《信息安全技术信息安全风险评估实施指南(GB-T 31509-2015).pdf》由会员分享,可在线阅读,更多相关《信息安全技术信息安全风险评估实施指南(GB-T 31509-2015).pdf(70页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L 80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术 信息安全风险评估实施指南Information security technology-Guide of implementation forinformation security risk assessment点击此处添加与国际标准一致性程度的标识(报批稿)(本稿完成日期:2011 年 12 月)XXXX-XX-XX 发布XXXX-XX-实施GB/T XXXXXXXXXI目次目次目次.I前言前言.III引言引言.IV1 范围范围.12 规范性引用文件规范性引
2、用文件.13 术语和定义术语和定义.13.1术语和定义.13.2缩略语.24 风险评估实施概述风险评估实施概述.34.1实施的基本原则.34.1.1 标准性原则.34.1.2 关键业务原则.34.1.3 可控性原则.34.1.4 最小影响原则.34.2实施的基本流程.34.3风险评估的工作形式.44.4信息系统生命周期内的风险评估.45 风险评估实施的阶段性工作风险评估实施的阶段性工作.45.1准备阶段.45.1.1 准备阶段工作内容.45.1.2 准备阶段工作保障.95.2识别阶段.105.2.1 概述.105.2.2 资产识别.105.2.3 威胁识别.135.2.4 脆弱性识别.175.
3、2.5 识别阶段工作保障.215.3风险分析阶段.225.3.1 概述.225.3.2 风险分析模型.225.3.3 风险计算方法.235.3.4 风险分析与评价.235.3.5 风险评估报告.245.3.6 分析阶段工作保障.24GB/T XXXXXXXXXII5.4风险处理建议.255.4.1 风险处理原则.255.4.2 安全整改建议.255.4.3 组织评审会.255.4.4 残余风险处理.265.4.5 风险处理建议工作保障.27附附录录A(资料性附录)(资料性附录)调查表调查表.1附附录录B(资料性附录)(资料性附录)安全技术脆弱性核查表安全技术脆弱性核查表.1附附录录C(资料性附
4、录)(资料性附录)安全管理脆弱性核查表安全管理脆弱性核查表.15附附录录D(资料性附录)(资料性附录)风险分析案例风险分析案例.23GB/T XXXXXXXXXIII前言本标准按照GB/T 1.1-2009的规则起草。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:国家信息中心、国家保密技术研究所、北京信息安全测评中心、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司。本标准主要起草人:吴亚非、禄凯、张志军、陈永刚、赵章界、席斐、应力、马朝斌、倪志强。GB/T XXXXXXXXXIV引言信息安全风险评估是信息安全保障工作的重要内容之一,
5、与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关,并通过风险发现、分析、评价为上述相关工作提供支持。为指导信息安全风险评估工作的开展,本标准依据 信息安全技术 信息安全风险评估规范(GB/T20984-2007),从风险评估工作开展的组织、管理、流程、文档、审核等几个方面提出了相关要求,是信息安全技术 信息安全风险评估规范(GB/T 20984-2007)的操作性指导标准,它也是信息安全风险管理相关标准之一。GB/T XXXXXXXXX1信息安全技术 信息安全风险评估实施指南1范围本标准规定了信息安全风险评估实施的过程和方法。本标准适用于各类安全评估机构或被评估组织对非涉密信息系统
6、的信息安全风险评估项目的管理,指导风险评估项目的组织、实施、验收等工作。2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,而不注明日期的引用文件,其最新版本适用于本文件。GB/T 20984-2007信息安全技术 信息安全风险评估规范GB/Z 24364-2009信息安全技术 信息安全风险管理指南3术语和定义GB/T 20984-2007和GB/Z 24364-2009中界定的以及下列术语和定义适用于本文件。3.1术语和定义3.1.1实施implementation将一系列活动付诸实践的过
