信息安全风险评估规范


IC S 35 .04 0 1 8 0 督黔 中华人民共和国国家标准 GB/T 20984一2007 信息安全技术 信息安全风 险评估规范 Inform ation security tcchnology一 R isk asscssm ent sPecification fOr inform ation security 2007一06一14 发 布 2007一11一01 实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发 布 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 目 次 别 舀 ·········,················,······· ···············································································⋯ ⋯ 1 引言 ············,·····································,·······························································⋯⋯ n 1 范围 ·············································································································⋯⋯ 1 2 规范性引用文件 ···········································,··········.·.............⋯⋯,..............⋯ ⋯,1 3 术 语和定义 ······················································,·············............·······............⋯ ⋯ 1 4 风险评估 框架及流程 ············································..............⋯⋯ ,.............⋯ ⋯ ,⋯⋯ 3 4.1 风险要素关系 ·····························,··········,·,···············........................⋯⋯ ,.⋯⋯,⋯3 4.2 风险分析 原理 ···························,···········,·····················..................................⋯⋯ 3 4.3 实施流程 ······4·····································································........······⋯⋯,,...⋯⋯ 4 5 风险评估实施 ··········································.............⋯⋯,..........⋯⋯ ,.⋯⋯,,,......⋯⋯ 5 5 1 风险评估准备 ····························,················,···········.......⋯⋯,.⋯,....................⋯⋯ 5 5.2 资产识别 ·································,··············· ·,············· ·‘··············⋯⋯,............⋯⋯ 6 5.3 威胁识别 ···········································,··············································⋯⋯,..··⋯⋯ 8 5.4 脆弱性识别 ··············································································.··.............⋯ ⋯,⋯10 5.5 已有安全措施确认 ······················.............⋯⋯,..............⋯⋯,,...⋯⋯,.⋯,..........⋯⋯ H 5.6 风险分析··············· ········,···········································································⋯⋯ 12 5.7 风险评估文档记录 ······················,,············⋯⋯ ,,......................⋯⋯ ,..............⋯ ⋯ 13 6 信息系统生命周期各阶段 的风险评估 ······························,,···⋯⋯,..................··......⋯⋯ 14 6.1 信息系统生命周期概述·····························································⋯⋯从··············⋯⋯14 6.2 规划阶段的风险评估 ············································,··········································⋯⋯ 14 6.3 设计阶段的风险评估··················,························.·······,·············.............⋯⋯,,⋯⋯ 15 6.4 实施阶段的风险评估··················,·······,······⋯⋯,...........⋯⋯,,............... .........⋯⋯ 15 6.5 运行维护阶段的风险评估········,······································································⋯⋯ 16 6.6 废弃阶段的风险评估··········································⋯⋯,.............⋯⋯,,.................⋯⋯ 16 7 风 险评估 的工作形式···················,··············⋯⋯,............⋯⋯,...........................⋯⋯ 17 7. 1 概 述 · ······················································.·..············⋯⋯ ,.....···········...⋯⋯ ,...⋯ ⋯ 17 7.2 自评估 ··········································································· ··························⋯⋯ 17 7.3 检查评估 ······························································⋯⋯,,......·····.··................⋯⋯ 17 附录 A (资料性 附录) 风 险的计算 方法 ·················..····.··········..···················....⋯,.⋯⋯ 18 A.1 使用矩阵法计算风险 ································································ ····················二18 A.2 使用相乘法计算风险 ················································································⋯⋯ 21 附录 B (资料性 附录) 风险评估 的工具 ····,···························································⋯⋯ 24 B .1 风险评估与管理工具 ····································.···············⋯⋯ ,,......................⋯⋯ 24 B .2 系统基础平台风险评估工具 ······,············..·.·.··············....................................⋯⋯ 25 B .3 风险评估辅助工具 ································.·.·.................................⋯⋯,..........⋯⋯ 25 参考文献 ······························································ ············································⋯⋯ 26 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 月明 舌 本 标准的附录 A 和附录 B 是资料性附 录。 本 标准 由国务院信息化工作办公 室提出。 本 标准 由全国信息安全标准化技术 委员会归 口。 本 标准主要起草单位 :国家信息中心 、公安部第三研究所 、国家保 密技术研究所 、中国信息安全产 品 测评认证中心 、中国科学院信息安全国家重点实验室 、解放军 信息技术安全 研究 中心、中国航 天二院七 0 六所、北京信息安 全测评中心 、上海市信息安全 测评认证中心 。 本 标准主要起草人 :范红 、吴亚非 、李京春 、马朝斌 、李篙 、应力 、王宁、江常青 、张鉴 、赵敬宇 。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 引 言 随 着政府 部门、企事业单位 以及各行 各业对信息系统依赖程度 的 日益增强 ,信息安全 问题受 到普遍 关注 。运用 风险评估 去识别安全风险 ,解决信息安全问题得到 了广泛 的认识和应用 。 信 息安 全风险评估 就是从风险管理角度 ,运用科学 的方法和手段 ,系统地分析信息 系统所 面临的威 胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对 策和整改措施 ,为防范和化解信 息安全风险 ,将风 险控制在可接 受的水平 ,最大 限度地保 障信息安全 提 供科学依据 。 