-信息系統(tǒng)威脅評(píng)估報(bào)告

密級(jí)：內(nèi)部文檔編號(hào)：2007002-009項(xiàng)目編號(hào)：2007002XX市地稅局信息系統(tǒng)威脅評(píng)估報(bào)告XX市地稅局信息系統(tǒng)威脅評(píng)估報(bào)告XX市地稅局信息系統(tǒng)威脅評(píng)估報(bào)告第第頁共15頁1概述根據(jù)《XX省人民政府信息化工作辦公室關(guān)于印發(fā)〈信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作實(shí)施方案〉的通知》文件精神，XX省信息安全測評(píng)中心承擔(dān)了XX市地稅局“征管信息系統(tǒng)”的風(fēng)險(xiǎn)評(píng)估工作。我中心以建立符合我省情況的風(fēng)險(xiǎn)評(píng)估方法、積累風(fēng)險(xiǎn)評(píng)估工作經(jīng)驗(yàn)、培養(yǎng)隊(duì)伍、協(xié)助XX市地稅局更深入地了解其信息系統(tǒng)安全現(xiàn)狀為目標(biāo)，通過文檔分析、現(xiàn)場訪談、問卷調(diào)查、技術(shù)評(píng)估等方法，對(duì)XX市地稅局“征管信息系統(tǒng)”進(jìn)行了全面的信息安全風(fēng)險(xiǎn)評(píng)估。安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對(duì)信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。威脅是對(duì)組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。在安全風(fēng)險(xiǎn)評(píng)估方法論中，威脅評(píng)估采用了威脅的可能性值。威脅獲取方法安全威脅獲取的方法有：白客滲透測試(PenetrationTesting)、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析等。聯(lián)想顧問可以根據(jù)具體的評(píng)估對(duì)象、評(píng)估目的選擇具體的安全威脅獲取方式。經(jīng)過研究，本項(xiàng)目采取了顧問訪談、安全策略文檔審閱、人工分析和模擬攻擊測試相結(jié)合的方法來獲取資產(chǎn)存在的安全威脅，并根據(jù)專家經(jīng)驗(yàn)進(jìn)行賦值。原擬采用的利用入侵監(jiān)測系

統(tǒng)收集威脅信息由于使用時(shí)間不足而不采用。威脅發(fā)現(xiàn)方法列表如下：編號(hào)發(fā)現(xiàn)方式描述1顧問訪談通過和安全管理人員進(jìn)行訪談來獲得威脅信息。2人工分析根據(jù)專家經(jīng)驗(yàn)，從已知的數(shù)據(jù)中進(jìn)行分析。3模擬攻擊測試通過黑客攻擊的測試方法來測試弱點(diǎn)，證實(shí)威脅。4安全策略文檔分析安全策略文檔分析。威脅來源及性質(zhì)劃分威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在保密性、完整性或可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。在對(duì)威脅進(jìn)行分類前，應(yīng)考慮威脅的來源。表提供了一種威脅來源的分類方法。威脅來源威脅來源列表威脅來源名稱威脅來源描述本項(xiàng)目重要程度分類內(nèi)外部威脅設(shè)備故障軟件、硬件、數(shù)據(jù)、通訊線路方面的故障4非人為威脅外部

粗心、好奇或培訓(xùn)不足的雇員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注而導(dǎo)致信息系統(tǒng)威脅的用戶，由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)威脅的用戶，屬于內(nèi)部威脅來源4人為非惡意內(nèi)部內(nèi)部人員犯罪內(nèi)部雇員以犯罪為目的，采取自主或內(nèi)外勾結(jié)的方式進(jìn)行犯罪4人為惡意內(nèi)部環(huán)境因素?cái)嚯?、靜電、灰塵、火災(zāi)、電磁干擾等環(huán)境因素，洪災(zāi)、火災(zāi)、地震等自然災(zāi)害3非人為威脅外部不滿的雇員當(dāng)前被雇傭和對(duì)系統(tǒng)具有訪問權(quán)的條件,有潛力對(duì)信息系統(tǒng)施加破壞的憤怒和不滿的人。3人為惡意內(nèi)部外部計(jì)算機(jī)犯罪主要指外部的計(jì)算機(jī)犯罪分子，包括有組織犯罪行為，有組織和財(cái)政資助。也包括個(gè)人的，沒有很好的加入組織和接受援助3人為惡意外部外部黑客攻擊網(wǎng)絡(luò)和系統(tǒng)，企圖探求操作系統(tǒng)的脆弱性3人為惡意外部或其它缺陷的人包括電信、稅務(wù)等合作伙伴，和開發(fā)商、集成商、服務(wù)商等3人為惡意外部惡意第二方不可抗力戰(zhàn)爭、政變、瘟疫等等1非人為威脅外部競爭對(duì)手在競爭市場中營運(yùn)的公司，以商業(yè)間諜的形式非法收集情報(bào)0人為惡意外部恐怖分子國內(nèi)外代表各種恐怖分子或極端勢力的個(gè)人或0人為惡意外部團(tuán)體，采取計(jì)算機(jī)犯罪方式。國家國家經(jīng)營，組織精良并得到很好的財(cái)政資助，從敵對(duì)國家或具有經(jīng)濟(jì)、軍事或政治優(yōu)勢的國家收集機(jī)密或關(guān)鍵信息0人為惡意外部經(jīng)過訪談和分析，確認(rèn)下述為XX市地稅局的重點(diǎn)威脅來源，在整個(gè)評(píng)估項(xiàng)目中將重點(diǎn)考慮如下威脅來源。在接下來的威脅分析中將進(jìn)一步詳細(xì)分析，并確認(rèn)其主要的威脅方式和賦值。設(shè)備故障粗心、好奇或培訓(xùn)不足的雇員內(nèi)部人員犯罪惡意第三方環(huán)境因素不滿的雇員3.2根據(jù)安全威脅產(chǎn)生的來源劃分參照國家風(fēng)險(xiǎn)評(píng)估相關(guān)規(guī)范中的定義對(duì)安全威脅的產(chǎn)生來源和原因進(jìn)行劃分，可以分為以下幾個(gè)方面：IDThreatByDescription1非授權(quán)故意行為Deliberateunauthorizedactionsbypeople2人為錯(cuò)誤Errorsbypeople3軟件、設(shè)備、線路故Software/equipment/linefailure