7、程。3.1.2信息系统生命周期information system lifecycle信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。3.1.3评估目标assessment target评估活动所要达到的最终目的。3.1.4系统调研system investigation对信息系统相关的实际情况进行调查了解与分析研究的活动。3.1.5评估要素 assessment factorGB/T XXXXXXXXX2风险评估活动中必须要识别、分析的一系列基本因素。3.1.6识别 identify对某一评估要素进行标识与辨别的过程。3.1.7赋值 assignment对识
8、别出的评估要素根据已定的量化模型给予定量数值的过程。3.1.8核查check in将信息系统中的检查信息与制定的检查项进行核对检查的活动。3.1.9关键控制点 the key point在项目实施活动中,具有能够影响到项目整体进度决定性作用的实施活动。3.1.10分析模型analysis model依据一定的分析原理,构造的一种模拟分析方法,用于对评估要素的分析。3.1.11评价模型evaluation model依据一定的评价体系,构造若干评价指标,能够对相应的活动进行较为完善的评价。3.1.12风险处理risk treatment对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、
9、降低风险等。3.1.13验收acceptance风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织,对评估活动进行逐项检验,以是否达到评估目标为接受标准。3.2缩略语AC:访问(入侵)复杂性(Access Complexity)AV:访问(入侵)路径(Access Vector)BOF:缓冲区溢出(Buffer Overflow)CDP:破坏潜力(Collateral Damage Potential)CVE:公共漏洞和暴露(Common Vulnerabilities&Exposures)CVSS:通用安全弱点评估系统(Common Vulnerability Scoring Sy
10、stem)GB/T XXXXXXXXX3RC:报告可信性(Report Conference)RL:补救水平(Remediation Level)SR:安全要求(Security Requirement)TD:目标分布(Target Distribution)VLAN:虚拟局域网(Virtual Local Area Network)4风险评估实施概述4.1实施的基本原则4.1.1标准性原则信息系统的安全风险评估,应按照GB/T 20984-2007中规定的评估流程进行实施,包括各阶段性的评估工作。4.1.2关键业务原则信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把涉及这些业务
11、的相关网络与系统,包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。4.1.3可控性原则在风险评估项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制,以保证风险评估实施过程的可控和安全。a)服务可控性评估方应事先在评估工作沟通会议中向用户介绍评估服务流程,明确需要得到被评估组织协作的工作内容,确保安全评估服务工作的顺利进行。b)人员与信息可控性所有参与评估的人员应签署保密协议,以保证项目信息的安全;应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人。c)过程可控性应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可
12、控。d)工具可控性安全评估人员所使用的评估工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本身、测试策略等。4.1.4最小影响原则对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,而对于需要进行攻击性测试的工作内容,需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行。4.2实施的基本流程GB/T 20984-2007规定了风险评估的实施流程,根据流程中的各项工作内容,一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处理四个阶段。其中,评估准备阶段工作是对评估实施有效性的保证,是评估工作的开始;风险要素识别阶段工作主要是对评估活动中的