信 息安 全风险评估作为信息安全保 障工作 的基础性工作和重要环节 ,要贯穿于信息系统的规划 、设 计 、实施 、运行维护以及废弃各个阶段 ,是信息安全等级保护制度建设 的重要科学方法之一 。 本 标 准条款中所指的“风险评估”,其含义均为“信息安全风险评估”。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 8 4一 20 07 信 息安全技术 信 息 安全 风 险评 估规 范 范 围 本 标 准提出了风险评估的基本概念 、要素关系 、分析原理 、实施 流程和评估方法 ,以及风险评估在信 息系统生命 周期不 同阶段的实施要点和工作形式 。 本 标 准适用 于规范组织开展的风险评估工作 2 规范性引用文件 下列 文件中的条款通过本标准 的引用而成 为本标准的条 款。凡是注 日期的引用文件 ,其随后所 有 的修改单(不包括勘误 的内容)或修订版均不适用 于本标准 ,然而 ,鼓励根据本 部分达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB /T 9361 计算站场地安 全要求 GB 17859一1999 计算机信息 系统安全保 护等级划分准则 GB/T 18336一200 1 信息技术 安全技术 信 息技术安全性评估准则 (记t1SO /IE C 154os:1999) GB/T 19716一2005 信息技术 信息安全管理 实用规则(150 /IEC 17799 :2000,MO D ) 3 术语和定义 下 列术语和定义适用于本标准 。 3 . 1 资产 asse t 对 组织具有价值的信息或资源 ,是安全策略保护 的对象 3 .2 资产 价 值 asset value 资 产的重要程度或敏感程度 的表征 。资产 价值是资产的属性 ,也是进行资产识别 的主要内容 3 .3 可用性 availab川ty 数 据或资源的特性 ,被授权实体按要求能访问和使用 数据或资源 。 3 . 4 业 务战略 business strategy 组 织为实现其发展 目标而制定 的一组规 则或要求 。 3 . 5 保密性 confidentiality 数 据所具有的特性 ,即表示 数据所 达 到的 未提 供或 未泄 露 给非授 权 的个 人 、过程 或 其他 实体 的 程 度 3. 6 信 息安全风险 inform ation security risk 人 为或 自然的威胁利用信息 系统及其管理体系中存在 的脆弱性导致安全事件的发生及其对 组织造 成的影响 。 l www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 20 07 (信 息安全)风险评估 (information security) risk assessment 依 据有关信息安全技术 与管理标准 ,对信息 系统及 由其处 理 、传输和存储 的信息 的保密性 、完整 性 和可用性等安全属性进行评 价的过程。它要评估资产面 临的威胁以及威胁利用脆弱性 导致安全事 件的 可能性 ,并结 合安全事件所涉及的资产价值来判 断安全事件一旦发生对组织 造成的影响 。 3. 8 信息系统 information system 由计 算机及其相关 的和配套的设备 、设施 (含网络 )构成的 ,按照一定 的应用 目标和规则对信息进行 采集 、加工 、存储 、传输 、检索 等处理的人机系统 。 典 型的信息 系统由三部 分组成 :硬件 系统(计算机 硬件系统 和网络硬件 系统 );系统软件 (计算 机系 统软件和网络系统软件 );应用软件(包括 由其处 理、存储 的信息)。 3. 9 检查评估 inspection assessment 由被 评估组织 的上级 主管机关或业务主管机关发起 的 ,依据 国家有关法规与标准 ,对信息系统及其 管理进行的具有强制性 的检查活动。 3 . 10 完 整性 integrity 保 证信息及信息 系统不 会被非授权更改或破坏 的特性。包括数据完整性和 系统完整性。 3 11 组 织 。嗯anization 由作 用不 同的个体为实施共同的业务 目标而建立的结构 。一个单位是 一个组 织,某个业务部 门也 可 以是 一 个 组 织 。 3 . 12 残余 风 险 residual risk 采 取 了安全措施 后,信息系统仍 然可能存在的风险 3 . 13 自 评 估 self-assessm en t 由组 织 自身发起,依据 国家有关 法规与标准 ,对信 息系统及其管理进行 的风险评估活动 3 . 14 安全事件 security incident 系统、服 务或网络 的一种可识 别状态的发生 ,它可能是对信息 安全策 略的违 反或防护措 施的失 效, 或 未 预 知 的不 安 全 状 况 3 . 15 安 全措施 securitym easure 保护资 产 、抵御威胁 、减少脆弱性 、降低安全事件 的影响,以及打击信息 犯罪 而实施 的各种实践 、规 程 和 机 制 。 3 . 16 安全需求 securityrequirem ent 为保 证 组织业务战略的正常运作而在安 全措施方面提出的要求 。 3 . 17 威胁 th rea t 可能 导 致 对 系 统 或 组 织 危 害 的 不 希 望 事 故 潜 在 起 因 。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 3‘18 脆弱性 vulnerability 可能被威胁所利用的资产或若干 资产的薄弱环节 。 4 风 险评 估 框 架及 流 程 风 险要素关系 风险评估中各要素的关系 如图 1 所示 : 妙依 赖 演 变 抵 御 降 低 被 满 足 办 可份 图 1 风险评估要素关系图 图1 中 方框部分的内容为风险评估的基本要素 ,椭圆部分的 内容是与这些 要素相 关的属性 。风险 评估 围绕着资产 、威胁 、脆弱性和安全措施这些基本要 素展开,在对基本要 素的评估过程 中,需要充分考 虑业 务战略 、资产价值 、安全需求 、安全事件、残余风险 等与这些基本要素相关的各类 属性。 图1 中 的风险要素及属性之间存在着 以下关 系: a) 业 务 战略的实现对资产具有依赖性 ,依赖程度越高 ,要求 其风险越小 ; 1)) 资 产是有价值的 ,组织的业务战略对资产 的依赖程 度越高,资产价值 就越大 ; 。) 风 险是 由威胁引发 的,资产面临的威胁越 多则风险越大 ,并可能演变成为安全事件 ; d) 资 产的脆弱性可能暴露资产 的价值 ,资产具有 的脆弱性越多则风险越大 ; e) 脆 弱性是未被满 足的安全需求 ,威胁利 用脆弱性危害资产 ; 幻风 险 的存在及对风险的认识导出安全需求 ; 9) 安 全需求可通过安全措施得 以满足 ,需要结合资产价值 考虑实施成本 ; 11) 安 全措施可抵御威胁 ,降低风险 ; 1) 残 余风险有些是安全措施不 当或无效 ,需要加强 才可控制的风险 ;而有些 则是在综合 考虑了安 全成本与效益后不 去控制的风险 ; 」) 残 余风险应受到密切监视 ,它可能会在将来诱发新 的安全事件 4 ‘2 风 险 分 析 原 理 风 险分析原理如图 2 所示 : 风险 分 析中要涉及资产、威胁 、脆弱性三个基本要 素。每个要 素有各 自的属性 ,资产 的属性是 资产 价值 ;威胁的属性可以是威胁主体 、影响对象 、出现频率 、动机等 ;脆弱性 的属性 是资产弱点 的严重程度 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 20 07 风险分析的主要 内容为: a) 对 资产进行识别 ,并对资产的价值进行赋值 ; b) 对 威胁 进行识别 ,描述威 胁的属性 ,并对威胁 出现的频率赋值 ; c) 对脆弱 性进行识别 ,并对具体资产的脆弱性 的严重程度 赋值 ; d) 根 据威胁及威 胁利用脆弱性的难易程度判断安 全事件发生的可能性 ; e) 根 据脆弱性 的严重程度及 安全事件所作用的资产 的价值计 算安全事件造成 的损失 ; f) 根 据安全事件 发生的可能性以及安全事 件出现后 的损失 ,计算 安全事件 一旦 发生对组 织的影 响 ,即风险值。 图 2 风 险 分 析 原 理 图 4.3 实施流程 风 险评估 的实施流程如 图 3 所示: 图3 风险评估实施流程图 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 风险评估实施流程 的详细说明见第 5 章。 5 风 险 评 估 实 施 5. 1 风险评估准备 5. 1. 1 概 述 风 险评估准备是整个风险评估过程有 效性的保证 。组织实 施风险 评估是一 种战略性 的考虑 ,其结 果将受到组织 的业务战略 、业务流程 、安全需 求、系统规模 和结构等方面的影响 。因此 ,在风险评估实施 前 ,应: a) 确 定风险评估的 目标; b) 确 定风险评估 的范围; c) 组 建适 当的评估管理与实施团队 ; d) 进 行系统调研 ; e) 确 定评估 依据和方法 ; f) 制 定风险评估方案 ; 9) 获 得最高管理者对风 险评估工作 的支持。 5.1.2 确定 目标 根 据满足组织业务持续发展在安全方 面的需要 、法律法规 的规定等内容 ,识别 现有信息系统及管理 上的不足 ,以及可能造成 的风险大小。 5.飞.3 确定范 围 风 险评估范围可能是组织全部的信息及 与信息处 理相关的各类资产 、管理机构 ,也可能是某个独立 的信息系统、关键业务 流程、与客户知识产权相关 的系统或部门等 5 . 1. 4 组 建 团 队 风 险评估实施团队 ,由管理层 、相关业务骨干 、信息技术等人员组成风 险评估 小组。必要时 ,可组建 由评估方、被评估方领导和相关部 门负责人参加的风险评估领导小组 ,聘请相关专业 的技术专 家和技术 骨干组成专家小组。 评 估实施团队应做好评估前的表格 、文档、检测工具 等各项准备 工作 ,进行风 险评估 技术培训 和保 密教育,制定风险评估过程管理相关规定 。可根据被评估方 要求 ,双方签署保 密合 同,必要时签 署个人 保 密 协 议 。 5.1.5 系统调研 系 统调研 是确定被评估对象的过程 ,风险评估小组应进行充分 的系统调研 ,为风 险评估依据和方法 的选择 、评估 内容的实施奠定基础 。调研内容至少应包括 : a) 业 务战略及管理制度 ; b) 主 要的业务功能和要求 ; c) 网 络结构与 网络环境 ,包括内部连接和外部连接 ; d) 系统 边 界 ; e) 主 要的硬件 、软件 ; f) 数 据和信息 ; 9) 系统和数据 的敏感 性 ; h) 支 持和使用系统的人员 ; 1) 其 他 系统 调 研 可 以 采 取 问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 控制 的问题表 格,供系统技术或 管理人员填 写 ;现场 面谈则是 由评估 人员 到现场观 察并收 集系统在 物 理 、环境和操作方面 的信息 。 