IDThreatByDescription障4不可抗力ActsofGod4威脅賦值4.1威脅屬性威脅具有兩個(gè)屬性：可能性（Likelihood）、影響（Influence）。進(jìn)一步，可能性和損失可以被賦予一個(gè)數(shù)值，來表示該屬性。參照下表?？赡苄詫傩再x值參考表等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或三1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或三1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過。3中出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。影響賦值參考表'賦值簡稱說明5VH資產(chǎn)全部損失，或資產(chǎn)已不可用（＞75%）4H資產(chǎn)遭受重大損失（50%~75%）

3M資產(chǎn)遭受明顯損失（25%~50%）2L損失可忍受（＜25%）1N損失可忽略（~0%）可能性屬性非常難以度量，它依賴于具體的資產(chǎn)、弱點(diǎn)和影響。該屬性還和時(shí)間有關(guān)系。最終表現(xiàn)出來的威脅是兩個(gè)屬性的共同作用；另外，在威脅評(píng)估中，評(píng)估者的專家經(jīng)驗(yàn)非常重要。在本項(xiàng)目中，可以參照下面的矩陣進(jìn)行威脅最終定值：\影響可忽略1可忍受2明顯損失3重大損失4全部損失5不可避免512345非?？赡?12344可能312233可能性很小211222不可能1111124.2威脅可能性賦值判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。在評(píng)估中，需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)；實(shí)際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警；可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高；表提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中，威脅頻率的判斷依據(jù)應(yīng)在評(píng)估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定，并得到被評(píng)估方的認(rèn)可。威脅來源名稱威脅來源描述可能性軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響。4物理環(huán)境斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。3無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤2

的操作，對(duì)系統(tǒng)造成的影響。管理不到位安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。2惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。4越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。2網(wǎng)絡(luò)攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。2物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞。2泄密信息泄露給不應(yīng)了解的他人。2篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。2抵賴不承認(rèn)收到的信息和所作的操作和交易。2粗心、好奇或培訓(xùn)不足的雇員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注而導(dǎo)致信息系統(tǒng)威脅的用戶，由于缺乏培訓(xùn)，專業(yè)技能不足，不具備崗位技能要求而導(dǎo)致信息系統(tǒng)威脅的用戶，屬于內(nèi)部威脅來源2內(nèi)部人員犯罪內(nèi)部雇員以犯罪為目的，采取自主或內(nèi)外勾結(jié)的方式進(jìn)行犯罪2

惡意第三方包括電信、稅務(wù)等合作伙伴，和開發(fā)商、集成商、服務(wù)商等2不滿的雇員當(dāng)前被雇傭和對(duì)系統(tǒng)具有訪問權(quán)的條件,有潛力對(duì)信息系統(tǒng)施加破壞的憤怒和不滿的人。2外部計(jì)算機(jī)犯罪主要指外部的計(jì)算機(jī)犯罪分子，包括有組織犯罪行為，有組織和財(cái)政資助。也包括個(gè)人的，沒有很好的加入組織和接受援助1外部黑客攻擊網(wǎng)絡(luò)和系統(tǒng)，企圖探求操作系統(tǒng)的脆弱性或其它缺陷的人1不可抗力戰(zhàn)爭、政變、瘟疫等等1競爭對(duì)手在競爭市場中營運(yùn)的公司，以商業(yè)間諜的形式非法收集情報(bào)1恐怖分子國內(nèi)外代表各種恐怖分子或極端勢力的個(gè)人或團(tuán)體，采取計(jì)算機(jī)犯罪方式。1國家國家經(jīng)營，組織精良并得到很好的財(cái)政資助,從敵對(duì)國家或具有經(jīng)濟(jì)、軍事或政治優(yōu)勢的國家收集機(jī)密或關(guān)鍵信息14.3威脅影響性賦值威脅來源名稱影響資產(chǎn)影響值軟硬件故障主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)4物理環(huán)境主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備4無作為或操作失誤主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系3

統(tǒng)、數(shù)據(jù)、文檔資料、人員管理不到位主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員3惡意代碼和病毒主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、應(yīng)用系統(tǒng)、數(shù)據(jù)3越權(quán)或?yàn)E用主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料3網(wǎng)絡(luò)攻擊主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、應(yīng)用系統(tǒng)3物理攻擊主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、3泄密主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料3篡改數(shù)據(jù)、文檔資料、應(yīng)用系統(tǒng)3抵賴數(shù)據(jù)、文檔資料、應(yīng)用系統(tǒng)3粗心、好奇或培訓(xùn)不足的雇員主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員3內(nèi)部人員犯罪主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員3惡意第三方主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員2不滿的雇員主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員2

外部計(jì)算機(jī)犯罪主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員2外部黑客主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員2不可抗力主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員1競爭對(duì)手主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員1恐怖分子主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員1國家主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、通訊線路、保障設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)、文檔資料、人員1

4.4威脅最終賦值威脅來源名稱威脅可能性威脅影