信息系統(tǒng)安全等級評估方案

1、信息系統(tǒng)安全等級評估信息系統(tǒng)安全等級評估方方案案北京網(wǎng)絡(luò)行業(yè)協(xié)會信息系統(tǒng)等級保護(hù)評估中心北京網(wǎng)絡(luò)行業(yè)協(xié)會信息系統(tǒng)等級保護(hù)評估中心輸入年 年 月 月 日 日北京網(wǎng)絡(luò)行業(yè)協(xié)會信息系統(tǒng)等級保護(hù)測評中心 第 2 頁 共 19 頁目目 錄錄1 1等級評估背景等級評估背景 .4 41.1評估單位信息 .41.2被評估單位信息 .42 2等級評估目的等級評估目的 .4 43 3等級評估原則等級評估原則 .4 44 4等級評估范圍等級評估范圍 .5 55 5評估環(huán)境介紹評估環(huán)境介紹 .6 65.1物理層描述 .65.2網(wǎng)絡(luò)層描述 .65.3系統(tǒng)層描述 .65.4應(yīng)用層描述 .65.5數(shù)據(jù)層描述 .65.6管理

2、層描述 .66 6等級評估內(nèi)容等級評估內(nèi)容 .6 66.1評估指標(biāo)選擇和組合 .66.1.1形成評估指標(biāo).66.1.2制定評估方案.66.2等級指標(biāo)對比評估 .76.3額外/特殊風(fēng)險(xiǎn)評估 .77 7等級指標(biāo)對比評估等級指標(biāo)對比評估 .8 87.1安全技術(shù)評估 .87.2安全管理評估 .87.2.1人員訪談.97.2.2文檔檢查.98 8額外額外/ /特殊風(fēng)險(xiǎn)評估特殊風(fēng)險(xiǎn)評估 .9 98.1資料收集 .9信息系統(tǒng)安全等級評估方案-13第 3 頁 共 19 頁8.1.1問卷調(diào)查.98.1.2人員訪談.108.1.3小組討論.108.1.4文檔查看.108.1.5現(xiàn)場勘查.108.2資產(chǎn)識別與賦值

3、.108.2.1資產(chǎn)類別.118.2.2資產(chǎn)價(jià)值.128.3脆弱性分析 .128.3.1脆弱性來源.128.3.2脆弱性分析手段.128.4威脅分析 .148.4.1威脅源識別.148.4.2威脅分析手段.158.5已有控制措施分析 .159 9綜合評估分析綜合評估分析 .15159.1風(fēng)險(xiǎn)識別 .169.1.1控制建議.161010等級評估風(fēng)險(xiǎn)規(guī)避等級評估風(fēng)險(xiǎn)規(guī)避.17171111需要被評估單位配合事項(xiàng)需要被評估單位配合事項(xiàng).1818信息系統(tǒng)安全等級評估方案-13第 4 頁 共 19 頁1 等級評估背景等級評估背景1.1評估單位信息評估單位信息1.2被評估單位信息被評估單位信息2 等級評估目

4、的等級評估目的對信息系統(tǒng)進(jìn)行安全等級評估是國家推行等級保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。通過等級評估可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級或目標(biāo)的差異，使信息系統(tǒng)的管理和使用單位可以在技術(shù)和管理方面進(jìn)行有針對性的加強(qiáng)和完善，使單位的信息系統(tǒng)安全工作有的放矢。了解信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；確定可能對資產(chǎn)造成危害的威脅；確定威脅實(shí)施的可能性；對可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；對最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；明確信息系統(tǒng)的已有安全措施的有效性；明晰信息系統(tǒng)的

5、安全管理需求。3 等級評估原則等級評估原則為確保安全等級評估工作高效順利的完成，并盡量減少安全評估對被評估系統(tǒng)的影響，保護(hù)評估雙方的權(quán)益，安全等級評估應(yīng)遵循如下原則：a)a) 標(biāo)準(zhǔn)性原則標(biāo)準(zhǔn)性原則評估工作以信息系統(tǒng)安全等級保護(hù)實(shí)施指南為基礎(chǔ)，并參考其它等級保護(hù)相關(guān)標(biāo)準(zhǔn)和指南；b)b) 規(guī)范性原則規(guī)范性原則信息系統(tǒng)安全等級評估方案-13第 5 頁 共 19 頁安全等級評估過程及使用的文檔，需要具有很好的規(guī)范性，便于評估工作的質(zhì)量跟蹤和進(jìn)度控制；c)c) 可控性原則可控性原則安全評估所使用的工具、方法和過程要在雙方認(rèn)可的范圍之內(nèi)，安全評估的進(jìn)度要符合進(jìn)度表的安排，保證評估雙方對評估工作的可控性；d