5.1.6 确定依据 根 据 系统调研结果 ,确定评 估依据和评估方法 。评估依据包括 (但不仅 限于): a) 现 行 国际标准 、国家标准 、行业标准 ; b) 行 业主管机关 的业务 系统的要求和制度 ; c) 系 统安全保护 等级要求; d) 系 统互联单位 的安全要求 ; e) 系 统本 身的实时性或性能要求等 根据 评估依据 ,应考虑评估的 目的、范围、时间、效果、人员素质等因素来选择具体 的风险计算方 法, 并依据业 务实施对 系统安 全运 行 的需求 ,确定 相关 的判 断依 据,使之 能够 与组 织 环境 和安 全要求 相 适 应 。 5 1.7 制定方 案 风 险评估方案的 目的是为后面 的风险评估实施活动提供一 个总体计 划 ,用于指 导实施方 开展后续 工作。风险评估方案的 内容一般包括 (但不仅 限于): a) 团 队组织 :包括评估 团队成员、组织结 构、角色 、责任等内容 ; b) 工 作计划 :风险评估各 阶段的工作计 划,包括工作 内容、工作形式 、工作成果等 内容; c) 时 间进度安排 :项目实施 的时间进度安排 。 5.1.8 获得支持 上 述所有 内容确定后 ,应形成较为完整 的风险评估 实施方案 ,得到组织最高管理者的支持 、批准 ;对 管理层和技术人员进行传 达,在组织范 围内就风险评估 相关 内容进行培训 ,以明确有关人员在风险评估 中 的 任 务 。 5. 2 资 产 识 别 5.2.1 资产分类 保 密性 、完整性和可用性是评价资产 的三个安全属性 。风险评估 中资产的价值 不是 以资产的经济 价值来衡量 ,而是 由资产在这三个安全属性上 的达成程度或 者其安全属性 未达成 时所造成 的影响程度 来决定的 。安全属性 达成程度的不同将使资产具有不 同的价值 ,而资产 面临 的威胁、存在的脆弱 性 、以 及已采用 的安全措施都将 对资产安全属性的达成程度产生影 响。为此 ,应对组织 中的资产进行识别 。 在 一个组织 中,资产有多种表 现形式 ;同样 的两个 资产也 因属于不同 的信息系统 而重要性 不同 ,而 且对于提供 多种业务 的组织,其支 持业务持 续运行的系统 数量可能更 多。这时首 先需要将 信息系统 及 相关的资产进行恰 当的分类 ,以此为基础 进行下一步的风险评估 。在实际工作中 ,具体 的资产分类方法 可 以根据具体 的评估 对象和要求 ,由评估 者灵活把握 。根据资产 的表现形式,可将资产分 为数据、软件 、 硬件 、服务 、人员等类型 表 1 列出 了一种资产分类方 法。 表 1 一种基于表现形式的资产分类方法 分 类 示 例 数 据 保存在信 息媒介上的各种数据资料 ,包括 源代码、数据库数据 、系统文档 、运行管理规程 、计划 、报告 、用 户手册 、各类 纸质的文档等 软 件 系统软件 :操作 系统 、数据库管理 系统、语句包、开发系统等 应用软 件:办公软件、数据库软件 、各类工具 软件等 源程序 :各种共享源代码 、自行或合作 开发的各种代码等 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 2 007 表 1(续 ) 分 类 示 例 硬 件 网络设备 :路由器、网关 、交换机等 计算 机设备 :大型机、小型机 、服务器 、工作 站、台式计算机 、便携计算 机等 存储设 备:磁带机、磁盘阵列 、磁带 、光盘 、软盘、移动硬盘等 传输线 路:光纤、双纹线等 保 障设备 :U P S 、变电设备、空调、保险柜 、文件柜 、门禁、消防设施等 安全设备 防火墙、人侵检测系统 、身份鉴别 等 其他 :打印机、复印机、扫描仪 、传真机等 服 务 信息 服务:对外依 赖该系统开展的各类服 务 网络服务 :各种 网络设备 、设施提供 的网络连接服务 办公服务 :为提高效率而开发的管理信息 系统,包括各种 内部配 置管理、文件流转管理等服务 人 员 掌握重要信息 和核心业务的人员 ,如主机维护 主管、网络维护 主管及应用项 目经理等 其 他 企业形象 、客户关 系等 5.2 2 资产赋值 5.2 2 1 保密性赋值 根 据资产在保密性上的不同要求 ,将其分为五个不 同的等级,分别对应 资产在保密性上应达成 的不 同程度 或者保密性缺失时对整个组织 的影响 。表 2 提供了一种保密性赋值 的参考 。 表 2 资产保 密性赋值表 赋 值 标 识 定 义 口 很 高 包 含组织最重要的秘密 ,关系未来发 展的前途命运 ,对组 织根本利益有 着决定 性的影 响,如果 泄露会造成灾难性的损害 4 高 包 含组织的重要秘密 ,其泄露会使组织 的安全和利益遭受严重损 害 3 中 等 组织 的一般性秘密 ,其泄露会使组织 的安全和利益受到损害 2 低 仅 能在组织内部或在组织某 一部门内部公开的信息 ,向外 扩散有可 能对组织 的利益造 成轻微 损 害 l 很 低 可对社 会公开的信息 ,公用的信息处 理设备和系统资源等 5.2.2 2 完整性赋值 根据 资产在完整性 仁的不同要求 ,将其分为五个不 同的等级,分别对应 资产在完整性上缺失时对整 个组织 的影响 表 3 提供了一种完整性赋值 的参考。 表 3 资产完整 性赋值表 赋 值 标 识 定 义 5 很 高 完整性价值非常关键 ,未经授权 的修改或 破坏会 对组织 造成重 大的或无 法接受 的影 响,对业 务 冲击重大 并可能造成严重 的业务 中断 ,难以弥补 4 高 完整性价值较高 ,未经授权的修改或 破坏会对组织造成重 大影响 ,对业务冲击严重 ,较难弥补 3 中 等 完整性 价值中等 ,未经授权的修改或 破坏会对组织造成影 响,对业务冲击明显 ,但可以弥补 2 低 完整性 价值较低 ,未经授权的修改或破 坏会对组织造成轻微影 响,对业务冲击轻微 ,容易弥补 l 很 低 完整性 价值非常低 未 经授 权的修 改 或破 坏对组 织造 成 的影 响可 以忽 略,对业务 冲击 可以 忽 略 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 5.2.2.3 可用性赋值 根 据资产在 可用性上 的不同要求 ,将其分 为五个不同的等级 ,分别对应资产在可用性上应达成 的不 同程度 。表 4 提供 了一种 可用性赋值的参考 。 表 4 资 产 可 用 性 赋 值 表 赋值 标 识 定 义 5 很高 可用性价值非 常高,合法使用者对信息及信 息系统 的可用 度达到年 度 99.9月以上 ,或系统不 允许 中断 4 高 可用性价值较 高,合法使用者对信息及信息 系统 的可用度达 到每天 90 % 以上,或系统 允许 中 断时间小于 10 m in 3 中等 可用性价值 中等,合法使用者对信息及信息 系统 的可用度在 正常工 作时间 达到 70 % 以上 ,或 系统允许 中断时间小于 3o m in 2 低 可用性价值较低 ,合法使用者对信息及信息 系统的可 用度在 正常工作 时间达 到 25 % 以上 ,或 系统允许 中断时 间小于 60 m in l 很 低 可用性价值可 以忽略,合法使用者对信息及信息 系统的可用度在正常工作 时间低于 25 % 5.2 2.4 资产重 要性等级 资 产价值应依据资产在保密性 、完整性和可用性上 的赋值 等级 ,经过综合评定得出 。综合评定方法 可以根据 自身的特点 ,选择对资产保密性 、完整性和可用性最为重要 的一个属性的赋值等级作为资产 的 最 终赋值结果 ;也可 以根据资产保密性 、完整性和可用性的不同等级对 其赋值进行加权计算得到资产 的 最终 赋值结果 。加权方法可根据组织 的业务特点确定 。 本标准 中 ,为与上 述安全属性的赋值相对应 ,根据最终赋值 将资产划 分为 五级,级别越高 表示资产 越 重要,也可 以根据组 织的实际情况确定资产识别 中的赋值依据 和等级 。表 5 中 的资产等级划 分表 明 了不同等级的重要性的综合描述 。评估 者可根据资产赋值结果 ,确定重要资产的范 围,并主要围绕重要 资产进行下一步的风险评估 。 表 5 资 产 等 级 及 含 义描 述 等 级 标 识 描 述 5 很高 非常重要 ,其安全属性破坏 后可能对组织造成非常严重 的损失 4 高 重要,其安全属性破坏后 可能对组织造成 比较严重 的损失 3 中等 比较重要 ,其安全属性破坏 后可能对组织造成 中等程度 的损失 2 低 不太重要 ,其安全属性破坏 后可能对组织造成较低 的损失 1 很 低 不重要,其安全属性破坏后 对组织造成很小的损失 ,甚至忽略不计 5 .3 威 胁 识 别 5.3 1 威胁分类 威 胁可 以通过威胁主体 、资源、动机 、途径等多种属性来 描述 。造成威胁 的因素可 分为人为 因素和 环境 因素。根据威胁的动机 ,人为因素又可分为恶意和非 恶意两种 。环境 因素包括 自然界不可抗 的因 素和其他物理 因素。威胁作用形式可 以是对信息 系统直接或间接的攻击 ,在保密性 、完整性和可用性等 方面造成损 害;也可能是偶发 的或蓄意的事件 在对 威 胁 进 行 分 类 前 ,应考 虑 威 胁 的来 源 。表 6 提 供 了一 种 威胁 来 源 的 分 类 方 法 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 20 07 表 6 威胁来源 列表 来 源 描 述 环境因素 断电 、静电 、灰尘 、潮湿 、温度 、鼠蚁虫 害、电磁 干扰 、洪灾 、火灾 、地震 、意外 事故等 环境危 害 或 自然灾害 ,以及软件 、硬件 、数据 、通讯线路 等方面的故障 人 为 因 素 恶 意 人 员 不满的或有预谋 的内部人员对信息 系统进行 恶意破坏 ;采用 自主或 内外勾结 的方式盗窃 机 密信息或进行篡 改,获取利益 外部人员利用信 息系统的脆弱性 ,对网络或 系统的保密性 、完整性和 可用性进 行破坏 ,以获 取利益或炫耀 能力 非 恶 意 人 员 内部人员 由于缺乏责任心 ,或者 由于不关 心或不专 注 ,或者 没有遵循 规章制 度和 操作流 程 而导致故障或信息 损坏;内部人员 由于缺乏 培训、专业技能不 足 、不具 备岗位技 能要求而 导 致信息系统故 障或被攻击 对 威胁进行分类的方式有多种 ,针对上表 的威胁来 源 ,可以根据其表现形 式将威胁进 行分类 。表 7 提供了一种基于表现形式 的威胁分 类方法。 