格 ,并遵从国家或行业相关管理要求 。
5. 1. 1.2 确定评估目标
风险评估应贯穿于信息系统生命周期的各阶段中 , 由于信息系统生命周期各阶段中风险评估实施的内容 、对象 、安全需求均不同 , 因此被评估组织应首先根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段 ,并以此来明确风险评估目标 。一般而言 ,组织确定的各阶段的评估目标应符合以下原则 :
a) 规划阶段风险评估的目标是识别系统的业务战略 , 以支撑系统安全需求及安全战略等 。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用 ,包括技术 、管理等方面 ,并根据其作用确定系统建设应达到的安全目标 。
b) 设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境 、资产重要性 ,提出安全功能需求 。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断 ,作为采购过程风险控制的依据 。
c) 实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发 、实施过程进行风险识别 ,并对系统建成后的安全功能进行验证 。根据设计阶段分析的威胁和制定的安全措施 ,在实施及验收时进行质量控制 。
d) 运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险 。评估内容包括信息系统的资产 、面临威胁 、自身脆弱性以及已有安全措施等各方面 。
废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置 ,并对废弃资产对组织的影响进行分析 , 以确定是否会增加或引入新的风险 。
5. 1. 1.3 确定评估范围
在确定风险评估所处的阶段及相应目标之后 ,应进一步明确风险评估的评估范围 ,可以是组织全部信息及与信息处理相关的各类资产 、管理机构 ,也可以是某个独立信息系统 、关键业务流程等 。在确定评估范围时 ,应结合已确定的评估目标和组织的实际信息系统建设情况 ,合理定义评估对象和评估范围边界 ,可以参考以下依据来作为评估范围边界的划分原则 :
a) 业务系统的业务逻辑边界 ;
b) 网络及设备载体边界 ;
c) 物理环境边界 ;
d) 组织管理权限边界 ;
e) 其他 。
5. 1. 1.4 组建评估团队
5. 1. 1.4. 1 综述
风险评估实施团队应由被评估组织 、评估机构等共同组建风险评估小组 ; 由被评估组织领导 、相关部门负责人 , 以及评估机构相关人员成立风险评估领导小组 ;聘请相关专业的技术专家和技术骨干组成专家组 。
风险评估小组应完成评估前的表格 、文档 、检测工具等各项准备工作 ;进行风险评估技术培训和保密教育 ;制定风险评估过程管理相关规定 ;编制应急预案等 。双方应签署保密协议 ,适情签署个人保密协议 。
5. 1. 1.4.2 角色与职责
为确保风险评估工作的顺利有效进行 ,应采用合理的项目管理机制 ,主要相关成员角色与职责说明如表 1 和表 2所示 。
表 1 风险评估小组—评估机构成员角色与职责说明
表 1 (续)
表 2 风险评估小组—被评估组织成员角色与职责说明
表 2 (续)
5. 1. 1.4.3 风险评估领导小组
风险评估工作领导小组主要负责决策风险评估工作的 目的 、目标 ;参与并指导风险评估准备阶段的启动会议 ;协调评估实施过程中的各项资源 ;组织评估项目验收会议 ;推进并监督风险处理工作等 。
风险评估工作领导小组一般由被评估组织主管信息化或信息安全工作的领导负责 ,成员一般包括 :被评估组织信息技术部门领导 、相关业务部门领导等 ,评估机构相关人员参与 。
5. 1. 1.4.4 专家组
对于大型复杂的风险评估项 目 ,应考虑在项目期间聘请相关领域的专家对风险评估项 目 的关键阶段进行工作指导 ,具体包括 :
a) 帮助被评估组织和实施方规划风险评估项目的总体工作思路和方向 ;
b) 对出现的关键性难点问题进行决策 ;
c) 对风险评估结论进行确定 。
5. 1. 1.5 评估工作启动会议
为保障风险评估工作的顺利开展 ,确立工作目标 、统一思想 、协调各方资源 ,应召开风险评估工作启动会议 。启动会一般由风险评估领导小组负责人组织召开 ,参与人员应该包括评估小组全体人员 ,相关业务部门主要负责人 ,如有必要可邀请相关专家组成员参加 。
启动会主要内容主要包括 :被评估组织领导宣布此次评估工作的意义 、目的 、目标 , 以及评估工作中的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务 , 以及需配合的具体事项 ;评估机构项目组长介绍评估工作一般性方法和工作内容等 。
通过启动会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训 ,使全体人员了解和理解评估工作的重要性 , 以及各工作阶段所需配合的工作内容 。
5. 1. 1.6 系统调研
系统调研是了解 、熟悉被评估对象的过程 ,风险评估小组应进行充分的系统调研 , 以确定风险评估的依据和方法 。调研内容应包括 :
a) 系统安全保护等级 ;
b) 主要的业务功能和要求 ;
c) 网络结构与网络环境 ,包括内部连接和外部连接 ;
d) 系统边界 ,包括业务逻辑边界 、网络及设备载体边界 、物理环境边界 、组织管理权限边界等 ;
e) 主要的硬件 、软件 ;
f) 数据和信息 ;
g) 系统和数据的敏感性 ;
h) 支持和使用系统的人员 ;
i) 信息安全管理组织建设和人员配备情况 ;