6、)d) 整體性原則整體性原則等級評估的范圍和內(nèi)容應(yīng)當(dāng)整體全面，覆蓋信息系統(tǒng)安全所涉及的各個(gè)層面，并考慮各個(gè)層面的相互關(guān)系。e)e) 最小影響原則最小影響原則評估工作應(yīng)盡可能小的影響網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)行，不能對系統(tǒng)的業(yè)務(wù)產(chǎn)生顯著影響。例如：避免造成被評估系統(tǒng)的性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷等。f)f) 保密原則保密原則對在安全評估過程中所接觸到的被評估單位的所有敏感信息，評估機(jī)構(gòu)應(yīng)遵循相關(guān)的保密承諾，不利用它們進(jìn)行任何侵害被評估單位安全利益的行為。被評估單位也應(yīng)當(dāng)為評估機(jī)構(gòu)的測評方法、流程和相關(guān)文檔承擔(dān)相應(yīng)的保密義務(wù)。4 等級評估范圍等級評估范圍界定被評估單位的評估范圍的描述，包括系統(tǒng)、主機(jī)、

7、設(shè)備等的詳細(xì)數(shù)量信息。xxx 系統(tǒng)的總體網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：信息系統(tǒng)安全等級評估方案-13第 6 頁 共 19 頁5 5評估環(huán)境介紹評估環(huán)境介紹5.1物理層描述物理層描述5.2網(wǎng)絡(luò)層描述網(wǎng)絡(luò)層描述5.3系統(tǒng)層描述系統(tǒng)層描述5.4應(yīng)用層描述應(yīng)用層描述5.5數(shù)據(jù)層描述數(shù)據(jù)層描述5.6管理層描述管理層描述6 等級評估內(nèi)容等級評估內(nèi)容6.1評估指標(biāo)選擇和組合評估指標(biāo)選擇和組合根據(jù)被評估信息系統(tǒng)的安全等級，從等級保護(hù)基本要求的指標(biāo)中選擇和組合評估用的安全指標(biāo)，形成一套信息系統(tǒng)的評估指標(biāo)，作為評估的依據(jù)；將具體評估對象和評估指標(biāo)進(jìn)行結(jié)合，形成評估使用的評估方案。6.1.1 形成評估指標(biāo)形成評估指標(biāo)根據(jù)各個(gè)

8、信息系統(tǒng)的安全等級從基本要求中選擇相應(yīng)等級的通用指標(biāo)，然后根據(jù)系統(tǒng)信息資產(chǎn)安全性等級選擇信息資產(chǎn)安全性指標(biāo)，根據(jù)系統(tǒng)連續(xù)性等級選擇業(yè)務(wù)連續(xù)性指標(biāo)，之后進(jìn)行三類指標(biāo)的組合，形成評估指標(biāo)。6.1.2 制定評估方案制定評估方案根據(jù)評估指標(biāo)，結(jié)合確定的具體評估對象制定可以操作的評估方案，評估方案可以包括但不局限于以下內(nèi)容：信息系統(tǒng)安全等級評估方案-13第 7 頁 共 19 頁1) 管理狀況評估表格；2) 網(wǎng)絡(luò)狀況評估表格；3) 網(wǎng)絡(luò)設(shè)備（含安全設(shè)備）評估表格；4) 主機(jī)設(shè)備評估表格；5) 主要設(shè)備安全測試方案；6) 重要操作的作業(yè)指導(dǎo)書。6.2等級指標(biāo)對比等級指標(biāo)對比評估評估根據(jù)所確定的安全評估指標(biāo)和

9、安全評估方案，通過詢問、檢查和測試等多種手段，將系統(tǒng)現(xiàn)狀與安全評估指標(biāo)進(jìn)行逐一對比，記錄當(dāng)前的現(xiàn)狀情況，找到與評估指標(biāo)之間的差距。a) 判斷安全管理方面與評估指標(biāo)的符合程度通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄等方式進(jìn)行安全管理方面的評估，準(zhǔn)確記錄評估結(jié)果，判斷安全管理的各個(gè)方面與評估指標(biāo)的符合程度，給出判斷結(jié)論。評估工作原始記錄表應(yīng)由相關(guān)人員確認(rèn)簽字。b) 判斷安全技術(shù)方面與評估指標(biāo)的符合程度通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的評估，準(zhǔn)確記錄評估結(jié)果，判斷安全技術(shù)的各個(gè)方面與評估指標(biāo)的符合程度，給出判斷結(jié)論。評估工作原始記錄表應(yīng)