表 7 一种基子表现形式 的威胁分 类表 种类 描 述 威胁子类 软硬件 故障 对业务实施 或 系统运行 产生影 响 的设 备硬件 故 障、通讯链路中断 、系统本身或软件缺陷 等问题 设备硬件 故障 、传输 设备故 障 、存储 媒体 故障、系统软件 故障、应用 软件故 障 、数据 库软件故障 、开发环 竟故障等 物理环境 影响 对信息系统 正常 运行造 成影 响的物 理环 境 问题 和 自然 灾 害 断电 、静电、灰尘、潮湿 、温度 、鼠蚁 虫 害、 电磁干扰 、洪灾 、火灾 、地震 等 无作 为或操 作失误 应该执行而没有 执行相应 的操作,或无 意执行 了 错 误 的 操 作 维护错误、操作失误等 管理不 到位 安全管理无 法落实 或不到位 ,从而破坏 信息系统 正 常 有 序 运 行 管理制度和 策 略不完 善 、管理规 程 缺 失、 职责不明确 、监督控 管机制不健全等 恶 意代码 故意在计算机 系统上执行恶意任务 的程序 代码 病毒 、特洛伊 木马、蠕虫 、陷门 、间谍软件 、 窃听软件等 越 权 或槛 用 通过采用一些措施 ,超越 自己的权 限访问 了本来 无权访 问的资源 ,或者滥 用 自已 的权限 ,做出破 坏信息系统 的行为 非授权访 间网络资 源、非授权访 问系统资 源 、滥用 权 限 非正 常修 改 系统 配 置 或数 据、滥用权 限泄露秘密信息等 网 络 攻 击 利用工具 和技术 通过 网络对 信息 系统进 行攻 击 和 人 侵 网络探测和信 息采集 、漏洞探测 、嗅探(帐 号 、口令、权限等)、用户 身份伪造 和欺骗 、 用户或业 务数据 的窃取和破坏 、系统运行 的控制和破坏 等 物 理 攻 击 通过物理 的接触造成对软件 、硬件 、数据 的破坏 物理接触 、物理 破坏 、盗窃等 泄 密 信息泄露给 不应了解的他人 内部信息泄露 、外部信息泄露等 篡 改 非法修改信息 ,破坏信 息的完 整性使 系统的 安全 性降低或信 息不可用 篡改网络 配 置信息 、篡改 系统 配置 信 息 、 篡改安 全配置信息 、篡改用户 身份信息或 业务数据信息 等 抵 赖 不承认收 到的信息和所作的操作 和交易 原发抵赖 、接收抵赖、第三方抵赖等 5. 3 .2 威 胁 赋 值 判 断威胁出现 的频率是威胁 赋值的重要内容 ,评估者应根据 经验和 (或 )有关 的统计数 据来进行 判 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 断 。在评估 中,需要综合考虑 以下三个方面 ,以形成在某种评估环境 中各种威 胁出现的频率 : a) 以往 安全事件报 告中出现过的威胁及其频率 的统计 ; b) 实 际环境中通过检测工具 以及各 种 日志发现的威胁及其频率 的统计 ; c) 近 一两年来 国际组织发布 的对于整个社会或特 定行业 的威胁及 其频率 统计 ,以及发布 的威胁 预 警 。 可以对 威胁 出现的频率进行等级化处理 ,不同等级 分别代表威 胁出现 的频率 的高低 。等级数值越 大 ,威胁出现的频率越高 。 表8 提 供 了威胁出现频率的一种赋值方法 。在实际的评估 中 ,威胁频率 的判断依 据应在评 估准备 阶段根据历史统计 或行业判断予 以确定 ,并得到被评估方 的认可。 表 8 威 胁 赋 值 表 等 级 标 识 定 义 5 很 高 出现的频率很高 (或) 1 次/周);或在大多数情况 下几乎不可避免 ;或可 以证实经常发生过 4 高 出现的频率较高 (或) 1 次/月) ;或在大 多数情 况下 很有 可能会 发生 ;或 可 以证实多 次发 生 过 3 中 等 出现的频率 中等(或> 1 次/半年 );或在某种情况下可能会 发生;或被证实 曾经发生过 2 低 出现的频率较小 ;或一 般不太可能发生 ;或没有 被证实发生过 1 很 低 威胁几乎不可能发 生;仅可能在非常罕见 和例外的情况下发生 5 .4 脆 弱 性 识 别 5.4.1 脆弱性识别 内容 脆弱 性是资产本身存在 的,如果没有被相应 的威胁利用 ,单纯 的脆弱性本 身不会 对资产造 成损害 。 而且 如果系统足够强健 ,严重的威胁也不会导致安 全事件发 生 ,并造成损 失。即 ,威胁总是 要利用 资产 的脆弱性才可能造成危害 。 资 产的脆弱性具有隐蔽性 ,有些脆弱性 只有在 一定条件和环境下 才能显 现,这是脆弱性识别 中最为 困难的部分。不正确的 、起不到应有作用 的或没有 正确实施的安全措施本 身就可能是一个脆弱性 脆弱 性识别是风险评估 中最重 要的一个环节 。脆弱性 识别可 以以资产 为核心 ,针对 每一项需要 保 护 的资产 ,识别 可能被威 胁利用的弱点 ,并对脆弱性的严重程度 进行评估 ;也可以从物理、网络、系统 、应 用 等层次进行识别 ,然后 与资产、威胁对应起来 。脆弱性识 别的依据 可以是 国际或 国家安全标 准,也可 以是行业规范 、应用流程的安全要求 。对应用 在不 同环境 中的相 同的弱 点,其脆弱性 严重 程度是不 同 的,评估者应从组 织安全策略的角度考虑 、判断资产 的脆弱性及其 严重程 度。信息 系统所采用 的协议 、 应用 流程的完备与否 、与其他网络的互联等也应 考虑在 内。 脆 弱性识别时 的数据应来 自于资产的所有者 、使用者 ,以及相关业务领域和软硬件方 面的专业人员 等。脆弱性识别所采用 的方法 主要有:问卷调查 、工具检测 、人工核查 、文档查阅 、渗透性测试等 。 脆 弱性识别主要从技术 和管理两个方面进行 ,技术脆弱性涉及物理层 、网络层 、系统层 、应用层 等各 个 层面的安全问题 。管理脆弱性 又可分为技术管理脆 弱性和组织 管理脆 弱性两方 面,前者与具体技 术 活动相关 ,后者与管理环境相关 。 对 不同的识别对象 ,其脆弱性识别 的具体要求应参照相应 的技术 或管理标准实施 。例如 ,对物理环 境的脆弱性识别应按 G B /T 9361 中的技术 指标实施 ;对操 作系统、数据库应按G B 17859一1999 中的技 术指标实施 ;对网络、系统、应用等信息 技术安全 性的脆 弱性识别 应按 G B /T 18336一 2。。1中的技 术指 标实施 ;对管理脆弱性识别方面应按 G B /T 19716一 20o5 的要求 对安全 管理制 度及其执 行情况进行 检 查 ,发现 管理脆弱性和不足 。表 9 提供 了一种脆弱性识别内容 的参考 。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 2 007 表 9 脆弱性识 别内容表 类 型 识 别 对 象 识 别 内 容 技 术 脆 弱 性 物 理 环 境 从机 房场地 、机房防火 、机房供 配电 、机房防静 电 、机房接地 与防雷 、电磁 防护 、通信 线路 的保护、机房区域防护 、机房设备管理等方面进行识 别 网 络 结 构 从 网络结构设计 、边界保护 、外部访 问控制 策略 、内部访问控 制策 略、网络 设备安 全 配置等方面进行识别 系 统 软 件 从补 丁安装 、物理保护 、用户 帐号、口令策略 、资源共享 、事件 审计 、访问控制 、新系统 配 置、注册表加固 、网络安全 、系统管理等方面进行识别 应 用 中 间 件 从协 议安全、交易完整性 、数据 完整性等方面进行识别 应 用 系 统 从 审计机制、审计存储 、访问控 制策略 、数据完 整性 、通信 、鉴别机 制、密码 保护 等方 面进行 识别 管 理 脆 弱 性 技术管理 从物 理和环境安全 、通信 与操作管 理、访问控 制 、系统开发 与维 护、业务连 续性 等方 面进行识别 组 织 管 理 从安 全策略、组织安全 、资产分类 与控制 、人员安 全、符合 性等方面进行识别 5 .4. 2 脆 弱 性 赋 值 可以根 据脆弱性对资产 的暴露程度、技术实 现的难易程度 、流行 程度等 ,采用 等级方 式对 已识别的 脆弱性 的严重程度进行 赋值。由于很多脆弱性反映 的是同一方面的问题 ,或可能造成相似 的后果 ,赋值 时应综合考虑这些脆 弱性,以确定这一 方面脆弱性的严重程度 。 对 某个资产 ,其技术脆弱性 的严重程 度还受 到组织管理脆弱性 的影响。因此,资产 的脆弱性赋值还 应参考技术管理 和组织管理脆 弱性的严重程度 。 脆 弱性严重程度 可以进行 等级化处理 ,不同的等级分别代 表资产脆 弱性严重 程度 的高低 。等级数 值越大 ,脆弱性严重程度越高 。表 10 提供了脆弱性严重程度 的一种 赋值方法。 表 IQ 脆弱性严重程度狱值表 等 级 标 识 定 义 5 很高 如果 被威胁利用 ,将对资产造成 完全损害 4 高 如果 被威胁利用 ,将对资产造 成重大损害 3 中 等 如 果被威胁利用 ,将对资产造成 一般损害 2 低 如果被威胁利用 ,将对 资产造 成较小损害 1 很 低 如果被威胁利用 ,将对资产造 成的损害可 以忽略 5.5 已有安全措施确认 在 识别脆弱性 的同时,评估人员应对 已采取 的安全措施 的有效性进 行确认 安全措施 的确认应 评 估其有效性 ,即是否真正地降低 了系统的脆弱性 ,抵御 了威胁 。对有 效的安全 措施继 续保持 ,以避 免不 必要 的工作 和费用,防止安全措施 的重复实施。对确认为不适 当的安全措 施应核 实是否应 被取 消或对 其进行修正 ,或用更合适 的安全措施替代 。 安 全措施 可以分为预防性安全措施和保护性安全措施 两种。预防性安全措施可 以降低威胁利用脆 弱性导致安全事 件发生的可能性 ,如人侵 检测系统 ;保护性 安全措施可以减少因安全事 件发生后对组织 或 系统造成 的影响。 已有 安 全措施确认 与脆弱性识别存在一定 的联系 。一般来说 ,安全措 施 的使用将减 少系统技 术或 l 1 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84一 20 07 管理上的脆弱性 ,但安全措施确认并不需要 和脆弱性识别 过程那样具 体到每个 资产 、组件的脆 弱性 ,而 是一类具体措施的集合 ,为风险处理计划 的制定提供依据和参考 。 5.6 风险分析 5.6.1 风 险计算 原理 在 完成了资产识别 、威胁识别 、脆弱性识别 ,以及已有安全措施确认 后,将采用适 当的方法与工具 确 定威胁 利用脆弱性导致安全事件 发生 的可能性 。综合安 全事件 所作 用的资 产价值及 脆弱 性的严重程 度,判断安全事件 造成的损失对组织的影 响,即安全 风险。本标 准给出 了风险计算原 理 ,以下面的范 式 形式化 加以说明 : 风 险值= R (A ,T,V)一 R (L (T ,V) ,F(Ia,Va ))。 其中 ,R 表示安全风险计算 函数;A 表示资产 ;T 表示 威胁 ;V 表示脆弱性 ; Ia 表示 安全事件所作 用 的资产 价值 ;V a 表示脆弱性严重程度 ;L 表 示威胁利用资产 的脆弱性 导致安全事 件的可能性 ;F 表示 安 全事件 发生后造成的损失 。有以下三个关键计算环节 : a) 计 算 安全事件发生的可能性 根 据威胁出现频率及脆弱性 的状况 ,计算威胁 利用脆弱性导致安全事件 发生的可能性,即: 安 全事件的可能性二L (威胁 出现频率 ,脆弱性)= L (T ,V)。 在具体评估中 ,应综 合攻击者技术能力 (专业技术 程度 、攻击 设备等 )、脆弱性被利 用的难易 程 度 (可访 问时间、设计和操 作知识 公开程 度等 )、资产 吸引力 等因素来 判断安 全事件 发生 的可 能性 。 