13、各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进行GB/T XXXXXXXXX4关联分析,并计算风险值;风险处理建议工作主要针对评估出的风险,提出相应的处置建议,以及按照处置建议实施安全加固后进行残余风险处理等内容。4.3风险评估的工作形式GB/T 20984-2007 明确了风险评估的基本工作形式是自评估与检查评估。自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,可由发起方实施或委托信息安全服务组织支持实施。实施自评估的组织可根据组织自身的实际需求进行评估目标的设立,采用完整或剪裁的评估活动。检查评估是信息系
14、统上级管理部门或国家有关职能部门依法开展的风险评估,检查评估也可委托信息安全服务组织支持实施。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外,还可实施完整的风险评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。4.4信息系统生命周期内的风险评估信息系统生命周期一般包括信息系统的规划、设计、实施、运维和废弃五个阶段,风险评估活动应贯穿于信息系统生命周期的上述各个阶段。信息系统生命周期各个阶段的风险评估由于各阶段的评估对象、安全需求不同,评估的目的一般也不同。规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等;设计阶段风险评估的目的是评估
15、安全设计方案是否满足信息系统安全功能的需求;实施阶段的评估目的是对系统开发、实施过程进行风险识别,对建成后的系统安全功能进行验证;运行维护阶段的评估目的是了解和控制系统运行过程中的安全风险;废弃阶段的评估目的是对废弃资产对组织的影响进行分析。此外,当信息系统的业务目标和需求或技术和管理环境发生变化时,需要再次进入上述五个阶段的风险评估,使得信息系统的安全适应自身和环境的变化。5风险评估实施的阶段性工作5.1准备阶段5.1.1准备阶段工作内容5.1.1.1概述风险评估准备是整个风险评估过程有效性的保证。由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在风险评
16、估实施前,应充分做好评估前的各项准备工作。信息安全风险评估涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格,并遵从国家或行业相关管理要求。5.1.1.2确定评估目标风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施的内容、对象、安全需求均不同,因此被评估组织应首先根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段,并以此来明确风险评估目标。一般而言,组织确定的各阶段的评估目标应符合以下原则:GB/T XXXXXXXXX5a)规划阶段风险评估的目标是识别系统的业务战略,以支撑系统安全需求及安全战略等。规划阶段的评估应能够描
17、述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的安全目标;b)设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据;c)实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制;d)运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险。评估内容包括信息系统的资产、面临威胁、自身脆弱性以及已有
18、安全措施等各方面。废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置,并对废弃资产对组织的影响进行分析,以确定是否会增加或引入新的风险。5.1.1.3确定评估范围在确定风险评估所处的阶段及相应目标之后,应进一步明确风险评估的评估范围,可以是组织全部信息及与信息处理相关的各类资产、管理机构,也可以是某个独立信息系统、关键业务流程等。在确定评估范围时,应结合已确定的评估目标和组织的实际信息系统建设情况,合理定义评估对象和评估范围边界,可以参考以下依据来作为评估范围边界的划分原则:a)业务系统的业务逻辑边界;b)网络及设备载体边界;c)物理环境边界;d)组织管理权限边界;e)其它。5.1