10、由相關(guān)人員確認(rèn)簽字。6.3額外額外/特殊特殊風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估通過對信息系統(tǒng)重要資產(chǎn)特殊保護(hù)要求的分析，確定超出相應(yīng)等級保護(hù)要求的部分或具有獨(dú)特安全保護(hù)要求的部分，采用風(fēng)險(xiǎn)評估的方法，確定可能的安全風(fēng)險(xiǎn)，判斷超出等級保護(hù)要求部分安全措施的必要性。 在安全現(xiàn)狀和評估指標(biāo)對比后確定基本安全需求的基礎(chǔ)上，通過風(fēng)險(xiǎn)評估的手段可以確定額外或特殊的安全需求。確定額外安全需求可以采用目前成熟或流行的風(fēng)險(xiǎn)評估方法，也可以采用但不局限于下面介紹的活動：a) 重要資產(chǎn)的分析明確信息系統(tǒng)中的重要部件，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、核心網(wǎng)絡(luò)設(shè)備、重要服務(wù)器設(shè)備、重要應(yīng)用系統(tǒng)等。b) 重要資產(chǎn)安全脆弱性評估檢查或判斷上述重要部件

11、可能存在的脆弱性，包括技術(shù)上和管理上的；分析信息系統(tǒng)安全等級評估方案-13第 8 頁 共 19 頁安全脆弱性被利用的可能性。c) 重要資產(chǎn)面臨威脅評估分析和判斷上述重要部件可能面臨的威脅，包括外部的威脅和內(nèi)部的威脅，威脅發(fā)生的可能性或概率。d) 綜合風(fēng)險(xiǎn)分析分析威脅利用脆弱性可能產(chǎn)生的安全事件，安全事件發(fā)生的可能性或概率，安全事件造成的損害或產(chǎn)生的影響大小，防止此種風(fēng)險(xiǎn)的必要性。按照重要資產(chǎn)的排序和風(fēng)險(xiǎn)的排序確定安全保護(hù)的要求。7 等級指標(biāo)對比評估等級指標(biāo)對比評估等級保護(hù)評估主要是針對信息系統(tǒng)安全等級保護(hù)實(shí)施指南中的相關(guān)內(nèi)容和要求進(jìn)行評估，并參考其它等級保護(hù)相關(guān)標(biāo)準(zhǔn)。評估主要包括技術(shù)和管理兩個(gè)

12、方面的內(nèi)容。7.1安全技術(shù)評估安全技術(shù)評估主要通過從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上評估信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況。包括但不局限于以下技術(shù)方法：人工配制檢查滲透測試漏洞掃描技術(shù)訪談?wù){(diào)查問卷7.2安全管理評估安全管理評估通過查閱文檔、抽樣調(diào)查等方法，針對被測單位在信息安全方面制定規(guī)章制度的合理性、適用性等進(jìn)行評估，主要包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等內(nèi)容。信息系統(tǒng)安全等級評估方案-13第 9 頁 共 19 頁7.2.1 人員訪談人員訪談 內(nèi)容：針對組織內(nèi)的安全管理人員、安全員、安全主管、工

13、作人員、關(guān)鍵活動批準(zhǔn)人、管理人員、機(jī)房值守人員、人事負(fù)責(zé)人、人事工作人員、審計(jì)員、網(wǎng)絡(luò)管理員、文檔管理員、物理安全負(fù)責(zé)人、系統(tǒng)管理員、系統(tǒng)建設(shè)負(fù)責(zé)人、系統(tǒng)運(yùn)維負(fù)責(zé)人、資產(chǎn)管理員等不同類型崗位的人員訪談 方法：訪談相關(guān)人員7.2.2 文檔檢查文檔檢查 內(nèi)容：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面的文檔檢查 方法 : 查看相關(guān)文件8 額外額外/特殊風(fēng)險(xiǎn)評估特殊風(fēng)險(xiǎn)評估8.1資料收集資料收集根據(jù)項(xiàng)目范圍，收集相關(guān)資料的方法包括：問卷調(diào)查與各級人員進(jìn)行訪談小組討論文檔查看現(xiàn)場勘查8.1.1 問卷調(diào)查問卷調(diào)查問卷調(diào)查和清單是有效的簡單工具，用來判斷是否需要更詳盡風(fēng)險(xiǎn)評