j) 信息安全管理制度 ;
k) 法律法规及服务合同 ;
l) 其他 。
系统调研可采取问卷调查 、现场面谈相结合的方式进行 。
5. 1. 1.7 确定评估依据
根据风险评估目标以及系统调研结果 ,确定评估依据和评估方法 。评估依据应包括 :
a) 适用的法律 、法规 ;
b) 现有国际标准 、国家标准 、行业标准 ;
c) 行业主管机关的业务系统的要求和制度 ;
d) 与信息系统安全保护等级相应的基本要求 ;
e) 被评估组织的安全要求 ;
f) 系统自身的实时性或性能要求等 。
根据评估依据 ,应根据被评估对象的安全需求来确定风险计算方法 ,使之能够与组织环境和安全要求相适应 。
5. 1. 1. 8 确定评估工具
根据评估对象和评估内容合理选择相应的评估工具 ,评估工具的选择和使用应遵循以下原则 :
a) 对于系统脆弱性评估工具 ,应具备全面的已知系统脆弱性核查与检测能力 ;
b) 评估工具的检测规则库应具备更新功能 ,能够及时更新 ;
c) 评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响 ;
d) 可采用多种评估工具对同一测试对象进行检测 ,如果出现检测结果不一致的情况 ,应进一步采用必要的人工检测和关联分析 ,并给出与实际情况最为相符的结果判定 。
评估工具的选择和使用必须符合国家有关规定 。
5. 1. 1.9 制定评估方案
风险评估方案是评估工作实施活动总体计划 ,用于管理评估工作的开展 ,使评估各阶段工作可控 ,并作为评估项目验收的主要依据之一 。风险评估方案应得到被评估组织的确认和认可 。风险评估方案的内容应包括 :
a) 风险评估工作框架 :包括评估目标 、评估范围 、评估依据等 ;
b) 评估团队组织 :包括评估小组成员 、组织结构 、角色 、责任 ;如有必要还应包括风险评估领导小组和专家组组建介绍等 ;
c) 评估工作计划 :包括各阶段工作内容 、工作形式 、工作成果等 ;
d) 风险规避 :包括保密协议 、评估工作环境要求 、评估方法 、工具选择 、应急预案等 ;
e) 时间进度安排 :评估工作实施的时间进度安排 ;
f) 项目验收方式 :包括验收方式 、验收依据 、验收结论定义等 。
5. 1.2 准备阶段工作保障
5. 1.2. 1 组织协调
为了确保风险评估工作的顺利开展 ,风险评估方案应得到被评估组织最高管理者的支持 、批准 。 同时 ,须对管理层和技术人员进行传达 ,在组织范围内就风险评估相关内容进行培训 , 以明确有关人员在评估工作中的任务 。
5. 1.2.2 文档管理
确保文档资料的完整性 、准确性和安全性 ,应遵循以下原则 :
a) 指派专人负责管理和维护项目进程中产生的各类文档 ,确保文档的完整性和准确性 ;
b) 文档的存储应进行合理的分类和编 目 ,确保文档结构清晰可控 ;
c) 所有文档都应注明项目名称 、文档名称 、版本号 、审批人 、编制 日期 、分发范围等信息 ;
d) 不得泄露给与本项目无关的人员或组织 ,除非预先征得被评估组织项目负责人的同意 。
5. 1.2.3 评估风险的规避
风险评估工作自身也存在风险 ,一是评估结果是否准确有效 , 能够达到预先目标存在风险;二是评估中的某些测试操作可能给被评估组织或信息系统引入新的风险 。应通过以下工作消除或降低评估工作中可能存在的风险 。
风险评估工作应实行质量控制 , 以保证评估结果的准确有效 。风险评估工作应明确划分各个阶段 ,
在各个阶段中 ,一是要根据相应的管理规范开展评估工作;二是保证数据采集的准确性和有效性;三是充分了解被评估组织的行业背景及安全特性要求 , 以及对被评估信息系统所承担的业务和 自身流程的理解 。
在进行脆弱性识别前 ,应做好应急准备 。评估机构应对测试工具进行核查 。 内容包括 :测试工具是否安装了必要的系统补丁 、是否存有与本次评估工作无关的残余信息 、病毒木马 、漏洞库或检测规则库升级情况及工具运行情况 ;核查人员应填写测试工具核查记录 ;评估人员事先应将测试方法与被评估组织相关人员进行充分沟通 ;测试过程中 ,评估人员应在被评估组织相关人员配合下进行测试操作 。
5.2 识别阶段
5.2. 1 概述
识别阶段是风险评估工作的重要工作阶段 ,通过对组织和信息系统中资产 、威胁 、脆弱性等要素的识别 ,是进行信息系统安全风险分析的前提 。
5.2.2 资产识别
5.2.2. 1 概述
资产是对组织具有价值的信息或资源 ,是安全策略保护的对象 。在风险评估工作中 ,风险的重要因素都以资产为中心 ,威胁 、脆弱性以及风险都是针对资产而客观存在的 。威胁利用资产自身脆弱性 ,使得安全事件的发生成为可能 ,从而形成了安全风险 。这些安全事件一旦发生 ,对具体资产甚至是整个信息系统都将造成一定影响 ,从而对组织的利益造成影响 。 因此 ,资产是风险评估的重要对象 。
不同价值的资产受到同等程度破坏时对组织造成的影响程度不同 。资产价值是资产重要程度或敏感程度的表征 。识别资产并评估资产价值是风险评估的一项重要内容 。
5.2.2.2 资产分类
在一个组织中 ,资产的存在形式多种多样 ,不同类别资产具有的资产价值 、面临的威胁 、拥有的脆弱性 、可采取的安全措施都不同 。对资产进行分类既有助于提高资产识别的效率 , 又有利于整体的风险评估 。
在风险评估实施中 ,可按照 GB/T 20984—2007 中资产分类方法 ,把资产分为硬件 、软件 、数据 、服务 、人员以及其他六大类 。具体资产分类请见 GB/T 20984—2007。
5.2.2.3 资产调查
资产调查是识别组织和信息系统中资产的重要途径 。 资产调查一方面应识别出有哪些资产 ,另 一方面要识别出每项资产自身的关键属性 。