19、.1.4组建评估团队5.1.1.4.1综述风险评估实施团队应由被评估组织、评估机构等共同组建风险评估小组;由被评估组织领导、相关部门负责人,以及评估机构相关人员成立风险评估领导小组;聘请相关专业的技术专家和技术骨干组成专家组。风险评估小组应完成评估前的表格、文档、检测工具等各项准备工作;进行风险评估技术培训和保密教育;制定风险评估过程管理相关规定;编制应急预案等。双方应签署保密协议,适情签署个人保密协议。5.1.1.4.2角色与职责为确保风险评估工作的顺利有效进行,应采用合理的项目管理机制,主要相关成员角色与职责说明如表1、表2所示。表表 1 1 风险评估小组评估机构成员角色与职责说明风险评估
20、小组评估机构成员角色与职责说明评估机构人员角色工作职责项目组长是风险评估项目中实施方的管理者、责任人,具体工作职责包括:1)根据项目情况组建评估项目实施团队;GB/T XXXXXXXXX62)根据项目情况与被评估方一起确定评估目标和评估范围,并组织项目组成员对被评估方实施系统调研;3)根据评估目标、评估范围及系统调研的情况确定评估依据,并组织编写评估方案;4)组织项目组成员开展风险评估各阶段的工作,并对实施过程进行监督、协调和控制,确保各阶段工作的有效实施;5)与被评估组织进行及时有效的沟通,及时商讨项目进展状况及可能发生问题的预测等;6)组织项目组成员将风险评估各阶段的工作成果进行汇总,编写
21、 风险评估报告与安全整改建议书等项目成果物;7)负责将项目成果物移交被评估组织,向被评估组织汇报项目成果,并提请项目验收。安全技术评估人员是负责风险评估项目中技术方面评估工作的实施人员。具体工作职责包括:1)根据评估目标与评估范围的确定参与系统调研,并编写系统调研报告的技术部分内容;2)参与编写评估方案;3)遵照评估方案实施各阶段具体的技术性评估工作,主要包括:信息资产调查、威胁调查、安全技术脆弱性核查等;4)对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源;5)将各阶段的技术性评估工作成果进行汇总,参与编写风险评估报告与安全整改建议书等项目成果物;6)负责向被评估方解答项目成果
22、物中有关技术性细节问题。安全管理评估人员是负责风险评估项目中管理方面评估工作的实施人员。具体工作职责包括:1)根据评估目标与评估范围的确定参与系统调研,并编写系统调研报告的管理部分内容;2)参与编写评估方案;3)遵照评估方案实施各阶段具体的管理性评估工作,主要包括:信息资产调查、威胁调查、安全管理脆弱性核查等;4)对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源;5)将各阶段的管理性评估工作成果进行汇总,参与编写风险评估报告与安全整改建议书等项目成果物;6)负责向被评估方解答项目成果物中有关管理性细节问题。质量管控员是负责风险评估项目中质量管理的人员。具体工作职责包括:1)监督审
23、计各阶段工作的实施进度与时间进度,对可能出现的影响项目进度的问题及时通告项目组长;2)负责对项目文档进行管控。表表 2 2 风险评估小组被评估组织成员角色与职责说明风险评估小组被评估组织成员角色与职责说明被评估组织人员角色工作职责项目组长是风险评估项目中被评估组织的管理者。具体工作职责包括:1)与评估机构的项目组长进行工作协调;2)组织本单位的项目组成员在风险评估各阶段活动中的配合工作;GB/T XXXXXXXXX73)组织本单位的项目组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,对出现的偏离及时指正;4)组织本单位的项目组成员对评估机构提交的风险评估报告与安全整改建议书等
24、项目成果物进行审阅;5)组织对风险评估项目进行验收;6)可授权项目协调人负责各阶段性工作,代理实施自己的职责。信息安全管理人员是指被评估组织的专职信息安全管理人员。在风险评估项目中的具体工作职责包括:1)在项目组长的安排下,配合评估机构在风险评估各阶段中的工作;2)参与对评估机构提交的评估方案进行研讨;3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离;4)参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅;5)参与对风险评估项目的验收。项目协调人是指风险评估项目中被评估组织的工作协调人员。具体工作职责是负责与被评估组织各级部门之间的信息沟