14、估。調(diào)查問卷（Questionnaire）由一組相關(guān)的封閉式或開放式問題組成，用于在評估過程中獲取信息系統(tǒng)在各個(gè)層面的安全狀況，包括安全策略、組織制度、執(zhí)行情況等。信息系統(tǒng)安全等級評估方案-13第 10 頁 共 19 頁8.1.2 人員訪談人員訪談評估小組與被評估組織內(nèi)有關(guān)的管理、技術(shù)和一般員工進(jìn)行逐個(gè)溝通。根據(jù)對評估人員所提問題的回答，評估人員為評估獲得相應(yīng)信息，并可驗(yàn)證之前收集到的資料，從而提高其準(zhǔn)確度和完整性。通過訪談管理和技術(shù)人員，評估人員可以收集到業(yè)務(wù)系統(tǒng)相關(guān)的物理、環(huán)境、安全組織結(jié)構(gòu)、操作習(xí)慣等大量有用的信息，也可以了解到被訪談?wù)叩陌踩庾R和安全技能等自身素質(zhì)。由于訪談的互動性，不

15、同于調(diào)查表，評估人員可以廣泛提問，從多個(gè)角度獲得多方面的信息。8.1.3 小組討論小組討論評估小組與被評估組織的若干人員進(jìn)行交流，從而獲得相關(guān)信息或就某些問題達(dá)成共識。8.1.4 文檔查看文檔查看為了分析業(yè)務(wù)系統(tǒng)現(xiàn)有的或計(jì)劃采取的安全控制措施，需要查看策略文檔（例如政策法規(guī)、指導(dǎo)性文檔） 、系統(tǒng)文檔（例如用戶手冊、管理員手冊、系統(tǒng)設(shè)計(jì)和需求文檔）和安全相關(guān)文檔（例如以前的審計(jì)報(bào)告、風(fēng)險(xiǎn)評估報(bào)告、測試報(bào)告、安全策略、應(yīng)急預(yù)案）等。8.1.5 現(xiàn)場勘查現(xiàn)場勘查評估人員也可對辦公環(huán)境和機(jī)房內(nèi)設(shè)備作現(xiàn)場檢查，或觀察人員的行為或環(huán)境狀況、系統(tǒng)命令或工具的輸出，尋找是否有違反安全策略的現(xiàn)象，比如敏感文件隨

16、意放置、人離開電腦不鎖屏幕、設(shè)備的網(wǎng)絡(luò)連接情況等。根據(jù)現(xiàn)場勘查的結(jié)果，獲得相應(yīng)評估信息。8.2資產(chǎn)識別與賦值資產(chǎn)識別與賦值資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接地表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或信息系統(tǒng)安全等級評估方案-13第 11 頁 共 19 頁任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。評估小組采集資產(chǎn)信息，確定系統(tǒng)劃分原則和等級評估原則，并與組織共同確認(rèn)系統(tǒng)和 CIA 等級劃分。資產(chǎn)識別和賦值的目的就是要對組織的各類資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀；明確各類資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使組織能夠更合理地利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性地

17、進(jìn)行資產(chǎn)保護(hù)，最具策略性地進(jìn)行新的資產(chǎn)投入。風(fēng)險(xiǎn)評估范圍內(nèi)的所有資產(chǎn)必須予以確認(rèn)，包括數(shù)據(jù)、服務(wù)、聲譽(yù)、硬件和軟件、通訊、程序界面、物理資產(chǎn)、支持設(shè)施、人員和訪問控制措施等有形和無形資產(chǎn)?？紤]到應(yīng)用系統(tǒng)是組織業(yè)務(wù)信息化的體現(xiàn)，因此將應(yīng)用系統(tǒng)定義為組織的關(guān)鍵資產(chǎn)。與應(yīng)用系統(tǒng)有關(guān)的信息或服務(wù)、組件（包括與組件相關(guān)的軟硬件） 、人員、物理環(huán)境等都是組織關(guān)鍵資產(chǎn)應(yīng)用系統(tǒng)的子資產(chǎn)，從而使得子資產(chǎn)與應(yīng)用系統(tǒng)之間更加具有關(guān)聯(lián)性。8.2.1 資產(chǎn)類別資產(chǎn)類別各項(xiàng)資產(chǎn)可歸入不同的類別，歸類的目的是反映這些資產(chǎn)對評估對象系統(tǒng)或領(lǐng)域的重要性。依據(jù)資產(chǎn)的屬性，主要分為以下幾個(gè)類別：信息資產(chǎn)信息資產(chǎn)信息資產(chǎn)主要包括各種