业务是组织存在的必要前提 ,信息系统承载业务 。信息系统的正常运行 ,保证业务的正常开展 ,关乎组织的利益 。通过资产调查 ,应确定评估对象中包含哪些信息系统 , 每个信息系统处理哪些种类业务 ,每种业务包括哪些具体业务功能 , 以及相关业务处理的流程 。 分析并清楚理解各种业务功能和流程 ,有利于分析系统中的数据流向及其安全保证要求 。
在信息系统中 ,业务处理表现为数据处理和服务提供 ,数据和服务都是组织的信息资产 。在识别各种业务后 ,应进行数据处理和服务的识别 ,确定各种数据和服务对组织的重要性 , 以及数据和服务的保密性 、完整性 、可用性 、抗抵赖性等安全属性 ,从而确定哪些是关键资产 。
信息系统依赖于数据和服务等信息资产 ,而信息资产又依赖于支撑和保障信息系统运行的硬件和软件资源 , 即系统平台 ,包括物理环境 、网络 、主机和应用系统等 ,其基础设施如服务器 、交换机 、防火墙等称之为系统单元 ;在系统单元上运行的操作系统 、数据库 、应用软件等称之为系统组件 。在数据和服
务等信息资产识别的基础上 ,根据业务处理流程 ,可识别出支撑业务系统运行所需的系统平台 ,并且识别出这些软硬件资源在重要性 、保密性 、完整性 、可用性 、抗抵赖性等安全属性 。
为保证风险评估工作的进度要求和质量要求 ,有时不可能对所有资产做全面分析 ,应选取其中关键资产进行分析 。资产识别的一般步骤如图 1所示 。
a) 根据评估目标和范围 ,确定风险评估对象中包含的信息系统 ;
b) 识别信息系统处理的业务功能 , 以及处理业务所需的业务流程 ,特别应识别出关键业务功能和关键业务流程 ;
c) 根据业务特点和业务流程识别业务需要处理的数据和提供的服务 ,特别应识别出关键数据和关键服务 ;
d) 识别处理数据和提供服务所需的系统单元和系统组件 ,特别应识别出关键系统单元和关键系统组件 。
图 1 资产识别一般步骤示意图
系统单元 、系统组件均可作为安全技术脆弱性测试的测试对象 。所有资产均可作为安全管理脆弱性测试的测试对象 。
资产调查的方法包括阅读文档 、访谈相关人员 、查看相关资产等 。一般情况下 ,可通过查阅信息系统需求说明书 、可行性研究报告 、设计方案 、实施方案 、安装手册 、用户使用手册 、测试报告 、运行报告 、安全策略文件 、安全管理制度文件 、操作流程文件 、制度落实的记录文件 、资产清单 、网络拓扑图等 ,识别组织和信息系统的资产 。
如文档记录信息之间存在互相矛盾 ,或存在不清楚的地方 , 以及文档记录信息与实际情况有出入 ,资产识别须就关键资产和关键问题与被评估组织相关人员进行核实 ,并选择在组织和信息系统管理中
担任不同角色的人员进行访谈 ,包括主管领导 、业务人员 、开发人员 、实施人员 、运维人员 、监督管理人员等 。通常情况下 ,经过阅读文档和现场访谈相关人员 ,基本可清晰识别组织和信息系统资产 ,对关键资产应进行现场实际查看 。
5.2.2.4 资产赋值
在资产调查基础上 ,需分析资产的保密性 、完整性和可用性等安全属性的等级 ,安全属性等级包括 :很高 、高 、中等 、低 、很低 5 种级别 ,某种安全属性级别越高表示资产该安全属性越重要 。保密性 、完整性 、可用性的 5个赋值的含义可见 GB/T 20984—2007。
因资产保密性 、完整性和可用性等安全属性的量化过程易带有主观性 ,可以参考如下因素 ,利用加权等方法综合得出资产保密性 、完整性和可用性等安全属性的赋值等级 :
a) 资产所承载信息系统的重要性 ;
b) 资产所承载信息系统的安全等级 ;
c) 资产对所承载信息安全正常运行的重要程度 ;
d) 资产保密性 、完整性 、可用性等安全属性对信息系统 , 以及相关业务的重要程度 。
资产价值应依据资产保密性 、完整性和可用性的赋值等级 ,经综合评定确定 。 资产价值等级包括 :很高 、高 、中等 、低 、很低 5 种等级 , 每种等级含义见 GB/T 20984—2007。
综合评定的方法可根据信息系统所承载的业务对不同安全属性的依赖程度 ,选择资产保密性 、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果 ;也可以根据资产保密性 、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果 ,加权方法可根据组织的业务特点确定 。评估小组可 根 据 资 产 赋 值 结 果 , 确 定 关 键 资 产 范 围 , 并 围 绕 关 键 资 产 进 行 后 续 的 风 险 评 估工作 。
5.2.2.5 资产赋值报告
经过资产识别和资产分析 ,确定了组织和信息系统中的资产 , 明确了资产价值以及相应的保密性 、完整性 、可用性等安全属性情况 , 了解资产之间的相互关系和影响 ,识别出重要资产 ,在此基础上 ,可形成资产列表和资产赋值报告 。资产赋值报告是进行威胁识别和脆弱性识别的重要依据 。
资产赋值报告中 ,应包括如下内容 :
a) 各项资产 ,特别是关键资产的资产名称 、类别 、保密性赋值 、完整性赋值 、可用性赋值 、资产价值以及资产所承载的的信息系统 ;
b) 通过资产保密性 、完整性 、可用性计算资产价值的方法 ;
c) 关键资产说明等 。
5.2.3 威胁识别
5.2.3. 1 概述
威胁是指可能导致危害系统或组织的不希望事故的潜在起因 。威胁是一个客观存在的 ,无论对于多么安全的信息系统 ,它都存在 。威胁的存在 ,组织和信息系统才会存在风险 。 因此 ,风险评估工作中 ,需全面 、准确地了解组织和信息系统所面临的各种威胁 。
5.2.3.2 威胁分类
威胁有多种分类方法 ,如 :按照 GB/T 20984—2007的威胁分类方法 ,可威胁分为软硬件故障 、物理环境影响 、无作为或操作失误 、管理不到位 、恶意代码 、越权或滥用 、网络攻击 、物理攻击 、泄密 、篡改 、抵赖 11类 。