b) 计 算安全事件 发生后造成的损失 根据资产价值及 脆弱性严重程度 ,计算安全事件一旦发 生后造成的损失 ,即: 安全事件造成的损失二F( 资产价值,脆弱性严重程度)一F( Ia,va) 部分安全事件 的发生造成的损失 不仅 仅是针 对该 资产本 身,还可能影 响业务 的连续 性 ;不同 安全事件 的发生对组织的影响也是不一样 的。在计算 某个安全事 件的损失 时 ,应将对组织 的 影响也考虑 在内。 部分安全事件 造成的损失的判断还应参 照安全事件发 生可能性 的结果 ,对发生 可能性极小 的 安全事件 (如处于非地震带 的地震威胁 、在采取完备供 电措施状况 下的 电力故障威胁 等)可以 不计算其损失 。 c) 计 算 风险值 根据计算 出的安全事件的可能性 以及安 全事件造成的损失 ,计算风险值 ,即: 风险值= R (安全事件的可能性,安全事件造成的损失)= R(1_(T ,v),F( la,va ))。 评估 者可根据 自身情况选择相应 的风险计算方 法计算 风险值 ,如矩 阵法或相乘 法。矩阵法 通 过构 造一个 二维矩阵 ,形成安全事件的可能性 与安全事件造成的损失之间 的二维关 系 ;相乘 法 通过 构造经验函数 ,将安全事件的可能性与安全事件造 成的损失进行运算得到风 险值 附录 A 中给出了矩阵法和相乘法 的风险计算示例 。 5.6.2 风险结果判定 为 实现对风险 的控制 与管理 ,可以对风 险评估的结果进行等级化处理 可将 风险划分为五级 ,等级 越高 ,风险越 高。 评 估者应根据所采用 的风险计算方法 ,计算每种资产 面临的风险值 ,根据风险值 的分布状况 ,为每 个等级设定风险值范 围,并对所有风险计算结 果进行等级处理 。每个等级代表 了相应风险的严重程度 表11 提 供 了一种风险等级划分方法 。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 表 11 风 险等级划分表 等 级 标 识 描 述 5 很 高 一旦 发生将产生非常严重 的经济或 社会影 响,如组织 信誉严 重破 坏 、严重 影响组 织 的正常经营,经济损失重大 、社会 影响恶劣 4 高 一旦 发生将产生较大的经济 或社会影响 ,在一定范 围内给组织 的经营 和组织信誉 造 成损 害 3 中等 一旦发 生会造成一定的经济 、社会或生产经营影响 ,但影响面 和影响程度不大 2 低 一旦 发生造成的影响程度较低 一般仅限于组织内部 ,通过一定手 段很快能解决 l 很 低 一旦发 生造成的影响几乎不存 在,通过简单的措施就能弥补 风 险等级处理 的目的是为风险管理过程 中对不 同风险的直观 比较 ,以确定组织 安全策 略。组织应 当综合考虑风险控制成本与风 险造成的影响 ,提出一个可接受的风险范 围。对某些资产 的风险 ,如果风 险计算值在可接受 的范围内,则该风险是可接受 的 ,应保 持已有 的安全措施 ;如果风 险评估值 在可接受 的范 围外,即风险计算值高于可接受范 围的上限值,则该风 险是不 可接受的 ,需要采取安全 措施以降低 、 控制风险 。另一种确定不 可接受的风险的办法是根据等级化处理 的结果,不设定可接受 风险值的基准 , 对达到相应等级 的风险都进行 处理。 5.6.3 风险处理计划 对 不可接受 的风险应根据 导致该风险的脆弱性制定风 险处理计 划。风险处理计划中应 明确采取 的 弥补脆弱性 的安全措施 、预期效果 、实施条件 、进度 安排、责任部 门等。安全措施的选择应从管理与技术 两个方面考虑 。安全措施 的选择 与实施应参照信息安全 的相关标准进行 。 5 6.4 残余风险评估 在 对于不可接受 的风险选择 适当安全措施后 ,为确保安全措 施的有效性 ,可进 行再评估 ,以判断实 施安全措施后 的残余风险是 否已经降低到可接受的水平 。残余风险 的评估可 以依据本标准提出的风险 评估流程实施 ,也可做适当裁减 。一般来说 ,安全措施的实施是以减少脆弱性或 降低安全事件发生可能 性为 目标的,因此 ,残余风 险的评估可以从脆弱性评估开始 ,在对 照安全措施实施前后的脆弱性状况 后 , 再次计算风险值 的大小 。 某 些风险可能在选择 了适当的安全措施 后,残余风险 的结果仍 处于不可接受的风险范 围内,应考虑 是否接受此风险或进一步增加 相应的安全 措施。 5.7 风险评估文档记录 5.7.1 风险评估文档记录的要求 记 录风险评估过程 的相关 文档,应符合 以下要求 (但不仅限于此 ): a) 确 保文档发布前是得到批准 的; b) 确 保 文档的更改和现行修订状态是可识别的 ; c) 确 保文档的分发得到适 当的控制 ,并确保在使用时可获得有关版本 的适用文档 ; d) 防止 作废 文档 的非预期 使用 ,若因 任何 目的需保 留作废 文档 时 ,应对这 些文 档进 行适 当 的 标 识 。 对 于风险评估过程 中形成 的相关文档 ,还应规定其 标识 、存储 、保护 、检索 、保存期 限以及处 置所需 的控 制 。 相 关文档是否需要 以及详 略程度由组织的管理者来决定 。 5.7.2 风险评估文档 风 险评估文档是指在整个 风险评估 过程中产生的评估过程文档 和评估结果 文档 ,包括 (但不仅 限于 此 ) : a) 风 险评估方案 :阐述风险评估的 目标、范围、人员 、评估方法 、评估 结果的形式和实施进度等 ; 13 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84一 2 0D7 b) 风 险评估程序 :明确评估 的 目的、职责 、过程 、相关的文 档要求 ,以及实施 本次评估 所需要 的各 种 资产 、威胁、脆弱性识别 和判断依据 ; c) 资产识别清单 :根据 组织在风险评估程序文档 中所确定的资产分类方法进行资产识别 ,形成 资 产 识别清单 ,明确资产的责任人/部门 ; d) 重 要资产清单 :根据 资产识别 和赋值的结果 ,形成重要 资产列表 ,包括 重要资产 名称 、描述 、类 型、重 要程度 、责任人/部 门等; e) 威胁列表 :根据威胁识别和赋值 的结果 ,形成威胁列 表,包括威胁名称 、种类 、来源、动机及 出现 的频 率等 ; f) 脆弱性 列表:根据脆弱性识别 和赋值 的结果 ,形成脆弱 性列表 ,包括具 体脆弱性 的名称 、描述 、 类 型及严重程度 等; 9) 已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表,包括 已有安全措 施名称、类型、功能描述及实施 效果等 ; h) 风险评估报告 :对整个风险评估 过程 和结果 进行总 结 ,详细说 明被评估 对象 、风险 评估方 法、 资产、威 胁 、脆弱性的识别结果 、风险分析 、风险统计和结论等 内容; 1) 风险处理计划 :对评估结果 中不可接受 的风险制定风险处理计划 ,选择适 当的控制 目标及安全 措施 ,明确责任 、进度 、资源,并通过对残余 风险的评价以确定所选择安 全措施 的有效性 ; j) 风险评估记 录:根据风险评估程 序 ,要求风 险评估过 程中的各种 现场记 录可复现评 估过程 ,并 作为 产生歧义后解决问题 的依据 信 息系统生命周期各阶段的风险评估 6.1 信息系统生命周期概述 风 险评估应贯穿 于信息系统生命周期的各阶段 中。信息系统 生命周期 各阶段中涉及的风险评估 的 原则和方法是一致 的,但由于各 阶段实施 的内容、对象 、安全需求不同 ,使得风险评估的对象 、目的、要求 等各方面也有所不 同。具体而言,在规划设 计阶段,通过 风险评估 以确定系统 的安全 目标;在 建设验收 阶段 ,通过风险评估以确定系统 的安全 目标达成与否 ;在运行维护 阶段 ,要不断地 实施风险评 估以识别 系统面临 的不断变化 的风险和脆弱性 ,从而确定安全措施 的有效性 ,确保 安全 目标得以实现 。因此,每 个阶段风 险评估 的具体实施应根据该阶段的特点有 所侧重地进 行。有条件 时,应采用风 险评估工具 开 展风险评估 活动。 有 关风 险评估工 具的说明参见附录 B 。 6 2 规划阶段的风险评估 规划 阶段风险评估的 目的是识别 系统的业务战略 ,以支撑系统 安全需求 及安全战 略等 。规划 阶段 的评估应 能够描述信息系统建成后对现有业 务模式的作用 ,包括技 术、管理等方面 ,并根 据其作用确 定 系统建设 应达到的安全 目标。 本阶 段评估中 ,资产 、脆弱性不需要识别 ;威胁应根据未来系统 的应用对象 、应用环境 、业务状况 、操 作要求 等方面进行分析 。评估着重在 以下几方 面: a) 是 否依 据相 关规 则 ,建立 了 与业务 战 略相一 致 的信息 系 统安全 规 划,并得 到最 高管 理者 的 认 可 ; b) 系 统规划 中是否明确信 息系统开发的组织 、业务变更的管理 、开发优先级 ; c) 系 统规划 中是否考虑信息系统的威胁 、环境 ,并制定 总体的安全方针 ; d) 系 统规划 中是否描述信息 系统预期使用的信息 ,包括预期 的应用 、信息 资产的重要 性 、潜在的 价 值、可能的使用 限制、对业务的支持程度 等; 14 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 e) 系 统规划 中是否描述所有与信息系统安全相关 的运行环境 ,包括物理和人员 的安全配置 ,以及 明确相 关的法规、组织安全 策略、专门技术 和知识等。 规 划阶段的评估结果应体现在信息 系统整体规划或项 目建议书 中。 6.3 设计 阶段的风险评估 设计阶 段的风险评估需要根据规划 阶段所明确的 系统运行环境 、资产 重要性 ,提出安全功 能需求 设 计阶段的风险评估结果应对设计方案 中所提供的安全 功能符合性 进行判断 ,作为采 购过程 风险控 制 的 依 据 。 本 阶段评估 中,应详细评估设计方案 中对系统 面临威胁 的描述 ,将使 用的具体 设备 、软件 等资产 及 其安全功能需求列表 。对设计方案 的评估 着重在以下几方面 : a) 设 计 方案是否符合系统建设规划 ,并得到最高管理者 的认可 ; b) 设 计方案是否对 系统建设后面临 的威胁 进行 了分析 ,重点 分析来 自物理环境 和 自然的威胁 , 以及由于内、外部人侵 等造成的威胁 ; c) 设 计方 案中的安全需求是否符合规划阶段 的安全 目标,并基 于威胁的分析,制定信息 系统的 总 体 安全策略; d) 设 计方案是否采取 了一定的手段来应对系统可能 的故障; e) 设 计 方案是否对设计原型 中的技术实现 以及人员、组织 管理等方面的脆弱性进行评估 ,包括设 计 过程中的管理脆弱性和技术平 台固有的脆弱性 ; f) 设 计方案是否考虑随着其他 系统接人而可能产生的风险 ; 9) 系 统性能是否满足用 户需求 ,并考虑 到峰值 的影响 ,是否 在技术 上考虑 了满足系 统性 能要求 的 方 法 ; h) 应 用 系统(含数据库)是否根据业务需要进行 了安全设计 ; 1) 设 计方案 是否根据开发的规模 、时间及系统的特点选择开发方法 ,并根 据设计开发计划 及用户 需求 ,对系统涉及的软件、硬件与 网络进行分 析和选型 ; j) 设 计 活动中所采用的安全控制措施 、安全技术保 障手段对 风险 的影响 。