18、設(shè)備以及數(shù)據(jù)庫系統(tǒng)中存儲的各類信息、設(shè)備和系統(tǒng)的配置信息、用戶存儲的各類電子文檔以及各種日志等等，信息資產(chǎn)也包括各種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。軟件資產(chǎn)軟件資產(chǎn)軟件資產(chǎn)包括各種專門購進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等） 、隨設(shè)備贈送的各種配套軟件、以及自行開發(fā)的各種業(yè)務(wù)軟件等。物理資產(chǎn)物理資產(chǎn)物理資產(chǎn)主要包括各種主機(jī)設(shè)備（比如各類 PC 機(jī)、工作站、服務(wù)器等） 、各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號設(shè)備等） 、各種安全設(shè)備（比如防火墻設(shè)備、入侵檢測設(shè)備等） 、數(shù)據(jù)存儲設(shè)備以及各類基礎(chǔ)物理設(shè)施（比如辦公樓、機(jī)房以及輔助的溫

19、度控制、濕度控制、防火防盜報(bào)警設(shè)備等） 。人員資產(chǎn)人員資產(chǎn)人員資產(chǎn)是各類資產(chǎn)中很難有效衡量甚至根本無法衡量的一部分，它主要包信息系統(tǒng)安全等級評估方案-13第 12 頁 共 19 頁括組織內(nèi)部各類具備不同綜合素質(zhì)的人員，包括各層管理人員、技術(shù)人員以及其他的保障與維護(hù)人員等。8.2.2 資產(chǎn)價(jià)值資產(chǎn)價(jià)值資產(chǎn)分析是與風(fēng)險(xiǎn)評估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)分析通過分析評估對象資產(chǎn)的各種屬性，進(jìn)而對資產(chǎn)進(jìn)行確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)告。簡單地說資產(chǎn)分析是一種為資產(chǎn)業(yè)務(wù)提供價(jià)值尺度的行為。資產(chǎn)價(jià)值可以下列方式表達(dá)：有形價(jià)值，例如重置成本無形價(jià)值，例如商譽(yù)信息價(jià)值，例如保密性、完整性及可用性8.3脆弱性分析脆弱性分

20、析脆弱性是指于管理、操作、技術(shù)和其它安全控制措施和程序中使威脅可能有機(jī)可乘，以致資產(chǎn)因而受損的薄弱環(huán)節(jié)，例如第三方攔截傳輸中的數(shù)據(jù)，未授權(quán)訪問數(shù)據(jù)等。脆弱性分析的目的是給出有可能被潛在威脅源利用的系統(tǒng)缺陷或脆弱性列表。所謂威脅源是指能夠通過系統(tǒng)缺陷和脆弱性對系統(tǒng)安全策略造成危害的主體。脆弱性分析強(qiáng)調(diào)系統(tǒng)化地衡量這些脆弱性。8.3.1 脆弱性脆弱性來源來源脆弱性可能存在于硬件設(shè)備、軟件程序、數(shù)據(jù)中，也可能存在于管理制度、安全策略等方面。因此，脆弱性包括兩類：技術(shù)脆弱性和非技術(shù)脆弱性。技術(shù)脆弱性主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷。技術(shù)脆弱性廣泛地存在于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、

21、通訊協(xié)議等設(shè)備和系統(tǒng)中。非技術(shù)性脆弱性主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問控制、組織安全、運(yùn)行安全、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性等方面存在的不足或者缺陷。8.3.2 脆弱性分析手段脆弱性分析手段信息系統(tǒng)安全等級評估方案-13第 13 頁 共 19 頁脆弱性分析針對技術(shù)脆弱性和非技術(shù)脆弱性進(jìn)行。非技術(shù)脆弱性分析非技術(shù)脆弱性分析非技術(shù)脆弱性分析主要采取調(diào)查表、人員訪談、現(xiàn)場勘查、文檔查看等手段進(jìn)行。首先要明確組織高層管理人員對組織重要資產(chǎn)的認(rèn)識，對資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問題。通過運(yùn)作管理人員、組織職員進(jìn)一

22、步了解組織存在的這些脆弱性。技術(shù)脆弱性分析技術(shù)脆弱性分析技術(shù)脆弱性分析可以采取多種手段，可選擇以下手段收集和獲取信息：網(wǎng)絡(luò)掃描主機(jī)審計(jì)滲透測試系統(tǒng)分析其中，需要注意滲透測試的風(fēng)險(xiǎn)較其它幾種手段要大得多，在實(shí)際評估中需要斟酌使用。網(wǎng)絡(luò)掃描網(wǎng)絡(luò)掃描網(wǎng)絡(luò)掃描用于本地或遠(yuǎn)程檢測系統(tǒng)可能存在的脆弱性。脆弱性掃描工具（Scanner）是一個(gè)或一組自動化工具，使用脆弱性掃描工具能夠高效率地收集業(yè)務(wù)系統(tǒng)的信息。例如，一個(gè)網(wǎng)絡(luò)端口掃描工具可以快速識別大量主機(jī)開放的服務(wù)，獲得業(yè)務(wù)系統(tǒng)所涉及的每個(gè) IT 設(shè)備的運(yùn)行狀態(tài)。網(wǎng)絡(luò)掃描遵循掃描時(shí)間段選擇、單點(diǎn)試掃、主備分開等原則。掃描結(jié)束后，提交經(jīng)過分析的掃描報(bào)告，以及掃