a) 而根据威胁产生的起因 、表现和后果不同 ,威胁也可分为 :有害程序 。有害程序是指插入到信息系统中的一段程序 ,危害系统中数据 、应用程序或操作系统的保密性 、完整性或可用性 ,或影响信息系统的正常运行 。危害程序包括 :计算机病毒 、蠕虫 、特洛伊木马 、僵尸网络 、混合攻击程序 、网页内嵌恶意代码和其他有害程序 ;
b) 网络攻击 。 网络攻击是指通过网络或其他手段 ,利用信息系统的配置缺陷 、协议缺陷 、程序缺陷或使用暴力攻击对信息系统实施攻击 ,并造成信息系统异常或对信息系统当前运行造成潜在危害 。 网络攻击包括 :拒绝服务攻击 、后门攻击 、漏洞攻击 、网络扫描窃听 、网络钓鱼 、干扰和其他网络攻击 ;
c) 信息破坏 。信息破坏是指通过网络或其他技术手段 ,造成信息系统中的信息被篡改 、假冒 、泄露 、窃取等 。信息破坏包括 :信息篡改 、信息假冒 、信息泄露 、信息 窃 取 、信 息 丢 失 及 其 他 信 息破坏 ;
d) 信息内容攻击 。信息内容攻击指利用信息网络发布 、传播危害国家安全 、社会稳定和公共利益 、企业和个人利益的内容的攻击 ;
e) 设备设施故障 。设备设施故障是指由于信息系统自身故障或外围保障设施故障 ,造成信息系统异常或对信息系统当前运行造成潜在危害 。设备设施故障包括 :软硬件自身故障 、外围保障设施故障 、人为破坏和其他设备设施故障 ;
f) 灾害性破坏 。灾害性破坏指由于不可抗力对信息系统造成物理破坏 。灾害性破坏包括 :水灾 、台风 、地震 、雷击 、坍塌 、火灾 、恐怖袭击 、战争等 ;
g) 其他威胁 。
5.2.3.3 威胁调查
5.2.3.3. 1 概述
威胁是客观存在的 ,任何一个组织和信息系统都面临威胁 。但在不同组织和信息系统中 ,威胁发生的可能性和造成的影响可能不同 。不仅如此 , 同一个组织或信息系统中不同资产所面临的威胁发生的可能性和造成的影响也可能不同 。威胁调查就是要识别组织和信息系统中可能发生并造成影响的威胁 ,进而分析哪些发生可能性较大 、可能造成重大影响的威胁 。
威胁调查工作包括 :威胁源动机及其能力 、威胁途径 、威胁可能性及其影响 。
5.2.3.3.2 威胁源动机及其能力
威胁源是产生威胁主体 。在进行威胁调查时 ,首要应识别存在哪些威胁源 , 同时分析这些威胁源的动机和能力 。根据威胁源的不同 ,可以将威胁分为非人为的和人为的 。
对信息系统非人为的安全威胁主要是自然灾难 。典型的 自然灾难包括 :水灾 、台风 、地震 、雷击 、坍塌 、火灾 、恐怖袭击 、战争等 。 自然灾难可能会对信息系统造成毁灭性的破坏 。 另外 , 由于技术的局限性 ,造成系统不稳定 、不可靠等情况 ,也会引发安全事件 ,这也是非人为的安全威胁 。
人为的安全威胁是指某些个人和组织对信息系统造成的安全威胁 。人为的安全威胁主体可以来自组织内部 ,也可以来自组织外部 。
从威胁动机来看 ,人为的安全威胁又可细分为非恶意行为和恶意攻击行为 。非恶意行为主要包括粗心或未受到良好培训的管理员和用户 , 由于特殊原因而导致的无意行为 ,造成对信息系统的破坏 。恶意攻击是指出于各种目的而对信息系统实施的攻击 。恶意攻击具有明显的 目 的性 ,一般经过精心策略和准备 ,并可能是有组织的 ,并投入一定的资源和时间 。
不同的危险源具有不同的攻击能力 ,攻击者的能力越强 ,攻击成功的可能性就越大 。衡量攻击能力主要包括 :施展攻击的知识 、技能 、经验和必要的资金 、人力和技术资源等 。
a) 恶意员工具有的知识和技能一般非常有限 ,攻击能力较弱 ,但恶意员工可能掌握关于系统的大量信息 ,并具有一定的权限 ,而且比外部的攻击者有更多的攻击机会 ,攻击的成功率高 ,属于比较严重的安全威胁 ;
b) 独立黑客是个体攻击者 ,可利用资源有限 ,主要采用外部攻击方式 ,通常发动零散的 、无目的的攻击 ,攻击能力有限 ;
c) 国内外竞争者 、犯罪团伙和恐怖组织是有组织攻击者 ,具有一定的资源保障 ,具有较强的协作能力和计算能力 ,攻击目的性强 ,可进行长期深入的攻击准备 ,并能够采取外部攻击 、内部攻击和邻近攻击相结合的攻击方式 ,甚至进行简单的分发攻击方式 ,攻击能力很强 。
来自国家行为的攻击是能力最强的攻击 , 国家攻击行为不仅组织严密 ,具有充足资金 、人力和技术资源 ,而且可能在必要时实施高隐蔽性和高破坏性的分发攻击 ,窃取组织核心机密或使网络和信息系统全面瘫痪 。表 3分析了典型的攻击者类型 、动机和特点 。
表 3 典型的攻击者类型、动机和能力
在识别威胁源时 ,一方面要调查存在哪些威胁源 ,特别要了解组织的客户 、伙伴或竞争对手以及系统用户等情况 ;另一方面要调查不同威胁源的动机 、特点 、发动威胁的能力等 。通过威胁源的分析 ,识别出威胁源名称 、类型(包括自然环境 、系统缺陷 、政府 、组织 、职业个人等) 、动机(非人为 、人为非故意 、人为故意等) 。
5.2.3.3.3 威胁途径
威胁途径是指威胁源对组织或信息系统造成破坏的手段和路径 。非人为的威胁途径表现为发生自然灾难 、出现恶劣的物理环境 、出现软硬件故障或性能降低等 ;人为的威胁手段包括 : 主动攻击 、被动攻击 、邻近攻击 、分发攻击 、误操作等 。其中人为的威胁主要表现为 :
a) 主动攻击为攻击者主动对信息系统实施攻击 ,导致信息或系统功能改变 。 常见的主动攻击包括 :利用缓冲区溢出(BOF)漏洞执行代码 ,协议 、软件 、系统故障和后门 ,插入和利用恶意代码(如 :特洛依木马 、后门 、病毒等) ,伪装 ,盗取合法建立的会话 ,非授权访问 ,越权访问 ,重放所截获的数据 ,修改数据 ,插入数据 ,拒绝服务攻击等 。