25、通,及时协调、调动相关部门的资源,包括工作场地、物资、人员等,以保障项目的顺利开展。业务人员是指在被评估组织的业务使用人员代表(应由各业务部门负责人或其授权人员担任)。在风险评估项目中的具体工作职责包括:1)在项目组长的安排下,配合评估机构在风险评估各阶段中的工作;2)参与对评估机构提交的评估方案进行研讨;3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离;4)参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅;5)参与对风险评估项目的验收。运维人员是指在被评估组织的信息系统运行维护人员。在风险评估项目中的具体工作职责包括:1)在项目组长的
26、安排下,配合评估机构在风险评估各阶段中的工作;2)参与对评估机构提交的评估方案进行研讨;3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离;4)参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅;5)参与对风险评估项目的验收。开发人员是指在被评估组织本单位或第三方外包商的软件开发人员代表。在风险评估项目中的具体工作职责包括:1)在项目组长的安排下,配合评估机构在风险评估各阶段中的工作;2)参与对评估机构提交的评估方案进行研讨;3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离;GB/T XXXXXXXXX
27、84)参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅;5)参与对风险评估项目的验收。5.1.1.4.3风险评估领导小组风险评估工作领导小组主要负责决策风险评估工作的目的、目标;参与并指导风险评估准备阶段的启动会议;协调评估实施过程中的各项资源;组织评估项目验收会议;推进并监督风险处理工作等。风险评估工作领导小组一般由被评估组织主管信息化或信息安全工作的领导负责,成员一般包括:被评估组织信息技术部门领导、相关业务部门领导等,评估机构相关人员参与。5.1.1.4.4专家组对于大型复杂的风险评估项目,应考虑在项目期间聘请相关领域的专家对风险评估项目的关键阶段进行工作指导,具体包
28、括:a)帮助被评估组织和实施方规划风险评估项目的总体工作思路和方向;b)对出现的关键性难点问题进行决策;c)对风险评估结论进行确定。5.1.1.5评估工作启动会议为保障风险评估工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开风险评估工作启动会议。启动会一般由风险评估领导小组负责人组织召开,参与人员应该包括评估小组全体人员,相关业务部门主要负责人,如有必要可邀请相关专家组成员参加。启动会主要内容主要包括:被评估组织领导宣布此次评估工作的意义、目的、目标,以及评估工作中的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;评估机构项目组长介绍评估工
29、作一般性方法和工作内容等。通过启动会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训,使全体人员了解和理解评估工作的重要性,以及各工作阶段所需配合的工作内容。5.1.1.6系统调研系统调研是了解、熟悉被评估对象的过程,风险评估小组应进行充分的系统调研,以确定风险评估的依据和方法。调研内容应包括:a)系统安全保护等级;b)主要的业务功能和要求;c)网络结构与网络环境,包括内部连接和外部连接;d)系统边界,包括业务逻辑边界、网络及设备载体边界、物理环境边界、组织管理权限边界等;e)主要的硬件、软件;f)数据和信息;g)系统和数据的敏感性;h)支持和使用系统的人员;i)信息安全管理组
30、织建设和人员配备情况;j)信息安全管理制度;GB/T XXXXXXXXX9k)法律法规及服务合同;l)其他。系统调研可采取问卷调查、现场面谈相结合的方式进行。5.1.1.7确定评估依据根据风险评估目标以及系统调研结果,确定评估依据和评估方法。评估依据应包括:a)适用的法律、法规;b)现有国际标准、国家标准、行业标准;c)行业主管机关的业务系统的要求和制度;d)与信息系统安全保护等级相应的基本要求;e)被评估组织的安全要求;f)系统自身的实时性或性能要求等。根据评估依据,应根据被评估对象的安全需求来确定风险计算方法,使之能够与组织环境和安全要求相适应。5.1.1.8确定评估工具根据评估对象和评估
31、内容合理选择相应的评估工具,评估工具的选择和使用应遵循以下原则:a)对于系统脆弱性评估工具,应具备全面的已知系统脆弱性核查与检测能力;b)评估工具的检测规则库应具备更新功能,能够及时更新;c)评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响;d)可采用多种评估工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定。评估工具的选择和使用必须符合国家有关规定。5.1.1.9制定评估方案风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控,并作为评估项目验收的主要依据之一。风险评估