在安 全需求变 更和设 计变更后 ,也需 要重复这项评估。 设 计阶段 的评估可 以以安全建设方 案评审的方式进行 ,判定方 案所提供 的安全 功能与信息 技术安 全技术标准 的符合性 。评估结果应体 现在信息系统需求分析报告或 建设实施方案 中。 6.4 实施阶段的风险评估 实 施阶段风 险评估 的 目的是根据 系统安全需求和运行环境对 系统开发、实施过程进行 风险识别 ,并 对系统建成后 的安全功能进行 验证。根据设计阶段分析 的威胁和制定 的安全 措施 ,在实施及验 收时进 行质量控制 。 基 于设计 阶段的资产列 表、安全措施 ,实施阶段应对规划 阶段 的安全威胁 进行进一步 细分 ,同时评 估安全措施 的实现程度 ,从而确定安全措施能否抵御现 有威胁 、脆弱性的影响。实施阶段风险评估主要 对系统的开发与技术/产品获取 、系统交付实施两个过程进行评估 。 开 发与技术/产品获取过程的评估要点包括 : a) 法 律 、政策 、适用标准和指导方针 :直接或间接影响信息 系统安全需求的特定法律 ;影响信息 系 统安全需求 、产品选择的政府政策 、国际或国家标准 ; b) 信 息 系统的功能需要 :安全需求是 否有效地支持系统 的功能 ; c) 成 本效益风险 :是否根据 信息系统的资产 、威胁和脆弱性的分析结果 ,确定在符合相关法 律 、政 策 、标准 和功能需要的前提下选择最合适 的安全措施 ; d) 评 估保证级别 :是否 明确系统建设后应 进行怎样 的测试和检查 ,从而 确定是否满 足项 目建设 、 1 5 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 实施规范 的要求。 系 统交付实施过程的评估要点包括 : a) 根 据 实际建设的系统 ,详细分析资产 、面临的威胁和脆弱性 ; b) 根 据系统建设 目标和安全需求 ,对系统 的安全 功能 进行验 收测试 ;评价 安全措施 能否抵 御安 全 威 胁 ; c) 评 估是否建立 了与整体安全策略一致 的组织 管理制度 ; d) 对 系统实现的风险控制效果 与预期 设计 的符合性 进行 判断 ,如存在 较大 的不符合 ,应重 新进 行信息 系统安全策略的设计与调整 。 本阶段风 险评估可以采取对照实施方 案和标准要求的方式 ,对实际建设结果进行测试 、分析。 6.5 运行维护 阶段的风险评估 运 行维 护阶段风险评估的 目的是了解和控制运行过程 中的安全风 险,是一种较为全 面的风险评估 评估 内容包括对真实运行的信息 系统、资产 、威胁、脆弱性等各方面。 a) 资 产评估 :在真实环境下较 为细致的评估 。包括实施 阶段采购的软硬件资产 、系统运行过 程中 生成 的信息 资产、相关 的人员 与服务等 ,本阶段资产识别是前期资产识别 的补充与增加 ; b) 威 胁评估 :应全面地分析威胁 的可能性 和影响程度 。对非故意威胁 导致安全 事件的评估 可以 参照安全事 件的发生频率 ;对故 意威胁导致安全事 件的评估 主要就 威胁的各个 影响因素 做出 专业判断 ; c) 脆 弱性评估 :是全面的脆弱性评估 。包括运行环境 中物理 、网络 、系统、应用 、安全保 障设备 、管 理等各方 面的脆弱性。技术脆弱性评估可 以采取核查 、扫描、案例验证 、渗透性 测试的方 式实 施 ;安全保障设备 的脆弱性评估 ,应考虑安全 功能 的实现情况 和安全保 障设备本身 的脆弱 性 ; 管理脆弱性评估 可以采取文档 、记录核查等方式进行验证 ; d) 风 险计算 :根据 本标准的相关方法 ,对重要资产 的风险进行定性或 定量 的风险分析 ,描述不 同 资产 的风险高低状 况。 运 行维 护阶段的风险评估应定期执行 ;当组织 的业务 流程 、系统状况发 生重大 变更时 ,也应 进行风 险评估 重 大变更包括以下情况 (但不限于): a) 增 加新 的应用或 应用发生较大变更 ; b) 网 络结构和连接状况发 生较大变更 ; C) 技 术平 台大规模 的更新 ; d) 系 统扩容或改造 ; e) 发 生重大安全事件 后 ,或基于某些运行 记录怀疑将发生重大安全事件 ; f) 组 织结构 发生重大变动对系统产生 了影响 6.6 废弃阶段的风 险评估 当信 息 系统不能满足现有要求时 ,信息系统进人废弃阶段 根 据废弃的程度 ,又分为部分废弃和全 部废弃两种 。 废 弃 阶段风险评估着重在以下几方面 : a) 确 保硬件 和软件等 资产及残留信息得到了适 当的处置,并确保 系统组 件被合理地丢弃或更换 ; b) 如 果被废弃的系统是某个系 统的一 部分 ,或与其 他系统 存在 物理或逻 辑上 的连接 ,还应 考虑 系统废弃后 与其他 系统的连接是否被关闭 ; c) 如 果在系统变更 中废弃 ,除对废弃部分外 ,还应对 变更 的部分进行 评估 ,以确定 是否会增 加风 险 或 引 人 新 的风 险 ; d) 是 否 建立了流程 ,确保 更新过程在一个安全 、系统化的状态下完成 16 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 本 阶段应重点对废弃资产对组织 的影响进行 分析,并根据不 同的影响制 定不 同的处理 方式 。对由 于系统废弃可能带来的新的威胁进行分析 ,并改进新 系统或管理模式 。对废弃 资产 的处理过程 应在有 效 的监督之下实施 ,同时对废 弃的执行人员进行安全教育 信息 系统的维护技术人员和管理人员均应该 参与此阶段的评估 。 7 风 险 评 估 的工 作 形 式 7 . 1 概 述 信息 安全风险评估分为 自评估和检查评估两种 形式 。信息 安全风 险评估应 以 自评估为 主 ,自评估 和检查评 估相互结合、互为补充 7.2 自评估 自评 估 是指信息系统拥有 、运营或使用单位发起 的对本单位信 息系统进 行的风险评 估 。自评估应 在本标 准的指导下,结合 系统特 定的安全要求进行实施 。周期性进行 的 自评估 可以在评估 流程上 适 当 简化 ,重点针对 自上次评估后 系统发 生变化后引人的新威 胁,以及系统脆 弱性的完 整识别 ,以便 于两次 评估结果 的对比。但系统发生 6.5 中所列 的重大 变更时,应依据本标 准进行完整的评估 。 自评 估 可由发起方实施或委托风险评估服务技术支持 方实施。 由发起方实施 的评估可以降低实施 的费用、提高信息系统相关人员 的安全 意识 ,但可 能由于缺乏风 险评估 的专业技能 ,其结 果不够深 入准 确 ;同时 ,受到组织 内部各种因素的影响 ,其评估结果 的客观性易受 影响。委托 风险评估 服务技术 支持 方实施 的评估 ,过程 比较规范 、评估结果的客观性 比较好,可信程度较 高;但 由于受到行业 知识技能及业 务 了解的限制,对被评估系统 的了解,尤其是在业务 方面的特殊要求存在一定 的局限。但由于引人第三 方本 身就是一个风险因素 ,因此,对其背景与资质 、评估过程与结果 的保密要求等方面应进行控制 。 此 外 ,为保证风险评估 的实施 ,与系统相连 的相关方也应配合 ,以防止给其他 方的使 用带来 困难或 引人新 的风险。 7.3 检查评估 检 查评估是 指信息系统上级管理部门组织 的或国家有关 职能部门依法开展的风险评估 。 检 查评估 可依据本标准的要求 ,实施完整的风险评估过程 。 检 查评估也 可在 自评估实施的基础上 ,对关键环节或重点 内容实施抽 样评估 ,包括以下 内容(但 不 仅 限于): a) 自评 估 队伍及技术人员 审查 ; b) 自评 估方法的检查 ; c) 自评 估过程控制与文档记 录检查 ; d) 自评估资 产列表审查 ; e) 自评 估威胁列表 审查; f) 自评 估脆弱性 列表审查 ; 9) 现 有安全措施有效性检查 ; h) 自评 估结果审查与采取相应措施 的跟踪检查 ; 1) 自评 估技术技能限制未完成项 目的检查评估 ; j) 上级关注或要求的关键环节 和重点内容的检查评估: k) 软 硬件维护制度及实施管理 的检查 ; 1) 突 发事件应对措施 的检查 检 查评估也可 委托风险评估服务技术支持方实施 ,但评估 结果仅 对检查 评估的发起 单位负 责。 由 于检查评估代表 了主管机关,涉及评估对 象也往往较多 ,因此 ,要对实施 检查评估 机构 的资质进行 严格 管 理 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 20 9 84一 20 07 附录 A (资 料 性 附 录 ) 风 险 的计 算 方 法 对 风险进行计算 ,需要确定影响风险要素 、要素之间 的组合方式 以及具体 的计算方法 ,将风 险要素 按 照组合方式使用具体 的计算方 法进行计算 ,得到 风险值。 目前 通用的风险评估 中风 险值计算 涉及 的风 险要素一 般 为资产 、威胁 、脆弱性 (其 关系 如图 1 所 示);这些要素的组合方式如 5.6.1 的风险计算原理 中指出 ,由威胁和脆弱性 确定安全 事件发生 的可能 性 ,由资产 和脆弱性确定安全事件的损 失 ,以及 由安全事 件发生 的可能性 和安 全事件 的损失确定 风险 值 。 目前,常用的计算方法是矩阵法和相乘法 。 本 附录首先说 明矩阵法和相乘 法的原理 ,然后基 于 5.6.1 的风险计算 原理 中指出的风 险要素和要 素组合方式 ,以示例的形式说明采用矩阵法 和相乘法计 算风险值的过程 。 在 实际应用 中,可以将矩阵法和相乘法结合使用 。 A.1 使用矩阵法计算风险 A .1.1 矩阵法原理 矩 阵法主要适用于 由两个要 素值确定一个要素值 的情形 。首先需 要确定 二维计算矩 阵 ,矩阵 内各 个要素的值根据具体情况和 函数递增情况采用数学方法确定 ,然后将两个元素 的值在矩阵中进行比对 , 行列交叉处即为所确定 的计算结 果。 即2= f (x ,y),函 数 f 可以采用矩阵法 。 矩阵 法 的 原 理 是 : x一 王xl,x:,⋯,x ,⋯,x尉 ,1( 1( 优,二t为正整数 y= {y,,y:,⋯,y;,⋯,y。},1镇夕( n,匆为正整数 以 要素 x 和要素 y 的取值 构建一个二维矩阵 ,如表 A .1 所示。矩 阵行值为要 素 y 的所有取值 ,矩 阵列值为要素x 的所有取值。矩阵内m x 。个值即为要素二的取值,二={21,,21:,⋯,2。,⋯,2,}, 1( £(、,1( j板n,2。为正整数。 表 A .1 矩阵构造 y y 1 y 2 为 y 时 X 工1 Z 11 2 1 2 z肠 2 1 , X 2 Z 朋 2 2 旧 22了 忿2 月 工 ‘ Z 创 2 『2 艺” Z 切 X m 2 加1 2 用2 之, 之州 对 于 2。的计算 ,可以采取以下计算公式 : 2。一工 + y,, 或勒 二x,Xy,, 或2。