23、描原始報(bào)告。主機(jī)審計(jì)主機(jī)審計(jì)主機(jī)審計(jì)針對網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫進(jìn)行，實(shí)施時(shí)采用腳本工具或人工參照審計(jì)手冊進(jìn)行。審計(jì)手冊通常以檢查列表（Checklist）的形式存在，用于人工檢查系統(tǒng)存在的各種安全脆弱性，它針對不同的系統(tǒng)列出待檢查的條目，以保證人工審計(jì)結(jié)果數(shù)據(jù)的完備性。需要時(shí)，也可利用入侵檢測系統(tǒng)等工具進(jìn)行網(wǎng)絡(luò)審計(jì)，分析網(wǎng)絡(luò)的安全運(yùn)行狀況，發(fā)覺配置和運(yùn)行中的隱患。滲透測試滲透測試滲透測試?yán)萌斯つM黑客攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)的脆弱性。需要注意，滲透測試的風(fēng)險(xiǎn)較其它幾種手段要大得多，在實(shí)際評估中需要斟酌使用。信息系統(tǒng)安全等級評估方案-13第 14 頁 共 19 頁系統(tǒng)系統(tǒng)分析分析系統(tǒng)分析主要指網(wǎng)

24、絡(luò)結(jié)構(gòu)和邊界分析，它是風(fēng)險(xiǎn)評估中對業(yè)務(wù)系統(tǒng)安全性進(jìn)行全面了解的基礎(chǔ)。一個(gè)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個(gè)業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性，抗攻擊的問題是整個(gè)業(yè)務(wù)系統(tǒng)評估的重要環(huán)節(jié)。對評估對象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Internet 接入、地理分布方式和網(wǎng)絡(luò)管理)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，對于成功地?shí)施基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理方

25、案是很關(guān)鍵的。8.4威脅分析威脅分析威脅是指對系統(tǒng)或資產(chǎn)的保密性、完整性及可用性構(gòu)成潛在損害，以致影響系統(tǒng)或資產(chǎn)正常使用及操作的任何事件或行動。威脅分析主要指在明確組織關(guān)鍵資產(chǎn)、描述關(guān)鍵資產(chǎn)的安全需求的情況下，標(biāo)識關(guān)鍵資產(chǎn)面臨的威脅，并界定發(fā)生威脅的可能性及破壞系統(tǒng)或資產(chǎn)的潛力。評估小組通過鑒別與各業(yè)務(wù)系統(tǒng)有關(guān)的網(wǎng)絡(luò)，分析各業(yè)務(wù)系統(tǒng)可能遭受的內(nèi)部人員和/或外部人員的無意和/或故意威脅；通過鑒別與各業(yè)務(wù)系統(tǒng)有關(guān)的網(wǎng)絡(luò)以及可能的威脅源，詳細(xì)分析各業(yè)務(wù)系統(tǒng)可能通過網(wǎng)絡(luò)途徑可能遭受的威脅。8.4.1 威脅威脅源識別源識別威脅會對資產(chǎn)造成危害，它可能是人為的，也可能是非人為的；可能是無意失誤，也可能是惡

26、意攻擊。信息系統(tǒng)根據(jù)自身應(yīng)用的特點(diǎn)和地理位置可能會面對不同的威脅源。常見的威脅源如表 1 所示。ID威脅源威脅源描述描述1不可抗力由于自然（洪水、地震、颶風(fēng)、泥石流、雪崩、電風(fēng)暴及其它類似事件） 、環(huán)境（長時(shí)間電力故障，污染，化學(xué)，液體泄露等） 、政治等因素造成的威脅2組織弱點(diǎn)由于組織機(jī)構(gòu)、行政制度等因素造成的安全威脅3人為失誤由于人員的技能、培訓(xùn)、無意識行為（疏忽的數(shù)據(jù)條目）信息系統(tǒng)安全等級評估方案-13第 15 頁 共 19 頁ID威脅源威脅源描述描述等方面原因造成的安全威脅。4技術(shù)缺陷由于信息技術(shù)、產(chǎn)品的設(shè)計(jì)、實(shí)現(xiàn)、配置、使用等造成的安全威脅5惡意行為故意行為（基于網(wǎng)絡(luò)的攻擊、惡意軟件上

27、傳、對保密信息未經(jīng)授權(quán)的訪問等） 、人為造成的安全威脅表 1.威脅源分類8.4.2 威脅分析手段威脅分析手段威脅獲取的方法有：安全策略文檔查看、業(yè)務(wù)流程分析、網(wǎng)絡(luò)拓?fù)浞治?、人員訪談、入侵檢測系統(tǒng)收集的信息和人工分析等。業(yè)務(wù)流程分析和網(wǎng)絡(luò)拓?fù)浞治鲆耘c組織交流為主進(jìn)行，結(jié)合業(yè)務(wù)流程圖和網(wǎng)絡(luò)拓?fù)鋱D，同時(shí)收集歷史安全事件。評估人員可以根據(jù)具體的評估對象、評估目的選擇具體的安全威脅獲取方式。8.5已有控制措施分析已有控制措施分析要產(chǎn)生一個(gè)總體可能性評價(jià)來說明一個(gè)潛在弱點(diǎn)在相關(guān)威脅環(huán)境下被攻擊的可能性，就必須要考慮到當(dāng)前已經(jīng)實(shí)現(xiàn)或計(jì)劃實(shí)現(xiàn)的安全控制。比如，如果威脅源的興趣或能力級別很低、或如果有有效的安全

28、控制可以消除或減輕危害后果，那么一個(gè)弱點(diǎn)（比如業(yè)務(wù)系統(tǒng)或流程中的薄弱環(huán)節(jié)）被攻擊的可能性就低。9 綜合評估分析綜合評估分析評估人員根據(jù)等級指標(biāo)對比評估、額外/特殊風(fēng)險(xiǎn)評估中間結(jié)果記錄，結(jié)合被評估單位提供的各種資料，進(jìn)行全面的綜合分析，編制評估報(bào)告。評估報(bào)告一般需要包括安全現(xiàn)狀和安全建議兩個(gè)方面的內(nèi)容。安全現(xiàn)狀主要描述通過評估所了解到的系統(tǒng)的各個(gè)層面的基本安全狀況，以及與等級要求的符合情況。安全建議主要描述針對系統(tǒng)存在的安全隱患和缺陷以及如何進(jìn)行改造，以符合相應(yīng)等級的安全需求。由于被評估信息系統(tǒng)可能包括多個(gè)安全等級不同的子系統(tǒng)，原則上需要分別對它們進(jìn)行評估和擬定報(bào)告。信息系統(tǒng)安全等級評估方案-1

29、3第 16 頁 共 19 頁9.1風(fēng)險(xiǎn)識別風(fēng)險(xiǎn)識別從風(fēng)險(xiǎn)的定義可以看出，風(fēng)險(xiǎn)評估的策略是首先選定某項(xiàng)業(yè)務(wù)系統(tǒng)（或者資產(chǎn)） 、評估業(yè)務(wù)系統(tǒng)的資產(chǎn)價(jià)值、挖掘并評估業(yè)務(wù)系統(tǒng)/資產(chǎn)面臨的威脅、挖掘并評估業(yè)務(wù)系統(tǒng)/資產(chǎn)存在的弱點(diǎn)、進(jìn)而評估該業(yè)務(wù)系統(tǒng)/資產(chǎn)的風(fēng)險(xiǎn)，得出整個(gè)評估目標(biāo)的風(fēng)險(xiǎn)。撰寫評估報(bào)告需要在這種分析的基礎(chǔ)上找出風(fēng)險(xiǎn)的屬性之間的關(guān)系，陳述綜合分析結(jié)果。確定風(fēng)險(xiǎn)程度后，便能夠?yàn)橐汛_認(rèn)的各項(xiàng)業(yè)務(wù)系統(tǒng)/資產(chǎn)考慮技術(shù)、操作和管理上的解決方案清單。由于不可能完全杜絕風(fēng)險(xiǎn)，有關(guān)清單可成為接受、降低、避免或轉(zhuǎn)移風(fēng)險(xiǎn)決策的依據(jù)。下表是可采取的風(fēng)險(xiǎn)處理措施。評估結(jié)果可選方案描述后果輕微可能性低可用性或其它因素比

30、安全因素重要接受風(fēng)險(xiǎn)承擔(dān)責(zé)任 不可承受的高風(fēng)險(xiǎn)降低風(fēng)險(xiǎn) 減輕后果或減低可能性，或一起減低 風(fēng)險(xiǎn)過高，或費(fèi)用過高，因而無法減低，也無法管理避免風(fēng)險(xiǎn)采用其它方法，或不再進(jìn)行可能引發(fā)風(fēng)險(xiǎn)的工作 另一方愿意承受風(fēng)險(xiǎn)另一方控制風(fēng)險(xiǎn)的能力更強(qiáng)轉(zhuǎn)移風(fēng)險(xiǎn)將部分或全部風(fēng)險(xiǎn)責(zé)任轉(zhuǎn)移給另一方表 2.風(fēng)險(xiǎn)處理方案表9.1.1 控制建議控制建議采取可行的安全保障措施，可以將已找出的威脅和弱點(diǎn)的可能性及其影響減至可接受的水平。評估小組根據(jù)不可接受風(fēng)險(xiǎn)級別的定義，鑒別組織存在的不可接受風(fēng)險(xiǎn)，分析可以控制不可接受風(fēng)險(xiǎn)的相應(yīng)安全措施，最終組織參與人員根據(jù)評估小組所提的建議，結(jié)合組織的實(shí)際情況，確定適用于組織的安全措施，制定保護(hù)

31、策略，最終形成控制建議。形成控制建議的目的是為組織制定保護(hù)策略，降低關(guān)鍵資產(chǎn)風(fēng)險(xiǎn)的方案，以及制定短期內(nèi)的措施清單。評估小組可以對組織目前的技術(shù)安全狀況需要進(jìn)行分析，并通過與組織相關(guān)IT 人員的溝通，優(yōu)先確認(rèn)需要立即采取措施以修復(fù)的技術(shù)弱點(diǎn)，制定所存在的技術(shù)弱點(diǎn)及相應(yīng)的安全建議。信息系統(tǒng)安全等級評估方案-13第 17 頁 共 19 頁可以從體系化的角度采取控制措施，例如依據(jù)風(fēng)險(xiǎn)評估結(jié)果建立縱深防御體系。常見的控制措施類型包括：安全加固建議這是一種有針對性的資產(chǎn)點(diǎn)對點(diǎn)風(fēng)險(xiǎn)減免。主要是通過各種技術(shù)手段來補(bǔ)救單個(gè)資產(chǎn)的弱點(diǎn)。安全體系結(jié)構(gòu)建議這是從系統(tǒng)的角度來重要設(shè)計(jì)更安全的系統(tǒng)。主要通過更合理的網(wǎng)絡(luò)結(jié)

32、構(gòu)與系統(tǒng)邏輯關(guān)系設(shè)計(jì)來補(bǔ)救整個(gè)系統(tǒng)的弱點(diǎn)。安全管理建議這是從管理的角度來保護(hù)資產(chǎn)不受威脅。主要通過把具有弱點(diǎn)而且難以補(bǔ)救的資產(chǎn)保護(hù)起來，不受威脅的影響，也就起到了降低風(fēng)險(xiǎn)的作用。10等級評估風(fēng)險(xiǎn)等級評估風(fēng)險(xiǎn)規(guī)避規(guī)避為了順利的完成測評工作，需要采取相應(yīng)的措施來對評估工作本身可能帶來的風(fēng)險(xiǎn)和問題進(jìn)行規(guī)避，這主要包括以下幾個(gè)方面。a)a) 委托協(xié)議委托協(xié)議在開始評估工作之前，評估機(jī)構(gòu)和被評估單位需要以委托協(xié)議的方式明確評估工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求、以及雙方的責(zé)任和義務(wù)等。使得評估雙方對評估過程中的基本問題達(dá)成共識，后續(xù)的工作以此為基礎(chǔ)，避免以后的工作出現(xiàn)大的分歧。b)b) 保密協(xié)議保密協(xié)議由于評估工作需要了解被評估單位的很多敏感信息，為保障被評估單位的權(quán)益，評估雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束評估雙方現(xiàn)在及將來的行為。保密協(xié)議規(guī)定了評估雙方保密方面的權(quán)利與義務(wù)。評估工作的成果屬被評估單位所有，評估機(jī)構(gòu)對其的引用與公開應(yīng)得到被評估單位的授權(quán)，否則被評估單位將按照保密協(xié)議的要求追究評估機(jī)構(gòu)的法律責(zé)任。另外，被評估單位也要選取可信度高的評估機(jī)構(gòu)來進(jìn)行信息系統(tǒng)安全等級測評，避免由于安全評估工