b) 被动攻击不会导致对系统信息的篡改 ,而且系统操作与状态不会改变 。被动攻击一般不易被发现 。 常见的被动攻击包括 :侦察 , 嗅探 ,监听 ,流量分析 , 口令截获等 。
c) 邻近攻击是指攻击者在地理位置上尽可能接近被攻击的网络 、系统和设备 , 目 的是修改 、收集信息 ,或者破坏系统 。这种接近可以是公开的或隐秘的 ,也可能是两种都有 。 常见的包括 :偷取磁盘后又还回 ,偷窥屏幕信息 ,收集作废的打印纸 ,房间窃听 ,毁坏通信线路 。
d) 分发攻击是指在软件和硬件的开发 、生产 、运输和安装阶段 ,攻击者恶意修改设计 、配置等行为 。常见的包括 :利用制造商在设备上设置隐藏功能 ,在产品分发 、安装时修改软硬件配置 ,在设备和系统维护升级过程中修改软硬件配置等 。直接通过互联网进行远程升级维护具有较大的安全风险 。
e) 误操作是指由于合法用户的无意行为造成了对系统的攻击 ,误操作并非故意要破坏信息和系统 ,但由于误操作 、经验不足 、培训不足而导致一些特殊的行为发生 ,从而对系统造成了无意的破坏 。 常见的误操作包括 : 由于疏忽破坏了设备或数据 、删除文件或数据 、破坏线路 、配置和操作错误 、无意中使用了破坏系统命令等 。
威胁源对威胁客体造成破坏 ,有时候并不是直接的 ,而是通过中间若干媒介的传递 ,形成一条威胁路径 。在风险评估工作中 ,调查威胁路径有利于分析各个环节威胁发生的可能性和造成的破坏 。威胁路径调查要明确威胁发生的起点 、威胁发生的中间点以及威胁发生的终点 ,并明确威胁在不同环节的特点 。
5.2.3.3.4 威胁可能性及其影响
威胁是客观存在的 ,但对于不同的组织和信息系统 ,威胁发生的可能性不尽相同 。威胁产生的影响与脆弱性是密切相关的 。脆弱性越多 、越严重 ,威胁产生影响的可能性越大 。例如 ,在雨水较多的地区 ,出现洪灾的可能性较大 , 因此对于存在严重漏洞的系统 ,被威胁攻击的成功性可能较大 。
威胁客体是威胁发生时受到影响的对象 ,威胁影响跟威胁客体密切相关 。 当一个威胁发生时 ,会影响到多个对象 。这些威胁客体有层次之分 ,通常威胁直接影响的对象是资产 , 间接影响到信息系统和组织 。在识别威胁客体时 ,首先识别那些直接受影响的客体 ,再逐层分析间接受影响的客体 。
威胁客体的价值越重要 ,威胁发生的影响越大 ;威胁破坏的客体范围越广泛 ,威胁发生的影响越大 。分析并确认威胁发生时受影响客体的范围和客体的价值 ,有利于分析组织和信息系统存在风险的大小 。
遭到威胁破坏的客体 ,有的可以补救且补救代价可以接受 ,有的不能补救或补救代价难以接受 。受影响客体的可补救性也是威胁影响的一个重要方面 。
5.2.3.3.5 威胁调查方法
不同组织和信息系统由于所处自然环境 、业务类型等不尽相同 ,面临的威胁也具有不同的特点 。例如 ,处于自然环境恶劣的信息系统 ,发生自然灾难的可能性较大 ,业务价值高或敏感的系统遭遇攻击的可能性较大 。威胁调查的方法多种多样 ,可以根据组织和信息系统自身的特点 ,发生的历史安全事件记
录 ,面临威胁分析等方法进行调查 。
a) 运行过一段时间的信息系统 ,可根据以往发生的安全事件记录 ,分析信息系统面临的威胁 。例如 ,系统受到病毒攻击频率 ,系统不可用频率 ,系统遭遇黑客攻击频率等 ;
b) 在实际环境中 ,通过检测工具以及各种 日志 ,可分析信息系统面临的威胁 ;
c) 对信息系统而言 ,可参考组织内其他信息系统面临的威胁来分析本系统所面临威胁 ;对组织而言 ,可参考其他类似组织或其他组织类似信息系统面临威胁分析本组织和本系统面临威胁 ;
d) 一些第三方组织发布的安全态势方面的数据 。
5.2.3.4 威胁分析
通过威胁调查 ,可识别存在的威胁源名称 、类型 、攻击能力和攻击动机 ,威胁路径 ,威胁发生可能性 ,威胁影响的客体的价值 、覆盖范围 、破坏严重程度和可补救性 。在威胁调查基础上 ,可作如下威胁分析 :
a) 通过分析威胁路径 ,结合威胁自身属性 、资产存在的脆弱性以及所采取的安全措施 ,识别出威胁发生的可能性 ,也就是威胁发生的概率 ;
b) 通过分析威胁客体的价值和威胁覆盖范围 、破坏严重程度和可补救性等 ,识别威胁影响 ;
c) 分析并确定由威胁源攻击能力 、攻击动机 ,威胁发生概率 、影响程度计算威胁值的方法 ;
d) 威胁赋值 。
综合分析上述因素 ,对威胁的可能性进行赋值 ,威胁赋值分为很高 、高 、中等 、低 、很低 5 个级别 ,级别越高表示威胁发生的可能性越高 。各级别含义可见 GB/T 20984—2007。
5.2.3.5 威胁分析报告
通过威胁调查和威胁分析 ,可确定组织或信息系统面临的威胁源 、威胁方式以及影响 ,在此基础上 ,可形成威胁分析报告 。威胁分析报告是进行脆弱性识别的重要依据 ,在脆弱性识别时 ,对于那些可能被严重威胁利用的脆弱性要进行重点识别 。
威胁分析报告应包括如下内容 :
a) 威胁名称 、威胁类型 、威胁源攻击能力 、攻击动机 、威胁发生概率 、影响程度以及威胁发生的可能性 ;
b) 威胁赋值 ;
c) 严重威胁说明等 。
5.2.4 脆弱性识别
5.2.4. 1 概述
脆弱性是资产自身存在的 ,如没有被威胁利用 ,脆弱性本身不会对资产造成损害 。如信息系统足够健壮 ,威胁难以导致安全事件的发生 。也就是说 ,威胁是通过利用资产的脆弱性 ,才可能造成危害 。 因此 ,组织一般通过尽可能消减资产的脆弱性 ,来阻止或消减威胁造成的影响 ,所以脆弱性识别是风险评估中最重要的一个环节 。
脆弱性可从技术和管理两个方面进行识别 。技术方面 ,可从物理环境 、网络 、主机系统 、应用系统 、数据等方面识别资产的脆弱性 ;管理方面 ,可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆弱性 ,技术管理脆弱性与具体技术活动相关 ,组织管理脆弱性与管理环境相关 。
脆弱性识别包括 :脆弱性的基本特征 ,时间特征和环境特征的识别 。
a) 脆弱性的基本特征包括 :
1) 访问路径 。该特征反映了脆弱性被利用的路径 ,包括 :本地访问 ,邻近网络访问 ,远程网络访问 。
2) 访问复杂性 。该特征反映了攻击者能访问 目标系统时利用脆弱性的难易程度 , 可 用 高 、中 、低 3个值进行度量 。
3) 鉴别 。该特征反映了攻击者为了利用脆弱性需要通过目标系统鉴别的次数 , 可用多次 、 1 次 、0 次 3个值进行度量 。
4) 保密性影响 。该特征反映了脆弱性被成功利用时对保密性的影响 ,可用完全泄密 、部分泄密 、不泄密 3个值进行度量 。
5) 完整性影响 。该特征反映了脆弱性被成功利用时对完整性的影响 ,可用完全修改 、部分修改 、不能修改 3个值进行度量 。
6) 可用性影响 。该特征反映了脆弱性被成功利用时对可用性的影响 ,可用完全不可用 、部分可用 、可用性不受影响 3个值进行度量 。
b) 脆弱性的时间特征包括 :
1) 可利用性 。该特征反映了脆弱性可利用技术的状态或脆弱性可利用代码的可获得性 , 可用未证明 、概念证明 、可操作 、易操作 、不确定 6个值进行度量 。
2) 补救级别 。该特征反映了脆弱性可补救的级别 ,可用官方正式补救方案 、官方临时补救方案 、非官方补救方案 、无补救方案 、不确定 5个值进行度量 。
3) 报告可信性 。该特征反映了脆弱性存在的可信度以及脆弱性技术细节的可信度 , 可用未证实 、需进一步证实 、已证实 、不确定 4个值进行度量 。
c) 脆弱性的环境特征包括 :
1) 破坏潜力 。该特征反映了通过破坏或偷窃财产和设备 ,造成物理资产和生命损失的潜在可能性 ,可用无 、低 、中等偏低 、中等偏高 、高 、不确定 6个值进行度量 。
2) 目标分布 。该特征反映了存在特定脆弱性的系统的比例 , 可用无 、低 、中 、高 、不确定 5 个值进行度量 。
3) 安全要求 。该特征反映了组织和信息系统对IT资产的保密性 、完整性和可用性的安全要求 ,可以用低 、中 、高 、不确定 4个值进行度量 。
在识别脆弱性同时 ,评估人员应对已采取的安全措施及其有效性进行确认 。安全措施的确认应分析其有效性 , 即是否能够抵御威胁的攻击 。对有效的安全措施继续保持 , 以避免不必要的工作和费用 ,防止安全措施的重复实施 ,对确认为不适当的安全措施应核实是否需要取消或对其进行修正 ,或用更合适的安全措施替代 。
脆弱性识别所采用的方法主要有 :文档查阅 、问卷调查 、人工核查 、工具检测 、渗透性测试等 。
5.2.4.2 安全技术脆弱性核查
5.2.4.2. 1 概述
安全技术脆弱性核查包括 ,检查组织和信息系统自身在技术方面存在的脆弱性 , 以及核查所采取的安全措施有效程度 。
5.2.4.2.2 物理环境安全
物理环境安全脆弱性是指机房和办公建筑物及其配套设施 、设备 、线路以及用电在安全方面存在的脆弱性 ,包括 :建筑物 、设备或线路遭到破坏或出现故障 、遭到非法访问 ,设备被盗窃 , 出现信息泄露 , 出现用电中断等 。
核查物理环境所采取的安全措施及其有效性 ,包括 :机房选址 、建筑物的物理访问控制 、防盗窃和防破坏 、防雷击 、防火 、防水和防潮 、防静电 、温湿度控制 、电力供应 、电磁防护等 。
物理环境安全技术脆弱性核查的方法包括 :现场查看 、询问物理环境现状 ,验证安全措施的有效性 。
5.2.4.2.3 网络安全
网络安全脆弱性是指网络通信设备及网络安全设备 、网络通信线路 、网络通信服务在安全方面存在的脆弱性 ,包括 :非法使用网络资源 、非法访问或控制网络通信设备及网络安全设备 、非法占用网络通信信道 、网络通信服务带宽和质量不能保证 、网络线路泄密 、传播非法信息等 。
核查网络安全所采取的安全措施及其有效性 ,包括 : 网络拓扑图 、vlan划分 、网络访问控制 、网络设备防护 、安全审计 、边界完整性检查 、入侵防范 、恶意代码防范等 。
网络安全脆弱性核查应该进行结构分析 、功能分析 、安全功能分析和性能分析 ;可采取白盒测试 、黑盒测试 、灰盒测试等方法 。
网络安全脆弱性核查方法包括 :查看网络拓扑图 、网络安全设备的安全策略 、配置等相关文档 ,询问相关人员 ,查看网络设备的硬件配置情况 ,手工或自动查看或检测网络设备的软件安装和配置情况 ,查看和验证身份鉴别 、访问控制 、安全审计等安全功能 ,检查分析网络和安全设备日志记录 ,利用工具探测网络拓扑结构 ,扫描网络安全设备存在的漏洞 ,探测网络非法接入或外联情况 ,测试网络流量 、网络设备负荷承载能力以及网络带宽 ,手工或自动查看和检测安全措施的使用情况并验证其有效性等 。
5.2.4.2.4 主机系统安全
主机系统安全脆弱性是指主机硬件设备 、操作系统 、数据库系统以及其他相关软件在安全方面存在的脆弱性 ,包括 :非法访问或控制操作系统 、数据库系统以及其他相关软件系统 ,非法占用网络或系统资源等 。
核查主机系统所采取的安全措施及其有效性 ,包括 :身份鉴别 、访问控制 、安全审计 、剩余信息保护 、入侵防范 、恶意代码防范 、资源控制等 。
主机系统安全脆弱性核查应该进行结构 、功能 、安全功能和性能分析 ; 可采取白盒测试 、黑盒测试 、灰盒测试等方法 。
主机系统安全脆弱性核查方法包括 :手工或自动查看或检测主机硬件设备的配置情况以及软件系统的安装配置情况 ,查看软件系统的自启动和运行情况 ,查看和验证身份鉴别 、访问控制 、安全审计等安全功能 ,查看并分析主机系统运行产生的历史数据(如鉴别信息 、上网痕迹) ,检查并分析软件系统 日志记录 ,利用工具扫描主机系统存在的漏洞 ,测试主机系统的性能 ,手工或自动查看或检测安全措施的使用情况并验证其有效性等 。
5.2.4.2.5 应用系统安全
应用系统安全脆弱性是指应用系统在安全方面存在的脆弱性 ,包括 : 非法访问或控制业务应用系统 ,非法占用业务应用系统资源等 。
核查应用系统所采取的安全措施及其有效性 ,包括 :身份鉴别 、访问控制 、安全审计 、剩余信息保护 、通信完整性 、通信保密性 、抗抵赖 、软件容错 、资源控制等 。
应用系统安全脆弱性核查应进行结构 、功能 、安全功能和性能分析 ; 可采取白盒测试 、黑盒测试 、灰盒测试等方法 。
应用系统安全脆弱性核查方法包括 :可查阅应用系统的需求 、设计 、测试 、运行报告等相关文档 ,检查应用系统在架构设计方面的安全性(包括应用系统各功能模块的容错保障 、各功能模块在交互过程中的安全机制 、以及多个应用系统之间数据交互接口的安全机制等) ,审查应用系统源代码 ,手工或自动查看或检测应用系统的安装配置情况 ,查看和验证身份鉴别 、访问控制 、安全审计等安全功能 ,查看并分析主机系统运行产生的历史数据(如用户登录 、操作记录) ,检查并分析应该系统 日志记录 ,利用扫描工具检测应用系统存在的漏洞 ,测试应用系统的性能 ,手工或自动查看或检测安全措施的使用情况并验证其有效性等 。
5.2.4.2.6 数据安全
数据安全脆弱性是指数据存储和传播在安全方面存在的脆弱性 ,包括 :数据泄露 、数据篡改和破坏 、数据不可用等 。
核查数据安全所采取的安全措施及其有效性 ,包括 :数据完整性保护措施 、数据保密性保护措施 、备份和恢复等 。
数据安全核查的方法包括 :通信协议分析 、数据破解 、数据完整性校验等 。
5.2.4.3 安全管理脆弱性核查
5.2.4.3. 1 概述
根据被评估组织安全管理要求 ,应对负责信息系统管理和运行维护部门进行安全管理核查 。安全管理核查主要通过查阅文档 、抽样调查和询问等方法 ,并核查信息安全规章制度的合理性 、完整性 、适用性等 。
5.2.4.3.2 安全管理组织
安全管理组织脆弱性是指组织在安全管理机构设置 、职能部门设置 、岗位设置 、人员配置等是否合理 ,分工是否明确 ,职责是否清晰 ,工作是否落实等 。
安全管理组织脆弱性核查方法包括 :查看安全管理机构设置 、职能部门设置 、岗位设置 、人员配置等相关文件 , 以及安全管理组织相关活动记录等文件 。
5.2.4.3.3 安全管理策略
安全管理策略为组织实施安全管理提供指导 。安全管理策略核查主要核查安全管理策略的全面性和合理性 。
安全管理策略脆弱性核查方法包括 :查看是否存在明确的安全管理策略文件 ,并就安全策略有关内容询问相关人员 ,分析策略的有效性 ,识别安全管理策略存在的脆弱性 。
5.2.4.3.4 安全管理制度
安全管理制度脆弱性是指安全管理制度体系的完备程度 ,制度落实等方面存在的脆弱性 , 以及安全管理制度制定与发布 、评审与修订 、废弃等管理存在的问题 。
安全管理制度脆弱性核查方法包括 :审查相关制度文件完备情况 ,查看制度落实的记录 ,就制度有关内容询问相关人员 , 了解制度的执行情况 ,综合识别安全管理制度存在的脆弱性 。
5.2.4.3.5 人员安全管理
人员安全管理包括 :人员录用 、教育与培训 、考核 、离岗等 , 以及外部人员访问控制安全管理 。
人员安全管理脆弱性核查方法包括 :查阅相关制度文件以及相关记录 ,或要求相关人员现场执行某些任务 ,或以外来人员身份访问等方式进行人员安全管理脆弱性的识别 。
5.2.4.3.6 系统运维管理
系统运维管理是保障系统正常运行的重要环节 ,涉及系统正常运行和组织正常运转 ,包括 :物理环境 、资产 、设备 、介质 、网络 、系统 、密码的安全管理 , 以及恶意代码防范 、安全监控和监管 、变更 、备份与恢复 、安全事件 、应急预案管理等 。
系统运维管理脆弱性核查方法包括 :审阅系统运维的相关制度文件 、操作手册 、运维记录等 ,现场查
看运维情况 ,访谈运维人员 ,让运维人员演示相关操作等方式进行系统运维管理脆弱性的识别 。
5.2.4.4 脆弱性分析报告
脆弱性严重程度分为很高 、高 、中等 、低 、很低 5个级别 ,级别越高表示脆弱性越严重 。各级别含义可见 GB/T 20984—2007。
脆弱性分析报告中 ,应当包括如下内容 :
a) 资产存在的各种脆弱性 ;
b) 脆弱性的特征及其赋值 ,包括基本特征(如访问路径 、访问复杂性 、鉴别 、保密性影响 、完整性影响 、可用性影响) 、时间特征(如可利用性 、补救水平 、报告可信性) 、环境特征(如破坏潜力 、目标分布 、安全要求) ;
c) 计算脆弱性严重程度的方法 ;
d) 严重脆弱性说明 ;
e) 脆弱性之间的关联分析 ,不同的脆弱性可能反映同一方面的问题 ,或可能造成相似的后果 ,这些脆弱性可以合并 ;某些脆弱性的严重程度互相影响 ,特别对于某个资产 ,其技术脆弱性的严重程度还受到组织管理脆弱性的影响 , 因而这些脆弱性的严重程度可能需要修正 。
5.2.5 识别阶段工作保障
5.2.5. 1 组织协调
评估小组应根据调研结果进行资产识别和威胁识别 ,并与被评估组织沟通确认 。在对被评估组织进行脆弱性识别前 ,评估小组应明确被评估组织提供的资源 ,确定被评估组织配合人员 ,在脆弱性识别过程中 ,被评估组织应安排已确定的配合人员 ,并提供相关资源 。
5.2.5.2 角色与职责
风险识别阶段的主要角色与工作职责划分如表 4 和表 5所示 。
表 4 风险识别阶段—评估机构主要角色与工作职责划分说明
表 5 风险识别阶段—被评估组织主要角色与工作职责划分说明
5.2.5.3 阶段关键控制点
风险评估识别阶段主要包括四个关键控制点 :
a) 保证资产识别的完整和有效资产识别是风险评估的基础工作 ,应按照指定的评估范围 ,全面和有效的识别相关资产 ,并确定重要资产情况 。
b) 确定组织或信息系统的严重威胁 。准确识别组织或信息系统面临的威胁 ,并分析其中的严重威胁 ,对后续安全风险分析至关重要 ,并对相关脆弱性的加固整改方法提供关键依据 。
c) 确认组织或信息系统的严重脆弱性 。全面了解组织或信息系统自身安全状况 ,发现并验证其存在的严重脆弱性 ,对后续安全风险分析至关重要 ,也是组织重点投入资源进行加固 整 改 的对象 。
d) 现场评估工作小结会议 。在现场评估工作结束前 ,应根据现场识别情况 ,召开现场评估工作小结会议 。小结会议由被评估组织项目组长组织召开 ,参与人员包括评估小组全体人员 ;必要时风险评估领导小组成员及专家组成员可一并参加 。会议主要内容是评估机构项目组长汇报现场工作情况以及各项识别工作基本结果 ;并将现场发现的重要或紧急安全问题 ,与被评估组织进行沟通 ,被评估组织应进行及时安全加固整改 , 以防安全事件发生 。现场评估工作小结会议应对识别阶段工作情况和结果进行确认 。
5.2.5.4 文档管理
在识别阶段 ,应完成如下文档的提交 :
a) 资产赋值报告 ;
b) 威胁分析报告 ;
c) 脆弱性分析报告 ;
d) 现场重要问题汇总报告 。
5.3 风险分析阶段
5.3. 1 概述
风险评估是以围绕被评估组织核心业务开展为原则的 ,评估业务所面临的安全风险 。 风险分析的
主要方法是对业务相关的资产 、威胁 、脆弱性及其各项属性的关联分析 ,综合进行风险分析和计算 。
5.3.2 风险分析模型
依据 GB/T 20984—2007所确定的风险分析方法 ,如图 2 所示 ,一般构建风险分析模型是将资产 、威胁 、脆弱性三个基本要素及每个要素相关属性 ,进行关联 ,并建立各要素之间的相互作用机制关系 。
图 2 信息安全风险分析原理图
建立风险评估分析模型 ,首先通过威胁与脆弱性进行关联 , 哪些威胁可以利用哪些脆弱性 ,可引发安全事件 ,并分析安全事件发生的可能性 ;其次 ,通过资产与脆弱性进行关联 , 哪些资产存在脆弱性 ,一旦安全事件发生 ,造成的损失有多大 。
信息安全风险各识别要素的关系 ,R= F(A,T,V) 。其中 ,其中 ,R表示安全风险计算函数;A表示
5.3.3 风险计算方法
组织或信息系统安全风险需要通过具体的计算方法实现风险值的计算 。风险计算方法一般分为定性计算方法和定量计算方法两大类 :
a) 定性计算方法是将风险的各要素资产 、威胁 、脆弱性等的相关属性进行量化(或等级化) 赋值 ,然后选用具体的计算方法(如相乘法或矩阵法)进行风险计算 ;
b) 定量计算方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法 。 由于定量计算法需要等量化财务价值 ,在实际操作中往往难以实现 。
由于定量计算方法在实际工作中可操作性较差 ,一般风险计算多采用定性计算方法 。 风险的定性计算方法实质反应的是组织或信息系统面临风险大小的准确排序 ,确定风险的性质(无关紧要 、可接受 、待观察 、不可接受等) ,而不是风险计算值本身的准确性 。
具体风险计算方法 ,可参考 GB/T 20984—2007中的附录 A (资料性附录)风险的计算方法 。
5.3.4 风险分析与评价
通过风险计算 ,应对风险情况进行综合分析与评价 。风险分析是基于计算出的风险值确定风险等级 。风险评价则是对组织或信息系统总体信息安全风险的评价 。
风险分析 ,首先对风险计算值进行等级化处理 。风险等级化处理目的是 ,对风险的识别直观化 ,便于对风险进行评价 。等级化处理的方法是按照风险值的高低进行等级划分 , 风险值越高 , 风险等级越高 。风险等级一般可划分为 5 级 :很高 、高 、中等 、低 、很低 ,也可根据项目实际情况确定风险的等级数 ,如划分为高 、中 、低 3 级 。
风险评价方法是根据组织或信息系统面临的各种风险等级 ,通过对不同等级的安全风险进行统计 、分析 ,并依据各等级风险所占全部风险的百分比 ,确定总体风险状况 。具体风险评价如表 6所示 。
表 6 安全风险评价表
5.3.5 风险评估报告
风险评估报告是风险分析阶段的输出文档 ,是对风险分析阶段工作的总结 。 风险评估报告中需要对建立的风险分析模型进行说明 ,并需要阐明采用的风险计算方法及风险评价方法 。
报告中应对计算分析出的风险给予详细说明 ,主要包括 :风险对组织 、业务及系统的影响范围 、影响程度 ,依据的法规和证据 ;风险评价结论 。
风险评估报告是风险评估工作的重要内容 ,是风险处理阶段的关键依据 。 同时 ,风险评估报告可作为组织从事其他信息安全管理工作的重要参考内容 ,如信息安全检查 、信息系统等级保护测评 、信息安全建设等 。
5.3.6 分析阶段工作保障
5.3.6. 1 组织协调
风险分析阶段的工作主要由评
相关推荐
- GB/T 3211-2023 金属铬
- GB/T 29711-2023 清晰版 焊缝无损检测 超声检测 焊缝内部不连续的特征
- GB/T 41515-2022 涂布机术语
- GB/T 5023.4-2008 额定电压450∕750V及以下聚氯乙烯绝缘电缆 第4部分:固定布线用护套电缆
- GB 55037-2022 建筑防火通用规范
- GB 51270-2017 镁冶炼厂工艺设计标准 清晰版
- GB/T 28807.2-2017 轨道交通 机车车辆和列车检测系统的兼容性 第2部分:与轨道电路的兼容性
- GB/T 29716.1-2013 机械振动与冲击 信号处理 第1部分:引论
- GB/T 10479-2009 铝制铁道罐车
- GB 55006-2021 钢结构通用规范