一ax x + 夕Xy少,其 中a和月为正常数。 2。的计算需要根 据实际情况确定,矩阵内2。值的计算不一定遵循统一的计算公式,但必须具有统 一的增减趋势 ,即如果 f 是递增函数 ,2。值应随着 x 与 y; 的值递增 ,反之亦然 1 吕 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 矩 阵法的特点在于通过构造两两要 素计算矩阵 ,可以清晰罗列要素的变化趋势 ,具备 良好灵 活性。 在 风险值计算中 ,通常需要对两个要素确定 的另一个要 素值进行计算 ,例如由威胁和脆弱性 确定安 全事件发生可能性值 、由资产和脆弱性确定安全事件 的损失值 等,同时需 要整体 掌握风 险值 的确定 ,因 此矩阵法在风险分析 中得到广泛采用 。 A l.2 计算示例 以 下基于 5.6.1 的风险计算原理 ,具体说 明使用矩 阵法计 算风险的过程 。 A ,.2.1 条件 共 有三个重要资产 ,资产 A l、资产 A Z 和资产 A 3; 资 产 A l 面 临两个主要威 胁 ,威胁 T l 和威胁 T Z ; 资 产 A Z 面 临一个 主要威 胁 ,威胁 T 3 ; 资 产 A 3 面 临两个 主要威 胁 ,威胁 T 4 和 T S ; 威 胁 T l 可以利用的资产 A l 存在的两个脆弱性 ,脆弱性 V l 和脆弱性 V Z; 威 胁 T Z 可以利用的资产 A l 存在的三个脆弱性 ,脆弱性 V 3、脆弱性 V 4 和脆弱性 V S ; 威 胁 T 3 可以利用的资产 A Z 存在的两个脆弱性 ,脆弱性 V 6 和脆弱性 V 7; 威 胁 T 4 可以利用的资产 A 3 存在的一个脆弱性 ,脆弱性 V S; 威 胁 T S 可以利用的资产 A 3 存在的一个脆弱性 ,脆弱性 V g。 资产价值分别是 :资产A l= 2,资产A Z= 3,资产A 3= 5; 威胁发生频率分别是 :威胁T l= 2,威胁TZ= 1,威胁T3二2,威胁T 4= 5,威胁TS= 4; 脆 弱性严重程度分别是 :脆弱性 V l= 2 ,脆弱性 V Z= 3 ,脆弱性 V 3= 1,脆弱性 V 4= 4,脆弱性 v s= 2,脆弱性 V 6= 4 ,脆弱性 V 7= 2 ,脆弱性V S= 3,脆弱性V g= 5 A.1.2.2 计 算重要资产的风险值 三 个资产的风险值计算过程类似 ,下面以资产 A l 为例使用矩阵法计算风 险值。 资 产 A l 面临 的主要威胁包括威胁 T l 和威胁 T Z,威胁 T l 可 以利用 的资产 A l 存在的脆弱性 包括 两个,威胁 T Z 可以利用 的资产 A l 存在的脆弱性 包括三个 ,则资 产 A l 存在的风 险值包括五个 。五个 风险值的计算过程类似 ,下面以资产 A l 面临 的威胁 T l 可以利用的脆弱性 V l 为例 ,计算安全 风险值。 a) 计 算安 全事件发生可能性 威胁发 生频率:威胁 T l= 2 ; 脆弱性严 重程度 :脆弱性 V l一2。 首先构建 安全事 件发生可能性矩阵 ,如表 A .2 所示。 表 A .2 安全事件可能性矩 阵 脆 弱 性 严 重 程 度 1 2 3 4 5 威胁发生频率 l 2 4 7 l l l 4 2 3 6 l 0 1 3 l 7 3 5 9 l 2 1 6 2 0 4 7 ll l 4 l8 2 2 5 8 l2 l 7 2 O 2 5 然后根 据威胁发生频率值和脆弱性严重程度值 在矩阵 中进行 对照 ,确定安全 事件发生 可能性值 等 于 6 由 于安全事件发生可能性将参与风险事件值 的计算 ,为了构建风 险矩阵 ,对上述计算得 到的安全风 险事件发生可能性进行等级划分 ,如表 A .3 所示,安全事件发 生可能性等级等于 2。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 表 A 3 安全 事件可能性等级划分 安全事件发生可 能性值 1 ~ 5 6 ~ 1 1 12 一 16 1 7 一 2 1 2 2 ~ 2 5 发生可能性等级 l 2 3 4 5 b) 计算安全事件 的损失 资 产价值 :资产 A l= 2; 脆 弱性严重程 度 :脆弱性 V l= 2 首 先 构建安全事件损失矩阵 ,如表 A .4 所示 。 表 A .4 安全事件 损失矩阵 脆 弱 性 严 重 程 度 l 2 3 4 5 资产价值 l 他 4 6 1 0 13 2 3 5 9 12 1 6 3 4 7 l 1 1 5 2 0 4 5 8 l 4 l9 2 2 5 6 l 0 1 6 2 l 2 5 然 后根据 资产价值 和脆弱性严重程度值在矩 阵中进行对照 ,确定安 全事件损失值等于 5。 由于 安全 事件损失将参与风险事件值 的计算 ,为了构建风 险矩阵,对上述计算得到 的安全事件损失 进行等级划分 ,如表 A .5 所示 ,安全事件损失等级 等于 1。 表 A .5 安全 事件损失等级划分 安全事件损失值 1 1一5 1 6一1。 1 11一1: 1 ;6一2。 21一25 安全事件损失等级 1 ‘ } 2 ! c) 计算风险值 安 全事件发生可 能性= 2;安全事件损失等级 一1。 首 先构建风险矩 阵 ,如表 A .6 所示 表 A .6 风险矩阵 可 能 性 1 2 3 4 5 损 失 等 级 1 3 6 9 1 2 1 6 2 5 8 1 1 l 5 1 8 3 6 9 1 3 1 7 2 l 4 7 l 1 1 6 2 0 2 3 口 g l 4 2 O 2 3 2 5 然 后根据安全事件发生可能性 和安全事件损失等级在矩阵 中进行对照 ,确定安全事件风险等 于 6 按 照上述方法进行 计算 ,得到资产 A l 的其他的风险值 ,以及资产 A Z 和资产 A 3 的风险 。然后再 进行风险结果等级判定 A.1.2.3 结果判定 确 定风险等级划分 如表 A .7 所示 。 表 A .7 风险等级划分 一几戳一川共州三州二一口一共洲 根 据上述计算方法 ,以此类推 ,得到 三个重要 资产 的风险值 ,并根据风 险等级划 分表 ,确定 风险等 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 2 007 级,结果 如表 A .8 所示 表 A .8 风 险结果 资产 威 胁 脆 弱 性 风 险 值 风 险 等 级 资产 A l 威 胁 T l 脆 弱 性 V l 6 1 威 胁 T l 脆 弱 性 V Z 8 2 威 胁 T Z 脆 弱 性 V 3 3 1 威 胁 T Z 脆 弱 性 V 4 9 2 威 胁 T Z 脆 弱 性 V S 3 l 资产 A Z 威 胁 T 3 脆 弱 性 V 6 1 1 2 威 胁 T 3 脆 弱 性 V 7 8 2 资 产 A 3 威 胁 T 4 脆 弱 性 V S 2 0 4 威 胁 T S 脆弱性 V g 2 5 5 重 要资产的风险等级柱状图如 图 A l 所示 。 风 险 等 级 资产 A l 资产AZ 风 险等 级 柱 状 图 资 产A 3 图 A . A .2 使用相乘法计算风 险 A .2.1 相乘法原理 相 乘法 主要用 于两个或多个要 素值确定 一个 要素值 的情形 。 即 2 = f( x ,妇,函数 f 可 以采用相 乘 法 。 相 乘 法的原理 是 : 2一 f( x ,必= 二⑧y 。 当 f 为增量函数时,⑧可以为直接相乘,也可以为相乘后取模等,例如: 2告 f (工,y)= x 只 y , 2= f( x,必= 丫xx y , 2 = f( x ,y)= 或 2“f( 二,力= 丫x火y」 了JK y 或或 x + , 〕等 相 乘法提供一种定量的计算方法 ,直接使用两个要 素值进行相 乘得到 另一个要素 的值 。相乘 法的 特点是简单明确 ,直接按 照统一公式计算 ,即可得 到所需结果 。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 2 09 84 一 20 07 在 风险值计算 中,通常需要对两个要 素确定的另一个要素值进行计算 ,例如 由威胁 和脆弱性确 定安 全事件发生可能性 值 、由资 产和脆 弱性 确定 安全 事件 的损 失值 ,因此相 乘法 在 风险分 析 中得 到广 泛 采 用 。 A .2.2 计算示例 以 下基于 5.6.1 的风险计算 原理 ,具体说 明使用相乘法计算风险 的过程 。 A .2.2.1 条件 共 有两个重要资产 ,资产 A l 和资产 A 乙 资 产 A l 面临三个主要威胁 ,威胁 T l、威胁 T Z 和威胁 T 3; 资 产 A Z 面临两个主要威胁 ,威胁 T 4 和威胁 T S; 威 胁 T l 可 以利用 的资产 A l 存在 的一个脆 弱性 ,脆弱性 V l; 威 胁 T Z 可 以利用 的资产 A l 存在 的两个脆弱性 ,脆弱性 V Z、脆弱性 V 3; 威 胁 T 3 可 以利用 的资产 A l 存在 的一个脆 弱性,脆弱性 V 4; 威 胁 T 4 可 以利用 的资产 A Z 存在 的一个脆弱性 ,脆弱性 V S; 威 胁 T S 可 以利用 的资产 A Z 存在 的一个脆弱性 ,脆弱性 V 6。 资 产价值分别是 :资产 A l= 4,资产 A Z= 5; 威 胁发生频率分别是 :威胁 T l一1,威胁 T Z= 5 ,威胁 T 3= 4,威胁 T 4= 3 ,威胁 T S= 4; 脆 弱性严重程度分别是 :脆弱性 V l= 3,脆弱性 V Z一1,脆弱性 V 3一5,脆弱性 V 4= 4 ,脆弱性 V S= 4,脆弱性 V 6= 3 A .2.2.2 计算重要资产的风 险值 两 个资产的风险值计算过程 类似 ,下面以资产 A l 为例使用矩 阵法计 算风险值 。 资 产 A l 面临的主要威胁包括威胁 T l、威胁 T Z 和威胁 T 3 ,威胁 T l 可以利用的资产 A l 存在的脆 弱性有一个 ,威胁 T Z 可以利用 的资产 A l存 在的脆弱性有两个 ,威胁 T 3 可 以利用 的资产 A l 存在的脆 弱性有一个 ,则资产 A l 存在 的风险值包括四个 。四个风 险值的计算过 程类似 ,下面 以资产 A l 面临 的 威胁 T l 可 以利用 的脆弱性 v l 为例 ,计算安全风险值 。其中计算公式使用 : 2= j( x,刃= 丫王灭丁,并对2 的计算值四舍五人取整得到最终结果 a) 计 算安全事件发生可能性 威胁发生频率 :威胁 T l一1; 脆弱性严重程度 :脆弱性 V l一3。 计算安全事件发生可能性 ,安全事件发生可能性 = 丫1灭万= 存 。 b) 计 算安全事 件的损失 资产价值:资产Al一4; 脆弱性严重 程度:脆弱性 V l= 3。 计算安全事件 的损失,安全事件损 失二 、了灭万一 月二。 c) 计 算 风险值 安全 事件发生可能性= 万 ; 安全 事件损 失= 广 芝。 