32、方案应得到被评估组织的确认和认可。风险评估方案的内容应包括:a)风险评估工作框架:包括评估目标、评估范围、评估依据等;b)评估团队组织:包括评估小组成员、组织结构、角色、责任;如有必要还应包括风险评估领导小组和专家组组建介绍等;c)评估工作计划:包括各阶段工作内容、工作形式、工作成果等;d)风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;e)时间进度安排:评估工作实施的时间进度安排;f)项目验收方式:包括验收方式、验收依据、验收结论定义等。5.1.2准备阶段工作保障5.1.2.1组织协调GB/T XXXXXXXXX10为了确保风险评估工作的顺利开展,风险评估方案应得到
33、被评估组织最高管理者的支持、批准。同时,须对管理层和技术人员进行传达,在组织范围内就风险评估相关内容进行培训,以明确有关人员在评估工作中的任务。5.1.2.2文档管理确保文档资料的完整性、准确性和安全性,应遵循以下原则:a)指派专人负责管理和维护项目进程中产生的各类文档,确保文档的完整性和准确性;b)文档的存储应进行合理的分类和编目,确保文档结构清晰可控;c)所有文档都应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息;d)不得泄露给与本项目无关的人员或组织,除非预先征得被评估组织项目负责人的同意。5.1.2.3评估风险的规避风险评估工作自身也存在风险,一是评估结果是否准确有效
34、,能够达到预先目标存在风险;二是评估中的某些测试操作可能给被评估组织或信息系统引入新的风险。应通过以下工作消除或降低评估工作中可能存在的风险。风险评估工作应实行质量控制,以保证评估结果的准确有效。风险评估工作应明确划分各个阶段,在各个阶段中,一是要根据相应的管理规范开展评估工作;二是保证数据采集的准确性和有效性;三是充分了解被评估组织的行业背景及安全特性要求,以及对被评估信息系统所承担的业务和自身流程的理解。在进行脆弱性识别前,应做好应急准备。评估机构应对测试工具进行核查。内容包括:测试工具是否安装了必要的系统补丁、是否存有与本次评估工作无关的残余信息、病毒木马、漏洞库或检测规则库升级情况及工
35、具运行情况;核查人员应填写测试工具核查记录;评估人员事先应将测试方法与被评估组织相关人员进行充分沟通;测试过程中,评估人员应在被评估组织相关人员配合下进行测试操作。5.2识别阶段5.2.1概述识别阶段是风险评估工作的重要工作阶段,通过对组织和信息系统中资产、威胁、脆弱性等要素的识别,是进行信息系统安全风险分析的前提。5.2.2资产识别5.2.2.1概述资产是对组织具有价值的信息或资源,是安全策略保护的对象。在风险评估工作中,风险的重要因素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身脆弱性,使得安全事件的发生成为可能,从而形成了安全风险。这些安全事件一旦发生,对
36、具体资产甚至是整个信息系统都将造成一定影响,从而对组织的利益造成影响。因此,资产是风险评估的重要对象。不同价值的资产受到同等程度破坏时对组织造成的影响程度不同。资产价值是资产重要程度或敏感程度的表征。识别资产并评估资产价值是风险评估的一项重要内容。5.2.2.2资产分类GB/T XXXXXXXXX11在一个组织中,资产的存在形式多种多样,不同类别资产具有的资产价值、面临的威胁、拥有的脆弱性、可采取的安全措施都不同。对资产进行分类既有助于提高资产识别的效率,又有利于整体的风险评估。在风险评估实施中,可按照GB/T 20984-2007中资产分类方法,把资产分为硬件、软件、数据、服务、人员以及其他
37、六大类。具体资产分类请见GB/T 20984-2007。5.2.2.3资产调查资产调查是识别组织和信息系统中资产的重要途径。资产调查一方面应识别出有哪些资产,另一方面要识别出每项资产自身的关键属性。业务是组织存在的必要前提,信息系统承载业务。信息系统的正常运行,保证业务的正常开展,关乎组织的利益。通过资产调查,应确定评估对象中包含哪些信息系统,每个信息系统处理哪些种类业务,每种业务包括哪些具体业务功能,以及相关业务处理的流程。分析并清楚理解各种业务功能和流程,有利于分析系统中的数据流向及其安全保证要求。在信息系统中,业务处理表现为数据处理和服务提供,数据和服务都是组织的信息资产。在识别各种业务
38、后,应进行数据处理和服务的识别,确定各种数据和服务对组织的重要性,以及数据和服务的保密性、完整性、可用性、抗抵赖性等安全属性,从而确定哪些是关键资产。信息系统依赖于数据和服务等信息资产,而信息资产又依赖于支撑和保障信息系统运行的硬件和软件资源,即系统平台,包括物理环境、网络、主机和应用系统等,其基础设施如服务器、交换机、防火墙等称之为系统单元;在系统单元上运行的操作系统、数据库、应用软件等称之为系统组件。在数据和服务等信息资产识别的基础上,根据业务处理流程,可识别出支撑业务系统运行所需的系统平台,并且识别出这些软硬件资源在重要性、保密性、完整性、可用性、抗抵赖性等安全属性。为保证风险评估工作的
39、进度要求和质量要求,有时不可能对所有资产做全面分析,应选取其中关键资产进行分析。资产识别的一般步骤如图1所示。a)根据评估目标和范围,确定风险评估对象中包含的信息系统;b)识别信息系统处理的业务功能,以及处理业务所需的业务流程,特别应识别出关键业务功能和关键业务流程;c)根据业务特点和业务流程识别业务需要处理的数据和提供的服务,特别应识别出关键数据和关键服务;d)识别处理数据和提供服务所需的系统单元和系统组件,特别应识别出关键系统单元和关键系统组件。GB/T XXXXXXXXX12图图1 1 资产识别一般步骤示意图资产识别一般步骤示意图系统单元、系统组件均可作为安全技术脆弱性测试的测试对象。所
40、有资产均可作为安全管理脆弱性测试的测试对象。资产调查的方法包括阅读文档、访谈相关人员、查看相关资产等。一般情况下,可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手册、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图等,识别组织和信息系统的资产。如文档记录信息之间存在互相矛盾,或存在不清楚的地方,以及文档记录信息与实际情况有出入,资产识别须就关键资产和关键问题与被评估组织相关人员进行核实,并选择在组织和信息系统管理中担任不同角色的人员进行访谈,包括主管领导、业务人员、开发人员、实施人员、运维人员、监督
41、管理人员等等。通常情况下,经过阅读文档和现场访谈相关人员,基本可清晰识别组织和信息系统资产,对关键资产应进行现场实际查看。5.2.2.4资产赋值在资产调查基础上,需分析资产的保密性、完整性和可用性等安全属性的等级,安全属性等级包括:很高、高、中等、低、很低五种级别,某种安全属性级别越高表示资产该安全属性越重要。保密性、完整性、可用性的五个赋值的含义可见GB/T 20984-2007。因资产保密性、完整性和可用性等安全属性的量化过程易带有主观性,可以参考如下因素,利用加权等方法综合得出资产保密性、完整性和可用性等安全属性的赋值等级:GB/T XXXXXXXXX13a)资产所承载信息系统的重要性;
42、b)资产所承载信息系统的安全等级;c)资产对所承载信息安全正常运行的重要程度;d)资产保密性、完整性、可用性等安全属性对信息系统,以及相关业务的重要程度。资产价值应依据资产保密性、完整性和可用性的赋值等级,经综合评定确定。资产价值等级包括:很高、高、中等、低、很低五种等级,每种等级含义见GB/T 20984-2007。综合评定的方法可根据信息系统所承载的业务对不同安全属性的依赖程度,选择资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果,加权方法可根据组织的业务特点确定。评估小组
43、可根据资产赋值结果,确定关键资产范围,并围绕关键资产进行后续的风险评估工作。5.2.2.5资产赋值报告经过资产识别和资产分析,确定了组织和信息系统中的资产,明确了资产价值以及相应的保密性、完整性、可用性等安全属性情况,了解资产之间的相互关系和影响,识别出重要资产,在此基础上,可形成资产列表和资产赋值报告。资产赋值报告是进行威胁识别和脆弱性识别的重要依据。资产赋值报告中,应包括如下内容:a)各项资产,特别是关键资产的资产名称、类别、保密性赋值、完整性赋值、可用性赋值、资产价值以及资产所承载的的信息系统;b)通过资产保密性、完整性、可用性计算资产价值的方法;c)关键资产说明等。5.2.3威胁识别5
44、.2.3.1概述威胁是指可能导致危害系统或组织的不希望事故的潜在起因。威胁是一个客观存在的,无论对于多么安全的信息系统,它都存在。威胁的存在,组织和信息系统才会存在风险。因此,风险评估工作中,需全面、准确地了解组织和信息系统所面临的各种威胁。5.2.3.2威胁分类威胁有多种分类方法,如:按照GB/T 20984-2007的威胁分类方法,可威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。a)而根据威胁产生的起因、表现和后果不同,威胁也可分为:有害程序。有害程序是指插入到信息系统中的一段程序,危害系统中数据、应用程序
45、或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。危害程序包括:计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其他有害程序;b)网络攻击。网络攻击是指通过网络或其他手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害。网络攻击包括:拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其他网络攻击;c)信息破坏。信息破坏是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等。信息破坏包括:信息篡改、信息假冒、信息泄露、信息窃取、信息丢失及其他信息破
46、坏;GB/T XXXXXXXXX14d)信息内容攻击。信息内容攻击指利用信息网络发布、传播危害国家安全、社会稳定和公共利益、企业和个人利益的内容的攻击;e)设备设施故障。设备设施故障是指由于信息系统自身故障或外围保障设施故障,造成信息系统异常或对信息系统当前运行造成潜在危害。设备设施故障包括:软硬件自身故障、外围保障设施故障、人为破坏和其他设备设施故障;f)灾害性破坏。灾害性破坏指由于不可抗力对信息系统造成物理破坏。灾害性破坏包括:水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等;g)其他威胁。5.2.3.3威胁调查5.2.3.3.1概述威胁是客观存在的,任何一个组织和信息系统都面临威胁。
47、但在不同组织和信息系统中,威胁发生的可能性和造成的影响可能不同。不仅如此,同一个组织或信息系统中不同资产所面临的威胁发生的可能性和造成的影响也可能不同。威胁调查就是要识别组织和信息系统中可能发生并造成影响的威胁,进而分析哪些发生可能性较大、可能造成重大影响的威胁。威胁调查工作包括:威胁源动机及其能力、威胁途径、威胁可能性及其影响。5.2.3.3.2威胁源动机及其能力威胁源是产生威胁主体。在进行威胁调查时,首要应识别存在哪些威胁源,同时分析这些威胁源的动机和能力。根据威胁源的不同,可以将威胁分为非人为的和人为的。对信息系统非人为的安全威胁主要是自然灾难。典型的自然灾难包括:水灾、台风、地震、雷击
48、、坍塌、火灾、恐怖袭击、战争等。自然灾难可能会对信息系统造成毁灭性的破坏。另外,由于技术的局限性,造成系统不稳定、不可靠等情况,也会引发安全事件,这也是非人为的安全威胁。人为的安全威胁是指某些个人和组织对信息系统造成的安全威胁。人为的安全威胁主体可以来自组织内部,也可以来自组织外部。从威胁动机来看,人为的安全威胁又可细分为非恶意行为和恶意攻击行为。非恶意行为主要包括粗心或未受到良好培训的管理员和用户,由于特殊原因而导致的无意行为,造成对信息系统的破坏。恶意攻击是指出于各种目的而对信息系统实施的攻击。恶意攻击具有明显的目的性,一般经过精心策略和准备,并可能是有组织的,并投入一定的资源和时间。不同
49、的危险源具有不同的攻击能力,攻击者的能力越强,攻击成功的可能性就越大。衡量攻击能力主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等。a)恶意员工具有的知识和技能一般非常有限,攻击能力较弱,但恶意员工可能掌握关于系统的大量信息,并具有一定的权限,而且比外部的攻击者有更多的攻击机会,攻击的成功率高,属于比较严重的安全威胁;b)独立黑客是个体攻击者,可利用资源有限,主要采用外部攻击方式,通常发动零散的、无目的的攻击,攻击能力有限;c)国内外竞争者、犯罪团伙和恐怖组织是有组织攻击者,具有一定的资源保障,具有较强的协作能力和计算能力,攻击目的性强,可进行长期深入的攻击准备,并能够采取外
50、部攻击、内部攻击和邻近攻击相结合的攻击方式,甚至进行简单的分发攻击方式,攻击能力很强。来自国家行为的攻击是能力最强的攻击,国家攻击行为不仅组织严密,具有充足资金、人力和技术资源,而且可能在必要时实施高隐蔽性和高破坏性的分发攻击,窃取组织核心机密或使网络和信息系统全面瘫痪。表3分析了典型的攻击者类型、动机和特点。表表3 3典型的攻击者类型、动机和能力典型的攻击者类型、动机和能力GB/T XXXXXXXXX15类型描述主要动机能力恶意员工主要指对机构不满或具有某种恶意目的内部员工。由于对机构不满而有意破坏系统,或出于某种目的窃取信息或破坏系统。掌握内部情况,了解系统结构和配置;具有系统合法帐户,或