安 全事件风险值= 存 x 们 乏一6 按 照上述方 法进行计算 ,得到资产 A l 的其他 的风 险值 ,以及资产 A Z 和资产 A 3 风 险值 然 后再进行 风险结果等级判定 。 A.2,2.3 结果判定 确 定风险等级划分如表 A .9 所示 。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 表 A .9 风 险等级划分 风险 值 风 险 等级 1 ~ 5 1 1 ~ 1 5 16 ~ 20 2 1 ~ 2 5 朴 根 据上述计 算方法,以此类推 ,得到两个重 要资产 的风险值 ,并根据 风险 等级划 分表 ,确定 风险等 级 ,结果如表 A .ID 所示 。 表 A . 10 风 睑结 果 资 产 威 胁 脆 弱 性 风 险 值 风险等级 资 产 A l 威 胁 T l 脆弱性 V l 6 2 威 胁 T Z 脆弱性 V Z 4 l 威 胁 T Z 脆 弱性 V 3 2 2 5 威 胁 T 3 脆弱性 V 4 1 6 4 资 产 A Z 威 胁 T 4 脆弱性 V S l 5 3 威 胁 T S 脆弱性 V 6 l 3 3 重要资产的风险等级柱状图如 图 A . 2 所 示 。 风 险 等 级 资产A l 资产A Z 图A .2 风 险等级柱状 图 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 附录 B (资 料 性 附 录 ) 风 险 评 估 的 工 具 风 险评估工 具是风险评估的辅助手段 ,是保证风险评 估结果可信 度 的一个 重要 因素。风险评估 工 具 的使用不但 在一定程度上解决了手动评估 的局限性 ,最主要 的是它 能够将专家知识进行集中 ,使专 家 的经验知识被 广泛的应用。 根 据在 风险评估过程中的主要任务和作用原理 的不同 ,风险评估 的工具可 以分成风险评估 与管 理 工具 、系统基础平台风险评估工具 、风险评估辅助工具 三类。风险评估与管理工具是一套集成 了风险评 估各类知识 和判据的管理信息系统 ,以规范风险评估的过程 和操作方 法 ;或者是用 于收集评估所需要 的 数据和资料 ,基于专家经验 ,对输人输 出进行模型分 析。系统基础平 台风险评估工具主要用于对信息 系 统 的主要部件 (如操作系统 、数据库系 统、网络设备 等)的脆 弱性进行 分析 ,或实施基于脆 弱性 的攻击 。 风险评估辅 助工具则实现对数据的采集 、现状分析和趋势 分析等单项 功能 ,为风险评 估各要素 的赋值 、 定 级 提 供 依 据 。 B.飞 风险评估与管理工具 风险评 估 与管理工具大部分是基于某种标准方 法或某组织 自行开发 的评估方法 ,可以有效地通过 输人数据来分 析风险 ,给出对风 险的评价并推荐控制风险 的安全措施 。 风险评 估 与管理工具通常建立在一定 的模型或算法之上 ,风险由重要资产 、所面临的威胁 以及威胁 所利用 的脆弱性三者来确定 ;也有的通过建立专家系统 ,利用专 家经验进 行分析 ,给出专家结论 。这种 评估工具需要 不断进行知识库的扩充 。 此 类工具 实现了对风险评估全过程 的实施 和管理 ,包括 :被评 估信息 系统基本信息 获取 、资产信 息 获取 、脆弱性识别与管理 、威胁识别 、风险计算 、评估 过程与评估结果管理等功能 。评估 的方式 可以通过 问卷的方式 ,也可 以通过结构化 的推理过程 ,建立模 型 ,输人相关信息 ,得出评估结论 。通常这类 工具在 对风险进行评 估后都会有针对性地提 出风险控制措施 。 根 据实 现方法的不同 ,风险评估与管理工具可以分为三类 : a) 基 于信息安全标 准的风险评估与管理工具 目前,国际上存在多种 不 同的风险 分析标 准 或指南 ,不同 的风险分 析方 法侧 重点 不 同,例如 N IST SP 800一30 、BS7799、150 /IEC 13335 等 。以这些标准或指南 的内容为基础 ,分别开发相 应 的评估工具 ,完成遵循标准或指南 的风险评估过程 。 b) 基 于知识的风险评估与管理工 具 基于知识的风险评估与管理工具 并不仅 仅遵循某个单 一的标准或 指南 ,而是将各 种风 险分析 方法进行综合 ,并结合实践经验 ,形成风险评估知识库 ,以此为基础完 成综合评 估 。它还 涉及 来 自类似组织(包 括规模 、商务 目标和市场等)的最佳实践 ,主要通 过多种途 径采集相 关信息 , 识 别组织的风险和 当前的安全措施 ;与特 定的标 准或最 佳实践 进行 比较,从中找 出不符合 的 地方 ;按照标 准或最佳实践的推荐选择安全措施 以控制风险。 c) 基 于模型的风险评估 与管理 工具 基于标准或基于知识 的风险评估 与管理工具 ,都使用了定性分析方法或定量分析 方法 ,或者将 定性与定量相结合 。定性分 析方法是 目前广泛采用的方法 ,需要凭借评估者 的知识、经验 和直 觉 ,或者业 界的标准和实践 ,为风险的各个要 素定级 。定性分析法 操作相对 容易 ,但也可能 因 为评估者经验和直觉 的偏差 而使分析结果失准 。定量分析则 对构成风险的各个要素和潜在 损 失水平赋予数值或货 币金额 ,通过对 度量风 险的所 有要素 进行赋 值 ,建立综 合评价 的数学模 24 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 G B /T 20 9 84 一 20 07 型,从而完成风险 的量化计算 。定量分析方法准确 ,但前期建立 系统风险模型较 困难。定性与 定量结合分析方法就是将风险要素 的赋值 和计算 ,根据需要 分别采取定性 和定量 的方法完成 。 基 于模型 的风险评估与 管理工具是在对系统各组成部分 、安全要素充分研究 的基础上 ,对典型系统 的资产 、威胁 、脆弱性 建立量化或半量化的模型 ,根据采集信息的输人 ,得到评价的结果 。 B.2 系统基础平台风险评估工具 系 统基础平 台风险评估工具 包括脆弱性扫描工具和渗透性 测试工具。脆弱性扫描工 具又称为安全 扫描器 、漏洞扫描仪等 ,主要用 于识别网络 、操作 系统 、数据库 系统的脆弱性 。通常情 况下 ,这些工 具能 够发现软件和硬件 中已知的脆弱性 ,以决定 系统是 否易受已知攻击 的影响. 脆 弱性扫描工具是 目前应用 最广泛的风险评估工具 ,主要完成操作 系统、数据库系统 、网络协议 、网 络服务等 的安全脆弱性 检测功 能 ,目前常见 的脆弱性扫描工具有 以下几种类型 : a) 基 于网络的扫描器 :在网络中运行 ,能够检测如防火墙错误配 置或连接到网络上的易受攻 击的 网络服务器 的关键漏洞 。 b) 基 于 主机的扫 描器 :发现 主机 的操作 系统、特殊服 务和 配置的细 节,发现潜在 的用户 行 为风 险 ,如密码强度 不够 ,也可实施对 文件系统的检查 。 c) 分 布式网络扫描器 :由远程扫描代理 、对这些代理 的即插 即用更新机 制、中心管理点 三部 分构 成 ,用于企业级网络的脆弱性评估 ,分布和位于不 同的位置 、城市甚至不 同的国家 。 d) 数据库脆弱 性扫描器 :对数据库 的授权、认证 和完整性进行 详细 的分析 ,也可以识别数 据库 系 统中潜在的脆弱性 。 渗透性测试工具 是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的 可能性 。这类工具 通常包括黑客工具、脚本文件。渗透性测试 的 目的是检测 已发现的脆弱性 是否 真正 会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,并可能会对被评估系统的运 行带来一定影 响。 B.3 风险评估辅助工具 科 学 的风险评估 需要大量的实践和 经验数 据的支 持 ,这些数 据的积 累是风 险评估科学 性 的基础 。 风险评估 过程中,可以利用一些辅助性 的工具和方法来采集数据 ,帮助完成现状分析和趋势判断 ,如: a) 检 查列表 :检查列表是基于特定标准或基线建立 的,对特定 系统进行审查的项 目条款。通过 检 查列表 ,操作者可以快速定位系统 目前的安全状 况与基线要求之间 的差距 。 b) 人 侵检测系统 :人侵检测系统通过部 署检 测引擎 ,收集 、处理整 个网络 中 的通信 信息 ,以获 取 可能对网络或 主机造成危 害的人侵攻 击事件 ;帮助检测各种攻击试探和 误操作;同时也可 以作 为一个警报器 ,提醒管理员发生的安全状况 。 c) 安 全审计工具 :用于记录网络行为 ,分析系统或 网络安全现 状 ;它的审计 记录可 以作为风险评 估 中的安全现状数据 ,并可用于判断被评估对 象威胁信息的来源 。 d) 拓 扑发现工具 :通过接人点接人被评估网络 ,完成被评估 网络 中的资产发 现功能 ,并提供 网络 资产的相关信息 ,包括操作系统版本 、型号等 。拓扑发现工具 主要是 自动完成 网络硬件设备 的 识别 、发现功能。 e) 资 产信息收集 系统:通过提供调查表形式 ,完成被评估信息 系统数据、管理 、人员等资产信息 的 收集功能 ,了解到组织的主要业务 、重要资产 、威胁 、管理 上的缺 陷、采用的控制措施 和安全 策 略的执行情况 。此类 系统主要采取电子调查表形式 ,需要被评估系统管理人员参与填 写,并自 动完成资产信息获取 。 f) 其 他 :如用于评估过程参考 的评估 指标库、知识库 、漏洞库 、算法库 、模型库等。 www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载 GB/T 20984一2007 参 考 文 献 GB/ T 19715.1一2。。5 信息技术 信息技术安全管理指南 第 1部分:信息技术安全概念 和模型(150 /IEC T R 13335一1:1996,ID T ) G B /T 5271.8一2001 信息技术 词 汇 第 8 部分 :安全 (idtlSO /IE C 2382一8:1998) N IST SpecialPublication soo一26 :Security sel卜A ssessm ent G uide for lnform ation T echnolo- gy s y stem s N IST SpecialPublication soo一30:Risk M anagem ent G uide for lllfor砒 tion Technol呀y s邓tem s ﹁ 一 习 ﹃ 一 JF |1 11 1 0 广八 八 4 一 1﹂ 一 1﹂一 i L L e s e s www.bzfxw.com 免费标准下载网(www.freebz.net) 免费标准下载网(www.freebz.net) 无需注册 即可下载
还剩29页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

yxw1987

贡献于2017-02-27

下载需要 10 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf